資源描述:
《信息安全適用性聲明.pdf》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、FHYJ-ISMS-2001-2010受控副本章信息安全適用性聲明發(fā)放編號(hào)003有效版本A版0次實(shí)施日期2010-05-01使用部門(mén)管理者代表1范圍本聲明所列的控制目標(biāo)和控制措施直接源自ISO/IEC27001:2005及ISO/IEC27002:2005要求,以保證公司進(jìn)行信息安全管理體系認(rèn)證實(shí)施的有效性及適用性。本聲明經(jīng)公司信息安全管理委員會(huì)會(huì)議審核通過(guò),適用于湖南豐匯銀佳科技有限公司對(duì)信息安全控制的全過(guò)程。2職責(zé)2.1信息安全實(shí)施小組負(fù)責(zé)對(duì)公司信息安全適用的控制目標(biāo)和控制措施的收集與定期評(píng)價(jià),提
2、交信息安全管理小組審核。2.2信息安全管理委員會(huì)負(fù)責(zé)對(duì)公司信息安全適用性聲明進(jìn)行審核,確認(rèn)公司信息安全適用的控制目標(biāo)及控制措施。3湖南豐匯銀佳科技有限公司信息安全適用性控制目標(biāo)和控制措施:適用性理由ISO27001要求對(duì)應(yīng)文件適用不適用(注)A.5安全方針A.5.1信息安全方針A.5.1.1信息安全方針文?信息安全管理實(shí)施的需要件《信息安全管理手冊(cè).doc》A.5.1.2信息安全方針的《管理評(píng)審控制程序.doc》?確保方針的持續(xù)適宜性評(píng)審A.6信息安全組織A.6.1信息安全組織A.6.1.1信息安全的
3、管理?信息安全管理實(shí)施的需要承諾公司涉及到的信息安全問(wèn)題需要A.6.1.2信息安全協(xié)作《信息安全管理手冊(cè).doc》?一個(gè)有效溝通和協(xié)調(diào)的機(jī)制A.6.1.3信息安全職責(zé)分保持信息資產(chǎn)和完成特定安全過(guò)?配程的職責(zé)需要規(guī)定A.6.1.4信息處理設(shè)備的公司有新信息處理設(shè)施采購(gòu)和使《軟、硬件及網(wǎng)絡(luò)管理程序.doc》?授權(quán)過(guò)程用的活動(dòng),需要進(jìn)行授權(quán)《人力資源控制程序.doc》員工和第三方進(jìn)入公司都會(huì)涉及A.6.1.5保密協(xié)議[保密協(xié)議]?到公司的信息安全,以保密協(xié)議對(duì)[第三方服務(wù)保密協(xié)議]其進(jìn)行高知和約束。-1-
4、FHYJ-ISMS-2001-2010適用性理由ISO27001要求對(duì)應(yīng)文件適用不適用(注)A.6.1.6與權(quán)威機(jī)構(gòu)的聯(lián)為了更好的得到信息安全的新動(dòng)?系《第三方信息安全管理程序》向A.6.1.7與專(zhuān)業(yè)小組的聯(lián)為了更好的得到信息安全的新動(dòng)?系向,并得到專(zhuān)家的協(xié)助A.6.1.8信息安全的獨(dú)立《內(nèi)部審核控制程序.doc》為了驗(yàn)證公司信息安全體系的符?評(píng)審《管理評(píng)審控制程序.doc》合性和有效性A.6.2外部相關(guān)方公司存在如來(lái)維修設(shè)備、顧客物A.6.2.1與外部相關(guān)方有?理、邏輯訪問(wèn)公司等情況,必須控關(guān)的風(fēng)險(xiǎn)
5、識(shí)別《信息安全風(fēng)險(xiǎn)評(píng)估管理程序.doc》制A.6.2.2處理與顧客相關(guān)《用戶(hù)訪問(wèn)控制程序.doc》顧客物理、邏輯訪問(wèn)公司等情況,?的安全問(wèn)題《物理訪問(wèn)控制程序.doc》必須有安全措施控制A.6.2.3處理第三方協(xié)議與長(zhǎng)期訪問(wèn)的第三方簽訂保密協(xié)?中涉及的安全議規(guī)定并培訓(xùn)安全要求是必須的A.7資產(chǎn)管理A.7.1資產(chǎn)責(zé)任A.7.1.1資產(chǎn)清單?風(fēng)險(xiǎn)控制的需要《資產(chǎn)識(shí)別管理程序.doc》A.7.1.2資產(chǎn)所有權(quán)?明確資產(chǎn)管理責(zé)任[信息資產(chǎn)登記/評(píng)估表.xls]A.7.1.3資產(chǎn)的合理使用?將資產(chǎn)合理使用制度化
6、A.7.2信息分類(lèi)A.7.2.1分類(lèi)指南《資產(chǎn)識(shí)別管理程序.doc》?為了便于對(duì)信息資產(chǎn)的分級(jí)管理A.7.2.2信息的標(biāo)識(shí)和處《資產(chǎn)識(shí)別管理程序.doc》按照分類(lèi)方案進(jìn)行標(biāo)注并規(guī)定信?理《軟、硬件及網(wǎng)絡(luò)管理程序.doc》息處理的安全要求A.8人力資源安全A.8.1聘用前《信息安全管理手冊(cè).doc》A.8.1.1角色和職責(zé)?為了明確信息安全責(zé)任《人力資源控制程序.doc》A.8.1.2篩選《人力資源控制程序.doc》?降低風(fēng)險(xiǎn)履行保密協(xié)議是與員工、合同方以A.8.1.3雇傭條款和條件《人力資源控制程序.
7、doc》?及第三方用戶(hù)的基A.8.2聘用期間A.8.2.1管理職責(zé)《人力資源控制程序.doc》?領(lǐng)導(dǎo)的必須責(zé)任是提出要求安全意識(shí)和必要的信息安全操作A.8.2.2信息安全教育和《人力資源控制程序.doc》?技能培訓(xùn)是開(kāi)展信息安全管理的培訓(xùn)前提懲戒是控制信息安全事故事件的A.8.2.3懲戒過(guò)程《人力資源控制程序.doc》?必要手段A.8.3聘用中止或變化A.8.3.1終止責(zé)任《人力資源控制程序.doc》?在合同中明確終止責(zé)任A.8.3.2資產(chǎn)歸還《人力資源控制程序.doc》?保證資產(chǎn)歸還的完整性A.8.
8、3.3解除訪問(wèn)權(quán)限《用戶(hù)訪問(wèn)控制程序.doc》?確保訪問(wèn)權(quán)限及時(shí)修改-2-FHYJ-ISMS-2001-2010適用性理由ISO27001要求對(duì)應(yīng)文件適用不適用(注)A.9物理和環(huán)境安全A.9.1安全區(qū)域A.9.1.1實(shí)物安全周界《辦公大樓平面圖》?對(duì)重要信息資產(chǎn)進(jìn)行保護(hù)安全區(qū)進(jìn)入應(yīng)授權(quán),未經(jīng)過(guò)授權(quán)訪A.9.1.2物理進(jìn)入控制?問(wèn)會(huì)導(dǎo)致信息安全威脅A.9.1.3辦公室、房間和保證物理安全,未經(jīng)過(guò)授權(quán)訪問(wèn)會(huì)?設(shè)施的安全《物理訪問(wèn)控制程序.doc》導(dǎo)致信息安