《HXZNKJ-ISMS-A-30信息安全适用性声明soa-.docx》由会员分享,可在线阅读,更多相关《HXZNKJ-ISMS-A-30信息安全适用性声明soa-.docx(10页珍藏版)》请在第壹文秘上搜索。
1、表进行协调.公司姐织结构图信息平安管理手册职能安排表信息平安联责的安排全部的信息平安职责应予以清楚地叔YES信息平安管理手册职能安排表信息处理设施的授权过程新信息处理设施应定义和实施一个管理授权过程.YES信息处理设施安装运用带理再济保密性协议应识别并定期评审反映组织信息爱妒须要的保密性或不泄露府汉的要求YES信息资谀保里策能员工保膨协议笆理程序员工保财则与政府部门的联系应保持与政府相关SS门的适当联系.YES相关政将部门联系表与特定权益团体的联系应保持与特定权益团体.其他平安专家组和专业的协会的适当联系.YES相关利益团体联系表信息平安的拽立评审组织管理信息平安的方法及其实施(例如信息平安的
2、限制目标.限制措施、策略、过程和程序)应按安列理)时间间隔进行独立评审,当平安实施发生重大变更时,也要进行独立评审.YES管理评审程序外部各方与外部各方相关风绘的识8U保持fflta的被外部各方访问、处理、管理或与夕像进行通信的信息和信息处理设施的平安,故识另及外部各方业务过程中蛆织的信息粕信息处理设施的风睑,并在允许访问前实施适当的3R制.YES网珞访问策略访问限制策IS物理访问第略第三方IS务管理程序用户访问管理程序处理与顾客有关的平安磁应在允许顾客访问姐织信息或资产之前处理全3隰定的平安要求.YES网络访问策略访獭制策略物理访问策蛤第三方股务管理,好用户访问管理程序处理第三方协议中的平安
3、问同涉及访问、处理或管理组投的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增力Wct品或服务的第三方协议,应涵姜全8陶关的平安要求.YES第三方服务管理程序用户访问管理程序A.7资产苜理对超产负费资产清单实现和保持对朝资产的适当爱护业H盘的识别全部资产,埸制并维护全部歪要资产的清单.YES信息分类管理程序资产击任人与信息处理设焉有关的全部信息和资产应由组织的指定部门或人员担当SU.YES信息处理设班安装运用管理程存资产的允许运用与信息处理设施有关的信息和资产运用允许规则应校期定,形成文件并加以实施.YES信息处理设旗安装运用管理程伟电子部件运用液则信息分类分类指南珊保信息受到
4、话当级别的爱护信息应根据它对组织的价值、法律要求、UMS性和关教性予以分类.YES商业除和管理程序信息的标记W处理应根据组统所接受的分类矶制建立和实施一蛆合适的信息标记和处理助.YES计建矶管理程序商业的区管理程序A.8人力资源平安任用之前角色和HH境闵雇员、承包方人员0第三方人员理解其职案、考虑对其担当的角色是适合的,以降低设施被窃.欺诈和误用的风%as.承包方人员和第三方人员的平安角色粕职费应根据组织的信息平安方针定义并形成文件.YES信息平安方针公司岗位职友事出关于全部任用的帔选者.承包方人员和第三方人员的背景版证检适应根据相关法律i去规、道纳规范3对政的业务要求.被访问信息的类别和察觉
5、的风睑来矶行.YES员工转用管理程序任用条歆和条件作为他们合同义务的一部分,电员、承包方人员和第三方人员应同朦并签署他们的任用合同的条款和条件,这些条歆和条件要声明他们和组织的信息平安职友.YES员工啊用管理程序任用中笆理职费保全部的雇员、承包方人员和第三方人员知悉信息平安威逼腾IJ害关系他们的和义务.并打算好在只正常工作过程中支持蛆织的平安方针,以削减人为过失的风睨.处理者应要求雇员.承包方人员和第三方人员根据担织已建立的方针策略和程序对平安不遗余力.YES第三方访问策略雇员访问策略公司岗位能贡信息平安意识、教化和培训组织的全部赛员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关
6、的适当的意识培训和姐织方针策略及周序的定期更新培训.YES员:Dg训营理程序信息平安m务管理程序纪律处理过程对于平安违规的冠员,曲有一个正式的纪律处理过程.YES信息平安奖惩管理程序任用的终止或变更终止职案琬保底艮.承包方人员和第三方人员以一个规磔而退出一个组织或变更具任用关系.任用终止或任用变更的职责应清楚的定义和安排.YES员工原职管理程序资产的归还全部的雇员、承包方人员和第三方人员在终止任用.合同砌议时,应归还他运用的全部组纨资产,YES员工鹿职管理程序撤销访问权全部M员.承包方人员和第三方人员对信息和信息处理设他的访问权应在任用.合同或协议终止W碱,或在变更时调整.YES员工鹿职管理程
7、序A.9物理和环境平安平安区域物理平安边界防止对组织场所和信息的未授权物理访问、损坏1干扰应运用平安边界(诸女陷、卡限制的入口或有人管理的接待台等屏W)来爰沪包含信息和信愿处理设施的区域.YES平安区喀RS程序门禁系统管理程序策要平安区域限制方案物理入口限制平安区域应由适合的入口限制所爱护,以确保只有授权的人员才允许帆YES平安区域管理程序门禁系统管理程序亚要平安区域限制方案综合管理部.房间和设施的平安爱护应为综合管理部.房间和设施没计并实行理平安措他YES平安区域管理程序外部和环境威逼的平安防护为防止火灾、洪水.i&K.爆炸.社会动荡粕其他形式的自然或人为灾潴引起的破坏,应设计和实行物理爱妒
8、措施.YES平安区脸理程序在平安区域工作应设计和运用用于平安区域工作的糊理爱护和指南,YES平安区域管理程序公共访问.交接区平安访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以限制,假如可能,要与信息处理设5三离,以避开未授权访问.YES平安区域管理程序设备平安设备安置和爱护防止资产的丢失.损坏、失窃成危及资产平安以及姐织活动的中断.应安置或爰护婚,以削减由环境威逼和危急所S成的各种风吃以及未授权访!可的讥会.YES设备及布线平安策珞支持性应爱妒设备使其免于由支持性设施的失效而引起的电源故障和攵他中断.YES设笛及布线平安策略布缆平安应保证传知数据或支持信忌版务的电源布缆和SfS布
9、线免受后圻或损坏.YES没备及布缆平安策略设备维护设备应予以正确地维护,以施保其持续的可用性畸整性.YES信息处理设电A护管理程序组妲场所外的设备平安酬组织酶脸备实行平安措施,要考虑工作在组织场所以外的YES计故矶管理程序设省的平安处K或再利用包含松介质腌备的全血目应进行检否,以确保在第SJ之前,任何敏喻总和注册软件已极划除盹平安B片.YES信息处理设施维护西屋程序资产的移动设镭、信息或荻件在授权之前不应带出组织场所.YES可移动介战旨理程序A.10通讯和操作管理掾作程序和职费文件化的操作程序烧保正踊.平安的提m三总处理设施.理作程不应形成文件.保持并对全部霹的用户可用.YES文/棚制程序变更
10、菖理对信息处理设施和系统的变更应加I飕制.YES变更菅理平安策路软侪靖理程序m任分副各类责任及职责总困应加以分用,以降低未授权或无意识的修改或者不当运用姐织资产的机会.YES职责安排表开发.奥试和运行设他分别开发测试W运行设施应分别,以削减未授权访问或变更运行系统的硒.YES软件开发管理程序第三方服务交付管理服务交付实期O保持符合第三方眼务交付协议的信息平安和服务交付的适当水准.应确保第三方实施、运行并保持包含在第三方服务交付协设中的平安限制措施、服务定义和交付水准.YES第三方服务管理程序第三方服务的监视W评审应定期监视in评审由第三方供应的服务、报告和记录,审核也应定期执行.YES第三方服
11、务管理程序第三方服务的变更转理应省理服务供应的变更,包括保持和改进现有的信息平安策略.程序和限制措施.要考虑业务系物口涉及过程的关犍程度及风险的再评估.YES第三方服务管理程序系i三划和SS收容量管理将系统失效的风险降至最小.资源的运用应力眼监视.璃整,并应作出对于将来容量要求的预料.以确保姆有所需的系统性够YES信息处理设他安装运用管理程伟系睇收应建立对新的信息系统、升以及新版本的脸收准则,并且在开发中和脸收前对系统进行适当的测试.YES信息系统舱收管理程序软件开发管理程序防意廖您和移动代码限制旨意代码爱妒软件和信息的完雌酶的恶卷代码的监测、频W复原的双制寺雕,以及适当的提高用户平安意识的程
12、序.YES病毒防危策蛤第意软件管理程序限甯膨动代码当授权运用移动代码时,44配IfJS通保授权的移动代码根据清量定义的平安策路运行,应阻若执行未授皿期;动代码.YES可移动代码防范策18备份信息备份保持信总和信息处理设施的总造和可用性应根抿已设的备份策略,定期备份和测试信息和软件.YES信息备份平安策略重思数分序网珞平安管理网络限制确保网络中信息的平安性并爱护支持性的裳础设施.应充分笆理和限制网络,以防止威遇的发生,堆护系统和运用网格的应用程序的平安,包括传输中的信aYES网络用置平安策略网络设箭平安配2T片理网络服务的平安平安特1、服券级别以及全部网络服务的管理要求应予以确定并包括在全盘眄络
13、服务协议中,无论这些服务是由内部供应的还是外包的.YES网络前置平安策略网络设偌平安配置音理介质处置可移动介陵的管理防止资产遭遇未授权泄漏、修改、移动或雌以及对业务活动的中断.应有适当的可移动介,女的SW序.YES可移动介陵管建程序介康的处置不再须要的介质,应运用正式的程京牢京并平安地处置.YES可移动介Si管理程序电召只体介质销毁管理方法信息处理的应建立信息处理及存储程小,以昉止信息的未授权的泄漏或不当运用.YES可移动介掂臂理程方系统文件平安应爱妒系统文件以防止未授权的访问.YES文件瘦制程序信息的交换信息交换策略和程序的组织内信息和软件或及与外部三i信息和软件交换的平安.应有正式的交换策珞、程序和限制措施,以爱妒通过运用各种类型通信设施的信息交投.YES信息交换策略交换例汉应建立担织与外部团体交换信息和软件的协议.YES信息交换策略运输中的物理介质包含信息的介陵在姐织的糊理边界以外运馀时,应防止未授权的访问、不当运用或毁坏.YES西输中栩理介质平安策IS电子
