信息安全适用性声明.docx
《信息安全适用性声明.docx》由会员分享,可在线阅读,更多相关《信息安全适用性声明.docx(31页珍藏版)》请在第一文库网上搜索。
1、文件名称:信息安全适用性声明文件编号:J1H-ISMS-002制订日期:2014年01月05日版本:A1页数:31页1目的与范围32相关文件33职责34声明3A.5安全方针4A.6安全组织4A.7资产管理7A.8人力资源安全8A.9实物与环境安全10A.10通信和操作管理13A.11访问控制18A.12信息系统获取、开发和维护23A.13信息安全事件管理26A.14业务持续性管理27A.15符合性29信息安全适用性声明1目的与范围本声明描述了在IS027001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的
2、相关文件。2相关文件信息安全管理手册3职责信息安全适用性声明由管理者副代表编制、修订,由管理者代表批准。4声明本公司按GB/T22080-2008idtIS0IEC27001:2005建立信息安全管理体系。根据公司风险评估的结果和风险可接受水平,GB/T22080-2008idtIS0IEC27001:2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系。A.5安全方针标准条款号标题目标/控制是否选彝选择理由控制描述相关文件A.5.1信息安全方针目标YES为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。A.5.1.1信息安全方针文件控制YES信息安全管理实施的需要。
3、信息安全方针由公司总经理制定,在信息安全管理手册中描述,由公司总经理批准发布。通过培训、发放信息安全管理手册等方式传达到每一员工。采用张贴布告于宣传栏、网站等形式传达到各主管部门、客户群等外部相关方。ISMS-IOOi信息安全管理手册.5.1.2评审与评价控制YES确保方针持续的适宜性。每年利用管理评审对方针的适宜性进行评价,必要时对方针进行修订。1SMS-P-2004管理评审控制程序A.6安全组织标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.6.1内部组织目标YES建立一个有效的信息安全管理组织机构。A.6.1.1信息安全管理承诺控制YES确定评审安全承诺及处理重大安全事故,确
4、定与安全有关重大事项所必须的职责分配及确认、沟通机制。公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议F1程的安排。会议主要议题包括:a)评审信息安全承诺;b)确认风险评估的结果:c)对与信息安全管理有关的重大更改事项,如组织机构调整、ISMS-1001信息安全管理手册关键人事变动、信息系统更改等,进行决策:e)评审与处理重大信息安全事故;f)审批与信息安全管理有关的其他重要事项。A.6.
5、1.2信息安全的协调控制YES公司涉及信息安全部门众多,组织机构复杂,需要一个有效沟通与协调机制。公司成立信息安全管理协调小组,由信息安全管理者代表和信息安全体系内审员组成。协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。会议由管理者副代表负责组织安排并做好会议记录。有关信息安全管理委员会会议记录(会议纪要)A.6.1.3信息安全职责的分配控制YES保持特定资产和完成特定安全过程的职责需确定。公司设立信息安全管理者代表及副代表,管理者代表全面负责公司ISMS的建立、实施与保持工作。对卷一项重要
6、信息资产指定信息安全责任人。副代表协助管理者代表开展信息安全管理工作。与ISMS有关各部门的信息安全职责在信息安全管理手册中予以描述,关于具体的信息安全活动的职责在程序及作业文件中予以明确。A.6.1.4信息处理设施的授权程序控制YES本公司有新信息处理设备(设施)使用时.,实施使用授权程序。对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,由工程部进行技术选型,并组织验收,确保与原系统的兼容。明确信息处理设施的使用部门接受新设施的信息安全负责人为工程部,工程部人员需要讲解新设施的正确使用方法。ISMS-P-2010信息处理设备管理程序.6.1.5信息安全保密性协议
7、控制YES为更好掌握信息安全的技术及听取安全方面的有意建议,需与内外部经常访问我公司信息处理本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员(合同方、临时员工的安全考察与控制。a)保密信息的形式:标明“秘密”、“受控”字样的资料,以ISMS-P-2023密级控制程序设施的人员订立保密性协议。及相关的文件、数据、分析报告、算法、样品、实物、规格说明软盘等,未标明“秘密”、“受控”字样的即为公开文件:b)乙方仅能够在甲方规定的范围内使用保密信息、或者向甲方书面认可的第三方披露甲方认可可披露范围内的保密信息:c)乙方不得向其他任何第三方披露任何从甲方处收到或合法获知
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 适用性 声明