ISMS-2023 信息安全适用性声明.docx

编号：ISMS-M02-2023版本号：V1.0受控状态：受控密级：内部公开【组织名称】适用性声明(StatementofApp1icabi1ity)版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属【组织名称】所有,受到有关产权及版权法保护。任何单位和个人未经【组织名称】的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。C。Pyright©2023【组织名称】版权所有文档信息文档编号：ISMSM02-2023文档分类：内部公开-受控编写：审核：批准：初次发布日期:2023-12-1修改FI期：2023-12-1发布日期：2023-12-1版本记录版本号版本日期修改审批人修改履历V1.0/创建文档适用性声明(StatementofApp1icabi1ity)不适用说明：没有外包开发相关业务：ISOIECF1DS27001:2023控制适用性控制描述相关文件A.5组织控制A.5.1信息安全的策略集是信息安全策略和特定主题的策略应由管理层定义、批准、发布、传达给相关人员和相关利益方，并由其确认，如果发生重大变化，应按计划的时间间隔进行审查。信息安全策略应满足以下要求：a）业务战略和要求；b）法律、法规和合同；c）当前和预计的信息安全威胁环境。信息安全策略应包含以下内容的声明：a）对信息安全的定义；b）信息安全目标或设置信息安全目标的框架；c）指导与信息安全有关的所有活动的原则；d）承诺满足有关信息安全的适用要求；e）承诺持续改进信息安全管理系统；f）将信息安全管理的职责分配给已定义的角色；g）处理偏差和异常的程序。信息安全策略文件A.5.2信息安全角色和职责是应根据组织需要定义和分配信息安全角色和职责。岗位职责说明书A.5.3职责分离是和相互冲突的职责和相互冲突的责任范围应分离。岗位职责说明书A.5.4管理者职责是管理层应要求所有人员按照组织制定的信息安全策略、特定主题的策略和程序应用信息安全。管理职责应包括确保人员：a）在被授权访问组织的信息和其他相关资产之前，适当地向他们介绍了他们的信息安全角色和职责；b）提供了指南，说明其在组织内的角色的信息安全期望；c）被授权执行组织的信息安全政策和特定主题的政策；c1）达到与其在组织内的角色和职责相关的信息安全意识水平（见6.3）；e）符合雇佣、合同或协议的条款和条件，包括组织的信息安全政策和适当的工作方信息安全管理手册法;f）通过持续的专业教育，继续拥有适当的信息安全技能和资格；g）在可行的情况下，为举报违反信息安全政策、特定主题政策或信息安全程序的行为提供保密渠道。这可以允许匿名举报，或者规定确保只有需要处理此类举报的人知道举报人的身份；h）为实施组织的安全相关过程和控制提供足够的资源和项目规划时间。A.5.5与职能机构的联系是组织应指定何时和由谁联系相关部门（例如执法、监管机构、监督机构），以及如何及时报告已识别的信息安全事件。还应通过与当局的联系来促进了解他们当前和未来的期望（例如适用的信息安全法规）。职能机构联系单A.5.6与特定相关方的联系是应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。特殊利益集团或论坛的成员资格应被视为一种手段：a）提高有关最佳实践的知识并及时了解相关安全信息；b）确保对信息安全环境的理解是最新的；c）接收有关攻击和漏洞的警报、建议和补丁的早期警告；d）获得专家信息安全建议；e）共享和交换有关新技术、产品、服务、威胁或漏洞的信息；f）在处理信息安全事件时提供合适的联络点。特定相关方联系单A.5.7威胁情报是应收集、分析与信息安全威胁有关的信息，以产生威胁情报。威胁情报活动应包括：a）建立威胁情报生成的目标；b）识别、审查和选择为威胁情报的生成提供所需信息的必要和适当的内部和外部信息源；c）从选定的来源收集信息，可以是内部的也可以是外部的；d）处理收集到的信息以准备分析（例如通过翻译、格式化或证实信息）；e）分析信息以了解其与组织的关系和意义；f）以一种可以理解的格式与相关个人进行交流和分享。应分析威胁情报并在以后使用：a）通过实施过程，将从威胁情报来源收集的信息纳入组织的信息安全风险管理过程;b）作为防火墙、入侵检测系统或反恶意软件解决方案等技术预防和检测控制的额外输入；威胁情报清单c）作为信息安全测试过程和技术的输入。A.5.8项目管理中的信息安全是信息安全应融入项目管理中。在使用中的项目管理应要求：a）信息安全风险在早期阶段进行了评估和处理，并在整个项目生命周期中，定期作为项目风险的一部分；b）信息安全要求例如应用程序安全要求（8.26）、遵守知识产权的要求（5.32）等在项目的早期阶段得到解决；c）在整个项目生命周期中考虑和处理与项目执行相关的信息安全风险，例如内部和外部通信方面的安全；d）评审信息安全风险处理的进展，评估和测试处理的有效性。项目风险管理表A.5.9信息和其它相关资产清单是应编制和维护信息和其他相关资产清单，清单中应包含所有者。信息资产密级管理程序A.5.10信息和其他相关资产的可接受使用是应确定、记录和实施信息和其他相关资产的可接受使用规则和处理程序信息资产密级管理程序A.5.11资产归还是员工和其他相关方在任用、合同或协议终止时，应归还其占用的所有组织资产。人力资源管理程序A.5.12信息的分级是信息应基于组织的信息安全需求，基于保密性、完整性、可用性和相关方要求进行分级信息资产密级管理程序A.5.13信息的标记是应按照组织采用的信息分级方案，制定并实现一组适当的信息标记规程。信息标记程序应涵盖所有格式的信息和其他相关资产。标签应反映5.12中建立的分类方案。标签应易于识别。考虑到信息的访问方式或资产的处理方式（取决于存储介质的类型），这些程序应就标签的粘贴位置和方式提供指导。这些程序可以定义：a）省略标记的情况（例如标记非机密信息以减少工作量）；b）如何标记通过电子或物理方式或任何其他格式发送或存储的信息；c）如何处理无法贴标签的情况（例如由于技术限制）,信息资产密级管理程序A.5.14信息传输是组织应建立并与所有相关方沟通特定主题的信息传输政策。保护传输信息的规则、程序和协议应反映所涉及信息的分类。在组织和第三方之间传输信息时，应建立和维护传输协议（包括接收者身份验证）以保护传输中所有形式的信息信息传递管理程序A.5.15访问控制是应根据业务和信息安全要求制定和实施控制信息和其他相关资产的物理和逻辑访问的规则。访问控制包括逻辑的和物理的，它们宜一起考虑。应给用户和服务提供商提供一份访问控制要满足的业务要求的清晰说明。策略宜考虑到下列内容：b）信息分发和授权的策略，例如“需要则知道”的原则、信息安全级别和信息分类;访问控制管理程序c）不同系统和网络的访问权限和信息分类策略之间的一致性；d）关于限制访问数据或服务的相关法律和合同义务；e）在认可各种可用连接类型的分布式和网络化环境中的访问权限的管理；f）访问控制角色的分离，例如访问请求、访问授权、访问管理；g）访问请求的正式授权要求；h）访问权限的定期评审要求；i）访问权限的撤销；j）关于用户身份和秘密鉴别信息使用和管理的所有重大事件记录的存档；k）具有特权的访问角色。A.5.16身份管理是应管理身份的整个生命周期。身份管理上下文中使用的流程应确保：a）对于分配给人员的身份，特定身份仅与单个人员相关联，以便能够让该人员对使用此特定身份执行的操作负责；b）分配给多人的身份（例如共享身份）仅在出于业务或运营原因需要时才允许使用,并且需要经过专门的批准和文件；c）分配给非人类实体的身份受到适当隔离的批准和独立的持续监督；d）如果不再需要身份（例如，如果其关联实体被删除或不再使用，或者与身份相关联的人已离开组织或改变角色），则会及时禁用或删除身份：e）在特定域中，单个身份映射到单个实体，即避免将多个身份映射到同一上下文中的同一实体（重复身份）：f）保存有关用户身份和认证信息的使用和管理的所有重大事件的记录。访问控制管理程序A.5.17身份验证信息是身份验证信息的分配和管理应通过一个管理过程进行控制，包括建议人员对认证信息进行适当的处理。访问控制管理程序A.5.18访问权限是信息和其他相关资产的访问权限应按照组织特定主题策略和访问控制规则进行设置、评审、修改和删除。访问控制管理程序A.5.19供应商关系中的信息安全是应定义和实施流程和程序，管理供应商产品或服务使用相关的信息安全风险。组织应识别和实施过程和程序，以解决与使用供应商提供的产品和服务相关的安全风险。这也应适用于组织对云服务提供商资源的使用。这些过程和程序应包括由组织实施的过程和程序，以及组织要求供应商为开始使用供应商的产品或服务或终止使用供应商的产品和服务而实施的过程和程序。供应商管理程序A.5.20在供应商协议中的强调信息安是应基于供应商关系的类型，与每个供应商建立相关信息安全要求并达成一致。供应商管理程序全应建立并记录供应商协议，以确保组织和供应商之间清楚地了解双方履行相关信息安全要求的义务。A.5.21ICT供应链的信息安全管理是应定义和实施流程和程序，管理【CT产品和服务供应链的相关信息安全风险。供应商管理程序A.5.22供应商服务的监控、审查和变更管理是组织应定期监控、审查、评估和管理供应商信息安全惯例和服务交付方面的变化。供应商管理程序A.5.23使用云服务的信息安全是应按照组织的信息安全要求，建立从云服务获取、使用、管理和退出的流程。应建立并就使用云服务的主题特定政策与所有相关方进行沟通。应定义并传达其打算如何管理与使用云服务相关的信息安全风险。它可以是组织如何管理外部方提供的服务的现有方法的扩展或一部分。云服务的使用可能涉及信息安全的共同责任以及云服务提供商和充当云服务客户的组织之间的协作努力。云服务提供商和作为云服务客户的组织的职责必须得到适当的定义和实施，这一点至关重要。云服务安全管理程序A.5.24信息安全事件管理策划和准备是组织应该通过定义、建立并传达信息安全事件管理流程、角色和责任，为信息安全事件的管理做好计划和准备。事件管理程序A.5.25信息安全事态的评估与决策是组织应评估信息安全事态，并决定它们是否归类为信息安全事件。事件管理程序A.5.26信息安全事件响应是信息安全事件应按照文件记录的程序进行响应。事件管理程序A.5.27从信息安全事件中学习是应利用从信息安全事故中取得的知识加强和改进信息安全控制。事件管理程序A.5.28证据收