返回
信息安全系统适用性声明修改版

信息安全系统适用性声明修改版

ID:39992131

大小:81.44 KB

页数:46页

时间:2019-07-16

信息安全系统适用性声明修改版_第1页
信息安全系统适用性声明修改版_第2页
信息安全系统适用性声明修改版_第3页
信息安全系统适用性声明修改版_第4页
信息安全系统适用性声明修改版_第5页
资源描述:

《信息安全系统适用性声明修改版》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用文档适用性声明编号:ISMS-P-2001状态:受控编写:200X年XX月XX日审核:200X年XX月XX日批准:200X年XX月XX日发布版次:第A/0版200X年XX月XX日生效日期200X年XX月XX日分发:各部门(或XXX)接受部门:文案大全实用文档变更记录变更日期版本变更说明编写审核批准2009-XX-XXA/0初始版本XXXXXXXXX文案大全实用文档目录1目的与范围42相关文件43职责44声明4A.5安全方针5A.6安全组织5A.7资产管理7A.8人力资源安全7A.9实物与环境安全7A.10通信和操作管理7A.11访问控制7A.12信息系

2、统获取、开发和维护7A.13信息安全事件管理7A.14业务持续性管理7A.15符合性7文案大全实用文档信息安全适用性声明1目的与范围本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。2相关文件ISMS-1001《信息安全管理手册》3职责《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。4声明本公司按GB/T22080-2008idtISO/IEC27001:2005建立信息安全管理体系。根据公司风险评估的结果和风险可接受水

3、平,GB/T22080-2008idtISO/IEC27001:2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控制措施。文案大全实用文档文案大全实用文档A.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.5.1信息安全方针目标YES依据业务要求和相关法律法规为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。A.5.1.1信息安全方针文件控制YES信息安全管理实施的需要。信息安全方针文件应由管理阶层核准,并通过培训、张贴布告于宣传栏、网站等形式公布与传达给所有聘雇人员与相关外部团体。A.5.1

4、.2信息安全方针的评审与评价控制YES确保方针持续的适宜性。按照计划的时间间隔(如每年)或当重大变化发生时利用管理评审对方针的进行评审以确保它持续的适宜性、充分性和有效性,必要时对方针进行修订。A.6安全组织标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.6.1内部组织目标YES建立一个有效的信息安全管理组织机构。A.6.1.1信息安全管理承诺控制YES文案大全实用文档确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配来积极支持组织内的安全。公

5、司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。会议主要议题包括:a)评审信息安全承诺;b)确认风险评估的结果;c)对与信息安全管理有关的重大更改事项,如组织机构调整、关键人事变动、信息系统更改等,进行决策;e)评审与处理重大信息安全事故;f)审批与信息安全管理有关的其他重要事项。A.6.1.2信息安全的协调控制YES公司涉及信息安全部门众多

6、,组织机构复杂,需要一个有效沟通与协调机制。公司成立信息安全管理协调小组,由信息安全管理者代表、保密办以及信息安全体系内审员组成。协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。由保密办负责组织安排并做好会议记录。A.6.1.3信息安全职责的分配控制YES公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。在哪个文件里描述职责,《信息安全组织》么?文案大全实用文档保持特定资产和完成特定安全过程的职

7、责需确定。与ISMS有关各部门的信息安全职责应予以描述,关于具体的信息安全活动的职责在程序及作业文件中予以明确。A.6.1.4信息处理设施的授权程序为什么在这个域中?控制YES本公司有新信息处理设备(设施)使用时,实施使用授权程序。对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,由XXX部进行技术选型,并组织验收,确保与原系统的兼容。明确信息处理设施的使用部门接受新设施的信息安全负责人为XXX部,XXX部人员需要讲解新设施的正确使用方法。A.6.1.5信息安全保密性协议控制YES为更好掌握信息安全的技术及听取安全方面的有益建议

8、,需与内外部经常访问我公司信息处理设施的人员订立保密性协议。本公司

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。