返回
信息安全适用性声明soa程序

信息安全适用性声明soa程序

ID:36008848

大小:213.50 KB

页数:15页

时间:2019-04-29

信息安全适用性声明soa程序_第1页
信息安全适用性声明soa程序_第2页
信息安全适用性声明soa程序_第3页
信息安全适用性声明soa程序_第4页
信息安全适用性声明soa程序_第5页
资源描述:

《信息安全适用性声明soa程序》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、德信诚培训网信息安全适用性声明SOA(ISO27001-2013)1、目的为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。2、范围本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。3、适用性声明条款目标控制措施是否选择/及理由A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件提供符合有关法律法规和业务需求的信息安全管理指引和支持。应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。选择信息安全工作要求所确定,见《信息安全管理手册》。A.5.1.2信息安全方针的评审应

2、定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。选择信息安全工作要求所确定,见《管理评审控制程序》。A.6信息安全组织A.6.1内部组织A.6.1.1信息安全的角色和职责定义和分配所有信息安全职责。选择见《信息岗位职责》更多免费资料下载请进:http://www.55top.com好好学习社区德信诚培训网建立信息安全管理框架,在组织内部启动和控制信息安全实施。A.6.1.2职责分离有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。选择,见《信息系统授权管理制度》《信息岗位职责》A.6.1.3

3、与监管机构的联系与相关监管机构保持适当联系。选择,见《对外联络表》。A.6.1.4与特殊利益团体的联系应保持与特定权益团体、其他安全专家组和专业协会的适当联系。选择,获取行业信息,见《对外联络表》。A.6.1.5项目管理中的信息安全对特定项目进行信息安全策划并控制。选择,见《信息安全方针信息安全策略管理制度》。A.6.2移动设备和外部办公A.6.2.1移动设备策略确保组织远程办公和使用移动设备的安全性。应采取安全策略和配套的安全措施控制使用移动设备带来的风险。选择,见《移动设备管理制度》。A.6.2.2远程办公应在允许顾客访问组织信息或资产之前处理所有确

4、定的安全要求。选择,见《远程访问管理制度》。A.7人力资源安全A.7.1任用前A.7.1.1人员筛选确保员工、合同方人员理解他们的职责并适合他们所承担的角色。根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。选择,见《信息安全人员考察审批与保密管理程序》。A.7.1.2任用条款和条件与员工和承包商的合同协议应当规定他们对组织的信息安全责任。选择,见《涉密人员保密责任协议书》。A.7.2任用中A.7.2.1管理职责选择,见《信息安全管理手册》更多免费资料下载请进:http://www.55

5、top.com好好学习社区德信诚培训网确保员工和合同方了解并履行他们的信息安全责任。管理层应要求员工、合同方符合组织建立的信息安全策略和程序。与《信息安全管理体系职责描述》。A.7.2.2信息安全意识、教育与培训组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。选择,见《信息安全培训管理程序》。A.7.2.3纪律处理过程应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。选择,见《信息安全惩戒管理规定》。A.7.3任用终止和变更A.7.3.1任用终止或变更的责任任用终止或变更的责任应定义信息

6、安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。选择,见《信息安全人员考察审批与保密管理程序》。A.8资产管理A.8.1资产的责任A.8.1.1资产清单确定组织资产,并确定适当的保护责任。应制定和维护信息资产和信息处理设施相关资产的资产清单。选择,见《重要信息资产清单》。A.8.1.2资产责任人资产清单中的资产应指定资产责任人(OWNER)。选择,见《重要信息资产清单》。A.8.1.3资产的合理使用应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。选择,见《信息资产管理办法》。A.8.1.4资产的归还在劳动合同或协议终

7、止后,所有员工和外部方人员应退还所有他们使用的组织资产。选择,见《信息资产管理办法》。A.8.2信息分类更多免费资料下载请进:http://www.55top.com好好学习社区德信诚培训网A.8.2.1信息分类确保信息资产是按照其对组织的重要性受到适当级别的保护。应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。选择,见《重要信息资产清单》见《风险评估》。A.8.2.2信息标记应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。选择,见《信息资产分类与标识管理规定》。A.8.2.3资产处理应根据组织采用的资产分类方

8、法制定和实施资产处理程序选择,见《信息资产管理办法》。A.8.3介质处理A.8.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。