1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 行业资料
  5. 国内外标准规范

HYK-MS-102 信息安全适用性声明(SOA).xlsVIP

HYK-MS-102 信息安全适用性声明(SOA).xls

    1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    信息安全适用性声明(SOA)

    修订记录

    信息安全适用性声明(SOA)

    修订记录

    变更日期

    版本

    变更说明

    编写

    审核

    批准

    V1.0

    初始版本,文档建立

    信息安全与隐私安全小组

    文档编号:

    文档版本号:

    首次版本日期:

    当前版本日期:

    文档编制人:

    文档审核人:

    文档批准人:

    密级:

    内部公开

    1.综述

    安全控制是按照“ISO/IEC27001:2013信息技术-安全技术-信息安全管理系统—要求”经过风险评估和管理程序而采纳的。

    2.不适用于公司的ISMS控制措施:

    均适用,无删减。

    3.采取安全控制的原则

    1)符合国家法律法规及行业监管要求;

    2)符合公司策略和方针;

    3)符合ISO27001标准要求;

    4)符合公司管理层要求。

    5)符合客户对公司信息安全的要求。

    标准条款

    是否适用

    控制措施

    相关文件

    A.5信息安全策略

    A.5.1信息安全管理指导

    目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。

    A.5.1.1

    信息安全策略

    YES

    A.5.1.2

    信息安全策略的评审

    组织人员进行公司内部和外部评审

    A.6信息安全组织

    A.6.1内部组织

    目标:在组织内管理信息安全。

    A.6.1.1

    信息安全的角色和责任

    A.6.1.2

    职责分离

    A.6.1.3

    与职能机构的联系

    A.6.1.4

    与特定相关方的联系

    A.6.1.5

    项目管理中的信息安全

    公司与外部相关方签署《相关方必威体育官网网址协议》或《第三方必威体育官网网址协议》,所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反应

    A.6.2移动设备和远程工作

    目标:确保远程工作和移动设备适用的安全。

    A.6.2.1

    移动设备策略

    采用管理策略和支持性安全措施来管理由于使用移动设备带来的风险

    A.6.2.2

    远程工作

    建立访问控制流程。通过控制用户权限实现控制办公网系统和应用系统访问权限与访问权限的分配,防止对办公网系统和应用系统的非法访问。

    A.7人力资源安全

    A.7.1任用前

    目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。

    A.7.1.1

    审查

    建立人员任用管理程序。程序要覆盖任用前、任用中、任用终止等过程。

    A.7.1.2

    任用条款和条件

    A.7.2任用中

    目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。

    A.7.2.1

    管理职责

    A.7.2.2

    信息安全意识、教育和培训

    A.7.2.3

    违规处理过程

    A.7.3任用的终止和变更

    目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。

    A.7.3.1

    任用终止或变更的责任

    A.8资产管理

    A.8.1有关资产的责任

    目标:识别组织资产并确定适当的保护责任。

    A.8.1.1

    资产清单

    识别与信息和信息处理设施相关的资产,编制并维护这些资产的清单

    A.8.1.2

    资产的所属关系

    资产清单中维护的资产应当制定责任人

    A.8.1.3

    资产的可接受使用

    与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施

    A.8.1.4

    资产的归还

    A.8.2信息分级

    目标:确保信息受到适当级别的保护。

    A.8.2.1

    信息的分级

    对信息按必威体育官网网址程度进行分类管理,并建立相关管理程序

    A.8.2.2

    信息的标记

    A.8.2.3

    资产的处理

    建立并实施介质管理办法,以及对不同密级资产的处理办法

    A.8.3介质处置

    目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。

    A.8.3.1

    移动介质的管理

    建立并实施移动介质管理办法

    A.8.3.2

    介质的处置

    建立并实施移动介质管理办法,以及对不同密级资产的处理办法

    A.8.3.3

    物理介质的转移

    包含信息的介质应受到保护,防止运输过程中的未授权访问、滥用或腐蚀

    A.9访问控制

    A.9.1访问控制的业务要求

    目标:控制对信息的访问。

    A.9.1.1

    访问控制策略

    建立访问控制策略并形成文件,并基于业务和信息安全要求进行评审

    A.9.1.2

    网络与网络服务的访问

    控制用户仅能访问已获授权使用的网络与网络服务。

    A.9.2用户访问管理

    目标:确保授权用户访问信息系统,并防止未授权的访问。

    A.9.2.1

    用户注册和注销

    实施正式的注册和注销过程,能够分配访问权利。

    A.9.2.2

    用户访问供给

    实施正式的用户设置过程,分配或撤销所有系统和服务的所有用户类型的访问权

    A.9.2.3

    特殊访问权管理

    限制和控制特殊访问权的分配及使用

    A.9.2.4

    用户的秘密鉴别信息管理

    通过正式的管理过程控制秘密级别信息的分配

    A.9.2.5

    用户访

    您可能关注的文档

    最近下载

    文档评论(0)

    152****3299 + 关注
    实名认证
    文档贡献者

    四川省南充市人,在重庆汽车行业从事质量工程师一职

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >