信息安全适用性声明SOA

（ISO27001-2013）
1、目的
为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。
2、范围
本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。
3、适用性声明
条款 目标 控制措施 是否选择/及理由
A.5 安全方针
A.5.1 信息安全方针
A.5.1.1 信息安全方针文件 提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针，信息安全方针文件应经过管理层批准，并向所有员工和相关方发布和沟通。 选择
信息安全工作要求所确定，见《信息安全管理手册》。
A.5.1.2 信息安全方针的评审  应定期或在发生重大的变化时评审方针文件，确保方针的持续性、稳定性、充分性和有效性。 选择
信息安全工作要求所确定，见《管理评审控制程序》。
A.6信息安全组织
A.6.1内部组织
A.6.1.1 信息安全的角色和职责 建立信息安全管理框架，在组织内部启动和控制信息安全实施。 定义和分配所有信息安全职责。 选择
见《信息岗位职责》
A.6.1.2 职责分离  有冲突的职责和责任范围应分离，以减少对组织资产未经授权访问、无意修改或误用的机会。 选择，
见《信息系统授权管理制度》《信息岗位职责》
A.6.1.3 与监管机构的联系  与相关监管机构保持适当联系。 选择，见《对外联络表》。
A.6.1.4 与特殊利益团体的联系  应保持与特定权益团体、其他安全专家组和专业协会的适当联系。 选择，获取行业信息，见《对外联络表》。
A.6.1.5 项目管理中的信息安全  对特定项目进行信息安全策划并控制。 选择，见《信息安全方针信息安全策略管理制度》。
A.6.2移动设备和外部办公
A.6.2.1  移动设备策略 确保组织远程办公和使用移动设备的安全性。 应采取安全策略和配套的安全措施控制使用移动设备带来的风险。 选择，见《移动设备管理制度》。
A.6.2.2  远程办公  应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。 选择，见《远程访问管理制度》。
A.7人力资源安全
A.7.1任用前
A.7.1.1 人员筛选 确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 根据相关法律、法规、道德规范，对员工、合同人员及承包商人员进行背景调查，调查应符合业务需求、访问的信息类别及已知风险。 选择，见《信息安全人员考察审批与保密管理程序》。
A.7.1.2 任用条款和条件  与员工和承包商的合同协议应当规定他们对组织的信息安全责任。 选择，见《涉密人员保密责任协议书》。
A.7.2任用中
A.7.2.1 管理职责 确保员工和合同方了解并履行他们的信息安全责任。 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。 选择，见《信息安全管理手册》与《信息安全管理体系职责描述》。
A.7.2.2 信息安全意识、教育与培训  组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训，并定期更新与他们工作相关的组织策略及程序。 选择，见《信息安全培训管理程序》。
A.7.2.3 纪律处理过程  应建立并传达正式的惩戒程序，据此对违反安全策略的员工进行惩戒。 选择，见《信息安全惩戒管理规定》。
A.7.3任用终止和变更
A.7.3.1 任用终止或变更的责任 任用终止或变更的责任 应定义信息安全责任和义务在雇用终止或变更后仍然有效，并向员工和合同方传达并执行。 选择，见《信息安全人员考察审批与保密管理程序》。
    
A.8资产管理
A.8.1资产的责任
A.8.1.1 资产清单 确定组织资产，并确定适当的保护责任。 应制定和维护信息资产和信息处理设施相关资产的资产清单。 选择，见《重要信息资产清单》。
A.8.1.2 资产责任人  资产清单中的资产应指定资产责任人（OWNER）。 选择，见《重要信息资产清单》。
A.8.1.3 资产的合理使用  应识别信息和信息处理设施相关资产的合理使用准则，形成文件并实施。 选择，见《信息资产管理办法》。
A.8.1.4 资产的归还  在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们使用的组织资产。 选择，见《信息资产管理办法》。
A.8.2信息分类
A.8.2.1  信息分类 确保信息资产是按照其对组织的重要性受到适当级别的保护。 应根据法规、价值、重要性和敏感性对信息进行分类，保护信息免受未授权泄露或篡改。 选择，见《重要信息资产清单》见《风险评估》。
A.8.2.2 信息标记  应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。 选择，见《信息资产分类与标识管理规定》。
A.8.2.3 资产处理  应根据组织采用的资产分类方法制定和实施资产处理程序 选择，见《信息资产管理办法》。
A.8.3介质处理
A.8.3.1 可移动介质管理 目标：防止存储在介质上的信息被未授权泄露、修改、删除或破坏。 应实施移动介质的管理程序，并与组织的分类方案相匹配。 选择，见《移动设备管理制度》。
A.8.3.2 介质处置  当介质不再需要时，应按照正式程序进行可靠的、安全的处置。 选择，见《移动设备管理制度》。
A.8.3.3 物理介质传输  含有信息的介质应加以保护，防止未经授权的访问、滥用或在运输过程中的损坏。 选择，见《信息安全方针信息安全策略管理制度》。
A.9访问控制
A.9.1访问控制的业务需求
A.9.1.1 访问控制策略 限制对信息和信息处理设施的访问。 应建立文件化的访问控制策略，并根据业务和安全要求对策略进行评审。 选择，见《信息系统访问管理程序》。
A.9.1.2 对网络和网络服务的访问  应只允许用户访问被明确授权使用的网络和网络服务。 选择，见《信息系统访问管理程序》。
A.9.2用户访问管理
A.9.2.1 用户注册和注销 确保已授权用户的访问，预防对系统和服务的非授权访问。 应实施正式的用户注册和注销程序来分配访问权限。 选择，见《信息系统访问管理程序》。
A.9.2.2 用户访问权限提供  无论什么类型的用户，在对其授予或撤销对所有系统和服务的权限时，都应实施一个正式的用户访问配置程序。 选择，见《信息系统访问管理程序》。
A.9.2.3 特权管理  应限制及控制特权的分配及使用。 选择，见《信息系统访问管理程序》。
A.9.2.4 用户认证信息的安全管理  用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。 选择，见《信息系统访问管理程序》。
A.9.2.5 用户访问权限的评审  资产所有者应定期审查用户访问权限。 选择，见《信息系统访问管理程序》。
A.9.2.6 撤销或调整访问权限  在跟所有员工和承包商人员的就业合同或协议终止和调整后，应相应得删除或调整其信息和信息处理设施的访问权限。 选择，见《信息系统访问管理程序》。
A.9.3用户责任
A.9.3.1 认证信息的使用 用户应保护他们的认证信息。 应要求用户遵循组织的做法使用其认证信息。 选择，见《信息系统访问管理程序》。
A.9.4系统和应用访问控制
A.9.4.1 安全登录程序 防止对系统和应用的未授权访问。 应基于访问控制策略限制对信息和应用系统功能的访问。 选择，见《信息系统访问管理程序》。
A.9.4.2 密码管理系统  在需要进行访问控制时，应通过安全的登录程序，控制对系统和应用的访问。 选择，见《信息系统访问管理程序》。
A.9.4.3 特权程序的使用  应使用交互式口令管理系统，确保口令质量。 选择，见《信息系统访问管理程序》。
A.9.4.4 对程序源码的访问控制  对于可以覆盖系统和应用权限控制的工具程序的使用，应限制和严格控制。 选择，见《信息系统访问管理程序》。
A.9.4.5 安全登录程序  对程序源代码的访问应进行限制。 选择，见《信息系统访问管理程序》。
A.10密码学
A.10.1密码控制
A.10.1.1 使用加密控制的策略 确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。 应开发和实施加密控制措施的策略以保护信息。 选择，见《计算机账户及密码管理程序》。
A.10.1.2 密钥管理  对加密密钥的使用、保护和有效期管理，应开发和实施一个贯穿密钥全生命周期的策略。 选择，见《计算机账户及密码管理程序》。
A.11物理和环境安全
A.11.1安全区域
A.11.1.1 物理安全边界 防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。 应定义安全边界，用来保护包含敏感或关键信息和信 选择，见《物理访问控制程序》。
A.11.1.2 物理进入控制  安全区域应有适当的进入控制保护，以确保只有授权 选择，见《物理访问控制程序》。
A.11.1.3 办公室、房间及设施和安全  应设计和实施保护办公室、房间及所及设备的物理安全。 选择，见《物理访问控制程序》。
A.11.1.4 防范外部和环境威胁  应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。 选择，见《信息安全应急方案》。
A.11.1.5 在安全区域工作  应设计和应用在安全区域工作的程序。 选择，见《机房管理规定》。
A.11.1.6 送货和装卸区  访问区域如装卸区域，及其他未经授权人员可能进入的地点应加以控制，如果可能的话，信息处理设施应隔离以防止未授权的访问。 选择，见《物理访问控制程序》。
A.11.2设备安全
A.11.2.1 设备安置及保护 防止资产的遗失、损坏、偷窃或损失和组织业务中断。 应妥善安置及保护设备，以减少来自环境的威胁与危害，并减少未授权访问的机会。 选择，见《信息技术设备物理与环境安全管理办法》。
A.11.2.2 支持设施  应保护设备免于电力中断及其它因支持设施失效导致的中断。 选择，见《信息安全应急方案》。
A.11.2.3 线缆安全  应保护传输数据或支持信息服务的电力及通讯电缆，免遭中断或破坏。 选择，见《信息技术设备物理与环境安全管理办法》。
A.11.2.4 设备维护  应正确维护设备，以确保其持续的可用性及完整性。 选择，见《信息技术设备物理与环境安全管理办法》。
A.11.2.5 资产转移  未经授权，不得将设备、信息及软件带离。 选择，见《信息技术设备物理与环境安全管理办法》。
A.11.2.6 场外设备和资产安全  应对场外资产进行安全防护，考虑在组织边界之外工作的不同风险。 不适用，本公司无场外设备和资产。
A.11.2.7 设备报废或重用  含有存储介质的所有设备在报废或重用前，应进行检查，确保任何敏感数据和授权软件被删除或被安全重写。 选择，见《信息技术设备物理与环境安全管理办法》。
A.11.2.8 无人值守的设备  用户应确保无人值守的设备有适当的保护。 选择，见《信息技术设备物理与环境安全管理办法》。
A.11.2.9 桌面清空及清屏策略  应采用清除桌面纸质和可移动存储介质的策略，以及清除信息处理设施屏幕的策略。 选择，见《信息技术设备物理与环境安全管理办法》。
A.12操作安全
A.12.1操作程序及职责
A.12.1.1 文件化的操作程序 确保信息处理设施正确和安全的操作。 应编制文件化的操作程序，并确保所有需要的用户可以获得。 选择，见《信息技术设备物理与环境安全管理办法》、《服务器管理规定》、《邮件管理规定》、《备份管理程序》、《网络安全管理规定》。
A.12.1.2 变更管理  应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。 选择，见《信息技术设备物理与环境安全管理办法》《服务器管理规定》。
A.12.1.3 容量管理  应监控、调整资源的使用，并反映将来容量的需求以确保系统性能。 选择，根据业务需要适时调整，见《信息安全方针信息安全策略管理制度》。
A.12.1.4 开发、测试与运行环境的分离  应分离开发、测试和运行环境，以降低未授权访问或对操作环境变更的风险。 选择，见《开发、测试和准生产环境管理办法》。
A.12.2防范恶意软件
A.12.2.1 控制恶意软件 确保对信息和信息处理设施的保护，防止恶意软件。 应实施检测、预防和恢复措施以应对恶意软件，结合适当的用户意识程序。 选择，见《恶意软件管理程序》。
A.12.3备份
A.12.3.1 信息备份 防止数据丢失 根据既定的备份策略备份信息，软件及系统镜像，并定期测试。 选择，见《备份管理程序》。
A.12.4日志记录和监控
A.12.4.1 事件日志 记录事件和生成的证据 应产生记录用户活动、意外和信息安全事件的日志，保留日志并定期评审。 选择，见《信息系统监控管理程序》。
A.12.4.2 日志信息保护  应保护日志设施和日志信息免受篡改和未授权访问。 选择，见《信息系统监控管理程序》。
A.12.4.3 管理员和操作者日志  应记录系统管理员和系统操作者的活动，进行日志保护及定期评审。 选择，见《信息系统监控管理程序》。
A.12.4.4 时钟同步  在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。 选择，见《信息系统监控管理程序》。
A.12.5操作软件控制
A.12.5.1 运营系统的软件安装 确保系统的完整性。 应建立程序对运营中的系统的软件安装进行控制。 选择，见《信息系统软件管理办法》。
A.12.6技术漏洞管理
A.12.6.1 管理技术漏洞 防止技术漏洞被利用 应及时获得组织所使用的信息系统的技术漏洞的信息，对漏洞进行评估，并采取适当的措施去解决相关风险。 选择，见《信息系统补丁管理制度》。
A.12.6.2 软件安装限制  应建立并实施用户软件安装规则。 选择，见《信息系统软件管理办法》。
A.12.7信息系统审计的考虑因素
A.12.7.1 信息系统审核控制 最小审计活动对系统运行影响。 应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可，以最小化中断业务过程。 选择，见《信息安全审计控制程序》。
A.13通信安全
A.13.1网络安全管理
A.13.1.1 网络控制 确保网络及信息处理设施中信息的安全。 应对网络进行管理和控制，以保护系统和应用程序的信息。 选择，见《网络安全管理规定》。
A.13.1.2 网络服务安全  应识别所有网络服务的安全机制、服务等级和管理要求，并包括在网络服务协议中，无论这种服务是由内部提供的还是外包的。 选择，见《网络安全管理规定》。
A.13.1.3 网络隔离  应在网络中按组（GROUP）隔离信息服务、用户和信息系统。 选择，见《网络安全管理规定》。
A.13.2信息传输
A.13.2.1 信息传输策略和程序 应确保信息在组织内部或与外部组织之间传输的安全。 应建立正式的传输策略、程序和控制，以保护通过通讯设施传输的所有类型信息的安全。 选择，见《邮件管理规定》。
A.13.2.2 信息传输协议  建立组织和外部各方之间的业务信息的安全传输协议。 选择，《邮件管理规定》。
A.13.2.3 电子消息  应适当保护电子消息的信息。？ 选择，见《邮件管理规定》。
A.13.2.4 保密或非扩散协议  应制定并定期评审组织的信息安全保密协议或非扩散协议（NDA），该协议应反映织对信息保护的要求。 选择，《保密协议》。
A.14系统的获取、开发及维护
A.14.1信息系统安全需求
A.14.1.1 信息安全需求分析和规范 目标：确保信息安全成为信息系统生命周期的组成部分，包括向公共网络提供服务的信息系统的要求。 新建信息系统或改进现有信息系统应包括信息安全相关的要求。 选择，见《信息应用系统安全控制程序》。
A.14.1.2 公共网络应用服务的安全  应保护应用服务中通过公共网络传输的信息，以防止欺诈、合同争议、未授权的泄漏和修改。 选择，见《网络安全管理规定》。
A.14.1.3 保护在线交易  应保护应用服务传输中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。 选择，见《信息应用系统安全控制程序》。
A.14.2开发和支持过程的安全
A.14.2.1 安全开发策略 确保信息系统开发生命周期中设计和实施信息安全。 应建立组织内部的软件和系统开发准则。 不选择，本公司内部没有软件开发的能力。
A.14.2.2 系统变更控制程序  应通过正式的变更控制程序，控制在开发生命周期中的系统变更实施。 选择，见《信息系统变更管理程序》。
A.14.2.3 操作平台变更后的技术评审  当操作平台变更后，应评审并测试关键的业务应用系统，以确保变更不会对组织的运营或安全产生负面影响。 选择，见《信息系统变更管理程序》。
A.14.2.4 软件包变更限制  不鼓励对软件包进行变更，对必要的更改需严格控制。 选择，见《信息系统变更管理程序》。
A.14.2.5 涉密系统的工程原则  应建立、记录、维护和应用安全系统的工程原则，并执行于任何信息系统。 选择，见《涉密网络保密管理制度》。
A.14.2.6 开发环境安全  应在整个系统开发生命周期的系统开发和集成工作，建立并妥善保障开发环境的安全。 不选择，本公司内部没有软件开发的能力。
A.14.2.7 外包开发  组织应监督和监控系统外包开发的活动。 选择，见《信息系统变更管理程序》。
A.14.2.8 系统安全测试  在开发过程中，应进行安全性的测试。 选择，见《信息系统变更管理程序》。
A.14.2.9 系统验收测试  应建立新信息系统、系统升级及新版本的验收测试程序和相关标准。 选择，见《信息系统变更管理程序》。
A.14.3测试数据
A.14.3.1 测试数据的保护 确保测试数据安全。 应谨慎选择测试数据，并加以保护和控制。 选择，见《信息系统变更管理程序》。
A.15供应商关系
A.15.1供应商关系的信息安全
A.15.1.1 供应商关系的信息安全策略 确保组织被供应商访问的信息的安全。 为降低供应商使用该组织的资产相关的风险的信息安全要求应获得许可并记录。 选择，见《信息服务供应商服务管理程序》。
A.15.1.2 在供应商协议中强调安全  与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。 选择，见《信息服务供应商服务管理程序》。
A.15.1.3 信息和通信技术的供应链  供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。 选择，见《信息服务供应商服务管理程序》。
A.15.2供应商服务交付管理
A.15.2.1 供应商服务的监督和评审 保持一致的信息安全水平，确保服务交付符合服务协议要求。 组织应定期监控、评审和审核供应商的服务交付。 选择，见《信息服务供应商服务管理程序》。
A.15.2.2 供应商服务的变更管理  应管理供应商服务的变更，包括保持和改进现有信息安全策略、程序和控制措施，考虑对业务信息、系统、过程的关键性和风险的再评估。 选择，见《信息服务供应商服务管理程序》。
A.16信息安全事件管理
A.16.1信息安全事件的管理和改进
A.16.1.1 职责和程序 确保持续、有效地管理信息安全事件，包括对安全事件和弱点的沟通。 应建立管理职责和程序，以快速、有效和有序的响应信息安全事件。 选择，见《信息安全事故管理程序》。
A.16.1.2 报告信息安全事件  应通过适当的管理途径尽快报告信息安全事件。 选择，见《信息安全事故管理程序》。
A.16.1.3 报告信息安全弱点  应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。 选择，见《信息安全事故管理程序》。
A.16.1.4 评估和决策信息安全事件  应评估信息安全事件，以决定其是否被认定为信息安全事故。 选择，见《信息安全事故管理程序》。
A.16.1.5 响应信息安全事故  应按照文件化程序响应信息安全事故。 选择，见《信息安全事故管理程序》。
A.16.1.6 从信息安全事故中学习  分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。 选择，见《信息安全事故管理程序》。
A.16.1.7 收集证据  组织应建立和采取程序，识别、收集、采集和保存可以作为证据的信息。 选择，见《信息安全事故管理程序》。
A.17业务连续性管理中的信息安全
A.17.1信息安全的连续性
A.17.1.1 规划信息安全的连续性 信息安全的连续性应嵌入组织的业务连续性管理体系。 组织应确定其需求，以保证在不利情况下的信息安全和信息安全管理的连续性，如在危机或灾难时。 选择，见《业务连续性管理程序》。
A.17.1.2 实现信息安全的连续性  组织应建立，记录，实施，维护程序和控制过程，以确保一个不利的情况过程中所需的连续性的信息安全。 选择，见《业务连续性管理程序》。
A.17.1.3 验证，评审和评估信息安全的连续性  组织应定期验证已建立并实施的信息安全连续性控制，以确保它们是有效的，并在不利的情况下同样有效。 选择，见《业务连续性管理程序》。
A.17.2冗余
A.17.2.1 信息处理设施的可用性 确保信息处理设施的可用性。 信息处理设施应具备足够的冗余，以满足可用性要求。 选择，见《服务器容量管理程序》。
A.18符合性
A.18.1法律和合同规定的符合性
A.18.1.1 识别适用的法律法规和合同要求 避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。 应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件，并针对每个信息系统和组织进行更新。 选择，见《法律法规与合同符合程序》。
A.18.1.2 知识产权  应实施适当的程序，以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求。 选择，见《知识产权管理规定》。
A.18.1.3 保护记录  应按照法律法规、合同和业务要求，保护记录免受损坏、破坏、未授权访问和未授权发布，或伪造篡改。 选择，见《网络安全管理规定》。
A.18.1.4 个人信息和隐私的保护  个人身份信息和隐私的保护应满足相关法律法规的要求。 选择，见《信息安全方针信息安全策略管理制度》。
A.18.1.5 加密控制法规  使用加密控制应确保遵守相关的协议、法律法规。 选择，见《计算机账户及密码管理程序》。
A.18.2信息安全评审
A.18.2.1 信息安全的独立评审 确保依照组织策略和程序实施信息安全。 应在计划的时间间隔或发生重大变化时，对组织的信息安全管理方法及其实施情况(如，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审。 选择，见《信息安全方针信息安全策略管理制度》。
A.18.2.2 符合安全策略和标准  管理层应定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求。 选择，见《信息安全方针信息安全策略管理制度》。
A.18.2.3 技术符合性评审  应定期评审信息系统与组织的信息安全策略、标准的符合程度。 选择，见《管理评审控制程序》。

★CMMI认证★CCRC认证★ISO27001认证★ITSS认证★CS认证★两化融合认证★重庆CMMI认证★重庆CCRC认证★重庆ISO27001认证★重庆ITSS认证★重庆CS认证★重庆GJB5000A认证★重庆两化融合认证★