1.目的根据 ISO/IEC27001:2013 标准和公司实际管理需要,确定标准各条款对公司的适用性,特编制本程序。2.范围适用于对 ISO/IEC27001:2013 标准于本公司的适用性管理。3.职责与权限3.1 最高管理者负责信息安全适用性声明的审批。3.2 综合部负责信息安全适用性声明的编制及修订。4.相关文件a)《信息安全管理手册》5.术语定义无6.适用性声明信息安全适用性声明 SOAA.5 信息安全方针标准条款号标题目标/控制是否选择选择理由相关文件A.5.1信息安全管理指引目标YES提供符合有关法律法规和业务需求的信息安全管理指引和支持。A.5.1.1信息安全方针控制YES信息安全方针应由管理才批准发布。《信息安全管理手册》A.5.1.2信息安全方针的评审控制YES确保方针持续的适应性。《管理评审控制程序》A.6 信息安全组织标准条款号标题目标/控制是否选择选择理由相关文件A.6.1信息安全组织目标YES管理组织内部信息安全。A.6.1.1信息安全的角色和职责控制YES保持特定资产和完成特定安全过程的所有信息安全职责需确定。《 信 息 安 全 管 理 手册》A.6.1.2职责分离控制YES分离有冲突的职责和责任范围,以减少对组织资产未经授权访问、无意修改或误用的机会。《 信 息 安 全 管 理 手册》A.6.1.3与监管机构的联系控制YES与相关监管机构保持适当联系。《相关方服务管理程序》A.6.1.4与特殊利益团体的联系控制YES与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。《相关方服务管理程序》A.6.1.5项目管理中的信息安全控制YES实施任何项目时应考虑信息安全相关要求。《保密协议》《相关方管理程序》A.6.2移动设备和远程办公目标YES确保远程办公和使用移动设备的安全性A.6.2.1移动设备策略控制YES采取安全策略和配套的安全措施管控使用移动设备带来的风险。《信息处理设施控制程序》《计算机管理规定》《介质管理程序》A.6.2.2远程办公控制YES我司有远程访问公司少数系统的情况,需要进行安全控制。《 用 户 访 问 控 制 程序》A.7 人力资源安全标准条款号标题目标/控制是否选择选择理由相关文件标准条款号标题目标/控制是否选择选择理由相关文件A.7.1聘用前目标YES确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任A.7.1.1人员筛选控制YES通过人员考察,防止人员带来的信息安全风险。《人力资源安全管理程序》A.7.1.2雇佣条款和条件控制YES履行信息安全保密协议是雇佣人员的一个基本条件。《人力资源安全管理程序》...
