信息安全适用性声明VIP免费

**有限公司程序文件文件编号SM-03生效日期2019年06月05日信息安全适用性声明修订状态A0页码第1页，共34页1.目的与范围本声明描述了在GB/T22080-2016/ISO/IEC27001:2013附录A中，适用于本公司及分公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。2.ISMS的范围是：体系范围：。地理位置：涉及部门：资产范围：上述范围内涉及的所有信息资产，包括软件、数据、硬件、人员、文档、服务和其它资产。详见《资产清单》。本公司《管理手册》采用了GB/T22080-2016/ISO/IEC27001:2013标准正文的全部内容，对附录A的删减及理由如下：适用性声明中删减了A.14.1.2/A.14.1.3A.14.1.2的删减理由，本公司不提供各种APP应用。不在网上进行交易，故删减此条款；A.14.1.3的删减理由，本公司不从事网络交易，也没有网上服务的开发，故删减此条款。3.职责《信息安全适用性声明》由体系部编制、修订，由总经理批准。4.声明本公司按GB/T22080-2016/ISO/IEC27001:2013建立信息安全管理体系。根据公司风险评估的结果和风险可接受水平，GB/T22080-2016/ISO/IEC27001:2013附录A部分条款被选择（或不选择）用于本公司信息安全管理体系。**有限公司手册文件文件编号SM-03生效日期2019年06月05日信息安全适用性声明修订状态A0页码第2页，共34页A.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述SOC相关文件A.5.1信息安全方针目标YES为信息安全提供管理方向和支持，并表明管理层对信息安全的承诺。A.5.1.1信息安全方针文件控制YES信息安全管理实施的需要。信息安全方针由公司管理者代表制定，在《信息安全管理手册》文件中描述。通过培训、发放等方式传达到每一员工。《管理手册》A.5.1.2信息安全方针评审控制YES确保方针持续的适宜性。每年利用管理评审对方针的适宜性进行评价，必要时对方针进行修订。A.6安全组织标准条款号标题目标/控制是否选择选择理由控制描述SOC相关文件A.6.1内部组织目标YES建立一个有效的信息安全管理组织机构。A6.1.1信息安全职责的分配控制YES保持特定资产和完成特定安全过程的职责需确定。公司设立信息安全管理者代表，全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。与ISMS有关各部门的信息安全职责在《信息安全管理手册》中予以描述，关于具体的信息安全活动的职责在程序及作业文件中予以明确。《管理手册》**有限公司手册文件文件编号SM-03生效日期2019年06月05日信息安全适用性声明修订状态A0页码第3页，共34页A.6.1.2职责分割控制YES冲突的责任及职责范围宜加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。公司划分并界定每个人的职责及权限。《管理手册》A.6.1.3与政府部门的联系控制YES与法律实施部门、标准机构等组织保持适当的联系是必须的，以获得必要的安全管理、标准、法律法规方面的信息。集团IT部就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系，其他部门与相应的政府职能部门及社会服务机构保持联系，以便及时掌握信息安全的法律法规，及时获得安全事故的预防和纠正信息，并得到相应的支持。信息安全交流时，确保本公司的敏感信息不传给未经授权的人。《管理手册》A.6.1.4与特定利益团体的联系控制YES为更好掌握信息安全的新技术及安全方面的有益建议，需获得内外部信息安全专家的建议。本公司设信息安全小组，必要时聘请外部专家，与特定利益群体保持沟通，解答有关信息安全的问题。顾问与专家由本公司信息安全小组提出，管理者代表批准。内部信息安全顾问负责：a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议；b)收集与本公司信息安全有关的信息、新技术变化，经本部门负责人审核同意，利用本公司电子邮件系统或采用其它方式传递到相关部门和人员；c)必要时，参与信息安全事故的调查工作。《相关方信息安全控制程序》**有限公司手册文件文件编号SM-03生效日期2019年06月05日信息安全适用性声明修订状态A0页码第4页，共34页A.6.1.5项目管理中的信息安全控制YES无论何种类型的项...