1、密級：內部限制信息安全適用性聲明（依據ISO27001標準）文件編號：XX-ISMS-02版本號：A/0制定日期：2016年03月01日編制：審核：批準：2016年03月01日發布 2016 年03月01日實施XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次2 OF 16 修訂履歷 派版本頁次修 訂 履 歷生效日期A/0初次發行2016.3.1XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本 A/0 頁次3 OF 161 .目的根據ISO/IEC27001:2013標準和公司實際管理需要，確定標準各條款對公司的適用性，特 編制本

2、程序。2 .范圍適用于對ISO/IEC27001:2013標準于本公司的適用性管理。3 .職責與權限3.1 最高管理者負責信息安全適用性聲明的審批。3.2 綜合部負責信息安全適用性聲明的編制及修訂。4 .相關文件a）信息安全管理手冊5 .術語定義無6 .適用性聲明XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次4 OF 16信息安全適用性聲明SOAA.5信息安全方針標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.5.1信息安全管理 指引目標YES提供符合有關法律法規和業務需求的信息安全管理指 引和支持。A.5.1.1信息安全方針控制YES信息安全

3、方針應由管理才 批準發布。信息安全管理手冊A.5.1.2信息安全方針 的評審控制YES確保方針持續的適應性。管理評審控制程序A.6信息安全組織標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.6.1信息安全組織目標YES管理組織內部信息安全。A.6.1.1信息安全的角色 和職責控制YES保持特定資產和完成特定 安全過程的所有信息安全 職責需確定。信息安全管理手冊A.6.1.2職責分離控制YES分離后沖突的職責和責任 范圍，以減少對組織資產未 經授權訪問、無意修改或誤 用的機會。信息安全管理手冊A.6.1.3與監管機構的聯 系控制YES與相關監管機構保持適當 聯系。相美方服務管理程序A.

4、6.1.4與特殊利益團體 的聯系控制YES與特殊利益團體、其他專業 安全協會或行業協會應保 持適當聯系。相美方服務管理程序A.6.1.5項目管理中的信 息安全控制YES實施任何項目時應考慮信 息安全相關要求。保密協議相關方管理程序A.6.2移動設備和遠程 辦公目標YES確保遠程辦公和使用移動設備的安全性A.6.2.1移動設備策略控制YES采取安全策略和配套的安 全措施管控使用移動設備 帶來的風險。信息處理設施控制程序計算機管理規定介質管理程序A.6.2.2遠程辦公控制YES我司有遠程訪問公司少數 系統的情況，需要進行安全 控制。用戶訪問控制程序XXXXXX科技有限公司信息安全適用性聲明文件編號

5、：XX-ISMS-02版本A/0頁次5 OF 16A.7人力資源安全標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.7.1聘用前目標YES確保員工、合同方人員適合他們所承擔的角色并理解 他們的安全責任A.7.1.1人員篩選控制YES通過人員考察，防止人員帶 來的信息安全風險。人力資源安全管理程 序A.7.1.2雇傭條款和條 件控制YES履行信息安全保密協議是 雇傭人員的一個基本條件。人力資源安全管理程序保密協議A.7.2聘用期間目標YES確保員工和合同方了解并履行他們的信息安全責任。A.7.2.1管理職責控制YES缺乏管理職責，會使人員意 識淡薄，從而對組織造成負 向安全影響。信息安

6、全管理手冊人力資源安全管理程序A.7.2.2信息安全意識、 教育和培訓控制YES信息安全意識及必要的信 息系統操作技能培訓是信 息安全管理工作的前提。人力資源安全管理程 序A.7.2.3懲戒過程控制YES對造成安全破壞的員工應 該什-個正式的懲戒過程。信息安全懲戒管理規 定A.7.3聘用中止和變 化目標YES在任用變更或中止過程保護組織利益。A.7.3.1任用終止或變 更的責任控制YES應定義信息安全責任和義 務在任用終止或交更后仍 然有效,并向貝工和合同方 傳達并執行。人力資源安全管理程 序相關方服務管理程 序A.8資產管理標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.8.1資產

7、責任目標YES對我司資產（包括顧客要求保密的數據、軟件及產品） 進行有效保護。A.8.1.1資產清單控制YES建立重要資產清單并實施 保護。信息安全風險評估控 制程序重要資產清單A.8.1.2資產責任人控制YES對所有的與信息處理設施 有關的信息和資產指定“所信息安全風險評估控制程序資產清單信息處理設施控制程序A.8.1.3資產的合理使用控制YES識別與信息系統或服務相 關的資產的合理使用規則，信息處理設施控制程 序XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次6 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件并將其文件化，并予以實 施

8、。A.8.1.4資產的歸還控制YES在勞動合同或協議終止后， 所有員工和外部方人員應 退還所有他們持有的組織 資產。人力資源安全管理程序相關方服務管理程序A.8.2信息分類目標YES我司根據信息的敏感性對信息進行分類，明確保護要 求、優先權和等級，以確保對資產采取適當的保護。A.8.2.1分類指南控制YES我司的信息安全涉及信息 的敏感性，適當的分類控制 是必要的。信息分類與處理指 南A.8.2.2信息標識控制YES按分類方案進行標注并規 定信息處理的安全的要求。信息分類與處理指 南A.8.2.3資產處理控制YES根據組織米用的資產分 類方法制定和實施資產 處理程序信息處理設施控制程 序A.8

9、.3介質處理目標YES防止存儲在介質上的信息被非授權泄露、修改、刪除 或破壞。A.8.3.1可移動介質管理控制YES我司存在含有敏感彳巨息的 磁盤、磁帶、光盤、打印報 告等可移動介質。介質管理程序A.8.3.2介質處置控制YES當介質不冉需要時，對含有 敏感信息介質采用安全的 處置辦法是必須。介質管理程序A.8.3.3物理介質傳輸控制YES含有信息的介質應加以保 護，防止未經授權的訪問、 濫用或在運輸過程中的損 壞。信息交換管理程序A.9訪問控制標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.9.1訪問控制的業務 需求目標YES限制對信息和信息處理設施的訪問A.9.1.1訪問控制策略

10、控制YES建立文件化的訪問控制策 略，并根據業務和安全要求 對策略進行評審。用戶訪問控制程序A.9.1.2對網絡和網絡服 務的訪問控制YES制定策略，明確用戶訪問網 絡和網絡服務的范圍，防止用戶訪問控制程序XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次7 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件非授權的網絡訪問。A.9.2用戶訪問管理目標YES確保已授權用戶的訪問，預防對系統和服務的非授權 訪問。A.9.2.1用戶注冊和注銷控制YES我司存在多用戶信息系統， 應建立用戶登記和注銷登 記程序。用戶訪問控制程序A.9.2.2用戶訪問權

11、限提 供控制YES應后正式的用戶訪問分配 程序，以分配和撤銷對于所 有信息系統及服務的訪問。用戶訪問控制程序A.9.2.3特權管理控制YES應對特權帳號進行管理，特 權不適當的使用會造成系 統的破壞。用戶訪問控制程序A.9.2.4用戶認證信息的 安全管理控制YES用戶鑒別信息的權限分配 應通過一個正式的管理過 程進行安全控制。用戶訪問控制程序A.9.2.5用戶訪問權限的 評審控制YES對用戶訪問權限進行評審 是必要的，以防止非授權的 訪問。用戶訪問控制程序A.9.2.6撤銷或調整訪問 權限控制YES在跟所有員工和承包商 人員的就業合同或協議 終止和調整后，應相應得 刪除或調整其信息和信 息處理

12、設施的訪問權限。人力資源安全管理程序用戶訪問控制程序相關方服務管理程序A.9.3用戶責任目標YES確保用戶對認證信息的保護負責。A.9.3.1認證信息的使用控制YES應要求用戶遵循組織的規 則使用其認證信息。用戶訪問控制程序A.9.4系統和應用訪問 控制目標YES防止對系統和應用的未授權訪問A.9.4.1信息訪問限制控制YES我司信息訪問權限是根據 業務運做的需要及信息安 全考慮所規定的，系統的訪 問功能應加以限制。用戶訪問控制程序A.9.4.2安全登錄程序控制YES對操作系統的訪問應啟安 全登錄程序進行控制。用戶訪問控制程序A.9.4.3密碼管理系統控制YES為減少非法訪問操作系統 的機會，

13、應對密碼進行管 理。用戶訪問控制程序A.9.4.4特權程序的伸用粹制YES對特權程序的伸用應嚴格用戶訪問粹制程序XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次8 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件控制，防止惡意破壞系統安 全。A.9.4.5對程序源碼的訪 問控制控制YES對程序源代碼的訪問應進 行限制。軟件開發安全控制程 序A.10加密技術標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.10.1加密控制目標YES確保適當和有效地使用加密技術來保護信息的機 密性、真實性、完整性。A.10.1.1使用加密控制的 策略控

14、制YES為保護信息，應開發并實施 加密控制的使用策略網絡安全管理程序技術符合性管理規定A.10.1.2密鑰管理控制YES應進行密鑰管理，以支持公 司對密碼技術的使用網絡安全管理程序技術符合性管理規定計算機管理規定A.11物理和環境安全標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.11.1安全區域目標YES防止對組織信息和信息處理設施的未經授權物理 訪問、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要息及 息處理設施的區域，應確定 其安全周界對其實施保護。安全區域控制程序A.11.1.2物理進入控制控制YES安全區域進入應經過授權 ， 未經授權的非法訪問會對 信息安

15、全構成威脅。安全區域控制程序A.11.1.3辦公室、房間及 設施的安全控制YES對安全區域內的綜合管理 部、房間和設施應有特殊的 安土要求。安全區域控制程序A.11.1.4防范外部和環境 威脅控制YES力口強我司物理安全控制，防 范火災、水災、地震，以及 其它形式的自然或人為災 害。安全區域控制程序A.11.1.5在安全區域工作控制YES在安全區域工作的人員只 后嚴格遵守安全規則，才能安全區域控制程序相關方服務管理程XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次9 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件保證安全區域安全。序A.1

16、1.1.6送貨和裝卸區控制YES對未經授權的人員可能訪 問到的地點進行控制，防止 外來人員直接進入重要安 全區域是必要的。安全區域控制程序A.11.2設備安全目標YES防止資產的遺失、損壞、偷竊等導致的組織業務中 斷。A.11.2.1設備安置及保護控制YES設備應定位和保護，防止火 災、吸煙、油污、未經授權 訪問等威脅。信息處理設施控制程 序A.11.2.2支持設施控制YES對設備加以保護使其免于 電力中斷或者其它支持設 施故障而導致的中斷的影 響。信息處理設施控制程 序A.11.2.3線纜安全控制YES通信電纜、光纜需要進行正 常的維護，以防止偵聽和損 壞。網絡安全管理程序A.11.2.4設

17、備維護控制YES設備保持良好的運行狀態 是保持信息的完整性及可 用性的基礎。信息處理設施控制程序計算機管理規定A.11.2.5資產轉移控制YES設備、信息、軟件未經授權 之前，小應將設備、信息或 軟件帶到場所外。信息處理設施控制程 序A.11.2.6場外設備和資產 亞控制YES我司有筆記本移動設備，離 開正常的辦公場所應進行 控制，防止其被盜竊、未經 授權的訪問等危害的發生。信息處理設施控制程序計算機管理規定介質管理程序A.11.2.7設備報廢或重用控制YES對我司儲存功夫敏感/息 的設備，如服務器、硬盤， 對其處置和再利用應將其 信息清除。信息處理設施控制程序介質管理程序A.11.2.8無人

18、值守的設備控制YES確保無人值守設備得到足 夠的保護。計算機管理規定A.11.2.9桌面清空及清屏 策略控制YES不實行清除桌面或清除屏 幕策略，會受到資產丟失、 失竊或遭到非法訪問的威 脅。計算機管理規定XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次10 OF 16A.12操作安全標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.12.1操作程序及職 責目標YES確保信息處理設備的正確和安全使用。A.12.1.1文件化操作程 序控制YES作業程序應該文件化，并 在需要時可用。文件控制程序A.12.1.2變更營埋控制YES未加以控制的信息處理設

19、備和系統更改會造成系統 故障和安全故障。信息處理設施控制程序變更控制程序A.12.1.3容量管理控制YES為避免因系統容量不足導 致系統故障，監控容量需 求并規劃將來容量是必須 的。信息安全監控管理規 定A.12.1.4開發、測試與運 行環境的分離控制YES我司設有研發部門，應分 離開發、測試和運營設施， 以降低未授權訪問或對操 作系統艾更的風險軟件開發安全控制程 序A.12.2防范惡意軟件目標YES確保對信息和信息處理設施的保護，防止惡意軟 件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存 在的，應實施惡意代碼的 監測、預防和恢復控制， 以及適當的用戶意識培訓 的程序。防病毒

20、管理規定A.12.3備份目標YES防止數據丟失A.12.3.1數據備份控制YES對重要信息和軟件定期備 份是必須的，以防止信息 和軟件的去失和不PJ用， 及支持業務可持續性。數據備份管理程序A.12.4日志記出和監 控目標YES記錄事件和生成的證據A.12.4.1事件日志控制YES為訪問監測提供幫助，建 立事件日志（審核日志）是 必須的。信息安全監控管理規 定A.12.4.2日志信息保護控制YES日志記錄設施以及日志信 息應該被保護，防止被篡 改和未經授權的訪問。信息安全監控管理規 定A.12.4.3管理員和操作 者日志控制YES應根據需要，記錄系統管理員和系統操作員的活信息安全監控管理規 定

21、XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次11 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件動。A.12.4.4時鐘同步控制YES實施時鐘同步，是生產、 經營與獲取客觀證據的需 要。信息安全監控管理規 定A.12.5運營中軟件控 制目標YES確保運官中系統的完整性。A.12.5.1運營系統的軟 件安裝控制YES應建立程序對運宮中的 系統的軟件安裝進行控 制。軟件控制程序A.12.6技術漏洞管理目標YES防止技術漏洞被利用。A.12.6.1管理技術薄弱 點控制YES及時獲得正在使用信息系 統的技術薄弱點的相關信 息，應評估對這些薄弱

22、點 的暴露程度，并采取適當 的方法處理相關風險。技術薄弱點控制程 序A.12.6.2限制軟件安裝控制YES應建立和實施用戶軟件 安裝規則。軟件控制程序A.12.7信息系統審計 的考慮因素目標YES取小化審計活動對系統返宮影響。A.12.7.1信息系統審核 控制控制YES應謹慎策劃對系統運行 驗證所涉及的審核要求 和活動并獲得許可，以 最小化中斷業務過程。內部審核控制程序A.13通信安全標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.13.1網絡安全管理目標YES確保網絡及信息處理設施中信息的安全。A.13.1.1網絡控制控制YES應對網絡進行管理和控 制，以保護系統和應用程 序的信息

23、。網絡安全管理程序變更控制程序A.13.1.2網絡服務安全控制YES應識別所有網絡服務的 安全機制、服務等級和管 理要求，并包括在網絡服 務協議中，無論這種服務 是由內部提供的還是外 包的。網絡安全管理程序A.13.1.3網絡隔離控制YES應在網絡中按組隔離信 息服務、用戶和信息系統0網絡安全管理程序XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次12 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.13.2信息交換目標YES確保信息在組織內部或與外部組織之間傳輸的安 全。A.13.2.1信息交換策略 和程序控制YES應建立正式的傳輸策

24、略、 程序和控制，以保護通過 通訊設施傳輸的所有類 型信息的安全。信息交換管理程序A.13.2.2信息交換協議控制YES建立組織和外部各方之 間的業務信息的安全傳 輸協議。信息交換管理程序A.13.2.3電子消息控制YES應適當保護電子消息的 信息。信息交換管理程序A.13.2.4保密或不披露 協議控制YES應制定并定期評審組織 的信息安全保密協議或 不披露協議，該協議應反 映織對信息保護的要求。保密協議相關方管理程序A.14系統的獲取、開發及維護標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.14.1信息系統安全需 求目標YES確保信息安全成為信息系統整個生命周期的組成 部分，包括

25、通過公共網絡提供服務的信息系統的要 求。A.14.1.1信息安全需求分 析和規范控制YES新建信息系統或增強現 有信息系統的需求中應 包括信息安全相關的要 求。網絡安全管理程序技術符合性管理規定A.14.1.2公共網絡應用服務的安全控制YES應保護流經公共網絡的應用服務信息，以防止欺 詐、合同爭議、未授權 的泄漏和修改。網絡安全管理程序A.14.1.3保護應用服務控制YES應保護應用服務傳輸中 的信息，以防止不完整的 傳輸、路由錯誤、未授權 的消息修改、未經授權的 泄漏、未授權的信息復制 和重放。網絡安全管理程序A.14.2開發和支持過程 的安全目標YES確保信息系統開發生命周期中設計和實施信

26、息安 全。A.14.2.1開發的安全策略控制YES應對軟件開發及系統建設 的安全需求進行規范管理。軟件開發安全控制程 序A.14.2.2系統變更控制程 序控制YES為防止未授權或不充分的 更改，導致系統故障與中變更控制程序XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次13 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件斷，需要實施嚴格更改控 制。A.14.2.3操作平臺變更后 的技術評審控制YES操作系統的小充分更改對 應用系統會造成嚴重的影 響。變更控制程序A.14.2.4軟件包變更限制控制YES不鼓勵對軟件包進行變更， 對必要的更改

27、需嚴格控制。變更控制程序A.14.2.5安全系統工程原 則控制YES應建立、文件化、維護和應 用安全系統工程原則，并 應用于任何信息系統工程。軟件開發安全控制程 序A.14.2.6開發環境安全控制YES在整個系統開發生命周期 的系統開發和集成工作中， 應建立并妥善保障開發環 境的安全。軟件開發安全控制程 序A.14.2.7外包開發控制NO公司暫無軟件外包過程。A.14.2.8系統安全測試控制YES在開發過程中，應進彳女王 性的測試。軟件開發安全控制程 序A.14.2.9系統驗收測試控制YES應建立新信息系統、系統升 級及新版本的驗收測試程 序和相關準則。軟件開發安全控制程 序A.14.3測試數

28、據目標YES確保測試數據安全。A.14.3.1測試數據的保護控制YES應謹慎選擇測試數據，并 加以保護和控制。軟件開發安全控制程 序A.15供應商關系標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.15.1供應商關系的 信息安全目標YES確保組織被供應商訪問的信息的安全。A.15.1.1供應商關系的 信息安全策略控制YES為降低供應商使用組織的 資產相關的風險，應與供 應商簽署安全要求的文件 協議。保密協議A.15.1.2在供應商協議 中強調安全控制YES與每個供應商簽訂的協議 中應覆蓋所有相關的安全 要求。如可能涉及對組織 的IT基礎設施組件、信 息的訪問、處理、存儲、保密協議XX

29、XXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次14 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件溝通。A.15.1.3信息和通信技 術的供應鏈控制YES供應商協議應包括信息、通信技術服務和產品 供應鏈的相關信息安全 風險。保密協議A.15.2供應商服務交 付管理目標YES保持符合供應商協議的信息安全和服務交付水 平。A.15.2.1供應商服務的 監督和評審控制YES組織應定期監督、評審和 審核供應商的服務交付。相關方服務管理程 序A.15.2.2供應商服務的 義更管理控制YES應管理供應商服務的變 更，包括保持和改進現有 信息安全策略、程

30、序和控 制措施，考慮對業務信息、 系統、過程的關鍵性和風 險的再評估。相關方服務管理程 序A.16通信安全事件管理標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.16.1信息安全事件 的管理和改進目標YES確保網絡及信息處理設施中信息的安全。A.16.1.1職貝和程序控制YES應建立管理職責和程序， 以快速、功效和有序的響 應信息安全事件。信息安全事件管理程 序A.16.1.2報告信息安全 事態控制YES應通過適當的管理途徑盡 快報告信息安全事態。信息安全事件管理程 序A.16.1.3報告信息安全 弱點控制YES應要求使用組織信息系統 和服務的員工和承包商注 意并報告系統或服務中任

31、何已發現或疑似的信息安 全弱點。信息安全事件管理程 序技術薄弱點的控制程 序A.16.1.4評估和決策信 息安全事件控制YES應評估信息安全事件，以 決定其是否被認定為信息 安全事故。信息安全事件管理程 序A.16.1.5響應信息安全 事故控制YES應按照文件化程序響應信 息安全事故。信息安全事件管理程 序A.16.1.6從信息安全事控制YES分析和解決信息安全事故信息安全事件管理程XXXXXX科技有限公司信息安全適用性聲明文件編號：XX-ISMS-02版本A/0頁次15 OF 16標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件故中學習獲得的知識應用來減少未 來事故的可能性或影響。序A.16.1.7收集證據控制YES組織應建立和采取程序， 識別、收集、采集和保存 可以作為證據的信息。信息安全事件管理程 序A.17業務連續性管理中的信息安全標準 條款號標題目標/ 控制是否 選擇選擇理由相關文件A.17.1息安全的連 續性目標YES信息安全連續性應嵌入到組織的業務連續性管理 體系。A.17.1.1規劃信息安全 的連續性控制YES組織應確定其需求，以保 證在不利情況卜信息安全 管理的安全和連續性，如 在危機或災難時。業務持續性管理