密級：文檔編號：ISMS過程文件信息平安適用性聲明SOA擬制審核批準日期日期日期修訂記錄日期版本修訂內容概要擬制審核批準ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第2頁共9頁 ISO/IEC27001:2022_標準附錄A條款 阜丕是否一一選擇一一選擇/刪減的理 由 涉及文件和L _記錄 條款號 標題 控制目標 , 控制措施 一q 一一平安策略 一 一一信息平安方針 信息平安方針文件依據業務要求和相關法律法規提供管理指導并支持信息平安信息平安策略文件應由管理者批準、發布并傳達給所有員工和外部相關一方。 是信息平安管理需求信息平安方針信息平安目標信息平安方針的評審應按方案的時間間隔或當重大變化發生時進行信息平安策略評審，以確保L它持續的適宜性、充分性和有效性一—是信息平安管理需求信息平安方針管理評審程序...A..6 ,.信息平安組織… 內部組織建立管理框架，以啟動和控制組織范圍內的信息平安的實施和運行。——信息平安角色和職責在組織內部管理信息平安所有的信息平安職責應予以定義和分配。是信息平安管理需求信息平安管理手冊附錄3-信息平安職能分配表附錄2-部門職責附錄5-信息平安小組成員職責別離別離相沖突的責任及職責范圍，以降低未授權或無意識的修改或者不當使用組織資產的時機。是信息平安管理需求信息系統訪問與使用監控管理程序、用戶訪問管理程序與政府部門的聯系控制措施應保持與政府相關部門的適一當聯系。 是信息平安管理一需求 ,相關政府部門聯系表與特定利益集團的聯系控制措施應保持與特定利益集團、其L他平安論壇和專業協會的適當聯系。…是信息平安管理一需求 ,相關利益團體聯系表工程管理中的信息平安控制措施無論工程是什么類型，在項目管理中都應處理信息平安問題。是信息平安管理需求信息系統工程管理規范、信息系統訪問與使用監控管理程序一 一一移動設備和遠程工作 移動設備策略確保遠程工作和使用移動設備時的平安。應采用策略和支持性平安措施來管理由于使用移動設備帶來的風險。是信息平安管理需求網絡訪問策略便攜式計算機平安策略可移動介質管理程序遠程工作應實施策略和支持性平安措施來保護在遠程工作場地訪問、處理或存儲的信息是信息平安管理需求網絡訪問策略用戶訪問管理程序遠程工作策略△7 一一人力資源平安 一 一一任用之前 審查確保雇員和承包方人員理解其職責、適于考慮讓其承當的角色關于所有任用候選者的背景驗證核查應按照相關法律、法規、道德標準和對應的業務要求、被訪問信息的類別和發覺的風險來執行是信息平安管理需求員工聘用管理程序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第3頁共9頁任用條款和條件與雇員和承包方人員的合同協議應聲, L明他們和組織的信息平安職責。 是信息平安管理」一需求 員工聘用管理程序」.7.2 一一任用中 ■管理職責管理者應要求所有雇員和承包方人員按照組織已建立的策略和規程對信息1是信息平安管理需求員工聘用管理程序公司崗位職責確保雇員和承包方人L平安盡心盡力4 ■信息平安意識、教育和培員知悉并履行其信息組織的所有雇員，適當時，包括承包1訓平安職責。 方人員，應受到與其工作職能相關的］適當的意識培訓和組織策略及規程的是信息平安管理需求員工培訓管理程序 .....…….....……［定期更新培訓。…….....…….....…….....紀律處理過程應有一個正式的、已傳達的紀律處理過程，來對信息平安違規的雇員采取 .....…….....……L措施。……….....…….....…….....…….....是信息平安管理需求信息平安獎懲管理程1序任用的終止或變更將保護組織利益作為變更或終止任用過程|是信息平安管理需求i|. 的一局部 _j_ i任用終止或變更職責應定義信息平安職責和義務在任用終■信息平安管理需求i員工聘用管理程序i止或變更后保持有效的要求，并傳達卜 L給雇員或承包方人員，予以執行。一…?是1員工離職管理程序一心_8 -資產管理 1一人8」 —對資產負責 i i i i i 應識別與信息和信息處理設施的資信息平安風險評估管資產清單產，編制并維護這些資產的清單。_i 是i信息平安資產風險評估要求］理程序信息資產識別清單清單中所維護的資產應分配所有權。信息平安風險評估管資產所有權是i信息平安管理1!需求|理程序——識別組織資產，并定義i 1-i--■—— ?信息資產識別清單適當的保護職責。 信息及與信息和信息處理設施有關的便攜式計算機平安策i資產的可接受使用規那么應被確定、形：略資產的可接受使用成文件并加以實施。是信息平安管理需求信息處理設施安裝使用管理程序網絡訪問策略i電子郵件策略i所有的雇員和外部方人員在終止任信息平安管理需求資產的歸還i用、合同或協議時，應歸還他們使用是i員工離職管理程序卜 L的所有組織資產 1一〔82 ..信息分類 ■信息的分類信息應按照法律要求、價值、關鍵性以及它對未授權泄露或修改的敏感性二予以分類. ?是信息平安管理需求信息分類管理程序、商|業秘密管理程序信息的標記確保信息按照其對組應按照組織所采納的信息分類機制建織的重要性受到適當L立和實施一組適宜的信息標記規程。…1是信息平安管理/一需求 信息分類管理程序級別的保護。 應按照組織所采納的信息分類機制建商業秘密管理程序、信信息的處理立和實施處理資產的規程。是i信息平安管理需求息處理設施安裝使用1管理程序一〔_8.3 一介質處置 1 : : 1 : 可移動介質的一管理 3,-w 應按照組織所采納的分類機制實施可防止存儲在介質上的! 人工田科,巾.力上移動介質的管理規程。 r 是信息平安管理,一需求 |可移動介質管理程序介質的處置信息遭受未授權泄露、! 7性如畛不再需要的介質，應使用正式的規程修改、移動或銷毀。■'可靠并平安地處置。1是信息平安管理i需求|可移動介質管理程序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第4頁共9頁物理介質傳輸1 1包含信息的介質在運送時，應防止未： i i可移動介質管理程序運輸中物理介質平安策略授權的訪問、不當使用或毀壞。 |是i信息平安管理i需求 一一訪問控制 .2.」 …平安區域 1 4- k—■—-i- 4-—訪問控制策略應建立、形成文件，并1信息平安管理i需求訪問控制策略訪問控制策略；一口工一口以i基于業務和信息平安要求進行評 1:限制對信息和信息處：:是網絡訪問策略—………r 申。i理設施的訪問。 i- i----——i- 雇員訪問策略網絡和網絡效勞的訪問用戶應僅能訪問已獲專門授權使用的j是1信息平安管理網絡訪問策略網 網絡和網絡效勞a :一—4一需求 "T-—用戶訪問管理i信息平安管理—r t ——一二需求 -T-—用戶注冊及注銷i i應實施正式的用戶注冊及注銷規程，i是j信息平安管理用戶訪問管理程序—i 卜使訪問權限得以分配。 :一一—一卜需求 1-T-—i i應實施正式的用戶訪問開通過程，以!信息平安管理i需求用戶訪問開通分配或撤銷所有系統和效勞所有用戶1是用戶訪問管理程序—i i一類型的訪問權限 —1—1- 1-+■—特殊訪問權限i 巾、、、、才i應限制和控制特殊訪問權限的分配及：；確保授權用戶訪問系； !是；信息平安管理用戶訪問管理程序■,,管理 !統和效勞，并防止未授！使用。 ! —4一需求 -- - - -用戶秘密鑒別信息管理i .的、、1 :應通過正式的管理過程控制秘密鑒別!； 權的訪問。 ：金白的八而口 ：是i信息平安管理用戶訪問管理程序—i 二信工息的分配九 L_?—工一需求 -T-—用戶訪問權限的復查1 1資產所有者應定期復查用戶的訪問權:是|信息平安管理用戶訪問管理程序—| 上限- 匚--—$一需求 -+■—i i所有雇員、外部方人員對信息和信息j信息平安管理需求—i- 撤銷或調整訪問權限i i處理設施的訪問權限應在任用、合同i是用戶訪問管理程序— 或協議終止時撤銷，或在變化時調整。3-——用戶職責使用秘密鑒別信息i使用戶承當保護認證i應要求用戶在使用秘密鑒別信息時，!是i信息平安管理口令控制策略；一一信息平安的責任。…一一《遵循組織的實踐。 L.4.需求 1-T-—系統和應用訪問控制信息訪問控制應依照訪問控制策略限制對信息和應]!用系統功能的訪問。 [是信息平安管理i需求1—1.用戶訪問管理程序訪問控制策略i i在訪問控制策略要求下，訪問操作系j信息平安管理需求平安登錄規程統和應用應通過平安登錄規程加以控j是訪問控制策略—L-制- L.-T-口令管理系統i吐左公對心中的i口令管理系統應是交互式的，并應確：防止對系統和應用的是i信息平安管理口令控制策略—! 未授權訪問。 廠保優質的一口令。 [--—-4-需求 十—A.9.4.4—特殊權限使用工具軟件的使用對于可能超越系統和應用程序控制措i施的適用工具軟件的使用應加以限制i并嚴格控制。1是信息平安管理需求—I- -+-計算機管理程序計算機軟件安裝說明書對程序源代碼的訪問控制應限制訪問程序源代碼。 j是信息平安管理!需求信息系統開發控制程序11A.10密碼學密碼控制使用密碼控制的策略應開發和實施使用密碼控制措施來保i恰當和有效的利用密j護信息的策略。 [是i信息平安管理1需求密鑰管理i碼學保護信息的保密?宜開發和實施貫穿整個密鑰生命周期1性、真實性或完整性。的關于密鑰使用、保護和生存期的策i :略。 j是信息平安控制需求ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第5頁共9頁一，-11 一一物理和環境平安一 一A.11J 一一平安區域 防止對組織場所和信息的未授權物理訪問、損壞和干擾。應定義平安周邊和所保護的區域，包括敏感或關鍵的信息和信息處理設施…的區域。 —是—信息平安控制需求平安區域管理程序平安區域控制方案物理平安周邊物理入口控制平安區域應由適合的入口控制所保護，以確保只有授權的人員才允許訪「問。 .....…….....…….....……......是信息平安控制需求平安區域管理程序平安區域控制方案辦公室、房間和設施的安..全保護一 應為辦公室、房間和設施設計并采取一物理平安措施。…….....…….....……......是信息平安控制一需求 」平安區域管理程序外部環境威脅的平安防護為防止自然災難、惡意攻擊或事件，…應設計和采取物理保護措施。 是信息平安控制…需求 ，平安區域管理程序在平安區域工作應設計和應用工作在平安區域的規一程。 訪問點〔例如交接區〕和未授權人員可進入辦公場所的其他點應加以控制，如果可能，應與信息處理設施隔離，…以防止未授權訪問。 是是信息平安控制—需求 信息平安控制需求平安區域管理程序平安區域管理程序交接區平安…設備 設備安置和保護防止資產的喪失、損壞、失竊或危及資產安全以及組織活動的中斷。應安置或保護設備，以減少由環境威脅和危險所造成的各種風險以及未授權訪問的時機。是信息平安設施要求信息處理設施維護管理程序設備及布纜平安策略支持性設施應保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷。是信息平安設施要求信息處理設施維護管理程序設備及布纜平安策略布纜平安應保證傳輸數據或支持信息效勞的電源布纜和通信布纜免受竊聽或損壞。是信息平安設施要求信息處理設施維護管理程序設備及布纜平安策略設備維護設備應予以正確地維護，以確保其持續的可用性和完整性。是信息平安設施要求信息處理設施維護管理程序資產的移動設備、信息或軟件在授權之前不應帶出組織場所。是信息平安設施要求信息處理設施維護管理程序組織場外設備和資產的安全應對組織場所外的設備采取平安措施，要考慮工作在組織場所以外的不同風險。是信息平安設施要求信息處理設施維護管理程序設備的平安處置或在利用包含儲存介質的設備的所有工程應進行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或平安地一寫覆蓋。 是信息平安設施要求信息處理設施維護管理程序無人值守的用戶設備用戶應確保無人值守的用戶設備有適-當的保護。 是信息平安設施一要求 ,清潔桌面和清屏策略清潔桌面和清屏策略清空桌面和屏幕策略應采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕卜一的策略。 是信息平安設施要求,△12 一一操作平安 ▲12.1 一一操作規程和職責 文件化的操作規程確保正確、平安的操作信息處理設施。操作規程應形成文件并對所有需要的用戶可用。是信息平安管理需求相關指導書和手冊ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第6頁共9頁-變更管理對影響信息平安的組織、業務過程、信息處理設施和系統等的變更應加以「控制L 是信息平安管理需求變更管理程序A.12.1.3—容量管理—開發、測試和運行環境分離資源的使用應加以監視、調整，并作出對于未來容量要求的預測，以確保…擁有所需的系統性能。 開發、測試和運行環境應別離，以減少未授權訪問或改變運行環境的風險。是—是信息平安管理需求—信息平安管理需求信息處理設施維護管程序信息系統開發管理程序生產和測試數據平安策略.，12_2 —一工12.3 一一惡意軟件防護 控制惡意軟件—一一備份 確保對信息和信息處理設施進行惡意軟件 防護。 應實施惡意軟件的檢測、預防和恢復的控制措施，以及適當的提高用戶安…全意識。 是—信息平安控制要求—病毒防范策略惡意軟件管理程序-A.-12.4 信息備份…日志和監視一… 為了防止數據喪失。應按照已設的備份策略，定期備份和測試信息和軟件。是信息平安備份要求信息備份平安策略重要信息備份管理程序 A.12.4.1事態記錄應產生記錄用戶活動、異常情況、故障和信息平安事態的事態日志，并保持定期評審。是信息平安監視要求信息平安監控策略信息系統訪問與使用監控管理程序日志信息的保護記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問。是信息平安監視要求信息平安監控策略、信息系統訪問與使用監控管理程序管理員和操作員日志記錄事態和生成證據。統管理員和系統操作員的活動應記入日志，保護日志并定期評審。是信息平安監視要求信息平安監控策略、信息系統訪問與使用監控管理程序A.12.4.4—.A..12.5. 時鐘同步—一一運行軟件的控制 在運行系統上安裝軟件確保運行系統的完整性。一個組織或平安域內的所有相關信息處理設施的時鐘應使用單一參考時間源進行同步。應實施規程來控制在運行系統上安裝軟件。是——是信息平安監視要求——信息平安開發要求信息平安監控策略、信息系統訪問與使用監控管理程序信息系統開發管理程序.，12_6 一一技術脆弱性管理. 技術脆弱性的控制防止技術脆弱性被利應及時得到現用信息系統技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當的措施來處理相一關的風險. 是信息平安管理需求信息處理設施維護管理程序A.12.6.2—限制軟件安裝—信息系統審計考慮用。應建立和實施軟件安裝的用戶管理規貝限是—信息平安管理需求—計算機管理程序計算機軟件安裝說明書信息系統審計控制措施將運行系統審計活動的影響最小化。涉及對運行系統驗證的審計要求和活動，應謹慎地加以規劃并取得批準，以便使造成業務過程中斷最小化。 是信息平安管理需求信息平安合規性管理程序一工13A13一一通信平安 1網絡平安管理ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第7頁共9頁網絡控制應管理和控制網絡，以保護系統中信1L息和應用程序的平安。 L-是信息平安控制」一要求 網絡訪問策略網絡效勞平安平安機制、效勞級別以及所有網絡服|確保網絡中信息的安|務的管理要求應予以確定并包括在所|全性并保護支持性信?有網絡效勞協議中，無論這些效勞是|息處理設施。L由內部提供的還是外■包的。 L-是信息平安控制|要求網絡訪問策略網絡隔離應在網絡中隔離信息效勞、用戶及信1息系統。 !是信息平安控制i要求網絡設備平安配置管i理程序、網絡訪問策略」13.2 一一信息傳遞 信息傳遞策略和規程應有正式的傳遞策略、規程和控制措j施，以保護通過使用各種類型信設施i匚的信息傳遞。 i.---是信息平安管理］要求遠程訪問控制程序信息傳遞協議1協議應解決組織與外部方之間業務信1確保采用一致和有效j息的平安傳遞。 !是1信息平安管理1i要求1遠程訪問控制程序1電子消息發送的方法對信息平安事i =件進行管理。 包含在電子消息發送中的信息應給予1適當的保護。 i是信息平安管理：要求電子郵件策略即時通軟件使用策略A.13.2.4—_114 保密性或不泄露協議—,.系統獲取。開發和維護……應識別、定期評審并記錄反映組織信|息保護需要的保密性或不泄露協議的1卜 L要求. i....是信息平安管理i要求1—1- 保密及競業禁止協議模板,一一AJ4J 信息系統的平安需求 1信息平安要求分析和說明信息平安相關要求應包括新的信息系j確保信息平安是信息統要求或增強已有信息系統的要求。|是信息平安管理i要求信息系統開發控制程序、惡意軟件控制程序公共網絡應用效勞平安系統整個生命周期中應保護公共網絡中的應用效勞信息，|的一個有機組成局部。i以防止欺騙行為、合同糾紛、未授權i這也包括提供公共網l泄露和修改。 l-是信息平安管理|要求保護應用效勞交易絡效勞的信息系統的i應保護涉及應用效勞交易的信息，以i要求 防止不完整傳送、錯誤路由、未授權|消息變更、未授權泄露、未授權消息1 L復制或重放。 L..是信息平安管理|要求,一一A.14.2 一一開發和支持過程中的平安…平安開發策略應建立軟件和系統開發規那么，并應用］1于組織內的開發。 1是信息平安管理1需求信息系統開發控制程序、惡意軟件控制程序系統變更控制規程應通過使用正式變更控制程序控制開1發生命周期中的系統變更。 i是信息平安管理需求信息系統開發控制程i序運行平臺變更后應用的技術評審當運行平臺發生變更時，應對業務的］關鍵應用進行評審和測試，以確保對!L組織的運行和平安沒有負面影響。 二是信息平安管理需求信息系統開發控制程1序軟件包變更限制應確保進行信息平安［應對軟件包的修改良行勸阻，只限于\、n_、i必必/口口qd匕：4人」以1丁0口J1幺以巫1」MHtL，八HKJ:設計，并確保其在信息1、，曲田+木口am*木士”行!萬“■宜心?人人日日口^i必要的變更，且對所有的變更加以嚴；系統開發生命周期中：人4小 ：、、- 上格控制。 L—是信息平安管理需求信息系統開發控制程i序平安系統工程原那么實施。 '.,,,s ,,1、、人一Q一LIi應建立、記錄和維護平安系統H程原I貝1，并應用到任何信息系統實施工作。i是信息平安管理需求信息系統開發控制程1序平安開發環境組織應建立并適當保護系統開發和集］成工作的平安開發環境，覆蓋整個系jL統開發生命周期。 L..是信息平安管理需求信息系統開發控制程1序外包開發組織應管理和監視外包系統開發活|動。 1否信息平安管理需求信息系統開發控制程i序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第8頁共9頁系統平安測試在開發過程中，應進行平安功能測試。是 信息平安管理需求信息系統開發控制程序系統驗收測試對于新建信息系統和新版本升級系統，應建立驗收測試方案和相關準那么。是信息平安管理需求信息系統開發控制程序測試數據是系統測試數據的保護確保保護測試數據。測試數據應認真地加以選擇、保護和控制。是信息平安開發要求生產和測試數據平安策略一人15 一一供給商關系 ▲15J 一一供給商關系的信息、平安……確保保護可被供給商訪問的組織資產。供給商關系的信息平安策略為減緩供給商訪問組織資產帶來的風險，應與供給商協商并記錄相關信息一平安要求。 是供給商管理需求供給商管理程序處理供給商協議的平安問題應與每個可能訪問、處理、存儲組織信息、與組織進行通信或為組織提供IT根底設施組件的供給商建立并協L一商所有相關的信息平安要求。 是供給商管理需求供給商管理程序信息和通信技術供給鏈供給商協議應包括信息和通信技術服務以及產品供給鏈相關信息平安風險L處理的要求。 是供給商管理需求供給商管理程序一A62 ,,供給商效勞交付管理,………供給商效勞的監視和評審保持符合供給商交付協議的信息平安和服務交付的商定水準。組織應定期監視、評審和審計供給商…效勞交付。 卜 是—供給商管理需一求 供給商管理程序供給商效勞的變更管理應管理供給商效勞提供的變更，包括保持和改良現有的信息平安策略、規程和控制措施，并考慮到業務信息、系統和涉及過程的關鍵程度及風險的一再評估。 是供給商管理需求供給商管理程序一A.16 一一信息平安事件管理 信息平安事件和改良的管一一理 確保采用一致和有效的方法對信息平安事件進行管理，包括平安事件和弱點的傳達。職責和規程應建立管理職責和規程，以確保快速、有效和有序地響應信息平安事件。是信息平安管理需求信息平安事件管理程序報告信息平安事態信息平安事態應盡可能快地通過適當的管理渠道進行報告。是 信息平安管理要求信息平安事件管理程序報告信息平安弱點應要求使用組織信息系統和效勞的所有雇員和承包方人員記錄并報告他們觀察到的或疑心的任何系統或效勞的L平安弱點d 是信息平安管理要求信息平安事件管理程序評估和確定信息平安事態信息平安事態應被評估，并且確定是否劃分成信息平安事件。是信息平安管理要求信息平安事件管理程序信息平安事件響應應具有與信息平安事件響應相一致的文件化規程。是信息平安管理要求信息平安事件管理程序對信息平安事件的總結獲取信息平安事件分析和解決的知識應被用戶降低將來事件發生的可能性L或影響。 是信息平安管理要求信息平安事件管理程序證據的收集組織應定義和應用識別、收集、獲取和保存信息的程序，這些信息可以作為證據。 是信息平安管理要求信息平安事件管理程序A.17業務連續性管理的信息安全方面ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第9頁共9頁信息平安連續性信息平安連續性方案組織的業務連續性管理體系中應