参考模版,仅供参考
划重点1
2
3
4
5
6
7
8
9
10
11
12标准的文档架构为:
1手册
2程序文件
3作业指导书
4运行记录
为了方便理解以及直观,我们最后将架构命名做了改变:
1手册文件
2策略文件
3制度文件
4记录文件
咨询过评审老师,这样的改变命名是不影响审核,命名完全是按照公司的来。
1. 目的
为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。
2. 适用范围
本声明所列的控制目标和控制措施直接源于ISO/IEC27001:2013的要求,以保证公司进行信息安全管理体系认证实施的有效性及适用性。
3. 职责
信息安全部负责编制、修订本声明。
4. 申明
本公司按信息安全管理体系规范建立信息安全管理体系。
5. 安全方针
| 条款号 | 标题 | 目标/控制 | 是否选择 | 选择理由 | 程序文件 | 制度文件 |
|---|---|---|---|---|---|---|
| 5.1 | 信息安全方针 | 目标 | 是 | 依据业务要求和相关法律法规提供管理方向并支持信息安全。 | ||
| 5.1.1 | 信息安全方针文件 | 控制 | 是 | 信息安全管理实施需要 | 信息安全管理手册 | 参考程序文件 |
| 5.1.2 | 信息安全策略的评审 | 控制 | 是 | 确保方针持续使用 | 信息安全体系运行评审制度 | |
| 信息安全内部审核管理制度 | ||||||
| A6 | 信息安全组织 | |||||
| A6.1 | 内部组织 | 目标 | 是 | 在组织内管理信息安全 | ||
| A6.1.1 | 信息安全角色和职责 | 控制 | 是 | 定义和分配公司内所有的信息安全职责。 | 信息安全管理手册 | 参考程序文件 |
| 第三方安全管理策略 | ||||||
| A6.1.2 | 职责分配 | 控制 | 是 | 按照信息资产和完成特定安全过程的职责进行规定并分配权责 | 信息安全管理手册 | 参考程序文件 |
| 第三方安全管理策略 | ||||||
| A6.1.3 | 与政府部门的联系 | 控制 | 是 | 为更好地了解信息安全新动向以及得到相关支持 | ||
| A6.1.4 | 与特定利益集团的联系 | 控制 | 是 | 为更好地了解信息安全新动向以及得到相关支持 | 信息安全管理手册 | 参考程序文件 |
| A6.1.5 | 项目管理中的信息安全 | 控制 | 是 | 将信息安全嵌入到项目管理中 | 信息安全管理手册 | 参考程序文件 |
| A6.2 | 移动设备 | 目标 | 是 | 确保远程工作和使用移动设备时的安全。 | ||
| A6.2.1 | 移动设备策略 | 控制 | 是 | 应采用策略和安全措施管理由于使用移动设备带来的风险。 | 移动设备和介质管理策略 | 参考程序文件 |
| A6.2.2 | 远程工作 | 控制 | 是 | 管理远程工作场地访问本地信息的风险 | 网络安全管理策略 | vpn接入管理制度 |
| A7 | 人力资源安全 | |||||
| A7.1 | 任用之前 | 目标 | 是 | 确保雇员和承包方人员理解其职责、适于考虑让其承担的角色。 | ||
| A7.1.1 | 审查 | 控制 | 是 | 人力资源管理策略 | 人力资源管理制度 | |
| A7.1.2 | 任用条款和条件 | 控制 | 是 | 确保雇员和承包方人员明确他们和组织的信息安全职责 | ||
| A7.2 | 任用中 | 目标 | 是 | 确保雇员和承包方人员知悉并履行其信息安全职责。 | ||
| A7.2.1 | 管理职责 | 控制 | 是 | 明确权责 | 人力资源管理策略 | 人力资源管理制度 |
| A7.2.2 | 信息安全意识、教育和培训 | 控制 | 是 | 安全意识、教育和培训是开展信息安全管理的前提 | ||
| A7.2.3 | 纪律处理过程 | 控制 | 是 | 是信息安全事故时间的必要手段 | ||
| A7.3 | 任用的终止或变更 | 目标 | 是 | 将保护组织利益作为变更或终止任用过程的一部分。 | ||
| A7.3.1 | 任用终止或变更的职责 | 控制 | 是 | 应定义信息安全职责和义务在任用终止或变更后保持有效的要求,并传达给雇员或承包方人员,予以执行。 | 人力资源管理策略 | 人力资源管理制度 |
| A8 | 资产管理 | |||||
| A8.1 | 对资产负责 | 目标 | 是 | 识别组织资产,并定义适当的保护职责。 | ||
| A8.1.1 | 资产清单 | 控制 | 是 | 明晰公司资产情况 | 资产安全管理策略 | 资产安全管理制度 |
| A8.1.2 | 资产所有权 | 控制 | 是 | 清单中所维护的资产应分配所有权。 | ||
| A8.1.3 | 资产的可接受使用 | 控制 | 是 | 将资产使用通过制度的形式进行规范使用 | ||
| A8.1.4 | 资产的归还 | 控制 | 是 | 所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 | ||
| A8.2 | 信息分类 | 目标 | 是 | 确保信息按照其对组织的重要性受到适当级别的保护。 | ||
| A8.2.1 | 信息的分类 | 控制 | 是 | 便于对信息的分级管理。 | 资产安全管理策略 | 资产安全管理制度 |
| A8.2.2 | 信息的标记 | 控制 | 是 | 按照信息分级的不同,信息处理的安全要求也不同。 | ||
| A8.2.3 | 信息的处理 | 是 | 按照信息分级的不同,信息处理的安全要求也不同。 | |||
| A8.3 | 介质处置 | 目标 | 是 | 防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。 | ||
| A8.3.1 | 可移动介质的管理 | 控制 | 是 | 防止信息泄露 | 移动设备和介质管理策略 | 移动存储介质管理制度 |
| A8.3.2 | 介质的处置 | 控制 | 是 | 防止信息泄露 | ||
| A8.3.3 | 物理介质传输 | 控制 | 是 | 包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。 | ||
| A9 | 访问控制 | |||||
| A9.1 | 访问控制的业务要求 | 目标 | 是 | 限制对信息和信息处理设施的访问。 | ||
| A9.1.1 | 访问控制策略 | 控制 | 是 | 控制对系统的访问 | 访问控制策略 | 参考程序文件 |
| A9.1.2 | 网络和网络服务的访问 | 控制 | 是 | 用户应仅能访问已获专门授权使用的网络和网络服务。 | ||
| A9.2 | 用户访问管理 | 目标 | 是 | 确保授权用户访问系统和服务,并防止未授权的访问。 | ||
| A9.2.1 | 用户注册及注销 | 控制 | 是 | 使用唯一用户身份识别 | 访问控制策略 | 用户账号管理制度 |
| A9.2.2 | 用户访问开通及变更 | 控制 | 是 | 使用唯一用户身份识别。 | ||
| A9.2.3 | 特殊访问权限管理 | 控制 | 是 | 保持对数据和信息服务访问的有效控制。 | ||
| A9.2.4 | 用户秘密鉴别信息管理 | 控制 | 是 | 应通过正式的管理过程控制秘密鉴别信息的分配。 | ||
| A9.2.5 | 用户访问权限的复查 | 控制 | 是 | 资产所有者应定期复查用户的访问权限。 | ||
| A9.2.6 | 撤销或调整访问权限 | 控制 | 是 | 所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销,或在变化时调整。 | ||
| A9.3 | 用户职责 | 目标 | 是 | 使用户承担保护认证信息安全的责任。 | ||
| A9.3.1 | 使用秘密鉴别信息 | 控制 | 是 | 应要求用户在使用秘密鉴别信息时,遵循组织的实践。 | 访问控制策略 | 用户账号管理制度 |
| A9.4 | 系统和应用访问控制 | 目标 | 是 | 防止对系统和应用的未授权访问。 | ||
| A9.4.1 | 信息访问限制 | 控制 | 是 | 应依照访问控制策略限制对信息和应用系统功能的访问。 | 访问控制策略 | 参考程序文件 |
| A9.4.2 | 安全登录规程 | 控制 | 是 | 遵循良好的信息安全习惯,对非权限内的网络或设备进行控制。 | ||
| A9.4.3 | 口令管理系统 | 控制 | 是 | 遵循良好的信息安全习惯,对非权限内的网络或设备进行控制。 | ||
| A9.4.4 | 特殊权限实用工具软件的使用 | 控制 | 是 | 对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以限制并严格控制。 | ||
| A9.4.5 | 对程序源代码的访问控制 | 控制 | 是 | 应限制访问程序源代码。 | 软件开发版本安全管理制度 | |
| A10 | 密码学 | |||||
| A10.1.1 | 密码控制 | 目标 | 是 | 恰当和有效的利用密码学保护信息的保密性、真实性或完整性。 | 密码技术管理策略 | 参考程序文件 |
| A10.1.2 | 密钥管理 | 控制 | 是 | 保证数据真实有效。 | ||
| A11 | 物理和环境安全 | |||||
| A11.1 | 安全区域 | 目标 | 是 | 防止对组织场所和信息的未授权物理访问、损坏和干扰。 | ||
| A11.1.1 | 物理安全周边 | 控制 | 是 | 对重要信息进行保护 | 物理安全管理策略 | 机房安全管理制度 |
| 视频监控管理制度 | ||||||
| 出入访问管理制度 | ||||||
| A11.1.2 | 物理入口控制 | 控制 | 是 | 对重要信息进行保护 | ||
| A11.1.3 | 办公室、房间和设施的安全保护 | 控制 | 是 | 对重要信息进行保护 | ||
| A11.1.4 | 外部和环境威胁的安全防护 | 控制 | 是 | 对重要信息进行保护 | ||
| A11.1.5 | 在安全区域工作 | 控制 | 是 | 对重要信息进行保护 | ||
| A11.1.6 | 交接区安全 | 控制 | 是 | 对重要信息进行保护 | ||
| A11.2 | 设备 | 目标 | 是 | 防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 | ||
| A11.2.1 | 设备安置和保护 | 控制 | 是 | 保证设备安全 | 设备安全管理策略 | 参考程序文件 |
| A11.2.2 | 支持性设施 | 控制 | 是 | 保证设备安全 | ||
| A11.2.3 | 线缆安全 | 控制 | 是 | 保证设备安全 | ||
| A11.2.4 | 设备维护 | 控制 | 是 | 保证设备安全 | ||
| A11.2.5 | 资产的移动 | 控制 | 是 | 保证设备安全 | ||
| A11.2.6 | 组织场外设备和资产的安全 | 控制 | 是 | 保证设备安全 | ||
| A11.2.7 | 设备的安全处置或再利用 | 控制 | 是 | 保证设备安全 | ||
| A11.2.8 | 无人值守的用户设备 | 控制 | 是 | 保证设备安全 | ||
| A11.2.9 | 清空桌面和屏幕策略 | 控制 | 是 | 遵循良好的信息安全习惯,对非权限内的网络或设备进行控制。 | 计算机管理策略 | 参考程序文件 |
| A12 | 操作安全 | |||||
| A12.1 | 操作规程和职责 | 目标 | 是 | 确保正确、安全的操作信息处理设施。 | ||
| A12.1.1 | 文件化的操作规程 | 控制 | 是 | 操作规程应形成文件并对所有需要的用户可用。 | 安全运维管理策略 | 安全运维管理制度 |
| A12.1.2 | 变更管理 | 控制 | 是 | 对影响信息安全的组织、业务过程、信息处理设施和系统等的变更应加以控制。 | 变更管理安全策略 | 变更管理安全制度 |
| A12.1.3 | 系统性能及负载管理 | 控制 | 是 | 资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能。 | 安全运维管理策略 | 安全运维管理制度 |
| A12.1.4 | 开发、测试和运行环境分离 | 控制 | 是 | 开发、测试和运行环境应分离,以减少未授权访问或改变运行环境的风险。 | 软件开发安全策略 | 软件开发安全管理制度 |
| A12.2 | 恶意软件防护 | 目标 | 是 | 确保对信息和信息处理设施进行恶意软件防护。 | ||
| A12.2.1 | 控制恶意软件 | 控制 | 是 | 应实施恶意软件的检测、预防和恢复的控制措施,以及适当的提高用户安全意识。 | 计算机管理策略 | 参考程序文件 |
| A12.3 | 备份 | 目标 | 是 | 为了防止数据丢失。 | ||
| A12.3.1 | 信息备份 | 控制 | 是 | 对重要信息进行备份,防止系统断电等危害引起数据丢失。 | 信息备份管理策略 | 数据备份恢复管理制度 |
| A12.4 | 日志和监视 | 目标 | 是 | 记录事态和生成证据。 | ||
| A12.4.1 | 事态记录 | 控制 | 是 | 应产生记录用户活动、异常情况、故障和信息安全事态的事态日志,并保持定期评审。 | 安全审计管理策略 | 参考程序文件 |
| A12.4.2 | 日志信息的保护 | 控制 | 是 | 对系统日志信息进行保护, | ||
| A12.4.3 | 管理员和操作员日志 | 控制 | 是 | 对管理员和操作员的系统操作活动进行控制,防止非法操作。 | ||
| A12.4.4 | 时钟同步 | 控制 | 是 | 组织内部所有相关信息处理设施的时钟需使用单一参考时间源进行同步。 | ||
| A12.5 | 运行软件的控制 | 目标 | 是 | 确保运行系统的完整性。 | ||
| A12.5.1 | 在运行系统上安装软件 | 控制 | 是 | 应实施规程来控制在运行系统上安装软件。 | 计算机管理策略 | 参考程序文件 |
| A12.6 | 技术脆弱性管理 | 目标 | 是 | 防止技术脆弱性被利用。 | ||
| A12.6.1 | 技术脆弱性的控制 | 控制 | 是 | 应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。 | 安全运维管理策略 | 安全运维管理制度 |
| A12.6.2 | 限制软件安装 | 控制 | 是 | 应建立和实施软件安装的用户管理规则。 | 计算机管理策略 | 参考程序文件 |
| A12.7 | 信息系统审计考虑 | 目标 | 是 | 将运行系统审计活动的影响最小化。 | ||
| A12.7.1 | 信息系统审计控制措施 | 控制 | 是 | 涉及对运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便使造成业务过程中断最小化。 | 安全审计管理策略 | 参考程序文件 |
| A13 | 通信安全 | |||||
| A13.1 | 网络安全管理 | 目标 | 是 | 确保网络中信息的安全性并保护支持性信息处理设施。 | ||
| A13.1.1 | 网络控制 | 控制 | 是 | 应管理和控制网络,以保护系统中信息和应用程序的安全。 | 网络安全管理策略 | 防火墙策略管理制度 |
| A13.1.2 | 网络服务安全 | 控制 | 是 | 安全机制、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。 | 参考程序文件 | |
| A13.1.3 | 网络隔离 | 控制 | 是 | 应在网络中隔离信息服务、用户及信息系统。 | 参考程序文件 | |
| A13.2 | 信息传递 | 目标 | 是 | 确保网络中信息的安全性并保护支持性信息处理设施。 | ||
| A13.2.1 | 信息传递策略和规程 | 控制 | 是 | 应有正式的传递策略、规程和控制措施,以保护通过使用各种类型通信设施的信息传递。 | 网络安全管理策略 | 参考程序文件 |
| A13.2.2 | 信息传递协议 | 控制 | 是 | 协议应解决组织与外部方之间业务信息的安全传递。 | ||
| A13.2.3 | 电子消息发送 | 控制 | 是 | 包含在电子消息发送中的信息应给予适当的保护。 | ||
| A13.2.4 | 保密性或不泄露协议 | 控制 | 是 | 应识别、定期评审并记录反映组织信息保护需要的保密性或不泄露协议的要求。 | ||
| A14 | 系统获取、开发和维护 | |||||
| A14.1 | 信息系统的安全要求 | 目标 | 是 | 确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求。 | ||
| A14.1.1 | 信息安全要求分析和说明 | 控制 | 是 | 在系统开发过程中,需要考虑信息安全因素。 | 软件开发安全策略 | 软件开发安全管理制度 |
| A14.1.2 | 公共网络应用服务安全 | 控制 | 是 | 应保护公共网络中的应用服务信息,以防止欺骗行为、合同纠纷、未授权泄露和修改。 | ||
| A14.1.3 | 保护应用服务交易 | 控制 | 是 | 应保护涉及应用服务交易的信息,以防止不完整传送、错误路由、未授权消息变更、未授权泄露、未授权消息复制或重放。 | ||
| A14.2 | 开发和支持过程中的安全 | 目标 | 是 | 应确保进行信息安全设计,并确保其在信息系统开发生命周期中实施。 | ||
| A14.2.1 | 安全开发策略 | 控制 | 是 | 应建立软件和系统开发规则,并应用于组织内的开发。 | 软件开发安全策略 | 软件开发安全管理制度 |
| A14.2.2 | 系统变更控制规程 | 控制 | 是 | 应通过使用正式变更控制程序控制开发生命周期中的系统变更。 | ||
| A14.2.3 | 运行平台变更后应用的技术评审 | 控制 | 是 | 当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。 | ||
| A14.2.4 | 软件包变更的限制 | 控制 | 是 | 应对软件包的修改进行劝阻,只限于必要的变更,且对所有的变更加以严格控制。 | ||
| A14.2.5 | 安全系统工程原则 | 控制 | 是 | 应建立、记录和维护安全系统工程原则,并应用到任何信息系统实施工作。 | ||
| A14.2.6 | 安全开发环境 | 控制 | 是 | 组织应建立并适当保护系统开发和集成工作的安全开发环境,覆盖整个系统开发生命周期。 | ||
| A14.2.7 | 外包开发 | 控制 | 是 | 组织应管理和监视外包系统开发活动。 | ||
| A14.2.8 | 系统安全测试 | 控制 | 是 | 在开发过程中,应进行安全功能测试。 | ||
| A14.2.9 | 系统验收测试 | 控制 | 是 | 确保信息系统符合甲方要求 | ||
| A14.3 | 测试数据 | 目标 | 是 | 确保保护测试数据。 | ||
| A14.3.1 | 系统测试数据的保护 | 控制 | 是 | 测试数据应认真地加以选择、保护和控制。 | 软件开发安全策略 | 软件开发安全管理制度 |
| A15 | 供应商关系 | |||||
| A15.1 | 供应商关系的信息安全 | 目标 | 是 | 确保保护可被供应商访问的组织资产。 | ||
| A15.1.1 | 供应商关系的信息安全策略 | 控制 | 是 | 为减缓供应商访问组织资产带来的风险,应与供应商协商并记录相关信息安全要求。 | 第三方安全管理策略 | 参考程序文件 |
| A15.1.2 | 处理供应商协议中的安全问题 | 控制 | 是 | 应与每个可能访问、处理、存储组织信息、与组织进行通信或为组织提供 IT 基础设施组件的供应商建立并协商所有相关的信息安全要求 | ||
| A15.1.3 | 信息和通信技术供应链 | 控制 | 是 | 供应商协议应包括信息和通信技术服务以及产品供应链相关信息安全风险处理的要求。 | ||
| A15.2 | 供应商服务交付管理 | 目标 | 是 | 保持符合供应商交付协议的信息安全和服务交付的商定水准。 | ||
| A15.2.1 | 供应商服务的监视和评审 | 控制 | 是 | 组织应定期监视、评审和审计供应商服务交付。 | 第三方安全管理策略 | 参考程序文件 |
| A15.2.2 | 供应商服务的变更管理 | 控制 | 是 | 应管理供应商服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务信息、系统和涉及过程的关键程度及风险的再评估。 | ||
| A16 | 信息安全事件管理 | |||||
| A16.1 | 信息安全事件和改进的管理 | 目标 | 是 | 确保采用一致和有效的方法对信息安全事件进行管理,包括安全事件和弱点的传达。 | ||
| A16.1.1 | 职责和规程 | 控制 | 是 | 保证工作有序进行。 | 信息安全事件管理策略 | 信息安全事件管理制度 |
| A16.1.2 | 报告信息安全事态(发生) | 控制 | 是 | 软件开发要求,确保及时掌握报告信息安全事态。 | ||
| A16.1.3 | 报告信息安全弱点 (未发生) | 控制 | 是 | 软件开发要求。 | ||
| A16.1.4 | 评估和确定信息安全事态 | 控制 | 是 | 信息安全事态应被评估,并且确定是否划分成信息安全事件。 | ||
| A16.1.5 | 信息安全事件响应 | 控制 | 是 | 应具有与信息安全事件响应相一致的文件化规程。 | ||
| A16.1.6 | 对信息安全事件的总结 | 控制 | 是 | 获取信息安全事件分析和解决的知识应被用户降低将来事件发生的可能性或影响。 | ||
| A16.1.7 | 证据的收集 | 控制 | 是 | 律法规要求。 | ||
| A17 | 业务连续性管理的信息安全方面 | |||||
| A17.1 | 信息安全连续性 | 目标 | 是 | 组织的业务连续性管理体系中应体现信息安全连续性。 | ||
| A17.1.1 | 信息安全的连续性计划 | 控制 | 是 | 组织应确定不利情况下(例如,一个危机或危难时)信息安全的要求和信息安全管理连续性。 | 业务连续性管理策略 | 参考程序文件 |
| A17.1.2 | 实施信息安全连续性计划 | 控制 | 是 | 组织应建立、文件化、实施和维护过程、规程和控制措施,确保在负面情况下要求的信息安全连续性级别。 | ||
| A17.1.3 | 验证、评审和评价信息安全连续性计划 | 控制 | 是 | 组织应定期验证已制定和实施信息安全业务连续性计划的控制措施,以确保在负面情况下控制措施的及时性和有效性。 | ||
| A17.2 | 冗余 | 目标 | 是 | 确保信息处理设施的有效性。 | ||
| A17.2.1 | 信息处理设施的可用性 | 控制 | 是 | 信息处理设备应冗余部署,以满足高可用性需求。 | 业务连续性管理策略 | 参考程序文件 |
| A18 | 符合性 | |||||
| A18.1 | 符合法律和合同要求 | 目标 | 是 | 避免违反任何法律、法令、法规或合同义务以及任何安全要求。 | ||
| A18.1.1 | 可用法律及合同要求的识别 | 控制 | 是 | 法律法规要求。 | 信息安全法律法规策略 | 信息安全法律法规管理制度 |
| A18.1.2 | 知识产权(IPR) | 控制 | 是 | 法律法规要求。 | ||
| A18.1.3 | 保护记录 | 控制 | 是 | 法律法规要求。 | ||
| A18.1.4 | 隐私和个人身份信息保护 | 控制 | 是 | 法律法规要求。 | ||
| A18.1.5 | 密码控制措施的规则 | 控制 | 是 | 法律法规要求。 | 密码技术管理策略 | 参考程序文件 |
| A18.2 | 信息安全评审 | 目标 | 是 | 确保信息安全实施及运行符合组织策略和程序。 | ||
| A18.2.1 | 独立的信息安全评审 | 控制 | 是 | 应定期或发生较大变更时对组织的信息安全处置和实施方法(即控制目标、控制、策略、过程和信息安全程序)进行评审。 | 信息安全管理手册 | 信息安全体系运行评审程序 |
| 内部审核管理程序 | ||||||
| A18.2.2 | 符合安全策略和标准 | 控制 | 是 | 法律法规要求。 | ||
| A18.2.3 | 技术符合性评审 | 控制 | 是 | 法律法规要求。 |
