深圳ISO27001认证信息安全管理体系认证顾问办理咨询培训辅导机构

深圳ISO27001认证信息安全管理体系认证顾问办理咨询培训辅导机构

1.深圳ISO27001认证 目的

根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编制本程序。

2. 深圳ISO27001认证范围

适用于对ISO/IEC27001:2013标准于本公司的适用性管理。

3.深圳ISO27001认证 职责与权限

3.1*高管理者

负责信息安全适用性声明的审批。

3.2 研发部

负责信息安全适用性声明的编制及修订。

4. 相关文件

a) 《信息安全管理手册》

5. 术语定义

无

6. 适用性声明

信息安全适用性声明SOA

A.5信息安全方针

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.5.1

信息安全管理指引

目标

YES

提供符合有关法律法规和业务需求的信息安全管理指引和支持。

A.5.1.1

信息安全方针

控制

YES

信息安全方针应由管理才批准发布。

《信息安全管理手册》

A.5.1.2

信息安全方针的评审

控制

YES

确保方针持续的适应性。

《管理评审控制程序》

A.6信息安全组织

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.6.1

信息安全组织

目标

YES

管理组织内部信息安全。

A.6.1.1

信息安全的角色和职责

控制

YES

保持特定资产和完成特定安全过程的所有信息安全职责需确定。

《信息安全管理手册》

A.6.1.2

职责分离

控制

YES

分离有冲突的职责和责任范围，以减少对组织资产未经授权访问、无意修改或误用的机会。

《信息安全管理手册》

A.6.1.3

与监管机构的联系

控制

YES

与相关监管机构保持适当联系。

《相关方服务管理程序》

A.6.1.4

与特殊利益团体的联系

控制

YES

与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。

《相关方服务管理程序》

A.6.1.5

项目管理中的信息安全

控制

YES

实施任何项目时应考虑信息安全相关要求。

《保密协议》

《相关方服务管理程序》

A.6.2

移动设备和远程办公

目标

YES

确保远程办公和使用移动设备的安全性

A.6.2.1

移动设备策略

控制

YES

采取安全策略和配套的安全措施管控使用移动设备

带来的风险。

《信息处理设施控制程序》

《计算机管理规定》

《介质管理程序》

A.6.2.2

远程办公

控制

YES

我司有远程访问公司少数系统的情况，需要进行安全控制。

《用户访问控制程序》

A.7 人力资源安全

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.7.1

聘用前

目标

YES

确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任

A.7.1.1

人员筛选

控制

YES

通过人员考察，防止人员带来的信息安全风险。

《人力资源安全管理程序》

A.7.1.2

雇佣条款和条件

控制

YES

履行信息安全保密协议是雇佣人员的一个基本条件。

《人力资源安全管理程序》

《保密协议》

A.7.2

聘用期间

目标

YES

确保员工和合同方了解并履行他们的信息安全责任。

A.7.2.1

管理职责

控制

YES

缺乏管理职责，会使人员意识淡薄，从而对组织造成**安全影响。

《信息安全管理手册》

《人力资源安全管理程序》

A.7.2.2

信息安全意识、教育和培训

控制

YES

信息安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。

《人力资源安全管理程序》

A.7.2.3

惩戒过程

控制

YES

对造成安全破坏的员工应该有一个正式的惩戒过程。

《信息安全奖惩管理规定》

A.7.3

聘用中止和变化

目标

YES

在任用变更或中止过程保护组织利益。

A.7.3.1

任用终止或变更的责任

控制

YES

应定义信息安全责任和义务在任用终止或变更后仍然有效，并向员工和合同方传达并执行。

《人力资源安全管理程序》

《相关方服务管理程序》

A.8资产管理

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.8.1

资产责任

目标

YES

对我司资产（包括顾客要求保密的数据、软件及产品）进行有效保护。

A.8.1.1

资产清单

控制

YES

建立重要资产清单并实施保护。

《信息安全风险评估控制程序》

《重要资产清单》

A.8.1.2

资产责任人

控制

YES

对所有的与信息处理设施有关的信息和资产指定“所有者”

《信息安全风险评估控制程序》

《资产清单》

《信息处理设施控制程序》

A.8.1.3

资产的合理使用

控制

YES

识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实施。

《信息处理设施控制程序》

A.8.1.4

资产的归还

控制

YES

在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织资产。

《人力资源安全管理程序》

《相关方服务管理程序》

A.8.2

信息分类

目标

YES

我司根据信息的敏感性对信息进行分类，明确保护要求、优先权和等级，以确保对资产采取适当的保护。

A.8.2.1

分类指南

控制

YES

我司的信息安全涉及信息的敏感性，适当的分类控制是必要的。

《信息分类与处理指南》

A.8.2.2

信息标识

控制

YES

按分类方案进行标注并规定信息处理的安全的要求。

《信息分类与处理指南》

A.8.2.3

资产处理

控制

YES

根据组织采用的资产分类方法制定和实施资产处理程序

《信息处理设施控制程序》

A.8.3

介质处理

目标

YES

防止存储在介质上的信息被非授权泄露、修改、**或破坏。

A.8.3.1

可移动介质管理

控制

YES

我司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动介质。

《介质管理程序》

A.8.3.2

介质处置

控制

YES

当介质不再需要时，对含有敏感信息介质采用安全的处置办法是必须。

《介质管理程序》

A.8.3.3

物理介质传输

控制

YES

含有信息的介质应加以保护，防止未经授权的访问、滥用或在运输过程中的损坏。

《信息交换管理程序》

A.9 访问控制

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.9.1

访问控制的业务需求

目标

YES

限制对信息和信息处理设施的访问

A.9.1.1

访问控制策略

控制

YES

建立文件化的访问控制策略，并根据业务和安全要求对策略进行评审。

《用户访问控制程序》

A.9.1.2

对网络和网络服务的访问

控制

YES

制定策略，明确用户访问网络和网络服务的范围，防止非授权的网络访问。

《用户访问控制程序》

A.9.2

用户访问管理

目标

YES

确保已授权用户的访问，预防对系统和服务的非授权访问。

A.9.2.1

用户注册和注销

控制

YES

我司存在多用户信息系统，应建立用户登记和注销登记程序。

《用户访问控制程序》

A.9.2.2

用户访问权限提供

控制

YES

应有正式的用户访问分配程序，以分配和撤销对于所有信息系统及服务的访问。

《用户访问控制程序》

A.9.2.3

特权管理

控制

YES

应对特权帐号进行管理，特权不适当的使用会造成系统的破坏。

《用户访问控制程序》

A.9.2.4

用户认证信息的安全管理

控制

YES

用户鉴别信息的权限分配应通过一个正式的管理过程 进行安全控制。

《用户访问控制程序》

A.9.2.5

用户访问权限的评审

控制

YES

对用户访问权限进行评审是必要的,以防止非授权的访问。

《用户访问控制程序》

A.9.2.6

撤销或调整访问权限

控制

YES

在跟所有员工和承包商人员的就业合同或协议终止和调整后，应相应得**或调整其信息和信息处理设施 的访问权限。

《人力资源安全管理程序》

《用户访问控制程序》

《相关方服务管理程序》

A.9.3

用户责任

目标

YES

确保用户对认证信息的保护负责。

A.9.3.1

认证信息的使用

控制

YES

应要求用户遵循组织的规则使用其认证信息。

《用户访问控制程序》

A.9.4

系统和应用访问控制

目标

YES

防止对系统和应用的未授权访问

A.9.4.1

信息访问限制

控制

YES

我司信息访问权限是根据业务运做的需要及信息安全考虑所规定的，系统的访问功能应加以限制。

《用户访问控制程序》

A.9.4.2

安全登录程序

控制

YES

对操作系统的访问应有安全登录程序进行控制。

《用户访问控制程序》

A.9.4.3

密码管理系统

控制

YES

为减少非法访问操作系统的机会，应对密码进行管理。

《用户访问控制程序》

A.9.4.4

特权程序的使用

控制

YES

对特权程序的使用应严格控制，防止恶意破坏系统安全。

《用户访问控制程序》

A.9.4.5

对程序源码的访问控制

控制

YES

对程序源代码的访问应进行限制。

《信息系统获取、开发及维护控制程序》

A.10 加密技术

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.10.1

加密控制

目标

YES

确保适当和有效地使用加密技术来保护信息的机密性、真实性、完整性。

A.10.1.1

使用加密控制的策略

控制

YES

为保护信息，应开发并实施加密控制的使用策略

《网络安全管理程序》

《技术符合性管理规定》

A.10.1.2

密钥管理

控制

YES

应进行密钥管理，以支持公司对密码技术的使用

《网络安全管理程序》

《技术符合性管理规定》

《计算机管理规定》

A.11物理和环境安全

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.11.1

安全区域

目标

YES

防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。

A.11.1.1

物理安全边界

控制

YES

我司有包含重要信息及信息处理设施的区域,应确定其安全周界对其实施保护。

《安全区域控制程序》

A.11.1.2

物理进入控制

控制

YES

安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。

《安全区域控制程序》

A.11.1.3

办公室、房间及设施的安全

控制

YES

对安全区域内的人事行政部、房间和设施应有特殊的安全要求。

《安全区域控制程序》

A.11.1.4

防范外部和环境威胁

控制

YES

加强我司物理安全控制，防范火灾、水灾、地震，以及其它形式的自然或人为灾害。

《安全区域控制程序》

A.11.1.5

在安全区域工作

控制

YES

在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全。

《安全区域控制程序》

《相关方服务管理程序》

A.11.1.6

送货和装卸区

控制

YES

对未经授权的人员可能访问到的地点进行控制，防止外来人员直接进入重要安全区域是必要的。

《安全区域控制程序》

A.11.2

设备安全

目标

YES

防止资产的遗失、损坏、偷窃等导致的组织业务中断。

A.11.2.1

设备安置及保护

控制

YES

设备应定位和保护，防止火灾、吸烟、油污、未经授权访问等威胁。

《信息处理设施控制程序》

A.11.2.2

支持设施

控制

YES

对设备加以保护使其免于电力中断或者其它支持设施故障而导致的中断的影响。

《信息处理设施控制程序》

A.11.2.3

线缆安全

控制

YES

通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。

《网络安全管理程序》

A.11.2.4

设备维护

控制

YES

设备保持良好的运行状态是保持信息的完整性及可用性的基础。

《信息处理设施控制程序》

《计算机管理规定》

A.11.2.5

资产转移

控制

YES

设备、信息、软件未经授权之前，不应将设备、信息或软件带到场所外。

《信息处理设施控制程序》

A.11.2.6

场外设备和资产安全

控制

YES

我司有笔记本移动设备，离开正常的办公场所应进行控制，防止其被盗窃、未经授权的访问等危害的发生。

《信息处理设施控制程序》

《计算机管理规定》

《介质管理程序》

A.11.2.7

设备报废或重用

控制

YES

对我司储存有关敏感信息的设备，如服务器、硬盘，对其处置和再利用应将其信息**。

《信息处理设施控制程序》

《介质管理程序》

A.11.2.8

无人值守的设备

控制

YES

确保无人值守设备得到足够的保护。

《计算机管理规定》

A.11.2.9

桌面清空及清屏策略

控制

YES

不实行**桌面或**屏幕策略，会受到资产丢失、失窃或遭到非法访问的威胁。

《计算机管理规定》

A.12操作安全

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.12.1

操作程序及职责

目标

YES

确保信息处理设备的正确和安全使用。

A.12.1.1

文件化操作程序

控制

YES

作业程序应该文件化，并在需要时可用。

《文件控制程序》

A.12.1.2

变更管理

控制

YES

未加以控制的信息处理设备和系统更改会造成系统故障和安全故障。

《信息处理设施控制程序》

《变更控制程序》

A.12.1.3

容量管理

控制

YES

为避免因系统容量不足导致系统故障，监控容量需求并规划将来容量是必须的。

《信息安全监控管理规定》

A.12.1.4

开发、测试与运行环境的分离

控制

YES

我司设有研发部门，应分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险

《信息系统获取、开发及维护控制程序》

A.12.2

防范恶意软件

目标

YES

确保对信息和信息处理设施的保护，防止恶意软件。

A.12.2.1

控制恶意软件

控制

YES

恶意软件的威胁是客观存在的，应实施恶意代码的监测、预防和恢复控制，以及适当的用户意识培训的程序。

《防病毒管理规定》

A.12.3

备份

目标

YES

防止数据丢失

A.12.3.1

数据备份

控制

YES

对重要信息和软件定期备份是必须的，以防止信息和软件的丢失和不可用，及支持业务可持续性。

《数据备份管理程序》

A.12.4

日志记录和监控

目标

YES

记录事件和生成的证据

A.12.4.1

事件日志

控制

YES

为访问监测提供帮助，建立事件日志(审核日志)是必须的。

《信息安全监控管理规定》

A.12.4.2

日志信息保护

控制

YES

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

《信息安全监控管理规定》

A.12.4.3

管理员和操作者日志

控制

YES

应根据需要，记录系统管理员和系统操作员的活动。

《信息安全监控管理规定》

A.12.4.4

时钟同步

控制

YES

实施时钟同步，是生产、经营与获取客观证据的需要。

《信息安全监控管理规定》

A.12.5

运营中软件控制

目标

YES

确保运营中系统的完整性。

A.12.5.1

运营系统的软件安装

控制

YES

应建立程序对运营中的系统的软件安装进行控制。

《软件控制程序》

《软件安装规范》

A.12.6

技术漏洞管理

目标

YES

防止技术漏洞被利用。

A.12.6.1

管理技术薄弱点

控制

YES

及时获得正在使用信息系统的技术薄弱点的相关信息，应评估对这些薄弱点的暴露程度，并采取适当的方法处理相关风险。

《技术薄弱点控制程序》

A.12.6.2

限制软件安装

控制

YES

应建立和实施用户软件安装规则。

《软件控制程序》

《软件安装规范》

A.12.7

信息系统审计的考虑因素

目标

YES

*小化审计活动对系统运营影响。

A.12.7.1

信息系统审核控制

控制

YES

应谨慎策划对系统运行验证所涉及的审核要求和活动 并获得许可，以*小化中断业务过程。

《内部审核控制程序》

A.13通信安全

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.13.1

网络安全管理

目标

YES

确保网络及信息处理设施中信息的安全。

A.13.1.1

网络控制

控制

YES

应对网络进行管理和控制，以保护系统和应用程序的信息。

《网络安全管理程序》

《变更控制程序》

A.13.1.2

网络服务安全

控制

YES

应识别所有网络服务的安全机制、服务等级和管理要求，并包括在网络服务协议中，无论这种服务是由内部提供的还是外包的。

《网络安全管理程序》

A.13.1.3

网络隔离

控制

YES

应在网络中按组隔离信息服务、用户和信息系统。

《网络安全管理程序》

A.13.2

信息交换

目标

YES

确保信息在组织内部或与外部组织之间传输的安全。

A.13.2.1

信息交换策略和程序

控制

YES

应建立正式的传输策略、程序和控制，以保护通过通讯设施传输的所有类型信息的安全。

《信息交换管理程序》

A.13.2.2

信息交换协议

控制

YES

建立组织和外部各方之间的业务信息的安全传输协议。

《信息交换管理程序》

A.13.2.3

电子消息

控制

YES

应适当保护电子消息的信息。

《信息交换管理程序》

A.13.2.4

保密或不披露协议

控制

YES

应制定并定期评审组织的信息安全保密协议或不披露协议，该协议应反映织对信息保护的要求。

《保密协议》

《相关方服务管理程序》

A.14系统的获取、开发及维护

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.14.1

信息系统安全需求

目标

YES

确保信息安全成为信息系统整个生命周期的组成部分，包括通过公共网络提供服务的信息系统的要求。

A.14.1.1

信息安全需求分析和规范

控制

YES

新建信息系统或增强现有信息系统的需求中应包括信息安全相关的要求。

《信息系统获取、开发及维护控制程序》

A.14.1.2

公共网络应用服务的安全

控制

YES

应保护流经公共网络的应用服务信息，以防止欺诈、 合同争议、未授权的泄漏和修改。

《信息系统获取、开发及维护控制程序》、《网络安全管理程序》

A.14.1.3

保护应用服务

控制

YES

应保护应用服务传输中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。

《信息系统获取、开发及维护控制程序》、《网络安全管理程序》

A.14.2

开发和支持过程的安全

目标

YES

确保信息系统开发生命周期中设计和实施信息安全。

A.14.2.1

开发的安全策略

控制

YES

应对软件、系统的开发及系统建设的安全需求进行规范管理。

《信息系统获取、开发及维护控制程序》

A.14.2.2

系统变更控制程序

控制

YES

为防止未授权或不充分的更改，导致系统故障与中断，需要实施严格更改控制。

《变更控制程序》

A.14.2.3

操作平台变更后的技术评审

控制

YES

操作系统的不充分更改对应用系统会造成严重的影响。

《变更控制程序》

A.14.2.4

软件包变更限制

控制

YES

不鼓励对软件包进行变更，对必要的更改需严格控制。

《变更控制程序》

A.14.2.5

安全系统工程原则

控制

YES

应建立、文件化、维护和应用安全系统工程原则，并

应用于任何信息系统工程。

《信息系统获取、开发及维护控制程序》

A.14.2.6

开发环境安全

控制

YES

在整个系统开发生命周期的系统开发和集成工作中， 应建立并妥善保障开发环境的安全。

《信息系统获取、开发及维护控制程序》

A.14.2.7

外包开发

控制

YES

公司监督和监控系统外包开发的活动。

《信息系统获取、开发及维护控制程序》

A.14.2.8

系统安全测试

控制

YES

在开发过程中，应进行安全性的测试。

《信息系统获取、开发及维护控制程序》

A.14.2.9

系统验收测试

控制

YES

应建立新信息系统、系统升级及新版本的验收测试程

序和相关准则。

《信息系统获取、开发及维护控制程序》

A.14.3

测试数据

目标

YES

确保测试数据安全。

A.14.3.1

测试数据的保护

控制

YES

应谨慎选择测试数据，并加以保护和控制。

《信息系统获取、开发及维护控制程序》

A.15供应商关系

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.15.1

供应商关系的信息安全

目标

YES

确保组织被供应商访问的信息的安全。

A.15.1.1

供应商关系的信息安全策略

控制

YES

为降低供应商使用组织的资产相关的风险，应与供应商签署安全要求的文件协议。

《供应关系管理程序》

A.15.1.2

在供应商协议中强调安全

控制

YES

与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的 IT基础设施组件、信息的访 问、处理、存储、沟通。

《供应关系管理程序》

A.15.1.3

信息和通信技术的供应链

控制

YES

供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。

《供应关系管理程序》

A.15.2

供应商服务交付管理

目标

YES

保持符合供应商协议的信息安全和服务交付水平。

A.15.2.1

供应商服务的监督和评审

控制

YES

组织应定期监督、评审和审核供应商的服务交付。

《相关方服务管理程序》

《供应关系管理程序》

A.15.2.2

供应商服务的变更管理

控制

YES

应管理供应商服务的变更，包括保持和改进现有信息安全策略、程序和控制措施，考虑对业务信息、系统、 过程的关键性和风险的再评估。

《相关方服务管理程序》

《供应关系管理程序》

 A.16 信息安全事件管理

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.16.1

信息安全事件的管理和改进

目标

YES

确保网络及信息处理设施中信息的安全。

A.16.1.1

职责和程序

控制

YES

应建立管理职责和程序，以快速、有效和有序的响应信息安全事件。

《信息安全事件管理程序》

A.16.1.2

报告信息安全事态

控制

YES

应通过适当的管理途径尽快报告信息安全事态。

《信息安全事件管理程序》

A.16.1.3

报告信息安全弱点

控制

YES

应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。

《信息安全事件管理程序》

《技术薄弱点的控制程序》

A.16.1.4

评估和决策信息安全事件

控制

YES

应评估信息安全事件，以决定其是否被认定为信息安全事故。

《信息安全事件管理程序》

A.16.1.5

响应信息安全事故

控制

YES

应按照文件化程序响应信息安全事故。

《信息安全事件管理程序》

A.16.1.6

从信息安全事故中学习

控制

YES

分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。

《信息安全事件管理程序》

A.16.1.7

收集证据

控制

YES

组织应建立和采取程序，识别、收集、采集和保存可以作为证据的信息。

《信息安全事件管理程序》

A.17 业务连续性管理中的信息安全

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.17.1

信息安全的连续性

目标

YES

信息安全连续性应嵌入到组织的业务连续性管理体系。

A.17.1.1

规划信息安全的连续性

控制

YES

组织应确定其需求，以保证在不利情况下信息安全管 理的安全和连续性，如在危机或灾难时。

《业务持续性控制程序》

A.17.1.2

实施信息安全的连续性

控制

YES

组织应建立、文件化、实施、维护程序和控制过程，以确保处理不利的情况过程中所需的信息安全连续性 水平。

《业务持续性控制程序》

A.17.1.3

验证，评审和评估信息安全的连续性

控制

YES

组织应定期验证已建立并实施的信息安全连续性控 制，以确保其有效并可在灾害情况下奏效。

《业务持续性控制程序》

A.17.2

冗余

目标

YES

确保信息处理设施的可用性。

A.17.2.1

信息处理设施的可用性

控制

YES

信息处理设施应具备足够的冗余以满足可用性要求。

《业务持续性控制程序》

A.18符合性

标准

条款号

标 题

目标/控制

是否选择

选 择 理 由

相 关 文 件

A.18.1

法律和合同规定的符合性

目标

YES

避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。

A.18.1.1

识别适用的法律法规和合同要求

控制

YES

应清楚的识别所有相关法律、法规与合同的要求及组织

满足要求的方法并形成文件，并针对组织及每个信息系 统进行更新。

《法律法规识别获取控制程序》

A.18.1.2

知识产权

控制

YES

应实施适当的程序，以确保对知识产权软件产品的使 用符合相关的法律、法规和合同要求。

《计算机管理规定》

A.18.1.3

保护记录

控制

YES

应按照法律法规、合同和业务要求，保护记录免受损

坏、破坏、未授权访问和未授权发布，或伪造篡改。

《文件控制程序》

《信息安全事件管理程序》

A.18.1.4

个人信息和隐私的保护

控制

YES

个人身份信息和隐私的保护应满足相关法律法规的要求。

《文件控制程序》

《档案管理规定》

A.18.1.5

加密控制法规

控制

YES

加密控制的使用应遵循相关的协议、法律法规。

《用户访问控制程序》

A.18.2

信息安全评审

目标

YES

确保依照组织的策略和程序实施信息安全。

A.18.2.1

信息安全的独立评审

控制

YES

应定期或发生重大变化时，对组织的信息安全管理方法及其实施情况 (如，信息安全控制目标、控制措施、 策略、过程和程序）进行独立评审。

《内部审核控制程序》

A.18.2.2

符合安全策略和标准

控制

YES

管理层应定期评审管辖范围内的信息处理过程符合安 全策略、标准及其他安全要求。

《管理评审控制程序》

A.18.2.3

技术符合性评审

控制

YES

应定期评审信息系统与组织的信息安全策略、标准的符合程度。

《技术符合性管理规定》