ITSM-3-SoA-000信息安全适用性声明.docx

ISMS-2001

XXXXXX 第PAGE33页共NUMPAGES33页

适用性声明

编号：ISMS-P-2001

状态：受控

编写：

200X年XX月XX日

200X年XX月XX日

200X年XX月XX日

发布版次：第A/0版

200X年XX月XX日

生效日期

200X年XX月XX日

分发：各部门〔或XXX〕

接受部门：

ISMS-2001

XXXXXX 第PAGE33页共NUMPAGES33页

变更记录

变更日期

版本

变更说明

编写

审核

批准

2021-XX-XX

A/0

初始版本

XXX

XXX

XXX

ISMS-2001

XXXXXX 第PAGE33页共NUMPAGES33页

目录

TOC\o1-3\h\z\u1目的与范围 4

2相关文件 4

3职责 4

4声明 4

平安方针 5

平安组织 5

资产管理 7

人力资源平安 7

实物与环境平安 7

通信和操作管理 7

访问控制 7

信息系统获取、开发和维护 7

信息平安事件管理 7

业务持续性管理 7

符合性 7

ISMS-2001

XXXXXX 第PAGE33页共NUMPAGES33页

信息平安适用性声明

1目的与范围

本声明描述了在ISO27001:2005附录A中，适用于本公司信息平安管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2相关文件

ISMS-1001?信息平安管理手册?

3职责

?信息平安适用性声明?由XXX编制、修订，由管理者代表批准。

4声明

本公司按GB/T22080-2021idtISO/IEC27001:2005建立信息平安管理体系。

根据公司风险评估的结果和风险可接受水平，GB/T22080-2021idtISO/IEC27001:2005附录A的以下条款被选择〔或不选择)用于本公司信息平安管理体系，共删除X条控制措施。

ISMS-2001

XXXXXX 第PAGE33页共NUMPAGES33页

平安方针

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

信息平安方针

目标

YES

为信息平安提供管理方向和支持，并说明管理层对信息平安的承诺。

信息平安方针文件

控制

YES

信息平安管理实施的需要。

信息平安方针由公司总经理制定，在?信息平安管理手册?中描述，由公司总经理批准发布。通过培训、发放?信息平安管理手册?等方式传到达每一员工。采用张贴布告于宣传栏、网站等形式传到达各主管部门、客户群等外部相关方。

ISMS-1001?信息平安管理手册?

评审与评价

控制

YES

确保方针持续的适宜性。

每年利用管理评审对方针的适宜性进行评价，必要时对方针进行修订。

ISMS-P-2004?管理评审控制程序?

平安组织

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

内部组织

目标

YES

建立一个有效的信息平安管理组织机构。

信息平安管理承诺

控制

YES

确定评审平安承诺及处理重大平安事故，确定与平安有关重大事项所必须的职责分配及确认、沟通机制。

公司成立信息平安管理委员会，由公司领导、信息平安管理者代表、各主要部门负责人组成。信息平安管理委员会至少每半年召开一次，或者当信息平安管理体系发生重大变化或当管理者代表认为有必要时召开。信息平安管理者代表负责决定召开会议的时机及会议议题，行政部负责准备会议日程的安排。会议主要议题包括：

a)评审信息平安承诺；

b)确认风险评估的结果；

c)对与信息平安

ISMS-1001?信息平安管理手册?

ISMS-2001

XXXXXX 第PAGE33页共NUMPAGES33页

管理有关的重大更改事项，如组织机构调整、关键人事变动、信息系统更改等，进行决策；

e)评审与处理重大信息平安事故；

f)审批与信息平安管理有关的其他重要事项。

信息平安的协调

控制

YES

公司涉及信息平安部门众多，组织机构复杂，需要一个有效沟通与协调机制。

公司成立信息平安管理协调小组，由信息平安管理者代表和XXX部、XXX部信息平安体系内审员组成。

协调小组每季度