【正文】 定每個員工在信息安全方面應履行的職責。標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件任用之前目標YES對聘用過程進行管理，確保員工、合同方和第三方用戶理解其責任，并且能勝任其任務，以降低設施被盜竊、欺詐或誤用的風險。要覆蓋所有物理或電子形式的信息資產(chǎn)，對于屬于企業(yè)秘密與國家秘密的文件（無論任何媒質(zhì)），密級確定部門要進行適當?shù)臉俗?；公開信息不需要標注，其余均標注受控或秘密。不同密級事項的界定，由涉及秘密事項產(chǎn)生部門按照相應的原則進行分類。分類指南控制YES本公司的信息安全涉及信息的敏感性，適當?shù)姆诸惪刂剖潜匾?。并對信息資源的使用，以及發(fā)生在其責任下的使用負責。制定相應的業(yè)務系統(tǒng)應用管理制度，重要設備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則。如本公司保密辦可以組織相關部門指定資產(chǎn)負責人。 資產(chǎn)負責人控制YES需要對重要信息處理設施有及重要信息指定責任人。資產(chǎn)清單控制YES公司需建立重要資產(chǎn)清單并實施保護。公司外包責任部門識別外包活動的風險，明確外包活動的信息安全要求，凡涉及存取、處理、通訊或管理組織的信息或信息處理設施，或在信息處理設施上附加產(chǎn)品或服務者，應在外包合同中明確規(guī)定信息安全要求。公司與長期訪問的顧客簽訂保密協(xié)議，明確規(guī)定信息安全要求，顧客方訪問同樣適用物理、邏輯訪問控制措施。處理與顧客有關的安全問題控制YES在正式的合同中規(guī)定必要的安全要求是必須的。公司與長期訪問的第三方簽訂保密協(xié)議。與外部各方相關風險的識別控制YES本公司存在諸如設備供應商來公司維修設備、顧客訪問公司信息網(wǎng)絡系統(tǒng)等第三方訪問的情況，應采取必要的安全措施進行控制。內(nèi)審員獲得授權，在審核期間不受行政的領導的限制，直接對審核組長負責。信息安全管理體系的內(nèi)部審核員由有審核能力和經(jīng)驗的人員組成（包括IT方面的專家），并接受ISMS內(nèi)部審核員培訓且考評合格。內(nèi)部信息安全顧問負責：a) 按照專業(yè)分工負責解答公司有關信息安全的問題并提供信息安全的建議；b) 收集與本公司信息安全有關的信息、新技術變化，經(jīng)本部門負責人審核同意，利用本公司電子郵件系統(tǒng)或采用其它方式傳遞到相關部門和人員；c) 必要時，參與信息安全事故的調(diào)查工作。本公司設內(nèi)部信息安全顧問，必要時聘請外部專家，與特定利益群體保持溝通，解答有關信息安全的問題。信息安全交流時，確保本公司的敏感信息不傳給未經(jīng)授權的人。與政府部門的聯(lián)系控制YES與法律實施部門、標準機構等組織保持適當?shù)穆?lián)系是必須的，以獲得必要的安全管理、標準、法律法規(guī)方面的信息。本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關人員（合同方、臨時員工）的安全考察與控制。明確信息處理設施的使用部門接受新設施的信息安全負責人為XXX部，XXX部人員需要講解新設施的正確使用方法。在哪個文件里描述職責，《信息安全組織》么？信息處理設施的授權程序為什么在這個域中？控制YES本公司有新信息處理設備（設施）使用時，實施使用授權程序。對每一項重要信息資產(chǎn)指定信息安全責任人。信息安全職責的分配控制YES保持特定資產(chǎn)和完成特定安全過程的職責需確定。協(xié)調(diào)小組每季度召開一次協(xié)調(diào)會議（特殊情況隨時召開會議），對上一季度的信息安全管理工作進行總結，解決體系運行中存在的問題，并布置下一季度的信息安全工作。信息安全的協(xié)調(diào)控制YES公司涉及信息安全部門眾多，組織機構復雜，需要一個有效溝通與協(xié)調(diào)機制。信息安全管理者代表負責決定召開會議的時機及會議議題，行政部負責準備會議日程的安排。公司成立信息安全管理委員會，由公司領導、信息安全管理者代表、各主要部門負責人組成。信息安全管理承諾控制YES確定評審安全承諾及處理重大安全事故，確定與安全有關重大事項所必須的職責分配及確認、溝通機制。按照計劃的時間間隔（如每年）或當重大變化發(fā)生時利用管理評審對方針的進行評審以確保它持續(xù)的適宜性、充分性和有效性，必要時對方針進行修訂。信息安全方針文件應由管理階層核準，并通過培訓、張貼布告于宣傳欄、網(wǎng)站等形式公布與傳達給所有聘雇人員與相關外部團體。XXXXXX有限公司 第34頁 共34頁標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件信息安全方針目標YES依據(jù)業(yè)務要求和相關法律法規(guī)為信息安全提供管理方向和支持，并表明管理層對信息安全的承諾。4 聲明本公司按GB/T 220802008 idt ISO/IEC27001:2005建立信息安全管理體系。ISMS 2001適用性聲明編號：ISMSP2001狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日批準：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：變 更 記 錄變更日期版本變更說明編寫審核批準2009XXXXA/0初始版本XXXXXXXXX目 錄1 目的與范圍 42 相關文件 43 職責 44 聲明 4 5 5 7 7 7 7 開發(fā)和維護 7 7 7 7信息安全適用性聲明1 目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標/控制、是否選擇這些目標/控制的理由、公司現(xiàn)行的控制方式、以及實施這些控制所涉及的相關文件。2 相關文件ISMS1001《信息安全管理手冊》3 職責《信息安全適用性聲明》由XXX編制、修訂，由管理者代表批準。根據(jù)公司風險評估的結果和風險可接受水平，GB/T 220802008 idt ISO/IEC27001:2005附錄A的下列條款被選擇（或不選擇)用于本公司信息安全管理體系，共刪除X條控制措施。信息安全方針文件控制YES信息安全管理實施的需要。信息安全方針的評審與評價控制YES確保方針持續(xù)的適宜性。標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件內(nèi)部組織目標YES建立一個有效的信息安全管理組織機構。管理者應通過清晰的說明、可證實的承諾、明確的信息安全職責分配來積極支持組織內(nèi)的安全。信息安全管理委員會至少每半年召開一次，或者當信息安全管理體系發(fā)生重大變化或當管理者代表認為有必要時召開。會議主要議題包括：a) 評審信息安全承諾；b) 確認風險評估的結果；c) 對與信息安全管理有關的重大更改事項，如組織機構調(diào)整、關鍵人事變動、信息系統(tǒng)更改等，進行決策；e) 評審與處理重大信息安全事故；f) 審批與信息安全管理有關的其他重要事項。公司成立信息安全管理協(xié)調(diào)小組，由信息安全管理者代表、保密辦以及信息安全體系內(nèi)審員組成。由保密辦負責組織安排并做好會議記錄。公司設立信息安全管理者代表，全面負責公司ISMS的建立、實施與保持工作。與ISMS有關各部門的信息安全職責應予以描述，關于具體的信息安全活動的職責在程序及作業(yè)文件中予以明確。對各自負責管理的信息系統(tǒng)，根據(jù)使用者需求提出新設施（包括軟件）的采購技術規(guī)格，由XXX部進行技術選型，并組織驗收，確保與原系統(tǒng)的兼容。信息安全保密性協(xié)議控制YES為更好掌握信息安全的技術及聽取安全方面的有益建議，需與內(nèi)外部經(jīng)常訪問我公司信息處理設施的人員訂立保密性協(xié)議。a) 保密信息的形式：標明“秘密”、“受控”字樣的資料，以及相關的文件、數(shù)據(jù)、分析報告、算法、樣品、實物、規(guī)格說明軟盤等，未標明“秘密”、“受控”字樣的即為公開文件；b) 乙方僅能夠在甲方規(guī)定的范圍內(nèi)使用保密信息、或者向甲方書面認可的第三方披露甲方認可可披露范圍內(nèi)的保密信息；c) 乙方不得向其他任何第三方披露任何從甲方處收到或合法獲知的保密信息。信息部就電話/網(wǎng)絡通訊系統(tǒng)的安全問題與市信息主管部門及標準制定部門保持聯(lián)系，其他部門與相應的政府職能部門及社會服務機構保持聯(lián)系，以便及時掌握信息安全的法律法規(guī)，及時獲得安全事故的預防和糾正信息，并得到相應的支持。與特定利益團體的聯(lián)系控制YES為更好掌握信息安全的新技術及安全方面的有益建議，需獲得內(nèi)外部信息安全專家的建議。顧問與專家名單由本公司信息安全委員會提出，管理者代表批準。信息安全的獨立評審控制YES為驗證信息安全管理體系實施的有效性及符合性，公司定期進行內(nèi)部審核，審核需要客觀公正性。內(nèi)部審核員在現(xiàn)場審核時保持審核的獨立性，并不審核自己的工作。外部各方目標YES識別外部各方訪問、處理、管理、通信的風險，明確對外部各方訪問控制的要求，并控制外部各方帶來的風險。第三方物理訪問須經(jīng)公司被訪問部門的授權，進入工作區(qū)應進行登記。訪問特別安全區(qū)域時由專人陪同，第三方邏輯訪問（如信息系統(tǒng)、數(shù)據(jù)庫）應按照訪問控制要求進行控制。應在允許顧客訪問組織的信息或資產(chǎn)前強調(diào)所有的安全要求。處理第三方協(xié)議中的安全問題控制YES與本公司存在相關服務主要有XXXXXX、XXX。標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件資產(chǎn)責任目標YES對本公司重要信息資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進行有效保護。保密辦組織各部門按業(yè)務流程識別所有信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷準則確定公司的重要信息資產(chǎn)，形成重要信息資產(chǎn)清單，并明確資產(chǎn)負責人。所有與信息及信息處理設施有關的資產(chǎn)應由組織指定相應的部門或人員負責。資產(chǎn)的可接受使用控制YES識別與信息系統(tǒng)或服務相關的資產(chǎn)的合理使用規(guī)則，并將其文件化，予以實施。使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶應該了解與信息處理設施和資源相關的信息和資產(chǎn)方面的限制。信息分類目標YES本公司根據(jù)信息的敏感性對信息進行分類，明確保護要求、優(yōu)先權和等級，以明確對信息資產(chǎn)采取適當?shù)谋Ｗo。本公司的信息密級劃分為三級（公開、受控、機密）或四級（公開、內(nèi)部、機密、極其機密）。信息的標識和處理控制YES按分類方案進行標注并規(guī)定信息處理的安全的要求。信息的使用、傳輸、存儲、刪除、銷毀要進行控制。角色和職責控制YES與信息安全有關的人員的安全職責必須明確規(guī)定并履行。所有員工須遵守公司有關信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密。XX部負責對初始錄用員工進行能力、信用考察，每年對關鍵信息安全崗位進行年度考察，對于不符合安全要求的不得錄用或進行崗位調(diào)整。作為勞動合同的一部分，員工、合同方和第三方用戶應同意并簽署他們的雇傭合同的條款。聘用期間控制YES確保所有的員工、合同方和