信息安全適用性聲明SOA-2022版

密級：文檔編號：ISMS過程文件信息平安適用性聲明SOA擬制審核批準日期日期日期修訂記錄日期版本修訂內(nèi)容概要擬制審核批準ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第2頁共9頁 ISO/IEC27001:2022_標準附錄A條款 阜丕是否一一選擇一一選擇/刪減的理 由 涉及文件和L _記錄 條款號 標題 控制目標 , 控制措施 一q 一一平安策略 一 一一信息平安方針 信息平安方針文件依據(jù)業(yè)務要求和相關(guān)法律法規(guī)提供管理指導并支持信息平安信息平安策略文件應由管理者批準、發(fā)布并傳達給所有員工和外部相關(guān)一方。 是信息平安管理需求信息平安方針信息平安目標信息平安方針的評審應按方案的時間間隔或當重大變化發(fā)生時進行信息平安策略評審，以確保L它持續(xù)的適宜性、充分性和有效性一—是信息平安管理需求信息平安方針管理評審程序...A..6 ,.信息平安組織… 內(nèi)部組織建立管理框架，以啟動和控制組織范圍內(nèi)的信息平安的實施和運行?！畔⑵桨步巧吐氊熢诮M織內(nèi)部管理信息平安所有的信息平安職責應予以定義和分配。是信息平安管理需求信息平安管理手冊附錄3-信息平安職能分配表附錄2-部門職責附錄5-信息平安小組成員職責別離別離相沖突的責任及職責范圍，以降低未授權(quán)或無意識的修改或者不當使用組織資產(chǎn)的時機。是信息平安管理需求信息系統(tǒng)訪問與使用監(jiān)控管理程序、用戶訪問管理程序與政府部門的聯(lián)系控制措施應保持與政府相關(guān)部門的適一當聯(lián)系。 是信息平安管理一需求 ,相關(guān)政府部門聯(lián)系表與特定利益集團的聯(lián)系控制措施應保持與特定利益集團、其L他平安論壇和專業(yè)協(xié)會的適當聯(lián)系?！切畔⑵桨补芾硪恍枨?,相關(guān)利益團體聯(lián)系表工程管理中的信息平安控制措施無論工程是什么類型，在項目管理中都應處理信息平安問題。是信息平安管理需求信息系統(tǒng)工程管理規(guī)范、信息系統(tǒng)訪問與使用監(jiān)控管理程序一 一一移動設備和遠程工作 移動設備策略確保遠程工作和使用移動設備時的平安。應采用策略和支持性平安措施來管理由于使用移動設備帶來的風險。是信息平安管理需求網(wǎng)絡訪問策略便攜式計算機平安策略可移動介質(zhì)管理程序遠程工作應實施策略和支持性平安措施來保護在遠程工作場地訪問、處理或存儲的信息是信息平安管理需求網(wǎng)絡訪問策略用戶訪問管理程序遠程工作策略△7 一一人力資源平安 一 一一任用之前 審查確保雇員和承包方人員理解其職責、適于考慮讓其承當?shù)慕巧P(guān)于所有任用候選者的背景驗證核查應按照相關(guān)法律、法規(guī)、道德標準和對應的業(yè)務要求、被訪問信息的類別和發(fā)覺的風險來執(zhí)行是信息平安管理需求員工聘用管理程序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第3頁共9頁任用條款和條件與雇員和承包方人員的合同協(xié)議應聲, L明他們和組織的信息平安職責。 是信息平安管理」一需求 員工聘用管理程序」.7.2 一一任用中 ■管理職責管理者應要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對信息1是信息平安管理需求員工聘用管理程序公司崗位職責確保雇員和承包方人L平安盡心盡力4 ■信息平安意識、教育和培員知悉并履行其信息組織的所有雇員，適當時，包括承包1訓平安職責。 方人員，應受到與其工作職能相關(guān)的］適當?shù)囊庾R培訓和組織策略及規(guī)程的是信息平安管理需求員工培訓管理程序 .....…….....……［定期更新培訓。…….....…….....…….....紀律處理過程應有一個正式的、已傳達的紀律處理過程，來對信息平安違規(guī)的雇員采取 .....…….....……L措施?！?....…….....…….....…….....是信息平安管理需求信息平安獎懲管理程1序任用的終止或變更將保護組織利益作為變更或終止任用過程|是信息平安管理需求i|. 的一局部 _j_ i任用終止或變更職責應定義信息平安職責和義務在任用終■信息平安管理需求i員工聘用管理程序i止或變更后保持有效的要求，并傳達卜 L給雇員或承包方人員，予以執(zhí)行。一…?是1員工離職管理程序一心_8 -資產(chǎn)管理 1一人8」 —對資產(chǎn)負責 i i i i i 應識別與信息和信息處理設施的資信息平安風險評估管資產(chǎn)清單產(chǎn)，編制并維護這些資產(chǎn)的清單。_i 是i信息平安資產(chǎn)風險評估要求］理程序信息資產(chǎn)識別清單清單中所維護的資產(chǎn)應分配所有權(quán)。信息平安風險評估管資產(chǎn)所有權(quán)是i信息平安管理1!需求|理程序——識別組織資產(chǎn)，并定義i 1-i--■—— ?信息資產(chǎn)識別清單適當?shù)谋Ｗo職責。 信息及與信息和信息處理設施有關(guān)的便攜式計算機平安策i資產(chǎn)的可接受使用規(guī)那么應被確定、形：略資產(chǎn)的可接受使用成文件并加以實施。是信息平安管理需求信息處理設施安裝使用管理程序網(wǎng)絡訪問策略i電子郵件策略i所有的雇員和外部方人員在終止任信息平安管理需求資產(chǎn)的歸還i用、合同或協(xié)議時，應歸還他們使用是i員工離職管理程序卜 L的所有組織資產(chǎn) 1一〔82 ..信息分類 ■信息的分類信息應按照法律要求、價值、關(guān)鍵性以及它對未授權(quán)泄露或修改的敏感性二予以分類. ?是信息平安管理需求信息分類管理程序、商|業(yè)秘密管理程序信息的標記確保信息按照其對組應按照組織所采納的信息分類機制建織的重要性受到適當L立和實施一組適宜的信息標記規(guī)程?！?是信息平安管理/一需求 信息分類管理程序級別的保護。 應按照組織所采納的信息分類機制建商業(yè)秘密管理程序、信信息的處理立和實施處理資產(chǎn)的規(guī)程。是i信息平安管理需求息處理設施安裝使用1管理程序一〔_8.3 一介質(zhì)處置 1 : : 1 : 可移動介質(zhì)的一管理 3,-w 應按照組織所采納的分類機制實施可防止存儲在介質(zhì)上的! 人工田科,巾.力上移動介質(zhì)的管理規(guī)程。 r 是信息平安管理,一需求 |可移動介質(zhì)管理程序介質(zhì)的處置信息遭受未授權(quán)泄露、! 7性如畛不再需要的介質(zhì)，應使用正式的規(guī)程修改、移動或銷毀?！?可靠并平安地處置。1是信息平安管理i需求|可移動介質(zhì)管理程序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第4頁共9頁物理介質(zhì)傳輸1 1包含信息的介質(zhì)在運送時，應防止未： i i可移動介質(zhì)管理程序運輸中物理介質(zhì)平安策略授權(quán)的訪問、不當使用或毀壞。 |是i信息平安管理i需求 一一訪問控制 .2.」 …平安區(qū)域 1 4- k—■—-i- 4-—訪問控制策略應建立、形成文件，并1信息平安管理i需求訪問控制策略訪問控制策略；一口工一口以i基于業(yè)務和信息平安要求進行評 1:限制對信息和信息處：:是網(wǎng)絡訪問策略—………r 申。i理設施的訪問。 i- i----——i- 雇員訪問策略網(wǎng)絡和網(wǎng)絡效勞的訪問用戶應僅能訪問已獲專門授權(quán)使用的j是1信息平安管理網(wǎng)絡訪問策略網(wǎng) 網(wǎng)絡和網(wǎng)絡效勞a :一—4一需求 "T-—用戶訪問管理i信息平安管理—r t ——一二需求 -T-—用戶注冊及注銷i i應實施正式的用戶注冊及注銷規(guī)程，i是j信息平安管理用戶訪問管理程序—i 卜使訪問權(quán)限得以分配。 :一一—一卜需求 1-T-—i i應實施正式的用戶訪問開通過程，以!信息平安管理i需求用戶訪問開通分配或撤銷所有系統(tǒng)和效勞所有用戶1是用戶訪問管理程序—i i一類型的訪問權(quán)限 —1—1- 1-+■—特殊訪問權(quán)限i 巾、、、、才i應限制和控制特殊訪問權(quán)限的分配及：；確保授權(quán)用戶訪問系； !是；信息平安管理用戶訪問管理程序■,,管理 !統(tǒng)和效勞，并防止未授！使用。 ! —4一需求 -- - - -用戶秘密鑒別信息管理i .的、、1 :應通過正式的管理過程控制秘密鑒別!； 權(quán)的訪問。 ：金白的八而口 ：是i信息平安管理用戶訪問管理程序—i 二信工息的分配九 L_?—工一需求 -T-—用戶訪問權(quán)限的復查1 1資產(chǎn)所有者應定期復查用戶的訪問權(quán):是|信息平安管理用戶訪問管理程序—| 上限- 匚--—$一需求 -+■—i i所有雇員、外部方人員對信息和信息j信息平安管理需求—i- 撤銷或調(diào)整訪問權(quán)限i i處理設施的訪問權(quán)限應在任用、合同i是用戶訪問管理程序— 或協(xié)議終止時撤銷，或在變化時調(diào)整。3-——用戶職責使用秘密鑒別信息i使用戶承當保護認證i應要求用戶在使用秘密鑒別信息時，!是i信息平安管理口令控制策略；一一信息平安的責任。…一一《遵循組織的實踐。 L.4.需求 1-T-—系統(tǒng)和應用訪問控制信息訪問控制應依照訪問控制策略限制對信息和應]!用系統(tǒng)功能的訪問。 [是信息平安管理i需求1—1.用戶訪問管理程序訪問控制策略i i在訪問控制策略要求下，訪問操作系j信息平安管理需求平安登錄規(guī)程統(tǒng)和應用應通過平安登錄規(guī)程加以控j是訪問控制策略—L-制- L.-T-口令管理系統(tǒng)i吐左公對心中的i口令管理系統(tǒng)應是交互式的，并應確：防止對系統(tǒng)和應用的是i信息平安管理口令控制策略—! 未授權(quán)訪問。 廠保優(yōu)質(zhì)的一口令。 [--—-4-需求 十—A.9.4.4—特殊權(quán)限使用工具軟件的使用對于可能超越系統(tǒng)和應用程序控制措i施的適用工具軟件的使用應加以限制i并嚴格控制。1是信息平安管理需求—I- -+-計算機管理程序計算機軟件安裝說明書對程序源代碼的訪問控制應限制訪問程序源代碼。 j是信息平安管理!需求信息系統(tǒng)開發(fā)控制程序11A.10密碼學密碼控制使用密碼控制的策略應開發(fā)和實施使用密碼控制措施來保i恰當和有效的利用密j護信息的策略。 [是i信息平安管理1需求密鑰管理i碼學保護信息的保密?宜開發(fā)和實施貫穿整個密鑰生命周期1性、真實性或完整性。的關(guān)于密鑰使用、保護和生存期的策i :略。 j是信息平安控制需求ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第5頁共9頁一，-11 一一物理和環(huán)境平安一 一A.11J 一一平安區(qū)域 防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。應定義平安周邊和所保護的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設施…的區(qū)域。 —是—信息平安控制需求平安區(qū)域管理程序平安區(qū)域控制方案物理平安周邊物理入口控制平安區(qū)域應由適合的入口控制所保護，以確保只有授權(quán)的人員才允許訪「問。 .....…….....…….....……......是信息平安控制需求平安區(qū)域管理程序平安區(qū)域控制方案辦公室、房間和設施的安..全保護一 應為辦公室、房間和設施設計并采取一物理平安措施?！?....…….....……......是信息平安控制一需求 」平安區(qū)域管理程序外部環(huán)境威脅的平安防護為防止自然災難、惡意攻擊或事件，…應設計和采取物理保護措施。 是信息平安控制…需求 ，平安區(qū)域管理程序在平安區(qū)域工作應設計和應用工作在平安區(qū)域的規(guī)一程。 訪問點〔例如交接區(qū)〕和未授權(quán)人員可進入辦公場所的其他點應加以控制，如果可能，應與信息處理設施隔離，…以防止未授權(quán)訪問。 是是信息平安控制—需求 信息平安控制需求平安區(qū)域管理程序平安區(qū)域管理程序交接區(qū)平安…設備 設備安置和保護防止資產(chǎn)的喪失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷。應安置或保護設備，以減少由環(huán)境威脅和危險所造成的各種風險以及未授權(quán)訪問的時機。是信息平安設施要求信息處理設施維護管理程序設備及布纜平安策略支持性設施應保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷。是信息平安設施要求信息處理設施維護管理程序設備及布纜平安策略布纜平安應保證傳輸數(shù)據(jù)或支持信息效勞的電源布纜和通信布纜免受竊聽或損壞。是信息平安設施要求信息處理設施維護管理程序設備及布纜平安策略設備維護設備應予以正確地維護，以確保其持續(xù)的可用性和完整性。是信息平安設施要求信息處理設施維護管理程序資產(chǎn)的移動設備、信息或軟件在授權(quán)之前不應帶出組織場所。是信息平安設施要求信息處理設施維護管理程序組織場外設備和資產(chǎn)的安全應對組織場所外的設備采取平安措施，要考慮工作在組織場所以外的不同風險。是信息平安設施要求信息處理設施維護管理程序設備的平安處置或在利用包含儲存介質(zhì)的設備的所有工程應進行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或平安地一寫覆蓋。 是信息平安設施要求信息處理設施維護管理程序無人值守的用戶設備用戶應確保無人值守的用戶設備有適-當?shù)谋Ｗo。 是信息平安設施一要求 ,清潔桌面和清屏策略清潔桌面和清屏策略清空桌面和屏幕策略應采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕卜一的策略。 是信息平安設施要求,△12 一一操作平安 ▲12.1 一一操作規(guī)程和職責 文件化的操作規(guī)程確保正確、平安的操作信息處理設施。操作規(guī)程應形成文件并對所有需要的用戶可用。是信息平安管理需求相關(guān)指導書和手冊ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第6頁共9頁-變更管理對影響信息平安的組織、業(yè)務過程、信息處理設施和系統(tǒng)等的變更應加以「控制L 是信息平安管理需求變更管理程序A.12.1.3—容量管理—開發(fā)、測試和運行環(huán)境分離資源的使用應加以監(jiān)視、調(diào)整，并作出對于未來容量要求的預測，以確?！瓝碛兴璧南到y(tǒng)性能。 開發(fā)、測試和運行環(huán)境應別離，以減少未授權(quán)訪問或改變運行環(huán)境的風險。是—是信息平安管理需求—信息平安管理需求信息處理設施維護管程序信息系統(tǒng)開發(fā)管理程序生產(chǎn)和測試數(shù)據(jù)平安策略.，12_2 —一工12.3 一一惡意軟件防護 控制惡意軟件—一一備份 確保對信息和信息處理設施進行惡意軟件 防護。 應實施惡意軟件的檢測、預防和恢復的控制措施，以及適當?shù)奶岣哂脩舭病庾R。 是—信息平安控制要求—病毒防范策略惡意軟件管理程序-A.-12.4 信息備份…日志和監(jiān)視一… 為了防止數(shù)據(jù)喪失。應按照已設的備份策略，定期備份和測試信息和軟件。是信息平安備份要求信息備份平安策略重要信息備份管理程序 A.12.4.1事態(tài)記錄應產(chǎn)生記錄用戶活動、異常情況、故障和信息平安事態(tài)的事態(tài)日志，并保持定期評審。是信息平安監(jiān)視要求信息平安監(jiān)控策略信息系統(tǒng)訪問與使用監(jiān)控管理程序日志信息的保護記錄日志的設施和日志信息應加以保護，以防止篡改和未授權(quán)的訪問。是信息平安監(jiān)視要求信息平安監(jiān)控策略、信息系統(tǒng)訪問與使用監(jiān)控管理程序管理員和操作員日志記錄事態(tài)和生成證據(jù)。統(tǒng)管理員和系統(tǒng)操作員的活動應記入日志，保護日志并定期評審。是信息平安監(jiān)視要求信息平安監(jiān)控策略、信息系統(tǒng)訪問與使用監(jiān)控管理程序A.12.4.4—.A..12.5. 時鐘同步—一一運行軟件的控制 在運行系統(tǒng)上安裝軟件確保運行系統(tǒng)的完整性。一個組織或平安域內(nèi)的所有相關(guān)信息處理設施的時鐘應使用單一參考時間源進行同步。應實施規(guī)程來控制在運行系統(tǒng)上安裝軟件。是——是信息平安監(jiān)視要求——信息平安開發(fā)要求信息平安監(jiān)控策略、信息系統(tǒng)訪問與使用監(jiān)控管理程序信息系統(tǒng)開發(fā)管理程序.，12_6 一一技術(shù)脆弱性管理. 技術(shù)脆弱性的控制防止技術(shù)脆弱性被利應及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當?shù)拇胧﹣硖幚硐嘁魂P(guān)的風險. 是信息平安管理需求信息處理設施維護管理程序A.12.6.2—限制軟件安裝—信息系統(tǒng)審計考慮用。應建立和實施軟件安裝的用戶管理規(guī)貝限是—信息平安管理需求—計算機管理程序計算機軟件安裝說明書信息系統(tǒng)審計控制措施將運行系統(tǒng)審計活動的影響最小化。涉及對運行系統(tǒng)驗證的審計要求和活動，應謹慎地加以規(guī)劃并取得批準，以便使造成業(yè)務過程中斷最小化。 是信息平安管理需求信息平安合規(guī)性管理程序一工13A13一一通信平安 1網(wǎng)絡平安管理ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第7頁共9頁網(wǎng)絡控制應管理和控制網(wǎng)絡，以保護系統(tǒng)中信1L息和應用程序的平安。 L-是信息平安控制」一要求 網(wǎng)絡訪問策略網(wǎng)絡效勞平安平安機制、效勞級別以及所有網(wǎng)絡服|確保網(wǎng)絡中信息的安|務的管理要求應予以確定并包括在所|全性并保護支持性信?有網(wǎng)絡效勞協(xié)議中，無論這些效勞是|息處理設施。L由內(nèi)部提供的還是外■包的。 L-是信息平安控制|要求網(wǎng)絡訪問策略網(wǎng)絡隔離應在網(wǎng)絡中隔離信息效勞、用戶及信1息系統(tǒng)。 !是信息平安控制i要求網(wǎng)絡設備平安配置管i理程序、網(wǎng)絡訪問策略」13.2 一一信息傳遞 信息傳遞策略和規(guī)程應有正式的傳遞策略、規(guī)程和控制措j施，以保護通過使用各種類型信設施i匚的信息傳遞。 i.---是信息平安管理］要求遠程訪問控制程序信息傳遞協(xié)議1協(xié)議應解決組織與外部方之間業(yè)務信1確保采用一致和有效j息的平安傳遞。 !是1信息平安管理1i要求1遠程訪問控制程序1電子消息發(fā)送的方法對信息平安事i =件進行管理。 包含在電子消息發(fā)送中的信息應給予1適當?shù)谋Ｗo。 i是信息平安管理：要求電子郵件策略即時通軟件使用策略A.13.2.4—_114 保密性或不泄露協(xié)議—,.系統(tǒng)獲取。開發(fā)和維護……應識別、定期評審并記錄反映組織信|息保護需要的保密性或不泄露協(xié)議的1卜 L要求. i....是信息平安管理i要求1—1- 保密及競業(yè)禁止協(xié)議模板,一一AJ4J 信息系統(tǒng)的平安需求 1信息平安要求分析和說明信息平安相關(guān)要求應包括新的信息系j確保信息平安是信息統(tǒng)要求或增強已有信息系統(tǒng)的要求。|是信息平安管理i要求信息系統(tǒng)開發(fā)控制程序、惡意軟件控制程序公共網(wǎng)絡應用效勞平安系統(tǒng)整個生命周期中應保護公共網(wǎng)絡中的應用效勞信息，|的一個有機組成局部。i以防止欺騙行為、合同糾紛、未授權(quán)i這也包括提供公共網(wǎng)l泄露和修改。 l-是信息平安管理|要求保護應用效勞交易絡效勞的信息系統(tǒng)的i應保護涉及應用效勞交易的信息，以i要求 防止不完整傳送、錯誤路由、未授權(quán)|消息變更、未授權(quán)泄露、未授權(quán)消息1 L復制或重放。 L..是信息平安管理|要求,一一A.14.2 一一開發(fā)和支持過程中的平安…平安開發(fā)策略應建立軟件和系統(tǒng)開發(fā)規(guī)那么，并應用］1于組織內(nèi)的開發(fā)。 1是信息平安管理1需求信息系統(tǒng)開發(fā)控制程序、惡意軟件控制程序系統(tǒng)變更控制規(guī)程應通過使用正式變更控制程序控制開1發(fā)生命周期中的系統(tǒng)變更。 i是信息平安管理需求信息系統(tǒng)開發(fā)控制程i序運行平臺變更后應用的技術(shù)評審當運行平臺發(fā)生變更時，應對業(yè)務的］關(guān)鍵應用進行評審和測試，以確保對!L組織的運行和平安沒有負面影響。 二是信息平安管理需求信息系統(tǒng)開發(fā)控制程1序軟件包變更限制應確保進行信息平安［應對軟件包的修改良行勸阻，只限于\、n_、i必必/口口qd匕：4人」以1丁0口J1幺以巫1」MHtL，八HKJ:設計，并確保其在信息1、，曲田+木口am*木士”行!萬“■宜心?人人日日口^i必要的變更，且對所有的變更加以嚴；系統(tǒng)開發(fā)生命周期中：人4小 ：、、- 上格控制。 L—是信息平安管理需求信息系統(tǒng)開發(fā)控制程i序平安系統(tǒng)工程原那么實施。 '.,,,s ,,1、、人一Q一LIi應建立、記錄和維護平安系統(tǒng)H程原I貝1，并應用到任何信息系統(tǒng)實施工作。i是信息平安管理需求信息系統(tǒng)開發(fā)控制程1序平安開發(fā)環(huán)境組織應建立并適當保護系統(tǒng)開發(fā)和集］成工作的平安開發(fā)環(huán)境，覆蓋整個系jL統(tǒng)開發(fā)生命周期。 L..是信息平安管理需求信息系統(tǒng)開發(fā)控制程1序外包開發(fā)組織應管理和監(jiān)視外包系統(tǒng)開發(fā)活|動。 1否信息平安管理需求信息系統(tǒng)開發(fā)控制程i序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第8頁共9頁系統(tǒng)平安測試在開發(fā)過程中，應進行平安功能測試。是 信息平安管理需求信息系統(tǒng)開發(fā)控制程序系統(tǒng)驗收測試對于新建信息系統(tǒng)和新版本升級系統(tǒng)，應建立驗收測試方案和相關(guān)準那么。是信息平安管理需求信息系統(tǒng)開發(fā)控制程序測試數(shù)據(jù)是系統(tǒng)測試數(shù)據(jù)的保護確保保護測試數(shù)據(jù)。測試數(shù)據(jù)應認真地加以選擇、保護和控制。是信息平安開發(fā)要求生產(chǎn)和測試數(shù)據(jù)平安策略一人15 一一供給商關(guān)系 ▲15J 一一供給商關(guān)系的信息、平安……確保保護可被供給商訪問的組織資產(chǎn)。供給商關(guān)系的信息平安策略為減緩供給商訪問組織資產(chǎn)帶來的風險，應與供給商協(xié)商并記錄相關(guān)信息一平安要求。 是供給商管理需求供給商管理程序處理供給商協(xié)議的平安問題應與每個可能訪問、處理、存儲組織信息、與組織進行通信或為組織提供IT根底設施組件的供給商建立并協(xié)L一商所有相關(guān)的信息平安要求。 是供給商管理需求供給商管理程序信息和通信技術(shù)供給鏈供給商協(xié)議應包括信息和通信技術(shù)服務以及產(chǎn)品供給鏈相關(guān)信息平安風險L處理的要求。 是供給商管理需求供給商管理程序一A62 ,,供給商效勞交付管理,………供給商效勞的監(jiān)視和評審保持符合供給商交付協(xié)議的信息平安和服務交付的商定水準。組織應定期監(jiān)視、評審和審計供給商…效勞交付。 卜 是—供給商管理需一求 供給商管理程序供給商效勞的變更管理應管理供給商效勞提供的變更，包括保持和改良現(xiàn)有的信息平安策略、規(guī)程和控制措施，并考慮到業(yè)務信息、系統(tǒng)和涉及過程的關(guān)鍵程度及風險的一再評估。 是供給商管理需求供給商管理程序一A.16 一一信息平安事件管理 信息平安事件和改良的管一一理 確保采用一致和有效的方法對信息平安事件進行管理，包括平安事件和弱點的傳達。職責和規(guī)程應建立管理職責和規(guī)程，以確?？焖佟⒂行Ш陀行虻仨憫畔⑵桨彩录?。是信息平安管理需求信息平安事件管理程序報告信息平安事態(tài)信息平安事態(tài)應盡可能快地通過適當?shù)墓芾砬肋M行報告。是 信息平安管理要求信息平安事件管理程序報告信息平安弱點應要求使用組織信息系統(tǒng)和效勞的所有雇員和承包方人員記錄并報告他們觀察到的或疑心的任何系統(tǒng)或效勞的L平安弱點d 是信息平安管理要求信息平安事件管理程序評估和確定信息平安事態(tài)信息平安事態(tài)應被評估，并且確定是否劃分成信息平安事件。是信息平安管理要求信息平安事件管理程序信息平安事件響應應具有與信息平安事件響應相一致的文件化規(guī)程。是信息平安管理要求信息平安事件管理程序?qū)π畔⑵桨彩录目偨Y(jié)獲取信息平安事件分析和解決的知識應被用戶降低將來事件發(fā)生的可能性L或影響。 是信息平安管理要求信息平安事件管理程序證據(jù)的收集組織應定義和應用識別、收集、獲取和保存信息的程序，這些信息可以作為證據(jù)。 是信息平安管理要求信息平安事件管理程序A.17業(yè)務連續(xù)性管理的信息安全方面ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第9頁共9頁信息平安連續(xù)性信息平安連續(xù)性方案組織的業(yè)務連續(xù)性管理體系中應