信息安全管理体系要求的文件清单 |
版本 | 更改类型 | 生效日期 | 更改内容 |
会签部门: 品质: 工程: 采购: 业务: 研发: IT: 生产: PMC: 行政: 财务: | ||
制作: | 审核:顺丰快递电话查询 | 批准: |
信息安全管理体系标准所要求文件或记录包括:
一、文件:
1.方针目标文件 4.3.1 a)
2.范围文件 4.3.1 b)
3.风险评估方法 4.3.1 d)
4.风险评估报告 4.3.1 e)
5.风险处理计划 4.3.1 f)
6.控制措施有效性测量程序 4.3.1 g)
7.适用性声明 4.3.1 i)
8.文件控制程序 4.3.2
9.记录控制文件 4.3.3
10.内部审核程序 6
11.管理评审结果; 7.1
12.纠正措施程序 8.2;
13.预防措施程序 8.3
14.重要资产清单 A.7.1.1
僵尸围城成就15.资产使用规则 A.7.1.3
16.信息安全角和职责 A.8.1.1
17.信息处理设施操作程序 A.10.1.1
18.信息访问控制策略 A.11.1.1
19.法律法规、合同符合程序 A.15.1.1
二、表单
1.可能影响信息安全管理有效性或绩效的措施火影忍者电影版和事件的记录 4.2.3 h
2.ISMS事故记录 4.3.3
3.员工资历记录 5.2.2
4.内部审核记录 6
5.管理评审记录 7.1
6.纠正措施结果记录 8.2
7.预防措施结果记录 8.3
8.故障记录 A.10.10.5
9.安全弱点记录 A.13.1.2
ISO27001所要求的文件列表
序号 | 文件名称 | 27001条款 | 备注 |
1. | ISMS方针 | 4.3.1 a) 4.3.1 b) A.5.1.1 A.5.1.2 A.6.1.1 | 确定组织信息安全的范围和边界 确定组织的信息安全方针 信息安全方针要形成文件 按计划的时间间隔、当发生重大变化时评审 管理者的承诺 |
2. | 风险评估程序 | 4.3.1 d) 4.3.1 e) A.7.1.1 A.7.1.2 | 规定组织实施风险评估的步骤和方法 风险评估报告,记录评估程序的结果 重要资产清单,包括资产类型、格式、位置、备份信息、许可信息和业务价值。 包含对应的资产责任人,并注释 |
3. | 风险处理计划 | 搬新家祝福语 4.3.1 f) | 针对风险评估中高风险的处理计划 |
4. | 适用性声明 | 4.3.1 i) | 对所选择的控制措施的说明 |
5. | 文件控制程序 | 4.3.2 | 对体系文件的控制程序 |
新浪微博不能评论6. | 记录控制文件 | 4.3.3 A.15.1.3 | 对体系记录的控制程序 规定对组织记录的保护要求,以满足法律法规等的要求 |
7. | 内部审核程序 | 6 | 规定体系的内审程序 |
8. | 管理评审程序 | 4.2.3 f) 7.1 4.2.3 b) 4.2.3 b) A.6.1.8 | 规定体系的管理评审程序 考虑安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈 考虑风险评估的评审、以及对残余风险和已标识的可接受风险的级别进行评审 组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)的评审 |
0.1米等于多少毫米9. | 纠正与预防措施程序 | 8.2 8.3 | 规定组织采取纠正和预防措施的程序 |
10. | 信息处理设施操作程序 (资产使用规则) | A.7.1.3 A.10.1.1 A.10.1.2 A.10.1.3 A.10.10.2 A.15.1.5 | 1规定资产的合格使用规则 2信息处理设施操作程序要形成文件 3规定信息处理设施操作系统和应用软件的变更管理 4 规定信息处理设施操作的责任分割 5信息处理设施监视程序的使用规则 6从法律方面要求考虑,禁止用户使用信息处理设施用于未授权的目的 |
11. | 信息安全角和职责 | A.8.1.1 A.6.1.2 A.6.1.3 A.6.1.1 A.8.2.1 | 分配人员角和职责时应考虑有关信息安全协调的内容 高层管理者的职责 管理者应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。 |
12. | 访问控制策略 | A.11.1.1 | 基于业务与安全要求建立文件化的访问控制策略要求,并规定评审的实施要求。 |
A.11.2 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 | 在访问控制策略中规定对用户访问管理的要求: 1规定用户的注册及注销程序 2分配和使用特殊权限的规定 3对用户口令分配的控制 4规定定期对用户的访问权进行复查 | ||
A.11.3 A.11.3.1 A.11.3.2 A.11.3.3 | 在访问控制策略中规定用户职责 1规定用户使用口令,并在选择和使用时遵循良好的惯例。 2规定用户应了解保护无人看管设备的安全要求和程序以及他们的职责。 3规定用户要按要求清空桌面和屏幕。 | ||
A.11.4 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 A.11.4.7 | 网络与网络服务访问控制策略,包括: 1规定允许访问的网络和网络服务、谁访问、保护访问的管理控制和程序等。 2规定对远程用户访问的鉴别方法。 3考虑自动设备标识及鉴别 4诊断和配置端口的控制 5规定网络按照存储或处理信息的价值和分类等进行隔离 6规定用户连接网络的限制 7在网络中实施路由控制的要求 | ||
A.11.5 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5 A.11.5.6 | 操作系统访问控制策略,包括: 1访问操作系统应通过安全登录程序加以控制; 2用户标识应唯一,使用适当的认证技术; 3如果在操作系统中使用口令管理系统,它应是交互式的,强制使用优质口令和口令变更等。 4规定系统实用工具的使用限制 5必要时,规定超过规定时限,设施应清空会话屏幕并且,关闭应用和网络会话。 6必要时,规定联机时间的限制 | ||
A.11.6 A.11.6.1 A.11.6.2 | 信息访问控制策略,包括: 1控制对应用系统及其中信息的访问权力 2如果存在敏感系统,应规定逻辑或物理的隔离手段 | ||
13. | 信息处理设施授权程序 | A.6.1.4 | 授权批准新设施的用途和使用。 |
14. | 保密性协议评审制度 | A.6.1.5 | 识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论