ISMS控制目标和控制措施适用性声明(SOA) - 图文

信息安全管理体系SOA适用性声明

1 目的

为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。

2 范围

本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。

3 适用性声明

条款 A.5 安全方针 A.5.1 信息安全方针 A.5.1.1 信息安全方针文件 依据业务要求和相关法律法规提供管理指导并支持信息安全。 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。 选择 信息安全工作要求所确定，见《信息安全管理体系方针》。 选择 信息安全工作要求所确定，见《信息安全管理体系方针》。 目标 控制措施 是否选择/及理由 A.5.1.2 信息安全方针的评审 A.6信息安全组织 A.6.1内部组织 A.6.1.1 信息安全的管理承诺 在组织内管理信息安全。 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 所有的信息安全职责应予以清晰地定义。 新信息处理设施应定义和实施一个管理授权过程。 选择 ？？？？ A.6.1.2 信息安全协调 选择，风险评估结果所确定，见《信息安全管理体系方针》。 A.6.1.3 A.6.1.4 信息安全职责的分配 信息处理设施的授权过程 选择，？？，见《信息安全岗位职责描述》。 选择，（写进信息安全策略）

A.6.1.5 保密性协议 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 应保持与政府相关部门的适当联系。 选择，满足客户合同和公司的要求，见《保密制度》。 A.6.1.6 A.6.1.7 与政府部门的联系 与特定权益团体的联系 信息安全的独立评审 选择，？？，见《对外联络表》。 应保持与特定权益团体、选择，获取行业信息，见《对其他安全专家组和专业外联络表》。 协会的适当联系。 组织管理信息安全的方选择，根据业务需要适时进行法及其实施（例如信息安安全机构的第三方独立评审，全的控制目标、控制措见《信息安全策略》。 施、策略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。 应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。 选择，，见《信息安全策略》。 A.6.1.8 A.6.2外部各方 A.6.2.1 与外部各方相保持组织关风险的识别 的被外部各方访问、处理、管理或与外部处理与顾客有进行通信关的安全问题 的信息和信息处理处理第三方协设施的安议中的安全问全。 题 A.6.2.2 选择，，见《信息安全策略》。 A.6.2.3 选择，，见《信息安全策略》。 A.7资产管理 A.7.1资产责任 A.7.1.1 资产清单 实现和保持对组织资产的适 应清晰的识别所有资产，选择，，见《重要信息资产清编制并维护所有重要资单》。 产的清单。 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承1担责任。 选择，，见《重要信息资产清单》。 A.7.1.2 资产责任人 当保护。 1

解释：术语“责任人”是被认可，具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实

际上对资产具有财产权的人。

A.7.1.3 资产的允许使用 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 确保信息受到适当级别的保护。 信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。 选择，，见《管理手册》。 A.7.2信息分类 A.7.2.1 分类指南 选择，，见《重要信息资产清单》见《风险评估》。 选择，，见《信息安全策略》。 A.7.2.2 信息的标记和处理 A.8 人力资源安全 A.8.1任用之前 A.8.1.1 角色和职责 A.8.1.2 审查 A.8.1.3 任用条款和条件 确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。 雇员、承包方人员和第三选择，，见《信息安全岗位职责方人员的安全角色和职描述》。 责应按照组织的信息安全方针定义并形成文件。 关于所有任用的候选者、选择，，见《人员情况调查表》。 承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。 管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。 选择，，见《人员招聘简章》。 A.8.2 任用中 A.8.2.1 管理职责 确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在选择，，见《信息安全管理体系方针》与《信息安全管理体系职责描述》。 A.8.2.2 信息安全意识、教育和培训 组织的所有雇员，适当选择，，见《信息安全管理体系时，包括承包方人员和第方针》。 三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。

A.8.2.3 纪律处理过程 其正常工作过程中支持组织的安全方针，以减少人为过失的风险。 终止职责 确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 对于安全违规的雇员，应有一个正式的纪律处理过程。 选择，，见《管理手册》。 A.8.3 任用的终止或变化 A.8.3.1 任用终止或任用变化的职责应清晰的定义和分配。 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。 选择，，见《管理手册》。 A.8.3.2 资产的归还 选择，，见《管理手册》。 A.8.3.3 撤销访问权 选择，，见《管理手册》。 A.9 物理和环境安全 A.9.1安全区域 A.9.1.1 物理安全边界 防止对组织场所和信息的未授权物理访问、损坏物理入口控制 和干扰。 应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。 安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。 应为办公室、房间和设施设计并采取物理安全措施。 选择，，见《工作场所出入管理规定》。 A.9.1.2 选择，，见《工作场所出入管理规定》。 A.9.1.3 办公室、房间和设施的安全保护 外部和环境威胁的安全防护 选择，见《工作场所出入管理规定》。 A.9.1.4 为防止火灾、洪水、地震、选择，见《突发情况应急方案爆炸、社会动荡和其他形（管理手册）》。 式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。 应设计和运用用于安全区域工作的物理保护和指南。 选择，，见《机房管理规定》。 A.9.1.5 在安全区域工作

A.9.1.6 公共访问、交接区安全 访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，要与信息处理设施隔离，以避免未授权访问。 防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。 选择，，见《工作场所出入管理规定》。 A.9.2 设备安全 A.9.2.1 设备安置和保护 选择，，见《设备管理规定》。 A.9.2.2 支持性设施 选择，，见《突发情况应急方案（管理手册）》。 A.9.2.3 布缆安全 选择，，见《机房管理规定》。 A.9.2.4 设备维护 组织场所外的设备安全 设备的安全处置或再利用 设备应予以正确地维护，选择，，见《设备管理规定》。 以确保其持续的可用性和完整性。 包含储存介质的设备的所有项目应进行检查，以确保在销毁之前，任何敏感信息和注册软件已被删除或安全重写。 不选择，没有组织场所外的设备 选择，，见《信息安全策略》。 A.9.2.5 A.9.2.6 A.9.2.7 资产的移动 设备、信息或软件在授权选择，，见《机房管理规定》。 之前不应带出组织场所。 A.10通信和操作管理 A.10.1操作程序和职责 A.10.1.1 文件化的操作程序 确保正确、操作程序应形成文件、保安全的操持并对所有需要的用户作信息处可用。 理设施。 对信息处理设施和系统的变更应加以控制。 选择，，见《设备管理规定》、《服务器管理规定》、《邮件使用安全管理规定》、《备份管理程序》、《网络安全管理规定》。 选择，，见《设备管理规定》、《服务器管理规定》。 A.10.1.2 A.10.1.3 变更管理 责任分离 各类责任及职责范围应选择，，见《用户管理规定（管加以分割，以降低未授权理手册）》。 或无意识的修改或者不当使用组织资产的机会。

A.10.1.4 开发、测试和运行设施分离 开发、测试和运行设施应选择，，见《技术部工作规范（自分离，以减少未授权访问主开发软件管理规定）》。 或改变运行系统的风险。 实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。 应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。 应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行。 选择，，见《信息安全策略》。 A.10.2 第三方服务交付管理 A.10.2.1 服务交付 A.10.2.2 第三方服务的监视和评审 选择，，见《信息安全策略》。 A.10.2.3 第三方服务的变更管理 应管理服务提供的变更，选择，，见《信息安全策略》。 包括保持和改进现有的信息安全方针策略、程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估。 将系统失资源的使用应加以监视、选择，根据业务需要适时调整，效的风险调整，并应作出对于未来见《信息安全策略》。 降至最小。 容量要求的预测，以确保拥有所需的系统性能。 应建立对新信息系统、升选择，根据业务需要适时调整，级及新版本的验收准则，见《信息安全策略》。 并且在开发中和验收前对系统进行适当的测试。 应实施恶意代码的监测、选择，风险评估结果所确定，预防和恢复的控制措施，见《网络安全管理规定（病毒、以及适当的提高用户安木马、僵尸程序等）》。 全意识的程序。 当授权使用移动代码时，选择，风险评估结果所确定，其配置应确保授权的移见《网络安全管理规定（病毒、动代码按照清晰定义的木马、僵尸程序等）》。 安全策略运行，应阻止执行未授权的移动代码。 保持信息和信息处理设施的完整性和可用性。 应按照已设的备份策略，选择，风险评估结果所确定，定期备份和测试信息和见《备份管理规定》。 软件。 A.10.3 系统规划和验收 A.10.3.1 容量管理 A.10.3.2 系统验收 A.10.4 防范恶意和移动代码 A.10.4.1 控制恶意代码 保护软件和信息的完整性。 A.10.4.2 控制移动代码 A.10.5 备份 A.10.5.1 信息备份 A.10.6 网络安全管理

A.10.6.1 网络控制 A.10.6.2 网络服务的安全 确保网络中信息的安全性并保护支持性的基础设施。 应充分管理和控制网络，选择，风险评估结果所确定，以防止威胁的发生，维护见《网络安全管理规定》。 系统和使用网络的应用程序的安全，包括传输中的信息。 安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的。 应有适当的可移动介质的管理程序。 不再需要的介质，应使用正式的程序可靠并安全地处置。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.10.7 介质处置 A.10.7.1 可移动介质的管理 A.10.7.2 A.10.7.3 防止资产遭受未授权泄露、修改、移动或介质的处置 销毁以及业务活动信息处理程序 的中断。 选择，风险评估结果所确定，见《设备管理规定（移动存储介质）》。 选择，风险评估结果所确定，见《设备管理规定（移动存储介质）》。 应建立信息的处理及贮选择，风险评估结果所确定，存程序，以防止信息的未见《信息安全策略》。 授权的泄漏或不当使用。 应保护系统文件以防止未授权的访问。 选择，风险评估结果所确定，见《技术部工作规范》。 选择，风险评估结果所确定，见《邮件管理规定（包括上传下载自动收发等）》。 A.10.7.4 系统文件安全 A.10.8 信息的交换 A.10.8.1 信息交换策略和程序 保持组织内信息和软件交换及与外部组织信息和软件交换的安全。 应有正式的交换策略、程序和控制措施，以保护通过使用各种类型通信设施的信息交换。 A.10.8.2 交换协议 应建立组织与外部团体选择，风险评估结果所确定，交换信息和软件的协议。 《邮件管理规定（包括上传下载自动收发等）》。 包含信息的介质在组织选择，风险评估结果所确定，的物理边界以外运送时，见《信息安全策略（邮寄快递）》 应防止未授权的访问、不当使用或毁坏。 包含在电子消息发送中的信息应给予适当的保护。 应建立和实施策略和程序以保护与业务信息系统互联的信息。 选择，风险评估结果所确定，见《邮件管理规定》。 选择，风险评估结果所确定，见《技术部工作规范》。 A.10.8.3 运输中的物理介质 A.10.8.4 电子消息发送 A.10.8.5 业务信息系统 A.10.9 电子商务服务 A.10.9.1 电子商务 确保电子商务服务 不选择 公司没有电子商务业务。

A.10.9.2 在线交易 的安全及其安全使用。 不选择 公司没有电子商务业务。 A.10.9.3 公共可用信息 在公共可用系统中可用选择，风险评估结果所确定，信息的完整性应受保护，见《信息管理策略（网站内容以防止未授权的修改。 授权）》。 检测未授应产生记录用户活动、异权的信息常和信息安全事件的审处理活动。 计日志，并要保持一个已设的周期以支持将来的调查和访问控制监视。 应建立信息处理设施的监视使用程序，监视活动的结果要经常评审 记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。 系统管理员和系统操作员活动应记入日志。 故障应被记录、分析，并采取适当的措施。 一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.10.10 监视 A.10.10.1 审计日志的记录 A.10.10.2 监视系统的使用 A.10.10.3 日志信息的保护 A.10.10.4 管理员和操作员日志 A.10.10.5 故障日志的记录 A.10.10.6 时钟同步 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11 访问控制 A.11.1访问控制的业务要求 A.11.1.1 访问控制策略 控制对信访问控制策略应建立、形息的访问。 成文件，并基于业务和访问的安全要求进行评审。 A.11.2用户访问管理 A.11.2.1 用户注册 确保授权应有正式的用户注册及用户访问注销程序，来授权和撤销信息系统，对所有信息系统及服务并防止未的访问。 授权的访应限制和控制特殊权限A.11.2.2 特权管理 问。 的分配及使用。 A.11.2.3 A.11.2.4 用户口令管理 用户访问权的评审 应通过正式的管理过程控制口令的分配。 管理者应定期使用正式过程对用户的访问权进行复查。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。

A.11.3 用户职责 A.11.3.1 口令使用 防止未授权用户对信息和信息处理设施的访问、危害或窃取。 应要求用户在选择及使用口令时，遵循良好的安全习惯。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11.3.2 A.11.3.3 无人值守的用户设备 清空桌面和屏幕策略 用户应确保无人值守的选择，风险评估结果所确定，用户设备有适当的保护。 见《网络安全管理规定》。 应采取清空桌面上文件、选择，风险评估结果所确定，可移动存储介质的策略见《网络安全管理规定（清空和清空信息处理设施屏桌面和屏幕策略）》。 幕的策略。 用户应仅能访问已获专门授权使用的服务。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11.4 网络访问控制 A.11.4.1 使用网络服务的策略 A.11.4.2 A.11.4.3 外部连接的用户鉴别 网络上的设备标识 远程诊断和配置端口的保护 网络隔离 网络连接控制 防止对网络服务的未授权访问。 应使用适当的鉴别方法选择，风险评估结果所确定，以控制远程用户的访问。 见《网络安全管理规定》。 应考虑自动设备标识，将其作为鉴别特定位置和设备连接的方法。 对于诊断和配置端口的物理和逻辑访问应加以控制。 应在网络中隔离信息服务、用户及信息系统。 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定（路由器的访问端口控制）》。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11.4.4 A.11.4.5 A.11.4.6 对于共享的网络，特别是选择，风险评估结果所确定，越过组织边界的网络，用见《网络安全管理规定》。 户的联网能力应按照访问控制策略和业务应用要求加以限制（见11.1）。 应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制策略。 访问操作系统应通过安全登录程序加以控制。 所有用户应有唯一的、专供其个人使用的识别码（用户ID），应选择一种适当的认证技术证实用户所宣称的身份。 口令管理系统应是交互式的，并应确保优质的口令。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11.4.7 网络路由控制 A.11.5 操作系统访问控制 A.11.5.1 A.11.5.2 安全登录程序 防止对操作系统的用户标识和鉴未授权访问。 别 选择，风险评估结果所确定，见《网络安全管理规定》。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11.5.3 口令管理系统 选择，风险评估结果所确定，见《网络安全管理规定》。

A.11.5.4 系统实用工具的使用 可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制。 不活动会话应在一个设定的休止期后关闭。 选择，风险评估结果所确定，见《网络安全管理规定（越过访问控制进入系统的工具）》。 选择，风险评估结果所确定，见《网络安全管理规定》。 A.11.5.5 A.11.5.6 对话超时 联机时间的限定 应使用联机时间的限制，选择，风险评估结果所确定，为高风险应用程序提供见《网络安全管理规定（30分额外的安全。 钟空闲自动断开）》。 用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。 选择，风险评估结果所确定，见《技术部工作规范》。 A.11.6 应用和信息访问控制 A.11.6.1 信息访问限制 防止对应用系统中信息的未授权访问。 敏感系统隔离 A.11.6.2 不选择，目前没有专用的敏感系统。 选择，，见《信息安全策略》。 不选择，目前没有远程工作。 A.11.7 移动计算和远程工作 A.11.7.1 移动计算和通确保使用信 A.11.7.2 远程工作 可移动计算和远程工作设施时的信息安全。 ××××× A.12信息系统获取、开发和维护 A.12.1信息系统的安全要求 A.12.1.1 安全要求分析确保安全和说明 是信息系统的一个有机组成部分。 A.12.2应用中的正确处理 A.12.2.1 输入数据的验证 内部处理的控制 防止应用系统中的信息的错误、遗失、未授权的修改及误用。 在新的信息系统或增强已有信息系统的业务要求陈述中，应规定对安全控制措施的要求。 选择，风险评估结果所确定，见《技术部工作规范（应用系统安全需求分析）》。 输入应用系统的数据应加以验证，以确保数据是正确且恰当的。 验证检查应整合到应用中，以检查由于处理的错误或故意的行为造成的信息的讹误。 应用中的确保真实性和保护消息完整性的要求应得到识别，适当的控制措施也应得到识别并实施。 选择，风险评估结果所确定，见《技术部工作规范》。 选择，风险评估结果所确定，见《技术部工作规范》。 A.12.2.2 A.12.2.3 消息完整性 选择，风险评估结果所确定，见《技术部工作规范》。

A.12.2.4 输出数据的验证 从应用系统输出的数据应加以验证，以确保对所存储信息的处理是正确的且适于环境的。 通过密码方法保护信息的保密性、真实性或完整性。 确保系统文件的安全 选择，风险评估结果所确定，见《技术部工作规范》。 A.12.3密码控制 A.12.3.1 A.12.3.2 使用密码控制的策略 密钥管理 不选择，没有密码要求。 不选择，没有密码要求。 A.12.4系统文件的安全 A.12.4.1 运行软件的控制 A.12.4.2 A.12.4.3 系统测试数据的保护 应有程序来控制在运行系统上安装软件。 测试数据应认真地加以选择、保护和控制。 选择，风险评估结果所确定，见《技术部工作规范》。 选择，风险评估结果所确定，见《技术部工作规范》。 对程序源代码的访问控制 A.12.5开发和支持过程中的安全 A.12.5.1 变更控制程维护应用序 系统软件A.12.5.2 操作系统变和信息的安全。 更后应用的技术评审 A.12.5.3 应限制访问程序源代码。 选择，风险评估结果所确定，见《技术部工作规范》。 软件包变更的限制 应使用正式的变更控制程序控制变更的实施。 当操作系统发生变更后，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。 应对软件包的修改进行劝阻，限制必要的变更，且对所有的变更加以严格控制。 应防止信息泄露的可能性。 选择，风险评估结果所确定，见《技术部工作规范》。 选择，风险评估结果所确定，见《技术部工作规范》。 选择，风险评估结果所确定，见《技术部工作规范》。 A.12.5.4 A.12.5.5 信息泄露 选择，风险评估结果所确定，见《技术部工作规范》。 不选择，没有外包软件开发。 外包软件开发 A.12.6 技术脆弱点管理 A.12.6.1 技术脆弱点的控制 降低利用公布的技术脆弱性导致的风险。 应及时得到现用信息系选择，风险评估结果所确定，统技术脆弱性的信息，评见《技术部工作规范》。 价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。 A.13信息安全事故管理 A.13.1报告信息安全事件和弱点 A.13.1.1 报告信息安全事件 确保与信息系统有关的信息信息安全事件应该尽可能快地通过适当的管理渠道进行报告。 选择，风险评估结果所确定，见《信息安全事故管理程序》。

A.13.1.2 报告安全弱点 安全事件和弱点能够以某种方式传达，以便及时采取纠正措施。 确保采用一致和有效的方法对信息安全事故进行管理。 应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。 选择，风险评估结果所确定，见《信息安全事故管理程序》。 A.13.2 信息安全事故和改进的管理 A.13.2.1 职责和程序 应建立管理职责和程序，选择，风险评估结果所确定，以确保能对信息安全事见《信息安全事故管理程序》。 故做出快速、有效和有序的响应。 应有一套机制量化和监选择，风险评估结果所确定，视信息安全事故的类型、见《信息安全事故管理程序》。 数量和代价。 当一个信息安全事故涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。 选择，风险评估结果所确定，见《信息安全事故管理程序》。 A.13.2.2 对信息安全事故的总结 证据的收集 A.13.2.3 A.14业务连续性管理 A.14.1业务连续性管理的信息安全方面 A.14.1.1 业务连续性管理过程中包含的信息安全 业务连续性和风险评估 防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。 应为贯穿于组织的业务连续性开发和保持一个管理过程，以解决组织的业务连续性所需的信息安全要求。 应识别能引起业务过程中断的事件，这种中断发生的概率和影响，以及它们对信息安全所造成的后果。 选择，风险评估结果所确定，见《业务连续性管理程序》。 A.14.1.2 选择，风险评估结果所确定，见《业务连续性管理程序》。 A.14.1.3 制定和实施包含信息安全的连续性计划 业务连续性计划框架 应制定和实施计划来保选择，风险评估结果所确定，持或恢复运行，以在关键见《业务连续性管理程序》。 业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。 应保持一个唯一的业务连续性计划框架，以确保所有计划是一致的，能够协调地解决信息安全要求，并为测试和维护确定优先级。 选择，风险评估结果所确定，见《业务连续性管理程序》。 A.14.1.4

A.14.1.5 测试、保持和再评估业务连续性计划 业务连续性计划应定期测试和更新，以确保其及时性和有效性。 选择，风险评估结果所确定，见《业务连续性管理程序》。 A.15符合性 A.15.1符合法律要求 A.15.1.1 可用法律的标识 避免违反任何法律、法令、法规或合同义务，以及任何安全要求。 对每一个信息系统和组织而言，所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。 选择，风险评估结果所确定，见《法律法规与合同符合程序》。 A.15.1.2 知识产权（IPR） 应实施适当的程序，以确选择，风险评估结果所确定，保在使用具有知识产权见《知识产权管理规定》。 的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。 应防止重要的记录遗失、选择，风险评估结果所确定，毁坏和伪造，以满足法见《网络安全管理规定》。 令、法规、合同和业务的要求。 依照相关的法律、法规和合同条款保护数据保护和隐私。 应禁止用户使用信息处理设施用于未授权的目的。 选择，风险评估结果所确定，见《信息安全策略》。 选择，风险评估结果所确定，见《网络安全管理规定》。 不选择，没有密码要求。 A.15.1.3 保护组织的记录 A.15.1.4 数据保护和个人信息的隐私 防止滥用信息处理设施 密码控制措施的规则 符合安全策略和标准 确保系统符合组织的安全策略及标准。 A.15.1.5 A.15.1.6 A.15.2符合安全策略和标准，以及技术符合性 A.15.2.1 管理者应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。 选择，风险评估结果所确定，见《信息安全策略》。 A.15.2.2 技术符合性检查 信息系统审核控制 将信息系统审核过程的有效性最大化，干扰最小化。 信息系统应被定期检查选择，风险评估结果所确定，是否符合安全实施标准。 见《信息安全策略》。 涉及对运行系统检查的选择，风险评估结果所确定，审核要求和活动，应谨慎见《技术部工作规范》。 地加以规划并取得批准，以便最小化造成业务过程中断的风险。 对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或损害。 选择，风险评估结果所确定，见《技术部工作规范》。 A.15.3信息系统审核考虑 A.15.3.1 A.15.3.2 信息系统审核工具的保护

爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。 最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。 君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。 宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。 不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。 世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。 感情不是游戏，谁也伤不起；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。 爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。 人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未走远，谁能为你一直都在？ 这世上，别指望人人都对你好，对你好的人一辈子也不会遇到几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。 动了真情，情才会最难割；付出真心，心才会最难舍。 你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智商下降，完全变了性格，越来越不果断。 所以啊，不管你有多聪明，多有手段，多富有攻击性，真的爱上人时，就一点也用不上。 这件事情告诉我们。谁在你面前很聪明，很有手段，谁就真的不爱你呀。 遇到你之前，我以为爱是惊天动地，爱是轰轰烈烈抵死缠绵；我以为爱是荡气回肠，爱是热血沸腾幸福满满。

我以为爱是窒息疯狂，爱是炙热的火炭。婚姻生活牵手走过酸甜苦辣温馨与艰难，我开始懂得爱是经得起平淡。 爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。 最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。 君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。 宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。 不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。 世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。 感情不是游戏，谁也伤不起；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。 爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。 人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未走远，谁能为你一直都在？ 这世上，别指望人人都对你好，对你好的人一辈子也不会遇到几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。 动了真情，情才会最难割；付出真心，心才会最难舍。 你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智商下降，完全变了性格，越来越不果断。 所以啊，不管你有多聪明，多有手段，多富有攻击性，真的爱上人时，就一点也用不上。 这件事情告诉我们。谁在你面前很聪明，很有手段，谁就真的不爱你呀。 遇到你之前，我以为爱是惊天动地，爱是轰轰烈烈抵死缠绵；我以为爱是荡气回肠，爱是热血沸腾幸福满满。 我以为爱是窒息疯狂，爱是炙热的火炭。婚姻生活牵手走过酸甜苦辣温馨与艰难，我开始懂得爱是经得起平淡。

本文来源：https://www.bwwdw.com/article/o8a5.html