信息安全适用性声明（SOA） 1.综述 此文件表述公司的信息安全管理体系所适用的安全目标和控制，它们是按照最近一次的“风险评估”的结果和建议而订立的。 安全控制是按照 “GB/T 22080-2016/ISO/IEC 27001:2013 信息技术－安全技术－信息安全管理系统—要求” 经过风险评估和管理程序而采纳的。 2.不适用于公司的IS控制措施: A.14.2.7 外包开发 3.采取安全控制的原则 1) 符合国家法律法规及欧亿·体育（中国）有限公司监管要求； 2) 符合公司策略和方针； 3) 符合GB/T 22080-2016/ISO/IEC 27001:2013 标准要求； 4) 符合公司管理层要求。 5) 符合客户对公司信息安全的要求。 标准条款 A.5 信息安全策略 目标： A.5.1 信息安全管理指导 依据业务要求和相关法律法规 提供管理指导并支持信息安全 控制措施 A.5.1.1 信息安全策略 一组信息安全策略应由管理者 制定、批准、发布并传达给员 工和外部相关方。 控制措施 应按计划的时间间隔或当重大 变化时进行信息安全策略的评 审，以确保持续的适宜性，充 分性和有效性。 A.5.1.2 信息安全策略的评审 A.6 信息安全组织 内部组织 目标： A.6.1 建立管理框架以发起和控制组 织内信息安全的实施和运行。 控制措施 A.6.1.1 A.6.1.2 信息安全角色和职责 所有的信息安全职责应予以定 控制措施 互相冲突的责任及职责范围应 加以分割、以降低未授权或无 意识的修改或者不当使用组织 资产的机会。 职责分割 控制措施 A.6.1.3 A.6.1.4 与监管机构的联系 应保持与政府相关部门的适当 控制措施 与特定利益集团的联系 应保持与特定相关方、其他安 全专家组和专业协会的适当联 控制措施 A.6.1.5 项目管理中的信息安全 无论何种类型项目。都应处理 项目管理中的信息安全问题。 目标： A.6.2 移动设备和远程工作 确保远程工作和使用移动设备 时的安全。 控制措施 A.6.2.1 移动设备策略 应采用策略和支持性安全措施 ，以管理使用移动设备引起的 控制措施 A.6.2.2 远程工作 应实施策略和支持安全措施， 来保护在远程工作场地访问、处理或存储的信息。 A.7 人力资源安全 任用前 目标： 确保雇员和承包方人员理解其 职责、并适合让其考虑承担的 角色。 A.7.1 控制措施 关于所有任用的候选者的背景 验证核查应按照相关法律、法 规、道德规范和对应的业务要 求、被访问信息的类别和察觉 控制措施 A.7.1.1 审查 A.7.1.2 A.7.2 任用条款及条件 任用中 与雇员和承包方人员的合同协 议应声明他们和组织的信息安 全职责。 目标： 确保雇员和承包方人员知悉并 履行其信息安全职责。 控制措施 A.7.2.1 管理责任 管理者应要求所有雇员和承包 方人员按照组织已建立的方针 策略和规程对信息安全尽心尽 控制措施 组织的所有雇员，适当时，包 括承包方人员应受到与其工作 职能相关的适当的意识教育和 培训以及组织方针策略和规程 控制措施 A.7.2.2 信息安全意识、教育和培训 对于信息安全违规的雇员，应 有一个正式的、已传达的纪律 处理过程。 A.7.2.3 违规处理过程 目标： A.7.3 任用的终止和变化 将保护组织利益作为变更或终 止任用过程的一部分。 控制措施 A.7.3.1 任用终止或变更的责任 在任用终止或变化后仍保持有 效的信息安全职责和义务应被 定义、并传达给雇员或承包方 A.8 资产管理 目标：实现和保持对组织资产 的适当保护。（识别组织资产 ，并定义适当的保护职责。) A.8.1 对资产负责 控制措施 A.8.1.1 A.8.1.2 A.8.1.3 资产清单 应识别与信息和信息处理设施 相关的资产，编制并维护资产 控制措施 资产的所属关系 资产的可接受使用 应维护资产清单中资产的所属 控制措施 与信息处理设施相关的信息和 资产可接受使用规则应被确定 控制措施 A.8