适用性声明SOA
标准款项
控制项
是否选择
控制措施说明
控制描述SOC
相关文件
说明
A.5
安全方针
A.5.1
信息安全方针
依据业务发展要求以及相关的法律法规为信息安全提供管理指导和支持
　
A.5.1.1
信息安全方针文件
是
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
科技发展部通过制定、发布并维护与科技发展部整体目标一致的清晰的信息安全方针来表明管理层对信息安全的支持和承诺。
《信息安全管理手册》《信息安全方针》
　
A.5.1.2
信息安全方针的评审
是
宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。
在每年的管理评审中或发生重大变化时,科技发展部对信息安全方针的持续适宜性、充分性和有效性进行评价，必要时进行修订。
《信息安全管理手册》《信息安全方针》《信息安全管理评审规定》
　
A.6
信息安全组织
A.6.1
内部组织
管理科技发展部内部信息安全
　
A.6.1.1
信息安全的管理承诺
是
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。
科技发展部管理者代表对建立、实施、运作、监视、评审并持续改进信息安全管理体系做出承诺, 并通过一系列的活动提供证实。
《信息安全管理手册》《信息安全组织建设管理规定》
　
A.6.1.2
信息安全协调
是
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。
信息安全工作指挥小组办公室负责组织各部门的相关角色和工作职能的代表进行沟通协作，管理者代表负责组织、发起信息安全工作指挥小组会议。
《信息安全管理手册》《信息安全组织建设管理规定》
　
A.6.1.3
信息安全职责的分配
是
所有的信息安全职责应予以清晰地定义。
科技发展部设立了完整的信息安全管理组织，分为决策监督、管理审计和贯彻执行三个方面，并针对信息安全工作指挥小组、信息安全工作指挥小组办公室、安全管理部、各部门、各职能组、安全管理员和全体员工的职责进行了明确定义。
《信息安全管理手册》《信息安全组织建设管理规定》
　
A.6.1.4
信息处理设施的授权过程
是
应为新的信息处理设施定义和实施一个管理授权过程。
科技发展部要求新的信息处理设施（计算机设备、网络设备、基础环境设施等）投入使用必须经过相关部门评估，确保符合安全策略要求才能投入使用。
《网络和系统安全管理规定》
　
A.6.1.5
保密性协议
是
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。
科技发展部要求所有员工签订《员工安全保密责任书》，要求第三方人员签订《第三方人员信息安全承诺书》。
《人员信息安全管理规定》《第三方信息安全管理规定》
　
A.6.1.6
与政府部门的联系
是
应保持与政府相关部门的适当联系。
科技发展部风险管理岗负责与外部权威机构保持适当联系。
《信息安全管理手册》
　
A.6.1.7
与特定利益集团的联系
是
应保持与特定利益集团、其他安全专家组和专业协会的适当联系。
科技发展部风险管理岗负责与特定利益团体保持适当联系。
《信息安全组织建设管理规定》
　
A.6.1.8
信息安全的独立评审
是
组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和规程）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。
科技发展部按计划的时间间隔或发生重大变化时，对组织的信息安全管理方法及其实施情况（如，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审。
《信息安全管理手册》《信息安全组织建设管理规定》《信息安全管理评审规定》《信息安全内部审核