适用性声明
行政中心负责编制《适用性声明》( SoA)。该声明包括以下方面的内容:a) 所选择控制目标与控制措施的概要描述,以及选择的原因;
b) 对 GB/T22080-2008idtISO27001:2005 附录 A 中未选用的控制目标及控制措施理由的 说明(本公司未涉及此项业务)。
实施及运作信息安全管理体系
为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展活动:
a) 形成《信息安全不可接受风险处理计划》,以确定适当的管理措施、职责及安全控制措施的级;
b) 为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》,明确各岗位的信息安全职责;
c) 实施所选择的控制措施,以实现控制目标的要求;
d) 确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的
有效性以得出可比较的、可重复的结果;
e) 进行信息安全培训,提高全员信息安全意识和能力;
f) 对信息安全体系的运作进行管理;
g) 对信息安全所需资源进行管理;
h) 实施控制程序,对信息安全事件(或征兆)进行迅速反应。