【正文】 任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。作為勞動合同的一部分，員工、合同方和第三方用戶應(yīng)同意并簽署他們的雇傭合同的條款。這些條款應(yīng)規(guī)定其與組織對于信息安全的職責(zé)。聘用期間控制YES確保所有的員工、合同方和第三方人員知道信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風(fēng)險。管理職責(zé)控制YES缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安全影響。公司管理者要求員工、合作方以及第三方人員加強信息安全意識，依據(jù)建立的方針和程序來應(yīng)用安全，服從公司管理，當(dāng)有其他的管理制度與信息安全管理制度沖突時，首選信息安全管理制度執(zhí)行。信息安全教育和培訓(xùn)控制YES安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。與 ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識、方針、程序的培訓(xùn)。方針、程序變更后應(yīng)及時傳達(dá)到全體員工，確保員工安全意識的提高與有能力勝任所承擔(dān)的信息安全工作。紀(jì)律處理過程控制YES對造成安全破壞的員工應(yīng)該有一個正式的懲戒過程。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實地情況下進(jìn)行。處罰的形式包括精神和物質(zhì)兩方面。聘用中止或變化目標(biāo)YES確保員工、合作方以及第三方人員以一種有序的方式離開公司或變更聘用關(guān)系。終止職責(zé)控制YES執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。在員工離職前和第三方用戶完成合同時，應(yīng)進(jìn)行明確終止責(zé)任的溝通。再次溝通保密協(xié)議和重申是否有競業(yè)禁止要求等。資產(chǎn)歸還目標(biāo)YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時歸還所負(fù)責(zé)的所有資產(chǎn)。員工離職或工作變動前，應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。解除訪問權(quán)目標(biāo)YES對所有員工、合作方以及第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限進(jìn)行管理。員工離職或工作變動前，應(yīng)解除對信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件安全區(qū)域目標(biāo)YES防止未經(jīng)授權(quán)對業(yè)務(wù)場所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜。物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機柜所在地應(yīng)確定其安全周界，并對其實施保護(hù)。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。特別安全區(qū)域包括數(shù)據(jù)存儲機房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會議室、接待室、員工休息區(qū)為一般區(qū)域。保密文件存放于帶鎖的柜子里。物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán)，未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。外來人員進(jìn)入公司區(qū)域要進(jìn)行登記。臨時訪問的第三方應(yīng)在接待部門同意后，經(jīng)前臺登記可以進(jìn)入。進(jìn)入特別安全區(qū)域須被授權(quán)，進(jìn)出有記錄。員工加班也需登記。辦公室、房間和設(shè)施的安全控制YES對安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。當(dāng)有緊急自然災(zāi)害發(fā)生，則需要提前示警。避免出現(xiàn)對辦公室、房間和設(shè)施的未授權(quán)訪問。另外，對特別安全區(qū)域內(nèi)的辦公室和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害，這些控制措施包括：a) 大廈配備有一定數(shù)量的消防設(shè)施；b) 房間裝修符合消防安全的要求；c) 易燃、易爆物品嚴(yán)禁存放在安全區(qū)域內(nèi)，并與安全區(qū)域保持一定的安全距離；d) 辦公室或房間無人時，應(yīng)關(guān)緊窗戶，鎖好門；e) 防雷擊設(shè)施由大廈物管每年檢測一次。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護(hù)控制YES加強公司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。機房設(shè)備安裝在距墻、門窗有一定距離的地方。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施。在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全。處理敏感信息的設(shè)備不易被窺視。除非在公司設(shè)立的專門吸煙室外，其他任何地方禁止吸煙。公司應(yīng)建立物理訪問控制制度，明確規(guī)定員工在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工嚴(yán)格遵守。公共訪問、交接區(qū)安全控制YES對特別安全區(qū)域，禁止外來人員直接進(jìn)入傳送物資是必要的。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進(jìn)入普通辦公室和特別安全區(qū)域。未經(jīng)授權(quán)，不允許外來人員直接進(jìn)入特別安全區(qū)域提供物資?？上却娣庞谇芭_或接待室，再由行政專員搬進(jìn)，以防止未經(jīng)授權(quán)的訪問。ISMSP2011《物理訪問控制程序》設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動的中斷。設(shè)備的安置和保護(hù)控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。設(shè)備使用部門負(fù)責(zé)對設(shè)備進(jìn)行定置管理和保護(hù)。為降低來自環(huán)境威脅和危害的風(fēng)險，減少未經(jīng)授權(quán)的訪問機會，特采取以下措施： a) 設(shè)備的安置，要考慮到盡可能減少對工作區(qū)不必要的訪問；b) 對需要特別保護(hù)的設(shè)備加以隔離；c) 采取措施，以盡量降低盜竊、火災(zāi)、爆炸、吸煙、灰塵、震動、化學(xué)影響、電源干憂、電磁輻射等威脅造成的潛在的風(fēng)險；d) 禁止在信息處理設(shè)施附近飲食、吸煙。支持性設(shè)施控制YES供電中斷或異常會給信息系統(tǒng)造成影響，甚至影響正常的生產(chǎn)作業(yè)。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。由XX部負(fù)責(zé)定期監(jiān)督。布纜的安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。對傳輸線路進(jìn)行維護(hù)，防止線路故障。通信電纜與電力電纜分開鋪設(shè)，防止干擾。設(shè)備維護(hù)控制YES設(shè)備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。計算機信息網(wǎng)絡(luò)系統(tǒng)設(shè)備及用戶計算機終端（包括筆記本電腦）。組織場所外的設(shè)備安全控制YES本公司有筆記本電腦移動設(shè)備，離開公司辦公場所應(yīng)進(jìn)行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生。筆記本電腦在離開規(guī)定的區(qū)域時，經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問。設(shè)備的安全處置或再利用控制YES對本公司儲存有關(guān)敏感信息的設(shè)備，對其處置時應(yīng)徹底清除。含有敏感信息的設(shè)備在報廢或改作他用時，由使用部門用安全的處置方法，將設(shè)備中存儲的敏感信息清除并保存清除記錄。資產(chǎn)的遷移控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會造成其丟失或非法訪問的危害。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動應(yīng)被記錄。 標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件操作程序和職責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。文件化作業(yè)程序控制YES標(biāo)準(zhǔn)規(guī)定的文件化程序要求必須予以滿足。本公司按照信息安全管理要求，對通信和操作建立規(guī)范化的操作。變更管理控制YES未加以控制的系統(tǒng)更改會造成系統(tǒng)故障和安全故障。對信息處理設(shè)施、軟件等方面的更改實施嚴(yán)格控制。在更改前評估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復(fù)。責(zé)任分割控制YES管理員與操作員職責(zé)應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。為防止未授權(quán)的更改或誤用信息或服務(wù)的機會，按以下要求進(jìn)行職責(zé)分配：a) 網(wǎng)絡(luò)管理系統(tǒng)管理職責(zé)與操作職責(zé)分離；b) 信息安全審核具有獨立性。開發(fā)、測試和運行設(shè)施分離控制YES開發(fā)與操作設(shè)施應(yīng)分離，以防止不期望的系統(tǒng)的更改或未授權(quán)的訪問。在一個獨立的開發(fā)與測試環(huán)境中開發(fā)軟件，并與作業(yè)設(shè)施分離。研發(fā)和測試設(shè)備分離。操作系統(tǒng)管理員與用戶分離。第三方服務(wù)交付管理控制YES執(zhí)行并保持與第三方服務(wù)交付協(xié)議相一致的信息安全和服務(wù)交付等級。 檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相應(yīng)的變化，以確保交付的服務(wù)滿足第三方協(xié)議中的所有要求。服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級。對第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗收。確保第三方保持充分的服務(wù)能力，并且具備有效的工作計劃，即便發(fā)生重大的服務(wù)故障或災(zāi)難也能保持服務(wù)交付的連貫性。第三方服務(wù)的監(jiān)控和評審控制YES第三方提供的服務(wù)、報告以及記錄應(yīng)定期監(jiān)控和審核，并定期進(jìn)行評價。公司應(yīng)有專門的人員跟蹤管理第三方服務(wù)，確保第三方分配的職責(zé)符合協(xié)議要求。對協(xié)議要求，特別是安全要求的符合性進(jìn)行監(jiān)控得到充分可用的資源和技術(shù)技能支持。第三方服務(wù)的變更管理控制YES對服務(wù)提供的更改進(jìn)行管理，包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、所涉及的過程以及風(fēng)險的再評估。對第三方服務(wù)更改的管理過程需要考慮： a) 組織要實施的更改，包括加強當(dāng)前提供的服務(wù)，開發(fā)新應(yīng)用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提高安全性的新控制。 b) 第三方服務(wù)的更改，包括更改和加強網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。系統(tǒng)規(guī)劃和驗收目標(biāo)YES使系統(tǒng)故障風(fēng)險最小化。容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來容量。對信息網(wǎng)絡(luò)系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時機進(jìn)行容量擴(kuò)充。系統(tǒng)驗收控制YES對新的信息系統(tǒng)、系統(tǒng)升級或使用新版本的活動，建立接受標(biāo)準(zhǔn)和在接受之前進(jìn)行系統(tǒng)測試。新系統(tǒng)、系統(tǒng)升級接收前，系統(tǒng)驗收部門明確接收準(zhǔn)則 ，經(jīng)測試合格后方可正式運行，并保存測試記錄及驗收報告。指定部門負(fù)責(zé)辦公管理系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的驗收。防范惡意軟件目標(biāo)YES保護(hù)軟件和信息的完整性。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯(lián)網(wǎng)。IT部為控制惡意軟件的主管部門，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對技術(shù)工具進(jìn)行實時升級，各部門具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制工作。a) 技術(shù)工具的應(yīng)用及其升級要求；b) 查殺病毒的周期；c) 預(yù)防惡意軟件意識培訓(xùn)；d) 預(yù)防惡意軟件的一般要求；e) 對重要系統(tǒng)的防范惡意軟件的特殊要求；f) 發(fā)生惡意軟件的侵害應(yīng)急措施。移動代碼的控制控制YES移動代碼的控制是有效避免系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用資源以及信息安全的其他方面未授權(quán)應(yīng)用或破壞的基礎(chǔ)。 授權(quán)使用移動代碼時，配置應(yīng)該確保已授權(quán)移動代碼的運行符合明確定義的安全方針，未經(jīng)授權(quán)的移動代碼應(yīng)該被阻止執(zhí)行。備份目標(biāo)YES保持信息處理和通信服務(wù)的完整性和可用性。