【正文】 任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。作為勞動合同的一部分，員工、合同方和第三方用戶應同意并簽署他們的雇傭合同的條款。這些條款應規(guī)定其與組織對于信息安全的職責。聘用期間控制YES確保所有的員工、合同方和第三方人員知道信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風險。管理職責控制YES缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。公司管理者要求員工、合作方以及第三方人員加強信息安全意識，依據(jù)建立的方針和程序來應用安全，服從公司管理，當有其他的管理制度與信息安全管理制度沖突時，首選信息安全管理制度執(zhí)行。信息安全教育和培訓控制YES安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理工作的前提。與 ISMS有關的所有員工，有關的第三方訪問者，應該接受安全意識、方針、程序的培訓。方針、程序變更后應及時傳達到全體員工，確保員工安全意識的提高與有能力勝任所承擔的信息安全工作。紀律處理過程控制YES對造成安全破壞的員工應該有一個正式的懲戒過程。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進行處罰，處罰在安全破壞經(jīng)過證實地情況下進行。處罰的形式包括精神和物質兩方面。聘用中止或變化目標YES確保員工、合作方以及第三方人員以一種有序的方式離開公司或變更聘用關系。終止職責控制YES執(zhí)行工作終止或工作變化的職責應清晰的定義和分配。在員工離職前和第三方用戶完成合同時，應進行明確終止責任的溝通。再次溝通保密協(xié)議和重申是否有競業(yè)禁止要求等。資產(chǎn)歸還目標YES所有員工、合作方以及第三方用戶應該在聘用期限、合同或協(xié)議終止時歸還所負責的所有資產(chǎn)。員工離職或工作變動前，應辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。解除訪問權目標YES對所有員工、合作方以及第三方用戶對信息和信息處理設施的訪問權限進行管理。員工離職或工作變動前，應解除對信息和信息處理設施訪問權限，或根據(jù)變化作相應的調整。標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件安全區(qū)域目標YES防止未經(jīng)授權對業(yè)務場所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜。物理安全周邊控制YES本公司有包含重要信息處理設施的區(qū)域和儲存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機柜所在地應確定其安全周界，并對其實施保護。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。特別安全區(qū)域包括數(shù)據(jù)存儲機房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會議室、接待室、員工休息區(qū)為一般區(qū)域。保密文件存放于帶鎖的柜子里。物理進入控制控制YES安全區(qū)域進入應經(jīng)過授權，未經(jīng)授權的非法訪問會對信息安全構成威脅。外來人員進入公司區(qū)域要進行登記。臨時訪問的第三方應在接待部門同意后，經(jīng)前臺登記可以進入。進入特別安全區(qū)域須被授權，進出有記錄。員工加班也需登記。辦公室、房間和設施的安全控制YES對安全區(qū)域內的辦公室、房間和設施應有特殊的安全要求。當有緊急自然災害發(fā)生，則需要提前示警。避免出現(xiàn)對辦公室、房間和設施的未授權訪問。另外，對特別安全區(qū)域內的辦公室和設施進行必要的控制，以防止火災、盜竊或其它形式的危害，這些控制措施包括：a) 大廈配備有一定數(shù)量的消防設施；b) 房間裝修符合消防安全的要求；c) 易燃、易爆物品嚴禁存放在安全區(qū)域內，并與安全區(qū)域保持一定的安全距離；d) 辦公室或房間無人時，應關緊窗戶，鎖好門；e) 防雷擊設施由大廈物管每年檢測一次。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護控制YES加強公司物理安全控制，防范火災、水災、地震，以及其它形式的自然或人為災害。機房設備安裝在距墻、門窗有一定距離的地方。并具有防范火災、水災、雷擊等自然、人為災害的安全控制措施。在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴格遵守安全規(guī)則，才能保證安全區(qū)域安全。處理敏感信息的設備不易被窺視。除非在公司設立的專門吸煙室外，其他任何地方禁止吸煙。公司應建立物理訪問控制制度，明確規(guī)定員工在有關安全區(qū)域工作的基本安全要求，并要求員工嚴格遵守。公共訪問、交接區(qū)安全控制YES對特別安全區(qū)域，禁止外來人員直接進入傳送物資是必要的。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進入普通辦公室和特別安全區(qū)域。未經(jīng)授權，不允許外來人員直接進入特別安全區(qū)域提供物資?？上却娣庞谇芭_或接待室，再由行政專員搬進，以防止未經(jīng)授權的訪問。ISMSP2011《物理訪問控制程序》設備安全目標YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務活動的中斷。設備的安置和保護控制YES設備存在火災、吸煙、油污、未經(jīng)授權訪問等威脅。設備使用部門負責對設備進行定置管理和保護。為降低來自環(huán)境威脅和危害的風險，減少未經(jīng)授權的訪問機會，特采取以下措施： a) 設備的安置，要考慮到盡可能減少對工作區(qū)不必要的訪問；b) 對需要特別保護的設備加以隔離；c) 采取措施，以盡量降低盜竊、火災、爆炸、吸煙、灰塵、震動、化學影響、電源干憂、電磁輻射等威脅造成的潛在的風險；d) 禁止在信息處理設施附近飲食、吸煙。支持性設施控制YES供電中斷或異常會給信息系統(tǒng)造成影響，甚至影響正常的生產(chǎn)作業(yè)。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。由XX部負責定期監(jiān)督。布纜的安全控制YES通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。對傳輸線路進行維護，防止線路故障。通信電纜與電力電纜分開鋪設，防止干擾。設備維護控制YES設備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎。計算機信息網(wǎng)絡系統(tǒng)設備及用戶計算機終端（包括筆記本電腦）。組織場所外的設備安全控制YES本公司有筆記本電腦移動設備，離開公司辦公場所應進行控制，防止其被盜竊、未經(jīng)授權的訪問等危害的發(fā)生。筆記本電腦在離開規(guī)定的區(qū)域時，經(jīng)過部門領導授權并對其進行嚴格控制，防止其丟失和未經(jīng)授權的訪問。設備的安全處置或再利用控制YES對本公司儲存有關敏感信息的設備，對其處置時應徹底清除。含有敏感信息的設備在報廢或改作他用時，由使用部門用安全的處置方法，將設備中存儲的敏感信息清除并保存清除記錄。資產(chǎn)的遷移控制YES設備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權的遷移會造成其丟失或非法訪問的危害。重要信息設備、保密信息的遷移應被授權，遷移活動應被記錄。 標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件操作程序和職責目標YES確保信息處理設備的正確和安全使用。文件化作業(yè)程序控制YES標準規(guī)定的文件化程序要求必須予以滿足。本公司按照信息安全管理要求，對通信和操作建立規(guī)范化的操作。變更管理控制YES未加以控制的系統(tǒng)更改會造成系統(tǒng)故障和安全故障。對信息處理設施、軟件等方面的更改實施嚴格控制。在更改前評估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復。責任分割控制YES管理員與操作員職責應予以分配，以防止未授權的更改及誤用信息或服務。為防止未授權的更改或誤用信息或服務的機會，按以下要求進行職責分配：a) 網(wǎng)絡管理系統(tǒng)管理職責與操作職責分離；b) 信息安全審核具有獨立性。開發(fā)、測試和運行設施分離控制YES開發(fā)與操作設施應分離，以防止不期望的系統(tǒng)的更改或未授權的訪問。在一個獨立的開發(fā)與測試環(huán)境中開發(fā)軟件，并與作業(yè)設施分離。研發(fā)和測試設備分離。操作系統(tǒng)管理員與用戶分離。第三方服務交付管理控制YES執(zhí)行并保持與第三方服務交付協(xié)議相一致的信息安全和服務交付等級。 檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相應的變化，以確保交付的服務滿足第三方協(xié)議中的所有要求。服務交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務的交付等級。對第三方的服務的交付，包括協(xié)議規(guī)定的安全安排、服務定義以及服務管理等方面進行管理和驗收。確保第三方保持充分的服務能力，并且具備有效的工作計劃，即便發(fā)生重大的服務故障或災難也能保持服務交付的連貫性。第三方服務的監(jiān)控和評審控制YES第三方提供的服務、報告以及記錄應定期監(jiān)控和審核，并定期進行評價。公司應有專門的人員跟蹤管理第三方服務，確保第三方分配的職責符合協(xié)議要求。對協(xié)議要求，特別是安全要求的符合性進行監(jiān)控得到充分可用的資源和技術技能支持。第三方服務的變更管理控制YES對服務提供的更改進行管理，包括保持和改進現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務系統(tǒng)的關鍵程度、所涉及的過程以及風險的再評估。對第三方服務更改的管理過程需要考慮： a) 組織要實施的更改，包括加強當前提供的服務，開發(fā)新應用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提高安全性的新控制。 b) 第三方服務的更改，包括更改和加強網(wǎng)絡，使用新技術，更改服務設施的物理位置，更改供應商。系統(tǒng)規(guī)劃和驗收目標YES使系統(tǒng)故障風險最小化。容量管理控制YES為避免因系統(tǒng)容量不足導致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來容量。對信息網(wǎng)絡系統(tǒng)的容量（CPU利用率、內存和硬盤空間大小、傳輸線路帶寬）需求進行監(jiān)控，并對將來容量需求進行策劃，適當時機進行容量擴充。系統(tǒng)驗收控制YES對新的信息系統(tǒng)、系統(tǒng)升級或使用新版本的活動，建立接受標準和在接受之前進行系統(tǒng)測試。新系統(tǒng)、系統(tǒng)升級接收前，系統(tǒng)驗收部門明確接收準則 ，經(jīng)測試合格后方可正式運行，并保存測試記錄及驗收報告。指定部門負責辦公管理系統(tǒng)、電話/網(wǎng)絡通訊與辦公系統(tǒng)的驗收。防范惡意軟件目標YES保護軟件和信息的完整性。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯(lián)網(wǎng)。IT部為控制惡意軟件的主管部門，負責提供防范惡意軟件的技術工具并對技術工具進行實時升級，各部門具體負責本部門的惡意軟件預防控制工作。a) 技術工具的應用及其升級要求；b) 查殺病毒的周期；c) 預防惡意軟件意識培訓；d) 預防惡意軟件的一般要求；e) 對重要系統(tǒng)的防范惡意軟件的特殊要求；f) 發(fā)生惡意軟件的侵害應急措施。移動代碼的控制控制YES移動代碼的控制是有效避免系統(tǒng)、網(wǎng)絡或應用資源以及信息安全的其他方面未授權應用或破壞的基礎。 授權使用移動代碼時，配置應該確保已授權移動代碼的運行符合明確定義的安全方針，未經(jīng)授權的移動代碼應該被阻止執(zhí)行。備份目標YES保持信息處理和通信服務的完整性和可用性。