【正文】 全教育和培訓(xùn)控制YES安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。在《勞動合同》中明確規(guī)定保密的義務(wù)及違約的責(zé)任。所有員工須遵守公司有關(guān)信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密。信息的使用、傳輸、存儲等處理活動要進行控制。本公司的信息密級劃分為：公開信息、受控信息、企業(yè)秘密三級。使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。ISMSP2002《信息安全風(fēng)險評估管理程序》《重要信息資產(chǎn)清單》 資產(chǎn)負責(zé)人控制YES需要對重要信息處理設(shè)施有及重要信息指定責(zé)任人。公司外包責(zé)任部門識別外包活動的風(fēng)險，明確外包活動的信息安全要求，在外包合同中明確規(guī)定信息安全要求。第三方邏輯訪問，按照《用戶訪問控制程序》要求進行控制。與外部各方相關(guān)風(fēng)險的識別控制YES本公司存在諸如設(shè)備供應(yīng)商來公司維修設(shè)備、顧客訪問公司信息網(wǎng)絡(luò)系統(tǒng)等第三方訪問的情況，應(yīng)采取必要的安全措施進行控制。信息安全管理體系的內(nèi)部審核員由有審核能力和經(jīng)驗的人員組成（包括IT方面的專家），并接受ISMS內(nèi)部審核員培訓(xùn)且考評合格。本公司設(shè)內(nèi)部信息安全顧問，必要時聘請外部專家，與特定利益群體保持溝通，解答有關(guān)信息安全的問題。ISMSP2020《密級控制程序》與政府部門的聯(lián)系控制YES與法律實施部門、標準機構(gòu)等組織保持適當(dāng)?shù)穆?lián)系是必須的，以獲得必要的安全管理、標準、法律法規(guī)方面的信息。明確信息處理設(shè)施的使用部門接受新設(shè)施的信息安全負責(zé)人為XXX部，XXX部人員需要講解新設(shè)施的正確使用方法。對每一項重要信息資產(chǎn)指定信息安全責(zé)任人。協(xié)調(diào)小組每季度召開一次協(xié)調(diào)會議（特殊情況隨時召開會議），對上一季度的信息安全管理工作進行總結(jié)，解決體系運行中存在的問題，并布置下一季度的信息安全工作。信息安全管理者代表負責(zé)決定召開會議的時機及會議議題，行政部負責(zé)準備會議日程的安排。ISMSP2004《管理評審控制程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關(guān)文件內(nèi)部組織目標YES建立一個有效的信息安全管理組織機構(gòu)。通過培訓(xùn)、發(fā)放《信息安全管理手冊》等方式傳達到每一員工。根據(jù)公司風(fēng)險評估的結(jié)果和風(fēng)險可接受水平，GB/T 220802008 idt ISO/IEC27001:2005附錄A的下列條款被選擇（或不選擇)用于本公司信息安全管理體系，共刪除X條控制措施。適用性聲明編號：ISMSP2001狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日批準：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：變 更 記 錄變更日期版本變更說明編寫審核批準2009XXXXA/0初始版本XXXXXXXXX目 錄1 目的與范圍 42 相關(guān)文件 43 職責(zé) 44 聲明 4 5 5 7 7 7 7 開發(fā)和維護 7 7 7 7信息安全適用性聲明1 目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標/控制、是否選擇這些目標/控制的理由、公司現(xiàn)行的控制方式、以及實施這些控制所涉及的相關(guān)文件。34 / 34標準條款號標 題目標/控制是否選擇選擇理由控制描述相關(guān)文件信息安全方針目標YES為信息安全提供管理方向和支持，并表明管理層對信息安全的承諾。采用張貼布告于宣傳欄、網(wǎng)站等形式傳達到各主管部門、客戶群等外部相關(guān)方。信息安全管理承諾控制YES確定評審安全承諾及處理重大安全事故，確定與安全有關(guān)重大事項所必須的職責(zé)分配及確認、溝通機制。會議主要議題包括：a) 評審信息安全承諾；b) 確認風(fēng)險評估的結(jié)果；c) 對與信息安全管理有關(guān)的重大更改事項，如組織機構(gòu)調(diào)整、關(guān)鍵人事變動、信息系統(tǒng)更改等，進行決策；e) 評審與處理重大信息安全事故；f) 審批與信息安全管理有關(guān)的其他重要事項。會議由XXX負責(zé)組織安排并做好會議記錄。與ISMS有關(guān)各部門的信息安全職責(zé)在《信息安全管理手冊》中予以描述，關(guān)于具體的信息安全活動的職責(zé)在程序及作業(yè)文件中予以明確。ISMSP2010《信息處理設(shè)備管理程序》信息安全保密性協(xié)議控制YES為更好掌握信息安全的技術(shù)及聽取安全方面的有意建議，需與內(nèi)外部經(jīng)常訪問我公司信息處理設(shè)施的人員訂立保密性協(xié)議。XXX部就電話/網(wǎng)絡(luò)通訊系統(tǒng)的安全問題與市信息主管部門及標準制定部門保持聯(lián)系，其他部門與相應(yīng)的政府職能部門及社會服務(wù)機構(gòu)保持聯(lián)系，以便及時掌握信息安全的法律法規(guī)，及時獲得安全事故的預(yù)防和糾正信息，并得到相應(yīng)的支持。顧問與專家名單由本公司信息安全委員會提出，管理者代表批準。內(nèi)部審核員在現(xiàn)場審核時保持審核的獨立性，并不審核自己的工作。第三方物理訪問須經(jīng)公司被訪問部門的授權(quán)，進入工作區(qū)應(yīng)進行登記。ISMSP2011《物理訪問控制程序》ISMSP2012《用戶訪問控制程序》處理與顧客有關(guān)的安全問題控制YES在正式的合同中規(guī)定必要的安全要求是必須的。ISMSP2010《信息處理設(shè)備管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關(guān)文件資產(chǎn)責(zé)任目標YES對本公司重要信息資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進行有效保護。XX部組織相關(guān)部門依據(jù)ISMSP2002《信息安全風(fēng)險評估管理程序》指定資產(chǎn)負責(zé)人。并對信息資源的使用，以及發(fā)生在其責(zé)任下的使用負責(zé)。不同密級事項的界定，由涉及秘密事項產(chǎn)生部門按照ISMSP2020《密級控制程序》規(guī)定的原則進行。ISMSP2020《密級控制程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關(guān)文件任用之前目標YES對聘用過程進行管理，確保員工、合同方和第三方用戶理解其責(zé)任，并且能勝任其任務(wù)，以降低設(shè)施被盜竊、欺詐或誤用的風(fēng)險?！豆ぷ鲘徫徽f明書》審查控制YES通過人員考察，防止人員帶來的信息安全風(fēng)險?！秳趧雍贤菲赣闷陂g控制YES確保所有的員工、合同方和第三方用戶知道信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風(fēng)險。與 ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識、方針、程序的培訓(xùn)。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進行處罰，處罰在安全破壞經(jīng)過證實地情況下進行。在員工離職前和第三方用戶完成合同時，應(yīng)進行明確終止責(zé)任的溝通。ISMSP2037《信息安全人員考察與保密管理程序》解除訪問權(quán)目標YES對所有員工、合作方以及第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限進行管理。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。外來人員進入公司區(qū)域要進行登記。ISMSP2011《物理訪問控制程序》辦公室、房間和設(shè)施的安全控制YES對安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護控制YES加強公司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。處理敏感信息的設(shè)備不易被窺視。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進入普通辦公室和特別安全區(qū)域。設(shè)備的安置和保護控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。通信電纜與電力電纜分開鋪設(shè)，防止干擾。筆記本電腦在離開規(guī)定的區(qū)域時，經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對其進行嚴格控制，防止其丟失和未經(jīng)授權(quán)的訪問，具體按照《信息系統(tǒng)硬件管理規(guī)定》執(zhí)行。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動應(yīng)被記錄。本公司按照信息安全管理要求，對通信和操作建立規(guī)范化的操作。ISMSP2008《更改控制程序》責(zé)任分割控制YES管理員與操作員職責(zé)應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。研發(fā)和測試設(shè)備分離。服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級。我公司有專門的人員跟蹤管理第三方服務(wù)，確保第三方分配的職責(zé)符合協(xié)議要求。 b) 第三方服務(wù)的更改，包括更改和加強網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》系統(tǒng)驗收控制YES對新的信息系統(tǒng)、系統(tǒng)升級或使用新版本的活動，建立接受標準和在接受之前進行系統(tǒng)測試。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯(lián)網(wǎng)。 授權(quán)使用移動代碼時，配置應(yīng)該確保已授權(quán)移動代碼的運行符合明確定義的安全方針，未經(jīng)授權(quán)的移動代碼應(yīng)該被阻止執(zhí)行。XX部為全公司信息備份提供技術(shù)支持，各部門按照《重要信息備份管理程序》要求進行備份。XX部根據(jù)組織的安全策略，識別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進行參數(shù)配置與維護管理。媒體移動的記錄予以保持。為保護敏感信息不會因未經(jīng)授權(quán)處理而造成泄漏或濫用，本公司在《密級控制程序》等文件中明確規(guī)定對敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動的安全要求。信息交換策略和程序控制YES本公司存在與其他組織進行信息與軟件交換的活動。與外部方簽訂的合同或協(xié)議物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運輸活動，確定安全的傳送方法是必要的。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶履行審批手續(xù)才可以使用。電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。審計記錄控制YES為訪問監(jiān)測提供幫助，建立事件記錄（審核日志）是必須的?！断到y(tǒng)日常點檢業(yè)務(wù)手冊》ISMSP2010《信息處理設(shè)備管理程序》監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對監(jiān)控結(jié)果評審是預(yù)防事故發(fā)生的重要手段。實施控制，防止對日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題.ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。ISMSP2033《事故、事件、薄弱點與故障管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》ISMSP2010《信息處理設(shè)備管理程序》時鐘同步控制YES采取適當(dāng)?shù)拇胧嵤r鐘同步，是日常經(jīng)營與獲取客觀證據(jù)的需要。訪問控制策略控制YES明確訪問的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對信息訪問實施有效控制。根據(jù)訪問控制策略及《物理邏輯訪問權(quán)限說明書》確定的訪問規(guī)則，訪問權(quán)限管理部門對用戶（包括第三方用戶)進行書面訪問授權(quán)，若發(fā)生以下情況，對其訪問權(quán)將從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時；c) 第三方訪問合同終止時；d) 其它情況必須注銷時。當(dāng)特