【正文】 全教育和培訓控制YES安全意識及必要的信息系統操作技能培訓是信息安全管理工作的前提。在《勞動合同》中明確規(guī)定保密的義務及違約的責任。所有員工須遵守公司有關信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密。信息的使用、傳輸、存儲等處理活動要進行控制。本公司的信息密級劃分為：公開信息、受控信息、企業(yè)秘密三級。使用或訪問組織資產的員工、合作方以及第三方用戶應該了解與信息處理設施和資源相關的信息和資產方面的限制。ISMSP2002《信息安全風險評估管理程序》《重要信息資產清單》 資產負責人控制YES需要對重要信息處理設施有及重要信息指定責任人。公司外包責任部門識別外包活動的風險，明確外包活動的信息安全要求，在外包合同中明確規(guī)定信息安全要求。第三方邏輯訪問，按照《用戶訪問控制程序》要求進行控制。與外部各方相關風險的識別控制YES本公司存在諸如設備供應商來公司維修設備、顧客訪問公司信息網絡系統等第三方訪問的情況，應采取必要的安全措施進行控制。信息安全管理體系的內部審核員由有審核能力和經驗的人員組成（包括IT方面的專家），并接受ISMS內部審核員培訓且考評合格。本公司設內部信息安全顧問，必要時聘請外部專家，與特定利益群體保持溝通，解答有關信息安全的問題。ISMSP2020《密級控制程序》與政府部門的聯系控制YES與法律實施部門、標準機構等組織保持適當的聯系是必須的，以獲得必要的安全管理、標準、法律法規(guī)方面的信息。明確信息處理設施的使用部門接受新設施的信息安全負責人為XXX部，XXX部人員需要講解新設施的正確使用方法。對每一項重要信息資產指定信息安全責任人。協調小組每季度召開一次協調會議（特殊情況隨時召開會議），對上一季度的信息安全管理工作進行總結，解決體系運行中存在的問題，并布置下一季度的信息安全工作。信息安全管理者代表負責決定召開會議的時機及會議議題，行政部負責準備會議日程的安排。ISMSP2004《管理評審控制程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件內部組織目標YES建立一個有效的信息安全管理組織機構。通過培訓、發(fā)放《信息安全管理手冊》等方式傳達到每一員工。根據公司風險評估的結果和風險可接受水平，GB/T 220802008 idt ISO/IEC27001:2005附錄A的下列條款被選擇（或不選擇)用于本公司信息安全管理體系，共刪除X條控制措施。適用性聲明編號：ISMSP2001狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日批準：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：變 更 記 錄變更日期版本變更說明編寫審核批準2009XXXXA/0初始版本XXXXXXXXX目 錄1 目的與范圍 42 相關文件 43 職責 44 聲明 4 5 5 7 7 7 7 開發(fā)和維護 7 7 7 7信息安全適用性聲明1 目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標/控制、是否選擇這些目標/控制的理由、公司現行的控制方式、以及實施這些控制所涉及的相關文件。34 / 34標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件信息安全方針目標YES為信息安全提供管理方向和支持，并表明管理層對信息安全的承諾。采用張貼布告于宣傳欄、網站等形式傳達到各主管部門、客戶群等外部相關方。信息安全管理承諾控制YES確定評審安全承諾及處理重大安全事故，確定與安全有關重大事項所必須的職責分配及確認、溝通機制。會議主要議題包括：a) 評審信息安全承諾；b) 確認風險評估的結果；c) 對與信息安全管理有關的重大更改事項，如組織機構調整、關鍵人事變動、信息系統更改等，進行決策；e) 評審與處理重大信息安全事故；f) 審批與信息安全管理有關的其他重要事項。會議由XXX負責組織安排并做好會議記錄。與ISMS有關各部門的信息安全職責在《信息安全管理手冊》中予以描述，關于具體的信息安全活動的職責在程序及作業(yè)文件中予以明確。ISMSP2010《信息處理設備管理程序》信息安全保密性協議控制YES為更好掌握信息安全的技術及聽取安全方面的有意建議，需與內外部經常訪問我公司信息處理設施的人員訂立保密性協議。XXX部就電話/網絡通訊系統的安全問題與市信息主管部門及標準制定部門保持聯系，其他部門與相應的政府職能部門及社會服務機構保持聯系，以便及時掌握信息安全的法律法規(guī)，及時獲得安全事故的預防和糾正信息，并得到相應的支持。顧問與專家名單由本公司信息安全委員會提出，管理者代表批準。內部審核員在現場審核時保持審核的獨立性，并不審核自己的工作。第三方物理訪問須經公司被訪問部門的授權，進入工作區(qū)應進行登記。ISMSP2011《物理訪問控制程序》ISMSP2012《用戶訪問控制程序》處理與顧客有關的安全問題控制YES在正式的合同中規(guī)定必要的安全要求是必須的。ISMSP2010《信息處理設備管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件資產責任目標YES對本公司重要信息資產（包括顧客要求保密的數據、軟件及產品）進行有效保護。XX部組織相關部門依據ISMSP2002《信息安全風險評估管理程序》指定資產負責人。并對信息資源的使用，以及發(fā)生在其責任下的使用負責。不同密級事項的界定，由涉及秘密事項產生部門按照ISMSP2020《密級控制程序》規(guī)定的原則進行。ISMSP2020《密級控制程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件任用之前目標YES對聘用過程進行管理，確保員工、合同方和第三方用戶理解其責任，并且能勝任其任務，以降低設施被盜竊、欺詐或誤用的風險?！豆ぷ鲘徫徽f明書》審查控制YES通過人員考察，防止人員帶來的信息安全風險?！秳趧雍贤菲赣闷陂g控制YES確保所有的員工、合同方和第三方用戶知道信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風險。與 ISMS有關的所有員工，有關的第三方訪問者，應該接受安全意識、方針、程序的培訓。違背組織安全方針和程序的員工，公司將根據違反程度及造成的影響進行處罰，處罰在安全破壞經過證實地情況下進行。在員工離職前和第三方用戶完成合同時，應進行明確終止責任的溝通。ISMSP2037《信息安全人員考察與保密管理程序》解除訪問權目標YES對所有員工、合作方以及第三方用戶對信息和信息處理設施的訪問權限進行管理。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。外來人員進入公司區(qū)域要進行登記。ISMSP2011《物理訪問控制程序》辦公室、房間和設施的安全控制YES對安全區(qū)域內的辦公室、房間和設施應有特殊的安全要求。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護控制YES加強公司物理安全控制，防范火災、水災、地震，以及其它形式的自然或人為災害。處理敏感信息的設備不易被窺視。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進入普通辦公室和特別安全區(qū)域。設備的安置和保護控制YES設備存在火災、吸煙、油污、未經授權訪問等威脅。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。通信電纜與電力電纜分開鋪設，防止干擾。筆記本電腦在離開規(guī)定的區(qū)域時，經過部門領導授權并對其進行嚴格控制，防止其丟失和未經授權的訪問，具體按照《信息系統硬件管理規(guī)定》執(zhí)行。重要信息設備、保密信息的遷移應被授權，遷移活動應被記錄。本公司按照信息安全管理要求，對通信和操作建立規(guī)范化的操作。ISMSP2008《更改控制程序》責任分割控制YES管理員與操作員職責應予以分配，以防止未授權的更改及誤用信息或服務。研發(fā)和測試設備分離。服務交付控制YES確保在第三方協議中規(guī)定的安全控制、服務的交付等級。我公司有專門的人員跟蹤管理第三方服務，確保第三方分配的職責符合協議要求。 b) 第三方服務的更改，包括更改和加強網絡，使用新技術，更改服務設施的物理位置，更改供應商。ISMSP2014《系統開發(fā)與維護控制程序》系統驗收控制YES對新的信息系統、系統升級或使用新版本的活動，建立接受標準和在接受之前進行系統測試。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯網。 授權使用移動代碼時，配置應該確保已授權移動代碼的運行符合明確定義的安全方針，未經授權的移動代碼應該被阻止執(zhí)行。XX部為全公司信息備份提供技術支持，各部門按照《重要信息備份管理程序》要求進行備份。XX部根據組織的安全策略，識別現有的網絡服務，明確規(guī)定網絡服務安全屬性值，由授權的網絡系統安全管理員進行參數配置與維護管理。媒體移動的記錄予以保持。為保護敏感信息不會因未經授權處理而造成泄漏或濫用，本公司在《密級控制程序》等文件中明確規(guī)定對敏感信息的復制、傳輸、使用、貯存、處理等活動的安全要求。信息交換策略和程序控制YES本公司存在與其他組織進行信息與軟件交換的活動。與外部方簽訂的合同或協議物理介質的傳送控制YES本公司存在如文件、技術資料等信息介質傳送及保密制品的運輸活動，確定安全的傳送方法是必要的。本公司有內部電子郵件系統，只有授權的用戶履行審批手續(xù)才可以使用。電子商務控制NO本公司不涉及電子商務，本控制措施不適用。審計記錄控制YES為訪問監(jiān)測提供幫助，建立事件記錄（審核日志）是必須的?！断到y日常點檢業(yè)務手冊》ISMSP2010《信息處理設備管理程序》監(jiān)視系統的使用控制YES建立監(jiān)控程序并對監(jiān)控結果評審是預防事故發(fā)生的重要手段。實施控制，防止對日志記錄設施的未經授權的更改和出現操作問題.ISMSP2010《信息處理設備管理程序》《系統日常點檢業(yè)務手冊》管理員和操作員日志控制YES應記錄系統管理員和系統操作員的活動。ISMSP2033《事故、事件、薄弱點與故障管理程序》《系統日常點檢業(yè)務手冊》ISMSP2010《信息處理設備管理程序》時鐘同步控制YES采取適當的措施實施時鐘同步，是日常經營與獲取客觀證據的需要。訪問控制策略控制YES明確訪問的業(yè)務要求，并符合信息安全方針的規(guī)定要求，對信息訪問實施有效控制。根據訪問控制策略及《物理邏輯訪問權限說明書》確定的訪問規(guī)則，訪問權限管理部門對用戶（包括第三方用戶)進行書面訪問授權，若發(fā)生以下情況，對其訪問權將從系統中予以注銷：a) 內部用戶雇傭合同終止時；b) 內部用戶因崗位調整不再需要此項訪問服務時；c) 第三方訪問合同終止時；d) 其它情況必須注銷時。當特