【正文】 ； c) 涉及哪一個賬號以及哪一個管理員或操作員； d) 涉及哪一個過程。監(jiān)控部門按照規(guī)定周期對對監(jiān)控結果進行評審，確保用戶只執(zhí)行被明確授權的活動。公司信息安全范圍邊境監(jiān)控是外包的。在線交易控制NO本公司不涉及在線交易，本控制措施不適用。《信息安全獎勵、懲戒管理規(guī)定》《電郵電話管理規(guī)定》業(yè)務信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。為避免被傳送的介質在傳送（運輸）過程中發(fā)生丟失、未經(jīng)授權的訪問或毀壞，造成信息的泄露、不完整或不可用，負責介質（包括保密產品的運輸）傳送的部門采用以下方法進行控制： a) 選擇適宜的安全傳送方式，對保密產品運輸供方進行選擇與評價，并與之簽訂保密協(xié)議；b) 保持傳送活動記錄。XX部在與顧客進行產品（設計）數(shù)據(jù)、測試程序等數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權人員接收并登記。ISMSP2020《密級控制程序》系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權訪問威脅。《信息系統(tǒng)硬件管理規(guī)定》介質的處置控制YES當介質不再需要時，必須對含有敏感信息的媒體采用安全的處置辦法。ISMSP2010《信息處理設備管理程序》ISMSP2008《更改控制程序》介質處置目標YES為防止資產損壞和業(yè)務活動中斷，根據(jù)媒體（包括產品）所儲存的信息的敏感性或重要性進行適當?shù)谋Ｗo，安全處置，確保因媒體不當造成信息泄露事故發(fā)生。網(wǎng)絡安全管理目標YES為保持對網(wǎng)絡中的信息及支持性設施進行有效保護網(wǎng)絡控制控制YES本公司已建立設計、制造應用系統(tǒng)和各種管理應用系統(tǒng)，網(wǎng)絡結構簡單，實施網(wǎng)絡控制是必須的，目前采用設計部門的內部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡物理隔離的方式。備份目標YES保持信息處理和通信服務的完整性和可用性。IT部為控制惡意軟件的主管部門，負責提供防范惡意軟件的技術工具并對技術工具進行實時升級，各部門具體負責本部門的惡意軟件預防控制工作。新系統(tǒng)、系統(tǒng)升級接收前，系統(tǒng)驗收部門明確接收準則 ，經(jīng)測試合格后方可正式運行，并保存測試記錄及驗收報告。系統(tǒng)規(guī)劃和驗收目標YES使系統(tǒng)故障風險最小化。對協(xié)議要求，特別是安全要求的符合性進行監(jiān)控得到充分可用的資源和技術技能支持。對第三方的服務的交付，包括協(xié)議規(guī)定的安全安排、服務定義以及服務管理等方面進行管理和驗收。操作系統(tǒng)管理員與用戶分離。為防止未授權的更改或誤用信息或服務的機會，按以下要求進行職責分配：a) 網(wǎng)絡管理系統(tǒng)管理職責與操作職責分離；b) 信息安全審核具有獨立性。變更管理控制YES未加以控制的系統(tǒng)更改會造成系統(tǒng)故障和安全故障。重要信息設備、保密信息的遷移應被授權，遷移活動應被記錄。筆記本電腦在離開規(guī)定的區(qū)域時，經(jīng)過部門領導授權并對其進行嚴格控制，防止其丟失和未經(jīng)授權的訪問。通信電纜與電力電纜分開鋪設，防止干擾。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。設備的安置和保護控制YES設備存在火災、吸煙、油污、未經(jīng)授權訪問等威脅。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進入普通辦公室和特別安全區(qū)域。處理敏感信息的設備不易被窺視。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護控制YES加強公司物理安全控制，防范火災、水災、地震，以及其它形式的自然或人為災害。辦公室、房間和設施的安全控制YES對安全區(qū)域內的辦公室、房間和設施應有特殊的安全要求。外來人員進入公司區(qū)域要進行登記。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。解除訪問權目標YES對所有員工、合作方以及第三方用戶對信息和信息處理設施的訪問權限進行管理。在員工離職前和第三方用戶完成合同時，應進行明確終止責任的溝通。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進行處罰，處罰在安全破壞經(jīng)過證實地情況下進行。信息安全教育和培訓控制YES安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理工作的前提。這些條款應規(guī)定其與組織對于信息安全的職責。審查/篩選控制YES通過人員考察，防止人員帶來的信息安全風險。標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件任用之前目標YES對聘用過程進行管理，確保員工、合同方和第三方用戶理解其責任，并且能勝任其任務，以降低設施被盜竊、欺詐或誤用的風險。不同密級事項的界定，由涉及秘密事項產生部門按照相應的原則進行分類。并對信息資源的使用，以及發(fā)生在其責任下的使用負責。如本公司保密辦可以組織相關部門指定資產負責人。資產清單控制YES公司需建立重要資產清單并實施保護。公司與長期訪問的顧客簽訂保密協(xié)議，明確規(guī)定信息安全要求，顧客方訪問同樣適用物理、邏輯訪問控制措施。公司與長期訪問的第三方簽訂保密協(xié)議。內審員獲得授權，在審核期間不受行政的領導的限制，直接對審核組長負責。內部信息安全顧問負責：a) 按照專業(yè)分工負責解答公司有關信息安全的問題并提供信息安全的建議；b) 收集與本公司信息安全有關的信息、新技術變化，經(jīng)本部門負責人審核同意，利用本公司電子郵件系統(tǒng)或采用其它方式傳遞到相關部門和人員；c) 必要時，參與信息安全事故的調查工作。信息安全交流時，確保本公司的敏感信息不傳給未經(jīng)授權的人。本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關人員（合同方、臨時員工）的安全考察與控制。在哪個文件里描述職責，《信息安全組織》么？信息處理設施的授權程序為什么在這個域中？控制YES本公司有新信息處理設備（設施）使用時，實施使用授權程序。信息安全職責的分配控制YES保持特定資產和完成特定安全過程的職責需確定。信息安全的協(xié)調控制YES公司涉及信息安全部門眾多，組織機構復雜，需要一個有效溝通與協(xié)調機制。公司成立信息安全管理委員會，由公司領導、信息安全管理者代表、各主要部門負責人組成。按照計劃的時間間隔（如每年）或當重大變化發(fā)生時利用管理評審對方針的進行評審以確保它持續(xù)的適宜性、充分性和有效性，必要時對方針進行修訂。XXXXXX有限公司 第34頁 共34頁標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件信息安全方針目標YES依據(jù)業(yè)務要求和相關法律法規(guī)為信息安全提供管理方向和支持，并表明管理層對信息安全的承諾。ISMS 2001適用性聲明編號：ISMSP2001狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日批準：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：變 更 記 錄變更日期版本變更說明編寫審核批準2009XXXXA/0初始版本XXXXXXXXX目 錄1 目的與范圍 42 相關文件 43 職責 44 聲明 4 5 5 7 7 7 7 開發(fā)和維護 7 7 7 7信息安全適用性聲明1 目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標/控制、是否選擇這些目標/控制的理由、公司現(xiàn)行的控制方式、以及實施這些控制所涉及的相關文件。根據(jù)公司風險評估的結果和風險可接受水平，GB/T 220802008 idt ISO/IEC27001:2005附錄A的下列條款被選擇（或不選擇)用于本公司信息安全管理體系，共刪除X條控制措施。信息安全方針的評審與評價控制YES確保方針持續(xù)的適宜性。管理者應通過清晰的說明、可證實的承諾、明確的信息安全職責分配來積極支持組織內的安全。會議主要議題包括：a) 評審信息安全承諾；b) 確認風險評估的結果；c) 對與信息安全管理有關的重大更改事項，如組織機構調整、關鍵人事變動、信息系統(tǒng)更改等，進行決策；e) 評審與處理重大信息安全事故；f) 審批與信息安全管理有關的其他重要事項。由保密辦負責組織安排并做好會議記錄。與ISMS有關各部門的信息安全職責應予以描述，關于具體的信息安全活動的職責在程序及作業(yè)文件中予以明確。信息安全保密性協(xié)議控制YES為更好掌握信息安全的技術及聽取安全方面的有益建議，需與內外部經(jīng)常訪問我公司信息處理設施的人員訂立保密性協(xié)議。信息部就電話/網(wǎng)絡通訊系統(tǒng)的安全問題與市信息主管部門及標準制定部門保持聯(lián)系，其他部門與相應的政府職能部門及社會服務機構保持聯(lián)系，以便及時掌握信息安全的法律法規(guī)，及時獲得安全事故的預防和糾正信息，并得到相應的支持。顧問與專家名單由本公司信息安全委員會提出，管理者代表批準。內部審核員在現(xiàn)場審核時保持審核的獨立性，并不審核自己的工作。第三方物理訪問須經(jīng)公司被訪問部門的授權，進入工作區(qū)應進行登記。應在允許顧客訪問組織的信息或資產前強調所有的安全要求。標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件資產責任目標YES對本公司重要信息資產（包括顧客要求保密的數(shù)據(jù)、軟件及產品）進行有效保護。所有與信息及信息處理設施有關的資產應由組織指定相應的部門或人員負責。使用或訪問組織資產的員工、合作方以及第三方用戶應該了解與信息處理設施和資源相關的信息和資產方面的限制。本公司的信息密級劃分為三級（公開、受控、機密）或四級（公開、內部、機密、極其機密）。信息的使用、傳輸、存儲、刪除、銷毀要進行控制。所有員工須遵守公司有關信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密。作為勞動合同的一部分，員工、合同方和第三方用戶應同意并簽署他們的雇傭合同的條款。公司管理者要求員工、合作方以及第三方人員加強信息安全意識，依據(jù)建立的方針和程序來應用安全，服從公司管理，當有其他的管理制度與信息安全管理制度沖突時，首選信息安全管理制度執(zhí)行。紀律處理過程控制YES對造成安全破壞的員工應該有一個正式的懲戒過程。終止職責控制YES執(zhí)行工作終止或工作變化的職責應清晰的定義和分配。員工離職或工作變動前，應辦理資產歸還手續(xù)，然后方能辦理移交手續(xù)。物理安全周邊控制YES本公司有包含重要信息處理設施的區(qū)域和儲存重要信息資產及保密制品的區(qū)域，如開發(fā)辦公室、機柜所在地應確定其安全周界，并對其實施保護。物理進入控制控制YES安全區(qū)域進入應經(jīng)過授權，未經(jīng)授權的非法訪問會對信息安