【正文】 系統(tǒng)審核控制控制YES對(duì)作業(yè)系統(tǒng)的審核應(yīng)事先策劃，避免對(duì)作業(yè)系統(tǒng)造成不良影響。ISMSP2015《監(jiān)視和測(cè)量管理程序》ISMSP2010《信息處理設(shè)備管理程序》密碼技術(shù)控制條例控制NO本公司沒(méi)有涉及國(guó)家密碼產(chǎn)品，本條款不適用。ISMSP2015《監(jiān)視和測(cè)量管理程序》知識(shí)產(chǎn)權(quán)控制YES軟件的使用與復(fù)制涉及知識(shí)產(chǎn)權(quán)問(wèn)題（軟件著作權(quán)），應(yīng)使用正版軟件。應(yīng)保持獨(dú)立的業(yè)務(wù)持續(xù)性計(jì)劃的框架，以確定各種計(jì)劃的一致性并確定檢測(cè)和維護(hù)的優(yōu)先權(quán)。公司建立并實(shí)施《業(yè)務(wù)持續(xù)性管理程序》，在發(fā)生災(zāi)難或安全故障時(shí)，實(shí)施持續(xù)性管理計(jì)劃，確保關(guān)鍵業(yè)務(wù)及時(shí)得到恢復(fù)。ISMSP2033《事故、事件、薄弱點(diǎn)與故障管理程序》ISMSP2007《糾正/預(yù)防措施控制程序》對(duì)信息安全事件的總結(jié)控制YES只有對(duì)事故進(jìn)行有效鑒定，才能從中吸取教訓(xùn)，防止再發(fā)生。報(bào)告信息安全事件控制YES安全事件、事故有可能發(fā)生，一旦發(fā)生必須報(bào)告。ISMSP2008《更改控制程序》信息泄漏控制YES軟件的采購(gòu)、使用或修改會(huì)有隱藏通道和特洛伊代碼的威脅，應(yīng)采取措施予以控制對(duì)軟件的采購(gòu)、使用、變更及開(kāi)發(fā)過(guò)程進(jìn)行控制和檢查，以防止可能的隱藏通道和特洛伊木馬。ISMSP2014《系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序》開(kāi)發(fā)和支持過(guò)程的安全目標(biāo)YES確保應(yīng)用系統(tǒng)軟件和信息的安全。系統(tǒng)文件的安全目標(biāo)YES確保信息技術(shù)項(xiàng)目和支持活動(dòng)以安全的方式進(jìn)行。《系統(tǒng)邏輯訪(fǎng)問(wèn)管理制度》消息的完整性控制YES確保識(shí)別真實(shí)性和消息的完整性利用人員經(jīng)驗(yàn)來(lái)進(jìn)行識(shí)別信息的真實(shí)性與完整性；在操作過(guò)程中防止輸入數(shù)據(jù)被截取或修改。系統(tǒng)（軟件）本身的功能及安全特性在設(shè)計(jì)開(kāi)發(fā)輸入時(shí)明確提出，并進(jìn)行評(píng)審。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對(duì)敏感系統(tǒng)予以隔離ISMSP2012《用戶(hù)訪(fǎng)問(wèn)控制程序》ISMSP2010《信息處理設(shè)備管理程序》移動(dòng)式計(jì)算和遠(yuǎn)程工作目標(biāo)YES明確控制目標(biāo)，確保移動(dòng)式計(jì)算和遠(yuǎn)程工作設(shè)施的信息安全。ISMSP2012《用戶(hù)訪(fǎng)問(wèn)控制程序》ISMSP2010《信息處理設(shè)備管理程序》聯(lián)接時(shí)間的限制控制YES使用聯(lián)接時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。ISMSP2012《用戶(hù)訪(fǎng)問(wèn)控制程序》口令管理系統(tǒng)控制YES為減少非法訪(fǎng)問(wèn)操作系統(tǒng)的機(jī)會(huì)，應(yīng)建立口令管理系統(tǒng)。XX部應(yīng)根據(jù)網(wǎng)絡(luò)安全要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機(jī)制，對(duì)路由實(shí)施控制。對(duì)端口保護(hù)采用物理的方法。ISMSP2010《信息處理設(shè)備管理程序》網(wǎng)絡(luò)訪(fǎng)問(wèn)控制目標(biāo)YES保護(hù)網(wǎng)絡(luò)服務(wù)。ISMSP2012《用戶(hù)訪(fǎng)問(wèn)控制程序》用戶(hù)職責(zé)目標(biāo)YES明確用戶(hù)責(zé)任,防止非授權(quán)用戶(hù)的訪(fǎng)問(wèn)口令使用控制YES使用戶(hù)遵循口令使用規(guī)則，防止口令泄密或被解密。當(dāng)特權(quán)擁有者因公出差或其它原因暫時(shí)離開(kāi)工作崗位時(shí)，特權(quán)部門(mén)負(fù)責(zé)人應(yīng)對(duì)特權(quán)實(shí)行緊急安排，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運(yùn)行；當(dāng)特權(quán)擁有者返回工作崗位時(shí)，及時(shí)收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。訪(fǎng)問(wèn)控制策略控制YES明確訪(fǎng)問(wèn)的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對(duì)信息訪(fǎng)問(wèn)實(shí)施有效控制。實(shí)施控制，防止對(duì)日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問(wèn)題.ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。審計(jì)記錄控制YES為訪(fǎng)問(wèn)監(jiān)測(cè)提供幫助，建立事件記錄（審核日志）是必須的。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶(hù)履行審批手續(xù)才可以使用。信息交換策略和程序控制YES本公司存在與其他組織進(jìn)行信息與軟件交換的活動(dòng)。媒體移動(dòng)的記錄予以保持。信息部為全公司信息備份提供技術(shù)支持，各部門(mén)按照重要信息備份管理要求進(jìn)行備份。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪(fǎng)問(wèn)Internet互聯(lián)網(wǎng)。 b) 第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級(jí)。責(zé)任分割控制YES管理員與操作員職責(zé)應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。資產(chǎn)的遷移控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會(huì)造成其丟失或非法訪(fǎng)問(wèn)的危害。對(duì)傳輸線(xiàn)路進(jìn)行維護(hù)，防止線(xiàn)路故障。ISMSP2011《物理訪(fǎng)問(wèn)控制程序》設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動(dòng)的中斷。在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全。員工加班也需登記。物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲(chǔ)存重要信息資產(chǎn)及保密制品的區(qū)域，如開(kāi)發(fā)辦公室、機(jī)柜所在地應(yīng)確定其安全周界，并對(duì)其實(shí)施保護(hù)。終止職責(zé)控制YES執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。公司管理者要求員工、合作方以及第三方人員加強(qiáng)信息安全意識(shí)，依據(jù)建立的方針和程序來(lái)應(yīng)用安全，服從公司管理，當(dāng)有其他的管理制度與信息安全管理制度沖突時(shí)，首選信息安全管理制度執(zhí)行。所有員工須遵守公司有關(guān)信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國(guó)家秘密。本公司的信息密級(jí)劃分為三級(jí)（公開(kāi)、受控、機(jī)密）或四級(jí)（公開(kāi)、內(nèi)部、機(jī)密、極其機(jī)密）。所有與信息及信息處理設(shè)施有關(guān)的資產(chǎn)應(yīng)由組織指定相應(yīng)的部門(mén)或人員負(fù)責(zé)。應(yīng)在允許顧客訪(fǎng)問(wèn)組織的信息或資產(chǎn)前強(qiáng)調(diào)所有的安全要求。內(nèi)部審核員在現(xiàn)場(chǎng)審核時(shí)保持審核的獨(dú)立性，并不審核自己的工作。信息部就電話(huà)/網(wǎng)絡(luò)通訊系統(tǒng)的安全問(wèn)題與市信息主管部門(mén)及標(biāo)準(zhǔn)制定部門(mén)保持聯(lián)系，其他部門(mén)與相應(yīng)的政府職能部門(mén)及社會(huì)服務(wù)機(jī)構(gòu)保持聯(lián)系，以便及時(shí)掌握信息安全的法律法規(guī)，及時(shí)獲得安全事故的預(yù)防和糾正信息，并得到相應(yīng)的支持。與ISMS有關(guān)各部門(mén)的信息安全職責(zé)應(yīng)予以描述，關(guān)于具體的信息安全活動(dòng)的職責(zé)在程序及作業(yè)文件中予以明確。會(huì)議主要議題包括：a) 評(píng)審信息安全承諾；b) 確認(rèn)風(fēng)險(xiǎn)評(píng)估的結(jié)果；c) 對(duì)與信息安全管理有關(guān)的重大更改事項(xiàng)，如組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等，進(jìn)行決策；e) 評(píng)審與處理重大信息安全事故；f) 審批與信息安全管理有關(guān)的其他重要事項(xiàng)。信息安全方針的評(píng)審與評(píng)價(jià)控制YES確保方針持續(xù)的適宜性。ISMS 2001適用性聲明編號(hào)：ISMSP2001狀態(tài)：受控編寫(xiě)：200X年XX月XX日審核：200X年XX月XX日批準(zhǔn)：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門(mén)（或XXX）接受部門(mén)：變 更 記 錄變更日期版本變更說(shuō)明編寫(xiě)審核批準(zhǔn)2009XXXXA/0初始版本XXXXXXXXX目 錄1 目的與范圍 42 相關(guān)文件 43 職責(zé) 44 聲明 4 5 5 7 7 7 7 開(kāi)發(fā)和維護(hù) 7 7 7 7信息安全適用性聲明1 目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標(biāo)/控制、是否選擇這些目標(biāo)/控制的理由、公司現(xiàn)行的控制方式、以及實(shí)施這些控制所涉及的相關(guān)文件。按照計(jì)劃的時(shí)間間隔（如每年）或當(dāng)重大變化發(fā)生時(shí)利用管理評(píng)審對(duì)方針的進(jìn)行評(píng)審以確保它持續(xù)的適宜性、充分性和有效性，必要時(shí)對(duì)方針進(jìn)行修訂。信息安全的協(xié)調(diào)控制YES公司涉及信息安全部門(mén)眾多，組織機(jī)構(gòu)復(fù)雜，需要一個(gè)有效溝通與協(xié)調(diào)機(jī)制。在哪個(gè)文件里描述職責(zé)，《信息安全組織》么？信息處理設(shè)施的授權(quán)程序?yàn)槭裁丛谶@個(gè)域中？控制YES本公司有新信息處理設(shè)備（設(shè)施）使用時(shí)，實(shí)施使用授權(quán)程序。信息安全交流時(shí)，確保本公司的敏感信息不傳給未經(jīng)授權(quán)的人。內(nèi)審員獲得授權(quán)，在審核期間不受行政的領(lǐng)導(dǎo)的限制，直接對(duì)審核組長(zhǎng)負(fù)責(zé)。公司與長(zhǎng)期訪(fǎng)問(wèn)的顧客簽訂保密協(xié)議，明確規(guī)定信息安全要求，顧客方訪(fǎng)問(wèn)同樣適用物理、邏輯訪(fǎng)問(wèn)控制措施。如本公司保密辦可以組織相關(guān)部門(mén)指定資產(chǎn)負(fù)責(zé)人。不同密級(jí)事項(xiàng)的界定，由涉及秘密事項(xiàng)產(chǎn)生部門(mén)按照相應(yīng)的原則進(jìn)行分類(lèi)。審查/篩選控制YES通過(guò)人員考察，防止人員帶來(lái)的信息安全風(fēng)險(xiǎn)。信息安全教育和培訓(xùn)控制YES安全意識(shí)及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。在員工離職前和第三方用戶(hù)完成合同時(shí)，應(yīng)進(jìn)行明確終止責(zé)任的溝通。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。辦公室、房間和設(shè)施的安全控制YES對(duì)安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。處理敏感信息的設(shè)備不易被窺視。設(shè)備的安置和保護(hù)控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪(fǎng)問(wèn)等威脅。通信電纜與電力電纜分開(kāi)鋪設(shè)，防止干擾。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動(dòng)應(yīng)被記錄。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會(huì)，按以下要求進(jìn)行職責(zé)分配：a) 網(wǎng)絡(luò)管理系統(tǒng)管理職責(zé)與操作職責(zé)分離；b) 信息安全審核具有獨(dú)立性。對(duì)第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)YES使系統(tǒng)故障風(fēng)險(xiǎn)最小化。IT部為控制惡意軟件的主管部門(mén)，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對(duì)技術(shù)工具進(jìn)行實(shí)時(shí)升級(jí)，各部門(mén)具體負(fù)責(zé)本部門(mén)的惡意軟件預(yù)防控制工作。網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對(duì)網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計(jì)、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，實(shí)施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計(jì)部門(mén)的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式?！缎畔⑾到y(tǒng)硬件管理規(guī)定》介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時(shí)，必須對(duì)含有敏感信息的媒體采用安全的處置辦法。XX部在與顧客進(jìn)行產(chǎn)品（設(shè)計(jì)）數(shù)據(jù)、測(cè)試程序等數(shù)據(jù)與軟件交換的過(guò)程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權(quán)人員接收并登記?！缎畔踩?jiǎng)勵(lì)、懲戒管理規(guī)定》《電郵電話(huà)管理規(guī)定》業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。公司信息安全范圍邊境監(jiān)控是外包的。管理