【文章內(nèi)容簡(jiǎn)介】 信息備份控制YES必須對(duì)重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。本公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)重要數(shù)據(jù)庫(kù)、軟件等進(jìn)行備份。信息部為全公司信息備份提供技術(shù)支持，各部門(mén)按照重要信息備份管理要求進(jìn)行備份。網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對(duì)網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計(jì)、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，實(shí)施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計(jì)部門(mén)的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式。本公司網(wǎng)絡(luò)安全控制措施包括：a)對(duì)財(cái)務(wù)網(wǎng)絡(luò)與研發(fā)網(wǎng)絡(luò)物理隔離；b)對(duì)研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離；c)對(duì)網(wǎng)絡(luò)設(shè)備定期維護(hù)；d)對(duì)防火墻、交換機(jī)等實(shí)施安全配置管理；e)對(duì)用戶(hù)訪問(wèn)網(wǎng)絡(luò)實(shí)施授權(quán)管理；f)實(shí)施有效的安全策略；g)對(duì)系統(tǒng)的變更進(jìn)行嚴(yán)格控制；h)對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控；i)對(duì)網(wǎng)絡(luò)設(shè)備的變更進(jìn)行控制；j)對(duì)網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性是實(shí)施網(wǎng)絡(luò)安全管理的需要。XX部根據(jù)組織的安全策略，識(shí)別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進(jìn)行參數(shù)配置與維護(hù)管理。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》介質(zhì)處置目標(biāo)YES為防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，根據(jù)媒體（包括產(chǎn)品）所儲(chǔ)存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生。可移動(dòng)介質(zhì)的管理控制YES本公司存在含有敏感信息的磁盤(pán)、磁帶、光盤(pán)、打印報(bào)告等可移動(dòng)媒體?？梢苿?dòng)計(jì)算媒體包括光盤(pán)、磁帶、磁盤(pán)、盒式磁帶和已經(jīng)印刷好的報(bào)告，各部門(mén)按其管理權(quán)限并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)其實(shí)施有效的控制。媒體移動(dòng)的記錄予以保持?！缎畔⑾到y(tǒng)硬件管理規(guī)定》介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時(shí)，必須對(duì)含有敏感信息的媒體采用安全的處置辦法。對(duì)于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，介質(zhì)處置部門(mén)按照《信息系統(tǒng)硬件管理規(guī)定》的要求，采取安全可靠處置的方法將其信息清除?！缎畔⑾到y(tǒng)硬件管理規(guī)定》信息處置程序控制YES對(duì)信息的處理與貯存采取適當(dāng)?shù)目刂品椒?，避免濫用或泄密的威脅。為保護(hù)敏感信息不會(huì)因未經(jīng)授權(quán)處理而造成泄漏或?yàn)E用，本公司在《密級(jí)控制程序》等文件中明確規(guī)定對(duì)敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動(dòng)的安全要求。ISMSP2020《密級(jí)控制程序》系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權(quán)訪問(wèn)威脅。本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊(cè)；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問(wèn)授權(quán)說(shuō)明書(shū)及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g)其它系統(tǒng)文件。ISMSP2020《密級(jí)控制程序》ISMSP2005《文件和資料管理程序》《信息系統(tǒng)硬件管理規(guī)定》信息交換目標(biāo)YES明確信息和軟件交換的控制目標(biāo)，保護(hù)信息在交換時(shí)發(fā)生丟失、更改和誤用現(xiàn)象。信息交換策略和程序控制YES本公司存在與其他組織進(jìn)行信息與軟件交換的活動(dòng)。XX部在與顧客進(jìn)行產(chǎn)品（設(shè)計(jì)）數(shù)據(jù)、測(cè)試程序等數(shù)據(jù)與軟件交換的過(guò)程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權(quán)人員接收并登記?！锻獍娇刂妻k法》交換協(xié)議控制YES建立并遵守相應(yīng)的協(xié)議，以保護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過(guò)程中簽訂相關(guān)的安全控制協(xié)議： 明確雙方的安全責(zé)任與安全交接方式； 如果有要求，采用加密方式傳輸數(shù)據(jù)。與外部方簽訂的合同或協(xié)議物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運(yùn)輸活動(dòng)，確定安全的傳送方法是必要的。為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過(guò)程中發(fā)生丟失、未經(jīng)授權(quán)的訪問(wèn)或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)（包括保密產(chǎn)品的運(yùn)輸）傳送的部門(mén)采用以下方法進(jìn)行控制： a) 選擇適宜的安全傳送方式，對(duì)保密產(chǎn)品運(yùn)輸供方進(jìn)行選擇與評(píng)價(jià)，并與之簽訂保密協(xié)議；b) 保持傳送活動(dòng)記錄?！锻獍娇刂妻k法》電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進(jìn)行信息交換，公司與外部客戶(hù)通過(guò)電子郵件進(jìn)行安全交換時(shí)進(jìn)行了安全控制?；跇I(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計(jì)算機(jī)病毒的原則，本公司建立了電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶(hù)履行審批手續(xù)才可以使用?！缎畔踩?jiǎng)勵(lì)、懲戒管理規(guī)定》《電郵電話(huà)管理規(guī)定》業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。本公司建立的辦公自動(dòng)化是以單機(jī)為基礎(chǔ)，不存在業(yè)務(wù)的交互式連接，對(duì)其控制依賴(lài)人員的意識(shí)和經(jīng)驗(yàn)技能，其中紙質(zhì)文件按照密級(jí)和文件管理程序加以控制，減少信息的泄露及越權(quán)濫用。ISMSP2020《密級(jí)控制程序》電子商務(wù)服務(wù)目標(biāo)YES確保電子商務(wù)服務(wù)的安全及其安全使用。電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。在線交易控制NO本公司不涉及在線交易，本控制措施不適用。公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改。監(jiān)視目標(biāo)YES探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。審計(jì)記錄控制YES為訪問(wèn)監(jiān)測(cè)提供幫助，建立事件記錄（審核日志）是必須的。公司信息安全范圍邊境監(jiān)控是外包的。公司內(nèi)部監(jiān)控是由專(zhuān)人進(jìn)行出入登記。公司所有的信息處理設(shè)施其日志處于打開(kāi)狀態(tài)，做審計(jì)時(shí)的證據(jù)。《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》ISMSP2010《信息處理設(shè)備管理程序》監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對(duì)監(jiān)控結(jié)果評(píng)審是預(yù)防事故發(fā)生的重要手段。監(jiān)控部門(mén)按照規(guī)定周期對(duì)對(duì)監(jiān)控結(jié)果進(jìn)行評(píng)審，確保用戶(hù)只執(zhí)行被明確授權(quán)的活動(dòng)。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施并實(shí)施?！断到y(tǒng)邏輯訪問(wèn)管理制度》日志信息的保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問(wèn)。實(shí)施控制，防止對(duì)日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問(wèn)題.ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。管理員和操作員的日志應(yīng)該包括： a) 事情（成功或失敗）發(fā)生的時(shí)間； b) 事情的有關(guān)信息（如：操作的文件）或故障信息； c) 涉及哪一個(gè)賬號(hào)以及哪一個(gè)管理員或操作員； d) 涉及哪一個(gè)過(guò)程。ISMSP2012《用戶(hù)訪問(wèn)控制程序》ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》故障日志控制YES應(yīng)記錄、分析故障并采取適當(dāng)?shù)拇胧Ｒ?guī)定了用戶(hù)或系統(tǒng)程序報(bào)告的有關(guān)信息處理系統(tǒng)的問(wèn)題如何記錄，以及清楚的規(guī)定了如何處理報(bào)告的故障。ISMSP2033《事故、事件、薄弱點(diǎn)與故障管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》ISMSP2010《信息處理設(shè)備管理程序》時(shí)鐘同步控制YES采取適當(dāng)?shù)拇胧?shí)施時(shí)鐘同步，是日常經(jīng)營(yíng)與獲取客觀證據(jù)的需要。公司用網(wǎng)絡(luò)時(shí)間協(xié)議保持所有服務(wù)器與主時(shí)鐘同步。保持本地時(shí)間與世界標(biāo)準(zhǔn)時(shí)間（UTC）一致。《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件訪問(wèn)控制的業(yè)務(wù)要求目標(biāo)YES控制對(duì)信息的訪問(wèn)。訪問(wèn)控制策略控制YES明確訪問(wèn)的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對(duì)信息訪問(wèn)實(shí)施有效控制。本公司基于以下原則制定文件化的訪問(wèn)控制策略，明確規(guī)定訪問(wèn)的控制要求，《物理邏輯訪問(wèn)權(quán)限說(shuō)明書(shū)》中規(guī)定訪問(wèn)控制規(guī)則和每個(gè)用戶(hù)或用戶(hù)組的訪問(wèn)權(quán)力，訪問(wèn)規(guī)則的制定基于以下方面考慮：a) 每個(gè)業(yè)務(wù)應(yīng)用的安全要求；b) 在不同系統(tǒng)與網(wǎng)絡(luò)間，訪問(wèn)控制與信息分類(lèi)策略要保持一致；c) 數(shù)據(jù)和服務(wù)訪問(wèn)符合有關(guān)法律和合同義務(wù)的要求；d) 對(duì)各種訪問(wèn)權(quán)限的實(shí)施管理。ISMSP2012《用戶(hù)訪問(wèn)控制程序》《系統(tǒng)邏輯訪問(wèn)管理制度》《物理邏輯訪問(wèn)權(quán)限說(shuō)明書(shū)》用戶(hù)訪問(wèn)管理目標(biāo)YES防止對(duì)信息系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)。用戶(hù)注冊(cè)控制YES本公司存在多用戶(hù)信息系統(tǒng)，應(yīng)建立用戶(hù)登記和解除登記程序。根據(jù)訪問(wèn)控制策略及《物理邏輯訪問(wèn)權(quán)限說(shuō)明書(shū)》確定的訪問(wèn)規(guī)則，訪問(wèn)權(quán)限管理部門(mén)對(duì)用戶(hù)（包括第三方用戶(hù))進(jìn)行書(shū)面訪問(wèn)授權(quán)，若發(fā)生以下情況，對(duì)其訪問(wèn)權(quán)將從系統(tǒng)中予以注銷(xiāo)：a) 內(nèi)部用戶(hù)雇傭合同終止時(shí)；b) 內(nèi)部用戶(hù)因崗位調(diào)整不再需要此項(xiàng)訪問(wèn)服務(wù)時(shí)；c) 第三方訪問(wèn)合同終止時(shí)；d) 其它情況必須注銷(xiāo)時(shí)。ISMSP2012《用戶(hù)訪問(wèn)控制程序》《系統(tǒng)邏輯訪問(wèn)管理制度》特權(quán)管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán)，特權(quán)不適當(dāng)?shù)氖褂脮?huì)造成系統(tǒng)的破壞。特權(quán)分配以“使用需要”和“事件緊跟”為基礎(chǔ)，即需要時(shí)僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后將被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)（最小特權(quán)原則)。網(wǎng)絡(luò)系統(tǒng)管理員、安全員擁有特權(quán)，只有經(jīng)過(guò)書(shū)面授權(quán)，其特權(quán)才被認(rèn)可。當(dāng)特權(quán)擁有者因公出差或其它原因暫時(shí)離開(kāi)工作崗位時(shí)，特權(quán)部門(mén)負(fù)責(zé)人應(yīng)對(duì)特權(quán)實(shí)行緊急安排，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運(yùn)行；當(dāng)特權(quán)擁有者返回工作崗位時(shí)，及時(shí)收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。ISMSP2012《用戶(hù)訪問(wèn)控制程序》用戶(hù)口令管理控制YES用戶(hù)訪問(wèn)信息系統(tǒng)和服務(wù)是按授權(quán)的范圍進(jìn)行訪問(wèn)的，并擁有口令，因此建立正式的管理過(guò)程對(duì)口令進(jìn)行分配并控制是必須的。各系統(tǒng)管理員按以下過(guò)程對(duì)被授權(quán)訪問(wèn)該系統(tǒng)的用戶(hù)口令予以分配：a) 管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時(shí)口令。b) 當(dāng)用戶(hù)忘記口令時(shí)，可由系統(tǒng)管理員幫其找回或重新分配安全的口令。c) 禁止將口令以無(wú)保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)。XX部管理執(zhí)行《用戶(hù)口令管理規(guī)定》。ISMSP2012《用戶(hù)訪問(wèn)控制程序》用戶(hù)訪問(wèn)權(quán)的評(píng)審控制YES內(nèi)部用戶(hù)會(huì)發(fā)生崗位變化，或有的用戶(hù)的訪問(wèn)權(quán)是有時(shí)限要求的，為防止非授權(quán)的訪問(wèn)，對(duì)用戶(hù)訪問(wèn)的評(píng)審是必要的。用戶(hù)訪問(wèn)權(quán)限主管部門(mén)每半年對(duì)一般用戶(hù)訪問(wèn)權(quán)進(jìn)行評(píng)審，對(duì)特權(quán)用戶(hù)每季度進(jìn)行評(píng)審一次，注銷(xiāo)非法用戶(hù)或過(guò)期無(wú)效用戶(hù)的訪問(wèn)權(quán)，評(píng)審結(jié)應(yīng)予以保持。ISMSP2012《用戶(hù)訪問(wèn)控制程序》用戶(hù)職責(zé)目標(biāo)YES明確用戶(hù)責(zé)任,防止非授權(quán)用戶(hù)的訪問(wèn)口令使用控制YES使用戶(hù)遵循口令使用規(guī)則，防止口令泄密或被解密。本公司在《用戶(hù)訪問(wèn)控制程序》中明確規(guī)定了口令安全選擇與使用要求，所有用戶(hù)須嚴(yán)格遵守。實(shí)施口令定期變更策略。ISMSP2012《用戶(hù)訪問(wèn)控制程序》無(wú)人值守的用戶(hù)設(shè)備控制YES在用戶(hù)范圍內(nèi)安裝的設(shè)備在無(wú)人值守