【文章內(nèi)容簡介】 信息備份控制YES必須對重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。本公司根據(jù)風(fēng)險評估的結(jié)果對重要數(shù)據(jù)庫、軟件等進行備份。信息部為全公司信息備份提供技術(shù)支持，各部門按照重要信息備份管理要求進行備份。網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對網(wǎng)絡(luò)中的信息及支持性設(shè)施進行有效保護網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡單，實施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計部門的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式。本公司網(wǎng)絡(luò)安全控制措施包括：a)對財務(wù)網(wǎng)絡(luò)與研發(fā)網(wǎng)絡(luò)物理隔離；b)對研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離；c)對網(wǎng)絡(luò)設(shè)備定期維護；d)對防火墻、交換機等實施安全配置管理；e)對用戶訪問網(wǎng)絡(luò)實施授權(quán)管理；f)實施有效的安全策略；g)對系統(tǒng)的變更進行嚴(yán)格控制；h)對網(wǎng)絡(luò)的運行情況進行監(jiān)控；i)對網(wǎng)絡(luò)設(shè)備的變更進行控制；j)對網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性是實施網(wǎng)絡(luò)安全管理的需要。XX部根據(jù)組織的安全策略，識別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進行參數(shù)配置與維護管理。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》介質(zhì)處置目標(biāo)YES為防止資產(chǎn)損壞和業(yè)務(wù)活動中斷，根據(jù)媒體（包括產(chǎn)品）所儲存的信息的敏感性或重要性進行適當(dāng)?shù)谋Ｗo，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生?？梢苿咏橘|(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報告等可移動媒體?？梢苿佑嬎忝襟w包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報告，各部門按其管理權(quán)限并根據(jù)風(fēng)險評估的結(jié)果對其實施有效的控制。媒體移動的記錄予以保持?！缎畔⑾到y(tǒng)硬件管理規(guī)定》介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時，必須對含有敏感信息的媒體采用安全的處置辦法。對于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時，介質(zhì)處置部門按照《信息系統(tǒng)硬件管理規(guī)定》的要求，采取安全可靠處置的方法將其信息清除。《信息系統(tǒng)硬件管理規(guī)定》信息處置程序控制YES對信息的處理與貯存采取適當(dāng)?shù)目刂品椒?，避免濫用或泄密的威脅。為保護敏感信息不會因未經(jīng)授權(quán)處理而造成泄漏或濫用，本公司在《密級控制程序》等文件中明確規(guī)定對敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動的安全要求。ISMSP2020《密級控制程序》系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權(quán)訪問威脅。本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問授權(quán)說明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g)其它系統(tǒng)文件。ISMSP2020《密級控制程序》ISMSP2005《文件和資料管理程序》《信息系統(tǒng)硬件管理規(guī)定》信息交換目標(biāo)YES明確信息和軟件交換的控制目標(biāo)，保護信息在交換時發(fā)生丟失、更改和誤用現(xiàn)象。信息交換策略和程序控制YES本公司存在與其他組織進行信息與軟件交換的活動。XX部在與顧客進行產(chǎn)品（設(shè)計）數(shù)據(jù)、測試程序等數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權(quán)人員接收并登記。《外包方控制辦法》交換協(xié)議控制YES建立并遵守相應(yīng)的協(xié)議，以保護被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。在與顧客進行數(shù)據(jù)與軟件交換的過程中簽訂相關(guān)的安全控制協(xié)議： 明確雙方的安全責(zé)任與安全交接方式； 如果有要求，采用加密方式傳輸數(shù)據(jù)。與外部方簽訂的合同或協(xié)議物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運輸活動，確定安全的傳送方法是必要的。為避免被傳送的介質(zhì)在傳送（運輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)（包括保密產(chǎn)品的運輸）傳送的部門采用以下方法進行控制： a) 選擇適宜的安全傳送方式，對保密產(chǎn)品運輸供方進行選擇與評價，并與之簽訂保密協(xié)議；b) 保持傳送活動記錄?！锻獍娇刂妻k法》電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進行信息交換，公司與外部客戶通過電子郵件進行安全交換時進行了安全控制?；跇I(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計算機病毒的原則，本公司建立了電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶履行審批手續(xù)才可以使用?！缎畔踩剟?、懲戒管理規(guī)定》《電郵電話管理規(guī)定》業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。本公司建立的辦公自動化是以單機為基礎(chǔ)，不存在業(yè)務(wù)的交互式連接，對其控制依賴人員的意識和經(jīng)驗技能，其中紙質(zhì)文件按照密級和文件管理程序加以控制，減少信息的泄露及越權(quán)濫用。ISMSP2020《密級控制程序》電子商務(wù)服務(wù)目標(biāo)YES確保電子商務(wù)服務(wù)的安全及其安全使用。電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。在線交易控制NO本公司不涉及在線交易，本控制措施不適用。公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護，以防止未授權(quán)的修改。監(jiān)視目標(biāo)YES探測未經(jīng)授權(quán)的信息處理活動。審計記錄控制YES為訪問監(jiān)測提供幫助，建立事件記錄（審核日志）是必須的。公司信息安全范圍邊境監(jiān)控是外包的。公司內(nèi)部監(jiān)控是由專人進行出入登記。公司所有的信息處理設(shè)施其日志處于打開狀態(tài)，做審計時的證據(jù)。《系統(tǒng)日常點檢業(yè)務(wù)手冊》ISMSP2010《信息處理設(shè)備管理程序》監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對監(jiān)控結(jié)果評審是預(yù)防事故發(fā)生的重要手段。監(jiān)控部門按照規(guī)定周期對對監(jiān)控結(jié)果進行評審，確保用戶只執(zhí)行被明確授權(quán)的活動。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施并實施?！断到y(tǒng)邏輯訪問管理制度》日志信息的保護控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護，防止被篡改和未經(jīng)授權(quán)的訪問。實施控制，防止對日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題.ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。管理員和操作員的日志應(yīng)該包括： a) 事情（成功或失?。┌l(fā)生的時間； b) 事情的有關(guān)信息（如：操作的文件）或故障信息； c) 涉及哪一個賬號以及哪一個管理員或操作員； d) 涉及哪一個過程。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》故障日志控制YES應(yīng)記錄、分析故障并采取適當(dāng)?shù)拇胧Ｒ?guī)定了用戶或系統(tǒng)程序報告的有關(guān)信息處理系統(tǒng)的問題如何記錄，以及清楚的規(guī)定了如何處理報告的故障。ISMSP2033《事故、事件、薄弱點與故障管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》ISMSP2010《信息處理設(shè)備管理程序》時鐘同步控制YES采取適當(dāng)?shù)拇胧嵤r鐘同步，是日常經(jīng)營與獲取客觀證據(jù)的需要。公司用網(wǎng)絡(luò)時間協(xié)議保持所有服務(wù)器與主時鐘同步。保持本地時間與世界標(biāo)準(zhǔn)時間（UTC）一致?！断到y(tǒng)日常點檢業(yè)務(wù)手冊》標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件訪問控制的業(yè)務(wù)要求目標(biāo)YES控制對信息的訪問。訪問控制策略控制YES明確訪問的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對信息訪問實施有效控制。本公司基于以下原則制定文件化的訪問控制策略，明確規(guī)定訪問的控制要求，《物理邏輯訪問權(quán)限說明書》中規(guī)定訪問控制規(guī)則和每個用戶或用戶組的訪問權(quán)力，訪問規(guī)則的制定基于以下方面考慮：a) 每個業(yè)務(wù)應(yīng)用的安全要求；b) 在不同系統(tǒng)與網(wǎng)絡(luò)間，訪問控制與信息分類策略要保持一致；c) 數(shù)據(jù)和服務(wù)訪問符合有關(guān)法律和合同義務(wù)的要求；d) 對各種訪問權(quán)限的實施管理。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》《物理邏輯訪問權(quán)限說明書》用戶訪問管理目標(biāo)YES防止對信息系統(tǒng)未經(jīng)授權(quán)的訪問。用戶注冊控制YES本公司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和解除登記程序。根據(jù)訪問控制策略及《物理邏輯訪問權(quán)限說明書》確定的訪問規(guī)則，訪問權(quán)限管理部門對用戶（包括第三方用戶)進行書面訪問授權(quán)，若發(fā)生以下情況，對其訪問權(quán)將從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時；c) 第三方訪問合同終止時；d) 其它情況必須注銷時。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》特權(quán)管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán)，特權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的破壞。特權(quán)分配以“使用需要”和“事件緊跟”為基礎(chǔ)，即需要時僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后將被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)（最小特權(quán)原則)。網(wǎng)絡(luò)系統(tǒng)管理員、安全員擁有特權(quán)，只有經(jīng)過書面授權(quán)，其特權(quán)才被認(rèn)可。當(dāng)特權(quán)擁有者因公出差或其它原因暫時離開工作崗位時，特權(quán)部門負(fù)責(zé)人應(yīng)對特權(quán)實行緊急安排，將特權(quán)臨時轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運行；當(dāng)特權(quán)擁有者返回工作崗位時，及時收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。ISMSP2012《用戶訪問控制程序》用戶口令管理控制YES用戶訪問信息系統(tǒng)和服務(wù)是按授權(quán)的范圍進行訪問的，并擁有口令，因此建立正式的管理過程對口令進行分配并控制是必須的。各系統(tǒng)管理員按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a) 管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時口令。b) 當(dāng)用戶忘記口令時，可由系統(tǒng)管理員幫其找回或重新分配安全的口令。c) 禁止將口令以無保護的形式存儲在計算機系統(tǒng)內(nèi)。XX部管理執(zhí)行《用戶口令管理規(guī)定》。ISMSP2012《用戶訪問控制程序》用戶訪問權(quán)的評審控制YES內(nèi)部用戶會發(fā)生崗位變化，或有的用戶的訪問權(quán)是有時限要求的，為防止非授權(quán)的訪問，對用戶訪問的評審是必要的。用戶訪問權(quán)限主管部門每半年對一般用戶訪問權(quán)進行評審，對特權(quán)用戶每季度進行評審一次，注銷非法用戶或過期無效用戶的訪問權(quán)，評審結(jié)應(yīng)予以保持。ISMSP2012《用戶訪問控制程序》用戶職責(zé)目標(biāo)YES明確用戶責(zé)任,防止非授權(quán)用戶的訪問口令使用控制YES使用戶遵循口令使用規(guī)則，防止口令泄密或被解密。本公司在《用戶訪問控制程序》中明確規(guī)定了口令安全選擇與使用要求，所有用戶須嚴(yán)格遵守。實施口令定期變更策略。ISMSP2012《用戶訪問控制程序》無人值守的用戶設(shè)備控制YES在用戶范圍內(nèi)安裝的設(shè)備在無人值守