【正文】 件在開發(fā)過程中的任何更改，須進行適當的測試與評審，經開發(fā)軟件負責人批準后予以實施。操作系統（OS）及應用系統的升級須經過系統主管部門測試、評審與批準后方可進行。ISMSP2008《更改控制程序》ISMSP2014《系統開發(fā)與維護控制程序》操作系統（OS)更改后對應用的程序評審控制YES操作系統的不充分更改對應用系統會造成嚴重的影響。當操作系統（OS）發(fā)生更改時，操作系統更改對應用系統的影響應由系統主管部門進行評審，確保對應用程序的作業(yè)或安全措施無不利影響。ISMSP2008《更改控制程序》ISMSP2010《信息處理設備管理程序》軟件包的更改限制控制YES軟件包的更改會引入薄弱點，導致內部控制故障，應進行嚴格限制。本公司不鼓勵修改軟件包，如果有必要進行更改，更改部門在實施前進行風險評估，確定必須的控制措施，保留原始軟件，并在完全一樣的復制軟件上進行更改，更改實施前須得到系統主管部門的授權。ISMSP2008《更改控制程序》信息泄漏控制YES軟件的采購、使用或修改會有隱藏通道和特洛伊代碼的威脅，應采取措施予以控制對軟件的采購、使用、變更及開發(fā)過程進行控制和檢查，以防止可能的隱藏通道和特洛伊木馬。ISMSP2029《惡意軟件控制程序》外包軟件開發(fā)控制YES本公司存在軟件外包開發(fā)的活動，應予以控制。本公司不外包定制軟件。購買成品軟件安裝使用前須進行測試，以防止隱藏通道及特洛伊碼的存在。ISMSP2014《系統開發(fā)與維護控制程序》ISMSP2033《事故、事件、薄弱點與故障管理程序》技術薄弱點管理目標YES降低由已經公布的薄弱點所帶來破壞的風險。技術薄弱點的控制控制YES及時獲得正在使用信息系統的技術薄弱點的相關信息，應評估對這些薄弱點的暴露程度，并采取適當的方法處理相關風險。XX部門對技術薄弱點應進行風險評估，進行專項分析，制訂風險處理計劃，根據風險處理計劃采取對應的技術和管理措施。ISMSP2033《事故、事件、薄弱點與故障管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件報告信息安全事件和弱點目標YES保證與信息系統相關聯的信息安全事情和弱點的溝通，溝通的方式應允許采取及時糾正措施。報告信息安全事件控制YES安全事件、事故有可能發(fā)生，一旦發(fā)生必須報告。安全事情、事故一經發(fā)生，事情、事故發(fā)現者、事情、事故責任者應立即向主管部門報告，主管部門和責任部門應及時對事情、事故進行反應處理。所有員工有報告安全事情、事故的義務。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預防措施控制程序》報告安全弱點控制YES安全薄弱點是不可避免的,建立報告制度是預防發(fā)生的最好途徑之一。各部門及全體員工應按照要求及時識別安全薄弱點及可能的安全威脅，一旦發(fā)現應及時向有關人員或部門報告并記錄，主管部門或安全管理負責人應采取有效的預防措施，防止威脅的發(fā)生。ISMSP2033《事故、事件、薄弱點與故障管理程序》信息安全事件和改進的管理目標YES保證應用于信息安全事件管理的方法的一致和有效。責任和程序控制YES建立管理責任和程序以保證對信息安全事件快速、有效和有序地做出響應。事故主管部門接到報告以后，應立即進行迅速、有效和有序的反應。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預防措施控制程序》對信息安全事件的總結控制YES只有對事故進行有效鑒定，才能從中吸取教訓，防止再發(fā)生。事故發(fā)生后，主管部門對事故發(fā)生的原因、類型、損失進行鑒定，提出防止此類事故再次發(fā)生的措施或建議，形成事故調查分析及處理報告，責成有關部門實施糾正措施。事故和處理過程結果應予以記錄，重大事故應提交信息安全管理委員會評審。具體執(zhí)行《事故、薄弱點與故障管理程序》。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預防措施控制程序》證據的收集控制YES當信息安全事件發(fā)生后對個人或組織的后續(xù)行為涉及到法律行為時，所提供的證據應符合相關的證據法規(guī)。XX部負責發(fā)生法律糾紛與訴訟的證據收集，并確保證據收集應符合以下要求： a) 所呈證據應符合國家有關的證據法規(guī)； b) 符合用于提供可接受證據的任何已發(fā)布的標準或法規(guī)； c) 對已收集到的證據進行安全的保管，防止未經授權的更改或破壞； d) 收集到的證據符合法庭所要求的形式。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2006《記錄管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件業(yè)務持續(xù)性管理的內容目標YES抵消業(yè)務活動受到干擾的影響，并防止關鍵業(yè)務處理受大的信息系統故障或者災難的影響，確保能夠及時恢復基本運行。業(yè)務持續(xù)性管理過程中包含的信息安全控制YES為保持公司業(yè)務的可持續(xù)性發(fā)展，應建立商業(yè)持續(xù)性管理過程。公司建立并實施《業(yè)務持續(xù)性管理程序》，在發(fā)生災難或安全故障時，實施持續(xù)性管理計劃，確保關鍵業(yè)務及時得到恢復。ISMSP2034《業(yè)務持續(xù)性管理程序》業(yè)務持續(xù)性和風險分析控制YES業(yè)務持續(xù)性計劃的制定，是建立在適當風險評估的分析基礎上。為達到公司儲存數據、培訓、測試等業(yè)務的持續(xù)性目標，IT部組織有關部門在適當的風險評估的基礎上，進行災難及系統中斷影響分析，識別出造成關鍵業(yè)務中斷的主要事件及其影響。在災難及系統中斷影響分析的基礎上，確定業(yè)務持續(xù)性總體處理方法。ISMSP2034《業(yè)務持續(xù)性管理程序》編制和實施實施持續(xù)性計劃控制YES為確保本公司與設計、制造、銷售、測試等關鍵業(yè)務中斷能及時恢復，應編寫并實施業(yè)務持續(xù)性計劃。有關部門應編制《持續(xù)性管理戰(zhàn)略計劃》，由信息安全管理者代表批準，以便在儲存數據、培訓、測試等關鍵業(yè)務發(fā)生中斷或故障后，實施持續(xù)性管理計劃，以保證公司關鍵業(yè)務中斷的及時恢復。持續(xù)性計劃應對應急措施和有關部門與人員的職責給予明確規(guī)定。ISMSP2034《業(yè)務持續(xù)性管理程序》業(yè)務持續(xù)性策劃框架控制YES不同的業(yè)務持續(xù)性計劃之間應保持一致性。應保持獨立的業(yè)務持續(xù)性計劃的框架，以確定各種計劃的一致性并確定檢測和維護的優(yōu)先權。ISMSP2034《業(yè)務持續(xù)性管理程序》業(yè)務持續(xù)性計劃的測試、保持和重新評估控制YES為保持業(yè)務持續(xù)性計劃的時效和有效性，應定期試驗、維護和評審。每年XX部組織有關部門采取適宜的測試方法對《持續(xù)性管理戰(zhàn)略計劃》進行測試，并保持測試記錄；每次測試后，XX部組織與計劃有關的部門對計劃的時效和有效性進行評審，必要時，對業(yè)務持續(xù)性計劃進行修改。ISMSP2034《業(yè)務持續(xù)性管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件符合法律、法規(guī)要求目標YES避免違反任何民法、刑法、規(guī)章或契約義務以及任何安全要求。識別適用的法律法規(guī)控制YES為遵守適用的相關法律法規(guī)，應對其進行識別并將其要求文件化。XX部負責組織收集與信息安全有關的法律法規(guī)并對適用性評價，確定其實用范圍和具體適用條款，形成適用的法律法規(guī)清單，將法律法規(guī)一起通過網絡傳達給有關部門并予以執(zhí)行。品管部負責每半年應對法律法規(guī)的有效性進行重新評價，保持適用的法律、法規(guī)的有效最新版本。每年對法律法規(guī)的符合性進行評價。ISMSP2015《監(jiān)視和測量管理程序》知識產權控制YES軟件的使用與復制涉及知識產權問題（軟件著作權），應使用正版軟件。本公司嚴格執(zhí)行國家有關知識產權方面的法律法規(guī)，保證使用合法的正版軟件，并通過以下方法進行控制：a) 確定獲得合法軟件的途徑；b) 每年進行一次軟件資產清查，確保正在使用的軟件已經被適當的授權；c) 保留許可證、手冊等擁有者的證明和證件；d) 確保用戶數不超過所允許的上限；e) 只允許安裝認可的軟件和特許的產品；f) 嚴禁員工私自安裝任何軟件。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設備管理程序》組織記錄的保護控制YES記錄的保持應符合法律法規(guī)要求。各部門應按照有關法律、法規(guī)要求，明確規(guī)定重要記錄的保存期限并提供適當的保護，防止丟失、損壞和偽造。ISMSP2015《監(jiān)視和測量管理程序》數據保護和個人信息的保密控制YES應按國家有關法規(guī)或規(guī)章對員工的個人檔案、養(yǎng)老基金賬戶等數據或信息進行管理與保護。對處理與個人數據與信息有關的部門應按照國家有關規(guī)定對個人信息進行妥善管理與保護，防止丟失或泄露個人秘密。ISMSP2015《監(jiān)視和測量管理程序》防止信息處理設施的誤用控制YES防止濫用信息處理設施以符合法律法規(guī)要求。本公司對所有員工傳達國家關于《計算機信息網絡國際聯網保密管理規(guī)定》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等法規(guī)要求，并要求員工嚴格遵守，防止計算機犯罪活動。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設備管理程序》密碼技術控制條例控制NO本公司沒有涉及國家密碼產品，本條款不適用。安全策略、標準和技術的符合評審目標YES確保系統符合組織的安全策略和標準。符合安全策略和標準控制YES確保體系有效實施，定期評審是必須的。每年XX部組織至少一次信息安全管理體系內部審核，每次審核的范圍覆蓋與信息安全管理體系有關的所有部門與安全區(qū)域，確保職責范圍內的所有安全程序正確完成，符合安全方針和標準。ISMSP2003《內部審核管理程序》技術符合性檢查控制YES為驗證信息系統保證符合安全技術標準，必要的技術檢查是需要的。內部審核活動應包括對各信息系統的技術性審核，內部審核組至少擁有一名具有一定信息安全技術的內部專家，技術性審核應在被監(jiān)督的情況下進行。但不鼓勵利用漏洞掃描等工具對網絡系統進行定期技術性檢查，鼓勵用管理軟件和自身的日志進行監(jiān)督。ISMSP2015《監(jiān)視和測量管理程序》系統審核考慮因素目標YES使對/來自系統審核過程的有效性最大，干擾性最小。系統審核控制控制YES對作業(yè)系統的審核應事先策劃，避免對作業(yè)系統造成不良影響。正式審核之前，審核組應明確技術性審核的項目與要求，防止審核活動本身造成不必要的安全風險。ISMSP2003《內部審核管理程序》系統審核工具的保護控制YES本公司存在漏洞掃描工具，應控制其安全使用。XX部對漏洞掃描工具進行管理，使用者應被授權，檢查工作在監(jiān)督的情況下進行，審核活動應被記錄。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》