【正文】 ISMSP2003《內(nèi)部審核管理程序》系統(tǒng)審核工具的保護控制YES本公司存在漏洞掃描工具，應控制其安全使用。但不鼓勵利用漏洞掃描等工具對網(wǎng)絡系統(tǒng)進行定期技術性檢查，鼓勵用管理軟件和自身的日志進行監(jiān)督。符合安全策略和標準控制YES確保體系有效實施，定期評審是必須的。ISMSP2015《監(jiān)視和測量管理程序》防止信息處理設施的誤用控制YES防止濫用信息處理設施以符合法律法規(guī)要求。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設備管理程序》組織記錄的保護控制YES記錄的保持應符合法律法規(guī)要求。品管部負責每半年應對法律法規(guī)的有效性進行重新評價，保持適用的法律、法規(guī)的有效最新版本。每年XX部組織有關部門采取適宜的測試方法對《持續(xù)性管理戰(zhàn)略計劃》進行測試，并保持測試記錄；每次測試后，XX部組織與計劃有關的部門對計劃的時效和有效性進行評審，必要時，對業(yè)務持續(xù)性計劃進行修改。持續(xù)性計劃應對應急措施和有關部門與人員的職責給予明確規(guī)定。為達到公司儲存數(shù)據(jù)、培訓、測試等業(yè)務的持續(xù)性目標，IT部組織有關部門在適當?shù)娘L險評估的基礎上，進行災難及系統(tǒng)中斷影響分析，識別出造成關鍵業(yè)務中斷的主要事件及其影響。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2006《記錄管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件業(yè)務持續(xù)性管理的內(nèi)容目標YES抵消業(yè)務活動受到干擾的影響，并防止關鍵業(yè)務處理受大的信息系統(tǒng)故障或者災難的影響，確保能夠及時恢復基本運行。事故和處理過程結(jié)果應予以記錄，重大事故應提交信息安全管理委員會評審。責任和程序控制YES建立管理責任和程序以保證對信息安全事件快速、有效和有序地做出響應。所有員工有報告安全事情、事故的義務。XX部門對技術薄弱點應進行風險評估，進行專項分析，制訂風險處理計劃，根據(jù)風險處理計劃采取對應的技術和管理措施。本公司不外包定制軟件。ISMSP2008《更改控制程序》ISMSP2010《信息處理設備管理程序》軟件包的更改限制控制YES軟件包的更改會引入薄弱點，導致內(nèi)部控制故障，應進行嚴格限制。為使信息系統(tǒng)的損害降至最小，對應用系統(tǒng)軟件在開發(fā)過程中的任何更改，須進行適當?shù)臏y試與評審，經(jīng)開發(fā)軟件負責人批準后予以實施。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》對程序源代碼的訪問控制控制YES本公司有軟件開發(fā)活動，有程序源庫（源代碼)存在，需要控制。系統(tǒng)主管部門應對軟件在作業(yè)系統(tǒng)的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應經(jīng)主管部門負責人審核同意后方可進行。使用密碼控制的策略控制NO本公司目前不存在使用密碼技術的條件和合同、法規(guī)要求，本條款不適用。《系統(tǒng)邏輯訪問管理制度》輸出數(shù)據(jù)的驗證控制YES盡管數(shù)據(jù)的輸入和處理是正確的，輸出仍然可能包含錯誤或有害的修改。《系統(tǒng)邏輯訪問管理制度》內(nèi)部處理控制控制YES已正確輸入的數(shù)據(jù)可因處理錯誤或通過不慎運作而被破壞，有效的檢查應并入系統(tǒng)中。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》應用程序的正確處理控制YES防止應用系統(tǒng)中用戶數(shù)據(jù)丟失、修改或濫用。安全要求分析和說明控制YES為確保系統(tǒng)具有一定的安全功能及規(guī)避開發(fā)過程的安全風險，增加新系統(tǒng)或擴大原有系統(tǒng)，應確定控制要求。本公司建立實施《信息處理設備管理程序》，對筆記本電腦的移動辦公實施有效可行的安全管理。用戶訪問公司信息和應用系統(tǒng)功能的授權執(zhí)行《用戶訪問控制程序》。或定期的短期交互會話；將連機時間限于正常的辦公時間；對備份服務器的連接時間設定為2小時/次。各系統(tǒng)管理員在其管理的終端處于不活動時，應利用鎖屏（LOCK SCREEN）清除屏幕，以防止非授權的訪問，但不關閉應用或網(wǎng)絡話路。除非一次性的口令系統(tǒng)，通過操作系統(tǒng)的強制措施要求用戶定期變更口令。用戶ID由系統(tǒng)管理員根據(jù)授權的規(guī)定予以設置，如果多個用戶共用一個識別符，須由訪問授權主管部門授權。終端安全登錄程序控制YES為減少非授權訪問的機會，對信息服務系統(tǒng)的訪問采用安全登錄程序。XX部確定全公司范圍內(nèi)的可共享的服務與信息，各部門確定本部門服務器可共享的服務與信息，用戶間的信息交流應采用公司內(nèi)部電子郵件進行。為確保本公司網(wǎng)絡安全，采用物理和邏輯兩種方式進行網(wǎng)絡隔離：a)通過防火墻將內(nèi)部網(wǎng)絡與外部網(wǎng)絡實施邏輯隔離；b)研發(fā)網(wǎng)絡與其他網(wǎng)絡物理隔離。本公司不設立無線網(wǎng)絡，有線網(wǎng)絡連接時，需要使用固定IP，采用路由器的日志監(jiān)控連接的用戶身份。本公司建立并網(wǎng)絡服務安全策略，以確保網(wǎng)絡服務安全與服務質(zhì)量。本公司在中制定清除桌面、清除屏幕的策略并實施，各部門負責人負責監(jiān)督。實施口令定期變更策略。ISMSP2012《用戶訪問控制程序》用戶訪問權的評審控制YES內(nèi)部用戶會發(fā)生崗位變化，或有的用戶的訪問權是有時限要求的，為防止非授權的訪問，對用戶訪問的評審是必要的。各系統(tǒng)管理員按以下過程對被授權訪問該系統(tǒng)的用戶口令予以分配：a) 管理員根據(jù)入職員工的工作崗位分配相關臨時口令。特權分配以“使用需要”和“事件緊跟”為基礎，即需要時僅以它們的功能角色的最低要求為據(jù)，有些特權在完成特定的任務后將被收回，確保特權擁有者的特權是工作所需要的且不存在富裕的特權（最小特權原則)。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》《物理邏輯訪問權限說明書》用戶訪問管理目標YES防止對信息系統(tǒng)未經(jīng)授權的訪問。保持本地時間與世界標準時間（UTC）一致。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》《系統(tǒng)日常點檢業(yè)務手冊》故障日志控制YES應記錄、分析故障并采取適當?shù)拇胧０l(fā)現(xiàn)異常事件應采取必要的措施并實施。公司內(nèi)部監(jiān)控是由專人進行出入登記。公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應受保護，以防止未授權的修改。本公司建立的辦公自動化是以單機為基礎，不存在業(yè)務的交互式連接，對其控制依賴人員的意識和經(jīng)驗技能，其中紙質(zhì)文件按照密級和文件管理程序加以控制，減少信息的泄露及越權濫用?！锻獍娇刂妻k法》電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進行信息交換，公司與外部客戶通過電子郵件進行安全交換時進行了安全控制?！锻獍娇刂妻k法》交換協(xié)議控制YES建立并遵守相應的協(xié)議，以保護被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。本公司與信息安全有關的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關鍵商業(yè)作業(yè)流程；c)網(wǎng)絡系統(tǒng)拓撲結(jié)構(gòu)圖；d)訪問授權說明書及授權登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡圖；g)其它系統(tǒng)文件。對于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時，介質(zhì)處置部門按照《信息系統(tǒng)硬件管理規(guī)定》的要求，采取安全可靠處置的方法將其信息清除?？梢苿咏橘|(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報告等可移動媒體。本公司網(wǎng)絡安全控制措施包括：a)對財務網(wǎng)絡與研發(fā)網(wǎng)絡物理隔離；b)對研發(fā)網(wǎng)絡與互聯(lián)網(wǎng)物理隔離；c)對網(wǎng)絡設備定期維護；d)對防火墻、交換機等實施安全配置管理；e)對用戶訪問網(wǎng)絡實施授權管理；f)實施有效的安全策略；g)對系統(tǒng)的變更進行嚴格控制；h)對網(wǎng)絡的運行情況進行監(jiān)控；i)對網(wǎng)絡設備的變更進行控制；j)對網(wǎng)絡系統(tǒng)管理與操作人員的管理。信息備份控制YES必須對重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務可持續(xù)性。a) 技術工具的應用及其升級要求；b) 查殺病毒的周期；c) 預防惡意軟件意識培訓；d) 預防惡意軟件的一般要求；e) 對重要系統(tǒng)的防范惡意軟件的特殊要求；f) 發(fā)生惡意軟件的侵害應急措施。指定部門負責辦公管理系統(tǒng)、電話/網(wǎng)絡通訊與辦公系統(tǒng)的驗收。容量管理控制YES為避免因系統(tǒng)容量不足導致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來容量。第三方服務的變更管理控制YES對服務提供的更改進行管理，包括保持和改進現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務系統(tǒng)的關鍵程度、所涉及的過程以及風險的再評估。確保第三方保持充分的服務能力，并且具備有效的工作計劃，即便發(fā)生重大的服務故障或災難也能保持服務交付的連貫性。第三方服務交付管理控制YES執(zhí)行并保持與第三方服務交付協(xié)議相一致的信息安全和服務交付等級。開發(fā)、測試和運行設施分離控制YES開發(fā)與操作設施應分離，以防止不期望的系統(tǒng)的更改或未授權的訪問。對信息處理設施、軟件等方面的更改實施嚴格控制。 標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件操作程序和職責目標YES確保信息處理設備的正確和安全使用。設備的安全處置或再利用控制YES對本公司儲存有關敏感信息的設備，對其處置時應徹底清除。設備維護控制YES設備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎。由XX部負責定期監(jiān)督。設備使用部門負責對設備進行定置管理和保護。未經(jīng)授權，不允許外來人員直接進入特別安全區(qū)域提供物資。除非在公司設立的專門吸煙室外，其他任何地方禁止吸煙。機房設備安裝在距墻、門窗有一定距離的地方。當有緊急自然災害發(fā)生，則需要提前示警。臨時訪問的第三方應在接待部門同意后，經(jīng)前臺登記可以進入。特別安全區(qū)域包括數(shù)據(jù)存儲機房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會議室、接待室、員工休息區(qū)為一般區(qū)域。員工離職或工作變動前，應解除對信息和信息處理設施訪問權限，或根據(jù)變化作相應的調(diào)整。再次溝通保密協(xié)議和重申是否有競業(yè)禁止要求等。處罰的形式包括精神和物質(zhì)兩方面。與 ISMS有關的所有員工，有關的第三方訪問者，應該接受安全意識、方針、程序的培訓。聘用期間控制YES確保所有的員工、合同方和第三方人員知道信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風險。XX部負責對初始錄用員工進行能力、信用考察，每年對關鍵信息安全崗位進行年度考察，對于不符合安全要求的不得錄用或進行崗位調(diào)整。角色和職責控制YES與信息安全有關的人員的安全職責必須明確規(guī)定并履行。信息的標識和處理控制YES按分類方案進行標注并規(guī)定信息處理的安全的要求。信息分類目標YES本公司根據(jù)信息的敏感性對信息進行分類，明確保護要求、優(yōu)先權和等級，以明確對信息資產(chǎn)采取適當?shù)谋Ｗo。資產(chǎn)的可接受使用控制YES識別與信息系統(tǒng)或服務相關的資產(chǎn)的合理使用規(guī)則，并將其文件化，予以實施。保密辦組織各部門按業(yè)務流程識別所有信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷