【正文】 ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設(shè)備管理程序》。ISMSP2003《內(nèi)部審核管理程序》系統(tǒng)審核工具的保護(hù)控制YES本公司存在漏洞掃描工具，應(yīng)控制其安全使用。系統(tǒng)審核控制控制YES對作業(yè)系統(tǒng)的審核應(yīng)事先策劃，避免對作業(yè)系統(tǒng)造成不良影響。但不鼓勵利用漏洞掃描等工具對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期技術(shù)性檢查，鼓勵用管理軟件和自身的日志進(jìn)行監(jiān)督。ISMSP2003《內(nèi)部審核管理程序》技術(shù)符合性檢查控制YES為驗證信息系統(tǒng)保證符合安全技術(shù)標(biāo)準(zhǔn)，必要的技術(shù)檢查是需要的。符合安全策略和標(biāo)準(zhǔn)控制YES確保體系有效實施，定期評審是必須的。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設(shè)備管理程序》密碼技術(shù)控制條例控制NO本公司沒有涉及國家密碼產(chǎn)品，本條款不適用。ISMSP2015《監(jiān)視和測量管理程序》防止信息處理設(shè)施的誤用控制YES防止濫用信息處理設(shè)施以符合法律法規(guī)要求。ISMSP2015《監(jiān)視和測量管理程序》數(shù)據(jù)保護(hù)和個人信息的保密控制YES應(yīng)按國家有關(guān)法規(guī)或規(guī)章對員工的個人檔案、養(yǎng)老基金賬戶等數(shù)據(jù)或信息進(jìn)行管理與保護(hù)。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設(shè)備管理程序》組織記錄的保護(hù)控制YES記錄的保持應(yīng)符合法律法規(guī)要求。ISMSP2015《監(jiān)視和測量管理程序》知識產(chǎn)權(quán)控制YES軟件的使用與復(fù)制涉及知識產(chǎn)權(quán)問題（軟件著作權(quán)），應(yīng)使用正版軟件。品管部負(fù)責(zé)每半年應(yīng)對法律法規(guī)的有效性進(jìn)行重新評價，保持適用的法律、法規(guī)的有效最新版本。識別適用的法律法規(guī)控制YES為遵守適用的相關(guān)法律法規(guī)，應(yīng)對其進(jìn)行識別并將其要求文件化。每年XX部組織有關(guān)部門采取適宜的測試方法對《持續(xù)性管理戰(zhàn)略計劃》進(jìn)行測試，并保持測試記錄；每次測試后，XX部組織與計劃有關(guān)的部門對計劃的時效和有效性進(jìn)行評審，必要時，對業(yè)務(wù)持續(xù)性計劃進(jìn)行修改。應(yīng)保持獨立的業(yè)務(wù)持續(xù)性計劃的框架，以確定各種計劃的一致性并確定檢測和維護(hù)的優(yōu)先權(quán)。持續(xù)性計劃應(yīng)對應(yīng)急措施和有關(guān)部門與人員的職責(zé)給予明確規(guī)定。ISMSP2034《業(yè)務(wù)持續(xù)性管理程序》編制和實施實施持續(xù)性計劃控制YES為確保本公司與設(shè)計、制造、銷售、測試等關(guān)鍵業(yè)務(wù)中斷能及時恢復(fù)，應(yīng)編寫并實施業(yè)務(wù)持續(xù)性計劃。為達(dá)到公司儲存數(shù)據(jù)、培訓(xùn)、測試等業(yè)務(wù)的持續(xù)性目標(biāo)，IT部組織有關(guān)部門在適當(dāng)?shù)娘L(fēng)險評估的基礎(chǔ)上，進(jìn)行災(zāi)難及系統(tǒng)中斷影響分析，識別出造成關(guān)鍵業(yè)務(wù)中斷的主要事件及其影響。公司建立并實施《業(yè)務(wù)持續(xù)性管理程序》，在發(fā)生災(zāi)難或安全故障時，實施持續(xù)性管理計劃，確保關(guān)鍵業(yè)務(wù)及時得到恢復(fù)。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2006《記錄管理程序》標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件業(yè)務(wù)持續(xù)性管理的內(nèi)容目標(biāo)YES抵消業(yè)務(wù)活動受到干擾的影響，并防止關(guān)鍵業(yè)務(wù)處理受大的信息系統(tǒng)故障或者災(zāi)難的影響，確保能夠及時恢復(fù)基本運行。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預(yù)防措施控制程序》證據(jù)的收集控制YES當(dāng)信息安全事件發(fā)生后對個人或組織的后續(xù)行為涉及到法律行為時，所提供的證據(jù)應(yīng)符合相關(guān)的證據(jù)法規(guī)。事故和處理過程結(jié)果應(yīng)予以記錄，重大事故應(yīng)提交信息安全管理委員會評審。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預(yù)防措施控制程序》對信息安全事件的總結(jié)控制YES只有對事故進(jìn)行有效鑒定，才能從中吸取教訓(xùn)，防止再發(fā)生。責(zé)任和程序控制YES建立管理責(zé)任和程序以保證對信息安全事件快速、有效和有序地做出響應(yīng)。各部門及全體員工應(yīng)按照要求及時識別安全薄弱點及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)及時向有關(guān)人員或部門報告并記錄，主管部門或安全管理負(fù)責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。所有員工有報告安全事情、事故的義務(wù)。報告信息安全事件控制YES安全事件、事故有可能發(fā)生，一旦發(fā)生必須報告。XX部門對技術(shù)薄弱點應(yīng)進(jìn)行風(fēng)險評估，進(jìn)行專項分析，制訂風(fēng)險處理計劃，根據(jù)風(fēng)險處理計劃采取對應(yīng)的技術(shù)和管理措施。ISMSP2014《系統(tǒng)開發(fā)與維護(hù)控制程序》ISMSP2033《事故、事件、薄弱點與故障管理程序》技術(shù)薄弱點管理目標(biāo)YES降低由已經(jīng)公布的薄弱點所帶來破壞的風(fēng)險。本公司不外包定制軟件。ISMSP2008《更改控制程序》信息泄漏控制YES軟件的采購、使用或修改會有隱藏通道和特洛伊代碼的威脅，應(yīng)采取措施予以控制對軟件的采購、使用、變更及開發(fā)過程進(jìn)行控制和檢查，以防止可能的隱藏通道和特洛伊木馬。ISMSP2008《更改控制程序》ISMSP2010《信息處理設(shè)備管理程序》軟件包的更改限制控制YES軟件包的更改會引入薄弱點，導(dǎo)致內(nèi)部控制故障，應(yīng)進(jìn)行嚴(yán)格限制。ISMSP2008《更改控制程序》ISMSP2014《系統(tǒng)開發(fā)與維護(hù)控制程序》操作系統(tǒng)（OS)更改后對應(yīng)用的程序評審控制YES操作系統(tǒng)的不充分更改對應(yīng)用系統(tǒng)會造成嚴(yán)重的影響。為使信息系統(tǒng)的損害降至最小，對應(yīng)用系統(tǒng)軟件在開發(fā)過程中的任何更改，須進(jìn)行適當(dāng)?shù)臏y試與評審，經(jīng)開發(fā)軟件負(fù)責(zé)人批準(zhǔn)后予以實施。ISMSP2014《系統(tǒng)開發(fā)與維護(hù)控制程序》開發(fā)和支持過程的安全目標(biāo)YES確保應(yīng)用系統(tǒng)軟件和信息的安全。ISMSP2014《系統(tǒng)開發(fā)與維護(hù)控制程序》對程序源代碼的訪問控制控制YES本公司有軟件開發(fā)活動，有程序源庫（源代碼)存在，需要控制。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》系統(tǒng)測試數(shù)據(jù)的保護(hù)控制YES對包括敏感作業(yè)數(shù)據(jù)的測試數(shù)據(jù)不適當(dāng)?shù)谋Ｗo(hù)會涉及到保密性的破壞。系統(tǒng)主管部門應(yīng)對軟件在作業(yè)系統(tǒng)的執(zhí)行進(jìn)行嚴(yán)格控制，在新軟件安裝或軟件升級之前，應(yīng)經(jīng)主管部門負(fù)責(zé)人審核同意后方可進(jìn)行。系統(tǒng)文件的安全目標(biāo)YES確保信息技術(shù)項目和支持活動以安全的方式進(jìn)行。使用密碼控制的策略控制NO本公司目前不存在使用密碼技術(shù)的條件和合同、法規(guī)要求，本條款不適用。各部門應(yīng)用系統(tǒng)的操作人員應(yīng)對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行認(rèn)真核對，對于關(guān)鍵或重要的輸出數(shù)據(jù)，應(yīng)由相應(yīng)的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)?！断到y(tǒng)邏輯訪問管理制度》輸出數(shù)據(jù)的驗證控制YES盡管數(shù)據(jù)的輸入和處理是正確的，輸出仍然可能包含錯誤或有害的修改?！断到y(tǒng)邏輯訪問管理制度》消息的完整性控制YES確保識別真實性和消息的完整性利用人員經(jīng)驗來進(jìn)行識別信息的真實性與完整性；在操作過程中防止輸入數(shù)據(jù)被截取或修改?！断到y(tǒng)邏輯訪問管理制度》內(nèi)部處理控制控制YES已正確輸入的數(shù)據(jù)可因處理錯誤或通過不慎運作而被破壞，有效的檢查應(yīng)并入系統(tǒng)中。系統(tǒng)開發(fā)應(yīng)明確應(yīng)用系統(tǒng)輸入數(shù)據(jù)確認(rèn)的要求，以確保輸入數(shù)據(jù)正確和恰當(dāng)。ISMSP2014《系統(tǒng)開發(fā)與維護(hù)控制程序》應(yīng)用程序的正確處理控制YES防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)丟失、修改或濫用。系統(tǒng)（軟件）本身的功能及安全特性在設(shè)計開發(fā)輸入時明確提出，并進(jìn)行評審。安全要求分析和說明控制YES為確保系統(tǒng)具有一定的安全功能及規(guī)避開發(fā)過程的安全風(fēng)險，增加新系統(tǒng)或擴(kuò)大原有系統(tǒng)，應(yīng)確定控制要求。本公司建立《遠(yuǎn)程工作控制程序》，對遠(yuǎn)程工作場地合適的保護(hù)，以防范設(shè)備和信息被竊、信息的未授權(quán)泄露、對組織內(nèi)部系統(tǒng)的未授權(quán)遠(yuǎn)程訪問或設(shè)施濫用。本公司建立實施《信息處理設(shè)備管理程序》，對筆記本電腦的移動辦公實施有效可行的安全管理。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對敏感系統(tǒng)予以隔離ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設(shè)備管理程序》移動式計算和遠(yuǎn)程工作目標(biāo)YES明確控制目標(biāo)，確保移動式計算和遠(yuǎn)程工作設(shè)施的信息安全。用戶訪問公司信息和應(yīng)用系統(tǒng)功能的授權(quán)執(zhí)行《用戶訪問控制程序》。信息訪問限制控制YES本公司信息訪問權(quán)限是根據(jù)業(yè)務(wù)運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應(yīng)加以限制?；蚨ㄆ诘亩唐诮换挘粚⑦B機(jī)時間限于正常的辦公時間；對備份服務(wù)器的連接時間設(shè)定為2小時/次。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設(shè)備管理程序》聯(lián)接時間的限制控制YES使用聯(lián)接時間的限制，為高風(fēng)險應(yīng)用程序提供額外的安全。各系統(tǒng)管理員在其管理的終端處于不活動時，應(yīng)利用鎖屏（LOCK SCREEN）清除屏幕，以防止非授權(quán)的訪問，但不關(guān)閉應(yīng)用或網(wǎng)絡(luò)話路。XX部門應(yīng)對系統(tǒng)實用程序的使用進(jìn)行限制和嚴(yán)格控制，只有經(jīng)過授權(quán)的系統(tǒng)管理員才可以使用實用程序，如優(yōu)化大師，超級兔子等。除非一次性的口令系統(tǒng)，通過操作系統(tǒng)的強制措施要求用戶定期變更口令。ISMSP2012《用戶訪問控制程序》口令管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機(jī)會，應(yīng)建立口令管理系統(tǒng)。用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置，如果多個用戶共用一個識別符，須由訪問授權(quán)主管部門授權(quán)。ISMSP2012《用戶訪問控制程序》用戶身份標(biāo)識與鑒別控制YES為查處活動的個人責(zé)任，對連接到網(wǎng)絡(luò)終端應(yīng)有唯一的用戶ID。終端安全登錄程序控制YES為減少非授權(quán)訪問的機(jī)會，對信息服務(wù)系統(tǒng)的訪問采用安全登錄程序。XX部應(yīng)根據(jù)網(wǎng)絡(luò)安全要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機(jī)制，對路由實施控制。XX部確定全公司范圍內(nèi)的可共享的服務(wù)與信息，各部門確定本部門服務(wù)器可共享的服務(wù)與信息，用戶間的信息交流應(yīng)采用公司內(nèi)部電子郵件進(jìn)行。XX部根據(jù)訪問控制策略的要求限制用戶的連接能力。為確保本公司網(wǎng)絡(luò)安全，采用物理和邏輯兩種方式進(jìn)行網(wǎng)絡(luò)隔離：a)通過防火墻將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)實施邏輯隔離；b)研發(fā)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離。對端口保護(hù)采用物理的方法。本公司不設(shè)立無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)連接時，需要使用固定IP，采用路由器的日志監(jiān)控連接的用戶身份。ISMSP2012《用戶訪問控制程序》網(wǎng)絡(luò)上的設(shè)備標(biāo)識控制YES考慮將自動設(shè)備鑒別作為一種證明從特定位置和設(shè)備進(jìn)行連接的手段。本公司建立并網(wǎng)絡(luò)服務(wù)安全策略，以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量。ISMSP2010《信息處理設(shè)備管理程序》網(wǎng)絡(luò)訪問控制目標(biāo)YES保護(hù)網(wǎng)絡(luò)服務(wù)。本公司在中制定清除桌面、清除屏幕的策略并實施，各部門負(fù)責(zé)人負(fù)責(zé)監(jiān)督。托管的服務(wù)器由托管方負(fù)責(zé)執(zhí)行維護(hù)。實施口令定期變更策略。ISMSP2012《用戶訪問控制程序》用戶職責(zé)目標(biāo)YES明確用戶責(zé)任,防止非授權(quán)用戶的訪問口令使用控制YES使用戶遵循口令使用規(guī)則，防止口令泄密或被解密。ISMSP2012《用戶訪問控制程序》用戶訪問權(quán)的評審控制YES內(nèi)部用戶會發(fā)生崗位變化，或有的用戶的訪問權(quán)是有時限要求的，為防止非授權(quán)的訪問，對用戶訪問的評審是必要的。c) 禁止將口令以無保護(hù)的形式存儲在計算機(jī)系統(tǒng)內(nèi)。各系統(tǒng)管理