【正文】 XX部對漏洞掃描工具進(jìn)行管理，使用者應(yīng)被授權(quán)，檢查工作在監(jiān)督的情況下進(jìn)行，審核活動應(yīng)被記錄。正式審核之前，審核組應(yīng)明確技術(shù)性審核的項(xiàng)目與要求，防止審核活動本身造成不必要的安全風(fēng)險。ISMSP2015《監(jiān)視和測量管理程序》系統(tǒng)審核考慮因素目標(biāo)YES使對/來自系統(tǒng)審核過程的有效性最大，干擾性最小。內(nèi)部審核活動應(yīng)包括對各信息系統(tǒng)的技術(shù)性審核，內(nèi)部審核組至少擁有一名具有一定信息安全技術(shù)的內(nèi)部專家，技術(shù)性審核應(yīng)在被監(jiān)督的情況下進(jìn)行。每年XX部組織至少一次信息安全管理體系內(nèi)部審核，每次審核的范圍覆蓋與信息安全管理體系有關(guān)的所有部門與安全區(qū)域，確保職責(zé)范圍內(nèi)的所有安全程序正確完成，符合安全方針和標(biāo)準(zhǔn)。安全策略、標(biāo)準(zhǔn)和技術(shù)的符合評審目標(biāo)YES確保系統(tǒng)符合組織的安全策略和標(biāo)準(zhǔn)。本公司對所有員工傳達(dá)國家關(guān)于《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理規(guī)定》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等法規(guī)要求，并要求員工嚴(yán)格遵守，防止計算機(jī)犯罪活動。對處理與個人數(shù)據(jù)與信息有關(guān)的部門應(yīng)按照國家有關(guān)規(guī)定對個人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄露個人秘密。各部門應(yīng)按照有關(guān)法律、法規(guī)要求，明確規(guī)定重要記錄的保存期限并提供適當(dāng)?shù)谋Ｗo(hù)，防止丟失、損壞和偽造。本公司嚴(yán)格執(zhí)行國家有關(guān)知識產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版軟件，并通過以下方法進(jìn)行控制：a) 確定獲得合法軟件的途徑；b) 每年進(jìn)行一次軟件資產(chǎn)清查，確保正在使用的軟件已經(jīng)被適當(dāng)?shù)氖跈?quán)；c) 保留許可證、手冊等擁有者的證明和證件；d) 確保用戶數(shù)不超過所允許的上限；e) 只允許安裝認(rèn)可的軟件和特許的產(chǎn)品；f) 嚴(yán)禁員工私自安裝任何軟件。每年對法律法規(guī)的符合性進(jìn)行評價。XX部負(fù)責(zé)組織收集與信息安全有關(guān)的法律法規(guī)并對適用性評價，確定其實(shí)用范圍和具體適用條款，形成適用的法律法規(guī)清單，將法律法規(guī)一起通過網(wǎng)絡(luò)傳達(dá)給有關(guān)部門并予以執(zhí)行。ISMSP2034《業(yè)務(wù)持續(xù)性管理程序》標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件符合法律、法規(guī)要求目標(biāo)YES避免違反任何民法、刑法、規(guī)章或契約義務(wù)以及任何安全要求。ISMSP2034《業(yè)務(wù)持續(xù)性管理程序》業(yè)務(wù)持續(xù)性計劃的測試、保持和重新評估控制YES為保持業(yè)務(wù)持續(xù)性計劃的時效和有效性，應(yīng)定期試驗(yàn)、維護(hù)和評審。ISMSP2034《業(yè)務(wù)持續(xù)性管理程序》業(yè)務(wù)持續(xù)性策劃框架控制YES不同的業(yè)務(wù)持續(xù)性計劃之間應(yīng)保持一致性。有關(guān)部門應(yīng)編制《持續(xù)性管理戰(zhàn)略計劃》，由信息安全管理者代表批準(zhǔn)，以便在儲存數(shù)據(jù)、培訓(xùn)、測試等關(guān)鍵業(yè)務(wù)發(fā)生中斷或故障后，實(shí)施持續(xù)性管理計劃，以保證公司關(guān)鍵業(yè)務(wù)中斷的及時恢復(fù)。在災(zāi)難及系統(tǒng)中斷影響分析的基礎(chǔ)上，確定業(yè)務(wù)持續(xù)性總體處理方法。ISMSP2034《業(yè)務(wù)持續(xù)性管理程序》業(yè)務(wù)持續(xù)性和風(fēng)險分析控制YES業(yè)務(wù)持續(xù)性計劃的制定，是建立在適當(dāng)風(fēng)險評估的分析基礎(chǔ)上。業(yè)務(wù)持續(xù)性管理過程中包含的信息安全控制YES為保持公司業(yè)務(wù)的可持續(xù)性發(fā)展，應(yīng)建立商業(yè)持續(xù)性管理過程。XX部負(fù)責(zé)發(fā)生法律糾紛與訴訟的證據(jù)收集，并確保證據(jù)收集應(yīng)符合以下要求： a) 所呈證據(jù)應(yīng)符合國家有關(guān)的證據(jù)法規(guī)； b) 符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)； c) 對已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞； d) 收集到的證據(jù)符合法庭所要求的形式。具體執(zhí)行《事故、薄弱點(diǎn)與故障管理程序》。事故發(fā)生后，主管部門對事故發(fā)生的原因、類型、損失進(jìn)行鑒定，提出防止此類事故再次發(fā)生的措施或建議，形成事故調(diào)查分析及處理報告，責(zé)成有關(guān)部門實(shí)施糾正措施。事故主管部門接到報告以后，應(yīng)立即進(jìn)行迅速、有效和有序的反應(yīng)。ISMSP2033《事故、事件、薄弱點(diǎn)與故障管理程序》信息安全事件和改進(jìn)的管理目標(biāo)YES保證應(yīng)用于信息安全事件管理的方法的一致和有效。ISMSP2033《事故、事件、薄弱點(diǎn)與故障管理程序》ISMSP2007《糾正/預(yù)防措施控制程序》報告安全弱點(diǎn)控制YES安全薄弱點(diǎn)是不可避免的,建立報告制度是預(yù)防發(fā)生的最好途徑之一。安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、事情、事故責(zé)任者應(yīng)立即向主管部門報告，主管部門和責(zé)任部門應(yīng)及時對事情、事故進(jìn)行反應(yīng)處理。ISMSP2033《事故、事件、薄弱點(diǎn)與故障管理程序》標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件報告信息安全事件和弱點(diǎn)目標(biāo)YES保證與信息系統(tǒng)相關(guān)聯(lián)的信息安全事情和弱點(diǎn)的溝通，溝通的方式應(yīng)允許采取及時糾正措施。技術(shù)薄弱點(diǎn)的控制控制YES及時獲得正在使用信息系統(tǒng)的技術(shù)薄弱點(diǎn)的相關(guān)信息，應(yīng)評估對這些薄弱點(diǎn)的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險。購買成品軟件安裝使用前須進(jìn)行測試，以防止隱藏通道及特洛伊碼的存在。ISMSP2029《惡意軟件控制程序》外包軟件開發(fā)控制YES本公司存在軟件外包開發(fā)的活動，應(yīng)予以控制。本公司不鼓勵修改軟件包，如果有必要進(jìn)行更改，更改部門在實(shí)施前進(jìn)行風(fēng)險評估，確定必須的控制措施，保留原始軟件，并在完全一樣的復(fù)制軟件上進(jìn)行更改，更改實(shí)施前須得到系統(tǒng)主管部門的授權(quán)。當(dāng)操作系統(tǒng)（OS）發(fā)生更改時，操作系統(tǒng)更改對應(yīng)用系統(tǒng)的影響應(yīng)由系統(tǒng)主管部門進(jìn)行評審，確保對應(yīng)用程序的作業(yè)或安全措施無不利影響。操作系統(tǒng)（OS）及應(yīng)用系統(tǒng)的升級須經(jīng)過系統(tǒng)主管部門測試、評審與批準(zhǔn)后方可進(jìn)行。更改控制程序控制YES為防止未授權(quán)或不充分的更改，避免系統(tǒng)故障與中斷，需要實(shí)施嚴(yán)格更改控制。為降低計算機(jī)程序被破壞的可能性，系統(tǒng)設(shè)計開發(fā)部按以下要求對源程序庫（源代碼）實(shí)施管理：a) 可能的話，不將源程序庫保存在運(yùn)作系統(tǒng)中，源程序盡量與應(yīng)用分開；b) 各項(xiàng)應(yīng)用應(yīng)指定程序庫管理員；c) 信息技術(shù)支持人員不應(yīng)當(dāng)自由訪問源程序庫；d) 源程序庫的更新和向程序員發(fā)布的源程序，應(yīng)由指定的程序庫管理員根據(jù)授權(quán)來完成。當(dāng)系統(tǒng)測試數(shù)據(jù)使用作業(yè)數(shù)據(jù)，并且包含敏感信息時，測試部門按以下要求對測試數(shù)據(jù)進(jìn)行保護(hù)：a) 對測試應(yīng)用系統(tǒng)的活動進(jìn)行授權(quán)；b) 作業(yè)信息每一次復(fù)制到測試應(yīng)用系統(tǒng)，須被系統(tǒng)主管部門授權(quán)；c) 測試完成之后，立即從測試應(yīng)用系統(tǒng)中消除作業(yè)信息。計算機(jī)終端用戶除非授權(quán)，否則嚴(yán)禁私自安裝任何軟件。操作軟件的控制控制YES對軟件在作業(yè)系統(tǒng)中的執(zhí)行應(yīng)予以控制，否則易受到未經(jīng)授權(quán)的軟件安裝和更改的影響，導(dǎo)致系統(tǒng)及數(shù)據(jù)完整性丟失。密鑰管理控制NO本公司目前不存在使用密碼技術(shù)的條件和合同、法規(guī)要求，本條款不適用?！断到y(tǒng)邏輯訪問管理制度》密碼技術(shù)控制目標(biāo)NO本公司目前不存在使用密碼技術(shù)的條件和合同、法規(guī)要求，本條款不適用。系統(tǒng)開發(fā)應(yīng)考慮應(yīng)用系統(tǒng)輸出數(shù)據(jù)確認(rèn)的要求，以確保對貯存的信息處理的正確和環(huán)境相適應(yīng)。在架構(gòu)上采用HTTP方式傳輸數(shù)據(jù)，該協(xié)議帶有驗(yàn)證消息完整性功能。系統(tǒng)開發(fā)應(yīng)考慮系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求，以查處數(shù)據(jù)處理過程的錯誤。各部門應(yīng)用系統(tǒng)的操作人員對輸入到系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行認(rèn)真核對，對于關(guān)鍵或重要數(shù)據(jù)的輸入，由相應(yīng)的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)。輸入數(shù)據(jù)的驗(yàn)證控制YES輸入到應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)進(jìn)行確認(rèn)，以保證輸入數(shù)據(jù)的正確與適當(dāng)，防止數(shù)據(jù)誤用導(dǎo)致信息完整性問題。其他應(yīng)用系統(tǒng)開發(fā)由IT部按照《系統(tǒng)開發(fā)與維護(hù)管理程序》執(zhí)行。XX部在進(jìn)行新系統(tǒng)開發(fā)或系統(tǒng)更新時，首先對系統(tǒng)進(jìn)行分析，根據(jù)業(yè)務(wù)功能要求及信息安全要求明確規(guī)定控制要求，包括：a) 系統(tǒng)的安全特性；b) 對現(xiàn)有的系統(tǒng)安全影響；c) 設(shè)計過程中的安全控制要求。ISMSP2028《遠(yuǎn)程工作控制程序》《信息系統(tǒng)硬件管理規(guī)定》《系統(tǒng)邏輯訪問管理制度》、開發(fā)和維護(hù)標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件信息系統(tǒng)安全要求目標(biāo)YES確保安全性已構(gòu)成信息系統(tǒng)的一部分。ISMSP2010《信息處理設(shè)備管理程序》遠(yuǎn)程工作控制YES我司涉及到遠(yuǎn)程工作，應(yīng)為遠(yuǎn)程工作活動開發(fā)和實(shí)施策略、操作計劃和規(guī)程。移動式計算和通訊控制YES本公司擁有筆記本電腦等移動式計算或通信設(shè)施，應(yīng)予以控制防止其失竊及未授權(quán)的訪問。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》敏感系統(tǒng)隔離控制YES本公司開發(fā)系統(tǒng)等為敏感系統(tǒng)，使用獨(dú)立的計算環(huán)境是必須的。根據(jù)本公司管理要求和訪問策略，向授權(quán)的用戶提供訪問信息和應(yīng)用系統(tǒng)功能。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設(shè)備管理程序》應(yīng)用和信息訪問控制目標(biāo)YES防止未經(jīng)授權(quán)訪問信息系統(tǒng)內(nèi)的信息。使用預(yù)先定義的時隙，例如對批文件傳輸。對于財務(wù)系統(tǒng)的負(fù)責(zé)人要求在離開時應(yīng)鎖定或注銷系統(tǒng)。ISMSP2012《用戶訪問控制程序》會話超時控制YES為防止非法用戶訪問高風(fēng)險區(qū)域系統(tǒng)管理終端，閑置不用時應(yīng)建立終端時限（鎖屏）。ISMSP2012《用戶訪問控制程序》系統(tǒng)實(shí)用工具的使用控制YES對系統(tǒng)實(shí)用程序的使用應(yīng)控制，防止惡意破壞系統(tǒng)安全。XX部實(shí)施口令管理，通過技術(shù)手段提供有效的、互動的設(shè)施以確?？诹钯|(zhì)量。用戶識別符可以由用戶名稱加口令或其它適宜方式組成。用戶有唯一的識別符，以便用戶單獨(dú)使用時，能查處活動的個人責(zé)任。本公司通過路由技術(shù)手段提供安全的系統(tǒng)登錄程序?！断到y(tǒng)邏輯訪問管理制度》操作系統(tǒng)的訪問控制目標(biāo)YES防止未經(jīng)授權(quán)的計算機(jī)訪問?！断到y(tǒng)邏輯訪問管理制度》ISMSP2012《用戶訪問控制程序》網(wǎng)絡(luò)路由控制控制YES本公司內(nèi)外網(wǎng)絡(luò)間連接均通過路由器，為確保網(wǎng)絡(luò)安全實(shí)施路由控制是必要的。例如通過網(wǎng)絡(luò)網(wǎng)關(guān)來控制，網(wǎng)關(guān)的安全設(shè)置與組織的訪問控制策略保持一致?！断到y(tǒng)邏輯訪問管理制度》ISMSP2012《用戶訪問控制程序》網(wǎng)絡(luò)連接控制控制YES共享網(wǎng)絡(luò)，用戶的連接權(quán)能應(yīng)予以控制。ISMSP2011《物理訪問控制程序》網(wǎng)絡(luò)的隔離控制YES涉密網(wǎng)絡(luò)應(yīng)予以隔離。ISMSP2012《用戶訪問控制程序》遠(yuǎn)程診斷端口和配置端口的保護(hù)控制YES對于診斷和配置端口的訪問采取控制措施。網(wǎng)絡(luò)有不同的敏感程度，局域網(wǎng)標(biāo)識符可明確顯示設(shè)備能否被允許接入的網(wǎng)絡(luò)。ISMSP2012《用戶訪問控制程序》外部聯(lián)接用戶的驗(yàn)證控制YES適當(dāng)?shù)氖褂描b別方法以控制遠(yuǎn)程用戶的訪問本公司不存在VPN、遠(yuǎn)程登錄工作、WEB服務(wù)器、郵件服務(wù)器，登陸網(wǎng)絡(luò)需要輸入用戶名、密碼。網(wǎng)絡(luò)服務(wù)使用策略控制YES制定策略，明確用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止非授權(quán)的網(wǎng)絡(luò)訪問。各部門員工自覺履行該策略的日常實(shí)施。ISMSP2010《信息處理設(shè)備管理程序》清空桌面和屏幕策略控制YES不實(shí)行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。ISMSP2012《用戶訪問控制程序》