【正文】 員按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a) 管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時口令。當特權(quán)擁有者因公出差或其它原因暫時離開工作崗位時，特權(quán)部門負責人應(yīng)對特權(quán)實行緊急安排，將特權(quán)臨時轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運行；當特權(quán)擁有者返回工作崗位時，及時收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。特權(quán)分配以“使用需要”和“事件緊跟”為基礎(chǔ)，即需要時僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后將被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)（最小特權(quán)原則)。根據(jù)訪問控制策略及《物理邏輯訪問權(quán)限說明書》確定的訪問規(guī)則，訪問權(quán)限管理部門對用戶（包括第三方用戶)進行書面訪問授權(quán)，若發(fā)生以下情況，對其訪問權(quán)將從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時；c) 第三方訪問合同終止時；d) 其它情況必須注銷時。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》《物理邏輯訪問權(quán)限說明書》用戶訪問管理目標YES防止對信息系統(tǒng)未經(jīng)授權(quán)的訪問。訪問控制策略控制YES明確訪問的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對信息訪問實施有效控制。保持本地時間與世界標準時間（UTC）一致。ISMSP2033《事故、事件、薄弱點與故障管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》ISMSP2010《信息處理設(shè)備管理程序》時鐘同步控制YES采取適當?shù)拇胧嵤r鐘同步，是日常經(jīng)營與獲取客觀證據(jù)的需要。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》故障日志控制YES應(yīng)記錄、分析故障并采取適當?shù)拇胧?。實施控制，防止對日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題.ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點檢業(yè)務(wù)手冊》管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施并實施?！断到y(tǒng)日常點檢業(yè)務(wù)手冊》ISMSP2010《信息處理設(shè)備管理程序》監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對監(jiān)控結(jié)果評審是預(yù)防事故發(fā)生的重要手段。公司內(nèi)部監(jiān)控是由專人進行出入登記。審計記錄控制YES為訪問監(jiān)測提供幫助，建立事件記錄（審核日志）是必須的。公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護，以防止未授權(quán)的修改。電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。本公司建立的辦公自動化是以單機為基礎(chǔ)，不存在業(yè)務(wù)的交互式連接，對其控制依賴人員的意識和經(jīng)驗技能，其中紙質(zhì)文件按照密級和文件管理程序加以控制，減少信息的泄露及越權(quán)濫用。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶履行審批手續(xù)才可以使用?！锻獍娇刂妻k法》電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進行信息交換，公司與外部客戶通過電子郵件進行安全交換時進行了安全控制。與外部方簽訂的合同或協(xié)議物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運輸活動，確定安全的傳送方法是必要的?！锻獍娇刂妻k法》交換協(xié)議控制YES建立并遵守相應(yīng)的協(xié)議，以保護被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。信息交換策略和程序控制YES本公司存在與其他組織進行信息與軟件交換的活動。本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)圖；d)訪問授權(quán)說明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g)其它系統(tǒng)文件。為保護敏感信息不會因未經(jīng)授權(quán)處理而造成泄漏或濫用，本公司在《密級控制程序》等文件中明確規(guī)定對敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動的安全要求。對于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時，介質(zhì)處置部門按照《信息系統(tǒng)硬件管理規(guī)定》的要求，采取安全可靠處置的方法將其信息清除。媒體移動的記錄予以保持?？梢苿咏橘|(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報告等可移動媒體。XX部根據(jù)組織的安全策略，識別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進行參數(shù)配置與維護管理。本公司網(wǎng)絡(luò)安全控制措施包括：a)對財務(wù)網(wǎng)絡(luò)與研發(fā)網(wǎng)絡(luò)物理隔離；b)對研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離；c)對網(wǎng)絡(luò)設(shè)備定期維護；d)對防火墻、交換機等實施安全配置管理；e)對用戶訪問網(wǎng)絡(luò)實施授權(quán)管理；f)實施有效的安全策略；g)對系統(tǒng)的變更進行嚴格控制；h)對網(wǎng)絡(luò)的運行情況進行監(jiān)控；i)對網(wǎng)絡(luò)設(shè)備的變更進行控制；j)對網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理。XX部為全公司信息備份提供技術(shù)支持，各部門按照《重要信息備份管理程序》要求進行備份。信息備份控制YES必須對重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。 授權(quán)使用移動代碼時，配置應(yīng)該確保已授權(quán)移動代碼的運行符合明確定義的安全方針，未經(jīng)授權(quán)的移動代碼應(yīng)該被阻止執(zhí)行。a) 技術(shù)工具的應(yīng)用及其升級要求；b) 查殺病毒的周期；c) 預(yù)防惡意軟件意識培訓(xùn)；d) 預(yù)防惡意軟件的一般要求；e) 對重要系統(tǒng)的防范惡意軟件的特殊要求；f) 發(fā)生惡意軟件的侵害應(yīng)急措施。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯(lián)網(wǎng)。XX部負責辦公管理系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的驗收。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》系統(tǒng)驗收控制YES對新的信息系統(tǒng)、系統(tǒng)升級或使用新版本的活動，建立接受標準和在接受之前進行系統(tǒng)測試。容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來容量。 b) 第三方服務(wù)的更改，包括更改和加強網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。《外包方控制辦法》與第三方簽訂的合同第三方服務(wù)的變更管理控制YES對服務(wù)提供的更改進行管理，包括保持和改進現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、所涉及的過程以及風險的再評估。我公司有專門的人員跟蹤管理第三方服務(wù)，確保第三方分配的職責符合協(xié)議要求。確保第三方保持充分的服務(wù)能力，并且具備有效的工作計劃，即便發(fā)生重大的服務(wù)故障或災(zāi)難也能保持服務(wù)交付的連貫性。服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》第三方服務(wù)交付管理控制YES執(zhí)行并保持與第三方服務(wù)交付協(xié)議相一致的信息安全和服務(wù)交付等級。研發(fā)和測試設(shè)備分離。ISMSP2012《用戶訪問控制程序》開發(fā)、測試和運行設(shè)施分離控制YES開發(fā)與操作設(shè)施應(yīng)分離，以防止不期望的系統(tǒng)的更改或未授權(quán)的訪問。ISMSP2008《更改控制程序》責任分割控制YES管理員與操作員職責應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。對信息處理設(shè)施、軟件等方面的更改實施嚴格控制。本公司按照信息安全管理要求，對通信和操作建立規(guī)范化的操作。ISMSP2010《信息處理設(shè)備管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關(guān)文件操作程序和職責目標YES確保信息處理設(shè)備的正確和安全使用。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動應(yīng)被記錄。含有敏感信息的設(shè)備在報廢或改作他用時，由使用部門用安全的處置方法，將設(shè)備中存儲的敏感信息清除并保存清除記錄。筆記本電腦在離開規(guī)定的區(qū)域時，經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對其進行嚴格控制，防止其丟失和未經(jīng)授權(quán)的訪問，具體按照《信息系統(tǒng)硬件管理規(guī)定》執(zhí)行。計算機信息網(wǎng)絡(luò)系統(tǒng)設(shè)備及用戶計算機終端（包括筆記本電腦）由XX部按照《信息處理設(shè)備管理程序》進行維護。通信電纜與電力電纜分開鋪設(shè)，防止干擾。ISMSP2010《信息處理設(shè)備管理程序》布纜的安全控制YES通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。為降低來自環(huán)境威脅和危害的風險，減少未經(jīng)授權(quán)的訪問機會，特采取以下措施： a) 設(shè)備的定置，要考慮到盡可能減少對工作區(qū)不必要的訪問；b) 對需要特別保護的設(shè)備加以隔離；c) 采取措施，以盡量降低盜竊、火災(zāi)、爆炸、吸煙、灰塵、震動、化學(xué)影響、電源干憂、電磁輻射等威脅造成的潛在的風險；d) 禁止在信息處理設(shè)施附近飲食、吸煙。設(shè)備的安置和保護控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅?？上却娣庞谇芭_或接待室，再由行政專員搬進，以防止未經(jīng)授權(quán)的訪問。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進入普通辦公室和特別安全區(qū)域。公司建立ISMSP2011《物理訪問控制程序》等制度，明確規(guī)定員工在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工嚴格遵守。處理敏感信息的設(shè)備不易被窺視。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護控制YES加強公司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。本公司制定《物力訪問控制程序》，避免出現(xiàn)對辦公室、房間和設(shè)施的未授權(quán)訪問。ISMSP2011《物理訪問控制程序》辦公室、房間和設(shè)施的安全控制YES對安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。進入特別安全區(qū)域須被授權(quán)，進出有記錄。外來人員進入公司區(qū)域要進行登記。保密文件存放于帶鎖的柜子里。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。ISMSP2037《信息安全人員考察與保密管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關(guān)文件安全區(qū)域目標YES防止未經(jīng)授權(quán)對業(yè)務(wù)場所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜。ISMSP2037《信息安全人員考察與保密管理程序》解除訪問權(quán)目標YES對所有員工、合作方以及第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限進行管理。《勞動合同》ISMSP2037《信息安全人員考察與保密管理程序》資產(chǎn)歸還目標YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時歸還所負責的所有資產(chǎn)。在員工離職前和第三方用戶完成合同時，應(yīng)進行明確終止責任的溝通。《信息安全獎勵、懲戒管理規(guī)定》聘用中止或變化目標YES確保員工、合作方以及第三方用戶以一種有序的方式離開公司或變更聘用關(guān)系。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進行處罰，處罰在安全破壞經(jīng)過證實地情況下進行。XX部通過組織實施《教育培訓(xùn)規(guī)程》，確保員工安全意識的提高與有能力勝任所承擔的信息安全工作。與 ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識、方針、程序的培訓(xùn)。公司管理者要求員工、合作方以及第三方用戶加強信息安全意識，依據(jù)建立的方針和程序來應(yīng)用安全，服從公司管理，當有其他的管理制度與信息安全管理制度沖突時，首選信息安全管理制度執(zhí)行?！秳趧雍贤菲赣闷陂g控制YES確保所有的員工、合同方和第三方用戶知道信息安全威脅和利害關(guān)系、他們的職責和義務(wù)、并準備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風險。ISMSP2037《信息安全人員