【正文】 無人值守的用戶設(shè)備控制YES在用戶范圍內(nèi)安裝的設(shè)備在無人值守時需要專門的保護(hù)，以防止未授權(quán)的訪問本公司在《用戶訪問控制程序》和《信息處理設(shè)備管理程序》中覆蓋了對無人值守設(shè)備的安全要求和規(guī)程，以及對于實(shí)現(xiàn)這種保護(hù)所負(fù)有的職責(zé)。本公司在《用戶訪問控制程序》中明確規(guī)定了口令安全選擇與使用要求，所有用戶須嚴(yán)格遵守。用戶訪問權(quán)限主管部門每半年對一般用戶訪問權(quán)進(jìn)行評審，對特權(quán)用戶每季度進(jìn)行評審一次，注銷非法用戶或過期無效用戶的訪問權(quán)，評審結(jié)應(yīng)予以保持。XX部管理執(zhí)行《用戶口令管理規(guī)定》。b) 當(dāng)用戶忘記口令時，可由系統(tǒng)管理員幫其找回或重新分配安全的口令。ISMSP2012《用戶訪問控制程序》用戶口令管理控制YES用戶訪問信息系統(tǒng)和服務(wù)是按授權(quán)的范圍進(jìn)行訪問的，并擁有口令，因此建立正式的管理過程對口令進(jìn)行分配并控制是必須的。網(wǎng)絡(luò)系統(tǒng)管理員、安全員擁有特權(quán)，只有經(jīng)過書面授權(quán)，其特權(quán)才被認(rèn)可。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》特權(quán)管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán)，特權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的破壞。用戶注冊控制YES本公司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和解除登記程序。本公司基于以下原則制定文件化的訪問控制策略，明確規(guī)定訪問的控制要求，《物理邏輯訪問權(quán)限說明書》中規(guī)定訪問控制規(guī)則和每個用戶或用戶組的訪問權(quán)力，訪問規(guī)則的制定基于以下方面考慮：a) 每個業(yè)務(wù)應(yīng)用的安全要求；b) 在不同系統(tǒng)與網(wǎng)絡(luò)間，訪問控制與信息分類策略要保持一致；c) 數(shù)據(jù)和服務(wù)訪問符合有關(guān)法律和合同義務(wù)的要求；d) 對各種訪問權(quán)限的實(shí)施管理?！断到y(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件訪問控制的業(yè)務(wù)要求目標(biāo)YES控制對信息的訪問。公司用網(wǎng)絡(luò)時間協(xié)議保持所有服務(wù)器與主時鐘同步。規(guī)定了用戶或系統(tǒng)程序報告的有關(guān)信息處理系統(tǒng)的問題如何記錄，以及清楚的規(guī)定了如何處理報告的故障。管理員和操作員的日志應(yīng)該包括： a) 事情（成功或失敗）發(fā)生的時間； b) 事情的有關(guān)信息（如：操作的文件）或故障信息； c) 涉及哪一個賬號以及哪一個管理員或操作員； d) 涉及哪一個過程?！断到y(tǒng)邏輯訪問管理制度》日志信息的保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。監(jiān)控部門按照規(guī)定周期對對監(jiān)控結(jié)果進(jìn)行評審，確保用戶只執(zhí)行被明確授權(quán)的活動。公司所有的信息處理設(shè)施其日志處于打開狀態(tài)，做審計(jì)時的證據(jù)。公司信息安全范圍邊境監(jiān)控是外包的。監(jiān)視目標(biāo)YES探測未經(jīng)授權(quán)的信息處理活動。在線交易控制NO本公司不涉及在線交易，本控制措施不適用。ISMSP2020《密級控制程序》電子商務(wù)服務(wù)目標(biāo)YES確保電子商務(wù)服務(wù)的安全及其安全使用?！缎畔踩剟?、懲戒管理規(guī)定》《電郵電話管理規(guī)定》業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流?；跇I(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計(jì)算機(jī)病毒的原則，本公司建立了電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)（包括保密產(chǎn)品的運(yùn)輸）傳送的部門采用以下方法進(jìn)行控制： a) 選擇適宜的安全傳送方式，對保密產(chǎn)品運(yùn)輸供方進(jìn)行選擇與評價，并與之簽訂保密協(xié)議；b) 保持傳送活動記錄。在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中簽訂相關(guān)的安全控制協(xié)議： 明確雙方的安全責(zé)任與安全交接方式； 如果有要求，采用加密方式傳輸數(shù)據(jù)。XX部在與顧客進(jìn)行產(chǎn)品（設(shè)計(jì)）數(shù)據(jù)、測試程序等數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權(quán)人員接收并登記。ISMSP2020《密級控制程序》ISMSP2005《文件和資料管理程序》《信息系統(tǒng)硬件管理規(guī)定》信息交換目標(biāo)YES明確信息和軟件交換的控制目標(biāo)，保護(hù)信息在交換時發(fā)生丟失、更改和誤用現(xiàn)象。ISMSP2020《密級控制程序》系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權(quán)訪問威脅?！缎畔⑾到y(tǒng)硬件管理規(guī)定》信息處置程序控制YES對信息的處理與貯存采取適當(dāng)?shù)目刂品椒?，避免濫用或泄密的威脅?！缎畔⑾到y(tǒng)硬件管理規(guī)定》介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時，必須對含有敏感信息的媒體采用安全的處置辦法?？梢苿佑?jì)算媒體包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報告，各部門按其管理權(quán)限并根據(jù)風(fēng)險評估的結(jié)果對其實(shí)施有效的控制。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》介質(zhì)處置目標(biāo)YES為防止資產(chǎn)損壞和業(yè)務(wù)活動中斷，根據(jù)媒體（包括產(chǎn)品）所儲存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性是實(shí)施網(wǎng)絡(luò)安全管理的需要。網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計(jì)、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡單，實(shí)施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計(jì)部門的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式。本公司根據(jù)風(fēng)險評估的結(jié)果對重要數(shù)據(jù)庫、軟件等進(jìn)行備份。備份目標(biāo)YES保持信息處理和通信服務(wù)的完整性和可用性。移動代碼的控制控制YES移動代碼的控制是有效避免系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用資源以及信息安全的其他方面未授權(quán)應(yīng)用或破壞的基礎(chǔ)。IT部為控制惡意軟件的主管部門，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對技術(shù)工具進(jìn)行實(shí)時升級，各部門具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制工作。防范惡意軟件目標(biāo)YES保護(hù)軟件和信息的完整性。新系統(tǒng)、系統(tǒng)升級接收前，系統(tǒng)驗(yàn)收部門明確接收準(zhǔn)則 ，經(jīng)測試合格后方可正式運(yùn)行，并保存測試記錄及驗(yàn)收報告。對信息網(wǎng)絡(luò)系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時機(jī)進(jìn)行容量擴(kuò)充。系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)YES使系統(tǒng)故障風(fēng)險最小化。對第三方服務(wù)更改的管理過程需要考慮： a) 組織要實(shí)施的更改，包括加強(qiáng)當(dāng)前提供的服務(wù)，開發(fā)新應(yīng)用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提高安全性的新控制。對協(xié)議要求，特別是安全要求的符合性進(jìn)行監(jiān)控得到充分可用的資源和技術(shù)技能支持。第三方服務(wù)的監(jiān)控和評審控制YES第三方提供的服務(wù)、報告以及記錄應(yīng)定期監(jiān)控和審核，并定期進(jìn)行評價。對第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。 檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相應(yīng)的變化，以確保交付的服務(wù)滿足第三方協(xié)議中的所有要求。操作系統(tǒng)管理員與用戶分離。在一個獨(dú)立的開發(fā)與測試環(huán)境中開發(fā)軟件，并與作業(yè)設(shè)施分離。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會，按以下要求進(jìn)行職責(zé)分配：a) 網(wǎng)絡(luò)管理系統(tǒng)管理職責(zé)與操作職責(zé)分離；b) 信息安全審核具有獨(dú)立性。在更改前評估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復(fù)。變更管理控制YES未加以控制的系統(tǒng)更改會造成系統(tǒng)故障和安全故障。文件化作業(yè)程序控制YES標(biāo)準(zhǔn)規(guī)定的文件化程序要求必須予以滿足。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動應(yīng)被記錄。含有敏感信息的設(shè)備在報廢或改作他用時，由使用部門用安全的處置方法，將設(shè)備中存儲的敏感信息清除并保存清除記錄。筆記本電腦在離開規(guī)定的區(qū)域時，經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問。計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)設(shè)備及用戶計(jì)算機(jī)終端（包括筆記本電腦）。通信電纜與電力電纜分開鋪設(shè)，防止干擾。布纜的安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。為降低來自環(huán)境威脅和危害的風(fēng)險，減少未經(jīng)授權(quán)的訪問機(jī)會，特采取以下措施： a) 設(shè)備的安置，要考慮到盡可能減少對工作區(qū)不必要的訪問；b) 對需要特別保護(hù)的設(shè)備加以隔離；c) 采取措施，以盡量降低盜竊、火災(zāi)、爆炸、吸煙、灰塵、震動、化學(xué)影響、電源干憂、電磁輻射等威脅造成的潛在的風(fēng)險；d) 禁止在信息處理設(shè)施附近飲食、吸煙。設(shè)備的安置和保護(hù)控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅?？上却娣庞谇芭_或接待室，再由行政專員搬進(jìn)，以防止未經(jīng)授權(quán)的訪問。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進(jìn)入普通辦公室和特別安全區(qū)域。公司應(yīng)建立物理訪問控制制度，明確規(guī)定員工在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工嚴(yán)格遵守。處理敏感信息的設(shè)備不易被窺視。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施。ISMSP2011《物理訪問控制程序》外部和環(huán)境威脅的安全保護(hù)控制YES加強(qiáng)公司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。避免出現(xiàn)對辦公室、房間和設(shè)施的未授權(quán)訪問。辦公室、房間和設(shè)施的安全控制YES對安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。進(jìn)入特別安全區(qū)域須被授權(quán)，進(jìn)出有記錄。外來人員進(jìn)入公司區(qū)域要進(jìn)行登記。保密文件存放于帶鎖的柜子里。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件安全區(qū)域目標(biāo)YES防止未經(jīng)授權(quán)對業(yè)務(wù)場所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜。解除訪問權(quán)目標(biāo)YES對所有員工、合作方以及第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限進(jìn)行管理。資產(chǎn)歸還目標(biāo)YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時歸還所負(fù)責(zé)的所有資產(chǎn)。在員工離職前和第三方用戶完成合同時，應(yīng)進(jìn)行明確終止責(zé)任的溝通。聘用中止或變化目標(biāo)YES確保員工、合作方以及第三方人員以一種有序的方式離開公司或變更聘用關(guān)系。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實(shí)地情況下進(jìn)行。方針、程序變更后應(yīng)及時傳達(dá)到全體員工，確保員工安全意識的提高與有能力勝任所承擔(dān)的信息安全工作。信息安全教育和培訓(xùn)控制YES安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。管理職責(zé)控制YES缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安全影響。這些條款應(yīng)規(guī)定其與組織對于信息安全的職責(zé)。任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。審查/篩選控制YES通過人員考察，防止人員帶來的信息安全風(fēng)險。XX部負(fù)責(zé)組織各部門在各崗位描述中明確規(guī)