【正文】 與信息安全有關(guān)的人員的安全職責(zé)必須明確規(guī)定并履行。所有員工須遵守公司有關(guān)信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密。XX部負(fù)責(zé)對初始錄用員工進(jìn)行能力、信用考察，每年對關(guān)鍵信息安全崗位進(jìn)行年度考察，對于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整。在《勞動合同》中明確規(guī)定保密的義務(wù)及違約的責(zé)任。管理職責(zé)控制YES缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安全影響。ISMSP2037《信息安全人員考察與保密管理程序》信息安全教育和培訓(xùn)控制YES安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。方針、程序變更后應(yīng)及時傳達(dá)到全體員工?！督逃嘤?xùn)規(guī)程》紀(jì)律處理過程控制YES對造成安全破壞的員工應(yīng)該有一個正式的懲戒過程。處罰的形式包括精神和物質(zhì)兩方面。終止職責(zé)控制YES執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。再次溝通保密協(xié)議和重申是否有競業(yè)禁止要求等。員工離職或工作變動前，應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。員工離職或工作變動前，應(yīng)解除對信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機(jī)柜所在地應(yīng)確定其安全周界，并對其實(shí)施保護(hù)。特別安全區(qū)域包括數(shù)據(jù)存儲機(jī)房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會議室、接待室、員工休息區(qū)為一般區(qū)域。ISMSP2011《物理訪問控制程序》物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán)，未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。臨時訪問的第三方應(yīng)在接待部門同意后，經(jīng)前臺登記可以進(jìn)入。員工加班也需登記。當(dāng)有緊急自然災(zāi)害發(fā)生，則需要提前示警。另外，對特別安全區(qū)域內(nèi)的辦公室和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害，這些控制措施包括：a) 大廈配備有一定數(shù)量的消防設(shè)施；b) 房間裝修符合消防安全的要求；c) 易燃、易爆物品嚴(yán)禁存放在安全區(qū)域內(nèi)，并與安全區(qū)域保持一定的安全距離；d) 辦公室或房間無人時，應(yīng)關(guān)緊窗戶，鎖好門；e) 防雷擊設(shè)施由大廈物管每年檢測一次。機(jī)房設(shè)備安裝在距墻、門窗有一定距離的地方。ISMSP2011《物理訪問控制程序》在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全。除非在公司設(shè)立的專門吸煙室外，其他任何地方禁止吸煙。ISMSP2011《物理訪問控制程序》公共訪問、交接區(qū)安全控制YES對特別安全區(qū)域，禁止外來人員直接進(jìn)入傳送物資是必要的。未經(jīng)授權(quán)，不允許外來人員直接進(jìn)入特別安全區(qū)域提供物資。ISMSP2011《物理訪問控制程序》設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動的中斷。設(shè)備使用部門負(fù)責(zé)對設(shè)備進(jìn)行定置管理和保護(hù)?！稒C(jī)房、專用平臺管理制度》支持性設(shè)施控制YES供電中斷或異常會給信息系統(tǒng)造成影響，甚至影響正常的生產(chǎn)作業(yè)。由XX部負(fù)責(zé)定期監(jiān)督。XX部按照《信息處理設(shè)施維護(hù)管理程序》對傳輸線路進(jìn)行維護(hù)，防止線路故障。ISMSP2010《信息處理設(shè)備管理程序》設(shè)備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。ISMSP2010《信息處理設(shè)備管理程序》組織場所外的設(shè)備安全控制YES本公司有筆記本電腦移動設(shè)備，離開公司辦公場所應(yīng)進(jìn)行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生?！缎畔⑾到y(tǒng)硬件管理規(guī)定》設(shè)備的安全處置或再利用控制YES對本公司儲存有關(guān)敏感信息的設(shè)備，對其處置時應(yīng)徹底清除。ISMSP2010《信息處理設(shè)備管理程序》資產(chǎn)的遷移控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會造成其丟失或非法訪問的危害。 信息處理設(shè)施（網(wǎng)絡(luò)設(shè)備及計算機(jī)終端）的遷移控制執(zhí)行《信息處理設(shè)備管理程序》。文件化作業(yè)程序控制YES標(biāo)準(zhǔn)規(guī)定的文件化程序要求必須予以滿足。ISMSP2010《信息處理設(shè)備管理程序》變更管理控制YES未加以控制的系統(tǒng)更改會造成系統(tǒng)故障和安全故障。在更改前評估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復(fù)。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會，按以下要求進(jìn)行職責(zé)分配：a) 網(wǎng)絡(luò)管理系統(tǒng)管理職責(zé)與操作職責(zé)分離；b) 信息安全審核具有獨(dú)立性。XX部是在一個獨(dú)立的開發(fā)與測試環(huán)境中開發(fā)軟件，并與作業(yè)設(shè)施分離。操作系統(tǒng)管理員與用戶分離。 檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相應(yīng)的變化，以確保交付的服務(wù)滿足第三方協(xié)議中的所有要求。對第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。《外包方控制辦法》第三方服務(wù)的監(jiān)控和評審控制YES第三方提供的服務(wù)、報告以及記錄應(yīng)定期監(jiān)控和審核，并定期進(jìn)行評價。對協(xié)議要求，特別是安全要求的符合性進(jìn)行監(jiān)控得到充分可用的資源和技術(shù)技能支持。對第三方服務(wù)更改的管理過程需要考慮： a) 組織的更改，包括加強(qiáng)當(dāng)前提供的服務(wù)，開發(fā)新應(yīng)用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提高安全性的新控制。ISMSP2008《更改控制程序》《外包方控制辦法》系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)YES使系統(tǒng)故障風(fēng)險最小化。XX部負(fù)責(zé)對信息網(wǎng)絡(luò)系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時機(jī)進(jìn)行容量擴(kuò)充。新系統(tǒng)、系統(tǒng)升級接收前，系統(tǒng)驗(yàn)收部門明確接收準(zhǔn)則 ，經(jīng)測試合格后方可正式運(yùn)行，并保存測試記錄及驗(yàn)收報告。ISMSP2014《系統(tǒng)開發(fā)與維護(hù)控制程序》防范惡意軟件目標(biāo)YES保護(hù)軟件和信息的完整性。IT部為控制惡意軟件的主管部門，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對技術(shù)工具進(jìn)行實(shí)時升級，各部門具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制工作。ISMSP2029《惡意軟件控制程序》移動代碼的控制控制YES移動代碼的控制是有效避免系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用資源以及信息安全的其他方面未授權(quán)應(yīng)用或破壞的基礎(chǔ)。ISMSP2029《惡意軟件控制程序》備份目標(biāo)YES保持信息處理和通信服務(wù)的完整性和可用性。本公司根據(jù)風(fēng)險評估的結(jié)果對重要數(shù)據(jù)庫、軟件等進(jìn)行備份。ISMSP2009《重要信息備份管理程序》網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡單，實(shí)施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計部門的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性是實(shí)施網(wǎng)絡(luò)安全管理的需要。ISMSP2010《信息處理設(shè)備管理程序》ISMSP2008《更改控制程序》介質(zhì)處置目標(biāo)YES為防止資產(chǎn)損壞和業(yè)務(wù)活動中斷，根據(jù)媒體（包括產(chǎn)品）所儲存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生?？梢苿佑嬎忝襟w包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報告，各部門按其管理權(quán)限并根據(jù)風(fēng)險評估的結(jié)果對其實(shí)施有效的控制。《信息系統(tǒng)硬件管理規(guī)定》介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時，必須對含有敏感信息的媒體采用安全的處置辦法?！缎畔⑾到y(tǒng)硬件管理規(guī)定》信息處置程序控制YES對信息的處理與貯存采取適當(dāng)?shù)目刂品椒?，避免濫用或泄密的威脅。ISMSP2020《密級控制程序》系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權(quán)訪問威脅。ISMSP2020《密級控制程序》ISMSP2005《文件和資料管理程序》《信息系統(tǒng)硬件管理規(guī)定》信息交換目標(biāo)YES明確信息和軟件交換的控制目標(biāo)，保護(hù)信息在交換時發(fā)生丟失、更改和誤用現(xiàn)象。XX部在與顧客進(jìn)行產(chǎn)品（設(shè)計）數(shù)據(jù)、測試程序等數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權(quán)人員接收并登記。在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中簽訂相關(guān)的安全控制協(xié)議： 明確雙方的安全責(zé)任與安全交接方式； 如果有要求，采用加密方式傳輸數(shù)據(jù)。為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)（包括保密產(chǎn)品的運(yùn)輸）傳送的部門采用以下方法進(jìn)行控制： a) 選擇適宜的安全傳送方式，對保密產(chǎn)品運(yùn)輸供方進(jìn)行選擇與評價，并與之簽訂保密協(xié)議；b) 保持傳送活動記錄?；跇I(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計算機(jī)病毒的原則，本公司建立了電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行?！缎畔踩剟?、懲戒管理規(guī)定》《電郵電話管理規(guī)定》業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。ISMSP2020《密級控制程序》電子商務(wù)服務(wù)目標(biāo)YES確保電子商務(wù)服務(wù)的安全及其安全使用。在線交易控制NO本公司不涉及在線交易，本控制措施不適用。監(jiān)視目標(biāo)YES探測未經(jīng)授權(quán)的信息處理活動。公司信息安全范圍邊境監(jiān)控是外包的。公司所有的信息處理設(shè)施其日志處于打開狀態(tài)，做審計時的證據(jù)。監(jiān)控部門按照規(guī)定周期對對監(jiān)控結(jié)果進(jìn)行評審，確保用戶只執(zhí)行被明確授權(quán)的活動。《系統(tǒng)邏輯訪問管理制度》日志信息的保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。管理員和操作員的日志應(yīng)該包括： a) 事情（成功或失?。┌l(fā)生的時間； b) 事情的有關(guān)信息（如：操作的文件）或故障信息； c) 涉及哪一個賬號以及哪一個管理員或操作員； d) 涉及哪一個過程。規(guī)定了用戶或系統(tǒng)程序報告的有關(guān)信息處理系統(tǒng)的問題如何記錄，以及清楚的規(guī)定了如何處理報告的故障。公司用網(wǎng)絡(luò)時間協(xié)議保持所有服務(wù)器與主時鐘同步?！断到y(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件訪問控制的業(yè)務(wù)要求目標(biāo)YES控制對信息的訪問。本公司基于以下原則制定文件化的訪問控制策略，明確規(guī)定訪問的控制要求，《物理邏輯訪問權(quán)限說明書》中規(guī)定訪問控制規(guī)則和每個用戶或用戶組的訪問權(quán)力，訪問規(guī)則的制定基于以下方面考慮：a) 每個業(yè)務(wù)應(yīng)用的安全要求；b) 在不同系統(tǒng)與網(wǎng)絡(luò)間，訪問控制與信息分類策略要保持一致；c) 數(shù)據(jù)和服務(wù)訪問符合有關(guān)法律和合同義務(wù)的要求；d) 對各種訪問權(quán)限的實(shí)施管理。用戶注冊控制YES本公司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和解除登記程序。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》特權(quán)管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán)，特權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的破壞。網(wǎng)絡(luò)系統(tǒng)管理員、安全員擁有特權(quán)，只有經(jīng)過書面授權(quán)，其特權(quán)才被認(rèn)可。ISMSP2012《用戶訪問控制程序》用戶口令管理控制YES用戶訪問信息系統(tǒng)和服務(wù)是按授權(quán)的范圍進(jìn)行訪問的，并擁有口令，因此建立正式的管理過程對口令進(jìn)行分配并控制是必須的。b) 當(dāng)用戶忘記口令時，可由系統(tǒng)管理員幫其找回或重新分配安全的口令。XX部管理執(zhí)行《用戶口令管理規(guī)定》。用戶訪問權(quán)限主管部門每半年對一般用