【正文】 第三方人員知道信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全方針，并且減少人為錯(cuò)誤的風(fēng)險(xiǎn)。公司管理者要求員工、合作方以及第三方人員加強(qiáng)信息安全意識(shí)，依據(jù)建立的方針和程序來(lái)應(yīng)用安全，服從公司管理，當(dāng)有其他的管理制度與信息安全管理制度沖突時(shí)，首選信息安全管理制度執(zhí)行。與 ISMS有關(guān)的所有員工，有關(guān)的第三方訪問(wèn)者，應(yīng)該接受安全意識(shí)、方針、程序的培訓(xùn)。紀(jì)律處理過(guò)程控制YES對(duì)造成安全破壞的員工應(yīng)該有一個(gè)正式的懲戒過(guò)程。處罰的形式包括精神和物質(zhì)兩方面。終止職責(zé)控制YES執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。再次溝通保密協(xié)議和重申是否有競(jìng)業(yè)禁止要求等。員工離職或工作變動(dòng)前，應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。員工離職或工作變動(dòng)前，應(yīng)解除對(duì)信息和信息處理設(shè)施訪問(wèn)權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲(chǔ)存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機(jī)柜所在地應(yīng)確定其安全周界，并對(duì)其實(shí)施保護(hù)。特別安全區(qū)域包括數(shù)據(jù)存儲(chǔ)機(jī)房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會(huì)議室、接待室、員工休息區(qū)為一般區(qū)域。物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過(guò)授權(quán)，未經(jīng)授權(quán)的非法訪問(wèn)會(huì)對(duì)信息安全構(gòu)成威脅。臨時(shí)訪問(wèn)的第三方應(yīng)在接待部門同意后，經(jīng)前臺(tái)登記可以進(jìn)入。員工加班也需登記。當(dāng)有緊急自然災(zāi)害發(fā)生，則需要提前示警。另外，對(duì)特別安全區(qū)域內(nèi)的辦公室和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害，這些控制措施包括：a) 大廈配備有一定數(shù)量的消防設(shè)施；b) 房間裝修符合消防安全的要求；c) 易燃、易爆物品嚴(yán)禁存放在安全區(qū)域內(nèi)，并與安全區(qū)域保持一定的安全距離；d) 辦公室或房間無(wú)人時(shí)，應(yīng)關(guān)緊窗戶，鎖好門；e) 防雷擊設(shè)施由大廈物管每年檢測(cè)一次。機(jī)房設(shè)備安裝在距墻、門窗有一定距離的地方。在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全。除非在公司設(shè)立的專門吸煙室外，其他任何地方禁止吸煙。公共訪問(wèn)、交接區(qū)安全控制YES對(duì)特別安全區(qū)域，禁止外來(lái)人員直接進(jìn)入傳送物資是必要的。未經(jīng)授權(quán)，不允許外來(lái)人員直接進(jìn)入特別安全區(qū)域提供物資。ISMSP2011《物理訪問(wèn)控制程序》設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動(dòng)的中斷。設(shè)備使用部門負(fù)責(zé)對(duì)設(shè)備進(jìn)行定置管理和保護(hù)。支持性設(shè)施控制YES供電中斷或異常會(huì)給信息系統(tǒng)造成影響，甚至影響正常的生產(chǎn)作業(yè)。由XX部負(fù)責(zé)定期監(jiān)督。對(duì)傳輸線路進(jìn)行維護(hù)，防止線路故障。設(shè)備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。組織場(chǎng)所外的設(shè)備安全控制YES本公司有筆記本電腦移動(dòng)設(shè)備，離開公司辦公場(chǎng)所應(yīng)進(jìn)行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問(wèn)等危害的發(fā)生。設(shè)備的安全處置或再利用控制YES對(duì)本公司儲(chǔ)存有關(guān)敏感信息的設(shè)備，對(duì)其處置時(shí)應(yīng)徹底清除。資產(chǎn)的遷移控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會(huì)造成其丟失或非法訪問(wèn)的危害。 標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件操作程序和職責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。本公司按照信息安全管理要求，對(duì)通信和操作建立規(guī)范化的操作。對(duì)信息處理設(shè)施、軟件等方面的更改實(shí)施嚴(yán)格控制。責(zé)任分割控制YES管理員與操作員職責(zé)應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。開發(fā)、測(cè)試和運(yùn)行設(shè)施分離控制YES開發(fā)與操作設(shè)施應(yīng)分離，以防止不期望的系統(tǒng)的更改或未授權(quán)的訪問(wèn)。研發(fā)和測(cè)試設(shè)備分離。第三方服務(wù)交付管理控制YES執(zhí)行并保持與第三方服務(wù)交付協(xié)議相一致的信息安全和服務(wù)交付等級(jí)。服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級(jí)。確保第三方保持充分的服務(wù)能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)交付的連貫性。公司應(yīng)有專門的人員跟蹤管理第三方服務(wù)，確保第三方分配的職責(zé)符合協(xié)議要求。第三方服務(wù)的變更管理控制YES對(duì)服務(wù)提供的更改進(jìn)行管理，包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、所涉及的過(guò)程以及風(fēng)險(xiǎn)的再評(píng)估。 b) 第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來(lái)容量。系統(tǒng)驗(yàn)收控制YES對(duì)新的信息系統(tǒng)、系統(tǒng)升級(jí)或使用新版本的活動(dòng)，建立接受標(biāo)準(zhǔn)和在接受之前進(jìn)行系統(tǒng)測(cè)試。指定部門負(fù)責(zé)辦公管理系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的驗(yàn)收。惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問(wèn)Internet互聯(lián)網(wǎng)。a) 技術(shù)工具的應(yīng)用及其升級(jí)要求；b) 查殺病毒的周期；c) 預(yù)防惡意軟件意識(shí)培訓(xùn)；d) 預(yù)防惡意軟件的一般要求；e) 對(duì)重要系統(tǒng)的防范惡意軟件的特殊要求；f) 發(fā)生惡意軟件的侵害應(yīng)急措施。 授權(quán)使用移動(dòng)代碼時(shí)，配置應(yīng)該確保已授權(quán)移動(dòng)代碼的運(yùn)行符合明確定義的安全方針，未經(jīng)授權(quán)的移動(dòng)代碼應(yīng)該被阻止執(zhí)行。信息備份控制YES必須對(duì)重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。信息部為全公司信息備份提供技術(shù)支持，各部門按照重要信息備份管理要求進(jìn)行備份。本公司網(wǎng)絡(luò)安全控制措施包括：a)對(duì)財(cái)務(wù)網(wǎng)絡(luò)與研發(fā)網(wǎng)絡(luò)物理隔離；b)對(duì)研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離；c)對(duì)網(wǎng)絡(luò)設(shè)備定期維護(hù)；d)對(duì)防火墻、交換機(jī)等實(shí)施安全配置管理；e)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)實(shí)施授權(quán)管理；f)實(shí)施有效的安全策略；g)對(duì)系統(tǒng)的變更進(jìn)行嚴(yán)格控制；h)對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控；i)對(duì)網(wǎng)絡(luò)設(shè)備的變更進(jìn)行控制；j)對(duì)網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理。XX部根據(jù)組織的安全策略，識(shí)別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進(jìn)行參數(shù)配置與維護(hù)管理?？梢苿?dòng)介質(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報(bào)告等可移動(dòng)媒體。媒體移動(dòng)的記錄予以保持。對(duì)于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，介質(zhì)處置部門按照《信息系統(tǒng)硬件管理規(guī)定》的要求，采取安全可靠處置的方法將其信息清除。為保護(hù)敏感信息不會(huì)因未經(jīng)授權(quán)處理而造成泄漏或?yàn)E用，本公司在《密級(jí)控制程序》等文件中明確規(guī)定對(duì)敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動(dòng)的安全要求。本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊(cè)；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問(wèn)授權(quán)說(shuō)明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g)其它系統(tǒng)文件。信息交換策略和程序控制YES本公司存在與其他組織進(jìn)行信息與軟件交換的活動(dòng)?！锻獍娇刂妻k法》交換協(xié)議控制YES建立并遵守相應(yīng)的協(xié)議，以保護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。與外部方簽訂的合同或協(xié)議物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運(yùn)輸活動(dòng)，確定安全的傳送方法是必要的。《外包方控制辦法》電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進(jìn)行信息交換，公司與外部客戶通過(guò)電子郵件進(jìn)行安全交換時(shí)進(jìn)行了安全控制。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶履行審批手續(xù)才可以使用。本公司建立的辦公自動(dòng)化是以單機(jī)為基礎(chǔ)，不存在業(yè)務(wù)的交互式連接，對(duì)其控制依賴人員的意識(shí)和經(jīng)驗(yàn)技能，其中紙質(zhì)文件按照密級(jí)和文件管理程序加以控制，減少信息的泄露及越權(quán)濫用。電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改。審計(jì)記錄控制YES為訪問(wèn)監(jiān)測(cè)提供幫助，建立事件記錄（審核日志）是必須的。公司內(nèi)部監(jiān)控是由專人進(jìn)行出入登記?！断到y(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》ISMSP2010《信息處理設(shè)備管理程序》監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對(duì)監(jiān)控結(jié)果評(píng)審是預(yù)防事故發(fā)生的重要手段。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施并實(shí)施。實(shí)施控制，防止對(duì)日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問(wèn)題.ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。ISMSP2012《用戶訪問(wèn)控制程序》ISMSP2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》故障日志控制YES應(yīng)記錄、分析故障并采取適當(dāng)?shù)拇胧?。ISMSP2033《事故、事件、薄弱點(diǎn)與故障管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)》ISMSP2010《信息處理設(shè)備管理程序》時(shí)鐘同步控制YES采取適當(dāng)?shù)拇胧?shí)施時(shí)鐘同步，是日常經(jīng)營(yíng)與獲取客觀證據(jù)的需要。保持本地時(shí)間與世界標(biāo)準(zhǔn)時(shí)間（UTC）一致。訪問(wèn)控制策略控制YES明確訪問(wèn)的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對(duì)信息訪問(wèn)實(shí)施有效控制。ISMSP2012《用戶訪問(wèn)控制程序》《系統(tǒng)邏輯訪問(wèn)管理制度》《物理邏輯訪問(wèn)權(quán)限說(shuō)明書》用戶訪問(wèn)管理目標(biāo)YES防止對(duì)信息系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)。根據(jù)訪問(wèn)控制策略及《物理邏輯訪問(wèn)權(quán)限說(shuō)明書》確定的訪問(wèn)規(guī)則，訪問(wèn)權(quán)限管理部門對(duì)用戶（包括第三方用戶)進(jìn)行書面訪問(wèn)授權(quán)，若發(fā)生以下情況，對(duì)其訪問(wèn)權(quán)將從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時(shí)；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問(wèn)服務(wù)時(shí)；c) 第三方訪問(wèn)合同終止時(shí)；d) 其它情況必須注銷時(shí)。特權(quán)分配以“使用需要”和“事件緊跟”為基礎(chǔ)，即需要時(shí)僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后將被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)（最小特權(quán)原則)。當(dāng)特權(quán)擁有者因公出差或其它原因暫時(shí)離開工作崗位時(shí)，特權(quán)部門負(fù)責(zé)人應(yīng)對(duì)特權(quán)實(shí)行緊急安排，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運(yùn)行；當(dāng)特權(quán)擁有者返回工作崗位時(shí)，及時(shí)收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。各系統(tǒng)管理員按以下過(guò)程對(duì)被授權(quán)訪問(wèn)該系統(tǒng)的用戶口令予以分配：a) 管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時(shí)口令。c) 禁止將口令以無(wú)保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)。ISMSP2012《用戶訪問(wèn)控制程序》用戶訪問(wèn)權(quán)的評(píng)審控制YES內(nèi)部用戶會(huì)發(fā)生崗位變化，或有的用戶的訪問(wèn)權(quán)是有時(shí)限要求的，為防止非授權(quán)的訪問(wèn)，對(duì)用戶訪問(wèn)的評(píng)審是必要的。ISMSP2012《用戶訪問(wèn)控制程序》用戶職責(zé)目標(biāo)YES明確用戶責(zé)任,防止非授權(quán)用戶的訪問(wèn)口令使