【正文】 用控制YES使用戶遵循口令使用規(guī)則，防止口令泄密或被解密。實施口令定期變更策略。托管的服務器由托管方負責執(zhí)行維護。本公司在中制定清除桌面、清除屏幕的策略并實施，各部門負責人負責監(jiān)督。ISMSP2010《信息處理設備管理程序》網(wǎng)絡訪問控制目標YES保護網(wǎng)絡服務。本公司建立并網(wǎng)絡服務安全策略，以確保網(wǎng)絡服務安全與服務質(zhì)量。ISMSP2012《用戶訪問控制程序》網(wǎng)絡上的設備標識控制YES考慮將自動設備鑒別作為一種證明從特定位置和設備進行連接的手段。本公司不設立無線網(wǎng)絡，有線網(wǎng)絡連接時，需要使用固定IP，采用路由器的日志監(jiān)控連接的用戶身份。對端口保護采用物理的方法。為確保本公司網(wǎng)絡安全，采用物理和邏輯兩種方式進行網(wǎng)絡隔離：a)通過防火墻將內(nèi)部網(wǎng)絡與外部網(wǎng)絡實施邏輯隔離；b)研發(fā)網(wǎng)絡與其他網(wǎng)絡物理隔離。XX部根據(jù)訪問控制策略的要求限制用戶的連接能力。XX部確定全公司范圍內(nèi)的可共享的服務與信息，各部門確定本部門服務器可共享的服務與信息，用戶間的信息交流應采用公司內(nèi)部電子郵件進行。XX部應根據(jù)網(wǎng)絡安全要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機制，對路由實施控制。終端安全登錄程序控制YES為減少非授權訪問的機會，對信息服務系統(tǒng)的訪問采用安全登錄程序。ISMSP2012《用戶訪問控制程序》用戶身份標識與鑒別控制YES為查處活動的個人責任，對連接到網(wǎng)絡終端應有唯一的用戶ID。用戶ID由系統(tǒng)管理員根據(jù)授權的規(guī)定予以設置，如果多個用戶共用一個識別符，須由訪問授權主管部門授權。ISMSP2012《用戶訪問控制程序》口令管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機會，應建立口令管理系統(tǒng)。除非一次性的口令系統(tǒng)，通過操作系統(tǒng)的強制措施要求用戶定期變更口令。XX部門應對系統(tǒng)實用程序的使用進行限制和嚴格控制，只有經(jīng)過授權的系統(tǒng)管理員才可以使用實用程序，如優(yōu)化大師，超級兔子等。各系統(tǒng)管理員在其管理的終端處于不活動時，應利用鎖屏（LOCK SCREEN）清除屏幕，以防止非授權的訪問，但不關閉應用或網(wǎng)絡話路。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》聯(lián)接時間的限制控制YES使用聯(lián)接時間的限制，為高風險應用程序提供額外的安全?；蚨ㄆ诘亩唐诮换?；將連機時間限于正常的辦公時間；對備份服務器的連接時間設定為2小時/次。信息訪問限制控制YES本公司信息訪問權限是根據(jù)業(yè)務運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應加以限制。用戶訪問公司信息和應用系統(tǒng)功能的授權執(zhí)行《用戶訪問控制程序》。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對敏感系統(tǒng)予以隔離ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》移動式計算和遠程工作目標YES明確控制目標，確保移動式計算和遠程工作設施的信息安全。本公司建立實施《信息處理設備管理程序》，對筆記本電腦的移動辦公實施有效可行的安全管理。本公司建立《遠程工作控制程序》，對遠程工作場地合適的保護，以防范設備和信息被竊、信息的未授權泄露、對組織內(nèi)部系統(tǒng)的未授權遠程訪問或設施濫用。安全要求分析和說明控制YES為確保系統(tǒng)具有一定的安全功能及規(guī)避開發(fā)過程的安全風險，增加新系統(tǒng)或擴大原有系統(tǒng)，應確定控制要求。系統(tǒng)（軟件）本身的功能及安全特性在設計開發(fā)輸入時明確提出，并進行評審。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》應用程序的正確處理控制YES防止應用系統(tǒng)中用戶數(shù)據(jù)丟失、修改或濫用。系統(tǒng)開發(fā)應明確應用系統(tǒng)輸入數(shù)據(jù)確認的要求，以確保輸入數(shù)據(jù)正確和恰當?！断到y(tǒng)邏輯訪問管理制度》內(nèi)部處理控制控制YES已正確輸入的數(shù)據(jù)可因處理錯誤或通過不慎運作而被破壞，有效的檢查應并入系統(tǒng)中?！断到y(tǒng)邏輯訪問管理制度》消息的完整性控制YES確保識別真實性和消息的完整性利用人員經(jīng)驗來進行識別信息的真實性與完整性；在操作過程中防止輸入數(shù)據(jù)被截取或修改?！断到y(tǒng)邏輯訪問管理制度》輸出數(shù)據(jù)的驗證控制YES盡管數(shù)據(jù)的輸入和處理是正確的，輸出仍然可能包含錯誤或有害的修改。各部門應用系統(tǒng)的操作人員應對應用系統(tǒng)輸出的數(shù)據(jù)進行認真核對，對于關鍵或重要的輸出數(shù)據(jù)，應由相應的作業(yè)流程所規(guī)定的人員進行確認。使用密碼控制的策略控制NO本公司目前不存在使用密碼技術的條件和合同、法規(guī)要求，本條款不適用。系統(tǒng)文件的安全目標YES確保信息技術項目和支持活動以安全的方式進行。系統(tǒng)主管部門應對軟件在作業(yè)系統(tǒng)的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應經(jīng)主管部門負責人審核同意后方可進行。ISMSP2010《信息處理設備管理程序》ISMSP2008《更改控制程序》系統(tǒng)測試數(shù)據(jù)的保護控制YES對包括敏感作業(yè)數(shù)據(jù)的測試數(shù)據(jù)不適當?shù)谋Ｗo會涉及到保密性的破壞。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》對程序源代碼的訪問控制控制YES本公司有軟件開發(fā)活動，有程序源庫（源代碼)存在，需要控制。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》開發(fā)和支持過程的安全目標YES確保應用系統(tǒng)軟件和信息的安全。為使信息系統(tǒng)的損害降至最小，對應用系統(tǒng)軟件在開發(fā)過程中的任何更改，須進行適當?shù)臏y試與評審，經(jīng)開發(fā)軟件負責人批準后予以實施。ISMSP2008《更改控制程序》ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》操作系統(tǒng)（OS)更改后對應用的程序評審控制YES操作系統(tǒng)的不充分更改對應用系統(tǒng)會造成嚴重的影響。ISMSP2008《更改控制程序》ISMSP2010《信息處理設備管理程序》軟件包的更改限制控制YES軟件包的更改會引入薄弱點，導致內(nèi)部控制故障，應進行嚴格限制。ISMSP2008《更改控制程序》信息泄漏控制YES軟件的采購、使用或修改會有隱藏通道和特洛伊代碼的威脅，應采取措施予以控制對軟件的采購、使用、變更及開發(fā)過程進行控制和檢查，以防止可能的隱藏通道和特洛伊木馬。本公司不外包定制軟件。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》ISMSP2033《事故、事件、薄弱點與故障管理程序》技術薄弱點管理目標YES降低由已經(jīng)公布的薄弱點所帶來破壞的風險。XX部門對技術薄弱點應進行風險評估，進行專項分析，制訂風險處理計劃，根據(jù)風險處理計劃采取對應的技術和管理措施。報告信息安全事件控制YES安全事件、事故有可能發(fā)生，一旦發(fā)生必須報告。所有員工有報告安全事情、事故的義務。各部門及全體員工應按照要求及時識別安全薄弱點及可能的安全威脅，一旦發(fā)現(xiàn)應及時向有關人員或部門報告并記錄，主管部門或安全管理負責人應采取有效的預防措施，防止威脅的發(fā)生。責任和程序控制YES建立管理責任和程序以保證對信息安全事件快速、有效和有序地做出響應。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預防措施控制程序》對信息安全事件的總結控制YES只有對事故進行有效鑒定，才能從中吸取教訓，防止再發(fā)生。事故和處理過程結果應予以記錄，重大事故應提交信息安全管理委員會評審。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2007《糾正/預防措施控制程序》證據(jù)的收集控制YES當信息安全事件發(fā)生后對個人或組織的后續(xù)行為涉及到法律行為時，所提供的證據(jù)應符合相關的證據(jù)法規(guī)。ISMSP2033《事故、事件、薄弱點與故障管理程序》ISMSP2006《記錄管理程序》標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件業(yè)務持續(xù)性管理的內(nèi)容目標YES抵消業(yè)務活動受到干擾的影響，并防止關鍵業(yè)務處理受大的信息系統(tǒng)故障或者災難的影響，確保能夠及時恢復基本運行。公司建立并實施《業(yè)務持續(xù)性管理程序》，在發(fā)生災難或安全故障時，實施持續(xù)性管理計劃，確保關鍵業(yè)務及時得到恢復。為達到公司儲存數(shù)據(jù)、培訓、測試等業(yè)務的持續(xù)性目標，IT部組織有關部門在適當?shù)娘L險評估的基礎上，進行災難及系統(tǒng)中斷影響分析，識別出造成關鍵業(yè)務中斷的主要事件及其影響。ISMSP2034《業(yè)務持續(xù)性管理程序》編制和實施實施持續(xù)性計劃控制YES為確保本公司與設計、制造、銷售、測試等關鍵業(yè)務中斷能及時恢復，應編寫并實施業(yè)務持續(xù)性計劃。持續(xù)性計劃應對應急措施和有關部門與人員的職責給予明確規(guī)定。應保持獨立的業(yè)務持續(xù)性計劃的框架，以確定各種計劃的一致性并確定檢測和維護的優(yōu)先權。每年XX部組織有關部門采取適宜的測試方法對《持續(xù)性管理戰(zhàn)略計劃》進行測試，并保持測試記錄；每次測試后，XX部組織與計劃有關的部門對計劃的時效和有效性進行評審，必要時，對業(yè)務持續(xù)性計劃進行修改。識別適用的法律法規(guī)控制YES為遵守適用的相關法律法規(guī)，應對其進行識別并將其要求文件化。品管部負責每半年應對法律法規(guī)的有效性進行重新評價，保持適用的法律、法規(guī)的有效最新版本。ISMSP2015《監(jiān)視和測量管理程序》知識產(chǎn)權控制YES軟件的使用與復制涉及知識產(chǎn)權問題（軟件著作權），應使用正版軟件。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設備管理程序》組織記錄的保護控制YES記錄的保持應符合法律法規(guī)要求。ISMSP2015《監(jiān)視和測量管理程序》數(shù)據(jù)保護和個人信息的保密控制YES應按國家有關法規(guī)或規(guī)章對員工的個人檔案、養(yǎng)老基金賬戶等數(shù)據(jù)或信息進行管理與保護。ISMSP2015《監(jiān)視和測量管理程序》防止信息處理設施的誤用控制YES防止濫用信息處理設施以符合法律法規(guī)要求。ISMSP2015《監(jiān)視和測量管理程序》ISMSP2010《信息處理設備管理程序》密碼技術控制條例控制NO本公司沒有涉及國家密碼產(chǎn)品，本條款不適用。符合安全策略和標準控制YES確保體系有效實施，定期評審是必須的。ISMSP2003《內(nèi)部審核管理程序》技術符合性檢查控制YES為驗證信息系統(tǒng)保證符合安全技術標準，必要的技術檢查是需要的。但不鼓勵利用漏洞掃描等工具對網(wǎng)絡系統(tǒng)進行定期技術性檢查，鼓勵用管理軟件和自身的日志進行監(jiān)督。系統(tǒng)審核控制控制YES對作業(yè)系統(tǒng)的審核應事先策劃，避免對作業(yè)系統(tǒng)造成不良影響。ISMSP2003《內(nèi)部審核管理程序》系統(tǒng)審核工具的保護控制YES本公司存在漏洞掃描工具，應控制其安全使用。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》