【正文】 時需要專門的保護，以防止未授權(quán)的訪問本公司在《用戶訪問控制程序》和《信息處理設備管理程序》中覆蓋了對無人值守設備的安全要求和規(guī)程，以及對于實現(xiàn)這種保護所負有的職責。托管的服務器由托管方負責執(zhí)行維護。ISMSP2010《信息處理設備管理程序》清空桌面和屏幕策略控制YES不實行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。本公司在中制定清除桌面、清除屏幕的策略并實施，各部門負責人負責監(jiān)督。各部門員工自覺履行該策略的日常實施。ISMSP2010《信息處理設備管理程序》網(wǎng)絡訪問控制目標YES保護網(wǎng)絡服務。網(wǎng)絡服務使用策略控制YES制定策略，明確用戶訪問網(wǎng)絡和網(wǎng)絡服務的范圍，防止非授權(quán)的網(wǎng)絡訪問。本公司建立并網(wǎng)絡服務安全策略，以確保網(wǎng)絡服務安全與服務質(zhì)量。ISMSP2012《用戶訪問控制程序》外部聯(lián)接用戶的驗證控制YES適當?shù)氖褂描b別方法以控制遠程用戶的訪問本公司不存在VPN、遠程登錄工作、WEB服務器、郵件服務器，登陸網(wǎng)絡需要輸入用戶名、密碼。ISMSP2012《用戶訪問控制程序》網(wǎng)絡上的設備標識控制YES考慮將自動設備鑒別作為一種證明從特定位置和設備進行連接的手段。網(wǎng)絡有不同的敏感程度，局域網(wǎng)標識符可明確顯示設備能否被允許接入的網(wǎng)絡。本公司不設立無線網(wǎng)絡，有線網(wǎng)絡連接時，需要使用固定IP，采用路由器的日志監(jiān)控連接的用戶身份。ISMSP2012《用戶訪問控制程序》遠程診斷端口和配置端口的保護控制YES對于診斷和配置端口的訪問采取控制措施。對端口保護采用物理的方法。ISMSP2011《物理訪問控制程序》網(wǎng)絡的隔離控制YES涉密網(wǎng)絡應予以隔離。為確保本公司網(wǎng)絡安全，采用物理和邏輯兩種方式進行網(wǎng)絡隔離：a)通過防火墻將內(nèi)部網(wǎng)絡與外部網(wǎng)絡實施邏輯隔離；b)研發(fā)網(wǎng)絡與其他網(wǎng)絡物理隔離?！断到y(tǒng)邏輯訪問管理制度》ISMSP2012《用戶訪問控制程序》網(wǎng)絡連接控制控制YES共享網(wǎng)絡，用戶的連接權(quán)能應予以控制。XX部根據(jù)訪問控制策略的要求限制用戶的連接能力。例如通過網(wǎng)絡網(wǎng)關來控制，網(wǎng)關的安全設置與組織的訪問控制策略保持一致。XX部確定全公司范圍內(nèi)的可共享的服務與信息，各部門確定本部門服務器可共享的服務與信息，用戶間的信息交流應采用公司內(nèi)部電子郵件進行?！断到y(tǒng)邏輯訪問管理制度》ISMSP2012《用戶訪問控制程序》網(wǎng)絡路由控制控制YES本公司內(nèi)外網(wǎng)絡間連接均通過路由器，為確保網(wǎng)絡安全實施路由控制是必要的。XX部應根據(jù)網(wǎng)絡安全要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機制，對路由實施控制。《系統(tǒng)邏輯訪問管理制度》操作系統(tǒng)的訪問控制目標YES防止未經(jīng)授權(quán)的計算機訪問。終端安全登錄程序控制YES為減少非授權(quán)訪問的機會，對信息服務系統(tǒng)的訪問采用安全登錄程序。本公司通過路由技術手段提供安全的系統(tǒng)登錄程序。ISMSP2012《用戶訪問控制程序》用戶身份標識與鑒別控制YES為查處活動的個人責任，對連接到網(wǎng)絡終端應有唯一的用戶ID。用戶有唯一的識別符，以便用戶單獨使用時，能查處活動的個人責任。用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設置，如果多個用戶共用一個識別符，須由訪問授權(quán)主管部門授權(quán)。用戶識別符可以由用戶名稱加口令或其它適宜方式組成。ISMSP2012《用戶訪問控制程序》口令管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機會，應建立口令管理系統(tǒng)。XX部實施口令管理，通過技術手段提供有效的、互動的設施以確保口令質(zhì)量。除非一次性的口令系統(tǒng)，通過操作系統(tǒng)的強制措施要求用戶定期變更口令。ISMSP2012《用戶訪問控制程序》系統(tǒng)實用工具的使用控制YES對系統(tǒng)實用程序的使用應控制，防止惡意破壞系統(tǒng)安全。XX部門應對系統(tǒng)實用程序的使用進行限制和嚴格控制，只有經(jīng)過授權(quán)的系統(tǒng)管理員才可以使用實用程序，如優(yōu)化大師，超級兔子等。ISMSP2012《用戶訪問控制程序》會話超時控制YES為防止非法用戶訪問高風險區(qū)域系統(tǒng)管理終端，閑置不用時應建立終端時限（鎖屏）。各系統(tǒng)管理員在其管理的終端處于不活動時，應利用鎖屏（LOCK SCREEN）清除屏幕，以防止非授權(quán)的訪問，但不關閉應用或網(wǎng)絡話路。對于財務系統(tǒng)的負責人要求在離開時應鎖定或注銷系統(tǒng)。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》聯(lián)接時間的限制控制YES使用聯(lián)接時間的限制，為高風險應用程序提供額外的安全。使用預先定義的時隙，例如對批文件傳輸?；蚨ㄆ诘亩唐诮换挘粚⑦B機時間限于正常的辦公時間；對備份服務器的連接時間設定為2小時/次。ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》應用和信息訪問控制目標YES防止未經(jīng)授權(quán)訪問信息系統(tǒng)內(nèi)的信息。信息訪問限制控制YES本公司信息訪問權(quán)限是根據(jù)業(yè)務運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應加以限制。根據(jù)本公司管理要求和訪問策略，向授權(quán)的用戶提供訪問信息和應用系統(tǒng)功能。用戶訪問公司信息和應用系統(tǒng)功能的授權(quán)執(zhí)行《用戶訪問控制程序》。ISMSP2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》敏感系統(tǒng)隔離控制YES本公司開發(fā)系統(tǒng)等為敏感系統(tǒng)，使用獨立的計算環(huán)境是必須的。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對敏感系統(tǒng)予以隔離ISMSP2012《用戶訪問控制程序》ISMSP2010《信息處理設備管理程序》移動式計算和遠程工作目標YES明確控制目標，確保移動式計算和遠程工作設施的信息安全。移動式計算和通訊控制YES本公司擁有筆記本電腦等移動式計算或通信設施，應予以控制防止其失竊及未授權(quán)的訪問。本公司建立實施《信息處理設備管理程序》，對筆記本電腦的移動辦公實施有效可行的安全管理。ISMSP2010《信息處理設備管理程序》遠程工作控制YES我司涉及到遠程工作，應為遠程工作活動開發(fā)和實施策略、操作計劃和規(guī)程。本公司建立《遠程工作控制程序》，對遠程工作場地合適的保護，以防范設備和信息被竊、信息的未授權(quán)泄露、對組織內(nèi)部系統(tǒng)的未授權(quán)遠程訪問或設施濫用。ISMSP2028《遠程工作控制程序》《信息系統(tǒng)硬件管理規(guī)定》《系統(tǒng)邏輯訪問管理制度》、開發(fā)和維護標準條款號標 題目標/控制是否選擇選擇理由控制描述相關文件信息系統(tǒng)安全要求目標YES確保安全性已構(gòu)成信息系統(tǒng)的一部分。安全要求分析和說明控制YES為確保系統(tǒng)具有一定的安全功能及規(guī)避開發(fā)過程的安全風險，增加新系統(tǒng)或擴大原有系統(tǒng)，應確定控制要求。XX部在進行新系統(tǒng)開發(fā)或系統(tǒng)更新時，首先對系統(tǒng)進行分析，根據(jù)業(yè)務功能要求及信息安全要求明確規(guī)定控制要求，包括：a) 系統(tǒng)的安全特性；b) 對現(xiàn)有的系統(tǒng)安全影響；c) 設計過程中的安全控制要求。系統(tǒng)（軟件）本身的功能及安全特性在設計開發(fā)輸入時明確提出，并進行評審。其他應用系統(tǒng)開發(fā)由IT部按照《系統(tǒng)開發(fā)與維護管理程序》執(zhí)行。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》應用程序的正確處理控制YES防止應用系統(tǒng)中用戶數(shù)據(jù)丟失、修改或濫用。輸入數(shù)據(jù)的驗證控制YES輸入到應用系統(tǒng)的數(shù)據(jù)應進行確認，以保證輸入數(shù)據(jù)的正確與適當，防止數(shù)據(jù)誤用導致信息完整性問題。系統(tǒng)開發(fā)應明確應用系統(tǒng)輸入數(shù)據(jù)確認的要求，以確保輸入數(shù)據(jù)正確和恰當。各部門應用系統(tǒng)的操作人員對輸入到系統(tǒng)內(nèi)的數(shù)據(jù)進行認真核對，對于關鍵或重要數(shù)據(jù)的輸入，由相應的作業(yè)流程所規(guī)定的人員進行確認。《系統(tǒng)邏輯訪問管理制度》內(nèi)部處理控制控制YES已正確輸入的數(shù)據(jù)可因處理錯誤或通過不慎運作而被破壞，有效的檢查應并入系統(tǒng)中。系統(tǒng)開發(fā)應考慮系統(tǒng)內(nèi)部數(shù)據(jù)確認檢查的要求，以查處數(shù)據(jù)處理過程的錯誤?！断到y(tǒng)邏輯訪問管理制度》消息的完整性控制YES確保識別真實性和消息的完整性利用人員經(jīng)驗來進行識別信息的真實性與完整性；在操作過程中防止輸入數(shù)據(jù)被截取或修改。在架構(gòu)上采用HTTP方式傳輸數(shù)據(jù)，該協(xié)議帶有驗證消息完整性功能?！断到y(tǒng)邏輯訪問管理制度》輸出數(shù)據(jù)的驗證控制YES盡管數(shù)據(jù)的輸入和處理是正確的，輸出仍然可能包含錯誤或有害的修改。系統(tǒng)開發(fā)應考慮應用系統(tǒng)輸出數(shù)據(jù)確認的要求，以確保對貯存的信息處理的正確和環(huán)境相適應。各部門應用系統(tǒng)的操作人員應對應用系統(tǒng)輸出的數(shù)據(jù)進行認真核對，對于關鍵或重要的輸出數(shù)據(jù)，應由相應的作業(yè)流程所規(guī)定的人員進行確認?！断到y(tǒng)邏輯訪問管理制度》密碼技術控制目標NO本公司目前不存在使用密碼技術的條件和合同、法規(guī)要求，本條款不適用。使用密碼控制的策略控制NO本公司目前不存在使用密碼技術的條件和合同、法規(guī)要求，本條款不適用。密鑰管理控制NO本公司目前不存在使用密碼技術的條件和合同、法規(guī)要求，本條款不適用。系統(tǒng)文件的安全目標YES確保信息技術項目和支持活動以安全的方式進行。操作軟件的控制控制YES對軟件在作業(yè)系統(tǒng)中的執(zhí)行應予以控制，否則易受到未經(jīng)授權(quán)的軟件安裝和更改的影響，導致系統(tǒng)及數(shù)據(jù)完整性丟失。系統(tǒng)主管部門應對軟件在作業(yè)系統(tǒng)的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應經(jīng)主管部門負責人審核同意后方可進行。計算機終端用戶除非授權(quán)，否則嚴禁私自安裝任何軟件。ISMSP2010《信息處理設備管理程序》ISMSP2008《更改控制程序》系統(tǒng)測試數(shù)據(jù)的保護控制YES對包括敏感作業(yè)數(shù)據(jù)的測試數(shù)據(jù)不適當?shù)谋Ｗo會涉及到保密性的破壞。當系統(tǒng)測試數(shù)據(jù)使用作業(yè)數(shù)據(jù)，并且包含敏感信息時，測試部門按以下要求對測試數(shù)據(jù)進行保護：a) 對測試應用系統(tǒng)的活動進行授權(quán)；b) 作業(yè)信息每一次復制到測試應用系統(tǒng)，須被系統(tǒng)主管部門授權(quán)；c) 測試完成之后，立即從測試應用系統(tǒng)中消除作業(yè)信息。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》對程序源代碼的訪問控制控制YES本公司有軟件開發(fā)活動，有程序源庫（源代碼)存在，需要控制。為降低計算機程序被破壞的可能性，系統(tǒng)設計開發(fā)部按以下要求對源程序庫（源代碼）實施管理：a) 可能的話，不將源程序庫保存在運作系統(tǒng)中，源程序盡量與應用分開；b) 各項應用應指定程序庫管理員；c) 信息技術支持人員不應當自由訪問源程序庫；d) 源程序庫的更新和向程序員發(fā)布的源程序，應由指定的程序庫管理員根據(jù)授權(quán)來完成。ISMSP2014《系統(tǒng)開發(fā)與維護控制程序》開發(fā)和支持過程的安全目標YES確保應用系統(tǒng)軟件和信息的安全。更改控制程序控制YES為防止未授權(quán)或不充分的更改，避免系統(tǒng)故障與中斷，需要實施嚴格更改控制。為使信息系統(tǒng)的損害降至最小，對應用系統(tǒng)軟