安全生產(chǎn)_信息安全適用性聲明

適用性聲明編號(hào)：ISMS-P-2001狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日批準(zhǔn)：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：變 更 記 錄變更日期版本變更說明編寫審核批準(zhǔn)2009-XX-XXA/0初始版本XXXXXXXXX目 錄1 目的與范圍42 相關(guān)文件43 職責(zé)44 聲明4A.5安全方針5A.6安全組織5A.7資產(chǎn)管理7A.8人力資源安全7A.9實(shí)物與環(huán)境安全7A.10通信和操作管理7A.11訪問控制7A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)7A.13信息安全事件管理7A.14業(yè)務(wù)持續(xù)性管理7A.15符合性7信息安全適用性聲明1 目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標(biāo)/控制、是否選擇這些目標(biāo)/控制的理由、公司現(xiàn)行的控制方式、以及實(shí)施這些控制所涉及的相關(guān)文件。2 相關(guān)文件ISMS-1001信息安全管理手冊(cè)3 職責(zé)信息安全適用性聲明由XXX編制、修訂，由管理者代表批準(zhǔn)。4 聲明本公司按GB/T 22080-2008 idt ISO/IEC27001:2005建立信息安全管理體系。根據(jù)公司風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)可接受水平，GB/T 22080-2008 idt ISO/IEC27001:2005附錄A的下列條款被選擇（或不選擇)用于本公司信息安全管理體系，共刪除X條控制措施。我們總羨慕別人的幸福，卻常常忽略自己生活中的美好。其實(shí)，幸福很平凡也很簡(jiǎn)單，它就藏在看似瑣碎的生活中。幸福的人，并非拿到了世界上最好的東西，而是珍惜了生命中的點(diǎn)點(diǎn)滴滴，用感恩的心態(tài)看待生活，用樂觀的態(tài)度闖過磨難。A.5安全方針標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.5.1信息安全方針目標(biāo)YES為信息安全提供管理方向和支持，并表明管理層對(duì)信息安全的承諾。A.5.1.1信息安全方針文件控制YES信息安全管理實(shí)施的需要。信息安全方針由公司總經(jīng)理制定，在信息安全管理手冊(cè)中描述，由公司總經(jīng)理批準(zhǔn)發(fā)布。通過培訓(xùn)、發(fā)放信息安全管理手冊(cè)等方式傳達(dá)到每一員工。采用張貼布告于宣傳欄、網(wǎng)站等形式傳達(dá)到各主管部門、客戶群等外部相關(guān)方。ISMS-1001信息安全管理手冊(cè)A.5.1.2評(píng)審與評(píng)價(jià)控制YES確保方針持續(xù)的適宜性。每年利用管理評(píng)審對(duì)方針的適宜性進(jìn)行評(píng)價(jià)，必要時(shí)對(duì)方針進(jìn)行修訂。ISMS-P-2004管理評(píng)審控制程序A.6安全組織標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.6.1內(nèi)部組織目標(biāo)YES建立一個(gè)有效的信息安全管理組織機(jī)構(gòu)。A.6.1.1信息安全管理承諾控制YES確定評(píng)審安全承諾及處理重大安全事故，確定與安全有關(guān)重大事項(xiàng)所必須的職責(zé)分配及確認(rèn)、溝通機(jī)制。公司成立信息安全管理委員會(huì)，由公司領(lǐng)導(dǎo)、信息安全管理者代表、各主要部門負(fù)責(zé)人組成。信息安全管理委員會(huì)至少每半年召開一次，或者當(dāng)信息安全管理體系發(fā)生重大變化或當(dāng)管理者代表認(rèn)為有必要時(shí)召開。信息安全管理者代表負(fù)責(zé)決定召開會(huì)議的時(shí)機(jī)及會(huì)議議題，行政部負(fù)責(zé)準(zhǔn)備會(huì)議日程的安排。會(huì)議主要議題包括：a) 評(píng)審信息安全承諾；b) 確認(rèn)風(fēng)險(xiǎn)評(píng)估的結(jié)果；c) 對(duì)與信息安全管理有關(guān)的重大更改事項(xiàng)，如組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等，進(jìn)行決策；e) 評(píng)審與處理重大信息安全事故；f) 審批與信息安全管理有關(guān)的其他重要事項(xiàng)。ISMS-1001信息安全管理手冊(cè)A.6.1.2信息安全的協(xié)調(diào)控制YES公司涉及信息安全部門眾多，組織機(jī)構(gòu)復(fù)雜，需要一個(gè)有效溝通與協(xié)調(diào)機(jī)制。公司成立信息安全管理協(xié)調(diào)小組，由信息安全管理者代表和XXX部、XXX部信息安全體系內(nèi)審員組成。協(xié)調(diào)小組每季度召開一次協(xié)調(diào)會(huì)議（特殊情況隨時(shí)召開會(huì)議），對(duì)上一季度的信息安全管理工作進(jìn)行總結(jié)，解決體系運(yùn)行中存在的問題，并布置下一季度的信息安全工作。會(huì)議由XXX負(fù)責(zé)組織安排并做好會(huì)議記錄。有關(guān)信息安全管理委員會(huì)會(huì)議記錄（會(huì)議紀(jì)要）A.6.1.3信息安全職責(zé)的分配控制YES保持特定資產(chǎn)和完成特定安全過程的職責(zé)需確定。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)公司ISMS的建立、實(shí)施與保持工作。對(duì)每一項(xiàng)重要信息資產(chǎn)指定信息安全責(zé)任人。與ISMS有關(guān)各部門的信息安全職責(zé)在信息安全管理手冊(cè)中予以描述，關(guān)于具體的信息安全活動(dòng)的職責(zé)在程序及作業(yè)文件中予以明確。A.6.1.4信息處理設(shè)施的授權(quán)程序控制YES本公司有新信息處理設(shè)備（設(shè)施）使用時(shí)，實(shí)施使用授權(quán)程序。對(duì)各自負(fù)責(zé)管理的信息系統(tǒng)，根據(jù)使用者需求提出新設(shè)施（包括軟件）的采購(gòu)技術(shù)規(guī)格，由XXX部進(jìn)行技術(shù)選型，并組織驗(yàn)收，確保與原系統(tǒng)的兼容。明確信息處理設(shè)施的使用部門接受新設(shè)施的信息安全負(fù)責(zé)人為XXX部，XXX部人員需要講解新設(shè)施的正確使用方法。ISMS-P-2010信息處理設(shè)備管理程序A.6.1.5信息安全保密性協(xié)議控制YES為更好掌握信息安全的技術(shù)及聽取安全方面的有意建議，需與內(nèi)外部經(jīng)常訪問我公司信息處理設(shè)施的人員訂立保密性協(xié)議。本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關(guān)人員（合同方、臨時(shí)員工）的安全考察與控制。a) 保密信息的形式：標(biāo)明“秘密”、“受控”字樣的資料，以及相關(guān)的文件、數(shù)據(jù)、分析報(bào)告、算法、樣品、實(shí)物、規(guī)格說明軟盤等，未標(biāo)明“秘密”、“受控”字樣的即為公開文件；b) 乙方僅能夠在甲方規(guī)定的范圍內(nèi)使用保密信息、或者向甲方書面認(rèn)可的第三方披露甲方認(rèn)可可披露范圍內(nèi)的保密信息；c) 乙方不得向其他任何第三方披露任何從甲方處收到或合法獲知的保密信息。ISMS-P-2020密級(jí)控制程序A.6.1.6與政府部門的聯(lián)系控制YES與法律實(shí)施部門、標(biāo)準(zhǔn)機(jī)構(gòu)等組織保持適當(dāng)?shù)穆?lián)系是必須的，以獲得必要的安全管理、標(biāo)準(zhǔn)、法律法規(guī)方面的信息。XXX部就電話/網(wǎng)絡(luò)通訊系統(tǒng)的安全問題與市信息主管部門及標(biāo)準(zhǔn)制定部門保持聯(lián)系，其他部門與相應(yīng)的政府職能部門及社會(huì)服務(wù)機(jī)構(gòu)保持聯(lián)系，以便及時(shí)掌握信息安全的法律法規(guī)，及時(shí)獲得安全事故的預(yù)防和糾正信息，并得到相應(yīng)的支持。信息安全交流時(shí)，確保本公司的敏感信息不傳給未經(jīng)授權(quán)的人。ISMS-1001信息安全管理手冊(cè)XXXXA.6.1.7與特定利益團(tuán)體的聯(lián)系控制YES為更好掌握信息安全的新技術(shù)及安全方面的有益建議，需獲得內(nèi)外部信息安全專家的建議。本公司設(shè)內(nèi)部信息安全顧問，必要時(shí)聘請(qǐng)外部專家，與特定利益群體保持溝通，解答有關(guān)信息安全的問題。顧問與專家名單由本公司信息安全委員會(huì)提出，管理者代表批準(zhǔn)。內(nèi)部信息安全顧問負(fù)責(zé)：a) 按照專業(yè)分工負(fù)責(zé)解答公司有關(guān)信息安全的問題并提供信息安全的建議；b) 收集與本公司信息安全有關(guān)的信息、新技術(shù)變化，經(jīng)本部門負(fù)責(zé)人審核同意，利用本公司電子郵件系統(tǒng)或采用其它方式傳遞到相關(guān)部門和人員；c) 必要時(shí)，參與信息安全事故的調(diào)查工作。信息安全內(nèi)部顧問名單和信息安全外部專家名單A.6.1.8信息安全的獨(dú)立評(píng)審控制YES為驗(yàn)證信息安全管理體系實(shí)施的有效性及符合性，公司定期進(jìn)行內(nèi)部審核，審核需要客觀公正性。信息安全管理體系的內(nèi)部審核員由有審核能力和經(jīng)驗(yàn)的人員組成（包括IT方面的專家），并接受ISMS內(nèi)部審核員培訓(xùn)且考評(píng)合格。內(nèi)部審核員在現(xiàn)場(chǎng)審核時(shí)保持審核的獨(dú)立性，并不審核自己的工作。內(nèi)審員獲得授權(quán)，在審核期間不受行政的領(lǐng)導(dǎo)的限制，直接對(duì)審核組長(zhǎng)負(fù)責(zé)。ISMS-P-2003內(nèi)部審核管理程序A.6.2外部各方目標(biāo)YES識(shí)別外部各方訪問、處理、管理、通信的風(fēng)險(xiǎn)，明確對(duì)外部各方訪問控制的要求，并控制外部各方帶來的風(fēng)險(xiǎn)。A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別控制YES本公司存在諸如設(shè)備供應(yīng)商來公司維修設(shè)備、顧客訪問公司信息網(wǎng)絡(luò)系統(tǒng)等第三方訪問的情況，應(yīng)采取必要的安全措施進(jìn)行控制。第三方物理訪問須經(jīng)公司被訪問部門的授權(quán)，進(jìn)入工作區(qū)應(yīng)進(jìn)行登記。公司與長(zhǎng)期訪問的第三方簽訂保密協(xié)議。訪問特別安全區(qū)域時(shí)由專人陪同，具體執(zhí)行物理訪問控制程序。第三方邏輯訪問，按照用戶訪問控制程序要求進(jìn)行控制。ISMS-P-2011物理訪問控制程序ISMS-P-2012用戶訪問控制程序A.6.2.2處理與顧客有關(guān)的安全問題控制YES在正式的合同中規(guī)定必要的安全要求是必須的。公司與長(zhǎng)期訪問的顧客簽訂保密協(xié)議，明確規(guī)定信息安全要求，顧客方訪問同樣適用物理、邏輯訪問控制措施。ISMS-P-2011物理訪問控制程序ISMS-P-2012用戶訪問控制程序A.6.2.3處理第三方協(xié)議中的安全問題控制YES與本公司存在相關(guān)服務(wù)主要有XXXXXX、XXX。公司外包責(zé)任部門識(shí)別外包活動(dòng)的風(fēng)險(xiǎn)，明確外包活動(dòng)的信息安全要求，在外包合同中明確規(guī)定信息安全要求。ISMS-P-2010信息處理設(shè)備管理程序A.7資產(chǎn)管理標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.7.1資產(chǎn)責(zé)任目標(biāo)YES對(duì)本公司重要信息資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進(jìn)行有效保護(hù)。A.7.1.1資產(chǎn)清單控制YES公司需建立重要資產(chǎn)清單并實(shí)施保護(hù)。XXX部按照ISMS-P-2002信息安全風(fēng)險(xiǎn)評(píng)估管理程序組織各部門按業(yè)務(wù)流程識(shí)別所有信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷準(zhǔn)則確定公司的重要信息資產(chǎn)，重要信息資產(chǎn)清單，并明確資產(chǎn)負(fù)責(zé)人。ISMS-P-2002信息安全風(fēng)險(xiǎn)評(píng)估管理程序重要信息資產(chǎn)清單A.7.1.2 資產(chǎn)負(fù)責(zé)人控制YES需要對(duì)重要信息處理設(shè)施有及重要信息指定責(zé)任人。XX部組織相關(guān)部門依據(jù)ISMS-P-2002信息安全風(fēng)險(xiǎn)評(píng)估管理程序指定資產(chǎn)負(fù)責(zé)人。ISMS-P-2002信息安全風(fēng)險(xiǎn)評(píng)估管理程序A.7.1.3資產(chǎn)的可接受使用控制YES識(shí)別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，予以實(shí)施。制定相應(yīng)的業(yè)務(wù)系統(tǒng)應(yīng)用管理制度，重要設(shè)備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則。使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對(duì)信息資源的使用，以及發(fā)生在其責(zé)任下的使用負(fù)責(zé)。ISMS-P-2010信息處理設(shè)備管理程序A.7.2信息分類目標(biāo)YES本公司根據(jù)信息的敏感性對(duì)信息進(jìn)行分類，明確保護(hù)要求、優(yōu)先權(quán)和等級(jí)，以明確對(duì)信息資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)。A.7.2.1分類指南控制YES本公司的信息安全涉及信息的敏感性，適當(dāng)?shù)姆诸惪刂剖潜匾?。本公司的信息密?jí)劃分為：公開信息、受控信息、企業(yè)秘密三級(jí)。不同密級(jí)事項(xiàng)的界定，由涉及秘密事項(xiàng)產(chǎn)生部門按照ISMS-P-2020密級(jí)控制程序規(guī)定的原則進(jìn)行。ISMS-P-2020密級(jí)控制程序A.7.2.2信息的標(biāo)識(shí)和處理控制YES按分類方案進(jìn)行標(biāo)注并規(guī)定信息處理的安全的要求。對(duì)于屬于企業(yè)秘密與國(guó)家秘密的文件（無(wú)論任何媒體），密級(jí)確定部門按密級(jí)控制程序的要求進(jìn)行適當(dāng)?shù)臉?biāo)注；公開信息不需要標(biāo)注，其余均標(biāo)注受控或秘密。信息的使用、傳輸、存儲(chǔ)等處理活動(dòng)要進(jìn)行控制。ISMS-P-2020密級(jí)控制程序A.8人力資源安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.8.1任用之前目標(biāo)YES對(duì)聘用過程進(jìn)行管理，確保員工、合同方和第三方用戶理解其責(zé)任，并且能勝任其任務(wù)，以降低設(shè)施被盜竊、欺詐或誤用的風(fēng)險(xiǎn)。A.8.1.1角色和職責(zé)控制YES與信息安全有關(guān)的人員的安全職責(zé)必須明確規(guī)定并履行。XX部負(fù)責(zé)組織各部門在各崗位描述中明確規(guī)定每個(gè)員工在信息安全方面應(yīng)履行的職責(zé)。所有員工須遵守公司有關(guān)信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國(guó)家秘密。工作崗位說明書A.8.1.2審查控制YES通過人員考察，防止人員帶來的信息安全風(fēng)險(xiǎn)。XX部負(fù)責(zé)對(duì)初始錄用員工進(jìn)行能力、信用考察，每年對(duì)關(guān)鍵信息安全崗位進(jìn)行年度考察，對(duì)于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整。ISMS-P-2037信息安全人員考察與保密管理程序A.8.1.3任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個(gè)基本條件。在勞動(dòng)合同中明確規(guī)定保密的義務(wù)及違約的責(zé)任。勞動(dòng)合同A.8.2聘用期間控制YES確保所有的員工、合同方和第三方用戶知道信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，并且減少人為錯(cuò)誤的風(fēng)險(xiǎn)。A.8.2.1管理職責(zé)控制YES缺乏管理職責(zé)，會(huì)使人員意識(shí)淡薄，從而對(duì)組織造成負(fù)面安全影響。公司管理者要求員工、合作方以及第三方用戶加強(qiáng)信息安全意識(shí)，依據(jù)建立的方針和程序來應(yīng)用安全，服從公司管理，當(dāng)有其他的管理制度與信息安全管理制度沖突時(shí)，首選信息安全管理制度執(zhí)行。ISMS-P-2037信息安全人員考察與保密管理程序A.8.2.2信息安全教育和培訓(xùn)控制YES安全意識(shí)及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。與 ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識(shí)、方針、程序的培訓(xùn)。方針、程序變更后應(yīng)及時(shí)傳達(dá)到全體員工。XX部通過組織實(shí)施教育培訓(xùn)規(guī)程，確保員工安全意識(shí)的提高與有能力勝任所承擔(dān)的信息安全工作。教育培訓(xùn)規(guī)程A.8.2.3紀(jì)律處理過程控制YES對(duì)造成安全破壞的員工應(yīng)該有一個(gè)正式的懲戒過程。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實(shí)地情況下進(jìn)行。處罰的形式包括精神和物質(zhì)兩方面。信息安全獎(jiǎng)勵(lì)、懲戒管理規(guī)定A.8.3聘用中止或變化目標(biāo)YES確保員工、合作方以及第三方用戶以一種有序的方式離開公司或變更聘用關(guān)系。A.8.3.1終止職責(zé)控制YES執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。在員工離職前和第三方用戶完成合同時(shí)，應(yīng)進(jìn)行明確終止責(zé)任的溝通。再次溝通保密協(xié)議和重申是否有競(jìng)業(yè)禁止要求等。勞動(dòng)合同ISMS-P-2037信息安全人員考察與保密管理程序A.8.3.2資產(chǎn)歸還目標(biāo)YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時(shí)歸還所負(fù)責(zé)的所有資產(chǎn)。員工離職或工作變動(dòng)前，應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。ISMS-P-2037信息安全人員考察與保密管理程序A.8.3.3解除訪問權(quán)目標(biāo)YES對(duì)所有員工、合作方以及第三方用戶對(duì)信息和信息處理設(shè)施的訪問權(quán)限進(jìn)行管理。員工離職或工作變動(dòng)前，應(yīng)解除對(duì)信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。ISMS-P-2037信息安全人員考察與保密管理程序A.9物理與環(huán)境安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.9.1安全區(qū)域目標(biāo)YES防止未經(jīng)授權(quán)對(duì)業(yè)務(wù)場(chǎng)所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜。A.9.1.1物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲(chǔ)存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機(jī)柜所在地應(yīng)確定其安全周界，并對(duì)其實(shí)施保護(hù)。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。特別安全區(qū)域包括數(shù)據(jù)存儲(chǔ)機(jī)房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會(huì)議室、接待室、員工休息區(qū)為一般區(qū)域。保密文件存放于帶鎖的柜子里。ISMS-P-2011物理訪問控制程序A.9.1.2物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán)，未經(jīng)授權(quán)的非法訪問會(huì)對(duì)信息安全構(gòu)成威脅。外來人員進(jìn)入公司區(qū)域要進(jìn)行登記。臨時(shí)訪問的第三方應(yīng)在接待部門同意后，經(jīng)前臺(tái)登記可以進(jìn)入。進(jìn)入特別安全區(qū)域須被授權(quán)，進(jìn)出有記錄。員工加班也需登記。ISMS-P-2011物理訪問控制程序A.9.1.3辦公室、房間和設(shè)施的安全控制YES對(duì)安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。當(dāng)有緊急自然災(zāi)害發(fā)生，則需要提前示警。本公司制定物力訪問控制程序，避免出現(xiàn)對(duì)辦公室、房間和設(shè)施的未授權(quán)訪問。另外，對(duì)特別安全區(qū)域內(nèi)的辦公室和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害，這些控制措施包括：a) 大廈配備有一定數(shù)量的消防設(shè)施；b) 房間裝修符合消防安全的要求；c) 易燃、易爆物品嚴(yán)禁存放在安全區(qū)域內(nèi)，并與安全區(qū)域保持一定的安全距離；d) 辦公室或房間無(wú)人時(shí)，應(yīng)關(guān)緊窗戶，鎖好門；e) 防雷擊設(shè)施由大廈物管每年檢測(cè)一次。ISMS-P-2011物理訪問控制程序A.9.1.4外部和環(huán)境威脅的安全保護(hù)控制YES加強(qiáng)公司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。機(jī)房設(shè)備安裝在距墻、門窗有一定距離的地方。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施。ISMS-P-2011物理訪問控制程序A.9.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全。處理敏感信息的設(shè)備不易被窺視。除非在公司設(shè)立的專門吸煙室外，其他任何地方禁止吸煙。公司建立ISMS-P-2011物理訪問控制程序等制度，明確規(guī)定員工在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工嚴(yán)格遵守。ISMS-P-2011物理訪問控制程序A.9.1.6公共訪問、交接區(qū)安全控制YES對(duì)特別安全區(qū)域，禁止外來人員直接進(jìn)入傳送物資是必要的。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進(jìn)入普通辦公室和特別安全區(qū)域。未經(jīng)授權(quán)，不允許外來人員直接進(jìn)入特別安全區(qū)域提供物資?？上却娣庞谇芭_(tái)或接待室，再由行政專員搬進(jìn)，以防止未經(jīng)授權(quán)的訪問。ISMS-P-2011物理訪問控制程序A.9.2設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動(dòng)的中斷。A.9.2.1設(shè)備的安置和保護(hù)控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。設(shè)備使用部門負(fù)責(zé)對(duì)設(shè)備進(jìn)行定置管理和保護(hù)。為降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)，減少未經(jīng)授權(quán)的訪問機(jī)會(huì)，特采取以下措施： a) 設(shè)備的定置，要考慮到盡可能減少對(duì)工作區(qū)不必要的訪問；b) 對(duì)需要特別保護(hù)的設(shè)備加以隔離；c) 采取措施，以盡量降低盜竊、火災(zāi)、爆炸、吸煙、灰塵、震動(dòng)、化學(xué)影響、電源干憂、電磁輻射等威脅造成的潛在的風(fēng)險(xiǎn)；d) 禁止在信息處理設(shè)施附近飲食、吸煙。機(jī)房、專用平臺(tái)管理制度A.9.2.2支持性設(shè)施控制YES供電中斷或異常會(huì)給信息系統(tǒng)造成影響，甚至影響正常的生產(chǎn)作業(yè)。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。由XX部負(fù)責(zé)定期監(jiān)督。ISMS-P-2010信息處理設(shè)備管理程序A.9.2.3布纜的安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。XX部按照信息處理設(shè)施維護(hù)管理程序?qū)鬏斁€路進(jìn)行維護(hù)，防止線路故障。通信電纜與電力電纜分開鋪設(shè)，防止干擾。ISMS-P-2010信息處理設(shè)備管理程序A.9.2.4設(shè)備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)設(shè)備及用戶計(jì)算機(jī)終端（包括筆記本電腦）由XX部按照信息處理設(shè)備管理程序進(jìn)行維護(hù)。ISMS-P-2010信息處理設(shè)備管理程序A.9.2.5組織場(chǎng)所外的設(shè)備安全控制YES本公司有筆記本電腦移動(dòng)設(shè)備，離開公司辦公場(chǎng)所應(yīng)進(jìn)行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生。筆記本電腦在離開規(guī)定的區(qū)域時(shí)，經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對(duì)其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問，具體按照信息系統(tǒng)硬件管理規(guī)定執(zhí)行。信息系統(tǒng)硬件管理規(guī)定A.9.2.6設(shè)備的安全處置或再利用控制YES對(duì)本公司儲(chǔ)存有關(guān)敏感信息的設(shè)備，對(duì)其處置時(shí)應(yīng)徹底清除。含有敏感信息的設(shè)備在報(bào)廢或改作他用時(shí)，由使用部門用安全的處置方法，將設(shè)備中存儲(chǔ)的敏感信息清除并保存清除記錄。ISMS-P-2010信息處理設(shè)備管理程序A.9.2.7資產(chǎn)的遷移控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會(huì)造成其丟失或非法訪問的危害。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動(dòng)應(yīng)被記錄。 信息處理設(shè)施（網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)終端）的遷移控制執(zhí)行信息處理設(shè)備管理程序。ISMS-P-2010信息處理設(shè)備管理程序A.10通信和操作管理標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.10.1操作程序和職責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。A.10.1.1文件化作業(yè)程序控制YES標(biāo)準(zhǔn)規(guī)定的文件化程序要求必須予以滿足。本公司按照信息安全管理要求，對(duì)通信和操作建立規(guī)范化的操作。ISMS-P-2010信息處理設(shè)備管理程序A.10.1.2變更管理控制YES未加以控制的系統(tǒng)更改會(huì)造成系統(tǒng)故障和安全故障。對(duì)信息處理設(shè)施、軟件等方面的更改實(shí)施嚴(yán)格控制。在更改前評(píng)估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復(fù)。ISMS-P-2008更改控制程序A.10.1.3責(zé)任分割控制YES管理員與操作員職責(zé)應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會(huì)，按以下要求進(jìn)行職責(zé)分配：a) 網(wǎng)絡(luò)管理系統(tǒng)管理職責(zé)與操作職責(zé)分離；b) 信息安全審核具有獨(dú)立性。ISMS-P-2012用戶訪問控制程序A.10.1.4開發(fā)、測(cè)試和運(yùn)行設(shè)施分離控制YES開發(fā)與操作設(shè)施應(yīng)分離，以防止不期望的系統(tǒng)的更改或未授權(quán)的訪問。XX部是在一個(gè)獨(dú)立的開發(fā)與測(cè)試環(huán)境中開發(fā)軟件，并與作業(yè)設(shè)施分離。研發(fā)和測(cè)試設(shè)備分離。操作系統(tǒng)管理員與用戶分離。ISMS-P-2014系統(tǒng)開發(fā)與維護(hù)控制程序A.10.2第三方服務(wù)交付管理控制YES執(zhí)行并保持與第三方服務(wù)交付協(xié)議相一致的信息安全和服務(wù)交付等級(jí)。 檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相應(yīng)的變化，以確保交付的服務(wù)滿足第三方協(xié)議中的所有要求。A.10.2.1服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級(jí)。對(duì)第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。確保第三方保持充分的服務(wù)能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)交付的連貫性。外包方控制辦法A.10.2.2第三方服務(wù)的監(jiān)控和評(píng)審控制YES第三方提供的服務(wù)、報(bào)告以及記錄應(yīng)定期監(jiān)控和審核，并定期進(jìn)行評(píng)價(jià)。我公司有專門的人員跟蹤管理第三方服務(wù)，確保第三方分配的職責(zé)符合協(xié)議要求。對(duì)協(xié)議要求，特別是安全要求的符合性進(jìn)行監(jiān)控得到充分可用的資源和技術(shù)技能支持。外包方控制辦法與第三方簽訂的合同A.10.2.3第三方服務(wù)的變更管理控制YES對(duì)服務(wù)提供的更改進(jìn)行管理，包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、所涉及的過程以及風(fēng)險(xiǎn)的再評(píng)估。對(duì)第三方服務(wù)更改的管理過程需要考慮： a) 組織的更改，包括加強(qiáng)當(dāng)前提供的服務(wù)，開發(fā)新應(yīng)用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提高安全性的新控制。 b) 第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。ISMS-P-2008更改控制程序外包方控制辦法A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)YES使系統(tǒng)故障風(fēng)險(xiǎn)最小化。A.10.3.1容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來容量。XX部負(fù)責(zé)對(duì)信息網(wǎng)絡(luò)系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對(duì)將來容量需求進(jìn)行策劃，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充。ISMS-P-2014系統(tǒng)開發(fā)與維護(hù)控制程序A.10.3.2系統(tǒng)驗(yàn)收控制YES對(duì)新的信息系統(tǒng)、系統(tǒng)升級(jí)或使用新版本的活動(dòng)，建立接受標(biāo)準(zhǔn)和在接受之前進(jìn)行系統(tǒng)測(cè)試。新系統(tǒng)、系統(tǒng)升級(jí)接收前，系統(tǒng)驗(yàn)收部門明確接收準(zhǔn)則 ，經(jīng)測(cè)試合格后方可正式運(yùn)行，并保存測(cè)試記錄及驗(yàn)收?qǐng)?bào)告。XX部負(fù)責(zé)辦公管理系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的驗(yàn)收。ISMS-P-2014系統(tǒng)開發(fā)與維護(hù)控制程序A.10.4防范惡意軟件目標(biāo)YES保護(hù)軟件和信息的完整性。A.10.4.1惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯(lián)網(wǎng)。IT部為控制惡意軟件的主管部門，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對(duì)技術(shù)工具進(jìn)行實(shí)時(shí)升級(jí)，各部門具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制工作。a) 技術(shù)工具的應(yīng)用及其升級(jí)要求；b) 查殺病毒的周期；c) 預(yù)防惡意軟件意識(shí)培訓(xùn)；d) 預(yù)防惡意軟件的一般要求；e) 對(duì)重要系統(tǒng)的防范惡意軟件的特殊要求；f) 發(fā)生惡意軟件的侵害應(yīng)急措施。ISMS-P-2029惡意軟件控制程序A.10.4.2移動(dòng)代碼的控制控制YES移動(dòng)代碼的控制是有效避免系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用資源以及信息安全的其他方面未授權(quán)應(yīng)用或破壞的基礎(chǔ)。 授權(quán)使用移動(dòng)代碼時(shí)，配置應(yīng)該確保已授權(quán)移動(dòng)代碼的運(yùn)行符合明確定義的安全方針，未經(jīng)授權(quán)的移動(dòng)代碼應(yīng)該被阻止執(zhí)行。ISMS-P-2029惡意軟件控制程序A.10.5備份目標(biāo)YES保持信息處理和通信服務(wù)的完整性和可用性。A.10.5.1信息備份控制YES必須對(duì)重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。本公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)重要數(shù)據(jù)庫(kù)、軟件等進(jìn)行備份。XX部為全公司信息備份提供技術(shù)支持，各部門按照重要信息備份管理程序要求進(jìn)行備份。ISMS-P-2009重要信息備份管理程序A.10.6網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對(duì)網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)A.10.6.1網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計(jì)、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，實(shí)施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計(jì)部門的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式。本公司網(wǎng)絡(luò)安全控制措施包括：a)對(duì)財(cái)務(wù)網(wǎng)絡(luò)與研發(fā)網(wǎng)絡(luò)物理隔離；b)對(duì)研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離；c)對(duì)網(wǎng)絡(luò)設(shè)備定期維護(hù)；d)對(duì)防火墻、交換機(jī)等實(shí)施安全配置管理；e)對(duì)用戶訪問網(wǎng)絡(luò)實(shí)施授權(quán)管理；f)實(shí)施有效的安全策略；g)對(duì)系統(tǒng)的變更進(jìn)行嚴(yán)格控制；h)對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控；i)對(duì)網(wǎng)絡(luò)設(shè)備的變更進(jìn)行控制；j)對(duì)網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理。ISMS-P-2010信息處理設(shè)備管理程序ISMS-P-2008更改控制程序A.10.6.2網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性是實(shí)施網(wǎng)絡(luò)安全管理的需要。XX部根據(jù)組織的安全策略，識(shí)別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進(jìn)行參數(shù)配置與維護(hù)管理。ISMS-P-2010信息處理設(shè)備管理程序ISMS-P-2008更改控制程序A.10.7介質(zhì)處置目標(biāo)YES為防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，根據(jù)媒體（包括產(chǎn)品）所儲(chǔ)存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生。A.10.7.1可移動(dòng)介質(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報(bào)告等可移動(dòng)媒體?？梢苿?dòng)計(jì)算媒體包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報(bào)告，各部門按其管理權(quán)限并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)其實(shí)施有效的控制。媒體移動(dòng)的記錄予以保持。信息系統(tǒng)硬件管理規(guī)定A.10.7.2介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時(shí)，必須對(duì)含有敏感信息的媒體采用安全的處置辦法。對(duì)于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，介質(zhì)處置部門按照信息系統(tǒng)硬件管理規(guī)定的要求，采取安全可靠處置的方法將其信息清除。信息系統(tǒng)硬件管理規(guī)定A.10.7.3信息處置程序控制YES對(duì)信息的處理與貯存采取適當(dāng)?shù)目刂品椒ǎ苊鉃E用或泄密的威脅。為保護(hù)敏感信息不會(huì)因未經(jīng)授權(quán)處理而造成泄漏或?yàn)E用，本公司在密級(jí)控制程序等文件中明確規(guī)定對(duì)敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動(dòng)的安全要求。ISMS-P-2020密級(jí)控制程序A.10.7.4系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權(quán)訪問威脅。本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊(cè)；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問授權(quán)說明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g)其它系統(tǒng)文件。ISMS-P-2020密級(jí)控制程序ISMS-P-2005文件和資料管理程序信息系統(tǒng)硬件管理規(guī)定A.10.8信息交換目標(biāo)YES明確信息和軟件交換的控制目標(biāo)，保護(hù)信息在交換時(shí)發(fā)生丟失、更改和誤用現(xiàn)象。A.10.8.1信息交換策略和程序控制YES本公司存在與其他組織進(jìn)行信息與軟件交換的活動(dòng)。XX部在與顧客進(jìn)行產(chǎn)品（設(shè)計(jì)）數(shù)據(jù)、測(cè)試程序等數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a) 簽訂安全保密協(xié)議；b) 如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c) 由授權(quán)人員接收并登記。外包方控制辦法A.10.8.2交換協(xié)議控制YES建立并遵守相應(yīng)的協(xié)議，以保護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中簽訂相關(guān)的安全控制協(xié)議： 明確雙方的安全責(zé)任與安全交接方式； 如果有要求，采用加密方式傳輸數(shù)據(jù)。與外部方簽訂的合同或協(xié)議A.10.8.3物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運(yùn)輸活動(dòng)，確定安全的傳送方法是必要的。為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)（包括保密產(chǎn)品的運(yùn)輸）傳送的部門采用以下方法進(jìn)行控制： a) 選擇適宜的安全傳送方式，對(duì)保密產(chǎn)品運(yùn)輸供方進(jìn)行選擇與評(píng)價(jià)，并與之簽訂保密協(xié)議；b) 保持傳送活動(dòng)記錄。外包方控制辦法A.10.8.4電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進(jìn)行信息交換，公司與外部客戶通過電子郵件進(jìn)行安全交換時(shí)進(jìn)行了安全控制?；跇I(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計(jì)算機(jī)病毒的原則，本公司建立了電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶履行審批手續(xù)才可以使用。信息安全獎(jiǎng)勵(lì)、懲戒管理規(guī)定電郵電話管理規(guī)定A.10.8.5業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。本公司建立的辦公自動(dòng)化是以單機(jī)為基礎(chǔ)，不存在業(yè)務(wù)的交互式連接，對(duì)其控制依賴人員的意識(shí)和經(jīng)驗(yàn)技能，其中紙質(zhì)文件按照密級(jí)和文件管理程序加以控制，減少信息的泄露及越權(quán)濫用。ISMS-P-2020密級(jí)控制程序A.10.9電子商務(wù)服務(wù)目標(biāo)YES確保電子商務(wù)服務(wù)的安全及其安全使用。A.10.9.1電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。A.10.9.2在線交易控制NO本公司不涉及在線交易，本控制措施不適用。A.10.9.3公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改。A.10.10監(jiān)視目標(biāo)YES探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。A.10.10.1審計(jì)記錄控制YES為訪問監(jiān)測(cè)提供幫助，建立事件記錄（審核日志）是必須的。公司信息安全范圍邊境監(jiān)控是外包的。公司內(nèi)部監(jiān)控是由專人進(jìn)行出入登記。公司所有的信息處理設(shè)施其日志處于打開狀態(tài)，做審計(jì)時(shí)的證據(jù)。系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)ISMS-P-2010信息處理設(shè)備管理程序A.10.10.2監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對(duì)監(jiān)控結(jié)果評(píng)審是預(yù)防事故發(fā)生的重要手段。監(jiān)控部門按照規(guī)定周期對(duì)對(duì)監(jiān)控結(jié)果進(jìn)行評(píng)審，確保用戶只執(zhí)行被明確授權(quán)的活動(dòng)。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施并實(shí)施。系統(tǒng)邏輯訪問管理制度A.10.10.3日志信息的保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。實(shí)施控制，防止對(duì)日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題.ISMS-P-2010信息處理設(shè)備管理程序系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)A.10.10.4管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。管理員和操作員的日志應(yīng)該包括： a) 事情（成功或失?。┌l(fā)生的時(shí)間； b) 事情的有關(guān)信息（如：操作的文件）或故障信息； c) 涉及哪一個(gè)賬號(hào)以及哪一個(gè)管理員或操作員； d) 涉及哪一個(gè)過程。ISMS-P-2012用戶訪問控制程序ISMS-P-2010信息處理設(shè)備管理程序系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)A.10.10.5故障日志控制YES應(yīng)記錄、分析故障并采取適當(dāng)?shù)拇胧Ｒ?guī)定了用戶或系統(tǒng)程序報(bào)告的有關(guān)信息處理系統(tǒng)的問題如何記錄，以及清楚的規(guī)定了如何處理報(bào)告的故障。ISMS-P-2033事故、事件、薄弱點(diǎn)與故障管理程序系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)ISMS-P-2010信息處理設(shè)備管理程序A.10.10.6時(shí)鐘同步控制YES采取適當(dāng)?shù)拇胧?shí)施時(shí)鐘同步，是日常經(jīng)營(yíng)與獲取客觀證據(jù)的需要。公司用網(wǎng)絡(luò)時(shí)間協(xié)議保持所有服務(wù)器與主時(shí)鐘同步。保持本地時(shí)間與世界標(biāo)準(zhǔn)時(shí)間（UTC）一致。系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊(cè)A.11訪問控制標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.11.1訪問控制的業(yè)務(wù)要求目標(biāo)YES控制對(duì)信息的訪問。A.11.1.1訪問控制策略控制YES明確訪問的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對(duì)信息訪問實(shí)施有效控制。本公司基于以下原則制定文件化的訪問控制策略，明確規(guī)定訪問的控制要求，物理邏輯訪問權(quán)限說明書中規(guī)定訪問控制規(guī)則和每個(gè)用戶或用戶組的訪問權(quán)力，訪問規(guī)則的制定基于以下方面考慮：a) 每個(gè)業(yè)務(wù)應(yīng)用的安全要求；b) 在不同系統(tǒng)與網(wǎng)絡(luò)間，訪問控制與信息分類策略要保持一致；c) 數(shù)據(jù)和服務(wù)訪問符合有關(guān)法律和合同義務(wù)的要求；d) 對(duì)各種訪問權(quán)限的實(shí)施管理。ISMS-P-2012用戶訪問控制程序系統(tǒng)邏輯訪問管理制度物理邏輯訪問權(quán)限說明書A.11.2用戶訪問管理目標(biāo)YES防止對(duì)信息系統(tǒng)未經(jīng)授權(quán)的訪問。A.11.2.1用戶注冊(cè)控制YES本公司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和解除登記程序。根據(jù)訪問控制策略及物理邏輯訪問權(quán)限說明書確定的訪問規(guī)則，訪問權(quán)限管理部門對(duì)用戶（包括第三方用戶)進(jìn)行書面訪問授權(quán)，若發(fā)生以下情況，對(duì)其訪問權(quán)將從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時(shí)；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問服務(wù)時(shí)；c) 第三方訪問合同終止時(shí)；d) 其它情況必須注銷時(shí)。ISMS-P-2012用戶訪問控制程序系統(tǒng)邏輯訪問管理制度A.11.2.2特權(quán)管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán)，特權(quán)不適當(dāng)?shù)氖褂脮?huì)造成系統(tǒng)的破壞。特權(quán)分配以“使用需要”和“事件緊跟”為基礎(chǔ)，即需要時(shí)僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后將被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)（最小特權(quán)原則)。網(wǎng)絡(luò)系統(tǒng)管理員、安全員擁有特權(quán)，只有經(jīng)過書面授權(quán)，其特權(quán)才被認(rèn)可。當(dāng)特權(quán)擁有者因公出差或其它原因暫時(shí)離開工作崗位時(shí)，特權(quán)部門負(fù)責(zé)人應(yīng)對(duì)特權(quán)實(shí)行緊急安排，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運(yùn)行；當(dāng)特權(quán)擁有者返回工作崗位時(shí)，及時(shí)收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。ISMS-P-2012用戶訪問控制程序A.11.2.3用戶口令管理控制YES用戶訪問信息系統(tǒng)和服務(wù)是按授權(quán)的范圍進(jìn)行訪問的，并擁有口令，因此建立正式的管理過程對(duì)口令進(jìn)行分配并控制是必須的。各系統(tǒng)管理員按以下過程對(duì)被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a) 管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時(shí)口令。b) 當(dāng)用戶忘記口令時(shí)，可由系統(tǒng)管理員幫其找回或重新分配安全的口令。c) 禁止將口令以無(wú)保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)。XX部管理執(zhí)行用戶口令管理規(guī)定。ISMS-P-2012用戶訪問控制程序A.11.2.4用戶訪問權(quán)的評(píng)審控制YES內(nèi)部用戶會(huì)發(fā)生崗位變化，或有的用戶的訪問權(quán)是有時(shí)限要求的，為防止非授權(quán)的訪問，對(duì)用戶訪問的評(píng)審是必要的。用戶訪問權(quán)限主管部門每半年對(duì)一般用戶訪問權(quán)進(jìn)行評(píng)審，對(duì)特權(quán)用戶每季度進(jìn)行評(píng)審一次，注銷非法用戶或過期無(wú)效用戶的訪問權(quán)，評(píng)審結(jié)應(yīng)予以保持。ISMS-P-2012用戶訪問控制程序A.11.3用戶職責(zé)目標(biāo)YES明確用戶責(zé)任,防止非授權(quán)用戶的訪問A.11.3.1口令使用控制YES使用戶遵循口令使用規(guī)則，防止口令泄密或被解密。本公司在用戶訪問控制程序中明確規(guī)定了口令安全選擇與使用要求，所有用戶須嚴(yán)格遵守。實(shí)施口令定期變更策略。ISMS-P-2012用戶訪問控制程序A.11.3.2無(wú)人值守的用戶設(shè)備控制YES在用戶范圍內(nèi)安裝的設(shè)備在無(wú)人值守時(shí)需要專門的保護(hù)，以防止未授權(quán)的訪問本公司在用戶訪問控制程序和信息處理設(shè)備管理程序中覆蓋了對(duì)無(wú)人值守設(shè)備的安全要求和規(guī)程，以及對(duì)于實(shí)現(xiàn)這種保護(hù)所負(fù)有的職責(zé)。托管的服務(wù)器由托管方負(fù)責(zé)執(zhí)行維護(hù)。ISMS-P-2010信息處理設(shè)備管理程序A.11.3.3清空桌面和屏幕策略控制YES不實(shí)行清除桌面或清除屏幕策略，會(huì)受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。本公司在中制定清除桌面、清除屏幕的策略并實(shí)施，各部門負(fù)責(zé)人負(fù)責(zé)監(jiān)督。各部