ISO27001-2013信息安全管理體系適用性聲明SOA

1、北京恒泰博遠科技有限公司適用性聲明SOA編號：HB-ISMS-M01(A)狀態(tài)：編寫：李子葉2019年4月1日審核：申杰理2019年4月1日批準：孫秀麗2019年4月1日發(fā)布版次：第A/O版2019年4月1日生效日期2019年4月1日分發(fā)：各部門接受部門：所有部門 -變更日期版本變更說明編寫審核批準2019.12.9A/12019.12.9一階段審核刪減A.14.1.2；A.14.1.3；A.14.2.7不合理，再補充。李子葉申杰理孫秀麗信息安全適用性聲明SOAA.5安全方針標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.5.1信息安全管理指導(dǎo)目標YES依據(jù)業(yè)務(wù)要求以及相關(guān)的法律法

2、規(guī)為信息安全提供管理指導(dǎo)和支持。A.5.1.1信息安全方針文件控制YES根據(jù)信息安全體系規(guī)定和公司實際需求總經(jīng)理確保制定與公司目標一致的清晰的信息安全方針，并且通過在組織內(nèi)發(fā)布和維護信息安全方針來表明對信息安全的支持和承諾。信息安全管理手冊A.5.1.2信息安全方針評審控制YES根據(jù)信息安全體系規(guī)定和公司實際需求定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、內(nèi)部審核和管理評審等。每年管理評審或發(fā)生重大變化時對信息安全方針的持續(xù)適宜性、充分性和有效性進行評價，必要時進行修訂。信息安全管理手冊A.6信息安全組織標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.6.1內(nèi)部組織目標Y

3、ES建立管理框架，啟動和控制組織內(nèi)信息安全的實施和運行。A.6.1.1信息安全角色和職責控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司在信息安全管理職責明細表里明確了信息安全職責。公司設(shè)立信息安全管理者代表，全面負責ISMS的建立、實施與保持工作信息安全內(nèi)部組織管理程序A.6.1.2職責分離控制YES根據(jù)信息安全體系規(guī)定和公司實際需求宜分割沖突的責任和職責范圍，以降低未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會。信息安全內(nèi)部組織管理程序A.6.1.3與政府部門的聯(lián)系控制YES根據(jù)信息安全體系規(guī)定和公司實際需求詳細說明由誰何時與權(quán)威機構(gòu)（如法律仲裁部門、消防部門、信息安全監(jiān)管機構(gòu)）聯(lián)系，以及怎

4、樣識別應(yīng)該及時報告的可能會違背法律的信息安全事件。公司建立信息安全顧問，必要時聘請外部專家。信息安全內(nèi)部組織管理程序A.6.1.4與特定相關(guān)方的聯(lián)系控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司就計算機信息及通信網(wǎng)絡(luò)安全問題與服務(wù)提供部門（認證機構(gòu)、咨詢機構(gòu)、信息安全機構(gòu)）保持聯(lián)系。以確保和在出現(xiàn)安全事故時盡快采取適當?shù)男袆雍腿〉媒ㄗh。交流確保敏感信息不外傳。信息安全內(nèi)部組織管理程序A.6.1.5項目管理中控制YES根據(jù)信息安全體系規(guī)無論何種類型的項目，信息安全都要整合到組織的項目管理方法中，信息安全內(nèi)部組織管理標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱的信息安全定和公司實際需

5、求以確保將識別并處理信息安全風(fēng)險作為項目的一部分。程序A.6.2移動設(shè)備和遠程工作目標YES確保遠程工作和移動設(shè)備使用的安全A.6.2.1移動設(shè)備策略控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司制定了策略和支持性安全措施以管理使用移動設(shè)備時帶來的風(fēng)險。移動設(shè)備管理程序A.6.2.2遠程工作控制YES根據(jù)信息安全體系規(guī)定和公司實際需求遠程工作應(yīng)僅限于申請的設(shè)備和地點，嚴禁在公共計算機設(shè)備上進行。遠程工作的訪問權(quán)限不允許超過該人員在公司內(nèi)部網(wǎng)的正常訪問權(quán)限。用戶訪問管理程序遠程工作控制方案A.7人力資源安全標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.7.1任用之前目標YES確保

6、雇員、承包方人員理解其職責、考慮對其承擔的角色是適合的。A.7.1.1審查控制YES根據(jù)風(fēng)險評估的結(jié)果公司依據(jù)人員的個人相關(guān)背景、資歷和相關(guān)檢查對于不符合安全要求的不得錄用。人力資源管理程序A.7.1.2任用條款和條件控制YES根據(jù)風(fēng)險評估的結(jié)果公司在人力資源管理程序中規(guī)定了員工、合同方以及第三方的聘用條款和條件。在保密協(xié)議中明確規(guī)定保密的義務(wù)及違約的責任。人力資源管理程序A.7.2任用中目標YES確保所有的雇員和合同方意識到并履行其信息安全責任。A.7.2.1管理職責控制YES根據(jù)信息安全體系規(guī)定和公司實際需求各部門根據(jù)公司業(yè)務(wù)要求，明確本部門的關(guān)鍵工作崗位及任職要求并依據(jù)建立的方針和程序來

7、應(yīng)用安全。人力資源管理程序A.7.2.2信息安全意識、教育和培訓(xùn)控制YES根據(jù)信息安全體系規(guī)定和公司實際需求行政部負責制定公司的員工年度培訓(xùn)計劃，公司的所有員工，適當時還包括合作方和第三方用戶，都應(yīng)當接受適當?shù)男畔踩庾R培訓(xùn)并定期向它們傳達組織更新的方針和程序，以及工作任務(wù)方面的新情況。人力資源管理程序A.7.2.3紀律處理過程控制YES根據(jù)信息安全體系規(guī)定和公司實際需求違背組織安全方針和程序的員工公司將根據(jù)違反程度及造成的影響進行處罰，處罰在安全破壞經(jīng)過證實地情況下進行，對于影響嚴重的，可解除勞動合同并依法追究法律責任。信息安全懲戒管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文

8、件名稱A.7.3任用的終止或變化目標YES宜將保護組織的利益融入到任瞪化或終止的處理流程中。A.7.3.1任用終止或職責變更控制YES根據(jù)信息安全體系規(guī)定和公司實際需求在員工離職前和第三方用戶完成合同時，應(yīng)進行明確終止責任的溝通。溝通應(yīng)包括現(xiàn)行的安全要求、法規(guī)責任，并明確保密協(xié)議中的責任以及聘用條款及條件中的責任要在員工、合作方以及第三方用戶聘用結(jié)束后持續(xù)一定時期有效。人力資源管理程序A.8資產(chǎn)管理標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.8.1對資產(chǎn)負責目標YES實現(xiàn)和保持對公司資產(chǎn)的是適當保護。A.8.1.1資產(chǎn)清單控制YES根據(jù)風(fēng)險評估的結(jié)果各部門按信息安全風(fēng)險評估計劃

9、對影響到本公司經(jīng)營、服務(wù)和日常管理的重要業(yè)務(wù)系統(tǒng)以及涉及資產(chǎn)進行識別。并建立和保持一份重要資產(chǎn)清單。信息安全風(fēng)險識別與評價管理程序A.8.1.2資產(chǎn)責任人控制YES根據(jù)風(fēng)險評估的結(jié)果行政部對信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定使用部門和負責人。資產(chǎn)負責人負責對資產(chǎn)分類、確定訪問授權(quán)。新的資產(chǎn)按照信息處理設(shè)施管理程序指定資產(chǎn)負責人。信息處理設(shè)施管理程序A.8.1.3資產(chǎn)的允許使用控制YES根據(jù)風(fēng)險評估的結(jié)果行政部識別信息處理設(shè)施的使用要求和限制，必要時制定文化的使用規(guī)則（操作手冊或說明書講確保所有的使用者了解和I守設(shè)備的使用要求和限制。使用或訪問組織資產(chǎn)員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)

10、施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對信息資源的使用，以及發(fā)生在其責任下的使用負責。件信息處理設(shè)施管理程序量個人計算機管理程序A.8.1.4資產(chǎn)的歸還控制YES根據(jù)信息安全體系規(guī)定和公司實際需求在員工離職前應(yīng)收回保密文件，退還身份證件和使用組織的所有資產(chǎn)，并執(zhí)行財務(wù)清款，法律事務(wù)清查。第三方用戶完成合同時，應(yīng)按相關(guān)方信息安全管理程序辦理完所負責的所有資產(chǎn)歸還手續(xù)。人力資源管理程序相關(guān)方信息安全管理程序A.8.2信息分類目標YES確保信息受到與其對組織的重要性保持一致的適當級別的保護。標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.8.2.1信息分類控制YES根據(jù)風(fēng)險評估的結(jié)果公司

11、的信息資產(chǎn)等級應(yīng)根據(jù)信息安全風(fēng)險識別與評價管理程序來分，對信息的價值、法律要求、敏感度以及對組織的關(guān)鍵程度，對信息進行分類。公司的信息密級按商業(yè)秘密管理程序規(guī)定的原則進行確定。信息安全風(fēng)險識別與評價管理程序商業(yè)秘密管理程序A.8.2.2信息標識控制YES根據(jù)風(fēng)險評估的結(jié)果對于屬于企業(yè)的秘密、企業(yè)機密與國家秘密的文件，秘級確定部門應(yīng)按照要求做好標識或加蓋識別印章。個人計算機建立個人計算機配備一覽表，加貼資產(chǎn)標識。商業(yè)秘密管理程序個人計算機管理程序A.8.2.3資產(chǎn)處理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求應(yīng)當建立處理和儲存信息的程序來保護這些信息免于未經(jīng)授權(quán)的泄露、誤用、盜用或丟失。商業(yè)秘

12、密管理程序A.8.3介質(zhì)處置目標YES防止存儲在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動或銷毀。A.8.3.1可移動介質(zhì)的管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求可移動介質(zhì)包括U盤、移動硬盤、數(shù)碼相機、光盤、磁帶、軟盤和已經(jīng)印刷好的報告等，各部門應(yīng)按其管理權(quán)限并根據(jù)信息安全體系規(guī)定和公司實際需求對其實施有效的控制。記錄予以保持。介質(zhì)管理程序A.8.3.2介質(zhì)的處置控制YES根據(jù)信息安全體系規(guī)定和公司實際需求對于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時，處置部門應(yīng)按照介質(zhì)管理程序要求采取安全可靠處置的方法將其信息清除。處置的記錄予以保存。介質(zhì)管理程序商業(yè)秘密管理程序A.8.3.3物理

13、介質(zhì)傳輸控制YES根據(jù)信息安全體系規(guī)定和公司實際需求為避免被傳送的介質(zhì)在傳送（運輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，公司規(guī)定在將信息資產(chǎn)帶出公司時，應(yīng)對包含信息的介質(zhì)進行保護。信息交換管理程序商業(yè)秘密管理程序A.9訪問控制標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.9.1訪問控制的業(yè)務(wù)要求目標YES限制信息和信息處理設(shè)施的訪問。A.9.1.1訪問控制策略控制YES根據(jù)信息安全體系規(guī)定和公司實際需求本公司內(nèi)部可公開的信息，允許所有服務(wù)用戶訪問。本公司內(nèi)部部分公開的信息，經(jīng)訪問授權(quán)部門認可，訪問授權(quán)實施部門實施后用戶可訪問。用戶不得訪問或嘗試訪

14、問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。各系統(tǒng)訪問授權(quán)部門應(yīng)編制系統(tǒng)用戶訪問權(quán)限說明用戶訪問管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱書，明確規(guī)定訪問規(guī)則，對幾人共用的賬號應(yīng)明確責任人。A.9.1.2使用網(wǎng)絡(luò)服務(wù)的策略控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司在用戶訪問管理程序中建立網(wǎng)絡(luò)服務(wù)安全策略，以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量。用戶訪問管理程序A.9.2用戶訪問管理目標YES確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問A.9.2.1用戶注冊控制YES根據(jù)信息安全體系規(guī)定和公司實際需求根據(jù)用戶訪問管理程序規(guī)定的訪問控制策略確定訪問規(guī)則，訪問權(quán)限.所有用戶，包括相關(guān)方服

15、務(wù)人員均需要履行訪問授權(quán)手續(xù)，行政部提交用戶授權(quán)申請表，經(jīng)審核，總經(jīng)理批準后，實施授權(quán),授權(quán)到期后實施注銷用戶訪問管理程序A.9.2.2用戶訪問提供控制YES根據(jù)信息安全體系規(guī)定和公司實際需求用戶（包括技術(shù)支持人員、操作員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員和軟件開發(fā)工程師）應(yīng)有唯一的識別符（USER口），以便他們個人單獨使用時，能查出活動的個人責任，用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置。用戶識別符（USERID）可以由用戶名稱加口令或其它適宜方式組成。用戶訪問管理程序A.9.2.3特殊權(quán)限管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求網(wǎng)絡(luò)系統(tǒng)管理員只有經(jīng)過書面授權(quán)，其特權(quán)才被認可。當特權(quán)擁有者暫

16、時離開工作崗位時，特權(quán)部門負責人應(yīng)對特權(quán)實行緊急安排，以保證系統(tǒng)正常運行；當特權(quán)擁有者返回工作崗位時，應(yīng)及時收回特權(quán)。用戶訪問管理程序A.9.2.4用戶安全鑒別信息的管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求系統(tǒng)管理員應(yīng)按用戶訪問管理程序?qū)Ρ皇跈?quán)訪問該系統(tǒng)的用戶口令予以分配。用戶訪問管理程序A.9.2.5用戶訪問權(quán)的復(fù)查控制YES根據(jù)信息安全體系規(guī)定和公司實際需求用戶訪問權(quán)限主管部門按用戶訪問管理程序規(guī)定每半年應(yīng)對一般用戶訪問權(quán)進行評審，對特權(quán)用戶每季度進行評審一次，注銷非法用戶或過期無效用戶的訪問權(quán)，評審結(jié)果予以保持。用戶訪問管理程序A.9.2.6撤銷或調(diào)整訪問權(quán)限控制YES根據(jù)信息安

17、全體系規(guī)定和公司實際需求員工離職后要及時收回對信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。第三方用戶完成合同時，應(yīng)按相關(guān)方信息安全管理程序、用戶訪問管理程序解除，或根據(jù)變化調(diào)整訪問權(quán)限。人力資源管理程序用戶訪問管理程序A.9.3用戶職責目標YES確保用戶對保護他們的鑒別信息負有責任標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.9.3.1安全鑒別信息的使用控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司在用戶訪問管理程序和相應(yīng)的應(yīng)用管理中明確規(guī)定了口令安全選擇與使用要求，所有用戶應(yīng)嚴格遵守。實施口令定期變更策略（一般用戶每半年，特權(quán)用戶口令每季度）。用戶訪問管理程序A.9.

18、4系統(tǒng)和應(yīng)用訪問控制目標YES防止對系統(tǒng)和應(yīng)用的非授權(quán)訪問。A.9.4.1信息訪問限制控制YES根據(jù)信息安全體系規(guī)定和公司實際需求本公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。本公司內(nèi)部部分公開信息，經(jīng)訪問授權(quán)部門認可，訪問授權(quán)實施部門實施后用戶方可訪問。用戶訪問管理程序A.9.4.2安全登錄規(guī)程控制YES根據(jù)信息安全體系規(guī)定和公司實際需求用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。用戶訪問管理程序A.9.4.3口令管理系統(tǒng)控制YES根據(jù)信息安全體系規(guī)定和公司實際需求所有計算機用戶在使用口令時應(yīng)遵循以下原則:所有活動帳號都必須有口令保護，所有系統(tǒng)初始默認口令必須更改,用戶定

19、期變更口令等。用戶訪問管理程序A.9.4.4特權(quán)使用程序的使用控制YES根據(jù)信息安全體系規(guī)定和公司實際需求實用系統(tǒng)的訪問控制，應(yīng)嚴格按用戶訪問管理程序執(zhí)行。因未按用戶訪問管理程序授權(quán)的用戶訪問造成的信息安全事件，公司領(lǐng)導(dǎo)負主要責任。對系統(tǒng)實用工具進行有效控制。信息系統(tǒng)應(yīng)用管理程序A.9.4.5對程序源代碼的訪問控制控制YES根據(jù)信息安全體系規(guī)定和公司實際需求不允許任何人以任何方式訪問程序源代碼。信息系統(tǒng)開發(fā)建設(shè)管理程序A.10密碼學(xué)標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.10.1密碼控制目標YES確保適當并有效的密碼的使用來保護信息的保密性、真實性或完整性A.10.1.1使

20、用密碼控制的策略控制YES根據(jù)信息安全體系規(guī)定和公司實際需求使用密碼控制措施來保護信息，使用密碼時，應(yīng)基于風(fēng)險評估，確定需要的保護級別，并考慮需要的加密算法的類型、強度和質(zhì)量，并符合信息安全合規(guī)性管理程序的要求。各電子數(shù)據(jù)文件的形成部門應(yīng)識別重要數(shù)據(jù)的加密要求，對需要加密的信息，制定加密信息系統(tǒng)開發(fā)建設(shè)管理程序數(shù)據(jù)安全管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱方案，經(jīng)公司總經(jīng)理批準后嚴格執(zhí)行。A.10.1.2密鑰管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求應(yīng)有密鑰管理以支持組織使用密碼技術(shù)，應(yīng)保護所有的密碼密鑰免遭修改、丟失和毀壞。數(shù)據(jù)安全管理程序A.11物理與環(huán)境安

21、全標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.11.1安全區(qū)域目標YES防止對組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾。A.11.1.1物理安全邊界控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司安全區(qū)域分為一般安全區(qū)域與特別安全區(qū)域，安全區(qū)域的實物安全周界由安全區(qū)域管理程序確定。安全區(qū)域管理程序A.11.1.2物理入口控制控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司人員上下班出入刷卡，外來人員必須進行外來人員登記后等待接待，若需進入公司辦公區(qū)域，由接待人員陪同方可進入。安全區(qū)域管理程序A.11.1.3辦公室、房間和設(shè)施的安全保護控制YES根據(jù)信息安全體系規(guī)定和公

22、司實際需求特別安全區(qū)域內(nèi)的房間和設(shè)施進行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害。滅火設(shè)備，放在合適的地點，并定期進行檢查。臨時訪問人員接待應(yīng)與辦公區(qū)域隔離，防止未經(jīng)授權(quán)訪問。安全區(qū)域管理程序A.11.1.4外部和環(huán)境威脅的安全防護控制YES根據(jù)信息安全體系規(guī)定和公司實際需求外來人員來本公司參觀或?qū)Υ髽沁M行拍攝，須報請行政部批準，安全周界的大門下班后應(yīng)關(guān)緊，行政部負責管理。應(yīng)將備用設(shè)備、備品備件和備份存儲介質(zhì)放置在一定安全距離以外，以免主場所發(fā)生的災(zāi)難性事故對其造成破壞。安全區(qū)域管理程序A.11.1.5在安全區(qū)域工作控制YES根據(jù)信息安全體系規(guī)定和公司實際需求明確規(guī)定員工、第三方人員在有關(guān)

23、安全區(qū)域工作的基本安全要求（如避免在第三方人員未被監(jiān)督的情況下在安全區(qū)域內(nèi)進行工作，未經(jīng)同意不允許使用攝影、錄像、錄音或其它音像記錄設(shè)備等），并要求員工、第三方人員嚴格遵守。安全區(qū)域管理程序相關(guān)方信息安全管理程序A.11.1.6交接區(qū)控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司設(shè)有接待前臺，供接待臨時訪問人員。對特別安全區(qū)域，未經(jīng)授權(quán)不允許外來人員直接入內(nèi)，應(yīng)由本區(qū)域工作人員領(lǐng)進會議室，防止未經(jīng)授權(quán)的訪問。安全區(qū)域管理程序A.11.2設(shè)備安全目標YES防止資產(chǎn)的損失、損失或丟失及業(yè)務(wù)活動的中斷。A.11.2.1設(shè)備安置和控制YES根據(jù)信息安全體系規(guī)需要安裝的信息處理設(shè)施，使用部門應(yīng)確定安裝

24、地點，對信息信息處理設(shè)施管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱保護定和公司實際需求信息處理設(shè)施進行定置管理和妥善保護，以降低來自環(huán)境威脅和危害的風(fēng)險，以及非授權(quán)訪問的機會。A.11.2.2支持性設(shè)施控制YES根據(jù)信息安全體系規(guī)定和公司實際需求服務(wù)器應(yīng)放置于溫濕度的變化范圍在設(shè)備運行所允許的范圍內(nèi)的房間，必要時應(yīng)安裝空調(diào)設(shè)施。信息處理設(shè)施管理程序A.11.2.3布纜安全控制YES根據(jù)信息安全體系規(guī)定和公司實際需求進入各部門的電纜應(yīng)嚴格保管，不準隨意搬遷、拉扯或損壞，如發(fā)現(xiàn)異常及時通報行政部。信息處理設(shè)施管理程序A.11.2.4設(shè)備維護控制YES根據(jù)信息安全體系規(guī)定和公司

25、實際需求信息處理設(shè)施的維護應(yīng)按照相應(yīng)的維護程序/規(guī)程進行設(shè)備的檢查、維護、清潔并做好必要的運行保養(yǎng)和記錄。信息處理設(shè)施管理程序A.11.2.5資產(chǎn)的移動控制YES根據(jù)信息安全體系規(guī)定和公司實際需求在未經(jīng)授權(quán)的情況下，設(shè)備、信息或軟件不應(yīng)該帶到工作場所外。重要信息設(shè)備的遷移應(yīng)被授權(quán)，遷移活動應(yīng)被記錄。信息處理設(shè)施的遷移控制執(zhí)行信息處理設(shè)施管理程序。信息處理設(shè)施管理程序A.11.2.6組織場所外的設(shè)備安全控制YES根據(jù)信息安全體系規(guī)定和公司實際需求筆記本在帶離規(guī)定的區(qū)域時，應(yīng)經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對其進行嚴格控制，防止其丟失和未經(jīng)授權(quán)的訪問，移動存儲介質(zhì)應(yīng)按介質(zhì)管理程序進行防護，不得丟失。離開辦公場所

26、的設(shè)備應(yīng)考慮損壞、盜竊和截取的風(fēng)險并加以保護，并使其免于強電磁場設(shè)備和有腐蝕性氣體和塵埃的威脅。信息處理設(shè)施管理程序個人計算機管理程序介質(zhì)管理程序A.11.2.7設(shè)備的安全處置或再利用控制YES根據(jù)信息安全體系規(guī)定和公司實際需求含有敏感信息的設(shè)備在報廢或改做他用時，應(yīng)將設(shè)備中存儲的敏感信息清除并保存清除記錄。具體執(zhí)行信息處理設(shè)施管理程序和介質(zhì)管理程序。信息處理設(shè)施管理程序介質(zhì)管理程序A.11.2.8無人值守的用戶設(shè)備控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司規(guī)定安全周界的大門下班后應(yīng)關(guān)緊，行政部負責管理，外來人員進入辦公區(qū)域應(yīng)進行登記，個人計算機設(shè)置登陸密碼。安全區(qū)域管理程序A.11.2

27、.9清空桌面和屏幕策略控制YES根據(jù)信息安全體系規(guī)定和公司實際需求計算機使用人員應(yīng)養(yǎng)成保持桌面干凈整潔、文件分類有序、定時清理垃圾文件和程序的良好習(xí)慣。所有計算機終端必須設(shè)立登錄口令，在人員離開時應(yīng)該鎖屏、注銷或關(guān)機。當人員離開時，確保機密的紙文件和可移動存儲介質(zhì)沒有留在桌面上個人計算機管理程序A.12操作安全標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.12.1操作規(guī)程和職責目標YES確保正確和安全的操作信息處理設(shè)施。A.12.1.1文件化的操作規(guī)程控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司按照信息安全方針的要求，建

28、立并實施文件化的作業(yè)程序，見信息安全管理體系文件一覽表（信息安全管理手冊附件）文件化的作業(yè)程序的控制執(zhí)行文件管理程序。文件管理程序A.12.1.2變更管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求在變更實施前，填寫變更申請表，明確變更的原因、變更范圍、變更影響的分析及對策（包括不成功變更的恢復(fù)措施），負責人批準后予以實施。對于重要設(shè)施和網(wǎng)絡(luò)系統(tǒng)的重大變更，應(yīng)對變更影響進行評價。信息系統(tǒng)應(yīng)用管理程序信息系統(tǒng)開發(fā)建設(shè)管理程序A.12.1.3容量管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求應(yīng)該監(jiān)控、協(xié)調(diào)資源的使用（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路寬帶），并規(guī)劃未來的容量要求，以確保所

29、要求的系統(tǒng)性能，適當時機進行容量變更。信息系統(tǒng)開發(fā)建設(shè)管理程序容量管理策略A.12.1.4開發(fā)、測試和運行設(shè)施的分離控制YES根據(jù)信息安全體系規(guī)定和公司實際需求當開發(fā)、測試時，開發(fā)測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險。信息系統(tǒng)應(yīng)用管理程序A.12.2防范惡意軟件目標YES確保保護信息和信息處理設(shè)備，防范惡意軟件A.12.2.1控制惡意軟件控制YES根據(jù)信息安全體系規(guī)定和公司實際需求研發(fā)部負責提供防范惡意軟件的技術(shù)工具并對技術(shù)工具進行實時升級，各部門應(yīng)統(tǒng)一使用公司批準的病毒保護軟件和配置，且不能降低其更新頻率和有效性。對不能自動清除的病毒，必須向領(lǐng)導(dǎo)報告。病毒防范管理程序A

30、.12.3備份目標YES防止數(shù)據(jù)丟失A.12.3.1信息備份控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司根據(jù)風(fēng)險評估的結(jié)果對重要數(shù)據(jù)庫、軟件等進行備份，應(yīng)按照已設(shè)定的備份方針，保證信息的保密性、完整性和可用性。數(shù)據(jù)安全管理程序數(shù)據(jù)備份策略A.12.4日志記錄和監(jiān)視目標YES記錄事件并產(chǎn)生證據(jù)A.12.4.1事件日志控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司建立并保存例外事件或其它安全相關(guān)事件的審核日志，以便對將來的調(diào)查和訪問控制監(jiān)測提供幫助。審核日志一般通過使用系統(tǒng)檢測工具按照事先的設(shè)置自動生成。信息系統(tǒng)監(jiān)控管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱審核日志、監(jiān)

31、視記錄按規(guī)定予以保存。A.12.4.2日志信息的保護控制YES根據(jù)信息安全體系規(guī)定和公司實際需求日志記錄設(shè)施以及日志信息應(yīng)該被保護，防止被篡改和未經(jīng)授權(quán)的訪問。應(yīng)防止對日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題。具體執(zhí)行信息系統(tǒng)監(jiān)控管理程序。信息系統(tǒng)監(jiān)控管理程序A.12.4.3管理員和操作員日志控制YES根據(jù)信息安全體系規(guī)定和公司實際需求系統(tǒng)管理員和操作員的活動應(yīng)記入日志，系統(tǒng)管理員不允許刪除或關(guān)閉其自身活動的日志。信息系統(tǒng)監(jiān)控管理程序A.12.4.4時鐘同步控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司所有服務(wù)器設(shè)備和終端與網(wǎng)絡(luò)時鐘同步，具體執(zhí)行信息系統(tǒng)監(jiān)控管理程序。要求公司網(wǎng)絡(luò)和系統(tǒng)采用

32、網(wǎng)絡(luò)時間協(xié)議保持所有服務(wù)器與主時鐘同步。個人計算機應(yīng)采用網(wǎng)絡(luò)時間協(xié)議保持與主時鐘同步。信息系統(tǒng)監(jiān)控管理程序A.12.5運行軟件的控制目標YES確保運行系統(tǒng)的完整性A.12.5.1運行系統(tǒng)中軟件的安全控制YES根據(jù)信息安全體系規(guī)定和公司實際需求軟件管理程序規(guī)定公司和系統(tǒng)應(yīng)用主管部門應(yīng)對操作系統(tǒng)軟件的版本管理、安裝、使用和備份進行嚴格控制。規(guī)定在新軟件安裝或軟件升級之前，應(yīng)經(jīng)測試和審批后方可按規(guī)定程序進行。軟件的升級、補J或更新具體執(zhí)行信息系統(tǒng)開發(fā)建設(shè)管理程序。個人計算機管理程序規(guī)定計算機終端用戶除非授權(quán)，否則嚴禁私自安裝任何軟件。信息系統(tǒng)開發(fā)建設(shè)管理程序軟件管理程序個人計算機管理程序A.12.6

33、技術(shù)脆弱性管理目標YES防止技術(shù)脆弱性被利用A.12.6.1技術(shù)脆弱性管理控制YES根據(jù)信息安全體系規(guī)定和公司實際需求對技術(shù)薄弱點應(yīng)進行風(fēng)險評估，進行專項分析，制訂風(fēng)險處理計劃，根據(jù)風(fēng)險處理計劃采取對應(yīng)的技術(shù)和管理措施。公司與信息安全管理有關(guān)的所有員工對發(fā)現(xiàn)的信息安全薄弱點或潛在威脅均應(yīng)履行報告義務(wù)。技術(shù)薄弱點管理程序A.12.6.2軟件安裝限制控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司行政部負責軟件的安裝授權(quán)，對常用的開發(fā)、辦公軟件，相關(guān)部門可以自行安裝，對于和工作無關(guān)的軟件禁止安裝。技術(shù)薄弱點管理程序A.12.7信息系統(tǒng)目標YES將審計活動對運行系統(tǒng)的影響最小化標準條款號標題目標/控

34、制是否選擇選擇理由控制描述文件名稱審計考慮A.12.7.1信息系統(tǒng)審計控制措施控制YES根據(jù)信息安全體系規(guī)定和公司實際需求正式審核之前，審核組應(yīng)明確技術(shù)性審核的項目與要求，防止審核活動本身造成不必要的安全風(fēng)險。內(nèi)部審核管理程序A.13通信安全標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.13.1網(wǎng)絡(luò)安全管理目標YES未保護對網(wǎng)絡(luò)中的信息及支持性設(shè)施進行有效保護。A.13.1.1網(wǎng)絡(luò)控制控制YES根據(jù)信息安全體系規(guī)定和公司實際需求實施有效的網(wǎng)絡(luò)安全控制措施，如防火墻、路由器等的安全配置，網(wǎng)絡(luò)設(shè)備的定期維護，網(wǎng)絡(luò)設(shè)備和系統(tǒng)的重大變更控制措施，用戶訪問權(quán)限管理，網(wǎng)絡(luò)服務(wù)的管理，包括運行

35、情況的監(jiān)督。網(wǎng)絡(luò)安全管理程序數(shù)據(jù)安全管理程序A.13.1.2網(wǎng)絡(luò)服務(wù)的安全控制YES根據(jù)信息安全體系規(guī)定和公司實際需求應(yīng)該識別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級以及管理要求，并將其包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是內(nèi)部提供還是外包。公司根據(jù)組織的安全策略，識別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值。網(wǎng)絡(luò)安全管理程序相關(guān)方信息安全管理程序）A.13.1.3網(wǎng)絡(luò)隔離控制YES根據(jù)信息安全體系規(guī)定和公司實際需求網(wǎng)絡(luò)管理人員應(yīng)編制網(wǎng)絡(luò)拓撲圖，描述網(wǎng)絡(luò)結(jié)構(gòu)并表示網(wǎng)絡(luò)的各組成部分之間在邏輯上和物理上的相互連接.為確保公司網(wǎng)絡(luò)安全，采用物理和邏輯兩種方式進行網(wǎng)絡(luò)隔離。網(wǎng)絡(luò)安全管理程序A.13.2信息的交

36、換目標YES保持組織內(nèi)信息交換及與外部組織信息交換的安全。A.13.2.1信息交換策略和程序控制YES根據(jù)信息安全體系規(guī)定和公司實際需求在內(nèi)部或與顧客進行數(shù)據(jù)與軟件交換的過程中采用有效的安全控制措施，公司規(guī)定在使用電子通信設(shè)施進行信息交換時，防止交換的信息被截取、備份、修改、誤傳以及破壞；保護以附件形式傳輸?shù)碾娮有畔?公司互聯(lián)網(wǎng)的計算機，不得含有涉密的電子數(shù)據(jù)信息。信息交換管理程序數(shù)據(jù)安全管理程序A.13.2.2信息交換協(xié)議控制YES根據(jù)信息安全體系規(guī)定和公司實際需求應(yīng)保護被傳輸?shù)男畔⒑臀锢斫橘|(zhì)，并作為制定交換協(xié)議的參考。對于敏感信息，應(yīng)該考慮對信息交換使用特殊的機制，但必須與組織和協(xié)議類型相

37、協(xié)調(diào)。信息交換管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.13.2.3電子消息發(fā)送控制YES根據(jù)信息安全體系規(guī)定和公司實際需求基于業(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計算機病毒的原則，公司建立了信息交換管理程序包括電子郵件安全使用的策略，并將該策略傳達到所有員工予以執(zhí)行。信息交換管理程序A.13.2.4保密或不泄露協(xié)議控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司對與正式錄用員工在勞動合同中附加有關(guān)保密方面的內(nèi)容條款或簽署員工保密協(xié)議，員工離職前應(yīng)根據(jù)離職流程。公司與外部相關(guān)方簽暑相關(guān)方保密協(xié)議或第三方保密協(xié)議，所有與外部相關(guān)方合作而引起的安全需求或內(nèi)部控制都

38、應(yīng)在協(xié)議中反映。人力資源管理程序相關(guān)方信息安全管理程序A.14系統(tǒng)獲取、開發(fā)和維護標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱A.14.1信息系統(tǒng)的安全要求目標YES確保信息安全成為信息系統(tǒng)生命周期的組成部分，包括向公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的特定安全要求A.14.1.1安全要求分析和說明控制YES根據(jù)信息安全體系規(guī)定和公司實際需求信息系統(tǒng)建設(shè)部門在進行新系統(tǒng)建設(shè)或系統(tǒng)更新時，首先應(yīng)對系統(tǒng)進行分析，根據(jù)業(yè)務(wù)功能要求及信息安全要求，明確規(guī)定控制要求。系統(tǒng)（軟件）本身的功能及安全特性應(yīng)在設(shè)計開發(fā)輸入時應(yīng)明確提出，并進行評審。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.1.2公共網(wǎng)絡(luò)服務(wù)的安全控制

39、YES根據(jù)信息安全體系規(guī)定和公司實際需求按照安全等級保護制度的管理規(guī)范和技術(shù)標準確定本單位網(wǎng)絡(luò)與信息系統(tǒng)的安全等級，并根據(jù)安全等級保護制度的要求進行建設(shè)。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.1.3保護應(yīng)用服務(wù)交易控制YES根據(jù)信息安全體系規(guī)定和公司實際需求對大量數(shù)據(jù)先進行收集并分塊，通過安全信道傳輸給多個服務(wù)器儲存,密文處理過程的數(shù)據(jù)同步存儲，只要其中一個服務(wù)器沒被攻破，則該方案就是安全的信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2開發(fā)和支持過程的安全目標YES確保在信息系統(tǒng)開發(fā)生命周期內(nèi)審計和實施信息安全A.14.2.14N-rr吟安全開發(fā)策略控制YES根據(jù)信息安全體系規(guī)定和公司實際需求安全開發(fā)是建立

40、安全服務(wù)、架構(gòu)、軟件和系統(tǒng)的要求，公司從軟件開發(fā)生命周期建立安全開發(fā)策略。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.2系統(tǒng)變更控制程序控制YES根據(jù)信息安全體系規(guī)定和公司實際需求當信息系統(tǒng)需變更時，應(yīng)先分析其變更原因。在明確變更原因后，研發(fā)部負責對變更進行策劃，提出變更具信息系統(tǒng)開發(fā)建設(shè)管理程序標準條款號標題目標/控制是否選擇選擇理由控制描述文件名稱體實施的信息系統(tǒng)變更計劃書，交由總經(jīng)理審批。對于重要設(shè)備和網(wǎng)絡(luò)系統(tǒng)的重大變更，應(yīng)對變更影響進行評價。A.14.2.3操作系統(tǒng)變更后應(yīng)用的技術(shù)評審控制YES根據(jù)信息安全體系規(guī)定和公司實際需求當操作系統(tǒng)發(fā)生更改時，操作系統(tǒng)更改對應(yīng)用系統(tǒng)的影響應(yīng)由系統(tǒng)主管部

41、門進行評審，確保對作業(yè)或安全措施無不利影響。具體執(zhí)行信息系統(tǒng)開發(fā)建設(shè)管理程序。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.4軟件包變更的限制控制YES根據(jù)信息安全體系規(guī)定和公司實際需求公司不鼓勵修改軟件包，如果有必要確需進行更改，更改提出部門應(yīng)在實施前進行風(fēng)險評估，確定必須的控制措施，保留原始軟件，并在完全一樣的復(fù)制軟件上進行更改，更改實施前應(yīng)得到公司領(lǐng)導(dǎo)的授權(quán)。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.5安全系統(tǒng)工程原則控制YES根據(jù)信息安全體系規(guī)定和公司實際需求在平衡信息安全需求和訪問需求的基礎(chǔ)上，組織所有架構(gòu)層（業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)）宜考慮安全設(shè)計。宜分析新技術(shù)的安全風(fēng)險，并根據(jù)已知的攻擊模式評審其設(shè)計。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.6安全開發(fā)環(huán)境控制YES根據(jù)信息安全體系規(guī)定和公司實際需求對覆蓋系統(tǒng)開發(fā)全生