ISO27001：2013信息安全管理體系全套程序38信息安全適用性聲明實(shí)施指引

版本：Axx版本：A適用性聲明實(shí)施指南JSWLS/IP-38-2009TOC\o"1-5"\h\z編制： xx審 核： xx批準(zhǔn)： xx

xx電子商務(wù)技術(shù)有限公司ISO27000信息安全管理體系適用性聲明實(shí)施指南A.5安全方針標(biāo)準(zhǔn)條款號標(biāo)題部門目標(biāo)/控制是否選擇選擇理由控制描述SoC參考文件A.5.1信息安全方針目標(biāo)依據(jù)業(yè)務(wù)要求和相關(guān)的法律法規(guī)提供管理指導(dǎo)并支持信息安全。A.5.1.1信息安全方針文件總經(jīng)理、管理者代表、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀總經(jīng)理確保制定與公司目標(biāo)一致的清晰的信息安全方針，并且通過在組織內(nèi)發(fā)布和維護(hù)信息安全方針來表明對信息安全的支持和承諾。信息安全方針在《信息安全管理手冊》中描述，《信息安全管理手冊》由總經(jīng)理批準(zhǔn)發(fā)布?！缎畔踩芾硎謨浴稟.5.1.2信息安全方針的評審總經(jīng)理、管理者代表、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀總經(jīng)理組織管理者代表和技術(shù)部每年管理評審或發(fā)生重大變化時(shí)對信息安全方針的持續(xù)適宜性、充分性和有效性進(jìn)行評價(jià)，必要時(shí)進(jìn)行修訂?！缎畔踩芾硎謨浴?/p>

A.6信息安全組織標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件A.6.1內(nèi)部組織目標(biāo)管理公司范圍內(nèi)信息安全。A.6.1.1信息安全管理承諾總經(jīng)理、管理者代表、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀總經(jīng)理承諾建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)ISMS，并通過一系列的活動，提供證實(shí)。該承諾《信息安全管理手冊》中進(jìn)行相應(yīng)描述。技術(shù)部編制《信息安全管理手冊》?！缎畔踩芾硎謨浴稟.6.1.2信息安全協(xié)調(diào)管理者代表、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司成立以信息安全管理者代表、各部門信息安全負(fù)責(zé)人組成的聯(lián)席會議，協(xié)調(diào)信息安全管理工作，對體系運(yùn)行存在的問題進(jìn)行解決。會議由技術(shù)部負(fù)責(zé)組織安排并做好會議記錄。《信息安全協(xié)調(diào)溝通控制程序》A.6.1.3信息安全職責(zé)的分配管理者代表控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司清楚的確定各部門信息安全職責(zé)。最高管理者授權(quán)信息安全管理者代表，全面負(fù)責(zé)信息安全管理體系的建立、實(shí)施與保持工作。《各部門信息安全管理職責(zé)》A.6.1.4信息處理設(shè)施的授權(quán)過程技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部根據(jù)使用部門需求提出新的信息處理實(shí)施（包括軟件）的配置要求，并組織驗(yàn)收與實(shí)施，確保與原有信息系統(tǒng)的兼容。《信息處理設(shè)施安裝使用控制程序》A.6.1.5保密性協(xié)議財(cái)務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀財(cái)務(wù)部代表本公司與相關(guān)方簽訂保密協(xié)議，以規(guī)定公司所規(guī)定的信息得到保護(hù)?！断嚓P(guān)方保密性協(xié)議管理策略》A.6.1.6與政府部門的聯(lián)公共關(guān)控制YES依據(jù)公司產(chǎn)品特性總經(jīng)理規(guī)定溝通對象和內(nèi)容，公共關(guān)系發(fā)展部制定規(guī)定詳細(xì)《信息安

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件系系發(fā)展部和業(yè)務(wù)現(xiàn)狀說明有誰、何時(shí)與權(quán)威機(jī)構(gòu)聯(lián)系，以及怎樣識別應(yīng)該及時(shí)報(bào)告的可能會違背法律的信息安全事件。全溝通協(xié)調(diào)控制程序》A.6.1.7與特定利益集團(tuán)的聯(lián)系技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部就計(jì)算機(jī)信息及通信網(wǎng)絡(luò)安全問題與服務(wù)提供部門保持聯(lián)系，以確保和在出現(xiàn)安全事故時(shí)采取適當(dāng)?shù)男袆雍腿〉媒ㄗh。《信息安全溝通協(xié)調(diào)控制程序》A.6.1.8信息安全的獨(dú)立評審管理者代表、營銷中心控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀管理者代表負(fù)責(zé)組織營銷中心等相關(guān)部門策劃信息安全管理評審，根據(jù)策劃的時(shí)間間隔，或者當(dāng)信息安全設(shè)施發(fā)生重大變化時(shí)，對組織管理信息安全的方法及其實(shí)施情況進(jìn)行獨(dú)立評審?！豆芾碓u審控制程序》A.6.2外部各方目標(biāo)保持公司的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全。A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識別技術(shù)部、辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部、辦公室識別外部相關(guān)方對信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險(xiǎn)，并在批準(zhǔn)外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前實(shí)施適當(dāng)?shù)目刂?，并簽署?guī)定訪問和工作安排條款和條件的《保密協(xié)議》。《信息安全風(fēng)險(xiǎn)控制程序》A.6.2.2處理與顧客有關(guān)的安全問題市場部、客戶服務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀相關(guān)責(zé)任部門應(yīng)識別與外部相關(guān)方活動的風(fēng)險(xiǎn)，明確與外部相關(guān)方活動的信息安全按要求，在與外部相關(guān)方合同中明確規(guī)定信息安全要求。管理者代表在批準(zhǔn)顧客訪問組織信息或資產(chǎn)前，市場部、客戶服務(wù)部應(yīng)該處理所有識別的安全要求。《顧客信息安全管理策略》A.6.2.3處理第二方協(xié)議中涉及的安全問題營銷中心、財(cái)務(wù)部、辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀營銷中心、財(cái)務(wù)部、辦公室應(yīng)與長期訪問第二方簽訂《保密協(xié)議》，明確規(guī)定信息安全要求，并對第二方訪問人員進(jìn)行必要的信息安全培訓(xùn)?！兜谌椒?wù)控制程序》、《第三方

標(biāo)準(zhǔn)條款號標(biāo)題部門目標(biāo),控制是否選擇選擇理由控制描述SoC參考文件協(xié)議控制策略》

A.7資產(chǎn)管理標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件A.7.1對資產(chǎn)負(fù)責(zé)目標(biāo)實(shí)現(xiàn)和保持對公司信息資產(chǎn)的適當(dāng)保護(hù)。A.7.1.1資產(chǎn)清單技術(shù)部、辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部、辦公室組織各部門識別信息資產(chǎn)，并根據(jù)判斷準(zhǔn)則確定公司的重要信息資產(chǎn)，建立《重要信息資產(chǎn)清單》?！缎畔踩L(fēng)險(xiǎn)控制程序》A.7.1.2資產(chǎn)責(zé)任人技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部組織相關(guān)部門識別信息資產(chǎn)并明確資產(chǎn)責(zé)任人?！缎畔踩L(fēng)險(xiǎn)控制程序》A.7.1.3資產(chǎn)的可接受使用技術(shù)部、財(cái)務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部制定相應(yīng)的業(yè)務(wù)系統(tǒng)應(yīng)用管理制度，重要設(shè)備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則。使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對信息資源的使用，以及發(fā)生在其責(zé)任下的使用負(fù)責(zé)?！峨娮余]件策略》、《互聯(lián)網(wǎng)使用策略》、《便攜式計(jì)算機(jī)安全策略》A.7.2信息分類目標(biāo)確保公司信息受到適當(dāng)級別的保護(hù)。A.7.2.1分類指南技術(shù)部、財(cái)務(wù)部、人力資源部、市場部、客控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對本公司的信息保密等級規(guī)定劃分等級?！缎畔⒎诸惪刂瞥绦颉?/p>

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件戶服務(wù)部A.7.2.2信息的標(biāo)記和處理技術(shù)部、財(cái)務(wù)部、人力資源部、市場部、客戶服務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對于屬于公司的秘密與國家秘密的文件，相關(guān)部門應(yīng)按照要求進(jìn)行適當(dāng)?shù)臉?biāo)記，并對其采取相關(guān)處理措施?！缎畔?biāo)記和處理策略》

A.8人力資源安全標(biāo)準(zhǔn)條款號標(biāo)題部門目標(biāo)/控制是否選擇選擇理由控制描述SoC參考文件A.8.1任用之前目標(biāo)確保公司員工、供方人員和第三方人員理解其職責(zé)、考慮對其承擔(dān)的角色是適合的，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)。A.8.1.1角色和職責(zé)人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀與信息安全有關(guān)的部門和崗位的信息安全職責(zé)應(yīng)明確規(guī)定?！秵T工聘用控制程序》A.8.1.2審查人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀人事行政部負(fù)責(zé)對錄用員工進(jìn)行能力、信用考核，每年對關(guān)鍵信息安全崗位進(jìn)行年度考核，對于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整?！秵T工聘用控制程序》A.8.1.3任用條款和條件人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司規(guī)定了員工、合同方以及第三方的聘用條款和條件。《員工聘用控制程序》、《崗位任職信息安全要求》、《員工保密守則》、《員工保密協(xié)議管理制度》A.8.2任用中目標(biāo)確保所有的員工、合同方和第三方用戶知悉信息安全威脅和利害關(guān)系，他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持公司的信息安全方針，以減少人為出錯(cuò)的風(fēng)險(xiǎn)。A.8.2.1管理職責(zé)管理者代表控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀管理者代表要求員工、合作方以及第三方用戶加強(qiáng)，信息安全意識，依據(jù)建立的方針和程序來應(yīng)用安全?！陡鞑块T信息安全

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件管理職責(zé)》、《第三方信息安全管理策略》A.8.2.2信息意識、教育和培訓(xùn)營銷中心、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀與ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識、方針、程序的培訓(xùn)。方針、程序變更后應(yīng)及時(shí)傳達(dá)到全體員工。營銷中心、技術(shù)部通過組織相關(guān)部門實(shí)施培訓(xùn)，確保員工安全意識的提高與能力勝任所承擔(dān)的信息安全工作。《員工培訓(xùn)控制程序》、《安全培訓(xùn)策略》A.8.2.3紀(jì)律處理過程人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀違背組織安全方針的程序的員工公司將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實(shí)的情況?！缎畔踩?jiǎng)懲控制程序》A.8.3任用的中止或變化目標(biāo)確保員工、合作方以及第二方用戶以規(guī)范的方式退出公司或改變其任用關(guān)系。A.8.3.1終止職責(zé)人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀在員工離職前和第二方用戶完成合同時(shí)，應(yīng)進(jìn)行明確終止責(zé)任的溝通?！秵T工離職控制程序》A.8.3.2資產(chǎn)的歸還人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀員工離職或工作變動前，應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。《員工離職控制程序》A.8.3.3撤銷訪問權(quán)人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀員工離職或工作變動前，應(yīng)解除對信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整?！秵T工離職控制程序》、《撤

標(biāo)準(zhǔn)條款號標(biāo)題部門目標(biāo),控制是否選擇選擇理由控制描述SoC參考文件銷用戶訪問權(quán)策略》

A.9物理與環(huán)境安全標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件A.9.1安全區(qū)域目標(biāo)防止對公司場所和信息的未授權(quán)物理訪問、損壞和干擾。A.9.1.1物理安全周邊辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀本公司安全區(qū)域分為一般A、B、C、D區(qū)域?！栋踩珔^(qū)域控制程序》A.9.1.2物理入口控制辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司大門由門衛(wèi)看管，A樓由前臺管理。《安全區(qū)域控制程序》、《物理訪問策略》A.9.1.3辦公室、房間和設(shè)施的安全保護(hù)辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀特別安全區(qū)域的辦公室、房間和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其他形式的危害?！栋踩珔^(qū)域控制程序》A.9.1.4外部和環(huán)境威脅的安全防護(hù)辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀信息相關(guān)設(shè)備安裝在距離、門窗有一定距離的地方。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施?！栋踩珔^(qū)域控制程序》、《火災(zāi)應(yīng)急處理策略》A.9.1.5在安全區(qū)域工作辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司建立相關(guān)制度，明確規(guī)定員工、第三方人員在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工、第三方人員遵守?！栋踩珔^(qū)域控制程序》、《重要安全區(qū)域管理策略》10

標(biāo)準(zhǔn)條款號標(biāo)題部門目標(biāo),控制是否選擇選擇理由控制描述SoC參考文件A.9.1.6公共訪問、交接區(qū)安全辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司設(shè)置公共訪問區(qū)接待外來人員，公共訪問區(qū)與特別安全區(qū)域予以隔離?！栋踩珔^(qū)域控制程序》、《公共訪問區(qū)域管理策略》A.9.2設(shè)備安全目標(biāo)防止資產(chǎn)的損失、損失、失竊或危及資產(chǎn)安全以及公司業(yè)務(wù)活動的中斷。A.9.2.1設(shè)備安置和保護(hù)技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部負(fù)責(zé)對設(shè)備進(jìn)行定置管理或保護(hù)好，采取措施以降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)訪問的機(jī)會?！缎畔⑻幚碓O(shè)施定置管理和防護(hù)策略》A.9.2.2支持性設(shè)施辦公室、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀辦公室和技術(shù)部對公司的支持性設(shè)施進(jìn)行管理，防止因斷電造成信息丟失?！禪PS電源控制策略》、《供電應(yīng)急事件處理策略》A.9.2.3布纜安全辦公室、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀辦公室和技術(shù)部對架設(shè)進(jìn)入公司的電纜和光纖提出防護(hù)要求，確保布纜安全?！峨娎|和光纖應(yīng)急事件處理策略》A.9.2.4設(shè)備維護(hù)技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀信息系統(tǒng)涉及用戶計(jì)算機(jī)終端由技術(shù)部進(jìn)行維護(hù)?！缎畔⑻幚碓O(shè)施維11

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件A.9.2.5組織場所外的設(shè)備安全財(cái)務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀擁有筆記本的部門在其離開規(guī)定區(qū)域時(shí)，應(yīng)經(jīng)過領(lǐng)導(dǎo)授權(quán)并對其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問。護(hù)控制程序》、《信息處理設(shè)施維護(hù)、維修策略》《便攜式計(jì)算機(jī)安全策略》A.9.2.6設(shè)備的安全處置或再利用人力資源部、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀含有敏感信息的設(shè)備在報(bào)廢或該做他用時(shí)，由使用部門應(yīng)利用安全的處置方法將設(shè)備中存儲的敏感信息清除并保存清除記錄。《信息處理設(shè)施報(bào)廢策略》、《信息處理設(shè)施變更使用策略》A.9.2.7資產(chǎn)的移動辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀未經(jīng)授權(quán)之前，不應(yīng)該將設(shè)備、信息或軟件帶到工作場所外。重要信息設(shè)備的遷移活動應(yīng)被記錄?！缎畔①Y產(chǎn)帶出工作場所審批策略》12

A.10通信和操作管理標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件A.10.1操作規(guī)程和職責(zé)目標(biāo)確保正確、安全的操作信息處理設(shè)施。A.10.1.1文件化的操作規(guī)程技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部按照信息安全方針的要求，建立并實(shí)施文件化的通信和操作控制作業(yè)程序。見相關(guān)文件A.10.1.2變更管理技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀信息處理設(shè)施的變更按相關(guān)規(guī)定進(jìn)行。應(yīng)用系統(tǒng)和軟件等方面的更改實(shí)施嚴(yán)格控制，在更改前評估更改帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保部成功的恢復(fù)。《信息系統(tǒng)變更控制程序》A.10.1.3責(zé)任分割技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀減少非授權(quán)的更改或誤用信息或服務(wù)的機(jī)會，按要求進(jìn)行職責(zé)分配?！陡鞑块T信息安全管理職責(zé)》A.10.1.4開發(fā)、測試和運(yùn)行設(shè)施的分離技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部在進(jìn)行測試時(shí)，一個(gè)獨(dú)立開發(fā)與測試環(huán)境，與作業(yè)設(shè)施分離。《開發(fā)、測試和運(yùn)行設(shè)施分離策略》A.10.2第三方服務(wù)交付管理目標(biāo)實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn)。A.10.2.1服務(wù)交付辦公室、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。確保第三方保持充分的服務(wù)能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)交付的連貫性?！兜谌椒?wù)控制程序》A.10.2.2第三方服務(wù)的監(jiān)視和評審辦公室、技控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀第三方關(guān)系的管理由專門的人員，確保第二方分配職責(zé)符合協(xié)議要求。對協(xié)議要求，特別時(shí)安全要求的符合性進(jìn)行監(jiān)控《第三方服務(wù)控制13

標(biāo)準(zhǔn)條款號標(biāo)題部門術(shù)部眸/控制是否選擇選擇理由控制描述SoC應(yīng)該由充分可用的技術(shù)技能和資源。當(dāng)發(fā)現(xiàn)服務(wù)交付不足時(shí)應(yīng)該采取適當(dāng)?shù)拇胧?。參考文件程序》A.10.2.3第三方服務(wù)的變更管理辦公室、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對第三方服務(wù)更改的管理過程需要考慮：a）組織的更改，包括加強(qiáng)當(dāng)前提供的服務(wù)，開發(fā)新應(yīng)用程序和系統(tǒng)，修改和更改新方針和程序，解決信息安全事件，提高安全性的新控制；b）第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商?！兜谌椒?wù)控制程序》A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)將系統(tǒng)失效的風(fēng)險(xiǎn)降低至最小。A.10.3.1容量管理技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的容量需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充。《容量管理控制程序》A.10.3.2系統(tǒng)驗(yàn)收技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀新系統(tǒng)、系統(tǒng)升級接受前，技術(shù)部應(yīng)制定接受準(zhǔn)則，經(jīng)測試合格后方可正式運(yùn)行，測試記錄及驗(yàn)收報(bào)告應(yīng)予以保存?！缎畔⑾到y(tǒng)接收控制程序》A.10.4防范惡意和移動代碼目標(biāo)YES保護(hù)軟件和信息的完整性。A.10.4.1控制惡意代碼技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部負(fù)責(zé)提供防范惡意軟件的技術(shù)工具對技術(shù)工具進(jìn)行實(shí)時(shí)升級，各部門具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制措施。《病毒防范策略》、《惡意軟件控制程序》A.10.4.2控制移動代碼技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀授權(quán)使用移動代碼時(shí)，配置應(yīng)該確保已授權(quán)移動代碼的運(yùn)行符合明確定義的安全方針，未經(jīng)授權(quán)的移動代碼應(yīng)該被阻止《可移動代碼防范14

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件執(zhí)行。策略》A.10.5備份目標(biāo)保持信息處理和信息處理設(shè)施的完整性和可用性。A.10.5.1信息備份技術(shù)部、財(cái)務(wù)部、客戶服務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀本公司依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對重要數(shù)據(jù)庫、軟件等進(jìn)行備份。技術(shù)部為全公司信息設(shè)備提供技術(shù)支持，相關(guān)業(yè)務(wù)主管部門應(yīng)協(xié)同財(cái)務(wù)部、客戶服務(wù)部制定備份策略。《重要信息備份控制程序》、《信息備份安全策略》A.10.6網(wǎng)絡(luò)安全管理目標(biāo)確保網(wǎng)絡(luò)中的信息安全性并保［護(hù)支持性的基礎(chǔ)設(shè)施。A.10.6.1網(wǎng)絡(luò)控制技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司充分管理和控制網(wǎng)絡(luò)，已防范威脅，維持系統(tǒng)和使用網(wǎng)絡(luò)的應(yīng)用程序的安全，包括傳輸中的信息。實(shí)施網(wǎng)絡(luò)安全控制以確保網(wǎng)絡(luò)上信息的安全，并對接入服務(wù)進(jìn)行保護(hù)，防止未經(jīng)授權(quán)訪問?！毒W(wǎng)絡(luò)設(shè)備安全配置控制程序》、《網(wǎng)絡(luò)配置安全策略》A.10.6.2網(wǎng)絡(luò)服務(wù)安全技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部根據(jù)組織的安全策略，識別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進(jìn)行參數(shù)配置與維護(hù)管理?！毒W(wǎng)絡(luò)訪問策略》A.10.7介質(zhì)處置目標(biāo)防止信息資產(chǎn)遭受未授權(quán)泄漏、修改、移動或銷毀以及業(yè)務(wù)活動的中斷。A.10.7.1可移動介質(zhì)的管理營銷中心控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀針對可移動介質(zhì)，各部門應(yīng)按其管理權(quán)限并依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對其實(shí)施有效的控制?！犊梢苿咏橘|(zhì)控制程序》A.10.7.2介質(zhì)的處置營銷中心控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀對于含有敏感信息或重要信息的介質(zhì)在不需要或在使用時(shí)，處置部門應(yīng)按照要求采取安全可靠處理的方法將其信息清《介質(zhì)處置控制程15

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件除。序》、《電子媒體介質(zhì)銷毀管理辦法》A.10.7.3信息處理規(guī)程技術(shù)部、財(cái)務(wù)部、人力資源部、市場部、客戶服務(wù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀未保護(hù)敏感信息不會因未經(jīng)授權(quán)處理而造成泄露或?yàn)E用，本公司建立并實(shí)施管理制度。《信息保管和處理策略》A.10.7.4系統(tǒng)文件安全技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司采取措施，保護(hù)系統(tǒng)文件，防止未經(jīng)授權(quán)的訪問。各部門對所屬的系統(tǒng)文件，無論以何種媒體形式存在，應(yīng)按要求予以控制?！断到y(tǒng)文件存儲、控制策略》A.10.8信息的交換目標(biāo)保持公司內(nèi)以及與公司外信息和軟件交換的安全。A.10.8.1信息交換策略和規(guī)程服務(wù)外包辦公室控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a）簽訂安全保密協(xié)議，明確雙方的安全責(zé)任與安全交接方式；b）如果由要求，采用加密方式傳輸數(shù)據(jù)；c）由授權(quán)人員接受并登記。《信息交換策略》A.10.8.2交換協(xié)議服務(wù)外控制YES依據(jù)公司產(chǎn)品特性建立并保持相應(yīng)的方針，以保護(hù)被傳輸實(shí)物信息和物理介質(zhì)，《信息交16

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件包辦公室和業(yè)務(wù)現(xiàn)狀并作為制定交換協(xié)議的參考。換策略》A.10.8.3運(yùn)輸中的物理介質(zhì)市場部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀未避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)傳送的部門應(yīng)采用以下方法進(jìn)行控制：a）選擇適宜的安全傳送方式；b）保持傳送活動記錄。《運(yùn)輸中的物理介質(zhì)防護(hù)策略策略》A.10.8.4電子消息發(fā)送人力資源部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)《電子郵件控制程序》A.10.8.5業(yè)務(wù)信息系統(tǒng)人力資源部、技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司通過應(yīng)用系統(tǒng)進(jìn)行日常辦公、生產(chǎn)經(jīng)營管理，公司建立并實(shí)施相應(yīng)系統(tǒng)的安全使用策略和應(yīng)用管理，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息，減少系統(tǒng)造成的信息泄露?！杜c業(yè)務(wù)信息系統(tǒng)相互關(guān)聯(lián)的信息防護(hù)策略》A.10.9電子商務(wù)服務(wù)目標(biāo)確保電子商務(wù)服務(wù)的安全及其安全使用。A.10.9.1電子商務(wù)NO依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀A(yù).10.9.2在線交易NO依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀A(yù).10.9.3公共可用信息技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀公司通過公共可用網(wǎng)站使用電子方式公布的信息，按規(guī)定進(jìn)行控制?！毒W(wǎng)站安全管理策略》A.10.10監(jiān)視目標(biāo)檢測未經(jīng)授權(quán)的信息處理活動。17

標(biāo)準(zhǔn)條款號標(biāo)題部門眸/控制是否選擇選擇理由控制描述SoC參考文件A.10.10.1審計(jì)記錄技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀技術(shù)部建立保存例外事件或其它安全相關(guān)事件的審核日志，以便對將來的調(diào)查和訪問控制監(jiān)測提供幫助。審核日志一般通過使用系統(tǒng)檢測工具按照事先的設(shè)置自動生成?！缎畔踩O(jiān)控策略》A.10.10.2監(jiān)視系統(tǒng)的使用技術(shù)部控制YES依據(jù)公司產(chǎn)品特性和業(yè)務(wù)現(xiàn)狀監(jiān)控部門按照規(guī)定周期對監(jiān)控結(jié)果進(jìn)行評審，確保用戶只執(zhí)行被明確授權(quán)的活動。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施斌實(shí)施?！缎畔⑾到y(tǒng)監(jiān)控控制程序》A.10.