內(nèi)審檢查表技術(shù)部

內(nèi)審檢查表被審核部門技術(shù)部審核成員：張小波陪同人員：嚴(yán)玉成審核日期2020年3月10日審核主題A.6.1.1，A6.1.5，A.6.2，A.8.1A.9.3，A.9.4.1，A.9.4.2，A.12.1，A.12.2，A.12.3，A.12.5，A.12.6，A.12.7，A.14，A.16.1.2，A.16.1.3檢查要素/條款檢查事項檢查記錄符合項觀察項不符合項A.6.1.1信息安全的角色和職責(zé)技術(shù)部：（1）負責(zé)軟硬件產(chǎn)品的設(shè)計和開發(fā)工作。（2）負責(zé)公司軟硬件設(shè)計開發(fā)過程中信息安全管理。（3）負責(zé)配合銷售完成運維服務(wù)的用戶交流、售前支持工作。（4）負責(zé)部門的資產(chǎn)登記及評價、風(fēng)險評估。（5）負責(zé)軟硬件文檔的管理。（6）負責(zé)信息系統(tǒng)接收測試。（7）項目的組織協(xié)調(diào)工作，確定項目人員并對所承擔(dān)項目的質(zhì)量負責(zé)。（8）負責(zé)軟硬件開發(fā)過程，包括制定項目進度、組織需求分析、概要設(shè)計、測試以及驗收。（9）負責(zé)開發(fā)人員的管理與保密工作。（10）本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。√A6.1.5項目管理中的信息安全抽查由技術(shù)部負責(zé)的開發(fā)項目，該項目合同中有規(guī)定對信息安全的相關(guān)條款，包括保密、遵守相關(guān)法律等的要求。項目的項目文檔中有“項目風(fēng)險評估表”，內(nèi)容包括對該項目的風(fēng)險的識別、評價與響應(yīng)措施等?！藺.6.2.1移動設(shè)備策略執(zhí)行《計算機管理程序》《介質(zhì)及信息交換管理程序》等文件，公司的設(shè)備設(shè)施，帶出公司需要經(jīng)過登記，批準(zhǔn)后才能帶出。√A.6.2.2遠程工作執(zhí)行《遠程工作管理程序》規(guī)定了遠程接入的要求，其中包括接入?yún)^(qū)域的標(biāo)識、設(shè)備標(biāo)識、遠程接入主體及授權(quán)、遠程訪問授權(quán)、遠程接入的安全要求等。VPN進行遠程管理，根據(jù)職位需求，分配?！藺.8.1.1A.8.1.2A.8.1.3A.8.1.4資產(chǎn)清單資產(chǎn)所有權(quán)資產(chǎn)的可接受使用資產(chǎn)的歸還資產(chǎn)識別情況；有對公司內(nèi)現(xiàn)有資產(chǎn)做了識別——提供，重要信息資產(chǎn)清單序號、名稱、位置、用途、部門、責(zé)任人、"保密性賦值C"、"完整性賦值I"、"可用性賦值A(chǔ)" 、資產(chǎn)價值、"重要程度"、備注。——重要度選擇：綜合分值在7分以上的為重要資產(chǎn)?！Y產(chǎn)的允許使用，綜合管理中心制定相應(yīng)的業(yè)務(wù)系統(tǒng)應(yīng)用管理制度，重要設(shè)備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則。——人員離職后有進行資產(chǎn)移交，見A8.3內(nèi)容?；痉??！藺.9.3.1A.9.4.1A.9.4.2使用秘密鑒別信息信息訪問控制安全登錄規(guī)程公司范圍的計算機登錄口令要求6位以上，包含字母數(shù)字。抽查了技術(shù)部5臺PC機，口令符合要求。用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)?，F(xiàn)場測試，審核員通過訪問網(wǎng)絡(luò)上的PC機，有用戶名，密碼，試圖隨意輸入密碼3次，均無法登陸?！藺12.1.1A12.2.2A12.2.3A12.2.4文件化的操作規(guī)程變更管理容量管理開發(fā)、測試和運行環(huán)境的分離制定“信息處理設(shè)施管理程序”，規(guī)定對信息處理設(shè)施的采購、測試、驗收、安裝調(diào)試等過程的制度，從而對信息處理設(shè)施的管理進行控制?！靶畔⑻幚碓O(shè)施管理程序”中有對信息處理設(shè)施變更的過程控制方法。提供服務(wù)器容量監(jiān)控記錄。有服務(wù)器、硬件配置、總?cè)萘俊⒁延每臻g、剩余空間。每日通過手工登錄，通過服務(wù)器陣列備份通用備份，按照容量管理程序文件記錄技術(shù)部的開發(fā)、測試、運行服務(wù)器都是分開的?！藺12.2A12.3惡意軟硬件防范備份公司范圍內(nèi)使用360殺毒軟硬件。公司規(guī)定每月應(yīng)至少檢查漏洞一次，查殺病毒一次。抽查技術(shù)部三臺電腦，上次漏洞檢查和病毒查殺時間在本周內(nèi)，符合要求技術(shù)部的源代碼為公司重要信息資產(chǎn)，源代碼備份在公司SVN服務(wù)器上，備份頻率為每天，且有專人負責(zé)保管、檢查?！藺12.5A12.6A12.7確保運行系統(tǒng)的完整性防止對技術(shù)脆弱性的利用信息系統(tǒng)審計的考慮“信息系統(tǒng)開發(fā)與維護管理程序”中有規(guī)定對信息系統(tǒng)在安裝時候的可靠性、完整性的嚴(yán)格控制?！靶畔⑾到y(tǒng)開發(fā)與維護管理程序”中有對用戶安裝軟硬件及識別、評價、應(yīng)對技術(shù)脆弱性的控制。在技術(shù)部對信息系統(tǒng)進行審計活動的時候，會考慮對業(yè)務(wù)過程的影像，并將影響最小化。√A.14.1.1A.14.1.2A.14.1.3信息安全要求分析和說明公共網(wǎng)絡(luò)應(yīng)用服務(wù)安全保護應(yīng)用服務(wù)交易——現(xiàn)場查公司主要按照客戶安全要求及所提供樣本來開發(fā)軟硬件產(chǎn)品。公司通過應(yīng)用系統(tǒng)進行日常辦公、生產(chǎn)經(jīng)營管理，公司建立并實施相應(yīng)系統(tǒng)的安全使用策略和應(yīng)用管理，以保護與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息，減少系統(tǒng)造成的信息泄露。?！F(xiàn)場查看公司網(wǎng)站內(nèi)沒有電子商務(wù)方面的頁面?！藺.14.2.1A.14.2.2A.14.2.3A.14.2.4A.14.2.5A.14.2.6A.14.2.7A.14.2.8A.14.2.9安全開發(fā)策略系統(tǒng)變更控制規(guī)程運行平臺變更后應(yīng)用的技術(shù)評審軟硬件包變更的限制安全系統(tǒng)工程原則安全開發(fā)環(huán)境外包開發(fā)系統(tǒng)安全測試系統(tǒng)驗收測試——有填寫變更記錄表。為使信息系統(tǒng)的損害降至最小，對公司內(nèi)系統(tǒng)和軟硬件的更改，須進行適當(dāng)?shù)臏y試與評審，經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)后予以實施。操作系統(tǒng)及應(yīng)用系統(tǒng)的升級須經(jīng)過系統(tǒng)主管部門測試、評審與批準(zhǔn)后方可進行。——提供《信息系統(tǒng)獲取、維護控制程序》——目前公司沒有操作系統(tǒng)變更。當(dāng)操作系統(tǒng)發(fā)生更改時，操作系統(tǒng)更改對應(yīng)用系統(tǒng)的影響應(yīng)由系統(tǒng)主管部門進行評審，確保對應(yīng)用程序的作業(yè)或安全措施無不利影響?！F(xiàn)場查暫無軟硬件變更，更改部門在實施前進行風(fēng)險評估，確定必須的控制措施，保留原始軟硬件，并在完全一樣的復(fù)制軟硬件上進行更改，更改實施前須得到系統(tǒng)主管部門的授權(quán)?！灸壳百徺I的都是安裝程序，沒有外包軟硬件開發(fā)。√A.14.3.1系統(tǒng)測試數(shù)據(jù)的保護—