ITSM-3-SoA-000信息安全適用性聲明

適用性聲明編號：ISMS-P-2001狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日批準(zhǔn)：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：

變更記錄變更日期版本變更說明編寫審核批準(zhǔn)2009-XX-XXA/0初始版本XXXXXXXXX

目錄1目的與范圍 42相關(guān)文件 43職責(zé) 44聲明 4A.5安全方針 5A.6安全組織 5A.7資產(chǎn)管理 7A.8人力資源安全 7A.9實(shí)物與環(huán)境安全 7A.10通信和操作管理 7A.11訪問控制 7A.12信息系統(tǒng)獲取、開發(fā)和維護(hù) 7A.13信息安全事件管理 7A.14業(yè)務(wù)持續(xù)性管理 7A.15符合性 7信息安全適用性聲明1目的與范圍本聲明描述了在ISO27001:2005附錄A中，適用于本公司信息安全管理體系的目標(biāo)/控制、是否選擇這些目標(biāo)/控制的理由、公司現(xiàn)行的控制方式、以及實(shí)施這些控制所涉及的相關(guān)文件。2相關(guān)文件ISMS-1001《信息安全管理手冊》3職責(zé)《信息安全適用性聲明》由XXX編制、修訂，由管理者代表批準(zhǔn)。4聲明本公司按GB/T22080-2008idtISO/IEC27001:2005建立信息安全管理體系。根據(jù)公司風(fēng)險(xiǎn)評估的結(jié)果和風(fēng)險(xiǎn)可接受水平，GB/T22080-2008idtISO/IEC27001:2005附錄A的下列條款被選擇（或不選擇)用于本公司信息安全管理體系，共刪除X條控制措施。A.5安全方針標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.5.1信息安全方針目標(biāo)YES為信息安全提供管理方向和支持，并表明管理層對信息安全的承諾。A.5.1.1信息安全方針文件控制YES信息安全管理實(shí)施的需要。信息安全方針由公司總經(jīng)理制定，在《信息安全管理手冊》中描述，由公司總經(jīng)理批準(zhǔn)發(fā)布。通過培訓(xùn)、發(fā)放《信息安全管理手冊》等方式傳達(dá)到每一員工。采用張貼布告于宣傳欄、網(wǎng)站等形式傳達(dá)到各主管部門、客戶群等外部相關(guān)方。ISMS-1001《信息安全管理手冊》A.5.1.2評審與評價(jià)控制YES確保方針持續(xù)的適宜性。每年利用管理評審對方針的適宜性進(jìn)行評價(jià)，必要時(shí)對方針進(jìn)行修訂。ISMS-P-2004《管理評審控制程序》A.6安全組織標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.6.1內(nèi)部組織目標(biāo)YES建立一個(gè)有效的信息安全管理組織機(jī)構(gòu)。A.6.1.1信息安全管理承諾控制YES確定評審安全承諾及處理重大安全事故，確定與安全有關(guān)重大事項(xiàng)所必須的職責(zé)分配及確認(rèn)、溝通機(jī)制。公司成立信息安全管理委員會，由公司領(lǐng)導(dǎo)、信息安全管理者代表、各主要部門負(fù)責(zé)人組成。信息安全管理委員會至少每半年召開一次，或者當(dāng)信息安全管理體系發(fā)生重大變化或當(dāng)管理者代表認(rèn)為有必要時(shí)召開。信息安全管理者代表負(fù)責(zé)決定召開會議的時(shí)機(jī)及會議議題，行政部負(fù)責(zé)準(zhǔn)備會議日程的安排。會議主要議題包括：a)評審信息安全承諾；b)確認(rèn)風(fēng)險(xiǎn)評估的結(jié)果；c)對與信息安全管理有關(guān)的重大更改事項(xiàng)，如組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動、信息系統(tǒng)更改等，進(jìn)行決策；e)評審與處理重大信息安全事故；f)審批與信息安全管理有關(guān)的其他重要事項(xiàng)。ISMS-1001《信息安全管理手冊》A.6.1.2信息安全的協(xié)調(diào)控制YES公司涉及信息安全部門眾多，組織機(jī)構(gòu)復(fù)雜，需要一個(gè)有效溝通與協(xié)調(diào)機(jī)制。公司成立信息安全管理協(xié)調(diào)小組，由信息安全管理者代表和XXX部、XXX部信息安全體系內(nèi)審員組成。協(xié)調(diào)小組每季度召開一次協(xié)調(diào)會議（特殊情況隨時(shí)召開會議），對上一季度的信息安全管理工作進(jìn)行總結(jié)，解決體系運(yùn)行中存在的問題，并布置下一季度的信息安全工作。會議由XXX負(fù)責(zé)組織安排并做好會議記錄。有關(guān)信息安全管理委員會會議記錄（會議紀(jì)要）A.6.1.3信息安全職責(zé)的分配控制YES保持特定資產(chǎn)和完成特定安全過程的職責(zé)需確定。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)公司ISMS的建立、實(shí)施與保持工作。對每一項(xiàng)重要信息資產(chǎn)指定信息安全責(zé)任人。與ISMS有關(guān)各部門的信息安全職責(zé)在《信息安全管理手冊》中予以描述，關(guān)于具體的信息安全活動的職責(zé)在程序及作業(yè)文件中予以明確。A.6.1.4信息處理設(shè)施的授權(quán)程序控制YES本公司有新信息處理設(shè)備（設(shè)施）使用時(shí)，實(shí)施使用授權(quán)程序。對各自負(fù)責(zé)管理的信息系統(tǒng)，根據(jù)使用者需求提出新設(shè)施（包括軟件）的采購技術(shù)規(guī)格，由XXX部進(jìn)行技術(shù)選型，并組織驗(yàn)收，確保與原系統(tǒng)的兼容。明確信息處理設(shè)施的使用部門接受新設(shè)施的信息安全負(fù)責(zé)人為XXX部，XXX部人員需要講解新設(shè)施的正確使用方法。ISMS-P-2010《信息處理設(shè)備管理程序》A.6.1.5信息安全保密性協(xié)議控制YES為更好掌握信息安全的技術(shù)及聽取安全方面的有意建議，需與內(nèi)外部經(jīng)常訪問我公司信息處理設(shè)施的人員訂立保密性協(xié)議。本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關(guān)人員（合同方、臨時(shí)員工）的安全考察與控制。a)保密信息的形式：標(biāo)明“秘密”、“受控”字樣的資料，以及相關(guān)的文件、數(shù)據(jù)、分析報(bào)告、算法、樣品、實(shí)物、規(guī)格說明軟盤等，未標(biāo)明“秘密”、“受控”字樣的即為公開文件；b)乙方僅能夠在甲方規(guī)定的范圍內(nèi)使用保密信息、或者向甲方書面認(rèn)可的第三方披露甲方認(rèn)可可披露范圍內(nèi)的保密信息；c)乙方不得向其他任何第三方披露任何從甲方處收到或合法獲知的保密信息。ISMS-P-2020《密級控制程序》A.6.1.6與政府部門的聯(lián)系控制YES與法律實(shí)施部門、標(biāo)準(zhǔn)機(jī)構(gòu)等組織保持適當(dāng)?shù)穆?lián)系是必須的，以獲得必要的安全管理、標(biāo)準(zhǔn)、法律法規(guī)方面的信息。XXX部就電話/網(wǎng)絡(luò)通訊系統(tǒng)的安全問題與市信息主管部門及標(biāo)準(zhǔn)制定部門保持聯(lián)系，其他部門與相應(yīng)的政府職能部門及社會服務(wù)機(jī)構(gòu)保持聯(lián)系，以便及時(shí)掌握信息安全的法律法規(guī)，及時(shí)獲得安全事故的預(yù)防和糾正信息，并得到相應(yīng)的支持。信息安全交流時(shí)，確保本公司的敏感信息不傳給未經(jīng)授權(quán)的人。ISMS-1001《信息安全管理手冊》XXXXA.6.1.7與特定利益團(tuán)體的聯(lián)系控制YES為更好掌握信息安全的新技術(shù)及安全方面的有益建議，需獲得內(nèi)外部信息安全專家的建議。本公司設(shè)內(nèi)部信息安全顧問，必要時(shí)聘請外部專家，與特定利益群體保持溝通，解答有關(guān)信息安全的問題。顧問與專家名單由本公司信息安全委員會提出，管理者代表批準(zhǔn)。內(nèi)部信息安全顧問負(fù)責(zé)：a)按照專業(yè)分工負(fù)責(zé)解答公司有關(guān)信息安全的問題并提供信息安全的建議；b)收集與本公司信息安全有關(guān)的信息、新技術(shù)變化，經(jīng)本部門負(fù)責(zé)人審核同意，利用本公司電子郵件系統(tǒng)或采用其它方式傳遞到相關(guān)部門和人員；c)必要時(shí)，參與信息安全事故的調(diào)查工作。《信息安全內(nèi)部顧問名單和信息安全外部專家名單》A.6.1.8信息安全的獨(dú)立評審控制YES為驗(yàn)證信息安全管理體系實(shí)施的有效性及符合性，公司定期進(jìn)行內(nèi)部審核，審核需要客觀公正性。信息安全管理體系的內(nèi)部審核員由有審核能力和經(jīng)驗(yàn)的人員組成（包括IT方面的專家），并接受ISMS內(nèi)部審核員培訓(xùn)且考評合格。內(nèi)部審核員在現(xiàn)場審核時(shí)保持審核的獨(dú)立性，并不審核自己的工作。內(nèi)審員獲得授權(quán)，在審核期間不受行政的領(lǐng)導(dǎo)的限制，直接對審核組長負(fù)責(zé)。ISMS-P-2003《內(nèi)部審核管理程序》A.6外部各方目標(biāo)YES識別外部各方訪問、處理、管理、通信的風(fēng)險(xiǎn)，明確對外部各方訪問控制的要求，并控制外部各方帶來的風(fēng)險(xiǎn)。A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識別控制YES本公司存在諸如設(shè)備供應(yīng)商來公司維修設(shè)備、顧客訪問公司信息網(wǎng)絡(luò)系統(tǒng)等第三方訪問的情況，應(yīng)采取必要的安全措施進(jìn)行控制。第三方物理訪問須經(jīng)公司被訪問部門的授權(quán)，進(jìn)入工作區(qū)應(yīng)進(jìn)行登記。公司與長期訪問的第三方簽訂保密協(xié)議。訪問特別安全區(qū)域時(shí)由專人陪同，具體執(zhí)行《物理訪問控制程序》。第三方邏輯訪問，按照《用戶訪問控制程序》要求進(jìn)行控制。ISMS-P-2011《物理訪問控制程序》ISMS-P-2012《用戶訪問控制程序》A.6.2.2處理與顧客有關(guān)的安全問題控制YES在正式的合同中規(guī)定必要的安全要求是必須的。公司與長期訪問的顧客簽訂保密協(xié)議，明確規(guī)定信息安全要求，顧客方訪問同樣適用物理、邏輯訪問控制措施。ISMS-P-2011《物理訪問控制程序》ISMS-P-2012《用戶訪問控制程序》A.6.2.3處理第三方協(xié)議中的安全問題控制YES與本公司存在相關(guān)服務(wù)主要有XXXXXX、XXX。公司外包責(zé)任部門識別外包活動的風(fēng)險(xiǎn)，明確外包活動的信息安全要求，在外包合同中明確規(guī)定信息安全要求。ISMS-P-2010《信息處理設(shè)備管理程序》A.7資產(chǎn)管理標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.7.1資產(chǎn)責(zé)任目標(biāo)YES對本公司重要信息資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進(jìn)行有效保護(hù)。A.7.1.1資產(chǎn)清單控制YES公司需建立重要資產(chǎn)清單并實(shí)施保護(hù)。XXX部按照ISMS-P-2002《信息安全風(fēng)險(xiǎn)評估管理程序》組織各部門按業(yè)務(wù)流程識別所有信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷準(zhǔn)則確定公司的重要信息資產(chǎn)，《重要信息資產(chǎn)清單》，并明確資產(chǎn)負(fù)責(zé)人。ISMS-P-2002《信息安全風(fēng)險(xiǎn)評估管理程序》《重要信息資產(chǎn)清單》A.7.1.2資產(chǎn)負(fù)責(zé)人控制YES需要對重要信息處理設(shè)施有及重要信息指定責(zé)任人。XX部組織相關(guān)部門依據(jù)ISMS-P-2002《信息安全風(fēng)險(xiǎn)評估管理程序》指定資產(chǎn)負(fù)責(zé)人。ISMS-P-2002《信息安全風(fēng)險(xiǎn)評估管理程序》A.7.1.3資產(chǎn)的可接受使用控制YES識別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，予以實(shí)施。制定相應(yīng)的業(yè)務(wù)系統(tǒng)應(yīng)用管理制度，重要設(shè)備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則。使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對信息資源的使用，以及發(fā)生在其責(zé)任下的使用負(fù)責(zé)。ISMS-P-2010《信息處理設(shè)備管理程序》A.7.2信息分類目標(biāo)YES本公司根據(jù)信息的敏感性對信息進(jìn)行分類，明確保護(hù)要求、優(yōu)先權(quán)和等級，以明確對信息資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)。A.7.2.1分類指南控制YES本公司的信息安全涉及信息的敏感性，適當(dāng)?shù)姆诸惪刂剖潜匾摹１竟镜男畔⒚芗墑澐譃椋汗_信息、受控信息、企業(yè)秘密三級。不同密級事項(xiàng)的界定，由涉及秘密事項(xiàng)產(chǎn)生部門按照ISMS-P-2020《密級控制程序》規(guī)定的原則進(jìn)行。ISMS-P-2020《密級控制程序》A.7.2.2信息的標(biāo)識和處理控制YES按分類方案進(jìn)行標(biāo)注并規(guī)定信息處理的安全的要求。對于屬于企業(yè)秘密與國家秘密的文件（無論任何媒體），密級確定部門按《密級控制程序》的要求進(jìn)行適當(dāng)?shù)臉?biāo)注；公開信息不需要標(biāo)注，其余均標(biāo)注受控或秘密。信息的使用、傳輸、存儲等處理活動要進(jìn)行控制。ISMS-P-2020《密級控制程序》A.8人力資源安全標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.8.1任用之前目標(biāo)YES對聘用過程進(jìn)行管理，確保員工、合同方和第三方用戶理解其責(zé)任，并且能勝任其任務(wù)，以降低設(shè)施被盜竊、欺詐或誤用的風(fēng)險(xiǎn)。A.8.1.1角色和職責(zé)控制YES與信息安全有關(guān)的人員的安全職責(zé)必須明確規(guī)定并履行。XX部負(fù)責(zé)組織各部門在各崗位描述中明確規(guī)定每個(gè)員工在信息安全方面應(yīng)履行的職責(zé)。所有員工須遵守公司有關(guān)信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密?！豆ぷ鲘徫徽f明書》A.8.1.2審查控制YES通過人員考察，防止人員帶來的信息安全風(fēng)險(xiǎn)。XX部負(fù)責(zé)對初始錄用員工進(jìn)行能力、信用考察，每年對關(guān)鍵信息安全崗位進(jìn)行年度考察，對于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整。ISMS-P-2037《信息安全人員考察與保密管理程序》A.8.1.3任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個(gè)基本條件。在《勞動合同》中明確規(guī)定保密的義務(wù)及違約的責(zé)任?！秳趧雍贤稟.8.2聘用期間控制YES確保所有的員工、合同方和第三方用戶知道信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，并且減少人為錯(cuò)誤的風(fēng)險(xiǎn)。A.8.2.1管理職責(zé)控制YES缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安全影響。公司管理者要求員工、合作方以及第三方用戶加強(qiáng)信息安全意識，依據(jù)建立的方針和程序來應(yīng)用安全，服從公司管理，當(dāng)有其他的管理制度與信息安全管理制度沖突時(shí)，首選信息安全管理制度執(zhí)行。ISMS-P-2037《信息安全人員考察與保密管理程序》A.8.2.2信息安全教育和培訓(xùn)控制YES安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。與ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識、方針、程序的培訓(xùn)。方針、程序變更后應(yīng)及時(shí)傳達(dá)到全體員工。XX部通過組織實(shí)施《教育培訓(xùn)規(guī)程》，確保員工安全意識的提高與有能力勝任所承擔(dān)的信息安全工作。《教育培訓(xùn)規(guī)程》A.8.2.3紀(jì)律處理過程控制YES對造成安全破壞的員工應(yīng)該有一個(gè)正式的懲戒過程。違背組織安全方針和程序的員工，公司將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實(shí)地情況下進(jìn)行。處罰的形式包括精神和物質(zhì)兩方面?！缎畔踩剟?lì)、懲戒管理規(guī)定》A.8.3聘用中止或變化目標(biāo)YES確保員工、合作方以及第三方用戶以一種有序的方式離開公司或變更聘用關(guān)系。A.8.3.1終止職責(zé)控制YES執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。在員工離職前和第三方用戶完成合同時(shí)，應(yīng)進(jìn)行明確終止責(zé)任的溝通。再次溝通保密協(xié)議和重申是否有競業(yè)禁止要求等?！秳趧雍贤稩SMS-P-2037《信息安全人員考察與保密管理程序》A.8.3.2資產(chǎn)歸還目標(biāo)YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時(shí)歸還所負(fù)責(zé)的所有資產(chǎn)。員工離職或工作變動前，應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。ISMS-P-2037《信息安全人員考察與保密管理程序》A.8.3.3解除訪問權(quán)目標(biāo)YES對所有員工、合作方以及第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限進(jìn)行管理。員工離職或工作變動前，應(yīng)解除對信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。ISMS-P-2037《信息安全人員考察與保密管理程序》A.9物理與環(huán)境安全標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.9.1安全區(qū)域目標(biāo)YES防止未經(jīng)授權(quán)對業(yè)務(wù)場所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜。A.9.1.1物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機(jī)柜所在地應(yīng)確定其安全周界，并對其實(shí)施保護(hù)。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。特別安全區(qū)域包括數(shù)據(jù)存儲機(jī)房、配電房；普通安全區(qū)域包括開發(fā)部辦公室、管理中心、檔案室、其他辦公區(qū)域；大堂、雜物室、洽談室、公共會議室、接待室、員工休息區(qū)為一般區(qū)域。保密文件存放于帶鎖的柜子里。ISMS-P-2011《物理訪問控制程序》A.9.1.2物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán)，未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。外來人員進(jìn)入公司區(qū)域要進(jìn)行登記。臨時(shí)訪問的第三方應(yīng)在接待部門同意后，經(jīng)前臺登記可以進(jìn)入。進(jìn)入特別安全區(qū)域須被授權(quán)，進(jìn)出有記錄。員工加班也需登記。ISMS-P-2011《物理訪問控制程序》A.9.1.3辦公室、房間和設(shè)施的安全控制YES對安全區(qū)域內(nèi)的辦公室、房間和設(shè)施應(yīng)有特殊的安全要求。當(dāng)有緊急自然災(zāi)害發(fā)生，則需要提前示警。本公司制定《物力訪問控制程序》，避免出現(xiàn)對辦公室、房間和設(shè)施的未授權(quán)訪問。另外，對特別安全區(qū)域內(nèi)的辦公室和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害，這些控制措施包括：a)大廈配備有一定數(shù)量的消防設(shè)施；b)房間裝修符合消防安全的要求；c)易燃、易爆物品嚴(yán)禁存放在安全區(qū)域內(nèi)，并與安全區(qū)域保持一定的安全距離；d)辦公室或房間無人時(shí)，應(yīng)關(guān)緊窗戶，鎖好門；e)防雷擊設(shè)施由大廈物管每年檢測一次。ISMS-P-2011《物理訪問控制程序》A.9.1.4外部和環(huán)境威脅的安全保護(hù)控制YES加強(qiáng)公司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。機(jī)房設(shè)備安裝在距墻、門窗有一定距離的地方。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施。ISMS-P-2011《物理訪問控制程序》A.9.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全。處理敏感信息的設(shè)備不易被窺視。除非在公司設(shè)立的專門吸煙室外，其他任何地方禁止吸煙。公司建立ISMS-P-2011《物理訪問控制程序》等制度，明確規(guī)定員工在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工嚴(yán)格遵守。ISMS-P-2011《物理訪問控制程序》A.9.1.6公共訪問、交接區(qū)安全控制YES對特別安全區(qū)域，禁止外來人員直接進(jìn)入傳送物資是必要的。公司外的飲水送水人員、郵件投遞人員在送水、投遞過程中，不得進(jìn)入普通辦公室和特別安全區(qū)域。未經(jīng)授權(quán)，不允許外來人員直接進(jìn)入特別安全區(qū)域提供物資?？上却娣庞谇芭_或接待室，再由行政專員搬進(jìn)，以防止未經(jīng)授權(quán)的訪問。ISMS-P-2011《物理訪問控制程序》A.9.2設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動的中斷。A.9.2.1設(shè)備的安置和保護(hù)控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。設(shè)備使用部門負(fù)責(zé)對設(shè)備進(jìn)行定置管理和保護(hù)。為降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)，減少未經(jīng)授權(quán)的訪問機(jī)會，特采取以下措施：a)設(shè)備的定置，要考慮到盡可能減少對工作區(qū)不必要的訪問；b)對需要特別保護(hù)的設(shè)備加以隔離；c)采取措施，以盡量降低盜竊、火災(zāi)、爆炸、吸煙、灰塵、震動、化學(xué)影響、電源干憂、電磁輻射等威脅造成的潛在的風(fēng)險(xiǎn)；d)禁止在信息處理設(shè)施附近飲食、吸煙?！稒C(jī)房、專用平臺管理制度》A.9.2.2支持性設(shè)施控制YES供電中斷或異常會給信息系統(tǒng)造成影響，甚至影響正常的生產(chǎn)作業(yè)。大樓物業(yè)提供供電雙回路線路，確保不間斷供電。由XX部負(fù)責(zé)定期監(jiān)督。ISMS-P-2010《信息處理設(shè)備管理程序》A.9.2.3布纜的安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。XX部按照《信息處理設(shè)施維護(hù)管理程序》對傳輸線路進(jìn)行維護(hù)，防止線路故障。通信電纜與電力電纜分開鋪設(shè)，防止干擾。ISMS-P-2010《信息處理設(shè)備管理程序》A.9.2.4設(shè)備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)設(shè)備及用戶計(jì)算機(jī)終端（包括筆記本電腦）由XX部按照《信息處理設(shè)備管理程序》進(jìn)行維護(hù)。ISMS-P-2010《信息處理設(shè)備管理程序》A.9.2.5組織場所外的設(shè)備安全控制YES本公司有筆記本電腦移動設(shè)備，離開公司辦公場所應(yīng)進(jìn)行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生。筆記本電腦在離開規(guī)定的區(qū)域時(shí)，經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問，具體按照《信息系統(tǒng)硬件管理規(guī)定》執(zhí)行?！缎畔⑾到y(tǒng)硬件管理規(guī)定》A.9.2.6設(shè)備的安全處置或再利用控制YES對本公司儲存有關(guān)敏感信息的設(shè)備，對其處置時(shí)應(yīng)徹底清除。含有敏感信息的設(shè)備在報(bào)廢或改作他用時(shí)，由使用部門用安全的處置方法，將設(shè)備中存儲的敏感信息清除并保存清除記錄。ISMS-P-2010《信息處理設(shè)備管理程序》A.9.2.7資產(chǎn)的遷移控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會造成其丟失或非法訪問的危害。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán)，遷移活動應(yīng)被記錄。信息處理設(shè)施（網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)終端）的遷移控制執(zhí)行《信息處理設(shè)備管理程序》。ISMS-P-2010《信息處理設(shè)備管理程序》A.10通信和操作管理標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.10.1操作程序和職責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。A.10.1.1文件化作業(yè)程序控制YES標(biāo)準(zhǔn)規(guī)定的文件化程序要求必須予以滿足。本公司按照信息安全管理要求，對通信和操作建立規(guī)范化的操作。ISMS-P-2010《信息處理設(shè)備管理程序》A.10.1.2變更管理控制YES未加以控制的系統(tǒng)更改會造成系統(tǒng)故障和安全故障。對信息處理設(shè)施、軟件等方面的更改實(shí)施嚴(yán)格控制。在更改前評估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復(fù)。ISMS-P-2008《更改控制程序》A.10.1.3責(zé)任分割控制YES管理員與操作員職責(zé)應(yīng)予以分配，以防止未授權(quán)的更改及誤用信息或服務(wù)。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會，按以下要求進(jìn)行職責(zé)分配：a)網(wǎng)絡(luò)管理系統(tǒng)管理職責(zé)與操作職責(zé)分離；b)信息安全審核具有獨(dú)立性。ISMS-P-2012《用戶訪問控制程序》A.10.1.4開發(fā)、測試和運(yùn)行設(shè)施分離控制YES開發(fā)與操作設(shè)施應(yīng)分離，以防止不期望的系統(tǒng)的更改或未授權(quán)的訪問。XX部是在一個(gè)獨(dú)立的開發(fā)與測試環(huán)境中開發(fā)軟件，并與作業(yè)設(shè)施分離。研發(fā)和測試設(shè)備分離。操作系統(tǒng)管理員與用戶分離。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.10.2第三方服務(wù)交付管理控制YES執(zhí)行并保持與第三方服務(wù)交付協(xié)議相一致的信息安全和服務(wù)交付等級。檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相應(yīng)的變化，以確保交付的服務(wù)滿足第三方協(xié)議中的所有要求。A.10.2.1服務(wù)交付控制YES確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級。對第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。確保第三方保持充分的服務(wù)能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)交付的連貫性。《外包方控制辦法》A.10.2.2第三方服務(wù)的監(jiān)控和評審控制YES第三方提供的服務(wù)、報(bào)告以及記錄應(yīng)定期監(jiān)控和審核，并定期進(jìn)行評價(jià)。我公司有專門的人員跟蹤管理第三方服務(wù)，確保第三方分配的職責(zé)符合協(xié)議要求。對協(xié)議要求，特別是安全要求的符合性進(jìn)行監(jiān)控得到充分可用的資源和技術(shù)技能支持?！锻獍娇刂妻k法》與第三方簽訂的合同A.10.2.3第三方服務(wù)的變更管理控制YES對服務(wù)提供的更改進(jìn)行管理，包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、所涉及的過程以及風(fēng)險(xiǎn)的再評估。對第三方服務(wù)更改的管理過程需要考慮：a)組織的更改，包括加強(qiáng)當(dāng)前提供的服務(wù)，開發(fā)新應(yīng)用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提高安全性的新控制。b)第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商。ISMS-P-2008《更改控制程序》《外包方控制辦法》A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)YES使系統(tǒng)故障風(fēng)險(xiǎn)最小化。A.10.3.1容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，必須監(jiān)控容量需求并規(guī)劃將來容量。XX部負(fù)責(zé)對信息網(wǎng)絡(luò)系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.10.3.2系統(tǒng)驗(yàn)收控制YES對新的信息系統(tǒng)、系統(tǒng)升級或使用新版本的活動，建立接受標(biāo)準(zhǔn)和在接受之前進(jìn)行系統(tǒng)測試。新系統(tǒng)、系統(tǒng)升級接收前，系統(tǒng)驗(yàn)收部門明確接收準(zhǔn)則，經(jīng)測試合格后方可正式運(yùn)行，并保存測試記錄及驗(yàn)收報(bào)告。XX部負(fù)責(zé)辦公管理系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的驗(yàn)收。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.10.4防范惡意軟件目標(biāo)YES保護(hù)軟件和信息的完整性。A.10.4.1惡意代碼的控制控制YES惡意軟件的威脅是客觀存在的，特別是本公司許多電腦終端可以訪問Internet互聯(lián)網(wǎng)。IT部為控制惡意軟件的主管部門，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對技術(shù)工具進(jìn)行實(shí)時(shí)升級，各部門具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制工作。a)技術(shù)工具的應(yīng)用及其升級要求；b)查殺病毒的周期；c)預(yù)防惡意軟件意識培訓(xùn)；d)預(yù)防惡意軟件的一般要求；e)對重要系統(tǒng)的防范惡意軟件的特殊要求；f)發(fā)生惡意軟件的侵害應(yīng)急措施。ISMS-P-2029《惡意軟件控制程序》A.10.4.2移動代碼的控制控制YES移動代碼的控制是有效避免系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用資源以及信息安全的其他方面未授權(quán)應(yīng)用或破壞的基礎(chǔ)。授權(quán)使用移動代碼時(shí)，配置應(yīng)該確保已授權(quán)移動代碼的運(yùn)行符合明確定義的安全方針，未經(jīng)授權(quán)的移動代碼應(yīng)該被阻止執(zhí)行。ISMS-P-2029《惡意軟件控制程序》A.10.5備份目標(biāo)YES保持信息處理和通信服務(wù)的完整性和可用性。A.10.5.1信息備份控制YES必須對重要信息和軟件定期備份，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。本公司根據(jù)風(fēng)險(xiǎn)評估的結(jié)果對重要數(shù)據(jù)庫、軟件等進(jìn)行備份。XX部為全公司信息備份提供技術(shù)支持，各部門按照《重要信息備份管理程序》要求進(jìn)行備份。ISMS-P-2009《重要信息備份管理程序》A.10.6網(wǎng)絡(luò)安全管理目標(biāo)YES為保持對網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)A.10.6.1網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計(jì)、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)簡單，實(shí)施網(wǎng)絡(luò)控制是必須的，目前采用設(shè)計(jì)部門的內(nèi)部網(wǎng)與辦公系統(tǒng)的外部網(wǎng)絡(luò)物理隔離的方式。本公司網(wǎng)絡(luò)安全控制措施包括：a)對財(cái)務(wù)網(wǎng)絡(luò)與研發(fā)網(wǎng)絡(luò)物理隔離；b)對研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離；c)對網(wǎng)絡(luò)設(shè)備定期維護(hù)；d)對防火墻、交換機(jī)等實(shí)施安全配置管理；e)對用戶訪問網(wǎng)絡(luò)實(shí)施授權(quán)管理；f)實(shí)施有效的安全策略；g)對系統(tǒng)的變更進(jìn)行嚴(yán)格控制；h)對網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控；i)對網(wǎng)絡(luò)設(shè)備的變更進(jìn)行控制；j)對網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理。ISMS-P-2010《信息處理設(shè)備管理程序》ISMS-P-2008《更改控制程序》A.10.6.2網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性是實(shí)施網(wǎng)絡(luò)安全管理的需要。XX部根據(jù)組織的安全策略，識別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進(jìn)行參數(shù)配置與維護(hù)管理。ISMS-P-2010《信息處理設(shè)備管理程序》ISMS-P-2008《更改控制程序》A.10.7介質(zhì)處置目標(biāo)YES為防止資產(chǎn)損壞和業(yè)務(wù)活動中斷，根據(jù)媒體（包括產(chǎn)品）所儲存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生。A.10.7.1可移動介質(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報(bào)告等可移動媒體。可移動計(jì)算媒體包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報(bào)告，各部門按其管理權(quán)限并根據(jù)風(fēng)險(xiǎn)評估的結(jié)果對其實(shí)施有效的控制。媒體移動的記錄予以保持?！缎畔⑾到y(tǒng)硬件管理規(guī)定》A.10.7.2介質(zhì)的處置控制YES當(dāng)介質(zhì)不再需要時(shí)，必須對含有敏感信息的媒體采用安全的處置辦法。對于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，介質(zhì)處置部門按照《信息系統(tǒng)硬件管理規(guī)定》的要求，采取安全可靠處置的方法將其信息清除。《信息系統(tǒng)硬件管理規(guī)定》A.10.7.3信息處置程序控制YES對信息的處理與貯存采取適當(dāng)?shù)目刂品椒?，避免濫用或泄密的威脅。為保護(hù)敏感信息不會因未經(jīng)授權(quán)處理而造成泄漏或?yàn)E用，本公司在《密級控制程序》等文件中明確規(guī)定對敏感信息的復(fù)制、傳輸、使用、貯存、處理等活動的安全要求。ISMS-P-2020《密級控制程序》A.10.7.4系統(tǒng)文件的安全控制YES系統(tǒng)文件存在非授權(quán)訪問威脅。本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問授權(quán)說明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g)其它系統(tǒng)文件。ISMS-P-2020《密級控制程序》ISMS-P-2005《文件和資料管理程序》《信息系統(tǒng)硬件管理規(guī)定》A.10.8信息交換目標(biāo)YES明確信息和軟件交換的控制目標(biāo)，保護(hù)信息在交換時(shí)發(fā)生丟失、更改和誤用現(xiàn)象。A.10.8.1信息交換策略和程序控制YES本公司存在與其他組織進(jìn)行信息與軟件交換的活動。XX部在與顧客進(jìn)行產(chǎn)品（設(shè)計(jì)）數(shù)據(jù)、測試程序等數(shù)據(jù)與軟件交換的過程中采用以下的安全控制措施：a)簽訂安全保密協(xié)議；b)如果顧客有要求，采用加密方式傳輸數(shù)據(jù)；c)由授權(quán)人員接收并登記。《外包方控制辦法》A.10.8.2交換協(xié)議控制YES建立并遵守相應(yīng)的協(xié)議，以保護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)的安全。

在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中簽訂相關(guān)的安全控制協(xié)議：明確雙方的安全責(zé)任與安全交接方式；如果有要求，采用加密方式傳輸數(shù)據(jù)。與外部方簽訂的合同或協(xié)議A.10.8.3物理介質(zhì)的傳送控制YES本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運(yùn)輸活動，確定安全的傳送方法是必要的。為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)（包括保密產(chǎn)品的運(yùn)輸）傳送的部門采用以下方法進(jìn)行控制：a)選擇適宜的安全傳送方式，對保密產(chǎn)品運(yùn)輸供方進(jìn)行選擇與評價(jià)，并與之簽訂保密協(xié)議；b)保持傳送活動記錄?！锻獍娇刂妻k法》A.10.8.4電子郵件安全控制YES本公司有企業(yè)郵箱，員工可采用電子郵件方式進(jìn)行信息交換，公司與外部客戶通過電子郵件進(jìn)行安全交換時(shí)進(jìn)行了安全控制。基于業(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計(jì)算機(jī)病毒的原則，本公司建立了電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。本公司有內(nèi)部電子郵件系統(tǒng)，只有授權(quán)的用戶履行審批手續(xù)才可以使用。《信息安全獎勵(lì)、懲戒管理規(guī)定》《電郵電話管理規(guī)定》A.10.8.5業(yè)務(wù)信息系統(tǒng)控制YES本公司各系統(tǒng)間存在信息交流。本公司建立的辦公自動化是以單機(jī)為基礎(chǔ)，不存在業(yè)務(wù)的交互式連接，對其控制依賴人員的意識和經(jīng)驗(yàn)技能，其中紙質(zhì)文件按照密級和文件管理程序加以控制，減少信息的泄露及越權(quán)濫用。ISMS-P-2020《密級控制程序》A.10.9電子商務(wù)服務(wù)目標(biāo)YES確保電子商務(wù)服務(wù)的安全及其安全使用。A.10.9.1電子商務(wù)控制NO本公司不涉及電子商務(wù)，本控制措施不適用。A.10.9在線交易控制NO本公司不涉及在線交易，本控制措施不適用。A.10.9公共可用信息控制YES在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改。A.10.10監(jiān)視目標(biāo)YES探測未經(jīng)授權(quán)的信息處理活動。A.10.10.1審計(jì)記錄控制YES為訪問監(jiān)測提供幫助，建立事件記錄（審核日志）是必須的。公司信息安全范圍邊境監(jiān)控是外包的。公司內(nèi)部監(jiān)控是由專人進(jìn)行出入登記。公司所有的信息處理設(shè)施其日志處于打開狀態(tài)，做審計(jì)時(shí)的證據(jù)。《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》ISMS-P-2010《信息處理設(shè)備管理程序》A.10.10.2監(jiān)視系統(tǒng)的使用控制YES建立監(jiān)控程序并對監(jiān)控結(jié)果評審是預(yù)防事故發(fā)生的重要手段。監(jiān)控部門按照規(guī)定周期對對監(jiān)控結(jié)果進(jìn)行評審，確保用戶只執(zhí)行被明確授權(quán)的活動。發(fā)現(xiàn)異常事件應(yīng)采取必要的措施并實(shí)施?！断到y(tǒng)邏輯訪問管理制度》A.10.10.3日志信息的保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。實(shí)施控制，防止對日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題.ISMS-P-2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》A.10.10.4管理員和操作員日志控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。管理員和操作員的日志應(yīng)該包括：a)事情（成功或失敗）發(fā)生的時(shí)間；b)事情的有關(guān)信息（如：操作的文件）或故障信息；c)涉及哪一個(gè)賬號以及哪一個(gè)管理員或操作員；d)涉及哪一個(gè)過程。ISMS-P-2012《用戶訪問控制程序》ISMS-P-2010《信息處理設(shè)備管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》A.10.10.5故障日志控制YES應(yīng)記錄、分析故障并采取適當(dāng)?shù)拇胧?。?guī)定了用戶或系統(tǒng)程序報(bào)告的有關(guān)信息處理系統(tǒng)的問題如何記錄，以及清楚的規(guī)定了如何處理報(bào)告的故障。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》《系統(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》ISMS-P-2010《信息處理設(shè)備管理程序》A.10.10.6時(shí)鐘同步控制YES采取適當(dāng)?shù)拇胧?shí)施時(shí)鐘同步，是日常經(jīng)營與獲取客觀證據(jù)的需要。公司用網(wǎng)絡(luò)時(shí)間協(xié)議保持所有服務(wù)器與主時(shí)鐘同步。保持本地時(shí)間與世界標(biāo)準(zhǔn)時(shí)間（UTC）一致?！断到y(tǒng)日常點(diǎn)檢業(yè)務(wù)手冊》A.11訪問控制標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.11.1訪問控制的業(yè)務(wù)要求目標(biāo)YES控制對信息的訪問。A.11.1.1訪問控制策略控制YES明確訪問的業(yè)務(wù)要求，并符合信息安全方針的規(guī)定要求，對信息訪問實(shí)施有效控制。本公司基于以下原則制定文件化的訪問控制策略，明確規(guī)定訪問的控制要求，《物理邏輯訪問權(quán)限說明書》中規(guī)定訪問控制規(guī)則和每個(gè)用戶或用戶組的訪問權(quán)力，訪問規(guī)則的制定基于以下方面考慮：a)每個(gè)業(yè)務(wù)應(yīng)用的安全要求；b)在不同系統(tǒng)與網(wǎng)絡(luò)間，訪問控制與信息分類策略要保持一致；c)數(shù)據(jù)和服務(wù)訪問符合有關(guān)法律和合同義務(wù)的要求；d)對各種訪問權(quán)限的實(shí)施管理。ISMS-P-2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》《物理邏輯訪問權(quán)限說明書》A.11.2用戶訪問管理目標(biāo)YES防止對信息系統(tǒng)未經(jīng)授權(quán)的訪問。A.11.2.1用戶注冊控制YES本公司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和解除登記程序。根據(jù)訪問控制策略及《物理邏輯訪問權(quán)限說明書》確定的訪問規(guī)則，訪問權(quán)限管理部門對用戶（包括第三方用戶)進(jìn)行書面訪問授權(quán)，若發(fā)生以下情況，對其訪問權(quán)將從系統(tǒng)中予以注銷：a)內(nèi)部用戶雇傭合同終止時(shí)；b)內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問服務(wù)時(shí)；c)第三方訪問合同終止時(shí)；d)其它情況必須注銷時(shí)。ISMS-P-2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》A.11.2.2特權(quán)管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán)，特權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的破壞。特權(quán)分配以“使用需要”和“事件緊跟”為基礎(chǔ)，即需要時(shí)僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后將被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)（最小特權(quán)原則)。網(wǎng)絡(luò)系統(tǒng)管理員、安全員擁有特權(quán)，只有經(jīng)過書面授權(quán)，其特權(quán)才被認(rèn)可。當(dāng)特權(quán)擁有者因公出差或其它原因暫時(shí)離開工作崗位時(shí)，特權(quán)部門負(fù)責(zé)人應(yīng)對特權(quán)實(shí)行緊急安排，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員，以保證系統(tǒng)正常運(yùn)行；當(dāng)特權(quán)擁有者返回工作崗位時(shí)，及時(shí)收回特權(quán)；特權(quán)的交接應(yīng)有可靠安全的方法。ISMS-P-2012《用戶訪問控制程序》A.11.2.3用戶口令管理控制YES用戶訪問信息系統(tǒng)和服務(wù)是按授權(quán)的范圍進(jìn)行訪問的，并擁有口令，因此建立正式的管理過程對口令進(jìn)行分配并控制是必須的。各系統(tǒng)管理員按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a)管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時(shí)口令。b)當(dāng)用戶忘記口令時(shí)，可由系統(tǒng)管理員幫其找回或重新分配安全的口令。c)禁止將口令以無保護(hù)的形式存儲在計(jì)算機(jī)系統(tǒng)內(nèi)。XX部管理執(zhí)行《用戶口令管理規(guī)定》。ISMS-P-2012《用戶訪問控制程序》A.11.2.4用戶訪問權(quán)的評審控制YES內(nèi)部用戶會發(fā)生崗位變化，或有的用戶的訪問權(quán)是有時(shí)限要求的，為防止非授權(quán)的訪問，對用戶訪問的評審是必要的。用戶訪問權(quán)限主管部門每半年對一般用戶訪問權(quán)進(jìn)行評審，對特權(quán)用戶每季度進(jìn)行評審一次，注銷非法用戶或過期無效用戶的訪問權(quán)，評審結(jié)應(yīng)予以保持。ISMS-P-2012《用戶訪問控制程序》A.11.3用戶職責(zé)目標(biāo)YES明確用戶責(zé)任,防止非授權(quán)用戶的訪問A.11.3.1口令使用控制YES使用戶遵循口令使用規(guī)則，防止口令泄密或被解密。本公司在《用戶訪問控制程序》中明確規(guī)定了口令安全選擇與使用要求，所有用戶須嚴(yán)格遵守。實(shí)施口令定期變更策略。ISMS-P-2012《用戶訪問控制程序》

A.11.3.2無人值守的用戶設(shè)備控制YES在用戶范圍內(nèi)安裝的設(shè)備在無人值守時(shí)需要專門的保護(hù)，以防止未授權(quán)的訪問本公司在《用戶訪問控制程序》和《信息處理設(shè)備管理程序》中覆蓋了對無人值守設(shè)備的安全要求和規(guī)程，以及對于實(shí)現(xiàn)這種保護(hù)所負(fù)有的職責(zé)。托管的服務(wù)器由托管方負(fù)責(zé)執(zhí)行維護(hù)。ISMS-P-2010《信息處理設(shè)備管理程序》A.11.3.3清空桌面和屏幕策略控制YES不實(shí)行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。本公司在中制定清除桌面、清除屏幕的策略并實(shí)施，各部門負(fù)責(zé)人負(fù)責(zé)監(jiān)督。各部門員工自覺履行該策略的日常實(shí)施。ISMS-P-2010《信息處理設(shè)備管理程序》A.11.4網(wǎng)絡(luò)訪問控制目標(biāo)YES保護(hù)網(wǎng)絡(luò)服務(wù)。A.11.4.1網(wǎng)絡(luò)服務(wù)使用策略控制YES制定策略，明確用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止非授權(quán)的網(wǎng)絡(luò)訪問。本公司建立并網(wǎng)絡(luò)服務(wù)安全策略，以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量。ISMS-P-2012《用戶訪問控制程序》A.11.4.2外部聯(lián)接用戶的驗(yàn)證控制YES適當(dāng)?shù)氖褂描b別方法以控制遠(yuǎn)程用戶的訪問本公司不存在VPN、遠(yuǎn)程登錄工作、WEB服務(wù)器、郵件服務(wù)器，登陸網(wǎng)絡(luò)需要輸入用戶名、密碼。ISMS-P-2012《用戶訪問控制程序》A.11.4.3網(wǎng)絡(luò)上的設(shè)備標(biāo)識控制YES考慮將自動設(shè)備鑒別作為一種證明從特定位置和設(shè)備進(jìn)行連接的手段。網(wǎng)絡(luò)有不同的敏感程度，局域網(wǎng)標(biāo)識符可明確顯示設(shè)備能否被允許接入的網(wǎng)絡(luò)。本公司不設(shè)立無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)連接時(shí)，需要使用固定IP，采用路由器的日志監(jiān)控連接的用戶身份。ISMS-P-2012《用戶訪問控制程序》A11.4.4遠(yuǎn)程診斷端口和配置端口的保護(hù)控制YES對于診斷和配置端口的訪問采取控制措施。對端口保護(hù)采用物理的方法。ISMS-P-2011《物理訪問控制程序》A.11.4.5網(wǎng)絡(luò)的隔離控制YES涉密網(wǎng)絡(luò)應(yīng)予以隔離。為確保本公司網(wǎng)絡(luò)安全，采用物理和邏輯兩種方式進(jìn)行網(wǎng)絡(luò)隔離：a)通過防火墻將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)實(shí)施邏輯隔離；b)研發(fā)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離?！断到y(tǒng)邏輯訪問管理制度》ISMS-P-2012《用戶訪問控制程序》A.11.4.6網(wǎng)絡(luò)連接控制控制YES共享網(wǎng)絡(luò)，用戶的連接權(quán)能應(yīng)予以控制。XX部根據(jù)訪問控制策略的要求限制用戶的連接能力。例如通過網(wǎng)絡(luò)網(wǎng)關(guān)來控制，網(wǎng)關(guān)的安全設(shè)置與組織的訪問控制策略保持一致。XX部確定全公司范圍內(nèi)的可共享的服務(wù)與信息，各部門確定本部門服務(wù)器可共享的服務(wù)與信息，用戶間的信息交流應(yīng)采用公司內(nèi)部電子郵件進(jìn)行。《系統(tǒng)邏輯訪問管理制度》ISMS-P-2012《用戶訪問控制程序》A.11.4.7網(wǎng)絡(luò)路由控制控制YES本公司內(nèi)外網(wǎng)絡(luò)間連接均通過路由器，為確保網(wǎng)絡(luò)安全實(shí)施路由控制是必要的。XX部應(yīng)根據(jù)網(wǎng)絡(luò)安全要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機(jī)制，對路由實(shí)施控制?！断到y(tǒng)邏輯訪問管理制度》A.11.5操作系統(tǒng)的訪問控制目標(biāo)YES防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問。A.11.5.1終端安全登錄程序控制YES為減少非授權(quán)訪問的機(jī)會，對信息服務(wù)系統(tǒng)的訪問采用安全登錄程序。本公司通過路由技術(shù)手段提供安全的系統(tǒng)登錄程序。ISMS-P-2012《用戶訪問控制程序》A.11.5.2用戶身份標(biāo)識與鑒別控制YES為查處活動的個(gè)人責(zé)任，對連接到網(wǎng)絡(luò)終端應(yīng)有唯一的用戶ID。用戶有唯一的識別符，以便用戶單獨(dú)使用時(shí)，能查處活動的個(gè)人責(zé)任。用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置，如果多個(gè)用戶共用一個(gè)識別符，須由訪問授權(quán)主管部門授權(quán)。用戶識別符可以由用戶名稱加口令或其它適宜方式組成。ISMS-P-2012《用戶訪問控制程序》A.11.5.3口令管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機(jī)會，應(yīng)建立口令管理系統(tǒng)。XX部實(shí)施口令管理，通過技術(shù)手段提供有效的、互動的設(shè)施以確?？诹钯|(zhì)量。除非一次性的口令系統(tǒng)，通過操作系統(tǒng)的強(qiáng)制措施要求用戶定期變更口令。ISMS-P-2012《用戶訪問控制程序》A.11.5.4系統(tǒng)實(shí)用工具的使用控制YES對系統(tǒng)實(shí)用程序的使用應(yīng)控制，防止惡意破壞系統(tǒng)安全。XX部門應(yīng)對系統(tǒng)實(shí)用程序的使用進(jìn)行限制和嚴(yán)格控制，只有經(jīng)過授權(quán)的系統(tǒng)管理員才可以使用實(shí)用程序，如優(yōu)化大師，超級兔子等。ISMS-P-2012《用戶訪問控制程序》A.11.5.5會話超時(shí)控制YES為防止非法用戶訪問高風(fēng)險(xiǎn)區(qū)域系統(tǒng)管理終端，閑置不用時(shí)應(yīng)建立終端時(shí)限（鎖屏）。各系統(tǒng)管理員在其管理的終端處于不活動時(shí)，應(yīng)利用鎖屏（LOCKSCREEN）清除屏幕，以防止非授權(quán)的訪問，但不關(guān)閉應(yīng)用或網(wǎng)絡(luò)話路。對于財(cái)務(wù)系統(tǒng)的負(fù)責(zé)人要求在離開時(shí)應(yīng)鎖定或注銷系統(tǒng)。ISMS-P-2012《用戶訪問控制程序》ISMS-P-2010《信息處理設(shè)備管理程序》A.11.5.6聯(lián)接時(shí)間的限制控制YES使用聯(lián)接時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。使用預(yù)先定義的時(shí)隙，例如對批文件傳輸?；蚨ㄆ诘亩唐诮换?；將連機(jī)時(shí)間限于正常的辦公時(shí)間；對備份服務(wù)器的連接時(shí)間設(shè)定為2小時(shí)/次。ISMS-P-2012《用戶訪問控制程序》ISMS-P-2010《信息處理設(shè)備管理程序》A.11.6應(yīng)用和信息訪問控制目標(biāo)YES防止未經(jīng)授權(quán)訪問信息系統(tǒng)內(nèi)的信息。A.11.6.1信息訪問限制控制YES本公司信息訪問權(quán)限是根據(jù)業(yè)務(wù)運(yùn)做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應(yīng)加以限制。根據(jù)本公司管理要求和訪問策略，向授權(quán)的用戶提供訪問信息和應(yīng)用系統(tǒng)功能。用戶訪問公司信息和應(yīng)用系統(tǒng)功能的授權(quán)執(zhí)行《用戶訪問控制程序》。ISMS-P-2012《用戶訪問控制程序》《系統(tǒng)邏輯訪問管理制度》A.11.6.2敏感系統(tǒng)隔離控制YES本公司開發(fā)系統(tǒng)等為敏感系統(tǒng)，使用獨(dú)立的計(jì)算環(huán)境是必須的。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對敏感系統(tǒng)予以隔離ISMS-P-2012《用戶訪問控制程序》ISMS-P-2010《信息處理設(shè)備管理程序》A.11.7移動式計(jì)算和遠(yuǎn)程工作目標(biāo)YES明確控制目標(biāo)，確保移動式計(jì)算和遠(yuǎn)程工作設(shè)施的信息安全。A.11.7.1移動式計(jì)算和通訊控制YES本公司擁有筆記本電腦等移動式計(jì)算或通信設(shè)施，應(yīng)予以控制防止其失竊及未授權(quán)的訪問。本公司建立實(shí)施《信息處理設(shè)備管理程序》，對筆記本電腦的移動辦公實(shí)施有效可行的安全管理。ISMS-P-2010《信息處理設(shè)備管理程序》A.11.7.2遠(yuǎn)程工作控制YES我司涉及到遠(yuǎn)程工作，應(yīng)為遠(yuǎn)程工作活動開發(fā)和實(shí)施策略、操作計(jì)劃和規(guī)程。本公司建立《遠(yuǎn)程工作控制程序》，對遠(yuǎn)程工作場地合適的保護(hù)，以防范設(shè)備和信息被竊、信息的未授權(quán)泄露、對組織內(nèi)部系統(tǒng)的未授權(quán)遠(yuǎn)程訪問或設(shè)施濫用。ISMS-P-2028《遠(yuǎn)程工作控制程序》《信息系統(tǒng)硬件管理規(guī)定》《系統(tǒng)邏輯訪問管理制度》A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.12.1信息系統(tǒng)安全要求目標(biāo)YES確保安全性已構(gòu)成信息系統(tǒng)的一部分。A.12.1.1安全要求分析和說明控制YES為確保系統(tǒng)具有一定的安全功能及規(guī)避開發(fā)過程的安全風(fēng)險(xiǎn)，增加新系統(tǒng)或擴(kuò)大原有系統(tǒng)，應(yīng)確定控制要求。XX部在進(jìn)行新系統(tǒng)開發(fā)或系統(tǒng)更新時(shí)，首先對系統(tǒng)進(jìn)行分析，根據(jù)業(yè)務(wù)功能要求及信息安全要求明確規(guī)定控制要求，包括：a)系統(tǒng)的安全特性；b)對現(xiàn)有的系統(tǒng)安全影響；c)設(shè)計(jì)過程中的安全控制要求。系統(tǒng)（軟件）本身的功能及安全特性在設(shè)計(jì)開發(fā)輸入時(shí)明確提出，并進(jìn)行評審。其他應(yīng)用系統(tǒng)開發(fā)由IT部按照《系統(tǒng)開發(fā)與維護(hù)管理程序》執(zhí)行。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.12.2應(yīng)用程序的正確處理控制YES防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)丟失、修改或?yàn)E用。A.12.2.1輸入數(shù)據(jù)的驗(yàn)證控制YES輸入到應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)進(jìn)行確認(rèn)，以保證輸入數(shù)據(jù)的正確與適當(dāng)，防止數(shù)據(jù)誤用導(dǎo)致信息完整性問題。系統(tǒng)開發(fā)應(yīng)明確應(yīng)用系統(tǒng)輸入數(shù)據(jù)確認(rèn)的要求，以確保輸入數(shù)據(jù)正確和恰當(dāng)。各部門應(yīng)用系統(tǒng)的操作人員對輸入到系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行認(rèn)真核對，對于關(guān)鍵或重要數(shù)據(jù)的輸入，由相應(yīng)的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)?！断到y(tǒng)邏輯訪問管理制度》A.12.2.2內(nèi)部處理控制控制YES已正確輸入的數(shù)據(jù)可因處理錯(cuò)誤或通過不慎運(yùn)作而被破壞，有效的檢查應(yīng)并入系統(tǒng)中。系統(tǒng)開發(fā)應(yīng)考慮系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求，以查處數(shù)據(jù)處理過程的錯(cuò)誤。《系統(tǒng)邏輯訪問管理制度》A.12.2.3消息的完整性控制YES確保識別真實(shí)性和消息的完整性利用人員經(jīng)驗(yàn)來進(jìn)行識別信息的真實(shí)性與完整性；在操作過程中防止輸入數(shù)據(jù)被截取或修改。在架構(gòu)上采用HTTP方式傳輸數(shù)據(jù)，該協(xié)議帶有驗(yàn)證消息完整性功能。《系統(tǒng)邏輯訪問管理制度》A.12.2.4輸出數(shù)據(jù)的驗(yàn)證控制YES盡管數(shù)據(jù)的輸入和處理是正確的，輸出仍然可能包含錯(cuò)誤或有害的修改。系統(tǒng)開發(fā)應(yīng)考慮應(yīng)用系統(tǒng)輸出數(shù)據(jù)確認(rèn)的要求，以確保對貯存的信息處理的正確和環(huán)境相適應(yīng)。各部門應(yīng)用系統(tǒng)的操作人員應(yīng)對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行認(rèn)真核對，對于關(guān)鍵或重要的輸出數(shù)據(jù)，應(yīng)由相應(yīng)的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)。《系統(tǒng)邏輯訪問管理制度》A.12.3密碼技術(shù)控制目標(biāo)NO本公司目前不存在使用密碼技術(shù)的條件和合同、法規(guī)要求，本條款不適用。A.12.3.1使用密碼控制的策略控制NO本公司目前不存在使用密碼技術(shù)的條件和合同、法規(guī)要求，本條款不適用。A.12.3.2密鑰管理控制NO本公司目前不存在使用密碼技術(shù)的條件和合同、法規(guī)要求，本條款不適用。A.12.4系統(tǒng)文件的安全目標(biāo)YES確保信息技術(shù)項(xiàng)目和支持活動以安全的方式進(jìn)行。A.12.4.1操作軟件的控制控制YES對軟件在作業(yè)系統(tǒng)中的執(zhí)行應(yīng)予以控制，否則易受到未經(jīng)授權(quán)的軟件安裝和更改的影響，導(dǎo)致系統(tǒng)及數(shù)據(jù)完整性丟失。系統(tǒng)主管部門應(yīng)對軟件在作業(yè)系統(tǒng)的執(zhí)行進(jìn)行嚴(yán)格控制，在新軟件安裝或軟件升級之前，應(yīng)經(jīng)主管部門負(fù)責(zé)人審核同意后方可進(jìn)行。計(jì)算機(jī)終端用戶除非授權(quán)，否則嚴(yán)禁私自安裝任何軟件。ISMS-P-2010《信息處理設(shè)備管理程序》ISMS-P-2008《更改控制程序》A.12.4.2系統(tǒng)測試數(shù)據(jù)的保護(hù)控制YES對包括敏感作業(yè)數(shù)據(jù)的測試數(shù)據(jù)不適當(dāng)?shù)谋Ｗo(hù)會涉及到保密性的破壞。當(dāng)系統(tǒng)測試數(shù)據(jù)使用作業(yè)數(shù)據(jù)，并且包含敏感信息時(shí)，測試部門按以下要求對測試數(shù)據(jù)進(jìn)行保護(hù)：a)對測試應(yīng)用系統(tǒng)的活動進(jìn)行授權(quán)；b)作業(yè)信息每一次復(fù)制到測試應(yīng)用系統(tǒng)，須被系統(tǒng)主管部門授權(quán)；c)測試完成之后，立即從測試應(yīng)用系統(tǒng)中消除作業(yè)信息。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.12.4.3對程序源代碼的訪問控制控制YES本公司有軟件開發(fā)活動，有程序源庫（源代碼)存在，需要控制。為降低計(jì)算機(jī)程序被破壞的可能性，系統(tǒng)設(shè)計(jì)開發(fā)部按以下要求對源程序庫（源代碼）實(shí)施管理：a)可能的話，不將源程序庫保存在運(yùn)作系統(tǒng)中，源程序盡量與應(yīng)用分開；b)各項(xiàng)應(yīng)用應(yīng)指定程序庫管理員；c)信息技術(shù)支持人員不應(yīng)當(dāng)自由訪問源程序庫；d)源程序庫的更新和向程序員發(fā)布的源程序，應(yīng)由指定的程序庫管理員根據(jù)授權(quán)來完成。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.12.5開發(fā)和支持過程的安全目標(biāo)YES確保應(yīng)用系統(tǒng)軟件和信息的安全。A.12.5.1更改控制程序控制YES為防止未授權(quán)或不充分的更改，避免系統(tǒng)故障與中斷，需要實(shí)施嚴(yán)格更改控制。為使信息系統(tǒng)的損害降至最小，對應(yīng)用系統(tǒng)軟件在開發(fā)過程中的任何更改，須進(jìn)行適當(dāng)?shù)臏y試與評審，經(jīng)開發(fā)軟件負(fù)責(zé)人批準(zhǔn)后予以實(shí)施。操作系統(tǒng)（OS）及應(yīng)用系統(tǒng)的升級須經(jīng)過系統(tǒng)主管部門測試、評審與批準(zhǔn)后方可進(jìn)行。ISMS-P-2008《更改控制程序》ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》A.12.5.2操作系統(tǒng)（OS)更改后對應(yīng)用的程序評審控制YES操作系統(tǒng)的不充分更改對應(yīng)用系統(tǒng)會造成嚴(yán)重的影響。當(dāng)操作系統(tǒng)（OS）發(fā)生更改時(shí)，操作系統(tǒng)更改對應(yīng)用系統(tǒng)的影響應(yīng)由系統(tǒng)主管部門進(jìn)行評審，確保對應(yīng)用程序的作業(yè)或安全措施無不利影響。ISMS-P-2008《更改控制程序》ISMS-P-2010《信息處理設(shè)備管理程序》A.12.5.3軟件包的更改限制控制YES軟件包的更改會引入薄弱點(diǎn)，導(dǎo)致內(nèi)部控制故障，應(yīng)進(jìn)行嚴(yán)格限制。本公司不鼓勵(lì)修改軟件包，如果有必要進(jìn)行更改，更改部門在實(shí)施前進(jìn)行風(fēng)險(xiǎn)評估，確定必須的控制措施，保留原始軟件，并在完全一樣的復(fù)制軟件上進(jìn)行更改，更改實(shí)施前須得到系統(tǒng)主管部門的授權(quán)。ISMS-P-2008《更改控制程序》A.12.5.4信息泄漏控制YES軟件的采購、使用或修改會有隱藏通道和特洛伊代碼的威脅，應(yīng)采取措施予以控制對軟件的采購、使用、變更及開發(fā)過程進(jìn)行控制和檢查，以防止可能的隱藏通道和特洛伊木馬。ISMS-P-2029《惡意軟件控制程序》A.12.5.5外包軟件開發(fā)控制YES本公司存在軟件外包開發(fā)的活動，應(yīng)予以控制。本公司不外包定制軟件。購買成品軟件安裝使用前須進(jìn)行測試，以防止隱藏通道及特洛伊碼的存在。ISMS-P-2014《系統(tǒng)開發(fā)與維護(hù)控制程序》ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》A.12.6技術(shù)薄弱點(diǎn)管理目標(biāo)YES降低由已經(jīng)公布的薄弱點(diǎn)所帶來破壞的風(fēng)險(xiǎn)。A.12.6.1技術(shù)薄弱點(diǎn)的控制控制YES及時(shí)獲得正在使用信息系統(tǒng)的技術(shù)薄弱點(diǎn)的相關(guān)信息，應(yīng)評估對這些薄弱點(diǎn)的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險(xiǎn)。XX部門對技術(shù)薄弱點(diǎn)應(yīng)進(jìn)行風(fēng)險(xiǎn)評估，進(jìn)行專項(xiàng)分析，制訂風(fēng)險(xiǎn)處理計(jì)劃，根據(jù)風(fēng)險(xiǎn)處理計(jì)劃采取對應(yīng)的技術(shù)和管理措施。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》A.13信息安全事件管理標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.13.1報(bào)告信息安全事件和弱點(diǎn)目標(biāo)YES保證與信息系統(tǒng)相關(guān)聯(lián)的信息安全事情和弱點(diǎn)的溝通，溝通的方式應(yīng)允許采取及時(shí)糾正措施。A.13.1.1報(bào)告信息安全事件控制YES安全事件、事故有可能發(fā)生，一旦發(fā)生必須報(bào)告。安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、事情、事故責(zé)任者應(yīng)立即向主管部門報(bào)告，主管部門和責(zé)任部門應(yīng)及時(shí)對事情、事故進(jìn)行反應(yīng)處理。所有員工有報(bào)告安全事情、事故的義務(wù)。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》ISMS-P-2007《糾正/預(yù)防措施控制程序》A.13.1.2報(bào)告安全弱點(diǎn)控制YES安全薄弱點(diǎn)是不可避免的,建立報(bào)告制度是預(yù)防發(fā)生的最好途徑之一。各部門及全體員工應(yīng)按照要求及時(shí)識別安全薄弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或安全管理負(fù)責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》A.13.2信息安全事件和改進(jìn)的管理目標(biāo)YES保證應(yīng)用于信息安全事件管理的方法的一致和有效。A.13.2.1責(zé)任和程序控制YES建立管理責(zé)任和程序以保證對信息安全事件快速、有效和有序地做出響應(yīng)。事故主管部門接到報(bào)告以后，應(yīng)立即進(jìn)行迅速、有效和有序的反應(yīng)。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》ISMS-P-2007《糾正/預(yù)防措施控制程序》A.13.2.2對信息安全事件的總結(jié)控制YES只有對事故進(jìn)行有效鑒定，才能從中吸取教訓(xùn)，防止再發(fā)生。事故發(fā)生后，主管部門對事故發(fā)生的原因、類型、損失進(jìn)行鑒定，提出防止此類事故再次發(fā)生的措施或建議，形成事故調(diào)查分析及處理報(bào)告，責(zé)成有關(guān)部門實(shí)施糾正措施。事故和處理過程結(jié)果應(yīng)予以記錄，重大事故應(yīng)提交信息安全管理委員會評審。具體執(zhí)行《事故、薄弱點(diǎn)與故障管理程序》。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》ISMS-P-2007《糾正/預(yù)防措施控制程序》A.13.2.3證據(jù)的收集控制YES當(dāng)信息安全事件發(fā)生后對個(gè)人或組織的后續(xù)行為涉及到法律行為時(shí)，所提供的證據(jù)應(yīng)符合相關(guān)的證據(jù)法規(guī)。XX部負(fù)責(zé)發(fā)生法律糾紛與訴訟的證據(jù)收集，并確保證據(jù)收集應(yīng)符合以下要求：a)所呈證據(jù)應(yīng)符合國家有關(guān)的證據(jù)法規(guī)；b)符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)；c)對已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞；d) 收集到的證據(jù)符合法庭所要求的形式。ISMS-P-2033《事故、事件、薄弱點(diǎn)與故障管理程序》ISMS-P-2006《記錄管理程序》A.14業(yè)務(wù)持續(xù)性管理標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.14.1業(yè)務(wù)持續(xù)性管理的內(nèi)容目標(biāo)YES抵消業(yè)務(wù)活動受到干擾的影響，并防止關(guān)鍵業(yè)務(wù)處理受大的信息系統(tǒng)故障或者災(zāi)難的影響，確保能夠及時(shí)恢復(fù)基本運(yùn)行。A.14.1.1業(yè)務(wù)持續(xù)性管理過程中包含的信息安全控制YES為保持公司業(yè)務(wù)的可持續(xù)性發(fā)展，應(yīng)建立商業(yè)持續(xù)性管理過程。公司建立并實(shí)施《業(yè)務(wù)持續(xù)性管理程序》，在發(fā)生災(zāi)難或安全故障時(shí)，實(shí)施持續(xù)性管理計(jì)劃，確保關(guān)鍵業(yè)務(wù)及時(shí)得到恢復(fù)。ISMS-P-2034《業(yè)務(wù)持續(xù)性管理程序》A.14.1.2業(yè)務(wù)持續(xù)性和風(fēng)險(xiǎn)分析控制YES業(yè)務(wù)持續(xù)性計(jì)劃的制定，是建立在適當(dāng)風(fēng)險(xiǎn)評估的分析基礎(chǔ)上。為達(dá)到公司儲存數(shù)據(jù)、培訓(xùn)、測試等業(yè)務(wù)的持續(xù)性目標(biāo)，IT部組織有關(guān)部門在適當(dāng)?shù)娘L(fēng)險(xiǎn)評估的基礎(chǔ)上，進(jìn)行災(zāi)難及系統(tǒng)中斷影響分析，識別出造成關(guān)鍵業(yè)務(wù)中斷的主要事件及其影響。在災(zāi)難及系統(tǒng)中斷影響分析的基礎(chǔ)上，確定業(yè)務(wù)持續(xù)性總體處理方法。ISMS-P-2034《業(yè)務(wù)持續(xù)性管理程序》A.14.1.3編制和實(shí)施實(shí)施持續(xù)性計(jì)劃控制YES為確保本公司與設(shè)計(jì)、制造、銷售、測試等關(guān)鍵業(yè)務(wù)中斷能及時(shí)恢復(fù)，應(yīng)編寫并實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃。有關(guān)部門應(yīng)編制《持續(xù)性管理戰(zhàn)略計(jì)劃》，由信息安全管理者代表批準(zhǔn)，以便在儲存數(shù)據(jù)、培訓(xùn)、測試等關(guān)鍵業(yè)務(wù)發(fā)生中斷或故障后，實(shí)施持續(xù)性管理計(jì)劃，以保證公司關(guān)鍵業(yè)務(wù)中斷的及時(shí)恢復(fù)。持續(xù)性計(jì)劃應(yīng)對應(yīng)急措施和有關(guān)部門與人員的職責(zé)給予明確規(guī)定。ISMS-P-2034《業(yè)務(wù)持續(xù)性管理程序》A.14.1.4業(yè)務(wù)持續(xù)性策劃框架控制YES不同的業(yè)務(wù)持續(xù)性計(jì)劃之間應(yīng)保持一致性。應(yīng)保持獨(dú)立的業(yè)務(wù)持續(xù)性計(jì)劃的框架，以確定各種計(jì)劃的一致性并確定檢測和維護(hù)的優(yōu)先權(quán)。ISMS-P-2034《業(yè)務(wù)持續(xù)性管理程序》A.14.1.5業(yè)務(wù)持續(xù)性計(jì)劃的測試、保持和重新評估控制YES為保持業(yè)務(wù)持續(xù)性計(jì)劃的時(shí)效和有效性，應(yīng)定期試驗(yàn)、維護(hù)和評審。每年XX部組織有關(guān)部門采取適宜的測試方法對《持續(xù)性管理戰(zhàn)略計(jì)劃》進(jìn)行測試，并保持測試記錄；每次測試后，XX部組織與計(jì)劃有關(guān)的部門對計(jì)劃的時(shí)效和有效性進(jìn)行評審，必要時(shí)，對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行修改。ISMS-P-2034《業(yè)務(wù)持續(xù)性管理程序》A.15符合性標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.15.1符合法律、法規(guī)要求目標(biāo)YES避免違反任何民法、刑法、規(guī)章或契約義務(wù)以及任何安全要求。A.15.1.1識別適用的法律法規(guī)控制YES為遵守適用的相關(guān)法律法規(guī)，應(yīng)對其進(jìn)行識別并將其要求文件化。XX部負(fù)責(zé)組織收集與信息安全有關(guān)的法律法規(guī)并對適用性評價(jià)，確定其實(shí)用范圍和具體適用條款，形成適用的法律法規(guī)清單，將法律法規(guī)一起通過網(wǎng)絡(luò)傳達(dá)給有關(guān)部門并予以執(zhí)行。品管部負(fù)責(zé)每半年應(yīng)對法律法規(guī)的有效性進(jìn)行重新評價(jià)，保持適用的法律、法規(guī)的有效最新版本。每年對法律法規(guī)的符合性進(jìn)行評價(jià)。ISMS-P-2015《監(jiān)視和測量管理程序》A.15.1.2知識產(chǎn)權(quán)控制YES軟件的使用與復(fù)制涉及知識產(chǎn)權(quán)問題（軟件著作權(quán)），應(yīng)使用正版軟件。本公司嚴(yán)格執(zhí)行國家有關(guān)知識產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版軟件，并通過以下方法進(jìn)行控制：a)確定獲得合法軟件的途徑；b)每年進(jìn)行一次軟件資產(chǎn)清查，確保正在使用的軟件已經(jīng)被適當(dāng)?shù)氖跈?quán)；c)保留許可證、手冊等擁有者的證明和證件；d)確保用戶數(shù)不超過所允許的上限；e)只允許安裝認(rèn)可的軟件和特許的產(chǎn)品；f)嚴(yán)禁員工私自安裝任何軟件。ISMS-P-2015《監(jiān)視和測量管理程序》ISMS-P-2010《信息處理設(shè)備管理程序》A.15.1.3組織記錄的保護(hù)控制YES記錄的保持應(yīng)符合法律法規(guī)要求。各部門應(yīng)按照有關(guān)法律、法規(guī)要求，明確規(guī)定重要記錄的保存期限并提供適當(dāng)?shù)谋Ｗo(hù)，防止丟失、損壞和偽造。ISMS-P-2015《監(jiān)視和測量管理程序》A.15.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的保密控制YES應(yīng)按國家有關(guān)法規(guī)或規(guī)章對員工的個(gè)人檔案、養(yǎng)老基金賬戶等數(shù)據(jù)或信息進(jìn)行管理與保護(hù)。對處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門應(yīng)按照國家有關(guān)規(guī)定對個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄露個(gè)人秘密。ISMS-P-2015《監(jiān)視和測量管理程序》A.15.1.5防止信息處理設(shè)施的誤用控制YES防止濫用信息處理設(shè)施以符合法律法規(guī)要求。本公司對所有員工傳達(dá)國家關(guān)于《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理規(guī)定》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等法規(guī)要求，并要求員工嚴(yán)格遵守，防止計(jì)算機(jī)犯罪活動。ISMS-P-2015《監(jiān)視和測量管理程序》ISMS-P-2010《信息處理設(shè)備管理程序》A.15.1.6密碼技術(shù)控制條例控制NO本公司沒有涉及國家密碼產(chǎn)品，本條款不適用。A.15.2安全策略、標(biāo)準(zhǔn)和技術(shù)的符合評審目標(biāo)YES確保系統(tǒng)符合組織的安全策略和標(biāo)準(zhǔn)。A.15.2.1符合安全策略和標(biāo)準(zhǔn)控制YES確保體系有效實(shí)施，定期評審是必須的。每年XX部組織至少一次信息安全管理體系內(nèi)部審核，每次審核的范圍覆蓋與信息安全管理體系有關(guān)的所有部門與安全區(qū)域，確保職責(zé)范圍內(nèi)的所有安全程序正確完成，符合安全方針和標(biāo)準(zhǔn)。ISMS-P-2003《內(nèi)部審核管理程序》A.15.2.2技術(shù)符合性檢查控制YES為驗(yàn)證信息系統(tǒng)保證符合安全技術(shù)標(biāo)準(zhǔn)，必要的技術(shù)檢查是需要的。內(nèi)部審核活動應(yīng)包括對各信息系統(tǒng)的技術(shù)性審核，內(nèi)部審核組至少擁有一名具有一定信息安全技術(shù)的內(nèi)部專家，技術(shù)性審核應(yīng)在被監(jiān)督的情況下進(jìn)行。但不鼓勵(lì)利用漏洞掃描等工具對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期技術(shù)性檢查，鼓勵(lì)用管理軟件和自身的日志進(jìn)行監(jiān)督。ISMS-P-2015《監(jiān)視和測量管理程序》A.15.3系統(tǒng)審核考慮因素目標(biāo)YES使對/來自系統(tǒng)審核過程的有效性最大，干擾性最小。A.15.3.1系統(tǒng)審核控制控制YES對作業(yè)系統(tǒng)的審核應(yīng)事先策劃，避免對作業(yè)系統(tǒng)造成不良影響。正式審核之前，審核組應(yīng)明確技術(shù)性審核的項(xiàng)目與要求，防止審核活動本身造成不必要的安全風(fēng)險(xiǎn)。ISMS-P-2003《內(nèi)部審核管理程序》A.15.3.2系統(tǒng)審核工具的保護(hù)控制YES本公司存在漏洞掃描工具，應(yīng)控制其安全使用。XX部對漏洞掃描工具進(jìn)行管理，使用者應(yīng)被授權(quán)，檢查工作在監(jiān)督的情況下進(jìn)行，審核活動應(yīng)被記錄。ISMS-P-2012《用戶訪問控制程序》ISMS-P-2010《信息處理設(shè)備管理程序》

中式肉制品的加工方法技術(shù)和工藝（一）腌臘肉制品腌臘制品是用鹽和香料在較低的溫度下經(jīng)自然風(fēng)干腌制而形成的風(fēng)味獨(dú)特的肉制品。具代表性的有金華火腿、南京板鴨、廣式臘腸等。1．金華火腿金華火腿是我國著名的肉制品。它風(fēng)味獨(dú)特，營養(yǎng)豐富，曾多次在我國和世界獲獎。工藝流程：原料選擇→鮮腿修整→腌腿→洗腿→整形→曬腿→上架發(fā)酵→落架堆疊→成品（1）原料選擇選擇經(jīng)獸醫(yī)衛(wèi)生檢驗(yàn)合格的金華豬，屠宰后前腿沿第二頸椎將前頸肉切除，在第三肋骨處將后端切下，將胸骨連同肋骨末端的軟骨切下，形狀為方形；后腿是先在最后一節(jié)腰椎骨節(jié)處切開，然后沿大腿內(nèi)斜向下切。（2）鮮腿修整除去前、后腿上的殘毛和腳蹄間的細(xì)毛，擠出血管內(nèi)殘留的淤血，削平恥骨，斬去脊骨，割去浮油和油膜，將腿修成"琵琶"形。（3）腌腿腌制時(shí)應(yīng)根據(jù)季節(jié)、氣溫等條件確定用鹽量。在金華地區(qū)，每年的11月至次年的2月間，氣溫為3～8℃，是比較適宜的腌制溫度，在此條件下用鹽量為鮮腿重的9％～10％，分7次上鹽，早冬和春節(jié)還要加硝石。氣溫升高時(shí)，用鹽量增加，但腌制期縮短。第一次上鹽，撤鹽應(yīng)均勻，但不能過多，撒鹽后平疊堆放12～14層；經(jīng)24小時(shí)后上第二次鹽，這次用鹽約占總鹽量的一半，重點(diǎn)在腰薦骨、恥骨關(guān)節(jié)、大腿上部三個(gè)部位多撤鹽；第二次上鹽后4～5天上第三次鹽，同時(shí)將堆碼的上下層倒換；再經(jīng)5～6天上第四次鹽，用鹽量為總鹽量的5％左右，此時(shí)可以檢查腌制的效果，用手按壓肉面，有充實(shí)堅(jiān)硬的感覺，說明已經(jīng)腌透；第五、六次上鹽分別間隔7天左右，火腿的顏色變?yōu)榧t色；經(jīng)六次上鹽后，重量小的可以進(jìn)入洗腿工序，較大的腿可進(jìn)行第七次上鹽。腌制的總時(shí)間為30～35天。（4）洗腿腌制結(jié)束后將腿放在清水池中浸泡，然后用清水洗去火腿表面的血水和油污。洗后晾曬至表面無水后，打印商標(biāo)。（5）整形將腿骨校直，腳爪校成彎曲狀，皮面壓平，腿頭與腳對直，使其外形美觀。（6）曬腿將整形好的腿吊掛，暴曬4～5天，使腿皮呈黃色、油亮，并產(chǎn)生香味。（7）上架發(fā)酵發(fā)酵的目的是使肉中的蛋白質(zhì)及脂肪發(fā)生變化，使火腿產(chǎn)生獨(dú)特的風(fēng)味。發(fā)酵時(shí)間為4～5個(gè)月，發(fā)酵期應(yīng)注意調(diào)節(jié)溫度、濕度，保證通風(fēng)。在發(fā)酵過程中，用刀將突出的骨頭削平，將火腿表面修割整齊，保證其外形美觀。（8）落架堆疊將發(fā)酵好的火腿從架上取下，進(jìn)行堆疊。一般為15層，堆時(shí)肉面向上，皮面朝下，要根據(jù)氣溫不同，定期倒堆一次。（9）成品規(guī)格根據(jù)金華火腿的顏色、氣味、咸度、肌肉豐滿度、重量、外形等進(jìn)行分級，一般分為四級，其中香味是很重要的指標(biāo)。評定時(shí)用竹簽插入火腿不同部位，嗅竹簽帶出的香味進(jìn)行分級。2．廣式臘腸臘腸俗稱香腸，是指以肉類為原料，經(jīng)切、絞成丁，配以輔料，灌入動物腸衣經(jīng)發(fā)酵、成熟干制而成的肉制品，是我國肉類制品中品種最多的一大類產(chǎn)品。廣東臘腸是其代表。廣東臘腸是以豬肉為原料，經(jīng)切碎或絞碎成丁，用食鹽、硝酸鹽、白糖、曲酒、醬油等輔料腌制后，充填入天然腸衣中，經(jīng)晾曬、風(fēng)干或烘烤等工藝而制成的一類生干腸制品。食用前需要進(jìn)行熟制。工藝流程：原料肉修整→切丁→拌餡、腌制→灌裝→晾曬→烘烤→成品（1）原料肉的選擇和修整香腸的原料是健康無病的新鮮豬肉，瘦肉以腿肉和臀肉最好，肥膘以背部硬膘為好，腿膘次之。加工其他肉制品切割下來的碎肉也可作為原料。原料肉經(jīng)過修整，去掉筋、腱、骨和皮。（2）切丁瘦肉用絞肉機(jī)切成4～10毫米的肉粒，肥肉用切丁機(jī)或手工切成6～10毫米的丁。肥肉切好后要用溫水清洗一次，以除去浮油和雜質(zhì)，撈入篩內(nèi)，瀝干水分待用，肥瘦肉應(yīng)分開存放。（3）配料廣式臘腸配料標(biāo)準(zhǔn)：瘦肉70千克，肥肉30千克，精鹽2．2千克，砂糖7．6千克，白酒2．5千克，白醬油5千克，硝酸鈉0．05千克（4）拌餡、腌制配料稱好后倒入盆中，加入20％左右的清水，使其充分溶解。然后將絞好的肉粒倒入水中，把肉粒和配料混合均勻，放在清潔室內(nèi)腌制1～2小時(shí)即可進(jìn)行灌制。（5）充填天然腸衣先用清水浸泡柔軟，洗去鹽分后備用。每100千克肉餡約需豬小腸衣50米。將腸衣套在灌嘴上，使肉餡均勻地灌入腸衣中，要掌握松緊程度，不能過緊或過松。（6）排氣用排氣針扎刺濕腸，排除內(nèi)部空氣。（7）捆線結(jié)扎每隔10～20厘米用細(xì)線結(jié)扎1次，不同規(guī)格長度不同。（8）漂洗將濕腸用清水漂洗一下，除去表面污物，然后依次分別掛在竹竿上。（9）晾曬和烘烤將懸好的香腸放在日光下暴曬2～3天，在日曬過程中有脹氣處應(yīng)針刺排氣。晚間送入烘房內(nèi)烘烤，溫度保持在42～49℃。溫度過高脂肪易熔化，同時(shí)瘦肉也會烤熟，這不僅降低成品率，而且色澤變暗；溫度過低又難以干燥，易引起發(fā)酵變質(zhì)。因此，必須注意控制溫度。一般通過3晝夜的烘曬即可，然后再晾掛到通風(fēng)良好的場所風(fēng)干10～15天即為成品。（10）貯藏香腸在10℃以下可保存1個(gè)月以上，也可懸掛在通風(fēng)干燥的地方保存。3．南京鹽水鴨南京鹽水鴨是南京的著名特產(chǎn)，鴨皮潔白光亮、鴨肉清淡可