ISO27001-2013信息安全管理体系适用性声明SOA

北京恒泰博远科技有限公司北京恒泰博远科技有限公司适用性声明适用性声明 SOASOA编号：HB-ISMS-M01（A)状态：编写：李子叶2019 年 4 月 1 日审核：申杰理2019 年 4 月 1 日批准：孙秀丽2019 年 4 月 1 日发布版次：第 A/0 版2019 年 4 月 1 日生效日期2019 年 4 月 1 日分发：各部门接受部门：所有部门变变 更更 记记 录录变更日期版本变更说明2019.12.9 一阶段审核删减A.14.1.2；A.14.1.3；A.14.2.7 不合理，再补充。编写审核批准2019.12.9A/1李子叶申杰理孙秀丽-1-信息安全适用性声明 SOAA.5A.5 安全方针安全方针标准标题条款号A.5.1信息安全管理指导A.5.1.1信息安全方针文件A.5.1.2信息安全方针评审A.6A.6 信息安全组织信息安全组织标准标题条款号A.6.1内部组织A.6.1.1信息安全角色和职责A 6.1.2职责分离A.6.1.3与政府部门的联系A.6.1.4与特定相关方的联系A.6.1.5项目管理中目标/是否选择理由控制描述控制选择目标YES依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。文件名称控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求控制YES总经理确保制定与公司目标一致的清晰的信息安全方针，并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。定期对信息安全进行监督检查，包括：日常检查、专项检查、内部审核和管理评审等。每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价，必要时进行修订。信息安全管理手册信息安全管理手册目标/是否选择理由控制描述控制选择目标YES建立管理框架，启动和控制组织内信息安全的实施和运行。控制YES根据信息安全体系规公司在信息安全管理职责明细表里明确了信息安全职责。公司定和公司实际需求设立信息安全管理者代表，全面负责 ISMS 的建立、实施与保持工作控制YES根据信息安全体系规宜分割冲突的责任和职责范围，以降低未授权或无意的修改或定和公司实际需求者不当使用组织资产的机会。控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规详细说明由谁何时与权威机构（如法律仲裁部门、消防部门、信息安全监管机构）联系，以及怎样识别应该及时报告的可能会违背法律的信息安全事件。公司建立信息安全顾问，必要时聘请外部专家。公司就计算机信息及通信网络安全问题与服务提供部门（认证机构、咨询机构、信息安全机构）保持联系。以确保和在出现安全事故时尽快采取适当的行动和取得建议。交流确保敏感信息不外传。无论何种类型的项目，信息安全都要整合到组织的项目管理方法中，-2-文件名称信息安全内部组织管理程序信息安全内部组织管理程序信息安全内部组织管理程序信息安全内部组织管理程序信息安全内部组织管理控制YES控制YES标准条款号标题目标/是否控制选择目标控制控制YESYESYES选择理由控制描述程序文件名称的信息安全A.6.2移动设备和远程工作A.6.2.1移动设备策略A.6.2.2远程工作定和公司实际需求以确保将识别并处理信息安全风险作为项目的一部分。确保远程工作和移动设备使用的安全根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。远程工作应仅限于申请的设备和地点，严禁在公共计算机设备上进行。远程工作的访问权限不允许超过该人员在公司内部网的正常访问权限。移动设备管理程序用户访问管理程序远程工作控制方案A.7A.7 人力资源安全人力资源安全标准标题条款号A.7.1任用之前A.7.1.1审查A.7.1.2任用条款和条件A.7.2任用中目标/是否选择理由控制描述控制选择目标YES确保雇员、承包方人员理解其职责、考虑对其承担的角色是适合的。控制YES根据 风险评估的结公司依据人员的个人相关背景、资历和相关检查对于不符合安果全要求的不得录用。控制YES根据 风险评估的结公司在人力资源管理程序中规定了员工、合同方以及第三果方的聘用条款和条件。在保密协议中明确规定保密的义务及违目标控制控制YESYESYES文件名称人力资源管理程序人力资源管理程序A.7.2.1管理职责A.7.2.2信息安全意识、教育和培训A.7.2.3纪律处理过程控制YES约的责任。确保所有的雇员和合同方意识到并履行其信息安全责任。根据信息安全体系规各部门根据公司业务要求，明确本部门的关键工作岗位及任职人力资源管理程序定和公司实际需求要求并依据建立的方针和程序来应用安全。根据信息安全体系规行政部负责制定公司的 员工年度培训计划，公司的所有员工，人力资源管理程序定和公司实际需求适当时还包括合作方和第三方用户，都应当接受适当的信息安全意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新情况。根据信息安全体系规违背组织安全方针和程序的员工公司将根据违反程度及造成的信息安全惩戒管理程序定和公司实际需求影响进行处罚，处罚在安全破坏经过证实地情况下进行，对于影响严重的，可解除劳动合同并依法追究法律责任。-3-标准条款号A.7.3标题任用的终止或变化A.7.3.1任用终止或职责变更目标/是否选择理由控制描述控制选择目标YES宜将保护组织的利益融入到任用变化或终止的处理流程中。控制YES根据信息安全体系规定和公司实际需求在员工离职前和第三方用户完成合同时，应进行明确终止责任的沟通。沟通应包括现行的安全要求、法规责任，并明确保密协议中的责任以及聘用条款及条件中的责任要在员工、合作方以及第三方用户聘用结束后持续一定时期有效。文件名称人力资源管理程序A.8A.8 资产管理资产管理标准标题条款号A.8.1对资产负责A.8.1.1资产清单A.8.1.2资产责任人A.8.1.3资产的允许使用目标/是否选择理由控制描述控制选择目标YES实现和保持对公司资产的是适当保护。控制YES根据 风险评估的结各部门按信息安全风险评估计划对影响到本公司经营、服果务和日常管理的重要业务系统以及涉及资产进行识别。并建立和保持一份重要资产清单。控制YES根据 风险评估的结行政部对信息处理设施有关的信息和资产指定使用部门和负责果人。资产负责人负责对资产分类、确定访问授权。控制YES新的资产按照信息处理设施管理程序指定资产负责人。根据 风险评估的结行政部识别信息处理设施的使用要求和限制，必要时制定文件果化的使用规则（操作手册或说明书），并确保所有的使用者了解和遵守设备的使用要求和限制。使用或访问组织资产员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用，以及发生在其责任下的使用负责。根据信息安全体系规在员工离职前应收回保密文件，退还身份证件和使用组织的所定和公司实际需求有资产，并执行财务清款，法律事务清查。第三方用户完成合同时，应按相关方信息安全管理程序办理完所负责的所有资产归还手续。确保信息受到与其对组织的重要性保持一致的适当级别的保护。-4-文件名称信息安全风险识别与评价管理程序信息处理设施管理程序信息处理设施管理程序个人计算机管理程序A 8.1.4资产的归还控制YES人力资源管理程序相关方信息安全管理程序A.8.2信息分类目标YES标准标题条款号A.8.2.1信息分类目标/是否选择理由控制选择控制YES根据 风险评估的结果控制描述文件名称信息安全风险识别与评价管理程序商业秘密管理程序商业秘密管理程序个人计算机管理程序商业秘密管理程序A.8.2.2信息标识A 8.2.3资产处理A.8.3介质处置控制YES控制目标控制YESYESYESA.8.3.1可移动介质的管理A.8.3.2介质的处置A 8.3.3物理介质传输A.9A.9 访问控制访问控制标准标题条款号A.9.1访问控制的业务要求A.9.1.1访问控制策略控制YES控制YES公司的信息资产等级应根据信息安全风险识别与评价管理程序来分,对信息的价值、法律要求、敏感度以及对组织的关键程度，对信息进行分类。公司的信息密级按商业秘密管理程序规定的原则进行确定。根据 风险评估的结对于属于企业的秘密、企业机密与国家秘密的文件，秘级确定果部门应按照要求做好标识或加盖识别印章。个人计算机建立个人计算机配备一览表，加贴资产标识。根据信息安全体系规应当建立处理和储存信息的程序来保护这些信息免于未经授权定和公司实际需求的泄露、误用、盗用或丢失。防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。根据信息安全体系规可移动介质包括 U 盘、移动硬盘、数码相机、光盘、磁带、软盘和定和公司实际需求已经印刷好的报告等，各部门应按其管理权限并根据信息安全体系规定和公司实际需求对其实施有效的控制。记录予以保持。根据信息安全体系规对于含有敏感信息或重要信息的介质在不需要或再使用时，处定和公司实际需求置部门应按照介质管理程序要求采取安全可靠处置的方法将其信息清除。处置的记录予以保存。根据信息安全体系规为避免被传送的介质在传送（运输）过程中发生丢失、未经授定和公司实际需求权的访问或毁坏，造成信息的泄露、不完整或不可用，公司规定在将信息资产带出公司时，应对包含信息的介质进行保护。介质管理程序介质管理程序商业秘密管理程序信息交换管理程序商业秘密管理程序目标/是否选择理由控制选择目标YES限制信息和信息处理设施的访问。控制YES根据信息安全体系规定和公司实际需求控制描述文件名称本公司内部可公开的信息，允许所有服务用户访问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制系统用户访问权限说明-5-用户访问管理程序标准条款号A.9.1.2标题目标/控制控制目标控制是否选择YESYESYES选择理由控制描述文件名称用户访问管理程序使用网络服务的策略A.9.2用户访问管理A.9.2.1用户注册书，明确规定访问规则，对几人共用的账号应明确责任人。根据信息安全体系规公司在用户访问管理程序中建立网络服务安全策略，以确定和公司实际需求保网络服务安全与服务质量。确保授权用户访问系统和服务，并防止未授权的访问根据信息安全体系规定和公司实际需求根据用户访问管理程序规定的访问控制策略确定访问规则，访问权限.所有用户，包括相关方服务人员均需要履行访问授权手续,行政部提交用户授权申请表,经审核，总经理批准后，实施授权,授权到期后实施注销用户（包括技术支持人员、操作员、网络管理员、系统管理员和软件开发工程师）应有唯一的识别符（USER ID），以便他们个人单独使用时，能查出活动的个人责任，用户ID 由系统管理员根据授权的规定予以设置。用户识别符（USER ID）可以由用户名称加口令或其它适宜方式组成。网络系统管理员只有经过书面授权，其特权才被认可。当特权拥有者暂时离开工作岗位时，特权部门负责人应对特权实行紧急安排，以保证系统正常运行；当特权拥有者返回工作岗位时，应及时收回特权。系统管理员应按用户访问管理程序对被授权访问该系统的用户口令予以分配。用户访问管理程序A.9.2.2用户访问提供控制YES根据信息安全体系规定和公司实际需求用户访问管理程序A.9.2.3特殊权限管理控制YES根据信息安全体系规定和公司实际需求用户访问管理程序A.9.2.4A.9.2.5用户安全鉴别信息的管理用户访问权的复查撤销或调整访问权限控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求用户访问管理程序控制YESA.9.2.6控制YESA.9.3用户职责目标YES用户访问权限主管部门按用户访问管理程序规定每半年应对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结果予以保持。根据信息安全体系规员工离职后要及时收回对信息和信息处理设施访问权限，或根定和公司实际需求据变化作相应的调整。第三方用户完成合同时，应按 相关方信息安全管理程序、用户访问管理程序解除，或根据变化调整访问权限。确保用户对保护他们的鉴别信息负有责任-6-用户访问管理程序人力资源管理程序用户访问管理程序标准标题条款号A.9.3.1安全鉴别信息的使用A.9.4系统和应用访问控制A.9.4.1信息访问限制A.9.4.2安全登录规程A.9.4.3口令管理系统A.9.4.4特权使用程序的使用目标/是否选择理由控制选择控制YES根据信息安全体系规定和公司实际需求目标控制YESYES控制描述公司在用户访问管理程序和相应的应用管理中明确规定了文件名称用户访问管理程序口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。防止对系统和应用的非授权访问。根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求本公司内部可公开的信息不作特别限定，允许所有用户访问。用户访问管理程序本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。用户访问管理程序所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改,用户定期变更口令等。实用系统的访问控制，应严格按用户访问管理程序执行。因未按用户访问管理程序授权的用户访问造成的信息安全事件，公司领导负主要责任。对系统实用工具进行有效控制。不允许任何人以任何方式访问程序源代码。用户访问管理程序控制控制YESYES控制YES信息系统应用管理程序A.9.4.5对程序源代码的访问控制A.10A.10 密码学密码学标准标题条款号A.10.1密码控制A.10.1.1使用密码控制的策略控制YES根据信息安全体系规定和公司实际需求信息系统开发建设管理程序目标/是否选择理由控制描述文件名称控制选择目标YES确保适当并有效的密码的使用来保护信息的保密性、真实性或完整性控制YES根据信息安全体系规使用密码控制措施来保护信息，使用密码时，应基于风险评估，信息系统开发建设管理定和公司实际需求确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，程序并符合信息安全合规性管理程序的要求。各电子数据文件的形数据安全管理程序成部门应识别重要数据的加密要求，对需要加密的信息，制定加密-7-标准条款号标题目标/控制控制是否选择YES选择理由根据信息安全体系规定和公司实际需求控制描述方案，经公司总经理批准后严格执行。应有密钥管理以支持组织使用密码技术，应保护所有的密码密钥免遭修改、丢失和毁坏。文件名称数据安全管理程序A.10.1.2密钥管理A.11A.11物理与环境安全物理与环境安全标准标题条款号A.11.1安全区域A.11.1.1物理安全边界A.11.1.2物理入口控制A.11.1.3办公室、房间和设施的安全保护A.11.1.4外部和环境威胁的安全防护A.11.1.5在安全区域工作目标/是否选择理由控制描述控制选择目标YES防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。控制YES根据信息安全体系规公司安全区域分为一般安全区域与特别安全区域，安全区域的定和公司实际需求实物安全周界由安全区域管理程序确定。控制YES根据信息安全体系规公司人员上下班出入刷卡，外来人员必须进行外来人员登记后定和公司实际需求等待接待，若需进入公司办公区域，由接待人员陪同方可进入。控制YES根据信息安全体系规特别安全区域内的房间和设施进行必要的控制，以防止火灾、定和公司实际需求盗窃或其它形式的危害。灭火设备，放在合适的地点，并定期进行控制YES根据信息安全体系规定和公司实际需求文件名称安全区域管理程序安全区域管理程序安全区域管理程序检查。临时访问人员接待应与办公区域隔离，防止未经授权访问。外来人员来本公司参观或对大楼进行拍摄，须报请行政部批准，安全区域管理程序安全周界的大门下班后应关紧，行政部负责管理。应将备用设备、备品备件和备份存储介质放置在一定安全距离安全区域管理程序相关方信息安全管理程序安全区域管理程序控制YESA.11.1.6交接区控制YESA.11.2设备安全A.11.2.1设备安置和目标控制YESYES以外，以免主场所发生的灾难性事故对其造成破坏。根据信息安全体系规明确规定员工、第三方人员在有关安全区域工作的基本安全要定和公司实际需求求（如避免在第三方人员未被监督的情况下在安全区域内进行工作,未经同意不允许使用摄影、录像、录音或其它音像记录设备等），并要求员工、第三方人员严格遵守。根据信息安全体系规公司设有接待前台，供接待临时访问人员。对特别安全区域，定和公司实际需求未经授权不允许外来人员直接入内，应由本区域工作人员领进会议室，防止未经授权的访问。防止资产的损失、损失或丢失及业务活动的中断。根据信息安全体系规需要安装的信息处理设施，使用部门应确定安装地点，对信息-8-信息处理设施管理程序标准条款号标题保护目标/控制是否选择选择理由定和公司实际需求控制描述信息处理设施进行定置管理和妥善保护，以降低来自环境威胁和危害的风险，以及非授权访问的机会。服务器应放置于温湿度的变化范围在设备运行所允许的范围内的房间，必要时应安装空调设施。进入各部门的电缆应严格保管，不准随意搬迁、拉扯或损坏，如发现异常及时通报行政部。信息处理设施的维护应按照相应的维护程序/规程进行设备的检查、维护、清洁并做好必要的运行保养和记录。在未经授权的情况下，设备、信息或软件不应该带到工作场所外。重要信息设备的迁移应被授权，迁移活动应被记录。信息处理设施的迁移控制执行信息处理设施管理程序。笔记本在带离规定的区域时，应经过部门领导授权并对其进行严格控制，防止其丢失和未经授权的访问，移动存储介质应按介质管理程序进行防护，不得丢失。离开办公场所的设备应考虑损坏、盗窃和截取的风险并加以保护，并使其免于强电磁场设备和有腐蚀性气体和尘埃的威胁。含有敏感信息的设备在报废或改做他用时，应将设备中存储的敏感信息清除并保存清除记录。具体执行信息处理设施管理程序和介质管理程序。公司规定安全周界的大门下班后应关紧，行政部负责管理，外来人员进入办公区域应进行登记，个人计算机设置登陆密码。计算机使用人员应养成保持桌面干净整洁、文件分类有序、定时清理垃圾文件和程序的良好习惯。所有计算机终端必须设立登录口令，在人员离开时应该锁屏、注销或关机。当人员离开时，确保机密的纸文件和可移动存储介质没有留在桌面上文件名称A.11.2.2支持性设施控制A.11.2.3布缆安全A.11.2.4设备维护控制控制YESYESYESYESA.11.2.5资产的移动控制根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求信息处理设施管理程序信息处理设施管理程序信息处理设施管理程序信息处理设施管理程序A.11.2.6组织场所外控制的设备安全YES信息处理设施管理程序个人计算机管理程序介质管理程序A.11.2.7设备的安全处置或再利用A.11.2.8无人值守的用户设备A.11.2.9清空桌面和屏幕策略控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求信息处理设施管理程序介质管理程序安全区域管理程序个人计算机管理程序控制控制YESYESA.12A.12 操作安全操作安全标准标题条款号目标/控制是否选择选择理由控制描述文件名称-9-标准条款号A.12.1标题操 作 规 程和职责A.12.1.1文件化的操作规程A.12.1.2变更管理目标/是否选择理由控制选择目标YES确保正确和安全的操作信息处理设施。控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求控制描述文件名称控制YESA.12.1.3容量管理控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求A.12.1.4开发、测试和运行设施的分离A.12.2防 范 恶 意软件A.12.2.1控 制 恶 意软件控制YES公司按照信息安全方针的要求，建立并实施文件化的作业程序，见信息安全管理体系文件一览表（信息安全管理手册附件）文件化的作业程序的控制执行文件管理程序。在变更实施前，填写变更申请表，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢复措施），负责人批准后予以实施。对于重要设施和网络系统的重大变更，应对变更影响进行评价。应该监控、协调资源的使用（CPU 利用率、内存和硬盘空间大小、传输线路宽带），并规划未来的容量要求，以确保所要求的系统性能，适当时机进行容量变更。当开发、测试时，开发测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。文件管理程序信息系统应用管理程序信息系统开发建设管理程序信息系统开发建设管理程序容量管理策略信息系统应用管理程序目标控制YESYES确保保护信息和信息处理设备，防范恶意软件根据信息安全体系规定和公司实际需求研发部负责提供防范恶意软件的技术工具并对技术工具进行实时升级，各部门应统一使用公司批准的病毒保护软件和配置，且不能降低其更新频率和有效性。对不能自动清除的病毒，必须向领导报告。病毒防范管理程序A.12.3备份A.12.3.1信息备份A.12.4日 志 记 录和监视A.12.4.1事件日志目标控制目标控制YESYESYESYES防止数据丢失根据信息安全体系规公司根据风险评估的结果对重要数据库、软件等进行备份，应定和公司实际需求按照已设定的备份方针，保证信息的保密性、完整性和可用性。记录事件并产生证据根据信息安全体系规定和公司实际需求公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。-10-数据安全管理程序数据备份策略信息系统监控管理程序标准条款号标题目标/控制控制是否选择YES选择理由根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求控制描述审核日志、监视记录按规定予以保存。日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。应防止对日志记录设施的未经授权的更改和出现操作问题。具体执行信息系统监控管理程序。系统管理员和操作员的活动应记入日志，系统管理员不允许删除或关闭其自身活动的日志。公司所有服务器设备和终端与网络时钟同步，具体执行信息系统监控管理程序。要求公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。个人计算机应采用网络时间协议保持与主时钟文件名称信息系统监控管理程序A.12.4.2日 志 信 息的保护A.12.4.3管 理 员 和操 作 员 日志A.12.4.4时钟同步控制YES信息系统监控管理程序控制YES信息系统监控管理程序A.12.5运 行 软 件的控制A.12.5.1运 行 系 统中 软 件 的安全目标控制YESYES同步。确保运行系统的完整性根据信息安全体系规定和公司实际需求软件管理程序规定公司和系统应用主管部门应对操作系统软件的版本管理、安装、使用和备份进行严格控制。规定在新软件安装或软件升级之前，应经测试和审批后方可按规定程序进行。软件的升级、补丁或更新具体执行信息系统开发建设管理程序。个人计算机管理程序规定计算机终端用户除非授权，否则严禁私自安装任何软件。防止技术脆弱性被利用根据信息安全体系规定和公司实际需求对技术薄弱点应进行风险评估，进行专项分析，制订风险处理计划，根据风险处理计划采取对应的技术和管理措施。公司与信息安全管理有关的所有员工对发现的信息安全薄弱点或潜在威胁均应履行报告义务。根据信息安全体系规公司行政部负责软件的安装授权，对常用的开发、办公软件，定和公司实际需求相关部门可以自行安装，对于和工作无关的软件禁止安装。将审计活动对运行系统的影响最小化-11-信息系统开发建设管理程序软件管理程序个人计算机管理程序A.12.6技 术 脆 弱性管理A.12.6.1技 术 脆 弱性管理目标控制YESYES技术薄弱点管理程序技术薄弱点管理程序A.12.6.2软 件 安 装限制A.12.7信 息 系 统控制目标YESYES标准条款号标题目标/控制控制是否选择YES选择理由根据信息安全体系规定和公司实际需求控制描述正式审核之前，审核组应明确技术性审核的项目与要求，防止审核活动本身造成不必要的安全风险。文件名称内部审核管理程序审计考虑A.12.7.1信 息 系 统审 计 控 制措施A.13A.13 通信安全通信安全标准标题条款号A.13.1网 络 安 全管理A.13.1.1网络控制目标/是否选择理由控制描述控制选择目标YES未保护对网络中的信息及支持性设施进行有效保护。控制YES根据信息安全体系规定和公司实际需求实施有效的网络安全控制措施，如防火墙、路由器等的安全配置，网络设备的定期维护，网络设备和系统的重大变更控制措施，用户访问权限管理，网络服务的管理，包括运行情况的监督。根据信息安全体系规应该识别所有网络服务的安全特性、服务等级以及管理要求，定和公司实际需求并将其包括在网络服务协议中，无论这些服务是内部提供还是外包。公司根据组织的安全策略，识别现有的网络服务，明确规定网络服务安全属性值。根据信息安全体系规网络管理人员应编制网络拓扑图，描述网络结构并表示网络定和公司实际需求的各组成部分之间在逻辑上和物理上的相互连接.为确保公司网络安全，采用物理和逻辑两种方式进行网络隔离。保持组织内信息交换及与外部组织信息交换的安全。根据信息安全体系规定和公司实际需求文件名称网络安全管理程序数据安全管理程序网络安全管理程序相关方信息安全管理程序A.13.1.2网 络 服 务的安全控制YESA.13.1.3网络隔离控制YES网络安全管理程序A.13.2信 息 的 交换A.13.2.1信息交换策略和程序A.13.2.2信息交换协议目标控制YESYES控制YES根据信息安全体系规定和公司实际需求在内部或与顾客进行数据与软件交换的过程中采用有效的安全信息交换管理程序控制措施，公司规定在使用电子通信设施进行信息交换时，防止交数据安全管理程序换的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息;公司互联网的计算机，不得含有涉密的电子数据信息。应保护被传输的信息和物理介质，并作为制定交换协议的参考。信息交换管理程序对于敏感信息，应该考虑对信息交换使用特殊的机制，但必须与组织和协议类型相协调。-12-标准标题条款号A.13.2.3电子消息发送A.13.2.4保密或不泄露协议目标/是否选择理由控制选择控制YES根据信息安全体系规定和公司实际需求控制YES根据信息安全体系规定和公司实际需求控制描述基于业务及管理的需要，及减少企业秘密被泄露与防范计算机病毒的原则，公司建立了信息交换管理程序包括电子邮件安全使用的策略，并将该策略传达到所有员工予以执行。公司对与正式录用员工在劳动合同中附加有关保密方面的内容条款或签署员工保密协议，员工离职前应根据离职流程。公司与外部相关方签暑相关方保密协议或第三方保密协议，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映。文件名称信息交换管理程序人力资源管理程序相关方信息安全管理程序A.14A.14 系统获取、开发和维护系统获取、开发和维护标准目标/是否标题选择理由控制描述文件名称条款号控制选择A.14.1信息系统的目标YES确保信息安全成为信息系统生命周期的组成部分，包括向公共网络提供服务的信息系统的特定安全要求安全要求A.14.1.1安全要求分控制YES根据信息安全体系规信息系统建设部门在进行新系统建设或系统更新时，首先应对系统信息系统开发建设管理析和说明定和公司实际需求进行分析，根据业务功能要求及信息安全要求，明确规定控制要求。程序系统（软件）本身的功能及安全特性应在设计开发输入时应明确提出，并进行评审。控制YES根据信息安全体系规按照安全等级保护制度的管理规范和技术标准确定本单位网络与信信息系统开发建设管理A.14.1.2公共网络服务的安全息系统的安全等级，并根据安全等级保护制度的要求进行建设。定和公司实际需求程序控制YES根据信息安全体系规对大量数据先进行收集并分块,通过安全信道传输给多个服务器储信息系统开发建设管理A.14.1.3保护应用服务交易存,密文处理过程的数据同步存储,只要其中一个服务器没被攻破,则程序定和公司实际需求该方案就是安全的A.14.2开发和支持目标YES确保在信息系统开发生命周期内审计和实施信息安全过程的安全A.14.2.1安全开发策控制YES根据信息安全体系规安全开发是建立安全服务、架构、软件和系统的要求，公司从信息系统开发建设管理略定和公司实际需求软件开发生命周期建立安全开发策略。程序A.14.2.2系统变更控控制YES根据信息安全体系规当信息系统需变更时，应先分析其变更原因。信息系统开发建设管理制程序定和公司实际需求在明确变更原因后，研发部负责对变更进行策划，提出变更具程序-13-标准条款号标题目标/控制是否选择选择理由控制描述体实施的信息系统变更计划书，交由总经理审批。对于重要设备和网络系统的重大变更，应对变更影响进行评价。当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对作业或安全措施无不利影响。具体执行信息系统开发建设管理程序。公司不鼓励修改软件包，如果有必要确需进行更改，更改提出部门应在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样的复制软件上进行更改，更改实施前应得到公司领导的授权。在平衡信息安全需求和访问需求的基础上，组织所有架构层（业务、数据、应用和技术）宜考虑安全设计。宜分析新技术的安全风险，并根据已知的攻击模式评审其设计。对覆盖系统开发全生命周期的系统开发和集成活动，建立安全开发环境，并予以适当保护。加强供应商的管理，对供应商进行评估，人员、设备、环境进行确认，签订相关协议职责清晰明了。文件名称A.14.2.3A.14.2.4操作系统变更后应用的技术评审软件包变更的限制控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求信息系统开发建设管理程序信息系统开发建设管理程序信息系统开发建设管理程序信息系统开发建设管理程序信息系统开发建设管理程序信息系统开发建设管理程序软件管理程序信息系统验收策略信息系统开发建设管理程序控制YESA.14.2.5安全系统工程原则安全开发环境外包开发系统安全测试系统验收测试控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求A.14.2.6A.14.2.7A.14.2.8A.14.2.9控制控制控制控制YESYESYESYES研发部在开发过程中进行安全功能测试。新系统、系统升级接受前，系统验收部门应制定验收准则，经测试合格后方可正式运行，测试记录及验收报告应予以保存。A.14.3A.14.3.1测试数据保护测试数据目标控制YESYES确保措施数据的安全根据信息安全体系规应认真地选择、保护和控制测试数据。应避免使用包含个人信定和公司实际需求息或其它敏感信息的运行数据库用于测试。A.15A.15 供应商关系供应商关系标准标题条款号目标/控制是否选择选择理由-14-控制描述文件名称标准条款号A.15.1标题供应商关系安全A.15.1.1供应商关系信息安全策略A.15.1.2处理供应商协议中的安全问题A.15.1.3信息和通信技术供应链A.15.2供应商服务交付管理A.15.2.1供应商服务的监视和评审目标/是否选择理由控制选择目标YES确保组织中被供应商访问信息的安全控制YES根据 风险评估的结果根据 风险评估的结果控制描述文件名称控制YES控制目标控制YESYESYES根据 风险评估的结果相关部门应协同行政部识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制。相关部门应与外部相关方签署涉及物理访问、逻辑访问和工作安排条款和条件的相关方服务保密协议，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映，在未实施适当的控制之前不应该向外部相关方提供对信息的访问。相关方协议应该包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。相关方信息安全管理程序相关方信息安全管理程序相关方信息安全管理程序确保信息安全和服务交付水平与供应商协议保持一致根据信息安全体系规定和公司实际需求相关方提供的服务、报告以及记录应该定期监控和评审，并定期进行审核，保持对相关方访问、处理和管理敏感信息、关键信息、信息处理设施的安全活动的全面充分控制和了解。通过确定的报告过程、方式和结构，确保对安全活动的全面了解，例如变更管理、薄弱点的识别、信息安全事件报告和响应等。当提供服务的相关方或内容发生变更时，应进行变更登记，并对现有和变更后的服务进行评估。相关方应提供服务报告，并对供应商服务情况进行评价。相关方信息安全管理程序A.15.2.2供应商服务的变更管理A.16A.16 信息安全事件管理信息安全事件管理标准标题条款号A.16.1信息安全事件和改进的管理A.16.1.1职责和程序控制YES根据信息安全体系规定和公司实际需求相关方信息安全管理程序目标/是否选择理由控制描述控制选择目标YES确保对信息安全事件进行持续、有效地管理，包括信息安全事态和弱点的沟通文件名称控制YES根据信息安全体系规行政部在接到报告后应迅速做出响应，各相关部门应即使按要-15-信息系统监控管理程序标准条款号标题目标/控制是否选择选择理由定和公司实际需求控制描述求采取处置措施与意见，将信息安全事件所造成的影响降低到最低限度。安全事情、事故一经发生，事情、事故发现者、责任者应立即向行政部报告，行政部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应按技术薄弱点管理程序及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生事件责任部门使用商定的信息安全事态和事件分级尺度评估每个信息安全事态，并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。文件名称信息安全事件管理程序信息系统监控管理程序信息安全事件管理程序技术薄弱点管理程序信息安全事件管理程序A.16.1.2报告信息安全事态A.16.1.3报告信息安全弱点控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求控制YESA.16.1.4信息安全事态评估与决策控制YES根据信息安全体系规定和公司实际需求信息安全事件管理程序A.16.1.5信息安全事件响应A.16.1.6从信息安全事件中学习A.16.1.7证据的收集控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求事件响应的首要目标是重新回到“正常的安全水平”，然后启动信息安全事件管理程序控制YES控制YES必要的恢复。事件责任部门负责对信息安全事件予以响应。事故发生以后，主管部门应对事故发生的原因、类型、损失进信息安全事件管理程序行鉴定，并提出防止此类事故再次发生的措施和建议，形成事故调查分析及处理报告，责成责任部门实施纠正措施。事件责任部门应对事件原因进行分析，必要时，采取纠正措施，信息安全事件管理程序事件原因及采取措施纠正结果要予以记录。A.17A.17 业务持续性管理的信息安全方面业务持续性管理的信息安全方面标准目标/是否标题选择理由控制描述条款号控制选择A.17.1信息安全连目标YES信息安全的连续性应嵌入组织的业务连续性管理体系续性A.17.1.1策划信息安控制YES根据信息安全体系规为达到公司业务的持续性目标，公司组织有关部门在适当的风-16-文件名称信息业务连续性管理程标准条款号标题全连续性目标/控制是否选择选择理由定和公司实际需求控制描述序文件名称A.17.1.2实施信息安全连续性A.17.1.3验证、评审和评价信息安全连续性A.17.2冗余A.17.2.1信息处理设施的可用性控制控制YESYES目标控制YESYES险评估的基础上，进行灾难及系统中断影响分析，识别出造成关键业务中断的主要事件及其影响。根据信息安全体系规公司建立并实施信息业务连续性管理程序，在发生灾难或安定和公司实际需求全故障时，实施持续性管理计划，确保关键业务及时得到恢复。根据信息安全体系规每年公司应组织有关部门采取适宜的测试方法对业务连续性定和公司实际需求管理计划进行测试，并保持测试记录；每次测试后，公司组织与计划有关的部门对计划的时效和有效性进行评审，必要时，对业务连续性计划进行修改。确保信息处理设备的可用性根据信息安全体系规研发部负责识别信息系统可用性的业务要求。当使用现有系统定和公司实际需求架构不能保证可用性时，宜考虑冗余组件或架构。如可能，宜测试冗余信息系统以确保从一个组件到另一个组件的故障切换按预期执行。信息业务连续性管理程序信息业务连续性管理程序信息业务连续性管理程序A.18A.18 符合性符合性标准标题条款号A.18.1符合法律和合同要求A.18.1.1可用法律和合同要求的识别A.18.1.2知识产权（IPR）A.18.1.3保护记录目标/是否选择理由控制描述控制选择目标YES避免违反任何信息安全相关的法律、法令、法规或合同义务以及任何安全要求。控制YES根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求行政部从政府主管部门获取相关的国家及地方最新信息安全法律法规及其他要求，并通过相关渠道进行补充。文件名称信息安全合规性管理程序控制控制YESYES本公司尊重知识产权，按法律、法规和合同约定保护知识产权。信息安全合规性管理程序各部门应按照记录管理程序和有关法律、法规要求，明确记录管理程序规定重要记录的保存期限并提供适当的保护，防止丢失、损坏和伪信息安全合规性管理程造。序-17-标准标题条款号A.18.1.4隐私和个人身份信息保护A.18.1.5密码控制措施的规则A.18.2信息安全评审A.18.2.1信息安全的独立评审A.18.2.2符合安全策略和标准A.18.2.3技术符合性检查目标/是否选择理由控制选择控制YES根据信息安全体系规定和公司实际需求控制YES根据信息安全体系规定和公司实际需求控制描述信息处理与个人数据与信息有关的部门应按照有关规定，对个人信息进行妥善管理与保护，防止丢失或泄露个人秘密。文件名称数据安全管理程序信息安全合规性管理程序数据安全管理程序控制控制YESYES使用密码控制措施应遵从相关的协议、法律和法规；根据保护公司机密数据的要求，正确应用加密技术，确保应用利益最大化，危险最小化，须避免不恰当或不正确的使用。确保信息安全按照组织策略和程序实施和运行。根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求根据信息安全体系规定和公司实际需求行政部负责组织和策划内部审核，根据策划的时间间隔，或者有特殊情况时，对组织管理信息安全的方法及其实施情况进行独立评审。内部审核每年进行 1 次，每次审核的范围应覆盖与信息安全管理体系有关的所有部门与安全区域，确保职责范围内的所有安全程序正确完成，依从安全方针和标准。公司利用入侵检测、漏洞扫描等工具对网络系统进行定期技术性检查。内部审核活动应包括对各信息系统的技术性审核，内部审核组至少拥有一名具有一定信息安全技术的内部专家；技术性审核应在被监督的情况下进行。内部审核管理程序控制YES内部审核管理程序控制YES内部审核管理程序-18-