ISO27001-2013信息安全管理體系適用性聲明SOA

1、北京恒泰博遠(yuǎn)科技有限公司適用性聲明SOA編號(hào)：HB-ISMS-M01(A)狀態(tài)：編寫：李子葉2019年4月1日審核：申杰理2019年4月1日批準(zhǔn)：孫秀麗2019年4月1日發(fā)布版次：第A/O版2019年4月1日生效日期2019年4月1日分發(fā)：各部門接受部門：所有部門 -變更日期版本變更說明編寫審核批準(zhǔn)2019.12.9A/12019.12.9一階段審核刪減A.14.1.2；A.14.1.3；A.14.2.7不合理，再補(bǔ)充。李子葉申杰理孫秀麗信息安全適用性聲明SOAA.5安全方針標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.5.1信息安全管理指導(dǎo)目標(biāo)YES依據(jù)業(yè)務(wù)要求以及相關(guān)的法律法

2、規(guī)為信息安全提供管理指導(dǎo)和支持。A.5.1.1信息安全方針文件控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求總經(jīng)理確保制定與公司目標(biāo)一致的清晰的信息安全方針，并且通過在組織內(nèi)發(fā)布和維護(hù)信息安全方針來表明對(duì)信息安全的支持和承諾。信息安全管理手冊(cè)A.5.1.2信息安全方針評(píng)審控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、內(nèi)部審核和管理評(píng)審等。每年管理評(píng)審或發(fā)生重大變化時(shí)對(duì)信息安全方針的持續(xù)適宜性、充分性和有效性進(jìn)行評(píng)價(jià)，必要時(shí)進(jìn)行修訂。信息安全管理手冊(cè)A.6信息安全組織標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.6.1內(nèi)部組織目標(biāo)Y

3、ES建立管理框架，啟動(dòng)和控制組織內(nèi)信息安全的實(shí)施和運(yùn)行。A.6.1.1信息安全角色和職責(zé)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司在信息安全管理職責(zé)明細(xì)表里明確了信息安全職責(zé)。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)ISMS的建立、實(shí)施與保持工作信息安全內(nèi)部組織管理程序A.6.1.2職責(zé)分離控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求宜分割沖突的責(zé)任和職責(zé)范圍，以降低未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。信息安全內(nèi)部組織管理程序A.6.1.3與政府部門的聯(lián)系控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求詳細(xì)說明由誰何時(shí)與權(quán)威機(jī)構(gòu)（如法律仲裁部門、消防部門、信息安全監(jiān)管機(jī)構(gòu)）聯(lián)系，以及怎

4、樣識(shí)別應(yīng)該及時(shí)報(bào)告的可能會(huì)違背法律的信息安全事件。公司建立信息安全顧問，必要時(shí)聘請(qǐng)外部專家。信息安全內(nèi)部組織管理程序A.6.1.4與特定相關(guān)方的聯(lián)系控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司就計(jì)算機(jī)信息及通信網(wǎng)絡(luò)安全問題與服務(wù)提供部門（認(rèn)證機(jī)構(gòu)、咨詢機(jī)構(gòu)、信息安全機(jī)構(gòu)）保持聯(lián)系。以確保和在出現(xiàn)安全事故時(shí)盡快采取適當(dāng)?shù)男袆?dòng)和取得建議。交流確保敏感信息不外傳。信息安全內(nèi)部組織管理程序A.6.1.5項(xiàng)目管理中控制YES根據(jù)信息安全體系規(guī)無論何種類型的項(xiàng)目，信息安全都要整合到組織的項(xiàng)目管理方法中，信息安全內(nèi)部組織管理標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱的信息安全定和公司實(shí)際需

5、求以確保將識(shí)別并處理信息安全風(fēng)險(xiǎn)作為項(xiàng)目的一部分。程序A.6.2移動(dòng)設(shè)備和遠(yuǎn)程工作目標(biāo)YES確保遠(yuǎn)程工作和移動(dòng)設(shè)備使用的安全A.6.2.1移動(dòng)設(shè)備策略控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司制定了策略和支持性安全措施以管理使用移動(dòng)設(shè)備時(shí)帶來的風(fēng)險(xiǎn)。移動(dòng)設(shè)備管理程序A.6.2.2遠(yuǎn)程工作控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求遠(yuǎn)程工作應(yīng)僅限于申請(qǐng)的設(shè)備和地點(diǎn)，嚴(yán)禁在公共計(jì)算機(jī)設(shè)備上進(jìn)行。遠(yuǎn)程工作的訪問權(quán)限不允許超過該人員在公司內(nèi)部網(wǎng)的正常訪問權(quán)限。用戶訪問管理程序遠(yuǎn)程工作控制方案A.7人力資源安全標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.7.1任用之前目標(biāo)YES確保

6、雇員、承包方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的。A.7.1.1審查控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果公司依據(jù)人員的個(gè)人相關(guān)背景、資歷和相關(guān)檢查對(duì)于不符合安全要求的不得錄用。人力資源管理程序A.7.1.2任用條款和條件控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果公司在人力資源管理程序中規(guī)定了員工、合同方以及第三方的聘用條款和條件。在保密協(xié)議中明確規(guī)定保密的義務(wù)及違約的責(zé)任。人力資源管理程序A.7.2任用中目標(biāo)YES確保所有的雇員和合同方意識(shí)到并履行其信息安全責(zé)任。A.7.2.1管理職責(zé)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求各部門根據(jù)公司業(yè)務(wù)要求，明確本部門的關(guān)鍵工作崗位及任職要求并依據(jù)建立的方針和程序來

7、應(yīng)用安全。人力資源管理程序A.7.2.2信息安全意識(shí)、教育和培訓(xùn)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求行政部負(fù)責(zé)制定公司的員工年度培訓(xùn)計(jì)劃，公司的所有員工，適當(dāng)時(shí)還包括合作方和第三方用戶，都應(yīng)當(dāng)接受適當(dāng)?shù)男畔踩庾R(shí)培訓(xùn)并定期向它們傳達(dá)組織更新的方針和程序，以及工作任務(wù)方面的新情況。人力資源管理程序A.7.2.3紀(jì)律處理過程控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求違背組織安全方針和程序的員工公司將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實(shí)地情況下進(jìn)行，對(duì)于影響嚴(yán)重的，可解除勞動(dòng)合同并依法追究法律責(zé)任。信息安全懲戒管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文

8、件名稱A.7.3任用的終止或變化目標(biāo)YES宜將保護(hù)組織的利益融入到任瞪化或終止的處理流程中。A.7.3.1任用終止或職責(zé)變更控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求在員工離職前和第三方用戶完成合同時(shí)，應(yīng)進(jìn)行明確終止責(zé)任的溝通。溝通應(yīng)包括現(xiàn)行的安全要求、法規(guī)責(zé)任，并明確保密協(xié)議中的責(zé)任以及聘用條款及條件中的責(zé)任要在員工、合作方以及第三方用戶聘用結(jié)束后持續(xù)一定時(shí)期有效。人力資源管理程序A.8資產(chǎn)管理標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.8.1對(duì)資產(chǎn)負(fù)責(zé)目標(biāo)YES實(shí)現(xiàn)和保持對(duì)公司資產(chǎn)的是適當(dāng)保護(hù)。A.8.1.1資產(chǎn)清單控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果各部門按信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃

9、對(duì)影響到本公司經(jīng)營、服務(wù)和日常管理的重要業(yè)務(wù)系統(tǒng)以及涉及資產(chǎn)進(jìn)行識(shí)別。并建立和保持一份重要資產(chǎn)清單。信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序A.8.1.2資產(chǎn)責(zé)任人控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果行政部對(duì)信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定使用部門和負(fù)責(zé)人。資產(chǎn)負(fù)責(zé)人負(fù)責(zé)對(duì)資產(chǎn)分類、確定訪問授權(quán)。新的資產(chǎn)按照信息處理設(shè)施管理程序指定資產(chǎn)負(fù)責(zé)人。信息處理設(shè)施管理程序A.8.1.3資產(chǎn)的允許使用控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果行政部識(shí)別信息處理設(shè)施的使用要求和限制，必要時(shí)制定文化的使用規(guī)則（操作手冊(cè)或說明書講確保所有的使用者了解和I守設(shè)備的使用要求和限制。使用或訪問組織資產(chǎn)員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)

10、施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對(duì)信息資源的使用，以及發(fā)生在其責(zé)任下的使用負(fù)責(zé)。件信息處理設(shè)施管理程序量個(gè)人計(jì)算機(jī)管理程序A.8.1.4資產(chǎn)的歸還控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求在員工離職前應(yīng)收回保密文件，退還身份證件和使用組織的所有資產(chǎn)，并執(zhí)行財(cái)務(wù)清款，法律事務(wù)清查。第三方用戶完成合同時(shí)，應(yīng)按相關(guān)方信息安全管理程序辦理完所負(fù)責(zé)的所有資產(chǎn)歸還手續(xù)。人力資源管理程序相關(guān)方信息安全管理程序A.8.2信息分類目標(biāo)YES確保信息受到與其對(duì)組織的重要性保持一致的適當(dāng)級(jí)別的保護(hù)。標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.8.2.1信息分類控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果公司

11、的信息資產(chǎn)等級(jí)應(yīng)根據(jù)信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序來分，對(duì)信息的價(jià)值、法律要求、敏感度以及對(duì)組織的關(guān)鍵程度，對(duì)信息進(jìn)行分類。公司的信息密級(jí)按商業(yè)秘密管理程序規(guī)定的原則進(jìn)行確定。信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序商業(yè)秘密管理程序A.8.2.2信息標(biāo)識(shí)控制YES根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)于屬于企業(yè)的秘密、企業(yè)機(jī)密與國家秘密的文件，秘級(jí)確定部門應(yīng)按照要求做好標(biāo)識(shí)或加蓋識(shí)別印章。個(gè)人計(jì)算機(jī)建立個(gè)人計(jì)算機(jī)配備一覽表，加貼資產(chǎn)標(biāo)識(shí)。商業(yè)秘密管理程序個(gè)人計(jì)算機(jī)管理程序A.8.2.3資產(chǎn)處理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求應(yīng)當(dāng)建立處理和儲(chǔ)存信息的程序來保護(hù)這些信息免于未經(jīng)授權(quán)的泄露、誤用、盜用或丟失。商業(yè)秘

12、密管理程序A.8.3介質(zhì)處置目標(biāo)YES防止存儲(chǔ)在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動(dòng)或銷毀。A.8.3.1可移動(dòng)介質(zhì)的管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求可移動(dòng)介質(zhì)包括U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、磁帶、軟盤和已經(jīng)印刷好的報(bào)告等，各部門應(yīng)按其管理權(quán)限并根據(jù)信息安全體系規(guī)定和公司實(shí)際需求對(duì)其實(shí)施有效的控制。記錄予以保持。介質(zhì)管理程序A.8.3.2介質(zhì)的處置控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求對(duì)于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，處置部門應(yīng)按照介質(zhì)管理程序要求采取安全可靠處置的方法將其信息清除。處置的記錄予以保存。介質(zhì)管理程序商業(yè)秘密管理程序A.8.3.3物理

13、介質(zhì)傳輸控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，公司規(guī)定在將信息資產(chǎn)帶出公司時(shí)，應(yīng)對(duì)包含信息的介質(zhì)進(jìn)行保護(hù)。信息交換管理程序商業(yè)秘密管理程序A.9訪問控制標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.9.1訪問控制的業(yè)務(wù)要求目標(biāo)YES限制信息和信息處理設(shè)施的訪問。A.9.1.1訪問控制策略控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求本公司內(nèi)部可公開的信息，允許所有服務(wù)用戶訪問。本公司內(nèi)部部分公開的信息，經(jīng)訪問授權(quán)部門認(rèn)可，訪問授權(quán)實(shí)施部門實(shí)施后用戶可訪問。用戶不得訪問或嘗試訪

14、問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。各系統(tǒng)訪問授權(quán)部門應(yīng)編制系統(tǒng)用戶訪問權(quán)限說明用戶訪問管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱書，明確規(guī)定訪問規(guī)則，對(duì)幾人共用的賬號(hào)應(yīng)明確責(zé)任人。A.9.1.2使用網(wǎng)絡(luò)服務(wù)的策略控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司在用戶訪問管理程序中建立網(wǎng)絡(luò)服務(wù)安全策略，以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量。用戶訪問管理程序A.9.2用戶訪問管理目標(biāo)YES確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問A.9.2.1用戶注冊(cè)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求根據(jù)用戶訪問管理程序規(guī)定的訪問控制策略確定訪問規(guī)則，訪問權(quán)限.所有用戶，包括相關(guān)方服

15、務(wù)人員均需要履行訪問授權(quán)手續(xù)，行政部提交用戶授權(quán)申請(qǐng)表，經(jīng)審核，總經(jīng)理批準(zhǔn)后，實(shí)施授權(quán),授權(quán)到期后實(shí)施注銷用戶訪問管理程序A.9.2.2用戶訪問提供控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求用戶（包括技術(shù)支持人員、操作員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員和軟件開發(fā)工程師）應(yīng)有唯一的識(shí)別符（USER口），以便他們個(gè)人單獨(dú)使用時(shí)，能查出活動(dòng)的個(gè)人責(zé)任，用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置。用戶識(shí)別符（USERID）可以由用戶名稱加口令或其它適宜方式組成。用戶訪問管理程序A.9.2.3特殊權(quán)限管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求網(wǎng)絡(luò)系統(tǒng)管理員只有經(jīng)過書面授權(quán)，其特權(quán)才被認(rèn)可。當(dāng)特權(quán)擁有者暫

16、時(shí)離開工作崗位時(shí)，特權(quán)部門負(fù)責(zé)人應(yīng)對(duì)特權(quán)實(shí)行緊急安排，以保證系統(tǒng)正常運(yùn)行；當(dāng)特權(quán)擁有者返回工作崗位時(shí)，應(yīng)及時(shí)收回特權(quán)。用戶訪問管理程序A.9.2.4用戶安全鑒別信息的管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求系統(tǒng)管理員應(yīng)按用戶訪問管理程序?qū)Ρ皇跈?quán)訪問該系統(tǒng)的用戶口令予以分配。用戶訪問管理程序A.9.2.5用戶訪問權(quán)的復(fù)查控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求用戶訪問權(quán)限主管部門按用戶訪問管理程序規(guī)定每半年應(yīng)對(duì)一般用戶訪問權(quán)進(jìn)行評(píng)審，對(duì)特權(quán)用戶每季度進(jìn)行評(píng)審一次，注銷非法用戶或過期無效用戶的訪問權(quán)，評(píng)審結(jié)果予以保持。用戶訪問管理程序A.9.2.6撤銷或調(diào)整訪問權(quán)限控制YES根據(jù)信息安

17、全體系規(guī)定和公司實(shí)際需求員工離職后要及時(shí)收回對(duì)信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。第三方用戶完成合同時(shí)，應(yīng)按相關(guān)方信息安全管理程序、用戶訪問管理程序解除，或根據(jù)變化調(diào)整訪問權(quán)限。人力資源管理程序用戶訪問管理程序A.9.3用戶職責(zé)目標(biāo)YES確保用戶對(duì)保護(hù)他們的鑒別信息負(fù)有責(zé)任標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.9.3.1安全鑒別信息的使用控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司在用戶訪問管理程序和相應(yīng)的應(yīng)用管理中明確規(guī)定了口令安全選擇與使用要求，所有用戶應(yīng)嚴(yán)格遵守。實(shí)施口令定期變更策略（一般用戶每半年，特權(quán)用戶口令每季度）。用戶訪問管理程序A.9.

18、4系統(tǒng)和應(yīng)用訪問控制目標(biāo)YES防止對(duì)系統(tǒng)和應(yīng)用的非授權(quán)訪問。A.9.4.1信息訪問限制控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求本公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。本公司內(nèi)部部分公開信息，經(jīng)訪問授權(quán)部門認(rèn)可，訪問授權(quán)實(shí)施部門實(shí)施后用戶方可訪問。用戶訪問管理程序A.9.4.2安全登錄規(guī)程控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。用戶訪問管理程序A.9.4.3口令管理系統(tǒng)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則:所有活動(dòng)帳號(hào)都必須有口令保護(hù)，所有系統(tǒng)初始默認(rèn)口令必須更改,用戶定

19、期變更口令等。用戶訪問管理程序A.9.4.4特權(quán)使用程序的使用控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求實(shí)用系統(tǒng)的訪問控制，應(yīng)嚴(yán)格按用戶訪問管理程序執(zhí)行。因未按用戶訪問管理程序授權(quán)的用戶訪問造成的信息安全事件，公司領(lǐng)導(dǎo)負(fù)主要責(zé)任。對(duì)系統(tǒng)實(shí)用工具進(jìn)行有效控制。信息系統(tǒng)應(yīng)用管理程序A.9.4.5對(duì)程序源代碼的訪問控制控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求不允許任何人以任何方式訪問程序源代碼。信息系統(tǒng)開發(fā)建設(shè)管理程序A.10密碼學(xué)標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.10.1密碼控制目標(biāo)YES確保適當(dāng)并有效的密碼的使用來保護(hù)信息的保密性、真實(shí)性或完整性A.10.1.1使

20、用密碼控制的策略控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求使用密碼控制措施來保護(hù)信息，使用密碼時(shí)，應(yīng)基于風(fēng)險(xiǎn)評(píng)估，確定需要的保護(hù)級(jí)別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量，并符合信息安全合規(guī)性管理程序的要求。各電子數(shù)據(jù)文件的形成部門應(yīng)識(shí)別重要數(shù)據(jù)的加密要求，對(duì)需要加密的信息，制定加密信息系統(tǒng)開發(fā)建設(shè)管理程序數(shù)據(jù)安全管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱方案，經(jīng)公司總經(jīng)理批準(zhǔn)后嚴(yán)格執(zhí)行。A.10.1.2密鑰管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求應(yīng)有密鑰管理以支持組織使用密碼技術(shù)，應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。數(shù)據(jù)安全管理程序A.11物理與環(huán)境安

21、全標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.11.1安全區(qū)域目標(biāo)YES防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾。A.11.1.1物理安全邊界控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司安全區(qū)域分為一般安全區(qū)域與特別安全區(qū)域，安全區(qū)域的實(shí)物安全周界由安全區(qū)域管理程序確定。安全區(qū)域管理程序A.11.1.2物理入口控制控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司人員上下班出入刷卡，外來人員必須進(jìn)行外來人員登記后等待接待，若需進(jìn)入公司辦公區(qū)域，由接待人員陪同方可進(jìn)入。安全區(qū)域管理程序A.11.1.3辦公室、房間和設(shè)施的安全保護(hù)控制YES根據(jù)信息安全體系規(guī)定和公

22、司實(shí)際需求特別安全區(qū)域內(nèi)的房間和設(shè)施進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害。滅火設(shè)備，放在合適的地點(diǎn)，并定期進(jìn)行檢查。臨時(shí)訪問人員接待應(yīng)與辦公區(qū)域隔離，防止未經(jīng)授權(quán)訪問。安全區(qū)域管理程序A.11.1.4外部和環(huán)境威脅的安全防護(hù)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求外來人員來本公司參觀或?qū)Υ髽沁M(jìn)行拍攝，須報(bào)請(qǐng)行政部批準(zhǔn)，安全周界的大門下班后應(yīng)關(guān)緊，行政部負(fù)責(zé)管理。應(yīng)將備用設(shè)備、備品備件和備份存儲(chǔ)介質(zhì)放置在一定安全距離以外，以免主場所發(fā)生的災(zāi)難性事故對(duì)其造成破壞。安全區(qū)域管理程序A.11.1.5在安全區(qū)域工作控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求明確規(guī)定員工、第三方人員在有關(guān)

23、安全區(qū)域工作的基本安全要求（如避免在第三方人員未被監(jiān)督的情況下在安全區(qū)域內(nèi)進(jìn)行工作，未經(jīng)同意不允許使用攝影、錄像、錄音或其它音像記錄設(shè)備等），并要求員工、第三方人員嚴(yán)格遵守。安全區(qū)域管理程序相關(guān)方信息安全管理程序A.11.1.6交接區(qū)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司設(shè)有接待前臺(tái)，供接待臨時(shí)訪問人員。對(duì)特別安全區(qū)域，未經(jīng)授權(quán)不允許外來人員直接入內(nèi)，應(yīng)由本區(qū)域工作人員領(lǐng)進(jìn)會(huì)議室，防止未經(jīng)授權(quán)的訪問。安全區(qū)域管理程序A.11.2設(shè)備安全目標(biāo)YES防止資產(chǎn)的損失、損失或丟失及業(yè)務(wù)活動(dòng)的中斷。A.11.2.1設(shè)備安置和控制YES根據(jù)信息安全體系規(guī)需要安裝的信息處理設(shè)施，使用部門應(yīng)確定安裝

24、地點(diǎn)，對(duì)信息信息處理設(shè)施管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱保護(hù)定和公司實(shí)際需求信息處理設(shè)施進(jìn)行定置管理和妥善保護(hù)，以降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)，以及非授權(quán)訪問的機(jī)會(huì)。A.11.2.2支持性設(shè)施控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求服務(wù)器應(yīng)放置于溫濕度的變化范圍在設(shè)備運(yùn)行所允許的范圍內(nèi)的房間，必要時(shí)應(yīng)安裝空調(diào)設(shè)施。信息處理設(shè)施管理程序A.11.2.3布纜安全控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求進(jìn)入各部門的電纜應(yīng)嚴(yán)格保管，不準(zhǔn)隨意搬遷、拉扯或損壞，如發(fā)現(xiàn)異常及時(shí)通報(bào)行政部。信息處理設(shè)施管理程序A.11.2.4設(shè)備維護(hù)控制YES根據(jù)信息安全體系規(guī)定和公司

25、實(shí)際需求信息處理設(shè)施的維護(hù)應(yīng)按照相應(yīng)的維護(hù)程序/規(guī)程進(jìn)行設(shè)備的檢查、維護(hù)、清潔并做好必要的運(yùn)行保養(yǎng)和記錄。信息處理設(shè)施管理程序A.11.2.5資產(chǎn)的移動(dòng)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求在未經(jīng)授權(quán)的情況下，設(shè)備、信息或軟件不應(yīng)該帶到工作場所外。重要信息設(shè)備的遷移應(yīng)被授權(quán)，遷移活動(dòng)應(yīng)被記錄。信息處理設(shè)施的遷移控制執(zhí)行信息處理設(shè)施管理程序。信息處理設(shè)施管理程序A.11.2.6組織場所外的設(shè)備安全控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求筆記本在帶離規(guī)定的區(qū)域時(shí)，應(yīng)經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對(duì)其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問，移動(dòng)存儲(chǔ)介質(zhì)應(yīng)按介質(zhì)管理程序進(jìn)行防護(hù)，不得丟失。離開辦公場所

26、的設(shè)備應(yīng)考慮損壞、盜竊和截取的風(fēng)險(xiǎn)并加以保護(hù)，并使其免于強(qiáng)電磁場設(shè)備和有腐蝕性氣體和塵埃的威脅。信息處理設(shè)施管理程序個(gè)人計(jì)算機(jī)管理程序介質(zhì)管理程序A.11.2.7設(shè)備的安全處置或再利用控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求含有敏感信息的設(shè)備在報(bào)廢或改做他用時(shí)，應(yīng)將設(shè)備中存儲(chǔ)的敏感信息清除并保存清除記錄。具體執(zhí)行信息處理設(shè)施管理程序和介質(zhì)管理程序。信息處理設(shè)施管理程序介質(zhì)管理程序A.11.2.8無人值守的用戶設(shè)備控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司規(guī)定安全周界的大門下班后應(yīng)關(guān)緊，行政部負(fù)責(zé)管理，外來人員進(jìn)入辦公區(qū)域應(yīng)進(jìn)行登記，個(gè)人計(jì)算機(jī)設(shè)置登陸密碼。安全區(qū)域管理程序A.11.2

27、.9清空桌面和屏幕策略控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求計(jì)算機(jī)使用人員應(yīng)養(yǎng)成保持桌面干凈整潔、文件分類有序、定時(shí)清理垃圾文件和程序的良好習(xí)慣。所有計(jì)算機(jī)終端必須設(shè)立登錄口令，在人員離開時(shí)應(yīng)該鎖屏、注銷或關(guān)機(jī)。當(dāng)人員離開時(shí)，確保機(jī)密的紙文件和可移動(dòng)存儲(chǔ)介質(zhì)沒有留在桌面上個(gè)人計(jì)算機(jī)管理程序A.12操作安全標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.12.1操作規(guī)程和職責(zé)目標(biāo)YES確保正確和安全的操作信息處理設(shè)施。A.12.1.1文件化的操作規(guī)程控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司按照信息安全方針的要求，建

28、立并實(shí)施文件化的作業(yè)程序，見信息安全管理體系文件一覽表（信息安全管理手冊(cè)附件）文件化的作業(yè)程序的控制執(zhí)行文件管理程序。文件管理程序A.12.1.2變更管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求在變更實(shí)施前，填寫變更申請(qǐng)表，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括不成功變更的恢復(fù)措施），負(fù)責(zé)人批準(zhǔn)后予以實(shí)施。對(duì)于重要設(shè)施和網(wǎng)絡(luò)系統(tǒng)的重大變更，應(yīng)對(duì)變更影響進(jìn)行評(píng)價(jià)。信息系統(tǒng)應(yīng)用管理程序信息系統(tǒng)開發(fā)建設(shè)管理程序A.12.1.3容量管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求應(yīng)該監(jiān)控、協(xié)調(diào)資源的使用（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路寬帶），并規(guī)劃未來的容量要求，以確保所

29、要求的系統(tǒng)性能，適當(dāng)時(shí)機(jī)進(jìn)行容量變更。信息系統(tǒng)開發(fā)建設(shè)管理程序容量管理策略A.12.1.4開發(fā)、測試和運(yùn)行設(shè)施的分離控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求當(dāng)開發(fā)、測試時(shí)，開發(fā)測試和運(yùn)行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。信息系統(tǒng)應(yīng)用管理程序A.12.2防范惡意軟件目標(biāo)YES確保保護(hù)信息和信息處理設(shè)備，防范惡意軟件A.12.2.1控制惡意軟件控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求研發(fā)部負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對(duì)技術(shù)工具進(jìn)行實(shí)時(shí)升級(jí)，各部門應(yīng)統(tǒng)一使用公司批準(zhǔn)的病毒保護(hù)軟件和配置，且不能降低其更新頻率和有效性。對(duì)不能自動(dòng)清除的病毒，必須向領(lǐng)導(dǎo)報(bào)告。病毒防范管理程序A

30、.12.3備份目標(biāo)YES防止數(shù)據(jù)丟失A.12.3.1信息備份控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)重要數(shù)據(jù)庫、軟件等進(jìn)行備份，應(yīng)按照已設(shè)定的備份方針，保證信息的保密性、完整性和可用性。數(shù)據(jù)安全管理程序數(shù)據(jù)備份策略A.12.4日志記錄和監(jiān)視目標(biāo)YES記錄事件并產(chǎn)生證據(jù)A.12.4.1事件日志控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司建立并保存例外事件或其它安全相關(guān)事件的審核日志，以便對(duì)將來的調(diào)查和訪問控制監(jiān)測提供幫助。審核日志一般通過使用系統(tǒng)檢測工具按照事先的設(shè)置自動(dòng)生成。信息系統(tǒng)監(jiān)控管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱審核日志、監(jiān)

31、視記錄按規(guī)定予以保存。A.12.4.2日志信息的保護(hù)控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。應(yīng)防止對(duì)日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題。具體執(zhí)行信息系統(tǒng)監(jiān)控管理程序。信息系統(tǒng)監(jiān)控管理程序A.12.4.3管理員和操作員日志控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求系統(tǒng)管理員和操作員的活動(dòng)應(yīng)記入日志，系統(tǒng)管理員不允許刪除或關(guān)閉其自身活動(dòng)的日志。信息系統(tǒng)監(jiān)控管理程序A.12.4.4時(shí)鐘同步控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司所有服務(wù)器設(shè)備和終端與網(wǎng)絡(luò)時(shí)鐘同步，具體執(zhí)行信息系統(tǒng)監(jiān)控管理程序。要求公司網(wǎng)絡(luò)和系統(tǒng)采用

32、網(wǎng)絡(luò)時(shí)間協(xié)議保持所有服務(wù)器與主時(shí)鐘同步。個(gè)人計(jì)算機(jī)應(yīng)采用網(wǎng)絡(luò)時(shí)間協(xié)議保持與主時(shí)鐘同步。信息系統(tǒng)監(jiān)控管理程序A.12.5運(yùn)行軟件的控制目標(biāo)YES確保運(yùn)行系統(tǒng)的完整性A.12.5.1運(yùn)行系統(tǒng)中軟件的安全控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求軟件管理程序規(guī)定公司和系統(tǒng)應(yīng)用主管部門應(yīng)對(duì)操作系統(tǒng)軟件的版本管理、安裝、使用和備份進(jìn)行嚴(yán)格控制。規(guī)定在新軟件安裝或軟件升級(jí)之前，應(yīng)經(jīng)測試和審批后方可按規(guī)定程序進(jìn)行。軟件的升級(jí)、補(bǔ)J或更新具體執(zhí)行信息系統(tǒng)開發(fā)建設(shè)管理程序。個(gè)人計(jì)算機(jī)管理程序規(guī)定計(jì)算機(jī)終端用戶除非授權(quán)，否則嚴(yán)禁私自安裝任何軟件。信息系統(tǒng)開發(fā)建設(shè)管理程序軟件管理程序個(gè)人計(jì)算機(jī)管理程序A.12.6

33、技術(shù)脆弱性管理目標(biāo)YES防止技術(shù)脆弱性被利用A.12.6.1技術(shù)脆弱性管理控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求對(duì)技術(shù)薄弱點(diǎn)應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，進(jìn)行專項(xiàng)分析，制訂風(fēng)險(xiǎn)處理計(jì)劃，根據(jù)風(fēng)險(xiǎn)處理計(jì)劃采取對(duì)應(yīng)的技術(shù)和管理措施。公司與信息安全管理有關(guān)的所有員工對(duì)發(fā)現(xiàn)的信息安全薄弱點(diǎn)或潛在威脅均應(yīng)履行報(bào)告義務(wù)。技術(shù)薄弱點(diǎn)管理程序A.12.6.2軟件安裝限制控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司行政部負(fù)責(zé)軟件的安裝授權(quán)，對(duì)常用的開發(fā)、辦公軟件，相關(guān)部門可以自行安裝，對(duì)于和工作無關(guān)的軟件禁止安裝。技術(shù)薄弱點(diǎn)管理程序A.12.7信息系統(tǒng)目標(biāo)YES將審計(jì)活動(dòng)對(duì)運(yùn)行系統(tǒng)的影響最小化標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控

34、制是否選擇選擇理由控制描述文件名稱審計(jì)考慮A.12.7.1信息系統(tǒng)審計(jì)控制措施控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求正式審核之前，審核組應(yīng)明確技術(shù)性審核的項(xiàng)目與要求，防止審核活動(dòng)本身造成不必要的安全風(fēng)險(xiǎn)。內(nèi)部審核管理程序A.13通信安全標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.13.1網(wǎng)絡(luò)安全管理目標(biāo)YES未保護(hù)對(duì)網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)。A.13.1.1網(wǎng)絡(luò)控制控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求實(shí)施有效的網(wǎng)絡(luò)安全控制措施，如防火墻、路由器等的安全配置，網(wǎng)絡(luò)設(shè)備的定期維護(hù)，網(wǎng)絡(luò)設(shè)備和系統(tǒng)的重大變更控制措施，用戶訪問權(quán)限管理，網(wǎng)絡(luò)服務(wù)的管理，包括運(yùn)行

35、情況的監(jiān)督。網(wǎng)絡(luò)安全管理程序數(shù)據(jù)安全管理程序A.13.1.2網(wǎng)絡(luò)服務(wù)的安全控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求應(yīng)該識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)以及管理要求，并將其包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是內(nèi)部提供還是外包。公司根據(jù)組織的安全策略，識(shí)別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值。網(wǎng)絡(luò)安全管理程序相關(guān)方信息安全管理程序）A.13.1.3網(wǎng)絡(luò)隔離控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求網(wǎng)絡(luò)管理人員應(yīng)編制網(wǎng)絡(luò)拓?fù)鋱D，描述網(wǎng)絡(luò)結(jié)構(gòu)并表示網(wǎng)絡(luò)的各組成部分之間在邏輯上和物理上的相互連接.為確保公司網(wǎng)絡(luò)安全，采用物理和邏輯兩種方式進(jìn)行網(wǎng)絡(luò)隔離。網(wǎng)絡(luò)安全管理程序A.13.2信息的交

36、換目標(biāo)YES保持組織內(nèi)信息交換及與外部組織信息交換的安全。A.13.2.1信息交換策略和程序控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求在內(nèi)部或與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中采用有效的安全控制措施，公司規(guī)定在使用電子通信設(shè)施進(jìn)行信息交換時(shí)，防止交換的信息被截取、備份、修改、誤傳以及破壞；保護(hù)以附件形式傳輸?shù)碾娮有畔?公司互聯(lián)網(wǎng)的計(jì)算機(jī)，不得含有涉密的電子數(shù)據(jù)信息。信息交換管理程序數(shù)據(jù)安全管理程序A.13.2.2信息交換協(xié)議控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求應(yīng)保護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)，并作為制定交換協(xié)議的參考。對(duì)于敏感信息，應(yīng)該考慮對(duì)信息交換使用特殊的機(jī)制，但必須與組織和協(xié)議類型相

37、協(xié)調(diào)。信息交換管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.13.2.3電子消息發(fā)送控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求基于業(yè)務(wù)及管理的需要，及減少企業(yè)秘密被泄露與防范計(jì)算機(jī)病毒的原則，公司建立了信息交換管理程序包括電子郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。信息交換管理程序A.13.2.4保密或不泄露協(xié)議控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司對(duì)與正式錄用員工在勞動(dòng)合同中附加有關(guān)保密方面的內(nèi)容條款或簽署員工保密協(xié)議，員工離職前應(yīng)根據(jù)離職流程。公司與外部相關(guān)方簽暑相關(guān)方保密協(xié)議或第三方保密協(xié)議，所有與外部相關(guān)方合作而引起的安全需求或內(nèi)部控制都

38、應(yīng)在協(xié)議中反映。人力資源管理程序相關(guān)方信息安全管理程序A.14系統(tǒng)獲取、開發(fā)和維護(hù)標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱A.14.1信息系統(tǒng)的安全要求目標(biāo)YES確保信息安全成為信息系統(tǒng)生命周期的組成部分，包括向公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的特定安全要求A.14.1.1安全要求分析和說明控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求信息系統(tǒng)建設(shè)部門在進(jìn)行新系統(tǒng)建設(shè)或系統(tǒng)更新時(shí)，首先應(yīng)對(duì)系統(tǒng)進(jìn)行分析，根據(jù)業(yè)務(wù)功能要求及信息安全要求，明確規(guī)定控制要求。系統(tǒng)（軟件）本身的功能及安全特性應(yīng)在設(shè)計(jì)開發(fā)輸入時(shí)應(yīng)明確提出，并進(jìn)行評(píng)審。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.1.2公共網(wǎng)絡(luò)服務(wù)的安全控制

39、YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求按照安全等級(jí)保護(hù)制度的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)確定本單位網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)，并根據(jù)安全等級(jí)保護(hù)制度的要求進(jìn)行建設(shè)。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.1.3保護(hù)應(yīng)用服務(wù)交易控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求對(duì)大量數(shù)據(jù)先進(jìn)行收集并分塊，通過安全信道傳輸給多個(gè)服務(wù)器儲(chǔ)存,密文處理過程的數(shù)據(jù)同步存儲(chǔ)，只要其中一個(gè)服務(wù)器沒被攻破，則該方案就是安全的信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2開發(fā)和支持過程的安全目標(biāo)YES確保在信息系統(tǒng)開發(fā)生命周期內(nèi)審計(jì)和實(shí)施信息安全A.14.2.14N-rr吟安全開發(fā)策略控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求安全開發(fā)是建立

40、安全服務(wù)、架構(gòu)、軟件和系統(tǒng)的要求，公司從軟件開發(fā)生命周期建立安全開發(fā)策略。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.2系統(tǒng)變更控制程序控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求當(dāng)信息系統(tǒng)需變更時(shí)，應(yīng)先分析其變更原因。在明確變更原因后，研發(fā)部負(fù)責(zé)對(duì)變更進(jìn)行策劃，提出變更具信息系統(tǒng)開發(fā)建設(shè)管理程序標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述文件名稱體實(shí)施的信息系統(tǒng)變更計(jì)劃書，交由總經(jīng)理審批。對(duì)于重要設(shè)備和網(wǎng)絡(luò)系統(tǒng)的重大變更，應(yīng)對(duì)變更影響進(jìn)行評(píng)價(jià)。A.14.2.3操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求當(dāng)操作系統(tǒng)發(fā)生更改時(shí)，操作系統(tǒng)更改對(duì)應(yīng)用系統(tǒng)的影響應(yīng)由系統(tǒng)主管部

41、門進(jìn)行評(píng)審，確保對(duì)作業(yè)或安全措施無不利影響。具體執(zhí)行信息系統(tǒng)開發(fā)建設(shè)管理程序。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.4軟件包變更的限制控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求公司不鼓勵(lì)修改軟件包，如果有必要確需進(jìn)行更改，更改提出部門應(yīng)在實(shí)施前進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定必須的控制措施，保留原始軟件，并在完全一樣的復(fù)制軟件上進(jìn)行更改，更改實(shí)施前應(yīng)得到公司領(lǐng)導(dǎo)的授權(quán)。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.5安全系統(tǒng)工程原則控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求在平衡信息安全需求和訪問需求的基礎(chǔ)上，組織所有架構(gòu)層（業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)）宜考慮安全設(shè)計(jì)。宜分析新技術(shù)的安全風(fēng)險(xiǎn)，并根據(jù)已知的攻擊模式評(píng)審其設(shè)計(jì)。信息系統(tǒng)開發(fā)建設(shè)管理程序A.14.2.6安全開發(fā)環(huán)境控制YES根據(jù)信息安全體系規(guī)定和公司實(shí)際需求對(duì)覆蓋系統(tǒng)開發(fā)全生