ISO27001內(nèi)部審核檢查表

信息安全管理體系內(nèi)部審核檢查表被審核部門(mén)：總經(jīng)理、管理者代表要素/附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷4.1了解組織現(xiàn)狀及背景詢問(wèn)公司的組織的現(xiàn)狀及面臨的主要外部問(wèn)題，是否考慮信息安全的問(wèn)題，如業(yè)務(wù)的風(fēng)險(xiǎn)等等有考慮公司的內(nèi)外部環(huán)境，業(yè)務(wù)風(fēng)險(xiǎn)，并形成《組織內(nèi)外部環(huán)境要素識(shí)別表》對(duì)內(nèi)外部環(huán)境進(jìn)行分析。符合4.2理解相關(guān)方的需求和期望如何理解相關(guān)方的需求？制訂相關(guān)方的風(fēng)險(xiǎn)識(shí)別要求表符合4.3確定范圍詢問(wèn)公司信息安全體系的范圍確認(rèn)公司的認(rèn)證范圍，認(rèn)證范圍為：從事與聚合支付平臺(tái)涉及的軟件研發(fā)及其運(yùn)維服務(wù)相關(guān)的信息安全管理活動(dòng)。符合5.15.25.3領(lǐng)導(dǎo)力公司有無(wú)建立信息安全方針和目標(biāo)，分配信息安全小組的權(quán)責(zé)有建立方針“積極防范、嚴(yán)密管理、快速響應(yīng)，持續(xù)改進(jìn)”并制定了信息安全管理職責(zé)明細(xì)表，查有聚合平臺(tái)研發(fā)部、運(yùn)維部、綜合辦、信息安全小組成員等職責(zé)符合6.2可實(shí)現(xiàn)的目標(biāo)和計(jì)劃有無(wú)建立信息安全目標(biāo)？建立執(zhí)行方案？手冊(cè)已規(guī)定了安全目標(biāo)，商業(yè)秘密信息泄漏事故0次/年，顧客信息安全事件投訴0次/年。并制訂相應(yīng)方案。符合7.1資源組織建立體系的有哪些資源的支持提供了設(shè)備，各種投入、組織架構(gòu)等。符合7.4溝通公司有無(wú)提供信息安全的資源及建立溝通渠道建立了信息安全溝通程序。符合9.1監(jiān)控、度量，分析和評(píng)價(jià)針對(duì)信息安全績(jī)效，建立哪些有效性測(cè)量指標(biāo)？設(shè)備檢測(cè)、風(fēng)險(xiǎn)指標(biāo)等。符合10.2持續(xù)改進(jìn)公司有無(wú)建立持續(xù)改進(jìn)的程序.持續(xù)改進(jìn)主要表現(xiàn)在在哪些方面？建立持續(xù)改進(jìn)控制程序。符合A.5信息安全策略A.5.1信息安全的管理方向A.5.1.1信息安全策略信息安全策略集應(yīng)由管理者定義、批準(zhǔn)、發(fā)布并傳達(dá)給員工和相關(guān)外部方。信息安全方針:“積極防范、嚴(yán)密管理、快速響應(yīng)，持續(xù)改進(jìn)”。見(jiàn)信息安全手冊(cè)符合A.5.1.2信息安全策略的評(píng)審信息安全策略應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。有制作內(nèi)審管理程序及管理評(píng)審評(píng)審.首次運(yùn)行不適用A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責(zé)所有的信息安全職責(zé)應(yīng)予以定義和分配。成立了信息安全委員會(huì),有信息安全委員會(huì)章程附件信息安全管理職責(zé)符合A.6.1.2職責(zé)分離分離相沖突的責(zé)任及職責(zé)范圍，以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。有規(guī)定總經(jīng)辦、綜合等符合A.6.1.3與政府部門(mén)的聯(lián)系應(yīng)保持與政府相關(guān)部門(mén)的適當(dāng)聯(lián)系。建立了相關(guān)的聯(lián)系方針?lè)螦.6.1.4與特定利益集團(tuán)的聯(lián)系應(yīng)保持與特定利益集團(tuán)、其他安全論壇和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。有定義，有授權(quán)符合A.6.2移動(dòng)設(shè)備和遠(yuǎn)程工作A.6.2.1移動(dòng)設(shè)備策略應(yīng)采用策略和支持性安全措施來(lái)管理由于使用移動(dòng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)。通過(guò)授權(quán)符合A.6.2.2遠(yuǎn)程工作應(yīng)實(shí)施策略和支持性安全措施來(lái)保護(hù)在遠(yuǎn)程工作場(chǎng)地訪問(wèn)、處理或存儲(chǔ)的信息。符合要求，通過(guò)與集團(tuán)的VPN實(shí)現(xiàn)符合

被審核部門(mén)：總經(jīng)辦審核員簽字：李海清時(shí)間:2018.7.11附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷5.3角色、職任和承諾如何在本職范圍內(nèi)明確責(zé)任，特別信息安全管理方面的職務(wù)？通過(guò)崗位職責(zé)明確符合6.1處理風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)6.1.1如何策劃風(fēng)險(xiǎn)和機(jī)遇6.1.2如何策劃風(fēng)險(xiǎn)評(píng)估6.1.3信息安全風(fēng)險(xiǎn)的處置建立了《風(fēng)險(xiǎn)評(píng)估控制程序》于信息安全委員賒在3月12日進(jìn)行了風(fēng)險(xiǎn)評(píng)估。符合6.2可實(shí)現(xiàn)的信息安全和計(jì)劃如何建立安全管理目標(biāo)和計(jì)劃在手冊(cè)中有分析，有實(shí)現(xiàn)方案符合7.2能力如何確保學(xué)習(xí)，是否建立了員工能力要求的相關(guān)程序職務(wù)說(shuō)明書(shū)的能力的要求。符合7.3意識(shí)如何在進(jìn)行信息安全意識(shí)的培訓(xùn)通過(guò)培訓(xùn)，查6，7月的培訓(xùn)記錄有信息安全意識(shí)記錄符合7.5文檔信息化如何進(jìn)行文檔和記錄的控制?制訂了文件控制程序符合A.7人力資源安全A.7.1任用之前A.7.1.1審查關(guān)于所有作用候選者的背景驗(yàn)證核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求、被訪問(wèn)信息的類別和察覺(jué)的風(fēng)險(xiǎn)來(lái)執(zhí)行。見(jiàn)員工聘用管理程序，查有背景調(diào)查符合A.7.1.2任用條款和條件與雇員和承包方人員的合同協(xié)議應(yīng)聲明他們和組織的信息安全職責(zé)。員工有簽訂保密條款符合A.7.2任用中A.7.2.1管理職責(zé)管理者應(yīng)要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對(duì)信息安全盡心盡力。有員工信息安全培訓(xùn)記錄7.18符合A.7.2.2信息安全意識(shí)、教育和培訓(xùn)組織的所有雇員，適當(dāng)時(shí)，包括承包方人員，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織策略及規(guī)程的定期更新培訓(xùn)。有員工信息安全培訓(xùn)程序在8月份有召開(kāi)培訓(xùn)符合A.7.2.3紀(jì)律處理過(guò)程應(yīng)有一個(gè)正式的、已傳達(dá)的紀(jì)律處理過(guò)程，來(lái)對(duì)信息安全違規(guī)的雇員采取措施。有信息安全獎(jiǎng)懲管理程序符合A.7.3.任用的終止或變更A.7.3.1任用終止或變更職責(zé)應(yīng)定義信息安全職責(zé)和義務(wù)在任用終止或變更后保持有效的要求，并傳達(dá)給雇員或承包方人員，予以執(zhí)行。見(jiàn)員工離職管理程序，員工有交接手續(xù)，確保離職前的資產(chǎn)歸還。符合A.8資產(chǎn)管理A.8.1對(duì)資產(chǎn)負(fù)責(zé)A.8.1.1資產(chǎn)清單應(yīng)識(shí)別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單有資產(chǎn)清單符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。清單有所屬的資產(chǎn)負(fù)責(zé)人。符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。對(duì)資產(chǎn)的管理進(jìn)行了規(guī)定，見(jiàn)信息安全風(fēng)險(xiǎn)管理程序符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。有規(guī)定，查員工離職交接記錄符合A.8.2信息分類A.8.2.1信息的分類信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它對(duì)未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定符合A.8.2.2信息的標(biāo)記應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記規(guī)程?？偨?jīng)辦定期召開(kāi)培訓(xùn)符合A.8.2.3信息的處理應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施處理資產(chǎn)的規(guī)程。有規(guī)定5個(gè)級(jí)別。符合A.8.3介質(zhì)處置A.8.3.1可移動(dòng)介質(zhì)的管理應(yīng)按照組織所采納的分類機(jī)制實(shí)施可移動(dòng)介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。項(xiàng)目部U盤(pán)不能使用。符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。符合要求《介質(zhì)管理程序》符合

被審核部門(mén)：業(yè)務(wù)部審核員簽字：黃欽松時(shí)間:2018.7.12A.8資產(chǎn)管理A.8.1對(duì)資產(chǎn)負(fù)責(zé)A.8.1.1資產(chǎn)清單應(yīng)識(shí)別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單有資產(chǎn)清單符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。清單有所屬的資產(chǎn)負(fù)責(zé)人。符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。對(duì)資產(chǎn)的管理進(jìn)行了規(guī)定，見(jiàn)信息安全風(fēng)險(xiǎn)管理程序符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。有規(guī)定，查員工離職交接記錄符合A.8.2信息分類A.8.2.1信息的分類信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它對(duì)未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定符合A.8.2.2信息的標(biāo)記應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記規(guī)程。總經(jīng)辦定期召開(kāi)培訓(xùn)符合A.8.2.3信息的處理應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施處理資產(chǎn)的規(guī)程。有規(guī)定5個(gè)級(jí)別。符合A.8.3介質(zhì)處置A.8.3.1可移動(dòng)介質(zhì)的管理應(yīng)按照組織所采納的分類機(jī)制實(shí)施可移動(dòng)介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。項(xiàng)目部U盤(pán)不能使用。符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。符合要求《介質(zhì)管理程序》符合被審核部門(mén)：研發(fā)部審核員簽字：李海清時(shí)間:2018.7.12附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷A6信息安全組織是否建立了信息安全委員會(huì)，IT人員參加了信息安全委員會(huì)嗎?IT人員參與A.8資產(chǎn)管理A.8.1對(duì)資產(chǎn)負(fù)責(zé)A.8.1.1資產(chǎn)清單應(yīng)識(shí)別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單有規(guī)定符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。有規(guī)定,新入職員工有背景調(diào)查符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。針對(duì)項(xiàng)目資產(chǎn)有規(guī)定。符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。有規(guī)定,要求歸還門(mén)禁卡符合A.8.2信息分類A.8.2.1信息的分類信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它對(duì)未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定符合A.8.2.2信息的標(biāo)記應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記規(guī)程?？偨?jīng)辦定期召開(kāi)培訓(xùn)符合A.8.2.3信息的處理應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施處理資產(chǎn)的規(guī)程。有規(guī)定符合A.8.3介質(zhì)處置A.8.3.1可移動(dòng)介質(zhì)的管理應(yīng)按照組織所采納的分類機(jī)制實(shí)施可移動(dòng)介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。符合要求符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。符合要求符合A.9訪問(wèn)控制A.9.1訪問(wèn)控制的業(yè)務(wù)要求A.9.1.1訪問(wèn)控制策略訪問(wèn)控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和信息安全要求進(jìn)行評(píng)審。本生產(chǎn)區(qū)有專門(mén)的保衛(wèi)系統(tǒng)符合A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)用戶應(yīng)僅能訪問(wèn)已獲專門(mén)授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。有規(guī)定，見(jiàn)用戶訪問(wèn)管理程序規(guī)定的相關(guān)各級(jí)系統(tǒng)的應(yīng)用權(quán)限要求符合A.9.2用戶訪問(wèn)管理A.9.2.1用戶注冊(cè)及注銷應(yīng)實(shí)施正式的用戶注冊(cè)及注銷規(guī)程，使訪問(wèn)權(quán)限得以分配。見(jiàn)《用戶訪問(wèn)管理程序》《計(jì)算程序管理程序》符合A.9.2.2用戶訪問(wèn)開(kāi)通應(yīng)實(shí)施正式的用戶訪問(wèn)開(kāi)通過(guò)程，以分配或撤銷所有系統(tǒng)和服務(wù)所有用戶類型的訪問(wèn)權(quán)限。符合要求,門(mén)禁權(quán)限于IT管理人員開(kāi)通符合A.9.2.3特殊訪問(wèn)權(quán)限管理應(yīng)限制和控制特殊訪問(wèn)權(quán)限的分配及使用。符合要求，部分權(quán)限需要授權(quán)不符合A.9.2.4用戶秘密鑒別信息管理應(yīng)通過(guò)正式的管理過(guò)程控制秘密鑒別信息的分配。符合要求符合A.9.2.5用戶訪問(wèn)權(quán)限的復(fù)查資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問(wèn)權(quán)限。有效性檢查，部分人員的權(quán)限會(huì)再次檢查符合A.9.2.6撤銷或調(diào)整訪問(wèn)權(quán)限所有雇員、外部方人員對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)限應(yīng)在任用、合同或協(xié)議終止時(shí)撤銷，或在變化時(shí)調(diào)整。員工離職，IT人員清除用戶的口令，對(duì)用戶進(jìn)行刪除.符合A.9.3用戶職責(zé)A.9.3.1使用秘密鑒別信息應(yīng)要求用戶在使用秘密鑒別信息時(shí)，遵循組織的實(shí)踐。符合要求符合A.9.4系統(tǒng)和應(yīng)用訪問(wèn)控制A.9.4.1信息訪問(wèn)控制應(yīng)依照訪問(wèn)控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)?！队?jì)算機(jī)管理程序》符合A.9.4.2安全登錄規(guī)程在訪問(wèn)控制策略下，訪問(wèn)操作系統(tǒng)和應(yīng)用應(yīng)通過(guò)安全登錄規(guī)程加以控制。《計(jì)算機(jī)管理程序》對(duì)網(wǎng)絡(luò)的使用、外部連接用戶的身份認(rèn)證、網(wǎng)絡(luò)設(shè)備的識(shí)別、運(yùn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)隔離及連接和路由控制等得到了有效控制和實(shí)施。符合A.9.4.3口令管理系統(tǒng)口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。測(cè)試部的用戶口令，長(zhǎng)度有11位。符合A.9.4.4特殊權(quán)限使用工具軟件的使用對(duì)于可能超越系統(tǒng)和應(yīng)用程序控制措施的適用工具軟件的使用應(yīng)加以限制并嚴(yán)格控制。依據(jù)《訪問(wèn)控制程序》，《計(jì)算機(jī)管理程序?qū)W(wǎng)絡(luò)的使用、外部連接用戶的身份認(rèn)證、網(wǎng)絡(luò)設(shè)備的識(shí)別、運(yùn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)隔離及連接和路由控制等得到了有效控制和實(shí)施。符合A.9.4.5對(duì)程序源代碼的訪問(wèn)控制應(yīng)限制訪問(wèn)程序源代碼依據(jù)《訪問(wèn)控制程序》，《網(wǎng)絡(luò)安全管理規(guī)定》對(duì)網(wǎng)絡(luò)的使用、外部連接用戶的身份認(rèn)證、網(wǎng)絡(luò)設(shè)備的識(shí)別、運(yùn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)隔離及連接和路由控制等得到了有效控制和實(shí)施。符合附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷A.14系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)A.14.1信息系統(tǒng)的安全需求A.14.1.1信息安全要求分析和說(shuō)明信息安全相關(guān)要求應(yīng)包括新的信息系統(tǒng)要求或增強(qiáng)已有信息系統(tǒng)的要求按《設(shè)計(jì)、開(kāi)發(fā)管理與變更程序》進(jìn)行項(xiàng)目評(píng)審.符合A.14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)安全應(yīng)保護(hù)公共網(wǎng)絡(luò)中的應(yīng)用服務(wù)信息，以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改?！对O(shè)計(jì)、開(kāi)發(fā)管理與變更程序》、《符合A.14.1.3保護(hù)應(yīng)用服務(wù)交易應(yīng)保護(hù)涉及應(yīng)用服務(wù)交易的信息，以防止不完整傳送、錯(cuò)誤路由、未授權(quán)消息變更、未授權(quán)泄露、未授權(quán)消息復(fù)制或重放。不適用/A.14.2開(kāi)發(fā)和支持過(guò)程中的安全A.14.2.1安全開(kāi)發(fā)策略應(yīng)建立軟件和系統(tǒng)開(kāi)發(fā)規(guī)則，并應(yīng)用于組織內(nèi)的開(kāi)發(fā)。按《《設(shè)計(jì)、開(kāi)發(fā)管理與變更程序》、符合A.14.2.2系統(tǒng)變更控制規(guī)程應(yīng)通過(guò)使用正式變更控制程序控制開(kāi)發(fā)生命周期中的系統(tǒng)變更。制訂了變更控制程序符合A.14.2.3運(yùn)行平臺(tái)變更后應(yīng)用的技術(shù)評(píng)審當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。在開(kāi)發(fā)時(shí)考慮平臺(tái)的可用性，并做好測(cè)試及分布符合A.14.2.4軟件包變更的限制應(yīng)對(duì)軟件包的修改進(jìn)行勸陰，只限于必要的變更，且對(duì)所有的變更加以嚴(yán)格控制。不同權(quán)限的軟件包不一樣。符合A.14.2.5安全系統(tǒng)工程原則應(yīng)建立、記錄和維護(hù)安全系統(tǒng)工程原則，并應(yīng)用到任何信息系統(tǒng)實(shí)施工作。查“東方信騰電子檔案管理”有評(píng)審資料，有立項(xiàng)可行性分析報(bào)告，初期項(xiàng)目計(jì)劃，測(cè)試計(jì)劃符合A.14.2.6安全開(kāi)發(fā)環(huán)境組織應(yīng)建立并適當(dāng)保護(hù)系統(tǒng)開(kāi)發(fā)和集成工作的安全開(kāi)發(fā)環(huán)境，覆蓋整個(gè)系統(tǒng)開(kāi)發(fā)生命周期?！皷|方信騰電子檔案管理”采用項(xiàng)目的方法，由總經(jīng)辦負(fù)責(zé)搭建平臺(tái)符合A.14.2.7外包開(kāi)發(fā)組織應(yīng)管理和監(jiān)視外包系統(tǒng)開(kāi)發(fā)活動(dòng)。有財(cái)務(wù)軟件的使用。符合A.14.2.8系統(tǒng)安全測(cè)試在開(kāi)發(fā)過(guò)程中，應(yīng)進(jìn)行安全功能測(cè)試。有測(cè)試報(bào)告符合A.14.2.9系統(tǒng)驗(yàn)收測(cè)試對(duì)于新建信息系統(tǒng)和新版本升級(jí)系統(tǒng)，應(yīng)建立驗(yàn)收測(cè)試方案和相關(guān)準(zhǔn)則。按測(cè)試方案出測(cè)試報(bào)告，系統(tǒng)測(cè)試報(bào)告符合A.14.3測(cè)試數(shù)據(jù)A.14.3.1系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)測(cè)試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。按研發(fā)數(shù)據(jù)風(fēng)險(xiǎn)控制及恢復(fù)措施.符合

附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷A.10密碼學(xué)A.10.1密碼控制A.10.1.1使用密碼控制的策略應(yīng)開(kāi)發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略。開(kāi)發(fā)的軟件會(huì)使用加密狗，且使用有政府批準(zhǔn)的產(chǎn)品符合A.10.1.2密鑰管理宜開(kāi)發(fā)和實(shí)施貫穿整個(gè)密鑰生命周期的關(guān)于密鑰使用、保護(hù)和生存期的策略。符合要求，在開(kāi)發(fā)成功，會(huì)采用密碼調(diào)用策略符合A.17業(yè)務(wù)連續(xù)性管理的信息安全方面A.17.1信息安全連續(xù)性計(jì)劃A.17.1.1信息安全連續(xù)性計(jì)劃組織應(yīng)確定不利情況下(例如，一個(gè)危機(jī)或危難時(shí))信息安全的要求和信息安全管理連續(xù)性。制訂了2018年業(yè)務(wù)連續(xù)計(jì)劃2符合A.17.1.2實(shí)施信息安全連續(xù)性計(jì)劃組織應(yīng)建立、文件化、實(shí)施和維護(hù)過(guò)程、規(guī)程和控制措施，確保在負(fù)面情況下要求的信息安全連續(xù)性級(jí)別。沒(méi)有實(shí)施軟件開(kāi)發(fā)業(yè)務(wù)的業(yè)務(wù)連續(xù)性不符合A.17.1.3驗(yàn)證、評(píng)審和評(píng)價(jià)信息安全連續(xù)性計(jì)劃組織應(yīng)定期驗(yàn)證已制定和實(shí)施信息安全業(yè)務(wù)連續(xù)性計(jì)劃的控制措施，以確保在負(fù)面情況下控制措施的及時(shí)性和有效性。有驗(yàn)證符合A.17.2冗余A.17.2.1信息處理設(shè)施的可用性信息處理設(shè)備應(yīng)冗余部署，以滿足高可用性需求。查4月25記錄。有巡查記錄。符合

被審核部門(mén)：總經(jīng)辦審核員簽字：李海清時(shí)間:2017.9.11附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全周邊應(yīng)定義安全周邊和所保護(hù)的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設(shè)施的區(qū)域。建立了安全區(qū)域管理程序符合A.11.1.2物理入口控制安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問(wèn)。保安對(duì)進(jìn)行人員的控制,符合A.11.1.3辦公室、房間和設(shè)施的安全保護(hù)為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。針對(duì)辦公室、房間有相關(guān)的保護(hù)措施，如滅火設(shè)備的配備.符合A.11.1.4外部環(huán)境威脅的安全防護(hù)為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。滅火設(shè)備的配備，煙感系統(tǒng)符合A.11.1.5在安全區(qū)域工作應(yīng)設(shè)計(jì)和應(yīng)用工作在安全區(qū)域的規(guī)程。有規(guī)定《安全區(qū)域管理程序》符合A.11.1.6交接區(qū)安全訪問(wèn)點(diǎn)(例如交接區(qū))和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問(wèn)。《安全區(qū)域管理程序》、《辦公區(qū)機(jī)房管理制度》符合A.11.2設(shè)備A.11.2.1設(shè)備安置和保護(hù)應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì)?！缎畔⑻幚碓O(shè)施安裝使用管理程序》中規(guī)定了設(shè)備的保護(hù)符合A.11.2.2支持性設(shè)施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷?！缎畔⑻幚碓O(shè)施安裝使用管理程序》符合A.11.2.3布纜安全應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽(tīng)或損壞。信息處理設(shè)施安裝使用管理程序符合A.11.2.4設(shè)備維護(hù)設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。信息處理設(shè)施安裝使用管理程序,IT人員舊電腦進(jìn)行統(tǒng)一拆卸。符合A.11.2.5資產(chǎn)的移動(dòng)設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。信息處理設(shè)施安裝使用管理程序。IT人員舊電腦進(jìn)行統(tǒng)一拆卸，把硬盤(pán)統(tǒng)一收集交于總經(jīng)辦符合A.11.2.6組織場(chǎng)外設(shè)備和資產(chǎn)的安全應(yīng)對(duì)組織場(chǎng)所外的設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)。信息處理設(shè)施安裝使用管理程序符合A.11.2.7設(shè)備的安全處置或再利用包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行驗(yàn)證，以確保在處置之前，任何敏感信息和注冊(cè)軟件已被刪除或安全地寫(xiě)覆蓋?？偨?jīng)辦記錄電腦報(bào)廢單，批準(zhǔn)后再進(jìn)行統(tǒng)一處置。符合A.11.2.8無(wú)人值守的設(shè)備對(duì)掃描儀、PC機(jī)、筆記本，網(wǎng)絡(luò)設(shè)施等在防護(hù)、處置、銷毀、維護(hù)等管理活動(dòng)中符合要求的情況。符合A.11.2.9桌面清空及清屏策略查監(jiān)控管理系統(tǒng)服務(wù)器符合

A.12操作安全A.12.1文件操作規(guī)程和職責(zé)A.12.1.1文件化的操作規(guī)程操作規(guī)程應(yīng)形成文件并對(duì)所有需要的用戶可用。符合要求，有文件控制程序，受控文件清單。符合A.12.1.2變更管理對(duì)影響信息安全的組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)等的變更應(yīng)加以控制。制訂《變更管理程序》編號(hào)符合A.12.1.3容量管理資源的使用應(yīng)加以監(jiān)視、調(diào)整，并作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。符合要求符合A.12.1.4開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境分離開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境應(yīng)分離，以減少未授權(quán)訪問(wèn)或改變運(yùn)行環(huán)境的風(fēng)險(xiǎn)符合要求，《設(shè)計(jì)、開(kāi)發(fā)管理與變更程序》符合A.12.2惡意軟件防護(hù)A.12.2.1控制惡意軟件應(yīng)實(shí)施惡意軟件的檢測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)。IT統(tǒng)一安裝，其他人無(wú)權(quán)限安裝軟件符合A.12.3備份A.12.3.1信息備份應(yīng)按照已設(shè)的備份策略，定期備份和測(cè)試信息和軟件各部每周備份到規(guī)定的移動(dòng)硬盤(pán).符合A12.4日志和監(jiān)視A.12.4.1事態(tài)記錄應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常情況、故障和信息安全事態(tài)日志，并保持定期評(píng)審。查CCTV管理日志，及部門(mén)電腦日志正常符合A12.4.2日志信息的保護(hù)記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問(wèn)。自動(dòng)保存3個(gè)月符合A12.4.3管理員和操作員日志系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)應(yīng)記入日志，保護(hù)日志并定期評(píng)審。查日志保護(hù)，符合要求.符合A12.4.4時(shí)鐘同步一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用一參考時(shí)間源進(jìn)行同步。符合要求符合A.12.5運(yùn)行軟件的控制A.12.5.1在運(yùn)行系統(tǒng)上安裝軟件應(yīng)實(shí)施規(guī)程來(lái)控制在運(yùn)行系統(tǒng)上安裝軟件。經(jīng)過(guò)測(cè)試，評(píng)審符合A.12.6技術(shù)脆弱性管理A.12.6.1技術(shù)脆弱性的控制應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。有分析符合A.12.6.2限制軟件安裝應(yīng)建立和實(shí)施軟件安裝的用戶管理規(guī)則。IT人員統(tǒng)一管理符合A.12.7信息系統(tǒng)審計(jì)考慮A.12.7.1信息系統(tǒng)審計(jì)控制措施涉及對(duì)運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便使造成業(yè)務(wù)過(guò)程中斷最小化。IT人員統(tǒng)一管理OA系統(tǒng)符合A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系的信息安全A.15.1.1供應(yīng)商關(guān)系的信息安全策略為減緩供應(yīng)商訪問(wèn)組織資產(chǎn)帶來(lái)的風(fēng)險(xiǎn)，應(yīng)與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求。見(jiàn)相關(guān)方管理程序符合A.15.1.2處理供應(yīng)商協(xié)議的安全問(wèn)題應(yīng)與每個(gè)可能訪問(wèn)、處理、存儲(chǔ)組織信息、與組織進(jìn)行通信或?yàn)榻M織提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立并協(xié)商所有相關(guān)的信息安全要求。見(jiàn)相關(guān)方管理程序符合A.15.1.3信息和通信技術(shù)供應(yīng)鏈供應(yīng)商協(xié)議應(yīng)包括信息和通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)信息安全風(fēng)險(xiǎn)處理的要求。有相關(guān)方管理程序符合A.15.2供應(yīng)商服務(wù)交付管理A.15.2.1供應(yīng)商服務(wù)的監(jiān)視和評(píng)審組織應(yīng)定期監(jiān)視、評(píng)審和審計(jì)供應(yīng)商服務(wù)交付。有定期評(píng)審相關(guān)方管理程序符合A.15.2.2供應(yīng)商服務(wù)的變更管理應(yīng)管理供應(yīng)商服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)信息、系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。有相關(guān)方管理程序符合

被審核部門(mén)：運(yùn)維部審核員簽字：蕭煒珊黃欽松時(shí)間:2018.7.11附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷8運(yùn)行8.1運(yùn)行計(jì)劃及控制1.本部在工作實(shí)際中有哪些涉及信息安全？？

設(shè)立了信息安全主要業(yè)務(wù)是對(duì)項(xiàng)目涉及的文檔進(jìn)行掃描，并交府掃描文件符合2.有建立本部門(mén)的安全管理目標(biāo)和計(jì)劃商業(yè)泄密事件為每年0次符合8.2信息安全評(píng)估本部如何開(kāi)展風(fēng)險(xiǎn)評(píng)估？有風(fēng)險(xiǎn)評(píng)估的評(píng)價(jià)結(jié)果吧？參與了風(fēng)險(xiǎn)評(píng)估。有客戶的高風(fēng)險(xiǎn)資產(chǎn)為高風(fēng)險(xiǎn)資產(chǎn)，已進(jìn)行了識(shí)別并處理。符合8.3信息安全風(fēng)險(xiǎn)處置本部有風(fēng)險(xiǎn)評(píng)估的處理處理情況如何？是否有殘余風(fēng)險(xiǎn)？高風(fēng)險(xiǎn)資產(chǎn)已進(jìn)行了處置。符合A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責(zé)所有的信息安全職責(zé)應(yīng)予以定義和分配。成立了信息安全委員會(huì),有信息安全委員會(huì)章程附件信息安全管理職責(zé)符合A.6.1.2職責(zé)分離分離相沖突的責(zé)任及職責(zé)范圍，以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。有規(guī)定總經(jīng)辦、綜合等符合A.6.1.3與政府部門(mén)的聯(lián)系應(yīng)保持與政府相關(guān)部門(mén)的適當(dāng)聯(lián)系。建立了相關(guān)的聯(lián)系方針?lè)螦.6.1.4與特定利益集團(tuán)的聯(lián)系應(yīng)保持與特定利益集團(tuán)、其他安全論壇和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。有定義，有授權(quán)符合A.6.2移動(dòng)設(shè)備和遠(yuǎn)程工作A.6.2.1移動(dòng)設(shè)備策略應(yīng)采用策略和支持性安全措施來(lái)管理由于使用移動(dòng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)。本部無(wú)移動(dòng)設(shè)備符合A.6.2.2遠(yuǎn)程工作應(yīng)實(shí)施策略和支持性安全措施來(lái)保護(hù)在遠(yuǎn)程工作場(chǎng)地訪問(wèn)、處理或存儲(chǔ)的信息。本部無(wú)遠(yuǎn)程工作符合A.8資產(chǎn)管理A.8.1對(duì)資產(chǎn)負(fù)責(zé)A.8.1.1資產(chǎn)清單應(yīng)識(shí)別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單有資產(chǎn)清單符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。清單有所屬的資產(chǎn)負(fù)責(zé)人。符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。對(duì)資產(chǎn)的管理進(jìn)行了規(guī)定，見(jiàn)信息安全風(fēng)險(xiǎn)管理程序符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。有規(guī)定，查員工離職交接記錄符合A.8.2信息分類A.8.2.1信息的分類信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它對(duì)未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定,《》符合A.8.2.2信息的標(biāo)記應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記規(guī)程?？偨?jīng)辦定期召開(kāi)培訓(xùn)符合A.8.2.3信息的處理應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施處理資產(chǎn)的規(guī)程。有規(guī)定5個(gè)級(jí)別。符合A.8.3介質(zhì)處置A.8.3.1可移動(dòng)介質(zhì)的管理應(yīng)按照組織所采納的分類機(jī)制實(shí)施可移動(dòng)介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。項(xiàng)目部U盤(pán)不能使用。符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。符合要求《介質(zhì)管理程序》符合A.9訪問(wèn)控制A.9.1訪問(wèn)控制的業(yè)務(wù)要求A.9.1.1訪問(wèn)控制策略訪問(wèn)控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和信息安全要求進(jìn)行評(píng)審。本生產(chǎn)區(qū)有專門(mén)的保衛(wèi)系統(tǒng)符合A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)用戶應(yīng)僅能訪問(wèn)已獲專門(mén)授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。有規(guī)定，見(jiàn)用戶訪問(wèn)管理程序規(guī)定的相關(guān)各級(jí)系統(tǒng)的應(yīng)用權(quán)限要求符合A.9.2用戶訪問(wèn)管理A.9.2.1用戶注冊(cè)及注銷應(yīng)實(shí)施正式的用戶注冊(cè)及注銷規(guī)程，使訪問(wèn)權(quán)限得以分配。見(jiàn)《用戶訪問(wèn)管理程序》《計(jì)算程序管理程序》符合A.9.2.2用戶訪問(wèn)開(kāi)通應(yīng)實(shí)施正式的用戶訪問(wèn)開(kāi)通過(guò)程，以分配或撤銷所有系統(tǒng)和服務(wù)所有用戶類型的訪問(wèn)權(quán)限。符合要求,門(mén)禁權(quán)限于IT管理人員開(kāi)通符合A.9.2.3特殊訪問(wèn)權(quán)限管理應(yīng)限制和控制特殊訪問(wèn)權(quán)限的分配及使用。符合要求，部分權(quán)限需要授權(quán)符合A.9.2.4用戶秘密鑒別信息管理應(yīng)通過(guò)正式的管理過(guò)程控制秘密鑒別信息的分配。符合要求符合A.9.2.5用戶訪問(wèn)權(quán)限的復(fù)查資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問(wèn)權(quán)限。有效性檢查，部分人員的權(quán)限會(huì)再次檢查符合A.9.2.6撤銷或調(diào)整訪問(wèn)權(quán)限所有雇員、外部方人員對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)限應(yīng)在任用、合同或協(xié)議終止時(shí)撤銷，或在變化時(shí)調(diào)整。員工離職，IT人員清除用戶的口令，對(duì)用戶進(jìn)行刪除.符合A.9.3用戶職責(zé)A.9.3.1使用秘密鑒別信息應(yīng)要求用戶在使用秘密鑒別信息時(shí)，遵循組織的實(shí)踐。符合要求符合A.9.4系統(tǒng)和應(yīng)用訪問(wèn)控制A.9.4.1信息訪問(wèn)控制應(yīng)依照訪問(wèn)控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)?！队?jì)算機(jī)管理程序》符合A.9.4.2安全登錄規(guī)程在訪問(wèn)控制策略下，訪問(wèn)操作系統(tǒng)和應(yīng)用應(yīng)通過(guò)安全登錄規(guī)程加以控制。《計(jì)算機(jī)管理程序》的規(guī)定進(jìn)行符合A.9.4.3口令管理系統(tǒng)口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令?！队?jì)算機(jī)管理程序?qū)W(wǎng)絡(luò)的使用、外部連接用戶的身份認(rèn)證、網(wǎng)絡(luò)設(shè)備的識(shí)別、運(yùn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)隔離及連接和路由控制等得到了有效控制和實(shí)施。。符合A.9.4.4特殊權(quán)限使用工具軟件的使用對(duì)于可能超越系統(tǒng)和應(yīng)用程序控制措施的適用工具軟件的使用應(yīng)加以限制并嚴(yán)格控制。依據(jù)《訪問(wèn)控制程序》，《計(jì)算機(jī)管理程序?qū)W(wǎng)絡(luò)的使用、外部連接用戶的身份認(rèn)證、網(wǎng)絡(luò)設(shè)備的識(shí)別、運(yùn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)隔離及連接和路由控制等得到了有效控制和實(shí)施。符合A.9.4.5對(duì)程序源代碼的訪問(wèn)控制應(yīng)限制訪問(wèn)程序源代碼無(wú)符合附錄編號(hào)及名稱審核內(nèi)容和方法審核記錄判斷A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全周邊應(yīng)定義安全周邊和所保護(hù)的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設(shè)施的區(qū)域。建立了安全區(qū)域管理程序符合A.11.1.2物理入口控制安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問(wèn)。保安對(duì)進(jìn)行人員的控制,符合A.11.1.3辦公室、房間和設(shè)施的安全保護(hù)為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。針對(duì)辦公室、房間有相關(guān)的保護(hù)措施，如滅火設(shè)備的配備.符合A.11.1.4外部環(huán)境威脅的安全防護(hù)為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。滅火設(shè)備的配備，煙感系統(tǒng)符合A.11.1.5在安全區(qū)域工作應(yīng)設(shè)計(jì)和應(yīng)用工作在安全區(qū)域的規(guī)程。有規(guī)定《安全區(qū)域管理程序》符合A.11.1.6交接區(qū)安全訪問(wèn)點(diǎn)(例如交接區(qū))和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問(wèn)?！栋踩珔^(qū)域管理程序》、《辦公區(qū)機(jī)房管理制度》符合A.11.2設(shè)備A.11.2.1設(shè)備安置和保護(hù)應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì)?！缎畔⑻幚碓O(shè)施安裝使用管理程序》中規(guī)定了設(shè)備的保護(hù)符合A.11.2.2支持性設(shè)施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷?！缎畔⑻幚碓O(shè)施安裝使用管理程序》符合A.11.2.3布纜安全應(yīng)保證傳輸數(shù)據(jù)或支