ITSM-3-SoA-000信息安全适用性声明4048.docx

《ITSM-3-SoA-000信息安全适用性声明4048.docx》由会员分享，可在线阅读，更多相关《ITSM-3-SoA-000信息安全适用性声明4048.docx（73页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISMS- 2001适用性声声明编号：IISMSS-P-20001状态：受受控编写：200XX年XX月XX日审核：200XX年XX月XX日批准：200XX年XX月XX日发布版次次：第AA/0版200XX年XX月XX日生效日期期200XX年XX月XX日分发：各各部门（或或XXXX）接受部门门：变 更 记 录录变更日期期版本变更说明明编写审核批准20099-XXX-XXA/0初始版本本XXXXXXXXX目录1 目的的与范围围42 相关关文件443 职责责44 声明明4A.5安安全方针针5A.6安安全组织织5A.7资资产管理理7A.8人人力资源源安全77A.9实实物与环环境安全全7A.100通信和和

2、操作管管理7A.111访问控控制7A.122信息系系统获取取、开发发和维护护7A.133信息安安全事件件管理77A.144业务持持续性管管理7A.155符合性性7信息安全全适用性性声明1 目的的与范围围本声明描描述了在在ISOO270001:20005附录录A中，适适用于本本公司信信息安全全管理体体系的目目标/控制、是是否选择择这些目目标/控制的的理由、公公司现行行的控制制方式、以以及实施施这些控控制所涉涉及的相相关文件件。2 相关关文件ISMSS-10001信息息安全管管理手册册3 职责责信息安安全适用用性声明明由XXXX编编制、修修订，由由管理者者代表批批准。4 声明明本公司按按GB/T

3、2220880-220088 iddt IISO/IECC270001:20005建立立信息安安全管理理体系。根据公司司风险评评估的结结果和风风险可接接受水平平，GBB/T 220080-20008 iidt ISOO/IEEC2770011:20005附附录A的下列列条款被被选择（或或不选择择)用于本本公司信信息安全全管理体体系，共共删除XX条控制制措施。XXXXXX有限公司 第73页 共73页A.5安安全方针针标准条款号标题目标/控制是否选择选择理由由控制描述述相关文件件A.5.1信息安全全方针目标YES为信息安安全提供供管理方方向和支支持，并并表明管管理层对对信息安安全的承承诺。A.5.

4、1.11信息安全全方针文文件控制YES信息安全全管理实实施的需需要。信息安全全方针由由公司总总经理制制定，在在信息息安全管管理手册册中描描述，由由公司总总经理批批准发布布。通过过培训、发发放信信息安全全管理手手册等等方式传传达到每每一员工工。采用用张贴布布告于宣宣传栏、网网站等形形式传达达到各主管管部门、客客户群等等外部相相关方。ISMSS-10001信息息安全管管理手册册A.5.1.22评审与评评价控制YES确保方针针持续的的适宜性性。每年利用用管理评评审对方方针的适适宜性进进行评价价，必要要时对方方针进行行修订。ISMSS-P-20004管管理评审审控制程程序A.6安安全组织织标准条款号标

5、题目标/控制是否选择选择理由由控制描述述相关文件件A.6.1内部组织织目标YES建立一个个有效的的信息安安全管理理组织机机构。A.6.1.11信息安全全管理承承诺控制YES确定评审审安全承承诺及处处理重大大安全事事故，确确定与安安全有关关重大事事项所必必须的职职责分配配及确认认、沟通通机制。公司成立立信息安安全管理理委员会会，由公公司领导导、信息息安全管管理者代代表、各各主要部部门负责责人组成成。信息息安全管管理委员员会至少少每半年年召开一一次，或或者当信信息安全全管理体体系发生生重大变变化或当当管理者者代表认认为有必必要时召召开。信信息安全全管理者者代表负负责决定定召开会会议的时时机及会会议

6、议题题，行政政部负责责准备会会议日程程的安排排。会议议主要议议题包括括：a)评审审信息安安全承诺诺；b)确认认风险评评估的结结果；c)对与与信息安安全管理理有关的的重大更更改事项项，如组组织机构构调整、关关键人事事变动、信信息系统统更改等等，进行行决策；e)评审审与处理理重大信信息安全全事故；f)审批批与信息息安全管管理有关关的其他他重要事事项。ISMSS-10001信息息安全管管理手册册A.6.1.22信息安全全的协调调控制YES公司涉及及信息安安全部门门众多，组组织机构构复杂，需需要一个个有效沟沟通与协协调机制制。公司成立立信息安安全管理理协调小小组，由由信息安安全管理理者代表表和XXXX

7、部、XXXX部信息息安全体体系内审审员组成成。协调小组组每季度度召开一一次协调调会议（特特殊情况况随时召召开会议议），对上上一季度度的信息息安全管管理工作作进行总总结，解解决体系系运行中中存在的的问题，并并布置下下一季度度的信息息安全工工作。会会议由XXXX负负责组织织安排并并做好会会议记录录。有关信息息安全管管理委员员会会议议记录（会会议纪要要）A.6.1.33信息安全全职责的的分配控制YES保持特定定资产和和完成特特定安全全过程的的职责需需确定。公司设立立信息安安全管理理者代表表，全面面负责公公司ISSMS的的建立、实实施与保保持工作作。对每每一项重重要信息息资产指指定信息息安全责责任人。

8、与ISMMS有关关各部门门的信息息安全职职责在信信息安全全管理手手册中中予以描描述，关关于具体体的信息息安全活活动的职职责在程程序及作作业文件件中予以以明确。A.6.1.44信息处理理设施的的授权程程序控制YES本公司有有新信息息处理设设备（设设施）使用时，实实施使用用授权程程序。对各自负负责管理理的信息息系统，根根据使用用者需求求提出新新设施（包包括软件件）的采购购技术规规格，由由XXXX部进行行技术选选型，并并组织验验收，确确保与原原系统的的兼容。明确信息息处理设设施的使使用部门门接受新设设施的信信息安全全负责人人为XXXX部，XXXX部人人员需要要讲解新新设施的的正确使使用方法法。ISM

9、SS-P-20110信信息处理理设备管管理程序序A.6.1.55信息安全全保密性性协议控制YES为更好掌掌握信息息安全的的技术及及听取安安全方面面的有意意建议，需需与内外外部经常常访问我我公司信信息处理理设施的的人员订订立保密密性协议议。本公司的的正式员员工和借借用员工工聘用、任任职期间间及离职职的安全全考察与与保密控控制以及及其他相相关人员员（合同同方、临临时员工工）的安全全考察与与控制。a) 保保密信息息的形式式：标明明“秘密”、“受控”字样的的资料，以以及相关关的文件件、数据据、分析析报告、算算法、样样品、实实物、规规格说明明软盘等等，未标标明“秘密”、“受控”字样的的即为公公开文件件；

10、b) 乙乙方仅能能够在甲甲方规定定的范围围内使用用保密信息息、或者者向甲方方书面认认可的第第三方披披露甲方方认可可可披露范范围内的的保密信息息；c) 乙乙方不得得向其他他任何第第三方披披露任何何从甲方方处收到到或合法法获知的的保密信息息。ISMSS-P-20200密级控控制程序序A.6.1.66与政府部部门的联联系控制YES与法律实实施部门门、标准准机构等等组织保保持适当当的联系系是必须须的，以以获得必必要的安安全管理理、标准准、法律律法规方方面的信信息。XXX部部就电话话/网络通通讯系统统的安全全问题与与市信息息主管部部门及标标准制定定部门保保持联系系，其他他部门与与相应的的政府职职能部门门

11、及社会会服务机机构保持持联系，以以便及时时掌握信信息安全全的法律律法规，及及时获得得安全事事故的预预防和纠纠正信息息，并得得到相应应的支持持。信息安全全交流时时，确保保本公司司的敏感感信息不不传给未未经授权权的人。ISMSS-10001信信息安全全管理手手册XXXXXA.6.1.77与特定利利益团体体的联系系控制YES为更好掌掌握信息息安全的的新技术术及安全全方面的的有益建议议，需获获得内外外部信息息安全专专家的建建议。本公司设设内部信信息安全全顾问，必必要时聘聘请外部部专家，与与特定利利益群体体保持沟沟通，解解答有关关信息安安全的问问题。顾顾问与专专家名单单由本公公司信息息安全委委员会提提出

12、，管管理者代代表批准准。内部信息息安全顾顾问负责责：a) 按按照专业业分工负负责解答答公司有有关信息息安全的的问题并并提供信信息安全全的建议议；b) 收收集与本本公司信信息安全全有关的的信息、新新技术变变化，经经本部门门负责人人审核同同意，利利用本公公司电子子邮件系系统或采采用其它它方式传传递到相相关部门门和人员员；c) 必必要时，参参与信息息安全事事故的调调查工作作。信息安安全内部部顾问名名单和信信息安全全外部专专家名单单A.6.1.88信息安全全的独立立评审控制YES为验证信信息安全全管理体体系实施施的有效效性及符符合性，公公司定期期进行内内部审核核，审核核需要客客观公正正性。信息安全全管

13、理体体系的内内部审核核员由有有审核能能力和经经验的人人员组成成（包括括IT方面面的专家家），并接接受ISSMS内内部审核核员培训训且考评评合格。内内部审核核员在现现场审核核时保持持审核的的独立性性，并不不审核自自己的工工作。内内审员获获得授权权，在审审核期间间不受行行政的领领导的限限制，直直接对审审核组长长负责。ISMSS-P-20003内内部审核核管理程程序A.6.2外部各方方目标YES识别外部部各方访访问、处处理、管管理、通通信的风风险，明明确对外外部各方方访问控控制的要要求，并并控制外外部各方方带来的的风险。A.6.2.11与外部各各方相关关风险的的识别控制YES本公司存存在诸如如设备供

14、供应商来来公司维维修设备备、顾客客访问公公司信息息网络系系统等第第三方访访问的情情况，应应采取必必要的安安全措施施进行控控制。第三方物物理访问问须经公公司被访访问部门门的授权权，进入入工作区区应进行行登记。公公司与长长期访问问的第三三方签订订保密协协议。访问特别别安全区区域时由由专人陪陪同，具具体执行行物理理访问控控制程序序。第三方逻逻辑访问问，按照照用户户访问控控制程序序要求求进行控控制。ISMSS-P-20111物物理访问问控制程序序ISMSS-P-20112用用户访问问控制程程序A.6.2.22处理与顾顾客有关关的安全全问题控制YES在正式的的合同中中规定必必要的安安全要求求是必须须的。

15、公司与长长期访问问的顾客客签订保保密协议议，明确确规定信信息安全全要求，顾顾客方访访问同样样适用物物理、逻逻辑访问问控制措措施。ISMSS-P-20111物物理访问问控制程序序ISMSS-P-20112用用户访问问控制程程序A.6.2.33处理第三三方协议议中的安安全问题题控制YES与本公司司存在相关关服务主主要有XXXXXXXX、XXXX。公司外包包责任部部门识别别外包活活动的风风险，明明确外包包活动的的信息安安全要求求，在外外包合同同中明确确规定信信息安全全要求。ISMSS-P-20110信信息处理理设备管理理程序A.7资资产管理理标准条款号标题目标/控制是否选择选择理由由控制描述述相关文

16、件件A.7.1资产责任任目标YES对本公司司重要信信息资产产（包括括顾客要要求保密密的数据据、软件件及产品品）进行有有效保护护。A.7.1.11资产清单单控制YES公司需建建立重要要资产清清单并实实施保护护。XXX部部按照IISMSS-P-20022信息息安全风风险评估估管理程程序组组织各部部门按业业务流程程识别所所有信息息资产，根根据重要要信息资资产判断断准则确确定公司司的重要要信息资资产，重重要信息息资产清清单，并并明确资资产负责责人。ISMSS-P-20022信息息安全风风险评估估管理程程序重要信信息资产产清单A.7.1.22资产负责责人控制YES需要对重重要信息息处理设设施有及及重要信

17、信息指定定责任人人。XX部组组织相关关部门依依据ISSMS-P-20002信信息安全全风险评评估管理理程序指定资产负责人。ISMSS-P-20022信息息安全风风险评估估管理程程序A.7.1.33资产的可可接受使使用控制YES识别与信信息系统统或服务务相关的的资产的的合理使使用规则则，并将将其文件件化，予予以实施施。制定相应应的业务务系统应应用管理理制度，重重要设备备有使用用说明书书，规定定了资产产的合理理使用规规则。使使用或访访问组织织资产的的员工、合合作方以以及第三三方用户户应该了了解与信信息处理理设施和和资源相相关的信信息和资资产方面面的限制制。并对对信息资资源的使使用，以以及发生生在其

18、责责任下的的使用负负责。ISMSS-P-20100信息息处理设设备管理理程序A.7.2信息分类类目标YES本公司根根据信息息的敏感感性对信信息进行行分类，明明确保护护要求、优优先权和和等级，以以明确对对信息资资产采取取适当的的保护。A.7.2.11分类指南南控制YES本公司的的信息安安全涉及及信息的的敏感性性，适当当的分类类控制是是必要的的。本公司的的信息密密级划分分为：公公开信息息、受控控信息、企企业秘密密三级。不同密级级事项的的界定，由由涉及秘秘密事项项产生部部门按照照ISMMS-PP-20020密密级控制制程序规定的原则进行。ISMSS-P-20220密级控控制程序序A.7.2.22信息

19、的标标识和处处理控制YES按分类方方案进行行标注并并规定信信息处理理的安全全的要求求。对于属于于企业秘秘密与国国家秘密密的文件件（无论论任何媒媒体），密级级确定部部门按密级控制程序的要求进行适当的标注；公开信息不需要标注，其余均标注受控或秘密。信息的使使用、传传输、存存储等处处理活动动要进行控控制。ISMSS-P-20220密密级控制制程序A.8人人力资源源安全标准条款号标题目标/控制是否选择选择理由由控制描述述相关文件件A.8.1任用之前前目标YES对聘用过过程进行行管理，确确保员工工、合同同方和第第三方用用户理解解其责任任，并且且能胜任任其任务务，以降降低设施施被盗窃窃、欺诈诈或误用用的风

20、险险。A.8.1.11角色和职职责控制YES与信息安安全有关关的人员员的安全全职责必必须明确确规定并并履行。XX部负负责组织织各部门门在各岗岗位描述述中明确确规定每每个员工工在信息息安全方方面应履履行的职职责。所有员工工须遵守守公司有有关信息息安全管管理的规规章制度度，保守守本公司司秘密（包包括顾客客秘密）与国家家秘密。工作岗岗位说明明书A.8.1.22审查控制YES通过人员员考察，防防止人员员带来的的信息安安全风险险。XX部负负责对初初始录用用员工进进行能力力、信用用考察，每每年对关关键信息息安全岗岗位进行行年度考考察，对对于不符符合安全全要求的的不得录录用或进进行岗位位调整。ISMSS-P

21、-20337信信息安全全人员考考察与保保密管理理程序A.8.1.33任用条款款和条件件控制YES履行信息息安全保保密协议议是雇佣佣人员的的一个基基本条件件。在劳动动合同中中明确规规定保密密的义务务及违约约的责任任。劳动合合同A.8.2聘用期间间控制YES确保所有有的员工工、合同同方和第第三方用用户知道道信息安安全威胁胁和利害害关系、他他们的职职责和义义务、并并准备好好在其正正常工作作过程中中支持组组织的安安全方针针，并且且减少人人为错误误的风险险。A.8.2.11管理职责责控制YES缺乏管理理职责，会会使人员员意识淡淡薄，从从而对组组织造成成负面安安全影响响。公司管理理者要求求员工、合合作方以

22、以及第三三方用户户加强信信息安全全意识，依依据建立立的方针针和程序序来应用用安全，服服从公司司管理，当当有其他他的管理理制度与与信息安安全管理理制度冲冲突时，首首选信息息安全管管理制度度执行。ISMSS-P-20337信信息安全全人员考考察与保保密管理理程序A.8.2.22信息安全全教育和和培训控制YES安全意识识及必要要的信息息系统操操作技能能培训是是信息安安全管理理工作的的前提。与 ISSMS有有关的所所有员工工，有关关的第三三方访问问者，应应该接受受安全意意识、方方针、程程序的培培训。方方针、程程序变更更后应及及时传达达到全体体员工。XX部通过组织实施教育培训规程，确保员工安全意识的提高

23、与有能力胜任所承担的信息安全工作。教育培培训规程程A.8.2.33纪律处理理过程控制YES对造成安安全破坏坏的员工工应该有有一个正正式的惩惩戒过程程。违背组织织安全方方针和程程序的员员工，公公司将根根据违反反程度及及造成的的影响进进行处罚罚，处罚罚在安全全破坏经经过证实实地情况况下进行行。处罚罚的形式式包括精精神和物物质两方方面。信息安安全奖励励、惩戒戒管理规规定A.8.3聘用中止止或变化化目标YES确保员工工、合作作方以及及第三方方用户以以一种有有序的方方式离开开公司或或变更聘聘用关系系。A.8.3.11终止职责责控制YES执行工作作终止或或工作变变化的职职责应清清晰的定定义和分分配。在员工

24、离离职前和和第三方方用户完完成合同同时，应应进行明明确终止止责任的的沟通。再次沟通保密协议和重申是否有竞业禁止要求等。劳动合合同ISMSS-P-20337信信息安全全人员考考察与保保密管理理程序A.8.3.22资产归还还目标YES所有员工工、合作作方以及及第三方方用户应应该在聘聘用期限限、合同同或协议议终止时时归还所所负责的的所有资资产。员工离职职或工作作变动前前，应办办理资产产归还手手续，然然后方能能办理移移交手续续。ISMSS-P-20337信信息安全全人员考考察与保保密管理理程序A.8.3.33解除访问问权目标YES对所有员员工、合合作方以以及第三三方用户户对信息息和信息息处理设设施的访

25、访问权限限进行管管理。员工离职职或工作作变动前前，应解解除对信信息和信信息处理理设施访访问权限限，或根根据变化化作相应应的调整整。ISMSS-P-20337信信息安全全人员考考察与保保密管理理程序A.9物物理与环环境安全全标准条款号标题目标/控制是否选择选择理由由控制描述述相关文件件A.9.1安全区域域目标YES防止未经经授权对对业务场场所和信信息的访访问、损损坏及干干扰，防防止保密密制品丢丢失或被被盗。A.9.1.11物理安全全周边控制YES本公司有有包含重重要信息息处理设设施的区区域和储储存重要要信息资资产及保保密制品品的区域域，如开开发办公公室、机柜所所在地应应确定其其安全周周界，并并对

26、其实实施保护护。本公司安安全区域域分为一一般区域域、普通通安全区区域和特特别安全全区域。特特别安全全区域包包括数据据存储机机房、配配电房；普通安安全区域域包括开开发部办办公室、管管理中心心、档案案室、其其他办公公区域；大堂、杂杂物室、洽洽谈室、公公共会议议室、接接待室、员员工休息息区为一一般区域域。保密文件件存放于于带锁的的柜子里里。ISMSS-P-20111物物理访问问控制程程序A.9.1.22物理进入入控制控制YES安全区域域进入应应经过授授权，未未经授权权的非法法访问会会对信息息安全构构成威胁胁。外来人员员进入公公司区域域要进行行登记。临时访问问的第三三方应在在接待部部门同意意后，经经前

27、台登记记可以进进入。进进入特别别安全区区域须被被授权，进进出有记记录。员工加班班也需登登记。ISMSS-P-20111物物理访问问控制程程序A.9.1.33办公室、房房间和设设施的安安全控制YES对安全区区域内的的办公室室、房间间和设施施应有特特殊的安安全要求求。当有紧急急自然灾灾害发生生，则需需要提前前示警。本公司制制定物物力访问问控制程程序，避避免出现现对办公公室、房房间和设设施的未未授权访访问。另另外，对对特别安安全区域域内的办办公室和和设施进进行必要要的控制制，以防防止火灾灾、盗窃窃或其它它形式的的危害，这这些控制制措施包包括：a)大厦厦配备有有一定数数量的消消防设施施；b)房间间装修

28、符符合消防防安全的的要求；c)易燃燃、易爆爆物品严严禁存放放在安全全区域内内，并与与安全区区域保持持一定的的安全距距离；d)办公公室或房房间无人人时，应应关紧窗窗户，锁锁好门；e)防雷雷击设施施由大厦厦物管每每年检测测一次。ISMSS-P-20111物物理访问问控制程程序A.9.1.44外部和环环境威胁胁的安全全保护控制YES加强公司司物理安安全控制制，防范范火灾、水水灾、地地震，以以及其它它形式的的自然或或人为灾灾害。机房设备备安装在在距墙、门门窗有一一定距离离的地方方。并具具有防范范火灾、水水灾、雷雷击等自自然、人人为灾害害的安全全控制措措施。ISMSS-P-20111物物理访问问控制程程

29、序A.9.1.55在安全区区域工作作控制YES在安全区区域工作作的人员员只有严严格遵守守安全规规则，才才能保证证安全区区域安全全。处理敏感感信息的的设备不不易被窥窥视。除除非在公公司设立立的专门门吸烟室室外，其其他任何何地方禁禁止吸烟烟。公司建立立ISMMS-PP-20011物物理访问问控制程程序等等制度，明明确规定定员工在在有关安安全区域域工作的的基本安安全要求求，并要要求员工工严格遵遵守。ISMSS-P-20111物物理访问问控制程程序A.9.1.66公共访问问、交接接区安全全控制YES对特别安安全区域域，禁止止外来人人员直接接进入传传送物资资是必要要的。公司外的的饮水送送水人员员、邮件件

30、投递人人员在送送水、投投递过程程中，不不得进入入普通办公公室和特特别安全全区域。未经授权权，不允允许外来来人员直直接进入入特别安安全区域域提供物物资。可可先存放放于前台台或接待待室，再再由行政政专员搬搬进，以以防止未未经授权权的访问问。ISMSS-P-20111物物理访问问控制程程序A.9.2设备安全全目标YES防止资产产的损失失、损坏坏或丢失失及业务务活动的的中断。A.9.2.11设备的安安置和保保护控制YES设备存在在火灾、吸吸烟、油油污、未未经授权权访问等等威胁。设备使用用部门负负责对设设备进行行定置管管理和保保护。为为降低来来自环境境威胁和和危害的的风险，减减少未经经授权的的访问机机会

31、，特特采取以以下措施施：a)设备备的定置置，要考考虑到尽尽可能减减少对工工作区不不必要的的访问；b)对需需要特别别保护的的设备加加以隔离离；c)采取取措施，以以尽量降降低盗窃窃、火灾灾、爆炸炸、吸烟烟、灰尘尘、震动动、化学学影响、电电源干忧忧、电磁磁辐射等等威胁造造成的潜潜在的风风险；d)禁止止在信息息处理设设施附近近饮食、吸吸烟。机房、专专用平台台管理制制度A.9.2.22支持性设设施控制YES供电中断断或异常常会给信信息系统统造成影影响，甚甚至影响响正常的的生产作作业。大楼物业业提供供供电双回回路线路路，确保保不间断断供电。由XX部负责定期监督。ISMSS-P-20100信息息处理设设备管

32、理理程序A.9.2.33布缆的安安全控制YES通信电缆缆、光缆缆需要进进行正常常的维护护，以防防止侦听听和损坏坏。XX部按按照信信息处理理设施维维护管理理程序对对传输线线路进行行维护，防防止线路路故障。通通信电缆缆与电力力电缆分分开铺设设，防止止干扰。ISMSS-P-20100信息息处理设设备管理理程序A.9.2.44设备维护护控制YES设备保持持良好的的运行状状态是保保持信息息的完整整性及可可用性的的基础。计算机信信息网络络系统设设备及用用户计算算机终端端（包括括笔记本本电脑）由XX部按照信信息处理理设备管管理程序序进行行维护。ISMSS-P-20100信息息处理设设备管理理程序A.9.2.

33、55组织场所所外的设设备安全全控制YES本公司有有笔记本本电脑移动动设备，离离开公司司办公场场所应进进行控制制，防止止其被盗盗窃、未未经授权权的访问问等危害害的发生生。笔记本电电脑在离开规规定的区区域时，经经过部门门领导授授权并对对其进行行严格控控制，防防止其丢丢失和未未经授权权的访问问，具体体按照信信息系统统硬件管管理规定定执行行。信息系系统硬件件管理规规定A.9.2.66设备的安安全处置置或再利利用控制YES对本公司司储存有有关敏感感信息的的设备，对对其处置置时应彻彻底清除除。含有敏感感信息的的设备在在报废或或改作他他用时，由由使用部部门用安安全的处处置方法法，将设设备中存存储的敏敏感信息

34、息清除并并保存清清除记录录。ISMSS-P-20100信息息处理设设备管理理程序A.9.2.77资产的迁迁移控制YES设备、信信息、软软件等重重要信息息资产未未经授权权的迁移移会造成成其丢失失或非法法访问的的危害。重要信息息设备、保保密信息息的迁移移应被授授权，迁迁移活动动应被记记录。信息处理理设施（网网络设备备及计算算机终端端）的迁移移控制执执行信信息处理理设备管管理程序序。ISMSS-P-20100信息息处理设设备管理理程序A.100通信和和操作管管理标准条款号标题目标/控制是否选择选择理由由控制描述述相关文件件A.100.1操作程序序和职责责目标YES确保信息息处理设设备的正正确和安安全

35、使用用。A.100.1.1文件化作作业程序序控制YES标准规定定的文件件化程序序要求必必须予以以满足。本公司按按照信息息安全管管理要求求，对通通信和操操作建立立规范化化的操作作。ISMSS-P-20100信息息处理设设备管理理程序A.100.1.2变更管理理控制YES未加以控控制的系系统更改改会造成成系统故故障和安安全故障障。对信息处处理设施施、软件件等方面面的更改改实施严严格控制制。在更更改前评评估更改改所带来来的潜在在影响，正正式更改改前履行行更改审审批手续续，并采采取必要要的措施施确保不不成功更更改的恢恢复。ISMSS-P-20008更更改控制制程序A.100.1.3责任分割割控制YES

36、管理员与与操作员员职责应应予以分分配，以以防止未未授权的的更改及及误用信信息或服服务。为防止未未授权的的更改或或误用信信息或服服务的机机会，按按以下要要求进行行职责分分配：a) 网网络管理理系统管管理职责责与操作作职责分分离；b) 信信息安全全审核具具有独立立性。ISMSS-P-20112用用户访问问控制程程序A.100.1.4开发、测测试和运运行设施施分离控制YES开发与操操作设施施应分离，以以防止不不期望的的系统的的更改或或未授权权的访问问。XX部是是在一个个独立的的开发与与测试环环境中开开发软件件，并与与作业设设施分离离。研发发和测试试设备分分离。操操作系统统管理员员与用户户分离。ISM

37、SS-P-20114系系统开发发与维护护控制程程序A.100.2第三方服服务交付付管理控制YES执行并保保持与第第三方服服务交付付协议相相一致的的信息安安全和服服务交付付等级。检查协议议的执行行情况，监监控其符符合性并并控制相相应的变变化，以以确保交交付的服服务满足足第三方方协议中中的所有有要求。A.100.2.1服务交付付控制YES确保在第第三方协协议中规规定的安安全控制制、服务务的交付付等级。对第三方方的服务务的交付付，包括括协议规规定的安安全安排排、服务务定义以以及服务务管理等等方面进进行管理理和验收收。确保保第三方方保持充充分的服服务能力力，并且且具备有有效的工工作计划划，即便便发生重

38、重大的服服务故障障或灾难难也能保保持服务务交付的的连贯性性。外包方方控制办办法A.100.2.2第三方服服务的监监控和评评审控制YES第三方提提供的服服务、报报告以及及记录应应定期监监控和审审核，并并定期进进行评价价。我公司有有专门的的人员跟跟踪管理理第三方方服务，确确保第三三方分配配的职责责符合协协议要求求。对协协议要求求，特别别是安全全要求的的符合性性进行监监控得到到充分可可用的资资源和技技术技能能支持。外包方方控制办办法与第三方方签订的的合同A.100.2.3第三方服服务的变变更管理理控制YES对服务提提供的更更改进行行管理，包包括保持持和改进进现有的的信息安安全方针针、程序序和控制制，

39、要考考虑业务务系统的的关键程程度、所所涉及的的过程以以及风险险的再评评估。对第三方方服务更更改的管管理过程程需要考考虑：a) 组组织的更更改，包包括加强强当前提提供的服服务，开开发新应应用程序序和系统统，修改改和更新新方针及及程序，解解决信息息安全事事件，提提高安全全性的新新控制。b) 第第三方服服务的更更改，包包括更改改和加强强网络，使使用新技技术，更更改服务务设施的的物理位位置，更更改供应应商。ISMSS-P-20008更更改控制制程序外包方方控制办办法A.100.3系统规划划和验收收目标YES使系统故故障风险险最小化化。A.100.3.1容量管理理控制YES为避免因因系统容容量不足足导致

40、系系统故障障，必须须监控容容量需求求并规划划将来容容量。XX部负负责对信信息网络络系统的的容量（CPU利用率、内存和硬盘空间大小、传输线路带宽）需求进行监控，并对将来容量需求进行策划，适当时机进行容量扩充。ISMSS-P-20114系系统开发发与维护护控制程程序A.100.3.2系统验收收控制YES对新的信信息系统统、系统统升级或或使用新新版本的的活动，建建立接受受标准和和在接受受之前进进行系统统测试。新系统、系系统升级级接收前前，系统统验收部部门明确确接收准准则，经经测试合合格后方方可正式式运行，并并保存测测试记录录及验收收报告。XX部负负责办公公管理系系统、电电话/网络通通讯与办办公系统统

41、的验收收。ISMSS-P-20114系系统开发发与维护护控制程程序A.100.4防范恶意意软件目标YES保护软件件和信息息的完整整性。A.100.4.1恶意代码码的控制制控制YES恶意软件件的威胁胁是客观观存在的的，特别别是本公公司许多多电脑终终端可以以访问IInteerneet互联联网。IT部为为控制恶恶意软件件的主管管部门，负负责提供供防范恶恶意软件件的技术术工具并并对技术术工具进进行实时时升级，各各部门具具体负责责本部门门的恶意意软件预预防控制制工作。a) 技技术工具具的应用用及其升升级要求求；b) 查查杀病毒毒的周期期；c) 预预防恶意意软件意意识培训训；d) 预预防恶意意软件的的一般

42、要要求；e) 对对重要系系统的防防范恶意意软件的的特殊要要求；f) 发发生恶意意软件的的侵害应应急措施施。ISMSS-P-20229恶恶意软件件控制程程序A.100.4.2移动代码码的控制制控制YES移动代码码的控制制是有效效避免系系统、网网络或应应用资源源以及信信息安全全的其他他方面未未授权应应用或破破坏的基基础。授权使用用移动代代码时，配配置应该该确保已已授权移移动代码码的运行行符合明明确定义义的安全全方针，未未经授权权的移动动代码应应该被阻阻止执行行。ISMSS-P-20229恶恶意软件件控制程程序A.100.5备份目标YES保持信息息处理和和通信服服务的完完整性和和可用性性。A.100.5.1信息备份份控制YES必须对重重要信息息和软件件定期备备份，以以防止信信息和软软件的丢丢失和不不可用，及及支持业业务可持持续性。本公司根根据风险险评估的的结果对对重要数数据库、软软件等进进行备份份。XXX部为全全公司信信息备份份提供技技术支持持