ISO27001-2013信息安全管理体系适用性声明SOA

1、北京恒泰博远科技有限公司适用性声明SOA编号：HB-ISMS-M01(A)状态：编写：李子叶2019年4月1日审核：申杰理2019年4月1日批准：孙秀丽2019年4月1日发布版次：第A/O版2019年4月1日生效日期2019年4月1日分发：各部门接受部门：所有部门 -变更日期版本变更说明编写审核批准2019.12.9A/12019.12.9一阶段审核删减A.14.1.2；A.14.1.3；A.14.2.7不合理，再补充。李子叶申杰理孙秀丽信息安全适用性声明SOAA.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.5.1信息安全管理指导目标YES依据业务要求以及相关的法律法

2、规为信息安全提供管理指导和支持。A.5.1.1信息安全方针文件控制YES根据信息安全体系规定和公司实际需求总经理确保制定与公司目标一致的清晰的信息安全方针，并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全管理手册A.5.1.2信息安全方针评审控制YES根据信息安全体系规定和公司实际需求定期对信息安全进行监督检查，包括：日常检查、专项检查、内部审核和管理评审等。每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价，必要时进行修订。信息安全管理手册A.6信息安全组织标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.6.1内部组织目标Y

3、ES建立管理框架，启动和控制组织内信息安全的实施和运行。A.6.1.1信息安全角色和职责控制YES根据信息安全体系规定和公司实际需求公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作信息安全内部组织管理程序A.6.1.2职责分离控制YES根据信息安全体系规定和公司实际需求宜分割冲突的责任和职责范围，以降低未授权或无意的修改或者不当使用组织资产的机会。信息安全内部组织管理程序A.6.1.3与政府部门的联系控制YES根据信息安全体系规定和公司实际需求详细说明由谁何时与权威机构（如法律仲裁部门、消防部门、信息安全监管机构）联系，以及怎

4、样识别应该及时报告的可能会违背法律的信息安全事件。公司建立信息安全顾问，必要时聘请外部专家。信息安全内部组织管理程序A.6.1.4与特定相关方的联系控制YES根据信息安全体系规定和公司实际需求公司就计算机信息及通信网络安全问题与服务提供部门（认证机构、咨询机构、信息安全机构）保持联系。以确保和在出现安全事故时尽快采取适当的行动和取得建议。交流确保敏感信息不外传。信息安全内部组织管理程序A.6.1.5项目管理中控制YES根据信息安全体系规无论何种类型的项目，信息安全都要整合到组织的项目管理方法中，信息安全内部组织管理标准条款号标题目标/控制是否选择选择理由控制描述文件名称的信息安全定和公司实际需

5、求以确保将识别并处理信息安全风险作为项目的一部分。程序A.6.2移动设备和远程工作目标YES确保远程工作和移动设备使用的安全A.6.2.1移动设备策略控制YES根据信息安全体系规定和公司实际需求公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。移动设备管理程序A.6.2.2远程工作控制YES根据信息安全体系规定和公司实际需求远程工作应仅限于申请的设备和地点，严禁在公共计算机设备上进行。远程工作的访问权限不允许超过该人员在公司内部网的正常访问权限。用户访问管理程序远程工作控制方案A.7人力资源安全标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.7.1任用之前目标YES确保

6、雇员、承包方人员理解其职责、考虑对其承担的角色是适合的。A.7.1.1审查控制YES根据风险评估的结果公司依据人员的个人相关背景、资历和相关检查对于不符合安全要求的不得录用。人力资源管理程序A.7.1.2任用条款和条件控制YES根据风险评估的结果公司在人力资源管理程序中规定了员工、合同方以及第三方的聘用条款和条件。在保密协议中明确规定保密的义务及违约的责任。人力资源管理程序A.7.2任用中目标YES确保所有的雇员和合同方意识到并履行其信息安全责任。A.7.2.1管理职责控制YES根据信息安全体系规定和公司实际需求各部门根据公司业务要求，明确本部门的关键工作岗位及任职要求并依据建立的方针和程序来

7、应用安全。人力资源管理程序A.7.2.2信息安全意识、教育和培训控制YES根据信息安全体系规定和公司实际需求行政部负责制定公司的员工年度培训计划，公司的所有员工，适当时还包括合作方和第三方用户，都应当接受适当的信息安全意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新情况。人力资源管理程序A.7.2.3纪律处理过程控制YES根据信息安全体系规定和公司实际需求违背组织安全方针和程序的员工公司将根据违反程度及造成的影响进行处罚，处罚在安全破坏经过证实地情况下进行，对于影响严重的，可解除劳动合同并依法追究法律责任。信息安全惩戒管理程序标准条款号标题目标/控制是否选择选择理由控制描述文

8、件名称A.7.3任用的终止或变化目标YES宜将保护组织的利益融入到任瞪化或终止的处理流程中。A.7.3.1任用终止或职责变更控制YES根据信息安全体系规定和公司实际需求在员工离职前和第三方用户完成合同时，应进行明确终止责任的沟通。沟通应包括现行的安全要求、法规责任，并明确保密协议中的责任以及聘用条款及条件中的责任要在员工、合作方以及第三方用户聘用结束后持续一定时期有效。人力资源管理程序A.8资产管理标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.8.1对资产负责目标YES实现和保持对公司资产的是适当保护。A.8.1.1资产清单控制YES根据风险评估的结果各部门按信息安全风险评估计划

9、对影响到本公司经营、服务和日常管理的重要业务系统以及涉及资产进行识别。并建立和保持一份重要资产清单。信息安全风险识别与评价管理程序A.8.1.2资产责任人控制YES根据风险评估的结果行政部对信息处理设施有关的信息和资产指定使用部门和负责人。资产负责人负责对资产分类、确定访问授权。新的资产按照信息处理设施管理程序指定资产负责人。信息处理设施管理程序A.8.1.3资产的允许使用控制YES根据风险评估的结果行政部识别信息处理设施的使用要求和限制，必要时制定文化的使用规则（操作手册或说明书讲确保所有的使用者了解和I守设备的使用要求和限制。使用或访问组织资产员工、合作方以及第三方用户应该了解与信息处理设

10、施和资源相关的信息和资产方面的限制。并对信息资源的使用，以及发生在其责任下的使用负责。件信息处理设施管理程序量个人计算机管理程序A.8.1.4资产的归还控制YES根据信息安全体系规定和公司实际需求在员工离职前应收回保密文件，退还身份证件和使用组织的所有资产，并执行财务清款，法律事务清查。第三方用户完成合同时，应按相关方信息安全管理程序办理完所负责的所有资产归还手续。人力资源管理程序相关方信息安全管理程序A.8.2信息分类目标YES确保信息受到与其对组织的重要性保持一致的适当级别的保护。标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.8.2.1信息分类控制YES根据风险评估的结果公司

11、的信息资产等级应根据信息安全风险识别与评价管理程序来分，对信息的价值、法律要求、敏感度以及对组织的关键程度，对信息进行分类。公司的信息密级按商业秘密管理程序规定的原则进行确定。信息安全风险识别与评价管理程序商业秘密管理程序A.8.2.2信息标识控制YES根据风险评估的结果对于属于企业的秘密、企业机密与国家秘密的文件，秘级确定部门应按照要求做好标识或加盖识别印章。个人计算机建立个人计算机配备一览表，加贴资产标识。商业秘密管理程序个人计算机管理程序A.8.2.3资产处理控制YES根据信息安全体系规定和公司实际需求应当建立处理和储存信息的程序来保护这些信息免于未经授权的泄露、误用、盗用或丢失。商业秘

12、密管理程序A.8.3介质处置目标YES防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。A.8.3.1可移动介质的管理控制YES根据信息安全体系规定和公司实际需求可移动介质包括U盘、移动硬盘、数码相机、光盘、磁带、软盘和已经印刷好的报告等，各部门应按其管理权限并根据信息安全体系规定和公司实际需求对其实施有效的控制。记录予以保持。介质管理程序A.8.3.2介质的处置控制YES根据信息安全体系规定和公司实际需求对于含有敏感信息或重要信息的介质在不需要或再使用时，处置部门应按照介质管理程序要求采取安全可靠处置的方法将其信息清除。处置的记录予以保存。介质管理程序商业秘密管理程序A.8.3.3物理

13、介质传输控制YES根据信息安全体系规定和公司实际需求为避免被传送的介质在传送（运输）过程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、不完整或不可用，公司规定在将信息资产带出公司时，应对包含信息的介质进行保护。信息交换管理程序商业秘密管理程序A.9访问控制标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.9.1访问控制的业务要求目标YES限制信息和信息处理设施的访问。A.9.1.1访问控制策略控制YES根据信息安全体系规定和公司实际需求本公司内部可公开的信息，允许所有服务用户访问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问。用户不得访问或尝试访

14、问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制系统用户访问权限说明用户访问管理程序标准条款号标题目标/控制是否选择选择理由控制描述文件名称书，明确规定访问规则，对几人共用的账号应明确责任人。A.9.1.2使用网络服务的策略控制YES根据信息安全体系规定和公司实际需求公司在用户访问管理程序中建立网络服务安全策略，以确保网络服务安全与服务质量。用户访问管理程序A.9.2用户访问管理目标YES确保授权用户访问系统和服务，并防止未授权的访问A.9.2.1用户注册控制YES根据信息安全体系规定和公司实际需求根据用户访问管理程序规定的访问控制策略确定访问规则，访问权限.所有用户，包括相关方服

15、务人员均需要履行访问授权手续，行政部提交用户授权申请表，经审核，总经理批准后，实施授权,授权到期后实施注销用户访问管理程序A.9.2.2用户访问提供控制YES根据信息安全体系规定和公司实际需求用户（包括技术支持人员、操作员、网络管理员、系统管理员和软件开发工程师）应有唯一的识别符（USER口），以便他们个人单独使用时，能查出活动的个人责任，用户ID由系统管理员根据授权的规定予以设置。用户识别符（USERID）可以由用户名称加口令或其它适宜方式组成。用户访问管理程序A.9.2.3特殊权限管理控制YES根据信息安全体系规定和公司实际需求网络系统管理员只有经过书面授权，其特权才被认可。当特权拥有者暂

16、时离开工作岗位时，特权部门负责人应对特权实行紧急安排，以保证系统正常运行；当特权拥有者返回工作岗位时，应及时收回特权。用户访问管理程序A.9.2.4用户安全鉴别信息的管理控制YES根据信息安全体系规定和公司实际需求系统管理员应按用户访问管理程序对被授权访问该系统的用户口令予以分配。用户访问管理程序A.9.2.5用户访问权的复查控制YES根据信息安全体系规定和公司实际需求用户访问权限主管部门按用户访问管理程序规定每半年应对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结果予以保持。用户访问管理程序A.9.2.6撤销或调整访问权限控制YES根据信息安

17、全体系规定和公司实际需求员工离职后要及时收回对信息和信息处理设施访问权限，或根据变化作相应的调整。第三方用户完成合同时，应按相关方信息安全管理程序、用户访问管理程序解除，或根据变化调整访问权限。人力资源管理程序用户访问管理程序A.9.3用户职责目标YES确保用户对保护他们的鉴别信息负有责任标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.9.3.1安全鉴别信息的使用控制YES根据信息安全体系规定和公司实际需求公司在用户访问管理程序和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。用户访问管理程序A.9.

18、4系统和应用访问控制目标YES防止对系统和应用的非授权访问。A.9.4.1信息访问限制控制YES根据信息安全体系规定和公司实际需求本公司内部可公开的信息不作特别限定，允许所有用户访问。本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。用户访问管理程序A.9.4.2安全登录规程控制YES根据信息安全体系规定和公司实际需求用户不得访问或尝试访问未经授权的网络、系统、文件和服务。用户访问管理程序A.9.4.3口令管理系统控制YES根据信息安全体系规定和公司实际需求所有计算机用户在使用口令时应遵循以下原则:所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改,用户定

19、期变更口令等。用户访问管理程序A.9.4.4特权使用程序的使用控制YES根据信息安全体系规定和公司实际需求实用系统的访问控制，应严格按用户访问管理程序执行。因未按用户访问管理程序授权的用户访问造成的信息安全事件，公司领导负主要责任。对系统实用工具进行有效控制。信息系统应用管理程序A.9.4.5对程序源代码的访问控制控制YES根据信息安全体系规定和公司实际需求不允许任何人以任何方式访问程序源代码。信息系统开发建设管理程序A.10密码学标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.10.1密码控制目标YES确保适当并有效的密码的使用来保护信息的保密性、真实性或完整性A.10.1.1使

20、用密码控制的策略控制YES根据信息安全体系规定和公司实际需求使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合信息安全合规性管理程序的要求。各电子数据文件的形成部门应识别重要数据的加密要求，对需要加密的信息，制定加密信息系统开发建设管理程序数据安全管理程序标准条款号标题目标/控制是否选择选择理由控制描述文件名称方案，经公司总经理批准后严格执行。A.10.1.2密钥管理控制YES根据信息安全体系规定和公司实际需求应有密钥管理以支持组织使用密码技术，应保护所有的密码密钥免遭修改、丢失和毁坏。数据安全管理程序A.11物理与环境安

21、全标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.11.1安全区域目标YES防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。A.11.1.1物理安全边界控制YES根据信息安全体系规定和公司实际需求公司安全区域分为一般安全区域与特别安全区域，安全区域的实物安全周界由安全区域管理程序确定。安全区域管理程序A.11.1.2物理入口控制控制YES根据信息安全体系规定和公司实际需求公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。安全区域管理程序A.11.1.3办公室、房间和设施的安全保护控制YES根据信息安全体系规定和公

22、司实际需求特别安全区域内的房间和设施进行必要的控制，以防止火灾、盗窃或其它形式的危害。灭火设备，放在合适的地点，并定期进行检查。临时访问人员接待应与办公区域隔离，防止未经授权访问。安全区域管理程序A.11.1.4外部和环境威胁的安全防护控制YES根据信息安全体系规定和公司实际需求外来人员来本公司参观或对大楼进行拍摄，须报请行政部批准，安全周界的大门下班后应关紧，行政部负责管理。应将备用设备、备品备件和备份存储介质放置在一定安全距离以外，以免主场所发生的灾难性事故对其造成破坏。安全区域管理程序A.11.1.5在安全区域工作控制YES根据信息安全体系规定和公司实际需求明确规定员工、第三方人员在有关

23、安全区域工作的基本安全要求（如避免在第三方人员未被监督的情况下在安全区域内进行工作，未经同意不允许使用摄影、录像、录音或其它音像记录设备等），并要求员工、第三方人员严格遵守。安全区域管理程序相关方信息安全管理程序A.11.1.6交接区控制YES根据信息安全体系规定和公司实际需求公司设有接待前台，供接待临时访问人员。对特别安全区域，未经授权不允许外来人员直接入内，应由本区域工作人员领进会议室，防止未经授权的访问。安全区域管理程序A.11.2设备安全目标YES防止资产的损失、损失或丢失及业务活动的中断。A.11.2.1设备安置和控制YES根据信息安全体系规需要安装的信息处理设施，使用部门应确定安装

24、地点，对信息信息处理设施管理程序标准条款号标题目标/控制是否选择选择理由控制描述文件名称保护定和公司实际需求信息处理设施进行定置管理和妥善保护，以降低来自环境威胁和危害的风险，以及非授权访问的机会。A.11.2.2支持性设施控制YES根据信息安全体系规定和公司实际需求服务器应放置于温湿度的变化范围在设备运行所允许的范围内的房间，必要时应安装空调设施。信息处理设施管理程序A.11.2.3布缆安全控制YES根据信息安全体系规定和公司实际需求进入各部门的电缆应严格保管，不准随意搬迁、拉扯或损坏，如发现异常及时通报行政部。信息处理设施管理程序A.11.2.4设备维护控制YES根据信息安全体系规定和公司

25、实际需求信息处理设施的维护应按照相应的维护程序/规程进行设备的检查、维护、清洁并做好必要的运行保养和记录。信息处理设施管理程序A.11.2.5资产的移动控制YES根据信息安全体系规定和公司实际需求在未经授权的情况下，设备、信息或软件不应该带到工作场所外。重要信息设备的迁移应被授权，迁移活动应被记录。信息处理设施的迁移控制执行信息处理设施管理程序。信息处理设施管理程序A.11.2.6组织场所外的设备安全控制YES根据信息安全体系规定和公司实际需求笔记本在带离规定的区域时，应经过部门领导授权并对其进行严格控制，防止其丢失和未经授权的访问，移动存储介质应按介质管理程序进行防护，不得丢失。离开办公场所

26、的设备应考虑损坏、盗窃和截取的风险并加以保护，并使其免于强电磁场设备和有腐蚀性气体和尘埃的威胁。信息处理设施管理程序个人计算机管理程序介质管理程序A.11.2.7设备的安全处置或再利用控制YES根据信息安全体系规定和公司实际需求含有敏感信息的设备在报废或改做他用时，应将设备中存储的敏感信息清除并保存清除记录。具体执行信息处理设施管理程序和介质管理程序。信息处理设施管理程序介质管理程序A.11.2.8无人值守的用户设备控制YES根据信息安全体系规定和公司实际需求公司规定安全周界的大门下班后应关紧，行政部负责管理，外来人员进入办公区域应进行登记，个人计算机设置登陆密码。安全区域管理程序A.11.2

27、.9清空桌面和屏幕策略控制YES根据信息安全体系规定和公司实际需求计算机使用人员应养成保持桌面干净整洁、文件分类有序、定时清理垃圾文件和程序的良好习惯。所有计算机终端必须设立登录口令，在人员离开时应该锁屏、注销或关机。当人员离开时，确保机密的纸文件和可移动存储介质没有留在桌面上个人计算机管理程序A.12操作安全标准条款号标题目标/控制是否选择选择理由控制描述文件名称标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.12.1操作规程和职责目标YES确保正确和安全的操作信息处理设施。A.12.1.1文件化的操作规程控制YES根据信息安全体系规定和公司实际需求公司按照信息安全方针的要求，建

28、立并实施文件化的作业程序，见信息安全管理体系文件一览表（信息安全管理手册附件）文件化的作业程序的控制执行文件管理程序。文件管理程序A.12.1.2变更管理控制YES根据信息安全体系规定和公司实际需求在变更实施前，填写变更申请表，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢复措施），负责人批准后予以实施。对于重要设施和网络系统的重大变更，应对变更影响进行评价。信息系统应用管理程序信息系统开发建设管理程序A.12.1.3容量管理控制YES根据信息安全体系规定和公司实际需求应该监控、协调资源的使用（CPU利用率、内存和硬盘空间大小、传输线路宽带），并规划未来的容量要求，以确保所

29、要求的系统性能，适当时机进行容量变更。信息系统开发建设管理程序容量管理策略A.12.1.4开发、测试和运行设施的分离控制YES根据信息安全体系规定和公司实际需求当开发、测试时，开发测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。信息系统应用管理程序A.12.2防范恶意软件目标YES确保保护信息和信息处理设备，防范恶意软件A.12.2.1控制恶意软件控制YES根据信息安全体系规定和公司实际需求研发部负责提供防范恶意软件的技术工具并对技术工具进行实时升级，各部门应统一使用公司批准的病毒保护软件和配置，且不能降低其更新频率和有效性。对不能自动清除的病毒，必须向领导报告。病毒防范管理程序A

30、.12.3备份目标YES防止数据丢失A.12.3.1信息备份控制YES根据信息安全体系规定和公司实际需求公司根据风险评估的结果对重要数据库、软件等进行备份，应按照已设定的备份方针，保证信息的保密性、完整性和可用性。数据安全管理程序数据备份策略A.12.4日志记录和监视目标YES记录事件并产生证据A.12.4.1事件日志控制YES根据信息安全体系规定和公司实际需求公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。信息系统监控管理程序标准条款号标题目标/控制是否选择选择理由控制描述文件名称审核日志、监

31、视记录按规定予以保存。A.12.4.2日志信息的保护控制YES根据信息安全体系规定和公司实际需求日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。应防止对日志记录设施的未经授权的更改和出现操作问题。具体执行信息系统监控管理程序。信息系统监控管理程序A.12.4.3管理员和操作员日志控制YES根据信息安全体系规定和公司实际需求系统管理员和操作员的活动应记入日志，系统管理员不允许删除或关闭其自身活动的日志。信息系统监控管理程序A.12.4.4时钟同步控制YES根据信息安全体系规定和公司实际需求公司所有服务器设备和终端与网络时钟同步，具体执行信息系统监控管理程序。要求公司网络和系统采用

32、网络时间协议保持所有服务器与主时钟同步。个人计算机应采用网络时间协议保持与主时钟同步。信息系统监控管理程序A.12.5运行软件的控制目标YES确保运行系统的完整性A.12.5.1运行系统中软件的安全控制YES根据信息安全体系规定和公司实际需求软件管理程序规定公司和系统应用主管部门应对操作系统软件的版本管理、安装、使用和备份进行严格控制。规定在新软件安装或软件升级之前，应经测试和审批后方可按规定程序进行。软件的升级、补J或更新具体执行信息系统开发建设管理程序。个人计算机管理程序规定计算机终端用户除非授权，否则严禁私自安装任何软件。信息系统开发建设管理程序软件管理程序个人计算机管理程序A.12.6

33、技术脆弱性管理目标YES防止技术脆弱性被利用A.12.6.1技术脆弱性管理控制YES根据信息安全体系规定和公司实际需求对技术薄弱点应进行风险评估，进行专项分析，制订风险处理计划，根据风险处理计划采取对应的技术和管理措施。公司与信息安全管理有关的所有员工对发现的信息安全薄弱点或潜在威胁均应履行报告义务。技术薄弱点管理程序A.12.6.2软件安装限制控制YES根据信息安全体系规定和公司实际需求公司行政部负责软件的安装授权，对常用的开发、办公软件，相关部门可以自行安装，对于和工作无关的软件禁止安装。技术薄弱点管理程序A.12.7信息系统目标YES将审计活动对运行系统的影响最小化标准条款号标题目标/控

34、制是否选择选择理由控制描述文件名称审计考虑A.12.7.1信息系统审计控制措施控制YES根据信息安全体系规定和公司实际需求正式审核之前，审核组应明确技术性审核的项目与要求，防止审核活动本身造成不必要的安全风险。内部审核管理程序A.13通信安全标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.13.1网络安全管理目标YES未保护对网络中的信息及支持性设施进行有效保护。A.13.1.1网络控制控制YES根据信息安全体系规定和公司实际需求实施有效的网络安全控制措施，如防火墙、路由器等的安全配置，网络设备的定期维护，网络设备和系统的重大变更控制措施，用户访问权限管理，网络服务的管理，包括运行

35、情况的监督。网络安全管理程序数据安全管理程序A.13.1.2网络服务的安全控制YES根据信息安全体系规定和公司实际需求应该识别所有网络服务的安全特性、服务等级以及管理要求，并将其包括在网络服务协议中，无论这些服务是内部提供还是外包。公司根据组织的安全策略，识别现有的网络服务，明确规定网络服务安全属性值。网络安全管理程序相关方信息安全管理程序）A.13.1.3网络隔离控制YES根据信息安全体系规定和公司实际需求网络管理人员应编制网络拓扑图，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接.为确保公司网络安全，采用物理和逻辑两种方式进行网络隔离。网络安全管理程序A.13.2信息的交

36、换目标YES保持组织内信息交换及与外部组织信息交换的安全。A.13.2.1信息交换策略和程序控制YES根据信息安全体系规定和公司实际需求在内部或与顾客进行数据与软件交换的过程中采用有效的安全控制措施，公司规定在使用电子通信设施进行信息交换时，防止交换的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息;公司互联网的计算机，不得含有涉密的电子数据信息。信息交换管理程序数据安全管理程序A.13.2.2信息交换协议控制YES根据信息安全体系规定和公司实际需求应保护被传输的信息和物理介质，并作为制定交换协议的参考。对于敏感信息，应该考虑对信息交换使用特殊的机制，但必须与组织和协议类型相

37、协调。信息交换管理程序标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.13.2.3电子消息发送控制YES根据信息安全体系规定和公司实际需求基于业务及管理的需要，及减少企业秘密被泄露与防范计算机病毒的原则，公司建立了信息交换管理程序包括电子邮件安全使用的策略，并将该策略传达到所有员工予以执行。信息交换管理程序A.13.2.4保密或不泄露协议控制YES根据信息安全体系规定和公司实际需求公司对与正式录用员工在劳动合同中附加有关保密方面的内容条款或签署员工保密协议，员工离职前应根据离职流程。公司与外部相关方签暑相关方保密协议或第三方保密协议，所有与外部相关方合作而引起的安全需求或内部控制都

38、应在协议中反映。人力资源管理程序相关方信息安全管理程序A.14系统获取、开发和维护标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.14.1信息系统的安全要求目标YES确保信息安全成为信息系统生命周期的组成部分，包括向公共网络提供服务的信息系统的特定安全要求A.14.1.1安全要求分析和说明控制YES根据信息安全体系规定和公司实际需求信息系统建设部门在进行新系统建设或系统更新时，首先应对系统进行分析，根据业务功能要求及信息安全要求，明确规定控制要求。系统（软件）本身的功能及安全特性应在设计开发输入时应明确提出，并进行评审。信息系统开发建设管理程序A.14.1.2公共网络服务的安全控制

39、YES根据信息安全体系规定和公司实际需求按照安全等级保护制度的管理规范和技术标准确定本单位网络与信息系统的安全等级，并根据安全等级保护制度的要求进行建设。信息系统开发建设管理程序A.14.1.3保护应用服务交易控制YES根据信息安全体系规定和公司实际需求对大量数据先进行收集并分块，通过安全信道传输给多个服务器储存,密文处理过程的数据同步存储，只要其中一个服务器没被攻破，则该方案就是安全的信息系统开发建设管理程序A.14.2开发和支持过程的安全目标YES确保在信息系统开发生命周期内审计和实施信息安全A.14.2.14N-rr吟安全开发策略控制YES根据信息安全体系规定和公司实际需求安全开发是建立

40、安全服务、架构、软件和系统的要求，公司从软件开发生命周期建立安全开发策略。信息系统开发建设管理程序A.14.2.2系统变更控制程序控制YES根据信息安全体系规定和公司实际需求当信息系统需变更时，应先分析其变更原因。在明确变更原因后，研发部负责对变更进行策划，提出变更具信息系统开发建设管理程序标准条款号标题目标/控制是否选择选择理由控制描述文件名称体实施的信息系统变更计划书，交由总经理审批。对于重要设备和网络系统的重大变更，应对变更影响进行评价。A.14.2.3操作系统变更后应用的技术评审控制YES根据信息安全体系规定和公司实际需求当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部

41、门进行评审，确保对作业或安全措施无不利影响。具体执行信息系统开发建设管理程序。信息系统开发建设管理程序A.14.2.4软件包变更的限制控制YES根据信息安全体系规定和公司实际需求公司不鼓励修改软件包，如果有必要确需进行更改，更改提出部门应在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样的复制软件上进行更改，更改实施前应得到公司领导的授权。信息系统开发建设管理程序A.14.2.5安全系统工程原则控制YES根据信息安全体系规定和公司实际需求在平衡信息安全需求和访问需求的基础上，组织所有架构层（业务、数据、应用和技术）宜考虑安全设计。宜分析新技术的安全风险，并根据已知的攻击模式评审其设计。信息系统开发建设管理程序A.14.2.6安全开发环境控制YES根据信息安全体系规定和公司实际需求对覆盖系统开发全生