ISO27001内部审核检查表

信息安全管理体系内部审核检查表被审核部门：总经理、管理者代表要素/附录编号及名称审核内容和方法审核记录判断4.1了解组织现状及背景询问公司的组织的现状及面临的主要外部问题，是否考虑信息安全的问题，如业务的风险等等有考虑公司的内外部环境，业务风险，并形成《组织内外部环境要素识别表》对内外部环境进行分析。符合4.2理解相关方的需求和期望如何理解相关方的需求？制订相关方的风险识别要求表符合4.3确定范围询问公司信息安全体系的范围确认公司的认证范围，认证范围为：从事与聚合支付平台涉及的软件研发及其运维服务相关的信息安全管理活动。符合5.15.25.3领导力公司有无建立信息安全方针和目标，分配信息安全小组的权责有建立方针“积极防范、严密管理、快速响应，持续改进”并制定了信息安全管理职责明细表，查有聚合平台研发部、运维部、综合办、信息安全小组成员等职责符合6.2可实现的目标和计划有无建立信息安全目标？建立执行方案？手册已规定了安全目标，商业秘密信息泄漏事故0次/年，顾客信息安全事件投诉0次/年。并制订相应方案。符合7.1资源组织建立体系的有哪些资源的支持提供了设备，各种投入、组织架构等。符合7.4沟通公司有无提供信息安全的资源及建立沟通渠道建立了信息安全沟通程序。符合9.1监控、度量，分析和评价针对信息安全绩效，建立哪些有效性测量指标？设备检测、风险指标等。符合10.2持续改进公司有无建立持续改进的程序.持续改进主要表现在在哪些方面？建立持续改进控制程序。符合A.5信息安全策略A.5.1信息安全的管理方向A.5.1.1信息安全策略信息安全策略集应由管理者定义、批准、发布并传达给员工和相关外部方。信息安全方针:“积极防范、严密管理、快速响应，持续改进”。见信息安全手册符合A.5.1.2信息安全策略的评审信息安全策略应按计划的时间间隔或当重大变化发生时进行评审，以确保其持续的适宜性、充分性和有效性。有制作内审管理程序及管理评审评审.首次运行不适用A.6信息安全组织A.6.1内部组织A.6.1.1信息安全角色和职责所有的信息安全职责应予以定义和分配。成立了信息安全委员会,有信息安全委员会章程附件信息安全管理职责符合A.6.1.2职责分离分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用组织资产的机会。有规定总经办、综合等符合A.6.1.3与政府部门的联系应保持与政府相关部门的适当联系。建立了相关的联系方针符合A.6.1.4与特定利益集团的联系应保持与特定利益集团、其他安全论坛和专业协会的适当联系。有定义，有授权符合A.6.2移动设备和远程工作A.6.2.1移动设备策略应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。通过授权符合A.6.2.2远程工作应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。符合要求，通过与集团的VPN实现符合

被审核部门：总经办审核员签字：李海清时间:2018.7.11附录编号及名称审核内容和方法审核记录判断5.3角色、职任和承诺如何在本职范围内明确责任，特别信息安全管理方面的职务？通过岗位职责明确符合6.1处理风险和机遇的行动6.1.1如何策划风险和机遇6.1.2如何策划风险评估6.1.3信息安全风险的处置建立了《风险评估控制程序》于信息安全委员赊在3月12日进行了风险评估。符合6.2可实现的信息安全和计划如何建立安全管理目标和计划在手册中有分析，有实现方案符合7.2能力如何确保学习，是否建立了员工能力要求的相关程序职务说明书的能力的要求。符合7.3意识如何在进行信息安全意识的培训通过培训，查6，7月的培训记录有信息安全意识记录符合7.5文档信息化如何进行文档和记录的控制?制订了文件控制程序符合A.7人力资源安全A.7.1任用之前A.7.1.1审查关于所有作用候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。见员工聘用管理程序，查有背景调查符合A.7.1.2任用条款和条件与雇员和承包方人员的合同协议应声明他们和组织的信息安全职责。员工有签订保密条款符合A.7.2任用中A.7.2.1管理职责管理者应要求所有雇员和承包方人员按照组织已建立的策略和规程对信息安全尽心尽力。有员工信息安全培训记录7.18符合A.7.2.2信息安全意识、教育和培训组织的所有雇员，适当时，包括承包方人员，应受到与其工作职能相关的适当的意识培训和组织策略及规程的定期更新培训。有员工信息安全培训程序在8月份有召开培训符合A.7.2.3纪律处理过程应有一个正式的、已传达的纪律处理过程，来对信息安全违规的雇员采取措施。有信息安全奖惩管理程序符合A.7.3.任用的终止或变更A.7.3.1任用终止或变更职责应定义信息安全职责和义务在任用终止或变更后保持有效的要求，并传达给雇员或承包方人员，予以执行。见员工离职管理程序，员工有交接手续，确保离职前的资产归还。符合A.8资产管理A.8.1对资产负责A.8.1.1资产清单应识别与信息和信息处理设施的资产，编制并维护这些资产的清单有资产清单符合A.8.1.2资产所有权清单中所维护的资产应分配所有权。清单有所属的资产负责人。符合A.8.1.3资产的可接受使用信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。对资产的管理进行了规定，见信息安全风险管理程序符合A.8.1.4.资产的归还所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。有规定，查员工离职交接记录符合A.8.2信息分类A.8.2.1信息的分类信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。有规定符合A.8.2.2信息的标记应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。总经办定期召开培训符合A.8.2.3信息的处理应按照组织所采纳的信息分类机制建立和实施处理资产的规程。有规定5个级别。符合A.8.3介质处置A.8.3.1可移动介质的管理应按照组织所采纳的分类机制实施可移动介质的管理规程。有规定符合A.8.3.2介质的处置不再需要的介质，应使用正式的规程可靠并安全地处置。项目部U盘不能使用。符合A.8.3.3物理介质传输包含信息的介质在运送时，应防止未授权的访问、不当使用或毁坏。符合要求《介质管理程序》符合

被审核部门：业务部审核员签字：黄钦松时间:2018.7.12A.8资产管理A.8.1对资产负责A.8.1.1资产清单应识别与信息和信息处理设施的资产，编制并维护这些资产的清单有资产清单符合A.8.1.2资产所有权清单中所维护的资产应分配所有权。清单有所属的资产负责人。符合A.8.1.3资产的可接受使用信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。对资产的管理进行了规定，见信息安全风险管理程序符合A.8.1.4.资产的归还所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。有规定，查员工离职交接记录符合A.8.2信息分类A.8.2.1信息的分类信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。有规定符合A.8.2.2信息的标记应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。总经办定期召开培训符合A.8.2.3信息的处理应按照组织所采纳的信息分类机制建立和实施处理资产的规程。有规定5个级别。符合A.8.3介质处置A.8.3.1可移动介质的管理应按照组织所采纳的分类机制实施可移动介质的管理规程。有规定符合A.8.3.2介质的处置不再需要的介质，应使用正式的规程可靠并安全地处置。项目部U盘不能使用。符合A.8.3.3物理介质传输包含信息的介质在运送时，应防止未授权的访问、不当使用或毁坏。符合要求《介质管理程序》符合被审核部门：研发部审核员签字：李海清时间:2018.7.12附录编号及名称审核内容和方法审核记录判断A6信息安全组织是否建立了信息安全委员会，IT人员参加了信息安全委员会吗?IT人员参与A.8资产管理A.8.1对资产负责A.8.1.1资产清单应识别与信息和信息处理设施的资产，编制并维护这些资产的清单有规定符合A.8.1.2资产所有权清单中所维护的资产应分配所有权。有规定,新入职员工有背景调查符合A.8.1.3资产的可接受使用信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。针对项目资产有规定。符合A.8.1.4.资产的归还所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。有规定,要求归还门禁卡符合A.8.2信息分类A.8.2.1信息的分类信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。有规定符合A.8.2.2信息的标记应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。总经办定期召开培训符合A.8.2.3信息的处理应按照组织所采纳的信息分类机制建立和实施处理资产的规程。有规定符合A.8.3介质处置A.8.3.1可移动介质的管理应按照组织所采纳的分类机制实施可移动介质的管理规程。有规定符合A.8.3.2介质的处置不再需要的介质，应使用正式的规程可靠并安全地处置。符合要求符合A.8.3.3物理介质传输包含信息的介质在运送时，应防止未授权的访问、不当使用或毁坏。符合要求符合A.9访问控制A.9.1访问控制的业务要求A.9.1.1访问控制策略访问控制策略应建立、形成文件，并基于业务和信息安全要求进行评审。本生产区有专门的保卫系统符合A.9.1.2网络和网络服务的访问用户应仅能访问已获专门授权使用的网络和网络服务。有规定，见用户访问管理程序规定的相关各级系统的应用权限要求符合A.9.2用户访问管理A.9.2.1用户注册及注销应实施正式的用户注册及注销规程，使访问权限得以分配。见《用户访问管理程序》《计算程序管理程序》符合A.9.2.2用户访问开通应实施正式的用户访问开通过程，以分配或撤销所有系统和服务所有用户类型的访问权限。符合要求,门禁权限于IT管理人员开通符合A.9.2.3特殊访问权限管理应限制和控制特殊访问权限的分配及使用。符合要求，部分权限需要授权不符合A.9.2.4用户秘密鉴别信息管理应通过正式的管理过程控制秘密鉴别信息的分配。符合要求符合A.9.2.5用户访问权限的复查资产所有者应定期复查用户的访问权限。有效性检查，部分人员的权限会再次检查符合A.9.2.6撤销或调整访问权限所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销，或在变化时调整。员工离职，IT人员清除用户的口令，对用户进行删除.符合A.9.3用户职责A.9.3.1使用秘密鉴别信息应要求用户在使用秘密鉴别信息时，遵循组织的实践。符合要求符合A.9.4系统和应用访问控制A.9.4.1信息访问控制应依照访问控制策略限制对信息和应用系统功能的访问。《计算机管理程序》符合A.9.4.2安全登录规程在访问控制策略下，访问操作系统和应用应通过安全登录规程加以控制。《计算机管理程序》对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。符合A.9.4.3口令管理系统口令管理系统应是交互式的，并应确保优质的口令。测试部的用户口令，长度有11位。符合A.9.4.4特殊权限使用工具软件的使用对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以限制并严格控制。依据《访问控制程序》，《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。符合A.9.4.5对程序源代码的访问控制应限制访问程序源代码依据《访问控制程序》，《网络安全管理规定》对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。符合附录编号及名称审核内容和方法审核记录判断A.14系统获取、开发和维护A.14.1信息系统的安全需求A.14.1.1信息安全要求分析和说明信息安全相关要求应包括新的信息系统要求或增强已有信息系统的要求按《设计、开发管理与变更程序》进行项目评审.符合A.14.1.2公共网络应用服务安全应保护公共网络中的应用服务信息，以防止欺骗行为、合同纠纷、未授权泄露和修改。《设计、开发管理与变更程序》、《符合A.14.1.3保护应用服务交易应保护涉及应用服务交易的信息，以防止不完整传送、错误路由、未授权消息变更、未授权泄露、未授权消息复制或重放。不适用/A.14.2开发和支持过程中的安全A.14.2.1安全开发策略应建立软件和系统开发规则，并应用于组织内的开发。按《《设计、开发管理与变更程序》、符合A.14.2.2系统变更控制规程应通过使用正式变更控制程序控制开发生命周期中的系统变更。制订了变更控制程序符合A.14.2.3运行平台变更后应用的技术评审当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。在开发时考虑平台的可用性，并做好测试及分布符合A.14.2.4软件包变更的限制应对软件包的修改进行劝阴，只限于必要的变更，且对所有的变更加以严格控制。不同权限的软件包不一样。符合A.14.2.5安全系统工程原则应建立、记录和维护安全系统工程原则，并应用到任何信息系统实施工作。查“东方信腾电子档案管理”有评审资料，有立项可行性分析报告，初期项目计划，测试计划符合A.14.2.6安全开发环境组织应建立并适当保护系统开发和集成工作的安全开发环境，覆盖整个系统开发生命周期。“东方信腾电子档案管理”采用项目的方法，由总经办负责搭建平台符合A.14.2.7外包开发组织应管理和监视外包系统开发活动。有财务软件的使用。符合A.14.2.8系统安全测试在开发过程中，应进行安全功能测试。有测试报告符合A.14.2.9系统验收测试对于新建信息系统和新版本升级系统，应建立验收测试方案和相关准则。按测试方案出测试报告，系统测试报告符合A.14.3测试数据A.14.3.1系统测试数据的保护测试数据应认真地加以选择、保护和控制。按研发数据风险控制及恢复措施.符合

附录编号及名称审核内容和方法审核记录判断A.10密码学A.10.1密码控制A.10.1.1使用密码控制的策略应开发和实施使用密码控制措施来保护信息的策略。开发的软件会使用加密狗，且使用有政府批准的产品符合A.10.1.2密钥管理宜开发和实施贯穿整个密钥生命周期的关于密钥使用、保护和生存期的策略。符合要求，在开发成功，会采用密码调用策略符合A.17业务连续性管理的信息安全方面A.17.1信息安全连续性计划A.17.1.1信息安全连续性计划组织应确定不利情况下(例如，一个危机或危难时)信息安全的要求和信息安全管理连续性。制订了2018年业务连续计划2符合A.17.1.2实施信息安全连续性计划组织应建立、文件化、实施和维护过程、规程和控制措施，确保在负面情况下要求的信息安全连续性级别。没有实施软件开发业务的业务连续性不符合A.17.1.3验证、评审和评价信息安全连续性计划组织应定期验证已制定和实施信息安全业务连续性计划的控制措施，以确保在负面情况下控制措施的及时性和有效性。有验证符合A.17.2冗余A.17.2.1信息处理设施的可用性信息处理设备应冗余部署，以满足高可用性需求。查4月25记录。有巡查记录。符合

被审核部门：总经办审核员签字：李海清时间:2017.9.11附录编号及名称审核内容和方法审核记录判断A.11物理和环境安全A.11.1安全区域A.11.1.1物理安全周边应定义安全周边和所保护的区域，包括敏感或关键的信息和信息处理设施的区域。建立了安全区域管理程序符合A.11.1.2物理入口控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。保安对进行人员的控制,符合A.11.1.3办公室、房间和设施的安全保护为防止自然灾难、恶意攻击或事件，应设计和采取物理保护措施。针对办公室、房间有相关的保护措施，如灭火设备的配备.符合A.11.1.4外部环境威胁的安全防护为防止自然灾难、恶意攻击或事件，应设计和采取物理保护措施。灭火设备的配备，烟感系统符合A.11.1.5在安全区域工作应设计和应用工作在安全区域的规程。有规定《安全区域管理程序》符合A.11.1.6交接区安全访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。《安全区域管理程序》、《办公区机房管理制度》符合A.11.2设备A.11.2.1设备安置和保护应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。《信息处理设施安装使用管理程序》中规定了设备的保护符合A.11.2.2支持性设施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。《信息处理设施安装使用管理程序》符合A.11.2.3布缆安全应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。信息处理设施安装使用管理程序符合A.11.2.4设备维护设备应予以正确地维护，以确保其持续的可用性和完整性。信息处理设施安装使用管理程序,IT人员旧电脑进行统一拆卸。符合A.11.2.5资产的移动设备、信息或软件在授权之前不应带出组织场所。信息处理设施安装使用管理程序。IT人员旧电脑进行统一拆卸，把硬盘统一收集交于总经办符合A.11.2.6组织场外设备和资产的安全应对组织场所外的设备采取安全措施，要考虑工作在组织场所以外的不同风险。信息处理设施安装使用管理程序符合A.11.2.7设备的安全处置或再利用包含储存介质的设备的所有项目应进行验证，以确保在处置之前，任何敏感信息和注册软件已被删除或安全地写覆盖。总经办记录电脑报废单，批准后再进行统一处置。符合A.11.2.8无人值守的设备对扫描仪、PC机、笔记本，网络设施等在防护、处置、销毁、维护等管理活动中符合要求的情况。符合A.11.2.9桌面清空及清屏策略查监控管理系统服务器符合

A.12操作安全A.12.1文件操作规程和职责A.12.1.1文件化的操作规程操作规程应形成文件并对所有需要的用户可用。符合要求，有文件控制程序，受控文件清单。符合A.12.1.2变更管理对影响信息安全的组织、业务过程、信息处理设施和系统等的变更应加以控制。制订《变更管理程序》编号符合A.12.1.3容量管理资源的使用应加以监视、调整，并作出对于未来容量要求的预测，以确保拥有所需的系统性能。符合要求符合A.12.1.4开发、测试和运行环境分离开发、测试和运行环境应分离，以减少未授权访问或改变运行环境的风险符合要求，《设计、开发管理与变更程序》符合A.12.2恶意软件防护A.12.2.1控制恶意软件应实施恶意软件的检测、预防和恢复的控制措施，以及适当的提高用户安全意识。IT统一安装，其他人无权限安装软件符合A.12.3备份A.12.3.1信息备份应按照已设的备份策略，定期备份和测试信息和软件各部每周备份到规定的移动硬盘.符合A12.4日志和监视A.12.4.1事态记录应产生记录用户活动、异常情况、故障和信息安全事态日志，并保持定期评审。查CCTV管理日志，及部门电脑日志正常符合A12.4.2日志信息的保护记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。自动保存3个月符合A12.4.3管理员和操作员日志系统管理员和系统操作员的活动应记入日志，保护日志并定期评审。查日志保护，符合要求.符合A12.4.4时钟同步一个组织或安全域内的所有相关信息处理设施的时钟应使用一参考时间源进行同步。符合要求符合A.12.5运行软件的控制A.12.5.1在运行系统上安装软件应实施规程来控制在运行系统上安装软件。经过测试，评审符合A.12.6技术脆弱性管理A.12.6.1技术脆弱性的控制应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。有分析符合A.12.6.2限制软件安装应建立和实施软件安装的用户管理规则。IT人员统一管理符合A.12.7信息系统审计考虑A.12.7.1信息系统审计控制措施涉及对运行系统验证的审计要求和活动，应谨慎地加以规划并取得批准，以便使造成业务过程中断最小化。IT人员统一管理OA系统符合A.15供应商关系A.15.1供应商关系的信息安全A.15.1.1供应商关系的信息安全策略为减缓供应商访问组织资产带来的风险，应与供应商协商并记录相关信息安全要求。见相关方管理程序符合A.15.1.2处理供应商协议的安全问题应与每个可能访问、处理、存储组织信息、与组织进行通信或为组织提供IT基础设施组件的供应商建立并协商所有相关的信息安全要求。见相关方管理程序符合A.15.1.3信息和通信技术供应链供应商协议应包括信息和通信技术服务以及产品供应链相关信息安全风险处理的要求。有相关方管理程序符合A.15.2供应商服务交付管理A.15.2.1供应商服务的监视和评审组织应定期监视、评审和审计供应商服务交付。有定期评审相关方管理程序符合A.15.2.2供应商服务的变更管理应管理供应商服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务信息、系统和涉及过程的关键程度及风险的再评估。有相关方管理程序符合

被审核部门：运维部审核员签字：萧炜珊黄钦松时间:2018.7.11附录编号及名称审核内容和方法审核记录判断8运行8.1运行计划及控制1.本部在工作实际中有哪些涉及信息安全？？

设立了信息安全主要业务是对项目涉及的文档进行扫描，并交府扫描文件符合2.有建立本部门的安全管理目标和计划商业泄密事件为每年0次符合8.2信息安全评估本部如何开展风险评估？有风险评估的评价结果吧？参与了风险评估。有客户的高风险资产为高风险资产，已进行了识别并处理。符合8.3信息安全风险处置本部有风险评估的处理处理情况如何？是否有残余风险？高风险资产已进行了处置。符合A.6信息安全组织A.6.1内部组织A.6.1.1信息安全角色和职责所有的信息安全职责应予以定义和分配。成立了信息安全委员会,有信息安全委员会章程附件信息安全管理职责符合A.6.1.2职责分离分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用组织资产的机会。有规定总经办、综合等符合A.6.1.3与政府部门的联系应保持与政府相关部门的适当联系。建立了相关的联系方针符合A.6.1.4与特定利益集团的联系应保持与特定利益集团、其他安全论坛和专业协会的适当联系。有定义，有授权符合A.6.2移动设备和远程工作A.6.2.1移动设备策略应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。本部无移动设备符合A.6.2.2远程工作应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。本部无远程工作符合A.8资产管理A.8.1对资产负责A.8.1.1资产清单应识别与信息和信息处理设施的资产，编制并维护这些资产的清单有资产清单符合A.8.1.2资产所有权清单中所维护的资产应分配所有权。清单有所属的资产负责人。符合A.8.1.3资产的可接受使用信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。对资产的管理进行了规定，见信息安全风险管理程序符合A.8.1.4.资产的归还所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。有规定，查员工离职交接记录符合A.8.2信息分类A.8.2.1信息的分类信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。有规定,《》符合A.8.2.2信息的标记应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。总经办定期召开培训符合A.8.2.3信息的处理应按照组织所采纳的信息分类机制建立和实施处理资产的规程。有规定5个级别。符合A.8.3介质处置A.8.3.1可移动介质的管理应按照组织所采纳的分类机制实施可移动介质的管理规程。有规定符合A.8.3.2介质的处置不再需要的介质，应使用正式的规程可靠并安全地处置。项目部U盘不能使用。符合A.8.3.3物理介质传输包含信息的介质在运送时，应防止未授权的访问、不当使用或毁坏。符合要求《介质管理程序》符合A.9访问控制A.9.1访问控制的业务要求A.9.1.1访问控制策略访问控制策略应建立、形成文件，并基于业务和信息安全要求进行评审。本生产区有专门的保卫系统符合A.9.1.2网络和网络服务的访问用户应仅能访问已获专门授权使用的网络和网络服务。有规定，见用户访问管理程序规定的相关各级系统的应用权限要求符合A.9.2用户访问管理A.9.2.1用户注册及注销应实施正式的用户注册及注销规程，使访问权限得以分配。见《用户访问管理程序》《计算程序管理程序》符合A.9.2.2用户访问开通应实施正式的用户访问开通过程，以分配或撤销所有系统和服务所有用户类型的访问权限。符合要求,门禁权限于IT管理人员开通符合A.9.2.3特殊访问权限管理应限制和控制特殊访问权限的分配及使用。符合要求，部分权限需要授权符合A.9.2.4用户秘密鉴别信息管理应通过正式的管理过程控制秘密鉴别信息的分配。符合要求符合A.9.2.5用户访问权限的复查资产所有者应定期复查用户的访问权限。有效性检查，部分人员的权限会再次检查符合A.9.2.6撤销或调整访问权限所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销，或在变化时调整。员工离职，IT人员清除用户的口令，对用户进行删除.符合A.9.3用户职责A.9.3.1使用秘密鉴别信息应要求用户在使用秘密鉴别信息时，遵循组织的实践。符合要求符合A.9.4系统和应用访问控制A.9.4.1信息访问控制应依照访问控制策略限制对信息和应用系统功能的访问。《计算机管理程序》符合A.9.4.2安全登录规程在访问控制策略下，访问操作系统和应用应通过安全登录规程加以控制。《计算机管理程序》的规定进行符合A.9.4.3口令管理系统口令管理系统应是交互式的，并应确保优质的口令。《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。。符合A.9.4.4特殊权限使用工具软件的使用对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以限制并严格控制。依据《访问控制程序》，《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。符合A.9.4.5对程序源代码的访问控制应限制访问程序源代码无符合附录编号及名称审核内容和方法审核记录判断A.11物理和环境安全A.11.1安全区域A.11.1.1物理安全周边应定义安全周边和所保护的区域，包括敏感或关键的信息和信息处理设施的区域。建立了安全区域管理程序符合A.11.1.2物理入口控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。保安对进行人员的控制,符合A.11.1.3办公室、房间和设施的安全保护为防止自然灾难、恶意攻击或事件，应设计和采取物理保护措施。针对办公室、房间有相关的保护措施，如灭火设备的配备.符合A.11.1.4外部环境威胁的安全防护为防止自然灾难、恶意攻击或事件，应设计和采取物理保护措施。灭火设备的配备，烟感系统符合A.11.1.5在安全区域工作应设计和应用工作在安全区域的规程。有规定《安全区域管理程序》符合A.11.1.6交接区安全访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。《安全区域管理程序》、《办公区机房管理制度》符合A.11.2设备A.11.2.1设备安置和保护应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。《信息处理设施安装使用管理程序》中规定了设备的保护符合A.11.2.2支持性设施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。《信息处理设施安装使用管理程序》符合A.11.2.3布缆安全应保证传输数据或支