| 要素/附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 | |
| 4.1 了解组织现状及背景 | 询问公司的组织的现状及面临的主要外部问题,是否考虑信息安全的问题,如业务的风险等等 | 有考虑公司的内外部环境,业务风险,并形成《组织内外部环境要素识别表》对内外部环境进行分析。 | 符合 | |
| 4.2理解相关方的需求和期望 | 如何理解相关方的需求? | 制订相关方的风险识别要求表 | 符合 | |
| 4.3确定范围 | 询问公司信息安全体系的范围 | 确认公司的认证范围,认证范围为:从事与聚合支付平台涉及的软件研发及其运维服务相关的信息安全管理活动。 | 符合 | |
| 5.1 5.2 5.3 领导力 | 公司有无建立信息安全方针和目标,分配信息安全小组的权责 | 有建立方针“积极防范、严密管理、快速响应,持续改进” 并制定了信息安全管理职责明细表,查有聚合平台研发部、运维部、综合办、信息安全小组成员等职责 | 符合 | |
| 6.2可实现的目标和计划 | 有无建立信息安全目标?建立执行方案? | 手册已规定了安全目标,商业秘密信息泄漏事故 0 次/年,顾客信息安全事件投诉 0次/年。并制订相应方案。 | 符合 | |
| 7.1 资源 | 组织建立体系的有哪些资源的支持 | 提供了设备,各种投入、组织架构等。 | 符合 | |
| 7.4 沟通 | 公司有无提供信息安全的资源及建立沟通渠道 | 建立了信息安全沟通程序。 | 符合 | |
| 9.1 监控、度量,分析和评价 | 针对信息安全绩效,建立哪些有效性测量指标? | 设备检测、风险指标等。 | 符合 | |
| 10.2持续改进 | 公司有无建立持续改进的程序.持续改进主要表现在在哪些方面? | 建立持续改进控制程序。 | 符合 | |
| A.5信息安全策略 | ||||
| A.5.1 信息安全的管理方向 | A.5.1.1 信息安全策略 信息安全策略集应由管理者定义、批准、发布并传达给员工和相关外部方。 | 信息安全方针: “积极防范、严密管理、快速响应,持续改进”。 见信息安全手册 | 符合 | |
| A.5.1.2信息安全策略的评审 信息安全策略应按计划的时间间隔或当重大变化发生时进行评审,以确保其持续的适宜性、充分性和有效性。 | 有制作内审管理程序及管理评审评审.首次运行 | 不适用 | ||
| A.6信息安全组织 | ||||
| A.6.1 内部组织 | A.6.1.1 信息安全角色和职责 所有的信息安全职责应予以定义和分配。 | 成立了信息安全委员会,有信息安全委员会章程 附件 信息安全管理职责 | 符合 | |
| A.6.1.2 职责分离 分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。 | 有规定总经办、综合等 | 符合 | ||
| A.6.1.3 与部门的联系 应保持与相关部门的适当联系。 | 建立了相关的联系方针 | 符合 | ||
| A.6.1.4 与特定利益集团的联系 应保持与特定利益集团、其他安全论坛和专业协会的适当联系。 | 有定义,有授权 | 符合 | ||
| A.6.2 移动设备和远程工作 | A.6.2.1 移动设备策略 应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。 | 通过授权 | 符合 | |
| A.6.2.2 远程工作 应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。 | 符合要求,通过与集团的VPN实现 | 符合 | ||
审核员签字: 李海清 时间:2018.7.11
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 | |
| 5.3 角色、职任和承诺 | 如何在本职范围内明确责任,特别信息安全管理方面的职务? | 通过岗位职责明确 | 符合 | |
| 6.1 处理风险和机遇的行动 | 6.1.1如何策划风险和机遇 6.1.2如何策划风险评估 6.1.3信息安全风险的处置 | 建立了《风险评估控制程序》 于信息安全委员赊在3月12日进行了风险评估。 | 符合 | |
| 6.2 可实现的信息安全和计划 | 如何建立安全管理目标和计划 | 在手册中有分析,有实现方案 | 符合 | |
| 7.2 能力 | 如何确保学习,是否建立了员工能力要求的相关程序 | 职务说明书的能力的要求。 | 符合 | |
| 7.3 意识 | 如何在进行信息安全意识的培训 | 通过培训,查6,7月的培训记录 有信息安全意识记录 | 符合 | |
| 7.5 文档信息化 | 如何进行文档和记录的控制? | 制订了文件控制程序 | 符合 | |
| A.7人力资源安全 | ||||
| A.7.1 任用之前 | A.7.1.1 审查 关于所有作用候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 | 见员工聘用管理程序,查有背景调查 | 符合 | |
| A.7.1.2任用条款和条件 与雇员和承包方人员的合同协议应声明他们和组织的信息安全职责。 | 员工有签订保密条款 | 符合 | ||
| A.7.2 任用中 | A.7.2.1 管理职责 管理者应要求所有雇员和承包方人员按照组织已建立的策略和规程对信息安全尽心尽力。 | 有员工信息安全培训记录 7.18 | 符合 | |
| A.7.2.2 信息安全意识、教育和培训 组织的所有雇员,适当时,包括承包方人员,应受到与其工作职能相关的适当的意识培训和组织策略及规程的定期更新培训。 | 有员工信息安全培训程序 在8月份有召开培训 | 符合 | ||
| A.7.2.3 纪律处理过程 应有一个正式的、已传达的纪律处理过程,来对信息安全违规的雇员采取措施。 | 有信息安全奖惩管理程序 | 符合 | ||
| A.7.3. 任用的终止或变更 | A.7.3.1 任用终止或变更职责 应定义信息安全职责和义务在任用终止或变更后保持有效的要求,并传达给雇员或承包方人员,予以执行。 | 见员工离职管理程序,员工有交接手续,确保离职前的资产归还。 | 符合 | |
| A.8资产管理 | ||||
| A.8.1 对资产负责 | A.8.1.1 资产清单 应识别与信息和信息处理设施的资产,编制并维护这些资产的清单 | 有资产清单 | 符合 | |
| A.8.1.2 资产所有权 清单中所维护的资产应分配所有权。 | 清单有所属的资产负责人。 | 符合 | ||
| A.8.1.3 资产的可接受使用 信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。 | 对资产的管理进行了规定,见信息安全风险管理程序 | 符合 | ||
| A.8.1.4. 资产的归还 所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 | 有规定,查员工离职交接记录 | 符合 | ||
| A.8.2 信息分类 | A.8.2.1 信息的分类 信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。 | 有规定 | 符合 | |
| A.8.2.2 信息的标记 应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。 | 总经办定期召开培训 | 符合 | ||
| A.8.2.3 信息的处理 应按照组织所采纳的信息分类机制建立和实施处理资产的规程。 | 有规定5个级别。 | 符合 | ||
| A.8.3 介质处置 | A.8.3.1 可移动介质的管理 应按照组织所采纳的分类机制实施可移动介质的管理规程。 | 有规定 | 符合 | |
| A.8.3.2 介质的处置 不再需要的介质,应使用正式的规程可靠并安全地处置。 | 项目部U盘不能使用。 | 符合 | ||
| A.8.3.3 物理介质传输 包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。 | 符合要求《介质管理程序》 | 符合 | ||
审核员签字: 黄钦松 时间:2018.7.12
| A.8资产管理 | |||
| A.8.1 对资产负责 | A.8.1.1 资产清单 应识别与信息和信息处理设施的资产,编制并维护这些资产的清单 | 有资产清单 | 符合 |
| A.8.1.2 资产所有权 清单中所维护的资产应分配所有权。 | 清单有所属的资产负责人。 | 符合 | |
| A.8.1.3 资产的可接受使用 信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。 | 对资产的管理进行了规定,见信息安全风险管理程序 | 符合 | |
| A.8.1.4. 资产的归还 所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 | 有规定,查员工离职交接记录 | 符合 | |
| A.8.2 信息分类 | A.8.2.1 信息的分类 信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。 | 有规定 | 符合 |
| A.8.2.2 信息的标记 应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。 | 总经办定期召开培训 | 符合 | |
| A.8.2.3 信息的处理 应按照组织所采纳的信息分类机制建立和实施处理资产的规程。 | 有规定5个级别。 | 符合 | |
| A.8.3 介质处置 | A.8.3.1 可移动介质的管理 应按照组织所采纳的分类机制实施可移动介质的管理规程。 | 有规定 | 符合 |
| A.8.3.2 介质的处置 不再需要的介质,应使用正式的规程可靠并安全地处置。 | 项目部U盘不能使用。 | 符合 | |
| A.8.3.3 物理介质传输 包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。 | 符合要求《介质管理程序》 | 符合 |
审核员签字:李海清 时间:2018.7.12
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 | |
| A6 信息安全组织 | 是否建立了信息安全委员会,IT人员参加了信息安全委员会吗? | IT人员参与 | ||
| A.8资产管理 | ||||
| A.8.1 对资产负责 | A.8.1.1 资产清单 应识别与信息和信息处理设施的资产,编制并维护这些资产的清单 | 有规定 | 符合 | |
| A.8.1.2 资产所有权 清单中所维护的资产应分配所有权。 | 有规定,新入职员工有背景调查 | 符合 | ||
| A.8.1.3 资产的可接受使用 信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。 | 针对项目资产有规定。 | 符合 | ||
| A.8.1.4. 资产的归还 所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 | 有规定,要求归还门禁卡 | 符合 | ||
| A.8.2 信息分类 | A.8.2.1 信息的分类 信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。 | 有规定 | 符合 | |
| A.8.2.2 信息的标记 应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。 | 总经办定期召开培训 | 符合 | ||
| A.8.2.3 信息的处理 应按照组织所采纳的信息分类机制建立和实施处理资产的规程。 | 有规定 | 符合 | ||
| A.8.3 介质处置 | A.8.3.1 可移动介质的管理 应按照组织所采纳的分类机制实施可移动介质的管理规程。 | 有规定 | 符合 | |
| A.8.3.2 介质的处置 不再需要的介质,应使用正式的规程可靠并安全地处置。 | 符合要求 | 符合 | ||
| A.8.3.3 物理介质传输 包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。 | 符合要求 | 符合 | ||
| A.9访问控制 | |||
| A.9.1 访问控制的业务要求 | A.9.1.1 访问控制策略 访问控制策略应建立、形成文件,并基于业务和信息安全要求进行评审。 | 本生产区有专门的保卫系统 | 符合 |
| A.9.1.2 网络和网络服务的访问 用户应仅能访问已获专门授权使用的网络和网络服务。 | 有规定,见用户访问管理程序规定的相关各级系统的应用权限要求 | 符合 | |
| A.9.2 用户访问管理 | A.9.2.1 用户注册及注销 应实施正式的用户注册及注销规程,使访问权限得以分配。 | 见《用户访问管理程序》 《计算程序管理程序》 | 符合 |
| A.9.2.2 用户访问开通 应实施正式的用户访问开通过程,以分配或撤销所有系统和服务所有用户类型的访问权限。 | 符合要求,门禁权限 于IT管理人员开通 | 符合 | |
| A.9.2.3 特殊访问权限管理 应和控制特殊访问权限的分配及使用。 | 符合要求,部分权限需要授权 | 不符合 | |
| A.9.2.4 用户秘密鉴别信息管理 应通过正式的管理过程控制秘密鉴别信息的分配。 | 符合要求 | 符合 | |
| A.9.2.5 用户访问权限的复查 资产所有者应定期复查用户的访问权限。 | 有效性检查,部分人员的权限会再次检查 | 符合 | |
| A.9.2.6 撤销或调整访问权限 所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销,或在变化时调整。 | 员工离职,IT人员清除用户的口令,对用户进行删除. | 符合 | |
| A.9.3 用户职责 | A.9.3.1 使用秘密鉴别信息 应要求用户在使用秘密鉴别信息时,遵循组织的实践。 | 符合要求 | 符合 |
| A.9.4 系统和应用访问控制 | A.9.4.1 信息访问控制 应依照访问控制策略对信息和应用系统功能的访问。 | 《计算机管理程序》 | 符合 |
| A.9.4.2 安全登录规程 在访问控制策略下,访问操作系统和应用应通过安全登录规程加以控制。 | 《计算机管理程序》对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。 | 符合 | |
| A.9.4.3 口令管理系统 口令管理系统应是交互式的,并应确保优质的口令。 | 测试部的用户口令,长度有11位。 | 符合 | |
| A.9.4.4 特殊权限使用工具软件的使用 对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以并严格控制。 | 依据《访问控制程序》,《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。 | 符合 | |
| A.9.4.5 对程序源代码的访问控制 应访问程序源代码 | 依据《访问控制程序》,《网络安全管理规定》对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。 | 符合 | |
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 |
| A.14系统获取、开发和维护 | |||
| A.14.1 信息系统的安全需求 | A.14.1.1 信息安全要求分析和说明 信息安全相关要求应包括新的信息系统要求或增强已有信息系统的要求 | 按《设计、开发管理与变更程序》进行项目评审. | 符合 |
| A.14.1.2 公共网络应用服务安全 应保护公共网络中的应用服务信息,以防止欺骗行为、合同纠纷、未授权泄露和修改。 | 《设计、开发管理与变更程序》、《 | 符合 | |
| A.14.1.3 保护应用服务交易 应保护涉及应用服务交易的信息,以防止不完整传送、错误路由、未授权消息变更、未授权泄露、未授权消息复制或重放。 | 不适用 | / | |
| A.14.2 开发和支持过程中的安全 | A.14.2.1 安全开发策略 应建立软件和系统开发规则,并应用于组织内的开发。 | 按《《设计、开发管理与变更程序》、 | 符合 |
| A.14.2.2 系统变更控制规程 应通过使用正式变更控制程序控制开发生命周期中的系统变更。 | 制订了变更控制程序 | 符合 | |
| A.14.2.3 运行平台变更后应用的技术评审 当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。 | 在开发时考虑平台的可用性,并做好测试及分布 | 符合 | |
| A.14.2.4 软件包变更的 应对软件包的修改进行劝阴,只限于必要的变更,且对所有的变更加以严格控制。 | 不同权限的软件包不一样。 | 符合 | |
| A.14.2.5 安全系统工程原则 应建立、记录和维护安全系统工程原则,并应用到任何信息系统实施工作。 | 查 “东方信腾电子档案管理”有评审资料,有立项可行性分析报告,初期项目计划,测试计划 | 符合 | |
| A.14.2.6 安全开发环境 组织应建立并适当保护系统开发和集成工作的安全开发环境,覆盖整个系统开发生命周期。 | “东方信腾电子档案管理”采用项目的方法,由总经办负责搭建平台 | 符合 | |
| A.14.2.7 外包开发 组织应管理和监视外包系统开发活动。 | 有财务软件的使用。 | 符合 | |
| A.14.2.8 系统安全测试 在开发过程中,应进行安全功能测试。 | 有测试报告 | 符合 | |
| A.14.2.9 系统验收测试 对于新建信息系统和新版本升级系统,应建立验收测试方案和相关准则。 | 按测试方案出测试报告,系统测试报告 | 符合 | |
| A.14.3 测试数据 | A.14.3.1 系统测试数据的保护 测试数据应认真地加以选择、保护和控制。 | 按研发数据风险控制及恢复措施. | 符合 |
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 |
| A.10密码学 | |||
| A.10.1 密码控制 | A.10.1.1 使用密码控制的策略 应开发和实施使用密码控制措施来保护信息的策略。 | 开发的软件会使用加密狗,且使用有批准的产品 | 符合 |
| A.10.1.2 密钥管理 宜开发和实施贯穿整个密钥生命周期的关于密钥使用、保护和生存期的策略。 | 符合要求,在开发成功,会采用密码调用策略 | 符合 | |
| A.17 业务连续性管理的信息安全方面 | |||
| A.17.1 信息安全连续性计划 | A.17.1.1 信息安全连续性计划 组织应确定不利情况下(例如,一个危机或危难时)信息安全的要求和信息安全管理连续性。 | 制订了 2018年业务连续计划 2 | 符合 |
| A.17.1.2 实施信息安全连续性计划 组织应建立、文件化、实施和维护过程、规程和控制措施,确保在负面情况下要求的信息安全连续性级别。 | 没有实施软件开发业务的业务连续性 | 不符合 | |
| A.17.1.3 验证、评审和评价信息安全连续性计划 组织应定期验证已制定和实施信息安全业务连续性计划的控制措施,以确保在负面情况下控制措施的及时性和有效性。 | 有验证 | 符合 | |
| A.17.2 冗余 | A.17.2.1 信息处理设施的可用性 信息处理设备应冗余部署,以满足高可用性需求。 | 查4月25记录。有巡查记录。 | 符合 |
审核员签字: 李海清 时间:2017.9.11
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 | |
| A.11物理和环境安全 | ||||
| A.11.1 安全区域 | A.11.1.1 物理安全周边 应定义安全周边和所保护的区域,包括敏感或关键的信息和信息处理设施的区域。 | 建立了安全区域管理程序 | 符合 | |
| A.11.1.2 物理入口控制 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。 | 保安对进行人员的控制, | 符合 | ||
| A.11.1.3 办公室、房间和设施的安全保护 为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。 | 针对办公室、房间有相关的保护措施,如灭火设备的配备. | 符合 | ||
| A.11.1.4 外部环境威胁的安全防护 为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。 | 灭火设备的配备,烟感系统 | 符合 | ||
| A.11.1.5 在安全区域工作 应设计和应用工作在安全区域的规程。 | 有规定《安全区域管理程序》 | 符合 | ||
| A.11.1.6 交接区安全 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 | 《安全区域管理程序》、《办公区机房管理制度》 | 符合 | ||
| A.11.2 设备 | A.11.2.1 设备安置和保护 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 | 《信息处理设施安装使用管理程序》中规定了设备的保护 | 符合 | |
| A.11.2.2 支持性设施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 | 《信息处理设施安装使用管理程序》 | 符合 | ||
| A.11.2.3 布缆安全 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。 | 信息处理设施安装使用管理程序 | 符合 | ||
| A.11.2.4 设备维护 设备应予以正确地维护,以确保其持续的可用性和完整性。 | 信息处理设施安装使用管理程序,IT人员旧电脑进行统一拆卸。 | 符合 | ||
| A.11.2.5 资产的移动 设备、信息或软件在授权之前不应带出组织场所。 | 信息处理设施安装使用管理程序。IT人员旧电脑进行统一拆卸,把硬盘统一收集交于总经办 | 符合 | ||
| A.11.2.6 组织场外设备和资产的安全 应对组织场所外的设备采取安全措施,要考虑工作在组织场所以外的不同风险。 | 信息处理设施安装使用管理程序 | 符合 | ||
| A.11.2.7 设备的安全处置或再利用 包含储存介质的设备的所有项目应进行验证,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。 | 总经办记录电脑报废单,批准后再进行统一处置。 | 符合 | ||
| A.11.2.8无人值守的设备 | 对扫描仪、PC机、笔记本,网络设施等在防护、处置、销毁、维护等管理活动中符合要求的情况 。 | 符合 | ||
| A.11.2.9桌面清空及清屏策略 | 查监控管理系统服务器 | 符合 | ||
| A.12操作安全 | |||
| A.12.1 文件操作规程和职责 | A.12.1.1 文件化的操作规程 操作规程应形成文件并对所有需要的用户可用。 | 符合要求,有文件控制程序,受控文件清单。 | 符合 |
| A.12.1.2 变更管理 对影响信息安全的组织、业务过程、信息处理设施和系统等的变更应加以控制。 | 制订《变更管理程序》编号 | 符合 | |
| A.12.1.3 容量管理 资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能。 | 符合要求 | 符合 | |
| A.12.1.4 开发、测试和运行环境分离 开发、测试和运行环境应分离,以减少未授权访问或改变运行环境的风险 | 符合要求,《设计、开发管理与变更程序》 | 符合 | |
| A.12.2 恶意软件防护 | A.12.2.1 控制恶意软件 应实施恶意软件的检测、预防和恢复的控制措施,以及适当的提高用户安全意识。 | IT统一安装,其他人无权限安装软件 | 符合 |
| A.12.3 备份 | A.12.3.1 信息备份 应按照已设的备份策略,定期备份和测试信息和软件 | 各部每周备份到规定的移动硬盘. | 符合 |
| A12.4 日志和监视 | A.12.4.1 事态记录 应产生记录用户活动、异常情况、故障和信息安全事态日志,并保持定期评审。 | 查CCTV管理日志,及部门电脑日志正常 | 符合 |
| A12.4.2日志信息的保护 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。 | 自动保存 3 个月 | 符合 | |
| A12.4.3 管理员和操作员日志 系统管理员和系统操作员的活动应记入日志,保护日志并定期评审。 | 查日志保护,符合要求. | 符合 | |
| A12.4.4 时钟同步 一个组织或安全域内的所有相关信息处理设施的时钟应使用一参考时间源进行同步。 | 符合要求 | 符合 | |
| A.12.5 运行软件的控制 | A.12.5.1 在运行系统上安装软件 应实施规程来控制在运行系统上安装软件。 | 经过测试,评审 | 符合 |
| A.12.6 技术脆弱性管理 | A.12.6.1技术脆弱性的控制 应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。 | 有分析 | 符合 |
| A.12.6.2 软件安装 应建立和实施软件安装的用户管理规则。 | IT 人员统一管理 | 符合 | |
| A.12.7 信息系统审计考虑 | A.12.7.1 信息系统审计控制措施 涉及对运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便使造成业务过程中断最小化。 | IT 人员统一管理OA系统 | 符合 |
| A.15 供应商关系 | |||
| A.15.1 供应商关系的信息安全 | A.15.1.1 供应商关系的信息安全策略 为减缓供应商访问组织资产带来的风险,应与供应商协商并记录相关信息安全要求。 | 见相关方管理程序 | 符合 |
| A.15.1.2 处理供应商协议的安全问题 应与每个可能访问、处理、存储组织信息、与组织进行通信或为组织提供IT基础设施组件的供应商建立并协商所有相关的信息安全要求。 | 见相关方管理程序 | 符合 | |
| A.15.1.3 信息和通信技术供应链 供应商协议应包括信息和通信技术服务以及产品供应链相关信息安全风险处理的要求。 | 有相关方管理程序 | 符合 | |
| A.15.2 供应商服务交付管理 | A.15.2.1 供应商服务的监视和评审 组织应定期监视、评审和审计供应商服务交付。 | 有定期评审相关方管理程序 | 符合 |
| A.15.2.2 供应商服务的变更管理 应管理供应商服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务信息、系统和涉及过程的关键程度及风险的再评估。 | 有相关方管理程序 | 符合 | |
审核员签字:萧炜珊 黄钦松 时间:2018.7.11
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 | |
| 8运行 | ||||
| 8.1 运行计划及控制 | 1.本部在工作实际中有哪些涉及信息安全?? 设立了信息安全 | 主要业务是对项目涉及的文档进行扫描,并交府扫描文件 | 符合 | |
| 2.有建立本部门的安全管理目标和计划 | 商业泄密事件为每年0次 | 符合 | ||
| 8.2 信息安全评估 | 本部如何开展风险评估?有风险评估的评价结果吧? | 参与了风险评估。有客户的高风险资产为高风险资产,已进行了识别并处理。 | 符合 | |
| 8.3 信息安全风险处置 | 本部有风险评估的处理处理情况如何?是否有残余风险? | 高风险资产已进行了处置。 | 符合 | |
| A.6信息安全组织 | ||||
| A.6.1 内部组织 | A.6.1.1 信息安全角色和职责 所有的信息安全职责应予以定义和分配。 | 成立了信息安全委员会,有信息安全委员会章程 附件 信息安全管理职责 | 符合 | |
| A.6.1.2 职责分离 分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。 | 有规定总经办、综合等 | 符合 | ||
| A.6.1.3 与部门的联系 应保持与相关部门的适当联系。 | 建立了相关的联系方针 | 符合 | ||
| A.6.1.4 与特定利益集团的联系 应保持与特定利益集团、其他安全论坛和专业协会的适当联系。 | 有定义,有授权 | 符合 | ||
| A.6.2 移动设备和远程工作 | A.6.2.1 移动设备策略 应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。 | 本部无移动设备 | 符合 | |
| A.6.2.2 远程工作 应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。 | 本部无远程工作 | 符合 | ||
| A.8资产管理 | ||||
| A.8.1 对资产负责 | A.8.1.1 资产清单 应识别与信息和信息处理设施的资产,编制并维护这些资产的清单 | 有资产清单 | 符合 | |
| A.8.1.2 资产所有权 清单中所维护的资产应分配所有权。 | 清单有所属的资产负责人。 | 符合 | ||
| A.8.1.3 资产的可接受使用 信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。 | 对资产的管理进行了规定,见信息安全风险管理程序 | 符合 | ||
| A.8.1.4. 资产的归还 所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 | 有规定,查员工离职交接记录 | 符合 | ||
| A.8.2 信息分类 | A.8.2.1 信息的分类 信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。 | 有规定,《》 | 符合 | |
| A.8.2.2 信息的标记 应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。 | 总经办定期召开培训 | 符合 | ||
| A.8.2.3 信息的处理 应按照组织所采纳的信息分类机制建立和实施处理资产的规程。 | 有规定5个级别。 | 符合 | ||
| A.8.3 介质处置 | A.8.3.1 可移动介质的管理 应按照组织所采纳的分类机制实施可移动介质的管理规程。 | 有规定 | 符合 | |
| A.8.3.2 介质的处置 不再需要的介质,应使用正式的规程可靠并安全地处置。 | 项目部U盘不能使用。 | 符合 | ||
| A.8.3.3 物理介质传输 包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。 | 符合要求《介质管理程序》 | 符合 | ||
| A.9访问控制 | |||
| A.9.1 访问控制的业务要求 | A.9.1.1 访问控制策略 访问控制策略应建立、形成文件,并基于业务和信息安全要求进行评审。 | 本生产区有专门的保卫系统 | 符合 |
| A.9.1.2 网络和网络服务的访问 用户应仅能访问已获专门授权使用的网络和网络服务。 | 有规定,见用户访问管理程序规定的相关各级系统的应用权限要求 | 符合 | |
| A.9.2 用户访问管理 | A.9.2.1 用户注册及注销 应实施正式的用户注册及注销规程,使访问权限得以分配。 | 见《用户访问管理程序》 《计算程序管理程序》 | 符合 |
| A.9.2.2 用户访问开通 应实施正式的用户访问开通过程,以分配或撤销所有系统和服务所有用户类型的访问权限。 | 符合要求,门禁权限 于IT管理人员开通 | 符合 | |
| A.9.2.3 特殊访问权限管理 应和控制特殊访问权限的分配及使用。 | 符合要求,部分权限需要授权 | 符合 | |
| A.9.2.4 用户秘密鉴别信息管理 应通过正式的管理过程控制秘密鉴别信息的分配。 | 符合要求 | 符合 | |
| A.9.2.5 用户访问权限的复查 资产所有者应定期复查用户的访问权限。 | 有效性检查,部分人员的权限会再次检查 | 符合 | |
| A.9.2.6 撤销或调整访问权限 所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销,或在变化时调整。 | 员工离职,IT人员清除用户的口令,对用户进行删除. | 符合 | |
| A.9.3 用户职责 | A.9.3.1 使用秘密鉴别信息 应要求用户在使用秘密鉴别信息时,遵循组织的实践。 | 符合要求 | 符合 |
| A.9.4 系统和应用访问控制 | A.9.4.1 信息访问控制 应依照访问控制策略对信息和应用系统功能的访问。 | 《计算机管理程序》 | 符合 |
| A.9.4.2 安全登录规程 在访问控制策略下,访问操作系统和应用应通过安全登录规程加以控制。 | 《计算机管理程序》的规定进行 | 符合 | |
| A.9.4.3 口令管理系统 口令管理系统应是交互式的,并应确保优质的口令。 | 《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。 。 | 符合 | |
| A.9.4.4 特殊权限使用工具软件的使用 对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以并严格控制。 | 依据《访问控制程序》,《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。 | 符合 | |
| A.9.4.5 对程序源代码的访问控制 应访问程序源代码 | 无 | 符合 | |
| 附录编号及名称 | 审核内容和方法 | 审核记录 | 判断 | |
| A.11物理和环境安全 | ||||
| A.11.1 安全区域 | A.11.1.1 物理安全周边 应定义安全周边和所保护的区域,包括敏感或关键的信息和信息处理设施的区域。 | 建立了安全区域管理程序 | 符合 | |
| A.11.1.2 物理入口控制 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。 | 保安对进行人员的控制, | 符合 | ||
| A.11.1.3 办公室、房间和设施的安全保护 为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。 | 针对办公室、房间有相关的保护措施,如灭火设备的配备. | 符合 | ||
| A.11.1.4 外部环境威胁的安全防护 为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。 | 灭火设备的配备,烟感系统 | 符合 | ||
| A.11.1.5 在安全区域工作 应设计和应用工作在安全区域的规程。 | 有规定《安全区域管理程序》 | 符合 | ||
| A.11.1.6 交接区安全 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 | 《安全区域管理程序》、《办公区机房管理制度》 | 符合 | ||
| A.11.2 设备 | A.11.2.1 设备安置和保护 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 | 《信息处理设施安装使用管理程序》中规定了设备的保护 | 符合 | |
| A.11.2.2 支持性设施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 | 《信息处理设施安装使用管理程序》 | 符合 | ||
| A.11.2.3 布缆安全 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。 | 信息处理设施安装使用管理程序 | 符合 | ||
| A.11.2.4 设备维护 设备应予以正确地维护,以确保其持续的可用性和完整性。 | 信息处理设施安装使用管理程序,IT人员旧电脑进行统一拆卸。 | 符合 | ||
| A.11.2.5 资产的移动 设备、信息或软件在授权之前不应带出组织场所。 | 信息处理设施安装使用管理程序。IT人员旧电脑进行统一拆卸,把硬盘统一收集交于总经办 | 符合 | ||
| A.11.2.6 组织场外设备和资产的安全 应对组织场所外的设备采取安全措施,要考虑工作在组织场所以外的不同风险。 | 信息处理设施安装使用管理程序 | 符合 | ||
| A.11.2.7 设备的安全处置或再利用 包含储存介质的设备的所有项目应进行验证,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。 | 总经办记录电脑报废单,批准后再进行统一处置。 | 符合 | ||
| A.11.2.8无人值守的设备 | 对扫描仪、PC机、笔记本,网络设施等在防护、处置、销毁、维护等管理活动中符合要求的情况 。 | 符合 | ||
| A.11.2.9桌面清空及清屏策略 | 符合要求 | 不符合 | ||
| A.17 业务连续性管理的信息安全方面 | |||
| A.17.1 信息安全连续性计划 | A.17.1.1 信息安全连续性计划 组织应确定不利情况下(例如,一个危机或危难时)信息安全的要求和信息安全管理连续性。 | 制订了 2015年业务连续计划 2015年8月3日 制订 | 符合 |
| A.17.1.2 实施信息安全连续性计划 组织应建立、文件化、实施和维护过程、规程和控制措施,确保在负面情况下要求的信息安全连续性级别。 | 有实施 | 符合 | |
| A.17.1.3 验证、评审和评价信息安全连续性计划 组织应定期验证已制定和实施信息安全业务连续性计划的控制措施,以确保在负面情况下控制措施的及时性和有效性。 | 有验证 | 符合 | |
| A.17.2 冗余 | A.17.2.1 信息处理设施的可用性 信息处理设备应冗余部署,以满足高可用性需求。 | 查8月25,9.27,9.29日记录。有巡查记录。 | 符合 |
| A.18 符合性 | |||
| A.18.1 符合法律和合同要求 | 1.《法律符合性管理规定》是否清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新; 检查有没有评审法律法规清单,有没有进行合规性评价? 2.是否按照《知识产权程序》要求,确保在使用与知识产权有关的材料和软件时符合法律法规和合同要求; 有没有授权软件清单? 3.是否按照法律法规、合同和业务要求,保护重要记录(如,财务记录、数据库记录、审核日志、操作程序等)免受损失、破坏或伪造篡改; 4.是否确保按适用的法律法规,适用时,还有合同条款的要求来保护数据和隐私; | 2015.9.4进行了法规评估,记 | 符合 |
| 符合 | |||
| 符合 | |||
| 符合 | |||
| 符合 | |||
| A.18.2 信息安全评审 | A.18.2.1 的信息安全评审 应定期或发生较大变更时对组织的信息安全处置和实施方法(即控制目标、控制、策略、过程和信息安全程序)进行评审。 | 有进行有效性r主u估 | 符合 |
| A.18.2.2 符合安全策略和标准 管理者应定期对所辖职责范围内的信息安全过程和规程评审,以确保符合相应的安全、标准及其他安全要求。 | 符合 | ||
| A.18.2.3 技术符合性评审 信息系统应被定期评审是否符合组织的信息安全和标准。 | 符合 | ||
| 10.改进 | 是否有不符合整改及持续改进项目? | 根据内审,管理评审。 | 符合 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
