《认证公司初审审核记录(行政 人力 财务 营销) 附机电项目复工审核意见(人员 行政).docx》由会员分享,可在线阅读,更多相关《认证公司初审审核记录(行政 人力 财务 营销) 附机电项目复工审核意见(人员 行政).docx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、审核记录受审核部门:经营管理部、人事行政部、财务部、营销部审核员:审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录不 符 合与公司体系管理有关的活动;文件、记录的管理、人力资源管理、内部审核、财务管理等;涉及条款:ISMS: 4.4、5.3、6.1、7.2、7.3、7.4、7. 5.2. 7. 5, 3、8、A7、A8、A9、All、A12、A13、A14. 1 A15、A16、 A17、 A185.3经营管理部主要负责与公司体系管理有关的活动,包括文件控制、记录控制、内部审核的组
2、织、管 理评审的组织和体系的改进等。人事行政部主要负责人员平安管理,包括人员聘用管理,保密协议签署,员工的能力、意识和培训, 员工离职管理等。财务部主要负责财务管理。经询问,三部门人员基本清楚信息平安要求。4. 4/6/8/A. 8公司于年月依据ISO/IEC 27001:2013的要求,结合公司的实际情况,在公司内部建立并运行信息安 全的管理体系,文件架构包括手册、程序文件、三级文件和记录。ISMS-A-01信息平安管理体系手册VI. 0, 2018. 04. 10发布、运行ISMS-A-02信息平安管理适用性声明VI. 0, 2018.04. 10发布、运行ISMS-B-XX 程序文件 V
3、I. 0, 2018. 04. 10 发布、运行公司统一进行了风险评估进行了信息资产分类:数据、硬件、软件、人员、服务等;建立了风险评估的方法和接受风险的准那么,公司进行风险识别、分析和评价,对风险处理选择的措 施进行了识别和评价,选择了风险的控制目标和控制措施,总经理对剩余风险进行了确认,ISMS的实 施和运行获得了陈福军的授权,编制了适用性声明。各部门参与进行了资产识别,查见资产识别与风险评估资料:提供:“ISMS-B-09-01D资产清单及重要资产清单”、“风险清单”等:数据资产包括:财务数据、申请资料、招聘需求表、代码、数据库备份等;硬件资产包括:服务器、台式机、笔记本电脑、打印机、防
4、火墙等;软件资产包括:操作系统软件、应用软件、财务软件、监控、杀毒软件等;人员:部门主管、工程经理、工程工程师、软件工程师等;审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:不检查表及审核记录符合查见连续性策略、连续性计划、应急处理预案(地震、火灾、重大设备事故、台风暴雨、停电)、合)智能系统 研发与运 维服务电力中断按照停电应急处 理预案处理3103022未 进 行年发生地震按照地震应急预 案处理361822总经理 /公司 高管未 进 行年施工现场 重大事故按照在线监测重 大设备事故、事件 处理
5、应急预案处 理3103022未 进 行年台风暴雨按照台风暴雨应 急预案处理563022总经理 /公司 高管未 进 行年发生火灾按照火灾应急预 案处理3103022总经理 /公司 高管B 演 练年系统集 成、安防 技术工程 与运维服 务电力中断按照停电应急处 理预案处理3103022未 进 行年发生地震按照地震应急预 案处理361822总经理 /公司 高管未 进 行年施工现场 重大事故按照在线监测重 大设备事故、事件 处理应急预案处 理3103022未 进 行年台风暴雨按照台风暴雨应 急预案处理563022总经理 /公司 高管未 进 行年发生火灾按照火灾应急预 案处理3103022总经理 /公司
6、 高管B 演 练年审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录演练计划、消防演练报告、连续性管理报告等。基本满足。A. 18符合性1)进行了信息平安法律法规的收集,并规定由行政部进行每年一次的符合性评价,提供2018年收 集的信息平安法规法规清单,有收集相关法律法规,其中包括中华人民共和国专利法、中华人民共 和国招投标法、网络平安法和信息平安等级保护管理方法等45项。进行了信息平安法律法规合规性评价,评价结果:均符合。3)公司运行的信息平安记录依照记录控制程序控制,识别法律法规
7、和客户要求保存的记录, 规定了记录的标识、保管、查阅和销毁。查员工档案、财务凭证、账簿、申报的社保公积金报表等记录 均以文件规定要求进行保管、存储及废弃。人力行政部负责保护员工的隐私和信息,对个人入职的身份证信息、个人信息等进行保密,由人事 负责打印封存于个人档案袋,存放于文件柜中,仅工程申报、招投标时,通过申请经部门领导批准后方 可借阅。财务部部负责保护公司财务相关的敏感信息。提供合规性评价报告评价时间:年6月10日评价组成员:评价组长:成 员:结论:各部门都能够有效遵循法律法规进行作业,未发生过信息泄露,损坏等事件,未有单位和个 人投拆。各部门的信息平安行为基本符合法律法规和环境要求。目前
8、公司进行了公司内部的内审、管理评审、日常检查等。公司结合公司内审和管理评审进行独立 评审。公司营业执照、组织机构代码等相关资质,有效。严格执行国家有关知识产权方面的法律法规,保证使用合法的正版软件。现场查看电脑未发现盗版软件。基本满足要求。A. 9. 3用户职责/ A. 9. 4信息访问限制/ A. 12. 2防范恶意软件/ A. 12. 3备份个人电脑抽查:岗位:经营管理部经理李笔记本系统:Win 7,开机帐户口令:,8位数字+字母,中强度口令。桌面快捷方式:腾讯QQ、office、0A等,物理及电脑桌面无与工作相关的敏感信息。屏保:3分钟,人走锁屏。杀毒软件:趋势防病毒网络版,由网管统一设
9、定查杀时间(每月第一个周五)及版本升级,未发现 严重威胁病毒库为最新版。手动查杀无异常。电脑容量:硬盘250G,分两个区,容量可用空间大于50%。查人事行政部吴台式机:审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录不 符 合Win7系统,系统管理员登陆账户,开机登陆口令是8位字母+数字口令;硬盘分为7个区,可用空 间50%以上;用友U8系统只能访问人力资源管理局部,登录密码8位字母数字组合。桌面快捷方式:office、趋势防病毒网络版、用友U8等,物理及电脑桌面无与工作相关的敏感
10、信 ,官、O屏保:1分钟,人走锁屏。杀毒软件:趋势防病毒网络版,由网管统一设定查杀时间(每月第一个周五)及版本升级,未发现严重 威胁,病毒库为最新版。手动查杀无异常。审核记录审核记录受审核部门:营销部接受审核人员及职务: 营销部经理陪同人员:审核人员:审核组长:检查表及审核记录与销售、采购相关的信息平安管理等;ISMS: 44、 53、 A6、 A8、 A9、 All、 A12、 A13、 A15、 A16不 符 合5.3组织角色、职责和权限/A. 6A. 6.1内部组织/5.31总经理任命闫永利为管理者代表,成立了信息平安小组,并规定了总经理、管理者代表、信息平安 小组以及各部门重要岗位的信
11、息平安职责和在信息平安体系中所承当的工作,包括了标准的要求及管理体 系改进绩效的要求;经座谈,各部门人员能够了解其在信息平安体系中所获得的权限和承当的责任;2)与公司员工及各相关方签订了保密协议公司与所有员工签打劳动合同,另与服务提供方如物业等签订保密协议3)建立了相关方信息平安联系名单,包括:姓名、单位、联系方式。外部专家:省、市信息平安专家等。营销部包括经理、业务员、内勤人员等。A. 6. 2移动设备和远程工作1)营销部部门人员办公使用台式机电脑、笔记本电脑、移动硬盘等,下班不允许带出公司。销售业 务员配备笔记本电脑,由公司统一安装业务介绍资料和演示等,无敏感资料。无远程工作。4. 4/A
12、. 8公司于年4月依据IS0/IEC 27001:2013的要求,结合公司的实际情况,在公司内部建立并运行信息安 全的管理体系,文件架构包括手册、程序文件、三级文件和记录。ISMS-A-01信息平安管理体系手册 VI. 0, 2018.04. 10发布、运行ISMS-A-02信息平安管理适用性声明VI. 0, 2018.04. 10发布、运行受审核部门:营销部接受审核人员及职务: 营销部经理陪同人员:审核人员:审核组长:检查表及审核记录ISMS-B-XX 程序文件 V1.0, 2018.04. 10 发布、运行公司统一进行了风险评估进行了信息资产分类:数据、硬件、软件、人员、服务等;建立了风险
13、评估的方法和接受风险的准那么,公司进行风险识别、分析和评价,对风险处理选择的措施 进行了识别和评价,选择了风险的控制目标和控制措施,总经理对剩余风险进行了确认,ISMS的实施和 运行获得了陈福军的授权,编制了适用性声明。各部门参与进行了资产识别,查见资产识别与风险评估资料:提供:“ISMS-B-09-01D资产清单及重要资产清单”、“风险清单”等:营销部信息资产包括:物理资产包括:台式机、笔记本、移动硬盘等;软件资产包括:操作系统软件、杀毒软件、QQ、office等;人员:部门主管、业务员、内勤等;数据资产:合同、客户信息等。公司建立了风险评估的方法和接受风险的准那么,资产分为文件和数据、硬件
14、、软件、人员、服务;进 行了资产的CIA赋值,有CIA赋值依据表;资产均有责任人,资产责任人均落实到部门和个人;公司进行了公司资产的威胁、脆弱性识别,提供了信息资产脆弱性和威胁表,实际是对各类资产的威 胁、脆弱性汇总;通过资产威胁与脆弱性识别形成资产的风险;提供有信息资产风险评估表,对公司的重要信息资产进行了资产风险识别评估,按风险进行了风险的 可能性、影响赋值,均能提供可能性及影响赋值依据;程序文件中规定了风险接受准那么,明确了重要资产判定标准,对重要资产实施有效控制。公司各类资 质申报材料和硬件设备等信息资产为经营管理部的重要信息资产;经过风险评估:公司风险总数:71项, 低级风险数:63
15、项,中级风险数:8项,高级风险数:。项。营销部存在4项中级风险;风险处理计划:2018. 05.20完成,主要控制措施是建立管理制度,实施具体技术及管理措施; 查见信息平安风险处理计划检查记录,进行了二次评估,通过风险处理后,重新评估,形成剩余风险值, 高中风险已有所减少,均降为低风险;召开了剩余风险确认会,由信息平安小组报告,信息平安管理办公室审批,确认不再进行进一步降低, 目前可接受;出示2018. 05. 20剩余风险评估报告, 信息平安管理小组, 结论:经评估认为, 全部信息平安风险均已降低为低风险。除了风险处置外,部门负责人参加了体系标准的培训,并进行了相关实施培训;公司的电脑、网络
16、设备等,已进行编号和密级标识;资产识别基本充分。公司面积1200多平方米,租赁,配备网络设备、会议室、工作人员、必要的办公设备、监控装置、 档案柜、保险柜等,资源基本满足。A. 8.3介质处置1)公司编制有ISMS-B-18介质及信息交换管理程序,介质由使用部门指定专人管理,营销部移 动硬盘由时*负责保管。审核记录受审核部门:营销部接受审核人员及职务:营销部经理陪同人员:审核人员:审核组长:检查表及审核记录2)查服务器资料备份,由IT部机房负责人保管。3)自体系运行以来未发生介质的报废或维修情况。A.9访问控制组织编制了ISMS-B-U用户访问管理程序,规定对公司网络、各应用系统的逻辑访问、物
17、理访问 控制。网络策略由公司统一布署,营销部按照公司策略执行。营销部通信和操作信息处理设备主要包括:台式计算机、 、打印机,自体系运行以来没有发生变 更;营销部员工使用个人台式计算机或笔记本电脑,每台电脑只有一个用户账号,分别接入公司网络,设 有共享文件和共享文件夹,分为全公司各部门都能访问的共享文件和按部门设置了访问权限的共享文件, 访问权限由IT部负责设置。不允许远程用户访问公司内网。目前部门使用的软件包括:趋势防病毒网络版、操作系统、Office、360解压软件等。Windows 7操作系统、0ffice2007办公软件为购买电脑时随机软件,其他软件为免费软件。本部门目前使用的办公软件系
18、统及信息设备能满足工作的需求,近期没有升级和更新的需求,对信息 系统的规划有公司网络管理员统一筹划。建立了程序文件要求员工对电脑安装杀毒软件和漏洞修复软件,并要求员工设置计算机登陆密码,密 码长度不低于8位,要求数字与字母结合,现场查看张*使用的计算机,桌面整洁,无敏感文件,安装了 趋势杀毒软件,并定期进行了扫描和修复,病毒库为最新版本,设置了屏保程度3分钟,离开时会进行锁 屏,重新登录时要求输入秘密,密码强度符合公司要求。查看用户账户,均使用唯一用户账户。营销部资料及合同扫描件在公司服务器进行备份,查看到服务器备份数据与现有部门资料一致,能够 满足备份的需求。纸质资料由资料员保管,有专用资料
19、室,钥匙由资料员保管。公司统一使用企业邮箱进行文件传递。网络管理员对网页等进行了限制,网络平安由公司网络管理员负责。A. 11物理与环境平安A. 11. 1平安区域部门对平安区域进行分类,识别了外部各方相关风险,制定了控制措施。营销部在山东省青岛市国际创新园A座8楼,为开放办公区,有进出口: 1个,设有门禁;楼梯:2个; 电梯:2个,楼梯间有物业统一安装消防栓、烟感喷淋系统等消防设施。办公楼入口有保安。门口和室内安装有监控摄像头,摄像头覆盖房间入口处。监控主机放在公司机房的机柜中,IT部负责管 理。公司印章上班时锁在办公桌抽屉内,下班后锁到文件柜中保存;现场查见文件柜和保险柜上锁。营销部办公区
20、域配备文件柜,用于存放敏感度低的文件,敏感文件保存在资料室,钥匙由资料员保管。 查见部门员工均配备了办公电脑和办公桌,有抽屉存放个人办公用品。营销部办公区域的清洁工作由员工自行负责;员工会管理好自己使用的电脑,下班时会关闭电源;线 路检修、断电物业会提前通知,断网由网管负责;办公区域内布线整齐、平安。营销部办公区域,不对外接待,公司有会议室用于对外接待,外来人员会由来访部门先负责接待填写 客户来访登记表,登记来访人员信息。营销部市场人员均配备有笔记本电脑,如需带出工作场所那么要求不能存有敏感信息;配备有移动硬盘 盘用于文件扫描件的保存,由时*保管,不允许带出公司。营销部主要有销售合同、客户资料
21、等;合同中含有平安控制措施、服务定义、交付水平和保密义务内 容。审核记录受审核部门:营销部接受审核人员及职务: 营销部经理陪同人员:审核人员:审核组长:检查表及审核记录营销部所用电脑、打印机、扫描仪等设备的维护由经营管理部负责联系设备的品牌供应商提供服务, 在提供服务期间经营管理部负责对维修人员进行登记管理。A. 11.2设备1)营销部电脑设置高强度登陆口令,部门人员电脑可以连接互联网;2)办公室使用的水、电由物业统一提供,弱电线采取线槽方式铺设,布线整齐,基本合理。3)营销部市场销售人员笔记本电脑允许带出公司,无敏感信息;4)公司电脑故障由网管负责维修。5)营销部没有无人值守的设备;6)营销
22、部员工个人办公桌物理和电脑桌面没有与工作相关的敏感信息。公司无场外设备,公司的设备及介质都由经营管理部统一管理。 报废介质的处置:未出现报废介质处置的情况。A. 13通信平安1)制定了 USMS-B-18介质及信息交换管理程序,规定了公司各部门及员工信息交换过程中的各项 要求;2)营销部对内主要使用 、企业邮箱、QQ、0A进行内部沟通,对外主要使用 、QQ、企业邮箱 进行沟通。营销部的通信和操作信息处理设备主要包括:台式计算机、笔记本、 、打印机,近期没有发生变 更;营销部内勤员工使用台式机,每台电脑只有一个用户账号,分别接入公司网络,没有远程用户访问的 情况,市场销售人员使用笔记本,不能远程
23、访问公司内网。营销部目前使用的办公软件系统及信息设备能满足工作的需求,近期没有升级和更新的需求,对信息 系统的规划有公司网络管理员统一筹划。建立了程序文件要求,由IT部网管对员工电脑统一安装杀毒软件和漏洞修复软件,并要求员工设置计 算机登陆密码,密码长度不低于8位,要求数字与字母结合,现场查看张*使用的计算机,桌面整洁,无 敏感文件,安装了趋势防病毒网络版,设置了定期自动扫描和修复,病毒库为最新版本,设置了屏保程度 3分钟,离开时会进行锁屏,重新登录时要求输入秘密,密码强度符合公司要求。查看用户账户,均使用 唯一用户账户。营销部数据、文件备份在公司服务器上,查看到服务器备份数据与现有部门资料一
24、致,能够满足备份 的需求。公司统一使用企业信箱,平时文件传递使用企业邮箱或者在线传输。 网络外网:目前采用Internet接入,光纤连接到外网,然后通过路由器分配IP地址再到交换机,通过无线网络 连接办公电脑。网络内网:目前使用无线网络,设定登陆密码。网络平安:路由器密码,只有总经理、网络管理人员知道,采用平安等级高的密码。路由器的无线连接方式限制没有授权非法工作站进行登录与黑客操作,PC端还装有杀毒软件与防火墙,有 效防止外网的直接攻击。审核记录受审核部门:营销部接受审核人员及职务: 营销部经理陪同人员:审核人员:审核组长:检查表及审核记录A15供应商关系涉及办公用品、研发配件等采购,签订供
25、销合同合同,约定各自责任义务;抽查:提供合格供方名录,抽查:1、供方:日照山川电子信息技术提供:电子标签2、宁波德晶元科技,提供:单相表瑞斯康载波模块抽查“供方评定记录”,栏目包括:供方名称、联系人、 、联系 、供应产品、供方提供 资料、体系情况、首次供货情况、小批量试用情况、批准等抽查上述供应商评价的审批意见:可列入合格供方名录,时间:2018. 06. 30公司采购信息包括“采购合同” “采购订单”等。根据库存和工程的需求签订采购合同等。上述合同中均包含知识产权和信息平安内容的条款等。A. 16信息平安事件管理1)公司制定有ISMS-B-20信息平安事故管理程序规定了信息平安管理小组负责信
26、息平安事件的 收集、响应、处置和调查处理。2)营销部员工能了解自己的信息平安责任和义务,能识别发生在本部门的信息平安事件,并及时上 报。3)自体系运行以来,营销部未发生相关信息平安事件。A. 9. 3用户职责/ A. 9. 4信息访问限制/ A. 12. 2防范恶意软件/ A. 12. 3备份个人电脑抽查:岗位:营销部张台式机系统:Win 7,开机帐户口令:8位数字+字母,中强度口令。桌面快捷方式:腾讯QQ、office. 0A、投标系统等,物理及电脑桌面无与工作相关的敏感信息。屏保:3分钟,人走锁屏。杀毒软件:趋势防病毒网络版,由网管统一设定查杀时间(每月第一个周五)及版本升级,未发现严 重
27、威胁,病毒库为最新版。手动查杀无异常。电脑容量:硬盘1T,分3个区,容量可用空间大于50%。资料备份于服务器,每周备份。机电养护工程返岗审核意见一、对于已返岗的9名人员,要做好以下防疫工作:L进场时进行体温测量和酒精消毒,并更换一次性医用外科口罩;2 .进场人员及时登记人员信息,包括姓名、性别、身份证号、抵达工程时间、返程途经(车次、航班) 以及中转信息、村镇(或医院证明)、有无湖北旅居人员接触史、体温测试等信息。3 .设置工程隔离区,明确专人管理。到岗人员自主隔离14天,隔离期满经医院诊断无异常者,那么可正常 上班。4 .员工上岗前,工程对员工进行进场平安教育和交底,推广采用网络线上培训交底
28、。5 .员工就餐时,延长供餐时间,分批取餐,分时取餐(不允许围餐),防止聚集取餐、就餐。工程为员工 配备个人盒饭,自用自洗自存。对隔离人员执行派餐制度,明确专人进行派送。6 .上班期间,全程佩戴口罩,合理调整座位,保证1米以上的距离,杜绝随意到其他办公室走动。办公 交流尽可能通过网络沟通工具,少开会、开短会,减少人员聚集。下班后,尽量减少外出,不允许到人员密 集的公共场所,如有特殊情况需外出时,必须严格执行请销假制度。7 .在施工现场和办公区设置体温监测点,对上下班人员进行体温检测,并做好登记。(体温超过37c的 人员,做好跟踪记录,如发现大于等于37.3C的人员,立即到工程所在地指定医院发热
29、门诊就诊)。二、对于未返岗的的人员1 .严格执行审批制度,将即将返岗人员计划表提前报公司审批(计划表包括姓名、性别、身份证号、家 庭住址、现所在地(精确到县区)、联系 、计划返岗时间、计划返程途经(车次、航班)、有无湖北旅居 人员接触史,体温测试时间及结果),待公司批复后再启程。2 .返程途中,全程佩戴口罩,防止用手触摸所经物品,及时洗手消毒,不要与陌生人交流。3 .返岗后,按照返岗的要求做好防疫工作。三、鉴于以上要求,建议工程在报复工计划时丁再细化如下内容:L完善返岗人员信息,具体应包括姓名、性别、身份证号、家庭住址、抵达工程时间、返程途经(车次、 航班)以及中转信息、村镇(或医院证明),有
30、无湖北旅居人员接触史、体温测试时间及结果(出行前3天 及出行路上的检测结果)。2.员工返岗后的隔离、培训、上下班、用餐等防疫措施。审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录服务:业务服务、网络服务、保障服务等。信息资产总数量:260;重要资产数量:164。公司建立了风险评估的方法和接受风险的准那么,资产分为文件和数据、硬件、软件、人员、服务; 进行了资产的CIA赋值,有CIA赋值依据表;资产均有责任人,资产责任人均落实到部门和个人; 公司进行了公司资产的威胁、脆弱性识别,提供
31、了信息资产脆弱性和威胁表,实际是对各类资产的威胁、 脆弱性汇总;通过资产威胁与脆弱性识别形成资产的风险;提供有信息资产风险评估表,对公司的重要信息资产进行了资产风险识别评估,按风险进行了风险的可 能性、影响赋值,均能提供可能性及影响赋值依据;程序文件中规定了风险接受准那么,明确了重要资产判定标准,对重要资产实施有效控制。公司各类 资质申报材料和硬件设备等信息资产为经营管理部的重要信息资产;经过风险评估:公司风险总数:71 项,低级风险数:63项,中级风险数:8项,高级风险数:0项。经营管理部、人事行政部、财务部存在4项中级风险;风险处理计划:05.20完成,主要控制措施是建立管理制度,实施具体
32、技术及管理措施; 查见信息平安风险处理计划检查记录,进行了二次评估,通过风险处理后,重新评估,形成剩余风险值, 高中风险已有所减少,均降为低风险;召开了剩余风险确认会,由信息平安小组报告,信息平安管理办公室审批,确认不再进行进一步降低, 目前可接受;出示05. 20剩余风险评估报告, 信息平安管理小组, 闫永利, 陈福军;结论: 经评估认为,全部信息平安风险均已降低为低风险。除了风险处置外,部门负责人参加了体系标准的培训,并进行了相关实施培训;公司的电脑、网络设备等,已进行编号和密级标识;资产识别基本充分。公司面积1200多平方米,租赁,配备网络设备、会议室、工作人员、必要的办公设备、监控装置
33、、 档案柜、保险柜等,资源基本满足。A. 8. 3介质处置1)公司编制有ISMS-B-18介质及信息交换管理程序,介质由使用部门指定专人管理。2)查服务器资料备份,由IT部机房负责人保管。3)自体系运行以来未发生介质的报废或维修情况。6.1 应对风险和机会的措施1)公司当前主要从事与电力监控配电自动化远程终端、集抄系统、电能计量仪表的设计、计算机 应用软件开发和计算机系统集成相关的信息平安管理(不含分支机构),基于公司长期开展的自身需要 及招投标需要,建立了信息平安管理体系;2)制定了ISMS-B-09信息资产管理程序、USMS-B-10风险评估管理程序,规定风险评估的流 程及资产管理要求,并
34、要求每年进行一次风险评估;公司于年4月10日至年5月20日实施了本年度的风险评估,针对与IT硬件及软件的运行维护服务相关的信息平安管理体系范围内与信息保密性、完整性和可用性损失有关的风险;审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录本次风险评估各部门首先识别本部门内信息资产,根据保密性、完整性和可用性赋值确定重要等级; 编制风险评估表对识别出的所有资产工程进行脆弱威胁性评估,对其所面临的风险进行识别,规定 在实施现有控制措施后风险值为36及以上的为不可接受风险,需进行处置以降低
35、风险等级;编制风险处置计划对不可接受风险制定了风险处置计划,明确了责任人,并拟定了重新评估时 间表;查见剩余风险评估报告,对不可接受风险处置后,进行了重新评估,均已降低为风险值36以下 可接受风险。制定了ISMS-B-12人力资源管理程序,OSMS-B-06能力、意识和培训控制程序。查看到年度培训计划,共10期(编制; );综合管理体系培训含GB/T22080-2016/ISO/IEC27001:2013标准、体系文件宣贯培训;(07.11) , 1 天,各部门相关员工参加,评价效果:有效。按人力资源管理程序规定了招聘、背景调查、聘用、培训等内容,签订劳动合同和员工保密 协议等。1、任职要求、
36、能力确实认企业招聘主要通过网络、校招等方式进行人员招聘二入职前会进行背景调查;到达录用条件后会对新入职人员进行公司管理制度以及信息平安管理体系的入职培训;入职后签订 劳动合同及保密协议,通过试用期后进行转正考核,考核通过后正式录用。提供有:个人基本信息、工 作经验、教育经历等信息。另外提供有身份证、学历证等复印件等。2、任职前招聘用人需求部门向人事行政部负责人发申请,由人力资源招聘经理在OA上发起流程,相关部门领导 同意后,方可完成招聘。目前按照工程实际需求和年度计划进行招聘,主要在网络招聘等途径发布信息。背景调查主要通过证件、证书等进行调查;对学历的调查,是在学信网上进行。3)劳动合同、保密
37、协议查本年度公司新入职员工合同,抽查从年8月27日入职,与公司签署了劳动合同和员工保密协 议书;查签署的保密协议,有具体保密内容和违约责任,保密期限要求乙方在职期间及离职后的任何时 候对本协议所述的秘密信息均有保密义务,直至保密信息依法进入公众领域为公众所知悉。4)入职培训对入职员工培训内容包括公司制度,业务流程等,其中包括遵守公司信息平安的规定,如个人计算 机使用的要求等。3、任职中审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录公司的信息平安管理制度大致分成2大局部:一局部是与
38、业务有关的规定;例如:开发人员或者 工程实施人员在现场要遵循甲方或本公司的平安要求;另一局部是公司办公区域内的,例如个人计算机 登陆口令必须是8位以上(数字+字符+符号)、屏保时间不大于5分钟等。在职教育、培训:查看到年度培训计划,共10期( 吴燕玲; 秦晓菲);综合管理体系培训含GB/T22080-2016/ISO/IEC27001:2013标准、体系文件宣贯培训;(07.11) , 1 天,各部门相关员工参加,评价效果:有效。4、离职1)离职流程员工提出离职申请,经部门领导和人事批准后,先在本部门办理交接工作、然后财务办理未结款项, 最后删除公司邮箱、0A账户、门禁权限、收回员工卡。2)撤
39、销访问权限的处理查离职员工,离职时间年7月19日,在公司0A上有财务、法务、人事批准同意和交接的记录。 有相关部门经办人签字。有交接人、接收人签字确认。现场查公司邮箱账户已经被管理员删除;0A账户已经删除;门禁卡权限已收11。7. 5存档信息1)目前公司文件分类如下:信息平安管理体系手册、程序文件、管理规范、记录表单,共4级文件,并制定信息平安目标;2)公司制定有信息平安管理体系文件,有标识和描述。查信息平安管理体系手册,文件编号:ISMS-A-01, 2018. 04. 10发布、运行,版本:VI. 0,生 效日期:2018. 04.10,编写:信息平安管理小组, 闫永利, 陈福军,手册包括
40、信息平安 方针和目标;信息平安管理适用性声明,文件ISMS-A-02,版本:VI. 0,生效日期:2018. 04. 10,编写:信 息平安管理小组, 闫永利, 陈福军,适用性申明删减:删减A. 、A. 14. 2.7;公司 的信息不涉及应用服务交易、外包开发控制,删减合理;3)查见制定信息平安管理程序文件21份:风险评估记录、内审、管审、业务连续性和法律法规符 合性相关记录;4)公司信息平安管理体系文件采用电子档格式于公司0A办公系统发布。5)公司于年度管理评审时,有对信息平安管理体系文件的适用性和充分性进行评,查2018. 08. 25 管理评审报告,公司目前体系运行正常,文件是适用和充分
41、的。存档信息的管理:1)查见公司编制了ISMS-B-O1文件控制程序,规定经营管理部负责文件的归口管理,信息平安 管理体系手册和适用性声明由总经理批准发布,经营管理部负责外来文件(法律法规、行业法规、客户 要求等)的管理;2)查见文件发放清单,对文件的发放范围进行了界定;并有接收部门接收人签收栏位,对一 级方针、二级程序、三级管理规范文件进行发放,各部门主管进行签收、有签收人签字记录和接收日期;审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录3)查见公司识别的外来文件主要为法律法规
42、文件;并提供ISMS-B-08法律法规清单,识别相关法律法规45个,均有合规性评价记录;4)文件修改:在文件实施过程中,各职能部门应及时收集不适宜之处,及时上报主编单位,由原 文件审批人决定是否进行更改。5)文件作废:文件作废时,由发文单位到持有文件的各部门、各单位和人员撤出作废文件,标示 后妥善保存或销毁,电子文件应在文件名后标注“作废”,防止作废文件的非预期使用。6)自体系运行以来未发生文件作废情况。7)编制有USMS-B-02记录控制程序规定经营管理部是记录控制的归口管理部门,负责记录的 管理和监督检查。8)提供了记录清单,查见与信息平安相关记录表单,包括了信息资产识别评价表、内审检查表
43、、 员工保密协议、法律法规清单等;抽查2份记录:内审计划,拟制: 李积峰 闫永利 陈福军 日期:信息平安风险评估报告, 信息平安管理小组,批准/总经理:陈福军,日期:2018年4月20 日,以上文件记录均能按记录表格设计进行填写,可追溯,能满足标准要求。5.3组织角色、职责和权限/A. 6A. 6.1内部组织/5.31总经理任命闫永利为管理者代表,成立了信息平安小组,并规定了总经理、管理者代表、信息安 全小组以及各部门重要岗位的信息平安职责和在信息平安体系中所承当的工作,包括了标准的要求及管 理体系改进绩效的要求;经座谈,各部门人员能够了解其在信息平安体系中所获得的权限和承当的责任;2)与公司
44、员工及各相关方签订了保密协议公司与所有员工签订劳动合同,另与服务提供方如物业等签订保密协议3)建立了相关方信息平安联系名单,包括:姓名、单位、联系方式。外部专家:省、市信息平安专家等。A. 6. 2移动设备和远程工作1)经营管理部、人事行政部、财务部 部门人员办公使用台式机电脑、笔记本电脑、U盘等,下班 不允许带出公司。A. 9访问控制组织编制了ISMS-B-U用户访问管理程序,规定对公司网络、各应用系统的逻辑访问、物理访 问控制。网络策略由公司统一布署,经营管理部、人事行政部、财务部按照公司策略执行。经营管理部、人事行政部、财务部通信和操作信息处理设备主要包括:台式计算机、 、打印机, 自体
45、系运行以来没有发生变更;经营管理部、人事行政部、财务部员工使用个人台式计算机或笔记本电 脑,每台电脑只有一个用户账号,分别接入公司网络,设有共享文件和共享文件夹,分为全公司各部门审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录都能访问的共享文件和按部门设置了访问权限的共享文件,访问权限由IT部负责设置。不允许远程用户 访问公司内网。目前部门使用的软件包括:趋势防病毒网络版、操作系统、Office、360解压软件等。Windows 7操作系统、0ffice2007办公软件为购买电脑时
46、随机软件,其他软件为免费软件。本部门目前使用的办公软件系统及信息设备能满足工作的需求,近期没有升级和更新的需求,对信 息系统的规划有公司网络管理员统一筹划。建立了程序文件要求员工对电脑安装杀毒软件和漏洞修复软件,并要求员工设置计算机登陆密码, 密码长度不低于8位,要求数字与字母结合,现场查看吴*使用的计算机,桌面整洁,无敏感文件,安 装了趋势杀毒软件,并定期进行了扫描和修复,病毒库为最新版本,设置了屏保程度3分钟,离开时会 进行锁屏,重新登录时要求输入秘密,密码强度符合公司要求。查看用户账户,均使用唯一用户账户。经营管理部、人事行政部、财务部资料在公司服务器进行备份,查看到服务器备份数据与现有部门 资料一致,能够满足备份的需求。公司统一使用企业邮箱进行文件传递。网络管理员对网页等进行了限制,网络平安由公司网络管理 员负责。A. 11物理与环境平安A. 11. 1平安区域部门对平安区域进行分类,识别了外部各方相关风险,制定了控制措施。经