《智能管控事业部审核记录与智能照明事业部审核要点.docx》由会员分享,可在线阅读,更多相关《智能管控事业部审核记录与智能照明事业部审核要点.docx(79页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、审核员袁慧受审部门智能照明部审核日期审核标准审核要点审核判定4.4ISMS组织应按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。符合7支持7.1资源组织应确定并提供信息安全管理体系的建立,实施,维护和持续改进所需的资源。符合7.2能力组织应:a)确定员工在ISMS管控下工作的必备能力,这会影响到组织的信息安全绩效;b)确保这些人在适当的教育,培训或取得经验后是能胜任的;c)在适当情况下,采取行动以获得必要的能力,并评估所采取行动的有效性;d)保存适当的文档化信息作为证据。符合7.3意识作为组织工作的人员应了解a)信息安全方针b)他们对信息安全管理体系有效性的贡献,包括提高信息安全
2、绩效的收益; c)不符合信息安全管理体系所带来的影响。符合7.4沟通组织应确定信息安全管理体系中内部和外部相关的沟通需求:a)沟通什么b)何时沟通C)和谁沟通d)谁应该沟通e)怎样的沟通过程是有效的。符合7.5文档 化信息总那么组织的信息安全管理体系应该包括:a)本国际标准所需的文档化信息;b)记录信息系统安全管理体系有效性必要的文档化信息。符合创立和更新当创立和更新文档化信息时,组织应确保适当的:a)识别和描述b)格式c)适当和足够的审查和标准符合A.17.2 冗 余信息处理设施 的可用性公司的信息处理设备应实现冗余部署。满足高可用性的要求。符合A.18符合性符合A.18.1 信 息安全评
3、审信息安全的独 立审查为验证信息安全管理体系实施的有效性及符合性,公司定期进行内部审核,审核需要客观公正性。符合信息安全政策和标准确保体系有效实施,定期评审是必须的。符合技术符合性检 杳为验证信息系统保符合安全技术标准,必要的技术评审是需要的。符合A.18.1 信 息安全审查识别使用的法律和合同的要求为遵守适用的相关法律法规和合同,应对其进行识别并将其要求文件化。符合A.18.2.2 知识产权 (IPR)软件的使用与复制涉及知识产权问题(软件著作权),应使用正版软件。符合文档化信息的 保护记录的保持应符合法律法规耍求。符合隐私和个人信 息的保护应按国家有关法规或规章对员工的个人档案、养老基金帐
4、户等数据或信息进行管理与保护。符合密码控制措施 的监管使用密码控制时,应确保遵守相关的协议、法律法规符合审核记录受审核部门:智能管控事业部审核员:()审核记录涉及部门及接受审核人员及职务:倪力(需求开发)(工程经理)陪同人员:标准条款审核内容记录要求审核发现不符合4.4信息安全管理体系可以与领导层交流ISMS建立、运行 的基本情况:如建立体系的背景、时 间、方法,公司实现了哪些新的控制, 以及缺乏点等,为审核组有效审核提 供基础。建议:与4.1条款一起进行交流环保科技成立于年月,可为企事业单位提供污染治理设施 智慧运营、自动连续监测(水、气)系统智慧运营、环保监测系统 集成、环保政策解读、环保
5、核查、环保验收、环境应急预案编制、 污染物治理工程建设、环保技术研发等一站式综合环保管家服务和 绿色智能环保设备研发、制造及销售等。编制了信息安全相关的体系文件,.09.24首次发布体系文 件,.10. 08实施,运行时间不长。5.3组织的角色,责任和 权限询问领导层信息安全主责部门是哪 个部门,谁是信息安全管理绩效责任 人,如何汇报管理绩效,包括询问谁 是风险责任人,最高管理者如何获取 风险评估的结果。可能的证据:信息安全职责分配表或 文件化说明。信息安全主管部门信息安全小组,包括:内审小组、管理评审组长、 管理评审小组、风险评估小组、实施小组信息安全及IT服务管理体系的体系角色职责明细表描
6、述了管 理层、管理委员会、管理者代表、内审组长、内审小组、管理评审 组长、管理评审小组、风险评估小组、实施小组职责信息安全职责明细表描述了总经理、智能管控事业部、运营部(环保管家事业部)、知 客融荣事业部、办公室/采购部、知识经营部职责总经理是信息安全第一责任人。总经理以风险评估结果作为管理评审依据智能管控事业部负责公司应用软件研发及运维服务;有10多名开 发人员,按照产品线分成开发组,人员包括部门经理,工程经理、 开发人员、测试人员、软件运维人员等。6.1应对风险和机会的 措施6.1规划是ISMS标准的核心章节,实 际上是对信息安全风险管理筹划。在 审核过程关注两个层面问题:1)标准6. 1
7、.1规划总那么要求重点在 于与领导层的交流,从总体了解风险 评估的过程和结果,结果是否与预期 一致。信息安全风险评估和处置过程 中是否满足4.1和4.2要求,如何将 这些要求融入到信息安全风险管控 过程的,如何控制对意外风险的影 响,有哪些应急措施。针对标准附录 而言风险控制有无删减和增加,如何 评价控制的有效性。2)信息安全风险评估和处置过程审 核,重点审核风险责任人或信息安全 风险主责部门,通常会是信息安全小 组或管理机构,通过了解信息安全风 险的评估和处置过程,对照标准的 6.1. 2和61. 3要求,判断其符合性和 有效性,重点审核以下内容:A)检查信息安全风险管理程序中制信息安全及I
8、T服务管理手册中6.1描述了对信息安全分析的 管理筹划,包括处理分析的机遇删减条款:A14.L3应用服务事务的保护、外包开发,理 由:目前公司不存在应用服务事务、软件开发外包的情况,删减适 宜、合理。总经理为风险责任人对设备、人员等进行,风险识别一风险评价一对照风险接受准那么 进行分析一风险控制的选择。对不可接受的风险制定风险处置计划,并要求风险责任人批准一 剩余风险报告。S:信息安全风险评估计划内容包括目的、评估时间、评估小组成员。范围、评估依据 日期:风险评估方案风险评估准备一资产识别、威胁识别、脆弱性识别一一已有安全措 施确实认一一风险计算一一是否接受风险判断一一实施风险处置定的信息安全
9、风险管控流程是否满 足标准的要求,这是过程审核中文审 的延续,信息安全风险管理程序中制 定流程应该满足标注要求(可以参考 IS031000):从风险识别一 风险评价一对照风 险接受准那么进行分析一 风险控制的 选择(SOA文件)对不可接受的风险 制定风险处置计划,并要求风险责任 人批准一剩余风险报告,在剩余风 险报告中因包含处置后的信息安全 风险状况,为了检测处置计划中的控 制有效性,需要对处置后的风险实现 二次风险评估,从而得出对剩余风险 的接受或不接受继续处置;B)在确认上述信息安全风险管控流 程满足标准的要求后,查阅受审核方 按照信息安全风险管理程序实现结 果,及查阅相关记录,计划并评估
10、剩余风险一一实施风险管理资产分为数据资产、软件、物理资产、文档、服务、人员等类型资产机密性赋很高、高、中等、低、很低资产完整性赋很高、高、中等、低、很低资产可用性赋值资产重要性等级威胁分类软硬件故障、物理环境影响、无作为或操作失误、管理 不到位恶意代码和病毒、越权或滥用风险处置计划笔记本电脑、台式电脑、服务器、程序文件和安装包、帐户与口令 管理、技术工程师、各部门文档数据、销售资料(客户资料、工程 文档、方案)信息安全风险评估报告实施日期:.09.24-. 10.08资产识别,完成资产清单.10.09.10.15风险识别,完成风险评估报告风险评估及处置.10.25剩余风险评估及处置识别出的重要
11、信息资产共计66项,包括硬件、文档、数据、软件、 人员、服务、其他等风险分析信息安全剩余风险确认申明剩余风险评估日期:.09.24-. 10.08资产识别、风险评估.10.15之前完成风险评估报告.10.25之前完成剩余风险评估报告一、评估方法综述:对实施的控制措施有效性进行赋值,然后和风险评估时得出的 影响值和可能性进行计算,得出剩余风险的值,从而得出剩余风险 等级。二、剩余风险评估结果统计根据信息安全剩余风险评估表统计如下:风险总数:66项,低级风险数:55项,中级风险数:11项, 高级风险数:0项。风险处置数:55项,处置有效数:55项,剩余风险:。项。对风险管理进行了规划,和对风险实施
12、结果进行了确认。8. 1运行规划和控制与领导层交流以下三点内容:1)体系文件的文件化信息能否满足 实际需要,是否实现文件化信息的详 略强度,与组织实现的信息安全风险 控制要求相适应;编制有风险评估管理程序信息资产管理程序有审核和总经理张永顺批准。. 9实施2)有无变更,体系的变更、控制的 变更等,有无非技术内的变更,如有, 如有如何进行的评审;3)外包过程的控制。本部门的经理和运维组负责人参加了信息安全小组的工作,具体负 责本部门信息安全风险的管理8.2信息安全风险评估8.2和8.3有两个层面的要求:1)公司层面需要按照6. 1.2实现风 险评估和处置,并保存记录;另外在 信息安全风险管理程序
13、中要明确信 息安全风险评估的时间间隔,以及在 什么情况下重新进行风险评估;2)这两个条款通常在部门实施审核, 主要审核各个部门的信息安全风险 评估和处置,按照公司的制定风险管 理程序规划是如何执行的,重点审核 部门或业务过程的信息安全风险评 估和处置过程。部门信息安全风险评 估和处置记录,可能是独立的,也可 能汇总在公司的信息安全风险评估 和处置记录中,对部门的信息安全风 险评估的审核,其重点是审核部门或 业务过程的信息安全风险识别是否 齐全,控制是否有效。可能的证据:风险评估表,接受准那么。 适用时:风险处置计划,剩余风险报各个部门参与了信息安全风险评估信息安全小组由各部门负责人组成。查:U
14、SMS-B-12-01D信息安全风险评估计划内容包括目的、评估时间、评估小组成员()范围、评估依据 日期:.09.24风险评估方案风险评估准备一资产识别、威胁识别、脆弱性识别一一已有安全措 施确实认一一风险计算一一是否接受风险判断一一实施风险处置 计划并评估剩余风险实施风险管理资产分为数据资产、软件、物理资产、文档、服务、人员等类型资产机密性赋很高、高、中等、低、很低资产完整性赋很高、高、中等、低、很低资产可用性赋值告。资产重要性等级威胁分类软硬件故障、物理环境影响、无作为或操作失误、管理 不到位恶意代码和病毒、越权或滥用风险处置计划笔记本电脑、台式电脑、服务器、程序文件和安装包、帐户与口令
15、管理、技术工程师、各部门文档数据、销售资料(客户资料、工程 文档、方案)信息安全风险评估报告实施日期:.09.24-. 10.08资产识别,完成资产清单风险识别,完成风险评估报告风险评估及处置.10.25剩余风险评估及处置识别出的重要信息资产共计66项,包括硬件、文档、数据、软件、 人员、服务、其他等风险分析信息安全剩余风险确认申明剩余风险评估日期:.09.24-, 10.08资产识别、风险评估.10.15之前完成风险评估报告.10.25之前完成剩余风险评估报告三、评估方法综述:对实施的控制措施有效性进行赋值,然后和风险评估时得出的 影响值和可能性进行计算,得出剩余风险的值,从而得出剩余风险
16、等级。四、剩余风险评估结果统计根据信息安全剩余风险评估表统计如下:风险总数:66项,低级风险数:55项,中级风险数:11项, 高级风险数:0项。风险处置数:55项,处置有效数:55项,剩余风险:0项。对风险管理进行了规划,和对风险实施结果进行了确认。ISMS补充 审核补充审核可在补充审核的具体过程中予以记 录,请在此处做出说明无附 录A10. 1.1使用密码控制的策 略是否制定密码控制文档?(是否开发 和实现以密码学控制方法来保护信 息的策略?)制定了ISMS-B-16密码管理程序密码管理策略:1、所有个人计算机、服务器、软硬件系统等的活动账号的 用户鉴别信息在可行时都必须使用账号密码以鉴别其
17、身 份;2、可行时,应对登录不成功进行记录,并连续不成功一定 次数后对账号进行锁定;3、登录成功时,尽可能显示上一次登录的日期和时间;4、账号密码长度必须至少要含有6位字符,管理员密码至 少要含有8个字符,管理员密码必须同时含有大写字母、 小写字母、数字、特殊字中的其中三利普通账号密码至 少包含其中的两种;5、密码不能和用户名或登录名相同;6、密码不能采用姓名、 号码、生日等容易猜想的口令, 不能用连续的数字或字母群;7、密码必须是保密的,不能共享、含在程序中或写在纸上;8、密码不能以明文形式保存在任何电子介质中;9、用户应该在不同的系统中使用不同的密码;10、任何时候有迹象说明系统或密码可能
18、受到损害,就要 更换密码;11、一般用户密码至少60天变更一次,特权用户密码至少 每月变更一次;对于用户密码的变更会影响应用程序运行 的情况,该用户的密码可以在适当的时机予以变更。12、所有密码应妥善保存,不要共享个人用户密码;13、使用者第一次使用密码时,必须立即更改初始密码; 对密码的分配与传递、储存、使用、变更、销毁明确了要 求。附 录密钥管理1为了支持组织使用密码技术,是否 有相应的密钥管理系统?(是否有密 钥管理以支持组织使用密码技术?)2是否在业务执行过程中,使用密钥 进行过程控制和管理?制定了ISMS-B-16密码管理程序密钥管理主要应用在公司的服务器,由系统管理员负责对 密钥的
19、管理,其它管理员禁止使用。附 录All. 1.1物理安全周边安防设施、门禁系统、监控设施等是 否建立。(是否使用安全边界(诸如 墙、卡控制的入口或有人管理的接待 台等屏障)来保护包含信息和信息处公司位于省市高新区街道路号行政前台,办公楼大门有门禁,公司领导、财务部均有独立办公室。 办公面积:2800平方米,进出口: 1个;楼梯:2个;电梯:1个 公司大门有监控,办公区域有监控,监控由公司网管进行查看和管理设施的区域?)理。共有监控19个。1)物理区域周界及入口控制公司的入口大门有保安24小时值守;智能管控事业部都在开放 办公区,没有建立独立的出入口;2)监控系统智能管控事业部的办公区的视频监控
20、由办公室负责管理,需要 时可以调阅公司范围内的视频监控图像;3)环境设施(消防设施空调设施)智能管控事业部的办公环境下的消防系统和空调设施都是办公 室负责管理,现场巡视有灭火器、消防栓,抽查一组灭火器,压力 在绿区,有合格证书;办公区的空调是柜机空调,由办公室负责管理;4)工位设置与保护公司的各部门的办公区分布在办公楼,智能管控事业部的办公 区在四楼东侧大厅门右侧办公区,每个工位都是独立,有个隔板保 护;并且在工位上的计算机屏幕都背向走廊;5)安全区域工作的制度(安全区域是公司制定,有别于办公区,通常 会有特别的管理制度,如机房)智能管控事业部没有设置安全工作区,机房由运营部管理;6)公共安全
21、区控制研发部没有建立公共接待区;如有需要,申请使用公司会议室附 录All. 1.2物理入口控制电子门卡的访问权限是否做出明确 规定;(安全区域是否由适合的入口 控制所保护,以确保只有授权的人员见附录All. 1. 1审核记录文档 化信息的控制信息安全管理体系与本国际标准要求的文档化信息应被管理,以确保:a)当文档化信息被需要时是可用且适用的;b)得到充分的保护(例如保密性丧失,使用不当,完整性丧失)。对文档化信息的控制,组织应制定一下活动(如适用):c)分配,访问,检索和使用d)存储和保存,包括易读性的保存e)变更管理(例如版本控制)f)保存和处置组织信息安全管理体系的规划和运作必要的外来文档
22、化信息,应被适当识别和管理符合9.2内部审核组织应在计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否:a)符合1 .组织自身信息安全管理体系的耍求2 .本标准的要求b)得到有效的实施和保持组织应c)规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报告。评审方案应考虑关注 过程的重要性以及以往审核的结果;d)为每次审核定义审核准那么和审核范围;e)审核员的选择和审核的实施应确保审核过程的客观性和公正性;f)确保审核结果报告给相关的管理者;g)保存文件记录信息作为审核方案和审核结果的证据。符合A.5信息安全策略符合信息 安全管理 方向信息安全策略信息安全管理实施的需要
23、。符合信息安全策略的 评巾确保方针持续的适宜性、充分性和有效性。符合A.6信息安全组织符合才允许访问?)附 录All. 1.3办公室、房间和设施 的安全保护办公区域的物理安全措施是否进行 了规划并加以应用?(是否为办公 室、房间和设施设计并应用物理安 全?)见附录AIL 1.1审核记录附 录All. 1.4外部和环境威胁的 安全防护对由于自然灾害(如火灾、洪水、地 震等)和其他形式的自然灾害或人为 灾难引起的损失,组织是否规划与应 用了物理保护措施?(为防止火灾、 洪水、地震、爆炸、社会动乱和其他 形式的自然或人为灾难引起的破坏, 是否设计和应用物理保护?)见附录All. 1.1审核记录附 录
24、All. 1.5在安全区域工作安全区域工作的物理保护措施是否 进行了规划并加以应用?(是否为在 安全区域工作设计和应用物理保护 和指南?)见附录All. 1. 1审核记录附 录All. 1.6交接区安全为了防止未授权访问,组织是否进行 了规定?交接区是否与信息处理设 施隔离?(访问点(例如交接区)和 未授权人员可进入办公场所的其他 点是否加以控制,如果可能,要与信 息处理设施隔离,以防止未授权访 问?)见附录All. 1.1审核记录附 录All. 2.1设备安置和保护信息设施是否安置在安全区域内? 对于处理敏感数据及信息的处理设 施,是否在可限制观测的地位?智能管控事业部位于四楼办公大厅,每个
25、员工有办公位,电脑屏幕 均不面对走廊。附 录All. 2.2支持性设施由于支持性设施的失效而引起的电 源故障和其它中断方面,设备是否有 所防范?(是否保护设备以防止由于 支持性设施的失效而引起电源故障 和其他破坏?)每个楼层安装有消防栓。每个楼层及档案室等配有灭火器。办公场 所装有空调附 录All. 2.3布缆安全1电源和传输数据及信息的通信电缆 是否防范被拦截或损坏?(电源和运 载数据或支持信息服务的电信布缆 是否免受窃听或损坏?)电源线和网线分别走线,通过房顶走线、墙面到办公工位。大多员 工使用有线网络,局域网配置。附 录All. 2.4设备维护1设备维护是否只有授权人员执 行?设备维护是
26、否按照说明书和组 织规定要求进行正确维护?2设备的维护记录是否保存?(设备 是否予以正确地维护,以确保它的连 续的可用性和完整性?)设备由运营部网管专人负责。办公计算机统一安装有win7、WINDOWS 10操作系统。 通过WINDOWS DEFENCE、360系统抵御病毒的攻击。采用局域网内部推送方式,统一进行系统补丁升级。在微软推出新补丁后6个月进行补丁升级。统一安装办公软件,和办公所需的软件。附 录All. 2. 5资产的移动对于组织场所外的设备,是否考虑了 不同风险,而求取防范措施?(是否 对离开办公场所的设备应用安全,要 考虑工作在组织办公地点以外的不资产软件开发过程中使用的信息安全
27、策略:口令安全:禁止root用户远程访问,内部由网管分配用户名,密码定期更换用户安全:采用多重身份认证帮助保护对数据和应用程序的访问,同的风险?)即使攻击者设法得到用户的密码,如果没有同时占有可信设备也没 有用处。网络安全:通过防火墙设置安全规那么,只对外开放提供服务的端口. 备份策略:设置备份策略,每天定时备份,备份保存时间20天 设置访问权限:系统通过设定权限条件,赋予用户一定的访问权利 和限制,用户只可以访问权限范围内的相应资源,这样便会尽量将 非法访问排除在网络之外,增强了网络信息的安全性。保密原那么:工程重要文件和相关数据安排专人负责。基础环境管理:采用云服务器,防止本地不可抗力对系
28、统的影响。 工程人员的信息安全管理:工程人员已经签订保密协议,对工程相 关资料,设备配置、设备参数、网络配置等与此工程相关资料均需 保密工程资料管理要求:由专人保管,保存在资料室的文件柜内,上锁; 资料借阅有登记。工程资料备份要求:由专人管理,当有文档资料有变动时,备份在 本地硬盘。移动设备安全管理要求:备份磁盘,笔记本等设备工程人员需携带 外出时,需经管理人员批准。附 录All. 2. 6组织场外设备和资 产的安全当属于组织信息资产带出组织场所 外,是否获得管理者授权或办理必要 的手续?(设备、信息或软件在授权 之前是否可带出办公场所?)办公通常配备有台式计算机,笔记本计算机带出办公区域,主
29、要依靠WINDOW 10自带防护软件防护通过配置TFS使用具有SSL的HTTPS访问服务器,增强安全性, 各模块间除公用数据外,其余数据独立,模块间通过WCF通信。附录设备的安全处置或对于含有任何敏感信息和许可软件 的储存介质,是否进行安全的销毁或 安全覆盖后再利用?(包含储存介质All. 2.7再利用的设备的所有工程是否进行检查,以 确保在销毁之前,任何敏感信息和注 册软件已被删除或安全重写?)离职人员使用的计算机,通常由研发部网管进行资料备份,计算机 格式化。销毁方式一般分为一般格式化、低级格式化、粉碎; 对无敏感信息的介质作一般格式化即可,在保证质量的基 础上重新分配和使用;保存有敏感信
30、息的存储介质应当得到安全的存放和处置。对于含有敏感信息的介质应采用低级格式化,再进行粉碎; 处置措施可以是:1软盘:文件删除后,采用低级格式化,再进行粉碎;2硬盘:文件先做删除,低级格式化,粉碎报废。循环使用 的硬盘,低级格式化后,拷入大量数据,覆盖无用信息后, 高级格式化,再使用;3光盘:一次性光盘,粉碎。可擦写光盘,格式化后再使用;4可擦写芯片:删除文件,粉碎;5其它:删除文件,可行时粉碎;有离职人员使用的台式计算机存放在公司机房中。离职人员:.2. 1离职办理了员工离职手续通知,有纸质文件进行离职手续在各个部门的 办理,包括交回办公用品、注销邮箱等。离职人员离职工作交接登记表移交情况本部
31、门、财务进行了交接确认公司负责人 签字确认。附 录AIL 2.8无人值守的用户设 备组织是否知道保护无人值守的用户 设施的职责和规定要求?(是否要求 用户确保无人值守的用户设备有适 当的保护?)机房设备由运营部网管人员进行管理。设定了自动备份等信息。智能管控事业部没有无人值守的用户设备附 录All. 2.9清空桌面和屏幕策 略1为了防止敏感或关键业务信息受 到未授权的访问、丧失或损坏,组织 是否制定了清洁桌面和屏保文档?2组织要是否求员工离开座位时,相 关信息文档和可移动存储介质不能 留在桌面上,并注销计算机或锁屏? (是否采用文件、可移动储存介质的 清空桌面策略和信息处理设施的清 空屏幕策略
32、?)查:智能管控事业部工程经理张*使用笔记本计算机安装有WINDOWS 10系统办公工位桌面和笔记本计算机桌面尢敏感信息计算机5分钟锁屏。时钟同步附 录A12.1.1文件化的操作规程是否编制了文件化的操作管理策略, 并确保需要的人员可用?编制了文件化操作规程、程序文件智能管控事业部主要是软件开发和网络安全工作流程等附 录A12.1. 2变更管理对信息处理设施和系统的变更是否 加以控制?对信息处理设施的变更,有管理控制规定变更发布管理流程规定了变更的评审等要求,系统和软件变更 有网管负责。附 录A12.1. 3容量管理为了确保系统性能,是否对容量需求 做出规划?(资源的使用如何加以监设备的配置由
33、公司进行配置,IT管理人员对设备的选型和判定由 网管进行确定,系统容量配置满足要求。视、调整,并应作出对于未来容量需 求的推测,以确保拥有所需的系统能 力?( *磁盘容量网络传输能力打印 机等*员工规划)附 录开发、测试和运行环 境别离开发、测试和运行设施是否别离,以 减少未经授权访问或改变运行系统 的风险?(开发状态到运行状态的软 件的传送规那么;开发和运行软件要在 不同的系统或计算机处理器上或在 不同的域或目录下运行。)按照ISMS-B-21开发建设管理程序要求,在开发、测试、运 行环境使用三套不同的物理服务器进行隔离,以减少未授 权的访问和环境变更的风险;每个工程组均使用SVN进行对代码
34、的控制,由部门经理对 组内员工进行权限分配;测试人员使用专用的测试服务器 进行测试。运行是部署到用户的服务器进行。附 录A12. 2.1控制恶意软件是否编制了相关防范恶意代码的控 制程序?是否安装防范软件,并定 期修复软件漏洞和防范恶意代码? (如何实施恶意代码的监测、预防和 恢复控制,以及适当的用户意识培训 的程序?编制有介质及信息交换管理程序物理和环境管理程序恶意软件控制程序网络管理员向本公司相关部门发布病毒疫情提示;对所负责管理的防病毒软件及病毒库进行更新和维护;对各类硬件、服务器进行病毒检测和清理工作;管制重点恶意软件防范防病毒软件的更新与维护病毒处理分析与报告智能管控事业部使用台式计
35、算机、笔记本、云服务器,winlO. win7 使用2345电脑卫士、360杀毒,windowlO系统 公司认为自带 Windows defence可以防御病毒攻击。附 录A12. 3.1信息备份1是否制定备份控制文档?重要的 信息和软件是否按照备份要求进行 定期备份和测试?2备份的存储区是否安全,并实际的 使用场所保持一定的距离?(如何按 照已设的备份策略,定期备份和测试 信息和软件?)编制有:备份管理程序,基本满足要求。访谈说明智能管控事业部信息交付云服务器,有备份策略,版本控制svn, 由网管进行统一备份。有USMS-B-19-01D备份策略表智慧环保运维管理系统数据库备份,王慧负责每月
36、备份至服务器。 研发人员工作文件实施备份至网络存储服务器附 录A12. 4.1事态记录1是否记录了异常事件、用户活动和 信息安全事件?2相关审核日志是否保持一定的时 间?(是否产生记录用户活动、意外 和信息安全事件的审计日志,并要保 持一个已设的周期以支持将来的调 查和访问控制监视活动?)查见信息安全事故处理报告,综合部员工反映无法上网,发生 时间为年9月22日10时,持续时间30分钟,影响范围为该员一 人,危害为该员电脑30分钟内无法进行重要业务操作。日志:安全性(均审核成功)、系统、应用程序(打印机驱动)均 无异常,日志信息保存有.3. 15至今的信息。附 录A12. 4. 2日志信息的保
37、护记录日志的设施核日志信息是否后 防范被篡改和未经授权访问的控制 措施?(记录日志的设施和日志信息 如何加以保护,以防止篡改和未经授服务器日志只用网管有权查看。权的访问?)附 录A12. 4. 3管理员和操作员日 志系统管理员和操作员的活动是否记 录;并检查日志?(系统管理员和系 统操作员活动是否记入日志?)系统管理员和操作员的活动日志记录正常;附 录A12. 4. 4时钟同步所有相关信息处理系统的时钟是否 按统一的标准时间进行同步设置? (一个组织或安全域内的所有相关信 息处理设施的时钟如何使用己设的 精确时间源进行同步?)查智能管控事业部张*使用笔记本计算机,时钟同步附 录A12. 5.
38、1在运行系统上安装 软件为了减少运行系统的风险,在运行系 统上安装软件方面,是否有程序或控 制程序?(如何建立一些过程来控制 在操作系统上安装软件?)智能管控事业部工程经理张*使用笔记本计算机 安装有WINDOWS 10系统,办公软件由网管负责安装,装有OFFICE,钉钉等,开发 工具等附 录A12. 6. 1技术脆弱性的控制是否及时了解和获得有关信息系统 的技术脆弱性信息?对信息系统的 技术脆弱性是否进行评价,并采取处 理相关的风险处理措施?如:360安 全卫士、网端扫描工具等。(是否及 时得到现用信息系统技术弱点的信 息,评估组织是否暴露出对这些弱 点,并采取适当的措施来处理相关的 风险)
39、访谈说明公司认为Windows 10系统自带的防御Windows defence 软件,360杀毒、WinXP电脑安装2345电脑卫士等可以防御外来病 毒的攻击,系统。附 录限制软件安装是否建立了防止用户随意安全应用公司建立了防止用户随意安全应用软件的限制要求,检查智能管控A12. 6. 2软件的限制规那么?规那么的执行情况 如何?事业部使用计算机安装的软件,由网管负责安装。附 录A12. 7.1信息系统审计控制 措施信息系统审计是如何规划的?(涉及 对运行系统检查的审计需求和行为, 是否谨慎地加以筹划并取得批准,以 便最小化造成业务过程中断的风 险?)信息系统的审计是通过网管进行,并针对不同
40、工程进行信息系统的 信息安全策略。编制有用户访问管理程序如:工程名称:实验室信息管理系统工程客户:环境测试分析描述了工程软件开发过程中使用的信息安全策略1 .代码存在本地Git仓库或网络存储服务器中,需要密码。2 .需要通过密码访问服务器附 录A13.1.1网络控制网络是否充分受控?信息在公用网 络上传输时,是否得到控制?网络是 否进行必要的隔离?(如何充分管理 和控制网络,以防止威胁的发生,维 持系统和使用网络的应用程序的安 全,包括传输中的信息?)编制有USMS-B-15网络管理程序网络与安全设备策略网络地址应事先规划、统一管理、分配,网络管理员负责建立并及 时维护互联网IP地址,网络管理
41、员负责分配及维护硬件操作系统 IP地址,所有分配的IP均绑定,禁止任何其它人员私自更新IP 地址;网络管理员应编制链路信息表,描述网络结构并表示网 络的各组成局部之间在逻辑上和物理上的相互连接,并及时更新;网络管理员应根据需要增加、修改或删除网络过滤规那么,符合数据 传送的保密性、可用性,使用最小化规那么;应定期对网络和安全设备的配置、日志进行备份,保证系统的可用 性等附 录A13.1. 2网络服务安全1是否有网络服务(不管是内部或外 部)?2是否确定网络服务的安全特性或管 理要求的网络服务协议?(安全特 性、服务级别以及所有网络服务的管 理要求如何予以识别并包括在所有 网络服务协议中,无论这
42、些服务是由 内部提供的还是外包的?)与中国电信公司签署有网络协议中国电信业务客户入网服务协议,明确了有和网络安全法有关 的内容。附 录A13.1. 3网络隔离是否对网络进行了物理或逻辑隔 离?隔离过程的访问策略如何设 置?现场验证隔离活动的实施情况网络网络管理程序网络地址应事先规划、统一管理、分配,网络管理员负责建立并及 时维护互联网IP地址,网络管理员负责分配及维护硬件操作系统 IP地址,所有分配的IP均绑定,禁止任何其它人员私自更新IP 地址;网络管理员应编制链路信息表,描述网络结构并表示网络的各 组成局部之间在逻辑上和物理上的相互连接,并及时更新;网络管理员应根据需要增加、修改或删除网络
43、过滤规那么,符合数据 传送的保密性、可用性,使用最小化规那么;等查看:L除连接打印机的网络端口外,其余设备基于交换机端口 隔离,基于AP做客户端隔离。2 .路由器开启ARP防护,FLOOD防护等。3 .交换机开启环路检测,ARP防护。附 录A13. 2.1信息传递策略和规 程为了保护通过使用各种类型的通信 设施进行信息交换,是否制定了信息编制有HSMS-B-20介质及信息交换管理程序内部组织信息安全的角色 和职责确定评审安全方针及处理重大安全事故,确定与安全有关重大事项所必须的沟通机制。符合职责别离网络管理与操作职责应予以分配,以防止非授权的更改及误用信息或服务。符合与政府部门的联 系与法律实
44、施部门、标准机构等组织保持适当的联系是必须的,以获得必要的安全管理、标准、法律法规 方面的信息。符合与特定利益集团 的联系为及时掌握有关的安全信息,获得来自外部的专家的建议,及时对可能存在的薄弱点进行预防,掌握新 技术开展的动态,应与专.业的小组保持联系。符合工程管理中的信 息安全掌控工程管理中的信息安全,及时对可能存在的薄弱点进行预防。符合移动 设备和远 程办公移动设备策略本公司拥有笔记本电脑等移动式计算或通信设施,应予以控制防止其失窃及非授权的访问。符合A.622远程办公公司存在远程工作的情况。符合A.7人力资源安全符合任用 之前A.7.1.1 审查通过人员考察,防止人员带来的信息安全风险。符合任用的条款及条 件履行信息安全保密协议是雇佣人员的一个基本条件。签订保密协议是很好的控制手段。符合任用 中管理职责管理者应该要求员工、合作方以及第三方用户依据组织建立的方针和程序来应用安全符合信息安全意识, 教育和培训安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。符合纪律处理过程建立惩戒过程对信息安全控制是必要的。符合任用 终止或变 化任用终止或变化 的责任执行工作终止或工作变化的职责应清晰的定义和分配。符合A.8资产管理符合对资 产负责资产清单公司需建立重要资产清单并实施保护。符合资产责任人明确资产的责任人,确保资产的管理明确到人/部门。符合