XX_4_ISMS检查记录及整改措施.xls

ISMSISMS内内部部审审核核计计划划与与方方案案审审核核日日期期审审核核目目的的判断体系运行符合审核依据的程度审审核核依依据据GB/T22080-2008/ISO/IEC27001:2005 信息技术 安全技术 信息安全管理体系 要求；公司信息安全管理体系文件；相关的法律法规审审核核范范围围XXX所有部门审审核核A A组组审审核核B B组组审审核核C C组组审审核核日日程程安安排排审审核核部部门门审审核核方方式式审审核核时时间间运营部提问、观察、访谈、查证市场部提问、观察、访谈、查证产品部提问、观察、访谈、查证技术部提问、观察、访谈、查证销售支持部提问、观察、访谈、查证应用产品技术部提问、观察、访谈、查证银行合作部提问、观察、访谈、查证渠道发展部提问、观察、访谈、查证保险基金部提问、观察、访谈、查证计划管理部提问、观察、访谈、查证办公室提问、观察、访谈、查证授信部提问、观察、访谈、查证内审部提问、观察、访谈、查证结算部提问、观察、访谈、查证财务部提问、观察、访谈、查证金融业务部提问、观察、访谈、查证无线产品线提问、观察、访谈、查证创新业务部提问、观察、访谈、查证电信产品线提问、观察、访谈、查证航空旅游产品线提问、观察、访谈、查证数字娱乐产品线提问、观察、访谈、查证行政教育产品线提问、观察、访谈、查证开放平台提问、观察、访谈、查证人力资源部提问、观察、访谈、查证行政部提问、观察、访谈、查证风险管理部提问、观察、访谈、查证合规部提问、观察、访谈、查证战略规划部提问、观察、访谈、查证质量部提问、观察、访谈、查证核心平台提问、观察、访谈、查证系统部提问、观察、访谈、查证审审核核人人员员完完成成状状态态ISMSISMS内内部部审审核核计计划划与与方方案案GB/T22080-2008/ISO/IEC27001:2005 信息技术 安全技术 信息安全管理体系 要求；公司信息安全管理体系文件；相关的法律法规ISMS体体系系运运行行状状况况追追踪踪计计划划序序号号落落实实控控制制内内容容控控制制点点要要求求审审核核结结果果1物理环境清理办公室物理环境清理；符合2物理上锁1、人员下班或较长时间离开房间时，房间门上锁；2、文件柜、保险柜、档案柜上锁；符合3文档打印/复印/碎纸1、打印/复印后要及时取走；2、打印机/复印机张贴安全提示；3、作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃。避免和减少信息外泄或非授权访问的发生。轻微不符合4信息安全量化记分1、信息安全管理员对违反安全规定的人员进行记分；2、信息安全管理管理小组每季对记分结果进行汇总；3、人力资源根据记分结果进行考核。观察项5信息资产敏感性标识硬件资产、纸质文档贴敏感性标签，电子文档在模板中增加电子标识轻微不符合6资产登记1、应当对所有信息资产进行识别，建立资产清单和使用规则，明确定义信息资产责任人及其职责；2、资产清单应每季度更新一次。严重不符合7风险评估1、每年对信息资产所面临的风险进行至少一次风险评估符合8公用电脑管理 各部门的公用电脑只限于本部门的员工使用，其他人员（特别是外部人员）未经部门负责人允许不得使用符合10帐户口令权限评审与清理定期对系统帐户口令权限进行评审与清理（包括支付平台、网络设备、安全设备、主机）严重不符合11屏保设定人员离开座位时超过一定的时间段，要对电脑进行锁屏处理或设置自动锁屏轻微不符合12个人办公电脑安全控制(帐户权限、口令/病毒/系统补丁/个人数据备份等）个人办公电脑使用者需要确保：1、无多余帐户，口令符合相关规定，2、防病毒软件及时升级，定期扫描；3、系统补丁更新4、对个人重要数据进行定期备份5、取消用户的默认共享。严重不符合14保密协议签订整理已签订的保密协议内部相关方保密协议签订（信息技术中心现场支持人员等），保密协议中要包括要求内部相关方进行人员背景调查的内容外部人员保密协议的签订观察项15离职或转岗人员信息资产交接和权限调整人员离职或转岗时,对其使用或拥有帐户进行注销或修改,对其使用/管理的信息资产进行处理(可选方式：交接给其它人员、数据备份、数据删除等）严重不符合16人员背景调查对新入职的人员进行背景调查,并提供背景调查的证据观察项审审核核描描述述建建议议措措施施打印区域未张贴安全提示由行行政政部部张贴安全贴士提醒员工及时取走打印文件，且须及时销毁带有敏感信息的废弃打印资料。未发布实施1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解守则内容。2、信信息息安安全全部部联联合合人人力力资资源源部部，确定违法员工信息安全守则的考核方式；并下发通知；3、信信息息安安全全部部联联合合人人力力资资源源部部，依据YP_3_IS_员工信息安全守则不定期进行抽查，并依据考核方式进行考核。未对电子和纸制文档进行信息敏感性标识1、信信息息安安全全部部通过OA发布YP_3_IS_YP_3_IS_信信息息资资产产敏敏感感性性标标识识规规范范，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解制度要求。2、各各部部门门信信息息安安全全员员将部门所属硬件资产及敏感信息进行明确标识，并依据敏感信息等级程度，进行相应的保护措施。可依据制度要求进行分级并标识敏感级别。未梳理并维护信息资产登记表各部门信息安全员季度对本部门信息资产进行详细梳理并维护信息资产登记表，如本部门信息资产有变动，信息安全员及时更新资产登记表。如是部门资产，部门负责人建立本部门信息资产的使用规则，明确定义信息资产责任人及其职责。信息安全部依据各部门提供的资产登记表，完成风险评估报告。各部门已统计所拥有帐号及权限，但效果并不理想：1、统计结果不全面2、未对账户权限做评审及清理如：堡垒机的上的实际账号与管理员手工管理的账号（excel账号表单）在数量上不相等；质量部CVS,SVN的账号与操作系统的账号绑定，权限过大1、各各部部门门所有系统账号，开启，变更，注销，要统一遵照系统部制定的YP_3_SYS_YP_3_SYS_用用户户帐帐户户及及权权限限安安全全管管理理规规范范规范操作管理；任何账号及权限的开启及变更都经过领导审批；2、各各系系统统管管理理员员（操作系统，数据库及应用系统），依据YP_3_IS_YP_3_IS_员员工工信信息息安安全全守守则则，必须符合用户账号和密码管理要求；3、各系系统统管管理理员员每每季季度度对系统内账号进行审核，并填写账号审核记录，确保系统内账号的有效性及权限授予的合理性。4、各系统管理员收集到各部门的账号及权限分类汇总，在2周内完成梳理工作，注销不活动帐号。观察到，有个别员工离开座位未锁屏，也未设置系统自动锁屏功能。1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各部门信息安全员通过宣贯让部门员工了解信息安全制度及管理要求，确保个人电脑的安全控制管理。2、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯，信息安全部（或人力资源部）不定期进行审查，一旦发现，按照信信息息安安全全量量化化记记分分进行考核。抽查发现口令未符合规定 且很多人员未使用域登录、重要数据未定期备份1、信信息息安安全全部部将YP_3_IS_员员工工信信息息安安全全守守则则发发布布在在OA知知识识管管理理库库，让其员工了解员工信息安全制度及管理要求，确保个人电脑的安全控制管理。2、系系统统部部联联合合人人力力资资源源部部，确保公司所有电脑都加入到域中，并保证只能通过域登录才能接入内网；3、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯（包括防病毒软件及时升级，系统补丁及时更新，公司重要信息定期备份等）。4、信信息息安安全全部部联联合合人人力力资资源源部部，依据制度不定期进行抽查，并依据信息安全量化标准进行考核。所有员工及外部人员、供应商都会签署保密协议，计划用三周左右时间检查所有保密协议是否缺失人力资源部尽早完成保密协议的检查工作有离职或转岗交接记录，涉及需归还资产以及变更或注销系统帐号，但缺少对员工所拥有帐号权限的统计，所以帐号变更、注销流程有遗漏（还未梳理出细致的离职流程单）1）各部门列出本部门员工使用的各类账号（如OA，邮箱，VPN，CVS,SVN,BOSS后台及本部门应用系统的账号等等）信息梳理出来；并提交人力资源部；2）离离职职（或或转转岗岗）人人员员部部门门负负责责人人，在离职（或转岗）单中明确该离职人员使用的各类账号；3）人人力力资资源源部部在离职交接单中，依据各部门列出的账号信息，要求各系统管理员注销系统权限签字后，方可办理转岗或离职手续。目前背景调查仅限于主管以上人员，计划两月内覆盖所有员工（除客服人员）人力资源部尽早完成入职人员的背景调查工作。保证入职人员的经历真实有效。ISMS体体系系运运行行状状况况追追踪踪计计划划序序号号落落实实控控制制内内容容控控制制点点要要求求审审核核结结果果1物理环境清理办公室物理环境清理；符合2物理上锁1、人员下班或较长时间离开房间时，房间门上锁；2、文件柜、保险柜、档案柜上锁；轻微不符合3文档打印/复印/碎纸1、打印/复印后要及时取走；2、打印机/复印机张贴安全提示；3、作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃。避免和减少信息外泄或非授权访问的发生。轻微不符合4信息安全量化记分1、信息安全管理员对违反安全规定的人员进行记分；2、信息安全管理管理小组每季对记分结果进行汇总；3、人力资源根据记分结果进行考核。观察项5信息资产敏感性标识硬件资产、纸质文档贴敏感性标签，电子文档在模板中增加电子标识轻微不符合6资产登记1、应当对所有信息资产进行识别，建立资产清单和使用规则，明确定义信息资产责任人及其职责；2、资产清单应每季度更新一次。严重不符合7风险评估1、每年对信息资产所面临的风险进行至少一次风险评估符合8公用电脑管理 各部门的公用电脑只限于本部门的员工使用，其他人员（特别是外部人员）未经部门负责人允许不得使用符合10帐户口令权限评审与清理定期对系统帐户口令权限进行评审与清理（包括支付平台、网络设备、安全设备、主机）轻微不符合11屏保设定人员离开座位时超过一定的时间段，要对电脑进行锁屏处理或设置自动锁屏轻微不符合12个人办公电脑安全控制(帐户权限、口令/病毒/系统补丁/个人数据备份等）个人办公电脑使用者需要确保：1、无多余帐户，口令符合相关规定，2、防病毒软件及时升级，定期扫描；3、系统补丁更新4、对个人重要数据进行定期备份5、取消用户的默认共享。严重不符合13门禁系统管理对可访问公司内部门禁的人员和权限进行评审,将不需要访问门禁的用户清理掉，并对前台门禁系统日志定期审查轻微不符合15监控录相定期审查办公区监控录相定期审核机房监控录相定期审核符合16外部人员访问进入控制10楼没有前台接待人员，无人控制无身份识别卡的外部人员出入符合17监控录相的保存期限监控录相应保留至少一月符合18物理区域标识对物理安全区域进行划分，对三、四级安全区域进行标识符合19身份识别卡的记录指定相关行政部人员负责定期整理身份识别卡申请、发放、回收记录符合审审核核描描述述建建议议措措施施保险柜的钥匙没有及时抽出加强管理打印区域未张贴安全提示由行行政政部部张贴安全贴士提醒员工及时取走打印文件，且须及时销毁带有敏感信息的废弃打印资料。未发布实施1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解守则内容。2、信信息息安安全全部部联联合合人人力力资资源源部部，确定违法员工信息安全守则的考核方式；并下发通知；3、信信息息安安全全部部联联合合人人力力资资源源部部，依据YP_3_IS_员工信息安全守则不定期进行抽查，并依据考核方式进行考核。未对电子和纸制文档进行信息敏感性标识1、信信息息安安全全部部通过OA发布YP_3_IS_YP_3_IS_信信息息资资产产敏敏感感性性标标识识规规范范，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解制度要求。2、各各部部门门信信息息安安全全员员将部门所属硬件资产及敏感信息进行明确标识，并依据敏感信息等级程度，进行相应的保护措施。可依据制度要求进行分级并标识敏感级别。未梳理并维护信息资产登记表各部门信息安全员季度对本部门信息资产进行详细梳理并维护信息资产登记表，如本部门信息资产有变动，信息安全员及时更新资产登记表。如是部门资产，部门负责人建立本部门信息资产的使用规则，明确定义信息资产责任人及其职责。信息安全部依据各部门提供的资产登记表，完成风险评估报告。xue.wang,zheng.liu已经转岗，但是前台的电脑仍保留该账号；1、各各部部门门所有系统账号，开启，变更，注销，要统一遵照系统部制定的YP_3_SYS_YP_3_SYS_用用户户帐帐户户及及权权限限安安全全管管理理规规范范规范操作管理；任何账号及权限的开启及变更都经过领导审批；2、各各系系统统管管理理员员（操作系统，数据库及应用系统），依据YP_3_IS_YP_3_IS_员员工工信信息息安安全全守守则则，必须符合用户账号和密码管理要求；3、各系系统统管管理理员员每每季季度度对系统内账号进行审核，并填写账号审核记录，确保系统内账号的有效性及权限授予的合理性。4、各系统管理员收集到各部门的账号及权限分类汇总，在2周内完成梳理工作，注销不活动帐号。未配置屏幕保护,人员离开存在不不锁屏现象1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各部门信息安全员通过宣贯让部门员工了解信息安全制度及管理要求，确保个人电脑的安全控制管理。2、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯，信息安全部（或人力资源部）不定期进行审查，一旦发现，按照信信息息安安全全量量化化记记分分进行考核。抽查发现口令未符合规定 且很多人员未使用域登录、重要数据未定期备份1、信信息息安安全全部部将YP_3_IS_员员工工信信息息安安全全守守则则发发布布在在OA知知识识管管理理库库，让其员工了解员工信息安全制度及管理要求，确保个人电脑的安全控制管理。2、系系统统部部联联合合人人力力资资源源部部，确保公司所有电脑都加入到域中，并保证只能通过域登录才能接入内网；3、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯（包括防病毒软件及时升级，系统补丁及时更新，公司重要信息定期备份等）。4、信信息息安安全全部部联联合合人人力力资资源源部部，依据制度不定期进行抽查，并依据信息安全量化标准进行考核。1、多人共用一个管理员帐号，无法区分每个用户的操作状况。2、门禁系统管理员未定期对门禁系统内用户权限进行审核。3、门禁系统只有通行记录，无授权、变更、注销等操作日志，系统暂不支持变更日志功能。1）门禁系统管理员定期进行人员门禁权限审查。2）行政部按需分配门禁系统管理帐号及权限3）门禁管理员手工记录变更信息，同时定期监控访问日志（公司敏感区域没有控制，任何人任何时间都可访问，如非工作期间进入公司状况信息）。大楼物业管理ISMS体体系系运运行行状状况况追追踪踪计计划划ISMSISMS体体系系运运行行状状况况追追踪踪计计划划序序号号落落实实控控制制内内容容控控制制点点要要求求审审核核结结果果1物理环境清理办公室物理环境清理；符合2物理上锁1、人员下班或较长时间离开房间时，房间门上锁；2、文件柜、保险柜、档案柜上锁；符合3文档打印/复印/碎纸1、打印/复印后要及时取走；2、打印机/复印机张贴安全提示；3、作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃。避免和减少信息外泄或非授权访问的发生。轻微不符合4信息安全量化记分1、信息安全管理员对违反安全规定的人员进行记分；2、信息安全管理管理小组每季对记分结果进行汇总；3、人力资源根据记分结果进行考核。观察项5信息资产敏感性标识硬件资产、纸质文档贴敏感性标签，电子文档在模板中增加电子标识轻微不符合6资产登记1、应当对所有信息资产进行识别，建立资产清单和使用规则，明确定义信息资产责任人及其职责；2、资产清单应每季度更新一次。严重不符合7风险评估1、每年对信息资产所面临的风险进行至少一次风险评估符合8帐户申请/变更/取消对支付平台、网络设备、安全设备、主机的帐户申请/变更/取消（包括内部人员和外部人员），要有相关审批记录或依据相关流程轻微不符合9帐户口令权限评审与清理定期对系统帐户口令权限进行评审与清理（包括支付平台、网络设备、安全设备、主机）严重不符合10屏保设定人员离开座位时超过一定的时间段，要对电脑进行锁屏处理或设置自动锁屏轻微不符合11个人办公电脑安全控制(帐户权限、口令/病毒/系统补丁/个人数据备份等）个人办公电脑使用者需要确保：1、无多余帐户，口令符合相关规定，2、防病毒软件及时升级，定期扫描；3、系统补丁更新4、对个人重要数据进行定期备份5、取消用户的默认共享。严重不符合12版本控制通过使用版本管理系统对开发文档及源代码进行了有效管理；对源代码进行审查，保证源代码中不允许有恶意代码或后门程序，对源代码进行定期备份；观察项13变更管理通过建立变更管理流程对开发过程的变更进行有效管理；系统运行过程的变更也要遵循变更管理的有关规定。对于应用系统的大版本升级、操作系统重要补丁等重大变更需要在上线计划中包括回退计划；观察项14变更控制对重要设备、系统或应用环境的变更进行申请和审批，重大变更需要有详细的方案报告轻微不符合15系统日志应用系统具有完备的系统日志，根据系统状态和安全需要，可开启或关闭系统审计日志（如系统错误日志、系统安全日志、系统登录日志、系统操作日志等）；系统日志未经系统主管部门负责人授权，不能被任何无关人员查看；轻微不符合16软件文档软件文档，检查软件需求调研文档、需求规格说明书、概要设计、详细设计、开发过程文档、测试文档、部署手册、日常运维手册、验收文档、使用手册、培训资料等文档是否完备。观察项17安全需求分析必须对业务安全需求进行充分分析和说明；观察项18边界检查软件开发过程中，对输入、输出数据进行验证，例如进行边界检查、合理性验证等控制；观察项审审核核描描述述建建议议措措施施打印区域未张贴安全提示由行行政政部部张贴安全贴士提醒员工及时取走打印文件，且须及时销毁带有敏感信息的废弃打印资料。计划发布实施1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解守则内容。2、信信息息安安全全部部联联合合人人力力资资源源部部，确定违法员工信息安全守则的考核方式；并下发通知；3、信信息息安安全全部部联联合合人人力力资资源源部部，依据YP_3_IS_员工信息安全守则不定期进行抽查，并依据考核方式进行考核。未对电子和纸制文档进行信息敏感性标识1、信信息息安安全全部部通过OA发布YP_3_IS_YP_3_IS_信信息息资资产产敏敏感感性性标标识识规规范范，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解制度要求。2、各各部部门门信信息息安安全全员员将部门所属硬件资产及敏感信息进行明确标识，并依据敏感信息等级程度，进行相应的保护措施。可依据制度要求进行分级并标识敏感级别。未梳理并维护信息资产登记表各部门信息安全员季度对本部门信息资产进行详细梳理并维护信息资产登记表，如本部门信息资产有变动，信息安全员及时更新资产登记表。如是部门资产，部门负责人建立本部门信息资产的使用规则，明确定义信息资产责任人及其职责。信息安全部依据各部门提供的资产登记表，完成风险评估报告。有帐号申请、变更、撤销流程。但发现有离职人员帐号未注销1）各部门员工用户账号或权限变更，提交部门负责人审批；2）各系统管理员依据YP_3_SYS_YP_3_SYS_用用户户帐帐户户及及权权限限安安全全管管理理规规范范，增加/变更/删除帐号信息，防止对系统的非授权访问。各部门已统计所拥有帐号及权限，但效果并不理想：1、统计结果不全面2、未对账户权限做评审及清理如：堡垒机的上的实际账号与管理员手工管理的账号（excel账号表单）在数量上不相等；质量部CVS,SVN的账号与操作系统的账号绑定，权限过大1、各各部部门门所有系统账号，开启，变更，注销，要统一遵照系统部制定的YP_3_SYS_YP_3_SYS_用用户户帐帐户户及及权权限限安安全全管管理理规规范范规范操作管理；任何账号及权限的开启及变更都经过领导审批；2、各各系系统统管管理理员员（操作系统，数据库及应用系统），依据YP_3_IS_YP_3_IS_员员工工信信息息安安全全守守则则，必须符合用户账号和密码管理要求；3、各系系统统管管理理员员每每季季度度对系统内账号进行审核，并填写账号审核记录，确保系统内账号的有效性及权限授予的合理性。4、各系统管理员收集到各部门的账号及权限分类汇总，在2周内完成梳理工作，注销不活动帐号。未配置屏幕保护,人员离开可能存在不不锁屏现象1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各部门信息安全员通过宣贯让部门员工了解信息安全制度及管理要求，确保个人电脑的安全控制管理。2、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯，信息安全部（或人力资源部）不定期进行审查，一旦发现，按照信信息息安安全全量量化化记记分分进行考核。抽查发现口令未符合规定 且很多人员未使用域登录、重要数据未定期备份1、信信息息安安全全部部将YP_3_IS_员员工工信信息息安安全全守守则则发发布布在在OA知知识识管管理理库库，让其员工了解员工信息安全制度及管理要求，确保个人电脑的安全控制管理。2、系系统统部部联联合合人人力力资资源源部部，确保公司所有电脑都加入到域中，并保证只能通过域登录才能接入内网；3、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯（包括防病毒软件及时升级，系统补丁及时更新，公司重要信息定期备份等）。4、信信息息安安全全部部联联合合人人力力资资源源部部，依据制度不定期进行抽查，并依据信息安全量化标准进行考核。虽然使用了版本管理软件，但是有时需修改平台或其它开发部门代码，缺乏统一协调管理机制质质量量部部牵头，于各产品线讨论，制定出质量测试规范，并统一下发标准，要求各测试人员按此要求执行测试。建立公司层面质量协调机制，产品开发后，由产品明确自检部分及质量，先进行内部测试，并由产品经理或技术负责人签字确认后，提交质量部测试保证测试质量。质量部定期对测试及开发质量进行定期培训，提高公司各部门整体测试质量工作。因公司因组织结构问题，个别产品线内部进行系统开发、测试、上线工作。开发标准及测试要求，及上线流程由一组技术人员执行。不能做到有效地职责分离控制，也无法保证流程的有效执行和控制。在建开发统一管理流程及规范，但进展较慢重要设备、系统或应用环境的变更已进行控制，但还不全面信信息息安安全全部部通过OA发布YP_3_SYS_YP_3_SYS_变变更更管管理理制制度度，开发、产品线及系统部对设备、系统或应用环境的变更，依据变更管理制度，严格执行变更操作流程，保证对变更的有效控制。个别应用系统未开发系统日志功能（如系统错误日志、系统安全日志、系统登录日志、系统操作日志等）。各产品线开发部门应开发系统应用日志，保证事后对系统内非合理操作的追踪及查询。公司未建议统一的软件开发文档要求，各部门依据工作经验，编写软件文档，无法保证软件文档的完整性和可用性。公司建立统一的软件开发文档要求，各开发人员依据要求编写软件文档，保证软件文档的完整性和可用性。由邓凯牵头，金岭、邓凯、梁川、晋文、赵志华、信息安全部联合制定出适合公司各开发部门的统一开发规范标准。并统一下发标准，各开发人员严格按此要求执行。公司未建立统一的开发需求分析管理要求，各别产品线独立进行开发，无法保证对安全需求的分析及说明。公司建立统一的开发需求分析管理要求，严格要求各产品线依据安全需求分析要求，对业务安全需求进行充分分析和说明，并有独立审核部门对分析和说明书进行严格评审。由邓凯牵头，金岭、邓凯、梁川、晋文、赵志华、信息安全部联合制定出适合公司各开发部门的统一开发规范标准（包括编码规范及接口规范）。并统一下发标准，各开发人员严格按此要求执行。各别产品线独立进行开发测试，对软件开发过程中，对输入、输出数据进行验证，例如进行边界检查、合理性验证等控制没有建立统一的标准。依据各产品线的经验进行控制管理。无法保证控制的有效性。公司对软件开发过程中，对输入、输出数据进行验证，例如进行边界检查、合理性验证等控制建立统一的标准。并由质量部统一测试检验认证。开发编码规范问题：由邓凯牵头，金岭、邓凯、梁川、晋文、赵志华、信息安全部联合制定出适合公司各开发部门的统一开发规范标准（包括编码规范及接口规范）。并统一下发标准，各开发人员严格按此要求执行。ISMS体体系系运运行行状状况况追追踪踪计计划划ISMSISMS体体系系运运行行状状况况追追踪踪计计划划序序号号落落实实控控制制内内容容控控制制点点要要求求审审核核结结果果1物理环境清理办公室物理环境清理；符合2物理上锁1、人员下班或较长时间离开房间时，房间门上锁；2、文件柜、保险柜、档案柜上锁；符合3文档打印/复印/碎纸1、打印/复印后要及时取走；2、打印机/复印机张贴安全提示；3、作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃。避免和减少信息外泄或非授权访问的发生。轻微不符合4信息安全量化记分1、信息安全管理员对违反安全规定的人员进行记分；2、信息安全管理管理小组每季对记分结果进行汇总；3、人力资源根据记分结果进行考核。观察项5信息资产敏感性标识硬件资产、纸质文档贴敏感性标签，电子文档在模板中增加电子标识轻微不符合6资产登记1、应当对所有信息资产进行识别，建立资产清单和使用规则，明确定义信息资产责任人及其职责；2、资产清单应每季度更新一次。严重不符合7风险评估1、每年对信息资产所面临的风险进行至少一次风险评估符合8帐户申请/变更/取消对支付平台、网络设备、安全设备、主机的帐户申请/变更/取消（包括内部人员和外部人员），要有相关审批记录或依据相关流程轻微不符合9帐户口令权限评审与清理定期对系统帐户口令权限进行评审与清理（包括支付平台、网络设备、安全设备、主机）严重不符合10屏保设定人员离开座位时超过一定的时间段，要对电脑进行锁屏处理或设置自动锁屏轻微不符合11个人办公电脑安全控制(帐户权限、口令/病毒/系统补丁/个人数据备份等）个人办公电脑使用者需要确保：1、无多余帐户，口令符合相关规定，2、防病毒软件及时升级，定期扫描；3、系统补丁更新4、对个人重要数据进行定期备份5、取消用户的默认共享。严重不符合12版本控制通过使用版本管理系统对开发文档及源代码进行了有效管理；对源代码进行审查，保证源代码中不允许有恶意代码或后门程序，对源代码进行定期备份；观察项13变更管理通过建立变更管理流程对开发过程的变更进行有效管理；系统运行过程的变更也要遵循变更管理的有关规定。对于应用系统的大版本升级、操作系统重要补丁等重大变更需要在上线计划中包括回退计划；观察项14变更控制对重要设备、系统或应用环境的变更进行申请和审批，重大变更需要有详细的方案报告轻微不符合15系统日志应用系统具有完备的系统日志，根据系统状态和安全需要，可开启或关闭系统审计日志（如系统错误日志、系统安全日志、系统登录日志、系统操作日志等）；系统日志未经系统主管部门负责人授权，不能被任何无关人员查看；轻微不符合16软件文档软件文档，检查软件需求调研文档、需求规格说明书、概要设计、详细设计、开发过程文档、测试文档、部署手册、日常运维手册、验收文档、使用手册、培训资料等文档是否完备。观察项17安全需求分析必须对业务安全需求进行充分分析和说明；观察项18边界检查软件开发过程中，对输入、输出数据进行验证，例如进行边界检查、合理性验证等控制；观察项审审核核描描述述建建议议措措施施打印区域未张贴安全提示由行行政政部部张贴安全贴士提醒员工及时取走打印文件，且须及时销毁带有敏感信息的废弃打印资料。计划发布实施1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解守则内容。2、信信息息安安全全部部联联合合人人力力资资源源部部，确定违法员工信息安全守则的考核方式；并下发通知；3、信信息息安安全全部部联联合合人人力力资资源源部部，依据YP_3_IS_员工信息安全守则不定期进行抽查，并依据考核方式进行考核。未对电子和纸制文档进行信息敏感性标识1、信信息息安安全全部部通过OA发布YP_3_IS_YP_3_IS_信信息息资资产产敏敏感感性性标标识识规规范范，各各部部门门信信息息安安全全员员通过宣贯让部门员工了解制度要求。2、各各部部门门信信息息安安全全员员将部门所属硬件资产及敏感信息进行明确标识，并依据敏感信息等级程度，进行相应的保护措施。可依据制度要求进行分级并标识敏感级别。未梳理并维护信息资产登记表各部门信息安全员季度对本部门信息资产进行详细梳理并维护信息资产登记表，如本部门信息资产有变动，信息安全员及时更新资产登记表。如是部门资产，部门负责人建立本部门信息资产的使用规则，明确定义信息资产责任人及其职责。信息安全部依据各部门提供的资产登记表，完成风险评估报告。有帐号申请、变更、撤销流程。但发现有离职人员帐号未注销1）各部门员工用户账号或权限变更，提交部门负责人审批；2）各系统管理员依据YP_3_SYS_YP_3_SYS_用用户户帐帐户户及及权权限限安安全全管管理理规规范范，增加/变更/删除帐号信息，防止对系统的非授权访问。各部门已统计所拥有帐号及权限，但效果并不理想：1、统计结果不全面2、未对账户权限做评审及清理如：堡垒机的上的实际账号与管理员手工管理的账号（excel账号表单）在数量上不相等；质量部CVS,SVN的账号与操作系统的账号绑定，权限过大1、各各部部门门所有系统账号，开启，变更，注销，要统一遵照系统部制定的YP_3_SYS_YP_3_SYS_用用户户帐帐户户及及权权限限安安全全管管理理规规范范规范操作管理；任何账号及权限的开启及变更都经过领导审批；2、各各系系统统管管理理员员（操作系统，数据库及应用系统），依据YP_3_IS_YP_3_IS_员员工工信信息息安安全全守守则则，必须符合用户账号和密码管理要求；3、各系系统统管管理理员员每每季季度度对系统内账号进行审核，并填写账号审核记录，确保系统内账号的有效性及权限授予的合理性。4、各系统管理员收集到各部门的账号及权限分类汇总，在2周内完成梳理工作，注销不活动帐号。未配置屏幕保护,人员离开可能存在不不锁屏现象1、信信息息安安全全部部通过OA发布YP_3_IS_员员工工信信息息安安全全守守则则，各部门信息安全员通过宣贯让部门员工了解信息安全制度及管理要求，确保个人电脑的安全控制管理。2、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯，信息安全部（或人力资源部）不定期进行审查，一旦发现，按照信信息息安安全全量量化化记记分分进行考核。抽查发现口令未符合规定 且很多人员未使用域登录、重要数据未定期备份1、信信息息安安全全部部将YP_3_IS_员员工工信信息息安安全全守守则则发发布布在在OA知知识识管管理理库库，让其员工了解员工信息安全制度及管理要求，确保个人电脑的安全控制管理。2、系系统统部部联联合合人人力力资资源源部部，确保公司所有电脑都加入到域中，并保证只能通过域登录才能接入内网；3、各各部部门门信信息息安安全全员员加强对本部门的安安全全意意识识宣宣贯贯（包括防病毒软件及时升级，系统补丁及时更新，公司重要信息定期备份等）。4、信信息息安安全全部部联联合合人人力力资资源源部部，依据制度不定期进行抽查，并依据信息安全量化标准进行考核。虽然使用了版本管理软件，但是有时需修改平台或其它开发部门代码，缺乏统一协调管理机制质质量量部部牵头，于各产品线讨论，制定出质量测试规范，并统一下发标准，要求各测试人员按此要求执行测试。建立公司层面质量协调机制，产品开发后，由产品明确自检部分及质量，先进行内部测试，并由产品经理或技术负责人签字确认后，提交质量部测试保证测试质量。质量部定期对测试及开发质量进行定期培训，提高公司各部门整体测试质量工作。因公司因组织结构问题，个别产品线内部进行系统开发、测试、上线工作。开发标准及测试要求，及上线流程由一组技术人员执行。不能做到有效地职责分离控制，也无法保证流程的有效执行和控制。在建开发统一管理流程及规范，但进展较慢重要设备、系统或应用环境的变更已进行控制，但还不全面信信息息安安全全部部通过OA发布YP_3_SYS_YP_3_SYS_变变更更管管理理制制度度，开发、产品线及系统部对设备、系统或应用环境的变更，依据变更管理制度，严格执行变更操作流程，保证对变更的有效控制。个别应用系统未开发系统日志功能（如系统错误日志、系统安全日志、系统登录日志、系统操作日志等）。各产品线开发部门应开发系统应用日志，保证事后对系统内非合理操作的追踪及查询。公司未建议统一的软件开发文档要求，各部门依据工作经验，编写软件文档，无法保证软件文档的完整性和可用性。公司建立统一的软件开发文档要求，各开发人员依据要求编写软件文档，保证软件文档的完整性和可用性。由邓凯牵头，金岭、邓凯、梁川、晋文、赵志华、信息安全部联合制定出适合公司各开发部门的统一开发规范标准。并统一下发标准，各开发人员严格按此要求执行。公司未建立统一的开发需求分析管理要求，各别产品线独立进行开发，无法保证对安全需求的分析及说明。公司建立统一的开发需求分析管理要求，严格要求各产品线依据安全需求分析要求，对业务安全需求进行充分分析和说明，并有独立审核部门对分析和说明书进行严格评审。由邓凯牵头，金岭、邓凯、梁川、晋文、赵志华、信息安全部联合制定出适合公司各开发部门的统一开发规范标准（包括编码规范及接口规范）。并统一下发标准，各开发人员严格按此要求执行。各别产品线独立进行开发测试，对软件开发过程中，对输入、输出数据进行验证，例如进行边界检查、合理性验证等控制没有建立统一的标准。依据各产品线的经验进行控制管理。无法保证控制的有效性。公司对软件开发过程中，对输入、输出数据进行验证，例如进行边界检查、合理性验证等控制建立统一的标准。并由质量部统一测试检验认证。开发编码规范问题：由邓凯牵头，金岭、邓凯、梁川、晋文、赵志华、信息安全部联合制定出适合公司各开发部门的统一开发规范标准（包括编码规范及接口规范）。并统一下发标准，各开发人员严格按此要求执行。ISMS体体系系运运行行状状况况追追踪踪计计划划ISMSISMS体体系系运运行行状状况况追追踪踪计计划划序序号号落落实实控控制制内内容容控控制制点点要要求求审审核核结结果果1物理环境清理办公室物理环境清理；符合2物理上锁1、人员下班或较长时间离开房间时，房间门上锁；2、文件柜、保险柜、档案柜上锁；符合3文档打印/复印/碎纸1、打印/复印后要及时取走；2、打印机/复印机张贴安全提示；3、作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃。避免和减少信息外泄或非授权访问的发生。轻微不符合4信息安全量化记分1、信息安全管理员对违反安全规定的人员进行记分；2、信息安全管理管理小组每季对记分结果进行汇总；3、人力资源根据记分结果进行考核。观察项5信息资产敏感性标识硬件资产、纸质文档贴敏感性标签，电子文档在模板中增加电子标识轻微不符合6资产登记1、应当对所有信息资产进行识别，建立资产清单和使用规则，明确定义信息资产责任人及其职责；2、资产清单应每季度更新一次。严重不符合7风险评估1、每年对信息资产所面临的风险进行至少一次风险评估符合8帐户申请/变更/取消对支付平台、网络设备、安全设备、主机的帐户申请/变更/取消（包括内部人员和外部人员），要有相关审批记录或依据相关流程轻微不符合9帐户口令权限评审与清理定期对系统帐户口令