序号落实控制内容控制点要求审核结果1物理环境清理观察项2物理上锁34信息安全量化记分5信息资产敏感性标识6资产登记7风险评估8公用电脑管理1011屏保设定1214保密协议签订1516人员背景调查ISMS不符合项报告办公室物理环境清理;1、人员下班或较长时间离开房间时,房间门上锁;2、文件柜、保险柜、档案柜上锁;轻微不符合文档打印/复印/碎纸1、打印/复印后要及时取走;2、打印机/复印机张贴安全提示;3、作废的机密文档要以碎纸机碎掉或撕成碎块,不要直接作为垃圾丢弃。避免和减少信息外泄或非授权访问的发生。严重不符合1、信息安全管理员对违反安全规定的人员进行记分;2、信息安全管理管理小组每季对记分结果进行汇总;3、人力资源根据记分结果进行考核。硬件资产、纸质文档贴敏感性标签,电子文档在模板中增加电子标识1、应当对所有信息资产进行识别,建立资产清单和使用规则,明确定义信息资产责任人及其职责;2、资产清单应每季度更新一次。1、每年对信息资产所面临的风险进行至少一次风险评估各部门的公用电脑只限于本部门的员工使用,其他人员(特别是外部人员)未经部门负责人允许不得使用帐户口令权限评审与清理定期对系统帐户口令权限进行评审与清理(包括支付平台、网络设备、安全设备、主机)人员离开座位时超过一定的时间段,要对电脑进行锁屏处理或设置自动锁屏个人办公电脑安全控制(帐户权限、口令/病毒/系统补丁/个人数据备份等)个人办公电脑使用者需要确保:1、无多余帐户,口令符合相关规定,2、防病毒软件及时升级,定期扫描;3、系统补丁更新4、对个人重要数据进行定期备份5、取消用户的默认共享。整理已签订的保密协议内部相关方保密协议签订(信息技术中心现场支持人员等),保密协议中要包括要求内部相关方进行人员背景调查的内容外部人员保密协议的签订离职或转岗人员信息资产交接和权限调整人员离职或转岗时,对其使用或拥有帐户进行注销或修改,对其使用/管理的信息资产进行处理(可选方式:交接给其它人员、数据备份、数据删除等)对新入职的人员进行背景调查,并提供背景调查的证据序号落实控制内容控制点要求审核结果1物理环境清理2物理上锁34信息安全量化记分5信息资产敏感性标识6资产登记7风险评估8公用电脑管理1011屏保设定1213门禁系统管理15监控录相定期审查16外部人员访问进入控制17监控录相的保存期限监控录相应保留至少一月18物理区域标识对物理安全区域进行划分,对三、四级安全区域进行标识19身份识别卡的记录...
