B/T 22080-2008 条款 A9.1.2 物理入口控制“安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。”的要求。不符合事实:现场发现未经授权的人员张 X 进出机器和网络操作机房,却没有任何登记记录,而程序文件( GX28 )规定除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。 3、不符合标准 GB/T 22080-200 8条款 4.2.1 d) 识别风险“3) 识别可能被威胁利用的脆弱性;”的要求。不符合事实:现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。 4、不符合标准 GB/T 22080-2008 条款 8.2 纠正措施“组织应采取措施,以消除与 ISMS 要求不符合的原因,以防止再发生。”的要求。不符合事实: XX 银行在 2008 年一季度发生了 10 起网银客户资金损失事故, 4-5 月又发生7 起类似事故。 5、不符合标准 GB/T 22080-2008 条款 A.11.6.1 信息访问控制“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制”的要求。不符合事实:开发人员可以修改测试问题记录。 6、不符合标准 GB/T 22080-2008 条款 A.7.1.3 资产的可接受使用“与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施”的要求。不符合事实: 非常敏感的系统设计文件, 公司要求开发人员只可读, 不可以修改, 且不可以在公司其他部门传阅,但未对开发人员是否可以打印进行规定。 7、不符合标准 GB/T 22080-2008 条款 A.11.3.3 清空桌面和屏幕策略“应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略”的要求。不符合事实: 敏感票据印刷企业的制版工艺工艺师办公桌上散放着三份含水量有票据制版工艺要求的生产通知单。
全文预览
