??????? 6.9 監(jiān)控
??????? 6.9.1審計(jì)日志
??????? 審計(jì)日志需記錄用戶活動(dòng)、異常事件和信息安全事件；為了幫助未來的調(diào)查和訪問控制監(jiān)視，審計(jì)日志至少應(yīng)保存1年。
??????? 6.9.2監(jiān)視系統(tǒng)的使用
??????? 應(yīng)建立必要的信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的結(jié)果應(yīng)定期評(píng)審。
??????? 6.9.3日志信息的保護(hù)
??????? 記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。
??????? 6.9.4管理員和操作員日志
??????? 系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。系統(tǒng)管理員與系統(tǒng)操作員無權(quán)更改或刪除日志。
??????? 6.9.5故障日志
??????? 與信息處理或通信系統(tǒng)的問題有關(guān)的用戶或系統(tǒng)程序所報(bào)告的故障要加以記錄、分析，并采取適當(dāng)?shù)拇胧?br /> ??????? 6.9.6時(shí)鐘同步
??????? 一個(gè)安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。
??????? 5星級(jí)IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過10秒。
??????? 4星級(jí)IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過25秒。
??????? 7、訪問控制
??????? 7.1用戶訪問管理
??????? 應(yīng)有正式的用戶注冊(cè)及注銷程序，來授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服務(wù)的訪問。
??????? 應(yīng)限制和控制特殊權(quán)限的分配及使用；應(yīng)通過正式的管理過程控制口令的分配，確保口令安全；管理層應(yīng)定期使用正式過程對(duì)用戶的訪問權(quán)進(jìn)行復(fù)查。
??????? 7.2用戶職責(zé)
??????? 建立指導(dǎo)用戶選擇和使用口令的指南規(guī)定，使用戶在選擇及使用口令時(shí)，遵循良好的安全習(xí)慣。
??????? 用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)，防止未授權(quán)的訪問。
??????? 建立清空桌面和屏幕策略，采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略，IDC并定期組織檢查效果。
??????? 7.3網(wǎng)絡(luò)訪問控制
??????? 建立訪問控制策略，確保用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。
??????? 應(yīng)使用安全地鑒別方法以控制遠(yuǎn)程用戶的訪問，例如口令+證書。
??????? 對(duì)于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制，防止未授權(quán)訪問。
??????? 根據(jù)安全要求，應(yīng)在網(wǎng)絡(luò)中劃分安全域，以隔離信息服務(wù)、用戶及信息系統(tǒng)；對(duì)于共享的網(wǎng)絡(luò)，特別是越過組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制，并建立適當(dāng)?shù)穆酚煽刂拼胧?br /> ??????? 7.4操作系統(tǒng)訪問控制
??????? 建立一個(gè)操作系統(tǒng)安全登錄程序，防止未授權(quán)訪問；所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符（用戶ID），應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。
??????? 可能超越系統(tǒng)和應(yīng)用程序控制的管理工具的使用應(yīng)加以限制并嚴(yán)格控制。
??????? 不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉；使用聯(lián)機(jī)時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。
??????? 7.5應(yīng)用和信息訪問控制
??????? 用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制。
??????? 敏感系統(tǒng)應(yīng)考慮系統(tǒng)隔離，使用專用的（或孤立的）計(jì)算機(jī)環(huán)境。
??????? 7.6移動(dòng)計(jì)算和遠(yuǎn)程工作
??????? 應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧?，以防范使用移?dòng)計(jì)算和通信設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。
??????? 通過網(wǎng)絡(luò)遠(yuǎn)程訪問IDC，需在通過授權(quán)的情況下對(duì)用戶進(jìn)行認(rèn)證并對(duì)通信內(nèi)容進(jìn)行加密。
??????? 8、信息系統(tǒng)獲取、開發(fā)和維護(hù)
??????? 8.1安全需求分析和說明
??????? 在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)需求陳述中，應(yīng)規(guī)定對(duì)安全控制措施的要求。
??????? 8.2信息處理控制
??????? 輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?br /> ??????? 驗(yàn)證檢查應(yīng)整合到應(yīng)用中，以檢查由于處理的錯(cuò)誤或故意的行為造成的信息的訛誤。
??????? 通過控制措施，確保信息在處理過程中的完整性，并對(duì)處理結(jié)果進(jìn)行驗(yàn)證。
??????? 8.3密碼控制
??????? 應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略，并保證密鑰的安全使用。
??????? 8.4系統(tǒng)文件的安全
??????? 應(yīng)有程序來控制在運(yùn)行系統(tǒng)上安裝軟件；試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制；應(yīng)限制訪問程序源代碼。
??????? 8.5開發(fā)過程和支持過程中的安全
??????? 建立變更控制程序控制變更的實(shí)施；當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響。
??????? IDC應(yīng)管理和監(jiān)視外包軟件的開發(fā)。
??????? 8.6技術(shù)脆弱性管理
??????? 應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險(xiǎn)。
??????? 9、信息安全事件管理
??????? 9.1報(bào)告信息安全事態(tài)和弱點(diǎn)
??????? 建立正式的IDC信息安全事件報(bào)告程序，并形成文件。
??????? 建立適當(dāng)?shù)某绦?，保證信息安全事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告，要求員工、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。
??????? 9.2職責(zé)和程序
??????? 應(yīng)建立管理職責(zé)和架構(gòu)，以確保能對(duì)信息安全事件做出快速、有效和有序的響應(yīng)。
??????? 9.3對(duì)信息安全事件的總結(jié)和證據(jù)的收集
??????? 建立一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià)，并且當(dāng)一個(gè)信息安全事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。
??????? 10、業(yè)務(wù)連續(xù)性管理
??????? 10.1業(yè)務(wù)連續(xù)性計(jì)劃
??????? 建立和維持一個(gè)用于整個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃，通過使用預(yù)防和恢復(fù)控制措施，將對(duì)組織的影響減少到最低，并從信息資產(chǎn)的損失中恢復(fù)到可接受的程度。
??????? 10.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估
??????? 通過恰當(dāng)?shù)某绦?，識(shí)別能引起IDC業(yè)務(wù)過程中斷的事態(tài)（例如，設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為等），這種中斷發(fā)生的概率和影響，以及它們對(duì)信息安全所造成的后果。
??????? 業(yè)務(wù)資源與過程責(zé)任人參與業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估。
??????? 10.3制定和實(shí)施包括信息安全的連續(xù)性計(jì)劃
??????? 建立業(yè)務(wù)運(yùn)行恢復(fù)計(jì)劃，以使關(guān)鍵業(yè)務(wù)過程在中斷或發(fā)生故障后，能在規(guī)定的水準(zhǔn)與規(guī)定的時(shí)間范圍恢復(fù)運(yùn)行
??????? 10.4測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃
??????? 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測(cè)試和更新，以確保其及時(shí)性和有效性。
??????? 定期測(cè)試及更新業(yè)務(wù)連續(xù)性計(jì)劃（BCP）/災(zāi)難恢復(fù)計(jì)劃（DRP），并對(duì)員工進(jìn)行培訓(xùn)；定期對(duì)IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審，及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
??????? 5星級(jí)IDC：至少每年一次測(cè)試及更新；BCP/DRP，并對(duì)員工進(jìn)行培訓(xùn)； 至少每年一次對(duì)IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審，及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
??????? 4星級(jí)IDC：至少每年一次測(cè)試及更新；BCP/DRP，并對(duì)員工進(jìn)行培訓(xùn)；至少每年一次對(duì)IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審，及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
??????? 11、符合性
??????? 11.1可用法律、法規(guī)的識(shí)別
??????? IDC所有相關(guān)的法令、法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，應(yīng)加以明確地定義、收集和跟蹤，并形成文件并保持更新。
??????? 11.2知識(shí)產(chǎn)權(quán)
??????? 應(yīng)實(shí)施適當(dāng)?shù)某绦颍源_保在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí)，符合法律、法規(guī)和合同的要求。
??????? 11.3保護(hù)組織的記錄
??????? 應(yīng)防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè)務(wù)的要求。
??????? 11.4技術(shù)符合性檢查
??????? 定期地對(duì)信息系統(tǒng)進(jìn)行安全實(shí)施標(biāo)準(zhǔn)符合檢查，由具有勝任能力的已授權(quán)的人員執(zhí)行，或在他們的監(jiān)督下執(zhí)行。
??????? 11.5數(shù)據(jù)保護(hù)和個(gè)人信息的隱私
??????? 應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保數(shù)據(jù)保護(hù)和隱私。
???????
???????