??????? 6.9 監(jiān)控
??????? 6.9.1審計日志
??????? 審計日志需記錄用戶活動、異常事件和信息安全事件��;為了幫助未來的調(diào)查和訪問控制監(jiān)視����,審計日志至少應保存1年����。
??????? 6.9.2監(jiān)視系統(tǒng)的使用
??????? 應建立必要的信息處理設施的監(jiān)視使用程序,監(jiān)視活動的結(jié)果應定期評審�。
??????? 6.9.3日志信息的保護
??????? 記錄日志的設施和日志信息應加以保護,以防止篡改和未授權的訪問����。
??????? 6.9.4管理員和操作員日志
??????? 系統(tǒng)管理員和系統(tǒng)操作員活動應記入日志。系統(tǒng)管理員與系統(tǒng)操作員無權更改或刪除日志�����。
??????? 6.9.5故障日志
??????? 與信息處理或通信系統(tǒng)的問題有關的用戶或系統(tǒng)程序所報告的故障要加以記錄、分析�����,并采取適當?shù)拇胧?br />
??????? 6.9.6時鐘同步
??????? 一個安全域內(nèi)的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步��。
??????? 5星級IDC各計算機系統(tǒng)的時鐘與標準時間的誤差不超過10秒�����。
??????? 4星級IDC各計算機系統(tǒng)的時鐘與標準時間的誤差不超過25秒����。
??????? 7、訪問控制
??????? 7.1用戶訪問管理
??????? 應有正式的用戶注冊及注銷程序����,來授權和撤銷對所有信息系統(tǒng)及服務的訪問。
??????? 應限制和控制特殊權限的分配及使用���;應通過正式的管理過程控制口令的分配���,確保口令安全���;管理層應定期使用正式過程對用戶的訪問權進行復查���。
??????? 7.2用戶職責
??????? 建立指導用戶選擇和使用口令的指南規(guī)定���,使用戶在選擇及使用口令時,遵循良好的安全習慣���。
??????? 用戶應確保無人值守的用戶設備有適當?shù)谋Wo���,防止未授權的訪問。
??????? 建立清空桌面和屏幕策略�,采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕的策略��,IDC并定期組織檢查效果���。
??????? 7.3網(wǎng)絡訪問控制
??????? 建立訪問控制策略,確保用戶應僅能訪問已獲專門授權使用的服務���。
??????? 應使用安全地鑒別方法以控制遠程用戶的訪問����,例如口令+證書。
??????? 對于診斷和配置端口的物理和邏輯訪問應加以控制���,防止未授權訪問��。
??????? 根據(jù)安全要求�����,應在網(wǎng)絡中劃分安全域��,以隔離信息服務�����、用戶及信息系統(tǒng)�����;對于共享的網(wǎng)絡����,特別是越過組織邊界的網(wǎng)絡�����,用戶的聯(lián)網(wǎng)能力應按照訪問控制策略和業(yè)務應用要求加以限制,并建立適當?shù)穆酚煽刂拼胧?br />
??????? 7.4操作系統(tǒng)訪問控制
??????? 建立一個操作系統(tǒng)安全登錄程序���,防止未授權訪問�;所有用戶應有唯一的�、專供其個人使用的標識符(用戶ID),應選擇一種適當?shù)蔫b別技術證實用戶所宣稱的身份�����。
??????? 可能超越系統(tǒng)和應用程序控制的管理工具的使用應加以限制并嚴格控制�。
??????? 不活動會話應在一個設定的休止期后關閉;使用聯(lián)機時間的限制�,為高風險應用程序提供額外的安全。
??????? 7.5應用和信息訪問控制
??????? 用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制�。
??????? 敏感系統(tǒng)應考慮系統(tǒng)隔離,使用專用的(或孤立的)計算機環(huán)境�����。
??????? 7.6移動計算和遠程工作
??????? 應有正式策略并且采用適當?shù)陌踩胧?����,以防范使用移動計算和通信設施時所造成的風險��。
??????? 通過網(wǎng)絡遠程訪問IDC����,需在通過授權的情況下對用戶進行認證并對通信內(nèi)容進行加密。
??????? 8�����、信息系統(tǒng)獲取�、開發(fā)和維護
??????? 8.1安全需求分析和說明
??????? 在新的信息系統(tǒng)或增強已有信息系統(tǒng)的業(yè)務需求陳述中,應規(guī)定對安全控制措施的要求�。
??????? 8.2信息處理控制
??????? 輸入應用系統(tǒng)的數(shù)據(jù)應加以驗證,以確保數(shù)據(jù)是正確且恰當?shù)摹?br />
??????? 驗證檢查應整合到應用中��,以檢查由于處理的錯誤或故意的行為造成的信息的訛誤����。
??????? 通過控制措施,確保信息在處理過程中的完整性����,并對處理結(jié)果進行驗證。
??????? 8.3密碼控制
??????? 應開發(fā)和實施使用密碼控制措施來保護信息的策略����,并保證密鑰的安全使用��。
??????? 8.4系統(tǒng)文件的安全
??????? 應有程序來控制在運行系統(tǒng)上安裝軟件�;試數(shù)據(jù)應認真地加以選擇����、保護和控制;應限制訪問程序源代碼�����。
??????? 8.5開發(fā)過程和支持過程中的安全
??????? 建立變更控制程序控制變更的實施����;當操作系統(tǒng)發(fā)生變更后,應對業(yè)務的關鍵應用進行評審和測試�,以確保對組織的運行和安全沒有負面影響。
??????? IDC應管理和監(jiān)視外包軟件的開發(fā)��。
??????? 8.6技術脆弱性管理
??????? 應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息�,評價組織對這些脆弱性的暴露程度,并采取適當?shù)拇胧﹣硖幚硐嚓P的風險����。
??????? 9���、信息安全事件管理
??????? 9.1報告信息安全事態(tài)和弱點
??????? 建立正式的IDC信息安全事件報告程序���,并形成文件����。
??????? 建立適當?shù)某绦?����,保證信息安全事態(tài)應該盡可能快地通過適當?shù)墓芾砬肋M行報告��,要求員工�、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點。
??????? 9.2職責和程序
??????? 應建立管理職責和架構���,以確保能對信息安全事件做出快速���、有效和有序的響應。
??????? 9.3對信息安全事件的總結(jié)和證據(jù)的收集
??????? 建立一套機制量化和監(jiān)視信息安全事件的類型�、數(shù)量和代價,并且當一個信息安全事件涉及到訴訟(民事的或刑事的)����,需要進一步對個人或組織進行起訴時�,應收集�、保留和呈遞證據(jù),以使證據(jù)符合相關訴訟管轄權�。
??????? 10、業(yè)務連續(xù)性管理
??????? 10.1業(yè)務連續(xù)性計劃
??????? 建立和維持一個用于整個組織的業(yè)務連續(xù)性計劃�,通過使用預防和恢復控制措施,將對組織的影響減少到最低�����,并從信息資產(chǎn)的損失中恢復到可接受的程度���。
??????? 10.2業(yè)務連續(xù)性和風險評估
??????? 通過恰當?shù)某绦?��,識別能引起IDC業(yè)務過程中斷的事態(tài)(例如,設備故障���、人為錯誤����、盜竊����、火災�、自然災害和恐怖行為等)����,這種中斷發(fā)生的概率和影響�����,以及它們對信息安全所造成的后果���。
??????? 業(yè)務資源與過程責任人參與業(yè)務連續(xù)性風險評估����。
??????? 10.3制定和實施包括信息安全的連續(xù)性計劃
??????? 建立業(yè)務運行恢復計劃��,以使關鍵業(yè)務過程在中斷或發(fā)生故障后���,能在規(guī)定的水準與規(guī)定的時間范圍恢復運行
??????? 10.4測試��、維護和再評估業(yè)務連續(xù)性計劃
??????? 業(yè)務連續(xù)性計劃應定期測試和更新���,以確保其及時性和有效性。
??????? 定期測試及更新業(yè)務連續(xù)性計劃(BCP)/災難恢復計劃(DRP),并對員工進行培訓���;定期對IDC的風險進行審核和管理評審�����,及時發(fā)現(xiàn)潛在的災難和安全失效���。
??????? 5星級IDC:至少每年一次測試及更新;BCP/DRP����,并對員工進行培訓; 至少每年一次對IDC的風險進行審核和管理評審���,及時發(fā)現(xiàn)潛在的災難和安全失效����。
??????? 4星級IDC:至少每年一次測試及更新���;BCP/DRP���,并對員工進行培訓����;至少每年一次對IDC的風險進行審核和管理評審�����,及時發(fā)現(xiàn)潛在的災難和安全失效��。
??????? 11�、符合性
??????? 11.1可用法律�����、法規(guī)的識別
??????? IDC所有相關的法令�、法規(guī)和合同要求,以及為滿足這些要求組織所采用的方法����,應加以明確地定義、收集和跟蹤����,并形成文件并保持更新。
??????? 11.2知識產(chǎn)權
??????? 應實施適當?shù)某绦?���,以確保在使用具有知識產(chǎn)權的材料和具有所有權的軟件產(chǎn)品時�����,符合法律��、法規(guī)和合同的要求�。
??????? 11.3保護組織的記錄
??????? 應防止重要的記錄遺失�、毀壞和偽造,以滿足法令����、法規(guī)、合同和業(yè)務的要求���。
??????? 11.4技術符合性檢查
??????? 定期地對信息系統(tǒng)進行安全實施標準符合檢查���,由具有勝任能力的已授權的人員執(zhí)行,或在他們的監(jiān)督下執(zhí)行�。
??????? 11.5數(shù)據(jù)保護和個人信息的隱私
??????? 應依照相關的法律、法規(guī)和合同條款的要求��,確保數(shù)據(jù)保護和隱私���。
???????
???????
