??????? 6.9 監(jiān)控
??????? 6.9.1審計日志
??????? 審計日志需記錄用戶活動�、異常事件和信息安全事件;為了幫助未來的調(diào)查和訪問控制監(jiān)視��,審計日志至少應(yīng)保存1年���。
??????? 6.9.2監(jiān)視系統(tǒng)的使用
??????? 應(yīng)建立必要的信息處理設(shè)施的監(jiān)視使用程序�����,監(jiān)視活動的結(jié)果應(yīng)定期評審�。
??????? 6.9.3日志信息的保護
??????? 記錄日志的設(shè)施和日志信息應(yīng)加以保護����,以防止篡改和未授權(quán)的訪問。
??????? 6.9.4管理員和操作員日志
??????? 系統(tǒng)管理員和系統(tǒng)操作員活動應(yīng)記入日志�。系統(tǒng)管理員與系統(tǒng)操作員無權(quán)更改或刪除日志��。
??????? 6.9.5故障日志
??????? 與信息處理或通信系統(tǒng)的問題有關(guān)的用戶或系統(tǒng)程序所報告的故障要加以記錄�����、分析,并采取適當(dāng)?shù)拇胧?br />
??????? 6.9.6時鐘同步
??????? 一個安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用已設(shè)的精確時間源進行同步���。
??????? 5星級IDC各計算機系統(tǒng)的時鐘與標(biāo)準(zhǔn)時間的誤差不超過10秒�。
??????? 4星級IDC各計算機系統(tǒng)的時鐘與標(biāo)準(zhǔn)時間的誤差不超過25秒�。
??????? 7、訪問控制
??????? 7.1用戶訪問管理
??????? 應(yīng)有正式的用戶注冊及注銷程序�����,來授權(quán)和撤銷對所有信息系統(tǒng)及服務(wù)的訪問�。
??????? 應(yīng)限制和控制特殊權(quán)限的分配及使用;應(yīng)通過正式的管理過程控制口令的分配����,確保口令安全���;管理層應(yīng)定期使用正式過程對用戶的訪問權(quán)進行復(fù)查��。
??????? 7.2用戶職責(zé)
??????? 建立指導(dǎo)用戶選擇和使用口令的指南規(guī)定����,使用戶在選擇及使用口令時,遵循良好的安全習(xí)慣����。
??????? 用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Wo,防止未授權(quán)的訪問��。
??????? 建立清空桌面和屏幕策略�,采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略���,IDC并定期組織檢查效果��。
??????? 7.3網(wǎng)絡(luò)訪問控制
??????? 建立訪問控制策略���,確保用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。
??????? 應(yīng)使用安全地鑒別方法以控制遠程用戶的訪問����,例如口令+證書。
??????? 對于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制�����,防止未授權(quán)訪問���。
??????? 根據(jù)安全要求����,應(yīng)在網(wǎng)絡(luò)中劃分安全域�,以隔離信息服務(wù)、用戶及信息系統(tǒng)�;對于共享的網(wǎng)絡(luò),特別是越過組織邊界的網(wǎng)絡(luò)�,用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制,并建立適當(dāng)?shù)穆酚煽刂拼胧?br />
??????? 7.4操作系統(tǒng)訪問控制
??????? 建立一個操作系統(tǒng)安全登錄程序���,防止未授權(quán)訪問�����;所有用戶應(yīng)有唯一的���、專供其個人使用的標(biāo)識符(用戶ID),應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實用戶所宣稱的身份���。
??????? 可能超越系統(tǒng)和應(yīng)用程序控制的管理工具的使用應(yīng)加以限制并嚴(yán)格控制�。
??????? 不活動會話應(yīng)在一個設(shè)定的休止期后關(guān)閉�;使用聯(lián)機時間的限制����,為高風(fēng)險應(yīng)用程序提供額外的安全���。
??????? 7.5應(yīng)用和信息訪問控制
??????? 用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制���。
??????? 敏感系統(tǒng)應(yīng)考慮系統(tǒng)隔離,使用專用的(或孤立的)計算機環(huán)境�����。
??????? 7.6移動計算和遠程工作
??????? 應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧?���,以防范使用移動計算和通信設(shè)施時所造成的風(fēng)險。
??????? 通過網(wǎng)絡(luò)遠程訪問IDC�,需在通過授權(quán)的情況下對用戶進行認證并對通信內(nèi)容進行加密。
??????? 8����、信息系統(tǒng)獲取、開發(fā)和維護
??????? 8.1安全需求分析和說明
??????? 在新的信息系統(tǒng)或增強已有信息系統(tǒng)的業(yè)務(wù)需求陳述中����,應(yīng)規(guī)定對安全控制措施的要求��。
??????? 8.2信息處理控制
??????? 輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗證���,以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?br />
??????? 驗證檢查應(yīng)整合到應(yīng)用中��,以檢查由于處理的錯誤或故意的行為造成的信息的訛誤�。
??????? 通過控制措施,確保信息在處理過程中的完整性�����,并對處理結(jié)果進行驗證�。
??????? 8.3密碼控制
??????? 應(yīng)開發(fā)和實施使用密碼控制措施來保護信息的策略,并保證密鑰的安全使用��。
??????? 8.4系統(tǒng)文件的安全
??????? 應(yīng)有程序來控制在運行系統(tǒng)上安裝軟件���;試數(shù)據(jù)應(yīng)認真地加以選擇���、保護和控制;應(yīng)限制訪問程序源代碼���。
??????? 8.5開發(fā)過程和支持過程中的安全
??????? 建立變更控制程序控制變更的實施����;當(dāng)操作系統(tǒng)發(fā)生變更后,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行評審和測試���,以確保對組織的運行和安全沒有負面影響����。
??????? IDC應(yīng)管理和監(jiān)視外包軟件的開發(fā)�����。
??????? 8.6技術(shù)脆弱性管理
??????? 應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息�����,評價組織對這些脆弱性的暴露程度���,并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險�����。
??????? 9�、信息安全事件管理
??????? 9.1報告信息安全事態(tài)和弱點
??????? 建立正式的IDC信息安全事件報告程序��,并形成文件。
??????? 建立適當(dāng)?shù)某绦?,保證信息安全事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M行報告,要求員工��、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點���。
??????? 9.2職責(zé)和程序
??????? 應(yīng)建立管理職責(zé)和架構(gòu),以確保能對信息安全事件做出快速�、有效和有序的響應(yīng)。
??????? 9.3對信息安全事件的總結(jié)和證據(jù)的收集
??????? 建立一套機制量化和監(jiān)視信息安全事件的類型����、數(shù)量和代價,并且當(dāng)一個信息安全事件涉及到訴訟(民事的或刑事的)�,需要進一步對個人或組織進行起訴時,應(yīng)收集���、保留和呈遞證據(jù)�,以使證據(jù)符合相關(guān)訴訟管轄權(quán)��。
??????? 10���、業(yè)務(wù)連續(xù)性管理
??????? 10.1業(yè)務(wù)連續(xù)性計劃
??????? 建立和維持一個用于整個組織的業(yè)務(wù)連續(xù)性計劃����,通過使用預(yù)防和恢復(fù)控制措施,將對組織的影響減少到最低�����,并從信息資產(chǎn)的損失中恢復(fù)到可接受的程度�。
??????? 10.2業(yè)務(wù)連續(xù)性和風(fēng)險評估
??????? 通過恰當(dāng)?shù)某绦颍R別能引起IDC業(yè)務(wù)過程中斷的事態(tài)(例如�,設(shè)備故障、人為錯誤�、盜竊、火災(zāi)����、自然災(zāi)害和恐怖行為等),這種中斷發(fā)生的概率和影響���,以及它們對信息安全所造成的后果�����。
??????? 業(yè)務(wù)資源與過程責(zé)任人參與業(yè)務(wù)連續(xù)性風(fēng)險評估�����。
??????? 10.3制定和實施包括信息安全的連續(xù)性計劃
??????? 建立業(yè)務(wù)運行恢復(fù)計劃�,以使關(guān)鍵業(yè)務(wù)過程在中斷或發(fā)生故障后,能在規(guī)定的水準(zhǔn)與規(guī)定的時間范圍恢復(fù)運行
??????? 10.4測試���、維護和再評估業(yè)務(wù)連續(xù)性計劃
??????? 業(yè)務(wù)連續(xù)性計劃應(yīng)定期測試和更新����,以確保其及時性和有效性����。
??????? 定期測試及更新業(yè)務(wù)連續(xù)性計劃(BCP)/災(zāi)難恢復(fù)計劃(DRP)���,并對員工進行培訓(xùn)�����;定期對IDC的風(fēng)險進行審核和管理評審�,及時發(fā)現(xiàn)潛在的災(zāi)難和安全失效����。
??????? 5星級IDC:至少每年一次測試及更新;BCP/DRP,并對員工進行培訓(xùn)��; 至少每年一次對IDC的風(fēng)險進行審核和管理評審���,及時發(fā)現(xiàn)潛在的災(zāi)難和安全失效��。
??????? 4星級IDC:至少每年一次測試及更新���;BCP/DRP,并對員工進行培訓(xùn)��;至少每年一次對IDC的風(fēng)險進行審核和管理評審��,及時發(fā)現(xiàn)潛在的災(zāi)難和安全失效�。
??????? 11、符合性
??????? 11.1可用法律�����、法規(guī)的識別
??????? IDC所有相關(guān)的法令����、法規(guī)和合同要求,以及為滿足這些要求組織所采用的方法�����,應(yīng)加以明確地定義、收集和跟蹤�,并形成文件并保持更新。
??????? 11.2知識產(chǎn)權(quán)
??????? 應(yīng)實施適當(dāng)?shù)某绦?,以確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時,符合法律��、法規(guī)和合同的要求�。
??????? 11.3保護組織的記錄
??????? 應(yīng)防止重要的記錄遺失、毀壞和偽造���,以滿足法令�����、法規(guī)、合同和業(yè)務(wù)的要求����。
??????? 11.4技術(shù)符合性檢查
??????? 定期地對信息系統(tǒng)進行安全實施標(biāo)準(zhǔn)符合檢查,由具有勝任能力的已授權(quán)的人員執(zhí)行�����,或在他們的監(jiān)督下執(zhí)行。
??????? 11.5數(shù)據(jù)保護和個人信息的隱私
??????? 應(yīng)依照相關(guān)的法律���、法規(guī)和合同條款的要求���,確保數(shù)據(jù)保護和隱私。
???????
???????
