??????? 6.9 監(jiān)控
??????? 6.9.1審計(jì)日志
??????? 審計(jì)日志需記錄用戶活動(dòng)、異常事件和信息安全事件;為了幫助未來的調(diào)查和訪問控制監(jiān)視,審計(jì)日志至少應(yīng)保存1年。
??????? 6.9.2監(jiān)視系統(tǒng)的使用
??????? 應(yīng)建立必要的信息處理設(shè)施的監(jiān)視使用程序,監(jiān)視活動(dòng)的結(jié)果應(yīng)定期評審。
??????? 6.9.3日志信息的保護(hù)
??????? 記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪問。
??????? 6.9.4管理員和操作員日志
??????? 系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。系統(tǒng)管理員與系統(tǒng)操作員無權(quán)更改或刪除日志。
??????? 6.9.5故障日志
??????? 與信息處理或通信系統(tǒng)的問題有關(guān)的用戶或系統(tǒng)程序所報(bào)告的故障要加以記錄、分析,并采取適當(dāng)?shù)拇胧?br />
??????? 6.9.6時(shí)鐘同步
??????? 一個(gè)安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。
??????? 5星級IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過10秒。
??????? 4星級IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過25秒。
??????? 7、訪問控制
??????? 7.1用戶訪問管理
??????? 應(yīng)有正式的用戶注冊及注銷程序,來授權(quán)和撤銷對所有信息系統(tǒng)及服務(wù)的訪問。
??????? 應(yīng)限制和控制特殊權(quán)限的分配及使用;應(yīng)通過正式的管理過程控制口令的分配,確保口令安全;管理層應(yīng)定期使用正式過程對用戶的訪問權(quán)進(jìn)行復(fù)查。
??????? 7.2用戶職責(zé)
??????? 建立指導(dǎo)用戶選擇和使用口令的指南規(guī)定,使用戶在選擇及使用口令時(shí),遵循良好的安全習(xí)慣。
??????? 用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Wo(hù),防止未授權(quán)的訪問。
??????? 建立清空桌面和屏幕策略,采取清空桌面上文件、可移動(dòng)存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略,IDC并定期組織檢查效果。
??????? 7.3網(wǎng)絡(luò)訪問控制
??????? 建立訪問控制策略,確保用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。
??????? 應(yīng)使用安全地鑒別方法以控制遠(yuǎn)程用戶的訪問,例如口令+證書。
??????? 對于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制,防止未授權(quán)訪問。
??????? 根據(jù)安全要求,應(yīng)在網(wǎng)絡(luò)中劃分安全域,以隔離信息服務(wù)、用戶及信息系統(tǒng);對于共享的網(wǎng)絡(luò),特別是越過組織邊界的網(wǎng)絡(luò),用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制,并建立適當(dāng)?shù)穆酚煽刂拼胧?br />
??????? 7.4操作系統(tǒng)訪問控制
??????? 建立一個(gè)操作系統(tǒng)安全登錄程序,防止未授權(quán)訪問;所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識符(用戶ID),應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。
??????? 可能超越系統(tǒng)和應(yīng)用程序控制的管理工具的使用應(yīng)加以限制并嚴(yán)格控制。
??????? 不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉;使用聯(lián)機(jī)時(shí)間的限制,為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。
??????? 7.5應(yīng)用和信息訪問控制
??????? 用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制。
??????? 敏感系統(tǒng)應(yīng)考慮系統(tǒng)隔離,使用專用的(或孤立的)計(jì)算機(jī)環(huán)境。
??????? 7.6移動(dòng)計(jì)算和遠(yuǎn)程工作
??????? 應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧?,以防范使用移?dòng)計(jì)算和通信設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。
??????? 通過網(wǎng)絡(luò)遠(yuǎn)程訪問IDC,需在通過授權(quán)的情況下對用戶進(jìn)行認(rèn)證并對通信內(nèi)容進(jìn)行加密。
??????? 8、信息系統(tǒng)獲取、開發(fā)和維護(hù)
??????? 8.1安全需求分析和說明
??????? 在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)需求陳述中,應(yīng)規(guī)定對安全控制措施的要求。
??????? 8.2信息處理控制
??????? 輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證,以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?br />
??????? 驗(yàn)證檢查應(yīng)整合到應(yīng)用中,以檢查由于處理的錯(cuò)誤或故意的行為造成的信息的訛誤。
??????? 通過控制措施,確保信息在處理過程中的完整性,并對處理結(jié)果進(jìn)行驗(yàn)證。
??????? 8.3密碼控制
??????? 應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略,并保證密鑰的安全使用。
??????? 8.4系統(tǒng)文件的安全
??????? 應(yīng)有程序來控制在運(yùn)行系統(tǒng)上安裝軟件;試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制;應(yīng)限制訪問程序源代碼。
??????? 8.5開發(fā)過程和支持過程中的安全
??????? 建立變更控制程序控制變更的實(shí)施;當(dāng)操作系統(tǒng)發(fā)生變更后,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試,以確保對組織的運(yùn)行和安全沒有負(fù)面影響。
??????? IDC應(yīng)管理和監(jiān)視外包軟件的開發(fā)。
??????? 8.6技術(shù)脆弱性管理
??????? 應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息,評價(jià)組織對這些脆弱性的暴露程度,并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險(xiǎn)。
??????? 9、信息安全事件管理
??????? 9.1報(bào)告信息安全事態(tài)和弱點(diǎn)
??????? 建立正式的IDC信息安全事件報(bào)告程序,并形成文件。
??????? 建立適當(dāng)?shù)某绦?,保證信息安全事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告,要求員工、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。
??????? 9.2職責(zé)和程序
??????? 應(yīng)建立管理職責(zé)和架構(gòu),以確保能對信息安全事件做出快速、有效和有序的響應(yīng)。
??????? 9.3對信息安全事件的總結(jié)和證據(jù)的收集
??????? 建立一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià),并且當(dāng)一個(gè)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對個(gè)人或組織進(jìn)行起訴時(shí),應(yīng)收集、保留和呈遞證據(jù),以使證據(jù)符合相關(guān)訴訟管轄權(quán)。
??????? 10、業(yè)務(wù)連續(xù)性管理
??????? 10.1業(yè)務(wù)連續(xù)性計(jì)劃
??????? 建立和維持一個(gè)用于整個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃,通過使用預(yù)防和恢復(fù)控制措施,將對組織的影響減少到最低,并從信息資產(chǎn)的損失中恢復(fù)到可接受的程度。
??????? 10.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評估
??????? 通過恰當(dāng)?shù)某绦颍R別能引起IDC業(yè)務(wù)過程中斷的事態(tài)(例如,設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為等),這種中斷發(fā)生的概率和影響,以及它們對信息安全所造成的后果。
??????? 業(yè)務(wù)資源與過程責(zé)任人參與業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評估。
??????? 10.3制定和實(shí)施包括信息安全的連續(xù)性計(jì)劃
??????? 建立業(yè)務(wù)運(yùn)行恢復(fù)計(jì)劃,以使關(guān)鍵業(yè)務(wù)過程在中斷或發(fā)生故障后,能在規(guī)定的水準(zhǔn)與規(guī)定的時(shí)間范圍恢復(fù)運(yùn)行
??????? 10.4測試、維護(hù)和再評估業(yè)務(wù)連續(xù)性計(jì)劃
??????? 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測試和更新,以確保其及時(shí)性和有效性。
??????? 定期測試及更新業(yè)務(wù)連續(xù)性計(jì)劃(BCP)/災(zāi)難恢復(fù)計(jì)劃(DRP),并對員工進(jìn)行培訓(xùn);定期對IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評審,及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
??????? 5星級IDC:至少每年一次測試及更新;BCP/DRP,并對員工進(jìn)行培訓(xùn); 至少每年一次對IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評審,及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
??????? 4星級IDC:至少每年一次測試及更新;BCP/DRP,并對員工進(jìn)行培訓(xùn);至少每年一次對IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評審,及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
??????? 11、符合性
??????? 11.1可用法律、法規(guī)的識別
??????? IDC所有相關(guān)的法令、法規(guī)和合同要求,以及為滿足這些要求組織所采用的方法,應(yīng)加以明確地定義、收集和跟蹤,并形成文件并保持更新。
??????? 11.2知識產(chǎn)權(quán)
??????? 應(yīng)實(shí)施適當(dāng)?shù)某绦?,以確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí),符合法律、法規(guī)和合同的要求。
??????? 11.3保護(hù)組織的記錄
??????? 應(yīng)防止重要的記錄遺失、毀壞和偽造,以滿足法令、法規(guī)、合同和業(yè)務(wù)的要求。
??????? 11.4技術(shù)符合性檢查
??????? 定期地對信息系統(tǒng)進(jìn)行安全實(shí)施標(biāo)準(zhǔn)符合檢查,由具有勝任能力的已授權(quán)的人員執(zhí)行,或在他們的監(jiān)督下執(zhí)行。
??????? 11.5數(shù)據(jù)保護(hù)和個(gè)人信息的隱私
??????? 應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求,確保數(shù)據(jù)保護(hù)和隱私。
???????
???????