??????? 6.9 監控
??????? 6.9.1審計日志
??????? 審計日志需記錄用戶活動、異常事件和信息安全事件；為了幫助未來的調查和訪問控制監視，審計日志至少應保存1年。
??????? 6.9.2監視系統的使用
??????? 應建立必要的信息處理設施的監視使用程序，監視活動的結果應定期評審。
??????? 6.9.3日志信息的保護
??????? 記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問。
??????? 6.9.4管理員和操作員日志
??????? 系統管理員和系統操作員活動應記入日志。系統管理員與系統操作員無權更改或刪除日志。
??????? 6.9.5故障日志
??????? 與信息處理或通信系統的問題有關的用戶或系統程序所報告的故障要加以記錄、分析，并采取適當的措施。
??????? 6.9.6時鐘同步
??????? 一個安全域內的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步。
??????? 5星級IDC各計算機系統的時鐘與標準時間的誤差不超過10秒。
??????? 4星級IDC各計算機系統的時鐘與標準時間的誤差不超過25秒。
??????? 7、訪問控制
??????? 7.1用戶訪問管理
??????? 應有正式的用戶注冊及注銷程序，來授權和撤銷對所有信息系統及服務的訪問。
??????? 應限制和控制特殊權限的分配及使用；應通過正式的管理過程控制口令的分配，確保口令安全；管理層應定期使用正式過程對用戶的訪問權進行復查。
??????? 7.2用戶職責
??????? 建立指導用戶選擇和使用口令的指南規定，使用戶在選擇及使用口令時，遵循良好的安全習慣。
??????? 用戶應確保無人值守的用戶設備有適當的保護，防止未授權的訪問。
??????? 建立清空桌面和屏幕策略，采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略，IDC并定期組織檢查效果。
??????? 7.3網絡訪問控制
??????? 建立訪問控制策略，確保用戶應僅能訪問已獲專門授權使用的服務。
??????? 應使用安全地鑒別方法以控制遠程用戶的訪問，例如口令+證書。
??????? 對于診斷和配置端口的物理和邏輯訪問應加以控制，防止未授權訪問。
??????? 根據安全要求，應在網絡中劃分安全域，以隔離信息服務、用戶及信息系統；對于共享的網絡，特別是越過組織邊界的網絡，用戶的聯網能力應按照訪問控制策略和業務應用要求加以限制，并建立適當的路由控制措施。
??????? 7.4操作系統訪問控制
??????? 建立一個操作系統安全登錄程序，防止未授權訪問；所有用戶應有唯一的、專供其個人使用的標識符（用戶ID），應選擇一種適當的鑒別技術證實用戶所宣稱的身份。
??????? 可能超越系統和應用程序控制的管理工具的使用應加以限制并嚴格控制。
??????? 不活動會話應在一個設定的休止期后關閉；使用聯機時間的限制，為高風險應用程序提供額外的安全。
??????? 7.5應用和信息訪問控制
??????? 用戶和支持人員對信息和應用系統功能的訪問應依照已確定的訪問控制策略加以限制。
??????? 敏感系統應考慮系統隔離，使用專用的（或孤立的）計算機環境。
??????? 7.6移動計算和遠程工作
??????? 應有正式策略并且采用適當的安全措施，以防范使用移動計算和通信設施時所造成的風險。
??????? 通過網絡遠程訪問IDC，需在通過授權的情況下對用戶進行認證并對通信內容進行加密。
??????? 8、信息系統獲取、開發和維護
??????? 8.1安全需求分析和說明
??????? 在新的信息系統或增強已有信息系統的業務需求陳述中，應規定對安全控制措施的要求。
??????? 8.2信息處理控制
??????? 輸入應用系統的數據應加以驗證，以確保數據是正確且恰當的。
??????? 驗證檢查應整合到應用中，以檢查由于處理的錯誤或故意的行為造成的信息的訛誤。
??????? 通過控制措施，確保信息在處理過程中的完整性，并對處理結果進行驗證。
??????? 8.3密碼控制
??????? 應開發和實施使用密碼控制措施來保護信息的策略，并保證密鑰的安全使用。
??????? 8.4系統文件的安全
??????? 應有程序來控制在運行系統上安裝軟件；試數據應認真地加以選擇、保護和控制；應限制訪問程序源代碼。
??????? 8.5開發過程和支持過程中的安全
??????? 建立變更控制程序控制變更的實施；當操作系統發生變更后，應對業務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。
??????? IDC應管理和監視外包軟件的開發。
??????? 8.6技術脆弱性管理
??????? 應及時得到現用信息系統技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當的措施來處理相關的風險。
??????? 9、信息安全事件管理
??????? 9.1報告信息安全事態和弱點
??????? 建立正式的IDC信息安全事件報告程序，并形成文件。
??????? 建立適當的程序，保證信息安全事態應該盡可能快地通過適當的管理渠道進行報告，要求員工、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。
??????? 9.2職責和程序
??????? 應建立管理職責和架構，以確保能對信息安全事件做出快速、有效和有序的響應。
??????? 9.3對信息安全事件的總結和證據的收集
??????? 建立一套機制量化和監視信息安全事件的類型、數量和代價，并且當一個信息安全事件涉及到訴訟（民事的或刑事的），需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。
??????? 10、業務連續性管理
??????? 10.1業務連續性計劃
??????? 建立和維持一個用于整個組織的業務連續性計劃，通過使用預防和恢復控制措施，將對組織的影響減少到最低，并從信息資產的損失中恢復到可接受的程度。
??????? 10.2業務連續性和風險評估
??????? 通過恰當的程序，識別能引起IDC業務過程中斷的事態（例如，設備故障、人為錯誤、盜竊、火災、自然災害和恐怖行為等），這種中斷發生的概率和影響，以及它們對信息安全所造成的后果。
??????? 業務資源與過程責任人參與業務連續性風險評估。
??????? 10.3制定和實施包括信息安全的連續性計劃
??????? 建立業務運行恢復計劃，以使關鍵業務過程在中斷或發生故障后，能在規定的水準與規定的時間范圍恢復運行
??????? 10.4測試、維護和再評估業務連續性計劃
??????? 業務連續性計劃應定期測試和更新，以確保其及時性和有效性。
??????? 定期測試及更新業務連續性計劃（BCP）/災難恢復計劃（DRP），并對員工進行培訓；定期對IDC的風險進行審核和管理評審，及時發現潛在的災難和安全失效。
??????? 5星級IDC：至少每年一次測試及更新；BCP/DRP，并對員工進行培訓； 至少每年一次對IDC的風險進行審核和管理評審，及時發現潛在的災難和安全失效。
??????? 4星級IDC：至少每年一次測試及更新；BCP/DRP，并對員工進行培訓；至少每年一次對IDC的風險進行審核和管理評審，及時發現潛在的災難和安全失效。
??????? 11、符合性
??????? 11.1可用法律、法規的識別
??????? IDC所有相關的法令、法規和合同要求，以及為滿足這些要求組織所采用的方法，應加以明確地定義、收集和跟蹤，并形成文件并保持更新。
??????? 11.2知識產權
??????? 應實施適當的程序，以確保在使用具有知識產權的材料和具有所有權的軟件產品時，符合法律、法規和合同的要求。
??????? 11.3保護組織的記錄
??????? 應防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規、合同和業務的要求。
??????? 11.4技術符合性檢查
??????? 定期地對信息系統進行安全實施標準符合檢查，由具有勝任能力的已授權的人員執行，或在他們的監督下執行。
??????? 11.5數據保護和個人信息的隱私
??????? 應依照相關的法律、法規和合同條款的要求，確保數據保護和隱私。
???????
???????