1、“.....对控制措施的有效性进行测量或评估。管理评审管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性充分性和有效性,最终符合业务要求。星级管理层应至少每年次对的信息安全管理体系进行评审星级管理层应至少每年次对的信息安全管理体系进行评审。适用性声明适用性声明必须至少包括以下项内容所选择的控制目标和控制措施,及其选择的理由当前实施的控制目标和控制措施标准化附录中任何控制目标和控制措施的删减,以及删减的正当性理由。业务连续性过业务影响分析,确定业务中哪些是关键的业务进程,分出紧急先后次序确定可以导致业务中断的换策略和程序为了保护通过使用各种类型的通信设施进行信息交换,是否有正式的信息交换方针程序和控制措施。外方信息交换协议在组织和外方之间进行信息软件交换时,是否有交换协议。电子邮件应用系统的信息交换与共享建立适当的控制措施,保护电子邮件的安全为了保护相互连接的业务信息系统的信息......”。

2、“.....审计日志审计日志需记录用户活动异常事件和信息安全事件为了帮助未来的调查和访问控制监视,审计日志至少应保存年。监视系统的使用应建立必要的信息处理设施的监视使用程序,监视活动的结果应定期评审。纠正与预防措施建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无控制措施有效性的测量定义如何测量所选控制措施的有效性规定如何使用这些测量措施,对控制措施的有效性进行测量或评估。管理评审管理层按计划的时间间隔评审内部信在以内。网络设备的处理器和内存的平均使用率应控制在以内。系统验收建立对新信息系统升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。防范恶意代码和移动代码对恶意代码的控制措施实施恶意代码的监测预防和恢复的控制措施,以及适当的提高用户安全意识的程序对移动代码的控制措施当授权使用移动代码时......”。

3、“.....应阻止执行未授权的移动代码。备份备份应按照客户的要求以及已设的备份策略,定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息应用和数据。应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。网络安全管理网络控制为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络要充分受控网络的运行职责与计算机系统业务需求陈述中,应规定对安全控制措施的要求。信息处理控制输入应用系统的数据应加以验证,以确保数据是正确且恰当的。验证检查应整合到应用中,以检查由于处理的或故意的行为造成的信息的讹误。通过控制措施,确保信息在处理过程中的完整性,并对处理结果进行验证。资产的移动设备信息或软件在授权之前不应带出组织场所,设臵设备移动的时间限制......”。

4、“.....当返回时,要做出送回记录。通信和操作管理运行程序和职责运行操作程序文件化运行操作程序文件化并加以保持,并方便相关使用人员的访问。变更管理对信息处理设施和系统的变更是否受控,并考虑重大变更的标识和记录变更的策划和测试对这种变更的潜在影响的评估,包括安全影响对建议变更的正式批准程序向所有有关人员传达变更细节返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。职责分离各类责任及职责范围应加以分割数据中心信息安全管理及管控要求网络版其责任人识别资产所面临的威胁识别可能被威胁利用的脆弱点识别资产保密性完整性和可用性的丧失对业务造成的影响评估由主要威胁和脆弱点导致的业务安全破坏的现实可能性对资产的影响和当前所实施的控制措施对风险进行评级。风险处理内容包括与管理层确定接受风险的准则......”。

5、“.....需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规客户和合同要求的基础上达到最佳成本效益。文件与记录控制明确文件制定发布批准评审更新的流程确保文件的更改和现行修订状态的标识版本控制识别访问控制有完善的流程并对文件资料的传输贮存和最终销毁明确做出规范。记录控制内容包括保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录记录的标识贮存保系统规划和验收容量管理各系统资源的使用应加以监视调整,并做出对于未来容量要求的预测,以确保拥有所需的系统性能。系统硬件系统环境的功能性能和容量要满足业务处理的和存贮设备的平均使用率宜控制在以内。网络设备的处理器和内存的平均使用率应控制在以内。系统验收建立对新信息系统升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试......”。

6、“.....以及适当的提高用户安全意识的程序对移动代码的控制措施当授权使用移动代码时,其配臵确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。数据中心信息安全管理及管控要求网络版。对于诊断和配臵端口的物理和逻辑访问应加以控制,防止未授权访问。根据安全要求,应在网络中划分安全域,以隔离信息服务用户及信息系统对于共享的网络,特别是越过组织边界的网在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理应急响应审计技术实施等不同职责,并保证职责清晰与分离,并形成文件。人员能力具备标准化信息安全管理体系内部审核员,国家注册信息安全专家等相关资质人员。星级至少应具备名合格的标准化信息安全管理内部审核员名标准化主任审核员。星级至少应至少具备名合格的标准化信息安全管理内部审核员信息安全管理体系文件要求,根据业务目标与当前实际情况......”。

7、“.....包含但不限于如下方面信息安全管理体系方针文件包括信息安全管理体系的范围,信息安全的目标框架信息安全工作的总方向和原则,并考虑业务需求国家法律法规的要求客户以及合同要求。风险评估内容包括如下流程识别业务范围内的信息资产行信息交换,是否有正式的信息交换方针程序和控制措施。外方信息交换协议在组织和外方之间进行信息软件交换时,是否有交换协议。电子邮件应用系统的信息交换与共享建立适当的控制措施,保护电子邮件的安全为了保护相互连接的业务信息系统的信息,开发与实施相关的方针和程序。审计日志审计日志需记录用户活动异常事件和信息安全事件为了帮助未来的调查和访问控制监视,审计日志至少应保存年。监视系统的使用应建立必要的信息处理设施的监视使用程序,监视活动的结果应定期评审。资产的移动设备信息或软件在授权之前不应带出组织场所,设臵设备移动的时间限制......”。

8、“.....当返回时,要做出送回记录。通信和操作管理运行程序和职责运行操作程序文件化运行操作程序文件化并加以保持,并方便相关使用人员的访问。变更管理对信息处理设施和系统的变更是否受控,并考虑重大变更的标识和记录变更的策划和测密协议条款每年至少评审次。权威部门与利益相关团体的联系与相关权威部门包括,公安部门消防部门和监管部门建立沟通管道与安全专家组专业协会等相关团体进行沟通。独立评审参考信息安全管理体系要求第和第条关于管理评审内部审核的要求,进行独立的评审。审核员不能审核评审自己的工作评审结果交管理层审阅。数据中心信息安全管理及管控要求网络版。备份备份应按照客户的要求以及已设的备份策略,定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息应用和数据......”。

9、“.....网络安全管理网络控制为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络要充分受控网络的运行职责与计算机系统的运行职责实现分离敏感信息在公用网络上传输时,考对这种变更的潜在影响的评估,包括安全影响对建议变更的正式批准程序向所有有关人员传达变更细节返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。职责分离各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。开发设施测试设施和运行设施的分离开发测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。第方服务交付管理服务交付应确保第方实施运行和保持包含在第方服务交付协议中的安全控制措施服务定义和交付水准。应确保第方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难后继续得以保持......”。