6、通信和操作管理

       6.1 運(yùn)行程序和職責(zé)

       6.1.1運(yùn)行操作程序文件化

        運(yùn)行操作程序文件化并加以保持，并方便相關(guān)使用人員的訪問(wèn)。

        6.1.2變更管理

         對(duì)信息處理設(shè)施和系統(tǒng)的變更是否受控，并考慮：重大變更的標(biāo)識(shí)和記錄；變更的策劃和測(cè)試；對(duì)這種變更的潛在影響的評(píng)估，包括安全影響；對(duì)建議變更的正式批準(zhǔn)程序；向所有有關(guān)人員傳達(dá)變更細(xì)節(jié)；返回程序，包括從不成功變更和未預(yù)料事態(tài)中退出和恢復(fù)的程序與職責(zé)。

         6.1.3職責(zé)分離

         各類(lèi)責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。

        6.1.4開(kāi)發(fā)設(shè)施、測(cè)試設(shè)施和運(yùn)行設(shè)施的分離

        開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)分離，以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。

        6.2 第三方服務(wù)交付管理

        6.2.1服務(wù)交付

         應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。

        IDC應(yīng)確保第三方保持足夠的服務(wù)能力和可使用的計(jì)劃以確保商定的服務(wù)在大的服務(wù)故障或?yàn)?zāi)難后繼續(xù)得以保持。

         6.2.2第三方服務(wù)的監(jiān)視和評(píng)審

         應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄，審核也應(yīng)定期執(zhí)行，并留下記錄。

        6.2.3第三方服務(wù)的變更管理

         應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估

         6.3系統(tǒng)規(guī)劃和驗(yàn)收

         6.3.1容量管理

         IDC各系統(tǒng)資源的使用應(yīng)加以監(jiān)視、調(diào)整，并做出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。

         系統(tǒng)硬件系統(tǒng)環(huán)境的功能、性能和容量要滿足IDC業(yè)務(wù)處理的和存貯設(shè)備的平均使用率宜控制在75%以?xún)?nèi)。

         網(wǎng)絡(luò)設(shè)備的處理器和內(nèi)存的平均使用率應(yīng)控制在75%以?xún)?nèi)。

         6.3.2系統(tǒng)驗(yàn)收

         建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則，并且在開(kāi)發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。

        6.4防范惡意代碼和移動(dòng)代碼

        6.4.1對(duì)惡意代碼的控制措施

        實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩?hù)安全意識(shí)的程序

         6.4.2對(duì)移動(dòng)代碼的控制措施

        當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。

        6.5 備份

        6.5.1備份

        應(yīng)按照客戶(hù)的要求以及已設(shè)的備份策略，定期備份和測(cè)試信息和軟件。各個(gè)系統(tǒng)的備份安排應(yīng)定期測(cè)試以確保他們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求。對(duì)于重要的系統(tǒng)，備份安排應(yīng)包括在發(fā)生災(zāi)難時(shí)恢復(fù)整個(gè)系統(tǒng)所必需的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)。

        應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對(duì)要永久保存的檔案拷貝的任何要求。

       6.6 網(wǎng)絡(luò)安全管理

       6.6.1網(wǎng)絡(luò)控制

        為了防止使用網(wǎng)絡(luò)時(shí)發(fā)生的威脅和維護(hù)系統(tǒng)與應(yīng)用程序的安全，網(wǎng)絡(luò)要充分受控；網(wǎng)絡(luò)的運(yùn)行職責(zé)與計(jì)算機(jī)系統(tǒng)的運(yùn)行職責(zé)實(shí)現(xiàn)分離；敏感信息在公用網(wǎng)絡(luò)上傳輸時(shí)，考慮足夠的加密和訪問(wèn)控制措施。

        6.6.2網(wǎng)絡(luò)服務(wù)的安全

         網(wǎng)絡(luò)服務(wù)（包括接入服務(wù)、私有網(wǎng)絡(luò)服務(wù)、增值網(wǎng)絡(luò)和受控的網(wǎng)絡(luò)安全解決方案，例如防火墻和入侵檢測(cè)系統(tǒng)等）應(yīng)根據(jù)安全需求，考慮如下安全控制措施：為網(wǎng)絡(luò)服務(wù)應(yīng)用的安全技術(shù)，例如認(rèn)證、加密和網(wǎng)絡(luò)連接控制；按照安全和網(wǎng)絡(luò)連接規(guī)則，網(wǎng)絡(luò)服務(wù)的安全連接需要的技術(shù)參數(shù)；若需要，網(wǎng)絡(luò)服務(wù)使用程序，以限制對(duì)網(wǎng)絡(luò)服務(wù)或應(yīng)用的訪問(wèn)。

         6.7 介質(zhì)管理

        6.7 .1可移動(dòng)介質(zhì)的管理

        建立適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序，規(guī)范可移動(dòng)介質(zhì)的管理。

        可移動(dòng)介質(zhì)包括磁帶、磁盤(pán)、閃盤(pán)、可移動(dòng)硬件驅(qū)動(dòng)器、CD、DVD和打印的介質(zhì)

         6.7 .2介質(zhì)的處置

         不再需要的介質(zhì)，應(yīng)使用正式的程序可靠并安全地處置。保持審計(jì)蹤跡，保留敏感信息的處置記錄。

          6.7 .3信息處理程序

          建立信息的處理及存儲(chǔ)程序，以防止信息的未授權(quán)的泄漏或不當(dāng)使用。

         包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。

         6.8 信息交換

         6.8.1信息交換策略和程序

         為了保護(hù)通過(guò)使用各種類(lèi)型的通信設(shè)施進(jìn)行信息交換，是否有正式的信息交換方針、程序和控制措施。

         6.8.2外方信息交換協(xié)議

         在組織和外方之間進(jìn)行信息/軟件交換時(shí)，是否有交換協(xié)議。

          6.8.3電子郵件、應(yīng)用系統(tǒng)的信息交換與共享

          建立適當(dāng)?shù)目刂拼胧Ｗo(hù)電子郵件的安全；為了保護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息，開(kāi)發(fā)與實(shí)施相關(guān)的方針和程序。

         6.9 監(jiān)控

         6.9.1審計(jì)日志

        審計(jì)日志需記錄用戶(hù)活動(dòng)、異常事件和信息安全事件；為了幫助未來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視，審計(jì)日志至少應(yīng)保存1年。

        6.9.2監(jiān)視系統(tǒng)的使用

        應(yīng)建立必要的信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的結(jié)果應(yīng)定期評(píng)審。

        6.9.3日志信息的保護(hù)

         記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問(wèn)。

        6.9.4管理員和操作員日志

        系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。系統(tǒng)管理員與系統(tǒng)操作員無(wú)權(quán)更改或刪除日志。

         6.9.5故障日志

          與信息處理或通信系統(tǒng)的問(wèn)題有關(guān)的用戶(hù)或系統(tǒng)程序所報(bào)告的故障要加以記錄、分析，并采取適當(dāng)?shù)拇胧?/p>

         6.9.6時(shí)鐘同步

          一個(gè)安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。

         5星級(jí)IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過(guò)10秒。

         4星級(jí)IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過(guò)25秒。