ISCCCISMS審核員教程案例練習(xí)冊(cè)

1、目錄第一部分案例11博文公司介紹12博文公司ISMS 文件2第二部分練習(xí)261練習(xí)一：確定審核范圍262練習(xí)二：編制審核方案和審核計(jì)劃273練習(xí)三：風(fēng)險(xiǎn)評(píng)估評(píng)審284練習(xí)四：編制檢查表295練習(xí)五：判斷不符合項(xiàng)30第一部分案例1 博文公司介紹位于北京上地信息產(chǎn)業(yè)園區(qū)的博文數(shù)據(jù)科技有限公司成立于2000萬(wàn)元人民幣。公司主要業(yè)務(wù)是為行業(yè)用戶提供數(shù)據(jù)加工服務(wù)，包括：大批量紙介質(zhì)數(shù)據(jù)的電子化加工制作數(shù)字化報(bào)刊和電子圖書大批量電子數(shù)據(jù)的格式轉(zhuǎn)換定制開發(fā)電子數(shù)據(jù)閱讀器年 8 月，總投資3000博文公司憑借自主知識(shí)產(chǎn)權(quán)的 OCR 、數(shù)據(jù)格式化等核心技術(shù)，已經(jīng)成為國(guó)內(nèi)外領(lǐng)先的的專業(yè)數(shù)據(jù)加工企業(yè)。目前主要客戶來(lái)

2、自國(guó)際、國(guó)內(nèi)的銀行、保險(xiǎn)公司、醫(yī)院、法院、檔案館、圖書館等。公司現(xiàn)有員工 1200 人，設(shè)有 7 個(gè)職能部門，實(shí)行董事會(huì)領(lǐng)導(dǎo)的總經(jīng)理負(fù)責(zé)制。各職能部門主要職責(zé)如下：1) 生產(chǎn)部：按照客戶要求，負(fù)責(zé)數(shù)據(jù)加工生產(chǎn)，是公司核心業(yè)務(wù)部門。2)質(zhì)量保證部：負(fù)責(zé)數(shù)據(jù)加工生產(chǎn)過(guò)程中的品質(zhì)保證，ISO9001質(zhì)量管理體系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系的運(yùn)行。3) IT 部：負(fù)責(zé)研發(fā)生產(chǎn)部所需的數(shù)據(jù)加工工具，為客戶定制開發(fā)電子數(shù)據(jù)閱讀器。公司 IT 系統(tǒng)的建設(shè)和運(yùn)行維護(hù)。4) 市場(chǎng)營(yíng)銷部：制定和實(shí)施營(yíng)銷策略，開發(fā)客戶，實(shí)現(xiàn)銷售。5) 財(cái)務(wù)部：財(cái)務(wù)計(jì)劃的制定和實(shí)

3、施，日常結(jié)算、稅務(wù)等會(huì)計(jì)業(yè)務(wù)。6) 行政部：負(fù)責(zé)公司后勤保障和日常運(yùn)行事務(wù)。7) 人力資源部： 制定和實(shí)施人力資源計(jì)劃， 包括人員招聘、 績(jī)效考核、 崗位職責(zé)定義。2 博文公司 ISMS 文件部分博文公司ISMS 文件如下。2.1 ISMS 方針信息安全管理體系方針1 目的和適用范圍信息安全管理體系方針指明了公司的信息安全目標(biāo)和方向，并可以確保信息安全管理體系被充分理解和貫徹實(shí)施。此外，本文件還描述了公司的信息安全管理體系的范圍。本文件適用于公司信息安全管理體系涉及的所有人員和過(guò)程。2 信息安全定義公司對(duì)信息安全的定義是：保證公司業(yè)務(wù)所依賴的信息和信息系統(tǒng)的保密性，完整性，可用性；3 信息安全

4、方針和目標(biāo)公司信息安全方針為：積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、確保安全。公司的信息安全目標(biāo)是：滿足已識(shí)別的信息安全要求，包括法律法規(guī)、客戶與相關(guān)方和公司業(yè)務(wù)要求，具體目標(biāo)包括：商業(yè)秘密信息泄漏事故為零。引起公司主要產(chǎn)品研發(fā)與生產(chǎn)中斷時(shí)間累計(jì)不能超過(guò)1小時(shí)/ 年。引起公司主要產(chǎn)品研發(fā)與生產(chǎn)中斷事故發(fā)生次數(shù)小于3次/ 年。4 信息安全管理機(jī)構(gòu)為了確保公司信息安全工作有一個(gè)明確的方向和獲得可見的管理者支持，公司設(shè)立信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)：制定信息安全方針和目標(biāo)；建立公司信息安全角色和職責(zé)提供公司ISMS 所需要的資源；領(lǐng)導(dǎo)建立和實(shí)施公司ISMS；監(jiān)督和檢查公司信息安全工作；制定和實(shí)施信息安全工作的獎(jiǎng)懲

5、政策。5 職責(zé)公司的最高管理者負(fù)責(zé)建立和評(píng)審此文件。公司的信息安全管理人員要通過(guò)適當(dāng)?shù)臉?biāo)準(zhǔn)和程序?qū)嵤┬畔踩结槨?公司所有員工及其合約供貨商必須按照相應(yīng)的程序， 維護(hù)此方針，所有員工有責(zé)任報(bào)告信息安全事件，以及識(shí)別信息安全風(fēng)險(xiǎn)。6 重要原則和符合性要求公司所有員工應(yīng)明確，在信息安全方面滿足以下原則和符合以下要求是必須的：1) 法律法規(guī)和合同要求的符合性2) 信息安全安全意識(shí)3) 遵守公司所有信息安全策略和操作規(guī)程7 評(píng)審本文件需要定期被評(píng)審，12 個(gè)月內(nèi)評(píng)審一次，當(dāng)信息安全管理體系發(fā)生重大變化時(shí)，也應(yīng)評(píng)審，以維持其適用性。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)本文件的評(píng)審。8 實(shí)施本方針自 2006 年 5

6、月 15 日由公司總經(jīng)理簽署并頒布實(shí)施。2.2 適用聲明（ SOA ）適用性聲明1 目的為描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔，制定此文件。2 范圍本文件適用于公司ISMS覆蓋范圍內(nèi)的所有員工和所有活動(dòng)。3 適用性聲明條款目標(biāo)控制措施是否選擇 / 及理由A.5 安全方針A.5.1信息安全方針A.5.1.1信息安全方針依據(jù)業(yè)務(wù)信息安全方針文件應(yīng)由選擇文件要求和相管理者批準(zhǔn)、發(fā)布并傳達(dá)信息安全工作要求所確定，見關(guān)法律法給所有員工和外部相關(guān)信息安全管理體系方針 。規(guī)提供管方。A.5.1.2信息安全方針理指導(dǎo)并應(yīng)按計(jì)劃的時(shí)間間隔或選擇的評(píng)審支持信息當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息

7、安全工作要求所確定，見安全。信息安全方針評(píng)審，以確信息安全管理體系方針 。保它持續(xù)的適宜性、充分性和有效性。A.6 信息安全組織A.6.1 內(nèi)部組織A.6.1.1信息安全的管在組織內(nèi)管理者應(yīng)通過(guò)清晰的說(shuō)選擇理承諾管理信息明、可證實(shí)的承諾、明確？安全。的信息安全職責(zé)分配及確認(rèn)，來(lái)積極支持組織內(nèi)的安全。A.6.1.2信息安全協(xié)調(diào)信息安全活動(dòng)應(yīng)由來(lái)自選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，組織不同部門并具備相見信息安全管理體系方針 。關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào)。A.6.1.3信息安全職責(zé)所有的信息安全職責(zé)應(yīng)選擇，？，見信息安全崗的分配予以清晰地定義。位職責(zé)描述。A.6.1.4信息處理設(shè)施新信息處理設(shè)施應(yīng)定義選

8、擇，（寫進(jìn)信息安全策略）的授權(quán)過(guò)程和實(shí)施一個(gè)管理授權(quán)過(guò)程。A.6.1.5保密性協(xié)議應(yīng)識(shí)別并定期評(píng)審反映選擇，滿足客戶合同和公司的組織信息保護(hù)需要的保要求，見保密制度 。密性或不泄露協(xié)議的要求。A.6.1.6與政府部門的應(yīng)保持與政府相關(guān)部門選擇，？，見對(duì)外聯(lián)絡(luò)表 。聯(lián)系的適當(dāng)聯(lián)系。A.6.1.7與特定權(quán)益團(tuán)應(yīng)保持與特定權(quán)益團(tuán)體、選擇，獲取行業(yè)信息，見對(duì)體的聯(lián)系其他安全專家組和專業(yè)外聯(lián)絡(luò)表。協(xié)會(huì)的適當(dāng)聯(lián)系。A.6.1.8信息安全的獨(dú)立評(píng)審A.6.2 外部各方A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別A.6.2.2處理與顧客有關(guān)的安全問(wèn)題A.6.2.3處理第三方協(xié)議中的安全問(wèn)題A.7 資產(chǎn)管理A.7.1

9、 資產(chǎn)責(zé)任A.7.1.1資產(chǎn)清單A.7.1.2資產(chǎn)責(zé)任人A.7.1.3資產(chǎn)的允許使用A.7.2 信息分類A.7.2.1分類指南組織管理信息安全的方法及其實(shí)施（例如信息安全的控制目標(biāo)、控制措施、策略、過(guò)程和程序）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審，當(dāng)安全實(shí)施發(fā)生重大變化時(shí)，也要進(jìn)行獨(dú)立評(píng)審。保持組織應(yīng)識(shí)別涉及外部各方業(yè)的被外部務(wù)過(guò)程中組織的信息和各方訪問(wèn)、信息處理設(shè)施的風(fēng)險(xiǎn)，并處理、管理在允許訪問(wèn)前實(shí)施適當(dāng)或與外部的控制措施。進(jìn)行通信應(yīng)在允許顧客訪問(wèn)組織的信息和信息或資產(chǎn)之前處理所信息處理有確定的安全要求。設(shè)施的安涉及訪問(wèn)、處理或管理組全?？椀男畔⒒蛐畔⑻幚碓O(shè)施以及與之通信的第三方協(xié)議，或在信息處理

10、設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議，應(yīng)涵蓋所有相關(guān)的安全要求。實(shí)現(xiàn)和保應(yīng)清晰的識(shí)別所有資產(chǎn)，持對(duì)組織編制并維護(hù)所有重要資資產(chǎn)的適產(chǎn)的清單。當(dāng)保護(hù)。與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé)任 1。與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。確保信息信息應(yīng)按照它對(duì)組織的受到適當(dāng)價(jià)值、法律要求、敏感性級(jí)別的保和關(guān)鍵性予以分類。選擇，根據(jù)業(yè)務(wù)需要適時(shí)進(jìn)行安全機(jī)構(gòu)的第三方獨(dú)立評(píng)審，見信息安全策略 。選擇，見信息安全策略 。選擇，見信息安全策略 。選擇，見信息安全策略 。選擇，見重要信息資產(chǎn)清單。選擇，見重要信息資產(chǎn)清單。選擇，見管理手冊(cè) 。選擇，見重要信

11、息資產(chǎn)清單見風(fēng)險(xiǎn)評(píng)估 。1 解釋：術(shù)語(yǔ)“責(zé)任人”是被認(rèn)可，具有控制生產(chǎn)、開發(fā)、保持、使用和資產(chǎn)安全的個(gè)人或?qū)嶓w。術(shù)語(yǔ)“責(zé)任人”不指實(shí)際上對(duì)資產(chǎn)具有財(cái)產(chǎn)權(quán)的人。A.7.2.2信息的標(biāo)記和處理A.8 人力資源安全A.8.1 任用之前A.8.1.1角色和職責(zé)A.8.1.2審查A.8.1.3任用條款和條件A.8.2任用中A.8.2.1管理職責(zé)A.8.2.2信息安全意識(shí)、教育和培訓(xùn)A.8.2.3紀(jì)律處理過(guò)程A.8.3任用的終止或變化護(hù)。應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處理程序。確保雇員、雇員、承包方人員和第三承包方人方人員的安全角色和職員和第三責(zé)應(yīng)按照組織的信息安方人員理全方針定

12、義并形成文件。解其職責(zé)、關(guān)于所有任用的候選者、考慮對(duì)其承包方人員和第三方人承擔(dān)的角員的背景驗(yàn)證檢查應(yīng)按色是適合照相關(guān)法律法規(guī)、道德規(guī)的，以降低范和對(duì)應(yīng)的業(yè)務(wù)要求、被設(shè)施被竊、訪問(wèn)信息的類別和察覺欺詐和誤的風(fēng)險(xiǎn)來(lái)執(zhí)行。用的風(fēng)險(xiǎn)。作為他們合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他們和組織的信息安全職責(zé)。確保所有管理者應(yīng)要求雇員、承包的雇員、承方人員和第三方人員按包方人員照組織已建立的方針策和第三方略和程序?qū)Π踩M心盡人員知悉力。信息安全組織的所有雇員，適當(dāng)威脅和利時(shí)，包括承包方人員和第害關(guān)系、他三方人員，應(yīng)受到與其工們的職責(zé)作職能相

13、關(guān)的適當(dāng)?shù)囊夂土x務(wù)、并識(shí)培訓(xùn)和組織方針策略準(zhǔn)備好在及程序的定期更新培訓(xùn)。其正常工對(duì)于安全違規(guī)的雇員，應(yīng)作過(guò)程中有一個(gè)正式的紀(jì)律處理支持組織過(guò)程。的安全方針，以減少人為過(guò)失的風(fēng)險(xiǎn)。選擇，見信息安全策略 。選擇，見信息安全崗位職責(zé)描述。選擇，見人員情況調(diào)查表。選擇，見人員招聘簡(jiǎn)章 。選擇，見信息安全管理體系方針與信息安全管理體系職責(zé)描述。選擇，見信息安全管理體系方針。選擇，見管理手冊(cè) 。A.8.3.1終止職責(zé)A.8.3.2資產(chǎn)的歸還A.8.3.3撤銷訪問(wèn)權(quán)A.9 物理和環(huán)境安全 A.9.1 安全區(qū)域A.9.1.1物理安全邊界A.9.1.2物理入口控制A.9.1.3辦公室、房間和設(shè)施的安全保護(hù)A.9

14、.1.4外部和環(huán)境威脅的安全防護(hù)A.9.1.5在安全區(qū)域工作A.9.1.6公共訪問(wèn)、交接區(qū)安全A.9.2設(shè)備安全確保雇員、任用終止或任用變化的選擇，見管理手冊(cè) 。承包方人職責(zé)應(yīng)清晰的定義和分員和第三配。方人員以所有的雇員、承包方人員選擇，見管理手冊(cè) 。一個(gè)規(guī)范和第三方人員在終止任的方式退用、合同或協(xié)議時(shí)，應(yīng)歸出一個(gè)組還他們使用的所有組織織或改變資產(chǎn)。其任用關(guān)所有雇員、承包方人員和選擇，見管理手冊(cè) 。系。第三方人員對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)應(yīng)在任用、合同或協(xié)議終止時(shí)刪除，或在變化時(shí)調(diào)整。防止對(duì)組應(yīng)使用安全邊界（諸如選擇，見工作場(chǎng)所出入管理織場(chǎng)所和墻、卡控制的入口或有人規(guī)定。信息的未管理的接待臺(tái)

15、等屏障）來(lái)授權(quán)物理保護(hù)包含信息和信息處訪問(wèn)、損壞理設(shè)施的區(qū)域。和干擾。安全區(qū)域應(yīng)由適合的入選擇，見工作場(chǎng)所出入管理口控制所保護(hù)，以確保只規(guī)定。有授權(quán)的人員才允許訪問(wèn)。應(yīng)為辦公室、房間和設(shè)施選擇，見工作場(chǎng)所出入管理設(shè)計(jì)并采取物理安全措規(guī)定。施。為防止火災(zāi)、 洪水、地震、 選擇，見突發(fā)情況應(yīng)急方案爆炸、社會(huì)動(dòng)蕩和其他形（管理手冊(cè)）。式的自然或人為災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。應(yīng)設(shè)計(jì)和運(yùn)用用于安全選擇，見機(jī)房管理規(guī)定 。區(qū)域工作的物理保護(hù)和指南。訪問(wèn)點(diǎn)（例如交接區(qū)）和選擇，見工作場(chǎng)所出入管理未授權(quán)人員可進(jìn)入辦公規(guī)定。場(chǎng)所的其他點(diǎn)應(yīng)加以控制，如果可能，要與信息處理設(shè)施隔離，以避免未授權(quán)訪問(wèn)

16、。A.9.2.1設(shè)備安置和保防止資產(chǎn)應(yīng)安置或保護(hù)設(shè)備，以減護(hù)的丟失、損少由環(huán)境威脅和危險(xiǎn)所壞、失竊或造成的各種風(fēng)險(xiǎn)以及未危及資產(chǎn)授權(quán)訪問(wèn)的機(jī)會(huì)。A.9.2.2支持性設(shè)施安全以及應(yīng)保護(hù)設(shè)備使其免于由組織活動(dòng)支持性設(shè)施的失效而引的中斷。起的電源故障和其他中斷。A.9.2.3布纜安全應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。A.9.2.4設(shè)備維護(hù)設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。A.9.2.5組織場(chǎng)所外的設(shè)備安全A.9.2.6設(shè)備的安全處包含儲(chǔ)存介質(zhì)的設(shè)備的置或再利用所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊(cè)軟件已被刪除或安全重寫。A.9.2.7

17、資產(chǎn)的移動(dòng)設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。A.10 通信和操作管理A.10.1 操作程序和職責(zé)A.10.1.1文件化的操作確保正確、操作程序應(yīng)形成文件、保程序安全的操持并對(duì)所有需要的用戶作信息處可用。理設(shè)施。A.10.1.2變更管理對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。A.10.1.3責(zé)任分離各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。A.10.1.4開發(fā)、測(cè)試和開發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)運(yùn)行設(shè)施分離分離，以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。A.10.2第三方服務(wù)交付管理選擇，見設(shè)備管理規(guī)定 。選擇，見突發(fā)情況應(yīng)急方案（管理手冊(cè)）。選擇，見機(jī)房

18、管理規(guī)定 。選擇，見設(shè)備管理規(guī)定 。不選擇，沒有組織場(chǎng)所外的設(shè)備選擇，見信息安全策略 。選擇，見機(jī)房管理規(guī)定 。選擇，見設(shè)備管理規(guī)定 、服務(wù)器管理規(guī)定 、郵件使用安全 管理規(guī)定 、備份管理 程序、網(wǎng)絡(luò)安全管理規(guī)定 。選擇，見設(shè)備管理規(guī)定 、服務(wù)器管理規(guī)定 。選擇，見用戶管理規(guī)定（管理手冊(cè)）。選擇，見技術(shù)部工作規(guī)范 （自主開發(fā)軟件管理規(guī)定） 。A.10.2.1服務(wù)交付實(shí)施和保應(yīng)確保第三方實(shí)施、運(yùn)行選擇，見信息安全策略 。持符合第和保持包含在第三方服三方服務(wù)務(wù)交付協(xié)議中的安全控交付協(xié)議制措施、服務(wù)定義和交付的信息安水準(zhǔn)。A.10.2.2第三方服務(wù)的全和服務(wù)應(yīng)定期監(jiān)視和評(píng)審由第選擇，見信息安全策略

19、。監(jiān)視和評(píng)審交付的適三方提供的服務(wù)、報(bào)告和當(dāng)水準(zhǔn)。記錄，審核也應(yīng)定期執(zhí)行。A.10.2.3第三方服務(wù)的應(yīng)管理服務(wù)提供的變更，選擇，見信息安全策略 。變更管理包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。A.10.3系統(tǒng)規(guī)劃和驗(yàn)收A.10.3.1容量管理將系統(tǒng)失資源的使用應(yīng)加以監(jiān)視、選擇，根據(jù)業(yè)務(wù)需要適時(shí)調(diào)整，效的風(fēng)險(xiǎn)調(diào)整，并應(yīng)作出對(duì)于未來(lái)見信息安全策略 。降至最小。容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。A.10.3.2系統(tǒng)驗(yàn)收應(yīng)建立對(duì)新信息系統(tǒng)、升選擇，根據(jù)業(yè)務(wù)需要適時(shí)調(diào)整，級(jí)及新版本的驗(yàn)收準(zhǔn)則，見信息安全策略 。并且在開發(fā)中和驗(yàn)收

20、前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。A.10.4防范惡意和移動(dòng)代碼A.10.4.1控制惡意代碼保護(hù)軟件應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，和信息的預(yù)防和恢復(fù)的控制措施，見網(wǎng)絡(luò)安全管理規(guī)定（病毒、完整性。以及適當(dāng)?shù)奶岣哂脩舭材抉R、僵尸程序等） 。全意識(shí)的程序。A.10.4.2控制移動(dòng)代碼當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，其配置應(yīng)確保授權(quán)的移見網(wǎng)絡(luò)安全管理規(guī)定（病毒、動(dòng)代碼按照清晰定義的木馬、僵尸程序等） 。安全策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。A.10.5備份A.10.5.1信息備份保持信息應(yīng)按照已設(shè)的備份策略，選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，和信息處定期備份和測(cè)試信息和見備份管理規(guī)

21、定 。理設(shè)施的軟件。完整性和可用性。A.10.6網(wǎng)絡(luò)安全管理A.10.6.1網(wǎng)絡(luò)控制確保網(wǎng)絡(luò)應(yīng)充分管理和控制網(wǎng)絡(luò)，選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，中信息的以防止威脅的發(fā)生，維護(hù)見網(wǎng)絡(luò)安全管理規(guī)定 。安全性并系統(tǒng)和使用網(wǎng)絡(luò)的應(yīng)用保護(hù)支持程序的安全，包括傳輸中性的基礎(chǔ)的信息。A.10.6.2網(wǎng)絡(luò)服務(wù)的安設(shè)施。安全特性、服務(wù)級(jí)別以及選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，全所有網(wǎng)絡(luò)服務(wù)的管理要見網(wǎng)絡(luò)安全管理規(guī)定 。求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無(wú)論這些服務(wù)是由內(nèi)部提供的還是外包的。A.10.7介質(zhì)處置A.10.7.1可移動(dòng)介質(zhì)的防止資產(chǎn)應(yīng)有適當(dāng)?shù)目梢苿?dòng)介質(zhì)選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，管理遭受未授的管理程序。見設(shè)

22、備管理規(guī)定（移動(dòng)存儲(chǔ)權(quán)泄露、修介質(zhì)）。A.10.7.2介質(zhì)的處置改、移動(dòng)或不再需要的介質(zhì)，應(yīng)使用選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，銷毀以及正式的程序可靠并安全見設(shè)備管理規(guī)定（移動(dòng)存儲(chǔ)業(yè)務(wù)活動(dòng)地處置。介質(zhì)）。A.10.7.3信息處理程序的中斷。應(yīng)建立信息的處理及貯選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，存程序，以防止信息的未見信息安全策略 。授權(quán)的泄漏或不當(dāng)使用。A.10.7.4系統(tǒng)文件安全應(yīng)保護(hù)系統(tǒng)文件以防止選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，未授權(quán)的訪問(wèn)。見技術(shù)部工作規(guī)范 。A.10.8信息的交換A.10.8.1信息交換策略保持組織應(yīng)有正式的交換策略、程選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，和程序內(nèi)信息和序和控制措施，以保護(hù)通見郵件管

23、理規(guī)定（包括上傳軟件交換過(guò)使用各種類型通信設(shè)下載自動(dòng)收發(fā)等） 。及與外部施的信息交換。A.10.8.2交換協(xié)議組織信息應(yīng)建立組織與外部團(tuán)體選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，和軟件交交換信息和軟件的協(xié)議。郵件管理規(guī)定（包括上傳下?lián)Q的安全。載自動(dòng)收發(fā)等） 。A.10.8.3運(yùn)輸中的物理包含信息的介質(zhì)在組織選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，介質(zhì)的物理邊界以外運(yùn)送時(shí)，見信息安全策略 （郵寄快遞） 應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。A.10.8.4電子消息發(fā)送包含在電子消息發(fā)送中選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，的信息應(yīng)給予適當(dāng)?shù)谋Ｒ娻]件管理規(guī)定 。護(hù)。A.10.8.5業(yè)務(wù)信息系統(tǒng)應(yīng)建立和實(shí)施策略和程選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定

24、，序以保護(hù)與業(yè)務(wù)信息系見技術(shù)部工作規(guī)范 。統(tǒng)互聯(lián)的信息。A.10.9電子商務(wù)服務(wù)A.10.9.1電子商務(wù)確保電子不選擇商務(wù)服務(wù)公司沒有電子商務(wù)業(yè)務(wù)。A.10.9.2在線交易的安全及其安全使用。不選擇公司沒有電子商務(wù)業(yè)務(wù)。A.10.9.3公共可用信息在公共可用系統(tǒng)中可用選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，信息的完整性應(yīng)受保護(hù)，見信息管理策略（網(wǎng)站內(nèi)容以防止未授權(quán)的修改。授權(quán)）。A.10.10監(jiān)視A.10.10.1審計(jì)日志的記檢測(cè)未授應(yīng)產(chǎn)生記錄用戶活動(dòng)、異選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，錄權(quán)的信息常和信息安全事件的審見網(wǎng)絡(luò)安全管理規(guī)定 。處理活動(dòng)。計(jì)日志，并要保持一個(gè)已設(shè)的周期以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視。A.

25、10.10.2監(jiān)視系統(tǒng)的使應(yīng)建立信息處理設(shè)施的選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，用監(jiān)視使用程序，監(jiān)視活動(dòng)見網(wǎng)絡(luò)安全管理規(guī)定 。的結(jié)果要經(jīng)常評(píng)審A.10.10.3日志信息的保記錄日志的設(shè)施和日志選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，護(hù)信息應(yīng)加以保護(hù)，以防止見網(wǎng)絡(luò)安全管理規(guī)定 。篡改和未授權(quán)的訪問(wèn)。A.10.10.4管理員和操作系統(tǒng)管理員和系統(tǒng)操作選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，員日志員活動(dòng)應(yīng)記入日志。見網(wǎng)絡(luò)安全管理規(guī)定 。A.10.10.5故障日志的記故障應(yīng)被記錄、分析，并選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，錄采取適當(dāng)?shù)拇胧?。見網(wǎng)絡(luò)安全管理規(guī)定 。A.10.10.6時(shí)鐘同步一個(gè)組織或安全域內(nèi)的選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，所有相關(guān)信息

26、處理設(shè)施見網(wǎng)絡(luò)安全管理規(guī)定 。的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。A.11 訪問(wèn)控制A.11.1訪問(wèn)控制的業(yè)務(wù)要求A.11.1.1訪問(wèn)控制策略控制對(duì)信訪問(wèn)控制策略應(yīng)建立、形選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，息的訪問(wèn)。成文件，并基于業(yè)務(wù)和訪見網(wǎng)絡(luò)安全管理規(guī)定 。問(wèn)的安全要求進(jìn)行評(píng)審。A.11.2 用戶訪問(wèn)管理A.11.2.1用戶注冊(cè)確保授權(quán)應(yīng)有正式的用戶注冊(cè)及選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，用戶訪問(wèn)注銷程序，來(lái)授權(quán)和撤銷見網(wǎng)絡(luò)安全管理規(guī)定 。信息系統(tǒng)，對(duì)所有信息系統(tǒng)及服務(wù)并防止未的訪問(wèn)。A.11.2.2特權(quán)管理授權(quán)的訪應(yīng)限制和控制特殊權(quán)限選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，問(wèn)。的分配及使用。見網(wǎng)絡(luò)安全管理規(guī)定 。A.

27、11.2.3用戶口令管理應(yīng)通過(guò)正式的管理過(guò)程選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，控制口令的分配。見網(wǎng)絡(luò)安全管理規(guī)定 。A.11.2.4用戶訪問(wèn)權(quán)的管理者應(yīng)定期使用正式選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，評(píng)審過(guò)程對(duì)用戶的訪問(wèn)權(quán)進(jìn)見網(wǎng)絡(luò)安全管理規(guī)定 。行復(fù)查。A.11.3用戶職責(zé)A.11.3.1口令使用防止未授應(yīng)要求用戶在選擇及使選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，權(quán)用戶對(duì)用口令時(shí)，遵循良好的安見網(wǎng)絡(luò)安全管理規(guī)定 。信息和信全習(xí)慣。A.11.3.2無(wú)人值守的用息處理設(shè)用戶應(yīng)確保無(wú)人值守的選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，戶設(shè)備施的訪問(wèn)、用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。見網(wǎng)絡(luò)安全管理規(guī)定 。A.11.3.3清空桌面和屏危害或竊應(yīng)采取清空桌面上文件

28、、選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，幕策略取?？梢苿?dòng)存儲(chǔ)介質(zhì)的策略見網(wǎng)絡(luò)安全管理規(guī)定（清空和清空信息處理設(shè)施屏桌面和屏幕策略） 。幕的策略。A.11.4網(wǎng)絡(luò)訪問(wèn)控制A.11.4.1使用網(wǎng)絡(luò)服務(wù)防止對(duì)網(wǎng)用戶應(yīng)僅能訪問(wèn)已獲專選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，的策略絡(luò)服務(wù)的門授權(quán)使用的服務(wù)。見網(wǎng)絡(luò)安全管理規(guī)定 。A.11.4.2外部連接的用未授權(quán)訪應(yīng)使用適當(dāng)?shù)蔫b別方法選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，戶鑒別問(wèn)。以控制遠(yuǎn)程用戶的訪問(wèn)。見網(wǎng)絡(luò)安全管理規(guī)定 。A.11.4.3網(wǎng)絡(luò)上的設(shè)備應(yīng)考慮自動(dòng)設(shè)備標(biāo)識(shí)，將選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，標(biāo)識(shí)其作為鑒別特定位置和見網(wǎng)絡(luò)安全管理規(guī)定 。設(shè)備連接的方法。A.11.4.4遠(yuǎn)程診斷和配對(duì)于診

29、斷和配置端口的選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，置端口的保護(hù)物理和邏輯訪問(wèn)應(yīng)加以見網(wǎng)絡(luò)安全管理規(guī)定（路由控制。器的訪問(wèn)端口控制） 。A.11.4.5網(wǎng)絡(luò)隔離應(yīng)在網(wǎng)絡(luò)中隔離信息服選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，務(wù)、用戶及信息系統(tǒng)。見網(wǎng)絡(luò)安全管理規(guī)定 。A.11.4.6網(wǎng)絡(luò)連接控制對(duì)于共享的網(wǎng)絡(luò)，特別是選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，越過(guò)組織邊界的網(wǎng)絡(luò)，用見網(wǎng)絡(luò)安全管理規(guī)定 。戶的聯(lián)網(wǎng)能力應(yīng)按照訪問(wèn)控制策略和業(yè)務(wù)應(yīng)用要求加以限制 （見 11.1 ）。A.11.4.7網(wǎng)絡(luò)路由控制應(yīng)在網(wǎng)絡(luò)中實(shí)施路由控選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，制，以確保計(jì)算機(jī)連接和見網(wǎng)絡(luò)安全管理規(guī)定 。信息流不違反業(yè)務(wù)應(yīng)用的訪問(wèn)控制策略。A.11.5操作

30、系統(tǒng)訪問(wèn)控制A.11.5.1安全登錄程序防止對(duì)操訪問(wèn)操作系統(tǒng)應(yīng)通過(guò)安選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，作系統(tǒng)的全登錄程序加以控制。見網(wǎng)絡(luò)安全管理規(guī)定 。A.11.5.2用戶標(biāo)識(shí)和鑒未授權(quán)訪所有用戶應(yīng)有唯一的、專選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，別問(wèn)。供其個(gè)人使用的識(shí)別碼見網(wǎng)絡(luò)安全管理規(guī)定 。（用戶 ID ），應(yīng)選擇一種適當(dāng)?shù)恼J(rèn)證技術(shù)證實(shí)用戶所宣稱的身份。A.11.5.3口令管理系統(tǒng)口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。A.11.5.4系統(tǒng)實(shí)用工具可能超越系統(tǒng)和應(yīng)用程的使用序控制的實(shí)用工具的使用應(yīng)加以限制并嚴(yán)格控制。A.11.5.5對(duì)話超時(shí)不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉。A.11.5.6聯(lián)機(jī)時(shí)間的

31、限應(yīng)使用聯(lián)機(jī)時(shí)間的限制，定為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。A.11.6應(yīng)用和信息訪問(wèn)控制A.11.6.1信息訪問(wèn)限制防止對(duì)應(yīng)用戶和支持人員對(duì)信息用系統(tǒng)中和應(yīng)用系統(tǒng)功能的訪問(wèn)信息的未應(yīng)依照已確定的訪問(wèn)控授權(quán)訪問(wèn)。制策略加以限制。A.11.6.2敏感系統(tǒng)隔離A.11.7移動(dòng)計(jì)算和遠(yuǎn)程工作A.11.7.1移動(dòng)計(jì)算和通確保使用×××××信可移動(dòng)計(jì)A.11.7.2遠(yuǎn)程工作算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全。A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù)A.12.1 信息系統(tǒng)的安全要求A.12.1.1安全要求分析確保安全在新的信息系統(tǒng)或增強(qiáng)和說(shuō)明是信息系已有信息系統(tǒng)的業(yè)務(wù)要

32、統(tǒng)的一個(gè)求陳述中，應(yīng)規(guī)定對(duì)安全有機(jī)組成控制措施的要求。部分。A.12.2 應(yīng)用中的正確處理A.12.2.1輸入數(shù)據(jù)的防止應(yīng)用輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)驗(yàn)證系統(tǒng)中的加以驗(yàn)證，以確保數(shù)據(jù)是信息的錯(cuò)正確且恰當(dāng)?shù)?。A.12.2.2內(nèi)部處理的誤、遺失、驗(yàn)證檢查應(yīng)整合到應(yīng)用控制未授權(quán)的中，以檢查由于處理的錯(cuò)修改及誤誤或故意的行為造成的用。信息的訛誤。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見網(wǎng)絡(luò)安全管理規(guī)定 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見網(wǎng)絡(luò)安全管理規(guī)定（越過(guò)訪問(wèn)控制進(jìn)入系統(tǒng)的工具） 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見網(wǎng)絡(luò)安全管理規(guī)定 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見網(wǎng)絡(luò)安全管理規(guī)定（ 30 分鐘空閑自動(dòng)斷開） 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)

33、果所確定，見技術(shù)部工作規(guī)范 。不選擇，目前沒有專用的敏感系統(tǒng)。選擇，見信息安全策略 。不選擇，目前沒有遠(yuǎn)程工作。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見技術(shù)部工作規(guī)范（應(yīng)用系統(tǒng)安全需求分析） 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見技術(shù)部工作規(guī)范 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見技術(shù)部工作規(guī)范 。A.12.2.3消息完整性應(yīng)用中的確保真實(shí)性和選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，保護(hù)消息完整性的要求見技術(shù)部工作規(guī)范 。應(yīng)得到識(shí)別，適當(dāng)?shù)目刂拼胧┮矐?yīng)得到識(shí)別并實(shí)施。A.12.2.4輸出數(shù)據(jù)的從應(yīng)用系統(tǒng)輸出的數(shù)據(jù)選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，驗(yàn)證應(yīng)加以驗(yàn)證，以確保對(duì)所見技術(shù)部工作規(guī)范 。存儲(chǔ)信息的處理是正確的且適于環(huán)境的。A.12.3

34、密碼控制A.12.3.1使用密碼控通過(guò)密碼不選擇，沒有密碼要求。制的策略方法保護(hù)A.12.3.2密鑰管理信息的保不選擇，沒有密碼要求。密性、真實(shí)性或完整性。A.12.4 系統(tǒng)文件的安全A.12.4.1運(yùn)行軟件的確保系統(tǒng)應(yīng)有程序來(lái)控制在運(yùn)行選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，控制文件的安系統(tǒng)上安裝軟件。見技術(shù)部工作規(guī)范 。A.12.4.2系統(tǒng)測(cè)試數(shù)全測(cè)試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，據(jù)的保護(hù)選擇、保護(hù)和控制。見技術(shù)部工作規(guī)范 。A.12.4.3對(duì)程序源代應(yīng)限制訪問(wèn)程序源代碼。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，碼的訪問(wèn)控見技術(shù)部工作規(guī)范 。制A.12.5 開發(fā)和支持過(guò)程中的安全A.12.5.1變更控制程

35、維護(hù)應(yīng)用應(yīng)使用正式的變更控制選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，序系統(tǒng)軟件程序控制變更的實(shí)施。見技術(shù)部工作規(guī)范 。A.12.5.2操作系統(tǒng)變和信息的當(dāng)操作系統(tǒng)發(fā)生變更后，選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，更后應(yīng)用的安全。應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)見技術(shù)部工作規(guī)范 。技術(shù)評(píng)審行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響。A.12.5.3軟件包變更應(yīng)對(duì)軟件包的修改進(jìn)行選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，的限制勸阻，限制必要的變更，見技術(shù)部工作規(guī)范 。且對(duì)所有的變更加以嚴(yán)格控制。A.12.5.4信息泄露A.12.5.5外包軟件開發(fā)A.12.6技術(shù)脆弱點(diǎn)管理A.12.6.1技術(shù)脆弱點(diǎn)的控制應(yīng)防止信息泄露的可能性。降 低 利 用

36、應(yīng)及時(shí)得到現(xiàn)用信息系公 布 的 技 統(tǒng)技術(shù)脆弱性的信息，評(píng)術(shù) 脆 弱 性 價(jià)組織對(duì)這些脆弱性的導(dǎo) 致 的 風(fēng) 暴露程度，并采取適當(dāng)?shù)碾U(xiǎn)。措施來(lái)處理相關(guān)的風(fēng)險(xiǎn)。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見技術(shù)部工作規(guī)范 。不選擇，沒有外包軟件開發(fā)。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見技術(shù)部工作規(guī)范 。A.13 信息安全事故管理A.13.1 報(bào)告信息安全事件和弱點(diǎn)A.13.1.1報(bào)告信息安確保與信信息安全事件應(yīng)該盡可全事件息系統(tǒng)有能快地通過(guò)適當(dāng)?shù)墓芾黻P(guān)的信息渠道進(jìn)行報(bào)告。A.13.1.2報(bào)告安全弱安全事件應(yīng)要求信息系統(tǒng)和服務(wù)點(diǎn)和弱點(diǎn)能的所有雇員、承包方人員夠以某種和第三方人員記錄并報(bào)方式傳達(dá)，告他們觀察到的或懷疑以便及時(shí)

37、的任何系統(tǒng)或服務(wù)的安采取糾正全弱點(diǎn)。措施。A.13.2信息安全事故和改進(jìn)的管理A.13.2.1職責(zé)和程序確保采用應(yīng)建立管理職責(zé)和程序，一致和有以確保能對(duì)信息安全事效的方法故做出快速、有效和有序?qū)π畔驳捻憫?yīng)。A.13.2.2對(duì)信息安全全事故進(jìn)應(yīng)有一套機(jī)制量化和監(jiān)事故的總結(jié)行管理。視信息安全事故的類型、數(shù)量和代價(jià)。A.13.2.3證據(jù)的收集當(dāng)一個(gè)信息安全事故涉及到訴訟（民事的或刑事的），需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。A.14 業(yè)務(wù)連續(xù)性管理A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面A.14.1.1業(yè)務(wù)連續(xù)性防止業(yè)務(wù)應(yīng)為貫穿于組織的業(yè)務(wù)管理過(guò)

38、程中活動(dòng)中斷，連續(xù)性開發(fā)和保持一個(gè)包含的信息保護(hù)關(guān)鍵管理過(guò)程，以解決組織的安全業(yè)務(wù)過(guò)程業(yè)務(wù)連續(xù)性所需的信息免受信息安全要求。A.14.1.2業(yè)務(wù)連續(xù)性系統(tǒng)重大應(yīng)識(shí)別能引起業(yè)務(wù)過(guò)程和風(fēng)險(xiǎn)評(píng)估失誤或?yàn)?zāi)中斷的事件，這種中斷發(fā)難的影響，生的概率和影響，以及它并確保它們對(duì)信息安全所造成的們的及時(shí)后果。A.14.1.3制定和實(shí)施恢復(fù)。應(yīng)制定和實(shí)施計(jì)劃來(lái)保包含信息安持或恢復(fù)運(yùn)行，以在關(guān)鍵全的連續(xù)性業(yè)務(wù)過(guò)程中斷或失敗后計(jì)劃能夠在要求的水平和時(shí)間內(nèi)確保信息的可用性。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見信息安全事故管理程序。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見信息安全事故管理程序。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見信息安全事故管理程序。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見信息安全事故管理程序。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見信息安全事故管理程序。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見業(yè)務(wù)連續(xù)性管理程序 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見業(yè)務(wù)連續(xù)性管理程序 。選擇，風(fēng)險(xiǎn)評(píng)估結(jié)果所確定，見業(yè)務(wù)連