保密室、计算机房访问记录管理保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
8计算机和网络运行管理策略计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和
存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。
81操作规程和职责应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:数据文件处理规程,包括验证网络传输的数据;对所有计划好的系统开发、维护和测试工作的变更管理规程;为意外事件准备的错误处理和意外事件处理规程;问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁
处理);事故管理规程;
5
f为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持合同。82操作变更控制对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。83介质的处理和安全性应该对计算机介质进行控制,如果必要的话需要进行物理保护:可移动的计算机介质应该受控;应该制定并遵守处理包含机密或关键数据的介质的规程;与计算相关的介质应该在不再需要时被妥善废弃。84鉴别和网络安全鉴别和网络安全包括以下方面:网络访问控制应包括对人员的识别和鉴定;用户连接到网络的能力应受控,以支持业务应用的访问策略需求;专门的测试和监控设备应被安全保存,使用时要进行严格控制;通过网络监控设备访问网络应受到限制并进行适当授权;应配备专门设备自动检查所有网络数据传输是否完整和正确;应评估和说明使用外部网络服务所带来的安全风险;根据不同的用户和不同的网络服务进行网络访问控制;对IPr