户应确保无人看管的设备受到了适当的安全保护；应根据系统的重要性制定监控系统的使用规程。必须维护监控系统安全事件的审计跟踪记录；为准确记录安全事件，计算机时钟应被同步。
10风险管理及安全审计策略信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可
用所带来的（直接和间接的）潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前，必须进行风险评估工作。
信息安全审计应当3个月进行一次，并形成文档化的信息安全审计报告。信息安全风险评估应当至少1年一次，可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
11信息系统应急计划和响应策略111信息应急计划和响应的必要性应该制定和实施应急计划和响应管理程序，将预防和恢复控制措施相结合，
将灾难和安全故障（可能是由于自然灾害、事故、设备故障和蓄意破坏等引起）造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划，确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。
112应急计划和响应管理程序应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下
10
f主要内容：考虑突发事件的可能性和影响。了解中断信息系统服务可能对业务造成的影响（必须找到适当的解决方案，正确处理较小事故以及可能威胁组织生存的大事故），并确定信息处理设施的业务目标。适当考虑风险处理措施，可以将其作为业务连续性程序的一部分。定期对应急计划和响应程序进行检查和进行必要的演练，确保其始终有效。适当地对技术人员进行培训，让他们了解包括危机管理在内的应急程序。
12遵循性计算机及信息系统必须遵守国家法律和法规的要求。公司所有工作人员都有责任学习、理解并遵守安全策略，以确保公司敏感信
息的安全。对违反安全策略的行为，根据事件性质和违规的严重程度，采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外，所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策r