6、通信和操作管理

       6.1 運行程序和職責

       6.1.1運行操作程序文件化

        運行操作程序文件化并加以保持，并方便相關使用人員的訪問。

        6.1.2變更管理

         對信息處理設施和系統(tǒng)的變更是否受控，并考慮：重大變更的標識和記錄；變更的策劃和測試；對這種變更的潛在影響的評估，包括安全影響；對建議變更的正式批準程序；向所有有關人員傳達變更細節(jié)；返回程序，包括從不成功變更和未預料事態(tài)中退出和恢復的程序與職責。

         6.1.3職責分離

         各類責任及職責范圍應加以分割，以降低未授權(quán)或無意識的修改或者不當使用組織資產(chǎn)的機會。

        6.1.4開發(fā)設施、測試設施和運行設施的分離

        開發(fā)、測試和運行設施應分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。

        6.2 第三方服務交付管理

        6.2.1服務交付

         應確保第三方實施、運行和保持包含在第三方服務交付協(xié)議中的安全控制措施、服務定義和交付水準。

        IDC應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務在大的服務故障或災難后繼續(xù)得以保持。

         6.2.2第三方服務的監(jiān)視和評審

         應定期監(jiān)視和評審由第三方提供的服務、報告和記錄，審核也應定期執(zhí)行，并留下記錄。

        6.2.3第三方服務的變更管理

         應管理服務提供的變更，包括保持和改進現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估

         6.3系統(tǒng)規(guī)劃和驗收

         6.3.1容量管理

         IDC各系統(tǒng)資源的使用應加以監(jiān)視、調(diào)整，并做出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。

         系統(tǒng)硬件系統(tǒng)環(huán)境的功能、性能和容量要滿足IDC業(yè)務處理的和存貯設備的平均使用率宜控制在75%以內(nèi)。

         網(wǎng)絡設備的處理器和內(nèi)存的平均使用率應控制在75%以內(nèi)。

         6.3.2系統(tǒng)驗收

         建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對系統(tǒng)進行適當?shù)臏y試。

        6.4防范惡意代碼和移動代碼

        6.4.1對惡意代碼的控制措施

        實施惡意代碼的監(jiān)測、預防和恢復的控制措施，以及適當?shù)奶岣哂脩舭踩庾R的程序

         6.4.2對移動代碼的控制措施

        當授權(quán)使用移動代碼時，其配置確保授權(quán)的移動代碼按照清晰定義的安全策略運行，應阻止執(zhí)行未授權(quán)的移動代碼。

        6.5 備份

        6.5.1備份

        應按照客戶的要求以及已設的備份策略，定期備份和測試信息和軟件。各個系統(tǒng)的備份安排應定期測試以確保他們滿足業(yè)務連續(xù)性計劃的要求。對于重要的系統(tǒng)，備份安排應包括在發(fā)生災難時恢復整個系統(tǒng)所必需的所有系統(tǒng)信息、應用和數(shù)據(jù)。

        應確定最重要業(yè)務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。

       6.6 網(wǎng)絡安全管理

       6.6.1網(wǎng)絡控制

        為了防止使用網(wǎng)絡時發(fā)生的威脅和維護系統(tǒng)與應用程序的安全，網(wǎng)絡要充分受控；網(wǎng)絡的運行職責與計算機系統(tǒng)的運行職責實現(xiàn)分離；敏感信息在公用網(wǎng)絡上傳輸時，考慮足夠的加密和訪問控制措施。

        6.6.2網(wǎng)絡服務的安全

         網(wǎng)絡服務（包括接入服務、私有網(wǎng)絡服務、增值網(wǎng)絡和受控的網(wǎng)絡安全解決方案，例如防火墻和入侵檢測系統(tǒng)等）應根據(jù)安全需求，考慮如下安全控制措施：為網(wǎng)絡服務應用的安全技術(shù)，例如認證、加密和網(wǎng)絡連接控制；按照安全和網(wǎng)絡連接規(guī)則，網(wǎng)絡服務的安全連接需要的技術(shù)參數(shù)；若需要，網(wǎng)絡服務使用程序，以限制對網(wǎng)絡服務或應用的訪問。

         6.7 介質(zhì)管理

        6.7 .1可移動介質(zhì)的管理

        建立適當?shù)目梢苿咏橘|(zhì)的管理程序，規(guī)范可移動介質(zhì)的管理。

        可移動介質(zhì)包括磁帶、磁盤、閃盤、可移動硬件驅(qū)動器、CD、DVD和打印的介質(zhì)

         6.7 .2介質(zhì)的處置

         不再需要的介質(zhì)，應使用正式的程序可靠并安全地處置。保持審計蹤跡，保留敏感信息的處置記錄。

          6.7 .3信息處理程序

          建立信息的處理及存儲程序，以防止信息的未授權(quán)的泄漏或不當使用。

         包含信息的介質(zhì)在組織的物理邊界以外運送時，應防止未授權(quán)的訪問、不當使用或毀壞。

         6.8 信息交換

         6.8.1信息交換策略和程序

         為了保護通過使用各種類型的通信設施進行信息交換，是否有正式的信息交換方針、程序和控制措施。

         6.8.2外方信息交換協(xié)議

         在組織和外方之間進行信息/軟件交換時，是否有交換協(xié)議。

          6.8.3電子郵件、應用系統(tǒng)的信息交換與共享

          建立適當?shù)目刂拼胧?，保護電子郵件的安全；為了保護相互連接的業(yè)務信息系統(tǒng)的信息，開發(fā)與實施相關的方針和程序。

         6.9 監(jiān)控

         6.9.1審計日志

        審計日志需記錄用戶活動、異常事件和信息安全事件；為了幫助未來的調(diào)查和訪問控制監(jiān)視，審計日志至少應保存1年。

        6.9.2監(jiān)視系統(tǒng)的使用

        應建立必要的信息處理設施的監(jiān)視使用程序，監(jiān)視活動的結(jié)果應定期評審。

        6.9.3日志信息的保護

         記錄日志的設施和日志信息應加以保護，以防止篡改和未授權(quán)的訪問。

        6.9.4管理員和操作員日志

        系統(tǒng)管理員和系統(tǒng)操作員活動應記入日志。系統(tǒng)管理員與系統(tǒng)操作員無權(quán)更改或刪除日志。

         6.9.5故障日志

          與信息處理或通信系統(tǒng)的問題有關的用戶或系統(tǒng)程序所報告的故障要加以記錄、分析，并采取適當?shù)拇胧?/p>

         6.9.6時鐘同步

          一個安全域內(nèi)的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步。

         5星級IDC各計算機系統(tǒng)的時鐘與標準時間的誤差不超過10秒。

         4星級IDC各計算機系統(tǒng)的時鐘與標準時間的誤差不超過25秒。