9、信息安全事件管理

        9.1報告信息安全事態(tài)和弱點

         建立正式的IDC信息安全事件報告程序，并形成文件。

        建立適當(dāng)?shù)某绦?，保證信息安全事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報告，要求員工、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點。

       9.2職責(zé)和程序

        應(yīng)建立管理職責(zé)和架構(gòu)，以確保能對信息安全事件做出快速、有效和有序的響應(yīng)。

        9.3對信息安全事件的總結(jié)和證據(jù)的收集

        建立一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價，并且當(dāng)一個信息安全事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對個人或組織進(jìn)行起訴時，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。

         10、業(yè)務(wù)連續(xù)性管理

         10.1業(yè)務(wù)連續(xù)性計劃

         建立和維持一個用于整個組織的業(yè)務(wù)連續(xù)性計劃，通過使用預(yù)防和恢復(fù)控制措施，將對組織的影響減少到最低，并從信息資產(chǎn)的損失中恢復(fù)到可接受的程度。

         10.2業(yè)務(wù)連續(xù)性和風(fēng)險評估

         通 過恰當(dāng)?shù)某绦?，識別能引起IDC業(yè)務(wù)過程中斷的事態(tài)（例如，設(shè)備故障、人為錯誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為等），這種中斷發(fā)生的概率和影響，以及它們對信息安全所造成的后果。

           業(yè)務(wù)資源與過程責(zé)任人參與業(yè)務(wù)連續(xù)性風(fēng)險評估。

         10.3制定和實施包括信息安全的連續(xù)性計劃

         建立業(yè)務(wù)運行恢復(fù)計劃，以使關(guān)鍵業(yè)務(wù)過程在中斷或發(fā)生故障后，能在規(guī)定的水準(zhǔn)與規(guī)定的時間范圍恢復(fù)運行

         10.4測試、維護(hù)和再評估業(yè)務(wù)連續(xù)性計劃

         業(yè)務(wù)連續(xù)性計劃應(yīng)定期測試和更新，以確保其及時性和有效性。

         定期測試及更新業(yè)務(wù)連續(xù)性計劃（BCP）/災(zāi)難恢復(fù)計劃（DRP），并對員工進(jìn)行培訓(xùn)；定期對IDC的風(fēng)險進(jìn)行審核和管理評審，及時發(fā)現(xiàn)潛在的災(zāi)難和安全失效。

         5星級IDC：至少每年一次測試及更新；BCP/DRP，并對員工進(jìn)行培訓(xùn)； 至少每年一次對IDC的風(fēng)險進(jìn)行審核和管理評審，及時發(fā)現(xiàn)潛在的災(zāi)難和安全失效。

         4星級IDC：至少每年一次測試及更新；BCP/DRP，并對員工進(jìn)行培訓(xùn)；至少每年一次對IDC的風(fēng)險進(jìn)行審核和管理評審，及時發(fā)現(xiàn)潛在的災(zāi)難和安全失效。

        11、符合性

        11.1可用法律、法規(guī)的識別

         IDC所有相關(guān)的法令、法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，應(yīng)加以明確地定義、收集和跟蹤，并形成文件并保持更新。

        11.2知識產(chǎn)權(quán)

         應(yīng)實施適當(dāng)?shù)某绦?，以確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時，符合法律、法規(guī)和合同的要求。

         11.3保護(hù)組織的記錄

          應(yīng)防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè)務(wù)的要求。

        11.4技術(shù)符合性檢查

        定期地對信息系統(tǒng)進(jìn)行安全實施標(biāo)準(zhǔn)符合檢查，由具有勝任能力的已授權(quán)的人員執(zhí)行，或在他們的監(jiān)督下執(zhí)行。

          11.5數(shù)據(jù)保護(hù)和個人信息的隱私

          應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保數(shù)據(jù)保護(hù)和隱私。