9、信息安全事件管理

        9.1報(bào)告信息安全事態(tài)和弱點(diǎn)

         建立正式的IDC信息安全事件報(bào)告程序，并形成文件。

        建立適當(dāng)?shù)某绦颍ＷC信息安全事態(tài)應(yīng)該盡可能快地通過(guò)適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告，要求員工、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。

       9.2職責(zé)和程序

        應(yīng)建立管理職責(zé)和架構(gòu)，以確保能對(duì)信息安全事件做出快速、有效和有序的響應(yīng)。

        9.3對(duì)信息安全事件的總結(jié)和證據(jù)的收集

        建立一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià)，并且當(dāng)一個(gè)信息安全事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。

         10、業(yè)務(wù)連續(xù)性管理

         10.1業(yè)務(wù)連續(xù)性計(jì)劃

         建立和維持一個(gè)用于整個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃，通過(guò)使用預(yù)防和恢復(fù)控制措施，將對(duì)組織的影響減少到最低，并從信息資產(chǎn)的損失中恢復(fù)到可接受的程度。

         10.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估

         通 過(guò)恰當(dāng)?shù)某绦颍R(shí)別能引起IDC業(yè)務(wù)過(guò)程中斷的事態(tài)（例如，設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為等），這種中斷發(fā)生的概率和影響，以及它們對(duì)信息安全所造成的后果。

           業(yè)務(wù)資源與過(guò)程責(zé)任人參與業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估。

         10.3制定和實(shí)施包括信息安全的連續(xù)性計(jì)劃

         建立業(yè)務(wù)運(yùn)行恢復(fù)計(jì)劃，以使關(guān)鍵業(yè)務(wù)過(guò)程在中斷或發(fā)生故障后，能在規(guī)定的水準(zhǔn)與規(guī)定的時(shí)間范圍恢復(fù)運(yùn)行

         10.4測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃

         業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測(cè)試和更新，以確保其及時(shí)性和有效性。

         定期測(cè)試及更新業(yè)務(wù)連續(xù)性計(jì)劃（BCP）/災(zāi)難恢復(fù)計(jì)劃（DRP），并對(duì)員工進(jìn)行培訓(xùn)；定期對(duì)IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審，及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。

         5星級(jí)IDC：至少每年一次測(cè)試及更新；BCP/DRP，并對(duì)員工進(jìn)行培訓(xùn)； 至少每年一次對(duì)IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審，及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。

         4星級(jí)IDC：至少每年一次測(cè)試及更新；BCP/DRP，并對(duì)員工進(jìn)行培訓(xùn)；至少每年一次對(duì)IDC的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審，及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。

        11、符合性

        11.1可用法律、法規(guī)的識(shí)別

         IDC所有相關(guān)的法令、法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，應(yīng)加以明確地定義、收集和跟蹤，并形成文件并保持更新。

        11.2知識(shí)產(chǎn)權(quán)

         應(yīng)實(shí)施適當(dāng)?shù)某绦?，以確保在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí)，符合法律、法規(guī)和合同的要求。

         11.3保護(hù)組織的記錄

          應(yīng)防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè)務(wù)的要求。

        11.4技術(shù)符合性檢查

        定期地對(duì)信息系統(tǒng)進(jìn)行安全實(shí)施標(biāo)準(zhǔn)符合檢查，由具有勝任能力的已授權(quán)的人員執(zhí)行，或在他們的監(jiān)督下執(zhí)行。

          11.5數(shù)據(jù)保護(hù)和個(gè)人信息的隱私

          應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保數(shù)據(jù)保護(hù)和隱私。