b) 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任。
本项要求包括:
a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b) 应对机房的出入、服务器的开机或关机等工作进行管理;
c) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
本项要求包括:
a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护;
b) 应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点。
本项要求包括:
a) 应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理;
b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
本项要求包括:
a) 应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b) 应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
本项要求包括:
a) 应根据业务需求和系统安全分析确定系统的访问控制策略;
b) 应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的修补;
