数据中心信息安全管理及管控要求（6）

        9、信息安全事件管理

        9.1报告信息安全事态和弱点

         建立正式的IDC信息安全事件报告程序，并形成文件。

        建立适当的程序，保证信息安全事态应该尽可能快地通过适当的管理渠道进行报告，要求员工、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。

       9.2职责和程序

        应建立管理职责和架构，以确保能对信息安全事件做出快速、有效和有序的响应。

        9.3对信息安全事件的总结和证据的收集

        建立一套机制量化和监视信息安全事件的类型、数量和代价，并且当一个信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。

         10、业务连续性管理

         10.1业务连续性计划

         建立和维持一个用于整个组织的业务连续性计划，通过使用预防和恢复控制措施，将对组织的影响减少到最低，并从信息资产的损失中恢复到可接受的程度。

         10.2业务连续性和风险评估

         通 过恰当的程序，识别能引起IDC业务过程中断的事态（例如，设备故障、人为错误、盗窃、火灾、自然灾害和恐怖行为等），这种中断发生的概率和影响，以及它们对信息安全所造成的后果。

           业务资源与过程责任人参与业务连续性风险评估。

         10.3制定和实施包括信息安全的连续性计划

         建立业务运行恢复计划，以使关键业务过程在中断或发生故障后，能在规定的水准与规定的时间范围恢复运行

         10.4测试、维护和再评估业务连续性计划

         业务连续性计划应定期测试和更新，以确保其及时性和有效性。

         定期测试及更新业务连续性计划（BCP）/灾难恢复计划（DRP），并对员工进行培训；定期对IDC的风险进行审核和管理评审，及时发现潜在的灾难和安全失效。

         5星级IDC：至少每年一次测试及更新；BCP/DRP，并对员工进行培训； 至少每年一次对IDC的风险进行审核和管理评审，及时发现潜在的灾难和安全失效。

         4星级IDC：至少每年一次测试及更新；BCP/DRP，并对员工进行培训；至少每年一次对IDC的风险进行审核和管理评审，及时发现潜在的灾难和安全失效。

        11、符合性

        11.1可用法律、法规的识别

         IDC所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、收集和跟踪，并形成文件并保持更新。

        11.2知识产权

         应实施适当的程序，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。

         11.3保护组织的记录

          应防止重要的记录遗失、毁坏和伪造，以满足法令、法规、合同和业务的要求。

        11.4技术符合性检查

        定期地对信息系统进行安全实施标准符合检查，由具有胜任能力的已授权的人员执行，或在他们的监督下执行。

          11.5数据保护和个人信息的隐私

          应依照相关的法律、法规和合同条款的要求，确保数据保护和隐私。