ISO/IEC27040標準合規(guī)性控制措施

一、條款、目標、控制措施

問責制

-確保用戶，特別是特權用戶，具有唯一的用戶id（即，沒有共享帳戶）；

-在可能的情況下，根據(jù)角色授予權利和特權；

-記錄所有嘗試（成功和不成功）的管理事件和事務。

-可追溯性

-確保記錄的事件/事務數(shù)據(jù)包含足夠的應用程序或系統(tǒng)詳細信息，以清楚地標識源；

-確保用戶信息可以追溯到特定的個人；

-適當時，將日志記錄視為證據(jù)（保管鏈、不可否認性、真實性等）。

-檢測、監(jiān)視和評估

-確保存儲層參與外部審計日志記錄措施；

-監(jiān)視審核日志記錄事件并發(fā)出相應的警報。

-信息保留和衛(wèi)生處理

-實施適當?shù)臄?shù)據(jù)保留措施；

-實施適當?shù)臄?shù)據(jù)完整性和真實性措施；

-在刪除、重新調(diào)整用途或停用硬件時正確清理數(shù)據(jù)；

-在生命周期結束時正確清理虛擬服務器映像及其副本。

-隱私

-實施適當?shù)臄?shù)據(jù)訪問控制措施，以控制對數(shù)據(jù)和元數(shù)據(jù)（如搜索結果）的訪問；盡可能采取最低權限的姿態(tài)；

-實施適當?shù)臄?shù)據(jù)保密措施，防止未經(jīng)授權的泄露。

-合法的

-確保重復數(shù)據(jù)消除的使用不與數(shù)據(jù)真實性要求沖突；

-確保數(shù)據(jù)和媒體凈化機制不違反保存命令；

-確保在處理證據(jù)數(shù)據(jù)（如審計日志、元數(shù)據(jù)、鏡像、時間點副本等）時遵循適當?shù)谋O(jiān)管鏈程序。

二、企業(yè)要做的內(nèi)容

1.準備《法律法規(guī)與符合性評估程序》

2.準備《認證和授權安全策略》

3準備《數(shù)據(jù)清理管理程序》

4準備《安全審計、會計和監(jiān)控安全策略》

三、審核員關注的內(nèi)容

1. 是否依據(jù)《法律法規(guī)與符合性評估程序》實施管理

2 是否依據(jù)《認證和授權安全策略》實施管理

3. 是否依據(jù)《法律法規(guī)與符合性評估程序》實施管理

4 是否依據(jù)《安全審計、會計和監(jiān)控安全策略》實施管理

艳后荒淫史h版电影_久久精品视频免费看_又色又爽又黄又刺激免费_国产一区二区免费_日韩三级在线免费_av大帝天堂_成年人在线观看av_jizz日本老师水多_一级片一级片_国产a小视频