ISO/IEC27040標(biāo)準(zhǔn)合規(guī)性控制措施

一、條款、目標(biāo)、控制措施

問責(zé)制

-確保用戶，特別是特權(quán)用戶，具有唯一的用戶id（即，沒有共享帳戶）；

-在可能的情況下，根據(jù)角色授予權(quán)利和特權(quán)；

-記錄所有嘗試（成功和不成功）的管理事件和事務(wù)。

-可追溯性

-確保記錄的事件/事務(wù)數(shù)據(jù)包含足夠的應(yīng)用程序或系統(tǒng)詳細(xì)信息，以清楚地標(biāo)識源；

-確保用戶信息可以追溯到特定的個人；

-適當(dāng)時，將日志記錄視為證據(jù)（保管鏈、不可否認(rèn)性、真實性等）。

-檢測、監(jiān)視和評估

-確保存儲層參與外部審計日志記錄措施；

-監(jiān)視審核日志記錄事件并發(fā)出相應(yīng)的警報。

-信息保留和衛(wèi)生處理

-實施適當(dāng)?shù)臄?shù)據(jù)保留措施；

-實施適當(dāng)?shù)臄?shù)據(jù)完整性和真實性措施；

-在刪除、重新調(diào)整用途或停用硬件時正確清理數(shù)據(jù)；

-在生命周期結(jié)束時正確清理虛擬服務(wù)器映像及其副本。

-隱私

-實施適當(dāng)?shù)臄?shù)據(jù)訪問控制措施，以控制對數(shù)據(jù)和元數(shù)據(jù)（如搜索結(jié)果）的訪問；盡可能采取最低權(quán)限的姿態(tài)；

-實施適當(dāng)?shù)臄?shù)據(jù)保密措施，防止未經(jīng)授權(quán)的泄露。

-合法的

-確保重復(fù)數(shù)據(jù)消除的使用不與數(shù)據(jù)真實性要求沖突；

-確保數(shù)據(jù)和媒體凈化機制不違反保存命令；

-確保在處理證據(jù)數(shù)據(jù)（如審計日志、元數(shù)據(jù)、鏡像、時間點副本等）時遵循適當(dāng)?shù)谋O(jiān)管鏈程序。

二、企業(yè)要做的內(nèi)容

1.準(zhǔn)備《法律法規(guī)與符合性評估程序》

2.準(zhǔn)備《認(rèn)證和授權(quán)安全策略》

3準(zhǔn)備《數(shù)據(jù)清理管理程序》

4準(zhǔn)備《安全審計、會計和監(jiān)控安全策略》

三、審核員關(guān)注的內(nèi)容

1. 是否依據(jù)《法律法規(guī)與符合性評估程序》實施管理

2 是否依據(jù)《認(rèn)證和授權(quán)安全策略》實施管理

3. 是否依據(jù)《法律法規(guī)與符合性評估程序》實施管理

4 是否依據(jù)《安全審計、會計和監(jiān)控安全策略》實施管理

少妇的滋味在线_色综合一区二区_水蜜桃4美国伦理_中国一级黄_91九色网站,国产又黄又猛又粗又爽的小说网站,妇与子乱肉肉视频,日本大尺度激情做爰hd昼颜