12.4.1 信息安全书面程序
该设施是否拥有书面的网络安全政策和程序,以保护其信息技术(IT)系统,包括在发生数据泄漏时进行IT系统和/或数据恢复(或替换)的程序?
12.4.2 防火墙
该设施是否在其计算机系统中安装了足够的软件/硬件防护措施,以防止恶意软件和内部/外部入侵(防火墙)?
12.4.3 定期测试IT安全
该设施是否定期测试其IT基础设施的安全性,以符合规定的频率(但至少每年一次)?
12.4.4 识别未授权登录
该设施是否有一个系统来识别未经授权访问IT系统/数据或滥用政策和程序?
12.4.5 IT系统的用户登录限制
a:该设施是否根据工作描述或分配的职责限制用户访问?
b. 该设施是否要求其系统用户定期更新密码(但至少每年一次)?
c. 该设施是否采用安全技术来保护远程用户使用的IT系统?
d. 对于使用个人设备进行公司工作的设施员工,该设施是否要求员工遵守公司的网络安全政策和程序?
e. 该设施是否在员工离职时收回其计算机和网络访问权限?
12.4.6 网络安全框架
该设施是否遵循任何国家或国际网络安全框架来建立网络安全协议?(对于美国设施不适用。) :::tip 国际标准化组织(ISO)发布了一系列网络安全标准,如ISO/IEC 27001和ISO/IEC 27002,可以作为网络安全框架的参考。 :::
12.4.7 备份网络数据
该设施是否每周至少备份其存储在网络中的数据?
12.4.8 备用电源
该设施是否具有备用电源以备份必要数据,以防电力中断?
最后更新时间 2024-07-31