12.4 网络安全


12.4.1 信息安全书面程序

该设施是否拥有书面的网络安全政策和程序,以保护其信息技术(IT)系统,包括在发生数据泄漏时进行IT系统和/或数据恢复(或替换)的程序?

12.4.2 防火墙

该设施是否在其计算机系统中安装了足够的软件/硬件防护措施,以防止恶意软件和内部/外部入侵(防火墙)?

12.4.3 定期测试IT安全

该设施是否定期测试其IT基础设施的安全性,以符合规定的频率(但至少每年一次)?

12.4.4 识别未授权登录

该设施是否有一个系统来识别未经授权访问IT系统/数据或滥用政策和程序?

12.4.5 IT系统的用户登录限制

a:该设施是否根据工作描述或分配的职责限制用户访问?

b. 该设施是否要求其系统用户定期更新密码(但至少每年一次)?

c. 该设施是否采用安全技术来保护远程用户使用的IT系统?

d. 对于使用个人设备进行公司工作的设施员工,该设施是否要求员工遵守公司的网络安全政策和程序?

e. 该设施是否在员工离职时收回其计算机和网络访问权限?

12.4.6 网络安全框架

该设施是否遵循任何国家或国际网络安全框架来建立网络安全协议?(对于美国设施不适用。) :::tip 国际标准化组织(ISO)发布了一系列网络安全标准,如ISO/IEC 27001和ISO/IEC 27002,可以作为网络安全框架的参考。 :::

12.4.7 备份网络数据

该设施是否每周至少备份其存储在网络中的数据?

12.4.8 备用电源

该设施是否具有备用电源以备份必要数据,以防电力中断?

最后更新时间 2024-07-31
滚动至顶部