解析ISO17799方法

申請免費試用、咨詢電話：400-8352-114

BS7799/ISO17799目前是建立信息安全體系公認(rèn)的國際標(biāo)準(zhǔn)，內(nèi)容涉及信息安全技術(shù)、管理和法律問題。依據(jù)BS7799/ISO17799的實施原則，企業(yè)可以檢測、分析和降低信息安全風(fēng)險。該標(biāo)準(zhǔn)涉及內(nèi)容頗多，本文約請行業(yè)內(nèi)的專家，提綱挈領(lǐng)地闡述了該國際標(biāo)準(zhǔn)的具體實施步驟，以幫助企業(yè)信息安全管理人員建立有效的信息安全管理機制。

1 實施ISO17799前的準(zhǔn)備工作

這是成功建立信息安全管理體系的關(guān)鍵，主要包括以下的內(nèi)容。

（1）企業(yè)主要管理人員參與

項目實施的成功需要企業(yè)主要管理人員對信息安全管理體系框架及功能的確認(rèn)、審批，沒有主要管理人員的參與，項目的運作可能會遇到困難并可能被無限地延期，主要管理人員包括企業(yè)的各個層面：運營、技術(shù)、預(yù)算等人員。

（2）成立項目管理委員會

委員會中必須有企業(yè)的主要管理人員，實施的項目經(jīng)理必須來自企業(yè)的不同管理部門。

項目經(jīng)理通常是企業(yè)負(fù)責(zé)運營的人并且能把項目放在優(yōu)先位置上；他必須熟悉實施流程并能把握實施的有效性。在一些大型企業(yè)里，首席信息安全官應(yīng)該擔(dān)當(dāng)這個職位。

與項目有關(guān)的其他委員會和小組在圖1中說明。

在大多數(shù)情況下，ISO17799標(biāo)準(zhǔn)在一個企業(yè)內(nèi)部的實施需要企業(yè)內(nèi)各個管理部門的介入，表1列出了ISO17799在實施過程中涉及的企業(yè)管理部門。

2 定義信息安全管理體系（ISMS）

當(dāng)項目管理委員會成立后，必須立足企業(yè)基本情況定義信息安全管理體系框架。安全的范圍擴展到整個企業(yè)，信息安全管理體系必須在企業(yè)管理的控制之下。如果企業(yè)不能控制信息安全管理體系，信息安全管理體系就不能有效發(fā)揮作用。

（1）定義ISMS

為了能更好更準(zhǔn)確地定義企業(yè)的ISMS，首先要清晰地定義以下內(nèi)容。

● 目標(biāo)：建立ISMS是為了考核企業(yè)符合ISO17799標(biāo)準(zhǔn)或企業(yè)希望獲得BS7799-2審核認(rèn)證；

● 范圍：定義建立ISMS涉及的管理部門、需要采取的措施、措施的優(yōu)先級別及對部門的重要性；

● 限制條件：ISMS范圍限制的定義依據(jù)是：企業(yè)的特點、企業(yè)的地理位置、資產(chǎn)（關(guān)鍵數(shù)據(jù)的庫存）、技術(shù)等；

● 界面：企業(yè)在建立ISMS時必須考慮企業(yè)信息系統(tǒng)同其他系統(tǒng)、其他組織和外部供應(yīng)者的界面。注意: 在ISMS定義限制中不可能完全包括所有外界提供服務(wù)和活動的界面,但在ISMS認(rèn)證時必須考慮，并應(yīng)該是企業(yè)信息安全風(fēng)險評估的一部分，例如，向合作方共享計算機、通信系統(tǒng)等設(shè)備;

● 依賴關(guān)系：ISMS必須遵循特定的安全需求，這些需求可能是法律方面的或是商業(yè)方面的，例如：國際醫(yī)療組織必須遵循HIPPA；中國必須遵循公安部等級保護制度；

● 例外情況：任何被SGSI定義的要素或域（網(wǎng)絡(luò)的一部分或管理單元），如果沒有進行過安全測試或被安全策略覆蓋，必須作出例外說明；

● 組織內(nèi)容：為滿足特定目標(biāo)在企業(yè)環(huán)境中實施的加強措施，例如：從企業(yè)外部訪問內(nèi)部資源需要采用特殊的安全措施。

（2）獲得企業(yè)內(nèi)已經(jīng)存在的文檔資料

為了評估已經(jīng)實施的安全措施，檢查已經(jīng)存在的文檔資料是非常必要的。例如：ISO9000質(zhì)量管理手冊、ISO14001環(huán)境管理手冊和信息安全策略手冊等。涉及到ISMS定義的每個部門的管理人員必須列出在他們部門內(nèi)與數(shù)據(jù)安全相關(guān)的文檔資料庫清單。

可能涉及的資料有：

● 安全策略文檔資料；

● 策略制定相關(guān)的標(biāo)準(zhǔn)和審批手續(xù)（管理和技術(shù)方面）；

● 風(fēng)險評估報告；

● 風(fēng)險處置計劃；

● 目前ISMS中存在的信息安全控制和管理方面的說明文檔，例如：審計日志、審計跟蹤記錄、計算機安全事件報告等等。

3 風(fēng)險評估

（1） 為什么要進行風(fēng)險評估？

無論企業(yè)的大小和類型，對所有企業(yè)來說，脆弱點的存在都將威脅企業(yè)信息的保密性、完整性和可用性。保護措施采取得越及時，安全就變得越有效和廉價。為了更容易定義和選擇安全控制措施，以便更好地管理企業(yè)人力和財務(wù)資源，必須識別目前企業(yè)存在的威脅。

（2）初期檢測

首先應(yīng)該根據(jù)ISO17799需求的控制點、過程和程序?qū)ζ髽I(yè)信息安全管理框架狀態(tài)做一次評估。另外必須提高企業(yè)對安全標(biāo)準(zhǔn)和實踐（如從每個安全問題的分析中學(xué)習(xí)）的認(rèn)識。在ISMS實施前要做調(diào)查，而且在實施后也要做調(diào)查，目的在于檢查原來的漏洞是否彌補，檢查改進的程度。需要產(chǎn)生一個ISO17799符合情況報告。

（3）資產(chǎn)定義和評估

信息安全風(fēng)險評估的初期過程是對企業(yè)敏感和關(guān)鍵數(shù)據(jù)的定義。企業(yè)必須對指導(dǎo)業(yè)務(wù)運營、財務(wù)運營和相關(guān)市場戰(zhàn)略的信息等建立信息庫，根據(jù)信息和其重要等級做相應(yīng)的處理（保密、內(nèi)部使用、公開等等）。

（4）定義和評估環(huán)境資產(chǎn)

因為數(shù)據(jù)是一個無形資產(chǎn)，它必須以有形的形式來掌握、處理、存儲、打印、披露和通信。因此，企業(yè)的無形資產(chǎn)需要針對CIAL（保密性、完整性、可用性、合法性）進行定義和價值說明。例如：在硬盤中存儲的財務(wù)數(shù)據(jù)具有高保密性要求、中等完整性要求和中等可用性要求。

可根據(jù)以下內(nèi)容進行分類：建筑和設(shè)備、文檔資料、軟件、計算機設(shè)備、人力資源和服務(wù)。

（5）定義和評估威脅和脆弱性

脆弱性可能被威脅利用對數(shù)據(jù)產(chǎn)生負(fù)面影響（如數(shù)據(jù)信息披露、腐蝕、毀壞、法律糾紛等）。對企業(yè)面臨的商業(yè)約束、地域的法律約束、環(huán)境約束都必須作出明確定義。

4 處置風(fēng)險

當(dāng)風(fēng)險已經(jīng)定義后，必須決定如何管理這些風(fēng)險。下面的內(nèi)容可以描述如何管理風(fēng)險：初始的安全策略；保障需求的等級；風(fēng)險評估結(jié)果；存在的商業(yè)、法律和管理規(guī)定約束。

（1）通常有四種風(fēng)險處置的方法

● 降低風(fēng)險：實施控制措施將風(fēng)險降低到可接受的等級；

● 接受風(fēng)險：計算出風(fēng)險值并知道如何承擔(dān)風(fēng)險的后果；

● 回避風(fēng)險：忽略風(fēng)險不是正確的解決辦法.然而風(fēng)險可以通過將資產(chǎn)移出風(fēng)險區(qū)域而避免風(fēng)險發(fā)生或完全放棄可能產(chǎn)生安全弱點的商業(yè)活動來回避風(fēng)險；

● 轉(zhuǎn)移風(fēng)險：通過購買、保險或外包來轉(zhuǎn)移風(fēng)險。

（2）選擇控制項

在大多數(shù)情況下，必須選擇控制項降低風(fēng)險。

在完成風(fēng)險評估之后，企業(yè)需要在每一個目標(biāo)信息環(huán)境中，對選擇的控制項進行實施，以便遵從ISO17799標(biāo)準(zhǔn)。企業(yè)選擇能夠承受（經(jīng)濟上）防護措施來防護面臨的威脅。在最終風(fēng)險處置計劃出來前，企業(yè)可以接受或拒絕建議的保護方案。

（3）風(fēng)險處置計劃

風(fēng)險處置計劃包含所有相關(guān)信息：管理任務(wù)和職責(zé)、管理責(zé)任人、風(fēng)險管理的優(yōu)先等級等等。

對企業(yè)來講，有一些附加控制在標(biāo)準(zhǔn)中沒有描述，但也是需要的。一個由外部咨詢顧問協(xié)助的風(fēng)險評估會很有幫助。

（4）控制項的實施

現(xiàn)在可以開始實施風(fēng)險處置計劃了。企業(yè)應(yīng)該盡其所能在管理、技術(shù)、邏輯、物理和環(huán)境控制方面進行勸止、防護、檢測、糾正、恢復(fù)和補償工作。如表2所示。

（5）控制措施及其定義的原則

● 勸止：降低威脅的可能性；

● 防止：保護或降低資產(chǎn)的脆弱性；

● 糾正：降低風(fēng)險和影響的損失；

● 檢測：檢測攻擊和安全的脆弱性，針對攻擊建立防護和糾正措施；

● 恢復(fù)：恢復(fù)資源和能力；

● 補償：對控制措施的替代方案。

應(yīng)該咨詢信息安全專家和法律專家，確?？刂拼胧┑倪x擇和實施是正確的。

5 培訓(xùn)和提高意識

確信在ISMS中的企業(yè)員工有能力并能保證質(zhì)量地完成他們的任務(wù)。在這種情況下企業(yè)要：

● 明確在企業(yè)中涉及信息安全工作的人員需要掌握的技術(shù)；

● 提供適當(dāng)?shù)呐嘤?xùn)，如果必要可以雇傭有經(jīng)驗?zāi)軌騽偃喂ぷ鞯膯T工；

● 評估培訓(xùn)和培訓(xùn)后工作的有效性；

● 維護每個員工的教育、培訓(xùn)情況，掌握他們的能力、經(jīng)驗和資格。

企業(yè)必須確信在ISMS中的相關(guān)人員知道達到ISMS目標(biāo)的方法并知道他們所做的相關(guān)信息安全活動的重要性。

開發(fā)一個企業(yè)內(nèi)部的信息安全培訓(xùn)計劃，教育企業(yè)內(nèi)部員工是很重要的。

企業(yè)員工是抵制信息安全侵害的最廉價的代表。通常，他們首先受到信息安全事件影響，能夠防止和降低安全事件發(fā)生時產(chǎn)生的影響。安全控制中人員因素是非常重要的，其中可以說員工對安全意識的理解尤其重要。認(rèn)識和報告可能產(chǎn)生安全事故的事件應(yīng)該成為員工的本能，這也必須成為安全意識培訓(xùn)的目標(biāo)。員工每時每刻的信息安全意識必將是企業(yè)信息資產(chǎn)的最好保護傘。

（1） 在開始信息安全意識培訓(xùn)前

要理解提高信息安全意識、培訓(xùn)和教育三者之間的不同，如表3所示。

（2）在提高信息安全意識中的一些關(guān)鍵因素

● 建立企業(yè)文化，員工在企業(yè)環(huán)境和文化中得到洗禮；

● 明確企業(yè)主管的參與；

● 理解員工在安全方面的重要性；

● 利用企業(yè)內(nèi)部的共同媒介充分利用內(nèi)部人員的力量：傳統(tǒng)的方法有企業(yè)網(wǎng)站、內(nèi)部郵件；

● 挖掘現(xiàn)有的資源；

● 建立策略、流程、表格和相關(guān)檢查表；

● 定義希望的最終結(jié)果：需要撰寫的文檔、需要編寫的手冊、編寫Email、組織網(wǎng)站內(nèi)容、定義外部網(wǎng)絡(luò)資源、確認(rèn)新老員工能夠遵循規(guī)則。

（3）在提高意識培訓(xùn)期間

● 定義意識培訓(xùn)計劃的目標(biāo)，目標(biāo)必須符合企業(yè)發(fā)展戰(zhàn)略。例如：讓員工理解安全威脅，使員工能在行動中盡能力保護企業(yè)的信息系統(tǒng)。

● 定義企業(yè)的目標(biāo)組（主要的、次要的），例如：普通員工、技術(shù)和管理;

● 根據(jù)組定義信息的使用；

● 了解企業(yè)組織的現(xiàn)狀；

● 詳細(xì)描述計劃中要采取的行動；

● 文檔資料的分發(fā);

● 策略、標(biāo)準(zhǔn)和流程必須電子化;

● 如果可能為信息安全部門設(shè)計一個LOGO（這樣可以很快地確定部門的性質(zhì)）；

● 培訓(xùn)通常內(nèi)容為：風(fēng)險、基本原則（介紹、CIA概念、好習(xí)慣等）、開發(fā)、特殊信息、演示、處理威脅、風(fēng)險和脆弱性的解決方案、職責(zé)，讓員工簽署保密協(xié)議，按年度執(zhí)行。

（4）意識培訓(xùn)實施以后

● 評估培訓(xùn)的滿意度；

● 評估培訓(xùn)的貢獻；

● 確認(rèn)知識得到傳遞；

● 記錄和更新培訓(xùn)后工作中發(fā)生的變化和新的措施。

6 審計準(zhǔn)備

（1）ISMS符合情況診斷

BS7799-2認(rèn)證需要對信息安全管理體系實施詳細(xì)情況的符合性進行證實。完成調(diào)查表將有利于搞清企業(yè)管理中針對ISMS的開發(fā)、控制、檢查、維護和改進是不是確實在進行。同時也驗證企業(yè)管理BS7799-2認(rèn)證需要文檔的能力和履行安全需求要求的能力。

（2）應(yīng)用狀態(tài)

在審計前必須總結(jié)目前的應(yīng)用狀態(tài)。這個文檔提供每個ISO1779控制點的應(yīng)用和不應(yīng)用的情況，包括在哪里應(yīng)用及每個控制點的實施狀態(tài)。

針對控制目標(biāo)選擇、控制點選擇和控制地點的選擇理由作出簡短的解釋，包括在ISO17799標(biāo)準(zhǔn)中列出的但被企業(yè)拒絕實施的控制措施的理由。

7 審計——BS7799-2認(rèn)證

BS7799-2的認(rèn)證目前是完全自愿的。企業(yè)如果成功完成BS7799-2認(rèn)證說明它們具備管理信息安全的能力，能夠確保企業(yè)的信息安全；而且，這個企業(yè)更容易找到合作伙伴和投資人。BS7799-2認(rèn)證的信譽已經(jīng)是一個公認(rèn)的事實，通過認(rèn)證的企業(yè)能夠通過信息安全控制措施確保企業(yè)信息的安全和保密。

認(rèn)證機構(gòu)對企業(yè)的ISMS認(rèn)證不少于兩個階段，除非有可以理解的特殊說明（如對一個很小的組織的認(rèn)證），認(rèn)證審計有兩個部分。

(1) 文檔資料審計

文檔資料審計的一個目標(biāo)是能夠讓認(rèn)證機構(gòu)認(rèn)識到組織在建立ISMS內(nèi)容方面的情況包括安全策略、安全目標(biāo)、風(fēng)險管理的方法。同時也可以作為下一次審計的參照點并說明企業(yè)針對審計所開展準(zhǔn)備的情況。

文檔資料審計包括文檔資料檢查，這些工作必須在控制實施審計前完成。審計認(rèn)證機構(gòu)必須對ISMS設(shè)計和實施相關(guān)文檔資料做全面的檢查，包括：安全策略狀態(tài)、ISMS的范圍定義、ISMS的所有流程和控制支持、風(fēng)險評估報告、風(fēng)險處置計劃、有關(guān)信息安全處理的計劃運營和有效控制的流程、ISMS一致和有效運營的確認(rèn)記錄、應(yīng)用的狀態(tài)。

文檔資料審計結(jié)果必須形成報告。報告可以幫助確定什么時候進行下一階段審計。同時也被用于選擇下一步審計小組的成員，這些人掌握技術(shù)，能處理ISMS中的特殊情況。在進入到審計的下一個階段時，認(rèn)證機構(gòu)需要通知在控制實施審計階段需要的特殊文檔資料、信息和報告。

（2）控制實施審計

控制實施審計依據(jù)文檔資料審計報告的結(jié)論進行。認(rèn)證機構(gòu)根據(jù)文檔資料審計結(jié)論制定審計計劃，然后方能開始控制實施審計。審計的地點是企業(yè)ISMS實施的地點。

審計包括：

● 確認(rèn)企業(yè)對自己制定安全策略、目標(biāo)和流程的遵循情況；

● 確認(rèn)企業(yè)ISMS針對BS7799-2要求的符合情況和企業(yè)自己制定策略目標(biāo)的達到情況（檢查企業(yè)有一個處理系統(tǒng)能滿足BS7799 clauses4-7的要求），ISMS的符合性診斷可以利用Callio 17799工具來完成；

● 信息安全相關(guān)風(fēng)險的評估和ISMS的設(shè)計結(jié)果，包括：風(fēng)險評估方法、風(fēng)險定義、風(fēng)險評估、風(fēng)險處置、控制目標(biāo)和風(fēng)險處置控制的選擇、應(yīng)用狀態(tài)的準(zhǔn)備；

● 檢查目標(biāo)和目標(biāo)處理的結(jié)果；

● 根據(jù)目標(biāo)和預(yù)定的結(jié)果進行監(jiān)控、測試、報告和檢查。

（3）審計者的報告

認(rèn)證機構(gòu)希望公布審計結(jié)果的報告和流程可以多樣化。包括可以在審計會議上以書面的或口頭的形式，在最后審計結(jié)束時給出正式的書面報告，報告描述企業(yè)是否符合BS7799-2需求。

企業(yè)被邀請參與審計報告注釋的編寫，需要描述他們將要采取的糾正計劃，列出在審計期間需要遵循的標(biāo)準(zhǔn)。如果需要重新評估;認(rèn)證機構(gòu)必須正式通知企業(yè)。

（4）認(rèn)證決策

認(rèn)證決策必須由認(rèn)證機構(gòu)最后給出。決策的依據(jù)是審計過程中收集到的信息和其他相關(guān)的信息。參與者的意見不能作為認(rèn)證決策的意見。

認(rèn)證企業(yè)最終從認(rèn)證機構(gòu)那里獲得BS7799-2證書。證書中的信息包括認(rèn)證的范圍、認(rèn)證的有效日期、應(yīng)用狀態(tài)的版本說明和認(rèn)證機構(gòu)名稱、LOGO和認(rèn)證標(biāo)志。

（5）再評估和監(jiān)控流程

認(rèn)證機構(gòu)必須對ISMS認(rèn)證企業(yè)進行周期性的監(jiān)控審計，頻率由認(rèn)證機構(gòu)把握，通常情況下每六個月做一次，這樣的監(jiān)控和審計的目的是驗證企業(yè)能夠持續(xù)地符合認(rèn)證要求和BS7799-2標(biāo)準(zhǔn)。

ISMS本身的再評估每三年執(zhí)行一次。因此，企業(yè)至少三年要做一次BS7799-2認(rèn)證。

8 控制持續(xù)改善

無論你是否獲得BS7799-2認(rèn)證，最重要的是正式通過ISMS的實施管理體系改善信息安全。檢查更新需要定期執(zhí)行，因為安全是在隨時發(fā)生變化的。例如：過期的防病毒軟件是沒有什么用處的。

（1）PDCA管理模式

BS7799-2標(biāo)準(zhǔn)適合Plan-do-Check-Act模式，這樣便能同其他ISO標(biāo)準(zhǔn)一致，如ISO9001和ISO14001。

這種模式強調(diào)循環(huán)的風(fēng)險管理和持續(xù)改善所帶來的成就。如圖2所示。

表4是PDCA模型四個階段的陳述。

（2）持續(xù)的改進

在這一點上，啟動兩個循環(huán)步驟：監(jiān)控和改進ISMS。

● 實施監(jiān)控程序和其他控制，允許：快速檢測處理結(jié)果中的錯誤；根據(jù)安全規(guī)則快速定義不符合情況，并能及時報告安全事件；確認(rèn)所有的安全任務(wù)無論是個人承擔(dān)的還是有信息技術(shù)部門實施的都在按照計劃進行；根據(jù)企業(yè)確定優(yōu)先級別和安全規(guī)則，定義不符合情況需要采取的行動。

● 基于審計結(jié)果、安全事件、關(guān)注方提出的建議和意見指導(dǎo)周期性的有效ISMS檢查（包括安全目標(biāo)、安全策略和安全措施）。

● 檢查剩余風(fēng)險和接受風(fēng)險的等級，并考慮它們發(fā)生的變化：組織機構(gòu)的變化；技術(shù)的變化；業(yè)務(wù)目標(biāo)和流程的變化；外部事件變化，例如法律、法規(guī)和公共觀念等。

● 考核ISMS管理規(guī)則（至少一年一次），確認(rèn)ISMS的范圍是合適的并有改進意見。ISMS管理檢查的更多信息。

● 對可能影響ISMS有效性和執(zhí)行的活動和事件的關(guān)注。

維護和改進ISMS，確定ISMS運營是持續(xù)不斷的，企業(yè)必須：

● 實施定義的改進；

● 采取必要的糾正和防護措施，從企業(yè)過去的安全經(jīng)驗或其他經(jīng)驗中學(xué)習(xí)，收集更多的ISMS改進信息；

● 在協(xié)議范圍內(nèi)分享結(jié)果；

● 確保針對目標(biāo)的改進在計劃中。

（3）ISMS管理檢查

通則：從管理的角度講必須定期檢查ISMS以便確保充分、能力和有效。檢查必須為目標(biāo)和策略變化的改進和評估創(chuàng)造機會。檢查的結(jié)果必須是文檔化的，有記錄并妥善保管。

檢查的輸入：

● ISMS審計和檢查結(jié)果；

● 關(guān)注方提供的共享信息；

● 改善ISMS執(zhí)行和效率的技術(shù)、產(chǎn)品和流程信息；

● 防護和糾正措施的狀態(tài)；

● 前期風(fēng)險評估沒有關(guān)注的威脅和漏洞；

● 前期管理檢查的后續(xù)活動；

● 影響ISMS的修改；

● 改進建議。

檢查的輸出：

● ISMS的有效改進工作

● 影響ISMS的內(nèi)部和外部事件，如：業(yè)務(wù)需求的變化、安全需求變化、影響目前業(yè)務(wù)需求的業(yè)務(wù)流程變化、法律和管理環(huán)境變化、風(fēng)險級別和/或風(fēng)險接受級別的變化；

● 資源的需求變化。

（4）內(nèi)部ISMS審計

企業(yè)必須定期實施ISMS內(nèi)部審計，時間應(yīng)該根據(jù)控制目標(biāo)、控制項、流程和手續(xù)來確定。

（5）持續(xù)改進

企業(yè)通過信息安全策略的落實、安全目標(biāo)實現(xiàn)、審計結(jié)果利用、監(jiān)控事件的分析、管理檢查的安全防范和糾正活動，確保持續(xù)改進ISMS的有效性。

（6）糾正活動

企業(yè)要采取行動消除實施和運營過程中的不符合結(jié)果，防止再次發(fā)生錯誤。糾正措施必須包括下面信息：

● 定義實施和運營中的不符合部分；

● 定義不符合的原因；

● 確定消除重新發(fā)生需要采取的行動；

● 定義和實施需要采取的糾正措施。

（7）防護措施

企業(yè)必須對未來可能發(fā)生的不符合情況采取措施并防止再次發(fā)生。防護措施對潛在的不符合影響是合適的。防護措施的流程應(yīng)該包括如下信息：

● 定義潛在的不符合情況及原因；

● 定義和實施需要的防護措施；

● 獲得糾正措施的結(jié)果；

● 檢查防護措施；

● 風(fēng)險發(fā)展的定義和描述控制風(fēng)險的步驟。

（8）記錄控制

記錄的創(chuàng)建和保存是企業(yè)符合ISMS需求和有效運營的證據(jù)。記錄需要控制，必須考慮相關(guān)的法律。記錄必須是合法的、可辨別的和可訪問的?？刂菩枰鞔_定義，存儲、保護、訪問、保存時間和記錄放置必須文檔化。必須對記錄的范圍和需求做管理規(guī)定。

流程處理和相關(guān)安全事件需要記錄，如：訪問者的簽名記錄、審計報告、訪問授權(quán)請求，等等。

（本文作者為北京思源新創(chuàng)信息安全資訊有限公司信息安全高級咨詢專家）