安全事件或可疑的安全隐患。Р6.2.8.2.2应符合 6.1.8.2.2的规定。Р6.2.8.2.3应在 6.1.8.2.3的基础上,加强对安全事件的分析研判和跟踪,并记录处理过程。Р6.2.8.2.4应建立安全信息通报流程,指定专人负责安全事件的收集、整理和通报。Р6.2.8.3 应急保障Р6.2-8-31应制定系统应急保障计划,计划包括编制应急预案,明确相关人员的职责,应急预案的测试Р和演练,以及为应急处理提供人力、设备、技术和资金等多方资源的保证。应急保障计划应以文档的形Р式保存。Р6.2-8-3.2应急预案应包括应急的启动条件、影响评估、情况处理、终止条件和相关人员的职责与联系Р方式等内容。可根据业务实际情况有针对性地编制多个应急预案。应急预案应以文档的形式保存。应采Р用应急预案来处理紧急级别的安全事件,并记录处理过程。Р6.2-8-3.3应对应急预案进行测试和定期演练,记录测试和演练的过程和结果。Р6.2.8.3.4应在 6.1.8.3.2的基础上,根据应急情况,有针对性地进行培训。Р6.3 第三级管理要求Р6.3.1 策略和制度Р6.3.1.1应符合 6.2.1.1和6.2.1.2的规定。Р6.3.1.2 应建立相应的安全管理制度和规程,制度和规程应涉及信息系统安全的各个方面。Р6.3.1.3 应建立体系文件评审制度,定期对方针与策略、管理制度和操作规程等所有体系文件进行评审Р和修订,并通过正式的管理渠道对结果进行发布。Р6.3.1.4 应建立文档管理制度,对方针与策略、管理制度和操作规程等所有相关的体系文件进行统一保Р护和管理。Р6.3.2 组织机构及职贵Р6.3.2门应在 62.21的基础上,成立负责信息安全工作的领导机构。Р6.3.2 2 应配备专职安全管理人员。安全管理人员应具有国家认可的认证机构颁发的信息安全专业资质Р 免费标准网() 无需注册即可下载
全文预览
