9、信息安全事件管理

        9.1報告信息安全事態和弱點

         建立正式的IDC信息安全事件報告程序，并形成文件。

        建立適當的程序，保證信息安全事態應該盡可能快地通過適當的管理渠道進行報告，要求員工、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。

       9.2職責和程序

        應建立管理職責和架構，以確保能對信息安全事件做出快速、有效和有序的響應。

        9.3對信息安全事件的總結和證據的收集

        建立一套機制量化和監視信息安全事件的類型、數量和代價，并且當一個信息安全事件涉及到訴訟（民事的或刑事的），需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。

         10、業務連續性管理

         10.1業務連續性計劃

         建立和維持一個用于整個組織的業務連續性計劃，通過使用預防和恢復控制措施，將對組織的影響減少到最低，并從信息資產的損失中恢復到可接受的程度。

         10.2業務連續性和風險評估

         通 過恰當的程序，識別能引起IDC業務過程中斷的事態（例如，設備故障、人為錯誤、盜竊、火災、自然災害和恐怖行為等），這種中斷發生的概率和影響，以及它們對信息安全所造成的后果。

           業務資源與過程責任人參與業務連續性風險評估。

         10.3制定和實施包括信息安全的連續性計劃

         建立業務運行恢復計劃，以使關鍵業務過程在中斷或發生故障后，能在規定的水準與規定的時間范圍恢復運行

         10.4測試、維護和再評估業務連續性計劃

         業務連續性計劃應定期測試和更新，以確保其及時性和有效性。

         定期測試及更新業務連續性計劃（BCP）/災難恢復計劃（DRP），并對員工進行培訓；定期對IDC的風險進行審核和管理評審，及時發現潛在的災難和安全失效。

         5星級IDC：至少每年一次測試及更新；BCP/DRP，并對員工進行培訓； 至少每年一次對IDC的風險進行審核和管理評審，及時發現潛在的災難和安全失效。

         4星級IDC：至少每年一次測試及更新；BCP/DRP，并對員工進行培訓；至少每年一次對IDC的風險進行審核和管理評審，及時發現潛在的災難和安全失效。

        11、符合性

        11.1可用法律、法規的識別

         IDC所有相關的法令、法規和合同要求，以及為滿足這些要求組織所采用的方法，應加以明確地定義、收集和跟蹤，并形成文件并保持更新。

        11.2知識產權

         應實施適當的程序，以確保在使用具有知識產權的材料和具有所有權的軟件產品時，符合法律、法規和合同的要求。

         11.3保護組織的記錄

          應防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規、合同和業務的要求。

        11.4技術符合性檢查

        定期地對信息系統進行安全實施標準符合檢查，由具有勝任能力的已授權的人員執行，或在他們的監督下執行。

          11.5數據保護和個人信息的隱私

          應依照相關的法律、法規和合同條款的要求，確保數據保護和隱私。