◇BP.01.04安全服务及控制机制的管理
安全服务及机制的一般管理类似于其它服务及机制的管理,这包括保护它们避免损伤、 偶然事故和人为故障,并根据法律和政策要求进行归档。
工作产品示例:
(1)维护和管理日志——根据系统安全机制对维护、完整性检查和运行检查进行记录。 (2)定期的维护和管理检查——对最近的系统安全管理及维护工作的分析。
(3)管理和维护失效——跟踪记录系统维护方面的问题以便标识需要额外关注的地方。
(4)管理和维护例外——包括对正常管理及维护程序的例外情况的描述,其中包括该例外情况出现的原因和持续的时间。
(5)敏感信息清单——描述系统中各种类型的信息和这些信息应怎样得到保护。
(6)敏感介质清单——描述系统中存储信息所用的各种类型的介质和每种介质应怎样得到保护。
(7)净化、降级和撤消一一描述一些保证在信息敏感性降低或者介质被净化或处置后,不出现不必要风险的程序。信息资产被定义为属于一个组织的硬件、软件和数据。某些信息资产可能需要删除敏感部分以便余下部分能用于较低敏感的目的。净化措施能保证信息发布给需要知道的个体。这可以通过降低信息的级别或对特定敏感信息的选择性删除来达到。