更管理控制措施,并形成正式制度,规定组织对于恶意代码的处置措施。在信息处理环境中使用来自不同防恶意代码供应商的两个或多个软件产品,能改进恶意代码防护的有效性。还可以在网络边界使用防恶意代码网关或开启具有防恶意代码功能的防火墙设备。宜注意防止在实施维护和应急响应期间引入恶意代码,因为它们可能绕过正常的恶意代码防护的控制措施。
组织要建立备份管理制度以确定组织各类信息、软件和系统的备份要求,并提供足够的备份设备以确保所有的基本信息和软件能在灾难或介质故障后恢复。组织还要监控备份的执行,解决预定备份在执行过程中可能遇到故障告警,以确保基于备份策略备份的完整性。 各个系统和服务的备份介质应安排定期恢复测试以确保它们满足业务连续性计划的要求,在恢复测试时需注意恢复到测试环境,以免由于误操作对生产系统造成影响。
事件日志是安全监测的基础,能够对系统安全状态生成综合报告和警报。组织应该制定安全事件日志管理制度,对产生的事件日志进行保存和定期评审,并留存评审记录。记录中应该包括用户操作、异常告警、错误告警和信息安全事件记录。事件日志可能包含入侵和保密人员的数据,应采取适当的隐私保护措施,一般仅允许日志审计员对事件日志进行操作。日志系统不应该允许系统管理员或安全管理员删除他们自己活动的日志。