◇BP.01.04安全服務(wù)及控制機(jī)制的管理

安全服務(wù)及機(jī)制的一般管理類似于其它服務(wù)及機(jī)制的管理，這包括保護(hù)它們避免損傷、 偶然事故和人為故障，并根據(jù)法律和政策要求進(jìn)行歸檔。

工作產(chǎn)品示例：

(1)維護(hù)和管理日志——根據(jù)系統(tǒng)安全機(jī)制對維護(hù)、完整性檢查和運(yùn)行檢查進(jìn)行記錄。 (2)定期的維護(hù)和管理檢查——對最近的系統(tǒng)安全管理及維護(hù)工作的分析。

(3)管理和維護(hù)失效——跟蹤記錄系統(tǒng)維護(hù)方面的問題以便標(biāo)識(shí)需要額外關(guān)注的地方。

(4)管理和維護(hù)例外——包括對正常管理及維護(hù)程序的例外情況的描述，其中包括該例外情況出現(xiàn)的原因和持續(xù)的時(shí)間。

(5)敏感信息清單——描述系統(tǒng)中各種類型的信息和這些信息應(yīng)怎樣得到保護(hù)。

(6)敏感介質(zhì)清單——描述系統(tǒng)中存儲(chǔ)信息所用的各種類型的介質(zhì)和每種介質(zhì)應(yīng)怎樣得到保護(hù)。

(7)凈化、降級和撤消一一描述一些保證在信息敏感性降低或者介質(zhì)被凈化或處置后，不出現(xiàn)不必要風(fēng)險(xiǎn)的程序。信息資產(chǎn)被定義為屬于一個(gè)組織的硬件、軟件和數(shù)據(jù)。某些信息資產(chǎn)可能需要?jiǎng)h除敏感部分以便余下部分能用于較低敏感的目的。凈化措施能保證信息發(fā)布給需要知道的個(gè)體。這可以通過降低信息的級別或?qū)μ囟舾行畔⒌倪x擇性刪除來達(dá)到。