6.9 监控
        6.9.1审计日志
        审计日志需记录用户活动、异常事件和信息安全事件；为了帮助未来的调查和访问控制监视，审计日志至少应保存1年。
        6.9.2监视系统的使用
        应建立必要的信息处理设施的监视使用程序，监视活动的结果应定期评审。
        6.9.3日志信息的保护
        记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。
        6.9.4管理员和操作员日志
        系统管理员和系统操作员活动应记入日志。系统管理员与系统操作员无权更改或删除日志。
        6.9.5故障日志
        与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录、分析，并采取适当的措施。
        6.9.6时钟同步
        一个安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。
        5星级IDC各计算机系统的时钟与标准时间的误差不超过10秒。
        4星级IDC各计算机系统的时钟与标准时间的误差不超过25秒。
        7、访问控制
        7.1用户访问管理
        应有正式的用户注册及注销程序，来授权和撤销对所有信息系统及服务的访问。
        应限制和控制特殊权限的分配及使用；应通过正式的管理过程控制口令的分配，确保口令安全；管理层应定期使用正式过程对用户的访问权进行复查。
        7.2用户职责
        建立指导用户选择和使用口令的指南规定，使用户在选择及使用口令时，遵循良好的安全习惯。
        用户应确保无人值守的用户设备有适当的保护，防止未授权的访问。
        建立清空桌面和屏幕策略，采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略，IDC并定期组织检查效果。
        7.3网络访问控制
        建立访问控制策略，确保用户应仅能访问已获专门授权使用的服务。
        应使用安全地鉴别方法以控制远程用户的访问，例如口令+证书。
        对于诊断和配置端口的物理和逻辑访问应加以控制，防止未授权访问。
        根据安全要求，应在网络中划分安全域，以隔离信息服务、用户及信息系统；对于共享的网络，特别是越过组织边界的网络，用户的联网能力应按照访问控制策略和业务应用要求加以限制，并建立适当的路由控制措施。
        7.4操作系统访问控制
        建立一个操作系统安全登录程序，防止未授权访问；所有用户应有唯一的、专供其个人使用的标识符（用户ID），应选择一种适当的鉴别技术证实用户所宣称的身份。
        可能超越系统和应用程序控制的管理工具的使用应加以限制并严格控制。
        不活动会话应在一个设定的休止期后关闭；使用联机时间的限制，为高风险应用程序提供额外的安全。
        7.5应用和信息访问控制
        用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。
        敏感系统应考虑系统隔离，使用专用的（或孤立的）计算机环境。
        7.6移动计算和远程工作
        应有正式策略并且采用适当的安全措施，以防范使用移动计算和通信设施时所造成的风险。
        通过网络远程访问IDC，需在通过授权的情况下对用户进行认证并对通信内容进行加密。
        8、信息系统获取、开发和维护
        8.1安全需求分析和说明
        在新的信息系统或增强已有信息系统的业务需求陈述中，应规定对安全控制措施的要求。
        8.2信息处理控制
        输入应用系统的数据应加以验证，以确保数据是正确且恰当的。
        验证检查应整合到应用中，以检查由于处理的错误或故意的行为造成的信息的讹误。
        通过控制措施，确保信息在处理过程中的完整性，并对处理结果进行验证。
        8.3密码控制
        应开发和实施使用密码控制措施来保护信息的策略，并保证密钥的安全使用。
        8.4系统文件的安全
        应有程序来控制在运行系统上安装软件；试数据应认真地加以选择、保护和控制；应限制访问程序源代码。
        8.5开发过程和支持过程中的安全
        建立变更控制程序控制变更的实施；当操作系统发生变更后，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。
        IDC应管理和监视外包软件的开发。
        8.6技术脆弱性管理
        应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。
        9、信息安全事件管理
        9.1报告信息安全事态和弱点
        建立正式的IDC信息安全事件报告程序，并形成文件。
        建立适当的程序，保证信息安全事态应该尽可能快地通过适当的管理渠道进行报告，要求员工、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。
        9.2职责和程序
        应建立管理职责和架构，以确保能对信息安全事件做出快速、有效和有序的响应。
        9.3对信息安全事件的总结和证据的收集
        建立一套机制量化和监视信息安全事件的类型、数量和代价，并且当一个信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。
        10、业务连续性管理
        10.1业务连续性计划
        建立和维持一个用于整个组织的业务连续性计划，通过使用预防和恢复控制措施，将对组织的影响减少到最低，并从信息资产的损失中恢复到可接受的程度。
        10.2业务连续性和风险评估
        通过恰当的程序，识别能引起IDC业务过程中断的事态（例如，设备故障、人为错误、盗窃、火灾、自然灾害和恐怖行为等），这种中断发生的概率和影响，以及它们对信息安全所造成的后果。
        业务资源与过程责任人参与业务连续性风险评估。
        10.3制定和实施包括信息安全的连续性计划
        建立业务运行恢复计划，以使关键业务过程在中断或发生故障后，能在规定的水准与规定的时间范围恢复运行
        10.4测试、维护和再评估业务连续性计划
        业务连续性计划应定期测试和更新，以确保其及时性和有效性。
        定期测试及更新业务连续性计划（BCP）/灾难恢复计划（DRP），并对员工进行培训；定期对IDC的风险进行审核和管理评审，及时发现潜在的灾难和安全失效。
        5星级IDC：至少每年一次测试及更新；BCP/DRP，并对员工进行培训； 至少每年一次对IDC的风险进行审核和管理评审，及时发现潜在的灾难和安全失效。
        4星级IDC：至少每年一次测试及更新；BCP/DRP，并对员工进行培训；至少每年一次对IDC的风险进行审核和管理评审，及时发现潜在的灾难和安全失效。
        11、符合性
        11.1可用法律、法规的识别
        IDC所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、收集和跟踪，并形成文件并保持更新。
        11.2知识产权
        应实施适当的程序，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。
        11.3保护组织的记录
        应防止重要的记录遗失、毁坏和伪造，以满足法令、法规、合同和业务的要求。
        11.4技术符合性检查
        定期地对信息系统进行安全实施标准符合检查，由具有胜任能力的已授权的人员执行，或在他们的监督下执行。
        11.5数据保护和个人信息的隐私
        应依照相关的法律、法规和合同条款的要求，确保数据保护和隐私。