【正文】 授權(quán)單位進(jìn)行安全審查和批準(zhǔn)的終端不準(zhǔn)接入到公司信息網(wǎng)絡(luò)中，嚴(yán)禁未經(jīng)信息中心批準(zhǔn)私自將終端接入國(guó)際互聯(lián)網(wǎng)。. 由信息中心建立網(wǎng)絡(luò)集中監(jiān)控系統(tǒng)，對(duì)終端的物理連接、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)流量等情況進(jìn)行統(tǒng)一集中監(jiān)控. 對(duì)終端進(jìn)行標(biāo)準(zhǔn)化管理，提高終端安全，基本要求如下：. 建立域管理與桌面安全，對(duì)計(jì)算機(jī)終端實(shí)行統(tǒng)一管理。. 建立防病毒系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)終端統(tǒng)一的防病毒管理。. 建立 IT 服務(wù)管理系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)終端臺(tái)帳、變更等管理。. 建立終端網(wǎng)絡(luò)接入控制，對(duì)計(jì)算機(jī)終端接入內(nèi)網(wǎng)統(tǒng)一管理。. 建立終端軟件安裝許可清單，禁止安裝未經(jīng)許可的軟件，減少危險(xiǎn)源。. 對(duì)終端的安全配置與維護(hù)要求：. 建立補(bǔ)丁升級(jí)管理制度，及時(shí)對(duì)操作系統(tǒng)進(jìn)行補(bǔ)丁、升級(jí)，減少漏洞。. 終端必須安裝信息中心部署的企業(yè)版防病毒軟件，并定期更新。. 定期對(duì)終端進(jìn)行病毒、木馬查殺。. 所有終端的IP必須由信息中心統(tǒng)一管理。. 所有終端必須納入網(wǎng)絡(luò)接入控制管理。. 定期檢查終端的口令安全性，減少弱口令的安全隱患。. 介質(zhì)管理. 信息中心應(yīng)根據(jù)介質(zhì)上承載的信息的安全級(jí)別對(duì)介質(zhì)進(jìn)行分級(jí)管理，信息分級(jí)引用公司《公司信息安全管理辦法》。. 信息中心應(yīng)指定專門的介質(zhì)管理人員，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等進(jìn)行管理。. 信息中心應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)。對(duì)實(shí)行了異地保存的介質(zhì)，異地保存點(diǎn)的環(huán)境要求和管理方法應(yīng)與本地相同. 介質(zhì)管理人員應(yīng)對(duì)介質(zhì)的使用進(jìn)行登記，并定期進(jìn)行盤點(diǎn). 在介質(zhì)使用、存儲(chǔ)和處置過(guò)程中，應(yīng)按照信息的分類級(jí)別，處理和標(biāo)記所有介質(zhì)，并明確標(biāo)識(shí)未授權(quán)人員的訪問(wèn)限制，保持授權(quán)訪問(wèn)數(shù)據(jù)人員的正式記錄。當(dāng)介質(zhì)中包含敏感數(shù)據(jù)時(shí)，應(yīng)控制介質(zhì)的使用范圍，并對(duì)其實(shí)施適當(dāng)物理保護(hù)措施。. 信息中心對(duì)包含敏感信息的存儲(chǔ)介質(zhì)送出維修應(yīng)進(jìn)行嚴(yán)格的管理，對(duì)送出維修的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)。. 電子化的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Ｗo(hù)，對(duì)于復(fù)制到移動(dòng)存儲(chǔ)介質(zhì)上的重要內(nèi)部數(shù)據(jù)的擴(kuò)散必需是受控的，其使用應(yīng)受到監(jiān)控和記錄，并能進(jìn)行審計(jì)。. 為最大限度地降低信息泄露的風(fēng)險(xiǎn)，包含敏感信息的媒介應(yīng)被安全地處置，如粉碎、焚毀，或清空其中的數(shù)據(jù)，以便重用。其中處置方法應(yīng)與信息分級(jí)相一致。當(dāng)無(wú)法確認(rèn)媒介中的信息級(jí)別，或確認(rèn)信息級(jí)別的代價(jià)較高時(shí)，應(yīng)統(tǒng)一按最嚴(yán)格的方式處理所有媒介。敏感媒介的處置過(guò)程應(yīng)當(dāng)記錄在案，以便審計(jì)跟蹤。. 包含重要數(shù)據(jù)的介質(zhì)應(yīng)放置在符合制造商要求的安全的環(huán)境中。. 密碼管理. xxxx有限公司應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。. 安全工作人員應(yīng)對(duì)xxxx有限公司使用的密碼技術(shù)和產(chǎn)品進(jìn)行審核，確保密碼技術(shù)和產(chǎn)品的使用符合國(guó)家密碼主管部門的要求。本規(guī)定所稱密碼，是指對(duì)信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。. 系統(tǒng)運(yùn)行檔案. 系統(tǒng)管理員應(yīng)為每個(gè)系統(tǒng)建立系統(tǒng)運(yùn)行檔案，對(duì)每個(gè)系統(tǒng)的運(yùn)行進(jìn)行持續(xù)性安全跟蹤，從而形成系統(tǒng)運(yùn)行安全基準(zhǔn)，以便于在系統(tǒng)出現(xiàn)安全問(wèn)題或異常情況時(shí)進(jìn)行分析處理。系統(tǒng)運(yùn)行安全檔案中應(yīng)包括以下（但不限于）支持安全運(yùn)行管理所需要的信息，如系統(tǒng)運(yùn)行的操作系統(tǒng)和應(yīng)用軟件及版本號(hào)、安裝的補(bǔ)丁程序、系統(tǒng)的運(yùn)行狀態(tài)、存在的安全漏洞及控制措施、系統(tǒng)曾經(jīng)遭受攻擊的記錄等。. 系統(tǒng)管理員應(yīng)及時(shí)更新系統(tǒng)運(yùn)行檔案，確保系統(tǒng)運(yùn)行檔案的準(zhǔn)確性。. 信息安全工作小組應(yīng)定期對(duì)系統(tǒng)運(yùn)行檔案內(nèi)容的準(zhǔn)確性進(jìn)行檢查核實(shí)。. 維護(hù)作業(yè)計(jì)劃. 為保證系統(tǒng)維護(hù)的規(guī)范性與準(zhǔn)確性，系統(tǒng)管理員應(yīng)遵照系統(tǒng)安全要求，結(jié)合實(shí)際情況，編制系統(tǒng)維護(hù)作業(yè)計(jì)劃。. 系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營(yíng)前，將系統(tǒng)維護(hù)作業(yè)計(jì)劃送信息安全工作小組審核備案，進(jìn)入服務(wù)流程。. 維護(hù)作業(yè)計(jì)劃應(yīng)明確規(guī)定維護(hù)活動(dòng)的內(nèi)容和周期。. 系統(tǒng)管理員必須嚴(yán)格執(zhí)行維護(hù)作業(yè)計(jì)劃，未經(jīng)信息安全工作小組批準(zhǔn)不得隨意更改。. 維護(hù)作業(yè)計(jì)劃的執(zhí)行情況應(yīng)記錄在案，并接受信息安全工作小組的檢查。. 作業(yè)指導(dǎo)書(shū). 系統(tǒng)管理員應(yīng)評(píng)估系統(tǒng)維護(hù)過(guò)程中存在的風(fēng)險(xiǎn)，識(shí)別系統(tǒng)維護(hù)過(guò)程中存在的較大風(fēng)險(xiǎn)的操作，并制定相應(yīng)的作業(yè)指導(dǎo)書(shū)，以控制系統(tǒng)維護(hù)操作風(fēng)險(xiǎn)。. 系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營(yíng)前，將作業(yè)指導(dǎo)書(shū)送安全管理組審核備案，進(jìn)入服務(wù)流程。. 系統(tǒng)管理員必須嚴(yán)格按作業(yè)指導(dǎo)書(shū)進(jìn)行系統(tǒng)維護(hù)操作，未經(jīng)安全管理組批準(zhǔn)不得隨意更改。. 作業(yè)指導(dǎo)書(shū)應(yīng)包含操作活動(dòng)的資源要求、操作風(fēng)險(xiǎn)與控制措施、作業(yè)程序、作業(yè)記錄等。. 維護(hù)操作細(xì)則. 系統(tǒng)管理員應(yīng)遵照系統(tǒng)安全要求，結(jié)合實(shí)際情況，制定系統(tǒng)維護(hù)操作細(xì)則。. 系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營(yíng)前，將系統(tǒng)維護(hù)操作細(xì)則送信息安全工作小組審核備案，進(jìn)入服務(wù)流程。. 系統(tǒng)管理員必須嚴(yán)格按操作細(xì)則進(jìn)行系統(tǒng)維護(hù)，未經(jīng)安全管理組批準(zhǔn)不得隨意更改。. 操作細(xì)則應(yīng)包含操作活動(dòng)的職責(zé)、內(nèi)容、目的、時(shí)間、場(chǎng)所、方法等，并涵蓋系統(tǒng)維護(hù)的具體操作程序、系統(tǒng)維護(hù)時(shí)間進(jìn)度的要求，包括同其他系統(tǒng)的相關(guān)性、最早的開(kāi)始時(shí)間與最晚的結(jié)束時(shí)間等。. 操作細(xì)則應(yīng)包含操作過(guò)程中發(fā)生非預(yù)期的錯(cuò)誤或其他異常情況的指導(dǎo)說(shuō)明。. 操作細(xì)則應(yīng)包含意外的操作困難或技術(shù)難題出現(xiàn)時(shí)的支持聯(lián)系人。. 操作細(xì)則應(yīng)包含故障情況下系統(tǒng)的重啟和恢復(fù)程序。. 故障管理. 系統(tǒng)管理員在處理故障后應(yīng)將系統(tǒng)的故障記錄在案，故障報(bào)告應(yīng)包括故障起止時(shí)間、故障現(xiàn)象、業(yè)務(wù)影響、故障原因分析、處理過(guò)程及結(jié)果、故障恢復(fù)證據(jù)、事后的補(bǔ)救措施等。. 信息安全工作小組應(yīng)審核故障報(bào)告，審核包括：故障已被正確解決；故障對(duì)系統(tǒng)安全造成的破壞已得到修補(bǔ)和恢復(fù)；補(bǔ)救措施本身不會(huì)危及系統(tǒng)安全；具體的補(bǔ)救措施已經(jīng)過(guò)授權(quán)；補(bǔ)救措施已得到有效實(shí)施。. 故障處理流程應(yīng)按照《xxxx有限公司IT 服務(wù)管理體系》中“問(wèn)題管理流程”進(jìn)行。. 機(jī)房安全管理. xxxx有限公司建立規(guī)范的機(jī)房安全管理規(guī)定，加強(qiáng)機(jī)房安全管理，減少威脅來(lái)源。. 機(jī)房安全管理包括機(jī)房場(chǎng)地基本要求、機(jī)房場(chǎng)地檢查與維護(hù)、機(jī)房保安管理、機(jī)房消防管理、機(jī)房通風(fēng)與溫濕度控制、機(jī)房供電管理以及機(jī)房電磁防護(hù)、防靜電、防雷擊等要求，詳細(xì)管理要求參見(jiàn)《xxxx有限公司數(shù)據(jù)處理與存儲(chǔ)中心（IDC 機(jī)房）運(yùn)行管理規(guī)定》。. 人機(jī)工效管理. xxxx有限公司應(yīng)每年定期進(jìn)行人機(jī)工效的調(diào)查與評(píng)估，調(diào)查與評(píng)估包括作業(yè)的方式和方法包括、IT 設(shè)備運(yùn)行環(huán)境等。. 人機(jī)工效的調(diào)查與評(píng)估的方式包括現(xiàn)場(chǎng)檢查、在線調(diào)查、收集員工的投訴與建議、借鑒同行業(yè)經(jīng)驗(yàn)等. xxxx有限公司應(yīng)對(duì)人機(jī)工效的調(diào)查和評(píng)估的結(jié)果分析，并制定措施加以改進(jìn)與優(yōu)化。. xxxx有限公司建立機(jī)房 KVM 集中監(jiān)控系統(tǒng)，將IDC 機(jī)房?jī)?nèi)的IT 設(shè)備連入KVM 系統(tǒng)，實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控；. xxxx有限公司將員工的人機(jī)工效的目的和作用培訓(xùn)納入年度培訓(xùn)計(jì)劃。. 網(wǎng)絡(luò)與信息安全設(shè)備管理. 網(wǎng)絡(luò)與信息安全設(shè)備管理包括基本的安全設(shè)備或用具及其管理。. xxxx有限公司根據(jù)網(wǎng)絡(luò)與信息專業(yè)工作性質(zhì)與可能的危害，提供安全、適用的安全設(shè)備或用具，以提高信息安全技術(shù)裝備水平及管理水平，安全設(shè)備或用具至少包括：a) 防火墻b) 入侵保護(hù)系統(tǒng)（IPS）c) 入侵檢測(cè)系統(tǒng)（IDS）d) 漏洞掃描系統(tǒng)e) 防病毒系統(tǒng)f) 網(wǎng)絡(luò)分析儀. xxxx有限公司每年制定信息安全設(shè)備或用具購(gòu)置計(jì)劃，組織采購(gòu)，并對(duì)安全工設(shè)備或用具需求計(jì)劃進(jìn)行評(píng)估、回顧和修訂. 建立信息安全設(shè)備或用具清單，記錄設(shè)備或用具信息，明確檢測(cè)、檢驗(yàn)與維護(hù)周期和內(nèi)容，清單內(nèi)容包括：a) 設(shè)備編號(hào)b) 設(shè)備功能c) 設(shè)備采購(gòu)日期d) 設(shè)備版本及更新情況e) 設(shè)備保管人員f) 建立信息安全設(shè)備或用具的發(fā)放、使用、借用記錄。. 對(duì)相關(guān)員工進(jìn)行設(shè)備或用具的的使用、檢查、維護(hù)和操作的培訓(xùn)，確保所有安全設(shè)備或用具的操作人員具備相應(yīng)的技術(shù)水平。. 按照確定的頻率和內(nèi)容對(duì)安全設(shè)備或用具進(jìn)行檢測(cè)和檢查，未經(jīng)檢驗(yàn)或檢驗(yàn)不合格的設(shè)備或用具嚴(yán)禁使用并進(jìn)行標(biāo)識(shí)。檢驗(yàn)后應(yīng)張貼標(biāo)識(shí)，標(biāo)明檢驗(yàn)日期、有效期，保存相應(yīng)的記錄。. 信息安全保護(hù)等級(jí)管理. 系統(tǒng)定級(jí)與審批. 信息安全等級(jí)保護(hù)遵循“自主定級(jí)、自主保護(hù)”原則。通過(guò)對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行定級(jí)、測(cè)評(píng)和落實(shí)防護(hù)措施，確保信息系統(tǒng)安全控制措施滿足相關(guān)要求。. 信息安全工作小組應(yīng)依據(jù)國(guó)家頒布的《信息安全等級(jí)保護(hù)管理辦法》、國(guó)家電力監(jiān)管委員會(huì)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》及南方電網(wǎng)公司的《信息安全等級(jí)保護(hù)定級(jí)規(guī)范》對(duì)信息系統(tǒng)安全進(jìn)行定級(jí)。. 對(duì)于已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，信息中心應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后 30 日內(nèi)到廣州公安公司辦理備案手續(xù)。. 對(duì)于新建安全保護(hù)等級(jí)為第二級(jí)及以上的系統(tǒng)，信息中心應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后30日內(nèi)到深圳公安局辦理備案手續(xù)。. 對(duì)于第三級(jí)及以上信息系統(tǒng)，信息中心報(bào)公司審核批準(zhǔn)后，到深圳公安局辦理備案手續(xù)。. 信息系統(tǒng)等級(jí)保護(hù). 信息安全工作小組應(yīng)依據(jù)國(guó)家頒布的信息安全等級(jí). 保護(hù)技術(shù)標(biāo)準(zhǔn)、技術(shù)規(guī)范要求，對(duì)信息系統(tǒng)安全進(jìn)行差距測(cè)評(píng)，并落實(shí)各信息系統(tǒng)的防護(hù)措施。. 信息系統(tǒng)等級(jí)測(cè)評(píng). 等級(jí)測(cè)評(píng)工作應(yīng)由具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位承擔(dān)。. 對(duì)于新建、改建、擴(kuò)建的二級(jí)及以上信息系統(tǒng)，應(yīng)經(jīng)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)合格方可投入使用，安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估要形成相關(guān)文檔，作為項(xiàng)目驗(yàn)收的重要內(nèi)容。等級(jí)為三級(jí)的信息系統(tǒng)每年進(jìn)行一次等級(jí)測(cè)評(píng)，等級(jí)為四級(jí)的信息系統(tǒng)每半年進(jìn)行一次等級(jí)測(cè)評(píng)。. 系統(tǒng)安全建設(shè)管理. 系統(tǒng)安全方案設(shè)計(jì)要求. 信息中心負(fù)責(zé)對(duì)二級(jí)及以上的信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃。. 信息安全工作小組應(yīng)根據(jù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果選擇安全措施，安全措施應(yīng)滿足系統(tǒng)安全保護(hù)等級(jí)基本安全措施的要求。信息安全工作小組應(yīng)根據(jù)信息系統(tǒng)安全評(píng)估的結(jié)果和安全等級(jí)劃分情況統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。. 對(duì)于二級(jí)及以上的信息系統(tǒng)，信息中心應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定。只有在經(jīng)過(guò)信息中心主管領(lǐng)導(dǎo)批準(zhǔn)后，才能正式實(shí)施。. 信息安全工作小組應(yīng)根據(jù)安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。12. 通信和操作管理. 變更管理. 系統(tǒng)的任何變更必須受到嚴(yán)格控制，系統(tǒng)變更包括但不限于：網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)參數(shù)的調(diào)整、硬件的增減與更換、軟件版本與補(bǔ)丁的變更、維護(hù)計(jì)劃/操作細(xì)則/作業(yè)指導(dǎo)書(shū)的改變等。. 任何變更必須經(jīng)過(guò)授權(quán)，記錄在案并接受測(cè)試。. 系統(tǒng)管理員應(yīng)識(shí)別并評(píng)估變更的潛在影響，并進(jìn)行相關(guān)測(cè)試；. 系統(tǒng)管理員應(yīng)制定變更失敗的恢復(fù)措施，并進(jìn)行失敗回退后的驗(yàn)證測(cè)試，確保變更失敗回退成功；. 系統(tǒng)管理員應(yīng)將變更內(nèi)容及步驟書(shū)面化，向所有相關(guān)人員傳達(dá)變更細(xì)節(jié)，明確各方的責(zé)任；. 系統(tǒng)管理員應(yīng)填寫(xiě)系統(tǒng)變更申請(qǐng)表，并獲得信息中心平臺(tái)分部主管批準(zhǔn)；. 變更實(shí)施時(shí)系統(tǒng)管理員應(yīng)記錄所有的變更過(guò)程和內(nèi)容；. 變更完成后系統(tǒng)管理員應(yīng)保留并歸檔所有的變更記錄，并更新相關(guān)的文檔，如安全策略文檔、系統(tǒng)運(yùn)行檔案等。. 第三方安全管理. xxxx有限公司對(duì)第三方單位進(jìn)行風(fēng)險(xiǎn)控制、資質(zhì)要求、服務(wù)質(zhì)量評(píng)價(jià)等方面管理。. xxxx有限公司對(duì)第三方安全管理內(nèi)容包括：1) 識(shí)別、評(píng)估第三方進(jìn)入xxxx有限公司帶來(lái)的風(fēng)險(xiǎn)2) 對(duì)第三方風(fēng)險(xiǎn)控制要求3) 第三方現(xiàn)場(chǎng)信息安全表現(xiàn)與服務(wù)質(zhì)量評(píng)價(jià)4) 第三方自身信息安全管理情況評(píng)價(jià)5) 信息安全保密管理要求6) xxxx有限公司應(yīng)對(duì)第三方進(jìn)行安全相關(guān)的資質(zhì)審查，審查內(nèi)容應(yīng)包括：7) 許可的相關(guān)資質(zhì)8) 質(zhì)量管理體系9) 以往的信息安全服務(wù)表現(xiàn)和評(píng)價(jià)10) 第三方員工培訓(xùn)與能力證明資料. xxxx有限公司應(yīng)建立程序?qū)Φ谌竭M(jìn)行評(píng)價(jià)，評(píng)價(jià)內(nèi)容包括：1) 第三方的服務(wù)和技術(shù)支持能力2) 第三方提供產(chǎn)品的安全性及運(yùn)行情況3) 第三方安全管理制度的執(zhí)行情況4) 第三方合同管理與履約情況. xxxx有限公司對(duì)第三方單位的安全管理按照《第三方單位及人員管理規(guī)定》執(zhí)行。. 信息安全科技與創(chuàng)新管理. xxxx有限公司鼓勵(lì)開(kāi)展信息安全方面技術(shù)應(yīng)用的研究。. xxxx有限公司鼓勵(lì)開(kāi)展信息安全方面管理提升的研究。. 信息安全技術(shù)應(yīng)用(包括新產(chǎn)品、新技術(shù)、新工藝、新設(shè)計(jì)等)前應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估與分析，并制定其風(fēng)險(xiǎn)的控制措施。. 信息安全管理制度（包括規(guī)范、制度等）在頒布前應(yīng)進(jìn)行評(píng)審，并采取相應(yīng)措施，保證貫徹執(zhí)行。. xxxx有限公司定期對(duì)信息安全科技與創(chuàng)新應(yīng)用成果和效果進(jìn)行回顧。. 糾正與預(yù)防管理. xxxx有限公司應(yīng)根據(jù)年度信息安全風(fēng)險(xiǎn)評(píng)估、信息安全大檢查、信息安全等級(jí)保護(hù)及日常運(yùn)維工作中發(fā)現(xiàn)的信息安全問(wèn)題，提出安全整改措施與計(jì)劃，并及時(shí)整改糾正。. 整改及糾正的要求至少包括：1) 整改糾正行動(dòng)應(yīng)書(shū)面化2) 執(zhí)行整改糾正行動(dòng)的責(zé)任部門、責(zé)任人、工作內(nèi)容、工作時(shí)間、工作地點(diǎn)3) 及時(shí)反饋整改糾正行動(dòng)的執(zhí)行情況4) 責(zé)任部門應(yīng)審閱整改糾正行動(dòng)的執(zhí)行情況報(bào)告，并對(duì)不符標(biāo)準(zhǔn)的提出處理意見(jiàn)5) 通過(guò)流程測(cè)試等方法檢驗(yàn)整改糾正行動(dòng)的效果6) 應(yīng)評(píng)估整改糾正行動(dòng)，以確保類似問(wèn)題不會(huì)再次發(fā)生. xxxx有限公司組織進(jìn)行整改糾正與預(yù)防效果評(píng)估，評(píng)估整改糾正與預(yù)防行動(dòng)解決根本原因問(wèn)題的有效性，并保持整改糾正和預(yù)防行動(dòng)的記錄并隨時(shí)可用，評(píng)估方法包括：1) 整改情況檢查2) 信息安全事件統(tǒng)計(jì). 風(fēng)險(xiǎn)評(píng)估與控制管理. 信息安全風(fēng)險(xiǎn)評(píng)估與控制遵循“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的工作原則。. 信息中心及系統(tǒng)運(yùn)營(yíng)部門應(yīng)采用風(fēng)險(xiǎn)管理的理念與方法來(lái)識(shí)別、評(píng)估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制措施，把風(fēng)險(xiǎn)降低到可接受的程度，實(shí)現(xiàn)風(fēng)險(xiǎn)的超前控制，實(shí)現(xiàn)基于風(fēng)險(xiǎn)的信息安全管理。. 風(fēng)險(xiǎn)評(píng)估和控制應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中，包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)