ISO/IEC27040标准纵深防御

一、条款、目标、控制措施

a)确保平衡地关注三个主要要素：人员、技术和运营；

b)贯彻有效的信息保证政策和程序，分配角色和责任，投入资源，培训关键人员，以及个人责任；

c)在多个位置部署保护机制，以抵御所有类型的攻击；

d)在潜在对手和目标之间部署多个防御机制（分层）；

e)包括检测和保护机制；

f)部署强大的密钥管理和公钥基础设施（PKI）框架，支持所有信息保证技术，并具有高度的抗攻击性；

g)维护可见和最新的系统安全策略；

h)主动管理存储技术和保护机制的安全态势（如安装安全补丁和防病毒更新、维护acl等）；

i)定期进行安全威胁评估，以确定持续的安全准备状态；

j)监控和应对当前威胁。

1.准备《人力资源管理程序》

2.准备《存储安全管理程序》

3. 准备《安全风险评估管理程序》

4.准备《加密和密钥管理安全策略》

5. 准备《病毒防范管理安全策略》

6. 准备《信息安全监控安全策略》策略文件

1. 是否依据《人力资源管理程序》实施人员管理

2. 是否依据《存储安全管理程序》实施保护

3. 是否依据《安全风险评估管理程序》实施保护

4. 是否依据《加密和密钥管理安全策略》实施保护

5. 是否依据《病毒防范管理安全策略》实施保护

6. 是否依据《信息安全监控安全策略》实施保护