ISO/IEC27040標準縱深防御

一、條款、目標、控制措施

a)確保平衡地關注三個主要要素：人員、技術和運營；

b)貫徹有效的信息保證政策和程序，分配角色和責任，投入資源，培訓關鍵人員，以及個人責任；

c)在多個位置部署保護機制，以抵御所有類型的攻擊；

d)在潛在對手和目標之間部署多個防御機制（分層）；

e)包括檢測和保護機制；

f)部署強大的密鑰管理和公鑰基礎設施（PKI）框架，支持所有信息保證技術，并具有高度的抗攻擊性；

g)維護可見和最新的系統(tǒng)安全策略；

h)主動管理存儲技術和保護機制的安全態(tài)勢（如安裝安全補丁和防病毒更新、維護acl等）；

i)定期進行安全威脅評估，以確定持續(xù)的安全準備狀態(tài)；

j)監(jiān)控和應對當前威脅。

1.準備《人力資源管理程序》

2.準備《存儲安全管理程序》

3. 準備《安全風險評估管理程序》

4.準備《加密和密鑰管理安全策略》

5. 準備《病毒防范管理安全策略》

6. 準備《信息安全監(jiān)控安全策略》策略文件

1. 是否依據(jù)《人力資源管理程序》實施人員管理

2. 是否依據(jù)《存儲安全管理程序》實施保護

3. 是否依據(jù)《安全風險評估管理程序》實施保護

4. 是否依據(jù)《加密和密鑰管理安全策略》實施保護

5. 是否依據(jù)《病毒防范管理安全策略》實施保護

6. 是否依據(jù)《信息安全監(jiān)控安全策略》實施保護