信息安全管理（3）

操作规程和职责
    控制目标：确保正确、安全地操作信息处理设施
    控制措施：文件化的操作规程变更管理、容量管理、开发、测试和运行设施分离
恶意代码防范
    控制目标：保护信息和信息处理设施以防恶意代码
    控制措施：控制恶意代码
备份
    控制目标：防止数据丢失
    控制措施：信息备份

日志记录
    控制目标：记录事件并生成证据
    控制措施：事件日志、日志信息的保护、管理员和操作员日志、时钟同步
操作软件控制
    控制目标：确保操作系统的完整性
    控制措施：操作系统软件的安装
技术漏洞管理
    控制目标：防止对技术漏洞的利用
    控制措施：技术脆弱性管理、软件安装限制

信息系统审计的考虑
    控制目标：极小化审计行为对业务系统带来的影响
    控制措施：信息系统审计控制

网络安全管理
    控制目标：确保网络中信息的支持性基础设施的安全性
    控制措施：网络控制、网络服务安全、网络隔离
信息的交换
    控制目标：保持组织内以及与组织外信息交换的安全
    控制措施：信息交换策略和规程、信息交换协议、电子消息、保密或不披露协议

信息系统的安全要求
    控制目标：确保信息安全是信息系统生命周期中的一个有机组成部分。这同样包含了在公共网络上提供服务的信息系统的要求
    控制措施：安全需求分析和说明、共网络上的安全应用服务、应用服务交换的保护
开发和支持过程中的安全
    控制目标：确保信息系统开发的生命周期中设计和实