管理控制

安全计划包含为公司提供全面保护和长远安全策略所需的所有条款。

确定信息资产分级方案，根据数据的用途、数据的价值、数据泄露可能导致的损失级别、恢复数据的成本等参数划分信息资产敏感级别。

一般商业公司的信息敏感级别由高到低为：

• 机密
• 隐私
• 敏感
• 公开

• 招聘时员工背景调查
• 在职期间防范内部人员外泄敏感信息、误操作引起的损失等
• 解聘相关账号注销

企业安全培训一般分为高层培训、IT部门培训和普通员工培训三类。

• 高层培训：主要是确定组织安全需求、得到高层在安全工作中的支持
• IT部门培训：针对安全开发、安全运营等开展的安全培训
• 普通员工培训：一般就是安全意识的培训

BCM是整体的管理框架，提供足够有效的能力以保障组织关键利益相关者的利益，包含BCP和DRP。

业务连续性计划是机构信息系统安全项目（Security Program）的一部分，其目的是在中断事件发生时通过以下措施为机构提供解决方法：

• 采取及时和恰当的应急响应
• 保护生命安全
• 减少业务影响
• 恢复关键业务功能
• 在恢复期间与外部厂商和伙伴合作
• 在危险期间减少混乱
• 确保业务存活
• 在灾难后快速恢复

灾难恢复的目标是降低灾难或者中断所带来的影响，当灾难来临时恰当的处理灾难及其灾难性的后果，通常灾难恢复计划关注于IT层面。 灾难恢复是在所有事情处于紧急状态时执行的。