五個選項都屬於信息科技風險管理主框架中信息安全的主要管理要求。
主要管理要求如下:
1.信息技術部門應落實信息安全管理職能。
2.應建立有效管理用戶身份驗證和訪問控制的流程。
3.應根據信息安全級別將網絡劃分為不同的邏輯安全域。
4.確保所有計算機操作系統和系統軟件的安全。
5.應確保所有信息系統的安全。
6.應制定相關政策和流程來管理所有生產系統的活動日誌,以支持有效的審計、安全取證分析和欺詐防範。
7.應當采用加密技術,防範保密信息在傳輸、處理和存儲過程中的泄露或篡改風險,並建立密碼設備管理制度,確保使用符合國家要求的加密技術和加密設備;管理和使用密碼設備的員工經過專業培訓和嚴格考核;加密強度符合信息保密要求;制定並實施有效的管理流程,尤其是密鑰和證書的生命周期管理。
8.應配備有效的系統以確保所有最終用戶設備的安全,並應定期檢查所有設備。
9.應制定相關制度和流程,對客戶信息的收集、處理、存儲、傳輸、分發、備份、恢復、清理和銷毀進行嚴格管理。
10.應對所有員工進行必要的培訓,使其充分掌握信息科技風險管理制度和流程,了解違反規定的後果,並對違反安全規定的行為采取零容忍政策。