企業(yè)IT資產(chǎn)安全管理規(guī)范1.引言隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，IT資產(chǎn)（包括硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)等）已成為企業(yè)核心競爭力的載體。然而，勒索病毒、數(shù)據(jù)泄露、未授權(quán)訪問等安全事件頻發(fā)，給企業(yè)帶來了巨大的經(jīng)濟(jì)損失和聲譽(yù)風(fēng)險(xiǎn)。為規(guī)范企業(yè)IT資產(chǎn)安全管理，保障資產(chǎn)的保密性、完整性和可用性，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T____）、ISO/IEC____等法律法規(guī)及標(biāo)準(zhǔn)，制定本規(guī)范。本規(guī)范旨在建立覆蓋IT資產(chǎn)全生命周期的安全管理體系，明確管理職責(zé)、流程與技術(shù)要求，為企業(yè)IT資產(chǎn)安全提供系統(tǒng)性保障。2.范圍與定義2.1適用范圍本規(guī)范適用于所有類型企業(yè)（包括但不限于制造業(yè)、金融業(yè)、互聯(lián)網(wǎng)、零售等）的IT資產(chǎn)安全管理，涵蓋企業(yè)所有IT資產(chǎn)的識別、分類、保護(hù)、監(jiān)控及退役等環(huán)節(jié)。2.2關(guān)鍵定義IT資產(chǎn)：指企業(yè)擁有或控制的、用于支持業(yè)務(wù)運(yùn)營的信息技術(shù)相關(guān)資產(chǎn)，包括但不限于：硬件資產(chǎn)：服務(wù)器、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備（路由器、防火墻）、存儲設(shè)備、終端設(shè)備（手機(jī)、平板）、物聯(lián)網(wǎng)設(shè)備（攝像頭、傳感器）等；軟件資產(chǎn)：操作系統(tǒng)、應(yīng)用軟件（ERP、CRM）、中間件、數(shù)據(jù)庫、工具軟件等；數(shù)據(jù)資產(chǎn)：客戶數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、技術(shù)文檔、員工信息、業(yè)務(wù)流程數(shù)據(jù)等；網(wǎng)絡(luò)資產(chǎn)：網(wǎng)絡(luò)拓?fù)?、IP地址、域名、無線接入點(diǎn)（AP）等；云資產(chǎn)：云服務(wù)器、云存儲、云數(shù)據(jù)庫、SaaS應(yīng)用等。核心資產(chǎn)：指支撐企業(yè)核心業(yè)務(wù)運(yùn)行、涉及敏感數(shù)據(jù)或?qū)ζ髽I(yè)生存發(fā)展有重大影響的資產(chǎn)（如核心數(shù)據(jù)庫服務(wù)器、支付系統(tǒng)、客戶隱私數(shù)據(jù)倉庫）。重要資產(chǎn)：指支撐企業(yè)主要業(yè)務(wù)功能、涉及內(nèi)部數(shù)據(jù)或?qū)ζ髽I(yè)運(yùn)營有較大影響的資產(chǎn)（如辦公自動(dòng)化服務(wù)器、員工電腦、財(cái)務(wù)系統(tǒng)）。一般資產(chǎn)：指支撐企業(yè)輔助業(yè)務(wù)功能、涉及公開或低敏感數(shù)據(jù)的資產(chǎn)（如打印機(jī)、投影儀、訪客Wi-Fi設(shè)備）。3.管理體系架構(gòu)3.1組織與職責(zé)企業(yè)應(yīng)建立“決策層-管理層-執(zhí)行層”三級IT資產(chǎn)安全管理組織架構(gòu)，明確各層級職責(zé)：層級組成部門/角色職責(zé)描述決策層企業(yè)董事會/CEO審批IT資產(chǎn)安全戰(zhàn)略、政策及重大投入；監(jiān)督管理層履職情況。管理層信息安全委員會（由CIO、安全總監(jiān)、各業(yè)務(wù)部門負(fù)責(zé)人組成）制定IT資產(chǎn)安全政策、規(guī)范及流程；協(xié)調(diào)跨部門安全管理工作；審核重大安全決策。執(zhí)行層IT安全團(tuán)隊(duì)（負(fù)責(zé)技術(shù)實(shí)施）、各業(yè)務(wù)部門（負(fù)責(zé)資產(chǎn)日常管理）IT安全團(tuán)隊(duì)：部署安全工具、監(jiān)控資產(chǎn)狀態(tài)、處理安全事件；

業(yè)務(wù)部門：識別本部門資產(chǎn)、落實(shí)保護(hù)措施、配合審計(jì)。3.2政策與制度框架企業(yè)應(yīng)建立以下IT資產(chǎn)安全管理制度，形成閉環(huán)管理：《IT資產(chǎn)識別與分類管理辦法》：明確資產(chǎn)識別范圍、分類標(biāo)準(zhǔn)及流程；《IT資產(chǎn)分級保護(hù)細(xì)則》：規(guī)定不同級別資產(chǎn)的保護(hù)要求（如訪問控制、加密、備份）；《IT資產(chǎn)全生命周期管理流程》：覆蓋采購、驗(yàn)收、部署、使用、變更、退役全環(huán)節(jié)；《數(shù)據(jù)安全管理規(guī)定》：針對數(shù)據(jù)資產(chǎn)的分類、加密、備份、泄露防護(hù)等要求；《網(wǎng)絡(luò)與終端安全規(guī)范》：明確網(wǎng)絡(luò)分段、防火墻配置、終端設(shè)備（電腦、手機(jī)）安全要求；《安全事件應(yīng)急響應(yīng)預(yù)案》：規(guī)定安全事件（如數(shù)據(jù)泄露、資產(chǎn)入侵）的處理流程。4.IT資產(chǎn)全生命周期安全管理規(guī)范4.1資產(chǎn)識別與分類4.1.1資產(chǎn)識別識別范圍：覆蓋企業(yè)所有IT資產(chǎn)（包括自有、租賃、云服務(wù)等）；識別方法：技術(shù)手段：使用資產(chǎn)inventory工具（如SolarWinds、Nmap）自動(dòng)掃描網(wǎng)絡(luò)設(shè)備、終端及服務(wù)器；人工排查：各業(yè)務(wù)部門提交本部門資產(chǎn)清單（如員工電腦、辦公設(shè)備）；云資產(chǎn)：通過云服務(wù)商提供的API（如AWSConfig、AzureResourceGraph）獲取云資產(chǎn)清單。識別內(nèi)容：資產(chǎn)名稱、類型、規(guī)格型號、責(zé)任人、所在位置（物理/網(wǎng)絡(luò)）、關(guān)聯(lián)業(yè)務(wù)系統(tǒng)、數(shù)據(jù)敏感度等。4.1.2資產(chǎn)分類根據(jù)業(yè)務(wù)影響程度、數(shù)據(jù)敏感度、資產(chǎn)價(jià)值三個(gè)維度，將資產(chǎn)分為三級（見表1）：級別業(yè)務(wù)影響數(shù)據(jù)敏感度資產(chǎn)價(jià)值示例核心影響企業(yè)生存（如支付系統(tǒng)故障導(dǎo)致業(yè)務(wù)中斷）涉及絕密/機(jī)密數(shù)據(jù)（如客戶銀行卡信息）高（如核心數(shù)據(jù)庫服務(wù)器）支付系統(tǒng)、核心技術(shù)文檔重要影響主要業(yè)務(wù)（如辦公系統(tǒng)故障導(dǎo)致效率下降）涉及內(nèi)部/敏感數(shù)據(jù)（如財(cái)務(wù)報(bào)表）中（如辦公服務(wù)器）員工電腦、財(cái)務(wù)系統(tǒng)一般影響輔助業(yè)務(wù)（如打印機(jī)故障導(dǎo)致辦公不便）涉及公開/低敏感數(shù)據(jù)（如企業(yè)官網(wǎng)信息）低（如投影儀）訪客Wi-Fi、打印機(jī)4.1.3資產(chǎn)登記企業(yè)應(yīng)建立IT資產(chǎn)臺賬（可采用電子表格或?qū)I(yè)inventory系統(tǒng)），記錄以下信息：資產(chǎn)唯一標(biāo)識（如資產(chǎn)編號）、名稱、類型、級別；責(zé)任人（業(yè)務(wù)部門負(fù)責(zé)人/員工）、聯(lián)系方式；物理位置（如機(jī)房編號、辦公室樓層）、網(wǎng)絡(luò)位置（如IP地址、所屬網(wǎng)段）；采購日期、保質(zhì)期、退役日期；關(guān)聯(lián)的安全措施（如加密狀態(tài)、備份頻率）。要求：資產(chǎn)臺賬應(yīng)實(shí)時(shí)更新（如新增資產(chǎn)24小時(shí)內(nèi)登記、變更資產(chǎn)1個(gè)工作日內(nèi)更新），每年12月進(jìn)行全面審計(jì)（確保臺賬與實(shí)際資產(chǎn)一致）。4.2資產(chǎn)分級保護(hù)根據(jù)資產(chǎn)級別，采取差異化保護(hù)措施（見表2）：保護(hù)維度核心資產(chǎn)要求重要資產(chǎn)要求一般資產(chǎn)要求物理安全存放于專用機(jī)房（需刷臉+指紋進(jìn)入）、安裝監(jiān)控?cái)z像頭（每小時(shí)巡檢）存放于辦公區(qū)域（限制非授權(quán)人員進(jìn)入）、安裝監(jiān)控?cái)z像頭（每天巡檢）存放于公共區(qū)域（如茶水間）、定期檢查（每月1次）網(wǎng)絡(luò)安全部署在核心網(wǎng)絡(luò)段（用防火墻隔離，僅允許辦公網(wǎng)絡(luò)訪問）、開啟IPS（入侵防御系統(tǒng)）部署在辦公網(wǎng)絡(luò)段（與guest網(wǎng)絡(luò)隔離）、開啟防火墻（限制異常端口）部署在guest網(wǎng)絡(luò)段（如打印機(jī)）、關(guān)閉不必要端口（如135、139）訪問控制多因素認(rèn)證（密碼+令牌）、RBAC（基于角色的訪問控制，最小權(quán)限原則）、每日審計(jì)訪問日志RBAC（基于角色）、每周審計(jì)訪問日志簡單訪問控制（如打印機(jī)限制部門使用）、每月審計(jì)訪問日志數(shù)據(jù)加密靜態(tài)數(shù)據(jù)（數(shù)據(jù)庫）AES-256加密、傳輸數(shù)據(jù)（API接口）TLS1.3加密、訪問數(shù)據(jù)（如文檔）硬件加密狗靜態(tài)數(shù)據(jù)（員工電腦）BitLocker加密、傳輸數(shù)據(jù)（郵件）TLS1.2加密無強(qiáng)制要求（如投影儀）備份與恢復(fù)實(shí)時(shí)備份（同步到異地機(jī)房）、每天全量備份（存儲到云+離線磁帶）、每月恢復(fù)測試每天增量備份（存儲到云+本地）、每周全量備份、每季度恢復(fù)測試每周全量備份（存儲到本地）、每半年恢復(fù)測試漏洞管理每日漏洞掃描（使用Nessus）、Critical漏洞2小時(shí)內(nèi)修復(fù)、High漏洞1天內(nèi)修復(fù)每周漏洞掃描、Critical漏洞1天內(nèi)修復(fù)、High漏洞3天內(nèi)修復(fù)每月漏洞掃描、Critical漏洞7天內(nèi)修復(fù)、High漏洞15天內(nèi)修復(fù)4.3采購與驗(yàn)收安全采購環(huán)節(jié)：供應(yīng)商審核：選擇具備信息安全資質(zhì)（如ISO____認(rèn)證、等保三級）的供應(yīng)商；合同要求：在采購合同中明確安全條款（如供應(yīng)商需提供資產(chǎn)安全測試報(bào)告、承諾不預(yù)裝惡意軟件）；選型要求：優(yōu)先選擇符合安全標(biāo)準(zhǔn)的產(chǎn)品（如服務(wù)器需支持硬件加密、軟件需通過安全認(rèn)證）。驗(yàn)收環(huán)節(jié)：物理驗(yàn)收：檢查資產(chǎn)外觀（無損壞）、配件（如電源、網(wǎng)線）是否齊全；技術(shù)驗(yàn)收：硬件：使用殺毒軟件掃描（確認(rèn)無惡意軟件）、測試性能（如服務(wù)器CPU、內(nèi)存是否符合要求）；軟件：檢查是否為正版（如操作系統(tǒng)、辦公軟件）、是否開啟自動(dòng)更新；云資產(chǎn)：檢查云服務(wù)商的安全配置（如S3存儲桶是否公開、EC2實(shí)例是否開啟防火墻）。4.4部署與配置安全部署前準(zhǔn)備：制定部署方案（包括網(wǎng)絡(luò)拓?fù)?、IP地址規(guī)劃、安全策略）；對資產(chǎn)進(jìn)行初始化（如服務(wù)器重裝操作系統(tǒng)、格式化硬盤）。配置要求：操作系統(tǒng)：關(guān)閉不必要服務(wù)（如Telnet）、禁用默認(rèn)賬戶（如admin）、設(shè)置強(qiáng)密碼（長度≥12位，包含大小寫字母+數(shù)字+符號）、開啟自動(dòng)更新（補(bǔ)丁延遲不超過7天）；數(shù)據(jù)庫：禁用默認(rèn)端口（如MySQL默認(rèn)3306改為自定義端口）、限制遠(yuǎn)程訪問（僅允許指定IP）、開啟審計(jì)日志（記錄所有操作）；示例：核心數(shù)據(jù)庫服務(wù)器配置網(wǎng)絡(luò)位置：核心網(wǎng)絡(luò)段（/24）；操作系統(tǒng)：CentOS7（關(guān)閉Telnet、FTP服務(wù)）；數(shù)據(jù)庫：MySQL8.0（端口改為3307，僅允許辦公網(wǎng)絡(luò)段/24訪問）；加密：數(shù)據(jù)庫文件AES-256加密、備份文件存儲到異地機(jī)房（加密）；訪問控制：僅DBA角色（2人）有修改權(quán)限，使用多因素認(rèn)證（密碼+GoogleAuthenticator）。4.5使用與維護(hù)安全日常使用：員工應(yīng)遵守“最小權(quán)限原則”（如普通員工無法訪問核心數(shù)據(jù)庫）；禁止插入不明USB設(shè)備（如員工電腦開啟USB控制，僅允許授權(quán)設(shè)備接入）。維護(hù)管理：定期巡檢（核心資產(chǎn)每日巡檢、重要資產(chǎn)每周巡檢、一般資產(chǎn)每月巡檢），檢查內(nèi)容包括：設(shè)備狀態(tài)（如CPU使用率）、安全配置（如防火墻規(guī)則是否被修改）、日志（如是否有異常登錄）；建立維護(hù)記錄（如修復(fù)漏洞、更換硬件的時(shí)間、責(zé)任人）；員工離職時(shí)，應(yīng)收回其所有企業(yè)資產(chǎn)（如電腦、手機(jī)），并注銷其系統(tǒng)權(quán)限（如郵箱、OA賬號）。4.6變更與退役安全變更管理：變更類型：包括資產(chǎn)新增（如采購服務(wù)器）、變更（如修改數(shù)據(jù)庫端口）、刪除（如報(bào)廢打印機(jī)）；變更流程：申請人提交變更申請（說明變更內(nèi)容、風(fēng)險(xiǎn)）→部門經(jīng)理審核→IT安全團(tuán)隊(duì)評估風(fēng)險(xiǎn)（如修改端口是否影響業(yè)務(wù)）→審批通過后實(shí)施→實(shí)施后驗(yàn)證（如測試端口是否可用）→記錄變更（更新資產(chǎn)臺賬）。退役管理：退役條件：資產(chǎn)損壞無法修復(fù)、性能無法滿足業(yè)務(wù)需求、達(dá)到使用年限（如電腦使用5年）；退役流程：業(yè)務(wù)部門提交退役申請→IT安全團(tuán)隊(duì)審核（確認(rèn)資產(chǎn)無敏感數(shù)據(jù)）→數(shù)據(jù)銷毀（如硬盤用工具擦除3次、手機(jī)恢復(fù)出廠設(shè)置）→資產(chǎn)處置（如賣給回收公司、捐贈(zèng)）→記錄退役（更新資產(chǎn)臺賬）。要求：核心資產(chǎn)退役時(shí)，需由第三方機(jī)構(gòu)出具數(shù)據(jù)銷毀證明（如硬盤銷毀報(bào)告）。5.核心資產(chǎn)安全管控要求5.1數(shù)據(jù)資產(chǎn)安全數(shù)據(jù)是企業(yè)最核心的資產(chǎn)，需重點(diǎn)管控：數(shù)據(jù)分類：按照敏感度分為公開、內(nèi)部、機(jī)密、絕密（見3.2節(jié)）；數(shù)據(jù)加密：靜態(tài)數(shù)據(jù)：機(jī)密/絕密數(shù)據(jù)使用AES-256加密（如數(shù)據(jù)庫文件、客戶合同）；傳輸數(shù)據(jù)：機(jī)密/絕密數(shù)據(jù)使用TLS1.3加密（如API接口、郵件附件）；訪問數(shù)據(jù)：絕密數(shù)據(jù)使用硬件加密狗（如核心技術(shù)文檔需插入加密狗才能打開）。數(shù)據(jù)備份：機(jī)密數(shù)據(jù)：每天全量備份（存儲到本地+云+異地機(jī)房）；絕密數(shù)據(jù)：實(shí)時(shí)同步（如用Rsync工具）+每天全量備份（存儲到本地+云+異地+離線磁帶）；恢復(fù)測試：每季度進(jìn)行恢復(fù)測試（如從備份中恢復(fù)10%的絕密數(shù)據(jù)，驗(yàn)證完整性）。數(shù)據(jù)泄露防護(hù)（DLP）：部署DLP系統(tǒng)（如SymantecDLP、McAfeeDLP），監(jiān)控?cái)?shù)據(jù)傳輸（郵件、USB、云上傳）；規(guī)則設(shè)置：禁止機(jī)密數(shù)據(jù)通過郵件發(fā)送（如客戶身份證號）、禁止絕密數(shù)據(jù)通過USB拷貝；報(bào)警與處理：發(fā)現(xiàn)異常（如員工試圖將絕密文檔拷貝到USB），立即報(bào)警（通知IT安全團(tuán)隊(duì)），并阻斷操作。5.2網(wǎng)絡(luò)資產(chǎn)安全網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)分為核心網(wǎng)絡(luò)段（核心資產(chǎn)）、辦公網(wǎng)絡(luò)段（重要資產(chǎn)）、guest網(wǎng)絡(luò)段（一般資產(chǎn)），用防火墻隔離（見表3）：網(wǎng)絡(luò)段包含資產(chǎn)隔離規(guī)則核心網(wǎng)絡(luò)段數(shù)據(jù)庫服務(wù)器、支付系統(tǒng)僅允許辦公網(wǎng)絡(luò)段訪問，禁止guest網(wǎng)絡(luò)段訪問辦公網(wǎng)絡(luò)段員工電腦、辦公服務(wù)器允許訪問核心網(wǎng)絡(luò)段（需授權(quán)），禁止guest網(wǎng)絡(luò)段訪問guest網(wǎng)絡(luò)段訪客設(shè)備、打印機(jī)不允許訪問核心/辦公網(wǎng)絡(luò)段，僅允許訪問互聯(lián)網(wǎng)防火墻配置：核心網(wǎng)絡(luò)段防火墻：開啟“深度包檢測”（DPI），禁止異常流量（如來自境外的SSH連接）；辦公網(wǎng)絡(luò)段防火墻：限制outbound流量（如禁止訪問賭博網(wǎng)站）；guest網(wǎng)絡(luò)段防火墻：禁止訪問企業(yè)內(nèi)部系統(tǒng)（如OA、財(cái)務(wù)系統(tǒng)）。5.3終端資產(chǎn)安全終端類型：包括員工電腦（臺式機(jī)、筆記本）、手機(jī)（企業(yè)配給）、IoT設(shè)備（攝像頭、傳感器）；安全要求：員工電腦：安裝EDR（端點(diǎn)檢測與響應(yīng)）軟件（如CrowdStrike、SentinelOne）、開啟BitLocker加密、禁用USB存儲（僅允許授權(quán)的USB設(shè)備）；手機(jī)：安裝MAM（移動(dòng)設(shè)備管理）軟件（如MicrosoftIntune）、開啟設(shè)備加密、禁止越獄/root、限制安裝非應(yīng)用商店的APP；IoT設(shè)備：修改默認(rèn)密碼（如攝像頭默認(rèn)密碼admin改為強(qiáng)密碼）、關(guān)閉不必要的功能（如攝像頭的遠(yuǎn)程訪問）、定期更新固件（如每季度檢查是否有新固件）。6.技術(shù)保障與工具部署6.1安全工具體系企業(yè)應(yīng)部署以下安全工具，實(shí)現(xiàn)資產(chǎn)監(jiān)控、威脅檢測、事件響應(yīng)的閉環(huán)：資產(chǎn)inventory工具：如SolarWinds、Lansweeper（自動(dòng)識別資產(chǎn)，更新臺賬）；SIEM（安全信息和事件管理）：如Splunk、ElasticStack（收集防火墻、EDR、數(shù)據(jù)庫的日志，實(shí)時(shí)分析異常事件）；EDR（端點(diǎn)檢測與響應(yīng)）：如CrowdStrike、SentinelOne（監(jiān)控終端設(shè)備，檢測惡意軟件、異常登錄）；DLP（數(shù)據(jù)丟失防護(hù)）：如SymantecDLP、McAfeeDLP（防止數(shù)據(jù)泄露）；漏洞掃描工具：如Nessus、OpenVAS（定期掃描資產(chǎn)漏洞）；WAF（Web應(yīng)用防火墻）：如Cloudflare、AWSWAF（保護(hù)Web應(yīng)用，防止SQL注入、XSS攻擊）。6.2漏洞管理與補(bǔ)丁流程漏洞掃描：核心資產(chǎn)：每日掃描（使用Nessus）；重要資產(chǎn)：每周掃描；一般資產(chǎn)：每月掃描。漏洞優(yōu)先級：根據(jù)CVSS（通用漏洞評分系統(tǒng)）評分排序：Critical（CVSS≥9.0）：如Log4j漏洞（需立即修復(fù)）；High（CVSS7.0-8.9）：如Windows遠(yuǎn)程代碼執(zhí)行漏洞（需1天內(nèi)修復(fù)）；Medium（CVSS4.0-6.9）：如軟件配置錯(cuò)誤（需1周內(nèi)修復(fù)）；Low（CVSS≤3.9）：如信息泄露（需1個(gè)月內(nèi)修復(fù)）。補(bǔ)丁流程：測試：補(bǔ)丁發(fā)布后，先在測試環(huán)境中驗(yàn)證（如安裝補(bǔ)丁后是否影響業(yè)務(wù)）；部署：測試通過后，批量部署（核心資產(chǎn)手動(dòng)部署、重要資產(chǎn)自動(dòng)部署）；驗(yàn)證：部署后，用漏洞掃描工具確認(rèn)漏洞已修復(fù)。6.3應(yīng)急響應(yīng)與incident處理incident分級：一級（重大）：核心資產(chǎn)被入侵（如數(shù)據(jù)庫泄露）、數(shù)據(jù)泄露（如客戶信息泄露1000條以上）；二級（較大）：重要資產(chǎn)被入侵（如辦公服務(wù)器感染病毒）、數(shù)據(jù)丟失（如財(cái)務(wù)數(shù)據(jù)丟失）；三級（一般）：一般資產(chǎn)故障（如打印機(jī)無法使用）、minor漏洞（如軟件版本過舊）。響應(yīng)流程：發(fā)現(xiàn)：通過SIEM報(bào)警、員工報(bào)告、漏洞掃描發(fā)現(xiàn)incident；確認(rèn)：IT安全團(tuán)隊(duì)驗(yàn)證incident（如檢查日志是否有異常登錄）；containment（containment）：隔離受影響資產(chǎn)（如斷開核心服務(wù)器的網(wǎng)絡(luò)）；eradication（根除）：清除惡意軟件（如用EDR工具）、修復(fù)漏洞（如安裝補(bǔ)?。?；recovery（恢復(fù)）：恢復(fù)數(shù)據(jù)（如從備份中恢復(fù)）、重啟服務(wù)（如啟動(dòng)數(shù)據(jù)庫）；lessonslearned（總結(jié)）：分析incident原因（如漏洞未及時(shí)修復(fù)）、提出改進(jìn)措施（如增加漏洞掃描頻率）、編寫報(bào)告（提交給信息安全委員會）。7.監(jiān)督、審計(jì)與持續(xù)改進(jìn)7.1內(nèi)部審計(jì)與合規(guī)檢查內(nèi)部審計(jì)：由企業(yè)內(nèi)部審計(jì)部門或第三方機(jī)構(gòu)每年進(jìn)行1次IT資產(chǎn)安全審計(jì)，審計(jì)內(nèi)容包括：資產(chǎn)臺賬的準(zhǔn)確性（如是否有遺漏資產(chǎn)）；安全措施的落實(shí)情況（如核心資產(chǎn)是否加密）；漏洞修復(fù)率（如Critical漏洞是否100%修復(fù)）；incident響應(yīng)流程的有效性（如一級incident是否30分鐘內(nèi)響應(yīng)）。合規(guī)檢查：每年進(jìn)行1次合規(guī)性評估（如符合等保