网络与信息安全指令2 2023

管理网络安全风险的政策是根据组织环境、网络安全战略和优先事项制定的，并进行沟通和执行。管理网络安全风险的政策会进行审查、更新、沟通和实施，以反映需求、威胁、技术和组织使命的变化。标准：1。网络安全政策应至少在以下领域被采用和记录：a) 风险管理；b) 角色和职责；c) 人力资源可靠性；d) 合规性与安全审计；e) 供应链中的网络安全风险管理；f) 资产管理；g) 漏洞管理；h) 运营连续性、灾难恢复与危机管理；i) 身份验证、数字身份和访问控制的管理；j) 物理安全；k) 员工培训和意识提升；l) 数据安全；m) 信息和网络系统的开发、配置、维护和报废；n) 网络和通信的保护；o) 安全事件监控；p) 事件响应和恢复。| 2.对于第1点中提到的地区，政策至少涵盖了本附件附录表1中列明的要求。| 3.第1点中提到的政策已得到管理和指导机构的批准。

管理网络安全风险的政策是基于组织背景、网络安全策略和优先事项制定的，并且已经传达和执行。管理网络安全风险的政策会根据要求、威胁、技术和组织使命的变化进行审核、更新、传达和实施。标准：1. 本措施GV中提到的政策。PO-01 会定期进行审核，并在适当情况下至少每年更新一次，同时在涉及网络安全的监管环境发生变化、重大事件、组织变更或威胁暴露及相关风险变化时也会进行更新。| 2. 对于第1点提到的审核，将至少验证措施 GV.PO-01 所涉及政策是否符合网络安全法规。| 3.一份更新的登记册，其中包含第1点提到的审查结果，已被维护。