ü        鎖上存放主伺服器的房間：伺服器和設備的實際保護。應將其存放在上鎖的房間內。

ü        128 位元加密：針對Internet 通信和交易的最高保護級別。加密時會以電子方式將信息打亂，這樣在信息傳送過程中，外部人員查看或修改信息的風險就會降低。

ü        公鑰基礎架構 (PKI)：保護通過 Internet 發送的機密/秘密電子信息的方式。信息發送人持有私鑰，并可向信息接收人分發公鑰。接收人使用公鑰將信息解密。

ü        虛擬專用網絡：此方法將所有網絡通信加密或打亂，提供網絡安全或保護隱私。

要求：

·          所有可以使用計算機系統的員工必須至少每年更改密碼兩次。

·          程序示例：員工必須至少每半年更改密碼一次

附加安全建議（標準 3）：

·          網絡管理員應負責通知計算機用戶更改密碼。網絡管理員應指定更改密碼的頻率和日期，伺服器運行軟件將提醒員工進行更改。

·          對于未能在指定日期內更改密碼的員工，應鎖閉其對計算機網絡的使用，直至系統管理員解除鎖閉為止。

·          密碼應為字母和數字的組合，長度至少為六個字母和符號。不應采用“明顯”密碼，例如出生日期、城市名等。

·          為防止密碼有可能會被泄漏或破譯，員工應經常更改密碼。如果員工懷疑密碼已被泄漏，應立即使用新密碼。

要求：

·          廠方必須制定書面程序，確定哪些員工有權進入其 IT 系統。

·          程序示例：僅允許以下部門的員工進入 IT 系統：行政、薪酬、倉儲、訂單以及銷售部門。

附加安全建議（標準 4）：

·          廠方應根據員工的職責賦予其相應的權限。例如，只負責發薪的員工不能使用發票或訂單表格。

·          雇用新員工后，其直接主管必須確定該員工是否需要進入 IT 系統。如果確實需要，主管應為此員工申請使用權。主管應向 IT 經理遞交一份書面申請表格，注明員工的姓名及其需要使用的應用程序。

“信息技術”附加安全建議

·          廠方應制定書面的災后重建計劃，以恢復計算機網絡及其數據。

·          IT 團隊應每年至少預演一次災后重建計劃。

·          災后重建計劃可以定義為計劃、制定并執行災后重建管理程序的持續過程，目的是在系統發生意外中斷的情況下確保重要的公司運作可以迅速有效地恢復。所有災后重建計劃必須包含以下元素：

o         關鍵應用程序評估

o         備份程序

o         重建程序

o         執行程序

o         測試程序

o         計劃維護 

·          IT 災后重建計劃應為廠方企業災后重建計劃的一部分。

o         廠方應委派一位高級管理人員領導 IT 災后重建小組。

o         IT 災后重建小組應識別廠方網絡架構的組件，以便制定并更新應急程序。

o         IT 災后重建小組應對廠方的 IT 系統進行風險評估分析并將其歸檔。

o         IT 災后重建小組應評估并區分需要支持的關鍵和次要業務功能的優先次序。

o         IT 災后重建小組應為所有關鍵和次要業務職能制定、維護并記錄書面策略性重建程序。

o         IT 災后重建小組應確定、維護并分發可協助工廠災后重建的關鍵和次要業務功能人員名單。

o         IT 災后重建小組應制定、維護并向所有 IT 員工和每個關鍵及次要業務功能的負責人分發書面的 IT 應急計劃培訓綱要。

o         IT 災后重建小組應從各方面測試 IT 應急計劃 - 至少每年一次。這對應急計劃的成功至關重要。

o         IT 災后重建小組應制定、維護并記錄有效的IT 應急計劃年度評估。