支付卡行业数据安全标准遵守规划指南精编版[32页].docx

《支付卡行业数据安全标准遵守规划指南精编版[32页].docx》由会员分享，可在线阅读，更多相关《支付卡行业数据安全标准遵守规划指南精编版[32页].docx（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐支付卡行业数据安全标准遵守规划指南On This Page简介 满足 PCI DSS 要求 附录 简介支付卡行业数据安全标准遵守规划指南旨在帮助组织满足支付卡行业数据安全标准 (PCI DSS) 的要求。具体而言，本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商 即提供支付卡处理或数据存储服务的第三方公司。针对这些群体的 IT 解决方案必须满足所有 PCI DSS 要求。本指南是为了进一步强化法规遵守规划指南 它介绍了一种基于框架的方法来创建 IT 控制，帮助您遵守各种法规和标准。该指南还介绍了您可以用来实施一系列 IT 控制的 Microsoft 产品和技

2、术解决方案，这些 IT 控制有助于满足 PCI DSS 要求以及履行您的组织可能担负的其他法规义务。注意如果您的组织提供的服务包括自动取款机 (ATM) 服务，Microsoft 将提供支持 ATM 的软件、系统和网络适用的体系结构和安全指南。有关详细信息，请参阅 MSDN 网站上的 Microsoft 银行行业中心下载页。本指南不包含有关每个组织如何遵守 PCI DSS 的全面信息。有关与您的组织有关的特定遵守问题的解答，请向您的律师或审核人员咨询。本指南的简介包括以下部分： 摘要。此部分提供有关 PCI DSS 要求以及该规划指南主要目标的广泛概述。在这一部分还会讨论 IT 管理人员在开始

3、解决 PCI DSS 遵守要求时需要掌握的知识。 本指南的目标读者。此部分介绍本指南的目标读者、指南的目的和适用范围，以及与指南限制有关的注意事项和免责声明。 什么是支付卡行业数据安全标准？ 此部分提供 PCI DSS 及其要求的概述。 规划 PCI DSS 遵守。此部分介绍使用框架满足 PCI DSS 要求。此方法包括：创建各种类型的 IT 控制、如何配合使用这些控制，以及它们为何是您的组织可以用来帮助满足 PCI DSS 要求和履行其他法规遵守义务的重要组件。 PCI DSS 审核流程。此部分概述审核人员用来评估组织是否符合 PCI DSS 要求的 PCI DSS 审核流程。由于本白皮书是

4、对法规遵守规划指南的补充，因此，当您计划一个满足您的组织适用的所有法规要求的完整解决方案时，您还应当参考该指南。摘要 如果您的组织处理、存储或传输持卡人信息，则您的业务要求必须遵守支付卡行业数据安全标准 (PCI DSS)。这些标准中定义的要求是由 PCI 安全标准委员会制定，旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。有三个问题使此情况变得复杂。第一个问题是遵守 PCI DSS 要求可能对整个组织产生影响。因此，在部门间协调遵守工作，并且有一个组织范围内的 PCI DSS 遵守策略非常重要。第二个复杂问题是您的组织可能需要遵守多套法规，每套法规都规定了不同的一组要求。因此，许多公

5、司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守，也就不足为奇了。第三个复杂问题是与其他许多法规一样，PCI DSS 只是顺带提及 IT 控制，而对于 IT 管理人员明确确定究竟该执行什么工作来实现和维护法规遵守，提供的指导则非常有限。支付卡行业数据安全标准遵守规划指南针对的是在公司担负满足 PCI DSS 要求职责的 IT 管理人员。本指南旨在帮助 IT 管理人员了解如何着手解决其组织适用的许多 IT 控制要求，包括 PCI DSS 遵守要求。为实现这一目的，本指南提供了有关在此过程中您可以使用的解决方案的信息。有关如何遵守多种法规标准的更全面的讨论，请参阅

6、法规遵守规划指南。重要本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面和技术面的信息。不要完全依赖本指南提供的有关如何满足法规要求的意见。有关特定问题，请向您的律师或审核人员咨询。本文的目标读者PCI DSS 遵守规划指南主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。本指南的目标读者包括在组织中担任以下职位的 IT 管理人员： 首席信息官 (CIO)，负责系统和 IT 相关流程的部署和运行。 首席信息安全官 (CISO)，负责整个信息安全计划以及对信息安全策略的遵守。 首席财务官 (CFO)，负责其组织的整个控制环境。 首席保密官 (CPO

7、)，负责实施与个人信息管理相关的策略，包括支持遵守保密性和数据保护法的策略。 技术决策者，负责确定适当的技术解决方案来解决特定的业务问题。 IT 运营经理，运行执行 PCI DSS 遵守计划的系统和流程。 IT 安全架构师，设计 IT 控制和安全系统以提供满足其组织业务需求的相应安全级别。 IT 基础结构架构师，设计支持 IT 安全架构师设计的 IT 安全和控制的基础结构。 咨询人员和合作伙伴，推荐或实施保密性和安全最佳做法，帮助客户实现 PCI DSS 遵守目标。此外，本指南对于以下人员可能也非常有价值： 风险/合规事务主管，负责其组织符合 PCI DSS 要求的总体风险管理。 IT 审核经

8、理，负责审核 IT 系统，减少内外 IT 审核人员的工作量。什么是支付卡行业数据安全标准？支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求，旨在确保持卡人的信用卡和借记卡信息保持安全，而不管这些信息是在何处以何种方法收集、处理、传输和存储。PCI DSS 由 PCI 安全标准委员会的创始成员（包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International）制定，旨在鼓励国际上采用一致的数据安全措施。PCI DSS 中的要求是针对在日常运营期间需要处理持卡

9、人数据的公司和机构提出的。具体而言，PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表，以及用来保护持卡人数据的其他措施。PCI DSS V1.1 是 2006 年 9 月发布的最新版本标准。该标准由一组共 6 个原则以及 12 个附属要求构成。每项要求下面包含子要求，您必须按照这些子要求来实施流程、策略或技术解决方案以遵守该要求。PCI DSS 策略和要求包括： 建立和维护安全网络 要求 1：安装和维护一个防火墙配置来保护持卡人数据。 要求 2：不要对系统密码和其他安全参数使

10、用供应商提供的默认值。 保护持卡人数据 要求 3：保护存储的持卡人数据。 要求 4：对通过开放的公共网络传输的持卡人数据进行加密。 维护漏洞管理计划 要求 5：使用并定期更新防病毒软件。 要求 6：开发并维护安全系统和应用程序。 实施强访问控制措施 要求 7：将对持卡人数据的访问限制为业务需要时。 要求 8：为具有计算机访问权限的每个人分配唯一的 ID。 要求 9：限制对持卡人数据的物理访问。 定期监视和测试网络 要求 10：跟踪和监视对网络资源和持卡人数据的所有访问。 要求 11：定期测试安全系统和流程。 维护信息安全策略 要求 12：维护解决信息安全的策略。要求 9 和 12 不需要您实施

11、技术解决方案。要求 9 指示您解决存储和处理持卡人数据的位置的物理安全。这可能包括对大楼进出实施安全控制、安装和维护监视设备以及要求对在设施内工作或访问设施的所有个人进行身份检查。要求 12 指示您创建信息安全策略，将其传达给您的员工、供应商以及在您的组织内处理持卡人数据的其他当事人。规划 PCI DSS 遵守孤立起来创建 PCI DSS 遵守解决方案既不高效也不经济。在规划遵守 PCI DSS 要求的方法时，您还必须考虑其他许多法规。这些法规的例子包括： 萨班斯-奥克斯利法案 (SOX) 格雷姆-里奇-比雷利法案 (Gramm-Leach Bliley Act) 健康保险流通与责任法案 (H

12、IPAA) 欧洲数据保护指令 (EUDPD) ISO 17799:2005 信息安全管理实施细则 (ISO17799)注意如果您的组织是一个跨国企业，则需要确保遵守所有业务开展地的政府法规。Microsoft 建议您向熟悉组织业务开展地的所有法规的律师咨询。有关对这些法规的遵守工作进行规划的详细信息，请参阅法规遵守规划指南。您的组织创建的 PCI DSS 遵守解决方案应该在完全了解以下两个问题的情况下制定： 满足其他法规要求的现有解决方案 创建符合所有法规要求的新解决方案的最佳方法为高效且有效地实现您的遵守目标，Microsoft 建议您利用控制框架来帮助实现您组织的法规遵守目标。利用控制框架

13、，您的组织能够将适用法规和标准映射到框架中。然后，您的组织就可以更高效地将 IT 控制工作的重点放在解决框架（而不是各个法规）中定义的要求上。此外，在出现新的法规和标准影响组织时，您也可以将它们映射到框架，然后集中精力解决框架中要求已更改的部分。而且，您可以将与 IT 控制相关的各种要求映射到框架中，其中包括支付卡行业安全要求、内部策略等行业特定的要求。框架为寻求实现法规遵守目标的组织提供了许多显著的优势。利用基于框架的法规遵守方法，组织能够： 组合 IT 控制以满足多种法规标准，例如，PCI DSS 和 EUDPD 所规定的标准，从而避免单独审核。 在新法规推出时能够迅速做出调整。 通过选择

14、影响最大的 IT 控制，确定支出的优先次序。 避免公司内部的业务部门之间为实现遵守目标所开展的工作出现重复。 通过渐增的更改，更高效地将当前法规更新到所在组织现有的 IT 控制。 在 IT 部门和审计人员之间建立一个公共的平台。当然，在开始规划您的遵守工作时，您应该对 PCI DSS 本身进行检查。您可以从以下位置下载 PCI DSS：https:/www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf。此外，PCI 安全标准委员会创建了一个自我评估调查表，帮助您的组织确定是否遵守 PCI DSS。您还可以利用它帮助您规划组织的 PCI DSS 遵

15、守工作。您可以从以下位置下载 PCI DSS 自我评估调查表：https:/www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf。有关在控制框架中使用 IT 控制解决法规要求的详细信息，请参阅法规遵守规划指南。PCI DSS 审核流程PCI DSS 遵守的审核流程通常与法规遵守规划指南中介绍的流程类似。但是，有一些特定于 PCI DSS 审核的细节您应该知道。PCI DSS 审核评估由两种第三方组织执行，即合格安全性评估商 (QSA) 和认可的扫描服务供应商 (ASV)。QSA 执行审核的现场部分，而 ASV 则对组织面向 Internet 的环

16、境执行漏洞扫描。对于成为 QSA 和 ASV 的企业，每年都必须由 PCI 数据安全委员会 (PCI DSC) 进行一次审核和批准。QSA 在审核组织之后必须编制一份报告，该报告必须遵照 PCI DSC 定义的特定准则。这些准则包含在 PCI 审核过程文档中，该文档可以从以下位置下载：https:/www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf。这些准则规定了 QSA 在审核之后必须编制的报告应该如何组织。此报告包括组织的联系信息、审核日期、摘要、工作范围以及 QSA 在审核组织时所采用方法的描述、季度扫描结果以及

17、 QSA 的发现和观察。最后一部分包含大量有关组织对 PCI DSS 遵守情况的信息。在此部分，QSA 会使用一个模板来报告组织对每项 PCI DSS 要求以及子要求的遵守情况。在为组织安排 PCI DSS 审核之前，或者最好是在规划 PCI DSS 遵守时，应该由组织的关键成员对 PCI DSS 审核过程进行审查。这可能有助于您充分了解 QSA 会在审核过程中进行哪些检查。ASV 在对组织面向 Internet 的环境执行漏洞扫描之后，也必须就扫描结果编制一份报告。此报告的准则包含在 PCI 扫描过程文档中，该文档可以从以下位置下载：https:/www.pcisecuritystandar

18、ds.org/pdfs/pci_scanning_procedures_v1-1.pdf。该文档规定了 ASV 必须扫描组织环境中的哪些元素，并且包含关键字来帮助您阅读和理解 ASV 的报告。作为贸易商或服务提供商，您的组织必须遵守各个支付卡公司的符合性报告要求，确保每个支付卡公司承认您组织的合规状态。换句话说，如果您的组织是处理与 Visa 和 American Express 有关的持卡人数据的服务提供商，您必须向 Visa 和 American Express 提交您的符合性报告。每个支付卡公司的相容规则和过程略有不同。有关特定 PCI DSS 遵守要求以及每个公司为实现贸易商和服务提供

19、商相容而推出的支持计划的详细信息，请与您的公司处理、传输或存储其持卡人数据的支付卡公司联系。Top Of Page 满足 PCI DSS 要求此部分详细说明您的组织规划 PCI DSS 遵守时可以考虑的 Microsoft 技术解决方案。您应该将选择的解决方案融合到您的组织的日常工作中。如“规划 PCI DSS 遵守”部分所述，您的组织策略、过程和技术解决方案应当考虑整个组织的法规遵守情况，还应该考虑 PCI DSS 遵守会对公司的各个组成部分产生怎样的影响。有关将 IT 控制映射到技术解决方案所涉及的考虑事项的详细讨论，请参阅法规遵守规划指南。文档管理文档管理解决方案结合软件和流程来帮助您管

20、理组织内非结构化的信息。此信息可能以许多数字化的形式存在，包括文档、图像、音频和视频文件以及 XML 文件。满足的 PCI DSS 要求实施文档管理解决方案从两个方面帮助实现 PCI DSS 遵守。一方面，使用此类解决方案来管理包含持卡人数据的文档可帮助满足与数据访问、管理和保护相关的 PCI DSS 要求。具体而言，您可以使用文档管理解决方案满足要求 7 以及子要求 10.2.1。另一方面，您可以使用文档管理系统维护和发布策略，比如满足小节 3.6、6.4、9.2 和 12 中的要求所需要的那些策略。有关这些要求的全文，请参阅支付卡行业数据安全标准 V1.1。可用技术Microsoft 提供

21、了许多用于创建文档管理 IT 控制的技术，这些技术可以结合起来使用，也可以单独使用。您应该设计这些控制，以满足 PCI DSS 要求以及您的组织适用的其他法规要求。 Microsoft Windows Rights Management Services。Windows Rights Management Services (RMS) 是一种帮助应用程序保护数字信息免遭未经授权使用（包括联机、脱机以及在防火墙内外的使用）的软件平台。RMS 是 Microsoft Office 和 Windows SharePoint Services 的信息权限管理 (IRM) 功能的基础技术。无论是在公司内

22、部部署还是通过托管服务部署，RMS 服务器都需要使用这些功能。RMS 不管信息传送到什么位置，都会保持对信息应用持续的使用策略来保护信息，从而能够增强组织的安全策略。启用了 RMS 的应用程序可用来管理、控制和审核对包含持卡人信息的文档的访问。RMS 客户端已经集成到 Windows Vista 操作系统中。对于其他版本的 Windows，可以免费下载 RMS 客户端。有关详细信息，请参阅 Windows Rights Management Services ( Microsoft Office SharePoint Server。SharePoint Server 是一种协作和内容管理服务器

23、，允许您使用一个集成平台支持组织的门户和文档管理需求。它允许您在企业范围内支持内部网、外部网和 Web 应用程序，为 IT 专业人员和开发人员提供他们进行服务器管理、实现应用程序可扩展性和互操作性所需的平台和工具。SharePoint Server 可用作包含持卡人数据的文档以及描述策略和流程的文档的中央存储库。SharePoint Server 2007 与 RMS 相集成，能够对从 SharePoint Server 2007 下载的内容的所有副本实施访问控制策略。此功能使站点管理员能够使用 IRM 对文档库中的文件下载进行保护。当用户尝试从存储库下载文件时，Microsoft Windo

24、ws SharePoint Services 会验证该用户是否对指定文件具有相应的权限，然后向用户发放许可，使该用户能够在相应的权限级别访问该文件。然后，Windows SharePoint Services 会采用加密的、有管理权限的文件格式将文件下载到用户的计算机。有关详细信息，请参阅 Microsoft SharePoint 产品和技术网站 ( Microsoft Exchange Server。如今对于大多数企业而言，电子邮件已经成为至关重要的通讯工具，员工必须使用电子邮件进行沟通才能获得最好的工作效果。随着对电子邮件越来越依赖，发送和接收的消息数量、通过电子邮件执行的工作量和种类以及

25、业务本身的速度都已经增加。Exchange Server 提供一种功能丰富的消息传递平台，用来管理组织中的信息交换，帮助满足 PCI DSS 遵守目标。Exchange Server 2007 包括统一消息服务，将发送到一个用户的电子邮件、语音邮件和传真合并到一个收件箱中。此外，它还提供一些功能，使您的组织能够应用保留规则、对传输过程中的消息进行扫描和操作、灵活记录日志以及对所有配置的邮箱执行丰富文本搜索。有关详细信息，请参阅 Microsoft Exchange Server 网站 ( Microsoft Office。Office 是最主要的企业生产力应用程序套件。Microsoft Of

26、fice 的 IRM 功能有助于组织控制对持卡人数据等敏感信息的访问。具体而言，Office IRM 功能将帮助您的组织： 防止受保护信息的授权接收人转发、复制、修改、打印、传真或剪切和粘贴信息来进行未经授权的使用。 防止使用 Windows Print Screen 功能复制受保护的信息。 不管信息传送到什么位置，始终为信息提供相同级别的保护。这称为“持续保护”。 为电子邮件附件提供相同级别的保护，只要附件是使用 Microsoft Excel 或 Microsoft Word 等其他 Office 程序创建的文件。 保护已经设置为即将过期的电子邮件或文档，使信息在指定的一段时间后不能再查看

27、。 执行公司的策略，控制公司内外对信息的使用和分发。有关详细信息，请参阅 Microsoft Office 网站 (风险评估风险评估是您的组织用来确定对业务的风险以及划分风险优先级的流程。通常，使用系统的方法来确定信息处理系统的资产，对这些资产的威胁以及系统暴露给这些威胁的漏洞。在法规遵守情况下，风险评估是评估组织内的遵守水平和遵守不充分之处的流程。在规划 PCI DSS 遵守时，您主要是确定持卡人数据面临的风险，确定这些威胁的优先级。满足的 PCI DSS 要求风险评估能够从许多方面帮助您满足 PCI DSS 要求。它使您能够确定在网络中需要升级哪些方面才能符合要求。即使已经基本符合要求，风

28、险评估也很重要，它帮助您确定组织是否能在一段时间内保持符合要求。由于您可以借助风险评估确定许多潜在问题，因此它能够帮助您符合许多 PCI DSS 要求，其中包括要求 1、3、4、5、6、7、8 和 11。有关这些要求的全文，请参阅支付卡行业数据安全标准 V1.1。可用技术Microsoft 提供了许多用于创建风险管理 IT 控制的技术，这些技术可以结合起来使用，也可以单独使用。您应该设计这些控制，以满足 PCI DSS 要求以及您的组织适用的其他法规要求。 Microsoft 基准安全分析器 (MBSA)。MBSA 是您可以用来在组织中评估持卡人数据风险的主要工具之一。MBSA 工具易于使用，

29、可以确定许多 Microsoft 产品的常见安全误配置，这些产品包括 Microsoft Windows 操作系统、Internet Information Services (IIS)、SQL Server、Microsoft Internet Explorer 和 Microsoft Office。MBSA 还会扫描已经发布到 Microsoft Update 但尚未在系统上安装的安全更新、更新汇总以及 Service Pack。您可以在命令提示符或其 GUI 下运行 MBSA，还可将其与 Microsoft Update 和 Microsoft Windows Server Update

30、 Services 配合使用。由于保持系统最新是使持卡人数据尽可能安全的一种非常重要的方法，因此在组织中评估数据风险时，MBSA 可能是一种非常重要的工具。有关 MBSA 的详细信息，请参阅 Microsoft 基准安全分析器( Microsoft Systems Management Server。如果您的组织使用 Microsoft Systems Management Server (SMS) 管理客户端计算机和服务器，您可能已经拥有了执行持卡人数据风险评估所需的一些工具。使用 SMS，您的组织可以远程管理分布式网络上运行 Windows 操作系统的计算机上的安全设置。您可以盘点网络上的

31、计算机是否安装了必需的软件更新，跟踪更新部署到这些计算机的进度。您还可以使用 SMS 生成报告，列出详细的硬件和软件清单、网络上计算机的配置详细信息和状态，以及软件部署和部署错误的状态。在组织内评估持卡人数据的风险时，这些 SMS 功能可能非常重要。有关 SMS 的详细信息，请参阅 Microsoft Systems Management Server 主页 ( Microsoft System Center Operations Manager 审核收集。Operations Manager 2007 可以从 Windows 操作系统安全、高效地提取和收集安全日志，并且存储这些日志供以后分析

32、和报告使用。提取的日志存储在单独的“审核收集”数据库中。Operations Manager 将附带有可用于“审核收集”数据的报表。可以使用审核收集来生成各种符合性报告，例如支持萨班斯-奥克斯利法案审核。还可以使用审核收集进行安全分析，例如入侵检测和未经授权的访问尝试。有关详细信息，请参阅“审核收集服务”( Windows Server Update Services。带有 Service Pack 1 的 Windows Server Update Services 使您的组织能够部署许多发布到 Microsoft Update 站点的最新 Microsoft 产品更新。Windows Se

33、rver Update Services 是 Windows Server 的一个更新组件，提供了一种保持系统最新的快速有效的方法。WSUS 提供的风险评估基础结构包括： Microsoft Update。WSUS 连接到该 Microsoft 网站获得 Microsoft 产品的更新。 Windows Server Update Services服务器。在防火墙内部运行 Microsoft Windows 2000 Server Service Pack 4 (SP4) 或 Windows Server 2003 操作系统的计算机上安装的服务器组件。Windows Server Update

34、 Services 服务器提供管理员通过基于 Web 的工具管理和分发更新需要的功能，基于 Web 的工具可以在公司网络中的 Windows 计算机上使用 Internet Explorer 进行访问。此外，一个 Windows Server Update Services 服务器可能是其他 Windows Server Update Services 服务器的更新来源。 自动更新。该客户端计算机组件已内置到 Microsoft Windows Vista、Windows Server 2003、Windows XP 和 Windows 2000 Service Pack 3 操作系统中。使用

35、自动更新，服务器和客户端计算机都能够从 Microsoft Update 或运行 Windows Server Update Services 的服务器接收更新。利用这些服务，您能够为网络上的所有主机环境提供 Microsoft 为指定主机上安装的产品发布的最新安全修补程序。有关详细信息，请参阅“Windows Server Update Services”主页 ( 组策略。组策略是一种使您的 IT 专业人员能够为用户和计算机实施特定配置的基础结构。组策略设置包含在组策略对象 (GPO) 中，组策略对象将链接到以下 Microsoft Active Directory 目录服务容器：站点、域或

36、组织单元 (OU)。可以使用组策略集中管理分布式网络上的计算机。由于您的管理员可以使用组策略在站点、域或组织单元系列中间分发软件，因此组策略可能是用来确定对组织的 IT 环境造成的风险的重要工具。您可以使用 Microsoft 组策略管理控制台 (GPMC) 管理组策略设置。GPMC 提供单独的一个位置来管理组策略的核心方面，从而简化组策略的管理。按照客户的请求，GPMC 解决最顶层的组策略部署要求，它提供： 使组策略更易于使用的用户界面 (UI)。 备份和还原 GPO 的能力。 导入和导出、复制和粘贴 GPO 和 Windows 管理规范 (WMI) 筛选器的能力。 简化的组策略相关安全的管

37、理方法。 为 GPO 设置和策略结果集数据生成 HTML 报告的能力。 对 GPMC 公开的 GPO 操作编写脚本的能力，但不能对 GPO 中的设置编写脚本。有关详细信息，请参阅“Windows Server 2003 组策略”( 和“组策略管理控制台”(更改管理更改管理是一种结构化的流程，您的组织可用它来评估对项目计划、IT 基础结构、软件部署或组织中的其他流程或过程的更改。更改管理系统可以帮助您定义更改，评估更改的影响，确定需要哪些操作来实施更改，以及在组织内分发有关更改的信息。此外，它还能帮助您在组织范围内跟踪您所做的更改。这样，您在对 IT 环境进行更改时，就能够保持 IT 环境受到控

38、制。例如，组织可以在系统中包含一个数据库，帮助员工根据历史数据对将来的更改做出更好的决策，这些历史数据会指出过去所尝试的类似更改是成功还是失败。此外，更改管理也是向所有受到影响的各方传达更改是否存在及其状态的结构化流程。该流程可能产生一个清单系统，指明已经采取了什么操作以及操作影响关键资源状态的时间，帮助预测和消除问题，简化资源管理。满足的 PCI DSS 要求更改管理对于 PCI DSS 遵守工作至关重要，这与其他任何法规遵守工作一样。如果组织不知道对其 IT 环境进行了哪些更改，则很难确定环境是否安全。对您的网络、系统、策略和过程中的更改进行跟踪，有助于您满足 PCI DSS 要求 6 和

39、 11。有关这些要求的全文，请参阅支付卡行业数据安全标准 V1.1。可用技术Microsoft 为您提供了多种技术，供您在设计更改管理解决方案时考虑。 Microsoft Office SharePoint Server。除了是您的文档管理解决方案的一种技术选择之外，Microsoft Office SharePoint Server 还可能是组织的更改管理系统中的一个关键因素。您可以使用它的版本跟踪功能监视策略和流程文档中的更改、更新、对应用程序的其他更改以及一段时间内批准软件的更改。有关详细信息，请参阅“文档管理”部分和 Microsoft SharePoint 产品和技术网站 ( Mic

40、rosoft Systems Management Server。您不仅可以使用 SMS 管理组织的风险评估，还可以使用其管理功能跟踪组织中计算机系统的更改。它将跟踪安全设置更改，以及在网络上的服务器和客户端计算机上安装的应用程序。此外，您还可以使用 SMS 中内置的强大报告功能，检查已经对组织中的计算机所做的更改以及这些更改是否符合所建立的安全要求。有关 SMS 的详细信息，请访问 Microsoft Systems Management Server 主页 ( Microsoft SMS 2003 所需配置监视 2.0。您可以利用 SMS 2003 所需配置监视 (DCM) 功能来加强您的

41、 SMS 操作。可以使用 DCM 在所需或定义的配置设置与实际的配置设置之间自动完成配置管理审核。DCM 通过允许用户在多个配置数据源中定义所需的硬件、操作系统和应用程序配置设置，来实现这一目的。然后，DCM 利用提供的审核引擎，将所需设置与实际设置作比较，报告配置的合规情况。DCM 可帮助您减少计划外停机、关联配置数据以及减少支持成本。它提供一种易于使用的 XML 编辑工具，以及有关定义硬件和软件配置项目的指导。DCM 还提供详细的符合性报告，帮助检测和修复配置错误。 用于软件保证的 Microsoft 桌面优化包。用于软件保证的 Microsoft 桌面优化包是一种订阅服务，可减少应用程序

42、部署成本，支持以服务形式提供应用程序，并且能够更好地管理和控制企业桌面环境。使用该桌面优化包，您可以在以下方面增强更改管理流程和回滚功能： 改进组策略管理。 减少停机时间。 允许获批准的用户按需访问应用程序。Microsoft 桌面优化包仅向软件保证覆盖范围包括桌面的客户提供。有关详细信息，请参阅“优化 Windows 桌面”(网络安全网络安全解决方案构成了一个广泛的解决方案类别，旨在解决组织在所有网络方面的安全，包括防火墙、服务器、客户端、路由器、交换机和访问点。对组织的网络安全进行规划和监视是实现 PCI DSS 遵守目标的关键因素。有各种各样的解决方案可用来解决网络安全问题，您的组织自然

43、也已经部署了安全网络的许多要素。在已经实施的网络安全解决方案的基础上进行构建可能要比重新开始更高效、更经济。但是，您可能会考虑对组织使用的某些技术进行更改，或者可能希望实施在网络安全策略中尚未包括的新解决方案。Microsoft 提供多种技术解决方案以及相应的指导材料，帮助实施满足组织需要的网络安全解决方案。满足的 PCI DSS 要求支付卡行业数据安全标准非常明确地指出，需要在整个组织内建立安全网络才能符合要求。策略 1 规定若要符合要求，组织必须建立和维护一个安全网络。要求 1 规定组织必须安装和维护一个防火墙配置来保护持卡人数据。要求 2 规定组织必须更改供应商为系统密码和其他参数提供的

44、默认设置。网络安全解决方案还帮助您的组织满足要求 4 和 10，这两条分别要求您对通过网络传输的持卡人数据进行加密以及跟踪和监视网络访问。有关这些要求的全文，请参阅支付卡行业数据安全标准 V1.1。可用技术您可以从 Microsoft 提供的多项技术中选择相应的技术，来满足前两条 PCI DSS 要求。 Microsoft Windows 防火墙。Windows XP Service Pack 2 (SP2) 包括 Windows 防火墙，用它取代 Internet 连接防火墙 (ICF)。Windows 防火墙是基于主机状态的防火墙，如果未经请求的传入通信与响应计算机请求所发送的通信（请求的

45、通信）或已经指定为允许的未经请求通信（例外通信）不对应，则会被防火墙丢弃。Windows 防火墙提供的保护级别能够阻止恶意用户和程序依靠未经请求的传入通信来攻击网络上的计算机。在 Windows Vista 和 Windows Server“Longhorn”上的“高级安全 Windows 防火墙”中已经增强了这些功能。高级安全 Windows 防火墙允许您根据自己通过 Microsoft 管理控制 (MMC) 管理单元配置的设置阻止传入连接和传出连接。利用此管理单元提供的界面，不仅可以本地配置 Windows 防火墙，还可以使用组策略在远程计算机上配置 Windows 防火墙。防火墙功能现在已经与 Internet 协议安全 (IPsec) 保护设置集成在一起，从而降低了在两种保护机制之间产生冲突的可能。高级安全 Windows 防火墙支持在计算机连接到域或连接到专用或公用网络时使用不同的配置文件。此外，它还支持创建服务器和域隔离策略的实施规则。高级安全 Windows 防火墙支持更为细化的规则，包括 Microsoft Active Directory 用户和组、源 IT 地址和目标 IT 地址、IP 端口号、ICMP 设置、IPsec 设置、特定类型的接口、服