【正文】 ： 審訂并批準(zhǔn)信息安全政策和總體權(quán)責(zé) 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān)督安全事故 批準(zhǔn)加強(qiáng)信息安全的重大舉措 所有有關(guān)的安全活動(dòng)都應(yīng)由一位經(jīng)理負(fù)責(zé)。 部門間協(xié)調(diào) 在較大的單位內(nèi)，有必要建立一個(gè)由各個(gè)部門管理代表組成的跨功能信 息安全委員會(huì)來協(xié)調(diào)信息安全的實(shí)施。這樣一個(gè)機(jī)構(gòu)的功能包括： 批準(zhǔn)單位內(nèi)信息安全方面的人事安排和權(quán)責(zé)分配 批準(zhǔn)信息安全的具體方法和流程，如風(fēng)險(xiǎn)評(píng)估、安全分類體系等 批準(zhǔn)并支持單位內(nèi)信息安全方面的提議，如安全意識(shí)課程等 確保安全成為信息計(jì)劃程序的一部分 針對(duì)新系統(tǒng)或服務(wù)，評(píng)估其在信息安全方面的充足程度并協(xié)調(diào)其實(shí)施 評(píng)定信息安全事故 在全單位范圍內(nèi)以顯要之方式提攜對(duì)信息安全的支持 權(quán)責(zé)分配 保護(hù)各項(xiàng)資產(chǎn)及實(shí)施具體安全流程的權(quán)責(zé)應(yīng)有明確定義。 信息安全政策應(yīng)當(dāng)提供單位內(nèi)安全人事和權(quán)責(zé)分配方面的具體指導(dǎo)原則。針對(duì)具 體的地點(diǎn)、系統(tǒng)或服務(wù)的不同，可對(duì)此政策酌情進(jìn)行補(bǔ)充。對(duì)各項(xiàng)有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運(yùn)營計(jì)劃，也要加以明確定義。 在某些單位內(nèi)，需任命一名信息安全經(jīng)理負(fù)責(zé)發(fā)展實(shí)施安全、支持指定管制手段方面的有關(guān)事宜。但是，涉及資源分派和實(shí)施管制的事務(wù)仍應(yīng)交由各部經(jīng)理負(fù)責(zé)。通常的做法是為每項(xiàng)信息資產(chǎn)都指定一個(gè)負(fù)責(zé)人，由他來時(shí)時(shí)負(fù)責(zé)資產(chǎn)的日常安全。 信息資產(chǎn)的負(fù)責(zé)人可將其安全權(quán)責(zé)代理給各部經(jīng)理或服務(wù)提供方，但他對(duì)資產(chǎn)的安全仍負(fù)有最終的責(zé)任，并要求能確認(rèn)代理權(quán)沒有被濫用或誤用。 對(duì)各經(jīng)理所負(fù)責(zé)的各安全領(lǐng)域 進(jìn)行定義十分重要；特別是要做到如下幾點(diǎn)： 和各系統(tǒng)有關(guān)的資產(chǎn)和安全程序要加以清楚辨別和定義 負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案 授權(quán)級(jí)別要清晰定義并記錄在案 信息處理設(shè)備的授權(quán)流程 要建立起針對(duì)新信息處理設(shè)施的管理授權(quán)流程。 要考慮如下要素： 新設(shè)施要有適當(dāng)?shù)氖褂谜吖芾韺徟贫?，以此?duì)使用目的和使用情況進(jìn)行審批。批準(zhǔn)由負(fù)責(zé)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關(guān)安全政策和要求。 如必要，對(duì)軟件和硬件進(jìn)行檢查，確保其和其它系統(tǒng)部件向匹配。 使用個(gè)人信息處理設(shè)備處理公務(wù)信 息及其相關(guān)必要之管制手段皆需經(jīng)過批準(zhǔn)。 在公務(wù)場合使用個(gè)人信息處理設(shè)備本身可導(dǎo)致安全漏洞，因此要經(jīng)過評(píng)估和批準(zhǔn)。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。 專業(yè)信息安全顧問 許多單位可能需要專業(yè)信息安全顧問。此職位最好由單位內(nèi)部某位資深信息安全顧問擔(dān)當(dāng)。但不是所有單位都想聘用專業(yè)信息安全顧問。因此，特建議單位指定一位具體個(gè)人來協(xié)調(diào)單位內(nèi)部信息安全知識(shí)與經(jīng)驗(yàn)方面的一致，及輔助該方面的決策。擔(dān)此職務(wù)的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗(yàn)以外的建議。 信息安全顧問或相應(yīng)的外部聯(lián)絡(luò)人員的任務(wù)是根據(jù)自己的或外部的經(jīng)驗(yàn)，就 信息安全的所有方面提出建議。他們對(duì)安全威脅評(píng)估及提出管制建議的質(zhì)量決定了單位信息安全的有效性。為使其建議的有效性最大化，應(yīng)允許他們接觸全單位管理的各個(gè)方面。 如懷疑出現(xiàn)安全事故或漏洞，應(yīng)盡早向信息安全顧問咨詢，以獲得專家指導(dǎo)或調(diào)查資源。盡管多數(shù)內(nèi)部安全調(diào)查通常是在管理管制下進(jìn)行，但仍可以委托信息安全顧問提出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。 組織間合作 和有關(guān)執(zhí)法、監(jiān)管、信息服務(wù)和電訊運(yùn)營部門保持良好的聯(lián)系，確保在安全事故時(shí)能或得其建議以便迅速采取行動(dòng)。同樣，也應(yīng)考慮參加安全組織和行業(yè)論壇并成為其成員。 安全信息的交 換要加以嚴(yán)格限制，確保單位的保密信息不被傳給沒有經(jīng)過授權(quán)的人員。 信息安全審核的獨(dú)立性 信息安全政策文件規(guī)定了信息安全的政策和權(quán)責(zé)。對(duì)其實(shí)施的審核應(yīng)獨(dú)立開展，確保單位的做法恰當(dāng)?shù)胤磻?yīng)了政策的要求，并確保實(shí)施方面的可行性和有效性。 此類審核可由單位內(nèi)部審計(jì)部門開展，也可由獨(dú)立經(jīng)理人或?qū)ｉT從事審核的第三方組織開展，只要這些人員具有適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。 外部存取的安全管理 目標(biāo)：外來單位存取單位內(nèi)部信息及信息處理設(shè)施時(shí)的安全管理。 第三方接觸本單位的信息處理設(shè)備要對(duì)其進(jìn)行管制。 如業(yè)務(wù)需求第三方必須接觸本單位 的信息處理設(shè)備，則應(yīng)對(duì)此行為的安全后果和管制要求進(jìn)行風(fēng)險(xiǎn)評(píng)估。管制內(nèi)容經(jīng)雙方同意，要在合同中加以定義。 外方存取可能還會(huì)涉及到別的參與方。為此，和第三方簽訂的合同中還應(yīng)涵蓋對(duì)此授權(quán)的指定及其存取的條件。 本標(biāo)準(zhǔn)可用作制定此類合同或考慮委外信息加工時(shí)的基礎(chǔ)。 第三方存取的風(fēng)險(xiǎn)鑒別 存取的類別 允許第三方存取的類別至關(guān)重要。比如，跨網(wǎng)絡(luò)存取的風(fēng)險(xiǎn)和物理存取的風(fēng)險(xiǎn)是完全不同的。應(yīng)考慮的存取類別包括： 物理存取，如辦公室、電腦房、檔案柜等 邏輯存取，如單位的數(shù)據(jù)庫、信息系統(tǒng)等 存取的原因 允許第三方存取可能有 若干原因。例如，這個(gè)第三方可能是在向單位提供服務(wù)，但又不在現(xiàn)場，只能給其一定物理和邏輯存取途徑，比方： 需要系統(tǒng)級(jí)別或低級(jí)別應(yīng)用功能的硬件和軟件支持人員 和本單位交換信息、存取信息系統(tǒng)或分享數(shù)據(jù)庫的貿(mào)易伙伴或合資公司 如沒有充足的安全管理，允許第三方存取會(huì)給信息帶來風(fēng)險(xiǎn)。因此，在有需求接觸其它方信息時(shí)，要進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定管制的要求。同時(shí)，要考慮存取的類別、信息的價(jià)值、第三方使用的管制手段，以及讓他方接觸本單位信息的可能后果。 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導(dǎo)致安全隱患。例如，在現(xiàn)場的第三 方可以包括： 硬件和軟件維護(hù)和支持人員 清潔、料理、保安和其它委外的支持服務(wù)人員 學(xué)生員工及其它短期臨時(shí)工作人員 顧問 知道需采取哪些管制手段管理第三方對(duì)信息處理設(shè)備的存取至關(guān)重要?？傮w而言，和第三方簽訂的合同中要反應(yīng)所有有關(guān)的安全要求和內(nèi)部管制手段。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見 ） 在相應(yīng)管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設(shè)備。 與第三方存取單位簽約時(shí)的安全要求 涉及第三方接觸本單位信息處理設(shè)備的安排應(yīng)當(dāng)基于正式的合 同，該合同中要包括或提到所有的安全要求，以便確保符合單位的安全政策和標(biāo)準(zhǔn)。合同還要確保單位和第三方之間沒有任何誤會(huì)。單位在證實(shí)第三方的可靠性方面要做到完全放心。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護(hù)，包括 1）保護(hù)單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時(shí)間點(diǎn)歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標(biāo)的服務(wù)水準(zhǔn)和不可接受的服務(wù)水準(zhǔn) 人員調(diào)動(dòng)的規(guī)定 合同雙方各自 的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護(hù)方面的法規(guī)，要特別考慮到在合同牽涉到多國組織件合作時(shí)各國法律體系的不同（見 ） 知識(shí)產(chǎn)權(quán)和版權(quán)的分配（見 ）及合作成果的保護(hù)（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標(biāo)記的運(yùn)用如使用者身份證和密碼； 2）對(duì)使用者存取和權(quán)限的授權(quán)過程； 3）要求準(zhǔn)備一份批準(zhǔn)使用服務(wù)的個(gè)人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評(píng)判標(biāo)準(zhǔn)并對(duì)其進(jìn)行監(jiān)督和回報(bào) 監(jiān)督、撤銷使用者活動(dòng)的權(quán)力 對(duì)合同權(quán)責(zé)進(jìn)行審計(jì)或指定別人對(duì)其審計(jì)的權(quán)力 建立解 決問題的升級(jí)流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護(hù)方面的責(zé)任 清晰的回報(bào)結(jié)構(gòu)和業(yè)經(jīng)同意的回報(bào)格式 清晰具體的變化管理流程 確保管制手段得以實(shí)施的物理保護(hù)管制手段和機(jī)制 對(duì)使用者和管理者進(jìn)行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報(bào)、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標(biāo)：委外加工處理時(shí)相關(guān)信息的安全管理。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面系統(tǒng)環(huán)境方面的風(fēng)險(xiǎn)、安全管制和流程。 委外加工 處理合約內(nèi)的安全需求 如單位需將其信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面操作環(huán)境系統(tǒng)的管理和管理任務(wù)部分或全部地委托給他方實(shí)施，此方面的安全要求在有關(guān)各方簽訂的合同中加以規(guī)定。 例如，合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識(shí)到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗(yàn)單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對(duì)委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計(jì)權(quán) 條款中所述的條件也可作為此 合同考慮的要素。本合同應(yīng)當(dāng)允許雙方在安全管理計(jì)劃中對(duì)安全要求和流程進(jìn)行擴(kuò)展。 盡管委外合同可導(dǎo)致一些復(fù)雜的安全問題，其準(zhǔn)則中包括的管制手段可被用作安全管理計(jì)劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 目標(biāo)：確保信息資產(chǎn)得以適當(dāng)保護(hù)。 所有重大的信息資產(chǎn)都要有記錄和主管人員。 對(duì)資產(chǎn)的負(fù)責(zé)制度將確保對(duì)其進(jìn)行有效的保護(hù)。其主管人員在經(jīng)指定后要分配其在此方面的主要職責(zé)和管制辦法。實(shí)施管制的任務(wù)可委托給他人，但最后的責(zé)任要由資產(chǎn)的主管人員承擔(dān)。 5.. 資產(chǎn)的盤點(diǎn) 對(duì)資產(chǎn)的盤點(diǎn)可幫助確 保有效的資產(chǎn)保護(hù)，也可用于其它經(jīng)營目的，如健康和安全、保險(xiǎn)或財(cái)務(wù)方面的原因。編制資產(chǎn)盤點(diǎn)的流程是風(fēng)險(xiǎn)管理的重要方面。單位要能辨明其資產(chǎn)和這些資產(chǎn)的相對(duì)價(jià)值和重要性?；谶@些信息，單位就可以提供和資產(chǎn)價(jià)值及重要性相應(yīng)的保護(hù)級(jí)別。對(duì)各個(gè)信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。每個(gè)資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認(rèn)并登記。與信息系統(tǒng)有關(guān)的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊、培訓(xùn)材料、操作和支持流程、持續(xù)經(jīng)營計(jì)劃、存檔信息等 軟件資產(chǎn)： 應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設(shè)備（包括處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等），通訊設(shè)備（路由器、 PBAX、傳真機(jī)、答錄機(jī)等），磁力媒體（錄音帶、光盤等），其它技術(shù)儀器（電源、空調(diào)設(shè)備等），家具及輔助設(shè)施 服務(wù)：計(jì)算和通訊服務(wù)，通用設(shè)備，如供暖、照明、電、空調(diào)等 信息分類 目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。 對(duì)信息進(jìn)行分類，顯示其用途、優(yōu)先程度和保護(hù)級(jí)別。 信息具有不同的敏感度和重要性。有些信息需要額外的保護(hù)和處置。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級(jí)別，并采取恰當(dāng)?shù)奶厥馓幹檬侄巍? 分類原則 信息分類及相關(guān)的保護(hù)管理辦法應(yīng)符合分享信息或限制信息的要求，符合此類需要所帶來的相關(guān)后果，例如，對(duì)信息的未經(jīng)批準(zhǔn)的使用和毀壞?？偠灾?，對(duì)信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個(gè)捷徑。要對(duì)數(shù)據(jù)分類系統(tǒng)的信息和輸出進(jìn)行標(biāo)示，以決定此類信息對(duì)單位而言其價(jià)值和敏感度的級(jí)別。同樣也可按照此類信息對(duì)單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。 經(jīng)過一段時(shí)間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開信息之后。因此，要考慮這些方面，因?yàn)檫^細(xì)的分類會(huì)增加額外的費(fèi)用。分類知道大綱應(yīng)當(dāng)預(yù)測 并承認(rèn)信息分類有時(shí)間性并歲政策變化而變化這一事實(shí)（見 ）。 還要考慮分類范疇的標(biāo)號(hào)及其益處。太復(fù)雜的標(biāo)號(hào)系統(tǒng)用起來很費(fèi)勁，即不經(jīng)濟(jì)也不實(shí)用。在接觸和使用別單位的標(biāo)號(hào)系統(tǒng)時(shí)要注意，因?yàn)樗麄兊臉?biāo)號(hào)雖然和本單位的相同但含義可能完全不同。 對(duì)信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來的的制造者或指定的主管人員來完成。 信息標(biāo)示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識(shí)和操作流程是非常重要的。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。針對(duì)每個(gè)類別， 所定義的操作流程要包括如下類型的信息處理活動(dòng)： 復(fù)制 存儲(chǔ) 以郵件、傳真、電子郵件方式進(jìn)行的傳送 以聲音，包括移動(dòng)電話、語音郵件、答錄機(jī)等方式進(jìn)行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。此標(biāo)示要求能夠反應(yīng)根據(jù) 條款進(jìn)行分類的類別。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報(bào)告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。 物理標(biāo)示通常是最恰當(dāng)?shù)臉?biāo)示。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對(duì)其進(jìn)行物理標(biāo)示，在此情況下需考慮對(duì)其進(jìn)行電子標(biāo)示。 六 、 個(gè)人信息安全守則 工作執(zhí)掌及資源的安全管理 目標(biāo)：降低錯(cuò)誤、偷竊、欺騙或設(shè)備誤用的風(fēng)險(xiǎn)。 安全的權(quán)責(zé)應(yīng)當(dāng)在對(duì)員工進(jìn)行聘用的階段就開始實(shí)施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時(shí)時(shí)進(jìn)行監(jiān)督。 對(duì)潛在的待聘員工應(yīng)加以仔細(xì)充分的篩選（見 ），特別是從事敏感工作的員工。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。 工作權(quán)責(zé)涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見 ）。這些要求包括實(shí)施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開展特別安全程序或活 動(dòng)時(shí)的具體