【正文】 ： 審訂并批準信息安全政策和總體權責 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān)督安全事故 批準加強信息安全的重大舉措 所有有關的安全活動都應由一位經(jīng)理負責。 部門間協(xié)調 在較大的單位內，有必要建立一個由各個部門管理代表組成的跨功能信 息安全委員會來協(xié)調信息安全的實施。這樣一個機構的功能包括： 批準單位內信息安全方面的人事安排和權責分配 批準信息安全的具體方法和流程，如風險評估、安全分類體系等 批準并支持單位內信息安全方面的提議，如安全意識課程等 確保安全成為信息計劃程序的一部分 針對新系統(tǒng)或服務，評估其在信息安全方面的充足程度并協(xié)調其實施 評定信息安全事故 在全單位范圍內以顯要之方式提攜對信息安全的支持 權責分配 保護各項資產(chǎn)及實施具體安全流程的權責應有明確定義。 信息安全政策應當提供單位內安全人事和權責分配方面的具體指導原則。針對具 體的地點、系統(tǒng)或服務的不同，可對此政策酌情進行補充。對各項有形、信息資產(chǎn)及安全程序所在方應承擔的責任，如持續(xù)運營計劃，也要加以明確定義。 在某些單位內，需任命一名信息安全經(jīng)理負責發(fā)展實施安全、支持指定管制手段方面的有關事宜。但是，涉及資源分派和實施管制的事務仍應交由各部經(jīng)理負責。通常的做法是為每項信息資產(chǎn)都指定一個負責人，由他來時時負責資產(chǎn)的日常安全。 信息資產(chǎn)的負責人可將其安全權責代理給各部經(jīng)理或服務提供方，但他對資產(chǎn)的安全仍負有最終的責任，并要求能確認代理權沒有被濫用或誤用。 對各經(jīng)理所負責的各安全領域 進行定義十分重要；特別是要做到如下幾點： 和各系統(tǒng)有關的資產(chǎn)和安全程序要加以清楚辨別和定義 負責上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準，其權責要記錄在案 授權級別要清晰定義并記錄在案 信息處理設備的授權流程 要建立起針對新信息處理設施的管理授權流程。 要考慮如下要素： 新設施要有適當?shù)氖褂谜吖芾韺徟贫龋源藢κ褂媚康暮褪褂们闆r進行審批。批準由負責當?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關安全政策和要求。 如必要，對軟件和硬件進行檢查，確保其和其它系統(tǒng)部件向匹配。 使用個人信息處理設備處理公務信 息及其相關必要之管制手段皆需經(jīng)過批準。 在公務場合使用個人信息處理設備本身可導致安全漏洞，因此要經(jīng)過評估和批準。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。 專業(yè)信息安全顧問 許多單位可能需要專業(yè)信息安全顧問。此職位最好由單位內部某位資深信息安全顧問擔當。但不是所有單位都想聘用專業(yè)信息安全顧問。因此，特建議單位指定一位具體個人來協(xié)調單位內部信息安全知識與經(jīng)驗方面的一致，及輔助該方面的決策。擔此職務的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗以外的建議。 信息安全顧問或相應的外部聯(lián)絡人員的任務是根據(jù)自己的或外部的經(jīng)驗，就 信息安全的所有方面提出建議。他們對安全威脅評估及提出管制建議的質量決定了單位信息安全的有效性。為使其建議的有效性最大化，應允許他們接觸全單位管理的各個方面。 如懷疑出現(xiàn)安全事故或漏洞，應盡早向信息安全顧問咨詢，以獲得專家指導或調查資源。盡管多數(shù)內部安全調查通常是在管理管制下進行，但仍可以委托信息安全顧問提出建議，領導或實施調查。 組織間合作 和有關執(zhí)法、監(jiān)管、信息服務和電訊運營部門保持良好的聯(lián)系，確保在安全事故時能或得其建議以便迅速采取行動。同樣，也應考慮參加安全組織和行業(yè)論壇并成為其成員。 安全信息的交 換要加以嚴格限制，確保單位的保密信息不被傳給沒有經(jīng)過授權的人員。 信息安全審核的獨立性 信息安全政策文件規(guī)定了信息安全的政策和權責。對其實施的審核應獨立開展，確保單位的做法恰當?shù)胤磻苏叩囊?，并確保實施方面的可行性和有效性。 此類審核可由單位內部審計部門開展，也可由獨立經(jīng)理人或專門從事審核的第三方組織開展，只要這些人員具有適當?shù)募寄芎徒?jīng)驗。 外部存取的安全管理 目標：外來單位存取單位內部信息及信息處理設施時的安全管理。 第三方接觸本單位的信息處理設備要對其進行管制。 如業(yè)務需求第三方必須接觸本單位 的信息處理設備，則應對此行為的安全后果和管制要求進行風險評估。管制內容經(jīng)雙方同意，要在合同中加以定義。 外方存取可能還會涉及到別的參與方。為此，和第三方簽訂的合同中還應涵蓋對此授權的指定及其存取的條件。 本標準可用作制定此類合同或考慮委外信息加工時的基礎。 第三方存取的風險鑒別 存取的類別 允許第三方存取的類別至關重要。比如，跨網(wǎng)絡存取的風險和物理存取的風險是完全不同的。應考慮的存取類別包括： 物理存取，如辦公室、電腦房、檔案柜等 邏輯存取，如單位的數(shù)據(jù)庫、信息系統(tǒng)等 存取的原因 允許第三方存取可能有 若干原因。例如，這個第三方可能是在向單位提供服務，但又不在現(xiàn)場，只能給其一定物理和邏輯存取途徑，比方： 需要系統(tǒng)級別或低級別應用功能的硬件和軟件支持人員 和本單位交換信息、存取信息系統(tǒng)或分享數(shù)據(jù)庫的貿(mào)易伙伴或合資公司 如沒有充足的安全管理，允許第三方存取會給信息帶來風險。因此，在有需求接觸其它方信息時，要進行風險評估，確定管制的要求。同時，要考慮存取的類別、信息的價值、第三方使用的管制手段，以及讓他方接觸本單位信息的可能后果。 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導致安全隱患。例如，在現(xiàn)場的第三 方可以包括： 硬件和軟件維護和支持人員 清潔、料理、保安和其它委外的支持服務人員 學生員工及其它短期臨時工作人員 顧問 知道需采取哪些管制手段管理第三方對信息處理設備的存取至關重要?？傮w而言，和第三方簽訂的合同中要反應所有有關的安全要求和內部管制手段。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見 ） 在相應管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設備。 與第三方存取單位簽約時的安全要求 涉及第三方接觸本單位信息處理設備的安排應當基于正式的合 同，該合同中要包括或提到所有的安全要求，以便確保符合單位的安全政策和標準。合同還要確保單位和第三方之間沒有任何誤會。單位在證實第三方的可靠性方面要做到完全放心。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護，包括 1）保護單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時間點歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復制和泄漏 所提供的所有服務的描述 標的服務水準和不可接受的服務水準 人員調動的規(guī)定 合同雙方各自 的相關責任 法律方面的責任，比如，數(shù)據(jù)保護方面的法規(guī)，要特別考慮到在合同牽涉到多國組織件合作時各國法律體系的不同（見 ） 知識產(chǎn)權和版權的分配（見 ）及合作成果的保護（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標記的運用如使用者身份證和密碼； 2）對使用者存取和權限的授權過程； 3）要求準備一份批準使用服務的個人使用者的名單并載明他們的使用權限 定義有效的表現(xiàn)評判標準并對其進行監(jiān)督和回報 監(jiān)督、撤銷使用者活動的權力 對合同權責進行審計或指定別人對其審計的權力 建立解 決問題的升級流程；在適當?shù)那闆r下還要考慮應急安排 硬件和軟件安裝和維護方面的責任 清晰的回報結構和業(yè)經(jīng)同意的回報格式 清晰具體的變化管理流程 確保管制手段得以實施的物理保護管制手段和機制 對使用者和管理者進行培訓的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報、通知和調查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標：委外加工處理時相關信息的安全管理。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡和 /或桌面系統(tǒng)環(huán)境方面的風險、安全管制和流程。 委外加工 處理合約內的安全需求 如單位需將其信息系統(tǒng)、網(wǎng)絡和 /或桌面操作環(huán)境系統(tǒng)的管理和管理任務部分或全部地委托給他方實施，此方面的安全要求在有關各方簽訂的合同中加以規(guī)定。 例如，合同應當規(guī)定： 如何滿足諸如數(shù)據(jù)保護等方面的法律要求 進行哪些安排去確保委外的各方（包括分包方）能意識到其擔負的安全責任 如何維持并檢驗單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災難的情況下如何繼續(xù)或得服務 對委外設備采取何種水準的物理安全保護 審計權 條款中所述的條件也可作為此 合同考慮的要素。本合同應當允許雙方在安全管理計劃中對安全要求和流程進行擴展。 盡管委外合同可導致一些復雜的安全問題，其準則中包括的管制手段可被用作安全管理計劃的結構和內容的起點。 五、 資產(chǎn)分類與管理 資產(chǎn)管理權責 目標：確保信息資產(chǎn)得以適當保護。 所有重大的信息資產(chǎn)都要有記錄和主管人員。 對資產(chǎn)的負責制度將確保對其進行有效的保護。其主管人員在經(jīng)指定后要分配其在此方面的主要職責和管制辦法。實施管制的任務可委托給他人，但最后的責任要由資產(chǎn)的主管人員承擔。 5.. 資產(chǎn)的盤點 對資產(chǎn)的盤點可幫助確 保有效的資產(chǎn)保護，也可用于其它經(jīng)營目的，如健康和安全、保險或財務方面的原因。編制資產(chǎn)盤點的流程是風險管理的重要方面。單位要能辨明其資產(chǎn)和這些資產(chǎn)的相對價值和重要性。基于這些信息，單位就可以提供和資產(chǎn)價值及重要性相應的保護級別。對各個信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。每個資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認并登記。與信息系統(tǒng)有關的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊、培訓材料、操作和支持流程、持續(xù)經(jīng)營計劃、存檔信息等 軟件資產(chǎn)： 應用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設備（包括處理器、顯示器、筆記本電腦、調制解調器等），通訊設備（路由器、 PBAX、傳真機、答錄機等），磁力媒體（錄音帶、光盤等），其它技術儀器（電源、空調設備等），家具及輔助設施 服務：計算和通訊服務，通用設備，如供暖、照明、電、空調等 信息分類 目標：確保信息資產(chǎn)得到恰當?shù)谋Ｗo。 對信息進行分類，顯示其用途、優(yōu)先程度和保護級別。 信息具有不同的敏感度和重要性。有些信息需要額外的保護和處置。信息分類系統(tǒng)就是確認信息的保護級別，并采取恰當?shù)奶厥馓幹檬侄巍? 分類原則 信息分類及相關的保護管理辦法應符合分享信息或限制信息的要求，符合此類需要所帶來的相關后果，例如，對信息的未經(jīng)批準的使用和毀壞?？偠灾?，對信息進行分類是決定如何處理和保護該信息的一個捷徑。要對數(shù)據(jù)分類系統(tǒng)的信息和輸出進行標示，以決定此類信息對單位而言其價值和敏感度的級別。同樣也可按照此類信息對單位的重要程度進行分類標示，例如，按照其完整性和可得性。 經(jīng)過一段時間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開信息之后。因此，要考慮這些方面，因為過細的分類會增加額外的費用。分類知道大綱應當預測 并承認信息分類有時間性并歲政策變化而變化這一事實（見 ）。 還要考慮分類范疇的標號及其益處。太復雜的標號系統(tǒng)用起來很費勁，即不經(jīng)濟也不實用。在接觸和使用別單位的標號系統(tǒng)時要注意，因為他們的標號雖然和本單位的相同但含義可能完全不同。 對信息類事務（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進行定義并進行周期性審訂的任務應由信息原來的的制造者或指定的主管人員來完成。 信息標示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標識和操作流程是非常重要的。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。針對每個類別， 所定義的操作流程要包括如下類型的信息處理活動： 復制 存儲 以郵件、傳真、電子郵件方式進行的傳送 以聲音，包括移動電話、語音郵件、答錄機等方式進行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應加以恰當?shù)姆诸悩耸?。此標示要求能夠反應根?jù) 條款進行分類的類別。需要考慮進行標示的物品包括打印出的報告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。 物理標示通常是最恰當?shù)臉耸?。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進行物理標示，在此情況下需考慮對其進行電子標示。 六 、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 目標：降低錯誤、偷竊、欺騙或設備誤用的風險。 安全的權責應當在對員工進行聘用的階段就開始實施，還應包括在合同中，并在以后員工的聘用期內時時進行監(jiān)督。 對潛在的待聘員工應加以仔細充分的篩選（見 ），特別是從事敏感工作的員工。所有使用信息處理設備的員工或第三方都要簽署保密或不泄密協(xié)議。 工作權責涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責任當在工作定義中恰當標明（見 ）。這些要求包括實施或維護安全政策以及保護特別資產(chǎn)或開展特別安全程序或活 動時的具體