【正文】 。信息資產(chǎn)的責(zé)任人可以將他們的安全職責(zé)委托給各個(gè)管理者或服務(wù)提供者。盡管如此，該責(zé)任人仍然最終負(fù)責(zé)該資產(chǎn)的安全，并且他應(yīng)能確定任何被委托的職責(zé)是否已被正確地履行。重要的是每個(gè)管理者負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定；特別是，應(yīng)進(jìn)行下列工作。a） 與每個(gè)獨(dú)立系統(tǒng)相關(guān)的各種資產(chǎn)和安全過程應(yīng)予以標(biāo)識(shí)并清晰地定義。b） 應(yīng)商定每一資產(chǎn)或安全過程的管理者職責(zé)，并且應(yīng)形成該職責(zé)的細(xì)節(jié)文檔。c） 授權(quán)級別應(yīng)清晰地予以定義，并形成文檔。　 信息處理設(shè)施的授權(quán)過程應(yīng)建立新信息處理設(shè)施的管理授權(quán)過程。理應(yīng)考慮下列控制：a） 新設(shè)施要有相應(yīng)用戶管理層的批準(zhǔn)，以授權(quán)設(shè)施的用途和使用。還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng)安全環(huán)境的管理者批準(zhǔn)，以確保所有相關(guān)安全策略和要求得到滿足。b） 若需要，硬件和軟件應(yīng)進(jìn)行檢驗(yàn)，以確保它們與其他系統(tǒng)部件兼容。注：對某些連接可以要求型式批準(zhǔn)。c） 應(yīng)對處理業(yè)務(wù)信息和所有必要控制所使用的個(gè)人信息處理設(shè)施進(jìn)行授權(quán)。d） 使用工作場地內(nèi)的個(gè)人信息處理設(shè)施可能引起新的脆弱性，因此，要進(jìn)行評估和授權(quán)。這些控制在已組成網(wǎng)絡(luò)的環(huán)境中特別重要。　 專家的信息安全建議專家的安全建議可能是許多組織需要的。在概念上，一個(gè)有經(jīng)驗(yàn)的內(nèi)部信息安全顧問要提供這種建議。不是所有組織都希望聘用專家顧問。在這樣的情況下，建議確定專門人員協(xié)調(diào)內(nèi)部知識(shí)和經(jīng)驗(yàn)，以確保一致性，并且在作出安全判定時(shí)提供幫助。各個(gè)組織也應(yīng)訪問適合的外部顧問，顧問們可提供超出各組織自身經(jīng)驗(yàn)的專家建議。應(yīng)對信息安全顧問或上述相應(yīng)人員分派提供建議的任務(wù)，即使用他們自己的或外部的建議來提供關(guān)于信息安全各方面的建議。他們評定安全威脅的質(zhì)量和關(guān)于控制的建議將確定該組織的信息安全的有效性。為了最高有效性和最好效果，要允許他們直接訪問整個(gè)組織中的管理層。在懷疑發(fā)生安全事故或違規(guī)之后的最早可能階段，要咨詢信息安全顧問或合同中相應(yīng)的指定人，以提供專門指導(dǎo)或調(diào)查資源的原始資料。雖然大多數(shù)內(nèi)部安全調(diào)查將通常在管理控制下進(jìn)行，但可以要求信息安全顧問對調(diào)查提供建議、引導(dǎo)或進(jìn)行這種調(diào)查?！?組織之間的合作要保持與法律執(zhí)行機(jī)構(gòu)、制訂法規(guī)的機(jī)構(gòu)、信息服務(wù)提供者和電信運(yùn)營商的相應(yīng)聯(lián)系，以確保萬一出現(xiàn)安全事故時(shí)可以快速采取適當(dāng)行動(dòng)并獲得建議。同樣，要考慮安全團(tuán)體和行業(yè)協(xié)調(diào)小組的成員。安全信息的交換要受到限制，以確保不把該組織的保密信息傳遞給未授權(quán)的個(gè)人?！?信息安全的獨(dú)立評審信息安全策略文檔（）提出信息安全策略和職責(zé)。其實(shí)施要獨(dú)立地予以評審，以提供保證，即保證組織的實(shí)踐正確地反映了策略，并且保證該策略是可行的和有效的（）。這樣的評審可以通過內(nèi)部審核職能、獨(dú)立的管理者或?qū)ｉT做這種評審的第三方組織來進(jìn)行，條件是這些候選者具有相應(yīng)的技能和經(jīng)驗(yàn)。　 第三方訪問的安全目的：維護(hù)被第三方所訪問的組織的信息處理設(shè)施和信息資產(chǎn)的安全。被第三方訪問的組織的信息處理設(shè)施應(yīng)予以控制。若有一種業(yè)務(wù)需要這種第三方訪問，就要進(jìn)行風(fēng)險(xiǎn)評估，以確定安全蘊(yùn)涵和控制要求。在與第三方簽訂的合同中要商定和定義控制。第三方訪問還可能包含其他參與者。給與第三方訪問的合同要包括指定其它合格參與者及其訪問的條件的許可限度。本標(biāo)準(zhǔn)可以用作這種合同的基礎(chǔ)以及考慮外包信息處理時(shí)的基礎(chǔ)?！?標(biāo)識(shí)第三方訪問的風(fēng)險(xiǎn)　 訪問類型給予第三方的訪問類型特別重要。例如，通過網(wǎng)絡(luò)連接的訪問風(fēng)險(xiǎn)與由于物理訪問導(dǎo)致的風(fēng)險(xiǎn)不同。應(yīng)予以考慮的訪問類型有：a） 物理訪問，例如，訪問辦公室，計(jì)算機(jī)機(jī)房，檔案室；b）邏輯訪問，例如，訪問組織的數(shù)據(jù)庫，信息系統(tǒng)?！?訪問的原因有許多原因可以授予第三方訪問。例如，向組織提供服務(wù)卻不在現(xiàn)場的第三方，可以授予物理和邏輯訪問權(quán)，諸如：a） 硬件和軟件支持人員，他們需要訪問系統(tǒng)級或低級別的應(yīng)用功能度；b）貿(mào)易伙伴或聯(lián)合投資者，他們可以交換信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫。在不充分的安全管理情況下，由于第三方訪問，可能把信息置于風(fēng)險(xiǎn)中。若有業(yè)務(wù)需要連接到第三方地址，那么應(yīng)進(jìn)行風(fēng)險(xiǎn)評估，以標(biāo)識(shí)出特定控制的任何要求。要考慮到所要求的訪問類型、信息的價(jià)值、第三方所利用的控制以及這種訪問牽連到該組織的信息安全?！?現(xiàn)場合同方在其合同中所定義的一段時(shí)間內(nèi)位于現(xiàn)場的第三方也可能導(dǎo)致安全弱點(diǎn)?，F(xiàn)場第三方的例子包括：a） 硬件和軟件維護(hù)與支持人員；b）清潔、給養(yǎng)、安全保衛(wèi)和其他外包支持服務(wù)；c） 實(shí)習(xí)學(xué)生或其他短期臨時(shí)工作人員；d）顧問。重要的是要理解需要什么樣的控制來管理第三方對信息處理設(shè)施的訪問。一般來說，由第三方訪問導(dǎo)致的所有安全要求或者內(nèi)部控制應(yīng)在第三方合同反映出來（）。例如，如果對于信息的保密性有特定的需要，可以使用不泄露協(xié)議（）。只有在實(shí)施了適當(dāng)?shù)目刂拼胧┎⒑灦撕w連接和訪問條款的合同之后，第三方才可以訪問信息和信息處理設(shè)施?！?第三方合同中的安全要求涉及第三方訪問組織信息處理設(shè)施的協(xié)議要以包含或引用所有重要要求的正式合同為基礎(chǔ)，以確保符合組織的安全策略和標(biāo)準(zhǔn)。該合同要確保在該組織和第三方之間不存在誤解。至于其供應(yīng)商的賠償問題，各組織應(yīng)自行解決。合同中應(yīng)考慮下列條款：a） 信息安全的通用策略；b）資產(chǎn)保護(hù)，包括：1） 保護(hù)組織資產(chǎn)（包括信息和軟件）的規(guī)程；2） 確定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的規(guī)程；3） 確保在合同截止時(shí)或在合同執(zhí)行期間雙方同意的某一時(shí)段對信息和資產(chǎn)的歸還或銷毀的控制；4） 完整性和可用性；5） 對拷貝和泄露信息的限制；c） 要提供每項(xiàng)服務(wù)的描述；d）服務(wù)的目標(biāo)級別和不可接受的服務(wù)級別；e） 若合適，人員轉(zhuǎn)職的規(guī)定；f） 協(xié)議雙方的相關(guān)義務(wù)；g）關(guān)于法律事件（例如，數(shù)據(jù)保護(hù)法律）的責(zé)任。如果該合同涉及與其他國家的組織的合作，特別要考慮到不同的國家法律體系（）；h）知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（）以及任何協(xié)作性工作的保護(hù)（）；i） 訪問控制協(xié)議，包括：1） 允許的訪問方法，唯一標(biāo)識(shí)符（諸如用戶ID和口令）的控制和使用。2） 用戶訪問和特權(quán)的授權(quán)過程；3） 維護(hù)被授權(quán)使用正在提供的服務(wù)的個(gè)人清單的要求以及他們與這種使用相關(guān)的權(quán)利和特權(quán)是哪些；j） 可驗(yàn)證的性能要求的定義、監(jiān)督和報(bào)告；k）監(jiān)督和撤銷用戶活動(dòng)的權(quán)利；l） 審核合同職責(zé)的權(quán)利或擁有由第三方進(jìn)行這些審核的權(quán)利；m）建立逐級解決問題的過程；在適合的情況下，也應(yīng)考慮意外事故安排；n）關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；o）一種清晰的報(bào)告結(jié)構(gòu)和商定的報(bào)告格式；p） 一種清晰規(guī)定的變更管理過程；q） 任何要求的物理保護(hù)控制和機(jī)制，以確保遵守這些控制；r） 對用戶和管理者在方法、規(guī)程和安全方面的培訓(xùn)；s） 確保防范惡意軟件的控制措施（）；t） 報(bào)告、通知和調(diào)查安全事故和安全違規(guī)的安排；u） 包括具有轉(zhuǎn)包商的第三方?！?外包目的：信息處理的職責(zé)是在外包給其他組織時(shí)維護(hù)信息安全。外包安排應(yīng)在雙方的合同中指出信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的風(fēng)險(xiǎn)、安全控制和規(guī)程?！?外包合同中的安全要求組織的信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的全部或某些部分的管理和控制進(jìn)行外包時(shí)，要在雙方所商定的合同中指出安全要求。例如，合同中要指出：a） 如何滿足法律要求，例如，數(shù)據(jù)保護(hù)法律；b） 有什么樣的安排，可確保外包所涉及的各方（包括轉(zhuǎn)包商）知道其安全職責(zé)；c） 如何維護(hù)和測試該組織的業(yè)務(wù)資產(chǎn)的完整性和保密性；d） 將使用什么樣的物理和邏輯控制來限制和限定已授權(quán)用戶訪問該組織的敏感的業(yè)務(wù)信息；e） 萬一有自然災(zāi)害，如何維護(hù)服務(wù)的可用性；f） 對外包設(shè)備要提供什么等級的物理安全；g） 審核的權(quán)利。該合同要允許在雙方待商定的安全管理計(jì)劃中擴(kuò)充安全要求和規(guī)程。雖然外包合同可能提出某些復(fù)雜的安全問題，但在本實(shí)用規(guī)則中所包括的控制可以用作商定安全管理計(jì)劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。5　 資產(chǎn)分類和控制　 資產(chǎn)的可核查性目的：維持對組織資產(chǎn)的相應(yīng)保護(hù)。所有主要信息資產(chǎn)應(yīng)是可核查的，并且有指定的責(zé)任人。資產(chǎn)的可核查性有助于確保維持相應(yīng)的保護(hù)。對于所有主要資產(chǎn)要標(biāo)識(shí)出責(zé)任人，并且要賦予維護(hù)相應(yīng)控制的職責(zé)。可以授予實(shí)施控制的職責(zé)。可核查性歸于資產(chǎn)的指定責(zé)任人?！?資產(chǎn)清單資產(chǎn)清單有助于確保進(jìn)行有效的資產(chǎn)保護(hù)，并且對于其他業(yè)務(wù)目的，諸如健康與安全、保險(xiǎn)或財(cái)務(wù)（資產(chǎn)管理）的原因，也需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風(fēng)險(xiǎn)管理的重要部分。一個(gè)組織需要能標(biāo)識(shí)出資產(chǎn)和這些資產(chǎn)的相關(guān)價(jià)值和重要性。然后，根據(jù)該信息，一個(gè)組織可以提供與資產(chǎn)的價(jià)值和重要性相稱的保護(hù)等級。每個(gè)信息系統(tǒng)相關(guān)的重要資產(chǎn)都應(yīng)編制清單并加以維持。每一資產(chǎn)應(yīng)清楚地標(biāo)識(shí)，應(yīng)商定其所有權(quán)和安全分類（）以及其當(dāng)前位置（嘗試從丟失或損壞中恢復(fù)時(shí)是重要的）并形成文檔。與信息系統(tǒng)相關(guān)的資產(chǎn)舉例：a） 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文檔，用戶手冊，培訓(xùn)材料，操作或支持規(guī)程，連續(xù)性計(jì)劃，后備運(yùn)行安排，歸檔的信息；b） 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具和實(shí)用程序；c） 物理資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、便攜式計(jì)算機(jī)、調(diào)制解調(diào)器），通信設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)），磁媒體（磁帶和磁盤），其他技術(shù)設(shè)備（電源、空調(diào)裝置），家具，用具；d） 服務(wù)：計(jì)算和通信服務(wù)，一般公用事業(yè)，例如，供暖，照明，能源，空調(diào)?！?信息分類目的：確保信息資產(chǎn)受到相應(yīng)等級的保護(hù)。信息要分類，以指出保護(hù)的需求、優(yōu)先級和程度。信息具有可變的敏感性和重要性。某些項(xiàng)可以要求附加等級的保護(hù)或特別的處理。信息分類體制用來定義一組合適的保護(hù)等級和傳遞特別處理措施的需求?！?分類指南信息的分類及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響，例如，對信息的未授權(quán)訪問或損壞。一般說，給予信息的分類是確定該信息如何予以處理和保護(hù)的簡便方法。信息和處理分類數(shù)據(jù)的系統(tǒng)的輸出要根據(jù)它對組織的價(jià)值和敏感性予以標(biāo)記。根據(jù)它對組織的重要程度對信息進(jìn)行標(biāo)記也可能是合適的，例如根據(jù)它的完整性和可用性。在某一段時(shí)間之后，信息通常不再是敏感的或重要的，例如，當(dāng)該信息已經(jīng)公開時(shí)。過多的分類可能導(dǎo)致不必要的附加業(yè)務(wù)費(fèi)用，上述各方面應(yīng)予以考慮。分類指南要預(yù)先考慮并允許任何給定的信息項(xiàng)的分類在全部時(shí)間內(nèi)不必固定，并且根據(jù)預(yù)先確定的策略加以變更（）。對于分類種類的數(shù)目和從其使用中獲得的好處要予以考慮。過度復(fù)雜的方案可能對使用不方便和不經(jīng)濟(jì)，或許是不實(shí)際的。在解釋其他組織文檔上的分類標(biāo)記應(yīng)小心，因?yàn)槠渌M織可能對于相同或類似命名的標(biāo)記有不同的定義。定義信息項(xiàng)（例如，對文檔，數(shù)據(jù)記錄，數(shù)據(jù)文件或軟件）的分類以及周期性評審該分類的職責(zé)仍然屬于信息的始發(fā)者或指定的擁有者?！?信息標(biāo)記和處理重要的是，按照組織所采納的分類方案對信息標(biāo)記和處理定義一組合適的規(guī)程。這些規(guī)程需要涵蓋物理和電子格式的信息資產(chǎn)。對每種分類，要定義處理規(guī)程，以涵蓋下列信息處理活動(dòng)類型：a） 拷貝；b） 存儲(chǔ)；c） 郵政、傳真和電子郵件的傳輸；d） 話音傳輸，包括移動(dòng)電話、話音郵件、應(yīng)答機(jī)；e） 銷毀（數(shù)據(jù)結(jié)構(gòu)）；系統(tǒng)的輸出含有了分類為敏感的或重要的信息應(yīng)在該輸出中攜帶合適的分類標(biāo)記。待考慮的項(xiàng)目包括打印報(bào)告、屏幕顯示、記錄媒體（磁帶、磁盤、CD、盒式磁帶）、電子報(bào)文和文件傳送。物理標(biāo)記一般是最合適的標(biāo)記形式。然而，某些信息資產(chǎn)（諸如電子形式的文檔等）在物理上不能做標(biāo)記，而需要使用電子標(biāo)記手段。6　 人員安全　 崗位設(shè)定和人力資源的安全目的：減少人為差錯(cuò)、盜竊、欺詐或?yàn)E用設(shè)施的風(fēng)險(xiǎn)。在招聘階段要指出安全職責(zé)，要包含在合同中并在個(gè)人聘用期間予以監(jiān)督。要對可能的新成員進(jìn)行充分的篩選，特別對敏感性崗位的成員（）。所有雇員和信息處理設(shè)施的第三方用戶要簽署保密（不泄密）協(xié)議?！?在崗位職責(zé)中要包含的安全在合適情況下，在組織的信息安全策略中所列出的安全角色和職責(zé)（），要形成文檔。它們要包括實(shí)施或維護(hù)安全策略的總職責(zé)以及保護(hù)特定資產(chǎn)或執(zhí)行特定安全過程或活動(dòng)的任何特定職責(zé)。　 人員篩選和策略固定職員的鑒定核查要在職務(wù)申請時(shí)進(jìn)行。這包括下列控制：a） 獲得令人滿意的參考資料；b） 申請人履歷的核查（針對完整性和準(zhǔn)確性）；c） 聲稱的學(xué)術(shù)、專業(yè)資格的證實(shí)；d） 獨(dú)立的身份核查（身份證或護(hù)照）。當(dāng)一個(gè)職務(wù)（原先任命的或提升的）涉及到對信息處理設(shè)施進(jìn)行訪問的人時(shí)，特別是，如果這些設(shè)施正在處理敏感信息，例如，財(cái)務(wù)信息或高度保密的信息，那么，該組織還要進(jìn)行信用核查。對于占據(jù)重要職權(quán)位置的職員而言，要周期性地重復(fù)這種核查。對于合同商和臨時(shí)職員要進(jìn)行類似的篩選過程。若這些職員是通過代理提供的，那么，與代理的合同要清晰地規(guī)定代理對篩選的職責(zé)，以及如果未完成篩選或結(jié)果引起懷疑或關(guān)注時(shí)，這些代理需要遵守通知規(guī)程。在新的和無經(jīng)驗(yàn)的職員被授權(quán)訪問敏感系統(tǒng)時(shí)，管理層要評價(jià)對他們所要求的監(jiān)督。所有職員的工作須經(jīng)此類職員中更資深成員周期性評審和批準(zhǔn)過程。管理者要了解其職員的個(gè)人環(huán)境可能影響其工作。個(gè)人的或財(cái)務(wù)的問題、他們的行為或生活方式的變化、經(jīng)常缺勤以及有壓力或壓抑的跡象都可能導(dǎo)致欺詐、盜竊、出錯(cuò)或其他安全隱患。要按照相關(guān)權(quán)限中的合適法律處理這些情況?！?保密性協(xié)議保密性協(xié)議或不泄密協(xié)議用來告知信息是保密的或秘密的。雇員們一般要簽署這樣的協(xié)議，作為聘用他們的最初條款和條件的一部分。應(yīng)要求現(xiàn)有合同（包含保密協(xié)議）中沒有涉及的臨時(shí)職員和第三方用戶在給予訪問信息處理設(shè)施之前簽署保密協(xié)議。當(dāng)聘用或合同的期限有變化時(shí)，特別是，當(dāng)雇員預(yù)期離開該組織或合同到期終止時(shí)，要評審保密協(xié)議。　 雇用條款和條件雇用條款和條件要說明雇員的信息安全職責(zé)。若合適，這些職責(zé)應(yīng)在雇用結(jié)束后繼續(xù)規(guī)定的一段時(shí)間。應(yīng)包括如果雇員漠視安全要求所要采取的行動(dòng)。雇員的合法職責(zé)和權(quán)利（例如，關(guān)于版權(quán)法或數(shù)據(jù)保護(hù)法）要予以闡明并包括在雇用的條款和條件內(nèi)。也要包括雇主的數(shù)據(jù)分類和管理的職責(zé)。只要合適時(shí)，雇用的條款和條件要說明上述這些職責(zé)擴(kuò)充到組織辦公地點(diǎn)之外以及