【正文】 對(duì)信息安全的定義，其總體目標(biāo)和范圍，安全作為信息分享確保機(jī)制的重要性 支持信息安全目標(biāo)和原則的管理意向聲明 對(duì)安全政策、原則、標(biāo)準(zhǔn)和應(yīng)達(dá)到要求的簡(jiǎn)要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對(duì)病毒和其它有害軟件的預(yù)防和檢測(cè)； 4）持續(xù)運(yùn)營(yíng)管理； 5）違反安全政策的后果等； 信息安全管理的總體和具體權(quán)責(zé)的定義，包括安全事故回報(bào)等； 用以支持政策的文獻(xiàn)援引；例如，適用于具體信息系統(tǒng)的更詳細(xì)的安全政策和流程，或使用者應(yīng)當(dāng)遵守的安全條例等； 本政策應(yīng)以恰當(dāng)、易得、易懂的方式向單位的標(biāo)的使用者進(jìn)行傳達(dá)。 風(fēng)險(xiǎn)管理 以可以接受的成本，對(duì)影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行辨認(rèn)、控制、減少或消除的過程 三、安全政策 信息安全政策 目標(biāo)：為信息安全提供管理指導(dǎo)和支持。 保密性被定義為確保唯有經(jīng)過授權(quán)的人員方可存取信息。因此，有必要適時(shí)加以調(diào)整。應(yīng)當(dāng)注意的是，盡管本文件所述的管制手段很重要，但所有手段的適用性仍然取決于具體的當(dāng)事情形。其細(xì)節(jié)在下述的“信息安全起始點(diǎn)”中將加以詳細(xì)描述。對(duì)許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。管制手段可從本文件或別的管控手冊(cè)中選擇；還可以設(shè)計(jì)新管控辦法來滿足具體的需求。評(píng)估風(fēng)險(xiǎn)和選擇管制手段的過程可能需要重復(fù)幾次，以便涵蓋單位的不同部分或單個(gè)的信息系統(tǒng)。 評(píng)估安全風(fēng)險(xiǎn) 安全要求是通過對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估而確認(rèn)的。在這方面，主要有三個(gè)來源： 第一個(gè)來源是對(duì)單位面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估。同時(shí)，也要求供貨商、客戶和股東的參與。 許多信息系統(tǒng)本身的設(shè)計(jì)就很不安全。破壞的產(chǎn)生來源，如計(jì)算機(jī)病毒、黑客襲擊和拒絕服務(wù)攻擊等已經(jīng)變得越來越普遍、更具野心和復(fù)雜。必須建立此類管制手段來確保各單位的具體安全目標(biāo)得以實(shí)現(xiàn)。信息安全就是保護(hù)信息免受來自各方面的眾多威脅，從而使單位能夠進(jìn)行持續(xù)經(jīng)營(yíng)，使其對(duì)經(jīng)營(yíng)的危害降至最小程度，并將投資和商業(yè)機(jī)會(huì)得以最大化。 信息可以許多形式存在－可以印在或?qū)懺诩埳希噪娮臃绞竭M(jìn)行儲(chǔ)存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉(zhuǎn)述。 為何需要信息安全？ 信息和信息支持程序、系統(tǒng)及網(wǎng)絡(luò)是重要的經(jīng)營(yíng)資產(chǎn)。 對(duì)信息系統(tǒng)和服務(wù)的依賴表明單位在安全威脅面前已越來越脆弱。通過技術(shù)手段達(dá)到的安全很有限，因此要通過恰當(dāng)?shù)墓芾砗土鞒碳右灾С?。單位外部的專家建議有時(shí)也很必要。通過風(fēng)險(xiǎn)評(píng)估，可以確認(rèn)單位的資產(chǎn)所面臨的威脅，評(píng)估其弱項(xiàng)和危險(xiǎn)發(fā)生的可能性，并對(duì)其潛在的沖擊加以估計(jì)。管制方面的支出需要和安全失控時(shí)產(chǎn)生的危害進(jìn)行平衡和比較。 對(duì)安全風(fēng)險(xiǎn)和實(shí)施的管制要進(jìn)行定期回顧，以便 － 考慮運(yùn)營(yíng)要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認(rèn)所采取的管制手段仍然有效恰當(dāng) 根據(jù)以前評(píng)估的結(jié)果和管理層能夠接受的風(fēng)險(xiǎn)程度，上述回顧應(yīng)當(dāng)按不同程度開展。管理風(fēng)險(xiǎn)有許多不同的辦法，本文件列出了一些常用的手段。 管 制的選擇應(yīng)當(dāng)基于相對(duì)風(fēng)險(xiǎn)而言執(zhí)行管制時(shí)的成本。 信息安全起始點(diǎn) 幾條管制手段作為指導(dǎo)原則提供了信息安全執(zhí)行方面的起始點(diǎn)。因此，上述的步驟雖然是很好的起點(diǎn)，它并不取代基于具體風(fēng)險(xiǎn)評(píng)估而導(dǎo)出的管制手段 。 一、信息安全范圍 此部分針對(duì)各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。 完整性被定義為保護(hù)信息和信息加工方法的準(zhǔn)確和完全。 管理層應(yīng)制定一套清晰的指導(dǎo)原則，并以此明確表明其對(duì)信息安全及在單位內(nèi)部貫徹實(shí)施信息安全政策的支持和承諾。 審核與評(píng)估 本政策要求有專人按既定程序?qū)ζ溥M(jìn)行定期檢討和審訂。 同時(shí)，應(yīng)建立適當(dāng)?shù)男畔踩芾砦瘑T會(huì)對(duì)信息安全政策進(jìn)行審批，對(duì)安全權(quán)責(zé)進(jìn)行分配，并協(xié)調(diào)單位內(nèi)部安全的實(shí)施。 信息安全管理委員會(huì) 信息安全是管理團(tuán)隊(duì)各成員共同承擔(dān)的責(zé)任 。 部門間協(xié)調(diào) 在較大的單位內(nèi)，有必要建立一個(gè)由各個(gè)部門管理代表組成的跨功能信息安全委員會(huì)來協(xié)調(diào)信息安全的實(shí)施。對(duì)各項(xiàng)有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運(yùn)營(yíng)計(jì)劃，也要加以明確定義。 信息資產(chǎn)的負(fù)責(zé)人可將其安全權(quán)責(zé)代理給各部經(jīng)理或服務(wù)提供方，但他對(duì)資產(chǎn)的安全仍負(fù)有最終的責(zé)任，并要求能確認(rèn)代理權(quán)沒有被濫用或誤用。 如必要，對(duì)軟件和硬件進(jìn)行檢查，確保其和其它系統(tǒng)部件向匹配。 專業(yè)信息安全顧問 許多單位可能需要專業(yè)信息安全顧問。擔(dān)此職務(wù)的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗(yàn)以外的建議。 如懷疑出現(xiàn)安全事故或漏洞，應(yīng)盡早向信息安全顧問咨詢，以獲得專家指導(dǎo)或調(diào)查資源。 安全信息的交換要加以嚴(yán)格限制，確保單位的保密信息不被傳給沒有經(jīng)過授權(quán)的人員。 外部存取的安全管理 目標(biāo)：外來單位存取單位內(nèi)部信息及信息處理設(shè)施時(shí)的安全管理。 外方存取可能還會(huì)涉及到別的參與方。比如，跨網(wǎng)絡(luò)存取的風(fēng)險(xiǎn)和物理存取的風(fēng)險(xiǎn)是完全不同的。同時(shí)，要考慮存取的類別、信息的價(jià)值、第三方使用的管制手段，以及讓他方接觸本單位信息的可能后果。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見 ） 在相應(yīng)管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設(shè)備。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護(hù)，包括 1）保護(hù)單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時(shí)間點(diǎn)歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標(biāo)的服務(wù)水準(zhǔn)和不可接受的服務(wù)水準(zhǔn) 人員調(diào)動(dòng)的規(guī)定 合同雙方各自的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護(hù)方面的法規(guī)，要特別考慮到在合同牽涉到 多國(guó)組織件合作時(shí)各國(guó)法律體系的不同（見 ） 知識(shí)產(chǎn)權(quán)和版權(quán)的分配（見 ）及合作成果的保護(hù)（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標(biāo)記的運(yùn)用如使用者身份證和密碼； 2）對(duì)使用者存取和權(quán)限的授權(quán)過程； 3）要求準(zhǔn)備一份批準(zhǔn)使用服務(wù)的個(gè)人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評(píng)判標(biāo)準(zhǔn)并對(duì)其進(jìn)行監(jiān)督和回報(bào) 監(jiān)督、撤銷使用者活動(dòng)的權(quán)力 對(duì)合同權(quán)責(zé)進(jìn)行審計(jì)或指定別人對(duì)其審計(jì)的權(quán)力 建立解決問題的升級(jí)流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護(hù)方面的責(zé) 任 清晰的回報(bào)結(jié)構(gòu)和業(yè)經(jīng)同意的回報(bào)格式 清晰具體的變化管理流程 確保管制手段得以實(shí)施的物理保護(hù)管制手段和機(jī)制 對(duì)使用者和管理者進(jìn)行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報(bào)、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標(biāo)：委外加工處理時(shí)相關(guān)信息的安全管理。本合同應(yīng)當(dāng)允許雙方在安全管理計(jì)劃中對(duì)安全要求和流程進(jìn)行擴(kuò)展。 對(duì)資產(chǎn)的負(fù)責(zé)制度將確保對(duì)其進(jìn)行有效的保護(hù)。編 制資產(chǎn)盤點(diǎn)的流程是風(fēng)險(xiǎn)管理的重要方面。每個(gè)資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認(rèn)并登記。有些信息需要額外的保護(hù)和處置。要對(duì)數(shù)據(jù)分類系統(tǒng)的信息和輸出進(jìn)行標(biāo)示，以決定此類信息對(duì)單位而言其價(jià)值和敏感度的級(jí)別。分類知道大綱應(yīng)當(dāng)預(yù)測(cè)并承認(rèn)信息分類有時(shí)間性并歲政策變化而變化這一事實(shí)（見 ）。 對(duì)信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來的的制造者或指定的主管人員來完成。此標(biāo)示要求能夠反應(yīng)根據(jù) 條款進(jìn)行分類的類別。 六、 個(gè)人信息安全守則 工作執(zhí)掌及資源的安全管理 目標(biāo)：降低錯(cuò)誤、偷竊、欺騙 或設(shè)備誤用的風(fēng)險(xiǎn)。 工作權(quán)責(zé)涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見 ）。對(duì)握有大權(quán)的員工此類信用調(diào)查更要定期開展。對(duì)所有員工的工作都要進(jìn)行定期審核，審核審批的程序有員工中的某位資深人士來制定。 保密協(xié)議 保密協(xié)議的目的是對(duì)信息的保密性加以說明。 員工守則 該守則應(yīng)載明雇員在信息安全方面的職責(zé)。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。 信息安全的教育和培訓(xùn) 單位的所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面 的教育和培訓(xùn)。 所有員工和合同方都要認(rèn)識(shí)如何回報(bào)影響單位資產(chǎn)安全的不同類型的事故。 安全事故回報(bào) 發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道回報(bào)。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會(huì)發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見 ）。這對(duì)他們自身有益處，因?yàn)樗麄冞M(jìn)行論證的行為有可能被誤認(rèn)為是潛在地錯(cuò)誤使用系統(tǒng)。如需要對(duì)設(shè)備進(jìn)行檢查，在重新啟動(dòng)之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。建議采用清桌和清屏政策來降低對(duì)文件、媒體和信息處理設(shè)備非法存取或破壞的風(fēng)險(xiǎn)。安全防御帶即指構(gòu)成區(qū)隔的東西，例如是一面墻，一道憑卡片進(jìn)入的門，或值班的接待臺(tái)等。 在通往場(chǎng)所或樓房的通道上還應(yīng)當(dāng)配備值班接待臺(tái)或其它類似機(jī)構(gòu)，確保只有經(jīng)過授權(quán)的人員才能得以靠近通往上述場(chǎng)所的通道?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。同時(shí)使用身份識(shí)別管制手段，如刷卡或個(gè)人身份 號(hào)碼等對(duì)所有準(zhǔn)入進(jìn)行授權(quán)或認(rèn)證。 信息安全辦公室、處所、設(shè)備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內(nèi)的幾間房間，其本身可以上鎖，也可以內(nèi)置上鎖的保險(xiǎn)柜或保險(xiǎn)箱。 可考慮如下的管制手段： 關(guān)鍵設(shè)備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設(shè)置暗指此處有信息處理活動(dòng)的標(biāo)牌或標(biāo)記。無人區(qū)特別要保持隨時(shí)警戒。 把危險(xiǎn)或易燃品保存到一個(gè)離安全區(qū)適當(dāng)安全距離的地方。這些包括針對(duì)在安全區(qū)工作的人員或第三方的管制，也包括對(duì)其活動(dòng)的管制。 應(yīng)限制第三方輔助服務(wù)人員進(jìn)入安全區(qū)或敏感信息處理設(shè)備，只在必要時(shí)才許其進(jìn)入。 交接區(qū)的隔離 對(duì)交接區(qū)進(jìn)行管制；如有必要，將其與信息處理設(shè)施進(jìn)行隔離，并避免未經(jīng)授權(quán)的進(jìn)入。 在交接區(qū)內(nèi)門敞開的情況下，交接區(qū)外門應(yīng)保持關(guān)閉狀態(tài)。 設(shè)備應(yīng)從物理上防止受到安全威脅或環(huán)境上的破壞。 設(shè)備座落及防護(hù) 對(duì)設(shè)備座落加以保護(hù)，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經(jīng)授權(quán)的進(jìn)入。 采取管制手段來降低潛在威脅的風(fēng)險(xiǎn)，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定。 電力供應(yīng) 使設(shè)備避免斷電或其它供電方面的問題。對(duì)續(xù)電器要定期檢查其儲(chǔ)電量，并按制造商的指導(dǎo)對(duì)其進(jìn)行測(cè)試。 此外，要在設(shè)備室的緊急出口處安裝緊急電源開關(guān)，用作緊急情況下迅速關(guān)閉電源?？煽紤]如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護(hù)措施。保險(xiǎn)條例的所有要求都要遵守?？煽紤]采用如下的指導(dǎo)原則： 從單位帶出的設(shè)備或媒介在公共場(chǎng)合要有人照看。 諸如盜竊、損壞和遺失等安全風(fēng)險(xiǎn)在各個(gè)地方的 程度不同，因此在各地要因地制宜地制定防護(hù)措施。 所有存有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存的敏感信息和授權(quán)專用軟件已被清除或覆蓋。采取管制手段將損失或毀壞的風(fēng)險(xiǎn)降至最低。 留在桌面上的信息很易于被盜，或在發(fā)生水災(zāi)、火災(zāi)、爆炸時(shí)被毀壞。 下班后，要把復(fù)印機(jī)鎖起來（或加以保護(hù)禁止其它方式的非法使用）。要進(jìn)行場(chǎng)地檢查以檢測(cè)資產(chǎn)是否被非法挪用。這包括開發(fā)適當(dāng)?shù)牟僮髦笇?dǎo)和事故反應(yīng)流程。 流程要規(guī)定每個(gè)工作的具體實(shí)行指示，包括： 信息的加工和處理 日程的要求，包括和其 它系統(tǒng)的相互依存，最早的工作起始點(diǎn)及最晚的工作結(jié)束日期等 關(guān)于處理工作過程當(dāng)中出現(xiàn)的錯(cuò)誤或其它特殊條件的指示，包括對(duì)系統(tǒng)設(shè)備的使用限制等（參見 ） 出現(xiàn)預(yù)料之外的操作或技術(shù)困難時(shí)尋求支持的聯(lián)絡(luò)方式 特別輸出處理指示，例如如何使用特別的文具或機(jī)密輸出的管理等，包括對(duì)錯(cuò)誤輸出的安全處理 出現(xiàn)系統(tǒng)癱瘓時(shí)的系統(tǒng)重新啟動(dòng)和恢復(fù)流程 和信息處理及通訊設(shè)備有關(guān)的系統(tǒng)整理活動(dòng)要有記錄在案的操作流程，例如電腦啟動(dòng)和關(guān)閉程序、備份、設(shè)備維護(hù)、電腦房和郵件處理管理及安全流程等。對(duì)操作程序變更的管制要尤其嚴(yán)格。特別是要考慮如下的因素： 對(duì)重大變更的辨別和記錄 對(duì)此類變化的潛在影響的評(píng)估 對(duì)提議的變更的正式審批流程 把變更的細(xì)節(jié)通知給所有的相關(guān)人員 追究放棄變更或失敗變更恢 復(fù)責(zé)任的流程 事故管理程序 要建立事故管理責(zé)任流程制度，確保安全事故發(fā)生后作出快速、有效、有序的反應(yīng)（參見 ）。 小單位可能覺得這一管制辦法實(shí)施起來比較困難，但應(yīng)盡量參考運(yùn)用其原則和做法。事件的發(fā)起和其授權(quán)要分開考慮。因此，要針對(duì)操作、測(cè)試和開發(fā)環(huán)境的隔離考慮必要的隔離級(jí)別，以避免操作上的問題。在某些系統(tǒng)內(nèi)，這一能