【正文】 ，在組織中成功地實施信息安全保護(hù)，以下因素是非常關(guān)鍵的： a) 反映組織目標(biāo)的安全策略、目標(biāo)以及活動 ； b) 與組織文化 一致的實施安全保護(hù)的方法 ； c) 來自管理層的實際支持和承諾 ； d) 對安全要求、風(fēng)險評估以及風(fēng)險管理的深入理解 ； e) 向全體管理人員和雇員有效地推銷安全的理念 ； f) 向所有雇員和承包商宣傳信息安全策略的指導(dǎo)原則和標(biāo)準(zhǔn) ； g) 提供適當(dāng)?shù)呐嘤?xùn)和教育 ； h) 一個綜合平衡的測量系統(tǒng)，用來評估信息安全管理的執(zhí)行情況和反饋意見和建議，以便進(jìn)一步改進(jìn) 。出現(xiàn)上述情況時，各控制措施之間相互參 照很有用，有利于審計人員和業(yè)務(wù)伙伴檢查是否符合安全指導(dǎo)原則。 信息安全 信息保密性、完整性和可用性的保護(hù) 注意 保密性的定義是確保只有獲得授權(quán)的人才能訪問信息。 管理層應(yīng)制定一個明確的安全策略方向，并通過在整個組織中發(fā)布和維護(hù)信息安全策略，表明自己對信息安全的支持和保護(hù)責(zé)任 。這對組織非常重要，例如： 1) 符合法律和合約的要求； 2) 安全教育的要求 ； 3) 防止并檢測病毒和其它惡意軟件； 4)業(yè)務(wù)連續(xù)性管理； 5) 違反安全策略的后果； d) 確定信息安全管理的一般責(zé)任和具體責(zé)任，包括報告安全事故 ； e) 參考支持安全策略的有關(guān)文 獻(xiàn)，例如針對特定信息系統(tǒng)的更為詳盡的安全策略和方法以及用戶應(yīng)該遵守的安全規(guī)則 。 還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查 ： a) 檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來； b) 控制措施的成本及其業(yè)務(wù)效率的 影響 ； c) 技術(shù)變化帶來的影響 。 根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個組織使用 。 應(yīng)該建立一個管理論壇，確保對安全措施有一個明確的方向并得到管理層的實際支持。 一個管理人員應(yīng)負(fù)責(zé)所有與安全 相關(guān)的活動 。 信息安全策略（請參閱條款 3）應(yīng)提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一般指導(dǎo)原則。 但是，資源管理以及實施控制措施仍由各個管理人員負(fù)責(zé) 。 一定要明確說明各個管理人員所負(fù)責(zé)的范圍；特別是要明確以下范圍 。 信息處理設(shè)施的授權(quán)程序 對于新的信息處理設(shè)施，應(yīng)該制定管理授權(quán)程序。 b) 如果需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。 在聯(lián)網(wǎng)的環(huán)境中，這些控制措施特別重要 。 在這種情況下，我們建議專家負(fù)責(zé)協(xié)調(diào)公司內(nèi)部的知識和經(jīng)驗資源，以確保協(xié)調(diào)一致，并在安全決策方面提供幫助。為得到最高的效率和最好的效果，信息安全顧問可以直接與管理層聯(lián)系。 同樣的，也應(yīng)該考慮加入安全組織和業(yè)界論壇。（參見 ）。 如果存在對第三方訪問的業(yè)務(wù)需求，必須進(jìn)行風(fēng)險評估，以確定所涉及的安全問題和控制要求。 在制定這類合約或考慮信息處理外包時，可以將本標(biāo)準(zhǔn)作為一個基礎(chǔ)。 訪問理由 允許第三方訪問有以下理由 。還需要考慮以下因素：所需的訪問類型、信息的價值、第三方所使用的控制措施以及該訪問對該組織信息的安全性可能帶來的影響 。 通常，第三方訪問會帶來新的安全要求或內(nèi)部控制措施，這些都應(yīng)該在與第三方的合同中體現(xiàn)出來（另請參見 ）。 應(yīng)確保組織和第三方之間對合同內(nèi)容不存在任何歧義。 外包 目標(biāo)： 在將信息處理責(zé)任外包給另一組織時保障信息安全。 合同中應(yīng)該包括 中的列表列出的條款。 所有主要的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。 資產(chǎn)的責(zé)任由資產(chǎn)的指定所有責(zé)負(fù)責(zé)。利用 以上信息，組織可以根據(jù)資產(chǎn)的重要性和價值提供相應(yīng)級別的保護(hù)。 與信息系統(tǒng)相關(guān)聯(lián)的資產(chǎn)示例有： a) 信息資產(chǎn)： 數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性計劃、退守計劃、歸檔信息； b) 軟件資產(chǎn)： 應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序； c) 物質(zhì)資產(chǎn)： 計算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、 通訊設(shè)備（路由器、 PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶和磁盤）、其它技術(shù)設(shè)備（電源 、空調(diào)器）、家具、機(jī)房； d) 服務(wù)： 計算和通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空調(diào)。 有些信息需要加強(qiáng)保護(hù)或進(jìn)行特別對待。應(yīng)按照信息的價值和對于組織的敏感程度，對信息和系統(tǒng)處理分類數(shù)據(jù)的結(jié)果進(jìn)行分類。 分類指導(dǎo)原則預(yù)計到并接受這樣一個事實：信息的分類不是固定不變的，可以根據(jù)預(yù)定策略進(jìn)行更改（參見 ）。對信息進(jìn)行分類，如對文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤進(jìn)行分類，以及對分類定期審查等，仍由該信息的最初所有者或指定所有者負(fù)責(zé)執(zhí)行。 系統(tǒng)輸出結(jié)果包含敏感或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類標(biāo)記（輸出結(jié)果中）。但是，有些信息資產(chǎn)（如電子格式的文檔）不能貼上實際的標(biāo)簽，需要使用電子方式的標(biāo)記 方法。 所有員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密（不公開）協(xié)議。 審查應(yīng)包括以下內(nèi)容： a) 是否有令滿意的個人介紹信，可以由某個組織或個人出具； b) 對申請人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查； c) 對申請人聲明的學(xué)術(shù)和專業(yè)資格進(jìn)行證實； d) 進(jìn)行獨(dú)立的身份檢查（護(hù)照或類似文件）。如果這些員工是代理機(jī)構(gòu)介紹的，在與代理機(jī)構(gòu)的合同中應(yīng)該注明以下事項：代理機(jī)構(gòu)的選拔責(zé)任，以及如果代理機(jī)構(gòu)沒有完整執(zhí)行選拔過程，或選拔結(jié)果有疑問時，代理機(jī)構(gòu)應(yīng)遵循的通知本方的步驟。 個人或財務(wù)上的問題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或痛苦的心情下工作，都會導(dǎo)致欺騙、盜竊、工作出錯或其它安全 問題 。 現(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時性員工和第三方用戶的問題，在允許他們訪問信息處理設(shè)備之前，應(yīng)要求他們簽署一份協(xié)議。條款中 還應(yīng)該包括如果雇員無視安全要求，那么可對其采取措施。 用戶培訓(xùn) 目標(biāo)： 保證用戶了解信息安全存在的威脅和問題，在正常工作中切實遵守組織安全策略。當(dāng)然在此之前，必須授予其訪問信息或服務(wù)的權(quán)限。 他們應(yīng)盡快將觀察到的或可疑的事件報告給事先指定的聯(lián)系人。 應(yīng)該建立一套正式的報告安全事故的步驟以及一套安全事故的響應(yīng)步驟，后者應(yīng)規(guī)定在收到安全事故報告后，應(yīng)該采取的行動。 安全漏洞報告 應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時，立即進(jìn)行記錄并匯報。 軟件故障報告 應(yīng)建立報告軟件故障的程序步驟。 立刻向合適的聯(lián)系人報警。 除非得到授權(quán)，用戶不要試圖刪除可疑的軟件。 這需要使用功能更強(qiáng)的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)（參見 ）。 7 實際和環(huán)境 的安全 安全區(qū) 目標(biāo)： 防止對公司工作場所和信息的非法訪問、破壞和干擾。 對紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險和損害。 安全區(qū)域是用防護(hù)設(shè)備隔開的一塊區(qū)域，例如通過一堵墻、刷卡才能進(jìn)入的控制門或人工值守的前臺。 b) 建筑物或某個地方中存放信息處理設(shè)備的安全區(qū)的位置應(yīng)該非常合理（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開）。 d) 如有必要，可進(jìn)行全方位的防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入安全區(qū)，以及由火災(zāi)和水災(zāi)引起的環(huán)境問題的影響。 應(yīng)考慮以下控制措施。在對所有訪問行為進(jìn)行授權(quán)和驗證時，應(yīng)采用一些強(qiáng)制性的控制措施，如使用帶 PIN 的卡進(jìn)行刷卡。 辦公場所、房屋和設(shè)施的安全保障 安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾 個房間，安全隔離帶本身也可能是加鎖的并包括幾個可加鎖的小房間或保險箱。 應(yīng)考慮以下控制措施。 d) 在沒人的時候，將門窗關(guān)閉，還要注意防止有人從窗戶，特別是只有一層的窗戶就可以進(jìn)入安全區(qū)域。 f) 由組織自己管理的信息處理設(shè)備應(yīng)與由第三方管理的信息處理設(shè)備分開。 26 i) 使應(yīng)急設(shè)備和備份介質(zhì)的存儲位置與主安全區(qū)域保持一個安全距離，以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。 a) 只有在有必要的前提下，才能讓某個個人知道有一個安全區(qū)或安全區(qū)內(nèi)所進(jìn)行的活動。 必須對其訪問行為進(jìn)行授權(quán)和監(jiān)視。 這類區(qū)域的安全要求由風(fēng)險評估的 情況決定。 c) 當(dāng)存放物品的區(qū)域內(nèi)部的門打開時，一定要保證外部的門是安全的。 應(yīng)保證設(shè)備免受安全方面的威脅和環(huán)境的 危害。 設(shè)備選址與保護(hù) 應(yīng)該注重設(shè)備的選址與保護(hù)，減少來自環(huán)境威。 還需要考慮設(shè)備的位置和選址問題。 e) 如果可以（參見 ），在入口處對收下的材料進(jìn)行登記。 a) 只有經(jīng)過確認(rèn)并授權(quán)的人在能從外面進(jìn)入存放物品的區(qū)域。 e) 除非經(jīng)過授權(quán)，不允許使用圖象、視頻、音頻和其它記錄設(shè)備。 c) 關(guān)閉無人使用的安全區(qū)域，每隔一段時間，進(jìn)行一次檢查。 者包括如何控制在安全區(qū)內(nèi)工作的個人和第三方人員，以及如何控制第三方人員在安全區(qū)以內(nèi)的活動。 h) 應(yīng)將危險或易燃材 料存儲在安全的地方，與安全區(qū)保持安全距離。 對無人區(qū)域進(jìn)行 24 小時的報警監(jiān)視。 b) 建筑物應(yīng)該不很顯眼，使人無法察覺該建筑物的用途，在建筑物的內(nèi)外都沒有明顯標(biāo)志表明建筑物內(nèi)進(jìn)行者信息處理活動。也應(yīng)該將各種相關(guān)的健康和安全方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。 c) 要求所有人員佩帶易于辨認(rèn)的標(biāo)識，并鼓勵他們盤問無人陪同的陌生人以及未佩帶標(biāo)識的人。 只有來訪者 有特定的、經(jīng)過授權(quán)的目的時，才能進(jìn)入安全區(qū)，而且還要告訴他們該區(qū)域的安全要求和緊急情況下的行動步驟。 安全區(qū)出入控制措施 25 安全區(qū)應(yīng)該使用適當(dāng)?shù)某鋈肟刂拼胧┯枰员Ｗo(hù)。 c) 設(shè)立一個人工值守的接待區(qū)域或使用其它方法，將對現(xiàn)場或建筑物的實際訪問限制在適當(dāng)?shù)膮^(qū)域中。在需要時，可以考慮并實施以下指導(dǎo)原則和控制措施。 每個防 護(hù)設(shè)備都劃分出一個安全區(qū)，這都提高了整體的保護(hù)效果。 應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。 對那些無視安全工作步驟的雇員來說，這種方法就是一種威懾。 從事故中吸取教訓(xùn) 應(yīng)該采用一種機(jī)制，將事故和故障的類型、 規(guī)模和損失進(jìn)行量化和監(jiān)控。不要將磁盤拿到其它計算機(jī)上使用。 a) 將問題的征兆和屏幕上顯示的消息記錄下來。應(yīng)該告訴用戶，在任何情況下，也不要試圖證明一個可疑安全漏洞。應(yīng)該建立適當(dāng)?shù)姆答伹?，以保證安全事故處理完畢后，報告人能知道該事件的處理結(jié)果。 要妥善處理安全事故，應(yīng)在事故發(fā)生后，盡快收集證據(jù) （參見 ）。 將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報。 信息安全的教育與培訓(xùn) 組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。 條款中還應(yīng)該注明對雇員相關(guān)數(shù)據(jù)進(jìn)行分類和管理方面的責(zé)任。 雇傭條款和條件 雇傭條款和條件應(yīng)該規(guī)定員工的信息安全責(zé)任。 保密協(xié)議 22 簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。 所有員工的工作都應(yīng)由高級員工進(jìn)行定期審查和審核。 對于具有很高權(quán)力的員工，應(yīng)該定期進(jìn)行一次此類檢查。還應(yīng)包括實施和維護(hù)安全策略的總體責(zé)任，以及保護(hù)特殊資產(chǎn)、執(zhí)行特殊特別安 全程序或活動的責(zé)任。 在招聘階段，就應(yīng)該說明安全責(zé)任，將其寫入合同，并在雇用期間進(jìn)行監(jiān)督。需要考慮的問題包括：打印出的報告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、磁盤、 CD、磁盤）、電子消息和文件的傳輸問題。這些步驟應(yīng)包括實際存在的信息和電子形式的信息的標(biāo)記和處理步驟。 過于復(fù)雜的分類會使人感覺非常麻煩，使用起來很不合算或沒有實用價值。 經(jīng)過一段時間后，例如該信息已被公之于眾，信息就變得不那么敏感和重要了。 分類原則 在對信息進(jìn)行分類并制定相關(guān)的保護(hù)性控制措施時，應(yīng)該考慮以下問題：對共享信息或 限制信息共享的業(yè)務(wù)需求，以及與這種需求相關(guān)的業(yè)務(wù)影響，如對信息未經(jīng)授權(quán)的訪問或損害。 應(yīng)該對信息分類，指明其需要、優(yōu)先順序和保護(hù)級別。 應(yīng)該明確確認(rèn)每項資產(chǎn)及其所有權(quán)和安全分類。 編輯資產(chǎn)清單的過程是資產(chǎn)評估的一個重要方面。 應(yīng)確定所有主要資產(chǎn)的所有者，并分配維護(hù)該資產(chǎn)的責(zé)任。 盡管外包合同會帶來一些復(fù)雜的安全問題，本業(yè)務(wù)規(guī)則中的控制措施可以作為一個認(rèn)可安 全管理計劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。 外包合同的安全要求 如果將所有或部分信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面環(huán)境的管理和控制進(jìn)行外包，則應(yīng)在雙方簽定的合同中反映組織的安全要求。在合約中應(yīng)考慮以下條款： a) 信息安全的常規(guī)策略； b) 對資產(chǎn)的保護(hù)，包括： 1) 保護(hù)包括信息和軟件在內(nèi)的組織資產(chǎn)的步驟； 2) 確認(rèn)資產(chǎn)的安全是否受到威脅的步驟，如數(shù)據(jù)丟失或被修改； 3) 相應(yīng)的控制措施，以保證在合同終止時，或在合同執(zhí)行期間某個雙 方認(rèn)可的時間點(diǎn)，將信息和資產(chǎn)歸還或銷毀； 4) 完整性和可用性 ； 5) 嚴(yán)格限制復(fù)制信息和泄露信息； c) 說明每個可提供的服務(wù)； d) 期望的服務(wù)水平和不可接受的服務(wù)水平； e) 在適當(dāng)?shù)臅r候撤換員工的規(guī)定； f) 達(dá)成各方義務(wù)的協(xié)議； g) 與法律事務(wù)相關(guān)的責(zé)任（例如，數(shù)據(jù)保護(hù)法規(guī)）。 只有實施了相應(yīng)的控制措施，并在合同 中明確規(guī)定了連接或訪問的條款，才能允許第三方訪問信息和使用信息處理設(shè)備 。 第三方在現(xiàn)場的情況有： a) 硬件和軟件的支持維護(hù)人員； b) 清潔人員、送餐人員、保安以及其它外包的支持服務(wù)人員； c) 為學(xué)生提供的職位和其它