【正文】 信息安全審 核的獨(dú)立性 信息安全政策文件規(guī)定了信息安全的政策和權(quán)責(zé)。 第三方接觸本單位的信息處理設(shè)備要對其進(jìn)行管制。為此，和第三方簽訂的合同中還應(yīng)涵蓋對此授權(quán)的指定及其存取的條件。應(yīng)考慮的存取類別包括： 物理存取，如辦公室、電腦房、檔案柜等 邏輯存取，如單位的數(shù)據(jù)庫、信息系統(tǒng)等 存取的原因 允許第三方存取可能有若干原因。 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導(dǎo)致安全隱患。 與第三方存取單位簽約時的安全要求 涉及第三方接觸本單位信息處理設(shè)備的安排應(yīng)當(dāng)基于正式的合同，該合同中要包括或提到所有的安全要求，以便確保符合單位的安全政策和標(biāo)準(zhǔn)。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面系統(tǒng)環(huán)境方面的風(fēng)險、安全管制和流程。 盡管委外合同可導(dǎo)致一些復(fù)雜的安全問題，其準(zhǔn)則中包括的管制手段可被用作安全管理計劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。其主管人員在經(jīng)指定后要分配其在此方面的主要職責(zé)和管制辦法。單位要能辨明其資產(chǎn)和這些資產(chǎn)的相對價值和重要性。與信息系統(tǒng)有關(guān)的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊、培訓(xùn)材料、操作和支持流程、持續(xù)經(jīng)營計劃、存檔信息等 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設(shè)備（包括處理器、顯示器、 筆記本電腦、調(diào)制解調(diào)器等），通訊設(shè)備（路由器、 PBAX、傳真機(jī)、答錄機(jī)等），磁力媒體（錄音帶、光盤等），其它技術(shù)儀器（電源、空調(diào)設(shè)備等），家具及輔助設(shè)施 服務(wù)：計算和通訊服務(wù)，通用設(shè)備，如供暖、照明、電、空調(diào)等 信息分類 目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級別，并采取恰當(dāng)?shù)奶厥馓幹檬侄?。同樣也可按照此類信息對單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。 還要考慮分類范 疇的標(biāo)號及其益處。 信息標(biāo)示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識和操作流程是非常重要的。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。 安全的權(quán)責(zé)應(yīng)當(dāng)在對員工進(jìn)行聘用的階段就開始實(shí)施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時時進(jìn)行監(jiān)督。這些要求包括實(shí)施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開展特別安全程序或活動時的具體權(quán)責(zé)。 對合同工和臨時工也要開展類似的審查。 管理人員應(yīng)當(dāng)認(rèn)識到其部下的個人環(huán)境會影響其工作。雇員在受雇時，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給指定聯(lián)絡(luò)人。 要建立正規(guī)的回報流程和事故反應(yīng)流程，規(guī)定接到事故報告后應(yīng)采取的行動。 安全漏洞回報 要求信息服務(wù)用戶記錄并回報任何其覺察或懷疑存在的安全漏洞。 軟件功能障礙回報 要求建立并遵守軟件功能障礙回報流程。使用的軟盤不得再在其它電腦上使用。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。 信息安全區(qū)的實(shí)體區(qū)隔 單位應(yīng)通過安全實(shí)體區(qū)隔來保護(hù)信息儲存處理設(shè)施的區(qū)域。每個區(qū)隔的位置和力度取決于風(fēng)險評估的結(jié)果。 如有必要，物理區(qū)隔還應(yīng)擴(kuò) 展到從地板到天花板的區(qū)間以防止非法進(jìn)入或水、火災(zāi)等造成的環(huán)境污染。訪問者的進(jìn)入和離開數(shù)據(jù)及其時間要有記錄。所有進(jìn)入都要求有記錄，并加以妥當(dāng)保存。選擇和設(shè)計安全區(qū)時，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的損壞的可能性。 輔助功能設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，要放置在安全區(qū)內(nèi)合適的位置，避免因外人接觸而導(dǎo)致的信息泄漏。其它區(qū)域也要提供安全保護(hù)，如電腦房和通訊房等 。除非另加要求，諸如文具等的大宗物品不得儲存在安全區(qū)?？煽紤]如下原則： 各人員 對安全區(qū)的存在及其內(nèi)活動當(dāng)知之則知之，不當(dāng)知之則不許知之。同時，進(jìn)入要進(jìn)行授權(quán)和監(jiān)視。 此類區(qū)域的安全要求必須通過風(fēng)險評估后才能確定。 把進(jìn)入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對其進(jìn)行檢查，確保沒有潛在危險存在（參見 ）。 有必要對設(shè)備，包括 那些外借的設(shè)備，進(jìn)行必要的保護(hù)，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險。可考慮如下要素： 設(shè)備座落要做到盡量減少不必要進(jìn)入工作區(qū)的次數(shù)。 對可能影響信息處理設(shè)備使用的環(huán)境因素進(jìn)行監(jiān)控。供電要符合設(shè)備制造商對供電的規(guī)定和要求。 備用發(fā)電機(jī)主要用作應(yīng)付長時間的斷電。還要安裝緊急照明燈以防緊急斷電。 防止網(wǎng)絡(luò)電纜被非法截斷或破壞，例如通過安裝電纜保護(hù)導(dǎo)管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設(shè)，避免互相干擾。 非管制區(qū)的設(shè)備安全管理 無論設(shè)備產(chǎn)權(quán)如何，使用任何單位以外的設(shè)備進(jìn)行信息處理都要經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)。旅行時，移動電腦應(yīng)作為行李隨身攜帶并進(jìn)行掩飾。關(guān)于保護(hù)移動設(shè)備的其它信息可參見 條款。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進(jìn)行風(fēng)險評估，以決定是否對其銷毀、修理或遺棄。有關(guān)處理和存儲流程詳見 條款。 可考慮實(shí)行如下原則： 如有可能，在不用時，特別是下班后，將文件和電腦媒體鎖在柜子里或其它形式的安全家 具中 敏感或關(guān)鍵企業(yè)信息在不用時，特別是辦公室無人時，應(yīng)鎖起來（最好是鎖在防火保險柜或保險箱里）。 敏感或機(jī)密信息打印出來后要馬上從打印機(jī)上拿走。要通知員工 場地檢查的事情。 在適當(dāng)?shù)那闆r下，要對權(quán)責(zé)進(jìn)行劃分（參見 ），以降低瀆職或故意濫用系統(tǒng)的風(fēng)險。 系統(tǒng)變更管制 要對信息處理設(shè)施和系統(tǒng)方面 的變化加以管制。如程序發(fā)生變更，則應(yīng)保持一份記載所有相關(guān)信息的審計記錄。可考慮如下的指導(dǎo)原則： 設(shè)立流程，使其涵蓋所有潛在的安全事故類型，包括 1）信息系統(tǒng)癱瘓和服務(wù)的損失； 2）拒絕服務(wù)； 3）不完整或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)所導(dǎo)致的錯誤； 4）泄密 除一般的應(yīng)急計劃之外（其目的是盡快地恢復(fù)系統(tǒng)和服務(wù)），這些流程還要包括（參見 ）： 1）對事故原因的分析和辨認(rèn)； 2）如必要，制定并實(shí)施補(bǔ)救計劃防止同類事故的再發(fā)生； 3）收集審計記錄和相關(guān)證據(jù)； 4）和受到事故影響及從事求 援的人員交流； 5）向有關(guān)當(dāng)局報告行動 應(yīng)集收并妥當(dāng)保存審計記錄和相關(guān)證據(jù)（參見 ），用于： 1）內(nèi)部問題分析； 2）潛在的違反合同、法規(guī)的證據(jù)，或?yàn)E用電腦或違反數(shù)據(jù)保護(hù)法律而導(dǎo)致的刑事、民事訴訟中的證據(jù)； 3）和軟件及服務(wù)供應(yīng)商開展索賠的談判 對糾正違反安全行為和修正系統(tǒng)癱瘓的行動要加以仔細(xì)認(rèn)真的管制。如劃分權(quán)責(zé)有困難，那么應(yīng)該考慮其它的管制手段如行動監(jiān)視、審計記錄和管理監(jiān)督等。可考慮如下要素： 對集體犯罪行為進(jìn)行 區(qū)分非常重要，此類活動可包括提高訂單價格或?qū)λ沼唵渭右源_認(rèn)等 如有集體犯罪的危險，管制手段的實(shí)施就需要兩個或以上的人員參與，這樣可以降低合謀的可能性 開發(fā)與操作設(shè)備的隔離 對開發(fā)、測試和操作設(shè)備進(jìn)行隔離對權(quán)責(zé)劃分來說非常重要。在開發(fā)和測試功能之間，也要求有類似的隔離。未經(jīng)檢測的病毒碼會導(dǎo)致嚴(yán)重的操作問題。可考慮如下的管制手段： 如可能，應(yīng)在不 同的電腦處理機(jī)上，或不同的域名或目錄下運(yùn)行開發(fā)和操作軟件 盡可能地將開發(fā)和測試活動隔離開 不必要時，編輯器和其它系統(tǒng)設(shè)備不得通過操作系統(tǒng)進(jìn)行存取 操作和測試系統(tǒng)要使用不同的登錄流程，以此降低出錯的風(fēng)險。 外部設(shè)備管理 使用外部承包方來管理信息處理設(shè)備可能會引起諸如數(shù)據(jù)丟失、泄漏或毀壞等潛在的安全問題。 要作出對未來能力要求的預(yù)測，降低系統(tǒng)超載的風(fēng)險。 對主框計算機(jī)要格外注意，因?yàn)樗鼈儾少彽某杀据^高，時間也較長。 系統(tǒng)驗(yàn)收 建立新信息系統(tǒng)、系統(tǒng)升級和新版本方面的驗(yàn)收標(biāo)準(zhǔn)；在驗(yàn)收前進(jìn)行適當(dāng)測試。 侵略性軟件防護(hù) 目標(biāo)：保護(hù)軟件及信息的完整。特別是應(yīng)采取措施來檢測和防范個人電腦上的電腦病毒。對非法文件或修改展開調(diào)查 在使用前，對電子媒體上的任何來源不詳?shù)奈募驈牟豢煽烤W(wǎng)絡(luò)上下載的文件進(jìn)行防病毒掃描 在使用前，對任何電子郵件的附件和下載 的文件進(jìn)行防病毒掃描。 這些管制措施對支持大 批工作站的網(wǎng)絡(luò)文件服務(wù)器尤為重要。要有充足的備份設(shè)備來確保所有關(guān)鍵的業(yè)務(wù)信息和軟件在發(fā)生災(zāi)難或媒體癱瘓后都能得以恢復(fù)。 對備份信息的物理和環(huán)境保護(hù)級別不得亞于主場的保護(hù)級別標(biāo)準(zhǔn)（參見第 7 條款）。 登錄數(shù)據(jù)管理 操作人員應(yīng)保存其登錄數(shù)據(jù)記錄。對如何處理報告的差錯應(yīng)有明確的規(guī)定，包括 對差錯記錄進(jìn)行審核，確保差錯已得到滿意的解決 對采取的修改措施進(jìn)行審核，確保管制手段的正確性和采取行動的合法性 網(wǎng)絡(luò)管理 目標(biāo)：建立網(wǎng)絡(luò)信息及基礎(chǔ)架構(gòu)支持的防護(hù)措施。對網(wǎng)絡(luò)管理人員實(shí)行管制，確保網(wǎng)絡(luò)上數(shù)據(jù)的安全，并保護(hù)相關(guān)服務(wù)不被非法使用。 對媒體加以管制和物理保護(hù)。 任何媒體如從單位移出，都要經(jīng)過審批并同時保留記錄以供事后查詢（參見） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對所 有的流程和授權(quán)級別進(jìn)行清楚的記錄?？煽紤]如下指導(dǎo)原則： 對載有敏感信息的媒體應(yīng)加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞郊右蕴幹茫绶贌蛩槠?，或在清除信息后給本單位的其它機(jī)構(gòu)使用 下列物品屬于應(yīng)進(jìn)行安全處置的物品： 1）書面文件； 2）錄音或其它形式的記錄；3）碳寫紙； 4）輸出報告； 5）一次性打印色帶； 6）磁帶； 7）可讀寫軟盤或磁盤； 8）光學(xué)儲存媒體（包括所有形式和所有制造商制造 的軟件分銷媒體）； 9）程序列表； 10）測試數(shù)據(jù)； 11）系統(tǒng)記錄 把需處理的媒體收集起來進(jìn)行集中安全處理比單個清除敏感數(shù)據(jù)簡便易行。 在堆積媒體等候集中處理時，應(yīng)當(dāng)考慮到所謂的“堆置效應(yīng)”，即大量未分類信息堆置在一起可能比少量單個信息更敏感。因此，要考慮采取下列措施防止系統(tǒng)文件被非法存?。? 系統(tǒng)文件要安全妥當(dāng)?shù)乇４? 系統(tǒng)文件的存取清單要盡量簡短，并要經(jīng)過應(yīng)用執(zhí)掌人的授權(quán) 保留在公共網(wǎng)絡(luò)上或通過公共網(wǎng)絡(luò)提供的系統(tǒng)文件要加以適當(dāng)保護(hù) 信息及軟件交換 目標(biāo)：進(jìn)行組織間信息交流時避免信息的遺失、篡改或誤用。 信息及軟件轉(zhuǎn)換協(xié)議 單位間通過電子或手動方式交換信息或軟件時，應(yīng)簽訂正式協(xié)議。經(jīng)過授權(quán)的快件服務(wù)公司的清單要經(jīng)過單位管理人員的批準(zhǔn)，并制定流程來檢查快件公司的身份 要有充分 的包裝，以防止傳遞過程中所發(fā)生的物理毀壞；或按照媒體制造商的要求進(jìn)行包裝 如有必要，采取特別的管制措施來保護(hù)敏感信息，使其避免被非法泄漏或修改。進(jìn)行電子商務(wù)時可考慮如下要素： 身份認(rèn)證：客戶和交易人對彼此的身份的把握程度如何？ 授權(quán)：誰有權(quán)力來制定價格、交易內(nèi)容并簽署關(guān)鍵的交易文件？貿(mào)易伙伴怎么知道這個？ 合同和競標(biāo)過程：關(guān)于關(guān)鍵文件的發(fā)送、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價信息：報價清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認(rèn)方面的完整性和保密性如何？ 檢審：如何適當(dāng)?shù)貙蛻籼峤坏闹Ц缎畔⑦M(jìn)行檢審？ 結(jié)算：什么是防范欺詐的最佳支付方式？ 訂貨：應(yīng)采 取哪些措施來保護(hù)訂單信息的保密性和完整性，并防止上述信息的泄漏或復(fù)制？ 責(zé)任：出現(xiàn)欺詐性交易時的責(zé)任誰來承擔(dān)？ 上述的許多考慮都要依法通過網(wǎng)上加密技術(shù)的使用得以實(shí)現(xiàn)。 對電子商務(wù)主機(jī)的攻擊反彈的現(xiàn)象要加以特別注意，并要求實(shí)施任何安全隱患處理措施。安全方面的風(fēng)險包括： 信息易受到非法存取、修改或拒收 易出錯誤，如錯誤的地址或錯發(fā)，及服務(wù)的總體可靠性和易得性等 通訊媒體的改變對業(yè)務(wù)流程的影響，如發(fā)送速度加快的影響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛 在的關(guān)于郵件來源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對遠(yuǎn)程存取電子郵件人員的管制 電子郵件方面的政策 單位應(yīng)當(dāng)制定清楚的政策對電子郵件的使用加以規(guī)定，包括： 對電子郵件的攻擊，如病毒或截獲 保護(hù)電子郵件的附件 關(guān)于何時禁止使用電子郵件的規(guī)定 員工不損害公司利益的責(zé)任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對他人進(jìn)行騷擾，不得進(jìn)行非法買賣等 使用加密技術(shù)保護(hù)電子信息的保密性和完整性（參見 ） 保留有關(guān)訊息用于法律訴訟時的作證 對不能辨明其身份的電子郵件進(jìn)行檢審的額外管制手 段 電子辦公系統(tǒng)的安全性 制定實(shí)施有關(guān)政策和綱領(lǐng)，對電子辦公系統(tǒng)的使用和安全風(fēng)險進(jìn)行管制。信息在公開前，要經(jīng)過正式審批過程。 通訊設(shè)備出現(xiàn)故障、超載或中斷會導(dǎo)致業(yè)務(wù)的中斷及信息的泄漏（參見 和 11 條款）