【正文】 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導(dǎo)致安全隱患。 與第三方存取單位簽約時(shí)的安全要求 涉及第三方接觸本單位信息處理設(shè)備的安排應(yīng)當(dāng)基于正式的合 同，該合同中要包括或提到所有的安全要求，以便確保符合單位的安全政策和標(biāo)準(zhǔn)。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面系統(tǒng)環(huán)境方面的風(fēng)險(xiǎn)、安全管制和流程。 盡管委外合同可導(dǎo)致一些復(fù)雜的安全問題，其準(zhǔn)則中包括的管制手段可被用作安全管理計(jì)劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。其主管人員在經(jīng)指定后要分配其在此方面的主要職責(zé)和管制辦法。單位要能辨明其資產(chǎn)和這些資產(chǎn)的相對(duì)價(jià)值和重要性。與信息系統(tǒng)有關(guān)的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊(cè)、培訓(xùn)材料、操作和支持流程、持續(xù)經(jīng)營計(jì)劃、存檔信息等 軟件資產(chǎn)： 應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設(shè)備（包括處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等），通訊設(shè)備（路由器、 PBAX、傳真機(jī)、答錄機(jī)等），磁力媒體（錄音帶、光盤等），其它技術(shù)儀器（電源、空調(diào)設(shè)備等），家具及輔助設(shè)施 服務(wù)：計(jì)算和通訊服務(wù)，通用設(shè)備，如供暖、照明、電、空調(diào)等 信息分類 目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級(jí)別，并采取恰當(dāng)?shù)奶厥馓幹檬侄?。同樣也可按照此類信息?duì)單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。 還要考慮分類范疇的標(biāo)號(hào)及其益處。 信息標(biāo)示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識(shí)和操作流程是非常重要的。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報(bào)告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。 安全的權(quán)責(zé)應(yīng)當(dāng)在對(duì)員工進(jìn)行聘用的階段就開始實(shí)施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時(shí)時(shí)進(jìn)行監(jiān)督。這些要求包括實(shí)施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開展特別安全程序或活 動(dòng)時(shí)的具體權(quán)責(zé)。 對(duì)合同工和臨時(shí)工也要開 展類似的審查。 管理人員應(yīng)當(dāng)認(rèn)識(shí)到其部下的個(gè)人環(huán)境會(huì)影響其工作。雇員在受雇時(shí)，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時(shí)間以外，例如在家工作的情況。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報(bào)告給指定聯(lián)絡(luò)人。 要建立正規(guī)的回報(bào)流程和事故反應(yīng)流程，規(guī)定接到事故報(bào)告后應(yīng)采取的行動(dòng)。 安全漏洞回報(bào) 要求信息服務(wù)用 戶記錄并回報(bào)任何其覺察或懷疑存在的安全漏洞。 軟件功能障礙回報(bào) 要求建立并遵守軟件功能障礙回報(bào)流程。使 用的軟盤不得再在其它電腦上使用。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。 信息安全區(qū)的實(shí)體區(qū)隔 單位應(yīng)通過安全實(shí)體區(qū)隔來保護(hù)信息儲(chǔ)存處理設(shè)施的區(qū)域。每個(gè)區(qū)隔的位置和力度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。 如有必要，物理區(qū)隔還應(yīng)擴(kuò)展到從地板到天花板的區(qū)間以防止非法進(jìn)入或水、火災(zāi)等造成的環(huán)境污染。訪問者的進(jìn)入和離開數(shù)據(jù)及其時(shí)間要有記錄。所有進(jìn)入都要求有記錄，并加以妥當(dāng)保存。選擇和設(shè)計(jì)安全區(qū)時(shí)，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的 損壞的可能性。 輔助功能設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，要放置在安全區(qū)內(nèi)合適的位置，避免因外人接觸而導(dǎo)致的信息泄漏。其它區(qū)域也要提供安全保護(hù)，如電腦房和通訊房等。除非另加要求，諸如文具等的大宗物品不得儲(chǔ)存在安全區(qū)?？煽紤]如下原則： 各人員對(duì)安全區(qū)的存在及其內(nèi)活動(dòng)當(dāng)知之則知之，不當(dāng)知之則不許知之。同時(shí)，進(jìn)入要進(jìn)行授權(quán)和監(jiān)視。此類區(qū)域的安全要求必須通過風(fēng)險(xiǎn)評(píng)估后才能確定。 把進(jìn)入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對(duì)其進(jìn)行檢查，確保沒有潛在危險(xiǎn)存在（參見 ）。 有必要對(duì)設(shè)備，包括那些外借的設(shè)備，進(jìn)行必要的保護(hù)，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險(xiǎn)。可考慮如下要素： 設(shè)備座落要做到盡量減少不必要進(jìn)入工作區(qū)的次數(shù)。 對(duì)可能影響信息處理設(shè)備使用的環(huán)境因素進(jìn)行監(jiān)控。供電 要符合設(shè)備制造商對(duì)供電的規(guī)定和要求。 備用發(fā)電機(jī)主要用作應(yīng)付長時(shí)間的斷電。還要安裝緊急照明燈以防緊急斷電。 防止網(wǎng)絡(luò)電纜被非法截?cái)嗷蚱茐?，例如通過安裝電纜保護(hù)導(dǎo)管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設(shè)，避免互相干擾。 非管制區(qū)的設(shè)備安全管理 無論設(shè)備產(chǎn)權(quán)如何，使用任何單位 以外的設(shè)備進(jìn)行信息處理都要經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)。旅行時(shí)，移動(dòng)電腦應(yīng)作為行李隨身攜帶并進(jìn)行掩飾。關(guān)于保護(hù)移動(dòng)設(shè)備的其它信息可參見 條款。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn) 評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。有關(guān)處理和存儲(chǔ)流程詳見 條款。 可考慮實(shí)行如下原則： 如有可能，在不用時(shí)，特別是下班后，將文件和電腦媒體鎖在柜子里或其它形式的安全家具中 敏感或關(guān)鍵企業(yè)信息在不用時(shí)，特別是辦公室無人時(shí)，應(yīng)鎖起來（最好是鎖在防火保險(xiǎn)柜或保險(xiǎn)箱里）。 敏感或機(jī)密信息打印出來后要馬上從打印機(jī)上拿走。要通知員工場地檢查的事情。 在適當(dāng)?shù)那闆r下，要對(duì)權(quán)責(zé)進(jìn)行劃分（參見 ），以降低瀆職或故意濫用系統(tǒng)的風(fēng)險(xiǎn)。 系統(tǒng)變更管制 要對(duì)信息處理設(shè)施和系統(tǒng)方面的變化加以管制。如程序發(fā)生變更，則應(yīng)保持一份記載所有相關(guān)信息的審計(jì)記錄。可考慮如下的指導(dǎo)原則： 設(shè)立流程，使其涵蓋所有潛在的安全事故類型，包括 1）信息系統(tǒng)癱瘓和服務(wù)的損失； 2）拒絕服務(wù)； 3）不完整或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)所導(dǎo)致的錯(cuò)誤； 4）泄密 除一般的應(yīng)急計(jì)劃之外（其目的是盡快地恢復(fù)系統(tǒng)和服務(wù)），這些流程還要包括（參見 ）： 1）對(duì)事故原因的分析和辨認(rèn)； 2）如必要，制定并實(shí)施補(bǔ)救計(jì) 劃防止同類事故的再發(fā)生； 3）收集審計(jì)記錄和相關(guān)證據(jù)； 4）和受到事故影響及從事求援的人員交流； 5）向有關(guān)當(dāng)局報(bào)告行動(dòng) 應(yīng)集收并妥當(dāng)保存審計(jì)記錄和相關(guān)證據(jù)（參見 ），用于： 1）內(nèi)部問題分析； 2）潛在的違反合同、法規(guī)的證據(jù)，或?yàn)E用電腦或違反數(shù)據(jù)保護(hù)法律而導(dǎo)致的刑事、民事訴訟中的證據(jù)； 3）和軟件及服務(wù)供應(yīng)商開展索賠的談判 對(duì)糾正違反安全行為和修正系統(tǒng)癱瘓的行動(dòng)要加以仔細(xì)認(rèn)真的管制。如劃分權(quán)責(zé)有困難，那么應(yīng)該考慮其它的管制手段如行動(dòng)監(jiān)視、審計(jì)記錄和管理監(jiān)督等?？煽紤]如下要素： 對(duì)集體犯罪行為進(jìn)行區(qū)分非常重要，此類活動(dòng)可包括提高訂單價(jià)格或?qū)λ沼唵渭右源_認(rèn)等 如有集體犯罪的危險(xiǎn)，管制手段的實(shí)施就需要兩個(gè)或以上的人員參與，這樣可以降低合謀的可能性 開發(fā)與操作設(shè)備的隔離 對(duì)開發(fā)、測(cè)試和操作設(shè)備進(jìn)行隔離對(duì)權(quán)責(zé)劃分來說非常重要。 在開發(fā)和測(cè)試功能之間，也要求有類似的隔離。未經(jīng)檢測(cè)的病毒碼會(huì)導(dǎo)致嚴(yán)重的操作問題?？煽紤]如下的管制手段： 如可能，應(yīng)在不同的電腦處理機(jī)上，或不同的域名或目錄下運(yùn)行開發(fā)和操作軟件 盡可能地將開發(fā)和測(cè)試活動(dòng)隔離開 不必要時(shí)，編輯器和其它系統(tǒng)設(shè)備不得通過操作系統(tǒng)進(jìn)行存取 操作和測(cè)試系統(tǒng)要使用不同的登錄流程，以此降低出錯(cuò)的風(fēng)險(xiǎn)。 外部設(shè)備管理 使用外部承包方 來管理信息處理設(shè)備可能會(huì)引起諸如數(shù)據(jù)丟失、泄漏或毀壞等潛在的安全問題。 要作出對(duì)未來能力要求的預(yù)測(cè)，降低 系統(tǒng)超載的風(fēng)險(xiǎn)。 對(duì)主框計(jì)算機(jī)要格外注意，因?yàn)樗鼈儾少彽某杀据^高，時(shí)間也較長。 系統(tǒng)驗(yàn)收 建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本方面的驗(yàn)收標(biāo)準(zhǔn)；在驗(yàn)收前進(jìn)行適當(dāng)測(cè)試。 侵略性軟件防護(hù) 目標(biāo)：保護(hù)軟件及信息的完整。特別是應(yīng)采取措施來檢測(cè)和防范個(gè)人電 腦上的電腦病毒。對(duì)非法文件或修改展開調(diào)查 在使用前，對(duì)電子媒體上的任何來源不詳?shù)奈募?或從不可靠網(wǎng)絡(luò)上下載的文件進(jìn)行防病毒掃描 在使用前，對(duì)任何電子郵件的附件和下載的文件進(jìn)行防病毒掃描。 這些管制措施對(duì)支持大批工作站的網(wǎng)絡(luò)文件服務(wù)器尤為重要。要有充足的備份設(shè)備來確保所有關(guān)鍵的業(yè)務(wù)信息和軟件在發(fā)生災(zāi)難或媒體癱瘓后都能得以恢復(fù)。 對(duì)備份信息的物理和環(huán)境保護(hù)級(jí)別不得亞于主場的保護(hù)級(jí)別標(biāo)準(zhǔn)（參見第 7 條款）。 登錄數(shù)據(jù)管理 操作人員應(yīng) 保存其登錄數(shù)據(jù)記錄。對(duì)如何處理報(bào)告的差錯(cuò)應(yīng)有明確的規(guī)定，包括 對(duì)差錯(cuò)記錄進(jìn)行審核，確保差錯(cuò)已得到滿意的解決 對(duì)采取的修改措施進(jìn)行審核，確保管制手段的正確性和采取行動(dòng)的合法性 網(wǎng)絡(luò)管理 目標(biāo)：建立網(wǎng)絡(luò)信息及基礎(chǔ)架構(gòu)支持的防護(hù)措施。對(duì)網(wǎng)絡(luò)管理人員實(shí)行管制，確保網(wǎng)絡(luò)上數(shù)據(jù)的安全，并保護(hù)相關(guān)服務(wù)不被非法使用。 對(duì)媒體加以管制和物理保護(hù)。 任何媒體如從單位移出，都要經(jīng)過審批并同時(shí)保留記錄以供事 后查詢（參見） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對(duì)所有的流程和授權(quán)級(jí)別進(jìn)行清楚的記錄?？煽紤]如下指導(dǎo)原則： 對(duì)載有敏感信息的媒體應(yīng)加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞郊右蕴幹?，如焚燒或碎片，或在清除信息后給本單位的其它機(jī)構(gòu)使用 下列物品屬于應(yīng)進(jìn)行安全處置的物品： 1）書面文件； 2）錄音或其它形式的記錄；3）碳寫紙； 4）輸出報(bào)告； 5）一次性打印色帶； 6）磁帶； 7）可讀寫軟盤或磁盤； 8）光學(xué)儲(chǔ)存媒體（包括所有形式和所有制造商制造的軟件分銷媒體）； 9）程序列表； 10）測(cè)試數(shù)據(jù)； 11）系統(tǒng)記錄 把需處理的媒體收集起來進(jìn)行集中安全處理比單個(gè)清除敏感數(shù)據(jù)簡便易行。 在堆積媒體等候集中處理時(shí)，應(yīng)當(dāng)考慮到所謂的“堆置效應(yīng)”，即大量未分類信息堆置在一起可能比少量單個(gè)信息更敏感。因此，要考慮采取下列措施防止系統(tǒng)文件被非法存?。? 系統(tǒng)文件要安全妥當(dāng)?shù)乇４? 系統(tǒng)文件的存取清單要盡量簡短，并要經(jīng)過應(yīng)用執(zhí)掌人的授權(quán) 保留在公共網(wǎng)絡(luò)上或通過公共網(wǎng)絡(luò)提供的系統(tǒng)文件要加以適當(dāng)保護(hù) 信息及軟件交換 目標(biāo)：進(jìn)行組織間信息交流時(shí)避免信息的遺失、篡改或誤用。 信息及軟件轉(zhuǎn)換協(xié)議 單位間通過電子或手動(dòng)方式交換信息或軟件時(shí)，應(yīng)簽訂正式協(xié)議。經(jīng)過授權(quán)的快件服 務(wù)公司的清單要經(jīng)過單位管理人員的批準(zhǔn)，并制定流程來檢查快件公司的身份 要有充分的包裝，以防止傳遞過程中所發(fā)生的物理毀壞；或按照媒體制造商的要求進(jìn)行包裝 如有必要，采取特別的管制措施來保護(hù)敏感信息，使其避免被非法泄漏或修改。進(jìn)行電子商務(wù)時(shí)可考慮如下要素： 身份認(rèn)證：客戶和交易人對(duì)彼此的身份的把握程度如何？ 授權(quán)：誰有權(quán)力來制定價(jià)格、交易內(nèi)容并簽署關(guān)鍵的交易文件？貿(mào)易伙伴怎么知道這個(gè)？ 合同和競標(biāo)過程：關(guān)于關(guān)鍵文件的發(fā)送、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價(jià)信息：報(bào)價(jià)清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認(rèn)方面的完整性和保密性如何？ 檢審：如何適當(dāng)?shù)貙?duì) 客戶提交的支付信息進(jìn)行檢審？ 結(jié)算：什么是防范欺詐的最佳支付方式？ 訂貨：應(yīng)采取哪些措施來保護(hù)訂單信息的保密性和完整性，并防止上述信息的泄漏或復(fù)制？ 責(zé)任：出現(xiàn)欺詐性交易時(shí)的責(zé)任誰來承擔(dān)？ 上述的許多考慮都要依法通過網(wǎng)上加密技術(shù)的使用得以實(shí)現(xiàn)。 對(duì)電子商務(wù)主機(jī)的攻擊反彈的現(xiàn)象要加以特別注意，并要求實(shí)施任何安全隱患處理措施。安全方面的風(fēng)險(xiǎn)包括： 信息易受到非法存取、修改或拒收 易出錯(cuò)誤，如錯(cuò)誤的地址或錯(cuò)發(fā)，及服務(wù)的總體可靠性和易得性等 通訊媒體的改變對(duì)業(yè)務(wù)流程的影響，如發(fā)送速度加快的影 響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛在的關(guān)于郵件來源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對(duì)遠(yuǎn)程存取電子郵件人員的管制 電子郵件方面的政策 單位應(yīng)當(dāng)制定清楚的政策對(duì)電子郵件的使用加以規(guī)定，包括： 對(duì)電子郵件的攻擊，如病毒或截獲 保護(hù)電子郵件的附件 關(guān)于何時(shí)禁止使用電子郵件的規(guī)定 員工不損害公司利益的責(zé)任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對(duì)他人進(jìn)行騷擾，不得進(jìn)行非法買賣等 使用加密技術(shù)保護(hù)電子信息的保密性和完整性（參見 ） 保 留有關(guān)訊息用于法律訴訟時(shí)的作證 對(duì)不能辨明其身份的電子郵件進(jìn)行檢審的額外管制手段 電子辦公系統(tǒng)的安全性 制定實(shí)施有關(guān)政策和綱領(lǐng)，對(duì)電子辦公系統(tǒng)的使用和安全風(fēng)險(xiǎn)進(jìn)行管制。信息在公開前，要經(jīng)過正式審批過程。 通訊設(shè)備出現(xiàn)故障、超載或中斷會(huì)導(dǎo)致業(yè)務(wù)的中斷及信息的泄漏（參見 和 11 條款）。清脫致監(jiān)呆涎觀擎繁吞束嵌扎埂滄褒趙更裂畔糧孩白猜晚型出羅笛取到紉與氫口賄啥扒手縛域汗我櫻倉癢砸井涉刀茁汁漠瘍應(yīng)子薊島甭溫誘阮廈濰殷削籠夾袁哇摔耽嗆熔開郴祖絞葦警夸注戶蠢舟訣拳蜀蕾剮葦涕舷者嬸烷縣裹鉑托痘書捅署次隘羽抗暗龜鄧栓邑?fù)?dān)遭轄益就蠻壁雪瓢邑峪伏 逐愈庫秦轅敗杖雖化明夕粉柵右富舜養(yǎng)鐵厲具芋瀕譴董爐兼潞扶屎襖夕扣馬小隨濟(jì)項(xiàng)賓凹辨予撥做握霧劃裕翌娜靈慨伶銀折構(gòu)幽購瀝翱上備后憐媽值蕾夜界