【正文】 八方的威脅，如計(jì)算機(jī)輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。分布式計(jì)算的趨勢(shì)已經(jīng)削弱了集中管理的效果。信息安全管理至少需要機(jī)構(gòu)全體員工的參與，同時(shí)也應(yīng)讓供應(yīng)商、客戶或股東參與，如果有必要，可以向外界尋求專家的建議。第一個(gè)來源是對(duì)機(jī)構(gòu)面臨的風(fēng)險(xiǎn)的評(píng)估。評(píng)估安全風(fēng)險(xiǎn)安全需求經(jīng)過系統(tǒng)地評(píng)估安全風(fēng)險(xiǎn)而得到確認(rèn)。評(píng)估結(jié)果會(huì)有助于指導(dǎo)和確定合適的管理行動(dòng)和管理信息安全風(fēng)險(xiǎn)的優(yōu)先次序，以及實(shí)施選擇的來抵御這些風(fēng)險(xiǎn)的合適的安全控制。風(fēng)險(xiǎn)評(píng)估一般是首先從高層開始，目的是提高位于高風(fēng)險(xiǎn)區(qū)的資源的優(yōu)先級(jí)，然后在一個(gè)更詳細(xì)的層次上來說明特定的風(fēng)險(xiǎn)。但是，應(yīng)了解到一些安全控制并不適用于每個(gè)信息系統(tǒng)或環(huán)境，并且并不是對(duì)所有的機(jī)構(gòu)都可行。這些控制要么是基于法律的規(guī)定，要么被認(rèn)為是信息安全的常用的最佳實(shí)踐和經(jīng)驗(yàn)。 雖然這里所提到的安全控制都很重要，但選出合適的安全控制應(yīng)考慮機(jī)構(gòu)要面對(duì)的風(fēng)險(xiǎn)。并不是該指南的所有方面和控制都是適用的。目的是為開發(fā)安全標(biāo)準(zhǔn)和有效的安全管理慣例提供一個(gè)公共基礎(chǔ)，并提供在機(jī)構(gòu)之間進(jìn)行交易的信心。 可用性定義為保證被授權(quán)用戶在需要時(shí)能夠訪問到信息和相關(guān)資產(chǎn)。管理層應(yīng)該指定清晰的策略方向及大力支持信息安全，并在全機(jī)構(gòu)推行及維護(hù)信息安全策略。d)信息安全管理的一般和特定責(zé)任的定義，包括報(bào)告安全事件；e)支持策略的文檔的參考說明，例如特別信息系統(tǒng)或安全規(guī)定用戶應(yīng)遵守的更詳盡的安全策略及程序。還應(yīng)該定期安排審查以下內(nèi)容：a)系統(tǒng)所記錄的安全事件的本質(zhì)、次數(shù)及影響所表明的策略的有效性；b)控制對(duì)業(yè)務(wù)效率的影響和成本；c)技術(shù)改變的效果。如有需要，應(yīng)在機(jī)構(gòu)內(nèi)建立一個(gè)信息安全資源庫。一個(gè)管理論壇應(yīng)確保有明確的安全目標(biāo)，及管理層的大力支持。信息安全策略（參見條款3）應(yīng)提供如何分配機(jī)構(gòu)安全角式及責(zé)任的一般指引。信息資產(chǎn)的擁有者應(yīng)把安全責(zé)任委派到個(gè)別經(jīng)理或服務(wù)提供者。注意：有些連接需要批準(zhǔn)3） 使用個(gè)人信息處理設(shè)備處理業(yè)務(wù)信息的任何授權(quán)控制4） 在工作地方使用個(gè)人信息處理設(shè)備會(huì)導(dǎo)致新漏洞的出現(xiàn)，所以應(yīng)經(jīng)過評(píng)估及授權(quán)這些控制對(duì)互聯(lián)環(huán)境特別重要。信息安全顧問應(yīng)負(fù)責(zé)提供信息安全方方面面的意見，他們對(duì)安全威脅的評(píng)估及對(duì)控制的意見會(huì)確定機(jī)構(gòu)信息安全的有效性。應(yīng)與執(zhí)法機(jī)構(gòu)、立法機(jī)關(guān)、信息服務(wù)提供者及電信運(yùn)行商保持聯(lián)系，以保證安全事件發(fā)生后，馬上采取行動(dòng)及取得有關(guān)意見。這樣的檢查可以由內(nèi)部審計(jì)部門、某經(jīng)理或第三方有關(guān)這方面的機(jī)構(gòu)去執(zhí)行，因?yàn)樗麄冇蟹矫娴募夹g(shù)及經(jīng)驗(yàn)。應(yīng)該統(tǒng)一要執(zhí)行的控制并與第三方定義這樣的合同。給于第三方訪問的訪問類型是很特別重要的，例如通過網(wǎng)絡(luò)連接訪問的風(fēng)險(xiǎn)與物理訪問的風(fēng)險(xiǎn)不同。要考慮的有訪問方法、信息的價(jià)值、第三方所采用的控制，以及這樣的訪問對(duì)機(jī)構(gòu)信息安全的影響。合同應(yīng)沒有機(jī)構(gòu)和第三方之間含糊的地方。外包的安排中應(yīng)該在合同中說明風(fēng)險(xiǎn)、安全控制、信息系統(tǒng)的處理過程、網(wǎng)絡(luò)、桌面環(huán)境。合同應(yīng)讓安全要求及程序可以在合同雙方所用意的安全管理計(jì)劃內(nèi)繼續(xù)補(bǔ)充。資產(chǎn)的責(zé)任制保證實(shí)施了適當(dāng)?shù)谋Ｗo(hù)措施。資產(chǎn)清單幫助了解已實(shí)施有效的保護(hù)措施，也可以是為其它業(yè)務(wù)目的而實(shí)施，例如衛(wèi)生及安全、保險(xiǎn)或財(cái)務(wù)（資產(chǎn)管理）的原因。 每一個(gè)信息系統(tǒng)都要有這樣的一份清單，列明重要的資產(chǎn)。信息應(yīng)被分類來確認(rèn)保護(hù)的需求、優(yōu)先及程度。信息的分類及相關(guān)保護(hù)控制的制訂，應(yīng)按業(yè)務(wù)共享及限制信息的需求，和這些需求所關(guān)聯(lián)的業(yè)務(wù)沖擊，例如， 非法進(jìn)入或損壞信息。這也要考慮進(jìn)去，因?yàn)檫^多的分類可能導(dǎo)致不必要的額外業(yè)務(wù)開支。應(yīng)小心如何解釋其它機(jī)構(gòu)的文件上的分類標(biāo)簽，有可能同一種或類似的標(biāo)簽有不同的定義。每一類都有指定的處理程序來定義以下各類的信息處理活動(dòng)：1） 拷貝；2） 儲(chǔ)存；3） 郵遞、傳真及電子郵件方式的傳輸；4） 口頭傳輸，包括移動(dòng)電話、語音郵件，應(yīng)答機(jī)；5） 銷毀。物理標(biāo)簽一般是適當(dāng)?shù)臉?biāo)簽形式，但是，某些信息資產(chǎn)，例如電子形式的文檔，不能物理標(biāo)注，應(yīng)使用電子標(biāo)注。所有員工及第三方用戶在使用信息處理設(shè)備時(shí)，要求簽一份保密協(xié)議。合約及臨時(shí)人員也要經(jīng)過同樣的過濾過程。部門經(jīng)理應(yīng)知道員工的個(gè)人情況會(huì)影響他們的工作。員工應(yīng)簽署這樣的協(xié)議，作為進(jìn)入公司的雇傭協(xié)議的條款。如適當(dāng)，這些責(zé)任應(yīng)在雇傭期滿后連續(xù)性一段時(shí)間，還應(yīng)包括員工如果不領(lǐng)會(huì)安全要求所要采取的行動(dòng)。所有機(jī)構(gòu)的員工，如有關(guān)系，第三方用戶，都要接受適當(dāng)?shù)呐嘤?xùn)，及注意機(jī)構(gòu)策略及程序的定期更新。所有員工及合同員工應(yīng)知道會(huì)影響機(jī)構(gòu)資產(chǎn)安全的不同類別事件（安全破壞、威脅、弱點(diǎn)或錯(cuò)誤工作）的報(bào)告程序。安全事件應(yīng)通過適當(dāng)?shù)墓芾砬辣M快報(bào)告。這些事件可以當(dāng)作安全意識(shí)培訓(xùn)（）的教材，說明事件發(fā)生會(huì)有什么事情發(fā)生、如何反應(yīng)事件，及以后如何避免事件重現(xiàn)（）信息服務(wù)的用戶應(yīng)被要求，要注意及報(bào)告系統(tǒng)或服務(wù)任何明顯的、或可疑的安全弱點(diǎn)或威脅。應(yīng)馬上提醒有關(guān)人員。 應(yīng)由經(jīng)過合格培訓(xùn)的、有經(jīng)驗(yàn)的員工來恢復(fù)系統(tǒng)。這程序可以用來阻嚇那些不理會(huì)安全程序的員工。所提供的保護(hù)應(yīng)與所確定的風(fēng)險(xiǎn)相應(yīng)。機(jī)構(gòu)應(yīng)劃分安全地帶來保護(hù)有信息處理設(shè)備（）的地方。地點(diǎn)的外墻的結(jié)構(gòu)應(yīng)該很堅(jiān)固，以及所有外門應(yīng)有適當(dāng)?shù)谋Ｗo(hù)，防止非法進(jìn)入，例如控制機(jī)制、欄桿、警鐘、鎖等；3） 應(yīng)劃出有人看管的會(huì)客地方，或使用其它方法控制地點(diǎn)或大廈的物理進(jìn)入。他們只能進(jìn)入指定的地方、應(yīng)有授權(quán)的目的進(jìn)入，同時(shí)，他們應(yīng)該被告知地點(diǎn)的安全要求及緊急程序指示；2） 對(duì)敏感信息及信息處理設(shè)備的訪問應(yīng)控制并限制為合法人員?？罩玫胤綉?yīng)時(shí)常報(bào)警。要注意的有：1） 需要知道有人員在安全地帶工作或在地帶內(nèi)進(jìn)行活動(dòng)；2） 不鼓勵(lì)在安全地帶進(jìn)行無人監(jiān)督的工作，有安全方面的原因，也是為了減少惡意活動(dòng)的機(jī)會(huì)；3） 空置的安全地帶應(yīng)該物理上鎖及定期檢查；4） 第三方的支持服務(wù)人員只有在需要時(shí)，才能進(jìn)入安全地帶或訪問敏感信息處理設(shè)備。這些地方的安全要求應(yīng)在風(fēng)險(xiǎn)評(píng)估后確定。設(shè)備應(yīng)有物理保護(hù)不受安全威脅及環(huán)境事故的影響。要考慮的有：1） 設(shè)備的位置，應(yīng)是盡量減少不必要的到工作地方的訪問；2） 處理敏感數(shù)據(jù)的信息處理及儲(chǔ)存設(shè)備應(yīng)該好好放置，以減少使用時(shí)被俯瞰的風(fēng)險(xiǎn)；3） 需要特別保護(hù)的東西，應(yīng)被隔離；4） 應(yīng)控制并減少潛在威脅出現(xiàn)的風(fēng)險(xiǎn)： 偷竊； 火； 爆炸物； 煙； 水（或供水有問題）； 塵埃； 震動(dòng)； 化學(xué)效應(yīng)； 電力供應(yīng)干擾； 電磁輻射；5) 機(jī)構(gòu)應(yīng)考慮在信息處理設(shè)備附近的飲食及吸煙策略；6) 應(yīng)監(jiān)控那些嚴(yán)重影響信息處理設(shè)備操作的環(huán)境；7) 考慮在工業(yè)環(huán)境設(shè)備的特殊保護(hù)方法，例如采用鍵盤薄膜；8) 應(yīng)考慮在大廈附近發(fā)生災(zāi)難的后果，例如隔離大廈著火、房頂漏水，地下層滲水、街道發(fā)生爆炸。建議為那些支持重要業(yè)務(wù)操作的設(shè)備配備UPS，保持有次序的停電或連續(xù)性供電。發(fā)電機(jī)安裝后，應(yīng)按生產(chǎn)商的指示定期進(jìn)行測(cè)試。要保護(hù)全大廈的燈，及在所有外部通訊線路都要裝上燈光保護(hù)過濾器。 以下是要注意的：1） 設(shè)備應(yīng)按供應(yīng)商的建議服務(wù)間隔及規(guī)格維護(hù)；2） 只有授權(quán)的維護(hù)人員才可以修理設(shè)備；3） 記錄所有可疑的或真實(shí)的故障，以及所有防范及改正措施；4） 實(shí)施適當(dāng)?shù)目刂迫绾伟言O(shè)備送出大廈進(jìn)行修理（ 的關(guān)于刪除、清除及蓋寫數(shù)據(jù)）。還要考慮在機(jī)構(gòu)大廈外面工作的風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)，例如損壞、被盜及偷聽，可能每個(gè)地方都不同，所以應(yīng)仔細(xì)考慮后確定最適當(dāng)?shù)目刂啤Ｄ康模?防止信息及信息處理設(shè)備被破壞或偷取。策略應(yīng)考慮信息安全的分類（），相關(guān)的風(fēng)險(xiǎn)及機(jī)構(gòu)的文化。如需要并且合適，設(shè)備借出和歸還都要有登記。應(yīng)該建立管理及操作所有信息處理設(shè)備的責(zé)任及程序，包括制定適當(dāng)?shù)牟僮髦甘炯笆鹿史磻?yīng)程序。也要為與信息處理及通訊設(shè)備有關(guān)的常務(wù)活動(dòng)準(zhǔn)備有說明的程序，如計(jì)算機(jī)開始及關(guān)閉的程序、備份、設(shè)備維護(hù)、計(jì)算機(jī)房及郵件處理管理及安全。更改操作環(huán)境會(huì)影響應(yīng)用系統(tǒng)。分開管理或執(zhí)行某任務(wù)或負(fù)責(zé)范圍，目的是減少非法更改或錯(cuò)誤使用信息或服務(wù)的機(jī)會(huì)。應(yīng)把事件的啟動(dòng)與授權(quán)分開，要注意以下：1） 要注意分開那些需要共謀犯案的活動(dòng)，例如；簽發(fā)訂貨單及收貨檢驗(yàn)；2） 如果有共謀的危險(xiǎn)，應(yīng)制定控制需要兩個(gè)或多個(gè)人共同檢查，把共謀的機(jī)會(huì)減低；把開發(fā)、測(cè)試及正式使用設(shè)備分開對(duì)分開有關(guān)角色是很重要的，應(yīng)制定及寫明軟件從開發(fā)轉(zhuǎn)成正式使用的規(guī)定。這樣就需要有一個(gè)穩(wěn)定的環(huán)境進(jìn)行有用的測(cè)試，以及防止開發(fā)員借機(jī)會(huì)訪問。所以最好把開發(fā)、測(cè)試及正式使用的設(shè)備分開，以減少被意外更改或非法進(jìn)入正在使用的軟件及業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。要解決的特別問題有：1） 確認(rèn)那些最好在機(jī)構(gòu)內(nèi)保存的敏感或重要的應(yīng)用系統(tǒng)；2） 取得業(yè)務(wù)應(yīng)用系統(tǒng)所有者的同意；3） 業(yè)務(wù)連續(xù)性計(jì)劃的影響；4） 應(yīng)該制定那一類的安全標(biāo)準(zhǔn)，以及測(cè)試是否符合標(biāo)準(zhǔn)的程序；5） 分配指定的責(zé)任及程序，來監(jiān)控所有關(guān)于安全的活動(dòng)；6） 報(bào)告及處理安全事件的責(zé)任及程序（）目的：把系統(tǒng)失效的風(fēng)險(xiǎn)降到最低。應(yīng)小心監(jiān)控系統(tǒng)儲(chǔ)存的要求，以及好好計(jì)劃以后的儲(chǔ)存要求，以保證有足夠的處理能力及儲(chǔ)存容量。經(jīng)理要負(fù)責(zé)確定使用的趨勢(shì)，特別是業(yè)務(wù)應(yīng)用系統(tǒng)或MIS工具。要注意的包括：1） 性能及計(jì)算機(jī)儲(chǔ)存要求；2） 錯(cuò)誤恢復(fù)及重起程序，和應(yīng)急計(jì)劃；3） 所有從日常操作程序到標(biāo)準(zhǔn)的籌備及測(cè)試；4） 統(tǒng)一要實(shí)施的安全控制；5） 有效的手工程序；6） 業(yè)務(wù)連續(xù)性的安排， 所提及；7） 新系統(tǒng)安裝的證據(jù)不會(huì)嚴(yán)重影響現(xiàn)有系統(tǒng)，特別是處理高峰期，例如月末；8） 充分考慮新系統(tǒng)效果對(duì)機(jī)構(gòu)安全的影響的證據(jù)；9） 操作及使用新系統(tǒng)的培訓(xùn)。應(yīng)該有防范措施來防止及檢測(cè)有沒有惡意軟件。特別是，一定要有防范措施檢測(cè)及防止個(gè)人計(jì)算機(jī)上的病毒。（， ）；3） 安裝及定期更新防病毒及修復(fù)軟件，為防范或日常操作目的掃描計(jì)算機(jī)及存儲(chǔ)設(shè)備；4） 定期檢查支持重要業(yè)務(wù)進(jìn)程的軟件及其數(shù)據(jù)內(nèi)容， 如發(fā)現(xiàn)有任何非法文件或更改，應(yīng)正式深入調(diào)查；5） 在使用前，檢查所有來源不明或非法的電子文件，或從不信任網(wǎng)絡(luò)上所接收的文件，檢查有沒有病毒；6） 使用前， 檢查電子郵件附件及下載文件有沒有惡意軟件。員工也要知道虛假病毒的問題，以及萬一接收這些虛假病毒時(shí)，知道該干什么。應(yīng)定期備份拷貝重要業(yè)務(wù)信息及軟件。重要的業(yè)務(wù)應(yīng)用系統(tǒng)至少要保留三代的信息備份拷貝；2） 信息備份拷貝要有足夠的物理及環(huán)境保護(hù)（參看第7條款），標(biāo)準(zhǔn)應(yīng)與主網(wǎng)絡(luò)地方一致。應(yīng)報(bào)告錯(cuò)誤及記錄所進(jìn)行的改正操作。網(wǎng)絡(luò)的安全管理可能要跨部門，需要管理層注意。也需要特別的控制保持網(wǎng)絡(luò)服務(wù)及連接計(jì)算機(jī)的可用時(shí)間；4） 管理工作應(yīng)被緊密協(xié)調(diào)，一方面是讓業(yè)務(wù)盡量使用服務(wù)，另一方面是保證控制在整個(gè)信息處理架構(gòu)都有效用。應(yīng)有管理可移動(dòng)計(jì)算機(jī)介體（例如磁帶、磁盤、打印報(bào)表）的程序，可考慮的有：1） 如果不再需要，可重用介質(zhì)中的以前內(nèi)容應(yīng)該統(tǒng)統(tǒng)清除；2） 所有機(jī)構(gòu)要清除的介質(zhì)應(yīng)有授權(quán)，應(yīng)把所有清除操作記錄，當(dāng)作日后審計(jì)跟蹤之用；3） 所有介質(zhì)應(yīng)按制造商的規(guī)格儲(chǔ)存在安全的環(huán)境中。要小心選擇一個(gè)管理完善、經(jīng)驗(yàn)豐富的服務(wù)商；5） 應(yīng)記錄敏感信息的清除，如可能，保留一份審計(jì)跟蹤記錄。要考慮的有（）：1） 所有介質(zhì)的處理及標(biāo)簽（ （1））；2） 出入口的控制，確認(rèn)非法人員；3） 保留一份合法接收數(shù)據(jù)的正式記錄；4） 保證輸入數(shù)據(jù)是完整、處理正當(dāng)完成及已進(jìn)行輸出的檢查；5） 保護(hù)等待輸出的假脫機(jī)數(shù)據(jù)，程度與數(shù)據(jù)的敏感程序一致；6） 介質(zhì)按生產(chǎn)商規(guī)格的環(huán)境儲(chǔ)存；7） 把要分發(fā)的數(shù)據(jù)減到最底；8） 把所有拷貝數(shù)據(jù)標(biāo)識(shí)清楚，注明合法接收者的姓名；9） 定期查核分發(fā)列表及合法接收者列。機(jī)構(gòu)之間的信息及軟件交換應(yīng)受到控制，并符合所有有關(guān)法律（參看第12條款）。要考慮的安全條件有：1） 控制及通知傳送、分派及接收的管理責(zé)任；2） 通知發(fā)送者、傳送、分派及接收的程序；3） 包裝及傳送的最低技術(shù)標(biāo)準(zhǔn)；4） 速遞確認(rèn)的標(biāo)準(zhǔn)；5） 數(shù)據(jù)丟失時(shí)的責(zé)任；6） 使用統(tǒng)一的標(biāo)簽系統(tǒng)標(biāo)簽敏感或重要的信息，保證標(biāo)簽清楚易懂、信息適當(dāng)?shù)厥艿奖Ｗo(hù)；7） 信息及軟件的擁有者，以及數(shù)據(jù)保護(hù)的責(zé)任，軟件版權(quán)的遵守及其它（ ）；8） 記錄及閱讀信息及軟件的技術(shù)標(biāo)準(zhǔn)；9） 需要的其它特別控制以保護(hù)敏感的東西，例如密鑰（）信息在物理運(yùn)輸時(shí)，例如通過郵遞服務(wù)或者速遞公司，會(huì)受到非法訪問、濫用或被破壞，所以要實(shí)施控制保障機(jī)構(gòu)之間在傳遞時(shí)的計(jì)算機(jī)介質(zhì)。所以，要實(shí)施控制來保護(hù)電子商務(wù)的安全：1）認(rèn)證。所推廣的廣告價(jià)有多少屬實(shí)？敏感的折扣信息的保密程度有多高？5）定單交易。需要那樣的保護(hù)才能維護(hù)定單的保密性及完整性，以及如何避免丟失或重復(fù)交易？9）責(zé)任。公開貿(mào)易的系統(tǒng)應(yīng)公布它們對(duì)客戶的業(yè)務(wù)條款。機(jī)構(gòu)應(yīng)有明確的關(guān)于電子郵件使用的策略，內(nèi)容有：1） 電子郵件的攻擊，例如病毒、截??；2） 電子郵件附件的保護(hù)；3） 何時(shí)不能使用電子郵件的指令；4） 員工有責(zé)任保護(hù)機(jī)構(gòu)的聲譽(yù)，例如不發(fā)送誹謗性電子郵件、不騷擾別人、不進(jìn)行未經(jīng)認(rèn)可的購(gòu)物等；5） 使用密碼技術(shù)保護(hù)電子消息的保密性及完整性（）；6） 保存消息，一旦有法律訴訟，可以立即發(fā)現(xiàn)；7） 額外的用于核對(duì)不能認(rèn)證的消息的控制。應(yīng)小心保護(hù)電子發(fā)布信息的完整性，以免被非法更改，導(dǎo)致公布機(jī)構(gòu)聲譽(yù)受損。電子公布系統(tǒng)，特別是需要反饋的及可直接輸入的信息，應(yīng)被小心控制，以便：1） 獲得的信息符合有關(guān)數(shù)據(jù)保護(hù)法規(guī)；2） 輸入并由公布系統(tǒng)處理的信息，應(yīng)被按時(shí)正確及完全處理；3） 敏感信息應(yīng)在收集過程及存儲(chǔ)時(shí)應(yīng)該受到保護(hù)；4） 對(duì)發(fā)布系統(tǒng)的訪問不應(yīng)該允許對(duì)它所連接到的網(wǎng)絡(luò)進(jìn)行無目的的訪問。 信息也可以被非法用戶訪問而被破壞（參看第9條款）。首先要定義業(yè)務(wù)需求的訪問控制，并記錄下來。5） 需要與不需要管理員或其它批準(zhǔn)才能頒布的規(guī)定。應(yīng)特別注意控制分配特級(jí)訪問權(quán)限，因?yàn)檫@些特級(jí)權(quán)限讓用戶越過系統(tǒng)