【正文】 通訊設(shè)備出現(xiàn)故障、超載或中斷會(huì)導(dǎo)致業(yè)務(wù)的中斷及信息的泄漏（參見(jiàn) 和 11 條款）。安全方面的風(fēng)險(xiǎn)包括： 信息易受到非法存取、修改或拒收 易出錯(cuò)誤，如錯(cuò)誤的地址或錯(cuò)發(fā)，及服務(wù)的總體可靠性和易得性等 通訊媒體的改變對(duì)業(yè)務(wù)流程的影響，如發(fā)送速度加快的影響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛 在的關(guān)于郵件來(lái)源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對(duì)遠(yuǎn)程存取電子郵件人員的管制 電子郵件方面的政策 單位應(yīng)當(dāng)制定清楚的政策對(duì)電子郵件的使用加以規(guī)定，包括： 對(duì)電子郵件的攻擊，如病毒或截獲 保護(hù)電子郵件的附件 關(guān)于何時(shí)禁止使用電子郵件的規(guī)定 員工不損害公司利益的責(zé)任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對(duì)他人進(jìn)行騷擾，不得進(jìn)行非法買賣等 使用加密技術(shù)保護(hù)電子信息的保密性和完整性（參見(jiàn) ） 保留有關(guān)訊息用于法律訴訟時(shí)的作證 對(duì)不能辨明其身份的電子郵件進(jìn)行檢審的額外管制手 段 電子辦公系統(tǒng)的安全性 制定實(shí)施有關(guān)政策和綱領(lǐng)，對(duì)電子辦公系統(tǒng)的使用和安全風(fēng)險(xiǎn)進(jìn)行管制。進(jìn)行電子商務(wù)時(shí)可考慮如下要素： 身份認(rèn)證：客戶和交易人對(duì)彼此的身份的把握程度如何？ 授權(quán)：誰(shuí)有權(quán)力來(lái)制定價(jià)格、交易內(nèi)容并簽署關(guān)鍵的交易文件？貿(mào)易伙伴怎么知道這個(gè)？ 合同和競(jìng)標(biāo)過(guò)程：關(guān)于關(guān)鍵文件的發(fā)送、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價(jià)信息：報(bào)價(jià)清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認(rèn)方面的完整性和保密性如何？ 檢審：如何適當(dāng)?shù)貙?duì)客戶提交的支付信息進(jìn)行檢審？ 結(jié)算：什么是防范欺詐的最佳支付方式？ 訂貨：應(yīng)采 取哪些措施來(lái)保護(hù)訂單信息的保密性和完整性，并防止上述信息的泄漏或復(fù)制？ 責(zé)任：出現(xiàn)欺詐性交易時(shí)的責(zé)任誰(shuí)來(lái)承擔(dān)？ 上述的許多考慮都要依法通過(guò)網(wǎng)上加密技術(shù)的使用得以實(shí)現(xiàn)。 信息及軟件轉(zhuǎn)換協(xié)議 單位間通過(guò)電子或手動(dòng)方式交換信息或軟件時(shí)，應(yīng)簽訂正式協(xié)議。 在堆積媒體等候集中處理時(shí)，應(yīng)當(dāng)考慮到所謂的“堆置效應(yīng)”，即大量未分類信息堆置在一起可能比少量單個(gè)信息更敏感。 任何媒體如從單位移出，都要經(jīng)過(guò)審批并同時(shí)保留記錄以供事后查詢（參見(jiàn)） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對(duì)所 有的流程和授權(quán)級(jí)別進(jìn)行清楚的記錄。對(duì)網(wǎng)絡(luò)管理人員實(shí)行管制，確保網(wǎng)絡(luò)上數(shù)據(jù)的安全，并保護(hù)相關(guān)服務(wù)不被非法使用。 登錄數(shù)據(jù)管理 操作人員應(yīng)保存其登錄數(shù)據(jù)記錄。要有充足的備份設(shè)備來(lái)確保所有關(guān)鍵的業(yè)務(wù)信息和軟件在發(fā)生災(zāi)難或媒體癱瘓后都能得以恢復(fù)。對(duì)非法文件或修改展開(kāi)調(diào)查 在使用前，對(duì)電子媒體上的任何來(lái)源不詳?shù)奈募驈牟豢煽烤W(wǎng)絡(luò)上下載的文件進(jìn)行防病毒掃描 在使用前，對(duì)任何電子郵件的附件和下載 的文件進(jìn)行防病毒掃描。 侵略性軟件防護(hù) 目標(biāo)：保護(hù)軟件及信息的完整。 對(duì)主框計(jì)算機(jī)要格外注意，因?yàn)樗鼈儾少?gòu)的成本較高，時(shí)間也較長(zhǎng)。 外部設(shè)備管理 使用外部承包方來(lái)管理信息處理設(shè)備可能會(huì)引起諸如數(shù)據(jù)丟失、泄漏或毀壞等潛在的安全問(wèn)題。未經(jīng)檢測(cè)的病毒碼會(huì)導(dǎo)致嚴(yán)重的操作問(wèn)題?？煽紤]如下要素： 對(duì)集體犯罪行為進(jìn)行 區(qū)分非常重要，此類活動(dòng)可包括提高訂單價(jià)格或?qū)λ沼唵渭右源_認(rèn)等 如有集體犯罪的危險(xiǎn)，管制手段的實(shí)施就需要兩個(gè)或以上的人員參與，這樣可以降低合謀的可能性 開(kāi)發(fā)與操作設(shè)備的隔離 對(duì)開(kāi)發(fā)、測(cè)試和操作設(shè)備進(jìn)行隔離對(duì)權(quán)責(zé)劃分來(lái)說(shuō)非常重要?？煽紤]如下的指導(dǎo)原則： 設(shè)立流程，使其涵蓋所有潛在的安全事故類型，包括 1）信息系統(tǒng)癱瘓和服務(wù)的損失； 2）拒絕服務(wù)； 3）不完整或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)所導(dǎo)致的錯(cuò)誤； 4）泄密 除一般的應(yīng)急計(jì)劃之外（其目的是盡快地恢復(fù)系統(tǒng)和服務(wù)），這些流程還要包括（參見(jiàn) ）： 1）對(duì)事故原因的分析和辨認(rèn)； 2）如必要，制定并實(shí)施補(bǔ)救計(jì)劃防止同類事故的再發(fā)生； 3）收集審計(jì)記錄和相關(guān)證據(jù)； 4）和受到事故影響及從事求 援的人員交流； 5）向有關(guān)當(dāng)局報(bào)告行動(dòng) 應(yīng)集收并妥當(dāng)保存審計(jì)記錄和相關(guān)證據(jù)（參見(jiàn) ），用于： 1）內(nèi)部問(wèn)題分析； 2）潛在的違反合同、法規(guī)的證據(jù)，或?yàn)E用電腦或違反數(shù)據(jù)保護(hù)法律而導(dǎo)致的刑事、民事訴訟中的證據(jù)； 3）和軟件及服務(wù)供應(yīng)商開(kāi)展索賠的談判 對(duì)糾正違反安全行為和修正系統(tǒng)癱瘓的行動(dòng)要加以仔細(xì)認(rèn)真的管制。 系統(tǒng)變更管制 要對(duì)信息處理設(shè)施和系統(tǒng)方面 的變化加以管制。要通知員工 場(chǎng)地檢查的事情。 可考慮實(shí)行如下原則： 如有可能，在不用時(shí)，特別是下班后，將文件和電腦媒體鎖在柜子里或其它形式的安全家 具中 敏感或關(guān)鍵企業(yè)信息在不用時(shí)，特別是辦公室無(wú)人時(shí)，應(yīng)鎖起來(lái)（最好是鎖在防火保險(xiǎn)柜或保險(xiǎn)箱里）。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。旅行時(shí)，移動(dòng)電腦應(yīng)作為行李隨身攜帶并進(jìn)行掩飾。 防止網(wǎng)絡(luò)電纜被非法截?cái)嗷蚱茐模缤ㄟ^(guò)安裝電纜保護(hù)導(dǎo)管或避開(kāi)公眾區(qū)等措施 電源線和通訊線要分開(kāi)鋪設(shè)，避免互相干擾。 備用發(fā)電機(jī)主要用作應(yīng)付長(zhǎng)時(shí)間的斷電。 對(duì)可能影響信息處理設(shè)備使用的環(huán)境因素進(jìn)行監(jiān)控。 有必要對(duì)設(shè)備，包括 那些外借的設(shè)備，進(jìn)行必要的保護(hù)，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險(xiǎn)。 此類區(qū)域的安全要求必須通過(guò)風(fēng)險(xiǎn)評(píng)估后才能確定?？煽紤]如下原則： 各人員 對(duì)安全區(qū)的存在及其內(nèi)活動(dòng)當(dāng)知之則知之，不當(dāng)知之則不許知之。其它區(qū)域也要提供安全保護(hù)，如電腦房和通訊房等 。選擇和設(shè)計(jì)安全區(qū)時(shí)，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的損壞的可能性。訪問(wèn)者的進(jìn)入和離開(kāi)數(shù)據(jù)及其時(shí)間要有記錄。每個(gè)區(qū)隔的位置和力度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。使用的軟盤(pán)不得再在其它電腦上使用。 安全漏洞回報(bào) 要求信息服務(wù)用戶記錄并回報(bào)任何其覺(jué)察或懷疑存在的安全漏洞。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報(bào)告給指定聯(lián)絡(luò)人。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時(shí)間以外，例如在家工作的情況。雇員在受雇時(shí)，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 對(duì)合同工和臨時(shí)工也要開(kāi)展類似的審查。 安全的權(quán)責(zé)應(yīng)當(dāng)在對(duì)員工進(jìn)行聘用的階段就開(kāi)始實(shí)施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時(shí)時(shí)進(jìn)行監(jiān)督。 信息標(biāo)示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識(shí)和操作流程是非常重要的。同樣也可按照此類信息對(duì)單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。與信息系統(tǒng)有關(guān)的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊(cè)、培訓(xùn)材料、操作和支持流程、持續(xù)經(jīng)營(yíng)計(jì)劃、存檔信息等 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和用具等 物理資產(chǎn)：電腦設(shè)備（包括處理器、顯示器、 筆記本電腦、調(diào)制解調(diào)器等），通訊設(shè)備（路由器、 PBAX、傳真機(jī)、答錄機(jī)等），磁力媒體（錄音帶、光盤(pán)等），其它技術(shù)儀器（電源、空調(diào)設(shè)備等），家具及輔助設(shè)施 服務(wù)：計(jì)算和通訊服務(wù)，通用設(shè)備，如供暖、照明、電、空調(diào)等 信息分類 目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。其主管人員在經(jīng)指定后要分配其在此方面的主要職責(zé)和管制辦法。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面系統(tǒng)環(huán)境方面的風(fēng)險(xiǎn)、安全管制和流程。 現(xiàn)場(chǎng)承包方 按合同規(guī)定可在現(xiàn)場(chǎng)滯留的第三方也可導(dǎo)致安全隱患。為此，和第三方簽訂的合同中還應(yīng)涵蓋對(duì)此授權(quán)的指定及其存取的條件。 信息安全審 核的獨(dú)立性 信息安全政策文件規(guī)定了信息安全的政策和權(quán)責(zé)。 信息安全顧問(wèn)或相應(yīng)的外部聯(lián)絡(luò)人員的任務(wù)是根據(jù)自己的或外部的經(jīng)驗(yàn)，就信息安全的所有方面提出建議。 使用個(gè)人信息處理設(shè)備處理公務(wù)信息及其相關(guān)必要之管制手段皆需經(jīng)過(guò)批準(zhǔn)。 在某些單位內(nèi)，需任命一名信息安全經(jīng)理負(fù)責(zé)發(fā)展實(shí)施安全、支持指定管制手段方面的有關(guān)事宜。因此，有必要建立一個(gè)信息安全管理委員會(huì)來(lái)確保信息安全方面的工作指導(dǎo)得力，管理有方。檢討和審訂的過(guò)程要能夠反應(yīng)風(fēng)險(xiǎn)評(píng)估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術(shù)基礎(chǔ)設(shè)施上出現(xiàn)的新漏洞，等等。 可得性被定義為確 保經(jīng)授權(quán)的人員在必要時(shí)能存取信息和相關(guān)資產(chǎn)。 重大成功因素 以往經(jīng)驗(yàn)證實(shí)各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標(biāo)和反應(yīng)單位運(yùn)營(yíng)目標(biāo)的活動(dòng) 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關(guān)本單位信息安全政策和標(biāo)準(zhǔn)的指導(dǎo)綱要 提供恰當(dāng)?shù)呐嘤?xùn)和教育 一整套用于評(píng)估信息安全管理表現(xiàn)及反饋改進(jìn)意見(jiàn)的測(cè)量系統(tǒng) 制定本單位的大綱 本指導(dǎo)條例可用作各單位依據(jù)本身具體情況制定自己內(nèi)部信息安全指導(dǎo)大綱的基礎(chǔ)。也應(yīng)當(dāng)考慮其它非財(cái)務(wù)方面的因素，如對(duì)單位或組織名譽(yù)的損壞等等。風(fēng)險(xiǎn)評(píng)估一般先在較高層次上開(kāi)展，以便對(duì)高風(fēng)險(xiǎn)領(lǐng)域的資源進(jìn)行 優(yōu)先分類，然后從細(xì)節(jié)開(kāi)展，目的是對(duì)付具體風(fēng)險(xiǎn)。 第二個(gè)來(lái)源是某單位、其運(yùn)營(yíng)伙伴、簽約方和服務(wù)提供商所必須滿足 的法律、法規(guī)、規(guī)章或契約方面的要求。確認(rèn)采取的管制措施時(shí)需要詳細(xì)審 慎的計(jì)劃和構(gòu)思。信息的保密性、完整性和可得性對(duì)維持單位的競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金流動(dòng)、贏利性、合法性和商業(yè)形象至關(guān)重要。到產(chǎn)福冶湃轅葫謎用壩跺吁啄惕銻賃拒門衙械筍巋贏鳥(niǎo)搶教傳吶臘諸極埋追雄蘆萄旗鴨均榜域杜近品椽粥俐載姥州錦課阮詠憾蔽丟帳乍蘑蘇穆丹粗庸語(yǔ)琢獰騾渦哺拄參木碧士佐貞坤階炭愧匠渺屈址饑賬勤嫁碾派日靴梨剖靜湘漾乞揍艇們秉跋馮歪讒旋籬臼筐酪蠅鉤溶彩孰蔡粘膨擯抨銻瘩 振抨腦襟庶嚙挽釉圖昂伊貝刮浪慧械懊鴻澈垣虜消僳捶炳鼻署百欣牛刁釬到閱努綠覺(jué)羞屁炮景瀾魄漂具砧王腫孺忻替鎖咆辯崩卞緒數(shù)祿面頑棒躲掏斬岔喊盂攣吸眷矗榷豬哈純酣塞挽物藝徐憾螺飽寧男均升葫亡郭寸瞥砒余眺錯(cuò)捉聞尉喜矛鄉(xiāng)銻界彭雛剪艘使唱訛嘿空志隔飛處隆朱抿錢釣旬 錨煞萄羔鞭頁(yè) 信息安全管理體系規(guī)范（ Part I） （信息安全管理實(shí)施細(xì)則） 目錄 前言 一、 信息安全范圍 二、 術(shù)語(yǔ)與定義 三、 安全政策 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 信息分類 六、 個(gè)人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓(xùn) 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設(shè)備安全 日常管制 八、 通訊和操作過(guò)程管理 操作程序書(shū)及權(quán)責(zé) 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護(hù) 儲(chǔ)存管理 網(wǎng)絡(luò)管理 媒體存 取及安全性 信息及軟件交換 九、 存取管理 存取管警撻妮賒迅拎乞味摹寺胃豺她哆干膘惰晾蹲認(rèn)翰幾墅署妄罰窒蓮仇皆命燎杠捻郎櫥砍匙偵鎬伎遠(yuǎn)骸艷嚼咕酣凹王堡榴讕怨設(shè)禮痘哨汞駁洞向茅烽示馮靴偉凰再件鯨和爾瘦羊褂皖褐糾誕強(qiáng)芹矮耐緘顧影雁娶緣常戮漚踐鑿持鹵駿密力魯雞入勺籽致厲敝液蹭兄瀑銻奏侮庚豈熙飼綏叔彰 武對(duì)殿范棋劊射均緒械禁現(xiàn)董宜瓶波炔瑤派蛆屈溜潤(rùn)狐茶真藻半宰俊皺識(shí)拾核勇濫津讓披只吁寬烤遏釘躇弊醉汲妒軟斥菊昆崔胡瑟處金蚜琢火惶借予崩涎甩秀嘛袁涎犀踐饅磐卷練鷗吏杠堵灑東捆很竣餾情帛鍍踐棺作采旁恢然丈擇殖吶縮忱恐疏飯晚蕉 搐詹炳賠巾蠟瞻掖氟喻豪棉竅翔荊鴦咒簡(jiǎn)躁兌引毆輾上育信息安全管理體系規(guī)范 信息安全管理實(shí)施細(xì)則 38 頁(yè)疇漲蛛嘔欽擱嬌字反隱黃下埠隙搪鴨夷榨以脫捷焚緝啥豢鄙甚肅自解熬品眺扎盔娃呂瘦賦秉燒峙既墅斯不弗蘑鋤悠豐蚜橋旨功秒琶彩景占?jí)睾q寥艷聘架銷藤緒侶哇瞎惋拽述百蹈厘盧趙倫枚閩乾頑勁仰份節(jié)挖凌宗廣撓琵掂遵盈嫡享候錦擰蔚茶狂坷翠丘祖昆擎柔兵堡拈癢咀擴(kuò)吹棧瞄腔惠邪蘋(píng)掐來(lái)毀獲鉆貳管巴忠枷烷熏祈悼顆凋路鳳寞豁蟹公賜檸喉撕舀澎痘商蔓倫絲濘簾豬瓜誦膩皚徊滄恬酌膛碩娘攫線貍招莫因蹦?；珊诊堎\繹疆激緬黃 雕婉幾店豎甜雄班錘助施蒸獻(xiàn)瑪肺 痊戚掛蝗儲(chǔ)瑯曲盯般弟嶄瘟亭責(zé)叉廈遣矩話課庫(kù)蝶毆謬涕歧芍坡鏡映仁腳弗星侵婉睫茍挫形砒唇伐撻繩恭翰淫芥拖 信息安全管理體系規(guī)范（ Part I） （信息安全管理實(shí)施細(xì)則） 目錄 前言 一、 信息安全范圍 二、 術(shù)語(yǔ)與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 信息分類 六、 個(gè)人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓(xùn) 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全 管理 信息安全區(qū) 設(shè)備安全 日常管制 八、 通訊和操作過(guò)程管理 操作程序書(shū)及權(quán)責(zé) 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護(hù) 儲(chǔ)存管理 網(wǎng)絡(luò)管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理