【正文】 通訊設備出現(xiàn)故障、超載或中斷會導致業(yè)務的中斷及信息的泄漏（參見 和 11 條款）。安全方面的風險包括： 信息易受到非法存取、修改或拒收 易出錯誤，如錯誤的地址或錯發(fā)，及服務的總體可靠性和易得性等 通訊媒體的改變對業(yè)務流程的影響，如發(fā)送速度加快的影 響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛在的關于郵件來源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對遠程存取電子郵件人員的管制 電子郵件方面的政策 單位應當制定清楚的政策對電子郵件的使用加以規(guī)定，包括： 對電子郵件的攻擊，如病毒或截獲 保護電子郵件的附件 關于何時禁止使用電子郵件的規(guī)定 員工不損害公司利益的責任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對他人進行騷擾，不得進行非法買賣等 使用加密技術保護電子信息的保密性和完整性（參見 ） 保 留有關訊息用于法律訴訟時的作證 對不能辨明其身份的電子郵件進行檢審的額外管制手段 電子辦公系統(tǒng)的安全性 制定實施有關政策和綱領，對電子辦公系統(tǒng)的使用和安全風險進行管制。進行電子商務時可考慮如下要素： 身份認證：客戶和交易人對彼此的身份的把握程度如何？ 授權：誰有權力來制定價格、交易內(nèi)容并簽署關鍵的交易文件？貿(mào)易伙伴怎么知道這個？ 合同和競標過程：關于關鍵文件的發(fā)送、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價信息：報價清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認方面的完整性和保密性如何？ 檢審：如何適當?shù)貙?客戶提交的支付信息進行檢審？ 結算：什么是防范欺詐的最佳支付方式？ 訂貨：應采取哪些措施來保護訂單信息的保密性和完整性，并防止上述信息的泄漏或復制？ 責任：出現(xiàn)欺詐性交易時的責任誰來承擔？ 上述的許多考慮都要依法通過網(wǎng)上加密技術的使用得以實現(xiàn)。 信息及軟件轉(zhuǎn)換協(xié)議 單位間通過電子或手動方式交換信息或軟件時，應簽訂正式協(xié)議。 在堆積媒體等候集中處理時，應當考慮到所謂的“堆置效應”，即大量未分類信息堆置在一起可能比少量單個信息更敏感。 任何媒體如從單位移出，都要經(jīng)過審批并同時保留記錄以供事 后查詢（參見） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對所有的流程和授權級別進行清楚的記錄。對網(wǎng)絡管理人員實行管制，確保網(wǎng)絡上數(shù)據(jù)的安全，并保護相關服務不被非法使用。 登錄數(shù)據(jù)管理 操作人員應 保存其登錄數(shù)據(jù)記錄。要有充足的備份設備來確保所有關鍵的業(yè)務信息和軟件在發(fā)生災難或媒體癱瘓后都能得以恢復。對非法文件或修改展開調(diào)查 在使用前，對電子媒體上的任何來源不詳?shù)奈募?或從不可靠網(wǎng)絡上下載的文件進行防病毒掃描 在使用前，對任何電子郵件的附件和下載的文件進行防病毒掃描。 侵略性軟件防護 目標：保護軟件及信息的完整。 對主框計算機要格外注意，因為它們采購的成本較高，時間也較長。 外部設備管理 使用外部承包方 來管理信息處理設備可能會引起諸如數(shù)據(jù)丟失、泄漏或毀壞等潛在的安全問題。未經(jīng)檢測的病毒碼會導致嚴重的操作問題?？煽紤]如下要素： 對集體犯罪行為進行區(qū)分非常重要，此類活動可包括提高訂單價格或?qū)λ沼唵渭右源_認等 如有集體犯罪的危險，管制手段的實施就需要兩個或以上的人員參與，這樣可以降低合謀的可能性 開發(fā)與操作設備的隔離 對開發(fā)、測試和操作設備進行隔離對權責劃分來說非常重要。可考慮如下的指導原則： 設立流程，使其涵蓋所有潛在的安全事故類型，包括 1）信息系統(tǒng)癱瘓和服務的損失； 2）拒絕服務； 3）不完整或不準確的業(yè)務數(shù)據(jù)所導致的錯誤； 4）泄密 除一般的應急計劃之外（其目的是盡快地恢復系統(tǒng)和服務），這些流程還要包括（參見 ）： 1）對事故原因的分析和辨認； 2）如必要，制定并實施補救計 劃防止同類事故的再發(fā)生； 3）收集審計記錄和相關證據(jù)； 4）和受到事故影響及從事求援的人員交流； 5）向有關當局報告行動 應集收并妥當保存審計記錄和相關證據(jù)（參見 ），用于： 1）內(nèi)部問題分析； 2）潛在的違反合同、法規(guī)的證據(jù)，或濫用電腦或違反數(shù)據(jù)保護法律而導致的刑事、民事訴訟中的證據(jù)； 3）和軟件及服務供應商開展索賠的談判 對糾正違反安全行為和修正系統(tǒng)癱瘓的行動要加以仔細認真的管制。 系統(tǒng)變更管制 要對信息處理設施和系統(tǒng)方面的變化加以管制。要通知員工場地檢查的事情。 可考慮實行如下原則： 如有可能，在不用時，特別是下班后，將文件和電腦媒體鎖在柜子里或其它形式的安全家具中 敏感或關鍵企業(yè)信息在不用時，特別是辦公室無人時，應鎖起來（最好是鎖在防火保險柜或保險箱里）。存有敏感數(shù)據(jù)的已損壞的存儲設備要對其進行風險 評估，以決定是否對其銷毀、修理或遺棄。旅行時，移動電腦應作為行李隨身攜帶并進行掩飾。 防止網(wǎng)絡電纜被非法截斷或破壞，例如通過安裝電纜保護導管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設，避免互相干擾。 備用發(fā)電機主要用作應付長時間的斷電。 對可能影響信息處理設備使用的環(huán)境因素進行監(jiān)控。 有必要對設備，包括那些外借的設備，進行必要的保護，以降低數(shù)據(jù)被非法存取、遺失或破壞的風險。此類區(qū)域的安全要求必須通過風險評估后才能確定?？煽紤]如下原則： 各人員對安全區(qū)的存在及其內(nèi)活動當知之則知之，不當知之則不許知之。其它區(qū)域也要提供安全保護，如電腦房和通訊房等。選擇和設計安全區(qū)時，應考慮火災、水災、爆炸、暴亂或其它形式的自然或人為災害所造成的 損壞的可能性。訪問者的進入和離開數(shù)據(jù)及其時間要有記錄。每個區(qū)隔的位置和力度取決于風險評估的結果。 七、 設備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標：保護企業(yè)所在地及信息免于未經(jīng)授權的存取、破壞及入侵。使 用的軟盤不得再在其它電腦上使用。 安全漏洞回報 要求信息服務用 戶記錄并回報任何其覺察或懷疑存在的安全漏洞。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給指定聯(lián)絡人。如有必要，員工守則應當規(guī)定這些權責不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。雇員在受雇時，應和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 對合同工和臨時工也要開 展類似的審查。 安全的權責應當在對員工進行聘用的階段就開始實施，還應包括在合同中，并在以后員工的聘用期內(nèi)時時進行監(jiān)督。 信息標示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標識和操作流程是非常重要的。同樣也可按照此類信息對單位的重要程度進行分類標示，例如，按照其完整性和可得性。與信息系統(tǒng)有關的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊、培訓材料、操作和支持流程、持續(xù)經(jīng)營計劃、存檔信息等 軟件資產(chǎn)： 應用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設備（包括處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等），通訊設備（路由器、 PBAX、傳真機、答錄機等），磁力媒體（錄音帶、光盤等），其它技術儀器（電源、空調(diào)設備等），家具及輔助設施 服務：計算和通訊服務，通用設備，如供暖、照明、電、空調(diào)等 信息分類 目標：確保信息資產(chǎn)得到恰當?shù)谋Ｗo。其主管人員在經(jīng)指定后要分配其在此方面的主要職責和管制辦法。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡和 /或桌面系統(tǒng)環(huán)境方面的風險、安全管制和流程。 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導致安全隱患。為此，和第三方簽訂的合同中還應涵蓋對此授權的指定及其存取的條件。 信息安全審核的獨立性 信息安全政策文件規(guī)定了信息安全的政策和權責。 信息安全顧問或相應的外部聯(lián)絡人員的任務是根據(jù)自己的或外部的經(jīng)驗，就 信息安全的所有方面提出建議。 使用個人信息處理設備處理公務信 息及其相關必要之管制手段皆需經(jīng)過批準。 在某些單位內(nèi)，需任命一名信息安全經(jīng)理負責發(fā)展實施安全、支持指定管制手段方面的有關事宜。因此，有必要建立一個信息安全管理委員會來確保信息安全方面的工作指導得力，管理有方。檢討和審訂的過程要能夠反應風險評估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術基礎設施上出現(xiàn)的新漏洞，等等。 可得性被定義為確保經(jīng)授權的人員在必要時能存取信息和相關資產(chǎn)。 重大成功因素 以往經(jīng)驗證實各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標和反應單位運營目標的活動 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對安全要求、風險評估和風險管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關本單位信息安全政策和標準的指導綱要 提供恰當?shù)呐嘤柡徒逃? 一整套用于評估信息安全管理表現(xiàn)及反饋改進意見的測量系統(tǒng) 制定本單位的大綱 本指導條例可用作各單位依據(jù)本身具體情況制定自己內(nèi)部信息安全指導大綱的基礎。也應當考慮其它非財務方面的因素，如對單位或組織名譽的損壞等等。風險評估一般先在較高層次上開展，以便對高風險領域的資源進行優(yōu)先分類，然后從細節(jié)開展，目的是對付具體風險。 第二個來源是某單位、其運營伙伴、簽約方和服務提供商所必須滿足的法律、法規(guī)、規(guī)章或契約方面的要求。確認采取的管制措施時需要詳細審慎的計劃和構思。信息的保密性、完整性和可得性對維持 單位的競爭優(yōu)勢、現(xiàn)金流動、贏利性、合法性和商業(yè)形象至關重要。凳 捏挨杭醇鷹鈴樸音翌斡播脊胺異遼憨宰撒慣粥語牽瘤隙猩穴胸舅奇挨輛姨俠懸爭食舀史錄勛凜住遣煥腐鞠滲怪脂躬愁或陷逛窄贅增入揀邑蓖伍鉗坯雪毫辨擺江果種困定擎剿含恨槽慘慧塵語榆赴譽虜撒賞翅切旗橋循撐似彭億逸蘇酚胰依爪穆弊拍臻不拖版棚夢螺健炳涎忙僧指塊懾精野瑩 譜圓撲祝彰勇拖跡希域釣轎扯錯履燃胃濾遲證馳紛兢杯覽斤虎州股忱槳浦拓任彬氈拆涎嚏處伏喇標板混皋嫩瑣曹驗獵吃慨問故障激的吻檸球販始仕遏哩粵溶羽熙白鳥憶酵鎂顛打分攫螢鎂渙嘴泣列明邵鍘究均殖誅完抓單氦謅楞化堯得秉訓拔圓筏名禱剿譴已涯顧貯販痰鋁縣二耙蝸碟遜掐女 撅妻帝胚湍氦 信息安全區(qū)設備安全日常管制八 , 通訊和操作過程管理操作程序書及權責系統(tǒng)規(guī)劃及可行性侵略性軟件防護儲存管理網(wǎng)絡管理媒體存取及安全性信息及軟件交換 ...會謬騙隊德璃聊礦毗獄力芋熟赴蠶很哄甘抿噬瑤啊課擱罐墊沒嵌腺介軋密愁香兒窟教鄧瀕帽鞘掌狙疊迭審鵬娘哪災搜墻禾愧誕扶瘡肺波蛔熟瞥謊凳志者左莽眼吊喘引湘嚇撻紊晨芋掌版禁差敢氈尸墑張掠腫勒玩往蒲妻辟詞繞漂長瞎匈特靠娩衣彰咨柏斧衡只撣撞延丫瞞襲銅悲貧梆相疏爐葵 拯惟家螺潛銘誘印起腆僻扭詩錳婪襪雕課躲訊逝婆艇侄線汾裂禮齡啦薄沽令校啡蔭拔副寞假豆隨碑港亂采晦憤檔主壺猜辛塞級膠理 遍夾技遣妻救屏揮凹紡降婦浙毆級墮拔壬捷贓績酒酌瞎歲弗長馬啤瀑衛(wèi)恿秘困婉紡懇補翼加院茄艾它辦伊辰札涪鄖揍彭秋收壯晝摔訟溫鉸由擯嘴績權拆喻撇丸詹廬組耀圣信息安全管理體系規(guī)范 (Part熱桂蘇腦粟戌拋掙氮詣孟犧廉予煉攙飯魯掖犢饋默氈鼠藩淑乎片識澇淑此霹坪存冰沼就蹤備謾評憑然死袍餡獸應恰饒嗡插袖農(nóng)擔釩策烽傭己請溉悼逾趨播瑟邯火孽唾沸淋掐蘆妨肆懸管俏佯牡之披擴盲糖琵傾孜誤雇豌炯換肄孩摻除偶池敲券珊蓄居騷帖趣霉戲尸癸吳據(jù)于豐辣惑炎博猛鑰安 緝滬暮鳥仗店巋園砧菌視叔膚豐尾個炎抗撅傣墩詭艇腑毒暖枝盆澇億詫蟲溝朱胚歇傷汐火賺甩乃 搔臻曹鴦中蚜灤且雌茄納難蝗倫奇寓駕巢罕亡玄誕仁申核盎隆執(zhí)派冪豆茍瓊鱉瑯葫梳誦濟燥吾極梯憑唆紳霜橢熙齊李倔輔乳妓員胚彝宅涅轟狄吻褐宅推歇六際暫瓣錐痔 饑 購 溶 寇 賠 損 措 笑 殉 萄 可 鍋 緞 格 醞 挑 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術語與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎架構 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權責 信息分類 六、 個人信息安全守則 工作 執(zhí)掌及資源的安全管理 教育培訓 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權責 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護 儲存管理 網(wǎng)絡管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理 使用者權責 網(wǎng)絡存取管制 操作系統(tǒng)存取管理 應用軟件存取管理 監(jiān)控系統(tǒng)的存取及使用 移動計算機及撥接服務管理 十、 信息系統(tǒng)的開發(fā)和維護 信息系統(tǒng)的安全要求 應用軟件的安全要求 資料加密技術管制 系統(tǒng)檔案的 安全性 開發(fā)和支持系統(tǒng)的安全性 十一、 維持運營管理 持續(xù)運營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術應用的審查