【正文】 e） 對(duì)敏感物品的處理要進(jìn)行記錄，以便日后進(jìn)行審核之用。2. 媒體的處理媒體作廢后，應(yīng)當(dāng)對(duì)其進(jìn)行安全處理。d） 管理行動(dòng)要緊密協(xié)作，以優(yōu)化對(duì)業(yè)務(wù)所提供的服務(wù)，并確保對(duì)信息處理基礎(chǔ)設(shè)施的控制措施得以始終如一的進(jìn)行。對(duì)跨組織邊界的網(wǎng)絡(luò)的安全管理需要格外注意。d） 備份流程應(yīng)定期的進(jìn)行檢查和測(cè)試，以確保其有效性，并確保在恢復(fù)工作的操作流程中可以在規(guī)定的時(shí)間內(nèi)完成工作規(guī)定重要的商業(yè)信息的保留期以及永久保存的文檔復(fù)件的要求。1. 信息備份重要的商業(yè)信息和軟件應(yīng)該定期備份。防范惡意軟件應(yīng)基于安全意識(shí)，適當(dāng)?shù)南到y(tǒng)訪問控制和變更管理控制。應(yīng)考慮以下的控制措施：a） 性能和計(jì)算機(jī)容量的要求；b） 錯(cuò)誤恢復(fù)和重啟程序，以及應(yīng)急計(jì)劃；c） 準(zhǔn)備和測(cè)試日常的操作程序以達(dá)到規(guī)定的標(biāo)準(zhǔn)；d） 實(shí)施業(yè)經(jīng)同意的安全控制措施；e） 有效的指南程序；f） 商業(yè)持續(xù)性安排，；g） 新系統(tǒng)的安裝不會(huì)給現(xiàn)有系統(tǒng)帶來負(fù)面影響的證據(jù)，特別是在處理高峰時(shí)間，如月末；h） 已經(jīng)考慮了新系統(tǒng)對(duì)組織的整體安全產(chǎn)生的影響的證據(jù)；i） 操作和使用新系統(tǒng)的培訓(xùn)；對(duì)于主要的新的開發(fā)工作，應(yīng)該在開發(fā)過程的所有階段咨詢操作人員和用戶，以確保所提出的系統(tǒng)設(shè)計(jì)方案的操作效率。1. 容量規(guī)劃應(yīng)監(jiān)控所需的容量并預(yù)測(cè)未來的容量需求，以確保有足夠的處理能力和存儲(chǔ)能力可用?？刂拼胧?yīng)確保密碼在使用后被更改。如果開發(fā)和測(cè)試活動(dòng)共享相同的計(jì)算環(huán)境，可以造成軟件和信息的意外改變。開發(fā)和測(cè)試行為會(huì)引起嚴(yán)重的問題，如文件或系統(tǒng)環(huán)境的不希望有的修改或系統(tǒng)故障。如劃分工作比較困難，應(yīng)考慮其他的控制措施，如行動(dòng)監(jiān)視、審計(jì)跟蹤和管理監(jiān)督。3. 事故管理流程應(yīng)建立事故管理責(zé)任和流程來確保對(duì)安全事故快速、有效和有序的響應(yīng)（）。2. 操作的變更控制應(yīng)該控制信息處理設(shè)備和系統(tǒng)的改變。 通信和操作管理 操作程序和責(zé)任目標(biāo)：確保對(duì)信息處理設(shè)備正確和安全的操作。應(yīng)在不用時(shí)采用鍵盤鎖、口令或其他的控制措施加以保護(hù)。應(yīng)該保護(hù)信息和信息處理設(shè)備以防泄漏給未經(jīng)授權(quán)的人，被其修改或偷竊，控制措施應(yīng)該到位以盡量減少損失或損壞。c） 家庭工作的控制措施應(yīng)該由風(fēng)險(xiǎn)評(píng)估確定，并應(yīng)該采取合適的控制措施，如可上鎖的文件柜、清空桌面方針以及對(duì)計(jì)算機(jī)的訪問控制。d） 在將設(shè)備送到組織外維護(hù)時(shí)，應(yīng)該采取適當(dāng)?shù)目刂拼胧?、消磁和重寫?shù)據(jù)）。應(yīng)該考慮以下控制措施：a） 如有可能，接入信息處理設(shè)備的電源和通信線路應(yīng)該鋪設(shè)在地下，或者采取足夠的可替代的保護(hù)。UPS設(shè)備應(yīng)該定期檢查，以確保其具有足夠的電量，并按照制造商的建議測(cè)試。f) 對(duì)于可能對(duì)信息處理設(shè)備的運(yùn)行有負(fù)面影響的環(huán)境條件應(yīng)該進(jìn)行監(jiān)控。還應(yīng)該考慮設(shè)備的放置和布局。應(yīng)該考慮以下控制措施：a） 從建筑物外對(duì)接貨區(qū)的訪問應(yīng)限于經(jīng)確認(rèn)和授權(quán)的人。b） 為安全原因和防止產(chǎn)生惡意活動(dòng)的機(jī)會(huì)，在安全區(qū)內(nèi)應(yīng)該避免無人監(jiān)督的工作。f） 由組織管理的信息處理設(shè)備應(yīng)該和第三方管理的信息處理設(shè)備從物理上隔離。同樣應(yīng)該考慮相鄰場(chǎng)所造成的任何安全威脅，如來自其他區(qū)域的水泄漏。b） 對(duì)敏感信息和信息處理設(shè)備的訪問應(yīng)被控制并僅限于經(jīng)受權(quán)的人。b） 放置信息處理設(shè)備的建筑物或場(chǎng)所的防護(hù)帶在物理上應(yīng)該是的牢固的（例如，在防護(hù)帶或安全區(qū)域不應(yīng)該有能夠輕易闖入的缺口）。所提供的保護(hù)應(yīng)該和被確認(rèn)的風(fēng)險(xiǎn)相當(dāng)。這類信息應(yīng)該用于識(shí)別重發(fā)或有重大影響的事故和故障。b） 如果可能，計(jì)算機(jī)應(yīng)被隔離，并停止對(duì)其的使用。應(yīng)該在事故被處理完并關(guān)閉后，執(zhí)行適當(dāng)?shù)姆答伋绦?，以確保那些報(bào)告的事故被通告了結(jié)果。影響安全的事故應(yīng)該盡快通過適當(dāng)?shù)墓芾砬缊?bào)告。雇員的法律責(zé)任和權(quán)利，如涉及到的版權(quán)法或數(shù)據(jù)保護(hù)法，應(yīng)該闡明并包括在雇傭條款和條件中。應(yīng)該依據(jù)相應(yīng)權(quán)限范圍內(nèi)適當(dāng)?shù)囊?guī)定來處理這類信息。無論是初次任命還是提升，當(dāng)一項(xiàng)工作涉及的人員具有訪問信息處理設(shè)備的機(jī)會(huì)，特別是如果這些設(shè)備處理敏感信息，如財(cái)務(wù)信息或高度機(jī)密的信息時(shí)，組織應(yīng)該同樣進(jìn)行信用檢查。 人員安全 崗位定義和資源分配的安全目標(biāo)：降低人為錯(cuò)誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險(xiǎn)。2. 信息的標(biāo)示和處理重要的是根據(jù)組織所采用的分類方案，為信息的標(biāo)示和處理定義一套合適的程序。按照信息對(duì)組織的重要性進(jìn)行標(biāo)示同樣是適當(dāng)?shù)模?，按照信息的完整性和可用性。和信息系統(tǒng)相關(guān)的資產(chǎn)的例子：a） 信息資產(chǎn)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序、持續(xù)性計(jì)劃、備用系統(tǒng)安排、存檔信息；b） 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序；c） 有形資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、數(shù)字程控交換機(jī)、傳真機(jī)、應(yīng)答機(jī)），磁媒體（磁帶和軟盤），其他技術(shù)裝備（電源，空調(diào)設(shè)備），家具和住所；d） 服務(wù)：計(jì)算和通信服務(wù)，通用設(shè)備，如供暖，照明，電力和空調(diào)等。實(shí)施控制措施的職責(zé)可以委托。例如：合同中應(yīng)規(guī)定：a） 如何滿足法律方面的要求，如數(shù)據(jù)保護(hù)法規(guī)；b） 做出哪些安排來確保涉及委外的各方，包括次分包商，能意識(shí)到各自的責(zé)任；c） 如何維護(hù)和監(jiān)測(cè)組織的商業(yè)資產(chǎn)的完整性和保密性；d） 要采取哪些物理和邏輯上的控制措施來約束和限制業(yè)經(jīng)授權(quán)的用戶對(duì)商業(yè)信息的訪問；e） 在發(fā)生災(zāi)難的情況下，如何維持服務(wù)的可用性；f） 對(duì)委外設(shè)備需要提供何種程度的物理安全；g） 審核權(quán)。例如：若對(duì)信息的保密性有特殊要求的時(shí)候，就要采用保密協(xié)議。例如，向組織提供服務(wù)卻不在現(xiàn)場(chǎng)的第三方，就可以被授予物理和邏輯訪問權(quán)，如：a） 硬件和軟件支持人員，他們需要有權(quán)訪問系統(tǒng)級(jí)或低級(jí)的應(yīng)用程序功能。若有業(yè)務(wù)上需要第三方的訪問，應(yīng)對(duì)此做出風(fēng)險(xiǎn)評(píng)估來確定訪問可能帶來的安全后后果和對(duì)訪問進(jìn)行的控制需求。6. 組織間的合作為確保在發(fā)生安全事故時(shí)能最快的采取適當(dāng)措施和獲得指導(dǎo)建議，各個(gè)組織應(yīng)和執(zhí)法機(jī)關(guān)、管理機(jī)構(gòu)、信息服務(wù)提供機(jī)構(gòu)以及電信營(yíng)運(yùn)部門保持適當(dāng)?shù)穆?lián)系。并非所有的組織都愿意雇用專家顧問。授權(quán)級(jí)別應(yīng)清晰定義并記錄在案。對(duì)由各項(xiàng)有形資產(chǎn)和信息資產(chǎn)以及安全程序所在方承擔(dān)的責(zé)任，如可持續(xù)運(yùn)營(yíng)計(jì)劃，應(yīng)清晰定義。 批準(zhǔn)和支持全組織范圍的信息安全問題的提議，如安全意識(shí)培訓(xùn)；因此應(yīng)考慮建立信息安全委員會(huì)以確保為信息安全的啟動(dòng)工作提供明確的指導(dǎo)和明顯的管理支持。該程序應(yīng)確保任何影響原始風(fēng)險(xiǎn)評(píng)估根據(jù)的變化都會(huì)得到相應(yīng)的評(píng)審，如：重大的安全事故、新的脆弱性、組織基礎(chǔ)結(jié)構(gòu)或技術(shù)基礎(chǔ)設(shè)施的變化。7 控制措施的選擇通常控制措施是在BS7799的十大領(lǐng)域中進(jìn)行選擇，當(dāng)然針對(duì)不同組織的實(shí)際情況選擇控制目標(biāo)不同，上述曾介紹過的需進(jìn)行適用性聲明。6 信息安全管理體系改進(jìn) 持續(xù)改進(jìn)組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。 內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b) 符合識(shí)別的信息安全的要求；c) 被有效地實(shí)施和維護(hù)；d) 達(dá)到預(yù)想的績(jī)效。 維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a) 實(shí)施已識(shí)別的對(duì)于信息安全管理體系的改進(jìn)措施b) 采取合適的糾正和預(yù)防措施[]. 應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到的知識(shí)。需要一個(gè)管理過程確定記錄的程度。 文件要求信息安全管理體系文件應(yīng)包括：a) 文件化的安全方針文件和控制目標(biāo)；b) 信息安全管理體系范圍和程序及支持信息安全管理體系的控制措施；c) 風(fēng)險(xiǎn)評(píng)估報(bào)告；d) 風(fēng)險(xiǎn)處理計(jì)劃；e) 組織需要的文件化的程序以確保有效地計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過程的控制；f) 本標(biāo)準(zhǔn)要求的記錄；g) 適用性聲明。3)識(shí)別可能被威脅利用的脆弱性。3)建立組織戰(zhàn)略和風(fēng)險(xiǎn)管理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。提供一份控制措施小結(jié)可以使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。計(jì)劃階段用來保證為信息安全管理體系建立的內(nèi)容和范圍正確地建立，評(píng)估信息安全風(fēng)險(xiǎn)和建立適當(dāng)?shù)靥幚磉@些風(fēng)險(xiǎn)的計(jì)劃。之所以叫PDCA循環(huán)，是因?yàn)檫@四個(gè)過程不是運(yùn)行一次就完結(jié)，而是周而復(fù)始地進(jìn)行，其特點(diǎn)是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)”；每個(gè)循環(huán)系統(tǒng)包括PDCA四個(gè)階段曾螺旋式上升和發(fā)展，每循環(huán)一次要求提高一步。所以在實(shí)施階段要堅(jiān)持按照制定的方案去執(zhí)行。PDCA循環(huán)的四個(gè)階段具體內(nèi)容如下：(1) 計(jì)劃階段：制定具體工作計(jì)劃，提出總的目標(biāo)。如果現(xiàn)有的組織結(jié)構(gòu)不合理，則按上面（5）中所述規(guī)則對(duì)組織結(jié)構(gòu)進(jìn)行調(diào)整。小組成員要懂信息安全技術(shù)知識(shí)，有一定的信息安全管理技能，并且有較強(qiáng)的分析能力及文字能力，小組成員一般是企業(yè)各部門的骨干人員。 信息安全管理體系的作用1. ISMS的特點(diǎn) 信息安全管理管理體系是一個(gè)系統(tǒng)化、程序化和文件化的管理體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。BS7799－2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來建立信息安全管理體系；體系一旦建立，組織應(yīng)按體系的規(guī)定要求進(jìn)行運(yùn)作，保持體系運(yùn)行的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理方法、控制目標(biāo)與控制措施、信息資產(chǎn)需要保護(hù)的程度等內(nèi)容。該體系具有以下特點(diǎn)：l 體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求；l 強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；l 強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性。4． 保證有關(guān)人員的作用、職責(zé)和權(quán)限得到有效溝通用適當(dāng)?shù)姆绞?，如通過培訓(xùn)、制定文件等方式，讓每位員工明白自己的作用、職責(zé)與權(quán)限，以及與其他部分的關(guān)系，以保證全體員工各司其職，相互配合，有效地開展活動(dòng)，為信息安全管理體系的建立做出貢獻(xiàn)。l 應(yīng)將組織內(nèi)的部門設(shè)置及各部門的信息安全職責(zé)、權(quán)限及相互關(guān)系以文件的形式加以規(guī)定。具體來講又分為以下4個(gè)步驟。(3) 檢查階段：即檢查實(shí)施計(jì)劃的結(jié)果。建立和管理一個(gè)信息安全管理體系需要象其他任何管理體系一樣的方法。實(shí)施階段用來實(shí)施在計(jì)劃階段確定的決定和解決方案。SoC可能包含敏感的信息，因此當(dāng)SoC在外部和內(nèi)部同時(shí)應(yīng)用時(shí)，應(yīng)考慮他們對(duì)于接收者是否合適。組織應(yīng)：a) 確定從事影響信息安全管理體系的人員所必要的能力；b) 提供能力培訓(xùn)和，必要時(shí)，聘用有能力的人員滿足這些需求；c) 評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性；d) 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的紀(jì)錄。 4)建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。4)別資產(chǎn)失去保密性、完整性和可用性的影響。 文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)保留上述過程績(jī)效記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。c) 溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。任何審核活動(dòng)應(yīng)策劃， 策劃應(yīng)考慮過程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。 糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。以下將詳細(xì)介紹十大領(lǐng)域的控制措施。同樣應(yīng)對(duì)以下各項(xiàng)進(jìn)行有計(jì)劃的、定期的評(píng)審：a） 方針的有效性，可通過記錄在案的安全事故的性質(zhì)、數(shù)量和所造成的影響來論證；b） 對(duì)運(yùn)營(yíng)效率進(jìn)行控制的成本和效果；c） 技術(shù)變化所造成的影響； 安全組織 信息安全基礎(chǔ)結(jié)構(gòu)目標(biāo)：在組織內(nèi)部管理信息安全。該委員會(huì)應(yīng)該在組織內(nèi)部通過適當(dāng)?shù)某兄Z和提供充足的資源來促進(jìn)安全工作。 確保安全問題是信息設(shè)計(jì)過程的一部分；在許多組織中，會(huì)任命一名信息安全經(jīng)理來負(fù)責(zé)信息安全工作的開展和實(shí)施，并支持控制措施的鑒別工作。4. 信息處理設(shè)備的授權(quán)程序?qū)τ谛碌男畔⑻幚碓O(shè)備應(yīng)建立管理授權(quán)程序，應(yīng)考慮以下控制措施：新設(shè)備應(yīng)有適當(dāng)?shù)挠脩艄芾韺徟贫?，?duì)用戶的使用目的和使用情況進(jìn)行授權(quán)。因此，建議組織專門指定一個(gè)人來協(xié)調(diào)組織中的知識(shí)和經(jīng)驗(yàn)，以確保一致性，并幫助做出安全決議。同樣也應(yīng)考慮成為安全組織和行業(yè)論壇的成員?？刂拼胧?yīng)經(jīng)雙方同意，并在合同中進(jìn)行明確定義。b） 貿(mào)易伙伴或合資伙伴，他們之間需要交流信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫(kù)。只有在實(shí)施了適當(dāng)?shù)目刂拼胧┎⒑炗喠撕w連接和訪問條件的合同之后，第三方方可訪問信息和信息處理設(shè)備。前面條款中的列表所給出的款項(xiàng)也應(yīng)作為合同的一部分考慮進(jìn)去。責(zé)任應(yīng)由指定的資產(chǎn)所有人承擔(dān)。 信息分類目標(biāo)：確保信息資產(chǎn)受到適當(dāng)級(jí)別的保護(hù)；應(yīng)該對(duì)信息進(jìn)行分類以指明要求、優(yōu)先性和保護(hù)等級(jí)。經(jīng)過了一段時(shí)間后，例如當(dāng)信息已經(jīng)被公開時(shí)，信息通常就不再是敏感的或重要的。這些程序必須包含以物理或電子形式存在的信息資產(chǎn)。應(yīng)該在新員工聘用階段就提出安全責(zé)任問題，包括在聘用合同中，并且在員工的雇傭期間進(jìn)行監(jiān)督。對(duì)于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)該定期重復(fù)。3. 保密協(xié)議保密或不泄密協(xié)議用于告知信息是保密的或秘密的。還應(yīng)該包括分類和管理雇主數(shù)據(jù)的責(zé)任。應(yīng)使所有雇員和簽約人知道可能影響組織資產(chǎn)安全的不同種類事故（安全事故、威脅、弱點(diǎn)或故障）的各種報(bào)告程序。這些事故可以用于用戶安全意識(shí)培訓(xùn)，作為會(huì)發(fā)生什么事故、對(duì)此類事故如何響應(yīng)、以及將來如何避免的例子。應(yīng)該立即警告適當(dāng)?shù)穆?lián)絡(luò)人。這可以表明增強(qiáng)或增加控制措施的必要性，以限制將來事故發(fā)生的頻率、損壞程度和損失，或者在安全方針評(píng)審過程（）中加以考慮。建議采用清空桌面和清屏方針以降低對(duì)文件、媒體和信息處理設(shè)備的未經(jīng)授權(quán)的訪問或破壞的風(fēng)險(xiǎn)。場(chǎng)所的外墻應(yīng)該是堅(jiān)固