【正文】 要降低對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)并免受損失或損壞，必須對設(shè)備（包括不在現(xiàn)場使用的設(shè)備）進(jìn)行保護(hù)。應(yīng)考慮以下指導(dǎo)原則。 b) 出于安全原因和消除惡意行為 發(fā)生的機(jī)會(huì)兩方面考慮，不允許在安全區(qū)域內(nèi)進(jìn)行未經(jīng)調(diào)查的工作。 g) 通過有些目錄和內(nèi)部人員電話號碼本，能確定敏感信息處理設(shè)備的位置，不能讓公眾得到這些資料。 a) 關(guān)鍵設(shè)備應(yīng)放在公眾無法進(jìn)入的地方。應(yīng)對所有訪問嚴(yán)格執(zhí)行審計(jì)流程。 e) 安全區(qū)的所有防火門應(yīng)報(bào)警并關(guān)閉。防護(hù)設(shè)備的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評估的結(jié)果。 應(yīng)該將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在安全的地方，使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安全隔離帶進(jìn)行保護(hù)。應(yīng)由經(jīng)過培訓(xùn)富有經(jīng)驗(yàn)員工執(zhí)行恢復(fù)工作。 應(yīng)考慮采取以下措施。 所有雇員和承包商都應(yīng)該了解報(bào)告安全事故的程序步驟，并根據(jù)要求，盡快報(bào)告 安全事故。 對安全事故和故障的處理 目標(biāo)： 最大限度降低由于事故和故障而遭受的損失，對此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。 雇用條款和條件中也應(yīng)該包括雇員的法律責(zé)任和權(quán)限方面的條款，如關(guān)于版權(quán)法或數(shù)據(jù)保護(hù)法規(guī)方面的內(nèi)容。應(yīng)在自己的權(quán)限 范圍內(nèi)，根據(jù)相應(yīng)的規(guī)定，妥善處理這些問題。 如果某個(gè)職位，不管是外部招聘還是內(nèi)部提升員工，涉及到可以訪問信息處理設(shè)備的人員，特別是那些處理敏感信息（如財(cái)務(wù)信息或絕密信息）的個(gè)人，組織必須對該人員進(jìn)行信用檢查。 21 6 人員安全 責(zé)任定義與資源管理的安全性 目標(biāo)： 降低設(shè)施誤操作、偷竊、詐騙或?yàn)E用等方面的人為風(fēng)險(xiǎn)。 信息標(biāo)識和處理 根據(jù)組織采用的分類方法，明確標(biāo)記和處理信息的妥善步驟，是非常重要的。也可以按信息對組織的關(guān)鍵程度分類，如按照其可用性和完整性分類。 信息分類 目標(biāo)： 保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。 資產(chǎn)目錄 資產(chǎn)清單能幫助您確保對資產(chǎn)實(shí)施有效的保護(hù)，也可以用于其它商業(yè)目的，如保健、金融保險(xiǎn)等（資產(chǎn)評估）。 合同應(yīng)允許在安全管理計(jì)劃詳細(xì)說明安全要求和程序步驟移植，使合同雙方就此達(dá)成一致。為滿足供應(yīng)商，組織應(yīng)首先滿足自己。 現(xiàn)場承包商 按照合約的規(guī) 定，第三方在現(xiàn)場工作一段時(shí)間后也會(huì)留下導(dǎo)致安全隱患。 確定第三方訪問的風(fēng)險(xiǎn) 訪問類型 允許第三方使用的訪問類型非常重要。 審查工作應(yīng)該由組織內(nèi)部的審計(jì)職能部門、獨(dú)立管理人員或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行，而且這些人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。 在發(fā)生可疑的安全事故或破壞行為時(shí)，應(yīng)盡早向 信息安全顧問或其它專家進(jìn)行咨詢，以得到專家的指導(dǎo)或可供研究的資源 。 專家信息安全建議 很多組織都需要專家級的信息安全建議。 應(yīng)考慮以下問題。 一種常用的方法是為每項(xiàng)信息資產(chǎn)指定一個(gè)所有者，并由他負(fù)責(zé) 該資產(chǎn)的日常安全問題 。 信息安全的協(xié)調(diào) 在大型組織中，需要建立一個(gè)與組織規(guī)模相宜的跨部門管理論壇，由組織有關(guān)部門的管理代表參與，通過論壇協(xié)調(diào)信息安全控制措施的實(shí)施情況。 建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評估方法同步，并在處理安全事故時(shí)吸收他們的觀點(diǎn)。 安全策略應(yīng)該向組織用戶傳達(dá)，形式上是針對目標(biāo)讀者，并為讀者接受和理解。 完整性的定義是保護(hù)信息和處理方法的準(zhǔn)確和完整 。 制定自己的指導(dǎo)方針 業(yè)務(wù)規(guī)則可以作為制定組織專用的指導(dǎo)原則的起點(diǎn) 。 信息安全起點(diǎn) 很多控制措施都可以作為指導(dǎo)性原則，它們?yōu)閷?shí)施信息安全提供了一個(gè)很好的起點(diǎn) 。 管理 風(fēng)險(xiǎn)有許多方法，本文檔提供了常用方法的示例 。 進(jìn)行風(fēng)險(xiǎn)評估需要系統(tǒng)地考慮以下問題： a) 安全故障可能造成的業(yè)務(wù)損失，包含由于信息和其它資產(chǎn)的保密性、完整性或可用性損失可能造成的后果； b) 當(dāng)前主要的威脅和漏洞帶來的現(xiàn)實(shí)安全問題，以及目前實(shí)施的控制措施。第一個(gè)來源是對組 織面臨的風(fēng)險(xiǎn)進(jìn)行評估的結(jié)果 。 通過技 術(shù)手段獲得安全保障十分有限，必須輔之以相應(yīng)的管理手段和操作程序才能得到真正的安全保障 。 為什么需要信息安全 信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。 信息安全保護(hù)信息免受多種威脅的攻擊，保證業(yè)務(wù)連續(xù)性，將業(yè)務(wù)損失降至最少，同時(shí)最大限度地獲得投資回報(bào)和利用商業(yè)機(jī)遇。 British Standard 作為一個(gè)業(yè)務(wù)守則，在形式上采用指導(dǎo)和建議結(jié)合的方式。 本標(biāo)準(zhǔn)使用組織這一術(shù)語，既包括贏利性組織，也包括諸如公共部門等非贏利性組織。 BS 7799 由兩個(gè)部分組成： ? 第一部分： 信息安全管理業(yè)務(wù)守則； ? 第二部分： 信息安全管理系統(tǒng)規(guī)范。 并且在 形式上也不可能完全適合組織的所有潛在用戶。 British Standards 的用戶對他們正確使用本標(biāo)準(zhǔn)自負(fù)責(zé)任 。 信息安全是通過實(shí)施一整套適當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。 公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的互聯(lián)以及對信息資源的共享，增大了對訪問進(jìn)行控制的難度。 如果在制定安全需求規(guī)范和設(shè)計(jì)階段時(shí)就考慮到了信息安全的控制措施，那么信息安全控制的成本會(huì)很低，并更有效率 。 應(yīng)該將實(shí)施控制措施的支出與安全故障可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮。通常先在一個(gè)較高的層次上對風(fēng)險(xiǎn)進(jìn)行評估（這是一種優(yōu)先處理高風(fēng)險(xiǎn)區(qū)域中的資源的方法），然后在一個(gè)具體層次上處理特定的風(fēng)險(xiǎn)。 還應(yīng)該考慮聲譽(yù)受損等非貨幣因素 。 請注意，盡管本文檔中的所有文檔都很重要，但一種方法是否適用，還是取決于一個(gè)組織所面臨的特定安全風(fēng)險(xiǎn)。 目的是為制定組織安全標(biāo)準(zhǔn)和有效安全管理提供共同基礎(chǔ)，并提高組織間相互協(xié)調(diào)的信心。 文檔應(yīng)說明管理人員承擔(dān)的義 務(wù)和責(zé)任，并制定組織的管理信息安全的步驟 。 應(yīng)該建立管理框架，在組織內(nèi)部開展和控制信息安全的管理實(shí)施。 該論壇可以作為目前管理機(jī)構(gòu)的一個(gè)組成部分 。 應(yīng)明確說明對各個(gè)實(shí)際資產(chǎn)和信息資產(chǎn)以及安全進(jìn)程（如業(yè)務(wù)連續(xù)性規(guī)劃）的保護(hù)責(zé)任 。 b) 應(yīng)該確定負(fù)責(zé)各個(gè)資產(chǎn)和安全進(jìn)程的管理人員，并記錄責(zé)任的具體落實(shí)情況 。 15 d) 使用個(gè)人信息處理工具處理業(yè)務(wù)信息和其它必要的控制措施應(yīng)得到授權(quán)。 信息安全顧問或其它專家應(yīng)負(fù)責(zé)為信息安全的各種問題提供建議，這些意見既可以來自他們本人，也可以來自外界。 信息安全的獨(dú)立評審 信息安全策略文檔（參見 ）制定了信息安全的策略和 責(zé)任。 第三方的訪問可能涉及到其它人員。 如果不進(jìn)行充分的安全管理就允許第三方訪問數(shù)據(jù)，則信息被置于很危險(xiǎn)的境地 。 只有實(shí)施了相應(yīng)的控制措施，并在合同 中明確規(guī)定了連接或訪問的條款，才能允許第三方訪問信息和使用信息處理設(shè)備 。 外包合同的安全要求 如果將所有或部分信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面環(huán)境的管理和控制進(jìn)行外包，則應(yīng)在雙方簽定的合同中反映組織的安全要求。 應(yīng)確定所有主要資產(chǎn)的所有者，并分配維護(hù)該資產(chǎn)的責(zé)任。 應(yīng)該明確確認(rèn)每項(xiàng)資產(chǎn)及其所有權(quán)和安全分類。 分類原則 在對信息進(jìn)行分類并制定相關(guān)的保護(hù)性控制措施時(shí)，應(yīng)該考慮以下問題：對共享信息或 限制信息共享的業(yè)務(wù)需求，以及與這種需求相關(guān)的業(yè)務(wù)影響，如對信息未經(jīng)授權(quán)的訪問或損害。 過于復(fù)雜的分類會(huì)使人感覺非常麻煩，使用起來很不合算或沒有實(shí)用價(jià)值。需要考慮的問題包括：打印出的報(bào)告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、磁盤、 CD、磁盤）、電子消息和文件的傳輸問題。還應(yīng)包括實(shí)施和維護(hù)安全策略的總體責(zé)任，以及保護(hù)特殊資產(chǎn)、執(zhí)行特殊特別安 全程序或活動(dòng)的責(zé)任。 所有員工的工作都應(yīng)由高級員工進(jìn)行定期審查和審核。 雇傭條款和條件 雇傭條款和條件應(yīng)該規(guī)定員工的信息安全責(zé)任。 信息安全的教育與培訓(xùn) 組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。 要妥善處理安全事故，應(yīng)在事故發(fā)生后，盡快收集證據(jù) （參見 ）。應(yīng)該告訴用戶，在任何情況下，也不要試圖證明一個(gè)可疑安全漏洞。不要將磁盤拿到其它計(jì)算機(jī)上使用。 對那些無視安全工作步驟的雇員來說，這種方法就是一種威懾。 每個(gè)防 護(hù)設(shè)備都劃分出一個(gè)安全區(qū)，這都提高了整體的保護(hù)效果。 c) 設(shè)立一個(gè)人工值守的接待區(qū)域或使用其它方法，將對現(xiàn)場或建筑物的實(shí)際訪問限制在適當(dāng)?shù)膮^(qū)域中。 只有來訪者 有特定的、經(jīng)過授權(quán)的目的時(shí)，才能進(jìn)入安全區(qū)，而且還要告訴他們該區(qū)域的安全要求和緊急情況下的行動(dòng)步驟。也應(yīng)該將各種相關(guān)的健康和安全方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。 對無人區(qū)域進(jìn)行 24 小時(shí)的報(bào)警監(jiān)視。 者包括如何控制在安全區(qū)內(nèi)工作的個(gè)人和第三方人員，以及如何控制第三方人員在安全區(qū)以內(nèi)的活動(dòng)。 e) 除非經(jīng)過授權(quán)，不允許使用圖象、視頻、音頻和其它記錄設(shè)備。 e) 如果可以（參見 ），在入口處對收下的材料進(jìn)行登記。 設(shè)備選址與保護(hù) 應(yīng)該注重設(shè)備的選址與保護(hù)，減少來自環(huán)境威。 c) 當(dāng)存放物品的區(qū)域內(nèi)部的門打開時(shí)，一定要保證外部的門是安全的。 必須對其訪問行為進(jìn)行授權(quán)和監(jiān)視。 26 i) 使應(yīng)急設(shè)備和備份介質(zhì)的存儲位置與主安全區(qū)域保持一個(gè)安全距離，以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。 d) 在沒人的時(shí)候，將門窗關(guān)閉，還要注意防止有人從窗戶，特別是只有一層的窗戶就可以進(jìn)入安全區(qū)域。 辦公場所、房屋和設(shè)施的安全保障 安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾 個(gè)房間，安全隔離帶本身也可能是加鎖的并包括幾個(gè)可加鎖的小房間或保險(xiǎn)箱。 應(yīng)考慮以下控制措施。 b) 建筑物或某個(gè)地方中存放信息處理設(shè)備的安全區(qū)的位置應(yīng)該非常合理（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開）。 對紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)和損害。 這需要使用功能更強(qiáng)的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)（參見 ）。 立刻向合適的聯(lián)系人報(bào)警。 安全漏洞報(bào)告 應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時(shí)，立即進(jìn)行記錄并匯報(bào)。 他們應(yīng)盡快將觀察到的或可疑的事件報(bào)告給事先指定的聯(lián)系人。 用戶培訓(xùn) 目標(biāo)： 保證用戶了解信息安全存在的威脅和問題，在正常工作中切實(shí)遵守組織安全策略。 現(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時(shí)性員工和第三方用戶的問題，在允許他們訪問信息處理設(shè)備之前，應(yīng)要求他們簽署一份協(xié)議。如果這些員工是代理機(jī)構(gòu)介紹的，在與代理機(jī)構(gòu)的合同中應(yīng)該注明以下事項(xiàng)：代理機(jī)構(gòu)的選拔責(zé)任，以及如果代理機(jī)構(gòu)沒有完整執(zhí)行選拔過程，或選拔結(jié)果有疑問時(shí)，代理機(jī)構(gòu)應(yīng)遵循的通知本方的步驟。 所有員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密（不公開）協(xié)議。 系統(tǒng)輸出結(jié)果包含敏感或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類標(biāo)記（輸出結(jié)果中）。 分類指導(dǎo)原則預(yù)計(jì)到并接受這樣一個(gè)事實(shí)：信息的分類不是固定不變的，可以根據(jù)預(yù)定策略進(jìn)行更改（參見 ）。 有些信息需要加強(qiáng)保護(hù)或進(jìn)行特別對待。利用 以上信息，組織可以根據(jù)資產(chǎn)的重要性和價(jià)值提供相應(yīng)級別的保護(hù)。 所有主要的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。 外包 目標(biāo)： 在將信息處理責(zé)任外包給另一組織時(shí)保障信息安全。 通常，第三方訪問會(huì)帶來新的安全要求或內(nèi)部控制措施，這些都應(yīng)該在與第三方的合同中體現(xiàn)出來（另請參見 ）。 訪問理由 允許第三方訪問有以下理由 。 如果存在對第三方訪問的業(yè)務(wù)需求，必須進(jìn)行風(fēng)險(xiǎn)評估，以確定所涉及的安全問題和控制要求。 同樣的，也應(yīng)該考慮加入安全組織和業(yè)界論壇。 在這種情況下，我們建議專家負(fù)責(zé)協(xié)調(diào)公司內(nèi)部的知識和經(jīng)驗(yàn)資源，以確保協(xié)調(diào)一致，并在安全決策方面提供幫助。 b) 如果需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。 一定要明確說明各個(gè)管理人員所負(fù)責(zé)的范圍；特別是要明確以下范圍 。 信息安全策略（請參閱條款 3）應(yīng)提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一般指導(dǎo)原則。 應(yīng)該建立一個(gè)管理論壇，確保對安全措施有一個(gè)明確的方向并得到管理層的實(shí)際支持。 還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查 ： a) 檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來； b) 控制措施的成本及其業(yè)務(wù)效率的 影響 ； c) 技術(shù)變化帶來的影響 。 管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過在整個(gè)組織中發(fā)布和維護(hù)信息安全策略，表明自己對信息安全的支持和保護(hù)責(zé)任 。出現(xiàn)上述情況時(shí)，各控制措施之間相互參 照很有用，有利于審計(jì)人員和業(yè)務(wù)伙伴檢查是否符合安全指導(dǎo)原則。 在保護(hù)信息安全的實(shí)踐中，非常好的常用控制措施包括 ： a) 信息安全策略文檔（參閱 ）； b) 信息安全責(zé)任的分配（參閱 ） ； c) 信息 安全教育和培訓(xùn)（參閱 ）； d) 報(bào)告安全事故（參閱 ） ； e) 業(yè)務(wù)連續(xù)性管理（參閱 ） 。在較小的組織中很難將所有責(zé)任劃分清楚，因此需要使用其它方法以達(dá)到同樣的控制目的 。 對安全風(fēng)險(xiǎn)和實(shí)施的控制措施進(jìn)行定期審查非常重要，目 的是： a) 考慮業(yè)務(wù)要求和優(yōu)先順序的變更； b) 考慮新出現(xiàn)的安全威脅和漏洞； c) 確認(rèn)控制措施方法是否適當(dāng)和有效。 第三個(gè)來源是一組專門的信息處理的原則、目標(biāo)和要求，它們是組織為了進(jìn)行信息處理必須制定的。信息安全管理還需要供應(yīng)商、客戶或股東的參與。 危害的來源多種多樣，如計(jì)算機(jī)病毒、計(jì)算機(jī) 黑客行為 、