【正文】 使用者權(quán)責(zé) 網(wǎng)絡(luò)存取管制 操作系統(tǒng)存取管理 應(yīng)用軟件存取管理 監(jiān)控系統(tǒng)的存取及使用 移動計算機及撥接服務(wù)管理 十、 信息系統(tǒng)的開發(fā)和維護 信息系統(tǒng)的安全要求 應(yīng)用軟件的安全要求 資料加密技術(shù)管制 系統(tǒng)檔案的安全性 開發(fā)和支持系統(tǒng)的安全性 十一、 維持運營管理 持續(xù)運營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術(shù)應(yīng)用的審查 系統(tǒng)稽核的考慮 前言 何謂信息安全？ 對一個單位或組織來說，信息和其它商業(yè)資產(chǎn)一樣有價值，因此要加以適當(dāng)?shù)谋Ｗo。 單位及其信息系 統(tǒng)和網(wǎng)絡(luò)正面臨著來自各方面的越來越多的安全威脅，如計算機輔助詐騙、間諜、破壞、毀壞、水災(zāi)或火災(zāi)等等。信息安全管理至少要求單位所有員工的參與。 第三個來源是單位為支持其運營而開發(fā)出的一套針對信息處理的原則、目標(biāo)和要求。 選擇管制手段 安全要求一旦確定之后，就應(yīng)選擇并實施管制手段以確保風(fēng)險被降到一個可接受的水平。 本文件中的某些管制手段可以用作多數(shù)單位的信息安全管理的指導(dǎo)原則。本 條例所描述的指導(dǎo)原則和管制手段也并不一定適合所有單位的情況。 風(fēng)險評估 對信息和信息處理設(shè)施的弱點、其所受威脅、后果及其發(fā)生概率的評估。為此，要求對下列事項進行定期、有計劃的審訂： 政策的有效性，可通過記錄在案的安全事故的性質(zhì)、數(shù)目和影響來論證 對運營效率進行管制的成本及影響 技術(shù)變化的影響 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 目標(biāo)：管理單位內(nèi)部的信息安全。該委員會旨在通過適當(dāng)?shù)某兄Z和合理的資源分配提攜單位內(nèi)部的安全。但是，涉及資源分派和實施管制的事務(wù)仍應(yīng)交由各部經(jīng)理負責(zé)。 在公務(wù)場合使用個人信息處理設(shè)備本身可導(dǎo) 致安全漏洞，因此要經(jīng)過評估和批準(zhǔn)。他們對安全威脅評估及提出管制建議的質(zhì)量決定了單位信 息安全的有效性。對其實施的審核應(yīng)獨立開展，確保單位的做法恰當(dāng)?shù)胤磻?yīng)了政策的要求，并確保實施方面的可行性和有效性。 本標(biāo)準(zhǔn)可用作制定此類合同或考慮委外信息加工時的基礎(chǔ)。例如，在現(xiàn)場的第三方可以包括： 硬件和軟件維護和支持人員 清潔、料理、保安和其它委外的支持服務(wù)人 員 學(xué)生員工及其它短期臨時工作人員 顧問 知道需采取哪些管制手段管理第三方對信息處理設(shè)備的存取至關(guān)重要。 委外加工處理合約內(nèi)的安全需求 如單位需將其信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面操作環(huán)境系統(tǒng)的管理和 管理任務(wù)部分或全部地委托給他方實施，此方面的安全要求在有關(guān)各方簽訂的合同中加以規(guī)定。實施管制的任務(wù)可委托給他人，但最后的責(zé)任要由資產(chǎn)的主管人員承擔(dān)。 對信息進行分類，顯示其用途、優(yōu)先程度和保護級別。 經(jīng)過一段時間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開信息之后。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。 對潛在的待聘員工應(yīng)加以仔細充分的篩選（見 ），特別是從事敏感工作的員工。如果上述人員通過中介機構(gòu)推薦給單位，則單位要和該機構(gòu)簽訂合同，在 合同中載明該中介機構(gòu)要對被推薦人進行審查責(zé)任，以及中介機構(gòu)在未對被推薦人進行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時通知單位的必要程序。 沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。（參見 和 ） 教育訓(xùn)練 目標(biāo)：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。單位要建立正式的處罰條例來懲治違反安全規(guī)定的員工。他們要把這些漏洞或者報告給管理人員 或者直接盡快報告給服務(wù)提供商。 有關(guān)事故應(yīng)馬上回報給信息安全經(jīng)理。 關(guān)鍵或敏感的商業(yè)信息處理設(shè)備應(yīng)放置在安全的區(qū)域，由安全防御帶、適當(dāng)?shù)陌踩琳虾蜏?zhǔn)入管制手段加以保護，以防它們物理上被非法進入、毀壞或干擾。 在適當(dāng)?shù)那闆r下可以考慮下列的指導(dǎo)原則和管制手段： 安全防御帶應(yīng)當(dāng)清楚定義 放置信息處理設(shè)備的樓房或場所的防御帶從物理角度應(yīng)當(dāng)非?？煽俊碓L者只有在有明確經(jīng)過授權(quán)的任務(wù)時才允許訪問安全區(qū)，并要被告知安全區(qū)內(nèi)的安全要求及緊急流程。還要考慮險關(guān)的健康和安全條例及標(biāo)準(zhǔn)。 從物理上把本單位管理的信息處理設(shè)備和第三方管理的信息處理設(shè)備進行區(qū)隔。 為安全和防止壞人破壞起見，對安全區(qū)內(nèi)所有工作實施監(jiān)視?？煽紤]采用如下原則： 只允許經(jīng)過授權(quán)且已辨明身份的人從樓外進入交接區(qū)。同時應(yīng)考慮設(shè)備的座落和處置。 在工業(yè)環(huán)境下可考慮采用特別的保護方法，如對鍵盤套上保護膜等。如安裝了發(fā)電機，應(yīng)當(dāng)按制造商的要求對其進行定期檢測。 對敏感或關(guān)鍵設(shè)備，可考慮進一步的管制措施，如： 1）在檢測或終點端安裝裝甲防護電纜導(dǎo)管或上鎖房間或盒子； 2）使用備用路徑或傳輸媒介； 3）使用光纖電纜； 4）對非法掛置在電纜上的物件進 行定期掃除 設(shè)備的維護、保養(yǎng) 對設(shè)備的維護應(yīng)依據(jù)制造商的指示或規(guī)定的流程進行，確保持續(xù)正常的工作狀態(tài)。 隨時遵守制造商關(guān)于保護設(shè)備的指示，例如防止設(shè)備接觸強磁場等。 日常管制 目標(biāo)：防止信息或信息處理 設(shè)備被毀壞或偷竊。 個人電腦和電腦終端及打印機在無人使用時不得置于上網(wǎng)狀態(tài)，并要求有密碼、密碼鎖或其它的保護措施。 八、 溝通和操作過程管理 操作程序書及權(quán)責(zé) 目標(biāo)：確保雇員能正確、安全地操作信息處理設(shè)備。對信息處理設(shè)備和系統(tǒng)管制的不充分是引起系統(tǒng)或安全癱瘓的常見原因。其管制流程要確保： 1）只有經(jīng)過明確授權(quán)并辨明身份的人員才得以接觸系統(tǒng)和數(shù)據(jù)（參見 條款中關(guān)于第三方存取的規(guī)定）； 2）所有緊急行動都要有詳細的記錄； 3）有序地向管理人員報告并評估緊急行動計劃； 4）對 運營系統(tǒng)和管制手段完整性的確認應(yīng)盡量避免耽擱 部門權(quán)責(zé)劃分 權(quán)責(zé)劃分是降低事故風(fēng)險和故意濫用系統(tǒng)風(fēng)險的一個有效手段。要制定相關(guān)法規(guī)來控制軟件從開發(fā)部門向操作部門的劃撥。開發(fā)人員和測試人員也會構(gòu)成對操作信息保密性的威脅。因此，對 這些風(fēng)險要事先加以辨認，并納入和承包方簽訂的合同當(dāng)中。主框服務(wù)的經(jīng)理人員應(yīng)當(dāng)對主要系統(tǒng)資源的使用情況進行監(jiān)視，包括處理器、主要內(nèi)存、文件儲存、打印機和其它輸出設(shè)備及通訊系統(tǒng)。 采取措施防止并檢測侵略性軟件的侵入。這種監(jiān)測可開不用的地方展開，如電力郵件服務(wù)器、桌面電腦或進入單位的網(wǎng)絡(luò)時 防范系統(tǒng)病毒的管理流程及權(quán)責(zé)、其使用方法的培訓(xùn)、報告和病毒攻擊后的恢復(fù)（參見 和 ） 用于病毒攻擊后恢復(fù)工作的持續(xù)經(jīng)營計劃，包羅所有必要的數(shù)據(jù)和軟件備份及恢復(fù)安排（參見地 11 條款） 用于檢測所有侵略性軟件信息的流程，確保警告標(biāo)志的準(zhǔn)確。針對單個系統(tǒng)的備份安排要進行定期測試，確保它們符合持續(xù)運營計劃的要求（參見 11 條款）。登錄數(shù)據(jù)要包括如下信息： 系統(tǒng)啟動和關(guān)閉時間 系統(tǒng)錯誤和所 采取的修改行動 對數(shù)據(jù)文件和電腦輸出的正確操作的確認 登錄人員的名稱 對操作人員登錄應(yīng)按操作流程進行能夠定期審核。特別是要考慮如下要素： 在適當(dāng)情況下，把網(wǎng)絡(luò)的操作權(quán)責(zé)和電腦操作劃分開（參見 ） 要建立管理遠程設(shè)備（包括使用區(qū)域的設(shè)備）的責(zé)任和流程 如有必要，采取特別管制措施保護通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的保密性和完整性，并保護聯(lián)結(jié)系統(tǒng)（參見 和 ）。 媒體的處理 媒體作廢后，應(yīng)對其進行安全處理。 信息移動或儲存程序 建立信息移動或儲存流程，確保信息不被非法泄漏或濫用。此類協(xié)議的安全內(nèi)容要反映所涉及的業(yè)務(wù)信息的敏感性。（參見 條款， 條款和 條款） 貿(mào)易伙伴間的電子商務(wù)安排應(yīng)通過記錄在案的合同加以約束，從而使雙方都能對合同的貿(mào)易條款作出承諾，包括授權(quán)的細節(jié)等。這些提供了機會可以通過運用文件、電腦、移動電腦、移動通訊、郵件、語音郵件、語音通訊、多媒體、郵政服務(wù)設(shè)施和傳真機等的組合更快地傳播訊息并分享商務(wù)信息。信息可可能通過非法使用者的進入而遺失（參見第 9 條款）。安全意識或使用設(shè)施流程的缺乏會導(dǎo)致信息的泄漏，比如，打移動電話、使用語音答錄機時會被監(jiān)聽，語音郵件系統(tǒng)被非法進入或把傳真錯發(fā)給別人等。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風(fēng)險。應(yīng)當(dāng)采取管制手段防止上列威脅的出 現(xiàn)。同時，要考慮電子數(shù)據(jù)交換、電子商務(wù)和電子郵件在業(yè)務(wù)和安全方面的隱患及對其進行管制的要求。 對敏感物品的處置要進行登錄，以便事后進行審計之用。可考慮如下指導(dǎo)原則： 任何可再用媒體上保留的過去的內(nèi)容如不需要都要加以清除。 網(wǎng)絡(luò)管制 實施一系列管制措施，實現(xiàn)并保持網(wǎng)絡(luò)安全。 恢復(fù)流程應(yīng)定期審訂測試，確保其有效性，使其在規(guī)定時間內(nèi)能夠完成恢復(fù)的任務(wù) 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存等都要加以規(guī)定。 資料備份 重要的商業(yè)信息和軟件應(yīng)進行定期備份。可考慮如下措施： 制定政策要求使用正版軟件，禁止使用盜版軟件（參見 ） 制定政策防范使用外來的軟件或文件的風(fēng)險（參見 和 ） 安裝并定期升級防病毒檢測和修補軟件，用其來掃描電腦和媒體并將其制度化 對支持關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)進行定期監(jiān)測。采取適當(dāng)?shù)臏y試來確認所有的驗收標(biāo)準(zhǔn)都已達到。這些預(yù)測要考慮新業(yè)務(wù)和系統(tǒng)的要求及單位信息處理的當(dāng)前和未來走向。同時，管制手段要確?？诹钤谟卯吅篑R上更換。在某些系統(tǒng)內(nèi)，這一能力可能會被濫用來進行犯罪活動，或引入未經(jīng)測試的病毒碼。事件的發(fā)起和其授權(quán)要分開考慮。特別是要考慮如下的因素： 對重大變更的辨別和記錄 對此類變化的潛在影響的評估 對提議的變更的正式審批流程 把變更的細節(jié)通知給所有的相關(guān)人員 追究放棄變更或失敗變更恢 復(fù)責(zé)任的流程 事故管理程序 要建立事故管理責(zé)任流程制度，確保安全事故發(fā)生后作出快速、有效、有序的反應(yīng)（參見 ）。 流程要規(guī)定每個工作的具體實行指示，包括： 信息的加工和處理 日程的要求，包括和其 它系統(tǒng)的相互依存，最早的工作起始點及最晚的工作結(jié)束日期等 關(guān)于處理工作過程當(dāng)中出現(xiàn)的錯誤或其它特殊條件的指示，包括對系統(tǒng)設(shè)備的使用限制等（參見 ） 出現(xiàn)預(yù)料之外的操作或技術(shù)困難時尋求支持的聯(lián)絡(luò)方式 特別輸出處理指示，例如如何使用特別的文具或機密輸出的管理等，包括對錯誤輸出的安全處理 出現(xiàn)系統(tǒng)癱瘓時的系統(tǒng)重新啟動和恢復(fù)流程 和信息處理及通訊設(shè)備有關(guān)的系統(tǒng)整理活動要有記錄在案的操作流程，例如電腦啟動和關(guān)閉程序、備份、設(shè)備維護、電腦房和郵件處理管理及安全流程等。要進行場地檢查以檢測資產(chǎn)是否被非法挪用。 留在桌面上的信息很易于被盜，或在發(fā)生水災(zāi)、火災(zāi)、爆炸時被毀壞。 所有存有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查，以確保其內(nèi)存的敏感信息和授權(quán)專用軟件已被清除或覆蓋?？煽紤]采用如下的指導(dǎo)原則： 從單位帶出的設(shè)備或媒介在公共場合要有人照看?？煽紤]如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護措施。對續(xù)電器要定期檢查其儲電量，并按制造商的指導(dǎo)對其進行測試。 采取管制手段來降低潛在威脅的風(fēng)險，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定。 設(shè)備應(yīng)從物理上防止受到安全威脅或環(huán)境上的破壞。 交接區(qū)的隔離 對交接區(qū)進行管制；如有必要，將其與信息處理設(shè)施進行隔離，并避免未經(jīng)授權(quán)的進入。這些包括針對在安全區(qū)工作的人員或第三方的管制，也包括對其活動的管制。無人區(qū)特別要保持隨時警戒。 信息安全辦公室、處所、設(shè)備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內(nèi)的幾間房間，其本身可以上鎖，也可以內(nèi)置上鎖的保險柜或保險箱?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。安全防御帶即指構(gòu)成區(qū)隔的東西，例如是一面墻，一道憑卡片進入的門，或值班的接待臺等。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。如需要對設(shè)備進行檢查，在重新啟動之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見 ）。 所有員工和合同方都要認識如何回報影響單位資產(chǎn)安全的不同類型的事故。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。 保密協(xié)議 保密協(xié)議的目的是對信息的保密性加以說明。對握有大權(quán)的員工此類信用調(diào)查更要定期開展。 六、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 目標(biāo)：降低錯誤、偷竊、欺騙 或設(shè)備誤用的風(fēng)險。 對信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進行定義并進行周期性審訂的任務(wù)應(yīng)由信息原來的的制造者或指定的主管人員來完成。要對數(shù)據(jù)分類系統(tǒng)的信息和輸出進行標(biāo)示，以決定此類信息對單位而言其價值和敏感度的級別。每個資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認并登記。 對資產(chǎn)的負責(zé)制度將確保對其進行有效的保護。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護，包括 1