【正文】 從事故中學(xué)習(xí)要有適當(dāng)?shù)臋C(jī)制，以使事故和故障的類型、數(shù)量和代價(jià)能被量化和監(jiān)督。這些設(shè)施要在物理上避免未授權(quán)訪問(wèn)、損壞和干擾。若合適，下列指南和控制應(yīng)予以考慮：a） 安全周邊應(yīng)清晰地予以定義。下列控制要予以考慮?！?辦公室、房間和設(shè)施的安全保護(hù)安全區(qū)域可以是在物理安全周邊內(nèi)側(cè)上鎖的辦公室或者幾個(gè)房間。c） 支持性功能件和設(shè)備（例如，影印機(jī)，傳真機(jī)）適宜坐落在安全區(qū)域內(nèi)，以避免可能泄露信息的要求訪問(wèn)。成批的供應(yīng)品（諸如信紙文具之類）除非必要都不應(yīng)存儲(chǔ)在安全區(qū)域內(nèi)。該訪問(wèn)要經(jīng)過(guò)授權(quán)和并受到監(jiān)督。c） 當(dāng)內(nèi)部的門(mén)打開(kāi)時(shí)，交接區(qū)域的外部的門(mén)應(yīng)緊閉。　 設(shè)備安置和保護(hù)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì)。g） 對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門(mén)保護(hù)方法（諸如，鍵盤(pán)保護(hù)膜）。如果電源故障延長(zhǎng)，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。a） 進(jìn)入信息處理設(shè)施的電源和電信線路宜在地下，若可能，或者提供足夠的可替換保護(hù)；b） 網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞，例如，利用電纜管道或使路由避開(kāi)公眾區(qū)域；c） 為了防止干擾，電源電纜要與通信電纜分開(kāi)；d） 對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步控制考慮包括：1） 在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；2） 使用可替換的路由選擇或傳輸媒體；3） 使用布光纜；4） 清除與電纜連接的未授權(quán)裝置。下列指南要予以考慮?！?一般控制目的：防止信息和信息處理設(shè)施的受損害或被盜竊?！?財(cái)產(chǎn)的移動(dòng)在未經(jīng)授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開(kāi)場(chǎng)地?！?文檔化的操作規(guī)程由安全策略所標(biāo)識(shí)出的操作規(guī)程應(yīng)形成文檔并予以維護(hù)。當(dāng)該計(jì)劃變更時(shí)，包含所有相關(guān)信息的審核日志要予以保留。這些規(guī)程應(yīng)確保：1） 只有明確標(biāo)識(shí)的和已授權(quán)的人員才允許訪問(wèn)運(yùn)轉(zhuǎn)著的系統(tǒng)和數(shù)據(jù)（）；2） 所采取的全部應(yīng)急動(dòng)作詳細(xì)地形成文檔；3） 將應(yīng)急動(dòng)作報(bào)告給管理層并按有序的方式進(jìn)行評(píng)審；4） 以最小延遲，對(duì)業(yè)務(wù)系統(tǒng)和控制的完整性加以證實(shí)。下列控制要加以考慮。在這種情況下，有必要維護(hù)一種已知的和穩(wěn)定的環(huán)境，在此環(huán)境中可執(zhí)行有意義的測(cè)試和防止不合適的開(kāi)發(fā)者訪問(wèn)。a） 若有可能，開(kāi)發(fā)和運(yùn)行的軟件要在不同的計(jì)算機(jī)處理器上或在不同的域或目錄內(nèi)運(yùn)行；b） 開(kāi)發(fā)和測(cè)試活動(dòng)要盡可能分離；c） 當(dāng)不要求編譯程序、編輯程序和其他系統(tǒng)實(shí)用程序時(shí)，不應(yīng)從運(yùn)行系統(tǒng)對(duì)它們進(jìn)行訪問(wèn)；d） 對(duì)運(yùn)行和測(cè)試系統(tǒng)要用不同的登錄規(guī)程，以減少出錯(cuò)的風(fēng)險(xiǎn)。為了減少系統(tǒng)過(guò)載的風(fēng)險(xiǎn)，要制訂進(jìn)一步能力要求的項(xiàng)目?！?系統(tǒng)驗(yàn)收要建立新信息系統(tǒng)、升級(jí)和新版本的驗(yàn)收準(zhǔn)則，在驗(yàn)收之前，對(duì)系統(tǒng)要進(jìn)行適當(dāng)?shù)臏y(cè)試。軟件和信息處理設(shè)施對(duì)惡意軟件（諸如，計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬（）和邏輯炸彈）的引入是脆弱的。該檢查可以在不同的位置進(jìn)行，例如，在電子郵件服務(wù)器、臺(tái)式計(jì)算機(jī)處或者當(dāng)進(jìn)入組織的網(wǎng)絡(luò)時(shí)；g） 涉及關(guān)于系統(tǒng)、系統(tǒng)使用的培訓(xùn)、報(bào)告病毒攻擊和從病毒攻擊中恢復(fù)的病毒預(yù)防的管理規(guī)程和職責(zé)（）；h） 相應(yīng)的從病毒攻擊中恢復(fù)的業(yè)務(wù)連續(xù)性計(jì)劃，包括所有必要數(shù)據(jù)和軟件備份以及恢復(fù)安排（見(jiàn)11章）；i） 檢驗(yàn)與惡意軟件相關(guān)的所有信息，并確保報(bào)警公告是準(zhǔn)確情報(bào)的規(guī)程。要定期測(cè)試各個(gè)系統(tǒng)的備份設(shè)備，以確保它們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求（見(jiàn)第11章）。操作員日志須經(jīng)定期、獨(dú)立地按操作規(guī)程檢查。網(wǎng)絡(luò)管理者要實(shí)施控制，以確保網(wǎng)絡(luò)中的數(shù)據(jù)安全，防止未授權(quán)訪問(wèn)所連接的服務(wù)。下列控制要加以考慮。下列控制要予以考慮。　 系統(tǒng)文檔的安全系統(tǒng)文檔可以包含一系列敏感信息，例如，應(yīng)用過(guò)程的描述、規(guī)程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過(guò)程（）?！?信息和軟件交換協(xié)議（agreement）對(duì)于在組織之間交換的信息和軟件（電子的或人工的），應(yīng)建立若干協(xié)議，當(dāng)合適時(shí)可包括軟件契約協(xié)議，某些協(xié)議可能是正式的?！?電子商務(wù)的安全電子商務(wù)可能涉及使用跨越公用網(wǎng)絡(luò)（諸如Internet）的電子數(shù)據(jù)交換（EDI）、電子郵件和在線事務(wù)。在廣告價(jià)格表中的完整性和敏感的折扣安排的保密性方面可以給予什么樣的可信級(jí)別？e） 訂單交易。 公共貿(mào)易系統(tǒng)應(yīng)向顧客公布其業(yè)務(wù)項(xiàng)目。這些策略和指南可通過(guò)結(jié)合使用文檔、計(jì)算機(jī)、移動(dòng)計(jì)算、移動(dòng)通信、郵件、話音郵件、一般話音通信、多媒體、郵政服務(wù)/設(shè)施和傳真機(jī)，為快速傳播和共享業(yè)務(wù)信息提供機(jī)會(huì)?！?信息交換的其他形式為保護(hù)通過(guò)使用話音、傳真和視頻通信設(shè)施的信息交換，規(guī)程和控制應(yīng)到位。這應(yīng)考慮到信息傳播和授權(quán)的策略。這些規(guī)程應(yīng)涵蓋用戶訪問(wèn)生存周期內(nèi)的各個(gè)階段，從新用戶注冊(cè)到不再要求訪問(wèn)信息系統(tǒng)和服務(wù)的用戶最終注銷。系統(tǒng)特權(quán)的不恰當(dāng)使用常常是一種導(dǎo)致系統(tǒng)故障的主要因素。在人員合同和服務(wù)合同中要考慮包括如果員工或服務(wù)代理試圖未授權(quán)訪問(wèn)時(shí)規(guī)定處罰的條款?！?用戶訪問(wèn)管理目的：防止未授權(quán)訪問(wèn)信息系統(tǒng)。9　 訪問(wèn)控制　 訪問(wèn)控制的業(yè)務(wù)要求目的：控制對(duì)信息的訪問(wèn)。在公開(kāi)可用系統(tǒng)上可提供的并要求高級(jí)別完整性的軟件、數(shù)據(jù)和其他信息要受相應(yīng)機(jī)制所保護(hù)，例如，數(shù)字簽名（）?！?關(guān)于電子郵件的策略組織應(yīng)制定關(guān)于使用電子郵件的清晰策略，包括：a） 對(duì)電子郵件的攻擊，例如，病毒，截取；b） 保護(hù)電子郵件附件；c） 何時(shí)不使用電子郵件的指南；d） 雇員有義務(wù)不損害公司利益，例如，不發(fā)送誹謗性電子郵件，不得使用電子郵件進(jìn)行騷擾，不得進(jìn)行未授權(quán)采購(gòu)；e） 使用密碼技術(shù)來(lái)保護(hù)電子報(bào)文的保密性和完整性（）；f） 報(bào)文的保留，如果提出訴訟時(shí)則可以顯示保留的報(bào)文；g） 檢查不能被鑒別的報(bào)文交換用的附加控制。應(yīng)通過(guò)文檔化的協(xié)議來(lái)支持貿(mào)易伙伴之間的電子商務(wù)安排，該協(xié)議使雙方致力于商定的貿(mào)易條款，包括授權(quán)細(xì)節(jié)（見(jiàn)上述b））。授權(quán)誰(shuí)設(shè)定價(jià)錢(qián)、發(fā)布或簽署關(guān)鍵貿(mào)易文檔？貿(mào)易合伙人如何知道此事？c） 合同和提出過(guò)程。已授權(quán)信使的列表應(yīng)與管理層商定，并且實(shí)施檢查信使標(biāo)識(shí)的規(guī)程；b） 包裝要足以保護(hù)內(nèi)容免遭在運(yùn)輸期間可能出現(xiàn)的任何物理?yè)p壞，并且符合制造商的規(guī)范；c） 若需要，應(yīng)采取專門(mén)的控制，以保護(hù)敏感信息免遭未授權(quán)泄露或修改。要建立保護(hù)運(yùn)輸中信息和媒體的規(guī)程和標(biāo)準(zhǔn)。下列控制要加以考慮（）。由于草率處置媒體，可能將敏感信息泄漏給局外人員。為使文檔、計(jì)算機(jī)媒體（磁帶、磁盤(pán)、盒式磁帶）、輸入/輸出數(shù)據(jù)和系統(tǒng)文檔免遭損壞、偷竊和未授權(quán)訪問(wèn)，應(yīng)建立合適的操作規(guī)程。還可以要求附加的控制，以保護(hù)在公共網(wǎng)絡(luò)上傳遞的敏感數(shù)據(jù)。　 操作員日志操作人員應(yīng)維護(hù)其活動(dòng)日志?！?信息備份要定期產(chǎn)生最重要業(yè)務(wù)信息和軟件的備份拷貝。a） 要求符合軟件許可證和禁止使用未授權(quán)軟件的正式策略（）；b） 防范風(fēng)險(xiǎn)的正式策略，該風(fēng)險(xiǎn)與來(lái)自或經(jīng)由外部網(wǎng)絡(luò)或在任何其他媒體上獲得的文件和軟件相關(guān)，此策略指示應(yīng)采取什么保護(hù)措施（，）；c） 安裝和定期更新防病毒檢測(cè)和修復(fù)軟件來(lái)掃描計(jì)算機(jī)和媒體，以作為預(yù)防控制或作為例行程序的基礎(chǔ)；d） 對(duì)支持關(guān)鍵業(yè)務(wù)處理的系統(tǒng)中的軟件和數(shù)據(jù)內(nèi)容進(jìn)行定期審查?！?防范惡意軟件目的：保護(hù)軟件和信息的完整性。他們（管理者）應(yīng)標(biāo)識(shí)出使用的趨勢(shì)，特別與業(yè)務(wù)應(yīng)用或管理信息系統(tǒng)工具相關(guān)的使用。　 系統(tǒng)規(guī)劃和驗(yàn)收目的：使系統(tǒng)故障的風(fēng)險(xiǎn)減到最小。因此，為了減少偶然變更或未授權(quán)訪問(wèn)運(yùn)行軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)，分離開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施是合乎要求的。為了防止運(yùn)行問(wèn)題，在運(yùn)行、測(cè)試和開(kāi)發(fā)環(huán)境之間所需要的分離程度要加以考慮。應(yīng)注意，在無(wú)檢測(cè)的單個(gè)職責(zé)區(qū)域內(nèi)，使個(gè)人不能實(shí)施欺詐。下列控制要予以考慮。正式的管理者職責(zé)和規(guī)程應(yīng)到位，以確保對(duì)設(shè)備、軟件或規(guī)程的所有變更有令人滿意的控制。這包括制訂合適的操作說(shuō)明和事故響應(yīng)規(guī)程。下列控制要予以考慮。包含存儲(chǔ)媒體（例如，固定硬盤(pán)）的設(shè)備中的所有部件應(yīng)予以檢查，以確保任何敏感數(shù)據(jù)和許可的軟件在處理之前已經(jīng)清除或蓋寫(xiě)。所提供的安全應(yīng)等同于用于同一目的現(xiàn)場(chǎng)使用設(shè)備的安全，同時(shí)要考慮到組織建筑物外的工作風(fēng)險(xiǎn)?！?布纜安全電源和運(yùn)載數(shù)據(jù)或支持信息服務(wù)的電信布纜要免受竊聽(tīng)或損壞。偶然事故計(jì)劃要包括UPS故障時(shí)要采取的動(dòng)作。e） 一個(gè)組織要考慮關(guān)于在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的策略。這樣做還要考慮設(shè)備安置和處置。a） 由建筑物外進(jìn)入交接區(qū)限于已標(biāo)識(shí)的和已授權(quán)的人員。c） 未用的安全區(qū)域在物理上要鎖上并周期地予以檢查。g） 標(biāo)識(shí)敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不要輕易被公眾得到。a） 使關(guān)鍵設(shè)施坐落在避免公眾進(jìn)行訪問(wèn)的場(chǎng)地。c） 要求所有人員佩帶某種形式的可視標(biāo)識(shí)，并且鼓勵(lì)他們?cè)儐?wèn)無(wú)人護(hù)送的陌生人和未佩帶可視標(biāo)識(shí)的任何人。d） 安全周邊的所有防火門(mén)應(yīng)可發(fā)出報(bào)警信號(hào)，并應(yīng)緊閉。安全周邊是指構(gòu)建屏障的某樣?xùn)|西，例如，墻、卡控制的入口門(mén)或有人管理的接待臺(tái)。7　 物理和環(huán)境的安全　 安全區(qū)域目的：防止對(duì)業(yè)務(wù)辦公場(chǎng)所和信息未授權(quán)訪問(wèn)、損壞和干擾。用戶不要試圖移去可疑的軟件，除非被授權(quán)這樣做?！?報(bào)告軟件故障要建立報(bào)告軟件故障的規(guī)程。應(yīng)建立正式的報(bào)告規(guī)程以及事故響應(yīng)規(guī)程，以及在收到事故報(bào)告時(shí)提出要采取的動(dòng)作。　 信息安全教育和培訓(xùn)組織的所有雇員和（若相關(guān)的）第三方用戶要接受組織的策略和規(guī)程方面的適當(dāng)培訓(xùn)和定期更新內(nèi)容。　 雇用條款和條件雇用條款和條件要說(shuō)明雇員的信息安全職責(zé)。所有職員的工作須經(jīng)此類職員中更資深成員周期性評(píng)審和批準(zhǔn)過(guò)程。它們要包括實(shí)施或維護(hù)安全策略的總職責(zé)以及保護(hù)特定資產(chǎn)或執(zhí)行特定安全過(guò)程或活動(dòng)的任何特定職責(zé)。待考慮的項(xiàng)目包括打印報(bào)告、屏幕顯示、記錄媒體（磁帶、磁盤(pán)、CD、盒式磁帶）、電子報(bào)文和文件傳送。分類指南要預(yù)先考慮并允許任何給定的信息項(xiàng)的分類在全部時(shí)間內(nèi)不必固定，并且根據(jù)預(yù)先確定的策略加以變更（）。某些項(xiàng)可以要求附加等級(jí)的保護(hù)或特別的處理。一個(gè)組織需要能標(biāo)識(shí)出資產(chǎn)和這些資產(chǎn)的相關(guān)價(jià)值和重要性。5　 資產(chǎn)分類和控制　 資產(chǎn)的可核查性目的：維持對(duì)組織資產(chǎn)的相應(yīng)保護(hù)。2） 用戶訪問(wèn)和特權(quán)的授權(quán)過(guò)程；3） 維護(hù)被授權(quán)使用正在提供的服務(wù)的個(gè)人清單的要求以及他們與這種使用相關(guān)的權(quán)利和特權(quán)是哪些；j） 可驗(yàn)證的性能要求的定義、監(jiān)督和報(bào)告；k）監(jiān)督和撤銷用戶活動(dòng)的權(quán)利；l） 審核合同職責(zé)的權(quán)利或擁有由第三方進(jìn)行這些審核的權(quán)利；m）建立逐級(jí)解決問(wèn)題的過(guò)程；在適合的情況下，也應(yīng)考慮意外事故安排；n）關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；o）一種清晰的報(bào)告結(jié)構(gòu)和商定的報(bào)告格式；p） 一種清晰規(guī)定的變更管理過(guò)程；q） 任何要求的物理保護(hù)控制和機(jī)制，以確保遵守這些控制；r） 對(duì)用戶和管理者在方法、規(guī)程和安全方面的培訓(xùn)；s） 確保防范惡意軟件的控制措施（）；t） 報(bào)告、通知和調(diào)查安全事故和安全違規(guī)的安排；u） 包括具有轉(zhuǎn)包商的第三方。一般來(lái)說(shuō)，由第三方訪問(wèn)導(dǎo)致的所有安全要求或者內(nèi)部控制應(yīng)在第三方合同反映出來(lái)（）。　 訪問(wèn)的原因有許多原因可以授予第三方訪問(wèn)。若有一種業(yè)務(wù)需要這種第三方訪問(wèn)，就要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定安全蘊(yùn)涵和控制要求。　 組織之間的合作要保持與法律執(zhí)行機(jī)構(gòu)、制訂法規(guī)的機(jī)構(gòu)、信息服務(wù)提供者和電信運(yùn)營(yíng)商的相應(yīng)聯(lián)系，以確保萬(wàn)一出現(xiàn)安全事故時(shí)可以快速采取適當(dāng)行動(dòng)并獲得建議。不是所有組織都希望聘用專家顧問(wèn)。還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng)安全環(huán)境的管理者批準(zhǔn)，以確保所有相關(guān)安全策略和要求得到滿足。信息資產(chǎn)的責(zé)任人可以將他們的安全職責(zé)委托給各個(gè)管理者或服務(wù)提供者。一般地說(shuō)，這樣的協(xié)調(diào)小組執(zhí)行以下方面的工作：a） 商定整個(gè)組織中信息安全的特定角色和職責(zé)；b） 商定信息安全的特定方法和過(guò)程，例如，風(fēng)險(xiǎn)評(píng)估，安全分類體系；c） 商定和支持組織范圍的信息安全舉措，例如，安全意識(shí)教育計(jì)劃；d） 確保安全是信息規(guī)劃過(guò)程的一部分；e） 評(píng)估新系統(tǒng)或服務(wù)的特定信息安全控制的充分程度，并協(xié)調(diào)實(shí)施這些控制；f） 評(píng)審信息安全事故；g） 促進(jìn)整個(gè)組織信息安全的業(yè)務(wù)支持的可視性。應(yīng)鼓勵(lì)信息安全的多學(xué)科途徑，例如，涉及諸如保險(xiǎn)和風(fēng)險(xiǎn)管理等領(lǐng)域內(nèi)的管理者、用戶、行政管理者、應(yīng)用設(shè)計(jì)者、審核員和安全職員以及專業(yè)技術(shù)熟練工人的合作和協(xié)作。　 評(píng)審和評(píng)價(jià)該策略應(yīng)有專人負(fù)責(zé)，他按照所定義的評(píng)審過(guò)程負(fù)責(zé)其維護(hù)和評(píng)審?！?風(fēng)險(xiǎn)評(píng)估 Risk assessment對(duì)信息和信息處理設(shè)施的威脅、影響及信息和信息處理設(shè)施自身的脆弱性以及它們出現(xiàn)的可能性的評(píng)估。信息技術(shù) 信息安全管理實(shí)用規(guī)則1　 范圍本標(biāo)準(zhǔn)對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。這些控制適用于大多數(shù)組織和環(huán)境?？刂茟?yīng)根據(jù)與風(fēng)險(xiǎn)減少相關(guān)的實(shí)現(xiàn)成本和潛在損失（如果安全違規(guī)出現(xiàn)）予以選擇。選擇控制一旦安全要求已被標(biāo)識(shí)，則應(yīng)選擇并實(shí)現(xiàn)控制，以確保風(fēng)險(xiǎn)減少到可接受的程度。用于控制的經(jīng)費(fèi)需要針對(duì)可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。如果在制定要求規(guī)范和設(shè)計(jì)階段把信息安全控制結(jié)合進(jìn)去，那么，該信息安全控制就會(huì)更加經(jīng)濟(jì)和更加有效。對(duì)信息系統(tǒng)和服務(wù)的依賴意味著組織對(duì)安全威脅更為脆弱。信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的。本部分主要起草人：黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。本標(biāo)準(zhǔn)修改采用ISO/IEC 177992000《信息技術(shù) 信息安全管理實(shí)用規(guī)則》，“a) 使用國(guó)家主管部門(mén)審批的密碼算法和密碼產(chǎn)品”，作為修改內(nèi)容。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損害減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。為什么需要信息安全？信息和支持過(guò)程，系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。許多信息系統(tǒng)已不再單純追求設(shè)計(jì)成安全的，因?yàn)橥ㄟ^(guò)技術(shù)手段可獲得的安全性是有限的。第一個(gè)來(lái)源是由評(píng)估該組織的風(fēng)險(xiǎn)所獲得的。評(píng)估的結(jié)果將幫助指導(dǎo)和確定合適的管理行動(dòng)，以及管理信息安全風(fēng)險(xiǎn)和實(shí)現(xiàn)所選擇控制的優(yōu)先級(jí)，以防范這些風(fēng)險(xiǎn)。然而，需要認(rèn)識(shí)到有些控制不適用于每種信息系統(tǒng)或環(huán)境，并且不是對(duì)所有組織都可行。下面在題為“信息安全起點(diǎn)”中更詳細(xì)解釋這些控制。關(guān)鍵的成功因素經(jīng)驗(yàn)已經(jīng)表明下