【正文】 ）保護(hù)單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時(shí)間點(diǎn)歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標(biāo)的服務(wù)水準(zhǔn)和不可接受的服務(wù)水準(zhǔn) 人員調(diào)動(dòng)的規(guī)定 合同雙方各自的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護(hù)方面的法規(guī)，要特別考慮到在合同牽涉到 多國組織件合作時(shí)各國法律體系的不同（見 ） 知識(shí)產(chǎn)權(quán)和版權(quán)的分配（見 ）及合作成果的保護(hù)（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標(biāo)記的運(yùn)用如使用者身份證和密碼； 2）對(duì)使用者存取和權(quán)限的授權(quán)過程； 3）要求準(zhǔn)備一份批準(zhǔn)使用服務(wù)的個(gè)人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評(píng)判標(biāo)準(zhǔn)并對(duì)其進(jìn)行監(jiān)督和回報(bào) 監(jiān)督、撤銷使用者活動(dòng)的權(quán)力 對(duì)合同權(quán)責(zé)進(jìn)行審計(jì)或指定別人對(duì)其審計(jì)的權(quán)力 建立解決問題的升級(jí)流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護(hù)方面的責(zé) 任 清晰的回報(bào)結(jié)構(gòu)和業(yè)經(jīng)同意的回報(bào)格式 清晰具體的變化管理流程 確保管制手段得以實(shí)施的物理保護(hù)管制手段和機(jī)制 對(duì)使用者和管理者進(jìn)行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報(bào)、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標(biāo)：委外加工處理時(shí)相關(guān)信息的安全管理。同時(shí)，要考慮存取的類別、信息的價(jià)值、第三方使用的管制手段，以及讓他方接觸本單位信息的可能后果。 外方存取可能還會(huì)涉及到別的參與方。 安全信息的交換要加以嚴(yán)格限制，確保單位的保密信息不被傳給沒有經(jīng)過授權(quán)的人員。擔(dān)此職務(wù)的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗(yàn)以外的建議。 如必要，對(duì)軟件和硬件進(jìn)行檢查，確保其和其它系統(tǒng)部件向匹配。對(duì)各項(xiàng)有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運(yùn)營計(jì)劃，也要加以明確定義。 信息安全管理委員會(huì) 信息安全是管理團(tuán)隊(duì)各成員共同承擔(dān)的責(zé)任 。 審核與評(píng)估 本政策要求有專人按既定程序?qū)ζ溥M(jìn)行定期檢討和審訂。 完整性被定義為保護(hù)信息和信息加工方法的準(zhǔn)確和完全。因此，上述的步驟雖然是很好的起點(diǎn)，它并不取代基于具體風(fēng)險(xiǎn)評(píng)估而導(dǎo)出的管制手段 。 管 制的選擇應(yīng)當(dāng)基于相對(duì)風(fēng)險(xiǎn)而言執(zhí)行管制時(shí)的成本。 對(duì)安全風(fēng)險(xiǎn)和實(shí)施的管制要進(jìn)行定期回顧，以便 － 考慮運(yùn)營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認(rèn)所采取的管制手段仍然有效恰當(dāng) 根據(jù)以前評(píng)估的結(jié)果和管理層能夠接受的風(fēng)險(xiǎn)程度，上述回顧應(yīng)當(dāng)按不同程度開展。通過風(fēng)險(xiǎn)評(píng)估，可以確認(rèn)單位的資產(chǎn)所面臨的威脅，評(píng)估其弱項(xiàng)和危險(xiǎn)發(fā)生的可能性，并對(duì)其潛在的沖擊加以估計(jì)。通過技術(shù)手段達(dá)到的安全很有限，因此要通過恰當(dāng)?shù)墓芾砗土鞒碳右灾С帧? 為何需要信息安全？ 信息和信息支持程序、系統(tǒng)及網(wǎng)絡(luò)是重要的經(jīng)營資產(chǎn)。信息安全就是保護(hù)信息免受來自各方面的眾多威脅，從而使單位能夠進(jìn)行持續(xù)經(jīng)營，使其對(duì)經(jīng)營的危害降至最小程度，并將投資和商業(yè)機(jī)會(huì)得以最大化。破壞的產(chǎn)生來源，如計(jì)算機(jī)病毒、黑客襲擊和拒絕服務(wù)攻擊等已經(jīng)變得越來越普遍、更具野心和復(fù)雜。同時(shí)，也要求供貨商、客戶和股東的參與。 評(píng)估安全風(fēng)險(xiǎn) 安全要求是通過對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估而確認(rèn)的。管制手段可從本文件或別的管控手冊中選擇；還可以設(shè)計(jì)新管控辦法來滿足具體的需求。其細(xì)節(jié)在下述的“信息安全起始點(diǎn)”中將加以詳細(xì)描述。因此，有必要適時(shí)加以調(diào)整。 風(fēng)險(xiǎn)管理 以可以接受的成本，對(duì)影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行辨認(rèn)、控制、減少或消除的過程 三、安全政策 信息安全政策 目標(biāo)：為信息安全提供管理指導(dǎo)和支持。 建立管理框架，以展開并管制單位內(nèi)部信息安全 的實(shí)施。其可為現(xiàn)有管理機(jī)構(gòu)的一部分，主要行使如下職能： 審訂并批準(zhǔn)信息安全政策和總體權(quán)責(zé) 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān)督安全事故 批準(zhǔn)加強(qiáng)信息安全的重大舉措 所有有關(guān)的安全活動(dòng)都應(yīng)由一位經(jīng)理負(fù)責(zé)。通常的做法是為每項(xiàng)信息資產(chǎn)都指定一個(gè)負(fù)責(zé)人，由他來時(shí)時(shí)負(fù)責(zé)資產(chǎn)的日常安全。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。為使其建議的有效性最大化，應(yīng)允許他們接觸全單位管理的各個(gè)方面。 此類審核可由單位內(nèi)部審計(jì)部門開展，也可由獨(dú)立經(jīng)理人或?qū)ｉT從事審核的第三方組織開展，只要這些人員具有適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。 第三方存取的風(fēng)險(xiǎn)鑒別 存取的類別 允許第三方存取的類別至關(guān)重要?？傮w而言，和第三方簽訂的合同中要反應(yīng)所有有關(guān)的安全要求和內(nèi)部管制手段。 例如，合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識(shí)到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗(yàn)單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對(duì)委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計(jì)權(quán) 條款中所述的條件也可作為此合同考慮的要素。 5.. 資產(chǎn)的盤點(diǎn) 對(duì)資產(chǎn)的盤點(diǎn)可幫助確保有效的資產(chǎn)保護(hù)，也可用于其它經(jīng)營目的，如健康和安全、保險(xiǎn)或財(cái)務(wù)方面的原因。 信息具有不同的敏感度和重要性。因此，要考慮這些方面，因?yàn)檫^細(xì)的分類會(huì)增加額外的費(fèi)用。針對(duì)每個(gè)類別，所定義的操作流程要包括如下類型的信息處理活動(dòng)： 復(fù)制 存儲(chǔ) 以郵件、傳真、電子 郵件方式進(jìn)行的傳送 以聲音，包括移動(dòng)電話、語音郵件、答錄機(jī)等方式進(jìn)行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。 管理人員要對(duì)那些新來的或沒有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。 在雇傭合同或條款發(fā)生變動(dòng)時(shí)，特別是員工要離開單位或其合同到期時(shí)，要對(duì)保密協(xié)議進(jìn)行審訂。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至最低限度。要恰當(dāng)?shù)貙?duì)事故進(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見 ）。應(yīng)向使用者強(qiáng)調(diào)，無論在何種情況下，他們都不要試圖對(duì)懷疑的漏洞進(jìn)行論證。 從事故 中學(xué)習(xí) 要求建立相應(yīng)機(jī)制，對(duì)事故或功能障礙的類型、級(jí)別和損失程度進(jìn)行量化、監(jiān)督。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險(xiǎn)相一致。場所的外墻應(yīng)當(dāng)是堅(jiān)固的建筑物，所有的外門都應(yīng)能防止非法的進(jìn)入，比如通過安裝管制機(jī)制、鐵條、警報(bào)、安全鎖等。 對(duì)敏感信息和信息處理設(shè)備的通路進(jìn)行管制，只有經(jīng)過授權(quán)的人員才得以進(jìn)入。同時(shí)，也要考慮來自鄰近場所的 安全威脅，例如來自其它樓宇的漏水等等。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。 無人安全區(qū)應(yīng)采取物理手段加以封閉，并定期查看。 交接區(qū)的設(shè)計(jì)應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。要求有特別的管制手段來保護(hù)對(duì)設(shè)備的非法使用，并對(duì)諸如電源和電纜基礎(chǔ)設(shè)施等輔助設(shè)備進(jìn)行保護(hù)。 還要考慮附近發(fā)生災(zāi)難時(shí)的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。同時(shí)，要儲(chǔ)備充足的燃料，確保發(fā)電機(jī)能長時(shí)間地發(fā)電?？煽紤]如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對(duì)設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過授權(quán)的維護(hù)人員對(duì)設(shè)備進(jìn)行檢修和維護(hù) 對(duì)所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄 如設(shè)備需要送到單位外面進(jìn)行維修，應(yīng)采取適當(dāng)?shù)墓苤拼胧▍⒁?）。 在家工作的管制措施要經(jīng)過風(fēng)險(xiǎn)評(píng)估后決定并實(shí)施，例如，可安裝上鎖的保險(xiǎn)柜、采納桌面凈空原則及電腦的存取控制等。 防止信息和信息處理設(shè)備被非法泄漏、修改或盜用。 收發(fā)郵件的地點(diǎn)和無人照看的傳真、電掛設(shè)施要加以保護(hù)。 要建立所有信息處理設(shè)備的管理和操作的權(quán)責(zé)及流程。因此，要有正式的管理權(quán)責(zé)和流程對(duì)所有的設(shè)備、軟件或流程變更進(jìn)行令人滿意的管制。因此，要考慮對(duì)各部門的權(quán)責(zé)進(jìn)行清楚劃分，以避免未經(jīng)授權(quán)而修改或?yàn)E用信息。 開發(fā)和測試活動(dòng)會(huì)導(dǎo)致嚴(yán)重的問題，如對(duì)文件或系統(tǒng)環(huán)境的亂改，或系統(tǒng)癱瘓等。 如共用相同的計(jì)算環(huán)境，開發(fā)和測試活動(dòng)可能會(huì)導(dǎo)致軟件和信息的變更。需要 考 慮 的 要 素 包 括 對(duì)單位內(nèi)部的敏感或關(guān)鍵應(yīng)用加以辨認(rèn) 獲得商業(yè)應(yīng)用軟件產(chǎn)權(quán)人的批準(zhǔn) 持續(xù)運(yùn)營計(jì)劃的考慮 要加以規(guī)定的安全標(biāo)準(zhǔn)和檢驗(yàn)是否合法的程序 具體權(quán)責(zé)的劃分和對(duì)有關(guān)安全活動(dòng)進(jìn)行監(jiān)視的流程 報(bào)告和處理安全事故的權(quán)責(zé)及流程（參見 ） 系統(tǒng)規(guī)劃及可行性 目標(biāo)：將系統(tǒng)失效風(fēng)險(xiǎn)降至最低。它們要對(duì)使用的走向加以辨認(rèn)，特別是有關(guān)業(yè)務(wù)應(yīng)用或管理信息系統(tǒng)工具方面的走向。 軟件和信息處理設(shè)備很容易受到諸如電腦病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、邏輯炸彈等侵略性軟件的侵害。管理人員要確保合格的來源，如有名的雜志、可靠的因特網(wǎng)站點(diǎn)或防病毒軟件供應(yīng)商等，來區(qū)分小把戲和真正的病毒。可考慮如下指導(dǎo)原則： 備份信息、關(guān)于備份拷貝的準(zhǔn)確完整的記錄及恢復(fù)的流程等信息要儲(chǔ)存在一個(gè)遠(yuǎn)離主場的地點(diǎn)，確保 即使主場發(fā)生災(zāi)難信息備份信息也能幸免遇難。 差錯(cuò)記錄管理 對(duì)差錯(cuò)進(jìn)行記錄并采取糾正措施。同時(shí)，采用特別管制措施來保持網(wǎng)絡(luò)服務(wù)和電腦聯(lián)網(wǎng)。敏感信息可能通過無意處理媒體時(shí)泄漏出去。制定必要流程并按照其分類對(duì)文件、電 腦系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)電腦、移動(dòng)通訊、郵件、語音郵件、一般語音通訊、多媒體、郵政服務(wù)及設(shè)施、傳真機(jī)和其它敏感物品如空白支票、發(fā)票等的使用進(jìn)行管理。關(guān)于安全條件的協(xié)議內(nèi)容要考慮： 對(duì)傳輸、發(fā)送和接收進(jìn)行管制和通知的管理權(quán)責(zé) 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn) 快件認(rèn)證標(biāo)準(zhǔn) 遺失數(shù)據(jù)時(shí)的責(zé)任 對(duì)敏感或關(guān)鍵信息使用經(jīng)過同意的標(biāo)示系統(tǒng)，確保報(bào)表得失意義明白無誤，以及對(duì)信息進(jìn)行 適當(dāng)保護(hù) 信息和軟件所屬權(quán)及數(shù)據(jù)保護(hù)的責(zé)任，軟件的版權(quán)合法性和類似的考慮（參見 和 ） 用于記錄和讀寫信息和軟件的技術(shù)標(biāo)準(zhǔn) 任何可用于保護(hù)諸如密碼鍵等敏感物品的特別管制手段（參見 ） 傳遞中媒體的安全管制 信息在物理傳遞過程中（例如，通過郵政服務(wù)或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。同時(shí)，也有必要和信息服務(wù)和網(wǎng)絡(luò)增值業(yè)務(wù)提供商簽訂其它的協(xié)議。 對(duì)設(shè)備聯(lián)結(jié)的安全考慮應(yīng)當(dāng)包括如下幾點(diǎn)： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會(huì)議，呼叫的保密性、傳真的保存、郵件的打開和分發(fā)等 管理信息共享的政策和適當(dāng)管制措施，如公司電子布告欄的使用等 如系統(tǒng)不能提供適當(dāng)級(jí)別的保護(hù)，需要進(jìn)行隔離保護(hù)的敏感商業(yè)信息的分類 限制存取涉及被選個(gè)人的日記信息，如從事敏感項(xiàng)目工作的員工的信息 系統(tǒng)支持業(yè)務(wù)應(yīng)用的適當(dāng)性，如通訊訂單或授權(quán)等 對(duì)允許使用系統(tǒng)的員工、合同方或業(yè)務(wù)伙伴的分類劃分，及其可存取的位置 對(duì)使用者的身份進(jìn)行識(shí)別，例如是單位的員工還是用于別的目的的合同方等 對(duì)系統(tǒng)上的信息進(jìn)行備份保存（參見 和 ） 緊急情況的要求和安排（參見 ） 公共信息系統(tǒng)的安全性 采取措施保護(hù)以電子形式發(fā)布的信息的完整性，防止對(duì)其進(jìn)行非法修改而造成的對(duì)單位名譽(yù)的損害。 因此，需要制定一些政策，規(guī)定員工在使用語音、傳真和視頻通訊設(shè)備時(shí)應(yīng)遵守的流程。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴(yán)格管制，以做到： 信息的獲得符合數(shù)據(jù)保護(hù)法律的要求（參見 ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準(zhǔn)確、按時(shí)的處理 敏感信息在收集和儲(chǔ)存過程中要加以保護(hù) 進(jìn)入發(fā)布系統(tǒng)時(shí)，不得進(jìn)入與其相連的但與本操作無關(guān)的其它網(wǎng)絡(luò) 其它形態(tài)的信息 交換 制定流程和管制辦法，對(duì)通過聲頻、傳真和視頻設(shè)備等渠道進(jìn)行的信息交換進(jìn)行保護(hù)。電子郵件和傳統(tǒng)的商務(wù)通訊方式有很多不同，如速度、信函結(jié)構(gòu)、正規(guī)的程度及易受非法攻擊等。電子商務(wù)很容易受到網(wǎng)絡(luò)上的威脅，從而導(dǎo)致欺詐行為、合同糾紛和信息的泄漏或修改。并建立流程和標(biāo)準(zhǔn)來保護(hù)信息和媒體的傳輸。為此，需要小心挑選有經(jīng)驗(yàn)且辦事牢靠的承包商進(jìn)行上述作業(yè)。 可移動(dòng)計(jì)算機(jī)媒體的管理 對(duì)可移動(dòng)計(jì)算機(jī)媒體如磁帶、光盤、打印的報(bào)告的管理進(jìn)行管制。 對(duì)通過公共網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)的保護(hù)也要格外小心。 應(yīng)對(duì)備份媒體進(jìn)行定期檢查，確保其在緊急情況下能正常發(fā)揮作用。 建立正常的流程來實(shí)施經(jīng)過批準(zhǔn)的后援策略（參見 ）、準(zhǔn)備數(shù)據(jù)的備份、監(jiān)視設(shè)備環(huán)境等。對(duì)侵略性軟件的防范應(yīng)以安全意識(shí)、適當(dāng)?shù)南到y(tǒng)存取和更改管理管制措施等為基礎(chǔ)?？煽紤]下列有關(guān)方面： 運(yùn)轉(zhuǎn)和計(jì)算能力的要求 錯(cuò)誤恢復(fù)、啟動(dòng)流程和應(yīng)急計(jì)劃 備有經(jīng)過同意的安全管制措施 有效的操作流程 條款中要求的業(yè)務(wù)持續(xù)安排 新系統(tǒng)不會(huì)，特別是在月末這樣的高峰期間不會(huì)影響現(xiàn)有設(shè)備運(yùn)行的證據(jù) 對(duì)新系統(tǒng)對(duì)單位總體安全作產(chǎn)生影響已加以考慮的證據(jù) 操作和使用新系統(tǒng)方面的有關(guān)培訓(xùn) 在從事重大開發(fā)項(xiàng)目時(shí)，要開發(fā)過程中的所有階段 要就操作功能和使用進(jìn)行咨詢，以確保提出的系統(tǒng)設(shè)計(jì)的最高操作效率。