【正文】 冊和存儲于電子介質(zhì)中的信息也需要歸還。如果一個已離開的雇員、合同方或第三方用戶知道仍保持活動狀態(tài)的帳戶的密碼，則應(yīng)在工作、合同或協(xié)議終止或變化后改變密碼。 應(yīng)當(dāng)把關(guān)鍵的和敏感的業(yè)務(wù)信息處理設(shè)備放在安全區(qū)域，受到確定 的安全范圍的保護(hù)，并有適當(dāng)?shù)陌踩琳虾徒尤肟刂?。每個關(guān)卡的位置和強(qiáng)度取決于風(fēng)險評定的結(jié)果。 對于信息處理設(shè)施可能受到的非法物理訪問、盜竊、損壞和泄密的威脅，應(yīng)根據(jù)風(fēng)險評估的結(jié)果，通過建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對重要的信息系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行會面的物理保護(hù)。 如果是國家級的公用通訊設(shè)施遭到盜竊和破壞，損失就更大了。 工作終止時，個人對與信息系統(tǒng)和服務(wù)有關(guān)的資產(chǎn)的訪問權(quán)力應(yīng)被重新考慮。在合同方的例子中，終止職責(zé)的處理要與合同方代表完成，其他情況下的用戶可能由他們的組織來處理。正式的懲戒過程應(yīng)確保正確和公平的對待被懷疑安全違規(guī)的雇員。也就是說培訓(xùn)應(yīng)考慮不同層次的職責(zé)、能力、文化程度以及所面臨的風(fēng)險。 如果雇員、合同方和第三方用戶沒有意識到他們的安全職責(zé)，他們會對組織造成相當(dāng)大的破壞。私人問題和財務(wù)問題、他們行動或者生活方式的改變、不斷出現(xiàn)的消極情緒和精神壓力異常，都可能導(dǎo)致欺詐、盜竊、失誤或者其它安全隱患。 “連人都是假的 ”，還有什么不能假？這種行為本身已經(jīng)對社會與組織的道德、信用及安全造成了嚴(yán)重侵害，你還能指望這種造假之人能遵守組織的安全政策，維護(hù)組織的信息安全？所以在招聘新員 工或員工升遷時，實施人員背景調(diào)查是非常重要的控制措施。 把對信息安全的要求，從新員工簽訂勞動合同哪一刻起，就烙印在員工的意識中，比在工作逐漸教育具有更直接的、更明顯的效果。在信息業(yè)高達(dá)發(fā)達(dá)的美國，在最近一次對 600 名 CIO 的調(diào)查表明： ? 將近三分之二（ 66%）的被調(diào)查者說，他們公司沒有完整的信息安全政策，這就意味著無法對員工進(jìn)行有效的管理。 比較敏感性信息分類及管理策略如下：（略） 非常敏感的信息： 影響公司成功的核心商業(yè)機(jī)密、運營信息、人事信息、財務(wù)信息、技術(shù)信息、源代碼等。有些敏感信息比如電話號碼薄，公司一般性信息，人事情況等，只需采用一般的保護(hù)措施，不需要像前一種數(shù)據(jù)那樣嚴(yán)格。 第 17 頁 四、案例 下面是一個簡化的信息敏感性分類策略的案例，供讀者參考： ABC 科技股份有限公司 信息敏感性分類策略 目標(biāo) 制定信息敏感性分類政策是為了幫助員工判斷什么樣的信息的可以向非組織成員開放，什么樣的信息屬于敏感信息，未經(jīng)適當(dāng)授權(quán)不得向外界透露。 (3) 控制措施－信息的標(biāo)識與處理 ? 應(yīng)當(dāng)制定信息標(biāo)識及處理的程序，以符合組織所采行的分類法則。解釋其它組織發(fā)送過來的文件上的標(biāo)簽時應(yīng)當(dāng)十分小心，相同或者相似的標(biāo)簽名稱可能具有不同的含義。有的信息資產(chǎn)可能需要額外保護(hù)或者特殊處理。評估資產(chǎn)最簡單的方式就是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有價值的資產(chǎn)，然后對資產(chǎn)賦予一定的價值，這種價值應(yīng)該反映資產(chǎn)對組織業(yè)務(wù)運營的重要性，并以對業(yè)務(wù)的潛在影響程度表現(xiàn)出來。 ? 對每一項信息資產(chǎn)，組織的管理者應(yīng)指定專人負(fù)責(zé)其使用和保護(hù)，防止資產(chǎn)被盜、丟失與濫用。 三、控制目標(biāo)與控制措施 控制目標(biāo)－落實資產(chǎn)責(zé)任 (1) 目標(biāo)： ? 為組織的資產(chǎn)提供適當(dāng)?shù)谋Ｗo(hù)。所有的組織都有他們各自處理信息的形式，例如，銀行、保險和信用卡公司都需要處理消費者信息，衛(wèi)生保健部門需要管理病人 信息，政府管理部門存儲機(jī)密的和分類信息。 從統(tǒng)計 數(shù)據(jù) 我們可以 分析 出，目前在用戶中普遍比較流行的信息資產(chǎn)保護(hù)觀點是：通過部署防病毒 軟件 、防火墻及入侵檢測系統(tǒng)等邊界保護(hù) 與檢測設(shè)備來保護(hù)儲存在計算機(jī)中的數(shù)據(jù)資產(chǎn)免受非法入侵。 ? 信息安全管理人員應(yīng)透過適當(dāng)程序落實此方針的要求。 （ 8） 評估安全政策 安全政策被制訂出來后，要進(jìn)行充分的專家評估和用戶測試，以評審安全政策的完備性、易用性，確定安全政策能否達(dá)到組織所需的安全目標(biāo)。 （ 2） 得到管理層的明確支持與承諾 要制定一個好的信息安全政策，必須與決策層進(jìn)行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個作用，一是制定的信息安全政策與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全政策時必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。 執(zhí)行紀(jì)律 沒有一個正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。機(jī)密性是指信息只能由授權(quán)用戶訪問，其他非授權(quán)用戶、或非授權(quán)方式不能訪問。 ? 信息安全管理的一般和具體責(zé)任定義，包括報告安全事故。 第 6 頁 具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險評估的結(jié)果而制定的明確具體的管理風(fēng)險的信息安全實施規(guī)則。安全政策的制定與正確實施對組織的安全有著非常重要的作用，不僅能促進(jìn)全體員工參與到保障組織信息安全的行動中來，而且能有效地降低由于人為因素所造成的對安全的損害。 ISO/IEC17799 強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開放性 ,目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實用性的參照。 組織引入信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于組織的重視程度和制度落實情況。 ? 通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。當(dāng)您的組織通過了 ISO27001的認(rèn)證 ,就相當(dāng)于通過 ISO9000 的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。 ISO17799 是從 BS7799 轉(zhuǎn)換來的，目前 ISO17799 的最新版本是 ISO17799： 2020，它包含了133 個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素。該標(biāo)準(zhǔn)提供了一個完整的切入、實施、維護(hù)和文件化組織內(nèi)部的信 息安全的框架。政府及國家的機(jī)密網(wǎng) 絡(luò)被黑客輕而易舉地進(jìn)入，公司的機(jī)密信息出現(xiàn)在報紙上或被人在垃圾桶中發(fā)現(xiàn)，財務(wù)信息被公布在網(wǎng)站上讓所有人瀏覽，銀行的資產(chǎn)通過網(wǎng)絡(luò)系統(tǒng)流向黑客貪婪的錢袋 …… 像這樣的例子不勝枚舉，同時每一天我們都能得到來自世界的有關(guān)信息安全被破壞的報告。您的組織也許看似安全，但信息可以從不同的渠道泄露。企業(yè)的信息如產(chǎn)品定價、客戶信息、研究成果、市場開發(fā)計劃或發(fā)展戰(zhàn)略等是企業(yè)賴以生存的寶貴財富。而引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。 ? 定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù)。 ISO27001可以作為大型、中型及小型組織的確定在大多數(shù)情況下所需的控制范圍的參考基準(zhǔn)。在 ISO27001 中信息安全管理體系可能包括： ? 組織的整個信息系統(tǒng)； ? 信息系統(tǒng)的某些部分； ? 一個特定的信息系統(tǒng)。 ? 組織通過安全咨詢顧問，來實施建立組織的安全管理體系，以達(dá)到保證組織信息安全的目的，并且通過 ISO27001 體系認(rèn)證。 ISO17799 標(biāo)準(zhǔn)中的英文 “Policy”一詞可以有兩種解釋：一個信息安全方針，另一個是具體的信息安全策略。 安全方針屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。在某些場合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點、各種重要裝置和大型系統(tǒng)。 在某些情況下，信息安全策略中要理順組織中的各種個體與團(tuán)體的關(guān)系，以避免在履行各自的責(zé)任與義務(wù)時發(fā)生沖突。 第 8 頁 專業(yè)術(shù)語 對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述，使組織成員對策略的了解不會產(chǎn)生歧義。 （ 5） 確定信息管理體系的范圍 第 9 頁 確定信息管理體系的范圍后，組織需要根據(jù)自己的實際情況，可以在整個組織范圍內(nèi)、或者在個別部門或領(lǐng)域制定信息安全方針，因為范圍不一樣，方針的制定可能不一樣。 宣傳口號： “信息安全是贏得客戶的基礎(chǔ)，無破壞零損失是我們的終極目標(biāo) ” “信息安全，人人有責(zé) ” 信息安全要求： ? 信息安全管理委員會是公司信息安全管理的最高機(jī)構(gòu) ? 信息資產(chǎn)應(yīng)受適當(dāng)?shù)谋Ｗo(hù)，以防止未經(jīng)授權(quán)的不當(dāng)存??； ? 應(yīng)適當(dāng)保護(hù)信息的機(jī)密性； ? 確保信息不會在傳遞的過程中，或因無意間的行為透露給未經(jīng)授權(quán)的第三者； ? 應(yīng)適當(dāng)確保信息的完整性，以防止未經(jīng)授權(quán)的竄改； ? 應(yīng)適當(dāng)確保信息的可用性，以確保使用者需求可以得到滿足； ? 相關(guān)的信息安全措施或規(guī)范 應(yīng)符合現(xiàn)行法令的要求； ? 盡可能維護(hù)、測試企業(yè)的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃的可行性； ? 應(yīng)依其職務(wù)、責(zé)任對全體員工進(jìn)行信息安全適當(dāng)?shù)慕逃c培訓(xùn)； ? 所有信息安全意外事故或可疑的安全弱點，都應(yīng)依循適當(dāng)回報系統(tǒng)向上反應(yīng)，予以適當(dāng)調(diào)查、處理。 第 11 頁 實施時間： 此方針自簽發(fā)之日起，正式實施。 這就是說 我們花了絕大部分的錢，保護(hù)了只占信息資產(chǎn) 20%的數(shù)據(jù)資產(chǎn)！而且我們的技術(shù)手段還談不上 100%地有效保護(hù)這 20%的數(shù)據(jù)資產(chǎn)。 ISO17799 列出了常見信息資產(chǎn)有： ? 數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓(xùn)材料、運行與支持程序、業(yè)務(wù)持續(xù)性計劃、應(yīng)急安排 ? 書面文件：合同、指南、企業(yè)文件、包含重要業(yè)務(wù)結(jié)果的文件。 在信息安全體系范圍內(nèi)為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應(yīng)該清晰地定義，合理地估價，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類，并以文件方式詳細(xì)記錄在案。 但采用精確的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照事前建立 的資產(chǎn)的價值評估標(biāo)準(zhǔn)將資產(chǎn)的價值劃分為不同等級。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，比較實用的做法是以定性分級的方式建立資產(chǎn)的相對價值，以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。 信息分類時要注意以下幾點： ? 信息的分類等級要合理 信息和處理分類數(shù)據(jù)的系統(tǒng)輸出應(yīng)當(dāng)按照其對于組織的價值和敏感性加以標(biāo)識。 ? 誰對信息的分類負(fù)責(zé) 信息的始發(fā)人或指定的所有權(quán)人應(yīng)當(dāng)承擔(dān)確定信息類別的責(zé)任，例如對一份文件、數(shù) 據(jù)記錄、數(shù)據(jù)文件或者磁盤進(jìn)行分類的責(zé)任，以及定期檢查這些分類的責(zé)任。該標(biāo)識應(yīng)當(dāng)反映根據(jù)組織規(guī)則而建立的分類。 公開信息是由公司內(nèi)的授權(quán)人員宣布可公開的信息，這些可公開的信息不會對公司的信息安全造成損害。如果信息不作標(biāo) 注，那么這種信息將被默認(rèn)為 “ABC機(jī)密 ”，除非由公司授權(quán)人員明確地宣布為公開信息。如果相關(guān)技術(shù)人員違規(guī)操作（如管理員泄露密碼），即便組織有最好的安全技術(shù)的支持，也保證 不了信息安全。所有員工和使用信息處理設(shè)備的第三方都應(yīng)當(dāng)簽署信息保密協(xié)議。 “真的假文憑 ”和 “假的真文憑 ”都頗有愈演愈烈之勢。 管理層應(yīng)當(dāng)評價對有權(quán)訪問敏感系統(tǒng)的新員工和沒有經(jīng)驗的員工所做檢查監(jiān)督。還應(yīng)建立一個正式的處理安全違規(guī)的紀(jì)律處理。 為確保用戶意識到信息安全威脅和隱患，并在他們正常工作時遵守組織的信息安全政策，需要組織提供必要的信息安全教育與培訓(xùn)?？己藘?nèi)容有理論考 核、實際操作技能考核等；考核形式有問答、問卷、技術(shù)演示等。 2. 控制措施－終止職責(zé) ? 應(yīng)清晰規(guī)定和分配進(jìn)行雇傭中止或變更的責(zé)任。 當(dāng)雇員、合同方或第三方用戶購買了組織的設(shè)備或使用他們自己的設(shè)備時，應(yīng)遵循程序確保所有相關(guān)的信息已轉(zhuǎn)移給組織，并且已從設(shè)備中安全的刪除。 第 26 頁 第五講 物理與環(huán)境安全 物理與環(huán)境安全 (Physical and environmental security)是討論保護(hù)信息系統(tǒng)基礎(chǔ)和設(shè)施、設(shè)備、存儲介質(zhì)免受非法的物理訪問、自然災(zāi)害和環(huán)境危害。應(yīng)當(dāng)對他們從實體上加以保護(hù)，以防未經(jīng)授權(quán)的訪問并免于干擾和破壞。 3. 控制措施－物理進(jìn)出控制 ? 安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出。安全區(qū)域的物理保護(hù)是通過諸如圍墻、控制臺、門鎖等能夠阻擋人員進(jìn)入的關(guān)卡實現(xiàn)的，這種關(guān)卡即為安全邊界。 我們經(jīng)常從媒體上看到這樣的報道，一些公司、機(jī)關(guān)及高校的機(jī)房經(jīng)常會發(fā)生盜竊案件，小偷趁人員疏忽、節(jié)假日外出、夜晚睡覺不關(guān)房門或外出不鎖門等機(jī)會，偷盜臺式電腦、筆記本電腦或掌上電腦，或者偷拆走電腦的 CPU、硬盤、內(nèi)存條等部件，使組織的業(yè)務(wù)被迫中斷，并造成很大的經(jīng)濟(jì)損失。 第 25 頁 4. 控制措施－撤銷訪問權(quán)限 ? 當(dāng)雇傭、合同或協(xié)議終止時，應(yīng)撤銷所有員工、合同方和第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限，或根據(jù)變化調(diào)整。 人力資源部門通常與信息安全管理經(jīng)理一起負(fù)責(zé)總體的工作終止處理。 懲戒過程之前應(yīng)有一個安全違規(guī)的驗證過程。 （ 1）確定培訓(xùn)內(nèi)容 根據(jù)工作崗位對從業(yè)者的能力需求、從業(yè)者本身的實際能力以及從業(yè)者所面臨的信息安全風(fēng)險，確定 培訓(xùn)內(nèi)容。 管理職責(zé)應(yīng)包括確保員工、合同方和第三方用戶： ? 在被授權(quán)訪問敏感信息或信息系統(tǒng)前知道其信息安全角色和職責(zé)； ? 從組織獲得聲明他們角色的安全期望的指南； ? 被激勵以實現(xiàn)組織的安全方針； ? 對于他們在組織內(nèi)的角色和職責(zé)的相關(guān)安全問題的意識程度達(dá)到一定級別； ? 遵守雇用的條款和條件，包括組織的信息安全方針和工作的合適方法； ? 持續(xù)擁有適當(dāng)?shù)募寄芎唾Y質(zhì)。 管理人員應(yīng)當(dāng)清楚他們員工的個人環(huán)境會影響到他們的工作。 假文憑的泛濫，動搖了社會的公平和信用基礎(chǔ)。