【正文】 系統(tǒng)容量 需求計劃 對系統(tǒng)容量要求進行監(jiān)控，并進行未來容量要求預測，確保充足的處理和存儲能力。 只有管制手段要求向開發(fā)人員發(fā)放口令以支持操作系統(tǒng)時，開發(fā)人員才可獲得操作口令。 如開發(fā)和測試人員可進入操作系統(tǒng)并存取其信息，他們有可能會引入未經(jīng)授權(quán)或未經(jīng)檢測的編碼并篡改操作數(shù)據(jù)。 應注意確保在責任單一的區(qū)域內(nèi)，只要有人從事犯罪活動就馬上會被察覺。如有可能，應把操作和應用的變更管制流程整合起來（參見 ）。應把操作流程看作正式的文件，其變更需要經(jīng)過管理人員的批準。如有必要，設備要從網(wǎng)上下來，歸還時再重新上網(wǎng)。政策的制定要考慮信息安全分類（參見 ）、相應的風險和單位的企業(yè)文化等。報廢處置時，存有敏感信息的存儲設備要從物理上加以銷毀，或用安全方式對信息加以覆蓋，而不能采用常用的標準刪除功能來刪除。此處所指的信息處理設備包括任何家庭用的或從單位帶出的任何形式的個人電腦、手持電腦、移動電話、紙張或其它物品。 傳輸設備安全性 保護傳輸數(shù)據(jù)或支持信息服務的供電和通訊傳輸設備，使之免于中斷或損壞。同時，要制定續(xù)電器發(fā)生故障時的應急計劃。 需要特別保護的物品要分開放置，以節(jié)省額外的保護措施。 設備安全 目標：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；顒拥闹袛?。 除非經(jīng)過授權(quán)，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設備。 信息安全區(qū)內(nèi)工作守則 為進一步加強已采取物理保護措施的安全區(qū)的安全，應制定附加的信息安全區(qū)內(nèi)工作守則。 所有的外門的外窗都要安裝合乎職業(yè)標準的入侵檢測系統(tǒng)，并對其進行定期檢測。 對進入安全區(qū)域的權(quán)限要定期進行審核和更新。 信息安全區(qū)進出管制 在信息安全區(qū)采取適當出入管制，確保只有經(jīng)授權(quán)的人員得以進入。單位應使用安全防御帶來保護放置信息處理設備的區(qū)域（參見 ）。此類流程可用作警示，防止員工忽視單位的安全流程。并馬上通知有關(guān)當局。同時，建立適當?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。 安全事故應通過適當?shù)墓芾砬辣M快加以回報。 員工的合法職責和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護法方面的權(quán)責，應得以 清楚定義，并包括在員工守則中。對這類信息的處理要依據(jù)單位作在地區(qū)的適當法律程序加以 解決。 這應當包括如下內(nèi)容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦 對申請人簡歷的完整性和準確性進行檢查 對申請人聲稱的學術(shù)和資格證明進行認證 獨立的身份認證（通過護照或相應的身份證明材料） 工任命或提升員工時，只要其涉及到接觸信息處理設備，特別是處理敏感信息的設備，如處理財務信息或其它高度機密的信息的設備，單位需要對該員工進行信用調(diào)查。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進行物理標示，在此情況下需考慮對其進行電子標示。在接觸和使用別單位的標號系統(tǒng)時要注意，因為他們的標號雖然和本單位的相同但含義可能完全不同。總而言之，對信息進行分類是決定如何處理和保護該信息的一個捷徑。對各個信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。 所有重大的信息資產(chǎn)都要有記錄和主管人員。單位在證實第三方的可靠性方面要做到完全放心。因此，在有需求接觸其它方信息時，要進行風險評估，確定管制的要求。管制內(nèi)容經(jīng)雙方同 意，要在合同中加以定義。同樣，也應考慮參加安全組織和行業(yè)論壇并成為其成員。因此，特建議單位指定一位具體個人來協(xié)調(diào)單位內(nèi)部信息安全知識與經(jīng)驗方面的一致，及輔助該方面的決策。批準由負責當?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關(guān)安全政策和要求。針對具體的地點、系統(tǒng)或服務的不同，可對此政策酌情進行補充。在此方面，應鼓勵跨學科的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應用軟件設計師、審計人員和保安人員間開展合作和協(xié)調(diào)，或在保險和風險管理兩個學科領(lǐng)域間進行專業(yè)交流等。它至少要包括如下部分： 對信息安全的定義，其總體目標和范圍，安全作為信息分享確保機制的重要性 支持信息安全目標和原則的管理意向聲明 對安全政策、原則、標準和應達到要求的簡要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對病毒和其它有害軟件的預防和檢測； 4）持續(xù)運營管理； 5）違反安全政策的后果等； 信息安全管理的總體和具體權(quán)責的定義，包括安全事故回報等； 用以支持政策的文獻援引；例如，適用于具體信息系統(tǒng)的更詳細的安全政策和流程，或使用者應當遵守的安全條例等； 本政策應以恰當、易得、易懂的方式向單位的標的使用者進行傳達。 保密性被定義為確保唯有經(jīng)過授權(quán)的人員方可存取信息。應當注意的是，盡管本文件所述的管制手段很重要，但所有手段的適用性仍然取決于具體的當事情形。對許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。評估風險和選擇管制手段的過程可能需要重復幾次，以便涵蓋單位的不同部分或單個的信息系統(tǒng)。在這方面，主要有三個來源： 第一個來源是對單位面臨的風險進行評估。 許多信息系統(tǒng)本身的設計就很不安全。必須建立此類管制手段來確保各單位的具體安全目標得以實現(xiàn)。 信息可以許多形式存在－可以印在或?qū)懺诩埳?，以電子方式進行儲存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉(zhuǎn)述。 對信息系統(tǒng)和服務的依賴表明單位在安全威脅面前已越來越脆弱。單位外部的專家建議有時也很必要。管制方面的支出需要和安全失控時產(chǎn)生的危害進行平衡和比較。管理風險有許多不同的辦法，本文件列出了一些常用的手段。 信息安全起始點 幾條管制手段作為指導原則提供了信息安全執(zhí)行方面的起始點。 一、信息安全范圍 此部分針對各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。 管理層應制定一套清晰的指導原則，并以此明確表明其對信息安全及在單位內(nèi)部貫徹實施信息安全政策的支持和承諾。 同時，應建立適當?shù)男畔踩芾砦瘑T會對信息安全政策進行審批，對安全權(quán)責進行分配，并協(xié)調(diào)單位內(nèi)部安全的實施。 部門間協(xié)調(diào) 在較大的單位內(nèi)，有必要建立一個由各個部門管理代表組成的跨功能信息安全委員會來協(xié)調(diào)信息安全的實施。 信息資產(chǎn)的負責人可將其安全權(quán)責代理給各部經(jīng)理或服務提供方，但他對資產(chǎn)的安全仍負有最終的責任，并要求能確認代理權(quán)沒有被濫用或誤用。 專業(yè)信息安全顧問 許多單位可能需要專業(yè)信息安全顧問。 如懷疑出現(xiàn)安全事故或漏洞，應盡早向信息安全顧問咨詢，以獲得專家指導或調(diào)查資源。 外部存取的安全管理 目標：外來單位存取單位內(nèi)部信息及信息處理設施時的安全管理。比如，跨網(wǎng)絡存取的風險和物理存取的風險是完全不同的。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見 ） 在相應管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設備。本合同應當允許雙方在安全管理計劃中對安全要求和流程進行擴展。編 制資產(chǎn)盤點的流程是風險管理的重要方面。有些信息需要額外的保護和處置。分類知道大綱應當預測并承認信息分類有時間性并歲政策變化而變化這一事實（見 ）。此標示要求能夠反應根據(jù) 條款進行分類的類別。 工作權(quán)責涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責任當在工作定義中恰當標明（見 ）。對所有員工的工作都要進行定期審核，審核審批的程序有員工中的某位資深人士來制定。 員工守則 該守則應載明雇員在信息安全方面的職責。 信息安全的教育和培訓 單位的所有職員，以及在必要情況下涉及的第三方用戶，都應定期接受安全政策和流程方面 的教育和培訓。 安全事故回報 發(fā)現(xiàn)安全事故后，應立即通過適當管理渠道回報。這對他們自身有益處，因為他們進行論證的行為有可能被誤認為是潛在地錯誤使用系統(tǒng)。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。建議采用清桌和清屏政策來降低對文件、媒體和信息處理設備非法存取或破壞的風險。 在通往場所或樓房的通道上還應當配備值班接待臺或其它類似機構(gòu)，確保只有經(jīng)過授權(quán)的人員才能得以靠近通往上述場所的通道。同時使用身份識別管制手段，如刷卡或個人身份 號碼等對所有準入進行授權(quán)或認證。 可考慮如下的管制手段： 關(guān)鍵設備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設置暗指此處有信息處理活動的標牌或標記。 把危險或易燃品保存到一個離安全區(qū)適當安全距離的地方。 應限制第三方輔助服務人員進入安全區(qū)或敏感信息處理設備，只在必要時才許其進入。 在交接區(qū)內(nèi)門敞開的情況下，交接區(qū)外門應保持關(guān)閉狀態(tài)。 設備座落及防護 對設備座落加以保護，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經(jīng)授權(quán)的進入。 電力供應 使設備避免斷電或其它供電方面的問題。 此外，要在設備室的緊急出口處安裝緊急電源開關(guān)，用作緊急情況下迅速關(guān)閉電源。保險條例的所有要求都要遵守。 諸如盜竊、損壞和遺失等安全風險在各個地方的 程度不同，因此在各地要因地制宜地制定防護措施。采取管制手段將損失或毀壞的風險降至最低。 下班后，要把復印機鎖起來（或加以保護禁止其它方式的非法使用）。這包括開發(fā)適當?shù)牟僮髦笇Ш褪鹿史磻鞒?。對操作程序變更的管制要尤其嚴格? 小單位可能覺得這一管制辦法實施起來比較困難，但應盡量參考運用其原則和做法。因此，要針對操作、測試和開發(fā)環(huán)境的隔離考慮必要的隔離級別，以避免操作上的問題。這樣，把開發(fā)、測試和操作設備隔離開就可以降低發(fā)生事故或非法存取操作軟件和業(yè)務數(shù)據(jù)的風險。 要進行事前計劃和準備以確保有充足的能力和資源。 管理人員應當運用這些信息來辨認并避免可能對系統(tǒng)安全或使用者服務構(gòu)成安全的潛在瓶頸，并事先進行適當?shù)难a救行 動規(guī)劃。因此，使用者應當意識到非法或侵略性軟件的危害；管理人員應當在必要時采取特別管制手段來檢測和防范此類軟件的入侵。員工要求認識小把戲的危害并知道如何處理之。對重要的業(yè)務應用軟件應保留最少三代的備份信息。使用者作出的信息處理或通訊系統(tǒng)的差錯報告要進行記錄。 對管理活動進行跟蹤協(xié)調(diào)，使提供的服務最優(yōu)化，并確保對整個信息處理基礎設施的管制得 以持續(xù)進行 媒體存取及安全性 目標：防止資產(chǎn)損失及企業(yè)活動中斷。因此，要建立正規(guī)的媒體安全處理流程將此風險降至最低?？煽紤]如下要素（參見 和 ）： 給所有媒體作標示（參見 之第一項） 對存取進行限制，以辨別非法人員 保留授權(quán)人員相關(guān)數(shù)據(jù)的正式記錄 確保輸入數(shù)據(jù)的完整性、處理過程得以正確完成及對輸出的有效確認 對等待輸出的數(shù)據(jù)采取與其敏感性相應的保護措施 把媒體保存在符合制造商規(guī)定的環(huán)境中 盡量減少數(shù)據(jù)的分發(fā) 對所有數(shù)據(jù)進行清楚標示，以引起其合法接收人員的注意 定 期對分發(fā)清單和合法接收人員名單進行審訂 系統(tǒng)文件的安全性 系統(tǒng)文件可能載有系列敏感信息，如對應用過程、流程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過程等的描述（參加 ）。因此，可采用如下管制手段來保護電腦媒體在兩地傳遞過程中的安全： 使用可靠的傳遞方式或快件服務。 公共交易系統(tǒng)應向客戶公開其交易條款及規(guī)定。在公共系統(tǒng)上的信息，如通過因特網(wǎng)可存取的網(wǎng)絡服務器上的 信息，要合乎其所在地區(qū)或所從事交易的地區(qū)的法律的要求。這主要包括： 提醒員工打電話時采取適當保護措施，如不提敏感信息以免信息被如下人 員監(jiān)聽或截獲： 1）員工周圍的人，特別是使用手持電話的人； 2）通過盜線或其它物理方式接觸電話機或電話線的人，及使用使用手持電話時用掃描接收器進行監(jiān)聽的人；3）在受話人一端的人 提醒員工不得在公開場所、開放的辦公室或墻壁較薄的房間內(nèi)談論保密話題 不得在語音答錄機上留言，因為這些設備可被非法人員盜聽、或由于撥號錯誤而錄到不正確的地方 提醒員工使用傳真機所可能導致的問題，如 1）傳真機內(nèi)存信息被非法提??； 2）故意或非故意地對傳真機的程序進行修改導致傳真發(fā)送到別的指定的號碼上； 3）由。 應采取適當?shù)臋C制對公共系統(tǒng)上的軟件、數(shù)據(jù)或其它要求高度完整性的信息加以保護，例如采取電子簽字等（參見 ）。 電子郵件的安全性 安全風險 電子郵件被用作業(yè)務交流，從而替代了傳統(tǒng)形式的通訊方式如電傳或信件?？刹捎玫拇胧┌ǎ?1）使用上鎖的集裝箱； 2）手頭傳遞； 3）防拆包裝（可顯示任何拆封的痕跡）； 4）在特殊情況下，將發(fā)送的物品分開并通過不同的路線傳遞 電子商務的安全性 電子商務可能會涉及電子數(shù)據(jù)交換、電子郵件和通過因特網(wǎng)之類的公眾網(wǎng)進行網(wǎng)上交易等方式的使用。 單位間的信息和軟件交換要加以管制，并符合法律的規(guī)定（參見 12 條款） 進行上述交換時要簽署協(xié)議 。 許多單位對文件、設備和媒體的處理采取收購處理的做法。 采取適當操作流程來保護文件、電腦媒體（磁帶、軟盤、錄音帶等）、輸入輸出數(shù)據(jù)和系統(tǒng)記錄，使之避免被破壞、盜竊和非法存取。 對跨單位的網(wǎng)絡安全管理要格外注意。對主場媒體的管制措施也應延展到備份文件的保護。 儲存管理 目標：維護信息處理及服務的完整性和可行性。 對非法入侵軟件的防御管理 檢測并防止非法軟件的入侵，實施恰 當?shù)姆婪读鞒獭９芾砣藛T應當確保新系統(tǒng)驗收的要求和標準