【正文】 除非經(jīng)授權(quán)，不應(yīng)該允許使用照相、錄像、錄音或其他記錄設(shè)備。4. 在安全區(qū)內(nèi)工作可能需要額外的控制措施和指導(dǎo)原則來加強安全區(qū)域的安全性。e） 應(yīng)該在所有的外門和可以出入的窗戶按專業(yè)標(biāo)準(zhǔn)安裝入侵監(jiān)測系統(tǒng)并定期測試。3. 保護辦公室、房間和設(shè)備的安全安全區(qū)可能是上鎖的辦公室或物理安全防護帶中的若干房間，這些房間可以被鎖住并且可能存放有可上鎖的柜子和保險箱。e） 安全防護帶的所有防火門應(yīng)具報警功能并用力關(guān)緊。安全防護帶是構(gòu)建屏障的東西，如墻、進(jìn)門的控制卡或有人職守的接待臺。 物理和環(huán)境安全 安全區(qū)域目標(biāo)：防止對商業(yè)場所和信息未經(jīng)授權(quán)的訪問、破壞和干擾。除非被授權(quán)，用戶不應(yīng)該試圖刪除有疑問的軟件。這是為了保護他們自己，因為測試弱點可能被認(rèn)為是濫用系統(tǒng)。1. 報告安全事故安全事故應(yīng)該盡快通過適當(dāng)?shù)墓芾砬缊蟾妗?. 信息安全教育和培訓(xùn)組織中所用員工以及相關(guān)的第三方用戶，應(yīng)該接受適當(dāng)?shù)呐嘤?xùn)并且根據(jù)組織方針和程序的變化定期再培訓(xùn)。4. 雇傭條款和條件雇傭條款和條件應(yīng)該闡明雇員對信息安全的責(zé)任。每一名員工的工作都應(yīng)該定期經(jīng)過一名更高層職員的評審和批準(zhǔn)程序。這些任務(wù)和責(zé)任既應(yīng)該包括實現(xiàn)或保持安全方針的任何一般責(zé)任，又應(yīng)該包括保護特定資產(chǎn)或執(zhí)行特定的安全過程或活動的任何具體責(zé)任。應(yīng)考慮的項目包括打印報告、屏幕顯示、記錄了信息的媒體（磁帶、磁盤、光盤、盒式磁帶），電子信息和文件傳送。過于復(fù)雜的分類方案可能造成使用上的麻煩和不經(jīng)濟或被證明為不切合實際。1. 分類原則信息分類和相應(yīng)的保護控制措施應(yīng)該考慮共享或限制信息的商業(yè)要求，以及與這些要求相關(guān)的商業(yè)影響，如對信息未經(jīng)授權(quán)的訪問或損壞?；谶@些信息，組織能夠進(jìn)而提供與資產(chǎn)的價值和重要性相符的保護等級。應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。各個組織應(yīng)確保供應(yīng)商的可靠性。(3) 現(xiàn)場承包方按照合同規(guī)定，可以在現(xiàn)場滯留一段時間的第三方也有可能帶來安全隱患。1. 第三方訪問的風(fēng)險鑒別(1) 訪問類型給予第三方訪問的類型至關(guān)重要。審核工作應(yīng)由組織內(nèi)部的審核職能部門、獨立經(jīng)理人或精通于此種審核工作的第三方組織來實施，只要審核人員掌握了相應(yīng)的技術(shù)和經(jīng)驗。為使其建議最大程度的發(fā)揮作用，他們應(yīng)有權(quán)接觸組織管理層的各個方面。在工作場所使用個人信息處理設(shè)備可能導(dǎo)致新的脆弱性，因此應(yīng)經(jīng)評估和授權(quán)。然而，信息資產(chǎn)負(fù)責(zé)人對資產(chǎn)的安全負(fù)有最終的責(zé)任，并應(yīng)有權(quán)確定責(zé)任人是否恰當(dāng)?shù)穆男辛寺氊?zé)。3. 信息安全責(zé)任分配保護單獨的資產(chǎn)和實施具體的安全過程的職責(zé)應(yīng)該給予明確定義。它的主要功能有：應(yīng)建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢，監(jiān)督安全標(biāo)準(zhǔn)和評估方法，并在處理安全事故時提供適當(dāng)?shù)穆?lián)絡(luò)渠道。該文件應(yīng)該闡明管理者對實行信息安全的承諾，并陳述組織管理信息安全的方法，它至少應(yīng)該包括以下幾個部分：信息安全的定義，其總體目標(biāo)和范圍，以及其作為信息共享的安全機制的重要性（見引言）；申明支持信息安全目標(biāo)和原則的管理意向；對組織有重大意義的安全方針、原則、標(biāo)準(zhǔn)和符合性要求的簡要說明，例如：符合法規(guī)和合同的要求；安全教育的要求；對計算機病毒和其他惡意軟件的防范和檢測；可持續(xù)運營的管理；違反安全方針的后果；對信息安全管理的總體和具體責(zé)任的定義，包括匯報安全事故；提及支持安全方針的文件，如：特定信息系統(tǒng)的更加詳細(xì)的安全方針和程序，或用戶應(yīng)該遵守的安全規(guī)定。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：a) 識別潛在的不合格及引起不合格的原因；b) 確定和實施所需的預(yù)防措施；c) 記錄所采取措施的結(jié)果；d) 評價所采取的預(yù)防措施；e) 識別已變更的風(fēng)險和確保注意力關(guān)注在重大的已變更的風(fēng)險。應(yīng)在一個文件化的程序中確定策劃和實施審核，報告結(jié)果和維護記錄[]的責(zé)任及要求。 評審的結(jié)果應(yīng)清楚地文件化，應(yīng)保持管理評審的紀(jì)錄。b) 進(jìn)行常規(guī)的信息安全管理體系有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋；c) 評審殘余風(fēng)險和可接受風(fēng)險的水平，考慮以下方面的變化：1)組織2)技術(shù)3)業(yè)務(wù)目標(biāo)和過程4)識別威脅，及5)外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。 h) 準(zhǔn)備一份適用性聲明。確定接受風(fēng)險的標(biāo)準(zhǔn)和識別可接受風(fēng)險的水平。組織應(yīng)做到如下幾點：a) 應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全管理體系的范圍。最高領(lǐng)導(dǎo)層在具體建立信息安全管理體系時應(yīng)做到如下幾點：(1) 管理層應(yīng)提供其承諾建立、實施、運行、監(jiān)控、評審、維護和改進(jìn)信息安全管理體系的證據(jù)，包括：a) 建立信息安全方針；b) 確保建立信息安全目標(biāo)和計劃；c) 為信息安全確立職位和責(zé)任；d) 向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要；e) 提供足夠的資源以開發(fā)、實施，運行和維護信息安全管理體系；f) 確定可接受風(fēng)險的水平；g) 進(jìn)行信息安全管理體系的評審。其他過程可能只需在有信息安全事故時、被保護的信息資產(chǎn)變化時或需要增加時、威脅和脆弱性變化時需要回應(yīng)。圖121 PDCA模型與信息安全管理體系過程ISMS的PDCA具有以下內(nèi)容：1. 計劃和實施一個持續(xù)提高的過程通常要求最初的投資：文件化實踐，將風(fēng)險管理的過程正式化，確定評審的方法和配置資源。對已解決的問題，加以標(biāo)準(zhǔn)化：即把已成功的可行的條文進(jìn)行標(biāo)準(zhǔn)化，將這些納入制度、規(guī)定中，防止以后再發(fā)生類似問題；找出尚未解決的問題，轉(zhuǎn)入下一個循環(huán)中去，以便解決。(2) 實施階段：就是指按照制定的方案去執(zhí)行。l 對于小型企業(yè)來說，可以把信息安全管理工作劃歸到信息部、人事行政部或其他相關(guān)部門。l 合適的管理層次公司負(fù)責(zé)人與基層管理部門之間的管理層數(shù)應(yīng)保護最少程度，最影響利潤的部門經(jīng)理應(yīng)該直接向公司負(fù)責(zé)人報告。l 評審和審批信息安全方針；l 分配信息安全管理職責(zé)；l 確認(rèn)風(fēng)險評估的結(jié)果；l 對與信息安全管理有關(guān)的重大事項，如組織機構(gòu)調(diào)整、關(guān)鍵人事變動、信息安全設(shè)施購置等；l 評審與監(jiān)督信息安全事故；l 審批與信息安全管理有關(guān)的其他重要事項。2. 組織內(nèi)部成功實施信息安全管理的關(guān)鍵因素l 反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動；l 與組織文化一致的實施安全的方法；l 來自管理層的有形支持與承諾；l 對安全要求、風(fēng)險評估和風(fēng)險管理的良好理解；l 向所有管理者及雇員推行安全意思；l 向所有雇員和承包商分發(fā)有關(guān)信息安全方針和準(zhǔn)則的導(dǎo)則；l 提供適當(dāng)?shù)呐嘤?xùn)與教育；l 用于評價信息安全管理績效及反饋改進(jìn)建議，并有利于綜合平衡的測量系統(tǒng)。 信息安全管理體系建立方法以BS7799的管理思想介紹通用安全管理體系建立的方法；信息安全管理包括諸多方面，如風(fēng)險管理、工程管理、業(yè)務(wù)連續(xù)性管理等，每項管理的要點均有不同。例如，可以為組織和其他公司之間特定的貿(mào)易關(guān)系定義ISMS，也可以為組織結(jié)構(gòu)定義ISMS，不同的情境可以由一個或者多個ISMS表述。1． 成立信息安全委員會信息安全委員會由組織的最高管理層與信息安全管理有關(guān)的部門負(fù)責(zé)人、管理人員、技術(shù)人員組成，定期召開會議，就以下重要信息安全議題進(jìn)行討論并做出決策，為組織信息安全管理提供導(dǎo)向與支持。在作業(yè)簡單的部門或車間，一個組長能控制50個人或更多的人。美國“911”恐怖襲擊事件以后，在美國的一些大型企業(yè)，這種安全機構(gòu)的設(shè)置方式逐漸流行，它強調(diào)對各種風(fēng)險的綜合管理和對威脅的快速反應(yīng)。制定管理方案時要注意整體的詳盡性、多選性、全面性。(4) 處理階段：根據(jù)調(diào)查效果進(jìn)行處理。信息安全管理體系的PDCA過程如下圖121所示。在一些體系中他們可能需要建立在計算機化的過程中以運行和立即回應(yīng)。 領(lǐng)導(dǎo)重視組織建立信息安全管理體系需要投入大量物力和人力，這就需要得到領(lǐng)導(dǎo)的認(rèn)可，尤其是最高領(lǐng)導(dǎo)，這樣才能確保這一項目不會因缺少資源支持而中途廢棄。為滿足該標(biāo)準(zhǔn)的目的，使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險至可接受的水平。 g) 選擇控制目標(biāo)和控制措施處理風(fēng)險：，應(yīng)該根據(jù)風(fēng)險評估和風(fēng)險處理過程的結(jié)果調(diào)整。記錄應(yīng)當(dāng)被控制。5 監(jiān)控和評審信息安全管理體系 監(jiān)控信息安全管理體系組織應(yīng)：a) 執(zhí)行監(jiān)控程序和其他控制措施，以：1)實時探測處理結(jié)果中的錯誤；2)及時識別失敗和成功的安全破壞和事故；3)能夠使管理層確定分派給員工的或通過信息技術(shù)實施的安全活動是否達(dá)到了預(yù)期的目標(biāo)；4)確定解決安全破壞的行動是否反映了運營的優(yōu)先級。 評審應(yīng)包括評價信息安全管理體系改進(jìn)的機會和變更的需要， 包括安全方針和安全目標(biāo)。審核員不應(yīng)審核他們自己的工作。預(yù)防措施應(yīng)于潛在問題的影響程度相適應(yīng)。1. 信息安全方針文件方針文件應(yīng)得到管理者批準(zhǔn)，并以適當(dāng)?shù)姆绞桨l(fā)布、傳達(dá)到所有員工。如有必要，應(yīng)在組織內(nèi)建立提供信息安全建議的專家小組并使其有效。2. 信息安全的協(xié)作問題在較大的組織內(nèi)部，有必要成立由各相關(guān)部門的管理代表組成的跨部門的信息安全委員會，以合作實施信息安全的控制措施。 提高全組織對信息安全的支持程度。信息資產(chǎn)的負(fù)責(zé)人可以把安全職責(zé)委托給各部門的經(jīng)理或服務(wù)提供商。使用個人信息處理設(shè)備來處理商業(yè)信息以及任何必要的控制措施應(yīng)經(jīng)授權(quán)。他們對安全威脅的評估質(zhì)量和對控制措施的建議水平?jīng)Q定了組織的信息安全的有效性。實施情況的審核工作應(yīng)該獨立進(jìn)行，來確保組織規(guī)范能夠很好的反映安全方針，并且是可行的和有效的。在考慮信息外包處理時，此標(biāo)準(zhǔn)可以作為簽訂此類合同的基礎(chǔ)。還要考慮所要進(jìn)行的訪問類型、信息的價值、第三方使用的控制措施和訪問給組織信息的安全可能帶來的后果。合同應(yīng)確保本組織和第三方之間沒有誤會。 資產(chǎn)分類與控制 資產(chǎn)責(zé)任目標(biāo)：保持對組織資產(chǎn)的適當(dāng)保護。組織需要識別其資產(chǎn)及這些資產(chǎn)的相對價值和重要性。應(yīng)該使用信息分類系統(tǒng)來定義一套適當(dāng)?shù)谋Ｗo等級，并傳達(dá)特殊處理措施的要求。應(yīng)該考慮劃分類別的數(shù)量以及對其使用所帶來的益處。該標(biāo)示應(yīng)該反映根據(jù)上述分類原則建立的規(guī)則所做的分類。1. 崗位責(zé)任中的安全安全任務(wù)和責(zé)任，如同在組織的信息安全方針中規(guī)定的（），應(yīng)該在適當(dāng)?shù)那闆r下形成文件。管理層應(yīng)該對有權(quán)訪問敏感系統(tǒng)的新員工和缺乏經(jīng)驗的員工的監(jiān)督工作進(jìn)行評價。在雇用條款或合同發(fā)生變化時，特別是員工要離開組織或合同將到期時，應(yīng)該對保密協(xié)議進(jìn)行評審。應(yīng)對用戶進(jìn)行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險。為妥當(dāng)?shù)奶幚硎鹿?，有必要在事故發(fā)生后盡快收集證據(jù)。應(yīng)該告知用戶，在任何情況下，他們都不應(yīng)該試圖驗證一個懷疑的弱點。c） 該事故應(yīng)該立即報告給信息安全經(jīng)理。另外，應(yīng)該保證正確、公平的處理被懷疑嚴(yán)重或連續(xù)破壞安全的雇員。組織應(yīng)該使用安全防護帶來保護放置信息處理設(shè)備（）的區(qū)域。d） 如有必要，物理屏障應(yīng)從地板延伸到天花板，以防止未經(jīng)授權(quán)的進(jìn)入和由諸如火災(zāi)和水災(zāi)引起的環(huán)境污染。d） 對安全區(qū)的訪問權(quán)應(yīng)該定期評審并更新。d） 無人看管時門窗應(yīng)該上鎖，應(yīng)該考慮對窗戶，特別是地面層窗戶的外部保護。i） 備用設(shè)備和備份媒體的放置應(yīng)該與主場地保持安全的距離，以避免因主場地的災(zāi)害造成毀壞。在安全防護帶內(nèi)具有不同安全要求的區(qū)域之間可能需要控制物理訪問的額外的屏障和防護帶。e） 如果適當(dāng)，進(jìn)入的物品應(yīng)在入口進(jìn)行登記。b） 處理敏感數(shù)據(jù)的信息處理和存儲設(shè)備應(yīng)該被妥善放置以降低在使用中被忽視的風(fēng)險。應(yīng)該根據(jù)設(shè)備制造商的說明提供合適的電力。另外，緊急電源開關(guān)應(yīng)位于設(shè)備室的緊急出口附近，以便在緊急情況下迅速切斷電源。應(yīng)該考慮以下控制措施。信息處理設(shè)備包括用于家庭工作或從正常工作地點帶出的所有形式的個人電腦、檔案夾、移動電話、文件或其他的物品。存有敏感信息的存儲設(shè)備應(yīng)該從物理上被銷毀或安全地重寫，而不是使用標(biāo)準(zhǔn)的刪除功能。留在桌面上的信息也有可能被諸如火災(zāi)、水災(zāi)或爆炸的災(zāi)害損壞或銷毀。2. 資產(chǎn)的遷移設(shè)備、信息或軟件未經(jīng)授權(quán)不應(yīng)帶離原場所。1. 文件化操作程序被安全方針確定的操作程序應(yīng)該文件化并保持。在程序變更時，應(yīng)該保留包括所有相關(guān)信息的審計日志。此程序應(yīng)確保：1) 僅允許經(jīng)明確識別和授權(quán)的員工訪問運行中的系統(tǒng)和數(shù)據(jù)；2) 詳細(xì)記錄所采取的所有緊急行動；3) 應(yīng)急行動應(yīng)報告給管理層，并以有序的方式評審；4) 對控制措施和商業(yè)系統(tǒng)完整性的確認(rèn)應(yīng)盡量避免延遲。應(yīng)考慮如下的控制措施：a） 活動分開很重要，此時需要相互勾結(jié)才能進(jìn)行欺詐，如提高訂單價格，和核對所收到的貨物。當(dāng)開發(fā)和測試人員有權(quán)訪問操作系統(tǒng)和其信息時，他們有可能引入未經(jīng)授權(quán)和未經(jīng)測試的程序代碼或改變操作數(shù)據(jù)。c） 編譯程序、編輯程序和其他的系統(tǒng)應(yīng)用程序在不需要時不應(yīng)該能從操作系統(tǒng)訪問。 系統(tǒng)規(guī)劃和接收目標(biāo)：將系統(tǒng)失效的風(fēng)險降到最低。管理人應(yīng)該確認(rèn)使用上的趨勢，特別是與商業(yè)應(yīng)用程序或管理信息系統(tǒng)工具相關(guān)時。軟件和信息處理設(shè)備易受引入的惡意軟件的攻擊，諸如計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬以及邏輯炸彈。員工應(yīng)該知道惡作劇的問題并在收到它們時知道如何處理。對重要的商業(yè)應(yīng)用軟件的備份信息至少應(yīng)該保留三代。3. 差錯記錄對差錯應(yīng)該進(jìn)行匯報并采取修正行動。特別地，應(yīng)考慮如下的控制措施：a） 在適當(dāng)情況下，對網(wǎng)絡(luò)的操作責(zé)任應(yīng)和計算機操作化分開。應(yīng)考慮如下的控制措施：a） 對從組織中換下來的可再用媒體上的以前的內(nèi)容，如不再需要，應(yīng)刪除掉。b） 下面的列表指明了可能需要安全處置的物品：1) 書面文件；2) 錄音或其他形式的記錄；3) 復(fù)寫紙；4) 輸出報告；5) 一次性打印色帶；6) 磁帶；7) 可移動的磁盤或磁帶；8) 光學(xué)存儲媒體（包括所有形式和所有制造商制造的軟件分銷媒體）；9) 程序列表；10) 測試數(shù)據(jù)；11) 系統(tǒng)文檔。應(yīng)當(dāng)考慮下面的控制措施：a） 所有介質(zhì)的處理和