【正文】 信息在公開前，要經(jīng)過正式審批過程。經(jīng)過授權(quán)的快件服務(wù)公司的清單要經(jīng)過單位管理人員的批準(zhǔn)，并制定流程來檢查快件公司的身份 要有充分 的包裝，以防止傳遞過程中所發(fā)生的物理毀壞；或按照媒體制造商的要求進(jìn)行包裝 如有必要，采取特別的管制措施來保護(hù)敏感信息，使其避免被非法泄漏或修改?？煽紤]如下指導(dǎo)原則： 對(duì)載有敏感信息的媒體應(yīng)加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞郊右蕴幹?，如焚燒或碎片，或在清除信息后給本單位的其它機(jī)構(gòu)使用 下列物品屬于應(yīng)進(jìn)行安全處置的物品： 1）書面文件； 2）錄音或其它形式的記錄；3）碳寫紙； 4）輸出報(bào)告； 5）一次性打印色帶； 6）磁帶； 7）可讀寫軟盤或磁盤； 8）光學(xué)儲(chǔ)存媒體（包括所有形式和所有制造商制造 的軟件分銷媒體）； 9）程序列表； 10）測(cè)試數(shù)據(jù)； 11）系統(tǒng)記錄 把需處理的媒體收集起來進(jìn)行集中安全處理比單個(gè)清除敏感數(shù)據(jù)簡(jiǎn)便易行。對(duì)如何處理報(bào)告的差錯(cuò)應(yīng)有明確的規(guī)定，包括 對(duì)差錯(cuò)記錄進(jìn)行審核，確保差錯(cuò)已得到滿意的解決 對(duì)采取的修改措施進(jìn)行審核，確保管制手段的正確性和采取行動(dòng)的合法性 網(wǎng)絡(luò)管理 目標(biāo)：建立網(wǎng)絡(luò)信息及基礎(chǔ)架構(gòu)支持的防護(hù)措施。 這些管制措施對(duì)支持大 批工作站的網(wǎng)絡(luò)文件服務(wù)器尤為重要。 系統(tǒng)驗(yàn)收 建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本方面的驗(yàn)收標(biāo)準(zhǔn)；在驗(yàn)收前進(jìn)行適當(dāng)測(cè)試?？煽紤]如下的管制手段： 如可能，應(yīng)在不 同的電腦處理機(jī)上，或不同的域名或目錄下運(yùn)行開發(fā)和操作軟件 盡可能地將開發(fā)和測(cè)試活動(dòng)隔離開 不必要時(shí)，編輯器和其它系統(tǒng)設(shè)備不得通過操作系統(tǒng)進(jìn)行存取 操作和測(cè)試系統(tǒng)要使用不同的登錄流程，以此降低出錯(cuò)的風(fēng)險(xiǎn)。如劃分權(quán)責(zé)有困難，那么應(yīng)該考慮其它的管制手段如行動(dòng)監(jiān)視、審計(jì)記錄和管理監(jiān)督等。 在適當(dāng)?shù)那闆r下，要對(duì)權(quán)責(zé)進(jìn)行劃分（參見 ），以降低瀆職或故意濫用系統(tǒng)的風(fēng)險(xiǎn)。有關(guān)處理和存儲(chǔ)流程詳見 條款。 非管制區(qū)的設(shè)備安全管理 無論設(shè)備產(chǎn)權(quán)如何，使用任何單位以外的設(shè)備進(jìn)行信息處理都要經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)。供電要符合設(shè)備制造商對(duì)供電的規(guī)定和要求。 把進(jìn)入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對(duì)其進(jìn)行檢查，確保沒有潛在危險(xiǎn)存在（參見 ）。除非另加要求，諸如文具等的大宗物品不得儲(chǔ)存在安全區(qū)。所有進(jìn)入都要求有記錄，并加以妥當(dāng)保存。 信息安全區(qū)的實(shí)體區(qū)隔 單位應(yīng)通過安全實(shí)體區(qū)隔來保護(hù)信息儲(chǔ)存處理設(shè)施的區(qū)域。 軟件功能障礙回報(bào) 要求建立并遵守軟件功能障礙回報(bào)流程。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。 管理人員應(yīng)當(dāng)認(rèn)識(shí)到其部下的個(gè)人環(huán)境會(huì)影響其工作。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報(bào)告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級(jí)別，并采取恰當(dāng)?shù)奶厥馓幹檬侄巍? 盡管委外合同可導(dǎo)致一些復(fù)雜的安全問題，其準(zhǔn)則中包括的管制手段可被用作安全管理計(jì)劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。應(yīng)考慮的存取類別包括： 物理存取，如辦公室、電腦房、檔案柜等 邏輯存取，如單位的數(shù)據(jù)庫(kù)、信息系統(tǒng)等 存取的原因 允許第三方存取可能有若干原因。盡管多數(shù)內(nèi)部安全調(diào)查通常是在管理管制下進(jìn)行，但仍可以委托信息安全顧問提出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。 對(duì)各經(jīng)理所負(fù)責(zé)的各安全領(lǐng)域進(jìn)行定義十分重要；特別是要做到如下幾點(diǎn)： 和各系統(tǒng)有關(guān)的資產(chǎn)和安全程序要加以清 楚辨別和定義 負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案 授權(quán)級(jí)別要清晰定義并記錄在案 信息處理設(shè)備的授權(quán)流程 要建立起針對(duì)新信息處理設(shè)施的管理授權(quán)流程。如有必要，在單位內(nèi)部設(shè)立特別信息安全顧問并指定相應(yīng)人選。其目的是提供一個(gè)公共平臺(tái)以各單位制定各自的安全標(biāo)準(zhǔn)和有效的安全管理手段，并增強(qiáng)各單位就此進(jìn)行交流時(shí)的信心。然而，需要認(rèn)識(shí)的是有些手段并不是適用與所有信息系統(tǒng)或環(huán)境，也不一定適合所有的單位或組織。 如果能在具體規(guī)章和設(shè)計(jì)階段就將信息安全管制方面的內(nèi)容納入其中，則其成本會(huì)便宜許多。無論信息以何種方式存在，或以何種形式分享或儲(chǔ)存，都要對(duì)其進(jìn)行恰當(dāng)保護(hù)。分散化的計(jì)算機(jī)模式進(jìn)一步減弱了中央化、專業(yè)化管制的有效性。 風(fēng)險(xiǎn)評(píng)估要求對(duì)如下因素進(jìn)行系統(tǒng)考慮： 安全失誤所造成的經(jīng)營(yíng)性破壞，要求考慮失去信息保密性、完整性和可得性和其它資產(chǎn)時(shí)所導(dǎo)致的潛在后果 現(xiàn)行威脅和弱點(diǎn)導(dǎo)致安全 失誤的現(xiàn)實(shí)可能性，及目前實(shí)施的管制手段 在管理信息安全風(fēng)險(xiǎn)和實(shí)施管制手段防范風(fēng)險(xiǎn)時(shí)，上述評(píng)估結(jié)果有助于指導(dǎo)和決定采取適當(dāng)?shù)墓芾硇袆?dòng)及其優(yōu)先程度。 從立法角度審視，對(duì)單位十分重要的管制手段主要包括： 甲、知識(shí)產(chǎn)權(quán)（詳見 ） 乙、保護(hù)單位記錄（詳見 ） 丙 、數(shù)據(jù)保護(hù)和個(gè)人隱私（詳見 ） 對(duì)信息安全來說被認(rèn)為是最佳實(shí)施手段的管制手段包括： 甲、信息安全政策文件（詳見 ） 乙、信息安全權(quán)責(zé)的分配（詳見 ） 丙、信息安全教育和培訓(xùn)（詳見 ） 丁、安全事故的回報(bào)（詳見 ） 戊、持續(xù)運(yùn)營(yíng)管理（詳見 ） 這些管制手段適用于多數(shù)單位和多數(shù)情形。該文件要闡明管理層對(duì)信息安全的承諾，并 提出單位信息安全的管理方法。 信息安全政策應(yīng)當(dāng)提供單位內(nèi)安全人事和權(quán)責(zé)分配方面的具體指導(dǎo)原則。但不是所有單位都想聘用專業(yè)信息安全顧問。 如業(yè)務(wù)需求第三方必須接觸本單位的信息處理設(shè)備，則應(yīng)對(duì)此行為的安全后果和管制要求進(jìn)行風(fēng)險(xiǎn)評(píng)估。合同 還要確保單位和第三方之間沒有任何誤會(huì)?；谶@些信息，單位就可以提供和資產(chǎn)價(jià)值及重要性相應(yīng)的保護(hù)級(jí)別。太復(fù)雜的標(biāo)號(hào)系統(tǒng)用起來很費(fèi)勁，即不經(jīng)濟(jì)也不實(shí)用。 人員任用政策 在單位終身職員申請(qǐng)工作時(shí)，對(duì)其進(jìn)行資格審查。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時(shí)應(yīng)采取的行動(dòng)。所有員工和合同方都應(yīng)認(rèn)識(shí)回報(bào)安全事故的操作流程，并被要求盡快加以回報(bào)。 違規(guī)處置流程 雇員如違反單位安全政策和流程，應(yīng)通過正式的違規(guī)處置流程加以處理（參見 和 ）。 安全防御帶內(nèi)所有的防火門都應(yīng)安裝報(bào)警器，并隨時(shí)處于緊閉狀態(tài)。 房間無人時(shí)，門窗都要上鎖關(guān)閉；窗戶，特別是一樓的窗戶，要安裝必要的外部保護(hù)設(shè)施。安全防御帶內(nèi)部具有不同安全要求的區(qū)域之間的通道要采取格外的隔離和防護(hù)措施。 處理敏感數(shù)據(jù)的信息處理和存儲(chǔ)設(shè)備的座落要使其在使用時(shí)不被遺漏。所有的樓房都要實(shí)施照明保護(hù)措施，并給所有外部通訊線路安裝照明保護(hù)濾光器。 設(shè)備報(bào)廢或再啟用安全管理 信息通過不經(jīng)心的報(bào)廢處置或重新啟用遺失。 財(cái)產(chǎn)撤離 單位所屬設(shè)備、信息或軟件未經(jīng)授權(quán)不得撤離。操作環(huán)境的變更可能會(huì)影響應(yīng)用程序。在此情況下，有必要保持一個(gè)已知而穩(wěn)定 的環(huán)境，以供開展有意義的測(cè)試，并避免非法開發(fā)人員的存取。在驗(yàn)收和使用前，制定、記錄并測(cè)試新系統(tǒng)的操作要求。 對(duì)非法入侵軟件的防御管理 檢測(cè)并防止非法軟件的入侵，實(shí)施恰 當(dāng)?shù)姆婪读鞒?。?duì)主場(chǎng)媒體的管制措施也應(yīng)延展到備份文件的保護(hù)。 采取適當(dāng)操作流程來保護(hù)文件、電腦媒體（磁帶、軟盤、錄音帶等）、輸入輸出數(shù)據(jù)和系統(tǒng)記錄，使之避免被破壞、盜竊和非法存取。 單位間的信息和軟件交換要加以管制，并符合法律的規(guī)定（參見 12 條款） 進(jìn)行上述交換時(shí)要簽署協(xié)議 。 電子郵件的安全性 安全風(fēng)險(xiǎn) 電子郵件被用作業(yè)務(wù)交流，從而替代了傳統(tǒng)形式的通訊方式如電傳或信件。這主要包括： 提醒員工打電話時(shí)采取適當(dāng)保護(hù)措施，如不提敏感信息以免信息被如下人 員監(jiān)聽或截獲： 1）員工周圍的人，特別是使用手持電話的人； 2）通過盜線或其它物理方式接觸電話機(jī)或電話線的人，及使用使用手持電話時(shí)用掃描接收器進(jìn)行監(jiān)聽的人；3）在受話人一端的人 提醒員工不得在公開場(chǎng)所、開放的辦公室或墻壁較薄的房間內(nèi)談?wù)摫Ｃ茉掝} 不得在語音答錄機(jī)上留言，因?yàn)檫@些設(shè)備可被非法人員盜聽、或由于撥號(hào)錯(cuò)誤而錄到不正確的地方 提醒員工使用傳真機(jī)所可能導(dǎo)致的問題，如 1）傳真機(jī)內(nèi)存信息被非法提??； 2）故意或非故意地對(duì)傳真機(jī)的程序進(jìn)行修改導(dǎo)致傳真發(fā)送到別的指定的號(hào)碼上； 3）由。 公共交易系統(tǒng)應(yīng)向客戶公開其交易條款及規(guī)定?？煽紤]如下要素（參見 和 ）： 給所有媒體作標(biāo)示（參見 之第一項(xiàng)） 對(duì)存取進(jìn)行限制，以辨別非法人員 保留授權(quán)人員相關(guān)數(shù)據(jù)的正式記錄 確保輸入數(shù)據(jù)的完整性、處理過程得以正確完成及對(duì)輸出的有效確認(rèn) 對(duì)等待輸出的數(shù)據(jù)采取與其敏感性相應(yīng)的保護(hù)措施 把媒體保存在符合制造商規(guī)定的環(huán)境中 盡量減少數(shù)據(jù)的分發(fā) 對(duì)所有數(shù)據(jù)進(jìn)行清楚標(biāo)示，以引起其合法接收人員的注意 定 期對(duì)分發(fā)清單和合法接收人員名單進(jìn)行審訂 系統(tǒng)文件的安全性 系統(tǒng)文件可能載有系列敏感信息，如對(duì)應(yīng)用過程、流程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過程等的描述（參加 ）。 對(duì)管理活動(dòng)進(jìn)行跟蹤協(xié)調(diào)，使提供的服務(wù)最優(yōu)化，并確保對(duì)整個(gè)信息處理基礎(chǔ)設(shè)施的管制得 以持續(xù)進(jìn)行 媒體存取及安全性 目標(biāo)：防止資產(chǎn)損失及企業(yè)活動(dòng)中斷。對(duì)重要的業(yè)務(wù)應(yīng)用軟件應(yīng)保留最少三代的備份信息。因此，使用者應(yīng)當(dāng)意識(shí)到非法或侵略性軟件的危害；管理人員應(yīng)當(dāng)在必要時(shí)采取特別管制手段來檢測(cè)和防范此類軟件的入侵。 要進(jìn)行事前計(jì)劃和準(zhǔn)備以確保有充足的能力和資源。因此，要針對(duì)操作、測(cè)試和開發(fā)環(huán)境的隔離考慮必要的隔離級(jí)別，以避免操作上的問題。對(duì)操作程序變更的管制要尤其嚴(yán)格。 下班后，要把復(fù)印機(jī)鎖起來（或加以保護(hù)禁止其它方式的非法使用）。 諸如盜竊、損壞和遺失等安全風(fēng)險(xiǎn)在各個(gè)地方的 程度不同，因此在各地要因地制宜地制定防護(hù)措施。 此外，要在設(shè)備室的緊急出口處安裝緊急電源開關(guān)，用作緊急情況下迅速關(guān)閉電源。 設(shè)備座落及防護(hù) 對(duì)設(shè)備座落加以保護(hù)，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經(jīng)授權(quán)的進(jìn)入。 應(yīng)限制第三方輔助服務(wù)人員進(jìn)入安全區(qū)或敏感信息處理設(shè)備，只在必要時(shí)才許其進(jìn)入。 可考慮如下的管制手段： 關(guān)鍵設(shè)備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設(shè)置暗指此處有信息處理活動(dòng)的標(biāo)牌或標(biāo)記。 在通往場(chǎng)所或樓房的通道上還應(yīng)當(dāng)配備值班接待臺(tái)或其它類似機(jī)構(gòu)，確保只有經(jīng)過授權(quán)的人員才能得以靠近通往上述場(chǎng)所的通道。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。 安全事故回報(bào) 發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道回報(bào)。 員工守則 該守則應(yīng)載明雇員在信息安全方面的職責(zé)。 工作權(quán)責(zé)涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見 ）。分類知道大綱應(yīng)當(dāng)預(yù)測(cè)并承認(rèn)信息分類有時(shí)間性并歲政策變化而變化這一事實(shí)（見 ）。編 制資產(chǎn)盤點(diǎn)的流程是風(fēng)險(xiǎn)管理的重要方面。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見 ） 在相應(yīng)管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設(shè)備。 外部存取的安全管理 目標(biāo)：外來單位存取單位內(nèi)部信息及信息處理設(shè)施時(shí)的安全管理。 專業(yè)信息安全顧問 許多單位可能需要專業(yè)信息安全顧問。 部門間協(xié)調(diào) 在較大的單位內(nèi)，有必要建立一個(gè)由各個(gè)部門管理代表組成的跨功能信息安全委員會(huì)來協(xié)調(diào)信息安全的實(shí)施。 管理層應(yīng)制定一套清晰的指導(dǎo)原則，并以此明確表明其對(duì)信息安全及在單位內(nèi)部貫徹實(shí)施信息安全政策的支持和承諾。 信息安全起始點(diǎn) 幾條管制手段作為指導(dǎo)原則提供了信息安全執(zhí)行方面的起始點(diǎn)。管制方面的支出需要和安全失控時(shí)產(chǎn)生的危害進(jìn)行平衡和比較。 對(duì)信息系統(tǒng)和服務(wù)的依賴表明單位在安全威脅面前已越來越脆弱。必須建立此類管制手段來確保各單位的具體安全目標(biāo)得以實(shí)現(xiàn)。在這方面，主要有三個(gè)來源： 第一個(gè)來源是對(duì)單位面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估。對(duì)許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。 保密性被定義為確保唯有經(jīng)過授權(quán)的人員方可存取信息。在此方面，應(yīng)鼓勵(lì)跨學(xué)科的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應(yīng)用軟件設(shè)計(jì)師、審計(jì)人員和保安人員間開展合作和協(xié)調(diào)，或在保險(xiǎn)和風(fēng)險(xiǎn)管理兩個(gè)學(xué)科領(lǐng)域間進(jìn)行專業(yè)交流等。批準(zhǔn)由負(fù)責(zé)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關(guān)安全政策和要求。同樣，也應(yīng)考慮參加安全組織和行業(yè)論壇并成為其成員。因此，在有需求接觸其它方信息時(shí)，要進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定管制的要求。 所有重大的信息資產(chǎn)都要有記錄和主管人員?？偠灾?，對(duì)信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個(gè)捷徑。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對(duì)其進(jìn)行物理標(biāo)示，在此情況下需考慮對(duì)其進(jìn)行電子標(biāo)示。對(duì)這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以 解決。 安全事故應(yīng)通過適當(dāng)?shù)墓芾砬辣M快加以回報(bào)。并馬上通知有關(guān)當(dāng)局。單位應(yīng)使用安全防御帶來保護(hù)放置信息處理設(shè)備的區(qū)域（參見 ）。 對(duì)進(jìn)入安全區(qū)域的權(quán)限要定期進(jìn)行審核和更新。 信息安全區(qū)內(nèi)工作守則 為進(jìn)一步加強(qiáng)已采取物理保護(hù)措施的安全區(qū)的安全，應(yīng)制定附加的信息安全區(qū)內(nèi)工作守則。 設(shè)備安全 目標(biāo)：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；顒?dòng)的中斷。同時(shí)，要制定續(xù)電器發(fā)生故障時(shí)