【正文】 產(chǎn)的遺失、損壞、危害及企業(yè)正常活 動(dòng)的中斷。同時(shí)，要制定續(xù)電器發(fā)生故障時(shí)的應(yīng)急計(jì)劃。此處所指的信息處理設(shè)備包括任何家庭用的或從單位帶出的任何形式的個(gè)人電腦、手持電腦、移動(dòng)電話、紙張或其它物品。政策的制定要考慮信息安全分類（參見(jiàn) ）、相應(yīng)的風(fēng)險(xiǎn)和單位的企業(yè)文化等。應(yīng)把操作流程看作正式的文件，其變更需要經(jīng)過(guò)管理人員的批準(zhǔn)。 應(yīng)注意確保在責(zé)任單一的區(qū)域內(nèi)，只要有人從事犯罪活動(dòng)就馬 上會(huì)被察覺(jué)。 只有管制手段要求向開(kāi)發(fā)人員發(fā)放口令以支持操作系統(tǒng)時(shí)，開(kāi)發(fā)人員才可獲得操作口令?？煽紤]下列有關(guān)方面： 運(yùn)轉(zhuǎn)和計(jì)算能力的要求 錯(cuò)誤恢復(fù)、啟動(dòng)流程和應(yīng)急計(jì)劃 備有經(jīng)過(guò)同意的安全管制措施 有效的操作流程 條款中要求的業(yè)務(wù)持續(xù)安排 新系統(tǒng)不會(huì)，特別是在月末這樣的高峰期間不會(huì)影響現(xiàn)有設(shè)備運(yùn)行的證據(jù) 對(duì)新系統(tǒng)對(duì)單位總體安全作產(chǎn)生影響已加以考慮的證據(jù) 操作和使用新系統(tǒng)方面的有關(guān)培訓(xùn) 在從事重大開(kāi)發(fā)項(xiàng)目時(shí)，要開(kāi)發(fā)過(guò)程中的所有階段要就操作功能和使用進(jìn)行咨詢，以確保提出的系統(tǒng)設(shè)計(jì)的最高操作效率。 建立正常的流程來(lái)實(shí)施經(jīng)過(guò)批準(zhǔn)的后援策略（參見(jiàn) ）、準(zhǔn)備數(shù)據(jù)的備份、監(jiān)視設(shè)備環(huán)境等。 對(duì)通過(guò)公共網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)的保護(hù)也要格外小心。為此，需要小心挑選有經(jīng)驗(yàn)且辦事牢靠的承包商進(jìn)行上述作業(yè)。電子商務(wù)很容易受到網(wǎng)絡(luò)上的威脅， 從而導(dǎo)致欺詐行為、合同糾紛和信息的泄漏或修改。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴(yán)格管制，以做到： 信息的獲得符合數(shù)據(jù)保護(hù)法律的要求（參見(jiàn) ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準(zhǔn)確、按時(shí)的處理 敏感信息在收集和儲(chǔ)存過(guò)程中要加以保護(hù) 進(jìn)入發(fā)布系統(tǒng)時(shí)，不得進(jìn)入與其相連的但與本操作無(wú)關(guān)的其它網(wǎng)絡(luò) 其它形態(tài)的信息交換 制定流程和管制辦法，對(duì)通過(guò)聲頻、傳真和視頻設(shè)備等渠道進(jìn)行的信息交換進(jìn)行保護(hù)。 對(duì)設(shè)備聯(lián)結(jié)的安全考慮應(yīng)當(dāng)包括如下幾點(diǎn)： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會(huì)議，呼叫的保密性、傳真的保存、郵件的打開(kāi)和分發(fā)等 管理信息共享的政策和適當(dāng)管制措施，如公司電子布告 欄的使用等 如系統(tǒng)不能提供適當(dāng)級(jí)別的保護(hù)，需要進(jìn)行隔離保護(hù)的敏感商業(yè)信息的分類 限制存取涉及被選個(gè)人的日記信息，如從事敏感項(xiàng)目工作的員工的信息 系統(tǒng)支持業(yè)務(wù)應(yīng)用的適當(dāng)性，如通訊訂單或授權(quán)等 對(duì)允許使用系統(tǒng)的員工、合同方或業(yè)務(wù)伙伴的分類劃分，及其可存取的位置 對(duì)使用者的身份進(jìn)行識(shí)別，例如是單位的員工還是用于別的目的的合同方等 對(duì)系統(tǒng)上的信息進(jìn)行備份保存（參見(jiàn) 和 ） 緊急情況的要求和安排（參見(jiàn) ） 公共信息系統(tǒng)的安全性 采取措施保護(hù)以電子形式發(fā)布的信息的完整性，防止對(duì)其進(jìn)行非法修改而 造成的對(duì)單位名譽(yù)的損害。關(guān)于安全條件的協(xié)議內(nèi)容要考慮： 對(duì)傳輸、發(fā)送和接收進(jìn)行管制和通知的管理權(quán)責(zé) 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn) 快件認(rèn)證標(biāo)準(zhǔn) 遺失數(shù)據(jù)時(shí)的責(zé)任 對(duì) 敏感或關(guān)鍵信息使用經(jīng)過(guò)同意的標(biāo)示系統(tǒng)，確保報(bào)表得失意義明白無(wú)誤，以及對(duì)信息進(jìn)行適當(dāng)保護(hù) 信息和軟件所屬權(quán)及數(shù)據(jù)保護(hù)的責(zé)任，軟件的版權(quán)合法性和類似的考慮（參見(jiàn) 和 ） 用于記錄和讀寫信息和軟件的技術(shù)標(biāo)準(zhǔn) 任何可用于保護(hù)諸如密碼鍵等敏感物品的特別管制手段（參見(jiàn) ） 傳遞中媒體的安全管制 信息在物理傳遞過(guò)程中（例如，通過(guò)郵政服務(wù)或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。敏感信息可能通過(guò)無(wú)意處理媒體時(shí)泄漏出去。 差錯(cuò)記錄管理 對(duì)差錯(cuò)進(jìn)行記錄并采取糾正措施。管理人員要確保合格的來(lái)源，如有名的雜志、可靠的因特網(wǎng)站點(diǎn)或防病毒軟件供應(yīng)商等，來(lái)區(qū)分小把戲和真正的病毒。它們要對(duì)使用的走向加以辨認(rèn)，特別是有關(guān)業(yè)務(wù)應(yīng)用或管理信息系統(tǒng)工具方面的走向。 如共用相同的計(jì)算環(huán)境，開(kāi)發(fā)和測(cè)試活動(dòng)可能會(huì)導(dǎo)致軟件和信息的變更。因此，要考慮對(duì)各部門的權(quán)責(zé)進(jìn)行清楚劃分，以避免未經(jīng)授權(quán)而修改或?yàn)E用信息。 要建立所有信息處理設(shè)備的管理和操作的權(quán)責(zé)及流程。 防止信息和信息處理設(shè)備被非法泄漏、修改或盜用。可考慮如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對(duì)設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過(guò)授權(quán)的維護(hù)人員對(duì)設(shè)備進(jìn)行檢修和維護(hù) 對(duì)所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄 如設(shè)備需要送到單位外面進(jìn)行維修，應(yīng)采取適當(dāng)?shù)墓苤拼胧▍⒁?jiàn) ）。 還要考慮附近發(fā)生災(zāi)難時(shí)的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 交接區(qū)的設(shè)計(jì)應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。 對(duì)敏感信息和信息處理設(shè)備的通路進(jìn)行 管制，只有經(jīng)過(guò)授權(quán)的人員才得以進(jìn)入。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險(xiǎn)相一致。應(yīng)向使用者強(qiáng)調(diào)，無(wú)論在何種情況下，他們都不要試圖對(duì)懷疑的漏洞進(jìn)行論證。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至最低限度。 管理人員要對(duì)那些新來(lái)的或沒(méi)有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。針對(duì)每個(gè)類別， 所定義的操作流程要包括如下類型的信息處理活動(dòng)： 復(fù)制 存儲(chǔ) 以郵件、傳真、電子郵件方式進(jìn)行的傳送 以聲音，包括移動(dòng)電話、語(yǔ)音郵件、答錄機(jī)等方式進(jìn)行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。 信息具有不同的敏感度和重要性。 例如，合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識(shí)到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗(yàn)單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來(lái)限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對(duì)委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計(jì)權(quán) 條款中所述的條件也可作為此 合同考慮的要素。 第三方存取的風(fēng)險(xiǎn)鑒別 存取的類別 允許第三方存取的類別至關(guān)重要。為使其建議的有效性最大化，應(yīng)允許他們接觸全單位管理的各個(gè)方面。通常的做法是為每項(xiàng)信息資產(chǎn)都指定一個(gè)負(fù)責(zé)人，由他來(lái)時(shí)時(shí)負(fù)責(zé)資產(chǎn)的日常安全。 建立管理框架，以展開(kāi)并管制單位內(nèi)部信息安全的實(shí)施。因此，有必要適時(shí)加以調(diào)整。管制手段可從本文件或別的管控手冊(cè)中選擇；還可以設(shè)計(jì)新管控辦法來(lái)滿足具體的需求。同時(shí)，也要求供貨商、客戶和股東的參與。信息安全就是保護(hù)信息免受來(lái)自各方面的眾多威脅，從而使單位能夠進(jìn)行持續(xù)經(jīng)營(yíng)，使其對(duì)經(jīng)營(yíng)的危害降至最小程度，并將投資和商業(yè)機(jī)會(huì)得以最大化。通過(guò)技術(shù)手段達(dá)到的 安全很有限，因此要通過(guò)恰當(dāng)?shù)墓芾砗土鞒碳右灾С帧? 對(duì)安全風(fēng)險(xiǎn)和實(shí)施的管制要進(jìn)行定期回顧，以便 － 考慮運(yùn)營(yíng)要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認(rèn)所采取的管制手段仍然有效恰當(dāng) 根據(jù)以前評(píng)估的結(jié)果和管理層能夠接受的風(fēng)險(xiǎn)程度，上述回顧 應(yīng)當(dāng)按不同程度開(kāi)展。因此，上述的步驟雖然是很好的起點(diǎn)，它并不取代基于具體風(fēng)險(xiǎn)評(píng)估而導(dǎo)出的管制手段。 審核與評(píng)估 本政策要求有專人按既定程序?qū)ζ溥M(jìn)行定期檢討和審訂。對(duì)各項(xiàng)有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運(yùn)營(yíng)計(jì)劃，也要加以明確定義。擔(dān)此職務(wù)的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗(yàn)以外的建議。 外方存取可能還會(huì)涉及到別的參與方。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護(hù)，包括 1）保護(hù)單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時(shí)間點(diǎn)歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標(biāo)的服務(wù)水準(zhǔn)和不可接受的服務(wù)水準(zhǔn) 人員調(diào)動(dòng)的規(guī)定 合同雙方各自 的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護(hù)方面的法規(guī)，要特別考慮到在合同牽涉到多國(guó)組織件合作時(shí)各國(guó)法律體系的不同（見(jiàn) ） 知識(shí)產(chǎn)權(quán)和版權(quán)的分配（見(jiàn) ）及合作成果的保護(hù)（見(jiàn) ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標(biāo)記的運(yùn)用如使用者身份證和密碼； 2）對(duì)使用者存取和權(quán)限的授權(quán)過(guò)程； 3）要求準(zhǔn)備一份批準(zhǔn)使用服務(wù)的個(gè)人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評(píng)判標(biāo)準(zhǔn)并對(duì)其進(jìn)行監(jiān)督和回報(bào) 監(jiān)督、撤銷使用者活動(dòng)的權(quán)力 對(duì)合同權(quán)責(zé)進(jìn)行審計(jì)或指定別人對(duì)其審計(jì)的權(quán)力 建立解 決問(wèn)題的升級(jí)流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護(hù)方面的責(zé)任 清晰的回報(bào)結(jié)構(gòu)和業(yè)經(jīng)同意的回報(bào)格式 清晰具體的變化管理流程 確保管制手段得以實(shí)施的物理保護(hù)管制手段和機(jī)制 對(duì)使用者和管理者進(jìn)行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見(jiàn) ） 用于回報(bào)、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標(biāo)：委外加工處理時(shí)相關(guān)信息的安全管理。每個(gè)資產(chǎn)都要清楚辨明，其主管人員及安全類別（見(jiàn) ）、現(xiàn)在的位置等都要確認(rèn)并登記。 對(duì)信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來(lái)的的制造者或指定的主管人員來(lái)完成。對(duì)握有大權(quán)的員工此類信用調(diào)查更要定期開(kāi)展。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。發(fā)生過(guò)的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會(huì)發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見(jiàn) ）。此外，要確保能合理、公正地處理那些被 懷疑是違反安全操作的員工?？煽紤]如下的管制措施： 監(jiān)視或禁止來(lái)安全區(qū)域的訪問(wèn)者。無(wú)人區(qū)特別要保持隨時(shí)警戒。 交接區(qū)的隔離 對(duì)交接區(qū)進(jìn)行管制；如有必要，將其與信息處理設(shè)施進(jìn)行隔離，并避免未經(jīng)授權(quán)的進(jìn)入。 采取管制手段來(lái)降低潛在威脅的風(fēng)險(xiǎn)，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定?？煽紤]如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護(hù)措施。 所有存有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存的敏感信息和授權(quán)專用軟件已被清除或覆蓋。要進(jìn)行場(chǎng)地檢查以檢測(cè)資產(chǎn)是否被非法挪用。特別是要考慮如下的因素： 對(duì)重大變更的辨別和記錄 對(duì)此類變化的潛在影響的評(píng)估 對(duì)提議的 變更的正式審批流程 把變更的細(xì)節(jié)通知給所有的相關(guān)人員 追究放棄變更或失敗變更恢復(fù)責(zé)任的流程 事故管理程序 要建立事故管理責(zé)任流程制度，確保安全事故發(fā)生后作出快速、有效、有序的反應(yīng)（參見(jiàn) ）。在某些系統(tǒng)內(nèi)，這一能力可能會(huì)被濫用來(lái)進(jìn)行犯罪活動(dòng)，或引入未經(jīng)測(cè)試的病毒碼。這些預(yù)測(cè)要考慮新業(yè)務(wù)和系統(tǒng)的要求及單位信息處理的當(dāng)前和未來(lái)走向。可考慮如下措施： 制定政策要求使用正版軟件，禁止使用盜版軟件（參見(jiàn) ） 制定政策防范使用外來(lái)的軟件或文件的風(fēng)險(xiǎn)（參見(jiàn) 和 ） 安裝并定期升級(jí)防病毒檢測(cè)和修補(bǔ)軟件，用其來(lái)掃描電腦和媒體并將其制度化 對(duì)支持關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)進(jìn)行定期監(jiān)測(cè)。 恢復(fù)流程應(yīng)定期審訂測(cè)試，確保其有效性，使其在規(guī)定時(shí)間內(nèi)能夠完成恢復(fù)的任務(wù) 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存等都要加以規(guī)定?？煽紤]如下指導(dǎo)原則： 任何可再用媒體上保留的過(guò)去的內(nèi)容如不需要都要加以清除。同時(shí)，要考慮電子數(shù)據(jù)交換、電子商務(wù)和電子郵件在業(yè)務(wù)和安全方面的隱患及對(duì)其進(jìn)行管制的要求。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風(fēng)險(xiǎn)。信息可可能通過(guò)非法使用者的進(jìn)入而遺失（參見(jiàn)第 9 條款）。（參見(jiàn) 條款， 條款和 條款） 貿(mào)易伙伴間的電子商務(wù)安排應(yīng)通過(guò)記錄在案的合同加以約束，從而使雙方都能對(duì)合同的貿(mào)易條款作出承諾，包括授權(quán)的細(xì)節(jié)等。 信息移動(dòng)或儲(chǔ)存程序 建立信息 移動(dòng)或儲(chǔ)存流程，確保信息不被非法泄漏或?yàn)E用。特別是要考慮如下要素： 在適當(dāng)情況下，把網(wǎng)絡(luò)的操作權(quán)責(zé)和電腦操作劃分開(kāi)（參見(jiàn) ） 要建立管理遠(yuǎn)程設(shè)備（包括使用區(qū)域的設(shè)備）的責(zé)任和流程 如有必要，采取特別管制措施保護(hù)通過(guò)公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的保密性和完整性，并保護(hù)聯(lián)結(jié)系統(tǒng)（參見(jiàn) 和 ）。針對(duì)單個(gè)系統(tǒng)的備份安排要進(jìn)行定期測(cè)試，確保它們符合持續(xù)運(yùn)營(yíng)計(jì)劃的要求（參見(jiàn) 11 條款）。 采取措施防止并檢測(cè)侵略性軟件的侵入。因此，對(duì)這些風(fēng)險(xiǎn)要事先加以辨認(rèn)，并納入和承包方簽訂的合同當(dāng)中。要制定相關(guān)法規(guī)來(lái)控制軟件從開(kāi)發(fā)部門向操作部門的劃撥。對(duì)信息處理設(shè)備和系統(tǒng)管制的不充分是引起系統(tǒng)或安全癱瘓的常見(jiàn)原因。 個(gè)人電腦和電腦終端及打印機(jī)在無(wú)人使用時(shí)不得置于上網(wǎng)狀態(tài)，并要求有密碼、密碼鎖或其它的保護(hù)措施。 隨時(shí)遵守制造商關(guān)于保護(hù)設(shè)備的指示，例如防止設(shè)備接觸強(qiáng)磁場(chǎng)等。如安裝了發(fā)電機(jī)，應(yīng)當(dāng)按制造商的要求對(duì)其進(jìn)行定期檢測(cè)。同時(shí)應(yīng)考慮設(shè)備的座落和處置。 為安全和防止壞人破壞起見(jiàn)，對(duì)安全區(qū)內(nèi)所有工作實(shí)施監(jiān)視。還要考慮險(xiǎn)關(guān)的健康和