【正文】 產(chǎn)的遺失、損壞、危害及企業(yè)正?；?動的中斷。同時，要制定續(xù)電器發(fā)生故障時的應急計劃。此處所指的信息處理設備包括任何家庭用的或從單位帶出的任何形式的個人電腦、手持電腦、移動電話、紙張或其它物品。政策的制定要考慮信息安全分類（參見 ）、相應的風險和單位的企業(yè)文化等。應把操作流程看作正式的文件，其變更需要經(jīng)過管理人員的批準。 應注意確保在責任單一的區(qū)域內，只要有人從事犯罪活動就馬 上會被察覺。 只有管制手段要求向開發(fā)人員發(fā)放口令以支持操作系統(tǒng)時，開發(fā)人員才可獲得操作口令?？煽紤]下列有關方面： 運轉和計算能力的要求 錯誤恢復、啟動流程和應急計劃 備有經(jīng)過同意的安全管制措施 有效的操作流程 條款中要求的業(yè)務持續(xù)安排 新系統(tǒng)不會，特別是在月末這樣的高峰期間不會影響現(xiàn)有設備運行的證據(jù) 對新系統(tǒng)對單位總體安全作產(chǎn)生影響已加以考慮的證據(jù) 操作和使用新系統(tǒng)方面的有關培訓 在從事重大開發(fā)項目時，要開發(fā)過程中的所有階段要就操作功能和使用進行咨詢，以確保提出的系統(tǒng)設計的最高操作效率。 建立正常的流程來實施經(jīng)過批準的后援策略（參見 ）、準備數(shù)據(jù)的備份、監(jiān)視設備環(huán)境等。 對通過公共網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)的保護也要格外小心。為此，需要小心挑選有經(jīng)驗且辦事牢靠的承包商進行上述作業(yè)。電子商務很容易受到網(wǎng)絡上的威脅， 從而導致欺詐行為、合同糾紛和信息的泄漏或修改。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴格管制，以做到： 信息的獲得符合數(shù)據(jù)保護法律的要求（參見 ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準確、按時的處理 敏感信息在收集和儲存過程中要加以保護 進入發(fā)布系統(tǒng)時，不得進入與其相連的但與本操作無關的其它網(wǎng)絡 其它形態(tài)的信息交換 制定流程和管制辦法，對通過聲頻、傳真和視頻設備等渠道進行的信息交換進行保護。 對設備聯(lián)結的安全考慮應當包括如下幾點： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會議，呼叫的保密性、傳真的保存、郵件的打開和分發(fā)等 管理信息共享的政策和適當管制措施，如公司電子布告 欄的使用等 如系統(tǒng)不能提供適當級別的保護，需要進行隔離保護的敏感商業(yè)信息的分類 限制存取涉及被選個人的日記信息，如從事敏感項目工作的員工的信息 系統(tǒng)支持業(yè)務應用的適當性，如通訊訂單或授權等 對允許使用系統(tǒng)的員工、合同方或業(yè)務伙伴的分類劃分，及其可存取的位置 對使用者的身份進行識別，例如是單位的員工還是用于別的目的的合同方等 對系統(tǒng)上的信息進行備份保存（參見 和 ） 緊急情況的要求和安排（參見 ） 公共信息系統(tǒng)的安全性 采取措施保護以電子形式發(fā)布的信息的完整性，防止對其進行非法修改而 造成的對單位名譽的損害。關于安全條件的協(xié)議內容要考慮： 對傳輸、發(fā)送和接收進行管制和通知的管理權責 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g標準 快件認證標準 遺失數(shù)據(jù)時的責任 對 敏感或關鍵信息使用經(jīng)過同意的標示系統(tǒng)，確保報表得失意義明白無誤，以及對信息進行適當保護 信息和軟件所屬權及數(shù)據(jù)保護的責任，軟件的版權合法性和類似的考慮（參見 和 ） 用于記錄和讀寫信息和軟件的技術標準 任何可用于保護諸如密碼鍵等敏感物品的特別管制手段（參見 ） 傳遞中媒體的安全管制 信息在物理傳遞過程中（例如，通過郵政服務或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。敏感信息可能通過無意處理媒體時泄漏出去。 差錯記錄管理 對差錯進行記錄并采取糾正措施。管理人員要確保合格的來源，如有名的雜志、可靠的因特網(wǎng)站點或防病毒軟件供應商等，來區(qū)分小把戲和真正的病毒。它們要對使用的走向加以辨認，特別是有關業(yè)務應用或管理信息系統(tǒng)工具方面的走向。 如共用相同的計算環(huán)境，開發(fā)和測試活動可能會導致軟件和信息的變更。因此，要考慮對各部門的權責進行清楚劃分，以避免未經(jīng)授權而修改或濫用信息。 要建立所有信息處理設備的管理和操作的權責及流程。 防止信息和信息處理設備被非法泄漏、修改或盜用?？煽紤]如下指導原則： 根據(jù)供貨商建議的周期和規(guī)格對設備進行定期維護 只允許經(jīng)過授權的維護人員對設備進行檢修和維護 對所有懷疑或實在的故障及所有的防范、修正維護措施進行記錄 如設備需要送到單位外面進行維修，應采取適當?shù)墓苤拼胧▍⒁?）。 還要考慮附近發(fā)生災難時的保護方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 交接區(qū)的設計應做到使送貨人員只在此卸貨而不能走到樓內其它區(qū)域去。 顯示本單位敏感信息處理設備的電話本或通訊錄要避免被公眾獲得。 對敏感信息和信息處理設備的通路進行 管制，只有經(jīng)過授權的人員才得以進入。 提供的保護措施應當和風險相一致。應向使用者強調，無論在何種情況下，他們都不要試圖對懷疑的漏洞進行論證。 使用者應得以安全流程和正確使用信息處理設備方面的培訓，以將可能的安全風險降至最低限度。 管理人員要對那些新來的或沒有經(jīng)驗的但卻得到授權可接觸敏感系統(tǒng)的員工進行監(jiān)視。針對每個類別， 所定義的操作流程要包括如下類型的信息處理活動： 復制 存儲 以郵件、傳真、電子郵件方式進行的傳送 以聲音，包括移動電話、語音郵件、答錄機等方式進行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應加以恰當?shù)姆诸悩耸尽? 信息具有不同的敏感度和重要性。 例如，合同應當規(guī)定： 如何滿足諸如數(shù)據(jù)保護等方面的法律要求 進行哪些安排去確保委外的各方（包括分包方）能意識到其擔負的安全責任 如何維持并檢驗單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災難的情況下如何繼續(xù)或得服務 對委外設備采取何種水準的物理安全保護 審計權 條款中所述的條件也可作為此 合同考慮的要素。 第三方存取的風險鑒別 存取的類別 允許第三方存取的類別至關重要。為使其建議的有效性最大化，應允許他們接觸全單位管理的各個方面。通常的做法是為每項信息資產(chǎn)都指定一個負責人，由他來時時負責資產(chǎn)的日常安全。 建立管理框架，以展開并管制單位內部信息安全的實施。因此，有必要適時加以調整。管制手段可從本文件或別的管控手冊中選擇；還可以設計新管控辦法來滿足具體的需求。同時，也要求供貨商、客戶和股東的參與。信息安全就是保護信息免受來自各方面的眾多威脅，從而使單位能夠進行持續(xù)經(jīng)營，使其對經(jīng)營的危害降至最小程度，并將投資和商業(yè)機會得以最大化。通過技術手段達到的 安全很有限，因此要通過恰當?shù)墓芾砗土鞒碳右灾С帧? 對安全風險和實施的管制要進行定期回顧，以便 － 考慮運營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認所采取的管制手段仍然有效恰當 根據(jù)以前評估的結果和管理層能夠接受的風險程度，上述回顧 應當按不同程度開展。因此，上述的步驟雖然是很好的起點，它并不取代基于具體風險評估而導出的管制手段。 審核與評估 本政策要求有專人按既定程序對其進行定期檢討和審訂。對各項有形、信息資產(chǎn)及安全程序所在方應承擔的責任，如持續(xù)運營計劃，也要加以明確定義。擔此職務的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗以外的建議。 外方存取可能還會涉及到別的參與方。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護，包括 1）保護單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時間點歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復制和泄漏 所提供的所有服務的描述 標的服務水準和不可接受的服務水準 人員調動的規(guī)定 合同雙方各自 的相關責任 法律方面的責任，比如，數(shù)據(jù)保護方面的法規(guī)，要特別考慮到在合同牽涉到多國組織件合作時各國法律體系的不同（見 ） 知識產(chǎn)權和版權的分配（見 ）及合作成果的保護（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標記的運用如使用者身份證和密碼； 2）對使用者存取和權限的授權過程； 3）要求準備一份批準使用服務的個人使用者的名單并載明他們的使用權限 定義有效的表現(xiàn)評判標準并對其進行監(jiān)督和回報 監(jiān)督、撤銷使用者活動的權力 對合同權責進行審計或指定別人對其審計的權力 建立解 決問題的升級流程；在適當?shù)那闆r下還要考慮應急安排 硬件和軟件安裝和維護方面的責任 清晰的回報結構和業(yè)經(jīng)同意的回報格式 清晰具體的變化管理流程 確保管制手段得以實施的物理保護管制手段和機制 對使用者和管理者進行培訓的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報、通知和調查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標：委外加工處理時相關信息的安全管理。每個資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認并登記。 對信息類事務（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進行定義并進行周期性審訂的任務應由信息原來的的制造者或指定的主管人員來完成。對握有大權的員工此類信用調查更要定期開展。員工數(shù)據(jù)分類和管理方面的職責也要包括在內。發(fā)生過的安全事故可用作安全培訓的例子，向使用者解釋會發(fā)生哪些事故，如何反應，及以后如何避免此類事件等（參見 ）。此外，要確保能合理、公正地處理那些被 懷疑是違反安全操作的員工?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。無人區(qū)特別要保持隨時警戒。 交接區(qū)的隔離 對交接區(qū)進行管制；如有必要，將其與信息處理設施進行隔離，并避免未經(jīng)授權的進入。 采取管制手段來降低潛在威脅的風險，包括： 1）盜竊； 2）火災； 3）爆炸； 4）煙霧； 5）水災（包括供水故障）； 6）灰塵； 7）通風； 8）化學反應； 9）供電中斷； 10）電磁輻射 單位還應考慮制定在信息處理設備附近就餐、飲水和吸煙方面的規(guī)定?？煽紤]如下管制措施： 如有可能，信息處理設備的電源線和通訊線都要鋪在地下并提供充足的備用保護措施。 所有存有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查，以確保其內存的敏感信息和授權專用軟件已被清除或覆蓋。要進行場地檢查以檢測資產(chǎn)是否被非法挪用。特別是要考慮如下的因素： 對重大變更的辨別和記錄 對此類變化的潛在影響的評估 對提議的 變更的正式審批流程 把變更的細節(jié)通知給所有的相關人員 追究放棄變更或失敗變更恢復責任的流程 事故管理程序 要建立事故管理責任流程制度，確保安全事故發(fā)生后作出快速、有效、有序的反應（參見 ）。在某些系統(tǒng)內，這一能力可能會被濫用來進行犯罪活動，或引入未經(jīng)測試的病毒碼。這些預測要考慮新業(yè)務和系統(tǒng)的要求及單位信息處理的當前和未來走向。可考慮如下措施： 制定政策要求使用正版軟件，禁止使用盜版軟件（參見 ） 制定政策防范使用外來的軟件或文件的風險（參見 和 ） 安裝并定期升級防病毒檢測和修補軟件，用其來掃描電腦和媒體并將其制度化 對支持關鍵業(yè)務程序的系統(tǒng)軟件和數(shù)據(jù)進行定期監(jiān)測。 恢復流程應定期審訂測試，確保其有效性，使其在規(guī)定時間內能夠完成恢復的任務 重大業(yè)務信息的保留期及文檔附件是否永久保存等都要加以規(guī)定?？煽紤]如下指導原則： 任何可再用媒體上保留的過去的內容如不需要都要加以清除。同時，要考慮電子數(shù)據(jù)交換、電子商務和電子郵件在業(yè)務和安全方面的隱患及對其進行管制的要求。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風險。信息可可能通過非法使用者的進入而遺失（參見第 9 條款）。（參見 條款， 條款和 條款） 貿(mào)易伙伴間的電子商務安排應通過記錄在案的合同加以約束，從而使雙方都能對合同的貿(mào)易條款作出承諾，包括授權的細節(jié)等。 信息移動或儲存程序 建立信息 移動或儲存流程，確保信息不被非法泄漏或濫用。特別是要考慮如下要素： 在適當情況下，把網(wǎng)絡的操作權責和電腦操作劃分開（參見 ） 要建立管理遠程設備（包括使用區(qū)域的設備）的責任和流程 如有必要，采取特別管制措施保護通過公共網(wǎng)絡傳送的數(shù)據(jù)的保密性和完整性，并保護聯(lián)結系統(tǒng)（參見 和 ）。針對單個系統(tǒng)的備份安排要進行定期測試，確保它們符合持續(xù)運營計劃的要求（參見 11 條款）。 采取措施防止并檢測侵略性軟件的侵入。因此，對這些風險要事先加以辨認，并納入和承包方簽訂的合同當中。要制定相關法規(guī)來控制軟件從開發(fā)部門向操作部門的劃撥。對信息處理設備和系統(tǒng)管制的不充分是引起系統(tǒng)或安全癱瘓的常見原因。 個人電腦和電腦終端及打印機在無人使用時不得置于上網(wǎng)狀態(tài)，并要求有密碼、密碼鎖或其它的保護措施。 隨時遵守制造商關于保護設備的指示，例如防止設備接觸強磁場等。如安裝了發(fā)電機，應當按制造商的要求對其進行定期檢測。同時應考慮設備的座落和處置。 為安全和防止壞人破壞起見，對安全區(qū)內所有工作實施監(jiān)視。還要考慮險關的健康和