【文章內容簡介】 險。 安全的權責應當在對員工進行聘用的階段就開始實施，還應包括在合同中，并在以后員工的聘用期內時時進行監(jiān)督。 對潛在的待聘員工應加以仔細充分的篩選（見 ），特別是從事敏感工作的員工。所有使用信息處理設備的員工或第三方都要簽署保密或不泄密協(xié)議。 工作權責涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責任當在工作定義中恰當標明（見 ）。這些要求包括實施或維護安全政策以及保護特別資產或開展特別安全程序或活動時的具體權責。 人員任用政策 在單位終身職員申請工作時，對其進行資格審查。 這應當包括如下內容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦 對申請人簡歷的完整性和準確性進行檢查 對申請人聲稱的學術和資格證明進行認證 獨立的身份認證（通過護照或相應的身份證明材料） 工任命或提升員工時，只要其涉及到接觸信息處理設備，特別是處理敏感信息的設備，如處理財務信息或其它高度機密的信息的設備，單位需要對該員工進行信用調查。對握有大權的員工此類信用調查更要定期開展。 對合同工和臨時工也要開展類似的審查。如果上述人員通過中介機構推薦給單位，則單位要和該機構簽訂合同，在 合同中載明該中介機構要對被推薦人進行審查責任，以及中介機構在未對被推薦人進行審查或對審查結果有疑惑或懷疑時通知單位的必要程序。 管理人員要對那些新來的或沒有經驗的但卻得到授權可接觸敏感系統(tǒng)的員工進行監(jiān)視。對所有員工的工作都要進行定期審核，審核審批的程序有員工中的某位資深人士來制定。 管理人員應當認識到其部下的個人環(huán)境會影響其工作。個人或財務上的問題會影響他們的工作，導致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導致欺詐、盜竊、錯誤或其它安全問題。對這類信息的處理要依據(jù)單位作在地區(qū)的適當法律程序加以 解決。 保密協(xié)議 保密協(xié)議的目的是對信息的保密性加以說明。雇員在受雇時，應和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設備之前必須簽署有關保密協(xié)議。 在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進行審訂。 員工守則 該守則應載明雇員在信息安全方面的職責。如有必要，這些職責即使在雇傭關系結束后也應保持一定的有效期。其中應當包括員工違反安全規(guī)定時應采取的行動。 員工的合法職責和權利，例如在版權法或數(shù)據(jù)保護法方面的權責，應得以 清楚定義，并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責也要包括在內。如有必要，員工守則應當規(guī)定這些權責不僅適用于單位范圍內，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。（參見 和 ） 教育訓練 目標：確保使用者在日常工作中了解如何看待和關心信息安全，并支持單位的安全政策。 使用者應得以安全流程和正確使用信息處理設備方面的培訓，以將可能的安全風險降至最低限度。 信息安全的教育和培訓 單位的所有職員，以及在必要情況下涉及的第三方用戶，都應定期接受安全政策和流程方面 的教育和培訓。這包括安全要求、法律職責和業(yè)務管制，以及正確使用信息處理設備方面的培訓，例如，登錄流程、軟件包的使用等。 易發(fā)事件及故障處理 目標：發(fā)生易發(fā)事件及故障時如何將損害降至最小、監(jiān)督類似事件并從中學習。 安全事故應通過適當?shù)墓芾砬辣M快加以回報。 所有員工和合同方都要認識如何回報影響單位資產安全的不同類型的事故。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給指定聯(lián)絡人。單位要建立正式的處罰條例來懲治違反安全規(guī)定的員工。要恰當?shù)貙κ鹿蔬M行處理，雜發(fā)生事故后要盡快搜集有關證據(jù)（參見 ）。 安全事故回報 發(fā)現(xiàn)安全事故后，應立即通過適當管理渠道回報。 要建立正規(guī)的回報流程和事故反應流程，規(guī)定接到事故報告后應采取的行動。所有員工和合同方都應認識回報安全事故的操作流程，并被要求盡快加以回報。同時，建立適當?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結果得以反饋。發(fā)生過的安全事故可用作安全培訓的例子，向使用者解釋會發(fā)生哪些事故，如何反應，及以后如何避免此類事件等（參見 ）。 安全漏洞回報 要求信息服務用戶記錄并回報任何其覺察或懷疑存在的安全漏洞。他們要把這些漏洞或者報告給管理人員 或者直接盡快報告給服務提供商。應向使用者強調，無論在何種情況下，他們都不要試圖對懷疑的漏洞進行論證。這對他們自身有益處，因為他們進行論證的行為有可能被誤認為是潛在地錯誤使用系統(tǒng)。 軟件功能障礙回報 要求建立并遵守軟件功能障礙回報流程?？梢钥紤]采取如下行動： 問題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄 如有可能，對電腦進行隔離，并停止繼續(xù)使用。并馬上通知有關當局。如需要對設備進行檢查，在重新啟動之前應將其從單位網絡上撤下。使用的軟盤不得再在其它電腦上使用。 有關事故應馬上回報給信息安全經理。 從事故 中學習 要求建立相應機制，對事故或功能障礙的類型、級別和損失程度進行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。 違規(guī)處置流程 雇員如違反單位安全政策和流程，應通過正式的違規(guī)處置流程加以處理（參見 和 ）。此類流程可用作警示，防止員工忽視單位的安全流程。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。 七、 設備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標：保護企業(yè)所在地及信息免于未經授權的存取、破壞及入侵。 關鍵或敏感的商業(yè)信息處理設備應放置在安全的區(qū)域，由安全防御帶、適當?shù)陌踩琳虾蜏嗜牍苤剖侄渭右员Ｗo，以防它們物理上被非法進入、毀壞或干擾。 提供的保護措施應當和風險相一致。建議采用清桌和清屏政策來降低對文件、媒體和信息處理設備非法存取或破壞的風險。 信息安全區(qū)的實體區(qū)隔 單位應通過安全實體區(qū)隔來保護信息儲存處理設施的區(qū)域。每個區(qū)隔都可以提供更高的安全系數(shù)，從而增強總體的安全水平。單位應使用安全防御帶來保護放置信息處理設備的區(qū)域（參見 ）。安全防御帶即指構成區(qū)隔的東西，例如是一面墻，一道憑卡片進入的門，或值班的接待臺等。每個區(qū)隔的位置和力度取決于風險評估的結果。 在適當?shù)那闆r下可以考慮下列的指導原則和管制手段： 安全防御帶應當清楚定義 放置信息處理設備的樓房或場所的防御帶從物理角度應當非?？煽?。場所的外墻應當是堅固的建筑物，所有的外門都應能防止非法的進入，比如通過安裝管制機制、鐵條、警報、安全鎖等。 在通往場所或樓房的通道上還應當配備值班接待臺或其它類似機構，確保只有經過授權的人員才能得以靠近通往上述場所的通道。 如有必要，物理區(qū)隔還應擴 展到從地板到天花板的區(qū)間以防止非法進入或水、火災等造成的環(huán)境污染。 安全防御帶內所有的防火門都應安裝報警器，并隨時處于緊閉狀態(tài)。 信息安全區(qū)進出管制 在信息安全區(qū)采取適當出入管制，確保只有經授權的人員得以進入?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。訪問者的進入和離開數(shù)據(jù)及其時間要有記錄。來訪者只有在有明確經過授權的任務時才允許訪問安全區(qū)，并要被告知安全區(qū)內的安全要求及緊急流程。 對敏感信息和信息處理設備的通路進行管制，只有經過授權的人員才得以進入。同時使用身份識別管制手段，如刷卡或個人身份 號碼等對所有準入進行授權或認證。所有進入都要求有記錄，并加以妥當保存。 所有人員都要求佩戴清晰可見的身份辨認標志，并鼓勵對未經陪伴陌生人或任何未佩戴標志的人員進行盤問。 對進入安全區(qū)域的權限要定期進行審核和更新。 信息安全辦公室、處所、設備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內的幾間房間，其本身可以上鎖，也可以內置上鎖的保險柜或保險箱。選擇和設計安全區(qū)時，應考慮火災、水災、爆炸、暴亂或其它形式的自然或人為災害所造成的損壞的可能性。還要考慮險關的健康和安全條例及標準。同時，也要考慮來自鄰近場所的 安全威脅，例如來自其它樓宇的漏水等等。 可考慮如下的管制手段： 關鍵設備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內外禁止設置暗指此處有信息處理活動的標牌或標記。 輔助功能設備，如復印機、傳真機等，要放置在安全區(qū)內合適的位置，避免因外人接觸而導致的信息泄漏。 房間無人時，門窗都要上鎖關閉；窗戶，特別是一樓的窗戶，要安裝必要的外部保護設施。 所有的外門的外窗都要安裝合乎職業(yè)標準的入侵檢測系統(tǒng)，并對其進行定期檢測。無人區(qū)特別要保持隨時警戒。其它區(qū)域也要提供安全保護，如電腦房和通訊房等 。 從物理上把本單位管理的信息處理設備和第三方管理的信息處理設備進行區(qū)隔。 顯示本單位敏感信息處理設備的電話本或通訊錄要避免被公眾獲得。 把危險或易燃品保存到一個離安全區(qū)適當安全距離的地方。除非另加要求，諸如文具等的大宗物品不得儲存在安全區(qū)。 備用設備或媒體工具應放置在離設備稍遠的地方，以防主場地毀壞時同時被毀。 信息安全區(qū)內工作守則 為進一步加強已采取物理保護措施的安全區(qū)的安全，應制定附加的信息安全區(qū)內工作守則。這些包括針對在安全區(qū)工作的人員或第三方的管制，也包括對其活動的管制?？煽紤]如下原則： 各人員 對安全區(qū)的存在及其內活動當知之則知之，不當知之則不許知之。 為安全和防止壞人破壞起見，對安全區(qū)內所有工作實施監(jiān)視。 無人安全區(qū)應采取物理手段加以封閉，并定期查看。 應限制第三方輔助服務人員進入安全區(qū)或敏感信息處理設備，只在必要時才許其進入。同時，進入要進行授權和監(jiān)視。安全防御帶內部具有不同安全要求的區(qū)域之間的通道要采取格外的隔離和防護措施。 除非經過授權，否則在安全區(qū)內禁止使用攝影、錄象、錄音或其它記錄儀器設備。 交接區(qū)的隔離 對交接區(qū)進行管制；如有必要，將其與信息處理設施進行隔離，并避免未經授權的進入。 此類區(qū)域的安全要求必須通過風險評估后才能確定?？煽紤]采用如下原則： 只允許經過授權且已辨明身份的人從樓外進入交接區(qū)。 交接區(qū)的設計應做到使送貨人員只在此卸貨而不能走到樓內其它區(qū)域去。 在交接區(qū)內門敞開的情況下，交接區(qū)外門應保持關閉狀態(tài)。 把進入的貨物從交接區(qū)轉到使用區(qū)之前要對其進行檢查，確保沒有潛在危險存在（參見 ）。 進入貨物在抵達時要進行登記（參見 ）。 設備安全 目標：防止資產的遺失、損壞、危害及企業(yè)正?；顒拥闹袛?。 設備應從物理上防止受到安全威脅或環(huán)境上的破壞。 有必要對設備，包括 那些外借的設備，進行必要的保護，以降低數(shù)據(jù)被非法存取、遺失或破壞的風險。同時應考慮設備的座落和處置。要求有特別的管制手段來保護對設備的非法使用，并對諸如電源和電纜基礎設施等輔助設備進行保護。 設備座落及防護 對設備座落加以保護，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經授權的進入。可考慮如下要素： 設備座落要做到盡量減少不必要進入工作區(qū)的次數(shù)。 處理敏感數(shù)據(jù)的信息處理和存儲設備的座落要使其在使用時不被遺漏。 需要特別保護的物品要分開放置，以節(jié)省額外的保護措施。 采取管制手段來降低潛在威脅的風險，包括： 1）盜竊； 2）火災； 3）爆炸； 4）煙霧； 5）水災（包括供水故障）； 6）灰塵； 7）通風； 8）化學反應； 9）供電中斷； 10）電磁輻射 單位還應考慮制定在信息處理設備附近就餐、飲水和吸煙方面的規(guī)定。 對可能影響信息處理設備使用的環(huán)境因素進行監(jiān)控。 在工業(yè)環(huán)境下可考慮采用特別的保護方法，如對鍵盤套上保護膜等。 還要考慮附近發(fā)生災難時的保護方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 電力供應 使設備避免斷電或其它供電方面的問題。供電要符合設備制造商對供電的規(guī)定和要求。保持供電不中斷的措施包括： 多條供電線路以 防某條供電線路出現(xiàn)故障 續(xù)電器（ UPS） 備用發(fā)電機 支持關鍵運營的設備要特別考慮使用續(xù)電器，可保證其能正常關機或持續(xù)運轉。同時，要制定續(xù)電器發(fā)生故障時的應急計劃。對續(xù)電器要定期檢查其儲電量，并按制造商的指導對其進行測試。 備用發(fā)電機主要用作應付長時間的斷電。如安裝了發(fā)電機，應當按制造商的要求對其進行定期檢測。同時，要儲備充足的燃料，確保發(fā)電機能長時間地發(fā)電。 此外，要在設備室的緊急出口處安裝緊急電源開關，用作緊急情況下迅速關閉電源。還要安裝緊急照明燈以防緊急斷電。所有的樓房都要實施照明保護措施，并給所有外部通訊線路安裝照明保護濾光器。 傳輸設備安全性 保護傳輸數(shù)據(jù)或支持信息服務的供電和通訊傳輸設備，使之免于中斷或損壞。可考慮如下管制措施： 如有可能，信息處理設備的電源線和通訊線都要鋪在地下并提供充足的備用保護措施。 防止網絡電纜被非法截斷或破壞，例如通過安裝電纜保護導管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設，避免互相干擾。 對敏感或關鍵設備，可考慮進一步的管制措施，如： 1）在檢測或終點端安裝裝