【文章內(nèi)容簡介】 險。 安全的權(quán)責(zé)應(yīng)當(dāng)在對員工進行聘用的階段就開始實施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時時進行監(jiān)督。 對潛在的待聘員工應(yīng)加以仔細(xì)充分的篩選（見 ），特別是從事敏感工作的員工。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。 工作權(quán)責(zé)涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見 ）。這些要求包括實施或維護安全政策以及保護特別資產(chǎn)或開展特別安全程序或活動時的具體權(quán)責(zé)。 人員任用政策 在單位終身職員申請工作時，對其進行資格審查。 這應(yīng)當(dāng)包括如下內(nèi)容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦 對申請人簡歷的完整性和準(zhǔn)確性進行檢查 對申請人聲稱的學(xué)術(shù)和資格證明進行認(rèn)證 獨立的身份認(rèn)證（通過護照或相應(yīng)的身份證明材料） 工任命或提升員工時，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處理財務(wù)信息或其它高度機密的信息的設(shè)備，單位需要對該員工進行信用調(diào)查。對握有大權(quán)的員工此類信用調(diào)查更要定期開展。 對合同工和臨時工也要開展類似的審查。如果上述人員通過中介機構(gòu)推薦給單位，則單位要和該機構(gòu)簽訂合同，在 合同中載明該中介機構(gòu)要對被推薦人進行審查責(zé)任，以及中介機構(gòu)在未對被推薦人進行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時通知單位的必要程序。 管理人員要對那些新來的或沒有經(jīng)驗的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進行監(jiān)視。對所有員工的工作都要進行定期審核，審核審批的程序有員工中的某位資深人士來制定。 管理人員應(yīng)當(dāng)認(rèn)識到其部下的個人環(huán)境會影響其工作。個人或財務(wù)上的問題會影響他們的工作，導(dǎo)致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導(dǎo)致欺詐、盜竊、錯誤或其它安全問題。對這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以 解決。 保密協(xié)議 保密協(xié)議的目的是對信息的保密性加以說明。雇員在受雇時，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。 在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進行審訂。 員工守則 該守則應(yīng)載明雇員在信息安全方面的職責(zé)。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時應(yīng)采取的行動。 員工的合法職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護法方面的權(quán)責(zé)，應(yīng)得以 清楚定義，并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。（參見 和 ） 教育訓(xùn)練 目標(biāo)：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險降至最低限度。 信息安全的教育和培訓(xùn) 單位的所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面 的教育和培訓(xùn)。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。 易發(fā)事件及故障處理 目標(biāo)：發(fā)生易發(fā)事件及故障時如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。 安全事故應(yīng)通過適當(dāng)?shù)墓芾砬辣M快加以回報。 所有員工和合同方都要認(rèn)識如何回報影響單位資產(chǎn)安全的不同類型的事故。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給指定聯(lián)絡(luò)人。單位要建立正式的處罰條例來懲治違反安全規(guī)定的員工。要恰當(dāng)?shù)貙κ鹿蔬M行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見 ）。 安全事故回報 發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道回報。 要建立正規(guī)的回報流程和事故反應(yīng)流程，規(guī)定接到事故報告后應(yīng)采取的行動。所有員工和合同方都應(yīng)認(rèn)識回報安全事故的操作流程，并被要求盡快加以回報。同時，建立適當(dāng)?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見 ）。 安全漏洞回報 要求信息服務(wù)用戶記錄并回報任何其覺察或懷疑存在的安全漏洞。他們要把這些漏洞或者報告給管理人員 或者直接盡快報告給服務(wù)提供商。應(yīng)向使用者強調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進行論證。這對他們自身有益處，因為他們進行論證的行為有可能被誤認(rèn)為是潛在地錯誤使用系統(tǒng)。 軟件功能障礙回報 要求建立并遵守軟件功能障礙回報流程?？梢钥紤]采取如下行動： 問題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄 如有可能，對電腦進行隔離，并停止繼續(xù)使用。并馬上通知有關(guān)當(dāng)局。如需要對設(shè)備進行檢查，在重新啟動之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。使用的軟盤不得再在其它電腦上使用。 有關(guān)事故應(yīng)馬上回報給信息安全經(jīng)理。 從事故 中學(xué)習(xí) 要求建立相應(yīng)機制，對事故或功能障礙的類型、級別和損失程度進行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。 違規(guī)處置流程 雇員如違反單位安全政策和流程，應(yīng)通過正式的違規(guī)處置流程加以處理（參見 和 ）。此類流程可用作警示，防止員工忽視單位的安全流程。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。 關(guān)鍵或敏感的商業(yè)信息處理設(shè)備應(yīng)放置在安全的區(qū)域，由安全防御帶、適當(dāng)?shù)陌踩琳虾蜏?zhǔn)入管制手段加以保護，以防它們物理上被非法進入、毀壞或干擾。 提供的保護措施應(yīng)當(dāng)和風(fēng)險相一致。建議采用清桌和清屏政策來降低對文件、媒體和信息處理設(shè)備非法存取或破壞的風(fēng)險。 信息安全區(qū)的實體區(qū)隔 單位應(yīng)通過安全實體區(qū)隔來保護信息儲存處理設(shè)施的區(qū)域。每個區(qū)隔都可以提供更高的安全系數(shù)，從而增強總體的安全水平。單位應(yīng)使用安全防御帶來保護放置信息處理設(shè)備的區(qū)域（參見 ）。安全防御帶即指構(gòu)成區(qū)隔的東西，例如是一面墻，一道憑卡片進入的門，或值班的接待臺等。每個區(qū)隔的位置和力度取決于風(fēng)險評估的結(jié)果。 在適當(dāng)?shù)那闆r下可以考慮下列的指導(dǎo)原則和管制手段： 安全防御帶應(yīng)當(dāng)清楚定義 放置信息處理設(shè)備的樓房或場所的防御帶從物理角度應(yīng)當(dāng)非?？煽俊鏊耐鈮?yīng)當(dāng)是堅固的建筑物，所有的外門都應(yīng)能防止非法的進入，比如通過安裝管制機制、鐵條、警報、安全鎖等。 在通往場所或樓房的通道上還應(yīng)當(dāng)配備值班接待臺或其它類似機構(gòu)，確保只有經(jīng)過授權(quán)的人員才能得以靠近通往上述場所的通道。 如有必要，物理區(qū)隔還應(yīng)擴 展到從地板到天花板的區(qū)間以防止非法進入或水、火災(zāi)等造成的環(huán)境污染。 安全防御帶內(nèi)所有的防火門都應(yīng)安裝報警器，并隨時處于緊閉狀態(tài)。 信息安全區(qū)進出管制 在信息安全區(qū)采取適當(dāng)出入管制，確保只有經(jīng)授權(quán)的人員得以進入?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。訪問者的進入和離開數(shù)據(jù)及其時間要有記錄。來訪者只有在有明確經(jīng)過授權(quán)的任務(wù)時才允許訪問安全區(qū)，并要被告知安全區(qū)內(nèi)的安全要求及緊急流程。 對敏感信息和信息處理設(shè)備的通路進行管制，只有經(jīng)過授權(quán)的人員才得以進入。同時使用身份識別管制手段，如刷卡或個人身份 號碼等對所有準(zhǔn)入進行授權(quán)或認(rèn)證。所有進入都要求有記錄，并加以妥當(dāng)保存。 所有人員都要求佩戴清晰可見的身份辨認(rèn)標(biāo)志，并鼓勵對未經(jīng)陪伴陌生人或任何未佩戴標(biāo)志的人員進行盤問。 對進入安全區(qū)域的權(quán)限要定期進行審核和更新。 信息安全辦公室、處所、設(shè)備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內(nèi)的幾間房間，其本身可以上鎖，也可以內(nèi)置上鎖的保險柜或保險箱。選擇和設(shè)計安全區(qū)時，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的損壞的可能性。還要考慮險關(guān)的健康和安全條例及標(biāo)準(zhǔn)。同時，也要考慮來自鄰近場所的 安全威脅，例如來自其它樓宇的漏水等等。 可考慮如下的管制手段： 關(guān)鍵設(shè)備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設(shè)置暗指此處有信息處理活動的標(biāo)牌或標(biāo)記。 輔助功能設(shè)備，如復(fù)印機、傳真機等，要放置在安全區(qū)內(nèi)合適的位置，避免因外人接觸而導(dǎo)致的信息泄漏。 房間無人時，門窗都要上鎖關(guān)閉；窗戶，特別是一樓的窗戶，要安裝必要的外部保護設(shè)施。 所有的外門的外窗都要安裝合乎職業(yè)標(biāo)準(zhǔn)的入侵檢測系統(tǒng)，并對其進行定期檢測。無人區(qū)特別要保持隨時警戒。其它區(qū)域也要提供安全保護，如電腦房和通訊房等 。 從物理上把本單位管理的信息處理設(shè)備和第三方管理的信息處理設(shè)備進行區(qū)隔。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。 把危險或易燃品保存到一個離安全區(qū)適當(dāng)安全距離的地方。除非另加要求，諸如文具等的大宗物品不得儲存在安全區(qū)。 備用設(shè)備或媒體工具應(yīng)放置在離設(shè)備稍遠(yuǎn)的地方，以防主場地毀壞時同時被毀。 信息安全區(qū)內(nèi)工作守則 為進一步加強已采取物理保護措施的安全區(qū)的安全，應(yīng)制定附加的信息安全區(qū)內(nèi)工作守則。這些包括針對在安全區(qū)工作的人員或第三方的管制，也包括對其活動的管制?？煽紤]如下原則： 各人員 對安全區(qū)的存在及其內(nèi)活動當(dāng)知之則知之，不當(dāng)知之則不許知之。 為安全和防止壞人破壞起見，對安全區(qū)內(nèi)所有工作實施監(jiān)視。 無人安全區(qū)應(yīng)采取物理手段加以封閉，并定期查看。 應(yīng)限制第三方輔助服務(wù)人員進入安全區(qū)或敏感信息處理設(shè)備，只在必要時才許其進入。同時，進入要進行授權(quán)和監(jiān)視。安全防御帶內(nèi)部具有不同安全要求的區(qū)域之間的通道要采取格外的隔離和防護措施。 除非經(jīng)過授權(quán)，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設(shè)備。 交接區(qū)的隔離 對交接區(qū)進行管制；如有必要，將其與信息處理設(shè)施進行隔離，并避免未經(jīng)授權(quán)的進入。 此類區(qū)域的安全要求必須通過風(fēng)險評估后才能確定?？煽紤]采用如下原則： 只允許經(jīng)過授權(quán)且已辨明身份的人從樓外進入交接區(qū)。 交接區(qū)的設(shè)計應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 在交接區(qū)內(nèi)門敞開的情況下，交接區(qū)外門應(yīng)保持關(guān)閉狀態(tài)。 把進入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對其進行檢查，確保沒有潛在危險存在（參見 ）。 進入貨物在抵達(dá)時要進行登記（參見 ）。 設(shè)備安全 目標(biāo)：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；顒拥闹袛?。 設(shè)備應(yīng)從物理上防止受到安全威脅或環(huán)境上的破壞。 有必要對設(shè)備，包括 那些外借的設(shè)備，進行必要的保護，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險。同時應(yīng)考慮設(shè)備的座落和處置。要求有特別的管制手段來保護對設(shè)備的非法使用，并對諸如電源和電纜基礎(chǔ)設(shè)施等輔助設(shè)備進行保護。 設(shè)備座落及防護 對設(shè)備座落加以保護，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經(jīng)授權(quán)的進入?？煽紤]如下要素： 設(shè)備座落要做到盡量減少不必要進入工作區(qū)的次數(shù)。 處理敏感數(shù)據(jù)的信息處理和存儲設(shè)備的座落要使其在使用時不被遺漏。 需要特別保護的物品要分開放置，以節(jié)省額外的保護措施。 采取管制手段來降低潛在威脅的風(fēng)險，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定。 對可能影響信息處理設(shè)備使用的環(huán)境因素進行監(jiān)控。 在工業(yè)環(huán)境下可考慮采用特別的保護方法，如對鍵盤套上保護膜等。 還要考慮附近發(fā)生災(zāi)難時的保護方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 電力供應(yīng) 使設(shè)備避免斷電或其它供電方面的問題。供電要符合設(shè)備制造商對供電的規(guī)定和要求。保持供電不中斷的措施包括： 多條供電線路以 防某條供電線路出現(xiàn)故障 續(xù)電器（ UPS） 備用發(fā)電機 支持關(guān)鍵運營的設(shè)備要特別考慮使用續(xù)電器，可保證其能正常關(guān)機或持續(xù)運轉(zhuǎn)。同時，要制定續(xù)電器發(fā)生故障時的應(yīng)急計劃。對續(xù)電器要定期檢查其儲電量，并按制造商的指導(dǎo)對其進行測試。 備用發(fā)電機主要用作應(yīng)付長時間的斷電。如安裝了發(fā)電機，應(yīng)當(dāng)按制造商的要求對其進行定期檢測。同時，要儲備充足的燃料，確保發(fā)電機能長時間地發(fā)電。 此外，要在設(shè)備室的緊急出口處安裝緊急電源開關(guān)，用作緊急情況下迅速關(guān)閉電源。還要安裝緊急照明燈以防緊急斷電。所有的樓房都要實施照明保護措施，并給所有外部通訊線路安裝照明保護濾光器。 傳輸設(shè)備安全性 保護傳輸數(shù)據(jù)或支持信息服務(wù)的供電和通訊傳輸設(shè)備，使之免于中斷或損壞。可考慮如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護措施。 防止網(wǎng)絡(luò)電纜被非法截斷或破壞，例如通過安裝電纜保護導(dǎo)管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設(shè)，避免互相干擾。 對敏感或關(guān)鍵設(shè)備，可考慮進一步的管制措施，如： 1）在檢測或終點端安裝裝