【文章內(nèi)容簡介】 權(quán)責(zé)。 人員任用政策 在單位終身職員申請工作時(shí)，對其進(jìn)行資格審查。這應(yīng)當(dāng)包括如下內(nèi)容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個(gè)人推薦 對申請人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查 對申請人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證 獨(dú)立的身份認(rèn)證（通過護(hù)照或相應(yīng)的身份證明材料） 工任命或提升員工時(shí)，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處理財(cái)務(wù)信息或其它高度機(jī)密的信息的設(shè)備，單位需要對該員工進(jìn)行信用調(diào)查。對握有大權(quán)的員工此類信用調(diào)查更要定期開展。 對合同工和臨時(shí)工也要開 展類似的審查。如果上述人員通過中介機(jī)構(gòu)推薦給單位，則單位要和該機(jī)構(gòu)簽訂合同，在合同中載明該中介機(jī)構(gòu)要對被推薦人進(jìn)行審查責(zé)任，以及中介機(jī)構(gòu)在未對被推薦人進(jìn)行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時(shí)通知單位的必要程序。 管理人員要對那些新來的或沒有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。對所有員工的工作都要進(jìn)行定期審核，審核審批的程序有員工中的某位資深人士來制定。 管理人員應(yīng)當(dāng)認(rèn)識(shí)到其部下的個(gè)人環(huán)境會(huì)影響其工作。個(gè)人或財(cái)務(wù)上的問題會(huì)影響他們的工作，導(dǎo)致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導(dǎo)致欺詐、 盜竊、錯(cuò)誤或其它安全問題。對這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以解決。 保密協(xié)議 保密協(xié)議的目的是對信息的保密性加以說明。雇員在受雇時(shí)，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。 在雇傭合同或條款發(fā)生變動(dòng)時(shí)，特別是員工要離開單位或其合同到期時(shí)，要對保密協(xié)議進(jìn)行審訂。 員工守則 該守則應(yīng)載明雇員在信息安全方面的職責(zé)。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時(shí)應(yīng) 采取的行動(dòng)。 員工的合法職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé)，應(yīng)得以清楚定義，并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時(shí)間以外，例如在家工作的情況。（參見 和 ） 教育訓(xùn)練 目標(biāo)：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至最低限度。 信息安全的教育和培訓(xùn) 單 位的所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面的教育和培訓(xùn)。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。 易發(fā)事件及故障處理 目標(biāo)：發(fā)生易發(fā)事件及故障時(shí)如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。 安全事故應(yīng)通過適當(dāng)?shù)墓芾砬辣M快加以回報(bào)。 所有員工和合同方都要認(rèn)識(shí)如何回報(bào)影響單位資產(chǎn)安全的不同類型的事故。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報(bào)告給指定聯(lián)絡(luò)人。單位要建立正式的處罰條例來懲治違反安全規(guī)定的 員工。要恰當(dāng)?shù)貙κ鹿蔬M(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見 ）。 安全事故回報(bào) 發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道回報(bào)。 要建立正規(guī)的回報(bào)流程和事故反應(yīng)流程，規(guī)定接到事故報(bào)告后應(yīng)采取的行動(dòng)。所有員工和合同方都應(yīng)認(rèn)識(shí)回報(bào)安全事故的操作流程，并被要求盡快加以回報(bào)。同時(shí)，建立適當(dāng)?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會(huì)發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見 ）。 安全漏洞回報(bào) 要求信息服務(wù)用 戶記錄并回報(bào)任何其覺察或懷疑存在的安全漏洞。他們要把這些漏洞或者報(bào)告給管理人員或者直接盡快報(bào)告給服務(wù)提供商。應(yīng)向使用者強(qiáng)調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進(jìn)行論證。這對他們自身有益處，因?yàn)樗麄冞M(jìn)行論證的行為有可能被誤認(rèn)為是潛在地錯(cuò)誤使用系統(tǒng)。 軟件功能障礙回報(bào) 要求建立并遵守軟件功能障礙回報(bào)流程。可以考慮采取如下行動(dòng)： 問題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄 如有可能，對電腦進(jìn)行隔離，并停止繼續(xù)使用。并馬上通知有關(guān)當(dāng)局。如需要對設(shè)備進(jìn)行檢查，在重新啟動(dòng)之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。使 用的軟盤不得再在其它電腦上使用。 有關(guān)事故應(yīng)馬上回報(bào)給信息安全經(jīng)理。 從事故中學(xué)習(xí) 要求建立相應(yīng)機(jī)制，對事故或功能障礙的類型、級別和損失程度進(jìn)行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。 違規(guī)處置流程 雇員如違反單位安全政策和流程，應(yīng)通過正式的違規(guī)處置流程加以處理（參見 和 ）。此類流程可用作警示，防止員工忽視單位的安全流程。此外，要確保能合理、公正地處理那些被 懷疑是違反安全操作的員工。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。 關(guān)鍵或敏感的商業(yè)信息處理設(shè)備應(yīng)放置在安全的區(qū)域，由安全防御帶、適當(dāng)?shù)陌踩琳虾蜏?zhǔn)入管制手段加以保護(hù)，以防它們物理上被非法進(jìn)入、毀壞或干擾。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險(xiǎn)相一致。建議采用清桌和清屏政策來降低對文件、媒體和信息處理設(shè)備非法存取或破壞的風(fēng)險(xiǎn)。 信息安全區(qū)的實(shí)體區(qū)隔 單位應(yīng)通過安全實(shí)體區(qū)隔來保護(hù)信息儲(chǔ)存處理設(shè)施的區(qū)域。每個(gè)區(qū)隔都可以提供更高的安全系數(shù)，從而增強(qiáng)總 體的安全水平。單位應(yīng)使用安全防御帶來保護(hù)放置信息處理設(shè)備的區(qū)域（參見 ）。安全防御帶即指構(gòu)成區(qū)隔的東西，例如是一面墻，一道憑卡片進(jìn)入的門，或值班的接待臺(tái)等。每個(gè)區(qū)隔的位置和力度取決于風(fēng)險(xiǎn)評估的結(jié)果。 在適當(dāng)?shù)那闆r下可以考慮下列的指導(dǎo)原則和管制手段： 安全防御帶應(yīng)當(dāng)清楚定義 放置信息處理設(shè)備的樓房或場所的防御帶從物理角度應(yīng)當(dāng)非?？煽?。場所的外墻應(yīng)當(dāng)是堅(jiān)固的建筑物，所有的外門都應(yīng)能防止非法的進(jìn)入，比如通過安裝管制機(jī)制、鐵條、警報(bào)、安全鎖等。 在通往場所或樓房的通道上還應(yīng)當(dāng)配備值班接待臺(tái)或其它類似機(jī)構(gòu)，確 保只有經(jīng)過授權(quán)的人員才能得以靠近通往上述場所的通道。 如有必要，物理區(qū)隔還應(yīng)擴(kuò)展到從地板到天花板的區(qū)間以防止非法進(jìn)入或水、火災(zāi)等造成的環(huán)境污染。 安全防御帶內(nèi)所有的防火門都應(yīng)安裝報(bào)警器，并隨時(shí)處于緊閉狀態(tài)。 信息安全區(qū)進(jìn)出管制 在信息安全區(qū)采取適當(dāng)出入管制，確保只有經(jīng)授權(quán)的人員得以進(jìn)入?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。訪問者的進(jìn)入和離開數(shù)據(jù)及其時(shí)間要有記錄。來訪者只有在有明確經(jīng)過授權(quán)的任務(wù)時(shí)才允許訪問安全區(qū)，并要被告知安全區(qū)內(nèi)的安全要求及緊急流程。 對敏感信息和信息處理設(shè)備的通路進(jìn)行 管制，只有經(jīng)過授權(quán)的人員才得以進(jìn)入。同時(shí)使用身份識(shí)別管制手段，如刷卡或個(gè)人身份號碼等對所有準(zhǔn)入進(jìn)行授權(quán)或認(rèn)證。所有進(jìn)入都要求有記錄，并加以妥當(dāng)保存。 所有人員都要求佩戴清晰可見的身份辨認(rèn)標(biāo)志，并鼓勵(lì)對未經(jīng)陪伴陌生人或任何未佩戴標(biāo)志的人員進(jìn)行盤問。 對進(jìn)入安全區(qū)域的權(quán)限要定期進(jìn)行審核和更新。 信息安全辦公室、處所、設(shè)備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內(nèi)的幾間房間，其本身可以上鎖，也可以內(nèi)置上鎖的保險(xiǎn)柜或保險(xiǎn)箱。選擇和設(shè)計(jì)安全區(qū)時(shí)，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的 損壞的可能性。還要考慮險(xiǎn)關(guān)的健康和安全條例及標(biāo)準(zhǔn)。同時(shí)，也要考慮來自鄰近場所的安全威脅，例如來自其它樓宇的漏水等等。 可考慮如下的管制手段： 關(guān)鍵設(shè)備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設(shè)置暗指此處有信息處理活動(dòng)的標(biāo)牌或標(biāo)記。 輔助功能設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，要放置在安全區(qū)內(nèi)合適的位置，避免因外人接觸而導(dǎo)致的信息泄漏。 房間無人時(shí)，門窗都要上鎖關(guān)閉；窗戶，特別是一樓的窗戶，要安裝必要的外部保護(hù)設(shè)施。 所有的外門的外窗都要安裝合乎職業(yè)標(biāo)準(zhǔn)的入侵檢測系統(tǒng)，并對其進(jìn)行定 期檢測。無人區(qū)特別要保持隨時(shí)警戒。其它區(qū)域也要提供安全保護(hù)，如電腦房和通訊房等。 從物理上把本單位管理的信息處理設(shè)備和第三方管理的信息處理設(shè)備進(jìn)行區(qū)隔。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。 把危險(xiǎn)或易燃品保存到一個(gè)離安全區(qū)適當(dāng)安全距離的地方。除非另加要求，諸如文具等的大宗物品不得儲(chǔ)存在安全區(qū)。 備用設(shè)備或媒體工具應(yīng)放置在離設(shè)備稍遠(yuǎn)的地方，以防主場地毀壞時(shí)同時(shí)被毀。 信息安全區(qū)內(nèi)工作守則 為進(jìn)一步加強(qiáng)已采取物理保護(hù)措施的安全區(qū)的安全，應(yīng)制定附加的信息安全區(qū)內(nèi)工作守則。這些包括針對在 安全區(qū)工作的人員或第三方的管制，也包括對其活動(dòng)的管制?？煽紤]如下原則： 各人員對安全區(qū)的存在及其內(nèi)活動(dòng)當(dāng)知之則知之，不當(dāng)知之則不許知之。 為安全和防止壞人破壞起見，對安全區(qū)內(nèi)所有工作實(shí)施監(jiān)視。 無人安全區(qū)應(yīng)采取物理手段加以封閉，并定期查看。 應(yīng)限制第三方輔助服務(wù)人員進(jìn)入安全區(qū)或敏感信息處理設(shè)備，只在必要時(shí)才許其進(jìn)入。同時(shí)，進(jìn)入要進(jìn)行授權(quán)和監(jiān)視。安全防御帶內(nèi)部具有不同安全要求的區(qū)域之間的通道要采取格外的隔離和防護(hù)措施。 除非經(jīng)過授權(quán)，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設(shè)備。 交接區(qū)的隔離 對交接區(qū)進(jìn)行管制；如有必要，將其與信息處理設(shè)施進(jìn)行隔離，并避免未經(jīng)授權(quán)的進(jìn)入。此類區(qū)域的安全要求必須通過風(fēng)險(xiǎn)評估后才能確定?？煽紤]采用如下原則： 只允許經(jīng)過授權(quán)且已辨明身份的人從樓外進(jìn)入交接區(qū)。 交接區(qū)的設(shè)計(jì)應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 在交接區(qū)內(nèi)門敞開的情況下，交接區(qū)外門應(yīng)保持關(guān)閉狀態(tài)。 把進(jìn)入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對其進(jìn)行檢查，確保沒有潛在危險(xiǎn)存在（參見 ）。 進(jìn)入貨物在抵達(dá)時(shí)要進(jìn)行登記（參見 ）。 設(shè)備安全 目標(biāo)：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；?動(dòng)的中斷。 設(shè)備應(yīng)從物理上防止受到安全威脅或環(huán)境上的破壞。 有必要對設(shè)備，包括那些外借的設(shè)備，進(jìn)行必要的保護(hù)，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險(xiǎn)。同時(shí)應(yīng)考慮設(shè)備的座落和處置。要求有特別的管制手段來保護(hù)對設(shè)備的非法使用，并對諸如電源和電纜基礎(chǔ)設(shè)施等輔助設(shè)備進(jìn)行保護(hù)。 設(shè)備座落及防護(hù) 對設(shè)備座落加以保護(hù)，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經(jīng)授權(quán)的進(jìn)入?？煽紤]如下要素： 設(shè)備座落要做到盡量減少不必要進(jìn)入工作區(qū)的次數(shù)。 處理敏感數(shù)據(jù)的信息處理和存儲(chǔ)設(shè)備的座落要使其在使用時(shí)不被遺漏。 需要特別保護(hù)的物品 要分開放置，以節(jié)省額外的保護(hù)措施。 采取管制手段來降低潛在威脅的風(fēng)險(xiǎn)，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定。 對可能影響信息處理設(shè)備使用的環(huán)境因素進(jìn)行監(jiān)控。 在工業(yè)環(huán)境下可考慮采用特別的保護(hù)方法，如對鍵盤套上保護(hù)膜等。 還要考慮附近發(fā)生災(zāi)難時(shí)的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 電力供應(yīng) 使設(shè)備避免斷電或其它供電方面的問題。供電 要符合設(shè)備制造商對供電的規(guī)定和要求。保持供電不中斷的措施包括： 多條供電線路以防某條供電線路出現(xiàn)故障 續(xù)電器（ UPS） 備用發(fā)電機(jī) 支持關(guān)鍵運(yùn)營的設(shè)備要特別考慮使用續(xù)電器，可保證其能正常關(guān)機(jī)或持續(xù)運(yùn)轉(zhuǎn)。同時(shí)，要制定續(xù)電器發(fā)生故障時(shí)的應(yīng)急計(jì)劃。對續(xù)電器要定期檢查其儲(chǔ)電量，并按制造商的指導(dǎo)對其進(jìn)行測試。 備用發(fā)電機(jī)主要用作應(yīng)付長時(shí)間的斷電。如安裝了發(fā)電機(jī)，應(yīng)當(dāng)按制造商的要求對其進(jìn)行定期檢測。同時(shí)，要儲(chǔ)備充足的燃料，確保發(fā)電機(jī)能長時(shí)間地發(fā)電。 此外，要在設(shè)備室的緊急出口處安裝緊急電源開關(guān)，用作緊急情況下迅速關(guān)閉電 源。還要安裝緊急照明燈以防緊急斷電。所有的樓房都要實(shí)施照明保護(hù)措施，并給所有外部通訊線路安裝照明保護(hù)濾光器。 傳輸設(shè)備安全性 保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的供電和通訊傳輸設(shè)備，使之免于中斷或損壞?？煽紤]如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護(hù)措施。 防止網(wǎng)絡(luò)電纜被非法截?cái)嗷蚱茐?，例如通過安裝電纜保護(hù)導(dǎo)管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設(shè)，避免互相干擾。 對敏感或關(guān)鍵設(shè)備，可考慮進(jìn)一步的管制措施，如： 1）在檢測或終點(diǎn)端安裝裝甲防護(hù)電纜導(dǎo)管或上鎖房間或盒子 ； 2）使用備用路徑或傳輸媒介； 3）使用光纖電纜； 4）對非法掛置在電纜上的物件進(jìn)行定期掃除 設(shè)備的維護(hù)、保養(yǎng) 對設(shè)備的維護(hù)應(yīng)依據(jù)制造商的指示或規(guī)定的流程進(jìn)行，確保持續(xù)正常的工作狀態(tài)?？煽紤]如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過授權(quán)的維護(hù)人員對設(shè)備進(jìn)行檢修和維護(hù) 對所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄