【文章內(nèi)容簡介】 何必要的控制措施應(yīng)經(jīng)授權(quán)。在工作場所使用個人信息處理設(shè)備可能導(dǎo)致新的脆弱性，因此應(yīng)經(jīng)評估和授權(quán)。上述控制措施在聯(lián)網(wǎng)的環(huán)境中尤為重要。5. 信息安全專家建議許多組織可能需要安全專家的建議，這最好由組織內(nèi)富有經(jīng)驗的信息安全顧問來提供。并非所有的組織都愿意雇用專家顧問。因此，建議組織專門指定一個人來協(xié)調(diào)組織中的知識和經(jīng)驗，以確保一致性，并幫助做出安全決議。同時他們還應(yīng)和合適的外部顧問保持聯(lián)系，以提供自身經(jīng)驗之外的專家建議。信息安全顧問或等同的聯(lián)絡(luò)人員的任務(wù)應(yīng)該是使用他們自己的和外部的建議，為信息安全的所有方面提供咨詢。他們對安全威脅的評估質(zhì)量和對控制措施的建議水平?jīng)Q定了組織的信息安全的有效性。為使其建議最大程度的發(fā)揮作用，他們應(yīng)有權(quán)接觸組織管理層的各個方面。若懷疑出現(xiàn)安全事件或破壞，應(yīng)盡早的咨詢信息安全顧問和相應(yīng)的外部聯(lián)絡(luò)人員，以獲得專業(yè)指導(dǎo)和調(diào)查資源。盡管多數(shù)的內(nèi)部安全調(diào)查通常是在管理層的控制下進行的，但仍可以邀請安全顧問給出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。6. 組織間的合作為確保在發(fā)生安全事故時能最快的采取適當(dāng)措施和獲得指導(dǎo)建議，各個組織應(yīng)和執(zhí)法機關(guān)、管理機構(gòu)、信息服務(wù)提供機構(gòu)以及電信營運部門保持適當(dāng)?shù)穆?lián)系。同樣也應(yīng)考慮成為安全組織和行業(yè)論壇的成員。安全信息的交流應(yīng)該加以限制，以確保組織的秘密信息不會泄漏到未經(jīng)授權(quán)的人員手中。7. 信息安全審核的獨立性信息安全方針條例制定出了信息安全的方針和職能。實施情況的審核工作應(yīng)該獨立進行，來確保組織規(guī)范能夠很好的反映安全方針，并且是可行的和有效的。審核工作應(yīng)由組織內(nèi)部的審核職能部門、獨立經(jīng)理人或精通于此種審核工作的第三方組織來實施，只要審核人員掌握了相應(yīng)的技術(shù)和經(jīng)驗。 第三方訪問安全管理目標：保證第三方訪問組織的信息處理設(shè)備和信息資產(chǎn)時的安全性。第三方訪問組織內(nèi)部的信息處理設(shè)備的權(quán)限應(yīng)該受到控制。若有業(yè)務(wù)上需要第三方的訪問，應(yīng)對此做出風(fēng)險評估來確定訪問可能帶來的安全后后果和對訪問進行的控制需求?？刂拼胧?yīng)經(jīng)雙方同意，并在合同中進行明確定義。第三方訪問還會涉及其他參與者。授予第三方訪問權(quán)的合同應(yīng)該涵蓋對合法的參與者任命和允許訪訪問的條件。在考慮信息外包處理時，此標準可以作為簽訂此類合同的基礎(chǔ)。1. 第三方訪問的風(fēng)險鑒別(1) 訪問類型給予第三方訪問的類型至關(guān)重要。比如，通過網(wǎng)絡(luò)連接的訪問風(fēng)險與物理訪問的風(fēng)險有很大區(qū)別。需要考慮的訪問類型有：a） 物理訪問，如訪問辦公室，計算機房，文件柜等b） 邏輯訪問，如訪問組織的數(shù)據(jù)庫，信息系統(tǒng)等(2) 訪問原因授權(quán)第三方訪問有若干原因。例如，向組織提供服務(wù)卻不在現(xiàn)場的第三方，就可以被授予物理和邏輯訪問權(quán)，如：a） 硬件和軟件支持人員，他們需要有權(quán)訪問系統(tǒng)級或低級的應(yīng)用程序功能。b） 貿(mào)易伙伴或合資伙伴，他們之間需要交流信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫。若沒有充分的信息安全管理，允許第三方訪問將給信息帶來風(fēng)險。因此，在業(yè)務(wù)上有與第三方接觸的需求時，則需進行風(fēng)險評估，以確定具體的控制措施的要求。還要考慮所要進行的訪問類型、信息的價值、第三方使用的控制措施和訪問給組織信息的安全可能帶來的后果。(3) 現(xiàn)場承包方按照合同規(guī)定，可以在現(xiàn)場滯留一段時間的第三方也有可能帶來安全隱患?，F(xiàn)場第三方的例子有： 硬件和軟件維護和支持人員 清潔人員、送餐人員、保安和其他的外包支持服務(wù)人員 學(xué)生和其他的短期臨時工作人員 顧問了解采取哪些控制措施來管理第三方對信息處理設(shè)備的訪問是至關(guān)重要的?？偟膩碚f，在與第三方所簽的合同中應(yīng)反映出所有的由第三方訪問導(dǎo)致的安全需求或內(nèi)部的控制措施。例如：若對信息的保密性有特殊要求的時候，就要采用保密協(xié)議。只有在實施了適當(dāng)?shù)目刂拼胧┎⒑炗喠撕w連接和訪問條件的合同之后，第三方方可訪問信息和信息處理設(shè)備。2. 與第三方簽約時的安全要求涉及到第三方訪問本組織信息處理設(shè)備的安排應(yīng)基于正式的合同。該合同應(yīng)包括或提到安全要求，以保證遵守本組織安全方針和安全標準。合同應(yīng)確保本組織和第三方之間沒有誤會。各個組織應(yīng)確保供應(yīng)商的可靠性。合同中應(yīng)該考慮如下條款：a) 信息安全的總體方針；b) 資產(chǎn)保護方面，包括：1) 保護組織資產(chǎn)（包括信息和軟件在內(nèi)）的程序；2) 確定資產(chǎn)是否受到危害的程序，如數(shù)據(jù)的丟失或篡改； 3) 確保在合同截止時或合同執(zhí)行期間某一雙方同意的時間，歸還或銷毀信息的控制措施； 4) 完整性和可用性； 5) 對復(fù)制和泄漏信息的限制；c) 對可用服務(wù)的描述；d) 服務(wù)的目標級和服務(wù)的不可接受級；e) 人員調(diào)整的規(guī)定；f) 協(xié)約方各自的責(zé)任；g) 法律方面的責(zé)任，如數(shù)據(jù)保護法規(guī)，如果合同涉及到其他國家的組織，還應(yīng)特別考慮不同國家法律體系的區(qū)別；h) 知識產(chǎn)權(quán)和版權(quán)轉(zhuǎn)讓（見控制措施遵從性）與合作成果保護；i) 訪問控制協(xié)議，包括：1) 所允許的控制方法，對獨特的標識符（如用戶ID，密碼）的控制和使用；2) 用戶訪問和特權(quán)的授權(quán)過程；3) 要求保有一份名單，用來記錄被授權(quán)使用可用服務(wù)的用戶，以及他們的使用權(quán)和特權(quán)；j) 可驗證的行為標準的定義、監(jiān)督和匯報；k) 監(jiān)督和廢除用戶行為的權(quán)力；l) 審核合同的責(zé)任，或是委任第三方來執(zhí)行審核工作；m) 建立解決問題的升級流程，在適當(dāng)情況下，還要考慮應(yīng)急安排；n) 軟件和硬件安裝和維護責(zé)任；o) 清晰的匯報結(jié)構(gòu)和業(yè)經(jīng)認同的匯報形式；p) 清晰、詳細的變更管理流程；q) 確?？刂拼胧┑靡詫嵤┧璧奈锢肀Ｗo控制和機制；r) 對用戶和管理者在方法、流程和安全方面的培訓(xùn)；s) 確保防范惡意軟件的控制措施；t) 匯報、通知和調(diào)查安全事故和安全破壞的安排；u) 包括第三方和次承包商； 委外資源管理目標：當(dāng)把信息處理的責(zé)任委托給其他組織時，要確保委外信息的安全性委外安排時，應(yīng)該在簽約方的合同中表明信息系統(tǒng)、網(wǎng)絡(luò)和或桌面環(huán)境方面的風(fēng)險、安全控制和流程。1. 委外合同中的安全要求如果組織將其全部或部分信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境的管理和控制任務(wù)委托給其他組織，委外的安全要求應(yīng)在合同中加以規(guī)定并要爭得雙方的同意。例如：合同中應(yīng)規(guī)定：a） 如何滿足法律方面的要求，如數(shù)據(jù)保護法規(guī)；b） 做出哪些安排來確保涉及委外的各方，包括次分包商，能意識到各自的責(zé)任；c） 如何維護和監(jiān)測組織的商業(yè)資產(chǎn)的完整性和保密性；d） 要采取哪些物理和邏輯上的控制措施來約束和限制業(yè)經(jīng)授權(quán)的用戶對商業(yè)信息的訪問；e） 在發(fā)生災(zāi)難的情況下，如何維持服務(wù)的可用性；f） 對委外設(shè)備需要提供何種程度的物理安全；g） 審核權(quán)。前面條款中的列表所給出的款項也應(yīng)作為合同的一部分考慮進去。在雙方同意的安全管理計劃中，此合同應(yīng)當(dāng)詳細論述安全要求與流程。盡管委外合同會引起一些復(fù)雜的安全問題，在本規(guī)范中提及的控制措施可以作為協(xié)商安全管理計劃結(jié)構(gòu)和內(nèi)容的起始點。 資產(chǎn)分類與控制 資產(chǎn)責(zé)任目標：保持對組織資產(chǎn)的適當(dāng)保護。應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。資產(chǎn)責(zé)任有助于確保對資產(chǎn)保持適當(dāng)?shù)谋Ｗo。應(yīng)該為所有重要資產(chǎn)指定所有人，并應(yīng)該分配對其保持適當(dāng)控制措施的責(zé)任。實施控制措施的職責(zé)可以委托。責(zé)任應(yīng)由指定的資產(chǎn)所有人承擔(dān)。1. 資產(chǎn)清單資產(chǎn)清單有助于確保進行有效的資產(chǎn)保護，其它商業(yè)目的，如衛(wèi)生和安全、保險或財務(wù)（資產(chǎn)管理）原因同樣需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風(fēng)險評估的一個重要方面。組織需要識別其資產(chǎn)及這些資產(chǎn)的相對價值和重要性。基于這些信息，組織能夠進而提供與資產(chǎn)的價值和重要性相符的保護等級。應(yīng)該編制并保持與每一信息系統(tǒng)相關(guān)的重要資產(chǎn)的清單。應(yīng)該清晰識別每項資產(chǎn)、其擁有權(quán)、經(jīng)同意和記錄為文件的安全分級（），以及資產(chǎn)現(xiàn)在的位置（當(dāng)試圖從丟失和損壞狀態(tài)恢復(fù)時是重要的）。和信息系統(tǒng)相關(guān)的資產(chǎn)的例子：a） 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、操作和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；b） 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；c） 有形資產(chǎn)：計算機設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、數(shù)字程控交換機、傳真機、應(yīng)答機），磁媒體（磁帶和軟盤），其他技術(shù)裝備（電源，空調(diào)設(shè)備），家具和住所；d） 服務(wù)：計算和通信服務(wù)，通用設(shè)備，如供暖，照明，電力和空調(diào)等。 信息分類目標：確保信息資產(chǎn)受到適當(dāng)級別的保護；應(yīng)該對信息進行分類以指明要求、優(yōu)先性和保護等級。信息具有不同程度的敏感性和重要性。一些項目可能需要額外級別的保護和特殊處理。應(yīng)該使用信息分類系統(tǒng)來定義一套適當(dāng)?shù)谋Ｗo等級，并傳達特殊處理措施的要求。1. 分類原則信息分類和相應(yīng)的保護控制措施應(yīng)該考慮共享或限制信息的商業(yè)要求，以及與這些要求相關(guān)的商業(yè)影響，如對信息未經(jīng)授權(quán)的訪問或損壞。一般而言，對信息分類是決定如何處理和保護此信息的一條捷徑。來自處理機密性數(shù)據(jù)之系統(tǒng)的信息和輸出應(yīng)該按照其對組織的價值和敏感性進行標示。按照信息對組織的重要性進行標示同樣是適當(dāng)?shù)模?，按照信息的完整性和可用性。?jīng)過了一段時間后，例如當(dāng)信息已經(jīng)被公開時，信息通常就不再是敏感的或重要的。應(yīng)該考慮到這些方面，因為過高的保密級別能夠?qū)е虏槐匾念~外的商業(yè)支出。分類原則應(yīng)該預(yù)見并顧及到一個事實，及對任何特定信息的分類都沒有必要始終不變，并可以根據(jù)一些預(yù)定的方針變化。應(yīng)該考慮劃分類別的數(shù)量以及對其使用所帶來的益處。過于復(fù)雜的分類方案可能造成使用上的麻煩和不經(jīng)濟或被證明為不切合實際。在解釋來自其他組織的文件上的分類標簽時應(yīng)該小心，他們對相同或相似名字的標簽可能有不同的定義。對一項信息（如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或磁盤）的分類進行定義以及對該分類定期評審的責(zé)任應(yīng)該保留給數(shù)據(jù)的創(chuàng)始者或指定的信息所有人。2. 信息的標示和處理重要的是根據(jù)組織所采用的分類方案，為信息的標示和處理定義一套合適的程序。這些程序必須包含以物理或電子形式存在的信息資產(chǎn)。對每一信息類別，應(yīng)該定義處理程序，包含下列種類的信息處理活動：a） 復(fù)制；b） 存儲；c） 以郵件、傳真和電子郵件傳送；d） 以口頭方式，包括移動電話、語音郵件、答錄機傳送；e） 銷毀。含有被劃分為敏感或重要信息之系統(tǒng)的輸出應(yīng)該采用適當(dāng)?shù)姆诸悩耸荆ㄔ谳敵錾希?。該標示?yīng)該反映根據(jù)上述分類原則建立的規(guī)則所做的分類。應(yīng)考慮的項目包括打印報告、屏幕顯示、記錄了信息的媒體（磁帶、磁盤、光盤、盒式磁帶），電子信息和文件傳送。物理標示一般是最合適的標示形式。然而，一些信息資產(chǎn)，如電子形式的文件，就不能進行物理標示，而需要使用電子方法標示。 人員安全 崗位定義和資源分配的安全目標：降低人為錯誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險。應(yīng)該在新員工聘用階段就提出安全責(zé)任問題，包括在聘用合同中，并且在員工的雇傭期間進行監(jiān)督。應(yīng)該對可能的新員工進行充分的篩選，尤其是從事敏感工作的員工。所有雇員以及信息處理設(shè)施的第三方用戶都應(yīng)該簽署保密（不泄密）協(xié)議。1. 崗位責(zé)任中的安全安全任務(wù)和責(zé)任，如同在組織的信息安全方針中規(guī)定的（），應(yīng)該在適當(dāng)?shù)那闆r下形成文件。這些任務(wù)和責(zé)任既應(yīng)該包括實現(xiàn)或保持安全方針的任何一般責(zé)任，又應(yīng)該包括保護特定資產(chǎn)或執(zhí)行特定的安全過程或活動的任何具體責(zé)任。2. 人員選拔及方針對終身員工的核實檢查應(yīng)該在招聘時進行。這應(yīng)該包括以下控制措施：a） 具有令人滿意的能力、人品推薦材料，如針對工作或針對個人的；b） 應(yīng)聘者相關(guān)閱歷的檢查（針對完整性和準確性）；c） 聲稱的學(xué)術(shù)或?qū)I(yè)資格的確認；d） 獨立的身份檢查（護照或類似證件）。無論是初次任命還是提升，當(dāng)一項工作涉及的人員具有訪問信息處理設(shè)備的機會，特別是如果這些設(shè)備處理敏感信息，如財務(wù)信息或高度機密的信息時，組織應(yīng)該同樣進行信用檢查。對于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)該定期重復(fù)。對于合同方和臨時員工應(yīng)該執(zhí)行相似的篩選程序。若這些人員是由代理機構(gòu)推薦的，則在與代理機構(gòu)簽訂的合同中應(yīng)該明確規(guī)定該代理機構(gòu)的篩選責(zé)任，以及如果沒有完成篩選工作或者如果有理由對篩選結(jié)果懷疑或擔(dān)心，它們必須遵循的通知程序。管理層應(yīng)該對有權(quán)訪問敏感系統(tǒng)的新員工和缺乏經(jīng)驗的員工的監(jiān)督工作進行評價。每一名員工的工作都應(yīng)該定期經(jīng)過一名更高層職員的評審和批準程序。各經(jīng)理應(yīng)該意識到員工的個人環(huán)境可以影響他們的工作。個人或財政問題、行為或生活方式的改變、重復(fù)的缺勤以及壓力或抑郁可能導(dǎo)致欺詐、偷竊、錯誤或其他安全隱患。應(yīng)該依據(jù)相應(yīng)權(quán)限范圍內(nèi)適當(dāng)?shù)囊?guī)定來處理這類信息。3. 保密協(xié)議保密或不泄密協(xié)議用于告知信息是保密的或秘密的。雇員通常應(yīng)該簽署此類協(xié)議作為他們受雇的先決條件。應(yīng)該要求現(xiàn)存合同（含保密協(xié)議）尚未包括的臨時員工和第三方用戶在被給予信息處理設(shè)備訪問權(quán)之前簽署一個保密協(xié)議。在雇用條款或合同發(fā)生變化時，特別是員工要離開組織或合同將到期時，應(yīng)該對保密協(xié)議進行評審。4. 雇傭條款和條件雇傭條款和條件應(yīng)該闡明雇員對信息安全的責(zé)任。適當(dāng)時，在雇傭結(jié)束后，這些責(zé)任應(yīng)該繼續(xù)一定的時間。應(yīng)該包括如果雇員無視安全要求時所采取的行動。雇員的法律責(zé)任和權(quán)利，如涉及到的版權(quán)法或數(shù)據(jù)保護法，應(yīng)該闡明并包括在雇傭條款和條件中。還應(yīng)該包括分類和管理雇主數(shù)據(jù)的責(zé)任。只要適當(dāng)，雇傭條款和條件應(yīng)該說明這些責(zé)任是延伸到組織范圍以外和正常工作時間以外，例如在家工作時。 用戶培訓(xùn)目標：確保用戶意識到信息安全的威脅和利害關(guān)系，并具有在日常工作過程中支持組織安全方針的能力。應(yīng)對用戶進行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險。1. 信息安全教育和培訓(xùn)組織中所用員工以及相關(guān)的第三方用戶，應(yīng)該接受適當(dāng)?shù)呐嘤?xùn)并且根據(jù)組織方針和程序的變化定期再培訓(xùn)。這包括安全要求、法律責(zé)任和商業(yè)控制措施，還包括在被授權(quán)訪問信息或服務(wù)之前正確使用信息處理設(shè)備，如登錄程序、軟件包的使用的培訓(xùn)。 安全事故和故障的響應(yīng)目標：盡量減小安全事故和故障造成的損失，監(jiān)督此類事件并吸取教訓(xùn)。影響安全的事故應(yīng)該盡快通過適當(dāng)?shù)墓芾砬缊蟾?。?yīng)使所有雇員和簽約人