【文章內(nèi)容簡(jiǎn)介】 正常工作時(shí)間之外，例如，在家里工作的情況（）。　 用戶培訓(xùn)目的：確保用戶知道信息安全威脅和利害關(guān)系，并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全策略。為了使可能的安全風(fēng)險(xiǎn)減到最小，用戶應(yīng)接受安全規(guī)程和正確使用信息處理設(shè)施方面的培訓(xùn)?！?信息安全教育和培訓(xùn)組織的所有雇員和（若相關(guān)的）第三方用戶要接受組織的策略和規(guī)程方面的適當(dāng)培訓(xùn)和定期更新內(nèi)容。這包括安全要求、合法職責(zé)和業(yè)務(wù)控制以及在給予訪問(wèn)信息和服務(wù)之前正確使用信息處理設(shè)施的培訓(xùn)，例如登錄過(guò)程，使用軟件包等?！?對(duì)安全事故和故障的響應(yīng)目的：使安全事故和故障的損害減到最小，并監(jiān)督這種事故以及從事故中學(xué)習(xí)。影響安全的事故要盡可能快地通過(guò)合適的管理渠道予以報(bào)告。要使所有雇員和合同商知道報(bào)告可能對(duì)組織的資產(chǎn)安全有影響的不同類(lèi)型事故（安全違規(guī)、威脅、弱點(diǎn)或故障）的規(guī)程，應(yīng)要求他們盡可能快地把任何觀察到的或預(yù)測(cè)到的事故報(bào)告給指明的聯(lián)系點(diǎn)。該組織對(duì)涉及安全違規(guī)的雇員應(yīng)建立一個(gè)正式的紀(jì)律處理辦法。為了能正確地指出事故，在出現(xiàn)事故之后盡可能快地收集證據(jù)可能是必要的（）?！?報(bào)告安全事故安全事故要盡可能快地通過(guò)合適的管理渠道報(bào)告。應(yīng)建立正式的報(bào)告規(guī)程以及事故響應(yīng)規(guī)程，以及在收到事故報(bào)告時(shí)提出要采取的動(dòng)作。要讓所有雇員和合同商知道報(bào)告安全事故的規(guī)程，并要求他們盡可能快地報(bào)告這樣的事故。相應(yīng)的反饋過(guò)程應(yīng)予以實(shí)現(xiàn)，以確保在事故已經(jīng)處理和結(jié)束之后將結(jié)果通知報(bào)告事故的人們。在用戶安全意識(shí)培訓(xùn)時(shí)，這些事故可用作可能發(fā)生什么，如何響應(yīng)這樣的事故，如何在將來(lái)避免這樣的事故（）的例子?！?報(bào)告安全弱點(diǎn)應(yīng)要求信息服務(wù)的用戶通知并報(bào)告任何觀察到的或預(yù)測(cè)到的系統(tǒng)或服務(wù)的安全弱點(diǎn)。他們要盡可能快地向其管理層或直接向其服務(wù)提供者報(bào)告這些情況。要通知用戶在任何情況下，他們不要企圖證明預(yù)測(cè)到的弱點(diǎn)。這是為了其自身的保護(hù)，因?yàn)榭赡軐y(cè)試的弱點(diǎn)看作系統(tǒng)的潛在濫用?！?報(bào)告軟件故障要建立報(bào)告軟件故障的規(guī)程。下列動(dòng)作要予以考慮。a） 應(yīng)記錄下問(wèn)題的征兆和任何顯示在屏幕上的消息。b） 如有可能，計(jì)算機(jī)要加以隔離，并且停止對(duì)其的使用。要立即向相應(yīng)的聯(lián)系點(diǎn)報(bào)警。如果設(shè)備 待檢查，在重新加電之前，設(shè)備要與任何組織的網(wǎng)絡(luò)斷開(kāi)。磁盤(pán)不要轉(zhuǎn)移到其他計(jì)算機(jī)。c） 應(yīng)立即向信息安全管理者報(bào)告此情況。用戶不要試圖移去可疑的軟件，除非被授權(quán)這樣做。要由已受過(guò)相當(dāng)培訓(xùn)的和有經(jīng)驗(yàn)的人員進(jìn)行恢復(fù)。　 從事故中學(xué)習(xí)要有適當(dāng)?shù)臋C(jī)制，以使事故和故障的類(lèi)型、數(shù)量和代價(jià)能被量化和監(jiān)督。該信息要用來(lái)標(biāo)識(shí)重復(fù)發(fā)生的或影響很大的事故或故障。這樣做可以指出需要增強(qiáng)的或附加的控制，以限制未來(lái)出現(xiàn)事故的頻度、損壞和代價(jià)，或者要將它們計(jì)入安全策略評(píng)審過(guò)程中（）?！?紀(jì)律處理對(duì)于違反了組織安全策略和規(guī)程（，關(guān)于證據(jù)的保存，）的雇員，要具有正式的紀(jì)律處理。對(duì)雇員來(lái)說(shuō)，這樣一種辦法起威懾的作用，否則他可能傾向于不顧安全規(guī)程。此外，宜確保正確、公正地對(duì)待牽涉重大違規(guī)或經(jīng)常違規(guī)的雇員。7　 物理和環(huán)境的安全　 安全區(qū)域目的：防止對(duì)業(yè)務(wù)辦公場(chǎng)所和信息未授權(quán)訪問(wèn)、損壞和干擾。關(guān)鍵和敏感的業(yè)務(wù)信息處理設(shè)施要放置在安全區(qū)域內(nèi)，并受到一種已定義的安全周邊和適合的安全屏障和入口控制的保護(hù)。這些設(shè)施要在物理上避免未授權(quán)訪問(wèn)、損壞和干擾。所提供的保護(hù)要與所標(biāo)識(shí)的風(fēng)險(xiǎn)相匹配。推薦用清理臺(tái)面和清空屏幕策略以減少未授權(quán)訪問(wèn)或損壞記錄紙、媒體和信息處理設(shè)施的風(fēng)險(xiǎn)。　 物理安全周邊物理保護(hù)可通過(guò)在業(yè)務(wù)辦公場(chǎng)所信息處理設(shè)施周?chē)⑷舾晌锢砥琳蟻?lái)達(dá)到。各個(gè)屏障建立一個(gè)安全周邊，每個(gè)屏障都增強(qiáng)所提供的整體保護(hù)。組織要使用安全周邊來(lái)保護(hù)包含信息處理設(shè)施的區(qū)域（）。安全周邊是指構(gòu)建屏障的某樣?xùn)|西，例如，墻、卡控制的入口門(mén)或有人管理的接待臺(tái)。各個(gè)屏障的設(shè)置地點(diǎn)和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。若合適，下列指南和控制應(yīng)予以考慮：a） 安全周邊應(yīng)清晰地予以定義。b) 包含有信息處理設(shè)施的建筑物或場(chǎng)地的周邊應(yīng)在物理上是安全的（即，在周邊或區(qū)域內(nèi)不應(yīng)存在可能易于闖入的任何缺口）。場(chǎng)地的外墻應(yīng)是堅(jiān)固結(jié)構(gòu)，所有外部門(mén)要有適當(dāng)保護(hù)以防止未授權(quán)進(jìn)入，例如，控制機(jī)制、門(mén)閂、報(bào)警器、鎖等等。b） 有人管理的接待區(qū)域或控制物理訪問(wèn)場(chǎng)地或建筑物的其他手段要到位。進(jìn)入場(chǎng)地或建筑物應(yīng)僅限于已授權(quán)人員。c） 如果需要，物理屏障應(yīng)從真正的地板擴(kuò)展到真正的天花板，以防止未授權(quán)進(jìn)入和由諸如火災(zāi)和水災(zāi)所引起的環(huán)境污染。d） 安全周邊的所有防火門(mén)應(yīng)可發(fā)出報(bào)警信號(hào)，并應(yīng)緊閉?！?物理入口控制安全區(qū)域要由適合的入口控制所保護(hù)，以確保只有已授權(quán)的人員才允許訪問(wèn)。下列控制要予以考慮。a） 對(duì)安全區(qū)域的訪問(wèn)者要予以監(jiān)督或辦理進(jìn)入手續(xù)，并記錄他們進(jìn)入和離開(kāi)的日期和時(shí)間。只能允許他們?cè)L問(wèn)特定的、已授權(quán)的目標(biāo)，并要向他們宣布關(guān)于該區(qū)域安全要求和應(yīng)急規(guī)程的說(shuō)明。b） 訪問(wèn)敏感信息和信息處理設(shè)施要受到控制，并且僅限于已授權(quán)的人員。鑒別控制［例如，插卡加個(gè)人識(shí)別號(hào)（PIN）］應(yīng)用于授權(quán)和確認(rèn)所有訪問(wèn)。所有訪問(wèn)的審核蹤跡要安全地加以維護(hù)。c） 要求所有人員佩帶某種形式的可視標(biāo)識(shí)，并且鼓勵(lì)他們?cè)儐?wèn)無(wú)人護(hù)送的陌生人和未佩帶可視標(biāo)識(shí)的任何人。d） 對(duì)安全區(qū)域的訪問(wèn)權(quán)利要定期地予以評(píng)審和更新?！?辦公室、房間和設(shè)施的安全保護(hù)安全區(qū)域可以是在物理安全周邊內(nèi)側(cè)上鎖的辦公室或者幾個(gè)房間。這種辦公室可以是上鎖的并且可以包含可鎖的鐵柜或保險(xiǎn)柜。安全區(qū)域的選擇和設(shè)計(jì)要考慮到防止火災(zāi)、水災(zāi)、爆炸、國(guó)內(nèi)動(dòng)蕩以及其他形式的自然或人為災(zāi)難的損壞的可能性。還要考慮到相關(guān)健康和安全的規(guī)章和標(biāo)準(zhǔn)。對(duì)于由鄰接建筑物所引起的任何安全威脅（例如，來(lái)自其他區(qū)域的水泄漏）也要予以考慮。下列控制應(yīng)予以考慮。a） 使關(guān)鍵設(shè)施坐落在避免公眾進(jìn)行訪問(wèn)的場(chǎng)地。b） 建筑物要不引人注目，并且在建筑物內(nèi)側(cè)或外側(cè)用不明顯標(biāo)記給出其用途的最少指示，以標(biāo)識(shí)信息處理機(jī)構(gòu)的存在。c） 支持性功能件和設(shè)備（例如，影印機(jī)，傳真機(jī)）適宜坐落在安全區(qū)域內(nèi)，以避免可能泄露信息的要求訪問(wèn)。d） 無(wú)人值守時(shí)門(mén)窗要上鎖，外部保護(hù)時(shí)應(yīng)考慮對(duì)窗戶的保護(hù)，特別是對(duì)落地門(mén)窗。e） 按照專(zhuān)業(yè)標(biāo)準(zhǔn)所安裝的并定期測(cè)試的相應(yīng)的入侵檢測(cè)系統(tǒng)要裝在合適的位置，以便涵蓋所有外部門(mén)和可接近的窗戶。對(duì)未占用的區(qū)域，在所有時(shí)刻也要予以監(jiān)視。對(duì)于其他區(qū)域（例如，計(jì)算機(jī)機(jī)房或通信機(jī)房）也要提供掩蔽物。f） 組織所管理的信息處理設(shè)施在物理上要與第三方所管理的那些信息處理設(shè)施分開(kāi)。g） 標(biāo)識(shí)敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不要輕易被公眾得到。h） 危險(xiǎn)或易燃物品要安全地存儲(chǔ)在離安全區(qū)域有一定的安全距離的地方。成批的供應(yīng)品（諸如信紙文具之類(lèi)）除非必要都不應(yīng)存儲(chǔ)在安全區(qū)域內(nèi)。i） 基本維持運(yùn)行的設(shè)備和備份媒體要以一定的安全距離存放，以免受主要場(chǎng)地災(zāi)難的損壞?！?在安全區(qū)域工作可以要求附加控制和指南，以增強(qiáng)安全區(qū)域的安全，這包括對(duì)在安全區(qū)域中工作的人員或第三方以及在這里進(jìn)行第三方活動(dòng)的控制。下列控制要予以考慮。a） 只在有必要知道的基礎(chǔ)上，人員才應(yīng)知道安全區(qū)域的存在或在其中的活動(dòng)。b） 由于安全(safety)原因和防范惡意活動(dòng)的可能，均應(yīng)避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作。c） 未用的安全區(qū)域在物理上要鎖上并周期地予以檢查。d） 僅在要求時(shí)，才同意第三方支持性服務(wù)人員對(duì)安全區(qū)域或敏感性信息處理設(shè)施進(jìn)行有限制的訪問(wèn)。該訪問(wèn)要經(jīng)過(guò)授權(quán)和并受到監(jiān)督。在安全周邊內(nèi)側(cè)具有不同安全要求的區(qū)域之間，可能需要用來(lái)控制物理訪問(wèn)的附加屏障和周邊。e） 除非授權(quán)，不允許攜帶攝影、聲頻、視頻或其他記錄設(shè)備?！?交接區(qū)域的隔離交接區(qū)域要受到控制，如有可能，要與信息處理設(shè)施隔離，以免未授權(quán)訪問(wèn)。這類(lèi)區(qū)域的安全要求要根據(jù)風(fēng)險(xiǎn)評(píng)估來(lái)確定。下列控制要予以考慮。a） 由建筑物外進(jìn)入交接區(qū)限于已標(biāo)識(shí)的和已授權(quán)的人員。b） 交接區(qū)域應(yīng)設(shè)計(jì)成這樣，即在無(wú)需交貨人員獲得進(jìn)入本建筑物其他部分的情況下就能卸下物資。c） 當(dāng)內(nèi)部的門(mén)打開(kāi)時(shí)，交接區(qū)域的外部的門(mén)應(yīng)緊閉。d） 在進(jìn)來(lái)的物資從交接區(qū)域運(yùn)到使用地點(diǎn)之前，要檢查有潛在危險(xiǎn)的進(jìn)來(lái)物資（）。e） 如果合適（），進(jìn)來(lái)的物資應(yīng)在場(chǎng)地的入口處進(jìn)行登記。　 設(shè)備安全目的：防止資產(chǎn)的丟失、損壞或泄露和業(yè)務(wù)活動(dòng)的中斷。在物理上應(yīng)使設(shè)備免受安全威脅和環(huán)境危險(xiǎn)。對(duì)設(shè)備的保護(hù)（包括離場(chǎng)使用）是減少未授權(quán)訪問(wèn)數(shù)據(jù)的風(fēng)險(xiǎn)和防止丟失或損壞所必需的。這樣做還要考慮設(shè)備安置和處置。可以要求專(zhuān)門(mén)的控制用來(lái)防止危險(xiǎn)或未授權(quán)訪問(wèn)和保護(hù)支持性設(shè)施，諸如電源和布纜基礎(chǔ)設(shè)施?！?設(shè)備安置和保護(hù)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì)。下列控制要予以考慮。a） 設(shè)備應(yīng)進(jìn)行安置，以盡量減少不必要的進(jìn)入工作區(qū)域訪問(wèn)。b） 應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施和存儲(chǔ)設(shè)施放在適當(dāng)?shù)奈恢?，以減少在其使用期間被窺視的風(fēng)險(xiǎn)。c） 要求專(zhuān)門(mén)保護(hù)的部件要予以隔離，以減低所要求的總體保護(hù)等級(jí)。d） 應(yīng)采取控制使包括下列潛在威脅的風(fēng)險(xiǎn)減到最小：1） 偷竊；2） 火災(zāi)；3） 爆炸；4） 煙霧；5） 水（或供水故障）；6） 塵埃；7） 振動(dòng)；8） 化學(xué)影響；9） 電源干擾；10） 電磁輻射。e） 一個(gè)組織要考慮關(guān)于在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的策略。f） 對(duì)于可能負(fù)面影響信息處理設(shè)施運(yùn)行狀態(tài)的環(huán)境條件要予以監(jiān)督。g） 對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專(zhuān)門(mén)保護(hù)方法（諸如，鍵盤(pán)保護(hù)膜）。h） 在附近建筑物內(nèi)發(fā)生災(zāi)難的影響，例如，鄰近建筑物的火災(zāi)，屋頂漏水或地下室地板滲水或者街上爆炸等，均要予以考慮?！?電源設(shè)備應(yīng)免受電源故障和其他電異常現(xiàn)象。要提供符合設(shè)備制造商規(guī)范的合適電源。獲得電源連續(xù)性的選項(xiàng)包括：a） 多路饋電，以避免電源中單點(diǎn)故障；b） 不間斷電源（UPS）；c） 備份發(fā)電機(jī)。對(duì)于支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的UPS。偶然事故計(jì)劃要包括UPS故障時(shí)要采取的動(dòng)作。UPS設(shè)備要定期地檢查，以確保它擁有足夠能力，并按照制造商的建議予以測(cè)試。如果電源故障延長(zhǎng)，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。如果安裝，電機(jī)要按照制造商的說(shuō)明定期地予以測(cè)試。要提供足夠的燃料供給，以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。另外，應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便萬(wàn)一應(yīng)急時(shí)快速切斷電源。在萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。所有建筑物都應(yīng)采用避雷保護(hù)，所有外部通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器?！?布纜安全電源和運(yùn)載數(shù)據(jù)或支持信息服務(wù)的電信布纜要免受竊聽(tīng)或損壞。下列控制要予以考慮。a） 進(jìn)入信息處理設(shè)施的電源和電信線路宜在地下，若可能，或者提供足夠的可替換保護(hù)；b） 網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞，例如，利用電纜管道或使路由避開(kāi)公眾區(qū)域；c） 為了防止干擾，電源電纜要與通信電纜分開(kāi)；d） 對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步控制考慮包括：1） 在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；2） 使用可替換的路由選擇或傳輸媒體；3） 使用布光纜；4） 清除與電纜連接的未授權(quán)裝置。　 設(shè)備維護(hù)設(shè)備要予以正確地維護(hù)，以確保它的連續(xù)的可用性和完整性。下列控制應(yīng)予以考慮。a） 要按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)；b） 只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)；c） 要保存所有可疑的或?qū)嶋H的故障和所有預(yù)防和糾正維護(hù)的記錄；d） 當(dāng)送設(shè)備到建筑物外維護(hù)（、擦除和蓋寫(xiě)數(shù)據(jù)）時(shí)要采取合適的控制。要遵守由保險(xiǎn)策略所施加的所有要求。　 離開(kāi)建筑物的設(shè)備的安全與所有權(quán)無(wú)關(guān)，為了信息處理在組織建筑物外使用任何設(shè)備要通過(guò)管理層授權(quán)。所提供的安全應(yīng)等同于用于同一目的現(xiàn)場(chǎng)使用設(shè)備的安全，同時(shí)要考慮到組織建筑物外的工作風(fēng)險(xiǎn)。信息處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、電子記事簿、移動(dòng)電話、記錄紙或其他形式，這些是適用于家庭工作的或離開(kāi)常規(guī)工作地點(diǎn)便于運(yùn)輸?shù)脑O(shè)施。下列指南要予以考慮。a） 離開(kāi)建筑物的設(shè)備和媒體在公共場(chǎng)所不要無(wú)人值守。便攜式計(jì)算機(jī)要作為手提行李攜帶在旅行 時(shí)，若可能宜偽裝起來(lái)；b） 制造商保護(hù)設(shè)備用的說(shuō)明書(shū)要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；c） 家庭工作控制應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制，例如，可鎖的存檔柜，清理桌面策略以及對(duì)計(jì)算機(jī)的訪問(wèn)控制；d） 足夠的安全保障掩蔽物宜到位，以保護(hù)設(shè)備離開(kāi)場(chǎng)地。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著地不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制?！?設(shè)備的安全處置或安全重用信息可能通過(guò)對(duì)設(shè)備的草率處置或重用而被泄漏（）。包含敏感信息的存儲(chǔ)器在物理上應(yīng)予以摧毀或者將其安全地蓋寫(xiě)而不是使用標(biāo)準(zhǔn)刪除功能。包含存儲(chǔ)媒體（例如，固定硬盤(pán)）的設(shè)備中的所有部件應(yīng)予以檢查，以確保任何敏感數(shù)據(jù)和許可的軟件在處理之前已經(jīng)清除或蓋寫(xiě)。包含敏感數(shù)據(jù)的已損壞的存儲(chǔ)器可以要求風(fēng)險(xiǎn)評(píng)估，以確定這些部件是否要進(jìn)行銷(xiāo)毀、修理或丟棄?！?一般控制目的：防止信息和信息處理設(shè)施的受損害或被盜竊。信息和信息處理設(shè)施應(yīng)予以保護(hù)，以防止泄露給未授權(quán)人員，而被其修改或盜竊，控制應(yīng)到位，以使丟失或損壞減到最小?！?清理桌面和清空屏幕策略組織要考慮對(duì)記錄紙和可移動(dòng)的存儲(chǔ)媒體采取清理桌面策略，對(duì)信息處理設(shè)施采取清空屏幕策略，以便減少在正常工作期間和在正常工作時(shí)間之外對(duì)信息的未授權(quán)訪問(wèn)、丟失和損壞的風(fēng)險(xiǎn)。該策略要考慮到信息安全分類(lèi)（）、相應(yīng)的風(fēng)險(xiǎn)和組織的文化方面。離開(kāi)桌面的信息也可能在災(zāi)難中（諸如火災(zāi)、水災(zāi)或爆炸）被損壞或被摧毀。下列控制要予以考慮。a） 若合適，當(dāng)不使用時(shí)，特別是在工作時(shí)間之外，記錄紙和計(jì)算機(jī)媒體要存儲(chǔ)在相應(yīng)的上鎖的柜子和/或其他形式的安全器具中；b） 當(dāng)不用時(shí)，特別是當(dāng)離開(kāi)辦公室時(shí)，敏感或關(guān)鍵業(yè)務(wù)信息應(yīng)藏起來(lái)（理想的是，藏在耐火保險(xiǎn)柜或箱中）；c） 當(dāng)無(wú)人值守時(shí)，個(gè)人計(jì)算機(jī)和計(jì)算機(jī)終端和打印機(jī)不要保留登錄，當(dāng)不使用時(shí)，要利用帶鑰匙的鎖、口令或其他控制進(jìn)行保護(hù)；d） 進(jìn)來(lái)和出去的郵件點(diǎn)和無(wú)人值守