【文章內(nèi)容簡介】 件失效事件的相關(guān)程序從事件中學(xué)習(xí)應(yīng)有適當(dāng)機(jī)制以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量及成本懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來處理A．7實體及環(huán)境安全BS ISO/IEO17799:2000編號控制目標(biāo)：防止對企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問、破壞及干擾控制措施實體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理設(shè)施的區(qū)域?qū)嶓w進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出辦公處所及設(shè)備的保護(hù)應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備在安全區(qū)域中的作業(yè)應(yīng)對在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以堅強(qiáng)安全區(qū)域的安全隔離遞送及裝載區(qū)域遞送及裝載區(qū)域應(yīng)加以控制，如有可能與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問 設(shè)備安全控制目標(biāo)：預(yù)防資產(chǎn)遺失或損失和防止企業(yè)運(yùn)營活動遭受干擾控制措施設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備，以降低來自環(huán)境的威脅與危險所造成的風(fēng)險以及未經(jīng)授權(quán)的訪問電源供應(yīng)應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護(hù)免于被攔截或破壞設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)設(shè)備報廢或再利用的安全防護(hù)設(shè)備在報廢或再利用前，應(yīng)清除在設(shè)備中的信息控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊控制措施辦公桌面凈空及計算機(jī)屏幕畫面凈空策略組織應(yīng)具備辦公桌面凈空及計算機(jī)屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問、遺失及所造成的風(fēng)險資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件A．8通訊與操作管理BS ISO/IEO17799:2000編號 作業(yè)程序及責(zé)任控制目標(biāo)：確保正確、安全地操作信息處理設(shè)備控制措施文件化的作業(yè)程序作業(yè)變更控制對信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制事故管理程序應(yīng)建立事故的管理責(zé)任及程序，以確保迅速、有效及有序地反應(yīng)安全事件和采集事故有關(guān)數(shù)據(jù)如審核線索和日志職務(wù)隔離職務(wù)及負(fù)責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當(dāng)使用信息或服務(wù)的機(jī)會開發(fā)與操作設(shè)備的隔離開發(fā)及測試設(shè)備應(yīng)與操作設(shè)備分離。應(yīng)確定和文件化從開發(fā)狀態(tài)到運(yùn)行狀態(tài)移植軟件的規(guī)定外部設(shè)備的管理使用外部的設(shè)備管理服務(wù)之前，應(yīng)鑒別其風(fēng)險，并與承包尚協(xié)議適當(dāng)?shù)目刂品椒?，并納入合約內(nèi)容之中 系統(tǒng)規(guī)劃及驗收控制目標(biāo)：將系統(tǒng)失效的風(fēng)險降至最小控制措施容量規(guī)劃容量要求應(yīng)加以監(jiān)督，并應(yīng)作出對于未來容量需求的推測，以確保擁有合適的運(yùn)算處理能力及儲存空間系統(tǒng)驗收應(yīng)建立新信息系統(tǒng)、升級及新版本的驗收標(biāo)準(zhǔn)，并且在允收前對系統(tǒng)進(jìn)行適當(dāng)?shù)臏y試控制目標(biāo)：保護(hù)軟件及信息的完整性不受惡意軟件的損害控制措施對具惡意的軟件的控制應(yīng)有具偵測性及預(yù)防性的控制方法以防范惡意的軟件，并且應(yīng)有適當(dāng)?shù)氖褂谜哳A(yù)警程序的措施控制目標(biāo)：維持信息處理及通訊服務(wù)的完整性及可用性控制措施信息備份應(yīng)定期備份重要的企業(yè)營運(yùn)信息和軟件并經(jīng)常測試操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動的工作日。操作日志應(yīng)受到經(jīng)常性的，獨(dú)立的審查BS ISO/IEO17799:2000編號 錯誤事件登錄應(yīng)通報錯誤并采取改正行動控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施控制措施網(wǎng)絡(luò)控制應(yīng)實行一系列的控制方法以達(dá)成并維護(hù)網(wǎng)絡(luò)的安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營運(yùn)活動遭受干擾控制措施可移動式計算機(jī)存儲媒體的管理對于可移動式計算機(jī)儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應(yīng)加以控制存儲媒體的報廢不再需要的儲存媒體，應(yīng)可靠并安全地處置信息的處理程序應(yīng)建立信息的處理及儲存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用控制措施信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書存儲媒體的運(yùn)送安全運(yùn)送存儲媒體時應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)以及信息被泄漏、不當(dāng)使用或毀壞電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為，合約爭議以及信息被泄漏及修改電子郵件的安全應(yīng)開發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險的適當(dāng)控制方法電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與安全風(fēng)險，各項政策與指導(dǎo)原則應(yīng)加以擬定并實施開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法來保護(hù)經(jīng)由傳真、語音及影像等同學(xué)設(shè)施進(jìn)行的信息交換A．9訪問控制BS ISO/IEO17799:2000編號控制目標(biāo)：控制對于信息的訪問控制措施訪問控制策略企業(yè)營運(yùn)對訪問控制的要求應(yīng)加以界定并文件化，對于信息的訪問應(yīng)如訪問控制政策中所界定的加以限制 使用者訪問管理控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實和維護(hù)控制措施使用者注冊應(yīng)有正式的使用者注冊及注銷的程序，以進(jìn)行所有的多分使用信息系統(tǒng)及服務(wù)的訪問授權(quán)特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制使用者密碼管理對于密碼的分配，應(yīng)通過正式的管理流程加以控制使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實施評審控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問控制措施密碼的使用應(yīng)要求使用者在選擇及使用密碼時，遵循良好的安全慣例無人看管的使用者設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)控制措施使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問已獲特別授權(quán)使用的服務(wù)強(qiáng)制性路徑由使用者的終端機(jī)至計算機(jī)服務(wù)器間的路徑應(yīng)加以控制外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對遠(yuǎn)程使用者的訪問進(jìn)行使用者認(rèn)證節(jié)點認(rèn)證到遠(yuǎn)程計算機(jī)系統(tǒng)的、聯(lián)機(jī)應(yīng)被認(rèn)證遠(yuǎn)程診斷端口的保護(hù)對于診斷端口的訪問應(yīng)可靠地加以控制網(wǎng)絡(luò)的隔離應(yīng)引進(jìn)可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中使用者的聯(lián)機(jī)能力應(yīng)依照訪問控制策略加以限制網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計算機(jī)聯(lián)機(jī)及信息流不違反所制定的企業(yè)營運(yùn)應(yīng)用軟件的訪問控制政策網(wǎng)絡(luò)服務(wù)的安全對于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性，應(yīng)提供清楚的說明控制目標(biāo)：防止未經(jīng)授權(quán)的計算機(jī)訪問控制措施自動化的終端機(jī)識別應(yīng)使用自動化的終端機(jī)識別，以認(rèn)證連接到特定場所可移動式設(shè)備的聯(lián)機(jī)終端機(jī)聯(lián)機(jī)程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程使用者識別及認(rèn)證所有使用者應(yīng)有唯一的識別碼使用者代碼專供其個人的使用，以便各項活動可以追溯至應(yīng)負(fù)責(zé)的個人，應(yīng)使用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以真實地識別使用者的身份口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制提供受脅迫警報以保護(hù)使用者對于可能成為他人脅迫的目標(biāo)的使用者應(yīng)提供受脅迫警報終端機(jī)逾時終止在高風(fēng)險場所或為高風(fēng)險系統(tǒng)服務(wù)終端機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問聯(lián)機(jī)時間的限制應(yīng)使用聯(lián)機(jī)時間的限制，以體統(tǒng)高風(fēng)險的應(yīng)用程序額外的安全控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問控制措施信息訪問限制對于信息及應(yīng)用系統(tǒng)的功能的訪問應(yīng)依照訪問控制策略加以分析限制機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專署的隔離的運(yùn)算環(huán)境控制目標(biāo)：偵測未經(jīng)授權(quán)的活動控制措施事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)的事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程序，并且應(yīng)敵情對監(jiān)控活動的結(jié)果進(jìn)行審查定時器同步計算機(jī)的定時器應(yīng)同步以便準(zhǔn)確地記錄控制目標(biāo)：確保使用可移動式計算機(jī)運(yùn)算及計算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全控制措施可移動式計算機(jī)運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒ㄕ摚苑婪妒褂每梢苿邮接嬎銠C(jī)運(yùn)算設(shè)施進(jìn)行工作時所造成的風(fēng)險，特別是在未被保護(hù)的環(huán)境中工作時計算機(jī)通訊遠(yuǎn)距工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計算機(jī)通訊遠(yuǎn)距工作的活動A．10系統(tǒng)開發(fā)及維護(hù)BS ISO/IEO17799:2000編號控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中控制措施安全要求的分析及標(biāo)準(zhǔn)對于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營運(yùn)要求，應(yīng)將對控制方法的要求制定于其中控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用控制措施輸入資料的驗證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗證，以確保資料是正確且適當(dāng)?shù)膬?nèi)部處理控制驗證的檢查應(yīng)成為系統(tǒng)的一部分，以偵測出所處理的資料是否損毀消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性 的安全要求時，應(yīng)針對應(yīng)用程序進(jìn)行消息的認(rèn)證輸出資料的驗證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗證，以確保對