【導(dǎo)讀】GB/T××××—××××××××-××-××發(fā)布××××-××-××實施。GB/T××××—××××

　　

【正文】 移動 在未經(jīng)授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開場地。若需要并合適，要對設(shè)備作出外移的記錄，當返回時，要作出送回的記錄。為了檢測未授權(quán)的財產(chǎn)移動，要進行抽查。要讓每個人都知道將進行抽查。 8 通信和操作管理 操作規(guī)程和職責 目的：確保信息處理設(shè)施正確和安全的操作。 應(yīng)建立所有信息處理設(shè)施的管理和操作的職責和規(guī)程。這包括制訂合適的操作說明和事故響應(yīng)規(guī)程。 若合適，應(yīng)實施責任分割（見 ），以減少疏忽或故意濫用系統(tǒng)的風險。 文檔化的操作規(guī)程 由安全策略所標識出的操作規(guī)程應(yīng)形成文檔并予以維護。要將操作規(guī) 程看作正式的文檔，其變更由管理層授權(quán)。 該規(guī)程應(yīng)詳細規(guī)定執(zhí)行每個作業(yè)的說明，其內(nèi)容包括： a） 信息處理和處置； b） 進度要求，包括與其他系統(tǒng)的相互關(guān)系、最早作業(yè)開始時間和最后作業(yè)完成的期限； c） 在作業(yè)執(zhí)行期間可能出現(xiàn)的處置差錯或其它異常情況的說明，包括對使用系統(tǒng)實用程序的限制（見 ）； d） 在有不期望的操作或技術(shù)上的困難的情況下，支持進行聯(lián)絡(luò)； e） 特定輸出處置說明，諸如使用特殊信紙或管理保密輸出，包括失敗作業(yè)輸出安全處置的規(guī)程； f） 供萬一系統(tǒng)失效用的系統(tǒng)重新起動和恢復(fù)規(guī)程。 與信息處理和通信設(shè)施相關(guān)的系統(tǒng)內(nèi)務(wù)活動也要 形成文檔的規(guī)程，諸如計算機啟動和關(guān)機規(guī)程、備份、設(shè)備維護、計算機機房和郵件處置管理和物理安全（ safety）。 操作變更控制 對信息處理設(shè)施和系統(tǒng)的變更要加以控制。對信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全故障的常見原因。正式的管理者職責和規(guī)程應(yīng)到位，以確保對設(shè)備、軟件或規(guī)程的所有變更有令人滿意的控制。操作計劃須經(jīng)受嚴格變更控制。當該計劃變更時，包含所有相關(guān)信息的審核日志要予以保留。對操作環(huán)境的變更可能影響應(yīng)用。凡是可行之處，操作和應(yīng)用變更控制規(guī)程要集成起來（也見）。特別是，下列控制要予 以考慮。 a） 重大變更的標識和記錄； b） 對這種變更潛在影響的評估； c） 對建議的變更的正式批準規(guī)程； GB/T — 17 d） 向所有有關(guān)人員傳遞變更細節(jié)； e） 標識放棄不成功變更和恢復(fù)職責的規(guī)程。 事故管理規(guī)程 應(yīng)建立事故管理職責和規(guī)程，以確保快速、有效和有序地響應(yīng)安全事故（也見 ）。下列控制要予以考慮。 a） 應(yīng)建立規(guī)程，以涵蓋所有潛在的安全事故類型，包括： 1） 信息系統(tǒng)故障和服務(wù)丟失； 2） 拒絕服務(wù)； 3） 由不完整或不準確的業(yè)務(wù)數(shù)據(jù)導(dǎo)致的差錯； 4） 保密性違規(guī)； b） 除正常的應(yīng)急計劃（設(shè)計成盡可能快地恢復(fù)系統(tǒng)或服務(wù)）外，還要涵蓋下列規(guī)程（也見 ）： 1） 事故原因的分析和標識； 2） 若需要，規(guī)劃和實施補救，以防止再次發(fā)生； 3） 收集審核蹤跡和類似證據(jù)； 4） 與受事故影響或涉及叢中恢復(fù)的人員的聯(lián)系； 5） 向相應(yīng)機構(gòu)報告此動作； c） 當合適時，應(yīng)對下列內(nèi)容，收集審核蹤跡和類似證據(jù)（見 ）并且使其安全保密： 1） 內(nèi)部問題分析； 2） 用作潛在合同違規(guī)、管理要求違規(guī)或者民事或刑事行為（例如，根據(jù)計算機濫用或數(shù)據(jù)保護法）的證據(jù)； 3） 軟件和服務(wù)供應(yīng)商賠償談判； d） 要小心地、正式地控制從安全違規(guī)中恢復(fù)和糾正系統(tǒng)故障的動作。這些規(guī)程應(yīng)確保： 1） 只有明確標識的和已授權(quán)的人員才允許訪問運轉(zhuǎn)著的系統(tǒng)和數(shù)據(jù) （關(guān)于第三方訪問也見）； 2） 所采取的全部應(yīng)急動作詳細地形成文檔； 3） 將應(yīng)急動作報告給管理層并按有序的方式進行評審； 4） 以最小延遲，對業(yè)務(wù)系統(tǒng)和控制的完整性加以證實。 責任分割 責任分割是一種減少偶然或故意的系統(tǒng)濫用風險的方法。應(yīng)考慮分割開管理或執(zhí)行某些責任或職責區(qū)域，以便減少未授權(quán)修改或濫用信息或服務(wù)的機會。 小型組織可能感到難以達到這種控制方法，但是就可能和可行來說，該原則是適用的。只要難以分割，應(yīng)考慮其他控制，諸如，對活動、審核蹤跡和管理監(jiān)督的監(jiān)視等。重要的是安全評審仍保持獨立。 應(yīng)注意，在無檢測的 單個職責區(qū)域內(nèi)，使個人不能實施欺詐。事件的啟動要與其授權(quán)分離。下列控制要加以考慮。 a） 重要的是分割開有可能通過勾結(jié)而產(chǎn)生的欺騙活動，例如，提出采購訂單和驗收貨物。 GB/T — 18 b） 如果有勾結(jié)的危險，那么需建立控制，使得需包含兩個或兩個以上的人，借此降低共謀的可能性。 開發(fā)和運行設(shè)施分離 為達到分離所涉及角色的目的，分離開發(fā)、測試和運行設(shè)施是重要的。要規(guī)定從開發(fā)狀態(tài)到運行狀態(tài)的軟件傳送規(guī)則并形成文檔。 開發(fā)和測試活動可能引起嚴重的問題，例如，不希望的修改文件或系統(tǒng)環(huán)境或者系統(tǒng)故障。為了防止運行問題，在運行、測試和開發(fā)環(huán)境之間所 需要的分離程度要加以考慮。在開發(fā)和測試功能之間，類似的分離也要加以實現(xiàn)。在這種情況下，有必要維護一種已知的和穩(wěn)定的環(huán)境，在此環(huán)境中可執(zhí)行有意義的測試和防止不合適的開發(fā)者訪問。 若開發(fā)和測試職員訪問運行系統(tǒng)及其信息，那么他們可能會引入未授權(quán)的和未測試的代碼或改變運行數(shù)據(jù)。在某些系統(tǒng)上，這種能力可能濫用于實施欺詐，或引入未測試的或惡意的代碼。未測試的或惡意的代碼可以引起嚴重的運行問題。開發(fā)者和測試者還成為對運行信息保密性的威脅。 如果開發(fā)和測試活動共享同一計算環(huán)境，那么可能引起非故意的軟件和信息的變更。因此，為 了減少偶然變更或未授權(quán)訪問運行軟件和業(yè)務(wù)數(shù)據(jù)的風險，分離開發(fā)、測試和運行設(shè)施是合乎要求的。下列控制要加以考慮。 a） 若有可能，開發(fā)和運行的軟件要在不同的計算機處理器上或在不同的域或目錄內(nèi)運行； b） 開發(fā)和測試活動要盡可能分離； c） 當不要求編譯程序、編輯程序和其他系統(tǒng)實用程序時，不應(yīng)從運行系統(tǒng)對它們進行訪問； d） 對運行和測試系統(tǒng)要用不同的登錄規(guī)程，以減少出錯的風險。要鼓勵用戶對這些系統(tǒng)使用不同的口令，選單要顯示合適的標識報文； e） 若發(fā)布支持運行系統(tǒng)的口令控制到位，那么開發(fā)人員只可使用操作口令進行訪問?？刂埔_保這種口令在使 用后就被變更。 外部設(shè)施管理 使用外部合同商管理信息處理設(shè)施可能引入潛在的安全泄露，諸如，在該合同商場地處有數(shù)據(jù)泄露、損壞或丟失的可能性。這些風險要預(yù)先加以標識，并且與合同商商定合適的控制，并將其加到合同中（關(guān)于涉及訪問組織設(shè)施的第三方合同和外包合同的指南，也見 和 ）。 要指出的特殊問題包括： a） 標識出最好保留在內(nèi)部的敏感或關(guān)鍵的應(yīng)用（程序）； b） 獲得業(yè)務(wù)應(yīng)用責任人批準； c） 業(yè)務(wù)連續(xù)性計劃所包含的內(nèi)容； d） 規(guī)定安全標準，和測量符合性的過程； e） 分配特定職責和規(guī)程，以有效監(jiān)督所有相關(guān)的安全活動； f） 報告和 處理安全事故的職責和規(guī)程（見 ）。 GB/T — 19 系統(tǒng)規(guī)劃和驗收 目的：使系統(tǒng)故障的風險減到最小。 為了確保足夠能力和資源的可用性，要求預(yù)先的規(guī)劃和準備。 為了減少系統(tǒng)過載的風險，要制訂進一步能力要求的項目。 在新系統(tǒng)驗收和使用之前，要建立該新系統(tǒng)的運行要求。 能力規(guī)劃 能力需求要受監(jiān)督，要制訂進一步能力要求的項目，以確保獲得足夠的處理能力和存儲空間。這些項目要考慮到組織信息處理中新業(yè)務(wù)和系統(tǒng)要求以及當前的和預(yù)計的趨勢。 主計算機需要特殊的關(guān)注，這是因為采購新的能力時要花很大的費用和訂貨至交貨間的時間。主服務(wù) 器的管理者要監(jiān)督關(guān)鍵系統(tǒng)資源的利用，包括處理器、主存儲器、文件存儲器、打印機和其他輸出設(shè)備以及通信系統(tǒng)。他們（管理者）應(yīng)標識出使用的趨勢，特別與業(yè)務(wù)應(yīng)用或管理信息系統(tǒng)工具相關(guān)的使用。 管理者應(yīng)使用該信息來標識和避免潛在的瓶頸，該瓶頸可能對系統(tǒng)安全或用戶服務(wù)存在威脅，同時計劃適合的補救動作。 系統(tǒng)驗收 要建立新信息系統(tǒng)、升級和新版本的驗收準則，在驗收之前，對系統(tǒng)要進行適當?shù)臏y試。管理者要確保驗收新系統(tǒng)的要求和準則明確地被定義、商定、形成文檔和測試。下列控制要加以考慮。 a） 性能和計算機能力要求； b） 差錯恢復(fù)和重新啟 動規(guī)程以及應(yīng)急計劃； c） 按照已定義標準，例行程序操作規(guī)程的準備和測試； d） 商定的一組安全控制到位； e） 有效的手動規(guī)程； f） 按 所要求的業(yè)務(wù)連續(xù)性安排； g） 新系統(tǒng)的安裝對現(xiàn)有系統(tǒng)無負面影響的證據(jù)，特別是在高峰處理時刻，諸如，月末； h） 考慮新系統(tǒng)對組織總體安全影響的證據(jù)； i） 新系統(tǒng)的操作和使用方面的培訓(xùn)。 對于主要的新開發(fā)，在開發(fā)過程的各階段要征詢運行職能部門和用戶的意見，以確保所建議的系統(tǒng)設(shè)計的運行效率。要進行合適的測試，以證實全部驗收準則完全被滿足。 防范惡意軟件 目的：保護軟件和信息的完整性。 要求有預(yù)防措施，以 防范和檢測惡意軟件的引入。軟件和信息處理設(shè)施對惡意軟件（諸如，計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬（也見 ）和邏輯炸彈）的引入是脆弱的。要讓用戶了解未授權(quán)的或惡意的軟件的危險，若合適，管理者要引入專門的控制，以檢測或防范它的引入。特別是，采取預(yù)防措施檢測和防范個人計算機上的計算機病毒是重要的。 控制惡意軟件 GB/T — 20 應(yīng)實施防范惡意軟件的檢測、預(yù)防控制及相應(yīng)通知用戶的規(guī)程。防范惡意軟件要基于安全意識、合適的系統(tǒng)訪問和變更管理控制。下列控制要加以考慮。 a） 要求符合軟件許可證和禁止使用未授權(quán)軟件的正式策略（見 ）； b） 防范風險的正式策略，該風險與來自或經(jīng)由外部網(wǎng)絡(luò)或在任何其他媒體上獲得的文件和軟件相關(guān)，此策略指示應(yīng)采取什么保護措施（也見 ，特別是 和 ）； c） 安裝和定期更新防病毒檢測和修復(fù)軟件來掃描計算機和媒體，以作為預(yù)防控制或作為例行程序的基礎(chǔ)； d） 對支持關(guān)鍵業(yè)務(wù)處理的系統(tǒng)中的軟件和數(shù)據(jù)內(nèi)容進行定期審查。應(yīng)正式調(diào)查存在的任何未批準的文件或未授權(quán)的修正件； e） 在使用前針對病毒，檢查不確定或未授權(quán)來歷的電子媒體上的任何文件 (file)或者在不可信的網(wǎng)絡(luò)上收到的文件； f） 在使用前針對惡意軟件檢 查任何電子郵件附件和下載內(nèi)容。該檢查可以在不同的位置進行，例如，在電子郵件服務(wù)器、臺式計算機處或者當進入組織的網(wǎng)絡(luò)時； g） 涉及關(guān)于系統(tǒng)、系統(tǒng)使用的培訓(xùn)、報告病毒攻擊和從病毒攻擊中恢復(fù)的病毒預(yù)防的管理規(guī)程和職責（見 和 ）； h） 相應(yīng)的從病毒攻擊中恢復(fù)的業(yè)務(wù)連續(xù)性計劃，包括所有必要數(shù)據(jù)和軟件備份以及恢復(fù)安排（見11 章）； i） 檢驗與惡意軟件相關(guān)的所有信息，并確保報警公告是準確情報的規(guī)程。管理應(yīng)確保使用合格的來源（例如，聲譽好的期刊、可靠的 Inter 網(wǎng)站或防病毒軟件供應(yīng)商），以區(qū)分欺騙病毒和實際病毒。要 讓職員了解欺騙病毒問題，以及在收到它們時要做什么。 這些控制對于支持大量工作站的網(wǎng)絡(luò)文件服務(wù)器特別重要。 內(nèi)務(wù)處理 目的：維護信息處理和通信服務(wù)的完整性和可用性。 為執(zhí)行商定的備份戰(zhàn)略（見 ），應(yīng)建立例行規(guī)程，而該備份戰(zhàn)略采取數(shù)據(jù)備份拷貝，演練數(shù)據(jù)及時恢復(fù)，記錄事件和故障，若合適，還監(jiān)督設(shè)備環(huán)境。 信息備份 要定期產(chǎn)生最重要業(yè)務(wù)信息和軟件的備份拷貝。要提供足夠的備份設(shè)施，以確保在災(zāi)難或媒體故障之后可以恢復(fù)所有最重要業(yè)務(wù)信息和軟件。要定期測試各個系統(tǒng)的備份設(shè)備，以確保它們滿足業(yè)務(wù)連續(xù)性計劃的要求（見第 11 章）。下列控制要加以考慮。 a） 最低級別的備份信息以及備份拷貝準確完整的記錄和文檔化的恢復(fù)規(guī)程要存儲在有足夠距離的遠程地點，以避免主要場地災(zāi)難時受到損壞。對于重要的業(yè)務(wù)應(yīng)用至少要保留三代或若干周期的備份信息； b） 要給予備份信息一個與主要場地所應(yīng)用標準相一致的合適的物理和環(huán)境保護等級（見第 7 章）。要擴充應(yīng)用于主要場地媒體的控制，以涵蓋備份場地； GB/T — 21 c） 若可行，要定期測試備份媒體，以確保當需要應(yīng)急使用時可以依靠這些備份媒體； d） 要定期檢查和測試恢復(fù)規(guī)程，以確保為恢復(fù)時在操作規(guī)程所分配的時間內(nèi)它們是有效的并能完成它們。 要確 定最重要業(yè)務(wù)信息的保存周期以及對要永久保存的檔案拷貝的任何要求（見 ）。 操作員日志 操作人員應(yīng)維護其活動日志。若合適，日志要包括： a） 系統(tǒng)啟動和結(jié)束時間； b） 系統(tǒng)出錯和所采取的糾正動作； c） 對正確處理數(shù)據(jù)文件和計算機輸出的證實； d） 產(chǎn)生日志項的人員名字。 操作員日志須經(jīng)定期、獨立地按操作規(guī)程檢查。 故障記錄 要報告故障并采取糾正動作。由與信息處理系統(tǒng)或通信系統(tǒng)的問題有關(guān)的用戶所報告的故障要加以記錄。對于處理所報告的故障要有明確的規(guī)則，包括： a） 評審故障日志，以確保已滿意解決故障； b） 評審糾正措施，以確?？刂?未被損害，以及所采取的動作予以充分授權(quán)。 網(wǎng)絡(luò)管理 目的：確保護衛(wèi)網(wǎng)絡(luò)中的信息和保護支持性基礎(chǔ)設(shè)施。 要求注意可以跨過組織邊界的網(wǎng)絡(luò)的安全管理。 還可以要求附加的控制，以保護在公共網(wǎng)絡(luò)上傳遞的敏感數(shù)據(jù)。 網(wǎng)絡(luò)控制 為獲得和維護計算機網(wǎng)絡(luò)的安全，要求若干控制。網(wǎng)絡(luò)管理者要實施控制，以確保網(wǎng)絡(luò)中的數(shù)據(jù)安全，防止未授權(quán)訪問所連接的服務(wù)。特別是，下列控制要予以考慮。 a） 若合適，網(wǎng)絡(luò)的操作職責要與計算機操作分開（見 ）； b） 應(yīng)建立遠程設(shè)備（包括用戶區(qū)域內(nèi)的設(shè)備）管理的職責和規(guī)程； c）