【導(dǎo)讀】對一個單位或組織來說，信息和其它商業(yè)資產(chǎn)一樣有價值，因此要加以適當(dāng)?shù)谋Ｗo。信息安全就是保護信。資和商業(yè)機會得以最大化。顯示或通過口頭轉(zhuǎn)述。無論信息以何種方式存在，或以何種形式分享或儲存，都要對其進行恰當(dāng)保護。信息安全可通過一套管制手段得以實現(xiàn)；此管制手段可為政策、行為規(guī)范、流程、組織結(jié)構(gòu)和軟件功能。必須建立此類管制手段來確保各單位的具體安全目標(biāo)得以實現(xiàn)。信息和信息支持程序、系統(tǒng)及網(wǎng)絡(luò)是重要的經(jīng)營資產(chǎn)。信息的保密性、完整性和可得性對維持單位的競爭。毀壞、水災(zāi)或火災(zāi)等等。對信息系統(tǒng)和服務(wù)的依賴表明單位在安全威脅面前已越來越脆弱。分散化的計算機模式進一步減弱了中央化、專業(yè)化管制的有效性。確認(rèn)采取的管制措施時需要詳細(xì)審慎的計劃和構(gòu)思。單位能夠確認(rèn)其安全方面的要求至關(guān)重要。項和危險發(fā)生的可能性，并對其潛在的沖擊加以估計。管制方面的支出需要和安全失控時產(chǎn)生的危害進行平衡。評估而導(dǎo)出的管制手段。

　　

【正文】 保其在緊急情況下能正常發(fā)揮作用。 恢復(fù)流程應(yīng)定期審訂測試，確保其有效性，使其在規(guī)定時間內(nèi)能夠完成恢復(fù)的任務(wù) 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存等都要加以規(guī)定。 登錄數(shù)據(jù)管理 操作人員應(yīng)保存其登錄數(shù)據(jù)記錄。登錄數(shù)據(jù)要包括如下信息： 系統(tǒng)啟動和關(guān)閉時間 系統(tǒng)錯誤和所采取的修改行動 對數(shù)據(jù)文件和電腦輸出的正確操作的確認(rèn) 登錄人員的名稱 對操作人員登錄應(yīng)按操作流程進行能夠定期審核。 差錯記錄管理 對差錯進行記錄并采取糾正措施。使用者作出的信息處理或通訊系統(tǒng)的差錯報告要進行記錄。對如何處理報告的差錯應(yīng)有明確的規(guī)定，包括 對差錯記錄進行審核，確保差錯已得到滿意的解決 對采取的修改措施進行審核，確保管制手段的正確性和采取行動的合法性 網(wǎng)絡(luò)管理 目標(biāo)：建立網(wǎng)絡(luò)信息及基礎(chǔ)架構(gòu)支持的防護措施。 對跨單位的網(wǎng)絡(luò)安全 管理要格外注意。 對通過公共網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)的保護也要格外小心。 網(wǎng)絡(luò)管制 實施一系列管制措施，實現(xiàn)并保持網(wǎng)絡(luò)安全。對網(wǎng)絡(luò)管理人員實行管制，確保網(wǎng)絡(luò)上數(shù)據(jù)的安全，并保護相關(guān)服務(wù)不被非法使用。特別是要考慮如下要素： 在適當(dāng)情況下，把網(wǎng)絡(luò)的操作權(quán)責(zé)和電腦操作劃分開（參見 ） 要建立管理遠(yuǎn)程設(shè)備（包括使用區(qū)域的設(shè)備）的責(zé)任和流程 如有必要，采取特別管制措施保護通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的保密性和完整性，并保護聯(lián)結(jié)系統(tǒng)（參見 ）。同時，采用特別管制措施來保持網(wǎng)絡(luò)服務(wù)和電腦 聯(lián)網(wǎng)。 對管理活動進行跟蹤協(xié)調(diào)，使提供的服務(wù)最優(yōu)化，并確保對整個信息處理基礎(chǔ)設(shè)施的管制得以持續(xù)進行 媒體存取及安全性 目標(biāo)：防止資產(chǎn)損失及企業(yè)活動中斷。 對媒體加以管制和物理保護。 采取適當(dāng)操作流程來保護文件、電腦媒體（磁帶、軟盤、錄音帶等）、輸入輸出數(shù)據(jù)和系統(tǒng)記錄，使之避免被破壞、盜竊和非法存取。 可移動計算機媒體的管理 對可移動計算機媒體如磁帶、光盤、打印的報告的管理進行管制?？煽紤]如下指導(dǎo)原則： 任何可再用媒體上保留的過去的內(nèi)容如不需要都要加以清除。 任何媒體如從單位移 出，都要經(jīng)過審批并同時保留記錄以供事后查詢（參見 ） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對所有的流程和授權(quán)級別進行清楚的記錄。 媒體的處理 媒體作廢后，應(yīng)對其進行安全處理。敏感信息可能通過無意處理媒體時泄漏出去。因此，要建立正規(guī)的媒體安全處理流程將此風(fēng)險降至最低?？煽紤]如下指導(dǎo)原則： 對載有敏感信息的媒體應(yīng)加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞郊右蕴幹?，如焚燒或碎片，或在清除信息后給本單位的其它機構(gòu)使用 下列物品屬于應(yīng)進行安全處置的物品： 1）書面文件； 2）錄音或其它 形式的記錄； 3）碳寫紙； 4）輸出報告； 5）一次性打印色帶； 6）磁帶； 7）可讀寫軟盤或磁盤； 8）光學(xué)儲存媒體（包括所有形式和所有制造商制造的軟件分銷媒體）； 9）程序列表； 10）測試數(shù)據(jù)； 11）系統(tǒng)記錄 把需處理的媒體收集起來進行集中安全處理比單個清除敏感數(shù)據(jù)簡便易行。 許多單位對文件、設(shè)備和媒體的處理采取收購處理的做法。為此，需要小心挑選有經(jīng)驗且辦事牢靠的承包商進行上述作業(yè)。 對敏感物品的處置要進行登錄，以便事后進行審計之用。 在堆積媒體等候集中處理時，應(yīng)當(dāng)考慮到所謂的 “ 堆置效應(yīng) ” ，即大量未分類信 息堆置在一起可能比少量單個信息更敏感。 信息移動或儲存程序 建立信息移動或儲存流程，確保信息不被非法泄漏或濫用。制定必要流程并按照其分類對文件、電腦系統(tǒng)、網(wǎng)絡(luò)、移動電腦、移動通訊、郵件、語音郵件、一般語音通訊、多媒體、郵政服務(wù)及設(shè)施、傳真機和其它敏感物品如空白支票、發(fā)票等的使用進行管理?？煽紤]如下要素（參見 ）： 給所有媒體作標(biāo)示（參見 ） 對存取進行限制，以辨別非法人員 保留授權(quán)人員相關(guān)數(shù)據(jù)的正式記錄 確保輸入數(shù)據(jù)的完整性、處理過程得以正確完成及 對輸出的有效確認(rèn) 對等待輸出的數(shù)據(jù)采取與其敏感性相應(yīng)的保護措施 把媒體保存在符合制造商規(guī)定的環(huán)境中 盡量減少數(shù)據(jù)的分發(fā) 對所有數(shù)據(jù)進行清楚標(biāo)示，以引起其合法接收人員的注意 定期對分發(fā)清單和合法接收人員名單進行審訂 系統(tǒng)文件的安全性 系統(tǒng)文件可能載有系列敏感信息，如對應(yīng)用過程、流程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過程等的描述（參加 ）。因此，要考慮采取下列措施防止系統(tǒng)文件被非法存?。? 系統(tǒng)文件要安全妥當(dāng)?shù)乇４? 系統(tǒng)文件的存取清單要盡量簡短，并要經(jīng)過應(yīng)用執(zhí)掌人的授權(quán) 保留在公共網(wǎng) 絡(luò)上或通過公共網(wǎng)絡(luò)提供的系統(tǒng)文件要加以適當(dāng)保護 信息及軟件交換 目標(biāo)：進行組織間信息交流時避免信息的遺失、篡改或誤用。 單位間的信息和軟件交換要加以管制，并符合法律的規(guī)定（參見 12條款） 進行上述交換時要簽署協(xié)議。并建立流程和標(biāo)準(zhǔn)來保護信息和媒體的傳輸。同時，要考慮電子數(shù)據(jù)交換、電子商務(wù)和電子郵件在業(yè)務(wù)和安全方面的隱患及對其進行管制的要求。 信息及軟件轉(zhuǎn)換協(xié)議 單位間通過電子或手動方式交換信息或軟件時，應(yīng)簽訂正式協(xié)議。此類協(xié)議的安全內(nèi)容要反映所涉及的業(yè)務(wù)信息的敏感性。關(guān)于安全條件的協(xié)議內(nèi) 容要考慮： 對傳輸、發(fā)送和接收進行管制和通知的管理權(quán)責(zé) 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn) 快件認(rèn)證標(biāo)準(zhǔn) 遺失數(shù)據(jù)時的責(zé)任 對敏感或關(guān)鍵信息使用經(jīng)過同意的標(biāo)示系統(tǒng)，確保報表得失意義明白無誤，以及對信息進行適當(dāng)保護 信息和軟件所屬權(quán)及數(shù)據(jù)保護的責(zé)任，軟件的版權(quán)合法性和類似的考慮（參見 ） 用于記錄和讀寫信息和軟件的技術(shù)標(biāo)準(zhǔn) 任何可用于保護諸如密碼鍵等敏感物品的特別管制手段（參見 ） 傳遞中媒體的安全管制 信息在物理傳遞過程中（例如，通過郵政服務(wù)或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。因此，可采用如下管制手段來保護電腦媒體在兩地傳遞過程中的安全： 使用可靠的傳遞方式或快件服務(wù)。經(jīng)過授權(quán)的快件服務(wù)公司的清單要經(jīng)過單位管理人員的批準(zhǔn)，并制定流程來檢查快件公司的身份 要有充分的包裝，以防止傳遞過程中所發(fā)生的物理毀壞；或按照媒體制造商的要求進行包裝 如有必要，采取特別的管制措施來保護敏感信息，使其避免被非法泄漏或修改?？刹捎玫拇胧┌ǎ?1）使用上鎖的集裝箱； 2）手頭傳遞； 3）防拆包裝（可顯示任何拆 封的痕跡）； 4）在特殊情況下，將發(fā)送的物品分開并通過不同的路線傳遞 電子商務(wù)的安全性 電子商務(wù)可能會涉及電子數(shù)據(jù)交換、電子郵件和通過因特網(wǎng)之類的公眾網(wǎng)進行網(wǎng)上交易等方式的使用。電子商務(wù)很容易受到網(wǎng)絡(luò)上的威脅，從而導(dǎo)致欺詐行為、合同糾紛和信息的泄漏或修改。應(yīng)當(dāng)采取管制手段防止上列威脅的出現(xiàn)。進行電子商務(wù)時可考慮如下要素： 身份認(rèn)證：客戶和交易人對彼此的身份的把握程度如何？ 授權(quán)：誰有權(quán)力來制定價格、交易內(nèi)容并簽署關(guān)鍵的交易文件？貿(mào)易伙伴怎么知道這個？ 合同和競標(biāo)過程：關(guān)于關(guān)鍵文件的發(fā)送 、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價信息：報價清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認(rèn)方面的完整性和保密性如何？ 檢審：如何適當(dāng)?shù)貙蛻籼峤坏闹Ц缎畔⑦M行檢審？ 結(jié)算：什么是防范欺詐的最佳支付方式？ 訂貨：應(yīng)采取哪些措施來保護訂單信息的保密性和完整性，并防止上述信息的泄漏或復(fù)制？ 責(zé)任：出現(xiàn)欺詐性交易時的責(zé)任誰來承擔(dān)？ 上述的許多考慮都要依法通過網(wǎng)上加密技術(shù)的使用得以實現(xiàn)。（參見 ， ） 貿(mào)易伙伴間的電子商務(wù)安排應(yīng)通過記錄在案的合同加以約束，從而使雙方都能對合同的貿(mào)易條款作出承諾，包括授權(quán)的細(xì)節(jié)等。同時，也有必要和信息服務(wù)和網(wǎng)絡(luò)增值業(yè)務(wù)提供商簽訂其它的協(xié)議。 公共交易系統(tǒng)應(yīng)向客戶公開其交易條款及規(guī)定。 對電子商務(wù)主機的攻擊反彈的現(xiàn)象要加以特別注意，并要求實施任何安全隱患處理措施。 電子郵件的安全性 安全風(fēng)險 電子郵件被用作業(yè)務(wù)交流，從而替代了傳統(tǒng)形式的通訊方式如電傳或信件。電子郵件和傳統(tǒng)的商務(wù)通訊方式有很多不同，如速度、信 函結(jié)構(gòu)、正規(guī)的程度及易受非法攻擊等。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風(fēng)險。安全方面的風(fēng)險包括： 信息易受到非法存取、修改或拒收 易出錯誤，如錯誤的地址或錯發(fā)，及服務(wù)的總體可靠性和易得性等 通訊媒體的改變對業(yè)務(wù)流程的影響，如發(fā)送速度加快的影響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛在的關(guān)于郵件來源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對遠(yuǎn)程存取電子郵件人員的管制 電子郵件方面 的政策 單位應(yīng)當(dāng)制定清楚的政策對電子郵件的使用加以規(guī)定，包括： 對電子郵件的攻擊，如病毒或截獲 保護電子郵件的附件 關(guān)于何時禁止使用電子郵件的規(guī)定 員工不損害公司利益的責(zé)任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對他人進行騷擾，不得進行非法買賣等 使用加密技術(shù)保護電子信息的保密性和完整性（參見 ） 保留有關(guān)訊息用于法律訴訟時的作證 對不能辨明其身份的電子郵件進行檢審的額外管制手段 電子辦公系統(tǒng)的安全性 制定實施有關(guān)政策和綱領(lǐng)，對電子辦公系統(tǒng)的使用和安全風(fēng)險進 行管制。這些提供了機會可以通過運用文件、電腦、移動電腦、移動通訊、郵件、語音郵件、語音通訊、多媒體、郵政服務(wù)設(shè)施和傳真機等的組合更快地傳播訊息并分享商務(wù)信息。 對設(shè)備聯(lián)結(jié)的安全考慮應(yīng)當(dāng)包括如下幾點： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會議，呼叫的保密性、傳真的保存、郵件的打開和分發(fā)等 管理信息共享的政策和適當(dāng)管制措施，如公司電子布告欄的使用等 如系統(tǒng)不能提供適當(dāng)級別的保護，需要進行隔離保護的敏感商業(yè)信息的分類 限制存取涉及被選個人的日記信息，如從事敏感項目工作的員工的信息 系統(tǒng)支持業(yè)務(wù)應(yīng)用的適當(dāng)性，如通訊訂單或授權(quán)等 對允許使用系統(tǒng)的員工、合同方或業(yè)務(wù)伙伴的分類劃分，及其可存取的位置 對使用者的身份進行識別，例如是單位的員工還是用于別的目的的合同方等 對系統(tǒng)上的信息進行備份保存（參見 ） 緊急情況的要求和安排（參見 ） 公共信息系統(tǒng)的安全性 采取措施保護以電子形式發(fā)布的信息的完整性，防止對其進行非法修改而造成的對單位名譽的損害。在公共系統(tǒng)上的信息，如通過因特網(wǎng)可存取的網(wǎng)絡(luò)服務(wù)器上的信息，要合乎其所在地區(qū)或所從事交易的地 區(qū)的法律的要求。信息在公開前，要經(jīng)過正式審批過程。 應(yīng)采取適當(dāng)?shù)臋C制對公共系統(tǒng)上的軟件、數(shù)據(jù)或其它要求高度完整性的信息加以保護，例如采取電子簽字等（參見 ）。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴(yán)格管制，以做到： 信息的獲得符合數(shù)據(jù)保護法律的要求（參見 ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準(zhǔn)確、按時的處理 敏感信息在收集和儲存過程中要加以保護 進入發(fā)布系統(tǒng)時，不得進入與其相連的但與本操作無關(guān)的其它網(wǎng)絡(luò) 其它形態(tài)的信息交換 制定流 程和管制辦法，對通過聲頻、傳真和視頻設(shè)備等渠道進行的信息交換進行保護。安全意識或使用設(shè)施流程的缺乏會導(dǎo)致信息的泄漏，比如，打移動電話、使用語音答錄機時會被監(jiān)聽，語音郵件系統(tǒng)被非法進入或把傳真錯發(fā)給別人等。 通訊設(shè)備出現(xiàn)故障、超載或中斷會導(dǎo)致業(yè)務(wù)的中斷及信息的泄漏（參見 11條款）。信息可可能通過非法使用者的進入而遺失（參見第 9條款）。 因此，需要制定一些政策，規(guī)定員工在使用語音、傳真和視頻通訊設(shè)備時應(yīng)遵守的流程。這主要包括： 提醒員工打電話時采取適當(dāng)保護措施，如不提敏感信息以免信息被如下人員監(jiān)聽或 截獲： 1）員工周圍的人，特別是使用手持電話的人； 2）通過盜線或其它物理方式接觸電話機或電話線的人，及使用使用手持電話時用掃描接收器進行監(jiān)聽的人； 3）在受話人一端的人 提醒員工不得在公開場所、開放的辦公室或墻壁較薄的房間內(nèi)談?wù)摫Ｃ茉掝} 不得在語音答錄機上留言，因為這些設(shè)備可被非法人員盜聽、或由于撥號錯誤而錄到不正確的地方 提醒員工使用傳真機所可能導(dǎo)致的問題，如 1）傳真機內(nèi)存信息被非法提??； 2）故意或非故意地對傳真機的程序進行修改導(dǎo)致傳真發(fā)送到別的指定的號碼上； 3）由于錯誤撥號或錯誤使用傳真機內(nèi)存的 號碼而把傳真錯誤地發(fā)到錯誤的號碼上。