【導(dǎo)讀】對(duì)一個(gè)單位或組織來(lái)說(shuō)，信息和其它商業(yè)資產(chǎn)一樣有價(jià)值，因此要加以適當(dāng)?shù)谋Ｗo(hù)。信息安全就是保護(hù)信。資和商業(yè)機(jī)會(huì)得以最大化。顯示或通過(guò)口頭轉(zhuǎn)述。無(wú)論信息以何種方式存在，或以何種形式分享或儲(chǔ)存，都要對(duì)其進(jìn)行恰當(dāng)保護(hù)。信息安全可通過(guò)一套管制手段得以實(shí)現(xiàn)；此管制手段可為政策、行為規(guī)范、流程、組織結(jié)構(gòu)和軟件功能。必須建立此類(lèi)管制手段來(lái)確保各單位的具體安全目標(biāo)得以實(shí)現(xiàn)。信息和信息支持程序、系統(tǒng)及網(wǎng)絡(luò)是重要的經(jīng)營(yíng)資產(chǎn)。信息的保密性、完整性和可得性對(duì)維持單位的競(jìng)爭(zhēng)。毀壞、水災(zāi)或火災(zāi)等等。對(duì)信息系統(tǒng)和服務(wù)的依賴(lài)表明單位在安全威脅面前已越來(lái)越脆弱。分散化的計(jì)算機(jī)模式進(jìn)一步減弱了中央化、專(zhuān)業(yè)化管制的有效性。確認(rèn)采取的管制措施時(shí)需要詳細(xì)審慎的計(jì)劃和構(gòu)思。單位能夠確認(rèn)其安全方面的要求至關(guān)重要。項(xiàng)和危險(xiǎn)發(fā)生的可能性，并對(duì)其潛在的沖擊加以估計(jì)。管制方面的支出需要和安全失控時(shí)產(chǎn)生的危害進(jìn)行平衡。評(píng)估而導(dǎo)出的管制手段。

　　

【正文】 保其在緊急情況下能正常發(fā)揮作用。 恢復(fù)流程應(yīng)定期審訂測(cè)試，確保其有效性，使其在規(guī)定時(shí)間內(nèi)能夠完成恢復(fù)的任務(wù) 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存等都要加以規(guī)定。 登錄數(shù)據(jù)管理 操作人員應(yīng)保存其登錄數(shù)據(jù)記錄。登錄數(shù)據(jù)要包括如下信息： 系統(tǒng)啟動(dòng)和關(guān)閉時(shí)間 系統(tǒng)錯(cuò)誤和所采取的修改行動(dòng) 對(duì)數(shù)據(jù)文件和電腦輸出的正確操作的確認(rèn) 登錄人員的名稱(chēng) 對(duì)操作人員登錄應(yīng)按操作流程進(jìn)行能夠定期審核。 差錯(cuò)記錄管理 對(duì)差錯(cuò)進(jìn)行記錄并采取糾正措施。使用者作出的信息處理或通訊系統(tǒng)的差錯(cuò)報(bào)告要進(jìn)行記錄。對(duì)如何處理報(bào)告的差錯(cuò)應(yīng)有明確的規(guī)定，包括 對(duì)差錯(cuò)記錄進(jìn)行審核，確保差錯(cuò)已得到滿(mǎn)意的解決 對(duì)采取的修改措施進(jìn)行審核，確保管制手段的正確性和采取行動(dòng)的合法性 網(wǎng)絡(luò)管理 目標(biāo)：建立網(wǎng)絡(luò)信息及基礎(chǔ)架構(gòu)支持的防護(hù)措施。 對(duì)跨單位的網(wǎng)絡(luò)安全 管理要格外注意。 對(duì)通過(guò)公共網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)的保護(hù)也要格外小心。 網(wǎng)絡(luò)管制 實(shí)施一系列管制措施，實(shí)現(xiàn)并保持網(wǎng)絡(luò)安全。對(duì)網(wǎng)絡(luò)管理人員實(shí)行管制，確保網(wǎng)絡(luò)上數(shù)據(jù)的安全，并保護(hù)相關(guān)服務(wù)不被非法使用。特別是要考慮如下要素： 在適當(dāng)情況下，把網(wǎng)絡(luò)的操作權(quán)責(zé)和電腦操作劃分開(kāi)（參見(jiàn) ） 要建立管理遠(yuǎn)程設(shè)備（包括使用區(qū)域的設(shè)備）的責(zé)任和流程 如有必要，采取特別管制措施保護(hù)通過(guò)公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的保密性和完整性，并保護(hù)聯(lián)結(jié)系統(tǒng)（參見(jiàn) ）。同時(shí)，采用特別管制措施來(lái)保持網(wǎng)絡(luò)服務(wù)和電腦 聯(lián)網(wǎng)。 對(duì)管理活動(dòng)進(jìn)行跟蹤協(xié)調(diào)，使提供的服務(wù)最優(yōu)化，并確保對(duì)整個(gè)信息處理基礎(chǔ)設(shè)施的管制得以持續(xù)進(jìn)行 媒體存取及安全性 目標(biāo)：防止資產(chǎn)損失及企業(yè)活動(dòng)中斷。 對(duì)媒體加以管制和物理保護(hù)。 采取適當(dāng)操作流程來(lái)保護(hù)文件、電腦媒體（磁帶、軟盤(pán)、錄音帶等）、輸入輸出數(shù)據(jù)和系統(tǒng)記錄，使之避免被破壞、盜竊和非法存取。 可移動(dòng)計(jì)算機(jī)媒體的管理 對(duì)可移動(dòng)計(jì)算機(jī)媒體如磁帶、光盤(pán)、打印的報(bào)告的管理進(jìn)行管制?？煽紤]如下指導(dǎo)原則： 任何可再用媒體上保留的過(guò)去的內(nèi)容如不需要都要加以清除。 任何媒體如從單位移 出，都要經(jīng)過(guò)審批并同時(shí)保留記錄以供事后查詢(xún)（參見(jiàn) ） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對(duì)所有的流程和授權(quán)級(jí)別進(jìn)行清楚的記錄。 媒體的處理 媒體作廢后，應(yīng)對(duì)其進(jìn)行安全處理。敏感信息可能通過(guò)無(wú)意處理媒體時(shí)泄漏出去。因此，要建立正規(guī)的媒體安全處理流程將此風(fēng)險(xiǎn)降至最低?？煽紤]如下指導(dǎo)原則： 對(duì)載有敏感信息的媒體應(yīng)加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞郊右蕴幹?，如焚燒或碎片，或在清除信息后給本單位的其它機(jī)構(gòu)使用 下列物品屬于應(yīng)進(jìn)行安全處置的物品： 1）書(shū)面文件； 2）錄音或其它 形式的記錄； 3）碳寫(xiě)紙； 4）輸出報(bào)告； 5）一次性打印色帶； 6）磁帶； 7）可讀寫(xiě)軟盤(pán)或磁盤(pán)； 8）光學(xué)儲(chǔ)存媒體（包括所有形式和所有制造商制造的軟件分銷(xiāo)媒體）； 9）程序列表； 10）測(cè)試數(shù)據(jù)； 11）系統(tǒng)記錄 把需處理的媒體收集起來(lái)進(jìn)行集中安全處理比單個(gè)清除敏感數(shù)據(jù)簡(jiǎn)便易行。 許多單位對(duì)文件、設(shè)備和媒體的處理采取收購(gòu)處理的做法。為此，需要小心挑選有經(jīng)驗(yàn)且辦事牢靠的承包商進(jìn)行上述作業(yè)。 對(duì)敏感物品的處置要進(jìn)行登錄，以便事后進(jìn)行審計(jì)之用。 在堆積媒體等候集中處理時(shí)，應(yīng)當(dāng)考慮到所謂的 “ 堆置效應(yīng) ” ，即大量未分類(lèi)信 息堆置在一起可能比少量單個(gè)信息更敏感。 信息移動(dòng)或儲(chǔ)存程序 建立信息移動(dòng)或儲(chǔ)存流程，確保信息不被非法泄漏或?yàn)E用。制定必要流程并按照其分類(lèi)對(duì)文件、電腦系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)電腦、移動(dòng)通訊、郵件、語(yǔ)音郵件、一般語(yǔ)音通訊、多媒體、郵政服務(wù)及設(shè)施、傳真機(jī)和其它敏感物品如空白支票、發(fā)票等的使用進(jìn)行管理?？煽紤]如下要素（參見(jiàn) ）： 給所有媒體作標(biāo)示（參見(jiàn) ） 對(duì)存取進(jìn)行限制，以辨別非法人員 保留授權(quán)人員相關(guān)數(shù)據(jù)的正式記錄 確保輸入數(shù)據(jù)的完整性、處理過(guò)程得以正確完成及 對(duì)輸出的有效確認(rèn) 對(duì)等待輸出的數(shù)據(jù)采取與其敏感性相應(yīng)的保護(hù)措施 把媒體保存在符合制造商規(guī)定的環(huán)境中 盡量減少數(shù)據(jù)的分發(fā) 對(duì)所有數(shù)據(jù)進(jìn)行清楚標(biāo)示，以引起其合法接收人員的注意 定期對(duì)分發(fā)清單和合法接收人員名單進(jìn)行審訂 系統(tǒng)文件的安全性 系統(tǒng)文件可能載有系列敏感信息，如對(duì)應(yīng)用過(guò)程、流程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過(guò)程等的描述（參加 ）。因此，要考慮采取下列措施防止系統(tǒng)文件被非法存?。? 系統(tǒng)文件要安全妥當(dāng)?shù)乇４? 系統(tǒng)文件的存取清單要盡量簡(jiǎn)短，并要經(jīng)過(guò)應(yīng)用執(zhí)掌人的授權(quán) 保留在公共網(wǎng) 絡(luò)上或通過(guò)公共網(wǎng)絡(luò)提供的系統(tǒng)文件要加以適當(dāng)保護(hù) 信息及軟件交換 目標(biāo)：進(jìn)行組織間信息交流時(shí)避免信息的遺失、篡改或誤用。 單位間的信息和軟件交換要加以管制，并符合法律的規(guī)定（參見(jiàn) 12條款） 進(jìn)行上述交換時(shí)要簽署協(xié)議。并建立流程和標(biāo)準(zhǔn)來(lái)保護(hù)信息和媒體的傳輸。同時(shí)，要考慮電子數(shù)據(jù)交換、電子商務(wù)和電子郵件在業(yè)務(wù)和安全方面的隱患及對(duì)其進(jìn)行管制的要求。 信息及軟件轉(zhuǎn)換協(xié)議 單位間通過(guò)電子或手動(dòng)方式交換信息或軟件時(shí)，應(yīng)簽訂正式協(xié)議。此類(lèi)協(xié)議的安全內(nèi)容要反映所涉及的業(yè)務(wù)信息的敏感性。關(guān)于安全條件的協(xié)議內(nèi) 容要考慮： 對(duì)傳輸、發(fā)送和接收進(jìn)行管制和通知的管理權(quán)責(zé) 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn) 快件認(rèn)證標(biāo)準(zhǔn) 遺失數(shù)據(jù)時(shí)的責(zé)任 對(duì)敏感或關(guān)鍵信息使用經(jīng)過(guò)同意的標(biāo)示系統(tǒng)，確保報(bào)表得失意義明白無(wú)誤，以及對(duì)信息進(jìn)行適當(dāng)保護(hù) 信息和軟件所屬權(quán)及數(shù)據(jù)保護(hù)的責(zé)任，軟件的版權(quán)合法性和類(lèi)似的考慮（參見(jiàn) ） 用于記錄和讀寫(xiě)信息和軟件的技術(shù)標(biāo)準(zhǔn) 任何可用于保護(hù)諸如密碼鍵等敏感物品的特別管制手段（參見(jiàn) ） 傳遞中媒體的安全管制 信息在物理傳遞過(guò)程中（例如，通過(guò)郵政服務(wù)或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。因此，可采用如下管制手段來(lái)保護(hù)電腦媒體在兩地傳遞過(guò)程中的安全： 使用可靠的傳遞方式或快件服務(wù)。經(jīng)過(guò)授權(quán)的快件服務(wù)公司的清單要經(jīng)過(guò)單位管理人員的批準(zhǔn)，并制定流程來(lái)檢查快件公司的身份 要有充分的包裝，以防止傳遞過(guò)程中所發(fā)生的物理毀壞；或按照媒體制造商的要求進(jìn)行包裝 如有必要，采取特別的管制措施來(lái)保護(hù)敏感信息，使其避免被非法泄漏或修改?？刹捎玫拇胧┌ǎ?1）使用上鎖的集裝箱； 2）手頭傳遞； 3）防拆包裝（可顯示任何拆 封的痕跡）； 4）在特殊情況下，將發(fā)送的物品分開(kāi)并通過(guò)不同的路線(xiàn)傳遞 電子商務(wù)的安全性 電子商務(wù)可能會(huì)涉及電子數(shù)據(jù)交換、電子郵件和通過(guò)因特網(wǎng)之類(lèi)的公眾網(wǎng)進(jìn)行網(wǎng)上交易等方式的使用。電子商務(wù)很容易受到網(wǎng)絡(luò)上的威脅，從而導(dǎo)致欺詐行為、合同糾紛和信息的泄漏或修改。應(yīng)當(dāng)采取管制手段防止上列威脅的出現(xiàn)。進(jìn)行電子商務(wù)時(shí)可考慮如下要素： 身份認(rèn)證：客戶(hù)和交易人對(duì)彼此的身份的把握程度如何？ 授權(quán)：誰(shuí)有權(quán)力來(lái)制定價(jià)格、交易內(nèi)容并簽署關(guān)鍵的交易文件？貿(mào)易伙伴怎么知道這個(gè)？ 合同和競(jìng)標(biāo)過(guò)程：關(guān)于關(guān)鍵文件的發(fā)送 、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價(jià)信息：報(bào)價(jià)清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認(rèn)方面的完整性和保密性如何？ 檢審：如何適當(dāng)?shù)貙?duì)客戶(hù)提交的支付信息進(jìn)行檢審？ 結(jié)算：什么是防范欺詐的最佳支付方式？ 訂貨：應(yīng)采取哪些措施來(lái)保護(hù)訂單信息的保密性和完整性，并防止上述信息的泄漏或復(fù)制？ 責(zé)任：出現(xiàn)欺詐性交易時(shí)的責(zé)任誰(shuí)來(lái)承擔(dān)？ 上述的許多考慮都要依法通過(guò)網(wǎng)上加密技術(shù)的使用得以實(shí)現(xiàn)。（參見(jiàn) ， ） 貿(mào)易伙伴間的電子商務(wù)安排應(yīng)通過(guò)記錄在案的合同加以約束，從而使雙方都能對(duì)合同的貿(mào)易條款作出承諾，包括授權(quán)的細(xì)節(jié)等。同時(shí)，也有必要和信息服務(wù)和網(wǎng)絡(luò)增值業(yè)務(wù)提供商簽訂其它的協(xié)議。 公共交易系統(tǒng)應(yīng)向客戶(hù)公開(kāi)其交易條款及規(guī)定。 對(duì)電子商務(wù)主機(jī)的攻擊反彈的現(xiàn)象要加以特別注意，并要求實(shí)施任何安全隱患處理措施。 電子郵件的安全性 安全風(fēng)險(xiǎn) 電子郵件被用作業(yè)務(wù)交流，從而替代了傳統(tǒng)形式的通訊方式如電傳或信件。電子郵件和傳統(tǒng)的商務(wù)通訊方式有很多不同，如速度、信 函結(jié)構(gòu)、正規(guī)的程度及易受非法攻擊等。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風(fēng)險(xiǎn)。安全方面的風(fēng)險(xiǎn)包括： 信息易受到非法存取、修改或拒收 易出錯(cuò)誤，如錯(cuò)誤的地址或錯(cuò)發(fā)，及服務(wù)的總體可靠性和易得性等 通訊媒體的改變對(duì)業(yè)務(wù)流程的影響，如發(fā)送速度加快的影響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛在的關(guān)于郵件來(lái)源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對(duì)遠(yuǎn)程存取電子郵件人員的管制 電子郵件方面 的政策 單位應(yīng)當(dāng)制定清楚的政策對(duì)電子郵件的使用加以規(guī)定，包括： 對(duì)電子郵件的攻擊，如病毒或截獲 保護(hù)電子郵件的附件 關(guān)于何時(shí)禁止使用電子郵件的規(guī)定 員工不損害公司利益的責(zé)任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對(duì)他人進(jìn)行騷擾，不得進(jìn)行非法買(mǎi)賣(mài)等 使用加密技術(shù)保護(hù)電子信息的保密性和完整性（參見(jiàn) ） 保留有關(guān)訊息用于法律訴訟時(shí)的作證 對(duì)不能辨明其身份的電子郵件進(jìn)行檢審的額外管制手段 電子辦公系統(tǒng)的安全性 制定實(shí)施有關(guān)政策和綱領(lǐng)，對(duì)電子辦公系統(tǒng)的使用和安全風(fēng)險(xiǎn)進(jìn) 行管制。這些提供了機(jī)會(huì)可以通過(guò)運(yùn)用文件、電腦、移動(dòng)電腦、移動(dòng)通訊、郵件、語(yǔ)音郵件、語(yǔ)音通訊、多媒體、郵政服務(wù)設(shè)施和傳真機(jī)等的組合更快地傳播訊息并分享商務(wù)信息。 對(duì)設(shè)備聯(lián)結(jié)的安全考慮應(yīng)當(dāng)包括如下幾點(diǎn)： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話(huà)記錄或電話(huà)會(huì)議，呼叫的保密性、傳真的保存、郵件的打開(kāi)和分發(fā)等 管理信息共享的政策和適當(dāng)管制措施，如公司電子布告欄的使用等 如系統(tǒng)不能提供適當(dāng)級(jí)別的保護(hù)，需要進(jìn)行隔離保護(hù)的敏感商業(yè)信息的分類(lèi) 限制存取涉及被選個(gè)人的日記信息，如從事敏感項(xiàng)目工作的員工的信息 系統(tǒng)支持業(yè)務(wù)應(yīng)用的適當(dāng)性，如通訊訂單或授權(quán)等 對(duì)允許使用系統(tǒng)的員工、合同方或業(yè)務(wù)伙伴的分類(lèi)劃分，及其可存取的位置 對(duì)使用者的身份進(jìn)行識(shí)別，例如是單位的員工還是用于別的目的的合同方等 對(duì)系統(tǒng)上的信息進(jìn)行備份保存（參見(jiàn) ） 緊急情況的要求和安排（參見(jiàn) ） 公共信息系統(tǒng)的安全性 采取措施保護(hù)以電子形式發(fā)布的信息的完整性，防止對(duì)其進(jìn)行非法修改而造成的對(duì)單位名譽(yù)的損害。在公共系統(tǒng)上的信息，如通過(guò)因特網(wǎng)可存取的網(wǎng)絡(luò)服務(wù)器上的信息，要合乎其所在地區(qū)或所從事交易的地 區(qū)的法律的要求。信息在公開(kāi)前，要經(jīng)過(guò)正式審批過(guò)程。 應(yīng)采取適當(dāng)?shù)臋C(jī)制對(duì)公共系統(tǒng)上的軟件、數(shù)據(jù)或其它要求高度完整性的信息加以保護(hù)，例如采取電子簽字等（參見(jiàn) ）。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴(yán)格管制，以做到： 信息的獲得符合數(shù)據(jù)保護(hù)法律的要求（參見(jiàn) ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準(zhǔn)確、按時(shí)的處理 敏感信息在收集和儲(chǔ)存過(guò)程中要加以保護(hù) 進(jìn)入發(fā)布系統(tǒng)時(shí)，不得進(jìn)入與其相連的但與本操作無(wú)關(guān)的其它網(wǎng)絡(luò) 其它形態(tài)的信息交換 制定流 程和管制辦法，對(duì)通過(guò)聲頻、傳真和視頻設(shè)備等渠道進(jìn)行的信息交換進(jìn)行保護(hù)。安全意識(shí)或使用設(shè)施流程的缺乏會(huì)導(dǎo)致信息的泄漏，比如，打移動(dòng)電話(huà)、使用語(yǔ)音答錄機(jī)時(shí)會(huì)被監(jiān)聽(tīng)，語(yǔ)音郵件系統(tǒng)被非法進(jìn)入或把傳真錯(cuò)發(fā)給別人等。 通訊設(shè)備出現(xiàn)故障、超載或中斷會(huì)導(dǎo)致業(yè)務(wù)的中斷及信息的泄漏（參見(jiàn) 11條款）。信息可可能通過(guò)非法使用者的進(jìn)入而遺失（參見(jiàn)第 9條款）。 因此，需要制定一些政策，規(guī)定員工在使用語(yǔ)音、傳真和視頻通訊設(shè)備時(shí)應(yīng)遵守的流程。這主要包括： 提醒員工打電話(huà)時(shí)采取適當(dāng)保護(hù)措施，如不提敏感信息以免信息被如下人員監(jiān)聽(tīng)或 截獲： 1）員工周?chē)娜?，特別是使用手持電話(huà)的人； 2）通過(guò)盜線(xiàn)或其它物理方式接觸電話(huà)機(jī)或電話(huà)線(xiàn)的人，及使用使用手持電話(huà)時(shí)用掃描接收器進(jìn)行監(jiān)聽(tīng)的人； 3）在受話(huà)人一端的人 提醒員工不得在公開(kāi)場(chǎng)所、開(kāi)放的辦公室或墻壁較薄的房間內(nèi)談?wù)摫Ｃ茉?huà)題 不得在語(yǔ)音答錄機(jī)上留言，因?yàn)檫@些設(shè)備可被非法人員盜聽(tīng)、或由于撥號(hào)錯(cuò)誤而錄到不正確的地方 提醒員工使用傳真機(jī)所可能導(dǎo)致的問(wèn)題，如 1）傳真機(jī)內(nèi)存信息被非法提??； 2）故意或非故意地對(duì)傳真機(jī)的程序進(jìn)行修改導(dǎo)致傳真發(fā)送到別的指定的號(hào)碼上； 3）由于錯(cuò)誤撥號(hào)或錯(cuò)誤使用傳真機(jī)內(nèi)存的 號(hào)碼而把傳真錯(cuò)誤地發(fā)到錯(cuò)誤的號(hào)碼上。