【導讀】信息安全就是保護信息免受來自各方面的眾多威脅，從而使單位能夠進行持續(xù)。經營，使其對經營的危害降至最小程度，并將投資和商業(yè)機會得以最大化。寄或電子方式傳播，用影片顯示或通過口頭轉述。種形式分享或儲存，都要對其進行恰當保護。必須建立此類管制手段來確保各單位的具體安全目標得以。信息和信息支持程序、系統(tǒng)及網絡是重要的經營資產。信息的保密性、完整性。和可得性對維持單位的競爭優(yōu)勢、現金流動、贏利性、合法性和商業(yè)形象至關重要。機輔助詐騙、間諜、破壞、毀壞、水災或火災等等。對信息系統(tǒng)和服務的依賴表明單位在安全威脅面前已越來越脆弱。式進一步減弱了中央化、專業(yè)化管制的有效性。確認采取的管制措施時需要詳細審慎的計劃和構。產所面臨的威脅，評估其弱項和危險發(fā)生的可能性，并對其潛在的沖擊加以估計。安全要求是通過對安全風險的系統(tǒng)評估而確認的。決定采取適當的管理行動及其優(yōu)先程度。復幾次，以便涵蓋單位的不同部分或單個的信息系統(tǒng)。

　　

【正文】 保所有關鍵的業(yè)務信息和軟件在發(fā)生災難或媒體癱瘓后都能得以恢復。針對單個系統(tǒng)的備份安排要進行定期測試，確保它們符合持續(xù)運營計劃的要求（參見 11 條款）?？煽紤]如下指導原則： 備份信息、關于備份拷貝的準確完整的記錄及恢復的流程等信息要儲存在一個遠離主場的地點，確保 即使主場發(fā)生災難信息備份信息也能幸免遇難。對重要的業(yè)務應用軟件應保留最少三代的備份信息。 對備份信息的物理和環(huán)境保護級別不得亞于主場的保護級別標準（參見第 7 條款）。對主場媒體的管制措施也應延展到備份文件的保護。 應對備份媒體進行定期檢查，確保其在緊急情況下能正常發(fā)揮作用。 恢復流程應定期審訂測試，確保其有效性，使其在規(guī)定時間內能夠完成恢復的任務 重大業(yè)務信息的保留期及文檔附件是否永久保存等都要加以規(guī)定。 登錄數據管理 操作人員應保存其登錄數據記錄。登錄數據要包括如下信息： 系統(tǒng)啟動和關閉時間 系統(tǒng)錯誤和所 采取的修改行動 對數據文件和電腦輸出的正確操作的確認 登錄人員的名稱 對操作人員登錄應按操作流程進行能夠定期審核。 差錯記錄管理 對差錯進行記錄并采取糾正措施。使用者作出的信息處理或通訊系統(tǒng)的差錯報告要進行記錄。對如何處理報告的差錯應有明確的規(guī)定，包括 對差錯記錄進行審核，確保差錯已得到滿意的解決 對采取的修改措施進行審核，確保管制手段的正確性和采取行動的合法性 網絡管理 目標：建立網絡信息及基礎架構支持的防護措施。 對跨單位的網絡安全管理要格外注意。 對通過公共網絡傳輸的敏感數據的保護也要格外小心。 網絡管制 實施一系列管制措施，實現并保持網絡安全。對網絡管理人員實行管制，確保網絡上數據的安全，并保護相關服務不被非法使用。特別是要考慮如下要素： 在適當情況下，把網絡的操作權責和電腦操作劃分開（參見 ） 要建立管理遠程設備（包括使用區(qū)域的設備）的責任和流程 如有必要，采取特別管制措施保護通過公共網絡傳送的數據的保密性和完整性，并保護聯(lián)結系統(tǒng)（參見 和 ）。同時，采用特別管制措施來保持網絡服務和電腦聯(lián)網。 對管理活動進行跟蹤協(xié)調，使提供的服務最優(yōu)化，并確保對整個信息處理基礎設施的管制得 以持續(xù)進行 媒體存取及安全性 目標：防止資產損失及企業(yè)活動中斷。 對媒體加以管制和物理保護。 采取適當操作流程來保護文件、電腦媒體（磁帶、軟盤、錄音帶等）、輸入輸出數據和系統(tǒng)記錄，使之避免被破壞、盜竊和非法存取。 可移動計算機媒體的管理 對可移動計算機媒體如磁帶、光盤、打印的報告的管理進行管制?？煽紤]如下指導原則： 任何可再用媒體上保留的過去的內容如不需要都要加以清除。 任何媒體如從單位移出，都要經過審批并同時保留記錄以供事后查詢（參見） 所有媒體都要按照制造商的規(guī)定保存在安全的環(huán)境中 對所 有的流程和授權級別進行清楚的記錄。 媒體的處理 媒體作廢后，應對其進行安全處理。敏感信息可能通過無意處理媒體時泄漏出去。因此，要建立正規(guī)的媒體安全處理流程將此風險降至最低?？煽紤]如下指導原則： 對載有敏感信息的媒體應加以安全妥當的保存或采用安全的方式加以處置，如焚燒或碎片，或在清除信息后給本單位的其它機構使用 下列物品屬于應進行安全處置的物品： 1）書面文件； 2）錄音或其它形式的記錄；3）碳寫紙； 4）輸出報告； 5）一次性打印色帶； 6）磁帶； 7）可讀寫軟盤或磁盤； 8）光學儲存媒體（包括所有形式和所有制造商制造 的軟件分銷媒體）； 9）程序列表； 10）測試數據； 11）系統(tǒng)記錄 把需處理的媒體收集起來進行集中安全處理比單個清除敏感數據簡便易行。 許多單位對文件、設備和媒體的處理采取收購處理的做法。為此，需要小心挑選有經驗且辦事牢靠的承包商進行上述作業(yè)。 對敏感物品的處置要進行登錄，以便事后進行審計之用。 在堆積媒體等候集中處理時，應當考慮到所謂的“堆置效應”，即大量未分類信息堆置在一起可能比少量單個信息更敏感。 信息移動或儲存程序 建立信息移動或儲存流程，確保信息不被非法泄漏或濫用。制定必要流程并按照其分類對文件、電 腦系統(tǒng)、網絡、移動電腦、移動通訊、郵件、語音郵件、一般語音通訊、多媒體、郵政服務及設施、傳真機和其它敏感物品如空白支票、發(fā)票等的使用進行管理。可考慮如下要素（參見 和 ）： 給所有媒體作標示（參見 之第一項） 對存取進行限制，以辨別非法人員 保留授權人員相關數據的正式記錄 確保輸入數據的完整性、處理過程得以正確完成及對輸出的有效確認 對等待輸出的數據采取與其敏感性相應的保護措施 把媒體保存在符合制造商規(guī)定的環(huán)境中 盡量減少數據的分發(fā) 對所有數據進行清楚標示，以引起其合法接收人員的注意 定 期對分發(fā)清單和合法接收人員名單進行審訂 系統(tǒng)文件的安全性 系統(tǒng)文件可能載有系列敏感信息，如對應用過程、流程、數據結構、授權過程等的描述（參加 ）。因此，要考慮采取下列措施防止系統(tǒng)文件被非法存?。? 系統(tǒng)文件要安全妥當地保存 系統(tǒng)文件的存取清單要盡量簡短，并要經過應用執(zhí)掌人的授權 保留在公共網絡上或通過公共網絡提供的系統(tǒng)文件要加以適當保護 信息及軟件交換 目標：進行組織間信息交流時避免信息的遺失、篡改或誤用。 單位間的信息和軟件交換要加以管制，并符合法律的規(guī)定（參見 12 條款） 進行上述交換時要簽署協(xié)議 。并建立流程和標準來保護信息和媒體的傳輸。同時，要考慮電子數據交換、電子商務和電子郵件在業(yè)務和安全方面的隱患及對其進行管制的要求。 信息及軟件轉換協(xié)議 單位間通過電子或手動方式交換信息或軟件時，應簽訂正式協(xié)議。此類協(xié)議的安全內容要反映所涉及的業(yè)務信息的敏感性。關于安全條件的協(xié)議內容要考慮： 對傳輸、發(fā)送和接收進行管制和通知的管理權責 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸的最低技術標準 快件認證標準 遺失數據時的責任 對敏感或關鍵信息使用經過同意的標示系統(tǒng)，確保報表得失意義明白無誤，以及對信息進行 適當保護 信息和軟件所屬權及數據保護的責任，軟件的版權合法性和類似的考慮（參見 和 ） 用于記錄和讀寫信息和軟件的技術標準 任何可用于保護諸如密碼鍵等敏感物品的特別管制手段（參見 ） 傳遞中媒體的安全管制 信息在物理傳遞過程中（例如，通過郵政服務或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。因此，可采用如下管制手段來保護電腦媒體在兩地傳遞過程中的安全： 使用可靠的傳遞方式或快件服務。經過授權的快件服務公司的清單要經過單位管理人員的批準，并制定流程來檢查快件公司的身份 要有充分 的包裝，以防止傳遞過程中所發(fā)生的物理毀壞；或按照媒體制造商的要求進行包裝 如有必要，采取特別的管制措施來保護敏感信息，使其避免被非法泄漏或修改。可采用的措施包括： 1）使用上鎖的集裝箱； 2）手頭傳遞； 3）防拆包裝（可顯示任何拆封的痕跡）； 4）在特殊情況下，將發(fā)送的物品分開并通過不同的路線傳遞 電子商務的安全性 電子商務可能會涉及電子數據交換、電子郵件和通過因特網之類的公眾網進行網上交易等方式的使用。電子商務很容易受到網絡上的威脅，從而導致欺詐行為、合同糾紛和信息的泄漏或修改。應當采取管制手段防止上列威脅的出 現。進行電子商務時可考慮如下要素： 身份認證：客戶和交易人對彼此的身份的把握程度如何？ 授權：誰有權力來制定價格、交易內容并簽署關鍵的交易文件？貿易伙伴怎么知道這個？ 合同和競標過程：關于關鍵文件的發(fā)送、接收及合同的不可推翻性在其保密性、完整性和可證明性方面有哪些要求？ 定價信息：報價清單的完整性和敏感折扣安排的保密性在多大程度上是可信的？ 訂單交易：訂單、支付和交貨地址詳情及接收確認方面的完整性和保密性如何？ 檢審：如何適當地對客戶提交的支付信息進行檢審？ 結算：什么是防范欺詐的最佳支付方式？ 訂貨：應采 取哪些措施來保護訂單信息的保密性和完整性，并防止上述信息的泄漏或復制？ 責任：出現欺詐性交易時的責任誰來承擔？ 上述的許多考慮都要依法通過網上加密技術的使用得以實現。（參見 條款， 條款和 條款） 貿易伙伴間的電子商務安排應通過記錄在案的合同加以約束，從而使雙方都能對合同的貿易條款作出承諾，包括授權的細節(jié)等。同時，也有必要和信息服務和網絡增值業(yè)務提供商簽訂其它的協(xié)議。 公共交易系統(tǒng)應向客戶公開其交易條款及規(guī)定。 對電子商務主機的攻擊反彈的現象要加以特別注意，并要求實施任何安全隱患處理措施。 電子郵件的安全性 安全風險 電子郵件被用作業(yè)務交流，從而替代了傳統(tǒng)形式的通訊方式如電傳或信件。電子郵件和傳統(tǒng)的商務通訊方式有很多不同，如速度、信函結構、正規(guī)的程度及易受非法攻擊等。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產生的風險。安全方面的風險包括： 信息易受到非法存取、修改或拒收 易出錯誤，如錯誤的地址或錯發(fā)，及服務的總體可靠性和易得性等 通訊媒體的改變對業(yè)務流程的影響，如發(fā)送速度加快的影響，及在人與人之間而非公司和公司之間發(fā)送正式信函的影響等 法律方面的考慮，如潛 在的關于郵件來源、發(fā)送、提交和接收證明的要求 向外界公布本單位員工名單的隱患 對遠程存取電子郵件人員的管制 電子郵件方面的政策 單位應當制定清楚的政策對電子郵件的使用加以規(guī)定，包括： 對電子郵件的攻擊，如病毒或截獲 保護電子郵件的附件 關于何時禁止使用電子郵件的規(guī)定 員工不損害公司利益的責任，如不得發(fā)放詆毀性的電子郵件，不得用電子郵件對他人進行騷擾，不得進行非法買賣等 使用加密技術保護電子信息的保密性和完整性（參見 ） 保留有關訊息用于法律訴訟時的作證 對不能辨明其身份的電子郵件進行檢審的額外管制手 段 電子辦公系統(tǒng)的安全性 制定實施有關政策和綱領，對電子辦公系統(tǒng)的使用和安全風險進行管制。這些提供了機會可以通過運用文件、電腦、移動電腦、移動通訊、郵件、語音郵件、語音通訊、多媒體、郵政服務設施和傳真機等的組合更快地傳播訊息并分享商務信息。 對設備聯(lián)結的安全考慮應當包括如下幾點： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會議，呼叫的保密性、傳真的保存、郵件的打開和分發(fā)等 管理信息共享的政策和適當管制措施，如公司電子布告欄的使用等 如系統(tǒng)不能提供適當級別的保護，需要進行隔離保護的敏感商業(yè)信息的分類 限制存取涉及被選個人的日記信息，如從事敏感項目工作的員工的信息 系統(tǒng)支持業(yè)務應用的適當性，如通訊訂單或授權等 對允許使用系統(tǒng)的員工、合同方或業(yè)務伙伴的分類劃分，及其可存取的位置 對使用者的身份進行識別，例如是單位的員工還是用于別的目的的合同方等 對系統(tǒng)上的信息進行備份保存（參見 和 ） 緊急情況的要求和安排（參見 ） 公共信息系統(tǒng)的安全性 采取措施保護以電子形式發(fā)布的信息的完整性，防止對其進行非法修改而造成的對單位名譽的損害。在公共系統(tǒng)上的信息，如通過因特網可存取的網絡服務器上的 信息，要合乎其所在地區(qū)或所從事交易的地區(qū)的法律的要求。信息在公開前，要經過正式審批過程。 應采取適當的機制對公共系統(tǒng)上的軟件、數據或其它要求高度完整性的信息加以保護，例如采取電子簽字等（參見 ）。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴格管制，以做到： 信息的獲得符合數據保護法律的要求（參見 ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準確、按時的處理 敏感信息在收集和儲存過程中要加以保護 進入發(fā)布系統(tǒng)時，不得進入與其相連的但與本操作無關的其它網絡 其它形態(tài)的信息 交換 制定流程和管制辦法，對通過聲頻、傳真和視頻設備等渠道進行的信息交換進行保護。安全意識或使用設施流程的缺乏會導致信息的泄漏，比如，打移動電話、使用語音答錄機時會被監(jiān)聽，語音郵件系統(tǒng)被非法進入或把傳真錯發(fā)給別人等。 通訊設備出現故障、超載或中斷會導致業(yè)務的中斷及信息的泄漏（參見 和 11 條款）。信息可可能通過非法使用者的進入而遺失（參見第 9 條款）。 因此，需要制定一些政策，規(guī)定員工在使用語音、傳真和視頻通訊設備時應遵守的流程。這主要包括： 提醒員工打電話時采取適當保護措施，如不提敏感信息以免信息被如下人 員監(jiān)聽或截獲： 1）員工周圍的人，特別是使用手持電話的人； 2）通過盜線或其它物理方式接觸電話機或電話線的人，及使用使用手持電話時用掃描接收器進行監(jiān)聽的人；3）在受話人一端的人 提醒員工不得在公開場所、開放的辦公室或墻壁較薄的房間內談論保密話題 不得在語音答錄機上留言，因為這些設備可被非法人員盜聽、或由于撥號錯誤而錄到不正確的地方 提醒員工使用傳真機所可能導致的問題，如 1）傳真機內存信息被非法提?。?2）故意或非故意地對傳真機的程序進行修改導致傳真發(fā)送到別的指定的號碼上； 3）由