【導(dǎo)讀】什么是信息安全？如何確定安全需要？信息處理方法的授權(quán)過程。

　　

【正文】 夠支持組織的安全策略。 應(yīng)當(dāng)在安全程序中、在信息處理設(shè)備的正確使用過程中培訓(xùn)用戶，以降低可能的安全風(fēng)險。 信息安全教育和培訓(xùn) 組織的所有雇員和相關(guān)的第三方用戶都應(yīng)當(dāng)接受適當(dāng)?shù)呐嘤?xùn)并定期向它們傳達(dá)組織更新的策略和程序。這包括安全要求，法律責(zé)任和業(yè)務(wù)管理措施，以及在授權(quán)訪問信息和使用服務(wù)之前所要接受的正確使用信息處理程序的培訓(xùn)，例如：登錄程序、軟件包的使用 等。 對安全事故和故障做出反應(yīng) 目標(biāo)：把安全事故和安全故障的損失降到最低程度，監(jiān)測這些事故并從中吸取教訓(xùn)。 對于影響安全的事故，應(yīng)當(dāng)通過適當(dāng)?shù)墓芾硗緩奖M快報(bào)告。 所有的雇員和簽約人應(yīng)當(dāng)清楚報(bào)告不同類型的事故（安全漏洞、安全威脅、弱點(diǎn)或者故障）的程序，這些事故可能對組織資產(chǎn)的安全構(gòu)成威脅。應(yīng)當(dāng)要求他們把所發(fā)現(xiàn)的或者預(yù)測的任何事故盡快向合同中指定的地點(diǎn)報(bào)告。組織應(yīng)當(dāng)建立一個正式的處罰制度，以處理那些造成安全漏洞的職員。為了恰當(dāng)?shù)貙κ鹿首龀鎏幚?，要在事故發(fā)生之后迅速地收集證據(jù)，這一點(diǎn)非常重要。 報(bào)告安全事故 應(yīng)當(dāng)盡可能快速地通過適當(dāng)管理渠道報(bào)告安全事故。 應(yīng)當(dāng)建立起正式的報(bào)告程序，還應(yīng)當(dāng)建立事故反應(yīng)機(jī)制，以便設(shè)定在接到事故報(bào)告時所應(yīng)當(dāng)采取的措施。應(yīng)當(dāng)讓所有的雇員和簽約人都明白報(bào)告安全事故的程序，還應(yīng)當(dāng)要求他們盡快報(bào)告。應(yīng)當(dāng)實(shí)行適當(dāng)?shù)姆答仚C(jī)制，確保在處理完事故之后能夠知道所報(bào)告事故的處理結(jié)果。可以用這些事故來訓(xùn)練用戶的安全意識（見 ），使他們了解發(fā)生了什么情況、對這種情況怎樣做出反應(yīng)并且將來如何避免這些事故（見 ）。 報(bào)告安全缺陷 應(yīng)當(dāng)要求信息服務(wù)的用戶注意并報(bào)告任何 觀察到或者預(yù)測到的系統(tǒng)或者服務(wù)的弱點(diǎn)、或者是對系統(tǒng)或服務(wù)的威脅。他們應(yīng)當(dāng)盡快向他們的管理層或者服務(wù)供應(yīng)商報(bào)告此類事件。應(yīng)當(dāng)通知用戶，無論在任何情況下，都不要試圖去證實(shí)可疑缺陷。這是出于對他們自身的保護(hù)，因?yàn)闇y試系統(tǒng)缺陷的行為可能被當(dāng)作對系統(tǒng)的潛在所誤用。 報(bào)告軟件故障 應(yīng)當(dāng)建立報(bào)告軟件故障的程序。應(yīng)當(dāng)考慮采取以下的措施： a） 應(yīng)當(dāng)記錄出現(xiàn)問題的特征和出現(xiàn)在屏幕上的任何信息； b） 如果可能的話，應(yīng)當(dāng)將計(jì)算機(jī)隔離并停止使用。應(yīng)當(dāng)立即變更所用的連接。如果要檢測機(jī)器，還應(yīng)當(dāng)在重新啟動之前斷開與組織中其它網(wǎng)絡(luò)的連接 。其磁盤不應(yīng)當(dāng)用在其它計(jì)算機(jī)上。 c） 應(yīng)當(dāng)立即把該事件向信息安全管理人員報(bào)告。 除非得到授權(quán)，否則用戶不能試圖刪除可疑軟件。應(yīng)當(dāng)由受過適當(dāng)訓(xùn)練的有經(jīng)驗(yàn)的人員做恢復(fù)工作。 吸取事故教訓(xùn) 應(yīng)當(dāng)有相應(yīng)的機(jī)制來量化并監(jiān)測事故和故障的類型、大小和造成的損失。這些信息可以用來確認(rèn)再次發(fā)生的事故或者故障及其造成的沖擊。這些信息顯示出對強(qiáng)化和附加管理措施的需求程度。可以用這些管理措施來限制未來發(fā)生事故的頻率、事故造成的損失和破壞，或者將其放入安全策略復(fù)查過程 (見 )。 懲處程序 對那些違反組織安 全管理政策和程序的雇員（見 , 在），應(yīng)當(dāng)有一個正式的懲戒手段。這樣的管理程序可以作為對那些易于忽視安全程序人員的警示。另外，應(yīng)當(dāng)確保對懷疑犯下嚴(yán)重或者持續(xù)安全錯誤的雇員做出正確的、公平的處理。 7 物理的和環(huán)境的安全 安全區(qū)域 目標(biāo)：防止未經(jīng)授權(quán)的訪問，預(yù)防對業(yè)務(wù)基礎(chǔ)和業(yè)務(wù)信息的破壞以及干擾。 應(yīng)當(dāng)把關(guān)鍵的和敏感的業(yè)務(wù)信息處理設(shè)備放在安全區(qū)域，受到確定的安全范圍的保護(hù)，并有適當(dāng)?shù)陌踩琳虾徒尤肟刂?。?yīng)當(dāng)對他們從實(shí)體上加以保護(hù)，以防未經(jīng)授權(quán)的訪問并免于 干擾和破壞。 所提供的保護(hù)應(yīng)當(dāng)與確認(rèn)的風(fēng)險向適應(yīng)。推薦使用清楚桌面和清晰屏幕的策略，以減少未經(jīng)授權(quán)情況下訪問文件、存儲介質(zhì)和信息處理設(shè)備或者它們造成破壞的風(fēng)險。 物理安全界線 通過在業(yè)務(wù)基礎(chǔ)和信息處理設(shè)備的周圍設(shè)立多個實(shí)體的安全屏障，可以實(shí)現(xiàn)對它們實(shí)體上的保護(hù)。每一個安全屏障建立了一個安全界線來保護(hù)含有信息處理設(shè)備的區(qū)域（見 ）。安全界線是指這樣以下東西：它們建立了某種屏障，例如墻、要刷卡出入的大門或者人工接待前臺。每種屏障的位置和保護(hù)力度取決于風(fēng)險評估的結(jié)果。 適當(dāng)?shù)臅r候，應(yīng)當(dāng)考慮 并執(zhí)行以下的原則和管理措施： a） 應(yīng)當(dāng)清楚定義安全范圍； b） 含有信息處理設(shè)備的建筑物或者場所的周邊應(yīng)當(dāng)受到妥善保護(hù)（例如，在該安全范圍和易于被闖入的區(qū)域之間不應(yīng)當(dāng)有明顯缺口）。該場所的外墻應(yīng)當(dāng)建筑得十分堅(jiān)固，所有入口都應(yīng)當(dāng)加以適當(dāng)保護(hù)以防未經(jīng)授權(quán)的訪問，例如采用適當(dāng)管理機(jī)制、障礙物、警報(bào)器、鎖等等。 c） 應(yīng)當(dāng)有人工值守的接待區(qū)域或者其它措施控制對這些地點(diǎn)或者建筑的訪問。應(yīng)當(dāng)把對這些地點(diǎn)或者建筑的訪問限制在經(jīng)過授權(quán)的人員之內(nèi)。 d） 如果需要的話，應(yīng)當(dāng)把物理保護(hù)擴(kuò)展到從地板到天花板的范圍，以便防止未經(jīng)授權(quán)的訪問和環(huán)境污染，例 如由火災(zāi)或者水災(zāi)引起的破壞。 e） 安全范圍以內(nèi)的所有門窗入口都應(yīng)當(dāng)設(shè)立警報(bào)器并把它們關(guān)嚴(yán)。 物理進(jìn)入控制 應(yīng)當(dāng)通過適當(dāng)進(jìn)入管理措施保護(hù)安全區(qū)域，確保只有得到授權(quán)的用戶才能訪問。應(yīng)當(dāng)考慮以下的管理措施： a） 應(yīng)當(dāng)監(jiān)視進(jìn)入安全區(qū)域的訪問者或者將其帶離安全區(qū)域，而且要把他們進(jìn)入和離開的時間記錄在案。只應(yīng)當(dāng)授權(quán)他們進(jìn)行出于特殊的、得到批準(zhǔn)的目的的訪問。還應(yīng)當(dāng)向他們傳達(dá)該安全區(qū)域的安全要求和緊急處理程序。 b） 應(yīng)當(dāng)控制對敏感信息和信息處理程序的訪問，并只將其限制在得到授權(quán)的個人。應(yīng)當(dāng)使用認(rèn)證管理，例如： swipe卡和 個人身份號碼，對所有訪問進(jìn)行授權(quán)和驗(yàn)證。應(yīng)當(dāng)安全地保持對所有訪問的審查跟蹤。 c） 應(yīng)當(dāng)要求所有人員佩戴某種形式的可見標(biāo)識，并鼓勵他們盤查沒有護(hù)送人員的陌生人和任何沒有佩戴明顯標(biāo)識的人員。 d） 應(yīng)當(dāng)定期檢查和更新對安全區(qū)域的訪問權(quán)限。 保護(hù)辦公室、房間和設(shè)施 安全區(qū)域可能是一個鎖著的辦公室或者在物理保護(hù)范圍內(nèi)的多個房間，這些房間可能鎖著或者其中有上鎖的櫥柜或保險箱。安全區(qū)域的選擇和設(shè)計(jì)應(yīng)當(dāng)考慮到防止可能發(fā)生的火災(zāi)、水災(zāi)、爆炸、民眾動亂和其它形式的自然或人為災(zāi)難。還應(yīng)當(dāng)考慮到相關(guān)的健康和安全規(guī)范和標(biāo)準(zhǔn)。 應(yīng)當(dāng)考慮任何鄰近房屋的所帶來的安全風(fēng)險，比如其它地方的滲水。 應(yīng)當(dāng)考慮以下管理措施： a） 關(guān)鍵設(shè)備應(yīng)當(dāng)安置在避免公眾訪問的地方； b） 建筑物應(yīng)當(dāng)那么不顯眼，只有最低限度地指出其用途。沒有明顯標(biāo)記，建筑內(nèi)外也沒有明顯地指出里面正在進(jìn)行信息處理活動。 c） 支持功能和設(shè)備例如復(fù)印機(jī)、傳真機(jī)應(yīng)當(dāng)適當(dāng)?shù)胤胖迷诎踩珔^(qū)域內(nèi)以避免有人要求使用，因?yàn)槟菢訒p壞信息。 d） 無人值守時門窗應(yīng)當(dāng)上鎖，對門窗應(yīng)當(dāng)進(jìn)行外部保護(hù)，尤其是對靠近地面的門窗。 e） 按照專業(yè)標(biāo)準(zhǔn)安裝上適當(dāng)?shù)娜肭终邆蓽y系統(tǒng)并進(jìn)行定期測試， 該系統(tǒng)應(yīng)當(dāng)保護(hù)所有可以通過的門窗入口。應(yīng)當(dāng) 全時監(jiān)測沒有使用的區(qū)域。還應(yīng)當(dāng)提供對其它地區(qū)的保護(hù)，例如計(jì)算機(jī)房或者通訊設(shè)備間。 f） 應(yīng)當(dāng)把組織管理的信息處理設(shè)施與第三方管理的其它設(shè)備從實(shí)體上隔離開。 g） 不應(yīng)當(dāng)讓公眾很容易得知曉能夠確定敏感信息處理設(shè)備位置的電話本和內(nèi)部通訊錄。 h） 應(yīng)當(dāng)把危險或者易燃材料安全地存放在距安全區(qū)域有一定距離的地方。除非有相應(yīng)的要求，否則不應(yīng)當(dāng)把大量儲備資料比如文件紙張存放在安全區(qū)域內(nèi)。 i） 應(yīng)當(dāng)把回撤的設(shè)備和備份存儲介質(zhì)放置在一定安全距離以外，以免主要基地發(fā)生的災(zāi)難性事故對其造成破壞。 在安全區(qū)域工作 可能需要額外的管理措施和 指導(dǎo)原則來加強(qiáng)安全區(qū)域的安全性。這些措施包括對在安全區(qū)域工作的人員和第三方的管理，還包括對在該地區(qū)發(fā)生的第三方活動的管理。應(yīng)當(dāng)考慮以下管理措施。 a) 工作人員只應(yīng)當(dāng)知道需要他們了解的有關(guān)安全區(qū)域的存在或者其中活動的信息。 b) 出于安全原因和為了防止給惡意活動以可乘之機(jī)，應(yīng)當(dāng)避免在安全區(qū)域內(nèi)進(jìn)行不是監(jiān)督的工作。 c) 應(yīng)當(dāng)對空的安全區(qū)域加以物理上的保護(hù)并進(jìn)行定期檢查。 d) 只是在需要的時候，才授予第三方支持服務(wù)人員受嚴(yán)格限制的訪問安全區(qū)域和敏感信息處理設(shè)備的權(quán)利。這些訪問應(yīng)當(dāng)?shù)玫绞跈?quán)并對其進(jìn)行監(jiān)測。安全界線內(nèi)部不同安全要求的區(qū) 域之間可能需要建立附加屏障和界線以便控制實(shí)體接觸。 e) 除非得到授權(quán)，否則不允許使用攝影、錄像、錄音或其它記錄設(shè)備。 隔離的送貨和裝載區(qū)域 應(yīng)當(dāng)對交貨和裝貨區(qū)域進(jìn)行管理，如果可能的話，要把它們與信息處理設(shè)備隔離開以避免未經(jīng)授權(quán)的接觸。應(yīng)當(dāng)通過風(fēng)險評估來決定此種區(qū)域的安全要求。應(yīng)當(dāng)考慮以下的安全措施。 a) 從建筑物外面訪問一個物資儲存區(qū)域時，應(yīng)當(dāng)將其限制在經(jīng)過確認(rèn)和授權(quán)的人員之內(nèi)。 b) 該物資存儲區(qū)域的設(shè)計(jì)應(yīng)當(dāng)使得送貨人員能夠在不必進(jìn)入建筑物其它部分的情況下卸下供應(yīng)物資。 c) 當(dāng)物資存儲區(qū)域內(nèi)部通道打開的時候，應(yīng) 當(dāng)保護(hù)外部通道。 d) 在把送來的物資從存放地點(diǎn)運(yùn)送到使用場所之前，應(yīng)當(dāng)對其進(jìn)行檢查，看是否有潛在風(fēng)險（見）。 e) 如果合適的話，應(yīng)當(dāng)在物資存儲區(qū)域的入口對送來的物資進(jìn)行登記。 設(shè)備安全 目標(biāo)：防止資產(chǎn)流失、被損壞或者破壞，防止對業(yè)務(wù)活動的破壞。 應(yīng)當(dāng)對設(shè)備加以實(shí)體上的保護(hù)，使其免于安全風(fēng)險和環(huán)境災(zāi)難。 為減少對數(shù)據(jù)未經(jīng)授權(quán)訪問所造成的危險并保護(hù)其免受損失或破壞，設(shè)備保護(hù)（包括所用的外部設(shè)備）是十分必要的。這還應(yīng)當(dāng)包括設(shè)備的安置和處理。為防止未經(jīng)授權(quán)的訪問、保護(hù)其免受災(zāi)難性事故的毀壞和保護(hù)輔助設(shè) 備例如電力供應(yīng)設(shè)備和電纜基本架構(gòu)，可能要采用一些專門管理措施。 設(shè)備定位和保護(hù) 應(yīng)當(dāng)妥善安置或保護(hù)設(shè)備，以降低環(huán)境威脅和災(zāi)難的風(fēng)險、減少未經(jīng)授權(quán)的訪問的機(jī)會。應(yīng)考慮以下管理措施： a） 妥善安置設(shè)備，把對工作區(qū)不必要的訪問降低到最低限度。 b） 處理敏感數(shù)據(jù)的信息處理和存儲設(shè)備應(yīng)當(dāng)妥善放置以減少其使用期間忽視對其監(jiān)督的風(fēng)險。 c） 應(yīng)當(dāng)把需要特殊保護(hù)的物品隔離開，以降低所用保護(hù)等級。 d） 應(yīng)當(dāng)采取措施降低潛在風(fēng)險，包括： a) 盜竊； b) 火災(zāi)； c) 爆炸 d) 吸煙； e) 水災(zāi)（或者供水終端） f) 塵土； g) 振動； h) 化學(xué)效應(yīng)； i) 電力供應(yīng)中斷； j) 電磁輻射； e） 組織應(yīng)當(dāng)考慮對在信息處理設(shè)施附近就餐、飲水和吸煙的政策規(guī)定。 f） 應(yīng)當(dāng)監(jiān)測那些可能對信息處理設(shè)備有負(fù)面影響的環(huán)境條件； g） 應(yīng)當(dāng)為工業(yè)化環(huán)境中的設(shè)備而采用專門的保護(hù)方法，比如鍵盤保護(hù)膜。 h） 應(yīng)當(dāng)考慮到在房屋附近發(fā)生災(zāi)難所產(chǎn)生的影響，例如鄰近建筑物的火災(zāi)、屋頂或者地表的滲水或者街道上發(fā)生的爆炸。 電力供應(yīng) 應(yīng)當(dāng)對設(shè)備加以保護(hù)使其免于電力中斷或者其它電力異常的影響。應(yīng)當(dāng)提供符合設(shè)備制造商要求的適宜電力供應(yīng)。 為實(shí)現(xiàn)電力供應(yīng)的連續(xù)性，所應(yīng)采取的措施包括： a） 有多路供電途徑以避免單點(diǎn)電力供應(yīng)發(fā)生故障 的危險； b） 不間斷電源（ UPS）； c） 備用發(fā)電機(jī)。 對于輔助關(guān)鍵業(yè)務(wù)運(yùn)營的設(shè)備推薦使用不間斷電源（ UPS）以支持有序的斷電或者繼續(xù)運(yùn)行。 突發(fā)事件處理計(jì)劃應(yīng)當(dāng)包括在不間斷電源發(fā)生故障時所要采取的措施。 應(yīng)當(dāng)定期檢查 UPS設(shè)備，確保其有足夠能力并按照制造商的建議對其進(jìn)行測試。 如果長期停電的情況下還有繼續(xù)處理信息，就需要考慮備用發(fā)電機(jī)。發(fā)電機(jī)安裝上以后，應(yīng)當(dāng)按照制造商的指導(dǎo)對其做定期檢測。應(yīng)當(dāng)有充足的燃料可供利用，以確保長期停電時發(fā)電機(jī)仍然能夠運(yùn)行。 另外，應(yīng)當(dāng)把應(yīng)急電力開關(guān)安放在設(shè)備間的緊急出口處，以便于在 發(fā)生緊急事故時迅速關(guān)掉電源開關(guān)。主要電力系統(tǒng)出現(xiàn)故障時應(yīng)當(dāng)提供應(yīng)急照明。應(yīng)當(dāng)對所有建筑物提供照明保護(hù)，并且應(yīng)當(dāng)為所有外部通信線路安裝照明保護(hù)濾光器。 電纜安全 應(yīng)當(dāng)保護(hù)傳輸數(shù)據(jù)和輔助信息服務(wù)的電纜和通訊線路，使其免于截取或者破壞。應(yīng)當(dāng)考慮采取以下的管理措施。 a) 應(yīng)當(dāng)把連接到信息處理設(shè)備的電纜和通訊線路埋入地下。在可能的地方，還要給予足夠的選擇性保護(hù)； b) 應(yīng)當(dāng)保護(hù)網(wǎng)絡(luò)連線，防止被未經(jīng)授權(quán)地截聽或者被毀壞。例如可以使用專門管線或者避免線路通過公共地帶。 c) 應(yīng)當(dāng)把供電線路與通訊線路隔離開，以防相互干擾； d) 對 于敏感或關(guān)鍵系統(tǒng)，還應(yīng)當(dāng)考慮采取進(jìn)一步的管理措施，包括： a) 在觀測點(diǎn)和終點(diǎn)安裝包皮的管線并將房間或者箱子上鎖； b) 使用替代的路徑選擇或者信息傳送媒介； c) 使用光纖； d) 開始清除那些連接到線路上的未經(jīng)授權(quán)的設(shè)備。 設(shè)備維護(hù) 設(shè)備應(yīng)當(dāng)?shù)玫秸_的維護(hù)，以確保其持續(xù)有效性和完整性。應(yīng)當(dāng)考慮以下管理措施： a） 應(yīng)當(dāng)按照設(shè)備制造商推薦的維護(hù)間隔和規(guī)定對設(shè)備進(jìn)行維護(hù)； b） 只有得到授權(quán)的維護(hù)人員才能夠?qū)υO(shè)備進(jìn)行維修和保養(yǎng)； c） 應(yīng)當(dāng)把所有可疑故障和實(shí)際發(fā)生的事故記錄下來，還應(yīng)當(dāng)記錄下所有的預(yù)防性措施和矯正維護(hù)； d） 把設(shè)備運(yùn)到工作地 點(diǎn)以外的地方進(jìn)行維修的時候，應(yīng)當(dāng)采取適當(dāng)措施（又見 , 其中有關(guān)于刪除、擦寫和覆蓋數(shù)據(jù)的內(nèi)容）。應(yīng)當(dāng)遵守所有保險政策的強(qiáng)制要求。 外部設(shè)備的安全 無論所有權(quán)歸誰，任何在組織外部使用的信息處理設(shè)備都應(yīng)當(dāng)?shù)玫焦芾韺拥氖跈?quán)。提供的安全保護(hù)措施應(yīng)當(dāng)?shù)韧c組織內(nèi)部用