【導(dǎo)讀】移動(dòng)通信站，電力電纜金屬護(hù)套或鋼管兩端應(yīng)就近可靠接地。避雷線的25°角保護(hù)范圍內(nèi)，避雷線應(yīng)每桿作一次接地，如圖所示。為確保安全，宜在避雷線終端桿的前一桿上，增裝一組氧化鋅避雷器。若已建站的架空高壓電力線。四桿上各增設(shè)一組氧化鋅避雷器，同時(shí)在第三桿或第四桿增設(shè)一組高壓保險(xiǎn)絲。接地體宜設(shè)計(jì)成輻射形或環(huán)形。出入基站的所有電力線均應(yīng)在出口處加裝避。１、移動(dòng)通信基站天線在接閃器的保護(hù)范圍內(nèi)，接閃器應(yīng)設(shè)置專用雷電流引下線，材料宜采用4×40. 特征選用相應(yīng)的信號(hào)防雷器加以保護(hù)。線及電源線均應(yīng)在機(jī)房入口處分別對地加裝避雷器，零線應(yīng)直接接地。礎(chǔ)有地樁時(shí)，應(yīng)將地樁內(nèi)2根以上主鋼筋與機(jī)房地網(wǎng)焊接連通。

　　

【正文】 動(dòng)性進(jìn)行明顯地支持，而且這種支 持有一個(gè)清晰的方向。該論壇應(yīng)當(dāng)通過適當(dāng)?shù)某兄Z責(zé)任和足夠的資源配置來提高組織內(nèi)部的安全性。此論壇可以是現(xiàn)有管理機(jī)構(gòu)的一部分。在通常情況下，這樣的論壇承擔(dān)以下責(zé)任： a） 檢查并批準(zhǔn)信息安全策略和總的責(zé)任； b） 當(dāng)信息資產(chǎn)暴露在大多數(shù)威脅之下時(shí)，檢測所發(fā)生的重要變動(dòng)； c） 復(fù)查并監(jiān)測信息安全事故； d） 支持重要的創(chuàng)新，以加強(qiáng)信息安全。 應(yīng)當(dāng)有一個(gè)經(jīng)理負(fù)責(zé)所有相關(guān)活動(dòng)的安全。 信息安全協(xié)作 在一個(gè)大型組織中，一個(gè)管理層代表們的多功能論壇對于協(xié)調(diào)處理信息安全策略的執(zhí)行是十分必要的。這些管理層的 代表都來自于組織的相關(guān)部門。一般而言，這樣的論壇： a） 批準(zhǔn)在整個(gè)組織內(nèi)安全管理的特殊角色和責(zé)任。 b） 批準(zhǔn)信息安全的特殊方法和程序，例如：風(fēng)險(xiǎn)評(píng)估，安全分級(jí)系統(tǒng)； c） 批準(zhǔn)并支持整個(gè)組織范圍內(nèi)的信息安全能動(dòng)性，例如安全意識(shí)計(jì)劃。 d） 確保安全性是信息規(guī)劃過程的一部分。 e） 評(píng)價(jià)適當(dāng)性并協(xié)調(diào)對新系統(tǒng)或者服務(wù)的特殊安全管理措施的實(shí)施； f） 檢查信息安全事故； g） 提高在整個(gè)組織內(nèi)對信息安全業(yè)務(wù)支持的可見性； 信息安全責(zé)任的分配 應(yīng)當(dāng)清楚地定義保護(hù)個(gè)人資產(chǎn)的責(zé)任和執(zhí)行特殊安全程序的 責(zé)任。 信息安全策略（見第 3 句）應(yīng)當(dāng)提供在組織中確定安全角色和分配安全責(zé)任的一般性指導(dǎo)。如果需要的話，這些指導(dǎo)還應(yīng)當(dāng)針對特殊的地點(diǎn)、系統(tǒng)或者范圍補(bǔ)充上更為詳細(xì)的指導(dǎo)。應(yīng)當(dāng)清晰界定對個(gè)人生命財(cái)產(chǎn)和信息資產(chǎn)所承擔(dān)的局部責(zé)任，也應(yīng)當(dāng)明確定義對安全程序比如業(yè)務(wù)連續(xù)性規(guī)劃所承擔(dān)的局部責(zé)任。 很多的組織會(huì)指定一個(gè)信息安全負(fù)責(zé)人，由其總體負(fù)責(zé)信息安全的發(fā)展和實(shí)現(xiàn)并管理措施的確定。 然而，資源配置和實(shí)現(xiàn)管理措施的責(zé)任常常留給單獨(dú)的管理者。通常的做法是為每項(xiàng)信息資產(chǎn)指派一個(gè)所有權(quán)人來負(fù)責(zé)其日常安全。 信息資產(chǎn)的所有權(quán) 人可以把他們的安全責(zé)任委派給單獨(dú)的管理者或者服務(wù)提供商。盡管如此，所有權(quán)人仍然對此資產(chǎn)的安全負(fù)有最終的責(zé)任，并且所有權(quán)人應(yīng)當(dāng)能夠確定任何錯(cuò)誤分配責(zé)任的情況。 要清晰地闡明每一個(gè)管理者所負(fù)責(zé)的領(lǐng)域，這一點(diǎn)非常重要。特別是在下述情況發(fā)生時(shí)： a） 對于不同種類資產(chǎn)的安全程序和與各自系統(tǒng)相關(guān)的安全程序，都應(yīng)當(dāng)進(jìn)行識(shí)別并清楚地定義。 b） 負(fù)責(zé)每項(xiàng)資產(chǎn)或者安全過程的管理者都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)，而且應(yīng)當(dāng)把此項(xiàng)責(zé)任的細(xì)節(jié)記錄在案。 c） 應(yīng)當(dāng)清楚地定義并記錄授權(quán)等級(jí)； 信息處理方法的授權(quán)過程。 應(yīng)當(dāng)建立對新的 信息處理方法的管理授權(quán)過程。 應(yīng)當(dāng)考慮以下的措施： a） 新的信息處理方法應(yīng)當(dāng)有相應(yīng)的客戶授權(quán)，贊同其目的和用途。還應(yīng)當(dāng)獲得負(fù)責(zé)維護(hù)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的管理人員的同意，以確保滿足所有相關(guān)策略和需要。 b） 在需要的時(shí)候，應(yīng)當(dāng)檢測硬件和軟件以確保它們和系統(tǒng)的其它組成部分互相兼容。 注意：某些連接可能需要定型。 c） 對處理業(yè)務(wù)信息的個(gè)人信息處理程序的使用和任何必需的控制手段都應(yīng)當(dāng)經(jīng)過授權(quán)。 d） 在工作場所中使用個(gè)人信息處理程序可能導(dǎo)致新的危險(xiǎn)，因此應(yīng)當(dāng)進(jìn)行評(píng)估和授權(quán)。 這些管理措施在網(wǎng)絡(luò)化的環(huán)境中尤其 重要。 專家信息安全建議 許多組織可能都需要專家安全建議。理想的狀況是，一位有經(jīng)驗(yàn)的內(nèi)部信息安全專家可以提供這些建議。并不是所有的組織都愿意雇用一個(gè)咨詢專家。這種情況下，建議確定一個(gè)專門人員來協(xié)調(diào)內(nèi)部安全知識(shí)和安全經(jīng)驗(yàn)，以確保處理問題時(shí)的連續(xù)性并協(xié)助做出安全決策。他們還應(yīng)當(dāng)能夠找到適當(dāng)?shù)耐獠孔稍儗＜襾硖峁┏鏊麄兘?jīng)驗(yàn)范圍的專業(yè)建議。 信息安全建議者或者具有相同作用的接觸點(diǎn)應(yīng)當(dāng)擔(dān)負(fù)就信息安全的所有方面提供建議的任務(wù)。他們要么自己提出建議，要么利用來自外部的建議。他們對安全威脅所做評(píng)估的質(zhì)量 和對管理措施的意見決定了該組織的信息安全的效果。為了達(dá)到最大的效用、產(chǎn)生最好影響，應(yīng)當(dāng)允許他們直接接觸整個(gè)組織的管理。 應(yīng)當(dāng)在預(yù)測到可能的安全事故或者漏洞的最早階段就向信息安全建議者或者具有相同作用的接觸點(diǎn)咨詢，以便獲得專家指導(dǎo)原則和調(diào)查資源。盡管正常情況下大多數(shù)內(nèi)部安全調(diào)查要按照管理措施執(zhí)行，仍然可以召集信息安全咨詢專家來提出建議、主持或指導(dǎo)此類調(diào)查。 組織間的合作 應(yīng)當(dāng)保持與執(zhí)法部門、管理機(jī)構(gòu)、信息服務(wù)提供商和電信運(yùn)營商的適當(dāng)聯(lián)絡(luò)，以確保在發(fā)生安全事故時(shí)能夠及時(shí)采取適當(dāng)措施并能夠及時(shí)通知 。類似的，也應(yīng)當(dāng)考慮到與安全組成員和行業(yè)協(xié)會(huì)進(jìn)行合作。 安全信息的交換應(yīng)當(dāng)限制在確保組織的保密信息不會(huì)發(fā)送給未經(jīng)授權(quán)的個(gè)人。 信息安全的獨(dú)立檢查 信息安全策略文獻(xiàn)（參見 ）宣布了信息安全策略和責(zé)任。應(yīng)當(dāng)獨(dú)立地檢查其執(zhí)行情況，以確保組織的實(shí)踐恰當(dāng)?shù)胤从沉诉@一策略，而且該策略是可行的和有效的。（見） 可以由內(nèi)部的審查功能執(zhí)行這樣的檢查。此外，獨(dú)立的經(jīng)理或者在此種檢測方面有特殊專長的第三方也可以做這種檢查。這些候選人要具有檢查所必備的技能和經(jīng)驗(yàn)。 第三方訪問的安全 目標(biāo)：保護(hù) 組織信息處理程序的安全和被第三方訪問的信息資產(chǎn)的安全。 應(yīng)當(dāng)控制第三方對組織信息處理程序的訪問。 如果有這樣的第三方訪問的業(yè)務(wù)需要，應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定安全隱患和管理對策。所要采取的管理措施應(yīng)當(dāng)?shù)玫降谌降耐?，并在與之簽訂的合同中加以定義。 第三方訪問還可能包括其它的參與者。授予第三方訪問權(quán)限的協(xié)議應(yīng)當(dāng)包括準(zhǔn)許指定其它具備資格的參與者和相應(yīng)訪問的條件。 這一標(biāo)準(zhǔn)可以作為此類合同的基礎(chǔ)，并且也可以作為考慮外購信息處理的基本原則。 判斷第三方訪問的風(fēng)險(xiǎn) 訪問的類型 允許第三方使用的訪問類型非常重要。例如：通過網(wǎng)絡(luò)連接進(jìn)行訪問的風(fēng)險(xiǎn)不同于物理訪問的風(fēng)險(xiǎn)。應(yīng)當(dāng)考慮的訪問類型包括： a） 物理訪問，例如：訪問辦公室、計(jì)算機(jī)機(jī)房和檔案柜。 b） 邏輯訪問，例如：訪問組織的數(shù)據(jù)庫和信息系統(tǒng)。 訪問的原因 可能出于多種原因授予第三方訪問權(quán)限。例如，向組織提供訪問的第三方并不在現(xiàn)場，但是可以給以物理訪問和邏輯訪問的權(quán)利，比如： a) 硬件和軟件支持人員，他們需要訪問系統(tǒng)層次或者低層次的應(yīng)用程序功能。 b) 貿(mào)易合作伙伴或者聯(lián)合經(jīng)營方，他們可能交換信息、訪問信息 系統(tǒng)或者共享數(shù)據(jù)庫。 如果缺乏足夠的安全管理，第三方訪問信息時(shí)就會(huì)將其置于危險(xiǎn)的境地。若是有與第三方地點(diǎn)建立聯(lián)絡(luò)的業(yè)務(wù)需要，就要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定任何特殊管理措施的要求。應(yīng)當(dāng)考慮到所需的訪問類型、信息的價(jià)值、第三方采取的管理措施和這種訪問對組織信息的安全所造成的影響。 現(xiàn)場承包方 第三方可能按照合同規(guī)定在現(xiàn)場駐扎一段時(shí)間，這會(huì)增加信息系統(tǒng)安全隱患。現(xiàn)場承包方的例子包括： a） 硬件和軟件維護(hù)和支持人員。 b） 保潔、看護(hù)、安全警衛(wèi)和其它外包的服務(wù)項(xiàng)目承包方。 c） 學(xué)生安置和其它臨 時(shí)的短期安排； d） 咨詢?nèi)藛T； 究竟要采取什么措施來管理第三方對信息處理設(shè)備的訪問，理解這一點(diǎn)十分重要。一般說來，所有的由于第三方訪問或者內(nèi)部管理措施導(dǎo)致的安全要求，都應(yīng)當(dāng)反映在與第三方簽訂的合同中（又見 ）。例如，如果對信息的保密性有特殊要求，就應(yīng)采用不泄露信息協(xié)議（見 ）。 在采取了適當(dāng)?shù)墓芾泶胧┖秃炇鹆硕x有連接或者訪問相關(guān)條款的合同之前，不應(yīng)當(dāng)向第三方提供對信息和信息處理設(shè)備的訪問。 第三方合同的安全要求 涉及第三方訪問組織信息和信息處理設(shè)備的有關(guān)安排應(yīng)當(dāng)建立在一份 正式的合同基礎(chǔ)上，這一合同應(yīng)當(dāng)包括或者涉及所有的安全要求，以求符合組織的安全策略和安全標(biāo)準(zhǔn)。該合同應(yīng)當(dāng)保證在組織和第三方之間沒有誤解。組織應(yīng)當(dāng)對供應(yīng)商做滿意的補(bǔ)償。應(yīng)當(dāng)考慮把以下各項(xiàng)條款寫入合同中： a） 總的信息管理策略 b） 資產(chǎn)保護(hù)，包括： 1. 保護(hù)組織資產(chǎn)的措施方法，包括對信息和軟件的保護(hù)； 2. 確定資產(chǎn)是否受到什么損害的方法手段，比如確定數(shù)據(jù)是否丟失或者被修改。 3. 在合同期結(jié)束或者合同期中某個(gè)協(xié)商同意的時(shí)間，確保信息或者資產(chǎn)被返回或者銷毀。 4. 完整性和有效性； 5. 對于信息復(fù)制和信息 披露的限制； c） 對所要采用的每項(xiàng)訪問的一個(gè)詳細(xì)描述； d） 服務(wù)的目標(biāo)水平和無法接受的服務(wù)水平； e） 適當(dāng)?shù)娜藛T調(diào)任的規(guī)定； f） 合同各方各自所應(yīng)承擔(dān)的義務(wù)； g） 對相關(guān)法律問題所承擔(dān)的責(zé)任，例如，數(shù)據(jù)保護(hù)立法。特別是如果該合同涉及與其它國家中組織的合作，就要考慮不同國家法律體系（又見 ） 。 h） 知識(shí)產(chǎn)權(quán)（ IPR）和產(chǎn)權(quán)責(zé)任（見 ）以及對所有合作項(xiàng)目的保護(hù)（見 ）。 i） 服務(wù)控制協(xié)議，包括 1. 許可的訪問方法、對唯一標(biāo)識(shí)，比如用戶 ID 和密碼，的管理和使用； 2. 對用 戶訪問和特權(quán)的授權(quán)程序； 3. 要求保留一份列表，記錄得到授權(quán)可以使用現(xiàn)有服務(wù)的個(gè)人、他們的權(quán)限與這種使用的關(guān)系。 j) 定義可以驗(yàn)證的業(yè)績標(biāo)準(zhǔn)，以及對它們的給監(jiān)測和報(bào)告； k) 監(jiān)測和廢除用戶活動(dòng)的權(quán)力 l)審查合同責(zé)任的權(quán)利，或者由第三方執(zhí)行審查； m) 為問題解決建立一個(gè)擴(kuò)大程序；在適當(dāng)?shù)牡胤揭矐?yīng)當(dāng)考慮對偶然性事件的處置。 n) 有關(guān)硬件和軟件的安裝與維護(hù)的責(zé)任； o)清晰的報(bào)告結(jié)構(gòu)和協(xié)商一致的報(bào)告格式； p) 一個(gè)清晰的和專門化的變更管理程序； q) 任何要求的物理保護(hù)措施和機(jī)制，確保那些管理措施得 到落實(shí)； r)對客戶和管理員的培訓(xùn)，包括方式方法、處理程序和安全性； s) 確保能夠防范惡意軟件的管理措施（見 ） 。 t）有關(guān)安全事故和安全漏洞的報(bào)告、通知和調(diào)查的安排； u）分包合同第三方的卷入； 外包 目標(biāo)：當(dāng)信息處理外包給另外一個(gè)組織的時(shí)候，維護(hù)信息的安全性； 在各方簽訂的合同中，外包安排應(yīng)當(dāng)致力于解決信息系統(tǒng)、網(wǎng)絡(luò)和 /或者桌面環(huán)境的風(fēng)險(xiǎn)、安全管理和處置程序。 外包合同的安全要求 當(dāng)組織將其全部的或者部分信息系統(tǒng)、網(wǎng)絡(luò)和 /或者桌面環(huán)境的管理控制承包給其它單位時(shí)，應(yīng)當(dāng) 在各方同意的合同中提及相應(yīng)的安全要求。 例如，此種合同應(yīng)當(dāng)包括： a） 如何滿足法律方面的要求，例如數(shù)據(jù)保護(hù)法規(guī)； b） 采取什么樣的措施才能夠確保外包合同各個(gè)簽約方包括分包合同簽約方都清楚他們的安全責(zé)任； c） 怎樣維護(hù)和測試組織的業(yè)務(wù)資產(chǎn)的完整性和保密性； d） 對授權(quán)的用戶采取什么物理和邏輯的管理措施來限制和約束對組織的敏感業(yè)務(wù)信息的訪問； e） 如何在發(fā)生災(zāi)難性事故時(shí)維持服務(wù)的有效性； f） 為外包的設(shè)備提供什么層次的物理安全保護(hù)； g） 審查的權(quán)力； 還應(yīng)當(dāng)考慮把 中給出的條款作為此項(xiàng) 合同中的一部分。該合同應(yīng)當(dāng)允許在即將得到雙方同樣的安全管理計(jì)劃中擴(kuò)展安全要求和安全管理程序。 盡管外包合同可能引起一些復(fù)雜的安全問題，此項(xiàng)操作規(guī)范中的管理措施能夠作為一個(gè)起點(diǎn)，以獲得對安全管理計(jì)劃的架構(gòu)和內(nèi)容的認(rèn)可。 5 資產(chǎn)分類和管理 資產(chǎn)的可計(jì)量性 目標(biāo)：為組織的資產(chǎn)提供適當(dāng)?shù)谋Ｗo(hù)。 應(yīng)當(dāng)考慮到所有主要的信息資產(chǎn)，并為它們指定所有權(quán)人。 資產(chǎn)的可計(jì)量性可以幫助確保有適當(dāng)?shù)木S護(hù)措施。應(yīng)當(dāng)為所有主要財(cái)產(chǎn)確定所有權(quán)人，并且為維護(hù)適當(dāng)?shù)墓芾泶胧┒峙湄?zé)任?？梢晕蓤?zhí)行這些管理計(jì)劃的責(zé)任。被提名的資產(chǎn)所 有者應(yīng)當(dāng)保持資產(chǎn)的可計(jì)量性。 資產(chǎn)清單 資產(chǎn)清單幫助確保進(jìn)行了有效的資產(chǎn)保護(hù)，并且其它的業(yè)務(wù)目的，例如出于健康和安全、保險(xiǎn)或者金融（資產(chǎn)管理）原因，也可能要用到資產(chǎn)清單。編寫資產(chǎn)清單的過程是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要方面。組織要能夠確定其資產(chǎn)、資產(chǎn)的相對價(jià)值和這些資產(chǎn)的重要性。根據(jù)該信息，組織可以提供與資產(chǎn)價(jià)值及其重要性相符的安全保護(hù)等級(jí)。應(yīng)當(dāng)為每個(gè)信息系統(tǒng)的重要資產(chǎn)都建立并保有一份資產(chǎn)清單。對于每種資產(chǎn)，都要清楚地進(jìn)行確認(rèn)，其所有權(quán)和安全等級(jí)劃分（見 ），以及資產(chǎn)目前所處位置（當(dāng)需要恢復(fù)損失和 毀壞的信息時(shí)，這點(diǎn)就非常重要）都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)并記錄在案。與信息系統(tǒng)密切相關(guān)的資產(chǎn)包括： a） 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶操作手冊、培訓(xùn)材料、操作或執(zhí)行的程序、連續(xù)性計(jì)劃、撤退安排、歸檔的信息； b） 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和設(shè)備； c） 實(shí)物資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、顯示器、膝上電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、專用自動(dòng)交換分機(jī)、傳真機(jī)、錄音電話），磁性存儲(chǔ)介質(zhì)（磁帶和磁盤），其它技術(shù)設(shè)備（電源、空調(diào)設(shè)備），家具、通融資金； d） 服務(wù)：計(jì)算和通信服務(wù)、公共服務(wù)例如供暖、 照明、供電、空氣調(diào)節(jié)。 信息分類 目標(biāo)：取保信息資產(chǎn)得到適當(dāng)程度的保護(hù)。 應(yīng)當(dāng)將信息分類，指出其安全保護(hù)的需要、優(yōu)先級(jí)和保護(hù)程度。 不同信息有不同的敏感性和重要性。有的信息資產(chǎn)可能需要額外保護(hù)或者特殊處理。應(yīng)當(dāng)采用信息分類系統(tǒng)來定義適當(dāng)?shù)陌踩Ｗo(hù)等級(jí)范圍，并傳達(dá)特殊處理措施的需要。 分類原則 信息的分類和相關(guān)保護(hù)措施應(yīng)當(dāng)考慮到信息共享和信息限制的業(yè)務(wù)需要，還要考慮這些需要對業(yè)務(wù)的沖擊，例如對信息未經(jīng)授權(quán)的訪問或者對信息的破壞。一般說來，信息分類是一種確定應(yīng)當(dāng)如何處理和保護(hù) 該信息的簡捷方法。 信息和處理分類數(shù)據(jù)的系統(tǒng)輸出應(yīng)當(dāng)按照其對于組織的價(jià)值和敏感性加以標(biāo)識(shí)。根據(jù)信息對組織的關(guān)鍵程度對其進(jìn)行標(biāo)識(shí)，比如按照其完整性和有效性進(jìn)行標(biāo)識(shí)，這樣做也是可取的。 經(jīng)過一段時(shí)間以后，信息常常會(huì)變得不再敏感或者重要了，例如在信息公開發(fā)