【導(dǎo)讀】三、建立ISMS體系對(duì)組織有什么好處？

　　

【正文】 個(gè)領(lǐng)域的措施目標(biāo)與措施，來詳細(xì)討論如何通過保證人員安全來達(dá)到保護(hù)信息安全的目的。 二、控制目標(biāo)－雇傭前 1. 目標(biāo)： ? 減少人為失誤、盜賊、欺詐或者設(shè)備誤用所造成的風(fēng)險(xiǎn)。 在招聘員工時(shí)就要提到安全責(zé)任的問題，將信息安全要求記錄在合同中，并在雇傭期內(nèi)監(jiān)測(cè)這種 第 20 頁(yè) 安全責(zé)任。 應(yīng)當(dāng)對(duì)應(yīng)聘人員進(jìn)行背景調(diào)查，并充分的篩選，對(duì)敏感的工作尤其要仔細(xì)甑別。所有員工和使用信息處理設(shè)備的第三方都應(yīng)當(dāng)簽署信息保密協(xié)議。 2. 控制措施－將安全需求列入員工作職責(zé)。 ? 組織在信息安全方針中所規(guī)定的安全角色及責(zé)任，應(yīng)適度地書面化于工作職 責(zé)說明書中。 把對(duì)信息安全的要求，從新員工簽訂勞動(dòng)合同哪一刻起，就烙印在員工的意識(shí)中，比在工作逐漸教育具有更直接的、更明顯的效果。 應(yīng)當(dāng)在員工工作職責(zé)說明書中記錄組織安全政策中所設(shè)定的安全角色和安全責(zé)任。工作職責(zé)說明書中的責(zé)任應(yīng)當(dāng)包含執(zhí)行、維護(hù)組織安全政策的所有一般責(zé)任及與員工相關(guān)的保護(hù)特定信息資產(chǎn)的特殊責(zé)任，有關(guān)執(zhí)行特殊安全管理程序或者活動(dòng)的責(zé)任也可以寫入說明書中，并通過適宜的方式把相關(guān)安全責(zé)任要求傳達(dá)到每一個(gè)員工，使其理解并遵照?qǐng)?zhí)行。 3. 控制措施－人員背景調(diào)查 ? 在招聘員工時(shí)，應(yīng)當(dāng)對(duì)應(yīng)聘者的身份、證件及背 景進(jìn)行驗(yàn)證查核。 目前在國(guó)內(nèi)人才市場(chǎng)上假文憑、假履歷滿天飛，人們隨處都可以見到制售假文憑的廣告，各種權(quán)學(xué)交易、錢學(xué)交易的博士碩士班也泛濫成災(zāi)。 “真的假文憑 ”和 “假的真文憑 ”都頗有愈演愈烈之勢(shì)。據(jù)有關(guān)部門去年統(tǒng)計(jì)，全國(guó)持有假文憑者已超過 60萬(wàn)人，在廣東人才市場(chǎng)上的求職者所持有的文憑，三成是假的。 假文憑的泛濫，動(dòng)搖了社會(huì)的公平和信用基礎(chǔ)。 “連人都是假的 ”，還有什么不能假？這種行為本身已經(jīng)對(duì)社會(huì)與組織的道德、信用及安全造成了嚴(yán)重侵害，你還能指望這種造假之人能遵守組織的安全政策，維護(hù)組織的信息安全？所以在招聘新員 工或員工升遷時(shí)，實(shí)施人員背景調(diào)查是非常重要的控制措施。 人員背景調(diào)查主要包括以下措施： ? 令人滿意品質(zhì)的有效證明； ? 對(duì)申請(qǐng)人的學(xué)歷、履歷的審查（完整性和準(zhǔn)確性）； ? 對(duì)其所宣稱的學(xué)術(shù)和職業(yè)資質(zhì)進(jìn)行確認(rèn)； ? 單獨(dú)的身份檢查（護(hù)照或者類似文件）； 當(dāng)一項(xiàng)工作涉及到能夠訪問信息處理設(shè)備的個(gè)人時(shí)，無論是最初聘用還是后來晉升，組織還應(yīng)當(dāng)做專門的信用檢查，尤其對(duì)于那些處理敏感信息的設(shè)備更是如此，比如處理財(cái)務(wù)信息或者高度機(jī)密信 第 21 頁(yè) 息的設(shè)備。對(duì)于那些處于相當(dāng)權(quán)力崗位的人員應(yīng)當(dāng)定期重復(fù)進(jìn)行檢查。 對(duì)合同簽約方和臨時(shí)員工也要進(jìn)行類似的 檢查。如果這些員工是通過代理機(jī)構(gòu)提供的，在與代理機(jī)構(gòu)的合同中應(yīng)當(dāng)清楚定義該代理方所要承擔(dān)的篩選責(zé)任，以及如果篩選沒有完成或者對(duì)篩選的結(jié)果仍然存有疑慮時(shí)代理機(jī)構(gòu)應(yīng)當(dāng)遵循的通知程序。 管理層應(yīng)當(dāng)評(píng)價(jià)對(duì)有權(quán)訪問敏感系統(tǒng)的新員工和沒有經(jīng)驗(yàn)的員工所做檢查監(jiān)督。所有員工的工作都要由更高級(jí)的員工做定期檢查并遵循一定的批準(zhǔn)程序。 管理人員應(yīng)當(dāng)清楚他們員工的個(gè)人環(huán)境會(huì)影響到他們的工作。私人問題和財(cái)務(wù)問題、他們行動(dòng)或者生活方式的改變、不斷出現(xiàn)的消極情緒和精神壓力異常，都可能導(dǎo)致欺詐、盜竊、失誤或者其它安全隱患。這類信息應(yīng)當(dāng)做符 合相關(guān)法規(guī)的處理。 三、控制目標(biāo)－雇傭中 1. 目標(biāo)： ? 確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)。 應(yīng)確定管理職責(zé)來確保安全應(yīng)用于組織內(nèi)個(gè)人的整個(gè)雇用期。為盡可能減小安全風(fēng)險(xiǎn)，應(yīng)對(duì)所有雇員、合同方和第三方用戶提供安全程序和信息處理設(shè)施的正確使用方面的適當(dāng)程度的意識(shí)、教育和培訓(xùn)。還應(yīng)建立一個(gè)正式的處理安全違規(guī)的紀(jì)律處理。 2. 控制措施－管理職責(zé)確定 ? 管理者應(yīng)要求所有的員工、合同方和第三方用戶按照組織已建立的方針和程 序?qū)嵤┌踩袆?dòng)。 管理職責(zé)應(yīng)包括確保員工、合同方和第三方用戶： ? 在被授權(quán)訪問敏感信息或信息系統(tǒng)前知道其信息安全角色和職責(zé)； ? 從組織獲得聲明他們角色的安全期望的指南； ? 被激勵(lì)以實(shí)現(xiàn)組織的安全方針； ? 對(duì)于他們?cè)诮M織內(nèi)的角色和職責(zé)的相關(guān)安全問題的意識(shí)程度達(dá)到一定級(jí)別； ? 遵守雇用的條款和條件，包括組織的信息安全方針和工作的合適方法； ? 持續(xù)擁有適當(dāng)?shù)募寄芎唾Y質(zhì)。 如果雇員、合同方和第三方用戶沒有意識(shí)到他們的安全職責(zé)，他們會(huì)對(duì)組織造成相當(dāng)大的破壞。被激勵(lì)的人員更可靠并能減少信息安全事故的發(fā)生。缺乏有效的管理會(huì)致使員工 感覺被低估，并由此 第 22 頁(yè) 導(dǎo)致對(duì)組織的負(fù)面安全影響。例如，缺乏有效的管理可能導(dǎo)致安全被忽視或組織資產(chǎn)的潛在誤用。 3. 控制措施－信息安全的教育與培訓(xùn) ? 應(yīng)當(dāng)定期對(duì)組織的所有員工及相關(guān)的第三方使用者進(jìn)行信息安全的教育與培訓(xùn)，并且教育培訓(xùn)的內(nèi)容要經(jīng)常更新。 為確保用戶意識(shí)到信息安全威脅和隱患，并在他們正常工作時(shí)遵守組織的信息安全政策，需要組織提供必要的信息安全教育與培訓(xùn)。這種教育與培訓(xùn)有時(shí)要擴(kuò)大到有關(guān)的第三方用戶。 （ 1）確定培訓(xùn)內(nèi)容 根據(jù)工作崗位對(duì)從業(yè)者的能力需求、從業(yè)者本身的實(shí)際能力以及從業(yè)者所面臨的信息安全風(fēng)險(xiǎn)，確定 培訓(xùn)內(nèi)容。也就是說培訓(xùn)應(yīng)考慮不同層次的職責(zé)、能力、文化程度以及所面臨的風(fēng)險(xiǎn)。 培訓(xùn)與教育的目的不同，培訓(xùn)是使受訓(xùn)者獲得目前工作上所需要的知識(shí)與技能，教育是使受教育者獲得未來用到的知識(shí)。 信息技術(shù)的發(fā)展日新月異，信息安全教育雖然面臨著一個(gè)龐大的并不斷增長(zhǎng)的知識(shí)體，但可以把基本的信息安全概念與框架作為培訓(xùn)與教育的基礎(chǔ)，核心知識(shí)體一般由幾下方面組成： ? 法律與法規(guī) ? 信息技術(shù)安全程序 ? 系統(tǒng)環(huán)境 ? 系統(tǒng)互聯(lián) ? 信息共享 ? 風(fēng)險(xiǎn)管理 ? 生命周期控制 ? 管理控制 ? 運(yùn)行控制 ? 技術(shù)控制 ? 安全意識(shí)、培訓(xùn)與教育 ? 處理敏感與機(jī)密信息 ? 應(yīng)急響 應(yīng) ? 業(yè)務(wù)持續(xù)與災(zāi)難恢復(fù) 不同類型的目標(biāo)聽眾應(yīng)當(dāng)有不同的教育類型： 教育類型 目標(biāo)聽眾 知識(shí)與技能 技術(shù)類 1. 信息安全專業(yè)人員 2. 系統(tǒng)管理員 3. 編程人員 (1) 核心知識(shí)體 (2) 操作系統(tǒng) (3) 應(yīng)用系統(tǒng) (4) 協(xié)議 (5) 安全工具 (6) 技術(shù)控制 (7) 安全政策與程序 (8) 風(fēng)險(xiǎn)評(píng)估 (9) 安全計(jì)劃 (10) 認(rèn)證與鑒定 第 23 頁(yè) 管理類 1. 高層經(jīng)理 2. 技術(shù)管理人員 3. 非技術(shù)管理人員 4. 系統(tǒng)所有者 5. 合同管理人員 6. 法律人員 7. 人力資源管理人員 (11) 核心知識(shí)體 (12) 風(fēng)險(xiǎn)管理 (13) 系統(tǒng)生命周期內(nèi)的安全控制 (14) 資源需求 (15) 合同需求 (16) 政策與程序 安全意識(shí) 1. 所有人員 (17) 角色與責(zé)任 (18) 政策與程序 （ 2）制定培訓(xùn) 計(jì)劃 主管部門根據(jù)各部門提出的培訓(xùn)需求及組織對(duì)培訓(xùn)的基本要求，制定培訓(xùn)計(jì)劃，培訓(xùn)計(jì)劃包括培訓(xùn)項(xiàng)目、主要內(nèi)容、主要負(fù)責(zé)人、培訓(xùn)日程安排（時(shí)間、地點(diǎn)）、培訓(xùn)方式、培訓(xùn)對(duì)象等。 （ 3）實(shí)施培訓(xùn) 按培訓(xùn)計(jì)劃實(shí)施培訓(xùn)，培訓(xùn)前要寫好培訓(xùn)方案，并通知相關(guān)人員，主要有以下培訓(xùn)方式： ? 內(nèi)部培訓(xùn)、外部培訓(xùn)、實(shí)習(xí)、自學(xué)考試、學(xué)術(shù)交流 ? 采用不同媒體來宣傳信息安全，如，公司郵件，網(wǎng)頁(yè)，視頻 ? 安全規(guī)則的可視化執(zhí)行 ? 模擬安全事故以改善安全規(guī)程 ? 員工通過簽訂保密協(xié)議，了解安全需求。 （ 4）培訓(xùn)后考核 培訓(xùn)后要進(jìn)行考核?？己藘?nèi)容有理論考 核、實(shí)際操作技能考核等；考核形式有問答、問卷、技術(shù)演示等。根據(jù)培訓(xùn)考核的結(jié)果發(fā)上崗證或重新培訓(xùn) 4. 控制措施－懲戒過程 ? 應(yīng)建立一個(gè)正式的員工違反安全的懲戒過程。 懲戒過程之前應(yīng)有一個(gè)安全違規(guī)的驗(yàn)證過程。正式的懲戒過程應(yīng)確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。無論違規(guī)是第一次或是已發(fā)生過，無論違規(guī)者是否經(jīng)過適當(dāng)?shù)呐嘤?xùn)，正式的懲戒過程應(yīng)規(guī)定一個(gè)分級(jí)的響應(yīng)，要考慮諸如違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素，相關(guān)法律、業(yè)務(wù) 第 24 頁(yè) 合同和其他因素也是需要考慮的。對(duì)于嚴(yán)重的明知故犯的情況，應(yīng)立即免職、刪除訪問權(quán)限和特權(quán)，如果 需要，可直接護(hù)送出現(xiàn)場(chǎng)。 懲戒過程也可用于對(duì)雇員、合同方和第三方用戶的一種威懾，防止他們違反組織的安全方針和程序，以及其他安全違規(guī)。 四、控制目標(biāo)－雇傭的終止或變更 1. 目標(biāo)： ? 確保員工、合同方和第三方用戶離開組織或雇傭變更時(shí)以一種有序的方式進(jìn)行應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問權(quán)力。 2. 控制措施－終止職責(zé) ? 應(yīng)清晰規(guī)定和分配進(jìn)行雇傭中止或變更的責(zé)任。 終止職責(zé)的傳達(dá)應(yīng)包括正在進(jìn)行的安全需求和法律職責(zé)，適當(dāng)時(shí)，還包括機(jī)密性協(xié)議規(guī)定的職責(zé)和在雇員 、合同方或第三方用戶的雇用結(jié)束后持續(xù)一段時(shí)間仍然有效的雇用條款和條件。 人力資源部門通常與信息安全管理經(jīng)理一起負(fù)責(zé)總體的工作終止處理。在合同方的例子中，終止職責(zé)的處理要與合同方代表完成，其他情況下的用戶可能由他們的組織來處理。有必要通知員工、顧客、合同方或第三方用戶組織人員的變化和運(yùn)營(yíng)上的安排。 3. 控制措施－歸還資產(chǎn) ? 當(dāng)雇傭、合同或協(xié)議終止時(shí)，員工、合同方和第三方用戶應(yīng)歸還所使用的組織資產(chǎn)。 終止過程應(yīng)被正式化以包括所有先前發(fā)放的軟件、公司文件和設(shè)備的歸還。其他組織資產(chǎn)，例如移動(dòng)計(jì)算設(shè)備、信用卡、訪問卡、軟 件、手冊(cè)和存儲(chǔ)于電子介質(zhì)中的信息也需要?dú)w還。 當(dāng)雇員、合同方或第三方用戶購(gòu)買了組織的設(shè)備或使用他們自己的設(shè)備時(shí)，應(yīng)遵循程序確保所有相關(guān)的信息已轉(zhuǎn)移給組織，并且已從設(shè)備中安全的刪除。 當(dāng)一個(gè)雇員、合同方或第三方用戶擁有的知識(shí)對(duì)正在進(jìn)行的操作具有重要意義時(shí)，此信息應(yīng)形成文件并傳達(dá)給組織。 第 25 頁(yè) 4. 控制措施－撤銷訪問權(quán)限 ? 當(dāng)雇傭、合同或協(xié)議終止時(shí)，應(yīng)撤銷所有員工、合同方和第三方用戶對(duì)信息和信息處理設(shè)施的訪問權(quán)限，或根據(jù)變化調(diào)整。 工作終止時(shí)，個(gè)人對(duì)與信息系統(tǒng)和服務(wù)有關(guān)的資產(chǎn)的訪問權(quán)力應(yīng)被重新考慮。這將決定是否必須刪除訪 問權(quán)力。工作的變化應(yīng)反映在不適用于新的工作的權(quán)力的刪除上。應(yīng)刪除或改變的訪問權(quán)力包括物理和邏輯訪問、密鑰、 ID 卡、信息處理設(shè)備、簽名，要從標(biāo)識(shí)其作為組織的現(xiàn)有用戶的文件中刪除。如果一個(gè)已離開的雇員、合同方或第三方用戶知道仍保持活動(dòng)狀態(tài)的帳戶的密碼，則應(yīng)在工作、合同或協(xié)議終止或變化后改變密碼。 第 26 頁(yè) 第五講 物理與環(huán)境安全 物理與環(huán)境安全 (Physical and environmental security)是討論保護(hù)信息系統(tǒng)基礎(chǔ)和設(shè)施、設(shè)備、存儲(chǔ)介質(zhì)免受非法的物理訪問、自然災(zāi)害和環(huán)境危害。 我們?cè)诜纻浜?客進(jìn)入組織內(nèi)部網(wǎng)絡(luò)盜竊敏感信息時(shí)，不要忘了非授權(quán)的內(nèi)部人員 (如：心懷不滿的員工 )，或外部人員 (如：偽裝成勤雜工、送貨工的盜竊分子 )的威脅，這些人員可能不具備 IT 知識(shí)，可是他們通過盜竊、破壞對(duì)組織信息設(shè)施所造成的損失，有時(shí)甚至超過技術(shù)高超的職業(yè)黑客。 我們經(jīng)常從媒體上看到這樣的報(bào)道，一些公司、機(jī)關(guān)及高校的機(jī)房經(jīng)常會(huì)發(fā)生盜竊案件，小偷趁人員疏忽、節(jié)假日外出、夜晚睡覺不關(guān)房門或外出不鎖門等機(jī)會(huì)，偷盜臺(tái)式電腦、筆記本電腦或掌上電腦，或者偷拆走電腦的 CPU、硬盤、內(nèi)存條等部件，使組織的業(yè)務(wù)被迫中斷，并造成很大的經(jīng)濟(jì)損失。 如果是國(guó)家級(jí)的公用通訊設(shè)施遭到盜竊和破壞，損失就更大了。據(jù)中國(guó)電信網(wǎng)絡(luò)維護(hù)部傳輸網(wǎng)監(jiān)管處的一位負(fù)責(zé)人介紹，中國(guó)電信一年用于光纜損壞修復(fù)的投入就達(dá) 3 億多元，其中大部分用在人為因素造成的光纜損壞上。 防止基礎(chǔ)設(shè)施設(shè)備等資產(chǎn)的損壞、丟失、敏感信息泄露及業(yè)務(wù)活動(dòng)的中斷，主要包括安全區(qū)域控制（或物理訪問控制）、設(shè)備安全及存儲(chǔ)介質(zhì)安全三個(gè)方面的安全控制。 一、控制目標(biāo)－安全區(qū)域 1. 目標(biāo)： ? 防止未經(jīng)授權(quán)的訪問，預(yù)防對(duì)組織信息基礎(chǔ)設(shè)施和業(yè)務(wù)信息的干擾和破壞。 應(yīng)當(dāng)把關(guān)鍵的和敏感的業(yè)務(wù)信息處理設(shè)備放在安全區(qū)域，受到確定 的安全范圍的保護(hù)，并有適當(dāng)?shù)陌踩琳虾徒尤肟刂?。?yīng)當(dāng)對(duì)他們從實(shí)體上加以保護(hù)，以防未經(jīng)授權(quán)的訪問并免于干擾和破壞。 安全區(qū)域是需要被組織保護(hù)的業(yè)務(wù)場(chǎng)所和包含被保護(hù)信息處理設(shè)施的物理區(qū)域，如系統(tǒng)機(jī)房、重要的辦公室，也可能是整修工作區(qū)域。安全區(qū)域的物理保護(hù)是通過諸如圍墻、控制臺(tái)、門鎖等能夠阻擋人員進(jìn)入的關(guān)卡實(shí)現(xiàn)的，這種關(guān)卡即為安全邊界。 對(duì)于信息處理設(shè)施可能受到的非法物理訪問、盜竊、損壞和泄密的威脅，應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，通過建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對(duì)重要的信息系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行會(huì)面的物理保護(hù)。 第 27 頁(yè) 2. 控制 措施－設(shè)立物理安全邊界 ? 組織應(yīng)設(shè)立安全邊界，保護(hù)信息處理設(shè)施。 通過建立安全邊界形成安全區(qū)域以保護(hù)區(qū)域內(nèi)的信息處理設(shè)施。安全邊界可以是設(shè)立一個(gè)關(guān)卡，如一堵墻、一個(gè)控制出入的卡或一個(gè)有人控制的總臺(tái)。每個(gè)關(guān)卡的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)定的結(jié)果。 3. 控制措施－物理進(jìn)出控制 ? 安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出。