【正文】 因此，需要制定一些政策，規(guī)定員工在使用語音、傳真和視頻通訊設備時應遵守的流程。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴格管制，以做到： 信息的獲得符合數(shù)據(jù)保護法律的要求（參見 ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準確、按時的處理 敏感信息在收集和儲存過程中要加以保護 進入發(fā)布系統(tǒng)時，不得進入與其相連的但與本操作無關的其它網(wǎng)絡 其它形態(tài)的信息 交換 制定流程和管制辦法，對通過聲頻、傳真和視頻設備等渠道進行的信息交換進行保護。 對設備聯(lián)結的安全考慮應當包括如下幾點： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會議，呼叫的保密性、傳真的保存、郵件的打開和分發(fā)等 管理信息共享的政策和適當管制措施，如公司電子布告欄的使用等 如系統(tǒng)不能提供適當級別的保護，需要進行隔離保護的敏感商業(yè)信息的分類 限制存取涉及被選個人的日記信息，如從事敏感項目工作的員工的信息 系統(tǒng)支持業(yè)務應用的適當性，如通訊訂單或授權等 對允許使用系統(tǒng)的員工、合同方或業(yè)務伙伴的分類劃分，及其可存取的位置 對使用者的身份進行識別，例如是單位的員工還是用于別的目的的合同方等 對系統(tǒng)上的信息進行備份保存（參見 和 ） 緊急情況的要求和安排（參見 ） 公共信息系統(tǒng)的安全性 采取措施保護以電子形式發(fā)布的信息的完整性，防止對其進行非法修改而造成的對單位名譽的損害。電子郵件和傳統(tǒng)的商務通訊方式有很多不同，如速度、信函結構、正規(guī)的程度及易受非法攻擊等。同時，也有必要和信息服務和網(wǎng)絡增值業(yè)務提供商簽訂其它的協(xié)議。電子商務很容易受到網(wǎng)絡上的威脅，從而導致欺詐行為、合同糾紛和信息的泄漏或修改。關于安全條件的協(xié)議內(nèi)容要考慮： 對傳輸、發(fā)送和接收進行管制和通知的管理權責 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g標準 快件認證標準 遺失數(shù)據(jù)時的責任 對敏感或關鍵信息使用經(jīng)過同意的標示系統(tǒng)，確保報表得失意義明白無誤，以及對信息進行 適當保護 信息和軟件所屬權及數(shù)據(jù)保護的責任，軟件的版權合法性和類似的考慮（參見 和 ） 用于記錄和讀寫信息和軟件的技術標準 任何可用于保護諸如密碼鍵等敏感物品的特別管制手段（參見 ） 傳遞中媒體的安全管制 信息在物理傳遞過程中（例如，通過郵政服務或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。并建立流程和標準來保護信息和媒體的傳輸。制定必要流程并按照其分類對文件、電 腦系統(tǒng)、網(wǎng)絡、移動電腦、移動通訊、郵件、語音郵件、一般語音通訊、多媒體、郵政服務及設施、傳真機和其它敏感物品如空白支票、發(fā)票等的使用進行管理。為此，需要小心挑選有經(jīng)驗且辦事牢靠的承包商進行上述作業(yè)。敏感信息可能通過無意處理媒體時泄漏出去。 可移動計算機媒體的管理 對可移動計算機媒體如磁帶、光盤、打印的報告的管理進行管制。同時，采用特別管制措施來保持網(wǎng)絡服務和電腦聯(lián)網(wǎng)。 對通過公共網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)的保護也要格外小心。 差錯記錄管理 對差錯進行記錄并采取糾正措施。 應對備份媒體進行定期檢查，確保其在緊急情況下能正常發(fā)揮作用?？煽紤]如下指導原則： 備份信息、關于備份拷貝的準確完整的記錄及恢復的流程等信息要儲存在一個遠離主場的地點，確保 即使主場發(fā)生災難信息備份信息也能幸免遇難。 建立正常的流程來實施經(jīng)過批準的后援策略（參見 ）、準備數(shù)據(jù)的備份、監(jiān)視設備環(huán)境等。管理人員要確保合格的來源，如有名的雜志、可靠的因特網(wǎng)站點或防病毒軟件供應商等，來區(qū)分小把戲和真正的病毒。對侵略性軟件的防范應以安全意識、適當?shù)南到y(tǒng)存取和更改管理管制措施等為基礎。 軟件和信息處理設備很容易受到諸如電腦病毒、網(wǎng)絡蠕蟲、特洛伊木馬、邏輯炸彈等侵略性軟件的侵害?？煽紤]下列有關方面： 運轉和計算能力的要求 錯誤恢復、啟動流程和應急計劃 備有經(jīng)過同意的安全管制措施 有效的操作流程 條款中要求的業(yè)務持續(xù)安排 新系統(tǒng)不會，特別是在月末這樣的高峰期間不會影響現(xiàn)有設備運行的證據(jù) 對新系統(tǒng)對單位總體安全作產(chǎn)生影響已加以考慮的證據(jù) 操作和使用新系統(tǒng)方面的有關培訓 在從事重大開發(fā)項目時，要開發(fā)過程中的所有階段 要就操作功能和使用進行咨詢，以確保提出的系統(tǒng)設計的最高操作效率。它們要對使用的走向加以辨認，特別是有關業(yè)務應用或管理信息系統(tǒng)工具方面的走向。 系統(tǒng)容量 需求計劃 對系統(tǒng)容量要求進行監(jiān)控，并進行未來容量要求預測，確保充足的處理和存儲能力。需要 考 慮 的 要 素 包 括 對單位內(nèi)部的敏感或關鍵應用加以辨認 獲得商業(yè)應用軟件產(chǎn)權人的批準 持續(xù)運營計劃的考慮 要加以規(guī)定的安全標準和檢驗是否合法的程序 具體權責的劃分和對有關安全活動進行監(jiān)視的流程 報告和處理安全事故的權責及流程（參見 ） 系統(tǒng)規(guī)劃及可行性 目標：將系統(tǒng)失效風險降至最低。 只有管制手段要求向開發(fā)人員發(fā)放口令以支持操作系統(tǒng)時，開發(fā)人員才可獲得操作口令。 如共用相同的計算環(huán)境，開發(fā)和測試活動可能會導致軟件和信息的變更。 如開發(fā)和測試人員可進入操作系統(tǒng)并存取其信息，他們有可能會引入未經(jīng)授權或未經(jīng)檢測的編碼并篡改操作數(shù)據(jù)。 開發(fā)和測試活動會導致嚴重的問題，如對文件或系統(tǒng)環(huán)境的亂改，或系統(tǒng)癱瘓等。 應注意確保在責任單一的區(qū)域內(nèi)，只要有人從事犯罪活動就馬上會被察覺。因此，要考慮對各部門的權責進行清楚劃分，以避免未經(jīng)授權而修改或濫用信息。如有可能，應把操作和應用的變更管制流程整合起來（參見 ）。因此，要有正式的管理權責和流程對所有的設備、軟件或流程變更進行令人滿意的管制。應把操作流程看作正式的文件，其變更需要經(jīng)過管理人員的批準。 要建立所有信息處理設備的管理和操作的權責及流程。如有必要，設備要從網(wǎng)上下來，歸還時再重新上網(wǎng)。 收發(fā)郵件的地點和無人照看的傳真、電掛設施要加以保護。政策的制定要考慮信息安全分類（參見 ）、相應的風險和單位的企業(yè)文化等。 防止信息和信息處理設備被非法泄漏、修改或盜用。報廢處置時，存有敏感信息的存儲設備要從物理上加以銷毀，或用安全方式對信息加以覆蓋，而不能采用常用的標準刪除功能來刪除。 在家工作的管制措施要經(jīng)過風險評估后決定并實施，例如，可安裝上鎖的保險柜、采納桌面凈空原則及電腦的存取控制等。此處所指的信息處理設備包括任何家庭用的或從單位帶出的任何形式的個人電腦、手持電腦、移動電話、紙張或其它物品。可考慮如下指導原則： 根據(jù)供貨商建議的周期和規(guī)格對設備進行定期維護 只允許經(jīng)過授權的維護人員對設備進行檢修和維護 對所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護措施進行記錄 如設備需要送到單位外面進行維修，應采取適當?shù)墓苤拼胧▍⒁?）。 傳輸設備安全性 保護傳輸數(shù)據(jù)或支持信息服務的供電和通訊傳輸設備，使之免于中斷或損壞。同時，要儲備充足的燃料，確保發(fā)電機能長時間地發(fā)電。同時，要制定續(xù)電器發(fā)生故障時的應急計劃。 還要考慮附近發(fā)生災難時的保護方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 需要特別保護的物品要分開放置，以節(jié)省額外的保護措施。要求有特別的管制手段來保護對設備的非法使用，并對諸如電源和電纜基礎設施等輔助設備進行保護。 設備安全 目標：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；顒拥闹袛?。 交接區(qū)的設計應做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 除非經(jīng)過授權，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設備。 無人安全區(qū)應采取物理手段加以封閉，并定期查看。 信息安全區(qū)內(nèi)工作守則 為進一步加強已采取物理保護措施的安全區(qū)的安全，應制定附加的信息安全區(qū)內(nèi)工作守則。 顯示本單位敏感信息處理設備的電話本或通訊錄要避免被公眾獲得。 所有的外門的外窗都要安裝合乎職業(yè)標準的入侵檢測系統(tǒng)，并對其進行定期檢測。同時，也要考慮來自鄰近場所的 安全威脅，例如來自其它樓宇的漏水等等。 對進入安全區(qū)域的權限要定期進行審核和更新。 對敏感信息和信息處理設備的通路進行管制，只有經(jīng)過授權的人員才得以進入。 信息安全區(qū)進出管制 在信息安全區(qū)采取適當出入管制，確保只有經(jīng)授權的人員得以進入。場所的外墻應當是堅固的建筑物，所有的外門都應能防止非法的進入，比如通過安裝管制機制、鐵條、警報、安全鎖等。單位應使用安全防御帶來保護放置信息處理設備的區(qū)域（參見 ）。 提供的保護措施應當和風險相一致。此類流程可用作警示，防止員工忽視單位的安全流程。 從事故 中學習 要求建立相應機制，對事故或功能障礙的類型、級別和損失程度進行量化、監(jiān)督。并馬上通知有關當局。應向使用者強調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進行論證。同時，建立適當?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結果得以反饋。要恰當?shù)貙κ鹿蔬M行處理，雜發(fā)生事故后要盡快搜集有關證據(jù)（參見 ）。 安全事故應通過適當?shù)墓芾砬辣M快加以回報。 使用者應得以安全流程和正確使用信息處理設備方面的培訓，以將可能的安全風險降至最低限度。 員工的合法職責和權利，例如在版權法或數(shù)據(jù)保護法方面的權責，應得以 清楚定義，并包括在員工守則中。 在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進行審訂。對這類信息的處理要依據(jù)單位作在地區(qū)的適當法律程序加以 解決。 管理人員要對那些新來的或沒有經(jīng)驗的但卻得到授權可接觸敏感系統(tǒng)的員工進行監(jiān)視。 這應當包括如下內(nèi)容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦 對申請人簡歷的完整性和準確性進行檢查 對申請人聲稱的學術和資格證明進行認證 獨立的身份認證（通過護照或相應的身份證明材料） 工任命或提升員工時，只要其涉及到接觸信息處理設備，特別是處理敏感信息的設備，如處理財務信息或其它高度機密的信息的設備，單位需要對該員工進行信用調(diào)查。所有使用信息處理設備的員工或第三方都要簽署保密或不泄密協(xié)議。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進行物理標示，在此情況下需考慮對其進行電子標示。針對每個類別，所定義的操作流程要包括如下類型的信息處理活動： 復制 存儲 以郵件、傳真、電子 郵件方式進行的傳送 以聲音，包括移動電話、語音郵件、答錄機等方式進行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應加以恰當?shù)姆诸悩耸?。在接觸和使用別單位的標號系統(tǒng)時要注意，因為他們的標號雖然和本單位的相同但含義可能完全不同。因此，要考慮這些方面，因為過細的分類會增加額外的費用?？偠灾?，對信息進行分類是決定如何處理和保護該信息的一個捷徑。 信息具有不同的敏感度和重要性。對各個信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。 5.. 資產(chǎn)的盤點 對資產(chǎn)的盤點可幫助確保有效的資產(chǎn)保護，也可用于其它經(jīng)營目的，如健康和安全、保險或財務方面的原因。 所有重大的信息資產(chǎn)都要有記錄和主管人員。 例如，合同應當規(guī)定： 如何滿足諸如數(shù)據(jù)保護等方面的法律要求 進行哪些安排去確保委外的各方（包括分包方）能意識到其擔負的安全責任 如何維持并檢驗單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災難的情況下如何繼續(xù)或得服務 對委外設備采取何種水準的物理安全保護 審計權 條款中所述的條件也可作為此合同考慮的要素。單位在證實第三方的可靠性方面要做到完全放心?？傮w而言，和第三方簽訂的合同中要反應所有有關的安全要求和內(nèi)部管制手段。因此，在有需求接觸其它方信息時，要進行風險評估，確定管制的要求。 第三方存取的風險鑒別 存取的類別 允許第三方存取的類別至關重要。管制內(nèi)容經(jīng)雙方同 意，要在合同中加以定義。 此類審核可由單位內(nèi)部審計部門開展，也可由獨立經(jīng)理人或?qū)ｉT從事審核的第三方組織開展，只要這些人員具有適當?shù)募寄芎徒?jīng)驗。同樣，也應考慮參加安全組織和行業(yè)論壇并成為其成員。為使其建議的有效性最大化，應允許他們接觸全單位管理的各個方面。因此，特建議單位指定一位具體個人來協(xié)調(diào)單位內(nèi)部信息安全知識與經(jīng)驗方面的一致，及輔助該方面的決策。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。批準由負責當?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關安全政策和要求。通常的做法是為每項信息資產(chǎn)都指定一個負責人，由他來時時負責資產(chǎn)的日常安全。針對具體的地點、系統(tǒng)或服務的不同，可對此政策酌情進行補充。其可為現(xiàn)有管理機構的一部分，主要行使如下職能： 審訂并批準信息安全政策和總體權責 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān)督安全事故 批準加強信息安全的重大舉措 所有有關的安全活動都應由一位經(jīng)理負責。在此方面，應鼓勵跨學科的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應用軟件設計師、審計人員和保安人員間開展合作和協(xié)調(diào)，或在保險和風險管理兩個學科領域間進行專業(yè)交流等。 建立管理框架，以展開并管制單位內(nèi)部信息安全 的實施。它至少要包括如下部分：