【正文】 因此，需要制定一些政策，規(guī)定員工在使用語(yǔ)音、傳真和視頻通訊設(shè)備時(shí)應(yīng)遵守的流程。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴(yán)格管制，以做到： 信息的獲得符合數(shù)據(jù)保護(hù)法律的要求（參見(jiàn) ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準(zhǔn)確、按時(shí)的處理 敏感信息在收集和儲(chǔ)存過(guò)程中要加以保護(hù) 進(jìn)入發(fā)布系統(tǒng)時(shí)，不得進(jìn)入與其相連的但與本操作無(wú)關(guān)的其它網(wǎng)絡(luò) 其它形態(tài)的信息交換 制定流程和管制辦法，對(duì)通過(guò)聲頻、傳真和視頻設(shè)備等渠道進(jìn)行的信息交換進(jìn)行保護(hù)。 對(duì)設(shè)備聯(lián)結(jié)的安全考慮應(yīng)當(dāng)包括如下幾點(diǎn)： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會(huì)議，呼叫的保密性、傳真的保存、郵件的打開(kāi)和分發(fā)等 管理信息共享的政策和適當(dāng)管制措施，如公司電子布告 欄的使用等 如系統(tǒng)不能提供適當(dāng)級(jí)別的保護(hù)，需要進(jìn)行隔離保護(hù)的敏感商業(yè)信息的分類(lèi) 限制存取涉及被選個(gè)人的日記信息，如從事敏感項(xiàng)目工作的員工的信息 系統(tǒng)支持業(yè)務(wù)應(yīng)用的適當(dāng)性，如通訊訂單或授權(quán)等 對(duì)允許使用系統(tǒng)的員工、合同方或業(yè)務(wù)伙伴的分類(lèi)劃分，及其可存取的位置 對(duì)使用者的身份進(jìn)行識(shí)別，例如是單位的員工還是用于別的目的的合同方等 對(duì)系統(tǒng)上的信息進(jìn)行備份保存（參見(jiàn) 和 ） 緊急情況的要求和安排（參見(jiàn) ） 公共信息系統(tǒng)的安全性 采取措施保護(hù)以電子形式發(fā)布的信息的完整性，防止對(duì)其進(jìn)行非法修改而 造成的對(duì)單位名譽(yù)的損害。電子郵件和傳統(tǒng)的商務(wù)通訊方式有很多不同，如速度、信函結(jié)構(gòu)、正規(guī)的程度及易受非法攻擊等。同時(shí)，也有必要和信息服務(wù)和網(wǎng)絡(luò)增值業(yè)務(wù)提供商簽訂其它的協(xié)議。電子商務(wù)很容易受到網(wǎng)絡(luò)上的威脅， 從而導(dǎo)致欺詐行為、合同糾紛和信息的泄漏或修改。關(guān)于安全條件的協(xié)議內(nèi)容要考慮： 對(duì)傳輸、發(fā)送和接收進(jìn)行管制和通知的管理權(quán)責(zé) 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn) 快件認(rèn)證標(biāo)準(zhǔn) 遺失數(shù)據(jù)時(shí)的責(zé)任 對(duì) 敏感或關(guān)鍵信息使用經(jīng)過(guò)同意的標(biāo)示系統(tǒng)，確保報(bào)表得失意義明白無(wú)誤，以及對(duì)信息進(jìn)行適當(dāng)保護(hù) 信息和軟件所屬權(quán)及數(shù)據(jù)保護(hù)的責(zé)任，軟件的版權(quán)合法性和類(lèi)似的考慮（參見(jiàn) 和 ） 用于記錄和讀寫(xiě)信息和軟件的技術(shù)標(biāo)準(zhǔn) 任何可用于保護(hù)諸如密碼鍵等敏感物品的特別管制手段（參見(jiàn) ） 傳遞中媒體的安全管制 信息在物理傳遞過(guò)程中（例如，通過(guò)郵政服務(wù)或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。并建立流程和標(biāo)準(zhǔn)來(lái)保護(hù)信息和媒體的傳輸。制定必要流程并按照其分類(lèi)對(duì)文件、電腦系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)電腦、移動(dòng)通訊、郵件、語(yǔ)音郵件、一般語(yǔ)音通訊、多媒體、郵政服務(wù)及設(shè)施、傳真機(jī)和其它敏感物品如空白支票、發(fā)票等的使用進(jìn)行管理。為此，需要小心挑選有經(jīng)驗(yàn)且辦事牢靠的承包商進(jìn)行上述作業(yè)。敏感信息可能通過(guò)無(wú)意處理媒體時(shí)泄漏出去。 可移動(dòng)計(jì)算機(jī)媒體的管理 對(duì)可移動(dòng)計(jì)算機(jī)媒體如磁帶、光盤(pán)、打印的報(bào)告的管理進(jìn)行管制。同時(shí)，采用特別管制措施來(lái)保持網(wǎng)絡(luò)服務(wù)和電腦聯(lián)網(wǎng)。 對(duì)通過(guò)公共網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)的保護(hù)也要格外小心。 差錯(cuò)記錄管理 對(duì)差錯(cuò)進(jìn)行記錄并采取糾正措施。 應(yīng)對(duì)備份媒體進(jìn)行定期檢查，確保其在緊急情況下能正常發(fā)揮作用?？煽紤]如下指導(dǎo)原則： 備份信息、 關(guān)于備份拷貝的準(zhǔn)確完整的記錄及恢復(fù)的流程等信息要儲(chǔ)存在一個(gè)遠(yuǎn)離主場(chǎng)的地點(diǎn)，確保即使主場(chǎng)發(fā)生災(zāi)難信息備份信息也能幸免遇難。 建立正常的流程來(lái)實(shí)施經(jīng)過(guò)批準(zhǔn)的后援策略（參見(jiàn) ）、準(zhǔn)備數(shù)據(jù)的備份、監(jiān)視設(shè)備環(huán)境等。管理人員要確保合格的來(lái)源，如有名的雜志、可靠的因特網(wǎng)站點(diǎn)或防病毒軟件供應(yīng)商等，來(lái)區(qū)分小把戲和真正的病毒。對(duì)侵略性軟件的防范應(yīng)以安全意識(shí)、適當(dāng)?shù)南到y(tǒng)存取和更改管理管制措施等為基礎(chǔ)。 軟件和信息處理設(shè)備很容易受到諸如電腦病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、邏輯炸彈等侵略性軟件的侵害?？煽紤]下列有關(guān)方面： 運(yùn)轉(zhuǎn)和計(jì)算能力的要求 錯(cuò)誤恢復(fù)、啟動(dòng)流程和應(yīng)急計(jì)劃 備有經(jīng)過(guò)同意的安全管制措施 有效的操作流程 條款中要求的業(yè)務(wù)持續(xù)安排 新系統(tǒng)不會(huì)，特別是在月末這樣的高峰期間不會(huì)影響現(xiàn)有設(shè)備運(yùn)行的證據(jù) 對(duì)新系統(tǒng)對(duì)單位總體安全作產(chǎn)生影響已加以考慮的證據(jù) 操作和使用新系統(tǒng)方面的有關(guān)培訓(xùn) 在從事重大開(kāi)發(fā)項(xiàng)目時(shí)，要開(kāi)發(fā)過(guò)程中的所有階段要就操作功能和使用進(jìn)行咨詢，以確保提出的系統(tǒng)設(shè)計(jì)的最高操作效率。它們要對(duì)使用的走向加以辨認(rèn)，特別是有關(guān)業(yè)務(wù)應(yīng)用或管理信息系統(tǒng)工具方面的走向。 系統(tǒng)容量需求計(jì)劃 對(duì)系統(tǒng)容量要求進(jìn)行監(jiān)控，并進(jìn)行未來(lái)容量要求預(yù)測(cè)，確保充足的處理和存儲(chǔ)能力。需要 考 慮 的 要 素 包 括 對(duì)單位內(nèi)部的敏感或關(guān)鍵應(yīng)用加以辨認(rèn) 獲得商業(yè)應(yīng)用軟件產(chǎn)權(quán)人的批準(zhǔn) 持續(xù)運(yùn)營(yíng)計(jì)劃的考慮 要加以規(guī)定的安全標(biāo)準(zhǔn)和檢驗(yàn)是否合法的程序 具體權(quán)責(zé)的劃分和對(duì)有關(guān)安全活動(dòng)進(jìn)行監(jiān)視的流程 報(bào)告和處理安全事故的權(quán)責(zé)及流程（參見(jiàn) ） 系統(tǒng)規(guī)劃及可行性 目標(biāo)：將系統(tǒng)失效風(fēng)險(xiǎn)降至最低。 只有管制手段要求向開(kāi)發(fā)人員發(fā)放口令以支持操作系統(tǒng)時(shí)，開(kāi)發(fā)人員才可獲得操作口令。 如共用相同的計(jì)算環(huán)境，開(kāi)發(fā)和測(cè)試活動(dòng)可能會(huì)導(dǎo)致軟件和信息的變更。 如開(kāi)發(fā)和測(cè)試人員可進(jìn)入操作系統(tǒng)并存取其信息，他們有可能會(huì)引入未經(jīng)授權(quán)或未經(jīng)檢測(cè)的編碼并篡改操作數(shù)據(jù)。 開(kāi)發(fā)和測(cè)試活動(dòng)會(huì)導(dǎo)致嚴(yán)重的問(wèn)題，如對(duì)文件或系統(tǒng)環(huán)境的亂改，或系統(tǒng)癱瘓等。 應(yīng)注意確保在責(zé)任單一的區(qū)域內(nèi)，只要有人從事犯罪活動(dòng)就馬 上會(huì)被察覺(jué)。因此，要考慮對(duì)各部門(mén)的權(quán)責(zé)進(jìn)行清楚劃分，以避免未經(jīng)授權(quán)而修改或?yàn)E用信息。如有可能，應(yīng)把操作和應(yīng)用的變更管制流程整合起來(lái)（參見(jiàn) ）。因此，要有正式的管理權(quán)責(zé)和流程對(duì)所有的設(shè)備、軟件或流程變更進(jìn)行令人滿意的管制。應(yīng)把操作流程看作正式的文件，其變更需要經(jīng)過(guò)管理人員的批準(zhǔn)。 要建立所有信息處理設(shè)備的管理和操作的權(quán)責(zé)及流程。如有必要，設(shè)備要從 網(wǎng)上下來(lái)，歸還時(shí)再重新上網(wǎng)。 收發(fā)郵件的地點(diǎn)和無(wú)人照看的傳真、電掛設(shè)施要加以保護(hù)。政策的制定要考慮信息安全分類(lèi)（參見(jiàn) ）、相應(yīng)的風(fēng)險(xiǎn)和單位的企業(yè)文化等。 防止信息和信息處理設(shè)備被非法泄漏、修改或盜用。報(bào)廢處置時(shí)，存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷(xiāo)毀，或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。 在家工作的管制措施要經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后決定并實(shí)施，例如，可安裝上鎖的保險(xiǎn)柜、采 納桌面凈空原則及電腦的存取控制等。此處所指的信息處理設(shè)備包括任何家庭用的或從單位帶出的任何形式的個(gè)人電腦、手持電腦、移動(dòng)電話、紙張或其它物品。可考慮如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對(duì)設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過(guò)授權(quán)的維護(hù)人員對(duì)設(shè)備進(jìn)行檢修和維護(hù) 對(duì)所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄 如設(shè)備需要送到單位外面進(jìn)行維修，應(yīng)采取適當(dāng)?shù)墓苤拼胧▍⒁?jiàn) ）。 傳輸設(shè)備安全性 保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的供電和通訊傳輸設(shè)備，使之免于中斷或損壞。同時(shí)，要儲(chǔ)備充足的燃料，確保發(fā)電機(jī)能長(zhǎng)時(shí)間地發(fā)電。同時(shí)，要制定續(xù)電器發(fā)生故障時(shí)的應(yīng)急計(jì)劃。 還要考慮附近發(fā)生災(zāi)難時(shí)的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 需要特別保護(hù)的物品 要分開(kāi)放置，以節(jié)省額外的保護(hù)措施。要求有特別的管制手段來(lái)保護(hù)對(duì)設(shè)備的非法使用，并對(duì)諸如電源和電纜基礎(chǔ)設(shè)施等輔助設(shè)備進(jìn)行保護(hù)。 設(shè)備安全 目標(biāo)：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正常活 動(dòng)的中斷。 交接區(qū)的設(shè)計(jì)應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 除非經(jīng)過(guò)授權(quán)，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設(shè)備。 無(wú)人安全區(qū)應(yīng)采取物理手段加以封閉，并定期查看。 信息安全區(qū)內(nèi)工作守則 為進(jìn)一步加強(qiáng)已采取物理保護(hù)措施的安全區(qū)的安全，應(yīng)制定附加的信息安全區(qū)內(nèi)工作守則。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。 所有的外門(mén)的外窗都要安裝合乎職業(yè)標(biāo)準(zhǔn)的入侵檢測(cè)系統(tǒng)，并對(duì)其進(jìn)行定 期檢測(cè)。同時(shí)，也要考慮來(lái)自鄰近場(chǎng)所的安全威脅，例如來(lái)自其它樓宇的漏水等等。 對(duì)進(jìn)入安全區(qū)域的權(quán)限要定期進(jìn)行審核和更新。 對(duì)敏感信息和信息處理設(shè)備的通路進(jìn)行 管制，只有經(jīng)過(guò)授權(quán)的人員才得以進(jìn)入。 信息安全區(qū)進(jìn)出管制 在信息安全區(qū)采取適當(dāng)出入管制，確保只有經(jīng)授權(quán)的人員得以進(jìn)入。場(chǎng)所的外墻應(yīng)當(dāng)是堅(jiān)固的建筑物，所有的外門(mén)都應(yīng)能防止非法的進(jìn)入，比如通過(guò)安裝管制機(jī)制、鐵條、警報(bào)、安全鎖等。單位應(yīng)使用安全防御帶來(lái)保護(hù)放置信息處理設(shè)備的區(qū)域（參見(jiàn) ）。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險(xiǎn)相一致。此類(lèi)流程可用作警示，防止員工忽視單位的安全流程。 從事故中學(xué)習(xí) 要求建立相應(yīng)機(jī)制，對(duì)事故或功能障礙的類(lèi)型、級(jí)別和損失程度進(jìn)行量化、監(jiān)督。并馬上通知有關(guān)當(dāng)局。應(yīng)向使用者強(qiáng)調(diào)，無(wú)論在何種情況下，他們都不要試圖對(duì)懷疑的漏洞進(jìn)行論證。同時(shí)，建立適當(dāng)?shù)姆答伭鞒虂?lái)確保這些安全事故在處理完畢之后處理結(jié)果得以反饋。要恰當(dāng)?shù)貙?duì)事故進(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見(jiàn) ）。 安全事故應(yīng)通過(guò)適當(dāng)?shù)墓芾砬辣M快加以回報(bào)。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至最低限度。 員工的合法職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé)，應(yīng)得以清楚定義，并包括在員工守則中。 在雇傭合同或條款發(fā)生變動(dòng)時(shí)，特別是員工要離開(kāi)單位或其合同到期時(shí)，要對(duì)保密協(xié)議進(jìn)行審訂。對(duì)這類(lèi)信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以解決。 管理人員要對(duì)那些新來(lái)的或沒(méi)有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。這應(yīng)當(dāng)包括如下內(nèi)容： 申請(qǐng)人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個(gè)人推薦 對(duì)申請(qǐng)人簡(jiǎn)歷的完整性和準(zhǔn)確性進(jìn)行檢查 對(duì)申請(qǐng)人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證 獨(dú)立的身份認(rèn)證（通過(guò)護(hù)照或相應(yīng)的身份證明材料） 工任命或提升員工時(shí)，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處理財(cái)務(wù)信息或其它高度機(jī)密的信息的設(shè)備，單位需要對(duì)該員工進(jìn)行信用調(diào)查。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對(duì)其進(jìn)行物理標(biāo)示，在此情況下需考慮對(duì)其進(jìn)行電子標(biāo)示。針對(duì)每個(gè)類(lèi)別， 所定義的操作流程要包括如下類(lèi)型的信息處理活動(dòng)： 復(fù)制 存儲(chǔ) 以郵件、傳真、電子郵件方式進(jìn)行的傳送 以聲音，包括移動(dòng)電話、語(yǔ)音郵件、答錄機(jī)等方式進(jìn)行的傳送 銷(xiāo)毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸?lèi)標(biāo)示。在接觸和使用別單位的標(biāo)號(hào)系統(tǒng)時(shí)要注意，因?yàn)樗麄兊臉?biāo)號(hào)雖然和本單位的相同但含義可能完全不同。因此，要考慮這些方面，因?yàn)檫^(guò)細(xì)的分類(lèi)會(huì)增加額外的費(fèi)用?？偠灾?，對(duì)信息進(jìn)行分類(lèi)是決定如何處理和保護(hù)該信息的一個(gè)捷徑。 信息具有不同的敏感度和重要性。對(duì)各個(gè)信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。 5.. 資產(chǎn)的盤(pán)點(diǎn) 對(duì)資產(chǎn)的盤(pán)點(diǎn)可幫助確 保有效的資產(chǎn)保護(hù)，也可用于其它經(jīng)營(yíng)目的，如健康和安全、保險(xiǎn)或財(cái)務(wù)方面的原因。 所有重大的信息資產(chǎn)都要有記錄和主管人員。 例如，合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識(shí)到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗(yàn)單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來(lái)限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對(duì)委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計(jì)權(quán) 條款中所述的條件也可作為此 合同考慮的要素。單位在證實(shí)第三方的可靠性方面要做到完全放心?？傮w而言，和第三方簽訂的合同中要反應(yīng)所有有關(guān)的安全要求和內(nèi)部管制手段。因此，在有需求接觸其它方信息時(shí)，要進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定管制的要求。 第三方存取的風(fēng)險(xiǎn)鑒別 存取的類(lèi)別 允許第三方存取的類(lèi)別至關(guān)重要。管制內(nèi)容經(jīng)雙方同意，要在合同中加以定義。 此類(lèi)審核可由單位內(nèi)部審計(jì)部門(mén)開(kāi)展，也可由獨(dú)立經(jīng)理人或?qū)ｉT(mén)從事審核的第三方組織開(kāi)展，只要這些人員具有適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。同樣，也應(yīng)考慮參加安全組織和行業(yè)論壇并成為其成員。為使其建議的有效性最大化，應(yīng)允許他們接觸全單位管理的各個(gè)方面。因此，特建議單位指定一位具體個(gè)人來(lái)協(xié)調(diào)單位內(nèi)部信息安全知識(shí)與經(jīng)驗(yàn)方面的一致，及輔助該方面的決策。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。批準(zhǔn)由負(fù)責(zé)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關(guān)安全政策和要求。通常的做法是為每項(xiàng)信息資產(chǎn)都指定一個(gè)負(fù)責(zé)人，由他來(lái)時(shí)時(shí)負(fù)責(zé)資產(chǎn)的日常安全。針對(duì)具 體的地點(diǎn)、系統(tǒng)或服務(wù)的不同，可對(duì)此政策酌情進(jìn)行補(bǔ)充。其可為現(xiàn)有管理機(jī)構(gòu)的一部分，主要行使如下職能： 審訂并批準(zhǔn)信息安全政策和總體權(quán)責(zé) 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān)督安全事故 批準(zhǔn)加強(qiáng)信息安全的重大舉措 所有有關(guān)的安全活動(dòng)都應(yīng)由一位經(jīng)理負(fù)責(zé)。在此方面，應(yīng)鼓勵(lì)跨學(xué)科的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應(yīng)用軟件設(shè)計(jì)師、審計(jì)人員和保安人員間開(kāi)展合作和協(xié)調(diào)，或在保險(xiǎn)和風(fēng)險(xiǎn)管理兩個(gè)學(xué)科領(lǐng)域間 進(jìn)行專(zhuān)業(yè)交流等。 建立管理框架，以展開(kāi)并管制單位內(nèi)部信息安全的實(shí)施。它至少要包括如下部分：