【正文】 每個(gè)關(guān)卡的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)定的結(jié)果。 對(duì)于信息處理設(shè)施可能受到的非法物理訪問、盜竊、損壞和泄密的威脅，應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，通過建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對(duì)重要的信息系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行會(huì)面的物理保護(hù)。 應(yīng)當(dāng)把關(guān)鍵的和敏感的業(yè)務(wù)信息處理設(shè)備放在安全區(qū)域，受到確定 的安全范圍的保護(hù)，并有適當(dāng)?shù)陌踩琳虾徒尤肟刂啤? 如果是國(guó)家級(jí)的公用通訊設(shè)施遭到盜竊和破壞，損失就更大了。如果一個(gè)已離開的雇員、合同方或第三方用戶知道仍保持活動(dòng)狀態(tài)的帳戶的密碼，則應(yīng)在工作、合同或協(xié)議終止或變化后改變密碼。 工作終止時(shí)，個(gè)人對(duì)與信息系統(tǒng)和服務(wù)有關(guān)的資產(chǎn)的訪問權(quán)力應(yīng)被重新考慮。其他組織資產(chǎn)，例如移動(dòng)計(jì)算設(shè)備、信用卡、訪問卡、軟 件、手冊(cè)和存儲(chǔ)于電子介質(zhì)中的信息也需要?dú)w還。在合同方的例子中，終止職責(zé)的處理要與合同方代表完成，其他情況下的用戶可能由他們的組織來處理。 四、控制目標(biāo)－雇傭的終止或變更 1. 目標(biāo)： ? 確保員工、合同方和第三方用戶離開組織或雇傭變更時(shí)以一種有序的方式進(jìn)行應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問權(quán)力。正式的懲戒過程應(yīng)確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。 （ 4）培訓(xùn)后考核 培訓(xùn)后要進(jìn)行考核。也就是說培訓(xùn)應(yīng)考慮不同層次的職責(zé)、能力、文化程度以及所面臨的風(fēng)險(xiǎn)。 3. 控制措施－信息安全的教育與培訓(xùn) ? 應(yīng)當(dāng)定期對(duì)組織的所有員工及相關(guān)的第三方使用者進(jìn)行信息安全的教育與培訓(xùn)，并且教育培訓(xùn)的內(nèi)容要經(jīng)常更新。 如果雇員、合同方和第三方用戶沒有意識(shí)到他們的安全職責(zé)，他們會(huì)對(duì)組織造成相當(dāng)大的破壞。為盡可能減小安全風(fēng)險(xiǎn)，應(yīng)對(duì)所有雇員、合同方和第三方用戶提供安全程序和信息處理設(shè)施的正確使用方面的適當(dāng)程度的意識(shí)、教育和培訓(xùn)。私人問題和財(cái)務(wù)問題、他們行動(dòng)或者生活方式的改變、不斷出現(xiàn)的消極情緒和精神壓力異常，都可能導(dǎo)致欺詐、盜竊、失誤或者其它安全隱患。如果這些員工是通過代理機(jī)構(gòu)提供的，在與代理機(jī)構(gòu)的合同中應(yīng)當(dāng)清楚定義該代理方所要承擔(dān)的篩選責(zé)任，以及如果篩選沒有完成或者對(duì)篩選的結(jié)果仍然存有疑慮時(shí)代理機(jī)構(gòu)應(yīng)當(dāng)遵循的通知程序。 “連人都是假的 ”，還有什么不能假？這種行為本身已經(jīng)對(duì)社會(huì)與組織的道德、信用及安全造成了嚴(yán)重侵害，你還能指望這種造假之人能遵守組織的安全政策，維護(hù)組織的信息安全？所以在招聘新員 工或員工升遷時(shí)，實(shí)施人員背景調(diào)查是非常重要的控制措施。 目前在國(guó)內(nèi)人才市場(chǎng)上假文憑、假履歷滿天飛，人們隨處都可以見到制售假文憑的廣告，各種權(quán)學(xué)交易、錢學(xué)交易的博士碩士班也泛濫成災(zāi)。 把對(duì)信息安全的要求，從新員工簽訂勞動(dòng)合同哪一刻起，就烙印在員工的意識(shí)中，比在工作逐漸教育具有更直接的、更明顯的效果。 應(yīng)當(dāng)對(duì)應(yīng)聘人員進(jìn)行背景調(diào)查，并充分的篩選，對(duì)敏感的工作尤其要仔細(xì)甑別。在信息業(yè)高達(dá)發(fā)達(dá)的美國(guó)，在最近一次對(duì) 600 名 CIO 的調(diào)查表明： ? 將近三分之二（ 66%）的被調(diào)查者說，他們公司沒有完整的信息安全政策，這就意味著無(wú)法對(duì)員工進(jìn)行有效的管理。公安部曾作過統(tǒng)計(jì)， 70％的泄密犯罪來自于內(nèi)部；電腦應(yīng)用單位 80％未設(shè)立相應(yīng)的安全管理體系； 58％無(wú)嚴(yán)格的管理制度。 比較敏感性信息分類及管理策略如下：（略） 非常敏感的信息： 影響公司成功的核心商業(yè)機(jī)密、運(yùn)營(yíng)信息、人事信息、財(cái)務(wù)信息、技術(shù)信息、源代碼等。 在對(duì)信息資產(chǎn)做標(biāo)注時(shí)，應(yīng)在顯著位置寫上 “ABC 機(jī)密 ”。有些敏感信息比如電話號(hào)碼薄，公司一般性信息，人事情況等，只需采用一般的保護(hù)措施，不需要像前一種數(shù)據(jù)那樣嚴(yán)格。（例如，員工不應(yīng)該把 ABC 公司的機(jī)密信息遺留在無(wú)人值守的會(huì)議室里） 范圍 ABC 公司的所有信息可以分成兩種類型：公開信息與機(jī)密信息。 第 17 頁(yè) 四、案例 下面是一個(gè)簡(jiǎn)化的信息敏感性分類策略的案例，供讀者參考： ABC 科技股份有限公司 信息敏感性分類策略 目標(biāo) 制定信息敏感性分類政策是為了幫助員工判斷什么樣的信息的可以向非組織成員開放，什么樣的信息屬于敏感信息，未經(jīng)適當(dāng)授權(quán)不得向外界透露。 ? 銷毀 對(duì)于那些含有被劃定為敏感或者重要信息的應(yīng)用系統(tǒng)，其輸出應(yīng)當(dāng)帶有適當(dāng)?shù)姆诸悩?biāo)識(shí)。 (3) 控制措施－信息的標(biāo)識(shí)與處理 ? 應(yīng)當(dāng)制定信息標(biāo)識(shí)及處理的程序，以符合組織所采行的分類法則。組織制定信息分類指南時(shí)應(yīng)當(dāng)考慮到這些情況。解釋其它組織發(fā)送過來的文件上的標(biāo)簽時(shí)應(yīng)當(dāng)十分小心，相同或者相似的標(biāo)簽名稱可能具有不同的含義。一般說來，信息分類是一種處理和保護(hù)該信息的簡(jiǎn)捷方法。有的信息資產(chǎn)可能需要額外保護(hù)或者特殊處理。 在對(duì)資產(chǎn)賦予價(jià)值時(shí)，一方面要考慮資產(chǎn)購(gòu)買成本及維護(hù)成本，另一方面也要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營(yíng)的負(fù)面影響程度。評(píng)估資產(chǎn)最簡(jiǎn)單的方式就是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有價(jià)值的資產(chǎn)，然后對(duì)資產(chǎn)賦予一定的價(jià)值，這種價(jià)值應(yīng)該反映資產(chǎn)對(duì)組織業(yè)務(wù)運(yùn)營(yíng)的重要性，并以對(duì)業(yè)務(wù)的潛在影響程度表現(xiàn)出來。為了資產(chǎn)評(píng)估的一致性與準(zhǔn)確性，組織應(yīng)當(dāng)建立一個(gè)資產(chǎn)的價(jià)值評(píng)估標(biāo)準(zhǔn)，對(duì)每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個(gè)價(jià)值。 ? 對(duì)每一項(xiàng)信息資產(chǎn)，組織的管理者應(yīng)指定專人負(fù)責(zé)其使用和保護(hù)，防止資產(chǎn)被盜、丟失與濫用。 第 14 頁(yè) (2) 控制措施：資產(chǎn)的清單 ? 應(yīng)該列出并維持一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單。 三、控制目標(biāo)與控制措施 控制目標(biāo)－落實(shí)資產(chǎn)責(zé)任 (1) 目標(biāo)： ? 為組織的資產(chǎn)提供適當(dāng)?shù)谋Ｗo(hù)。 我們習(xí)慣于把計(jì)算機(jī)、通訊設(shè)備、磁介質(zhì)等看成信息資產(chǎn)，而不習(xí)慣于把對(duì)組織有重要價(jià)值的檔案資料、人員、企業(yè)形象、服務(wù)等看作是資產(chǎn)，往往忽略了對(duì)這些資產(chǎn)的保護(hù)，而實(shí)際上這些資產(chǎn)對(duì)組織的業(yè)務(wù)持續(xù)性來說是至關(guān)重要的。所有的組織都有他們各自處理信息的形式，例如，銀行、保險(xiǎn)和信用卡公司都需要處理消費(fèi)者信息，衛(wèi)生保健部門需要管理病人 信息，政府管理部門存儲(chǔ)機(jī)密的和分類信息。 中國(guó) 國(guó)家信息安全測(cè)評(píng) 認(rèn)證 中心提供的調(diào)查結(jié)果也得出了相似的結(jié)論。 從統(tǒng)計(jì) 數(shù)據(jù) 我們可以 分析 出，目前在用戶中普遍比較流行的信息資產(chǎn)保護(hù)觀點(diǎn)是：通過部署防病毒 軟件 、防火墻及入侵檢測(cè)系統(tǒng)等邊界保護(hù) 與檢測(cè)設(shè)備來保護(hù)儲(chǔ)存在計(jì)算機(jī)中的數(shù)據(jù)資產(chǎn)免受非法入侵。 復(fù)核： 此方針應(yīng)由高層主管根據(jù)企業(yè)內(nèi)外環(huán)境的變化，適當(dāng)?shù)挠枰孕抻?、公告，以符合形?shì)所需。 ? 信息安全管理人員應(yīng)透過適當(dāng)程序落實(shí)此方針的要求。 五、案例：信息安全方針示例 文件名稱： XXXX 科技股份有限公司信息安全方針 編號(hào)： TFISM001 版次： 機(jī)密等級(jí)： 一般 目 標(biāo)： 為保護(hù)本公司的相關(guān)信息資產(chǎn)，包括軟硬件設(shè)施、數(shù)據(jù)、信息的安全，免于因外在的威脅或 第 10 頁(yè) 內(nèi)部人 員不當(dāng)?shù)墓芾碓馐苄姑?、破壞或遺失等風(fēng)險(xiǎn)，特制訂本政策，以供全體員工共同遵循。 （ 8） 評(píng)估安全政策 安全政策被制訂出來后，要進(jìn)行充分的專家評(píng)估和用戶測(cè)試，以評(píng)審安全政策的完備性、易用性，確定安全政策能否達(dá)到組織所需的安全目標(biāo)。一個(gè)典型的目標(biāo)是：通過防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè) 的實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供保障。 （ 2） 得到管理層的明確支持與承諾 要制定一個(gè)好的信息安全政策，必須與決策層進(jìn)行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個(gè)作用，一是制定的信息安全政策與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全政策時(shí)必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動(dòng)。對(duì)于這種情況，信息安全策略要預(yù)先采取措施，在合理的期限內(nèi)，進(jìn)行相關(guān)安全策略介紹和安全意識(shí)教育培訓(xùn)。 執(zhí)行紀(jì)律 沒有一個(gè)正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。 角色責(zé)任 信息安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求，比如：部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計(jì)算機(jī)系統(tǒng)安全小組等。機(jī)密性是指信息只能由授權(quán)用戶訪問，其他非授權(quán)用戶、或非授權(quán)方式不能訪問。 范圍 信息安全策略應(yīng)當(dāng)有足夠的范圍廣度，包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。 ? 信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故。建立了信息安全政策，就設(shè)置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)信息系統(tǒng)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。 第 6 頁(yè) 具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果而制定的明確具體的管理風(fēng)險(xiǎn)的信息安全實(shí)施規(guī)則。 ISO17799 明確提出：管理層應(yīng)當(dāng)提出一套清晰的政策來指導(dǎo)信息安全實(shí)踐，并且通過在組織內(nèi)發(fā)布和維護(hù)信息安全政策來表明對(duì)信息安全的支持和承諾。安全政策的制定與正確實(shí)施對(duì)組織的安全有著非常重要的作用，不僅能促進(jìn)全體員工參與到保障組織信息安全的行動(dòng)中來，而且能有效地降低由于人為因素所造成的對(duì)安全的損害。 ? 組織通過安全咨詢顧問，來實(shí)施建立組織的安全管理體系 ，以達(dá)到保證組織信息安全的目的。 ISO/IEC17799 強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開放性 ,目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。信息安全管理體系是整個(gè)管理體系的一部分， 建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以開發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息安全。 組織引入信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于組織的重視程度和制度落實(shí)情況。 四、組織實(shí)施 ISO27001 的程序與模式 ISO27001 中詳細(xì)介紹了實(shí)施信息安全管理的方法和程序，用戶可以參照這個(gè)完整的標(biāo)準(zhǔn)制定出自己的安全管理計(jì)劃和實(shí)施步驟。 ? 通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。引入 ISO27001 標(biāo)準(zhǔn)會(huì)給組織帶來以下好處： ? 企業(yè)通過認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、 員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位。當(dāng)您的組織通過了 ISO27001的認(rèn)證 ,就相當(dāng)于通過 ISO9000 的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。它需要全面的綜合管理。 ISO17799 是從 BS7799 轉(zhuǎn)換來的，目前 ISO17799 的最新版本是 ISO17799： 2020，它包含了133 個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)做過程中對(duì)信息安全有影響的元素。 ISO/IEC 17799（ BS 7799）是組織一個(gè)關(guān)鍵的管理工具，它可以用來識(shí)別管理和減小對(duì)組織信息安全的威脅。該標(biāo)準(zhǔn)提供了一個(gè)完整的切入、實(shí)施、維護(hù)和文件化組織內(nèi)部的信 息安全的框架。 這些信息可能是您的價(jià)格表 ，客戶信息，調(diào)研信息，市場(chǎng)計(jì)劃或商務(wù)戰(zhàn)略，您可以試想一下您可以離開這些信息多長(zhǎng)時(shí)間？如果您在談判中的位置，標(biāo)書底價(jià)，產(chǎn)品研究和發(fā)展計(jì)劃或個(gè)人信息落入別有用心的人的手中，將對(duì)您的組織產(chǎn)生什么樣的影響？ 有的組織直到為時(shí)已晚的時(shí)候才認(rèn)識(shí)到信息安全被破壞造成的影響。政府及國(guó)家的機(jī)密網(wǎng) 絡(luò)被黑客輕而易舉地進(jìn)入，公司的機(jī)密信息出現(xiàn)在報(bào)紙上或被人在垃圾桶中發(fā)現(xiàn)，財(cái)務(wù)信息被公布在網(wǎng)站上讓所有人瀏覽，銀行的資產(chǎn)通過網(wǎng)絡(luò)系統(tǒng)流向黑客貪婪的錢袋 …… 像這樣的例子不勝枚舉，同時(shí)每一天我們都能得到來自世界的有關(guān)信息安全被破壞的報(bào)告。 在信息及其處理設(shè)備高度發(fā)達(dá)的今天，所有的組織，無(wú)論其性質(zhì)、大小、國(guó)營(yíng)或私營(yíng)，都依賴于信息而存在。您的組織也許看似安全，但信息可以從不同的渠道泄露。 二、什么是 ISO 17799/ 27001 信息安全管理標(biāo)準(zhǔn)？ ISO17799 信息安全管理標(biāo)準(zhǔn)要求建立一個(gè)完整的信息安全管理體系。企業(yè)的信息如產(chǎn)品定價(jià)、客戶信息、研究成果、市場(chǎng)開發(fā)計(jì)劃或發(fā)展戰(zhàn)略等是企業(yè)賴以生存的寶貴財(cái)富。這 133 個(gè)控制措施被分 第 2 頁(yè) 成 11 個(gè)方面，成為組織實(shí)施信息安全管理的實(shí)用指南，這十一個(gè)方面分別是： 一、安全方針（ Security Policy） 二、信息安全組織（ Security Organization） 三、資產(chǎn)管理（ Asset Management ） 四、人員安全（ Personnel Security） 五、物理與環(huán)境安全（ Physical and Environmental Security） 六、通信與運(yùn)營(yíng)管理 (Communications and Operations Management) 七、訪問控制（ Access Control） 八、系統(tǒng)開發(fā)與維護(hù)（ Systems Development and Maintenance） 九、信息安全事故管理（ Information Incident Management） 十、業(yè)務(wù)持續(xù)性管理（ Business Continuity Management） 十一、法律符合性（ Compliance） ISO27001： 2020 是根據(jù) ISO17799： 2020 制定的一個(gè) ISMS 體系實(shí)施規(guī)范，并可使用該規(guī)范對(duì)組織的信息安全管理體系進(jìn)行審核與認(rèn)證。而引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。 通過進(jìn)行 ISO27001