【正文】 這主要包括： 提醒員工打電話時(shí)采取適當(dāng)保護(hù)措施，如不提敏感信息以免信息被如下人員監(jiān)聽或截獲： 1）員工周圍的人，特別是使用手持電話的人； 2）通過盜線或其它物理方式接觸電話機(jī)或電話線的人，及使用使用手持電話時(shí)用掃描接收器進(jìn)行監(jiān)聽的人；3）在受話人一端的人 提醒員工不得在公開場(chǎng)所、開放的辦公室或墻壁較薄的房間內(nèi)談?wù)摫Ｃ茉掝} 不得在語音答錄機(jī)上留言，因?yàn)檫@些設(shè)備可被非法人員盜聽、或由于撥號(hào)錯(cuò)誤而錄到不正確的地方 提醒員工使用傳真機(jī)所可能導(dǎo)致的問題，如 1）傳真機(jī)內(nèi)存信息被非法提取； 2）故意或非故意地對(duì)傳真機(jī)的程序進(jìn)行 修改導(dǎo)致傳真發(fā)送到別的指定的號(hào)碼上； 3）由于錯(cuò)誤撥號(hào)或錯(cuò)誤使用傳真機(jī)內(nèi)存的號(hào)碼而把傳真錯(cuò)誤地發(fā)到錯(cuò)誤的號(hào)碼上。信息可可能通過非法使用者的進(jìn)入而遺失（參見第 9 條款）。安全意識(shí)或使用設(shè)施流程的缺乏會(huì)導(dǎo)致信息的泄漏，比如，打移動(dòng)電話、使用語音答錄機(jī)時(shí)會(huì)被監(jiān)聽，語音郵件系統(tǒng)被非法進(jìn)入或把傳真錯(cuò)發(fā)給別人等。 應(yīng)采取適當(dāng)?shù)臋C(jī)制對(duì)公共系統(tǒng)上的軟件、數(shù)據(jù)或其它要求高度完整性的信息加以保護(hù)，例如采取電子簽字等（參見 ）。在公共系統(tǒng)上的信息，如通過因特網(wǎng)可存取的網(wǎng)絡(luò)服務(wù)器上的信息，要合乎其所在地區(qū)或所從事交易的地區(qū)的法律的要求。這些提供了機(jī)會(huì)可以通過運(yùn)用文件、電腦、移動(dòng)電腦、移動(dòng)通訊、郵件、語音郵件、語音通訊、多媒體、郵政服務(wù)設(shè)施和傳真機(jī)等的組合更快地傳播訊息并分享商務(wù)信息。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風(fēng)險(xiǎn)。 電子郵件的安全性 安全風(fēng)險(xiǎn) 電子郵件被用作業(yè)務(wù)交流，從而替代了傳統(tǒng)形式的通訊方式如電傳或信件。 公共交易系統(tǒng)應(yīng)向客戶公開其交易條款及規(guī)定 。（參見 條款， 條款和 條款） 貿(mào)易伙伴間的電子商務(wù)安排應(yīng)通過記錄在案的合同加以約束，從而使雙方都能對(duì)合同的貿(mào)易條款作出承諾，包括授權(quán)的細(xì)節(jié)等。應(yīng)當(dāng)采取管制手段防止上列威脅的出現(xiàn)?？刹捎玫拇胧┌ǎ?1）使用上鎖的集裝箱； 2）手頭傳遞； 3）防拆包裝（可顯示任何拆封的痕跡）； 4）在特殊情況下，將發(fā)送的物品分開并通過不同的路線傳遞 電子商務(wù)的安全性 電子商務(wù)可能會(huì)涉及電子數(shù)據(jù)交換、電子郵件和通過因特網(wǎng)之類的公眾網(wǎng)進(jìn)行網(wǎng)上交易等方式的使用。因此，可采用如下管制手段來保護(hù)電腦媒體在兩地傳遞過程中的安全： 使用可靠的傳遞方式或快件服務(wù)。此類協(xié)議的安全內(nèi)容要反映所涉及的業(yè)務(wù)信息的敏感性。同時(shí)，要考慮電子數(shù)據(jù)交換、電子商務(wù)和電子郵件在業(yè)務(wù)和安全方面的隱患及對(duì)其進(jìn)行管制的要求。 單位間的信息和 軟件交換要加以管制，并符合法律的規(guī)定（參見 12 條款） 進(jìn)行上述交換時(shí)要簽署協(xié)議?？煽紤]如下要素（參見 和 ）： 給所有媒體作標(biāo)示（參見 之第一項(xiàng)） 對(duì)存取進(jìn)行限制，以辨別非法人員 保留授權(quán)人員相關(guān)數(shù)據(jù)的正式記錄 確保輸入數(shù)據(jù)的完整性、處理過程得以正確完成及對(duì)輸出的有效確認(rèn) 對(duì)等待輸出的數(shù)據(jù)采取與其敏感性相應(yīng)的保護(hù)措施 把媒體保存在符合制造商規(guī)定的環(huán)境 中 盡量減少數(shù)據(jù)的分發(fā) 對(duì)所有數(shù)據(jù)進(jìn)行清楚標(biāo)示，以引起其合法接收人員的注意 定期對(duì)分發(fā)清單和合法接收人員名單進(jìn)行審訂 系統(tǒng)文件的安全性 系統(tǒng)文件可能載有系列敏感信息，如對(duì)應(yīng)用過程、流程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過程等的描述（參加 ）。 信息移動(dòng)或儲(chǔ)存程序 建立信息 移動(dòng)或儲(chǔ)存流程，確保信息不被非法泄漏或?yàn)E用。 對(duì)敏感物品的處置要進(jìn)行登錄，以便事后進(jìn)行審計(jì)之用。 許多單位對(duì)文件、設(shè)備和媒體的處理采取收購處理的做法。因此，要建立正規(guī)的媒體安全處理流程將此風(fēng)險(xiǎn)降至最低。 媒體的處理 媒體作廢后，應(yīng)對(duì)其進(jìn)行安全處理?？煽紤]如下指導(dǎo)原則： 任何可再用媒體上保留的過去的內(nèi)容如不需要都要加以清除。 采取適當(dāng)操作流程來保護(hù)文件、電腦媒體（磁帶、軟盤、錄音帶等）、輸入輸出數(shù)據(jù)和系統(tǒng)記錄，使之避免被破壞、盜竊和非法存取。 對(duì) 管理活動(dòng)進(jìn)行跟蹤協(xié)調(diào)，使提供的服務(wù)最優(yōu)化，并確保對(duì)整個(gè)信息處理基礎(chǔ)設(shè)施的管制得以持續(xù)進(jìn)行 媒體存取及安全性 目標(biāo)：防止資產(chǎn)損失及企業(yè)活動(dòng)中斷。特別是要考慮如下要素： 在適當(dāng)情況下，把網(wǎng)絡(luò)的操作權(quán)責(zé)和電腦操作劃分開（參見 ） 要建立管理遠(yuǎn)程設(shè)備（包括使用區(qū)域的設(shè)備）的責(zé)任和流程 如有必要，采取特別管制措施保護(hù)通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的保密性和完整性，并保護(hù)聯(lián)結(jié)系統(tǒng)（參見 和 ）。 網(wǎng)絡(luò)管制 實(shí)施一系列管制措施，實(shí)現(xiàn)并保持網(wǎng)絡(luò)安全。 對(duì)跨單 位的網(wǎng)絡(luò)安全管理要格外注意。使用者作出的信息處理或通訊系統(tǒng)的差錯(cuò)報(bào)告要進(jìn)行記錄。登錄數(shù)據(jù)要包括如下信息： 系統(tǒng)啟動(dòng)和關(guān)閉時(shí)間 系統(tǒng)錯(cuò)誤和所采取的修改行動(dòng) 對(duì)數(shù)據(jù)文件和電腦輸出的正確操作的確認(rèn) 登錄人員的名稱 對(duì)操作人員登錄應(yīng)按操作流程進(jìn)行能夠定期審核。 恢復(fù)流程應(yīng)定期審訂測(cè)試，確保其有效性，使其在規(guī)定時(shí)間內(nèi)能夠完成恢復(fù)的任務(wù) 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存等都要加以規(guī)定。對(duì)主場(chǎng)媒體的管制措施也應(yīng)延展到備份文件的保護(hù)。對(duì)重要的業(yè)務(wù)應(yīng)用軟件應(yīng)保留最少三代的備份信息。針對(duì)單個(gè)系統(tǒng)的備份安排要進(jìn)行定期測(cè)試，確保它們符合持續(xù)運(yùn)營計(jì)劃的要求（參見 11 條款）。 資料備份 重要的商業(yè)信息和軟件應(yīng)進(jìn)行定期備份。 儲(chǔ)存管理 目標(biāo)：維護(hù)信息處理及服務(wù)的完整性和可行性。員工要求認(rèn)識(shí)小把戲的危害并知道如何處理之。這種監(jiān)測(cè)可開不用的地方展開，如電力郵件服務(wù)器、桌面電腦或進(jìn)入單位的網(wǎng)絡(luò)時(shí) 防范系統(tǒng)病毒的管理流程及權(quán)責(zé)、其使用方法的培訓(xùn)、報(bào)告和病毒攻擊后的恢復(fù)（參見 和 ） 用于病毒攻擊后恢復(fù)工作的持續(xù)經(jīng)營計(jì)劃，包羅所有必要的數(shù)據(jù)和軟件備份及恢復(fù)安排（參見地 11 條款） 用于檢測(cè)所有侵略性軟件信息的流程，確保警告標(biāo)志的準(zhǔn)確?？煽紤]如下措施： 制定政策要求使用正版軟件，禁止使用盜版軟件（參見 ） 制定政策防范使用外來的軟件或文件的風(fēng)險(xiǎn)（參見 和 ） 安裝并定期升級(jí)防病毒檢測(cè)和修補(bǔ)軟件，用其來掃描電腦和媒體并將其制度化 對(duì)支持關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)進(jìn)行定期監(jiān)測(cè)。 對(duì)非法入侵軟件的防御管理 檢測(cè)并防止非法軟件的入侵，實(shí)施恰當(dāng)?shù)姆婪读鞒獭Ｒ虼?，使用者?yīng)當(dāng)意識(shí)到非法或侵略性軟件的危害；管理人員應(yīng)當(dāng)在必要時(shí)采取特別管制手段來檢測(cè)和防范此類軟件的入侵。 采取措施防止并檢測(cè)侵略性軟件的侵入。采取適當(dāng)?shù)臏y(cè)試來確認(rèn)所有的驗(yàn)收標(biāo)準(zhǔn)都已達(dá)到。管理人員應(yīng)當(dāng)確保新系統(tǒng)驗(yàn)收的要求和標(biāo)準(zhǔn)有清除的定義，并得到同意、記錄和測(cè)試。 管理人員應(yīng)當(dāng)運(yùn)用這些信息來 辨認(rèn)并避免可能對(duì)系統(tǒng)安全或使用者服務(wù)構(gòu)成安全的潛在瓶頸，并事先進(jìn)行適當(dāng)?shù)难a(bǔ)救行動(dòng)規(guī)劃。主框服務(wù)的經(jīng)理人員應(yīng)當(dāng)對(duì)主要系統(tǒng)資源的使用情況進(jìn)行監(jiān)視，包括處理器、主要內(nèi)存、文件儲(chǔ)存、打印機(jī)和其它輸出設(shè)備及通訊系統(tǒng)。這些預(yù)測(cè)要考慮新業(yè)務(wù)和系統(tǒng)的要求及單位信息處理的當(dāng)前和未來走向。在驗(yàn)收和使用前，制定、記錄并測(cè)試新系統(tǒng)的操作要求。 要進(jìn)行事前計(jì)劃和準(zhǔn)備以確保有充足的能力和資源。因此，對(duì)這些風(fēng)險(xiǎn)要事先加以辨認(rèn)，并納入和承包方簽訂的合同當(dāng)中。同時(shí)，管制手段要確?？诹钤谟卯吅篑R上更換。要鼓勵(lì)使用者在不同系統(tǒng)上使用不同的口令，而菜單也要求能顯示適當(dāng)?shù)纳矸荼鎰e指令。這樣，把開發(fā)、測(cè)試和操作設(shè)備隔離開就可以降低發(fā)生 事故或非法存取操作軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。開發(fā)人員和測(cè)試人員也會(huì)構(gòu)成對(duì)操作信息保密性的威脅。在某些系統(tǒng)內(nèi)，這一能力可能會(huì)被濫用來進(jìn)行犯罪活動(dòng)，或引入未經(jīng)測(cè)試的病毒碼。在此情況下，有必要保持一個(gè)已知而穩(wěn)定的環(huán)境，以供開展有意義的測(cè)試，并避免非法開發(fā)人員的存取。因此，要針對(duì)操作、測(cè)試和開發(fā)環(huán)境的隔離考慮必要的隔離級(jí)別，以避免操作上的問題。要制定相關(guān)法規(guī)來控制軟件從開發(fā)部門向操作部門的劃撥。事件的發(fā)起和其授權(quán)要分開考慮。保持安全審計(jì)的獨(dú)立性是非常重要的。 小單位可能覺得這一管制辦法實(shí)施起來比較困難，但應(yīng)盡量參考運(yùn)用其原則和做法。其管制流程要確保： 1）只有經(jīng)過明確授權(quán)并辨明身份的人員才得以接觸系統(tǒng)和數(shù)據(jù)（參見 條款中關(guān)于第三方存取的規(guī)定）； 2）所 有緊急行動(dòng)都要有詳細(xì)的記錄； 3）有序地向管理人員報(bào)告并評(píng)估緊急行動(dòng)計(jì)劃； 4）對(duì)運(yùn)營系統(tǒng)和管制手段完整性的確認(rèn)應(yīng)盡量避免耽擱 部門權(quán)責(zé)劃分 權(quán)責(zé)劃分是降低事故風(fēng)險(xiǎn)和故意濫用系統(tǒng)風(fēng)險(xiǎn)的一個(gè)有效手段。特別是要考慮如下的因素： 對(duì)重大變更的辨別和記錄 對(duì)此類變化的潛在影響的評(píng)估 對(duì)提議的 變更的正式審批流程 把變更的細(xì)節(jié)通知給所有的相關(guān)人員 追究放棄變更或失敗變更恢復(fù)責(zé)任的流程 事故管理程序 要建立事故管理責(zé)任流程制度，確保安全事故發(fā)生后作出快速、有效、有序的反應(yīng)（參見 ）。操作環(huán)境的變更可能會(huì)影響應(yīng)用程序。對(duì)操作程序變更的管制要尤其嚴(yán)格。對(duì)信息處理設(shè)備和系統(tǒng)管制的不充分是引起系統(tǒng)或安全癱瘓的常見原因。 流 程要規(guī)定每個(gè)工作的具體實(shí)行指示，包括： 信息的加工和處理 日程的要求，包括和其它系統(tǒng)的相互依存，最早的工作起始點(diǎn)及最晚的工作結(jié)束日期等 關(guān)于處理工作過程當(dāng)中出現(xiàn)的錯(cuò)誤或其它特殊條件的指示，包括對(duì)系統(tǒng)設(shè)備的使用限制等（參見 ） 出現(xiàn)預(yù)料之外的操作或技術(shù)困難時(shí)尋求支持的聯(lián)絡(luò)方式 特別輸出處理指示，例如如何使用特別的文具或機(jī)密輸出的管理等，包括對(duì)錯(cuò)誤輸出的安全處理 出現(xiàn)系統(tǒng)癱瘓時(shí)的系統(tǒng)重新啟動(dòng)和恢復(fù)流程 和信息處理及通訊設(shè)備有關(guān)的系統(tǒng)整理活動(dòng)要有記錄在案的操作流程，例如電腦啟動(dòng)和關(guān)閉程序、備份、設(shè)備維護(hù)、 電腦房和郵件處理管理及安全流程等。 操作流程的文件化 安全原則中闡明的操作流程應(yīng)有文件記錄并加以存檔。這包括開發(fā)適當(dāng)?shù)牟僮髦笇?dǎo)和事故反應(yīng)流程。 八、 溝通和操作過程管理 操作程序書及權(quán)責(zé) 目標(biāo)：確保雇員能正確、安全地操作信息處理設(shè)備。要進(jìn)行場(chǎng)地檢查以檢測(cè)資產(chǎn)是否被非法挪用。 財(cái)產(chǎn)撤離 單位所屬設(shè)備、信息或軟件未經(jīng)授權(quán)不得撤離。 下班后，要把復(fù)印機(jī)鎖起來（或加以保護(hù)禁止其它方式的非法使用）。 個(gè)人電腦和電腦終端及打印機(jī)在無人使用時(shí)不得置于上網(wǎng)狀態(tài)，并要求有密碼、密碼鎖或其它的保護(hù)措施。 留在桌面上的信息很易于被盜，或在發(fā)生水災(zāi)、火災(zāi)、爆炸時(shí)被毀壞。 桌面及屏幕凈空原則 單位應(yīng)制定并執(zhí)行桌面及屏幕凈空原則，降低工作時(shí)間內(nèi)和工作時(shí)間外的未經(jīng)授權(quán)存取信息、遺失或損壞信息的風(fēng)險(xiǎn)。采取管制手段將損失或毀壞的風(fēng)險(xiǎn)降至最低。 日常管制 目標(biāo)：防止信息或信息處理設(shè)備被毀壞或偷竊。 所有存有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存的敏感信息和授權(quán)專用軟件已被清除或覆蓋。 設(shè)備報(bào)廢或再啟用安全管理 信息通過不經(jīng)心的報(bào)廢處置或重新啟用遺失。 諸如盜竊、損壞和遺失等安全風(fēng)險(xiǎn)在各個(gè)地方的程度不同，因此在各地要因地制宜地制定防護(hù)措施。 隨時(shí)遵守制造商關(guān)于保護(hù)設(shè)備的指示，例如防止設(shè)備接觸強(qiáng)磁場(chǎng)等?？煽紤]采用如下的指導(dǎo)原則： 從單位帶出的設(shè)備或媒介在公共場(chǎng)合要有人照看?？紤]在單位外進(jìn)行信息處理可能導(dǎo)致的風(fēng)險(xiǎn)，在外處理信息所應(yīng)采取的防護(hù)措施在程度上不得亞于單位內(nèi)部的防護(hù)措施。保險(xiǎn)條例的所有要求都要遵守。 對(duì)敏感或關(guān)鍵設(shè)備，可考慮進(jìn)一步的管制措施，如： 1）在檢測(cè)或終點(diǎn)端安裝裝甲防護(hù)電纜導(dǎo)管或上鎖房間或盒子 ； 2）使用備用路徑或傳輸媒介； 3）使用光纖電纜； 4）對(duì)非法掛置在電纜上的物件進(jìn)行定期掃除 設(shè)備的維護(hù)、保養(yǎng) 對(duì)設(shè)備的維護(hù)應(yīng)依據(jù)制造商的指示或規(guī)定的流程進(jìn)行，確保持續(xù)正常的工作狀態(tài)?？煽紤]如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護(hù)措施。所有的樓房都要實(shí)施照明保護(hù)措施，并給所有外部通訊線路安裝照明保護(hù)濾光器。 此外，要在設(shè)備室的緊急出口處安裝緊急電源開關(guān)，用作緊急情況下迅速關(guān)閉電 源。如安裝了發(fā)電機(jī)，應(yīng)當(dāng)按制造商的要求對(duì)其進(jìn)行定期檢測(cè)。對(duì)續(xù)電器要定期檢查其儲(chǔ)電量，并按制造商的指導(dǎo)對(duì)其進(jìn)行測(cè)試。保持供電不中斷的措施包括： 多條供電線路以防某條供電線路出現(xiàn)故障 續(xù)電器（ UPS） 備用發(fā)電機(jī) 支持關(guān)鍵運(yùn)營的設(shè)備要特別考慮使用續(xù)電器，可保證其能正常關(guān)機(jī)或持續(xù)運(yùn)轉(zhuǎn)。 電力供應(yīng) 使設(shè)備避免斷電或其它供電方面的問題。 在工業(yè)環(huán)境下可考慮采用特別的保護(hù)方法，如對(duì)鍵盤套上保護(hù)膜等。 采取管制手段來降低潛在威脅的風(fēng)險(xiǎn)，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定。 處理敏感數(shù)據(jù)的信息處理和存儲(chǔ)設(shè)備的座落要使其在使用時(shí)不被遺漏。 設(shè)備座落及防護(hù) 對(duì)設(shè)備座落加以保護(hù)，使其免受周圍環(huán)境造成的威脅或損壞，并避免未經(jīng)授權(quán)的進(jìn)入。同時(shí)應(yīng)考慮設(shè)備的座落和處置。 設(shè)備應(yīng)從物理上防止受到安全威脅或環(huán)境上的破壞。 進(jìn)入貨物在抵達(dá)時(shí)要進(jìn)行登記（參見 ）。 在交接區(qū)內(nèi)門敞開的情況下，交接區(qū)外門應(yīng)保持關(guān)閉狀態(tài)。可考慮采用如下原則