【正文】 應急計劃中應包括 UPS 發(fā)生故障如何應付的內(nèi)容。保證連續(xù)供電的方法有： a) 多回路供電，以防止某個回路出現(xiàn)問題，造成斷電事故；b) 不間斷電源 (UPS)； c) 備用發(fā)電機。 電源應該防止設備出現(xiàn)電源故障，防止其它供電不正常的現(xiàn)象。g) 對于在工業(yè)環(huán)境下運行的設備，應考慮使用特殊的保護方法，如在鍵盤表面加一層膜。e) 組織在考慮其策略時，應將在信息處理設備附近就餐、飲水和吸煙的情況考慮進去。c) 應該將需要特殊保護的設備隔離，以降低所需的保護級別。a) 將設備安裝在合適的位置，不到必要時，盡量避免進入工作區(qū)。 設備選址與保護27 / 81應該注重設備的選址與保護，減少來自環(huán)境威脅和危險以及降低非法訪問的風險。還需要考慮設備的位置和選址問題。 應保證設備免受安全方面的威脅和環(huán)境的危害。e) 如果可以（參見 ），在入口處對收下的材料進行登記。c) 當存放物品的區(qū)域內(nèi)部的門打開時，一定要保證外部的門是安全的。a) 只有經(jīng)過確認并授權的人在能從外面進入存放物品的區(qū)域。這類區(qū)域的安全要求由風險評估的情況決定。 e) 除非經(jīng)過授權，不允許使用圖象、視頻、音頻和其它記錄設備。必須對其訪問行為進行授權和監(jiān)視。 c) 關閉無人使用的安全區(qū)域，每隔一段時間，進行一次檢查。 a) 只有在有必要的前提下，才能讓某個個人知道有一個安全區(qū)或安全區(qū)內(nèi)所進行的活動。者包括如何控制在安全區(qū)內(nèi)工作的個人和第三方人員，以及如何控制第三方人員在安全區(qū)以內(nèi)的活動。i) 使應急設備和備份介質(zhì)的存儲位置與主安全區(qū)域保持一個安全距離，以防止主安全區(qū)域發(fā)生的災難事件殃及這些設備。h) 應將危險或易燃材料存儲在安全的地方，與安全區(qū)保持安全距離。f) 由組織自己管理的信息處理設備應與由第三方管理的信息處理設備分開。對無人區(qū)域進行 24 小時的報警監(jiān)視。d) 在沒人的時候，將門窗關閉，還要注意防止有人從窗戶，特別是只有一層的窗戶就可以進入安全區(qū)域。b) 建筑物應該不很顯眼，使人無法察覺該建筑物的用途，在建筑物的內(nèi)外都沒有明顯標志表明建筑物內(nèi)進行者信息處理活動。應考慮以下控制措施。也應該將各種相關的健康和安全方面的規(guī)定和標準考慮在內(nèi)。 辦公場所、房屋和設施的安全保障安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾個房間，安全隔離帶本身也可能是加鎖的并包括幾個可加鎖的小房間或保險箱。 c) 要求所有人員佩帶易于辨認的標識，并鼓勵他們盤問無人陪同的陌生人以及未佩帶標識的人。在對所有訪問行為進行授權和驗證時，應采用一些強制性的控制措施，如使用帶 PIN 的卡進行刷卡。只有來訪者有特定的、經(jīng)過授權的目的時，才能進入安全區(qū)，而且還要告訴他們該區(qū)域的安全要求和緊急情況下的行動步驟。應考慮以下控制措施。 安全區(qū)出入控制措施安全區(qū)應該使用適當?shù)某鋈肟刂拼胧┯枰员Ｗo。d) 如有必要，可進行全方位的防護，以防止有人未經(jīng)授權進入安全區(qū)，以及由火災和水災引起的環(huán)境問題的影響。c) 設立一個人工值守的接待區(qū)域或使用其它方法，將對現(xiàn)場或建筑物的實際訪問限制在適當?shù)膮^(qū)域中。b) 建筑物或某個地方中存放信息處理設備的安全區(qū)的位置應該非常合理（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應隔開）。在需要時，可以考慮并實施以下指導原則和控制措施。安全區(qū)域是用防護設備隔開的一塊區(qū)域，例如通過一堵墻、刷卡才能進入的控制門或人工值守的前臺。每個防護設備都劃分出一個安全區(qū)，這都提高了整體的保護效果。對紙張、介質(zhì)和信息處理設備建議采取桌面清空和屏幕清空策略，降低對紙張、介質(zhì)和信息處理設備進行未經(jīng)授權訪問所帶來的風險和損害。應使這些設備免受未經(jīng)授權的訪問、損害或干擾。7 實際和環(huán)境的安全 安全區(qū)目標： 防止對公司工作場所和信息的非法訪問、破壞和干擾。對那些無視安全工作步驟的雇員24 / 81來說，這種方法就是一種威懾。這需要使用功能更強的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)（參見 ）。 從事故中吸取教訓應該采用一種機制，將事故和故障的類型、規(guī)模和損失進行量化和監(jiān)控。除非得到授權，用戶不要試圖刪除可疑的軟件。不要將磁盤拿到其它計算機上使用。立刻向合適的聯(lián)系人報警。a) 將問題的征兆和屏幕上顯示的消息記錄下來。 軟件故障報告應建立報告軟件故障的程序步驟。應該告訴用戶，在任何情況下，也不要試圖證明一個可疑安全漏洞。 安全漏洞報告應該要求信息服務用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務出現(xiàn)安全漏洞或受到威脅時，立即進行記錄并匯報。應該建立適當?shù)姆答伹溃员ＷC安全事故處理完畢后，報告人能知道該事件的處理結(jié)果。應該建立一套正式的報告安全事故的步驟以及一套安全事故的響應步驟，后者應規(guī)定在收到安全事故報告后，應該采取的行動。要妥善處理安全事故，應在事故發(fā)生后，盡快收集證據(jù) （參見 ）。他們應盡快將觀察到的或可疑的事件報告給事先指定的聯(lián)系人。將影響安全的事故通過適當?shù)墓芾砬辣M快匯報。當然在此之前，必須授予其訪問信息或服務的權限。 信息安全的教育與培訓組織所有員工以及相關的第三方用戶應該就組織策略和程序接受適當?shù)呐嘤柌⒍ㄆ诹私庾钚伦兓?用戶培訓目標： 保證用戶了解信息安全存在的威脅和問題，在正常工作中切實遵守組織安全策略。條款中還應該注明對雇員相關數(shù)據(jù)進行分類和管理方面的責任。條款中還應該包括如果雇員無視安全要求，那么可對其采取措施。 雇傭條款和條件雇傭條款和條件應該規(guī)定員工的信息安全責任。現(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時性員工和第三方用戶的問題，在允許他們訪問信息處理設備之前，應要求他們簽署一份協(xié)議。 保密協(xié)議22 / 81簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。個人或財務上的問題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或痛苦的心情下工作，都會導致欺騙、盜竊、工作出錯或其它安全問題。所有員工的工作都應由高級員工進行定期審查和審核。如果這些員工是代理機構(gòu)介紹的，在與代理機構(gòu)的合同中應該注明以下事項：代理機構(gòu)的選拔責任，以及如果代理機構(gòu)沒有完整執(zhí)行選拔過程，或選拔結(jié)果有疑問時，代理機構(gòu)應遵循的通知本方的步驟。對于具有很高權力的員工，應該定期進行一次此類檢查。審查應包括以下內(nèi)容：a) 是否有令滿意的個人介紹信，可以由某個組織或個人出具；b) 對申請人簡歷的完整性和準確性進行檢查；c) 對申請人聲明的學術和專業(yè)資格進行證實；d) 進行獨立的身份檢查（護照或類似文件）。還應包括實施和維護安全策略的總體責任，以及保護特殊資產(chǎn)、執(zhí)行特殊特別安全程序或活動的責任。所有員工和使用信息處理設施的第三方用戶都應簽署保密（不公開）協(xié)議。 在招聘階段，就應該說明安全責任，將其寫入合同，并在雇用期間進行監(jiān)督。但是，有些信息資產(chǎn)（如電子格式的文檔）不能貼上實際的標簽，需要使用電子方式的標記方法。需要考慮的問題包括：打印出的報告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、磁盤、CD、磁盤）、電子消息和文件的傳輸問題。系統(tǒng)輸出結(jié)果包含敏感或關鍵信息，應帶有相應的分類標記（輸出結(jié)果中）。這些步驟應包括實際存在的信息和電子形式的信息的標記和處理步驟。對信息進行分類，如對文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤進行分類，以及對分類定期審查等，仍由該信息的最初所有者或指定所有者負責執(zhí)行。過于復雜的分類會使人感覺非常麻煩，使用起來很不合算或沒有實用價值。分類指導原則預計到并接受這樣一個事實：信息的分類不是固定不變的，可以根據(jù)預定策略進行更改（參見 ）。經(jīng)過一段時間后，例如該信息已被公之于眾，信息就變得不那么敏感和重要了。應按照信息的價值和對于組織的敏感程度，對信息和系統(tǒng)處理分類數(shù)據(jù)的結(jié)果進行分類。20 / 81 分類原則在對信息進行分類并制定相關的保護性控制措施時，應該考慮以下問題：對共享信息或限制信息共享的業(yè)務需求，以及與這種需求相關的業(yè)務影響，如對信息未經(jīng)授權的訪問或損害。有些信息需要加強保護或進行特別對待。 應該對信息分類，指明其需要、優(yōu)先順序和保護級別。與信息系統(tǒng)相關聯(lián)的資產(chǎn)示例有：a) 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓材料、操作或支持步驟、連續(xù)性計劃、退守計劃、歸檔信息；b) 軟件資產(chǎn)：應用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序；c) 物質(zhì)資產(chǎn)：計算機設備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、通訊設備（路由器、PABX、傳真機、應答機）、磁介質(zhì)（磁帶和磁盤）、其它技術設備（電源 、空調(diào)器）、家具、機房；d) 服務：計算和通訊服務、常用設備，如加熱器、照明設備、電源、空調(diào)。應該明確確認每項資產(chǎn)及其所有權和安全分類。利用以上信息，組織可以根據(jù)資產(chǎn)的重要性和價值提供相應級別的保護。編輯資產(chǎn)清單的過程是資產(chǎn)評估的一個重要方面。資產(chǎn)的責任由資產(chǎn)的指定所有責負責。 應確定所有主要資產(chǎn)的所有者，并分配維護該資產(chǎn)的責任。所有主要的信息資產(chǎn)應進行登記，并指定資產(chǎn)的所有人。盡管外包合同會帶來一些復雜的安全問題，本業(yè)務規(guī)則中的控制措施可以作為一個認可安全管理計劃的結(jié)構(gòu)和內(nèi)容的起點。19 / 81合同中應該包括 中的列表列出的條款。 外包合同的安全要求如果將所有或部分信息系統(tǒng)、網(wǎng)絡和/或桌面環(huán)境的管理和控制進行外包，則應在雙方簽定的合同中反映組織的安全要求。 外包目標： 在將信息處理責任外包給另一組織時保障信息安全。在合約中應考慮以下條款：a) 信息安全的常規(guī)策略；b) 對資產(chǎn)的保護，包括：1) 保護包括信息和軟件在內(nèi)的組織資產(chǎn)的步驟；2) 確認資產(chǎn)的安全是否受到威脅的步驟，如數(shù)據(jù)丟失或被修改；3) 相應的控制措施，以保證在合同終止時，或在合同執(zhí)行期間某個雙方認可的時間點，將信息和資產(chǎn)歸還或銷毀；4) 完整性和可用性；5) 嚴格限制復制信息和泄露信息；c) 說明每個可提供的服務；d) 期望的服務水平和不可接受的服務水平；e) 在適當?shù)臅r候撤換員工的規(guī)定；f) 達成各方義務的協(xié)議；g) 與法律事務相關的責任（例如，數(shù)據(jù)保護法規(guī)）。應確保組織和第三方之間對合同內(nèi)容不存在任何歧義。只有實施了相應的控制措施，并在合同中明確規(guī)定了連接或訪問的條款，才能允許第三方訪問信息和使用信息處理設備。通常，第三方訪問會帶來新的安全要求或內(nèi)部控制措施，這些都應該在與第三方的合同中體現(xiàn)出來（另請參見 ）。第三方在現(xiàn)場的情況有：a) 硬件和軟件的支持維護人員；b) 清潔人員、送餐人員、保安以及其它外包的支持服務人員；c) 為學生提供的職位和其它臨時性的短期職位；d) 咨詢?nèi)藛T。還需要考慮以下因素：所需的訪問類型、信息的價值、第三方所使用的控制措施以及該訪問對該組織信息的安全性可能帶來的影響。如果不進行充分的安全管理就允許第三方訪問數(shù)據(jù)，則信息被置于很危險的境地。 訪問理由允許第三方訪問有以下理由。例如，通過網(wǎng)絡連接進行訪問所帶來的風險與實際訪問所帶來的風險截然不同。 在制定這類合約或考慮信息處理外包時，可以將本標準作為一個基礎。 第三方的訪問可能涉及到其它人員。 16 / 81如果存在對第三方訪問的業(yè)務需求，必須進行風險評估，以確定所涉及的安全問題和控制要求。 第三方訪問的安全性目標： 維護第三方訪問的組織信息處理設施和信息資產(chǎn)的安全性。（參見 ）。 信息安全的獨立評審信息安全策略文檔（參見 ）制定了信息安全的策略和責任。同樣的，也應該考慮加入安全組織和業(yè)界論壇。盡管多數(shù)內(nèi)部安全調(diào)查是在管理層的控制下進行的，但仍然應該邀請安全顧問，傾聽他們的建議，或由他們領導、實施這一調(diào)研活動。為得到最高的效率和最好的效果，信息安全顧問可以直接與管理層聯(lián)系。信息安全顧問或其它專家應負責為信息安全的各種問題提供建議，這些意見既可以來自他們本人，也可以來自外界。在這種情況下，我們建議專家負責協(xié)調(diào)公司內(nèi)部的知識和經(jīng)驗資源，以確保協(xié)調(diào)一致，并在安全決策方面提供幫助。理想情況下，一位資深的全職信息安全顧問應該提出以下建議。在聯(lián)網(wǎng)的環(huán)境中，這些控制措施特別重要。d) 使用個人信息處理工具處理業(yè)務信息和其它必要的控制措施應得到授權。b) 如果需要，應檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。a) 新設施應獲得適當?shù)挠脩艄芾韺徍?，授權新設施的范圍和使用。 信息處理設施的授權程序?qū)τ谛碌男畔⑻幚碓O施，應該制定管理授權程序。b) 應該確定負責各個資產(chǎn)和安全進程的管理人員，并記錄責任的具體落實情況。一定要明確說明各個管理人員所負責的范圍；特別是要明確以下范圍。信息資產(chǎn)的所有者將其所承擔的安全責任委托給各個管理人員或服務提供商。但是，資源管理以及實施控制措施仍由各個管理人員負責。應明確說明對各個實際資產(chǎn)和信息資產(chǎn)以及安全進程（如業(yè)務連續(xù)性規(guī)劃）的保護責任。信息安全策略（請參閱條款 3）應提供在組織內(nèi)分配安全任務和責任的一般指導原則。通常，這類論壇：a) 就整個公司的信息安全的作用和責任達成一致；14 / 81b) 就信息安全的特定方法和處理過程達成一致，如風險評估、安全分類系統(tǒng)；c) 就整個公司的信息安全活動達成一致并提供支持，例如安全警報程序；d) 確保將安全作為制定信息計劃的一個部分；e) 對控制措施是否完善進行評估，并協(xié)調(diào)新系統(tǒng)或新服務的特定信息安全控制措施的實施情況；f) 審查信息安全事故；g) 在整個組織中增加對信息安全工作支持的力度。一個管理人員應負責所有與安全相關的活動。該論壇可以作為目前管理機構(gòu)的一個組成部分。應該建立一個管理論壇，確保對安全措施有一個明確的方向并得到管理層的實際支持。應該鼓勵采用跨學科跨范圍