【正文】 設(shè)備選址與保護(hù) 應(yīng)該注重設(shè)備的選址與保護(hù)，減少來自環(huán)境威。 還需要考慮設(shè)備的位置和選址問題。 應(yīng)保證設(shè)備免受安全方面的威脅和環(huán)境的 危害。 e) 如果可以（參見 ），在入口處對(duì)收下的材料進(jìn)行登記。 c) 當(dāng)存放物品的區(qū)域內(nèi)部的門打開時(shí)，一定要保證外部的門是安全的。 a) 只有經(jīng)過確認(rèn)并授權(quán)的人在能從外面進(jìn)入存放物品的區(qū)域。 這類區(qū)域的安全要求由風(fēng)險(xiǎn)評(píng)估的 情況決定。 e) 除非經(jīng)過授權(quán)，不允許使用圖象、視頻、音頻和其它記錄設(shè)備。 必須對(duì)其訪問行為進(jìn)行授權(quán)和監(jiān)視。 c) 關(guān)閉無人使用的安全區(qū)域，每隔一段時(shí)間，進(jìn)行一次檢查。 a) 只有在有必要的前提下，才能讓某個(gè)個(gè)人知道有一個(gè)安全區(qū)或安全區(qū)內(nèi)所進(jìn)行的活動(dòng)。 者包括如何控制在安全區(qū)內(nèi)工作的個(gè)人和第三方人員，以及如何控制第三方人員在安全區(qū)以內(nèi)的活動(dòng)。 26 i) 使應(yīng)急設(shè)備和備份介質(zhì)的存儲(chǔ)位置與主安全區(qū)域保持一個(gè)安全距離，以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。 h) 應(yīng)將危險(xiǎn)或易燃材 料存儲(chǔ)在安全的地方，與安全區(qū)保持安全距離。 f) 由組織自己管理的信息處理設(shè)備應(yīng)與由第三方管理的信息處理設(shè)備分開。 對(duì)無人區(qū)域進(jìn)行 24 小時(shí)的報(bào)警監(jiān)視。 d) 在沒人的時(shí)候，將門窗關(guān)閉，還要注意防止有人從窗戶，特別是只有一層的窗戶就可以進(jìn)入安全區(qū)域。 b) 建筑物應(yīng)該不很顯眼，使人無法察覺該建筑物的用途，在建筑物的內(nèi)外都沒有明顯標(biāo)志表明建筑物內(nèi)進(jìn)行者信息處理活動(dòng)。 應(yīng)考慮以下控制措施。也應(yīng)該將各種相關(guān)的健康和安全方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。 辦公場(chǎng)所、房屋和設(shè)施的安全保障 安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾 個(gè)房間，安全隔離帶本身也可能是加鎖的并包括幾個(gè)可加鎖的小房間或保險(xiǎn)箱。 c) 要求所有人員佩帶易于辨認(rèn)的標(biāo)識(shí)，并鼓勵(lì)他們盤問無人陪同的陌生人以及未佩帶標(biāo)識(shí)的人。在對(duì)所有訪問行為進(jìn)行授權(quán)和驗(yàn)證時(shí)，應(yīng)采用一些強(qiáng)制性的控制措施，如使用帶 PIN 的卡進(jìn)行刷卡。 只有來訪者 有特定的、經(jīng)過授權(quán)的目的時(shí)，才能進(jìn)入安全區(qū)，而且還要告訴他們?cè)搮^(qū)域的安全要求和緊急情況下的行動(dòng)步驟。 應(yīng)考慮以下控制措施。 安全區(qū)出入控制措施 25 安全區(qū)應(yīng)該使用適當(dāng)?shù)某鋈肟刂拼胧┯枰员Ｗo(hù)。 d) 如有必要，可進(jìn)行全方位的防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入安全區(qū)，以及由火災(zāi)和水災(zāi)引起的環(huán)境問題的影響。 c) 設(shè)立一個(gè)人工值守的接待區(qū)域或使用其它方法，將對(duì)現(xiàn)場(chǎng)或建筑物的實(shí)際訪問限制在適當(dāng)?shù)膮^(qū)域中。 b) 建筑物或某個(gè)地方中存放信息處理設(shè)備的安全區(qū)的位置應(yīng)該非常合理（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開）。在需要時(shí)，可以考慮并實(shí)施以下指導(dǎo)原則和控制措施。 安全區(qū)域是用防護(hù)設(shè)備隔開的一塊區(qū)域，例如通過一堵墻、刷卡才能進(jìn)入的控制門或人工值守的前臺(tái)。 每個(gè)防 護(hù)設(shè)備都劃分出一個(gè)安全區(qū)，這都提高了整體的保護(hù)效果。 對(duì)紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對(duì)紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)和損害。 應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。 7 實(shí)際和環(huán)境 的安全 安全區(qū) 目標(biāo)： 防止對(duì)公司工作場(chǎng)所和信息的非法訪問、破壞和干擾。 對(duì)那些無視安全工作步驟的雇員來說，這種方法就是一種威懾。 這需要使用功能更強(qiáng)的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)（參見 ）。 從事故中吸取教訓(xùn) 應(yīng)該采用一種機(jī)制，將事故和故障的類型、 規(guī)模和損失進(jìn)行量化和監(jiān)控。 除非得到授權(quán)，用戶不要試圖刪除可疑的軟件。不要將磁盤拿到其它計(jì)算機(jī)上使用。 立刻向合適的聯(lián)系人報(bào)警。 a) 將問題的征兆和屏幕上顯示的消息記錄下來。 軟件故障報(bào)告 應(yīng)建立報(bào)告軟件故障的程序步驟。應(yīng)該告訴用戶，在任何情況下，也不要試圖證明一個(gè)可疑安全漏洞。 安全漏洞報(bào)告 應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時(shí)，立即進(jìn)行記錄并匯報(bào)。應(yīng)該建立適當(dāng)?shù)姆答伹?，以保證安全事故處理完畢后，報(bào)告人能知道該事件的處理結(jié)果。 應(yīng)該建立一套正式的報(bào)告安全事故的步驟以及一套安全事故的響應(yīng)步驟，后者應(yīng)規(guī)定在收到安全事故報(bào)告后，應(yīng)該采取的行動(dòng)。 要妥善處理安全事故，應(yīng)在事故發(fā)生后，盡快收集證據(jù) （參見 ）。 他們應(yīng)盡快將觀察到的或可疑的事件報(bào)告給事先指定的聯(lián)系人。 將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。當(dāng)然在此之前，必須授予其訪問信息或服務(wù)的權(quán)限。 信息安全的教育與培訓(xùn) 組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。 用戶培訓(xùn) 目標(biāo)： 保證用戶了解信息安全存在的威脅和問題，在正常工作中切實(shí)遵守組織安全策略。 條款中還應(yīng)該注明對(duì)雇員相關(guān)數(shù)據(jù)進(jìn)行分類和管理方面的責(zé)任。條款中 還應(yīng)該包括如果雇員無視安全要求，那么可對(duì)其采取措施。 雇傭條款和條件 雇傭條款和條件應(yīng)該規(guī)定員工的信息安全責(zé)任。 現(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時(shí)性員工和第三方用戶的問題，在允許他們?cè)L問信息處理設(shè)備之前，應(yīng)要求他們簽署一份協(xié)議。 保密協(xié)議 22 簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。 個(gè)人或財(cái)務(wù)上的問題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或痛苦的心情下工作，都會(huì)導(dǎo)致欺騙、盜竊、工作出錯(cuò)或其它安全 問題 。 所有員工的工作都應(yīng)由高級(jí)員工進(jìn)行定期審查和審核。如果這些員工是代理機(jī)構(gòu)介紹的，在與代理機(jī)構(gòu)的合同中應(yīng)該注明以下事項(xiàng)：代理機(jī)構(gòu)的選拔責(zé)任，以及如果代理機(jī)構(gòu)沒有完整執(zhí)行選拔過程，或選拔結(jié)果有疑問時(shí)，代理機(jī)構(gòu)應(yīng)遵循的通知本方的步驟。 對(duì)于具有很高權(quán)力的員工，應(yīng)該定期進(jìn)行一次此類檢查。 審查應(yīng)包括以下內(nèi)容： a) 是否有令滿意的個(gè)人介紹信，可以由某個(gè)組織或個(gè)人出具； b) 對(duì)申請(qǐng)人簡(jiǎn)歷的完整性和準(zhǔn)確性進(jìn)行檢查； c) 對(duì)申請(qǐng)人聲明的學(xué)術(shù)和專業(yè)資格進(jìn)行證實(shí)； d) 進(jìn)行獨(dú)立的身份檢查（護(hù)照或類似文件）。還應(yīng)包括實(shí)施和維護(hù)安全策略的總體責(zé)任，以及保護(hù)特殊資產(chǎn)、執(zhí)行特殊特別安 全程序或活動(dòng)的責(zé)任。 所有員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密（不公開）協(xié)議。 在招聘階段，就應(yīng)該說明安全責(zé)任，將其寫入合同，并在雇用期間進(jìn)行監(jiān)督。但是，有些信息資產(chǎn)（如電子格式的文檔）不能貼上實(shí)際的標(biāo)簽，需要使用電子方式的標(biāo)記 方法。需要考慮的問題包括：打印出的報(bào)告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、磁盤、 CD、磁盤）、電子消息和文件的傳輸問題。 系統(tǒng)輸出結(jié)果包含敏感或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類標(biāo)記（輸出結(jié)果中）。這些步驟應(yīng)包括實(shí)際存在的信息和電子形式的信息的標(biāo)記和處理步驟。對(duì)信息進(jìn)行分類，如對(duì)文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤進(jìn)行分類，以及對(duì)分類定期審查等，仍由該信息的最初所有者或指定所有者負(fù)責(zé)執(zhí)行。 過于復(fù)雜的分類會(huì)使人感覺非常麻煩，使用起來很不合算或沒有實(shí)用價(jià)值。 分類指導(dǎo)原則預(yù)計(jì)到并接受這樣一個(gè)事實(shí)：信息的分類不是固定不變的，可以根據(jù)預(yù)定策略進(jìn)行更改（參見 ）。 經(jīng)過一段時(shí)間后，例如該信息已被公之于眾，信息就變得不那么敏感和重要了。應(yīng)按照信息的價(jià)值和對(duì)于組織的敏感程度，對(duì)信息和系統(tǒng)處理分類數(shù)據(jù)的結(jié)果進(jìn)行分類。 分類原則 在對(duì)信息進(jìn)行分類并制定相關(guān)的保護(hù)性控制措施時(shí)，應(yīng)該考慮以下問題：對(duì)共享信息或 限制信息共享的業(yè)務(wù)需求，以及與這種需求相關(guān)的業(yè)務(wù)影響，如對(duì)信息未經(jīng)授權(quán)的訪問或損害。 有些信息需要加強(qiáng)保護(hù)或進(jìn)行特別對(duì)待。 應(yīng)該對(duì)信息分類，指明其需要、優(yōu)先順序和保護(hù)級(jí)別。 與信息系統(tǒng)相關(guān)聯(lián)的資產(chǎn)示例有： a) 信息資產(chǎn)： 數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊(cè)、培訓(xùn)材料、操作或支持步驟、連續(xù)性計(jì)劃、退守計(jì)劃、歸檔信息； b) 軟件資產(chǎn)： 應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實(shí)用程序； c) 物質(zhì)資產(chǎn)： 計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、 通訊設(shè)備（路由器、 PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶和磁盤）、其它技術(shù)設(shè)備（電源 、空調(diào)器）、家具、機(jī)房； d) 服務(wù)： 計(jì)算和通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空調(diào)。 應(yīng)該明確確認(rèn)每項(xiàng)資產(chǎn)及其所有權(quán)和安全分類。利用 以上信息，組織可以根據(jù)資產(chǎn)的重要性和價(jià)值提供相應(yīng)級(jí)別的保護(hù)。 編輯資產(chǎn)清單的過程是資產(chǎn)評(píng)估的一個(gè)重要方面。 資產(chǎn)的責(zé)任由資產(chǎn)的指定所有責(zé)負(fù)責(zé)。 應(yīng)確定所有主要資產(chǎn)的所有者，并分配維護(hù)該資產(chǎn)的責(zé)任。 所有主要的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。 盡管外包合同會(huì)帶來一些復(fù)雜的安全問題，本業(yè)務(wù)規(guī)則中的控制措施可以作為一個(gè)認(rèn)可安 全管理計(jì)劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。 合同中應(yīng)該包括 中的列表列出的條款。 外包合同的安全要求 如果將所有或部分信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面環(huán)境的管理和控制進(jìn)行外包，則應(yīng)在雙方簽定的合同中反映組織的安全要求。 外包 目標(biāo)： 在將信息處理責(zé)任外包給另一組織時(shí)保障信息安全。在合約中應(yīng)考慮以下條款： a) 信息安全的常規(guī)策略； b) 對(duì)資產(chǎn)的保護(hù)，包括： 1) 保護(hù)包括信息和軟件在內(nèi)的組織資產(chǎn)的步驟； 2) 確認(rèn)資產(chǎn)的安全是否受到威脅的步驟，如數(shù)據(jù)丟失或被修改； 3) 相應(yīng)的控制措施，以保證在合同終止時(shí)，或在合同執(zhí)行期間某個(gè)雙 方認(rèn)可的時(shí)間點(diǎn)，將信息和資產(chǎn)歸還或銷毀； 4) 完整性和可用性 ； 5) 嚴(yán)格限制復(fù)制信息和泄露信息； c) 說明每個(gè)可提供的服務(wù)； d) 期望的服務(wù)水平和不可接受的服務(wù)水平； e) 在適當(dāng)?shù)臅r(shí)候撤換員工的規(guī)定； f) 達(dá)成各方義務(wù)的協(xié)議； g) 與法律事務(wù)相關(guān)的責(zé)任（例如，數(shù)據(jù)保護(hù)法規(guī)）。 應(yīng)確保組織和第三方之間對(duì)合同內(nèi)容不存在任何歧義。 只有實(shí)施了相應(yīng)的控制措施，并在合同 中明確規(guī)定了連接或訪問的條款，才能允許第三方訪問信息和使用信息處理設(shè)備 。 通常，第三方訪問會(huì)帶來新的安全要求或內(nèi)部控制措施，這些都應(yīng)該在與第三方的合同中體現(xiàn)出來（另請(qǐng)參見 ）。 第三方在現(xiàn)場(chǎng)的情況有： a) 硬件和軟件的支持維護(hù)人員； b) 清潔人員、送餐人員、保安以及其它外包的支持服務(wù)人員； c) 為學(xué)生提供的職位和其它臨時(shí)性的短期職位； d) 咨詢?nèi)藛T。還需要考慮以下因素：所需的訪問類型、信息的價(jià)值、第三方所使用的控制措施以及該訪問對(duì)該組織信息的安全性可能帶來的影響 。 如果不進(jìn)行充分的安全管理就允許第三方訪問數(shù)據(jù)，則信息被置于很危險(xiǎn)的境地 。 訪問理由 允許第三方訪問有以下理由 。 例如，通過網(wǎng)絡(luò)連接進(jìn)行訪問所帶來的風(fēng)險(xiǎn)與實(shí)際訪問所帶來的風(fēng)險(xiǎn)截然不同 。 在制定這類合約或考慮信息處理外包時(shí)，可以將本標(biāo)準(zhǔn)作為一個(gè)基礎(chǔ)。 第三方的訪問可能涉及到其它人員。 如果存在對(duì)第三方訪問的業(yè)務(wù)需求，必須進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定所涉及的安全問題和控制要求。 第三方訪問的安全性 目標(biāo)： 維護(hù)第三方訪問的組織信息處理設(shè)施和信息資產(chǎn)的安全性。（參見 ）。 信息安全的獨(dú)立評(píng)審 信息安全策略文檔（參見 ）制定了信息安全的策略和 責(zé)任。 同樣的，也應(yīng)該考慮加入安全組織和業(yè)界論壇。 盡管多數(shù)內(nèi)部安全調(diào)查是在管理層的控制下進(jìn)行的，但仍然應(yīng)該邀請(qǐng)安全顧問，傾聽他們的建議，或由他們領(lǐng)導(dǎo)、實(shí)施這一調(diào)研活動(dòng) 。為得到最高的效率和最好的效果，信息安全顧問可以直接與管理層聯(lián)系。 信息安全顧問或其它專家應(yīng)負(fù)責(zé)為信息安全的各種問題提供建議，這些意見既可以來自他們本人，也可以來自外界。 在這種情況下，我們建議專家負(fù)責(zé)協(xié)調(diào)公司內(nèi)部的知識(shí)和經(jīng)驗(yàn)資源，以確保協(xié)調(diào)一致，并在安全決策方面提供幫助。 理想情況下，一位資深的全職信息安全顧問應(yīng)該提出以下建 議 。 在聯(lián)網(wǎng)的環(huán)境中，這些控制措施特別重要 。 15 d) 使用個(gè)人信息處理工具處理業(yè)務(wù)信息和其它必要的控制措施應(yīng)得到授權(quán)。 b) 如果需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。 a) 新設(shè)施應(yīng)獲得適當(dāng)?shù)挠?戶管理審核，授權(quán)新設(shè)施的范圍和使用。 信息處理設(shè)施的授權(quán)程序 對(duì)于新的信息處理設(shè)施，應(yīng)該制定管理授權(quán)程序。 b) 應(yīng)該確定負(fù)責(zé)各個(gè)資產(chǎn)和安全進(jìn)程的管理人員，并記錄責(zé)任的具體落實(shí)情況 。 一定要明確說明各個(gè)管理人員所負(fù)責(zé)的范圍；特別是要明確以下范圍 。 信息資產(chǎn)的所有者將其所承擔(dān)的安全責(zé)任委托給各個(gè)管理人員或服務(wù)提供商 。 但是，資源管理以及實(shí)施控制措施仍由各個(gè)管理人員負(fù)責(zé) 。 應(yīng)明確說明對(duì)各個(gè)實(shí)際資產(chǎn)和信息資產(chǎn)以及安全進(jìn)程（如業(yè)務(wù)連續(xù)性規(guī)劃）的保護(hù)責(zé)任 。 信息安全策略（請(qǐng)參閱條款 3）應(yīng)提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一般指導(dǎo)原則。 通常，這類論壇： 14 a) 就整個(gè)公司的信息安全的作用和責(zé)任達(dá)成一致 ； b) 就信息安全的特定方法和處理過程達(dá)成一致，如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng) ； c) 就整個(gè)公司的信息安全活動(dòng)達(dá)成一致并提供支持，例如安全警報(bào)程序 ； d) 確保將安全作為制定信息計(jì)劃的一個(gè)部分 ； e) 對(duì)控制措施是否完善進(jìn)行評(píng)估，并協(xié)調(diào)新系統(tǒng)或新服務(wù)的特定信息安全控制措施的實(shí)施情況 ； f) 審查信息安全事故； g) 在整個(gè)組 織中增加對(duì)信息安全工作支持的力度。 一個(gè)管理人員應(yīng)負(fù)責(zé)所有與安全 相關(guān)的活動(dòng)