【正文】 。 交接區(qū)的隔離 對交接區(qū)進行管制；如有必要，將其與信息處理設(shè)施進行隔離，并避免未經(jīng)授權(quán)的進入。安全防御帶內(nèi)部具有不同安全要求的區(qū)域之間的通道要采取格外的隔離和防護措施。 應(yīng)限制第三方輔助服務(wù)人員進入安全區(qū)或敏感信息處理設(shè)備，只在必要時才許其進入。 為安全和防止壞人破壞起見，對安全區(qū)內(nèi)所有工作實施監(jiān)視。這些包括針對在安全區(qū)工作的人員或第三方的管制，也包括對其活動的管制。 備用設(shè)備或媒體工具應(yīng)放置在離設(shè)備稍遠的地方，以防主場地毀壞時同時被毀。 把危險或易燃品保存到一個離安全區(qū)適當(dāng)安全距離的地方。 從物理上把本單位管理的信息處理設(shè)備和第三方管理的信息處理設(shè)備進行區(qū)隔。無人區(qū)特別要保持隨時警戒。 房間無人時，門窗都要上鎖關(guān)閉；窗戶，特別是一樓的窗戶，要安裝必要的外部保護設(shè)施。 可考慮如下的管制手段： 關(guān)鍵設(shè)備的放置要能夠放置公眾的接觸 樓房要防止太過顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設(shè)置暗指此處有信息處理活動的標牌或標記。還要考慮險關(guān)的健康和安全條例及標準。 信息安全辦公室、處所、設(shè)備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內(nèi)的幾間房間，其本身可以上鎖，也可以內(nèi)置上鎖的保險柜或保險箱。 所有人員都要求佩戴清晰可見的身份辨認標志，并鼓勵對未經(jīng)陪伴陌生人或任何未佩戴標志的人員進行盤問。同時使用身份識別管制手段，如刷卡或個人身份 號碼等對所有準入進行授權(quán)或認證。來訪者只有在有明確經(jīng)過授權(quán)的任務(wù)時才允許訪問安全區(qū)，并要被告知安全區(qū)內(nèi)的安全要求及緊急流程?？煽紤]如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。 安全防御帶內(nèi)所有的防火門都應(yīng)安裝報警器，并隨時處于緊閉狀態(tài)。 在通往場所或樓房的通道上還應(yīng)當(dāng)配備值班接待臺或其它類似機構(gòu)，確保只有經(jīng)過授權(quán)的人員才能得以靠近通往上述場所的通道。 在適當(dāng)?shù)那闆r下可以考慮下列的指導(dǎo)原則和管制手段： 安全防御帶應(yīng)當(dāng)清楚定義 放置信息處理設(shè)備的樓房或場所的防御帶從物理角度應(yīng)當(dāng)非常可靠。安全防御帶即指構(gòu)成區(qū)隔的東西，例如是一面墻，一道憑卡片進入的門，或值班的接待臺等。每個區(qū)隔都可以提供更高的安全系數(shù)，從而增強總體的安全水平。建議采用清桌和清屏政策來降低對文件、媒體和信息處理設(shè)備非法存取或破壞的風(fēng)險。 關(guān)鍵或敏感的商業(yè)信息處理設(shè)備應(yīng)放置在安全的區(qū)域，由安全防御帶、適當(dāng)?shù)陌踩琳虾蜏嗜牍苤剖侄渭右员Ｗo，以防它們物理上被非法進入、毀壞或干擾。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。 違規(guī)處置流程 雇員如違反單位安全政策和流程，應(yīng)通過正式的違規(guī)處置流程加以處理（參見 和 ）。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。 有關(guān)事故應(yīng)馬上回報給信息安全經(jīng)理。如需要對設(shè)備進行檢查，在重新啟動之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。可以考慮采取如下行動： 問題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄 如有可能，對電腦進行隔離，并停止繼續(xù)使用。這對他們自身有益處，因為他們進行論證的行為有可能被誤認為是潛在地錯誤使用系統(tǒng)。他們要把這些漏洞或者報告給管理人員 或者直接盡快報告給服務(wù)提供商。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見 ）。所有員工和合同方都應(yīng)認識回報安全事故的操作流程，并被要求盡快加以回報。 安全事故回報 發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道回報。單位要建立正式的處罰條例來懲治違反安全規(guī)定的員工。 所有員工和合同方都要認識如何回報影響單位資產(chǎn)安全的不同類型的事故。 易發(fā)事件及故障處理 目標：發(fā)生易發(fā)事件及故障時如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。 信息安全的教育和培訓(xùn) 單位的所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面 的教育和培訓(xùn)。（參見 和 ） 教育訓(xùn)練 目標：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時應(yīng)采取的行動。 員工守則 該守則應(yīng)載明雇員在信息安全方面的職責(zé)。 沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。 保密協(xié)議 保密協(xié)議的目的是對信息的保密性加以說明。個人或財務(wù)上的問題會影響他們的工作，導(dǎo)致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導(dǎo)致欺詐、盜竊、錯誤或其它安全問題。對所有員工的工作都要進行定期審核，審核審批的程序有員工中的某位資深人士來制定。如果上述人員通過中介機構(gòu)推薦給單位，則單位要和該機構(gòu)簽訂合同，在 合同中載明該中介機構(gòu)要對被推薦人進行審查責(zé)任，以及中介機構(gòu)在未對被推薦人進行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時通知單位的必要程序。對握有大權(quán)的員工此類信用調(diào)查更要定期開展。 人員任用政策 在單位終身職員申請工作時，對其進行資格審查。 工作權(quán)責(zé)涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標明（見 ）。 對潛在的待聘員工應(yīng)加以仔細充分的篩選（見 ），特別是從事敏感工作的員工。 六、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 目標：降低錯誤、偷竊、欺騙 或設(shè)備誤用的風(fēng)險。 物理標示通常是最恰當(dāng)?shù)臉耸?。此標示要求能夠反?yīng)根據(jù) 條款進行分類的類別。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。 對信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進行定義并進行周期性審訂的任務(wù)應(yīng)由信息原來的的制造者或指定的主管人員來完成。太復(fù)雜的標號系統(tǒng)用起來很費勁，即不經(jīng)濟也不實用。分類知道大綱應(yīng)當(dāng)預(yù)測并承認信息分類有時間性并歲政策變化而變化這一事實（見 ）。 經(jīng)過一段時間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開信息之后。要對數(shù)據(jù)分類系統(tǒng)的信息和輸出進行標示，以決定此類信息對單位而言其價值和敏感度的級別。 分類原則 信息分類及相關(guān)的保護管理辦法應(yīng)符合分享信息或限制信息的要求，符合 此類需要所帶來的相關(guān)后果，例如，對信息的未經(jīng)批準的使用和毀壞。有些信息需要額外的保護和處置。 對信息進行分類，顯示其用途、優(yōu)先程度和保護級別。每個資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認并登記。基于這些信息，單位就可以提供和資產(chǎn)價值及重要性相應(yīng)的保護級別。編 制資產(chǎn)盤點的流程是風(fēng)險管理的重要方面。實施管制的任務(wù)可委托給他人，但最后的責(zé)任要由資產(chǎn)的主管人員承擔(dān)。 對資產(chǎn)的負責(zé)制度將確保對其進行有效的保護。 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 目標：確保信息資產(chǎn)得以適當(dāng)保護。本合同應(yīng)當(dāng)允許雙方在安全管理計劃中對安全要求和流程進行擴展。 委外加工處理合約內(nèi)的安全需求 如單位需將其信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面操作環(huán)境系統(tǒng)的管理和 管理任務(wù)部分或全部地委托給他方實施，此方面的安全要求在有關(guān)各方簽訂的合同中加以規(guī)定。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護，包括 1）保護單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時間點歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標的服務(wù)水準和不可接受的服務(wù)水準 人員調(diào)動的規(guī)定 合同雙方各自的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護方面的法規(guī)，要特別考慮到在合同牽涉到 多國組織件合作時各國法律體系的不同（見 ） 知識產(chǎn)權(quán)和版權(quán)的分配（見 ）及合作成果的保護（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標記的運用如使用者身份證和密碼； 2）對使用者存取和權(quán)限的授權(quán)過程； 3）要求準備一份批準使用服務(wù)的個人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評判標準并對其進行監(jiān)督和回報 監(jiān)督、撤銷使用者活動的權(quán)力 對合同權(quán)責(zé)進行審計或指定別人對其審計的權(quán)力 建立解決問題的升級流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護方面的責(zé) 任 清晰的回報結(jié)構(gòu)和業(yè)經(jīng)同意的回報格式 清晰具體的變化管理流程 確保管制手段得以實施的物理保護管制手段和機制 對使用者和管理者進行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標：委外加工處理時相關(guān)信息的安全管理。合同 還要確保單位和第三方之間沒有任何誤會。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見 ） 在相應(yīng)管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設(shè)備。例如，在現(xiàn)場的第三方可以包括： 硬件和軟件維護和支持人員 清潔、料理、保安和其它委外的支持服務(wù)人 員 學(xué)生員工及其它短期臨時工作人員 顧問 知道需采取哪些管制手段管理第三方對信息處理設(shè)備的存取至關(guān)重要。同時，要考慮存取的類別、信息的價值、第三方使用的管制手段，以及讓他方接觸本單位信息的可能后果。例如，這個第三方可能是在向單位提供服務(wù)，但又不在現(xiàn)場，只能給其一定物 理和邏輯存取途徑，比方： 需要系統(tǒng)級別或低級別應(yīng)用功能的硬件和軟件支持人員 和本單位交換信息、存取信息系統(tǒng)或分享數(shù)據(jù)庫的貿(mào)易伙伴或合資公司 如沒有充足的安全管理，允許第三方存取會給信息帶來風(fēng)險。比如，跨網(wǎng)絡(luò)存取的風(fēng)險和物理存取的風(fēng)險是完全不同的。 本標準可用作制定此類合同或考慮委外信息加工時的基礎(chǔ)。 外方存取可能還會涉及到別的參與方。 如業(yè)務(wù)需求第三方必須接觸本單位的信息處理設(shè)備，則應(yīng)對此行為的安全后果和管制要求進行風(fēng)險評估。 外部存取的安全管理 目標：外來單位存取單位內(nèi)部信息及信息處理設(shè)施時的安全管理。對其實施的審核應(yīng)獨立開展，確保單位的做法恰當(dāng)?shù)胤磻?yīng)了政策的要求，并確保實施方面的可行性和有效性。 安全信息的交換要加以嚴格限制，確保單位的保密信息不被傳給沒有經(jīng)過授權(quán)的人員。 組織間合作 和有關(guān)執(zhí)法、監(jiān)管、信息服務(wù)和電訊運營部門保持良好的聯(lián)系，確保在安全事故時能或得其建議以便迅速采取行動。 如懷疑出現(xiàn)安全事故或漏洞，應(yīng)盡早向信息安全顧問咨詢，以獲得專家指導(dǎo)或調(diào)查資源。他們對安全威脅評估及提出管制建議的質(zhì)量決定了單位信 息安全的有效性。擔(dān)此職務(wù)的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗以外的建議。但不是所有單位都想聘用專業(yè)信息安全顧問。 專業(yè)信息安全顧問 許多單位可能需要專業(yè)信息安全顧問。 在公務(wù)場合使用個人信息處理設(shè)備本身可導(dǎo) 致安全漏洞，因此要經(jīng)過評估和批準。 如必要，對軟件和硬件進行檢查，確保其和其它系統(tǒng)部件向匹配。 要考慮如下要素： 新設(shè)施要有適當(dāng)?shù)氖褂谜吖芾韺徟贫龋源藢κ褂媚康暮褪褂们闆r進行審批。 信息資產(chǎn)的負責(zé)人可將其安全權(quán)責(zé)代理給各部經(jīng)理或服務(wù)提供方，但他對資產(chǎn)的安全仍負有最終的責(zé)任，并要求能確認代理權(quán)沒有被濫用或誤用。但是，涉及資源分派和實施管制的事務(wù)仍應(yīng)交由各部經(jīng)理負責(zé)。對各項有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運營計劃，也要加以明確定義。 信息安全政策應(yīng)當(dāng)提供單位內(nèi)安全人事和權(quán)責(zé)分配方面的具體指導(dǎo)原則。 部門間協(xié)調(diào) 在較大的單位內(nèi)，有必要建立一個由各個部門管理代表組成的跨功能信息安全委員會來協(xié)調(diào)信息安全的實施。該委員會旨在通過適當(dāng)?shù)某兄Z和合理的資源分配提攜單位內(nèi)部的安全。 信息安全管理委員會 信息安全是管理團隊各成員共同承擔(dān)的責(zé)任 。同時，要設(shè)立外部安全顧問，以便跟蹤行業(yè)走向，監(jiān)視安全標準和評估手段，并在發(fā)生安全事故時建立恰當(dāng)?shù)穆?lián)絡(luò)渠道。 同時，應(yīng)建立適當(dāng)?shù)男畔踩芾砦瘑T會對信息安全政策進行審批，對安全權(quán)責(zé)進行分配，并協(xié)調(diào)單位內(nèi)部安全的實施。為此，要求對下列事項進行定期、有計劃的審訂： 政策的有效性，可通過記錄在案的安全事故的性質(zhì)、數(shù)目和影響來論證 對運營效率進行管制的成本及影響 技術(shù)變化的影響 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 目標：管理單位內(nèi)部的信息安全。 審核與評估 本政策要求有專人按既定程序?qū)ζ溥M行定期檢討和審訂。該文件要闡明管理層對信息安全的承諾，并 提出單位信息安全的管理方法。 管理層應(yīng)制定一套清晰的指導(dǎo)原則，并以此明確表明其對信息安全及在單位內(nèi)部貫徹實施信息安全政策的支持和承諾。 風(fēng)險評估 對信息和信息處理設(shè)施的弱點、其所受威脅、后果及其發(fā)生概率的評估。 完整性被定義為保護信息和信息加工方法的準確和完全。 二、術(shù)語與定義 在本文件中，下列術(shù)語其定義如下： 信息安全 對信息保密性、完整性和可得性的保護。 一、信息安全范圍 此部分針對各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。本 條例所描述的指導(dǎo)原則和管制手段也并不一定適合所有單位的情況