【正文】 ： 只允許經(jīng)過(guò)授權(quán)且已辨明身份的人從樓外進(jìn)入交接區(qū)。 交接區(qū)的隔離 對(duì)交接區(qū)進(jìn)行管制；如有必要，將其與信息處理設(shè)施進(jìn)行隔離，并避免未經(jīng)授權(quán)的進(jìn)入。安全防御帶內(nèi)部具有不同安全要求的區(qū)域之間的通道要采取格外的隔離和防護(hù)措施。 應(yīng)限制第三方輔助服務(wù)人員進(jìn)入安全區(qū)或敏感信息處理設(shè)備，只在必要時(shí)才許其進(jìn)入。 為安全和防止壞人破壞起見(jiàn)，對(duì)安全區(qū)內(nèi)所有工作實(shí)施監(jiān)視。這些包括針對(duì)在 安全區(qū)工作的人員或第三方的管制，也包括對(duì)其活動(dòng)的管制。 備用設(shè)備或媒體工具應(yīng)放置在離設(shè)備稍遠(yuǎn)的地方，以防主場(chǎng)地毀壞時(shí)同時(shí)被毀。 把危險(xiǎn)或易燃品保存到一個(gè)離安全區(qū)適當(dāng)安全距離的地方。 從物理上把本單位管理的信息處理設(shè)備和第三方管理的信息處理設(shè)備進(jìn)行區(qū)隔。無(wú)人區(qū)特別要保持隨時(shí)警戒。 房間無(wú)人時(shí)，門(mén)窗都要上鎖關(guān)閉；窗戶(hù)，特別是一樓的窗戶(hù)，要安裝必要的外部保護(hù)設(shè)施。 可考慮如下的管制手段： 關(guān)鍵設(shè)備的放置要能夠放置公眾的接觸 樓房要防止太過(guò)顯眼，盡量避免顯示其用途，樓內(nèi)外禁止設(shè)置暗指此處有信息處理活動(dòng)的標(biāo)牌或標(biāo)記。還要考慮險(xiǎn)關(guān)的健康和安全條例及標(biāo)準(zhǔn)。 信息安全辦公室、處所、設(shè)備 安全區(qū)域可為上鎖的辦公室或物理意義的安全防御帶內(nèi)的幾間房間，其本身可以上鎖，也可以?xún)?nèi)置上鎖的保險(xiǎn)柜或保險(xiǎn)箱。 所有人員都要求佩戴清晰可見(jiàn)的身份辨認(rèn)標(biāo)志，并鼓勵(lì)對(duì)未經(jīng)陪伴陌生人或任何未佩戴標(biāo)志的人員進(jìn)行盤(pán)問(wèn)。同時(shí)使用身份識(shí)別管制手段，如刷卡或個(gè)人身份號(hào)碼等對(duì)所有準(zhǔn)入進(jìn)行授權(quán)或認(rèn)證。來(lái)訪者只有在有明確經(jīng)過(guò)授權(quán)的任務(wù)時(shí)才允許訪問(wèn)安全區(qū)，并要被告知安全區(qū)內(nèi)的安全要求及緊急流程?？煽紤]如下的管制措施： 監(jiān)視或禁止來(lái)安全區(qū)域的訪問(wèn)者。 安全防御帶內(nèi)所有的防火門(mén)都應(yīng)安裝報(bào)警器，并隨時(shí)處于緊閉狀態(tài)。 在通往場(chǎng)所或樓房的通道上還應(yīng)當(dāng)配備值班接待臺(tái)或其它類(lèi)似機(jī)構(gòu)，確 保只有經(jīng)過(guò)授權(quán)的人員才能得以靠近通往上述場(chǎng)所的通道。 在適當(dāng)?shù)那闆r下可以考慮下列的指導(dǎo)原則和管制手段： 安全防御帶應(yīng)當(dāng)清楚定義 放置信息處理設(shè)備的樓房或場(chǎng)所的防御帶從物理角度應(yīng)當(dāng)非?？煽俊０踩烙鶐Ъ粗笜?gòu)成區(qū)隔的東西，例如是一面墻，一道憑卡片進(jìn)入的門(mén)，或值班的接待臺(tái)等。每個(gè)區(qū)隔都可以提供更高的安全系數(shù)，從而增強(qiáng)總 體的安全水平。建議采用清桌和清屏政策來(lái)降低對(duì)文件、媒體和信息處理設(shè)備非法存取或破壞的風(fēng)險(xiǎn)。 關(guān)鍵或敏感的商業(yè)信息處理設(shè)備應(yīng)放置在安全的區(qū)域，由安全防御帶、適當(dāng)?shù)陌踩琳虾蜏?zhǔn)入管制手段加以保護(hù)，以防它們物理上被非法進(jìn)入、毀壞或干擾。此外，要確保能合理、公正地處理那些被 懷疑是違反安全操作的員工。 違規(guī)處置流程 雇員如違反單位安全政策和流程，應(yīng)通過(guò)正式的違規(guī)處置流程加以處理（參見(jiàn) 和 ）。這類(lèi)信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。 有關(guān)事故應(yīng)馬上回報(bào)給信息安全經(jīng)理。如需要對(duì)設(shè)備進(jìn)行檢查，在重新啟動(dòng)之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下?？梢钥紤]采取如下行動(dòng)： 問(wèn)題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄 如有可能，對(duì)電腦進(jìn)行隔離，并停止繼續(xù)使用。這對(duì)他們自身有益處，因?yàn)樗麄冞M(jìn)行論證的行為有可能被誤認(rèn)為是潛在地錯(cuò)誤使用系統(tǒng)。他們要把這些漏洞或者報(bào)告給管理人員或者直接盡快報(bào)告給服務(wù)提供商。發(fā)生過(guò)的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會(huì)發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類(lèi)事件等（參見(jiàn) ）。所有員工和合同方都應(yīng)認(rèn)識(shí)回報(bào)安全事故的操作流程，并被要求盡快加以回報(bào)。 安全事故回報(bào) 發(fā)現(xiàn)安全事故后，應(yīng)立即通過(guò)適當(dāng)管理渠道回報(bào)。單位要建立正式的處罰條例來(lái)懲治違反安全規(guī)定的 員工。 所有員工和合同方都要認(rèn)識(shí)如何回報(bào)影響單位資產(chǎn)安全的不同類(lèi)型的事故。 易發(fā)事件及故障處理 目標(biāo)：發(fā)生易發(fā)事件及故障時(shí)如何將損害降至最小、監(jiān)督類(lèi)似事件并從中學(xué)習(xí)。 信息安全的教育和培訓(xùn) 單 位的所有職員，以及在必要情況下涉及的第三方用戶(hù)，都應(yīng)定期接受安全政策和流程方面的教育和培訓(xùn)。（參見(jiàn) 和 ） 教育訓(xùn)練 目標(biāo)：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。員工數(shù)據(jù)分類(lèi)和管理方面的職責(zé)也要包括在內(nèi)。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時(shí)應(yīng) 采取的行動(dòng)。 員工守則 該守則應(yīng)載明雇員在信息安全方面的職責(zé)。 沒(méi)有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。 保密協(xié)議 保密協(xié)議的目的是對(duì)信息的保密性加以說(shuō)明。個(gè)人或財(cái)務(wù)上的問(wèn)題會(huì)影響他們的工作，導(dǎo)致行為或生活方式的改變及多次曠工；壓力或憂(yōu)郁的表現(xiàn)可能導(dǎo)致欺詐、 盜竊、錯(cuò)誤或其它安全問(wèn)題。對(duì)所有員工的工作都要進(jìn)行定期審核，審核審批的程序有員工中的某位資深人士來(lái)制定。如果上述人員通過(guò)中介機(jī)構(gòu)推薦給單位，則單位要和該機(jī)構(gòu)簽訂合同，在合同中載明該中介機(jī)構(gòu)要對(duì)被推薦人進(jìn)行審查責(zé)任，以及中介機(jī)構(gòu)在未對(duì)被推薦人進(jìn)行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時(shí)通知單位的必要程序。對(duì)握有大權(quán)的員工此類(lèi)信用調(diào)查更要定期開(kāi)展。 人員任用政策 在單位終身職員申請(qǐng)工作時(shí)，對(duì)其進(jìn)行資格審查。 工作權(quán)責(zé)涵蓋的安全需求 單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見(jiàn) ）。 對(duì)潛在的待聘員工應(yīng)加以仔細(xì)充分的篩選（見(jiàn) ），特別是從事敏感工作的員工。 六 、 個(gè)人信息安全守則 工作執(zhí)掌及資源的安全管理 目標(biāo)：降低錯(cuò)誤、偷竊、欺騙或設(shè)備誤用的風(fēng)險(xiǎn)。 物理標(biāo)示通常是最恰當(dāng)?shù)臉?biāo)示。此標(biāo)示要求能夠反應(yīng)根據(jù) 條款進(jìn)行分類(lèi)的類(lèi)別。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。 對(duì)信息類(lèi)事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤(pán)）分類(lèi)進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來(lái)的的制造者或指定的主管人員來(lái)完成。太復(fù)雜的標(biāo)號(hào)系統(tǒng)用起來(lái)很費(fèi)勁，即不經(jīng)濟(jì)也不實(shí)用。分類(lèi)知道大綱應(yīng)當(dāng)預(yù)測(cè) 并承認(rèn)信息分類(lèi)有時(shí)間性并歲政策變化而變化這一事實(shí)（見(jiàn) ）。 經(jīng)過(guò)一段時(shí)間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開(kāi)信息之后。要對(duì)數(shù)據(jù)分類(lèi)系統(tǒng)的信息和輸出進(jìn)行標(biāo)示，以決定此類(lèi)信息對(duì)單位而言其價(jià)值和敏感度的級(jí)別。 分類(lèi)原則 信息分類(lèi)及相關(guān)的保護(hù)管理辦法應(yīng)符合分享信息或限制信息的要求，符合此類(lèi)需要所帶來(lái)的相關(guān)后果，例如，對(duì)信息的未經(jīng)批準(zhǔn)的使用和毀壞。有些信息需要額外的保護(hù)和處置。 對(duì)信息進(jìn)行分類(lèi)，顯示其用途、優(yōu)先程度和保護(hù)級(jí)別。每個(gè)資產(chǎn)都要清楚辨明，其主管人員及安全類(lèi)別（見(jiàn) ）、現(xiàn)在的位置等都要確認(rèn)并登記?；谶@些信息，單位就可以提供和資產(chǎn)價(jià)值及重要性相應(yīng)的保護(hù)級(jí)別。編制資產(chǎn)盤(pán)點(diǎn)的流程是風(fēng)險(xiǎn)管理的重要方面。實(shí)施管制的任務(wù)可委托給他人，但最后的責(zé)任要由資產(chǎn)的主管人員承擔(dān)。 對(duì)資產(chǎn)的負(fù)責(zé)制度將確保對(duì)其進(jìn)行有效的保護(hù)。 五、 資產(chǎn)分類(lèi)與管理 資產(chǎn)管理權(quán)責(zé) 目標(biāo)：確保信息資產(chǎn)得以適當(dāng)保護(hù)。本合同應(yīng)當(dāng)允許雙方在安全管理計(jì)劃中對(duì)安全要求和流程進(jìn)行擴(kuò)展。 委外加工 處理合約內(nèi)的安全需求 如單位需將其信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面操作環(huán)境系統(tǒng)的管理和管理任務(wù)部分或全部地委托給他方實(shí)施，此方面的安全要求在有關(guān)各方簽訂的合同中加以規(guī)定。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護(hù)，包括 1）保護(hù)單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時(shí)間點(diǎn)歸還或銷(xiāo)毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標(biāo)的服務(wù)水準(zhǔn)和不可接受的服務(wù)水準(zhǔn) 人員調(diào)動(dòng)的規(guī)定 合同雙方各自 的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護(hù)方面的法規(guī)，要特別考慮到在合同牽涉到多國(guó)組織件合作時(shí)各國(guó)法律體系的不同（見(jiàn) ） 知識(shí)產(chǎn)權(quán)和版權(quán)的分配（見(jiàn) ）及合作成果的保護(hù)（見(jiàn) ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標(biāo)記的運(yùn)用如使用者身份證和密碼； 2）對(duì)使用者存取和權(quán)限的授權(quán)過(guò)程； 3）要求準(zhǔn)備一份批準(zhǔn)使用服務(wù)的個(gè)人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評(píng)判標(biāo)準(zhǔn)并對(duì)其進(jìn)行監(jiān)督和回報(bào) 監(jiān)督、撤銷(xiāo)使用者活動(dòng)的權(quán)力 對(duì)合同權(quán)責(zé)進(jìn)行審計(jì)或指定別人對(duì)其審計(jì)的權(quán)力 建立解 決問(wèn)題的升級(jí)流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護(hù)方面的責(zé)任 清晰的回報(bào)結(jié)構(gòu)和業(yè)經(jīng)同意的回報(bào)格式 清晰具體的變化管理流程 確保管制手段得以實(shí)施的物理保護(hù)管制手段和機(jī)制 對(duì)使用者和管理者進(jìn)行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見(jiàn) ） 用于回報(bào)、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標(biāo)：委外加工處理時(shí)相關(guān)信息的安全管理。合同還要確保單位和第三方之間沒(méi)有任何誤會(huì)。例如，如有特殊要求保守信息秘密，就要和第三方簽訂保密協(xié)議（見(jiàn) ） 在相應(yīng)管制手段布置周備或和第三方合同簽訂之前，不得允許第三方存取本單位信息或接觸信息處理設(shè)備。例如，在現(xiàn)場(chǎng)的第三 方可以包括： 硬件和軟件維護(hù)和支持人員 清潔、料理、保安和其它委外的支持服務(wù)人員 學(xué)生員工及其它短期臨時(shí)工作人員 顧問(wèn) 知道需采取哪些管制手段管理第三方對(duì)信息處理設(shè)備的存取至關(guān)重要。同時(shí)，要考慮存取的類(lèi)別、信息的價(jià)值、第三方使用的管制手段，以及讓他方接觸本單位信息的可能后果。例如，這個(gè)第三方可能是在向單位提供服務(wù)，但又不在現(xiàn)場(chǎng)，只能給其一定物理和邏輯存取途徑，比方： 需要系統(tǒng)級(jí)別或低級(jí)別應(yīng)用功能的硬件和軟件支持人員 和本單位交換信息、存取信息系統(tǒng)或分享數(shù)據(jù)庫(kù)的貿(mào)易伙伴或合資公司 如沒(méi)有充足的安全管理，允許第三方存取會(huì)給信息帶來(lái)風(fēng)險(xiǎn)。比如，跨網(wǎng)絡(luò)存取的風(fēng)險(xiǎn)和物理存取的風(fēng)險(xiǎn)是完全不同的。 本標(biāo)準(zhǔn)可用作制定此類(lèi)合同或考慮委外信息加工時(shí)的基礎(chǔ)。 外方存取可能還會(huì)涉及到別的參與方。 如業(yè)務(wù)需求第三方必須接觸本單位 的信息處理設(shè)備，則應(yīng)對(duì)此行為的安全后果和管制要求進(jìn)行風(fēng)險(xiǎn)評(píng)估。 外部存取的安全管理 目標(biāo)：外來(lái)單位存取單位內(nèi)部信息及信息處理設(shè)施時(shí)的安全管理。對(duì)其實(shí)施的審核應(yīng)獨(dú)立開(kāi)展，確保單位的做法恰當(dāng)?shù)胤磻?yīng)了政策的要求，并確保實(shí)施方面的可行性和有效性。 安全信息的交 換要加以嚴(yán)格限制，確保單位的保密信息不被傳給沒(méi)有經(jīng)過(guò)授權(quán)的人員。 組織間合作 和有關(guān)執(zhí)法、監(jiān)管、信息服務(wù)和電訊運(yùn)營(yíng)部門(mén)保持良好的聯(lián)系，確保在安全事故時(shí)能或得其建議以便迅速采取行動(dòng)。 如懷疑出現(xiàn)安全事故或漏洞，應(yīng)盡早向信息安全顧問(wèn)咨詢(xún)，以獲得專(zhuān)家指導(dǎo)或調(diào)查資源。他們對(duì)安全威脅評(píng)估及提出管制建議的質(zhì)量決定了單位信息安全的有效性。擔(dān)此職務(wù)的人要和外部專(zhuān)家保持聯(lián)系，能提出自己經(jīng)驗(yàn)以外的建議。但不是所有單位都想聘用專(zhuān)業(yè)信息安全顧問(wèn)。 專(zhuān)業(yè)信息安全顧問(wèn) 許多單位可能需要專(zhuān)業(yè)信息安全顧問(wèn)。 在公務(wù)場(chǎng)合使用個(gè)人信息處理設(shè)備本身可導(dǎo)致安全漏洞，因此要經(jīng)過(guò)評(píng)估和批準(zhǔn)。 如必要，對(duì)軟件和硬件進(jìn)行檢查，確保其和其它系統(tǒng)部件向匹配。 要考慮如下要素： 新設(shè)施要有適當(dāng)?shù)氖褂谜吖芾韺徟贫?，以此?duì)使用目的和使用情況進(jìn)行審批。 信息資產(chǎn)的負(fù)責(zé)人可將其安全權(quán)責(zé)代理給各部經(jīng)理或服務(wù)提供方，但他對(duì)資產(chǎn)的安全仍負(fù)有最終的責(zé)任，并要求能確認(rèn)代理權(quán)沒(méi)有被濫用或誤用。但是，涉及資源分派和實(shí)施管制的事務(wù)仍應(yīng)交由各部經(jīng)理負(fù)責(zé)。對(duì)各項(xiàng)有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運(yùn)營(yíng)計(jì)劃，也要加以明確定義。 信息安全政策應(yīng)當(dāng)提供單位內(nèi)安全人事和權(quán)責(zé)分配方面的具體指導(dǎo)原則。 部門(mén)間協(xié)調(diào) 在較大的單位內(nèi)，有必要建立一個(gè)由各個(gè)部門(mén)管理代表組成的跨功能信 息安全委員會(huì)來(lái)協(xié)調(diào)信息安全的實(shí)施。該委員會(huì)旨在通過(guò)適當(dāng)?shù)某兄Z和合理的資源分配提攜單位內(nèi)部的安全。 信息安全管理委員會(huì) 信息安全是管理團(tuán)隊(duì)各成員共同承擔(dān)的責(zé)任。同時(shí)，要設(shè)立外部安全顧問(wèn)，以便跟蹤行業(yè)走向，監(jiān)視安全標(biāo)準(zhǔn)和評(píng)估手段，并在發(fā)生安全事故時(shí)建立恰當(dāng)?shù)穆?lián)絡(luò)渠道。 同時(shí)，應(yīng)建立適當(dāng)?shù)男畔踩芾砦瘑T會(huì)對(duì)信息安全政策進(jìn)行審批，對(duì)安全權(quán)責(zé)進(jìn)行分配，并協(xié)調(diào)單位內(nèi)部安全的實(shí)施。為此，要求對(duì)下列事項(xiàng)進(jìn)行定期、有計(jì)劃的審訂： 政策的有效性，可通過(guò)記錄在案的安全事故的性質(zhì)、數(shù)目和影響來(lái)論證 對(duì)運(yùn)營(yíng)效率進(jìn)行管制的成本及影響 技術(shù)變化的影響 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 目標(biāo)：管理單位內(nèi)部的信息安全。 審核與評(píng)估 本政策要求有專(zhuān)人按既定程序?qū)ζ溥M(jìn)行定期檢討和審訂。該文件要闡明管理層對(duì)信息安全的承諾，并提出單位信息安全的管理方法。 管理層應(yīng)制定一套清晰的指導(dǎo)原則，并以此明確表明其對(duì)信息安全及在單位內(nèi)部貫徹實(shí)施信息安全政策的支持和承諾。 風(fēng)險(xiǎn)評(píng)估 對(duì)信息和信息處理設(shè)施的弱點(diǎn)、其所受威脅、后果及其發(fā)生概率的評(píng)估。 完整性被定義為保護(hù)信息和信息加工方法的準(zhǔn)確和完全。 二、術(shù)語(yǔ)與定義 在本文件中，下列術(shù)語(yǔ)其定義如下： 信息安全 對(duì)信息保密性、完整性和可得性的保護(hù)。 一、信息安全范圍 此部分針對(duì)各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。本