【正文】 序及其版本。該程序的目的是確定合適的變化不會(huì)對(duì)安全事故的識(shí)別產(chǎn)生不好的影響。這些測(cè)試可事先公布，也可不公布。因此當(dāng)開發(fā)完事故響應(yīng)程序后，應(yīng)廣泛征求意見，找出其不足之處并改進(jìn)。有兩個(gè)好處，其一是有助于事故過(guò)后了解所發(fā)生的事件全過(guò)程；其二是如果要起訴，則有助于法律實(shí)施，對(duì)事故響應(yīng)組也可作為一本參考手冊(cè)，有助于他們處理事故。負(fù)責(zé)人在事故響應(yīng)程序開發(fā)時(shí)就要作出決定，而不是事故發(fā)生時(shí)決定。 事故響應(yīng)的一個(gè)重要部分是決定事故響應(yīng)組的負(fù)責(zé)人，授權(quán)采取行動(dòng)，包括確定系統(tǒng)是否要離線，以及和客戶、新聞機(jī)構(gòu)、律師部門聯(lián)系等。例如，保護(hù)系統(tǒng)和信息是目標(biāo)，那么將系統(tǒng)從網(wǎng)絡(luò)中移走，并進(jìn)行必要的修復(fù)。信息發(fā)布的方式、方法也應(yīng)考慮對(duì)組織的正面效應(yīng)。 在發(fā)布事故消息時(shí)，組織要控制應(yīng)發(fā)布什么樣的信息。而某些不是顯而易見的事故，管理員應(yīng)確定檢查的步驟。 在公布事故以前，應(yīng)由系統(tǒng)管理員做某些檢查，以決定事故是否確實(shí)發(fā)生了。某些事故是顯而易見的，如 Web站點(diǎn)的外貌被損壞。關(guān)鍵是要在事故發(fā)生前確定組織的目標(biāo)。 當(dāng)處理事故時(shí)，事故響應(yīng)程序應(yīng)確定該組織的目標(biāo)，包括保護(hù)組織的系統(tǒng)、保護(hù)組織的信息、恢復(fù)運(yùn)行、起訴肇事者、減少壞的宣傳等。根據(jù)事故的不同，事故響應(yīng)程序應(yīng)確定誰(shuí)有權(quán)處理，以及應(yīng)該做什么，但無(wú)須說(shuō)明如何做。無(wú)論如何，總應(yīng)進(jìn)行監(jiān)控，且歸檔。 一個(gè)組織應(yīng)該有一個(gè)程序歸檔說(shuō)明何時(shí)網(wǎng)絡(luò)通信監(jiān)控發(fā)生。 如采用自動(dòng)工具，程序應(yīng)規(guī)定工具的配置以及希望它如何處理。 來(lái)自各種系統(tǒng)的登錄應(yīng)定期檢查。在審計(jì)時(shí)，安全應(yīng)和系統(tǒng)管理一起工作以檢查系統(tǒng)的一致。 組織的安全策略確定每個(gè)系統(tǒng)的安全要求。 程序應(yīng)確定多長(zhǎng)間隔需進(jìn)行掃描。通常由安全方面掃描漏洞，由系統(tǒng)管理做補(bǔ)丁。 最后，當(dāng)這樣的升級(jí)發(fā)生時(shí)（通常在維護(hù)窗口）該程序應(yīng)做文檔，當(dāng)升級(jí)失敗時(shí)放棄程序。 該程序應(yīng)確定一個(gè)系統(tǒng)管理員多長(zhǎng)時(shí)間檢查新的補(bǔ)丁或從廠家升級(jí)。系統(tǒng)管理程序應(yīng)確定各種和安全相關(guān)的系統(tǒng)管理如何完成。當(dāng)人力資源部認(rèn)定一個(gè)員工離職，將提前通知相應(yīng)的系統(tǒng)管理員，這樣當(dāng)該員工在職的最后一天就可將其賬戶停止。 最重要的用戶管理程序是將離職的員工從系統(tǒng)中除去。員工原來(lái)的管理和新管理者應(yīng)確定換到新崗位上的員工已經(jīng)不需要原來(lái)的訪問或者需要新的訪問。 用戶管理程序 對(duì)工作調(diào)動(dòng)的員工也應(yīng)開發(fā)一個(gè)專門的程序。理想的狀況是新員工請(qǐng)求使用計(jì)算機(jī)資源，該新員工的管理者簽發(fā)批準(zhǔn)，然后系統(tǒng)管理員將為該新員工提供合適的系統(tǒng)和文件的訪問。 應(yīng)為新員工提供一個(gè)正確訪問計(jì)算機(jī)資源的程序。 用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風(fēng)險(xiǎn)的可能。例如，很多組織測(cè)試進(jìn)入的文件附件是否有病毒。也可能在外部郵件的底部指出相應(yīng)的信息必須保護(hù)。 電子郵件可能包含一些敏感信息。 如果組織要對(duì)電子郵件的某些關(guān)鍵字或附件進(jìn)行監(jiān)控，則策略應(yīng)說(shuō)明這類監(jiān)控可能發(fā)生。 郵件策略 電子郵件策略不應(yīng)和其他的人力資源策略相沖突。電子郵件是使組織的敏感信息毫無(wú)價(jià)值的另一種方法。 有些組織為電子郵件的使用開發(fā)了專門的策略。 Inter使用策略規(guī)定了如何合理地使用 Inter，諸如和業(yè)務(wù)有關(guān)的研究、采購(gòu)，或使用電子郵件通信等；確定哪些是非正當(dāng)使用，諸如訪問和業(yè)務(wù)無(wú)關(guān)的 Web站點(diǎn)、下載有版權(quán)的軟件、音樂文件的交易、發(fā)送連鎖郵件等。 Inter的接入可以提高員工的工作效率。 Inter使用策略經(jīng)常包括在通用計(jì)算機(jī)使用策略中。這對(duì)員工是十分重要的，他們應(yīng)了解任何信息有可能被管理員檢查，包括電子郵件。策略應(yīng)規(guī)定誰(shuí)可以裝載授權(quán)軟件以及怎樣成為合法軟件。 使用組織提供的計(jì)算機(jī)還影響到什么軟件加載到系統(tǒng)。 有時(shí)，組織允許員工為了其他目的使用組織的計(jì)算機(jī)。但這不總是一個(gè)很好的假定。某些員工可能使用組織的計(jì)算機(jī)存儲(chǔ)個(gè)人信息，如果策略沒有特殊說(shuō)明，則個(gè)人信息可分開存在私人目錄下，并且非公開的。例如，員工希望在家里做某些工作，組織將為其提供計(jì)算機(jī)，但只有組織提供的計(jì)算機(jī)可通過(guò)遠(yuǎn)程訪問系統(tǒng)接到組織內(nèi)部的計(jì)算機(jī)系統(tǒng)。 策略應(yīng)清楚地說(shuō)明所有計(jì)算機(jī)屬于本組織，并且提供給員工在組織內(nèi)用于工作相一致的用途。安全策略還應(yīng)說(shuō)明密鑰管理需要的過(guò)程。 安全策略應(yīng)確定使用在組織內(nèi)的可接受的加密算法，在信息策略中指出保護(hù)敏感信息的相應(yīng)算法。 安全策略應(yīng)說(shuō)明這些安全程序的要求，包括檢查專門的文件系統(tǒng)的安全程序要求以及當(dāng)這些文件打開時(shí)檢查這些文件。 安全策略應(yīng)確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。因?yàn)樵L問來(lái)自外部，應(yīng)確定一個(gè)強(qiáng)的身份鑒別機(jī)制。安全策略應(yīng)說(shuō)明這類訪問所采用的機(jī)制。這些在標(biāo)準(zhǔn)的配置中是沒有的。僅僅說(shuō)明設(shè)備類型并不意味著說(shuō)明了相應(yīng)的保護(hù)級(jí)別。安全策略應(yīng)確定用于這些連接的安全設(shè)備類型。對(duì)一個(gè)組織來(lái)說(shuō)，應(yīng)嚴(yán)格控制允許多少個(gè)撥號(hào)訪問點(diǎn)，因此應(yīng)公平地限制身份鑒別的要求。也可能描述一個(gè)比通常使用的更強(qiáng)的身份鑒別。 對(duì)撥號(hào)連接，應(yīng)說(shuō)明對(duì)這類連接技術(shù)的鑒別要求。如有可能，安全策略還應(yīng)確定如何檢查審計(jì)記錄以及檢查的時(shí)間間隔。 對(duì)每個(gè)事件應(yīng)捕獲下列信息