【正文】 信息處理設(shè)施的授權(quán)程序 ............................................ 14 專家信息安全建議 .................................................. 15 組織間的合作 ...................................................... 15 信息安全的獨(dú)立評審 ................................................ 15 第三方訪問的安全性 ............................................... 15 確定第三方訪問的風(fēng)險(xiǎn) .............................................. 16 第三方合同的安全要求 .............................................. 17 外包 .......................................................... 18 外包合同的安全要求 ................................................ 18 5 資產(chǎn)分類管理 ..................................................... 19 資產(chǎn)責(zé)任 ....................................................... 19 資產(chǎn)目錄 ......................................................... 19 信息分類 ....................................................... 19 分類原則 ......................................................... 20 信息標(biāo) 識和處理 .................................................... 20 6 人員安全 ......................................................... 21 責(zé)任定義與資源管理的安全性 ........................................ 21 考慮工作責(zé)任中的安全因素 .......................................... 21 人員選拔策略 ...................................................... 21 保密協(xié)議 ......................................................... 21 8 雇傭條款和條件 .................................................... 22 用戶培訓(xùn) ....................................................... 22 信息安全的教育與培訓(xùn) .............................................. 22 對安全事故和故障的處理 ........................................... 22 安全事故報(bào)告 ...................................................... 23 安全漏洞報(bào)告 ...................................................... 23 軟件故障報(bào)告 ...................................................... 23 從事故中吸取教訓(xùn) .................................................. 23 紀(jì)律檢查程序 ...................................................... 23 7 實(shí)際和環(huán)境的安全 .................................................. 24 安全區(qū) ......................................................... 24 實(shí)際安全隔離帶 .................................................... 24 安全區(qū)出入控制措施 ................................................ 24 辦公場所、房屋和設(shè)施的安 全保障 ..................................... 25 在安全區(qū)中工作 .................................................... 26 與其它區(qū)域隔離的交貨和裝載區(qū)域 ..................................... 26 設(shè)備的安全 ..................................................... 26 設(shè)備選址與保護(hù) .................................................... 27 電源 ............................................................. 27 電纜安全 ......................................................... 28 設(shè)備維護(hù) ......................................................... 28 場外設(shè)備的安全 .................................................... 28 設(shè)備的安全處置與重用 .............................................. 29 常規(guī)控制措施 .................................................... 29 桌面與屏幕管理策略 ................................................ 29 資產(chǎn)處置 ......................................................... 30 8 通信與操作管理 .................................................... 30 操作程序和責(zé)任 .................................................. 30 明確的操作程序 .................................................... 30 操作 變更控制 ...................................................... 31 事故管理程序 ...................................................... 31 責(zé)任劃分 ......................................................... 32 開發(fā)設(shè)施與運(yùn)營設(shè)施分離 ............................................ 32 外部設(shè)施管理 ...................................................... 33 系統(tǒng)規(guī)劃與驗(yàn)收 .................................................. 33 容量規(guī)劃 ......................................................... 33 系統(tǒng)驗(yàn)收 ......................................................... 34 防止惡意軟件 .................................................... 34 惡意軟件的控制措施 ................................................ 35 內(nèi)務(wù)處理 ....................................................... 35 信息備份 ......................................................... 35 操作人員日志 ...................................................... 36 9 錯誤日志記錄 ...................................................... 36 網(wǎng)絡(luò)管理 ....................................................... 36 網(wǎng)絡(luò)控制措施 ...................................................... 37 介質(zhì)處理與安全 .................................................. 37 計(jì)算機(jī)活動介質(zhì)的管理 .............................................. 37 介質(zhì)處置 ......................................................... 37 信息處理程序 ...................................................... 38 系統(tǒng)文檔的安全 .................................................... 38 信息和軟件交換 .................................................. 39 信息和軟件交換協(xié)議 ................................................ 39 傳輸中介質(zhì)的安全 .................................................. 39 電子商務(wù)安全 ...................................................... 40 電子郵件安全 ...................................................... 40 電子辦公系統(tǒng)安全 .................................................. 41 信息公布系統(tǒng) ...................................................... 42 其它的信息交換形式 ................................................ 42 9 訪問控制 ......................................................... 43 訪問控制的業(yè)務(wù)要求 ............................................... 43 訪問控制策略 ...................................................... 43 用戶訪問管理 .................................................... 44 用戶注冊 ......................................................... 44 權(quán)限管理 ......................................................... 45 用戶口令管理 ...................................................... 45 用戶訪問權(quán)限檢查 .................................................. 46 用戶責(zé)任 ....................................................... 46 口令的使用 ....................................................... 46 無人值守的用戶設(shè)備 ................................................ 4