【正文】 信息安全審核的獨(dú)立性 信息安全政策文件規(guī)定了信息安全的政策和權(quán)責(zé)。 此類審核可由單位內(nèi)部審計(jì)部門開展，也可由獨(dú)立經(jīng)理人或?qū)ｉT從事審核的第三方組織開展，只要這些人員具有適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。 第三方接觸本單位的信息處理設(shè)備要對其進(jìn)行管制。管制內(nèi)容經(jīng)雙方同意，要在合同中加以定義。為此，和第三方簽訂的合同中還應(yīng)涵蓋對此授權(quán)的指定及其存取的條件。 第三方存取的風(fēng)險(xiǎn)鑒別 存取的類別 允許第三方存取的類別至關(guān)重要。應(yīng)考慮的存取類別包括： 物理存取，如辦公室、電腦房、檔案柜等 邏輯存取，如單位的數(shù)據(jù)庫、信息系統(tǒng)等 存取的原因 允許第三方存取可能有若干原因。因此，在有需求接觸其它方信息時(shí)，要進(jìn) 行風(fēng)險(xiǎn)評估，確定管制的要求。 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導(dǎo)致安全隱患?？傮w而言，和第三方簽訂的合同中要反應(yīng)所有有關(guān)的安全要求和內(nèi)部管制手段。 與第三方存取單位簽約時(shí)的安全要求 涉及第三方接觸本單位信息處理設(shè)備的安排應(yīng)當(dāng)基于正式的合同，該合同中要包括或提到所有的安全要求，以便確保符合單位的安全政策和標(biāo)準(zhǔn)。單位在證實(shí)第三方的可靠性方面要做到完全放心。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面系統(tǒng)環(huán)境方面的風(fēng)險(xiǎn)、安全管制和流程。 例如， 合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗(yàn)單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計(jì)權(quán) 條款中所述的條件也可作為此合同考慮的要素。 盡管委外合同可導(dǎo)致一些復(fù)雜的安全問題，其準(zhǔn)則中包括的管制手段可被 用作安全管理計(jì)劃的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。 所有重大的信息資產(chǎn)都要有記錄和主管人員。其主管人員在經(jīng)指定后要分配其在此方面的主要職責(zé)和管制辦法。 5.. 資產(chǎn)的盤點(diǎn) 對資產(chǎn)的盤點(diǎn)可幫助確保有效的資產(chǎn)保護(hù)，也可用于其它經(jīng)營目的，如健康和安全、保險(xiǎn)或財(cái)務(wù)方面的原因。單位要能辨明其資產(chǎn)和這些資 產(chǎn)的相對價(jià)值和重要性。對各個(gè)信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。與信息系統(tǒng)有關(guān)的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊、培訓(xùn)材料、操作和支持流程、持續(xù)經(jīng)營計(jì)劃、存檔信息等 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設(shè)備（包括處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等），通訊設(shè)備（路由器、 PBAX、傳真機(jī)、答錄機(jī)等），磁力媒體（錄音帶、光盤等），其它技術(shù)儀器（電源、空調(diào)設(shè)備等），家具及輔助設(shè)施 服務(wù)：計(jì)算和通訊服務(wù)，通用設(shè)備，如供暖、照明、電、空調(diào)等 信息分類 目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。 信息具有不同的敏感度和重要性。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級別，并采取恰當(dāng)?shù)奶厥馓幹檬侄?。總而言之，對信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個(gè)捷徑。同樣也可按照此類信息對單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。因此，要考慮這些方面，因?yàn)檫^細(xì)的分類會增加額外的費(fèi)用。 還要考慮分類范疇的標(biāo)號及其益處。在接觸和使用別單位的標(biāo)號系統(tǒng)時(shí)要注意，因?yàn)樗麄兊臉?biāo)號雖然和本單位的相同但含義可能完全不同。 信息標(biāo)示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識和操作流程是非常重要的。針對每個(gè)類別，所定義的操作流程要包括如下類型的信息處理活動(dòng)： 復(fù)制 存儲 以郵件、傳真、電子郵件方式進(jìn)行 的傳送 以聲音，包括移動(dòng)電話、語音郵件、答錄機(jī)等方式進(jìn)行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報(bào)告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進(jìn)行物理標(biāo)示，在此情況下需考慮對其進(jìn)行電子標(biāo)示。 安全的權(quán)責(zé)應(yīng)當(dāng)在對員工進(jìn)行聘用的階段就開始實(shí)施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時(shí)時(shí)進(jìn)行監(jiān)督。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。這些要求包括實(shí)施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開展特別安全程序或活動(dòng)時(shí)的具體權(quán)責(zé)。這應(yīng)當(dāng)包括如下內(nèi)容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個(gè)人推薦 對申請人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查 對申請人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證 獨(dú)立的身份認(rèn)證（通過護(hù)照或相應(yīng)的身份證明材料） 工任命或提升員工時(shí)，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處理財(cái)務(wù)信息或其它高度機(jī)密的信息的設(shè)備，單位需要對該員工進(jìn)行信用調(diào)查。 對合同工和臨時(shí)工也要開展類似的審查。 管理人員要對那些新來的或沒有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。 管理人員應(yīng)當(dāng)認(rèn)識到其部下的個(gè)人環(huán)境會影響其工作。對這類信息的處理要 依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以解決。雇員在受雇時(shí)，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 在雇傭合同或條款發(fā)生變動(dòng)時(shí)，特別是員工要離開單位或其合同到期時(shí)，要對保密協(xié)議進(jìn)行審訂。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。 員工的合法 職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé)，應(yīng)得以清楚定義，并包括在員工守則中。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時(shí)間以外，例如在家工作的情況。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至最低限度。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。 安全事故應(yīng)通過適當(dāng)?shù)墓芾砬辣M快加以回報(bào)。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報(bào)告給指定聯(lián)絡(luò)人。 要恰當(dāng)?shù)貙κ鹿蔬M(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見 ）。 要建立正規(guī)的回報(bào)流程和事故反應(yīng)流程，規(guī)定接到事故報(bào)告后應(yīng)采取的行動(dòng)。同時(shí)，建立適當(dāng)?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。 安全漏洞回報(bào) 要求信息服務(wù)用戶記錄并回報(bào)任何其覺察或懷疑存在的安全漏洞。應(yīng)向使用者強(qiáng)調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進(jìn)行論證。 軟件功能障礙回報(bào) 要求建立并遵守軟件功能障礙回報(bào)流程。并馬上通知有關(guān)當(dāng)局。使用的軟盤不得再在其它電腦上使用。 從事故中學(xué)習(xí) 要求建立相應(yīng)機(jī)制，對事故或功能障礙的類型、級別和損失程度進(jìn)行量化、監(jiān)督。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。此類流程可用作警示，防止員工 忽視單位的安全流程。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險(xiǎn)相一致。 信息安全區(qū)的實(shí)體區(qū)隔 單位應(yīng)通過安全實(shí)體區(qū)隔來保護(hù) 信息儲存處理設(shè)施的區(qū)域。單位應(yīng)使用安全防御帶來保護(hù)放置信息處理設(shè)備的區(qū)域（參見 ）。每個(gè)區(qū)隔的位置和力度取決于風(fēng)險(xiǎn)評估的結(jié)果。場所的外墻應(yīng)當(dāng)是堅(jiān)固的建筑物，所有的外門都應(yīng)能防止非法的進(jìn)入，比如通過安裝管制機(jī)制、鐵條、警報(bào) 、安全鎖等。 如有必要，物理區(qū)隔還應(yīng)擴(kuò)展到從地板到天花板的區(qū)間以防止非法進(jìn)入或水、火災(zāi)等造成的環(huán)境污染。 信息安全區(qū)進(jìn)出管制 在信息安全區(qū)采取適當(dāng)出入管制，確保只有經(jīng)授權(quán)的人員得以進(jìn)入。訪問者的進(jìn)入和離開數(shù)據(jù)及其時(shí)間要有記錄。 對敏感信息和信息處理設(shè)備的通路進(jìn)行管制，只有經(jīng)過授權(quán)的人員才得以進(jìn)入。所有進(jìn)入都要求有記錄，并加以妥當(dāng)保存。 對進(jìn)入安全區(qū)域的權(quán)限要定期進(jìn)行審核和更新。選擇和設(shè)計(jì)安全區(qū)時(shí)，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的損壞的可能性。同時(shí)，也要考慮來自鄰近場所的安全威脅，例如來自其它樓宇的漏水等等。 輔助功能設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，要放置在安全區(qū)內(nèi)合適的位置，避免因外人接觸而導(dǎo)致的信息泄漏。 所有的外門的外窗都要安裝合乎職業(yè)標(biāo)準(zhǔn)的入侵檢測系統(tǒng)，并對其進(jìn)行定期檢測。其它區(qū)域也要提供安全保護(hù)，如電腦房和通訊房等。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。除非另加要求，諸如文具等的大宗物品不得儲存在安全區(qū)。 信息安全區(qū)內(nèi)工作守則 為進(jìn)一步加強(qiáng)已采取物理保護(hù)措施的安全區(qū)的安全，應(yīng)制定附加的信息安全區(qū)內(nèi)工作守則。可考慮如下原則： 各人員對安全區(qū)的存 在及其內(nèi)活動(dòng)當(dāng)知之則知之，不當(dāng)知之則不許知之。 無人安全區(qū)應(yīng)采取物理手段加以封閉，并定期查看。同時(shí)，進(jìn)入要進(jìn)行授權(quán)和監(jiān)視。 除非經(jīng)過授權(quán)，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設(shè)備。此類區(qū)域的安全要求必須通過風(fēng)險(xiǎn)評估后才能確定。 交接區(qū)的設(shè)計(jì)應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 把進(jìn)入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對其進(jìn)行檢查，確保沒有潛在危險(xiǎn)存在（參見 ）。 設(shè)備安全 目標(biāo)：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；顒?dòng)的中斷。 有必要對設(shè)備，包括那些外借的設(shè)備，進(jìn)行必要的保護(hù)，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險(xiǎn)。要求有特別的管制手段來保護(hù)對設(shè)備的非法使用，并對諸如電源和電纜基礎(chǔ)設(shè)施等輔助設(shè)備進(jìn)行保護(hù)?？煽紤]如下要素： 設(shè)備座落要做到盡量減少不必要進(jìn)入工作區(qū)的次數(shù)。 需要特別保護(hù)的物品要分開放置，以節(jié)省 額外的保護(hù)措施。 對可能影響信息處理設(shè)備使用的環(huán)境因素進(jìn)行監(jiān)控。 還要考慮附近發(fā)生災(zāi)難時(shí)的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。供電要符合設(shè)備制造商對供電的規(guī)定和要求。同時(shí)，要制定續(xù)電器發(fā)生故障時(shí)的應(yīng)急計(jì)劃。 備用發(fā)電機(jī)主要用作應(yīng)付長時(shí)間的斷電。同時(shí)，要儲備充足的燃料，確保發(fā)電機(jī)能長時(shí)間地發(fā)電。還要安裝緊急照明燈以防緊急斷電。 傳輸設(shè)備安全性 保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的供電和通訊傳輸設(shè)備，使之免于中斷或損壞。 防止網(wǎng)絡(luò)電纜被非法截?cái)嗷蚱茐?，例如通過安裝電纜保護(hù)導(dǎo)管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設(shè)，避免互相干擾?？煽紤]如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過授權(quán)的維護(hù)人員對設(shè)備進(jìn)行檢修和維護(hù) 對所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄 如設(shè)備需要送到單位外面進(jìn)行維修，應(yīng)采取適當(dāng)?shù)墓苤拼胧▍⒁?）。 非管制區(qū)的設(shè)備安全管理 無論設(shè)備產(chǎn)權(quán)如何，使用任何單位以外的設(shè)備進(jìn)行信息處理都要經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)。此處所指的信息處理設(shè)備包括任何家庭用的或從單位帶出的任何形式的個(gè)人電腦、手持電腦、移動(dòng)電話、紙張或其它物品。旅行時(shí)，移動(dòng)電腦應(yīng)作為行李隨身攜帶并進(jìn)行掩飾。 在家工作的管制措施要經(jīng)過風(fēng)險(xiǎn)評估后決定并實(shí)施，例如，可安裝上鎖的保險(xiǎn)柜、采納桌面凈空原則及電腦的存取控制等。關(guān)于保護(hù)移動(dòng)設(shè)備的其它信息可參見 。報(bào)廢處置時(shí)，存有敏感信息的存儲設(shè)備要從物理上加以銷毀，或用安全方式對信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進(jìn)行風(fēng)險(xiǎn)評估，以決定是否對其銷毀、修理或遺棄。 防止信息和信息處理設(shè)備被非法泄漏、修改或盜用。有關(guān)處理和存儲流程詳見 。政策的制定要考慮信息安全分類（參見 ）、相應(yīng)的風(fēng)險(xiǎn)和單位的企業(yè)文化等。 可考慮實(shí)行如下原則： 如有可能，在不用時(shí)，特別是下班后，將文件和電腦媒體鎖在柜子里或其它形式的安全家具中 敏感或關(guān)鍵企業(yè)信息在不用時(shí)，特別是辦公室無人時(shí)，應(yīng)鎖起來（最好是鎖在防火保險(xiǎn)柜或保險(xiǎn)箱里）。 收發(fā)郵件的地點(diǎn)和無人照看的傳真、電掛設(shè)施要加以保護(hù)。 敏感或機(jī)密信息打印出來后要馬上從打印機(jī)上拿走。如有必要，設(shè)備要從網(wǎng)上下來，歸還時(shí)再重新上網(wǎng)。要通知員工場地檢查的事情。 要建立所有信息處理設(shè)備的管理和操作的權(quán)責(zé)及流程。 在適當(dāng)?shù)那闆r下，要對權(quán)責(zé)進(jìn)行劃分（參見 ），以降低瀆職或故意濫 用系統(tǒng)的風(fēng)險(xiǎn)。應(yīng)把操作流程看作正式的文件，其變更需要經(jīng)過管理人員的批準(zhǔn)。 系統(tǒng)變更管制 要對信息處理設(shè)施和系統(tǒng)方面的變化加以管制。因此，要有正式的管理權(quán)責(zé)和流程對所有的設(shè)備、軟件或流程變更進(jìn)行令人滿意的管制。如程序發(fā)生變更，則應(yīng)保持一份記載所有相關(guān)信息的審計(jì)記錄 。如有可能，應(yīng)把操作和應(yīng)用的變更管制流程整合起來（參見 ）。可考慮如下的指導(dǎo)原則：