【正文】 對各經(jīng)理所負(fù)責(zé)的各安全領(lǐng)域進(jìn)行定義十分重要；特別是要做到如下幾點： 和各系統(tǒng)有關(guān)的資產(chǎn)和安全程序要加以清 楚辨別和定義 負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案 授權(quán)級別要清晰定義并記錄在案 信息處理設(shè)備的授權(quán)流程 要建立起針對新信息處理設(shè)施的管理授權(quán)流程。批準(zhǔn)由負(fù)責(zé)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關(guān)安全政策和要求。 使用個人信息處理設(shè)備處理公務(wù)信息及其相關(guān)必要之管制手段皆需經(jīng)過批準(zhǔn)。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。此職位最好由單位內(nèi)部某位資深信息安全顧問擔(dān)當(dāng)。因此，特建議單位指定一位具體個人來協(xié)調(diào)單位內(nèi)部信息安全知識與經(jīng)驗方面的一致，及輔助該方面的決策。 信息安全顧問或相應(yīng)的外部聯(lián)絡(luò)人員的任務(wù)是根據(jù)自己的或外部的經(jīng)驗，就信息安全的所有方面提出建議。為使其建議的有效性最大化，應(yīng)允許他們接觸全單位管理的各個方面。盡管多數(shù)內(nèi)部安全調(diào)查通常是在管理管制下進(jìn)行，但仍可以委托信息安全顧問提出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。同樣，也應(yīng)考慮參加安全組織和行業(yè)論壇并成為其成員。 信息安全審 核的獨立性 信息安全政策文件規(guī)定了信息安全的政策和權(quán)責(zé)。 此類審核可由單位內(nèi)部審計部門開展，也可由獨立經(jīng)理人或?qū)ｉT從事審核的第三方組織開展，只要這些人員具有適當(dāng)?shù)募寄芎徒?jīng)驗。 第三方接觸本單位的信息處理設(shè)備要對其進(jìn)行管制。管制內(nèi)容經(jīng)雙方同 意，要在合同中加以定義。為此，和第三方簽訂的合同中還應(yīng)涵蓋對此授權(quán)的指定及其存取的條件。 第三方存取的風(fēng)險鑒別 存取的類別 允許第三方存取的類別至關(guān)重要。應(yīng)考慮的存取類別包括： 物理存取，如辦公室、電腦房、檔案柜等 邏輯存取，如單位的數(shù)據(jù)庫、信息系統(tǒng)等 存取的原因 允許第三方存取可能有若干原因。因此，在有需求接觸其它方信息時，要進(jìn)行風(fēng)險評估，確定管制的要求。 現(xiàn)場承包方 按合同規(guī)定可在現(xiàn)場滯留的第三方也可導(dǎo)致安全隱患?？傮w而言，和第三方簽訂的合同中要反應(yīng)所有有關(guān)的安全要求和內(nèi)部管制手段。 與第三方存取單位簽約時的安全要求 涉及第三方接觸本單位信息處理設(shè)備的安排應(yīng)當(dāng)基于正式的合同，該合同中要包括或提到所有的安全要求，以便確保符合單位的安全政策和標(biāo)準(zhǔn)。單位在證實第三方的可靠性方面要做到完全放心。 在各方簽訂的合同中，委外方面的安排要規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面系統(tǒng)環(huán)境方面的風(fēng)險、安全管制和流程。 例如，合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計權(quán) 條款中所述的條件也可作為此合同考慮的要素。 盡管委外合同可導(dǎo)致一些復(fù)雜的安全問題，其準(zhǔn)則中包括的管制手段可被用作安全管理計劃的結(jié)構(gòu)和內(nèi)容的起點。 所有重大的信息資產(chǎn)都要有記錄和主管人員。其主管人員在經(jīng)指定后要分配其在此方面的主要職責(zé)和管制辦法。 5.. 資產(chǎn)的盤點 對資產(chǎn)的盤點可幫助確保有效的資產(chǎn)保護(hù)，也可用于其它經(jīng)營目的，如健康和安全、保險或財務(wù)方面的原因。單位要能辨明其資產(chǎn)和這些資產(chǎn)的相對價值和重要性。對各個信息系統(tǒng)的重要資產(chǎn)都要編制資產(chǎn)清單并加以保存。與信息系統(tǒng)有關(guān)的資產(chǎn)舉些例子可能包括： 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、使用手冊、培訓(xùn)材料、操作和支持流程、持續(xù)經(jīng)營計劃、存檔信息等 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和用具等 物理資產(chǎn)：電腦設(shè)備（包括處理器、顯示器、 筆記本電腦、調(diào)制解調(diào)器等），通訊設(shè)備（路由器、 PBAX、傳真機、答錄機等），磁力媒體（錄音帶、光盤等），其它技術(shù)儀器（電源、空調(diào)設(shè)備等），家具及輔助設(shè)施 服務(wù)：計算和通訊服務(wù)，通用設(shè)備，如供暖、照明、電、空調(diào)等 信息分類 目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。 信息具有不同的敏感度和重要性。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級別，并采取恰當(dāng)?shù)奶厥馓幹檬侄??？偠灾?，對信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個捷徑。同樣也可按照此類信息對單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。因此，要考慮這些方面，因為過細(xì)的分類會增加額外的費用。 還要考慮分類范 疇的標(biāo)號及其益處。在接觸和使用別單位的標(biāo)號系統(tǒng)時要注意，因為他們的標(biāo)號雖然和本單位的相同但含義可能完全不同。 信息標(biāo)示及攜帶 根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識和操作流程是非常重要的。針對每個類別，所定義的操作流程要包括如下類型的信息處理活動： 復(fù)制 存儲 以郵件、傳真、電子 郵件方式進(jìn)行的傳送 以聲音，包括移動電話、語音郵件、答錄機等方式進(jìn)行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進(jìn)行物理標(biāo)示，在此情況下需考慮對其進(jìn)行電子標(biāo)示。 安全的權(quán)責(zé)應(yīng)當(dāng)在對員工進(jìn)行聘用的階段就開始實施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時時進(jìn)行監(jiān)督。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。這些要求包括實施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開展特別安全程序或活動時的具體權(quán)責(zé)。 這應(yīng)當(dāng)包括如下內(nèi)容： 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦 對申請人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查 對申請人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證 獨立的身份認(rèn)證（通過護(hù)照或相應(yīng)的身份證明材料） 工任命或提升員工時，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處理財務(wù)信息或其它高度機密的信息的設(shè)備，單位需要對該員工進(jìn)行信用調(diào)查。 對合同工和臨時工也要開展類似的審查。 管理人員要對那些新來的或沒有經(jīng)驗的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。 管理人員應(yīng)當(dāng)認(rèn)識到其部下的個人環(huán)境會影響其工作。對這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以 解決。雇員在受雇時，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。 在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進(jìn)行審訂。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。 員工的合法職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé)，應(yīng)得以 清楚定義，并包括在員工守則中。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險降至最低限度。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。 安全事故應(yīng)通過適當(dāng)?shù)墓芾砬辣M快加以回報。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給指定聯(lián)絡(luò)人。要恰當(dāng)?shù)貙κ鹿蔬M(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見 ）。 要建立正規(guī)的回報流程和事故反應(yīng)流程，規(guī)定接到事故報告后應(yīng)采取的行動。同時，建立適當(dāng)?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。 安全漏洞回報 要求信息服務(wù)用戶記錄并回報任何其覺察或懷疑存在的安全漏洞。應(yīng)向使用者強調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進(jìn)行論證。 軟件功能障礙回報 要求建立并遵守軟件功能障礙回報流程。并馬上通知有關(guān)當(dāng)局。使用的軟盤不得再在其它電腦上使用。 從事故 中學(xué)習(xí) 要求建立相應(yīng)機制，對事故或功能障礙的類型、級別和損失程度進(jìn)行量化、監(jiān)督。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。此類流程可用作警示，防止員工忽視單位的安全流程。 七、 設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū) 目標(biāo)：保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險相一致。 信息安全區(qū)的實體區(qū)隔 單位應(yīng)通過安全實體區(qū)隔來保護(hù)信息儲存處理設(shè)施的區(qū)域。單位應(yīng)使用安全防御帶來保護(hù)放置信息處理設(shè)備的區(qū)域（參見 ）。每個區(qū)隔的位置和力度取決于風(fēng)險評估的結(jié)果。場所的外墻應(yīng)當(dāng)是堅固的建筑物，所有的外門都應(yīng)能防止非法的進(jìn)入，比如通過安裝管制機制、鐵條、警報、安全鎖等。 如有必要，物理區(qū)隔還應(yīng)擴 展到從地板到天花板的區(qū)間以防止非法進(jìn)入或水、火災(zāi)等造成的環(huán)境污染。 信息安全區(qū)進(jìn)出管制 在信息安全區(qū)采取適當(dāng)出入管制，確保只有經(jīng)授權(quán)的人員得以進(jìn)入。訪問者的進(jìn)入和離開數(shù)據(jù)及其時間要有記錄。 對敏感信息和信息處理設(shè)備的通路進(jìn)行管制，只有經(jīng)過授權(quán)的人員才得以進(jìn)入。所有進(jìn)入都要求有記錄，并加以妥當(dāng)保存。 對進(jìn)入安全區(qū)域的權(quán)限要定期進(jìn)行審核和更新。選擇和設(shè)計安全區(qū)時，應(yīng)考慮火災(zāi)、水災(zāi)、爆炸、暴亂或其它形式的自然或人為災(zāi)害所造成的損壞的可能性。同時，也要考慮來自鄰近場所的 安全威脅，例如來自其它樓宇的漏水等等。 輔助功能設(shè)備，如復(fù)印機、傳真機等，要放置在安全區(qū)內(nèi)合適的位置，避免因外人接觸而導(dǎo)致的信息泄漏。 所有的外門的外窗都要安裝合乎職業(yè)標(biāo)準(zhǔn)的入侵檢測系統(tǒng)，并對其進(jìn)行定期檢測。其它區(qū)域也要提供安全保護(hù)，如電腦房和通訊房等 。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。除非另加要求，諸如文具等的大宗物品不得儲存在安全區(qū)。 信息安全區(qū)內(nèi)工作守則 為進(jìn)一步加強已采取物理保護(hù)措施的安全區(qū)的安全，應(yīng)制定附加的信息安全區(qū)內(nèi)工作守則?？煽紤]如下原則： 各人員 對安全區(qū)的存在及其內(nèi)活動當(dāng)知之則知之，不當(dāng)知之則不許知之。 無人安全區(qū)應(yīng)采取物理手段加以封閉，并定期查看。同時，進(jìn)入要進(jìn)行授權(quán)和監(jiān)視。 除非經(jīng)過授權(quán)，否則在安全區(qū)內(nèi)禁止使用攝影、錄象、錄音或其它記錄儀器設(shè)備。 此類區(qū)域的安全要求必須通過風(fēng)險評估后才能確定。 交接區(qū)的設(shè)計應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 把進(jìn)入的貨物從交接區(qū)轉(zhuǎn)到使用區(qū)之前要對其進(jìn)行檢查，確保沒有潛在危險存在（參見 ）。 設(shè)備安全 目標(biāo)：防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?；顒拥闹袛唷? 有必要對設(shè)備，包括 那些外借的設(shè)備，進(jìn)行必要的保護(hù)，以降低數(shù)據(jù)被非法存取、遺失或破壞的風(fēng)險。要求有特別的管制手段來保護(hù)對設(shè)備的非法使用，并對諸如電源和電纜基礎(chǔ)設(shè)施等輔助設(shè)備進(jìn)行保護(hù)。可考慮如下要素： 設(shè)備座落要做到盡量減少不必要進(jìn)入工作區(qū)的次數(shù)。 需要特別保護(hù)的物品要分開放置，以節(jié)省額外的保護(hù)措施。 對可能影響信息處理設(shè)備使用的環(huán)境因素進(jìn)行監(jiān)控。 還要考慮附近發(fā)生災(zāi)難時的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。供電要符合設(shè)備制造商對供電的規(guī)定和要求。同時，要制定續(xù)電器發(fā)生故障時的應(yīng)急計劃。 備用發(fā)電機主要用作應(yīng)付長時間的斷電。同時，要儲備充足的燃料，確保發(fā)電機能長時間地發(fā)電。還要安裝緊急照明燈以防緊急斷電。 傳輸設(shè)備安全性 保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的供電和通訊傳輸設(shè)備，使之免于中斷或損壞。 防止網(wǎng)絡(luò)電纜被非法截斷或破壞，例如通過安裝電纜保護(hù)導(dǎo)管或避開公眾區(qū)等措施 電源線和通訊線要分開鋪設(shè)，避免互相干擾?？煽紤]如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過授權(quán)的維護(hù)人員對設(shè)備進(jìn)行檢修和維護(hù) 對所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄 如設(shè)備需要送到單位外面進(jìn)行維修，應(yīng)采取適當(dāng)?shù)墓苤拼胧▍⒁?）。 非管制區(qū)的設(shè)備安全管理 無論設(shè)備產(chǎn)權(quán)如何，使用任何單位以外的設(shè)備進(jìn)行信息處理都要經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)。此處所指的信息處理設(shè)備包括任何家庭用的或從單位帶出的任何形式的個人電腦、手持電腦、移動電話、紙張或其它物品。旅行時，移動電腦應(yīng)作為行李隨身攜帶并進(jìn)行掩飾。 在家工作的管制措施要經(jīng)過風(fēng)險評估后決定并實施，例如，可安裝上鎖的保險柜、采納桌面凈空原則及電腦的存取控制等。關(guān)于保護(hù)移動設(shè)備的其它信息可參見 條款。報廢處置時，存有敏感信息的存儲設(shè)備要從物理上加以銷毀，或用安全方式對信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進(jìn)行風(fēng)險評估，以決定是否對其銷毀、修理或遺棄。 防止信息和信息處理設(shè)備被非法泄漏、修改或盜用。有關(guān)處理和存儲流程詳見 條款。政策的制定要考慮信息安全分類（參見 ）、相應(yīng)的風(fēng)險和單位的企業(yè)文化等。 可考慮實行如下原則： 如有可能，在不用時，特別是下班后，將文件和電腦媒體鎖在柜子里或其它形式的安全家 具中 敏感或關(guān)鍵企業(yè)信息在不用時，特別是辦公室無人時，應(yīng)鎖起來（最好是鎖在防火保險柜或保險箱里）。 收發(fā)郵件的地點和無人照看的傳真、電掛設(shè)施要加以保護(hù)。 敏感或機密信息打印出來后要馬上從打印機上拿走。如有必要，設(shè)備要從網(wǎng)上下來，歸還時再重新上網(wǎng)。要通知員工 場地檢查的事情。 要建立所有信息處理設(shè)備的