【正文】 三方對組織信息處理程序的訪問。 所要采取的管理措施應(yīng)當(dāng)?shù)玫降谌降耐?，并在與之簽訂的合同中加以定義。授予第三方訪問權(quán)限的協(xié)議應(yīng)當(dāng)包括準(zhǔn)許指定其它具備資格的參與者和相應(yīng)訪問的條件。 判斷第三方訪問的風(fēng)險 訪問的類型 允許第三方使用的訪問類型非常重要。應(yīng)當(dāng)考慮的訪問類型包括： a） 物理訪問，例如：訪問辦公室、計算機(jī)機(jī)房和檔案柜。 訪問的原因 可能出于多種原因授予第三方訪問權(quán)限。 b) 貿(mào)易合作伙伴或者聯(lián)合經(jīng)營方，他們可能交換信息、訪問信息系統(tǒng)或者共享數(shù)據(jù)庫。若是有與第三方地點建立聯(lián)絡(luò)的業(yè)務(wù)需要，就要進(jìn)行風(fēng)險評估，以確定任何特殊管理措施的要求。 現(xiàn)場承包方 第三方可能按照合同規(guī)定在現(xiàn)場駐扎一段時間，這會增加信息系統(tǒng)安全隱患。 b） 保潔、看護(hù)、安全警衛(wèi)和其它外包的服務(wù)項目承包方。一 般說來，所有的由于第三方訪問或者內(nèi)部管理措施導(dǎo)致的安全要求，都應(yīng)當(dāng)反映在與第三方簽訂的合同中（又見 ）。 在采取了適當(dāng)?shù)墓芾泶胧┖秃炇鹆硕x有連接或者訪問相關(guān)條款的合同之前，不應(yīng)當(dāng)向第三方提供對信息和信息處理設(shè)備的訪問。該合同應(yīng)當(dāng)保證在組織和第 三方之間沒有誤解。應(yīng)當(dāng)考慮把以下各項條款寫入合同中： a） 總的信息管理策略 b） 資產(chǎn)保護(hù)，包括： 1. 保護(hù)組織資產(chǎn)的措施方法，包括對信息和軟件的保護(hù)； 2. 確定資產(chǎn)是否受到什么損害的方法手段，比如確定數(shù)據(jù)是否丟失或者被修改。 4. 完整性和有效性； 5. 對于信息復(fù)制和信息披露的限制； c） 對所要采用的每項訪問的一個詳細(xì)描述； d） 服務(wù)的目標(biāo)水平和無法接受的服務(wù)水平； e） 適當(dāng)?shù)娜藛T調(diào)任的規(guī)定； f） 合同各方各自所應(yīng)承擔(dān)的義務(wù)； g） 對相關(guān)法律問題 所承擔(dān)的責(zé)任，例如，數(shù)據(jù)保護(hù)立法。 h） 知識產(chǎn)權(quán)（ IPR）和產(chǎn)權(quán)責(zé)任（見 ）以及對所有合作項目的保護(hù)（見 ）。 j) 定義可以驗證的業(yè)績標(biāo)準(zhǔn)，以及對它們的給監(jiān)測和報告； k) 監(jiān)測和廢除用戶活動的權(quán)力 l)審查合同 責(zé)任的權(quán)利，或者由第三方執(zhí)行審查； m) 為問題解決建立一個擴(kuò)大程序；在適當(dāng)?shù)牡胤揭矐?yīng)當(dāng)考慮對偶然性事件的處置。 t）有關(guān)安全事故和安全漏洞的報告、通知和調(diào)查的安排； u）分包合同第三方的卷入； 外包 目標(biāo)：當(dāng)信息處理外包給另外一個組織的時候，維護(hù)信息的安全性； 在各方簽訂的合同中，外包安排應(yīng)當(dāng)致力于解決信息系統(tǒng)、網(wǎng)絡(luò)和 /或者桌面環(huán)境的風(fēng)險、安全管理和處置程序。 例如，此種合同應(yīng)當(dāng)包括： a） 如何滿足法律方面的要求，例如數(shù)據(jù)保護(hù)法規(guī)； b） 采取什么樣的措施才能夠確保外包合同各個簽約方包括分包合同簽約方都清楚他們的安全責(zé)任； c） 怎樣維護(hù)和測試組織的業(yè)務(wù)資產(chǎn)的 完整性和保密性； d） 對授權(quán)的用戶采取什么物理和邏輯的管理措施來限制和約束對組織的敏感業(yè)務(wù)信息的訪問； e） 如何在發(fā)生災(zāi)難性事故時維持服務(wù)的有效性； f） 為外包的設(shè)備提供什么層次的物理安全保護(hù)； g） 審查的權(quán)力； 還應(yīng)當(dāng)考慮把 中給出的條款作為此項合同中的一部分。 盡管外包合同可能引起一些復(fù)雜的安全問題，此項操作規(guī)范中的管理措施能夠作為一個起點，以獲得對安全管理計劃的架構(gòu)和內(nèi)容的認(rèn)可。 應(yīng)當(dāng)考慮到所有主要的信息資產(chǎn)，并為它們指定所有權(quán)人。應(yīng)當(dāng)為所有主要財產(chǎn)確定所有權(quán)人，并且為維護(hù)適當(dāng)?shù)墓芾泶胧┒峙湄?zé)任。被提名的資產(chǎn)所有者應(yīng)當(dāng)保持資產(chǎn)的可計量性。編寫資產(chǎn)清單的過程是風(fēng)險評估的一個重要方面。根據(jù)該信息，組織可以提供與資產(chǎn)價值及其重要性相符的安全保護(hù)等級。對于每種資產(chǎn)，都要清楚地進(jìn)行確認(rèn)，其所有權(quán)和安全等級劃分（見 ），以及資產(chǎn)目前所處位置（當(dāng)需要恢復(fù)損失和毀壞的信息時，這點就非常重要）都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)并記錄在案。 信息分類 目標(biāo)：取保信息資產(chǎn)得到適當(dāng)程度的保護(hù)。 不同信息有不同的敏感性和重要性。應(yīng)當(dāng)采用信息分類系統(tǒng)來定義適當(dāng)?shù)陌踩Ｗo(hù)等級范圍，并傳達(dá)特殊處理措施的需要。一般說來，信息分類是一種確定應(yīng)當(dāng)如何處理和保護(hù)該信息的簡捷方法。根據(jù)信息對組織的關(guān)鍵程度對其進(jìn)行標(biāo)識，比如按照其完整性和有效性進(jìn)行標(biāo)識，這樣做也是可取的。這些方面都應(yīng)當(dāng)考慮到。對于任何信息的分類都不一定自始至終固定不變，可能按照一些預(yù)定的策略發(fā)生改變。 應(yīng)當(dāng)考慮分類范疇的數(shù)量以及使用這種分類所帶來的好處。解釋其它組織發(fā)送過來的文件上的標(biāo)簽時應(yīng)當(dāng)十分小心，相同或者相似的標(biāo)簽名稱可能具有不同的含義。 信息標(biāo)識和處理 為信息標(biāo)識和處理定義一個符合組織所采用分類計劃的適當(dāng)處理程序集合是非常重要的。對于每種分類，應(yīng)當(dāng)定義包含以下信息處理活動的數(shù)據(jù)處理程序： a） 復(fù)制 b） 存儲 c） 通過郵局、傳真和電子郵件的信息發(fā)送 d） 通過口頭語言的信息傳遞，包括通過移動電話、語音郵件和錄音電話傳送的信息。該標(biāo)識應(yīng)當(dāng)反映根據(jù) 中規(guī)則而建立的分類。 一般來說，物理標(biāo)識是最合適的標(biāo)識形式。 6 人員安全 工作定義和外包的安全 目標(biāo)：減少人為失誤、盜賊、欺詐或者設(shè)備誤用所造成的風(fēng)險。 應(yīng)當(dāng)對應(yīng)聘人員進(jìn)行充分的篩選（見 ） ,對敏感的工作尤其如此。 把安全 包括在工作責(zé)任中 應(yīng)當(dāng)在適當(dāng)?shù)牡胤接涗浗M織安全策略（見 ）中所設(shè)定的安全角色和安全責(zé)任。 人員篩選和策略 在工作申請時應(yīng)當(dāng)嚴(yán)格審查長期雇員。對于那些處于相當(dāng)權(quán)力崗位的人員應(yīng)當(dāng)定期重復(fù)進(jìn)行檢查。如果這些雇員是通過代理機(jī)構(gòu)提供的，在與代理機(jī)構(gòu)的合同中應(yīng)當(dāng)清楚定義該代理方所要承擔(dān)的篩選責(zé)任，以及如果篩選沒有完成或者對篩選的結(jié)果仍然存有疑慮時代理機(jī)構(gòu)應(yīng)當(dāng)遵循的通知程序。所有雇員的工作都要由更高級的雇員做定期檢查并遵 循一定的批準(zhǔn)程序。私人問題和財務(wù)問題、他們行動或者生活方式的改變、不斷出現(xiàn)的消極情緒和精神壓力異常，都可能導(dǎo)致欺詐、盜竊、失誤或者其它安全隱患。 保密協(xié)議 保密協(xié)議或者不泄露協(xié)議用于提醒人們注意該信息是保密的。 授權(quán)尚未受合同（包含保密協(xié)議）約束的臨時職員和第三方使用信息處理設(shè)備之前，還應(yīng)當(dāng)要求他們簽訂一份保密協(xié)議。 用工條款 用工合同條款應(yīng)當(dāng)闡明雇員對于信息安全所負(fù)的責(zé)任。其中包括如果雇員不遵守安全要求時組織所要采取的行動。還包括員工信息的分類和管理責(zé)任。 用戶培訓(xùn) 目標(biāo)：確保用戶清楚信息安全威脅和利害關(guān)系。 應(yīng)當(dāng)在安全程序中、在信息處理設(shè)備的正確使用過程中培訓(xùn)用戶，以降低可能的安全風(fēng)險。這包括安全要求，法律責(zé)任和業(yè)務(wù)管理措施，以及在授權(quán)訪問信息和使用服務(wù)之前所要接受的正確使用信息處理程序的培訓(xùn)，例如：登錄程序、軟件包的使用 等。 對于影響安全的事故，應(yīng)當(dāng)通過適當(dāng)?shù)墓芾硗緩奖M快報告。應(yīng)當(dāng)要求他們把所發(fā)現(xiàn)的或者預(yù)測的任何事故盡快向合同中指定的地點報告。為了恰當(dāng)?shù)貙κ鹿首龀鎏幚恚谑鹿拾l(fā)生之后迅速地收集證據(jù)，這一點非常重要。 應(yīng)當(dāng)建立起正式的報告程序，還應(yīng)當(dāng)建立事故反應(yīng)機(jī)制，以便設(shè)定在接到事故報告時所應(yīng)當(dāng)采取的措施。應(yīng)當(dāng)實行適當(dāng)?shù)姆答仚C(jī)制，確保在處理完事故之后能夠知道所報告事故的處理結(jié)果。 報告安全缺陷 應(yīng)當(dāng)要求信息服務(wù)的用戶注意并報告任何 觀察到或者預(yù)測到的系統(tǒng)或者服務(wù)的弱點、或者是對系統(tǒng)或服務(wù)的威脅。應(yīng)當(dāng)通知用戶，無論在任何情況下，都不要試圖去證實可疑缺陷。 報告軟件故障 應(yīng)當(dāng)建立報告軟件故障的程序。應(yīng)當(dāng)立即變更所用的連接。其磁盤不應(yīng)當(dāng)用在其它計算機(jī)上。 除非得到授權(quán)，否則用戶不能試圖刪除可疑軟件。 吸取事故教訓(xùn) 應(yīng)當(dāng)有相應(yīng)的機(jī)制來量化并監(jiān)測事故和故障的類型、大小和造成的損失。這些信息顯示出對強(qiáng)化和附加管理措施的需求程度。 懲處程序 對那些違反組織安 全管理政策和程序的雇員（見 , 在），應(yīng)當(dāng)有一個正式的懲戒手段。另外，應(yīng)當(dāng)確保對懷疑犯下嚴(yán)重或者持續(xù)安全錯誤的雇員做出正確的、公平的處理。 應(yīng)當(dāng)把關(guān)鍵的和敏感的業(yè)務(wù)信息處理設(shè)備放在安全區(qū)域，受到確定的安全范圍的保護(hù)，并有適當(dāng)?shù)陌踩琳虾徒尤肟刂啤? 所提供的保護(hù)應(yīng)當(dāng)與確認(rèn)的風(fēng)險向適應(yīng)。 物理安全界線 通過在業(yè)務(wù)基礎(chǔ)和信息處理設(shè)備的周圍設(shè)立多個實體的安全屏障，可以實現(xiàn)對它們實體上的保護(hù)。安全界線是指這樣以下東西：它們建立了某種屏障，例如墻、要刷卡出入的大門或者人工接待前臺。 適當(dāng)?shù)臅r候，應(yīng)當(dāng)考慮 并執(zhí)行以下的原則和管理措施： a） 應(yīng)當(dāng)清楚定義安全范圍； b） 含有信息處理設(shè)備的建筑物或者場所的周邊應(yīng)當(dāng)受到妥善保護(hù)（例如，在該安全范圍和易于被闖入的區(qū)域之間不應(yīng)當(dāng)有明顯缺口）。 c） 應(yīng)當(dāng)有人工值守的接待區(qū)域或者其它措施控制對這些地點或者建筑的訪問。 d） 如果需要的話，應(yīng)當(dāng)把物理保護(hù)擴(kuò)展到從地板到天花板的范圍，以便防止未經(jīng)授權(quán)的訪問和環(huán)境污染，例 如由火災(zāi)或者水災(zāi)引起的破壞。 物理進(jìn)入控制 應(yīng)當(dāng)通過適當(dāng)進(jìn)入管理措施保護(hù)安全區(qū)域，確保只有得到授權(quán)的用戶才能訪問。只應(yīng)當(dāng)授權(quán)他們進(jìn)行出于特殊的、得到批準(zhǔn)的目的的訪問。 b） 應(yīng)當(dāng)控制對敏感信息和信息處理程序的訪問，并只將其限制在得到授權(quán)的個人。應(yīng)當(dāng)安全地保持對所有訪問的審查跟蹤。 d） 應(yīng)當(dāng)定期檢查和更新對安全區(qū)域的訪問權(quán)限。安全區(qū)域的選擇和設(shè)計應(yīng)當(dāng)考慮到防止可能發(fā)生的火災(zāi)、水災(zāi)、爆炸、民眾動亂和其它形式的自然或人為災(zāi)難。 應(yīng)當(dāng)考慮任何鄰近房屋的所帶來的安全風(fēng)險，比如其它地方的滲水。沒有明顯標(biāo)記，建筑內(nèi)外也沒有明顯地指出里面正在進(jìn)行信息處理活動。 d） 無人值守時門窗應(yīng)當(dāng)上鎖，對門窗應(yīng)當(dāng)進(jìn)行外部保護(hù)，尤其是對靠近地面的門窗。應(yīng)當(dāng) 全時監(jiān)測沒有使用的區(qū)域。 f） 應(yīng)當(dāng)把組織管理的信息處理設(shè)施與第三方管理的其它設(shè)備從實體上隔離開。 h） 應(yīng)當(dāng)把危險或者易燃材料安全地存放在距安全區(qū)域有一定距離的地方。 i） 應(yīng)當(dāng)把回撤的設(shè)備和備份存儲介質(zhì)放置在一定安全距離以外，以免主要基地發(fā)生的災(zāi)難性事故對其造成破壞。這些措施包括對在安全區(qū)域工作的人員和第三方的管理，還包括對在該地區(qū)發(fā)生的第三方活動的管理。 a) 工作人員只應(yīng)當(dāng)知道需要他們了解的有關(guān)安全區(qū)域的存在或者其中活動的信息。 c) 應(yīng)當(dāng)對空的安全區(qū)域加以物理上的保護(hù)并進(jìn)行定期檢查。這些訪問應(yīng)當(dāng)?shù)玫绞跈?quán)并對其進(jìn)行監(jiān)測。 e) 除非得到授權(quán)，否則不允許使用攝影、錄像、錄音或其它記錄設(shè)備。應(yīng)當(dāng)通過風(fēng)險評估來決定此種區(qū)域的安全要求。 a) 從建筑物外面訪問一個物資儲存區(qū)域時，應(yīng)當(dāng)將其限制在經(jīng)過確認(rèn)和授權(quán)的人員之內(nèi)。 c) 當(dāng)物資存儲區(qū)域內(nèi)部通道打開的時候，應(yīng) 當(dāng)保護(hù)外部通道。 e) 如果合適的話，應(yīng)當(dāng)在物資存儲區(qū)域的入口對送來的物資進(jìn)行登記。 應(yīng)當(dāng)對設(shè)備加以實體上的保護(hù)，使其免于安全風(fēng)險和環(huán)境災(zāi)難。這還應(yīng)當(dāng)包括設(shè)備的安置和處理。 設(shè)備定位和保護(hù) 應(yīng)當(dāng)妥善安置或保護(hù)設(shè)備，以降低環(huán)境威脅和災(zāi)難的風(fēng)險、減少未經(jīng)授權(quán)的訪問的機(jī)會。 b） 處理敏感數(shù)據(jù)的信息處理和存儲設(shè)備應(yīng)當(dāng)妥善放置以減少其使用期間忽視對其監(jiān)督的風(fēng)險。 d） 應(yīng)當(dāng)采取措施降低潛在風(fēng)險，包括： a) 盜竊； b) 火災(zāi)； c) 爆炸 d) 吸煙； e) 水災(zāi)（或者供水終端） f) 塵土； g) 振動； h) 化學(xué)效應(yīng)； i) 電力供應(yīng)中斷； j) 電磁輻射； e） 組織應(yīng)當(dāng)考慮對在信息處理設(shè)施附近就餐、飲水和吸煙的政策規(guī)定。 h） 應(yīng)當(dāng)考慮到在房屋附近發(fā)生災(zāi)難所產(chǎn)生的影響，例如鄰近建筑物的火災(zāi)、屋頂或者地表的滲水或者街道上發(fā)生的爆炸。應(yīng)當(dāng)提供符合設(shè)備制造商要求的適宜電力供應(yīng)。 對于輔助關(guān)鍵業(yè)務(wù)運營的設(shè)備推薦使用不間斷電源（ UPS）以支持有序的斷電或者繼續(xù)運行。 應(yīng)當(dāng)定期檢查 UPS設(shè)備，確保其有足夠能力并按照制造商的建議對其進(jìn)行測試。發(fā)電機(jī)安裝上以后，應(yīng)當(dāng)按照制造商的指導(dǎo)對其做定期檢測。 另外，應(yīng)當(dāng)把應(yīng)急電力開關(guān)安放在設(shè)備間的緊急出口處，以便于在 發(fā)生緊急事故時迅速關(guān)掉電源開關(guān)。應(yīng)當(dāng)對所有建筑物提供照明保護(hù)，并且應(yīng)當(dāng)為所有外部通信線路安裝照明保護(hù)濾光器。應(yīng)當(dāng)考慮采取以下的管理措施。在可能的地方，還要給予足夠的選擇性保護(hù)； b) 應(yīng)當(dāng)保護(hù)網(wǎng)絡(luò)連線，防止被未經(jīng)授權(quán)地截聽或者被毀壞。 c) 應(yīng)當(dāng)把供電線路與通訊線路隔離開，以防相互干擾； d) 對 于敏感或關(guān)鍵系統(tǒng)，還應(yīng)當(dāng)考慮采取進(jìn)一步的管理措施，包括： a) 在觀測點和終點安裝包皮的管線并將房間或者箱子上鎖； b) 使用替代的路徑選擇或者信息傳送媒介； c) 使用光纖； d) 開始清除那些連接到線路上的未經(jīng)授權(quán)的設(shè)備。應(yīng)當(dāng)考慮以下管理措施： a） 應(yīng)當(dāng)按照設(shè)備制造商推薦的維護(hù)間隔和規(guī)定對設(shè)備進(jìn)行維護(hù)； b） 只有得到授權(quán)的維護(hù)人員才能夠?qū)υO(shè)備進(jìn)行維修和保養(yǎng)； c） 應(yīng)當(dāng)把所有可疑故障和實際發(fā)生的事故記錄下來，還應(yīng)當(dāng)記錄下所有的預(yù)防性措施和矯正維護(hù)； d） 把設(shè)備運到工作地 點以外的地方進(jìn)行維修的時候，應(yīng)當(dāng)采取適當(dāng)措施（又見 , 其中有關(guān)于刪除、擦寫和覆蓋數(shù)據(jù)的內(nèi)容）。 外部設(shè)備的安全 無論所有權(quán)歸誰，任何在組織外部使用的信息處理設(shè)備都應(yīng)當(dāng)?shù)玫焦芾韺拥氖跈?quán)