【正文】 B3 根據(jù)各區(qū)域的重要程度采取以下控制措施。 派人看守，填寫進出記錄。 進出口的鑰匙，應保證在約定的場所，由專人管理，并制定嚴格的交接制度。 B4 對長期在機房工作的人員應定期發(fā)行帶有照片的身份證及識別標志 (徽章，明片 )作為進出機房的識別。 B6 辦事人員和來訪者必須經(jīng)有關(guān)領(lǐng)導批準后，由工作人員帶領(lǐng)才能允許進入機房。對可疑人員應檢查其攜帶物品的內(nèi)容，并在得到主管部門領(lǐng)導同意后，方可帶入和帶出機房。 B9 未經(jīng)有關(guān)領(lǐng)導批準，不得在機房內(nèi)照像、錄像。 操作指令的使用方法。 有關(guān)其它系統(tǒng)的操作方法。 整本聯(lián)接系統(tǒng)圖。 各機器的工作原理簡介。 各機器開關(guān)類的正常運行時的設(shè)定位置。 異常時的緊急聯(lián)絡點。 ISO 或 IEC 成員體國家通過各自機構(gòu)建立的技術(shù)委員會參與了國際標準制訂和推廣，這些技術(shù)委員會要設(shè)法應對一些特殊領(lǐng)域的技術(shù)活動。其他與 ISO 和 IEC 有聯(lián)絡的國際性組織、政府和非政府機構(gòu)也參與了這項工作。 在信息技術(shù)領(lǐng)域， ISO 和 IEC 已經(jīng)建立了一個聯(lián)合技術(shù)委員會，叫做 ISO/IEC JTC 1. 該聯(lián)合技術(shù)委員會采納的國際標準草案要經(jīng)由成員體投票。 請您注意，該國際標準中的一些內(nèi)容可能涉及專利權(quán)問題。 國際標準 ISO/IEC 17799 由英國標準協(xié)會籌備起草（ BS 7799），隨后被聯(lián)合技術(shù)委員會 ——信息技術(shù) ISO/IEC JTC 1 按照特殊的 “快速程序 ”所采納。信息安全是要在很大的范圍內(nèi)保護信息免受各種威脅， 從而確保業(yè)務的連續(xù)性、減少業(yè)務損失并且使投資和商務機會獲得最大的回報。它能被打印或者寫在紙上，能夠電化存儲；也可以由郵局或者用電子方式發(fā)送；還可以在電影中展示或者在交談中提到。 在這里，信息安全特指保護： a） 保密性：確保信息只能夠由得到授權(quán)的人訪問。 c） 有效性：保證經(jīng)授權(quán)的用戶可以訪問到信息。 信息安全通過實施一 整套的控制達到。需要建立這些控制措施以確保實現(xiàn)該機構(gòu)特殊的安全目標。信息的保密性、完整性和有效性對于保持競爭能力、資金流動、盈利率、法律柔量和商業(yè)形象都十分關(guān)鍵。這些威脅的來源有計算機詐騙、間諜活動、蓄意破壞、火災和水災等等。 這些組織對信息系統(tǒng)及其服務的依賴，意味著它們更容易受到安全威脅。分布式計算的趨勢已經(jīng)逐漸削弱了集中化專家控制模式的效率。通過技術(shù)手段可以得到的安全是很有限的，還應當有適當?shù)墓芾砗统绦虻膸椭?。信息安全管理至少要求組織中所有雇員參與其中。也可能需要來自組織以外的專家的建議。 如何確定安全需要？ 確定安全需要對一個組織機構(gòu)來說，是十分關(guān)鍵的。 第一個來源是組織風險的評估。第二個來源是法律的、規(guī)定的和合同約定的要求。第三個來源是一個組織已經(jīng)制訂的特殊原則、目標和需要，它們是用來支持信息處理操作的。在安全管理上的花費要同安全故障可能造成的商業(yè)利益損失相平衡。在此范圍內(nèi)進行風險評估是具有可操作性的、實際的和有幫助的。 b) 在極為普遍的危害和采取的相應管理措施的共同作用下，這樣的故障實際發(fā)生的可能性。風險評估和管理措施的選擇可能需要重復進行多次，以便保護組織或者獨立信息系統(tǒng)的不同部分。這樣就可以： a) 考慮到商務需求和優(yōu)先級的變化； b) 考慮到新的威脅和危害； c) 確認所采取的管制仍然有效、適合。而且，還要根據(jù)管理所要承受風險的不同，在變化了的層次上做考查。 選擇控制措施 安全需要一旦確定了，就應當選擇并實施控制措施，來確保風險降低到可以接受的程度。有很多不同的風險管理方式，本文件給出了一些常用方式的例子。注意到這點是十分重要的。對于比較小組織就不太可能把所有的責任都做明確劃分，必須通過其它途徑 來達到相同的控制目標。其中所提到的控制措施，例如事件記錄，可能與現(xiàn)行規(guī)范相抵觸，比如要對客戶或者工作間的私密性進行保護。非資金損失因素，比如聲譽損失，也應當考慮進去。下面標題為 “信息安全起點 ”一節(jié)中會更加詳細地解釋這些措施。這些原則要么基于根本性的立法要求，要么被認為是應對信息安全的常用的好辦法。（見 ） 被認為對信息安全是常用的好方法的管理措施有： a) 信息安全策略文件（見 ） 。 c) 信息安全教育和培訓（見 ）； d) 安全事故報 告（見 ）； e) 業(yè)務連續(xù)性管理（見 ） . 這些管理措施可以用在大多數(shù)的組織和多數(shù)環(huán)境之中。因此，盡管上述途徑被認為是一個很好的起點，它并不能替代根據(jù)風險評估所做出的管理措施的選擇。該系統(tǒng)要用于評價在信息安全管理和反饋改進意見中的表現(xiàn)。并不是所有在該實施準則中的指導和管理措施都可行。這種情況一旦發(fā)生，保持交叉引用很有用處，這將有助于 審計人員和業(yè)務伙伴進行符合性審計。其目的是為制訂組織的安全標準和進行有效的安全管理實踐提供公共的基礎(chǔ)，并且為組織間的交易建立必要的信任。 2 名詞和定義 本文中使用以下定義： 信息安全 對信息保密性、完整性和有效性的保護。 完整性：保護信息的正確性和 完整性以及信息的處理方法。在需要時，還能夠訪問其它相關(guān)資產(chǎn)。 風險管理 在可以接受的成本范圍內(nèi)，識別、控制并減少或者消除可能影響信息系統(tǒng)的安全風險。 管理層應當提出一套清晰的策略指導，并且通過在組織內(nèi)發(fā)布和維護信息安全策略來表明對信息安全的支持和承諾。它應當聲明管理承諾，并且闡明該組織實現(xiàn)信息安全的途徑。 c) 簡短的說明安全策略、原理、標準和對該組織具有特殊重要意義的符合性要求，例如： 1) 符合法律規(guī)定和合同要求； 2) 安全教育的需求； 3) 病毒和其它惡意軟件的阻止及檢測； 4) 業(yè)務連續(xù)性管理； 5) 違反安全管理策略的后果。 e) 參考可能支持該策略的文獻資料，例如針對特殊的信息系統(tǒng)或者用戶應當遵守的安全規(guī)則的更為詳盡的安全策略和程序。 復查和評價 應當有一個所有者負責該策略的維護，并根據(jù)已經(jīng)確定的程序?qū)ζ溥M行檢查。例如，出現(xiàn)了重大安全事故、發(fā) 現(xiàn)了新的易損性或者有新的組織或技術(shù)的基本結(jié)構(gòu)的變更。 應當建立適當管理架構(gòu)，在組織內(nèi)部啟動和控制信息安全的實施。如果需要的話，應當建立一個信息安全專家建議的資料來 源并使其在組織內(nèi)部是可以利用的。應當鼓勵發(fā)展那些綜合了各學科知識的信息安全解決方案，例如此綜合解決方案可能涉及經(jīng)理、用戶、管理員、應用程序設(shè)計人員、審計人員和安全人員的協(xié)調(diào)和合作，以及在一些領(lǐng)域的專門技術(shù)，比如保險和風險管理。因此應當考慮建立一個管理論壇，以確保從管理上對安全能動性進行明顯地支持，而且這種支 持有一個清晰的方向。此論壇可以是現(xiàn)有管理機構(gòu)的一部分。 應當有一個經(jīng)理負責所有相關(guān)活動的安全。這些管理層的 代表都來自于組織的相關(guān)部門。 b） 批準信息安全的特殊方法和程序，例如：風險評估，安全分級系統(tǒng)； c） 批準并支持整個組織范圍內(nèi)的信息安全能動性，例如安全意識計劃。 e） 評價適當性并協(xié)調(diào)對新系統(tǒng)或者服務的特殊安全管理措施的實施； f） 檢查信息安全事故； g） 提高在整個組織內(nèi)對信息安全業(yè)務支持的可見性； 信息安全責任的分配 應當清楚地定義保護個人資產(chǎn)的責任和執(zhí)行特殊安全程序的 責任。如果需要的話，這些指導還應當針對特殊的地點、系統(tǒng)或者范圍補充上更為詳細的指導。 很多的組織會指定一個信息安全負責人，由其總體負責信息安全的發(fā)展和實現(xiàn)并管理措施的確定。通常的做法是為每項信息資產(chǎn)指派一個所有權(quán)人來負責其日常安全。盡管如此，所有權(quán)人仍然對此資產(chǎn)的安全負有最終的責任，并且所有權(quán)人應當能夠確定任何錯誤分配責任的情況。特別是在下述情況發(fā)生時： a） 對于不同種類資產(chǎn)的安全程序和與各自系統(tǒng)相關(guān)的安全程序，都應當進行識別并清楚地定義。 c） 應當清楚地定義并記錄授權(quán)等級； 信息處理方法的授權(quán)過程。 應當考慮以下的措施： a） 新的信息處理方法應當有相應的客戶授權(quán)，贊同其目的和用途。 b） 在需要的時候，應當檢測硬件和軟件以確保它們和系統(tǒng)的其它組成部分互相兼容。 c） 對處理業(yè)務信息的個人信息處理程序的使用和任何必需的控制手段都應當經(jīng)過授權(quán)。 這些管理措施在網(wǎng)絡化的環(huán)境中尤其 重要。理想的狀況是，一位有經(jīng)驗的內(nèi)部信息安全專家可以提供這些建議。這種情況下，建議確定一個專門人員來協(xié)調(diào)內(nèi)部安全知識和安全經(jīng)驗，以確保處理問題時的連續(xù)性并協(xié)助做出安全決策。 信息安全建議者或者具有相同作用的接觸點應當擔負就信息安全的所有方面提供建議的任務。他們對安全威脅所做評估的質(zhì)量 和對管理措施的意見決定了該組織的信息安全的效果。 應當在預測到可能的安全事故或者漏洞的最早階段就向信息安全建議者或者具有相同作用的接觸點咨詢，以便獲得專家指導原則和調(diào)查資源。 組織間的合作 應當保持與執(zhí)法部門、管理機構(gòu)、信息服務提供商和電信運營商的適當聯(lián)絡，以確保在發(fā)生安全事故時能夠及時采取適當措施并能夠及時通知 。 安全信息的交換應當限制在確保組織的保密信息不會發(fā)送給未經(jīng)授權(quán)的個人。應當獨立地檢查其執(zhí)行情況，以確保組織的實踐恰當?shù)胤从沉诉@一策略，而且該策略是可行的和有效的。此外，獨立的經(jīng)理或者在此種檢測方面有特殊專長的第三方也可以做這種檢查。 第三方訪問的安全 目標：保護 組織信息處理程序的安全和被第三方訪問的信息資產(chǎn)的安全。 如果有這樣的第三方訪問的業(yè)務需要，應當進行風險評估以確定安全隱患和管理對策。 第三方訪問還可能包括其它的參與者。 這一標準可以作為此類合同的基礎(chǔ)，并且也可以作為考慮外購信息處理的基本原則。例如：通過網(wǎng)絡連接進行訪問的風險不同于物理訪問的風險。 b） 邏輯訪問，例如：訪問組織的數(shù)據(jù)庫和信息系統(tǒng)。例如，向組織提供訪問的第三方并不在現(xiàn)場，但是可以給以物理訪問和邏輯訪問的權(quán)利，比如： a) 硬件和軟件支持人員，他們需要訪問系統(tǒng)層次或者低層次的應用程序功能。 如果缺乏足夠的安全管理，第三方訪問信息時就會將其置于危險的境地。應當考慮到所需的訪問類型、信息的價值、第三方采取的管理措施和這種訪問對組織信息的安全所造成的影響?，F(xiàn)場承包方的例子包括： a） 硬件和軟件維護和支持人員。 c） 學生安置和其它臨 時的短期安排； d） 咨詢?nèi)藛T； 究竟要采取什么措施來管理第三方對信息處理設(shè)備的訪問，理解這一點十分重要。例如，如果對信息的保密性有特殊要求，就應采用不泄露信息協(xié)議（見 ）。 第三方合同的安全要求 涉及第三方訪問組織信息和信息處理設(shè)備的有關(guān)安排應當建立在一份 正式的合同基礎(chǔ)上，這一合同應當包括或者涉及所有的安全要求，以求符合組織的安全策略和安全標準。組織應當對供應商做滿意的補償。 3. 在合同期結(jié)束或者合同期中某個協(xié)商同意的時間，確保信息或者資產(chǎn)被返回或者銷毀。特別是如果該合同涉及與其它國家中組織的合作，就要考慮不同國家法律體系（又見 ） 。 i） 服務控制協(xié)議，包括 1. 許可的訪問方法、對唯一標識，比如用戶 ID 和密碼，的管理和使用； 2. 對用 戶訪問和特權(quán)的授權(quán)程序； 3. 要求保留一份列表，記錄得到授權(quán)可以使用現(xiàn)有服務的個人、他們的權(quán)限與這種使用的關(guān)系。 n) 有關(guān)硬件和軟件的安裝與維護的責任； o)清晰的報告結(jié)構(gòu)和協(xié)商一致的報告格式； p) 一個清晰的和專門化的變更管理程序； q) 任何要求的物理保護措施和機制，確保那些管理措施得 到落實； r)對客戶和管理員的培訓，包括方式方法、處理程序和安全性； s) 確保能夠防范惡意軟件的管理措施（見 ） 。 外包合同的安全要求 當組織將其全部的或者部分信息系統(tǒng)、網(wǎng)絡和 /或者桌面環(huán)境的管理控制承包給其它單位時，應當 在各方同意的合同中提及相應的安全要求。該合同應當允許在即將得到雙方同樣的安全管理計劃中擴展安全要求和安全管理程序。 5 資產(chǎn)分類和管理 資產(chǎn)的可計量性 目標：為組織的資產(chǎn)提供適當?shù)谋Ｗo。 資產(chǎn)的可計量性可以幫助確保有適當?shù)木S護措施。可以委派執(zhí)行這些管理計劃的責任。 資產(chǎn)清單 資產(chǎn)清單幫助確保進行了有效的資產(chǎn)保護，并且其它的業(yè)務目的，例如出于健康和安全、保險或者金融（資產(chǎn)管理）原因，也可能要用到資產(chǎn)清單。組織要能夠確定其資產(chǎn)、資產(chǎn)的相對價值和這些資產(chǎn)的重要性。應當為每個信息系統(tǒng)的重要資產(chǎn)都建立并保有一份資產(chǎn)清單。與信息系統(tǒng)密切相關(guān)的資產(chǎn)包括： a） 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶操作手冊、培訓材料、操作或執(zhí)行的程序、連續(xù)性計劃、撤退安排、歸檔的信息； b） 軟件資產(chǎn)：應用軟件、系統(tǒng)軟件、開發(fā)工具和設(shè)備； c） 實物資產(chǎn)：計算機設(shè)備（處理器、顯示器、膝上電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、專用自動交換分機、傳真機、錄音電話），磁性存儲介質(zhì)（磁帶和磁盤），其它技術(shù)設(shè)備（電源、空調(diào)設(shè)備），家具、通融資金； d） 服務：計算和通信服務、公共服務例如供暖、 照明、供電、空氣調(diào)節(jié)。 應當將信息分類，指出其安全保護的需要、優(yōu)先級和保護程度。有的信息資產(chǎn)可能需要額外保護或者特殊處理。 分類原則 信息的分類和相關(guān)保護措施應當考慮到信息共享和信息限制的業(yè)務需要，還要考慮這些需要對業(yè)務的沖擊，例如對信息未經(jīng)授權(quán)的訪問或者對信息的破壞。 信息和處理分類數(shù)據(jù)的系統(tǒng)輸出應當按照其對于組織的價值和敏感性加以標識。 經(jīng)過一段時間以后，信息常常會變得不再敏感或者重要了，例如在信息公開