【正文】 確保護(hù)個(gè)人資產(chǎn)和執(zhí)行具體安全程序步驟的責(zé)任。如果需要，可以為特定的站點(diǎn)、系統(tǒng)或服務(wù)補(bǔ)充更加詳細(xì)的指導(dǎo)原則 。 在很多組織中，指定信息安全管理員負(fù)責(zé)開(kāi)展和實(shí)施安全保護(hù)，并幫助確定控制措施。 一種常用的方法是為每項(xiàng)信息資產(chǎn)指定一個(gè)所有者，并由他負(fù)責(zé) 該資產(chǎn)的日常安全問(wèn)題 。盡管所有者仍對(duì)該資產(chǎn)的安全負(fù)有最終責(zé)任，但可以確定被委托的人是否正確履行了責(zé)任 。 a) 必須確定并明確說(shuō)明由誰(shuí)負(fù)責(zé)各種資產(chǎn)和與每個(gè)系統(tǒng)相關(guān)的安全進(jìn)程 。 c) 應(yīng)明確規(guī)定授權(quán)級(jí)別并進(jìn)行備案 。 應(yīng)考慮以下問(wèn)題。 應(yīng)獲得負(fù)責(zé)維護(hù)本地信息系統(tǒng)安全環(huán)境的管理人員的批準(zhǔn)，以確保符合所有相關(guān)安全策略和要求。 c) 請(qǐng)注意，某些連接可能需要對(duì)類型進(jìn)行核實(shí)。 e) 在工作場(chǎng)所使用個(gè)人信息處理工具會(huì)帶來(lái)新的漏洞，因此需要進(jìn)行評(píng)估和授權(quán)。 專家信息安全建議 很多組織都需要專家級(jí)的信息安全建議。 并不是所有組織都希望雇傭?qū)＜翌檰?wèn) 。各個(gè)組織應(yīng)該與公司以外的顧問(wèn)保持聯(lián)系，在自己不了解的領(lǐng)域，傾聽(tīng)他們的專門建議。 組織的信息安全工作的效率如何，取決于他們對(duì)安全威脅評(píng)估的質(zhì)量和建議使用的控制措施。 在發(fā)生可疑的安全事故或破壞行為時(shí)，應(yīng)盡早向 信息安全顧問(wèn)或其它專家進(jìn)行咨詢，以得到專家的指導(dǎo)或可供研究的資源 。 組織間的合作 與執(zhí)法機(jī)關(guān)、管理部門、信息服務(wù)提供商和通信運(yùn)營(yíng)商簽署的合同應(yīng)保證：在發(fā)生安全事故時(shí)，能迅速采取行動(dòng)并獲得建議。 應(yīng)嚴(yán)格限制對(duì)安全信息的交換，以確保組織的保密信息沒(méi)有傳播給未經(jīng)授權(quán)的人。 必須對(duì)該文檔的實(shí)施情況進(jìn)行獨(dú)立審查，確保組織的安全實(shí)踐活動(dòng)不僅符合策略的要求，而且是靈活高效的。 審查工作應(yīng)該由組織內(nèi)部的審計(jì)職能部門、獨(dú)立管理人員或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行，而且這些人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。 16 要嚴(yán)格控制第三方對(duì)組織的信息處理設(shè)備的使用。 必須與第三方就控制措施達(dá)成一致，并在合同中 規(guī)定。 授予第三方訪問(wèn)權(quán)限的合約應(yīng)該包括允許指定其它符合條件的人員進(jìn)行訪問(wèn) 和有關(guān) 條件的規(guī)定條款。 確定第三方訪問(wèn)的風(fēng)險(xiǎn) 訪問(wèn)類型 允許第三方使用的訪問(wèn)類型非常重要。 應(yīng)考慮的訪問(wèn)類型有 ： a) 實(shí)際訪問(wèn)，如對(duì)辦公室、計(jì)算機(jī)房、檔案室的訪問(wèn) ； b) 邏輯訪問(wèn)，如對(duì)組織的數(shù)據(jù)庫(kù)、信息系統(tǒng)的訪問(wèn) 。 例如，某些向組織 提供服務(wù)的第三方不在工作現(xiàn)場(chǎng)，但可以授予他們物理和邏輯訪問(wèn)的權(quán)限，諸如： a) 硬件和軟件支持人員，他們需要訪問(wèn)系統(tǒng)級(jí)別或低級(jí)別的應(yīng)用程序功能； b) 貿(mào)易伙伴或該組織創(chuàng)辦的合資企業(yè) ,他們與組織交換信息、訪問(wèn)信息系統(tǒng)或共享數(shù)據(jù)庫(kù)。 凡有業(yè)務(wù)需要與第三方連接時(shí)，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定具體的控制措施要求。 現(xiàn)場(chǎng)承包商 按照合約的規(guī) 定，第三方在現(xiàn)場(chǎng)工作一段時(shí)間后也會(huì)留下導(dǎo)致安全隱患。 17 要對(duì)第三方使用信息處理設(shè)備進(jìn)行管理，了解要使用什么控制措施是至關(guān)重要的。例如，如果對(duì)信息的保密性有特殊的要求，應(yīng)簽署保密協(xié)議（參見(jiàn) ）。 第三方合同的安全要求 第三方對(duì)組織信息處理設(shè)施的訪問(wèn)，應(yīng)該根據(jù)包含所有必要安全要求的正式合同進(jìn)行，確保符合組織的安全策略和標(biāo)準(zhǔn) 。為滿足供應(yīng)商，組織應(yīng)首先滿足自己。如果合同涉及到與其它國(guó)家的組織進(jìn)行合作，應(yīng)考慮到各個(gè)國(guó)家法律系統(tǒng)之間的差異（另請(qǐng)參見(jiàn) ）； h) 知識(shí)產(chǎn)權(quán) (IPRs) 和版權(quán)轉(zhuǎn)讓（參見(jiàn) ）以及對(duì)合著的保護(hù)（另請(qǐng)參見(jiàn) ）； i) 訪問(wèn)控制協(xié)議，包括： 1) 允許使用的訪問(wèn)方法，以及控制措施和對(duì) 唯一標(biāo)識(shí)符的使用，如用戶 ID 和口令； 2) 用戶訪問(wèn)和權(quán)限的授權(quán)程序； 18 3) 保留得到有權(quán)使用服務(wù)的人員清單，以及他們具體享有那些權(quán)限和權(quán)限； j) 確定可核實(shí)的執(zhí)行標(biāo)準(zhǔn)、監(jiān)視及報(bào)告功能； k) 監(jiān)視、撤消用戶活動(dòng)的權(quán)限； l) 審計(jì)合同責(zé)任或?qū)徲?jì)工作交由第三方執(zhí)行的權(quán)限； m) 建立一種解決問(wèn)題的漸進(jìn)過(guò)程；在需要時(shí)應(yīng)要考慮如何執(zhí)行應(yīng)急措施； n) 與硬件和軟件安裝維護(hù)相關(guān)的責(zé)任； o) 明晰的報(bào)告結(jié)構(gòu)和雙方認(rèn)可的報(bào)告格式； p) 變更管理的明確制定過(guò)程； q) 所需的物理保護(hù)控制措施和機(jī)制，以確保所有操作都符合控制措施的要求； r) 對(duì)用戶和管理員進(jìn)行的方法、步 驟和安全方面的培訓(xùn)； s) 保證免受惡意軟件攻擊的控制措施（參見(jiàn) ）； t) 規(guī)定如何報(bào)告、通知和調(diào)查安全事故以及安全違反行為； u) 第三方與分包商之間的參與關(guān)系。 在雙方的合同中，外包協(xié)議應(yīng)闡明信息系統(tǒng)、網(wǎng)絡(luò)和 /或桌面環(huán)境中存在的風(fēng)險(xiǎn)、安全控制措施以及方法步驟。 例如，合同中應(yīng)闡明： a) 如何符合法律要求，如數(shù)據(jù)保護(hù)法規(guī)； b) 應(yīng)該如何規(guī)定保證外包合同中的參與方（包括轉(zhuǎn)包商）都了解各自的安全責(zé)任； c) 如何維護(hù)并檢測(cè)組織的業(yè)務(wù)資產(chǎn)的完整性和保密性； d) 應(yīng)該使用何種物理和邏輯控制措施，限制授權(quán)用戶對(duì)組織的敏感業(yè)務(wù)信息的訪問(wèn)； e) 在發(fā)生災(zāi)難事故時(shí)，如何維護(hù)服務(wù)的可用性； f) 為外包出去的設(shè)備提供何種級(jí)別的物理安全保護(hù)； 19 g) 審計(jì)人員的權(quán)限。 合同應(yīng)允許在安全管理計(jì)劃詳細(xì)說(shuō)明安全要求和程序步驟移植，使合同雙方就此達(dá)成一致。 5 資產(chǎn)分類管理 資產(chǎn)責(zé)任 目標(biāo)： 對(duì)組織資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。 確定資產(chǎn)的責(zé)任幫助確保能夠提供適當(dāng)?shù)谋Ｗo(hù)。 可以委托負(fù)責(zé)實(shí)施控制措施的責(zé)任。 資產(chǎn)目錄 資產(chǎn)清單能幫助您確保對(duì)資產(chǎn)實(shí)施有效的保護(hù)，也可以用于其它商業(yè)目的，如保健、金融保險(xiǎn)等（資產(chǎn)評(píng)估）。組織應(yīng)確定其資產(chǎn)及其相對(duì)價(jià)值和重要性。應(yīng)該為每個(gè)信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并保存一份清單。（參見(jiàn) ）各方就此達(dá)成一致并將其當(dāng)前狀況進(jìn)行備案（這一點(diǎn)在資產(chǎn)發(fā)生損壞，進(jìn)行索賠時(shí)非常重要）。 信息分類 目標(biāo)： 保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。 20 信息的敏感程度和關(guān)鍵程度各不相同?？梢允褂眯畔⒎诸愊到y(tǒng)定義合適的保護(hù)級(jí)別，并解釋對(duì)特別處理手段的需要。 通常，對(duì)信息的分類是確定如何處理和保護(hù)信息的簡(jiǎn)略方法。也可以按信息對(duì)組織的關(guān)鍵程度分類，如按照其可用性和完整性分類。 必須將這些問(wèn)題考慮在內(nèi)，分類過(guò)粗會(huì)導(dǎo)致不必要的額外業(yè)務(wù)開(kāi)銷。 也應(yīng)該考慮到信息類別的數(shù)量和進(jìn)行分類的優(yōu)點(diǎn)。在解釋其它組織文檔中的分類標(biāo)記時(shí)也應(yīng)該注意，因?yàn)橄嗤蛳嗨频臉?biāo)記的定義可能不同。 信息標(biāo)識(shí)和處理 根據(jù)組織采用的分類方法，明確標(biāo)記和處理信息的妥善步驟，是非常重要的。對(duì)于每個(gè)類別，應(yīng)明確說(shuō)明，處理步驟包括以 下類別的信息處理活動(dòng)： a) 復(fù)制； b) 存儲(chǔ)； c) 通過(guò)郵寄、傳真和電子郵件進(jìn)行傳輸； d) 通過(guò)移動(dòng)電話、語(yǔ)音郵件、應(yīng)答機(jī)等交談方式進(jìn)行傳輸； e) 破壞。標(biāo)記應(yīng)能反映根據(jù) 中創(chuàng)建的規(guī)則進(jìn)行分類的結(jié)果。 最合適的標(biāo)記形式就是貼上一張看的見(jiàn)、摸的著的標(biāo)簽。 21 6 人員安全 責(zé)任定義與資源管理的安全性 目標(biāo)： 降低設(shè)施誤操作、偷竊、詐騙或?yàn)E用等方面的人為風(fēng)險(xiǎn)。 對(duì)候選新員工應(yīng)充分進(jìn)行篩選（參見(jiàn) ），特別是對(duì)于從事敏感工作的員工更是如此。 考慮工作責(zé)任中的安全因素 在組織的信息安全策略中應(yīng)該闡明安全任務(wù)和職責(zé)（參見(jiàn) ），并進(jìn)行備案。 人員選拔策略 在考慮就業(yè)申請(qǐng)時(shí)應(yīng)該對(duì)固定員工進(jìn)行審查。 如果某個(gè)職位，不管是外部招聘還是內(nèi)部提升員工，涉及到可以訪問(wèn)信息處理設(shè)備的人員，特別是那些處理敏感信息（如財(cái)務(wù)信息或絕密信息）的個(gè)人，組織必須對(duì)該人員進(jìn)行信用檢查。對(duì)承包商和臨時(shí)性員工，也 應(yīng)執(zhí)行類似的選拔過(guò)程。 管理層應(yīng)有權(quán)訪問(wèn)敏感系統(tǒng)，以評(píng)估對(duì)新和經(jīng)驗(yàn)不足的員工的調(diào)查結(jié)果。 管理人員應(yīng)該知道，員工的個(gè)人情況會(huì)對(duì)他們的工作產(chǎn)生影響。應(yīng)在自己的權(quán)限 范圍內(nèi)，根據(jù)相應(yīng)的規(guī)定，妥善處理這些問(wèn)題。 員工應(yīng)該簽定保密協(xié)議并將其作為初步雇傭的條款和條件。 如果雇傭條款或合同發(fā)生了變化，特別在是雇員要離開(kāi)組織或合同要到期時(shí)，要對(duì)保密協(xié)議進(jìn)行進(jìn)行重新審閱。 如有需要，該責(zé)任在結(jié)束雇用關(guān)系后的一段特定的時(shí)間內(nèi)仍然有效。 雇用條款和條件中也應(yīng)該包括雇員的法律責(zé)任和權(quán)限方面的條款，如關(guān)于版權(quán)法或數(shù)據(jù)保護(hù)法規(guī)方面的內(nèi)容。 如果有必要的話，雇傭條款和條件中應(yīng)說(shuō)明員工在組織辦公地點(diǎn)以外和正常工作時(shí)間以外（如在家工作時(shí)）應(yīng)該承擔(dān)的責(zé)任（另請(qǐng)參見(jiàn) 和 ）。 應(yīng)對(duì)用戶進(jìn)行安全步驟和正確使用信息處理設(shè)備的培訓(xùn)，將可能的 安全風(fēng)險(xiǎn)降到最低。 這包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登錄的步驟、軟件包的使用方法等等。 對(duì)安全事故和故障的處理 目標(biāo)： 最大限度降低由于事故和故障而遭受的損失，對(duì)此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。 各種類型的安全事故（安全破壞行為、威脅、弱點(diǎn)或故障）對(duì)組織資產(chǎn) 的安全都會(huì)產(chǎn)生影響，所有雇員和承包商都應(yīng)了解報(bào)告各個(gè)類型安全事故的方法步驟。組織應(yīng)建 23 立正式的處分條例，處罰那些進(jìn)行違反安全活動(dòng)的雇員。 安全事故報(bào)告 將影響安全的事故通過(guò)適當(dāng)?shù)墓芾砬辣M快匯報(bào)。 所有雇員和承包商都應(yīng)該了解報(bào)告安全事故的程序步驟，并根據(jù)要求，盡快報(bào)告 安全事故。在進(jìn)行用戶 警報(bào) 培訓(xùn)時(shí)（參見(jiàn) ），可以將這些事件作為示例，向用戶講解可能發(fā)生什么事件、如何對(duì)這些事件進(jìn)行處理以及今后如何避免這類事件發(fā)生（另請(qǐng)參見(jiàn) ）。 他們應(yīng)該將這些事件盡快報(bào)告給管理層，或直接報(bào)告給服務(wù)提供商。這也是為了保護(hù)他們自己，這是 因?yàn)樵谀鷾y(cè)試某個(gè)漏洞時(shí)，很可能會(huì)導(dǎo)致對(duì)系統(tǒng)的錯(cuò)誤使用。 應(yīng)考慮采取以下措施。 b) 應(yīng)將該計(jì)算機(jī)隔離，如果可能，停止使用該計(jì)算機(jī)。如果要檢修設(shè)備，在重新接通該設(shè)備的電源前，應(yīng)將其從公司的網(wǎng)絡(luò)中斷開(kāi)。 c) 立刻將問(wèn)題報(bào)告給信息安全管理人員。應(yīng)由經(jīng)過(guò)培訓(xùn)富有經(jīng)驗(yàn)員工執(zhí)行恢復(fù)工作。 用這些信息來(lái)確定重復(fù)發(fā)生的或影響很大的事故或故障。 紀(jì)律檢查程序 24 應(yīng)該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的雇員（參見(jiàn) ，有關(guān)保留證據(jù)的問(wèn)題，參見(jiàn) ）。另外，如果懷疑某些員工有嚴(yán)重或長(zhǎng)期違反組織安全的行為，這一方法能保證對(duì)他們的處罰是正確和公平的。 應(yīng)該將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在安全的地方，使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安全隔離帶進(jìn)行保護(hù)。 根據(jù)所確定的風(fēng)險(xiǎn)的具體情況，提供相應(yīng)的保護(hù)。 實(shí)際安全隔離帶 可以在組織辦公區(qū)域和信息處理設(shè)備周圍建立幾個(gè)實(shí)際的防護(hù)設(shè)備，提供物理保護(hù)。 各個(gè)組織應(yīng)使用安全區(qū)域保護(hù)信息處理設(shè)備等資產(chǎn)（參見(jiàn) ）。防護(hù)設(shè)備的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。 a) 應(yīng)明確劃分安全區(qū)域。 安全區(qū)四周應(yīng)有堅(jiān)固的圍墻，所有可以進(jìn)出安全區(qū)的大門應(yīng)能防止未經(jīng)授權(quán)的訪問(wèn)，如使用控 制裝置、柵欄、報(bào)警裝備、鎖等等。 只有經(jīng)過(guò)授權(quán)的人才能進(jìn)入現(xiàn)場(chǎng)或建筑物。 e) 安全區(qū)的所有防火門應(yīng)報(bào)警并關(guān)閉。不經(jīng)批準(zhǔn)，任何人員不得出入。 a) 必須調(diào)查并弄清安全區(qū)域的來(lái)訪者的身份，并將他們進(jìn)入和離開(kāi)安全區(qū)域的日期和時(shí)間記錄在案。 b) 只有嚴(yán)格限定，經(jīng)過(guò)授權(quán)的人才能訪問(wèn)敏感信息，使用信息處理設(shè)備。應(yīng)對(duì)所有訪問(wèn)嚴(yán)格執(zhí)行審計(jì)流程。 d) 應(yīng)經(jīng)常審查并更新有關(guān)安全區(qū)域訪問(wèn)權(quán)限的規(guī)定。 在選擇和設(shè)計(jì)安全區(qū)域時(shí)，應(yīng)將以下各種問(wèn)題帶來(lái)的損害考慮在內(nèi)：火災(zāi)、水災(zāi)、爆炸、社會(huì)動(dòng)蕩以及其它形式的自然或人為的災(zāi)害。還應(yīng)該考慮到臨近的隔離帶可能帶來(lái)的安全威脅，如其它安全區(qū)域發(fā)生泄露事件。 a) 關(guān)鍵設(shè)備應(yīng)放在公眾無(wú)法進(jìn)入的地方。 c) 安全區(qū)域內(nèi)各種設(shè)備（如影印機(jī) 、傳真機(jī)）齊全，并放在相應(yīng)的地方，以防止未經(jīng)授權(quán)的人員使用，否則會(huì)泄露信息。 e) 按照專業(yè)標(biāo)準(zhǔn)安裝入侵檢測(cè)系統(tǒng)并經(jīng)常檢查，以對(duì)可進(jìn)入安全區(qū)域的門和窗戶進(jìn)行檢查。對(duì)其它區(qū)域也應(yīng)該提供相應(yīng)的保護(hù)，如計(jì)算機(jī)房或通訊室。 g) 通過(guò)有些目錄和內(nèi)部人員電話號(hào)碼本，能確定敏感信息處理設(shè)備的位置，不能讓公眾得到這些資料。 除非有特殊要求，否則不要把大量的物品，如文具，存儲(chǔ)在安全區(qū)域內(nèi)。 在安全區(qū)中工作 要加強(qiáng)安全區(qū)域的安全性，還應(yīng)該采用其它控制措施和指導(dǎo)原則。應(yīng)考慮以下問(wèn)題。 b) 出于安全原因和消除惡意行為 發(fā)生的機(jī)會(huì)兩方面考慮，不允許在安全區(qū)域內(nèi)進(jìn)行未經(jīng)調(diào)查的工作。 d) 只有在需要時(shí)，才能允許第三方的支持服務(wù)人員進(jìn)入安全區(qū)域或使用敏感信息處理設(shè)備。在不同的范圍之間還需要隔離區(qū)控制實(shí)際訪問(wèn)，在安全區(qū)域內(nèi)有不同的安全要求。 與其它區(qū)域隔離的交貨和裝載區(qū)域 應(yīng)該對(duì)裝運(yùn)區(qū)進(jìn)行控制，而且應(yīng)根據(jù)情況將其與信息處理設(shè)施隔離開(kāi)來(lái)，避免非法訪問(wèn)。應(yīng)考慮以下指導(dǎo)原則。 b) 設(shè)計(jì)存放物品區(qū)域時(shí)，要達(dá)到如下效果：負(fù)責(zé)交貨的人員不需要進(jìn)入建筑物的其它部分，就可以將貨物卸下。 d) 在將已收下的材料從存貨區(qū)移到使用地點(diǎn)前，必須對(duì)其進(jìn)行檢查，以防止?jié)撛诘奈ｋU(xiǎn) [參見(jiàn) )]。 設(shè)備的安全 目標(biāo)： 防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動(dòng)中斷。 要降低對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)并免受損失或損壞，必須對(duì)設(shè)備（包括不在現(xiàn)場(chǎng)使用的設(shè)備）進(jìn)行保護(hù)?？赡苄?27 要特殊的控制措施來(lái)保護(hù)免遭危險(xiǎn)或非法訪問(wèn)，并保護(hù)輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施