信息安全管理業(yè)務(wù)手則

1、信息安全管理業(yè)務(wù)手則前言 BS 7799 本部分內(nèi)容，即信息安全管理，是在 BSI/DISC 委員會 BDD/2 指導(dǎo)下完成的。它取代了已經(jīng)停止使用的 BS 7799:1995。BS 7799 由兩個部分組成：第一部分：信息安全管理業(yè)務(wù)守則；第二部分：信息安全管理系統(tǒng)規(guī)范。BS 7799-1 首發(fā)于 1995 年，它為信息安全提供了一套全面綜合最佳實踐經(jīng)驗的控制措施。其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時為確定實施控制措施的范圍提供一個參考依據(jù)，并且能夠讓各種規(guī)模的組織所采用。本標(biāo)準(zhǔn)使用組織這一術(shù)語，既包括贏利性組織，也包括諸如公共部門等非贏利性組織。1999 年的修訂版考慮到最新的信息處理技

2、術(shù)應(yīng)用，特別是網(wǎng)絡(luò)和通訊的發(fā)展情況。它也更加強(qiáng)調(diào)了信息安全所涉及的商業(yè)問題和責(zé)任問題。本文檔所說明的控制措施不可能完全適用于所有情況。它沒有考慮到本地系統(tǒng)、環(huán)境或技術(shù)上的制約因素。并且在形式上也不可能完全適合組織的所有潛在用戶。因此，本文檔還需要有進(jìn)一步的指導(dǎo)說明作為補(bǔ)充。例如，在制定公司策略或公司間貿(mào)易協(xié)定時，可以使用本文檔作為一個基石。British Standard 作為一個業(yè)務(wù)守則，在形式上采用指導(dǎo)和建議結(jié)合的方式。在使用時，不應(yīng)該有任何條條框框，尤其特別注意，不要因為要求遵守守則而因噎廢食。本標(biāo)準(zhǔn)在起草時就已經(jīng)假定一個前提條件，即標(biāo)準(zhǔn)的執(zhí)行對象是具有相應(yīng)資格的、富有經(jīng)驗的有關(guān)人士。附

3、件 A 的信息非常豐富，其中包含一張表，說明了 1995 年版各部分與 1999 年版各條款間的關(guān)系。British Standard 無意包容合約的所有必要條款。British Standards 的用戶對他們正確使用本標(biāo)準(zhǔn)自負(fù)責(zé)任。符合 British Standard 不代表其本身豁免法律義務(wù)。什么是信息安全？信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對一個組織來說是有價值的，因此需要妥善進(jìn)行保護(hù)。信息安全保護(hù)信息免受多種威脅的攻擊，保證業(yè)務(wù)連續(xù)性，將業(yè)務(wù)損失降至最少，同時最大限度地獲得投資回報和利用商業(yè)機(jī)遇。信息存在的形式多種多樣。它可以打印或?qū)懺诩埳?，以電子文檔形式儲存，通過郵寄

4、或電子手段傳播，以膠片形式顯示或在交談中表達(dá)出來。不管信息的形式如何，或通過什么手段進(jìn)行共享或存儲，都應(yīng)加以妥善保護(hù)。信息安全具有以下特征：保密性：確保只有經(jīng)過授權(quán)的人才能訪問信息；完整性：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；可用性：確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。信息安全是通過實施一整套適當(dāng)?shù)目刂拼胧崿F(xiàn)的。控制措施包括策略、實踐、步驟、組織結(jié)構(gòu)和軟件功能。必須建立起一整套的控制措施，確保滿足組織特定的安全目標(biāo)。為什么需要信息安全信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。為保證組織富有競爭力，保持現(xiàn)金流順暢和組織贏利，以及遵紀(jì)守法和維護(hù)組織的良好商業(yè)形象，信息

5、的保密性、完整性和可用性是至關(guān)重要的。各個組織及其信息系統(tǒng)和網(wǎng)絡(luò)所面臨的安全威脅與日俱增，來源也日益廣泛，包括利用計算機(jī)欺詐、竊取機(jī)密、惡意詆毀破壞等行為以及火災(zāi)或水災(zāi)。危害的來源多種多樣，如計算機(jī)病毒、計算機(jī)黑客行為、拒絕服務(wù)攻擊等等，這些行為呈蔓延之勢遍、用意更加險惡，而且手段更加復(fù)雜。組織對信息系統(tǒng)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的互聯(lián)以及對信息資源的共享，增大了對訪問進(jìn)行控制的難度。分布式計算盡管十分流行，但降低了集中式專家級控制措施的有效性。很多信息系統(tǒng)在設(shè)計時，沒有考慮到安全問題。通過技術(shù)手段獲得安全保障十分有限，必須輔之以相應(yīng)的管理手段和操作程序

6、才能得到真正的安全保障。確定需要使用什么控制措施需要周密計劃，并對細(xì)節(jié)問題加以注意。作為信息安全管理的最基本要求，組織內(nèi)所有的雇員都應(yīng)參與信息安全管理。信息安全管理還需要供應(yīng)商、客戶或股東的參與。也需要參考來自組織之外的專家的建議。如果在制定安全需求規(guī)范和設(shè)計階段時就考慮到了信息安全的控制措施，那么信息安全控制的成本會很低，并更有效率。如何制定安全要求組織確定自己的安全要求，這是安全保護(hù)的起點。安全要求有三個主要來源。第一個來源是對組織面臨的風(fēng)險進(jìn)行評估的結(jié)果。通過風(fēng)險評估，確定風(fēng)險和安全漏洞對資產(chǎn)的威脅，并評價風(fēng)險發(fā)生的可能性以及潛在的影響。第二個來源是組織、其商業(yè)伙伴、承包商和服務(wù)提供商必

7、須滿足的法律、法令、規(guī)章以及合約方面的要求。第三個來源是一組專門的信息處理的原則、目標(biāo)和要求，它們是組織為了進(jìn)行信息處理必須制定的。評估安全風(fēng)險安全要求是通過對安全風(fēng)險的系統(tǒng)評估確定的。應(yīng)該將實施控制措施的支出與安全故障可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮。風(fēng)險評估技術(shù)適用于整個組織，或者組織的某一部分以及獨立的信息系統(tǒng)、特定系統(tǒng)組件或服務(wù)等。在這些地方，風(fēng)險評估技術(shù)不僅切合實際，而且也頗有助益。進(jìn)行風(fēng)險評估需要系統(tǒng)地考慮以下問題：安全故障可能造成的業(yè)務(wù)損失，包含由于信息和其它資產(chǎn)的保密性、完整性或可用性損失可能造成的后果；當(dāng)前主要的威脅和漏洞帶來的現(xiàn)實安全問題，以及目前實施的控制措施。評估的結(jié)果有

8、助于指導(dǎo)用戶確定適宜的管理手段，以及管理信息安全風(fēng)險的優(yōu)先順序，并實施所選的控制措施來防范這些風(fēng)險。必須多次重復(fù)執(zhí)行評估風(fēng)險和選擇控制措施的過程，以涵蓋組織的不同部分或各個獨立的信息系統(tǒng)。對安全風(fēng)險和實施的控制措施進(jìn)行定期審查非常重要，目的是：考慮業(yè)務(wù)要求和優(yōu)先順序的變更；考慮新出現(xiàn)的安全威脅和漏洞；確認(rèn)控制措施方法是否適當(dāng)和有效。應(yīng)該根據(jù)以前的評估結(jié)果以及管理層可以接受的風(fēng)險程度變化對系統(tǒng)安全執(zhí)行不同程度的審查。通常先在一個較高的層次上對風(fēng)險進(jìn)行評估（這是一種優(yōu)先處理高風(fēng)險區(qū)域中的資源的方法），然后在一個具體層次上處理特定的風(fēng)險。選擇控制措施一旦確定了安全要求，就應(yīng)選擇并實施適宜的控制措施，

9、確保將風(fēng)險降低到一個可接受的程度?？梢詮谋疚臋n或其它控制措施集合選擇適合的控制措施，也可以設(shè)計新的控制措施，以滿足特定的需求。管理風(fēng)險有許多方法，本文檔提供了常用方法的示例。但是，請務(wù)必注意，其中一些方法并不適用于所有信息系統(tǒng)或環(huán)境，而且可能不適用于所有組織。例如，8.1.4 說明了如何劃分責(zé)任來防止欺詐行為和錯誤行為。在較小的組織中很難將所有責(zé)任劃分清楚，因此需要使用其它方法以達(dá)到同樣的控制目的。在降低風(fēng)險和違反安全造成的潛在損失時，應(yīng)該根據(jù)實施控制措施的成本選擇控制措施。還應(yīng)該考慮聲譽(yù)受損等非貨幣因素。本文檔中的一些控制措施可以作為信息安全管理的指導(dǎo)性原則，這些方法適用于大多數(shù)組織。在下文

10、的“信息安全起點”標(biāo)題下，對此做了較為詳細(xì)的解釋。信息安全起點很多控制措施都可以作為指導(dǎo)性原則，它們?yōu)閷嵤┬畔踩峁┝艘粋€很好的起點。這些方法可以是根據(jù)基本的法律要求制定的，也可以從信息安全的最佳實踐經(jīng)驗中獲得。從規(guī)律規(guī)定的角度來看，對組織至關(guān)重要的控制措施包括：知識產(chǎn)權(quán)（參閱12.1.2）；組織記錄的保護(hù)（參閱12.1.3）；對數(shù)據(jù)的保護(hù)和個人信息的隱私權(quán)保護(hù)（參閱12.1.4）。在保護(hù)信息安全的實踐中，非常好的常用控制措施包括：信息安全策略文檔（參閱3.1.1）；信息安全責(zé)任的分配（參閱4.1.3）；信息安全教育和培訓(xùn)（參閱6.2.1）；報告安全事故（參閱6.3.1）；業(yè)務(wù)連續(xù)性管理（參

11、閱11.1）。這些控制措施適用于大多數(shù)組織，并可在大多數(shù)環(huán)境中使用。請注意，盡管本文檔中的所有文檔都很重要，但一種方法是否適用，還是取決于一個組織所面臨的特定安全風(fēng)險。因此，盡管采用上述措施可以作為一個很好的安全保護(hù)起點，但不能取代根據(jù)風(fēng)險評估結(jié)果選擇控制措施的要求。成功的關(guān)鍵因素以往的經(jīng)驗表明，在組織中成功地實施信息安全保護(hù)，以下因素是非常關(guān)鍵的：反映組織目標(biāo)的安全策略、目標(biāo)以及活動；與組織文化一致的實施安全保護(hù)的方法；來自管理層的實際支持和承諾；對安全要求、風(fēng)險評估以及風(fēng)險管理的深入理解；向全體管理人員和雇員有效地推銷安全的理念；向所有雇員和承包商宣傳信息安全策略的指導(dǎo)原則和標(biāo)準(zhǔn)；提供適當(dāng)

12、的培訓(xùn)和教育；一個綜合平衡的測量系統(tǒng)，用來評估信息安全管理的執(zhí)行情況和反饋意見和建議，以便進(jìn)一步改進(jìn)。制定自己的指導(dǎo)方針業(yè)務(wù)規(guī)則可以作為制定組織專用的指導(dǎo)原則的起點。本業(yè)務(wù)規(guī)則中的指導(dǎo)原則和控制措施并非全部適用。因此，還可能需要本文檔未包括的其它控制措施。出現(xiàn)上述情況時，各控制措施之間相互參照很有用，有利于審計人員和業(yè)務(wù)伙伴檢查是否符合安全指導(dǎo)原則。目錄TOC o 1-3 h z1122術(shù)語和定義132.1信息安全132.2風(fēng)險評估132.3風(fēng)險管理133安全策略143.1信息安全策略143.1.1信息安全策略文檔143.1.2審查評估144組織的安全154.1信息安全基礎(chǔ)設(shè)施154.1.1管

13、理信息安全論壇154.1.2信息安全的協(xié)調(diào)154.1.3信息安全責(zé)任的劃分154.1.4信息處理設(shè)施的授權(quán)程序164.1.5專家信息安全建議164.1.6組織間的合作164.1.7信息安全的獨立評審174.2第三方訪問的安全性174.2.1確定第三方訪問的風(fēng)險174.2.2第三方合同的安全要求184.3外包194.3.1外包合同的安全要求195資產(chǎn)分類管理205.1資產(chǎn)責(zé)任205.1.1資產(chǎn)目錄205.2信息分類205.2.1分類原則205.2.2信息標(biāo)識和處理216人員安全226.1責(zé)任定義與資源管理的安全性226.1.1考慮工作責(zé)任中的安全因素226.1.2人員選拔策略226.1.3保密協(xié)

14、議226.1.4雇傭條款和條件226.2用戶培訓(xùn)236.2.1信息安全的教育與培訓(xùn)236.3對安全事故和故障的處理236.3.1安全事故報告236.3.2安全漏洞報告236.3.3軟件故障報告246.3.4從事故中吸取教訓(xùn)246.3.5紀(jì)律檢查程序247實際和環(huán)境的安全257.1安全區(qū)257.1.1實際安全隔離帶257.1.2安全區(qū)出入控制措施257.1.3辦公場所、房屋和設(shè)施的安全保障267.1.4在安全區(qū)中工作267.1.5與其它區(qū)域隔離的交貨和裝載區(qū)域267.2設(shè)備的安全277.2.1設(shè)備選址與保護(hù)277.2.2電源287.2.3電纜安全287.2.4設(shè)備維護(hù)287.2.5場外設(shè)備的安全

15、287.2.6設(shè)備的安全處置與重用297.3常規(guī)控制措施297.3.1桌面與屏幕管理策略297.3.2資產(chǎn)處置308通信與操作管理318.1操作程序和責(zé)任318.1.1明確的操作程序318.1.2操作變更控制318.1.3事故管理程序318.1.4責(zé)任劃分328.1.5開發(fā)設(shè)施與運營設(shè)施分離328.1.6外部設(shè)施管理338.2系統(tǒng)規(guī)劃與驗收338.2.1容量規(guī)劃348.2.2系統(tǒng)驗收348.3防止惡意軟件358.3.1惡意軟件的控制措施358.4內(nèi)務(wù)處理368.4.1信息備份368.4.2操作人員日志368.4.3錯誤日志記錄368.5網(wǎng)絡(luò)管理368.5.1網(wǎng)絡(luò)控制措施378.6介質(zhì)處理與安全

16、378.6.1計算機(jī)活動介質(zhì)的管理378.6.2介質(zhì)處置378.6.3信息處理程序388.6.4系統(tǒng)文檔的安全388.7信息和軟件交換388.7.1信息和軟件交換協(xié)議388.7.2傳輸中介質(zhì)的安全398.7.3電子商務(wù)安全398.7.4電子郵件安全408.7.5電子辦公系統(tǒng)安全408.7.6信息公布系統(tǒng)418.7.7其它的信息交換形式419訪問控制439.1訪問控制的業(yè)務(wù)要求439.1.1訪問控制策略439.2用戶訪問管理449.2.1用戶注冊449.2.2權(quán)限管理449.2.3用戶口令管理459.2.4用戶訪問權(quán)限檢查459.3用戶責(zé)任469.3.1口令的使用469.3.2無人值守的用戶設(shè)備

17、469.4網(wǎng)絡(luò)訪問控制469.4.1網(wǎng)絡(luò)服務(wù)的使用策略479.4.2實施控制的路徑479.4.3外部連接的用戶身份驗證479.4.4節(jié)點驗證489.4.5遠(yuǎn)程診斷端口的保護(hù)489.4.6網(wǎng)絡(luò)劃分489.4.7網(wǎng)絡(luò)連接控制489.4.8網(wǎng)絡(luò)路由控制499.4.9網(wǎng)絡(luò)服務(wù)安全499.5操作系統(tǒng)訪問控制509.5.1終端自動識別功能509.5.2終端登錄程序509.5.3用戶身份識別和驗證509.5.4口令管理系統(tǒng)519.5.5系統(tǒng)實用程序的使用519.5.6保護(hù)用戶的威脅報警529.5.7終端超時529.5.8連接時間限制529.6應(yīng)用程序訪問控制539.6.1信息訪問限制539.6.2敏感系統(tǒng)的

18、隔離539.7監(jiān)控系統(tǒng)的訪問和使用549.7.1事件日志記錄549.7.2監(jiān)控系統(tǒng)的使用549.7.3時鐘同步559.8移動計算和遠(yuǎn)程工作569.8.1移動計算569.8.2遠(yuǎn)程工作5610系統(tǒng)開發(fā)與維護(hù)5810.1系統(tǒng)的安全要求5810.1.1安全要求分析和說明5810.2應(yīng)用系統(tǒng)中的安全5810.2.1輸入數(shù)據(jù)驗證5810.2.2內(nèi)部處理的控制5910.2.3消息驗證5910.2.4輸出數(shù)據(jù)驗證6010.3加密控制措施6010.3.1加密控制措施的使用策略6010.3.2加密6010.3.3數(shù)字簽名6110.3.4不否認(rèn)服務(wù)6110.3.5密鑰管理6110.4系統(tǒng)文件的安全6210.4.1

19、操作軟件的控制6210.4.2系統(tǒng)測試數(shù)據(jù)的保護(hù)6310.4.3對程序源代碼庫的訪問控制6310.5開發(fā)和支持過程中的安全6310.5.1變更控制程序6310.5.2操作系統(tǒng)變更的技術(shù)評審6410.5.3對軟件包變更的限制6410.5.4隱蔽通道和特洛伊代碼6410.5.5外包的軟件開發(fā)6511業(yè)務(wù)連續(xù)性管理6611.1業(yè)務(wù)連續(xù)性管理的特點6611.1.1業(yè)務(wù)連續(xù)性管理程序6611.1.2業(yè)務(wù)連續(xù)性和影響分析6611.1.3編寫和實施連續(xù)性計劃6611.1.4業(yè)務(wù)連續(xù)性計劃框架6711.1.5業(yè)務(wù)連續(xù)性計劃的檢查、維護(hù)和重新分析6712符合性6912.1符合法律要求6912.1.1確定適用法律

20、6912.1.2知識產(chǎn)權(quán) (IPR)6912.1.3組織記錄的安全保障6912.1.4個人信息的數(shù)據(jù)保護(hù)和安全7012.1.5防止信息處理設(shè)施的濫用7012.1.6加密控制措施的調(diào)整7112.1.7證據(jù)收集7112.2安全策略和技術(shù)符合性的評審7212.2.1符合安全策略7212.2.2技術(shù)符合性檢查7212.3系統(tǒng)審計因素7212.3.1系統(tǒng)審計控制措施7212.3.2系統(tǒng)審計工具的保護(hù)73范圍BS 7799 本部分內(nèi)容為那些負(fù)責(zé)執(zhí)行或維護(hù)組織安全的人員提供使用信息安全管理的建議。目的是為制定組織安全標(biāo)準(zhǔn)和有效安全管理提供共同基礎(chǔ)，并提高組織間相互協(xié)調(diào)的信心。術(shù)語和定義在說明本文檔用途中應(yīng)用

21、了以下定義。信息安全信息保密性、完整性和可用性的保護(hù)注意保密性的定義是確保只有獲得授權(quán)的人才能訪問信息。完整性的定義是保護(hù)信息和處理方法的準(zhǔn)確和完整?？捎眯缘亩x是確保獲得授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。風(fēng)險評估評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性風(fēng)險管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程安全策略信息安全策略目標(biāo)：提供管理指導(dǎo)，保證信息安全。管理層應(yīng)制定一個明確的安全策略方向，并通過在整個組織中發(fā)布和維護(hù)信息安全策略，表明自己對信息安全的支持和保護(hù)責(zé)任。信息安全策略文檔策略文檔應(yīng)該由管理層批準(zhǔn)，根

22、據(jù)情況向所有員工公布傳達(dá)。文檔應(yīng)說明管理人員承擔(dān)的義務(wù)和責(zé)任，并制定組織的管理信息安全的步驟。至少應(yīng)包括以下指導(dǎo)原則：信息安全的定義、其總體目標(biāo)及范圍以及安全作為保障信息共享的機(jī)制所具有的重要性（參閱簡介）；陳述信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則；簡要說明安全策略、原則、標(biāo)準(zhǔn)以及需要遵守的各項規(guī)定。這對組織非常重要，例如：1) 符合法律和合約的要求；2) 安全教育的要求；3) 防止并檢測病毒和其它惡意軟件；4)業(yè)務(wù)連續(xù)性管理；5) 違反安全策略的后果；確定信息安全管理的一般責(zé)任和具體責(zé)任，包括報告安全事故；參考支持安全策略的有關(guān)文獻(xiàn)，例如針對特定信息系統(tǒng)的更為詳盡的安全策略和方法以及用戶

23、應(yīng)該遵守的安全規(guī)則。安全策略應(yīng)該向組織用戶傳達(dá)，形式上是針對目標(biāo)讀者，并為讀者接受和理解。審查評估每個策略應(yīng)該有一個負(fù)責(zé)人，他根據(jù)明確規(guī)定的審查程序?qū)Σ呗赃M(jìn)行維護(hù)和審查。審查過程應(yīng)該確保在發(fā)生影響最初風(fēng)險評估的基礎(chǔ)的變化（如發(fā)生重大安全事故、出現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時，對策略進(jìn)行相應(yīng)的審查。還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查：檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來；控制措施的成本及其業(yè)務(wù)效率的影響；技術(shù)變化帶來的影響。組織的安全信息安全基礎(chǔ)設(shè)施目標(biāo)：管理組織內(nèi)部的信息安全。應(yīng)該建立管理框架，在組織內(nèi)部開展和控制信息安全的管理實施。應(yīng)該建立有管理領(lǐng)

24、導(dǎo)層參加的管理論壇，以批準(zhǔn)信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍的安全策略實施。根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個組織使用。建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評估方法同步，并在處理安全事故時吸收他們的觀點。應(yīng)該鼓勵采用跨學(xué)科跨范圍的信息安全方法，例如，讓管理人員、用戶、行政人員、應(yīng)用程序設(shè)計人員、審計人員以及安全人員和專家協(xié)同工作，讓他們參與保險和風(fēng)險管理的工作。管理信息安全論壇信息安全是一種由管理團(tuán)隊所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任。應(yīng)該建立一個管理論壇，確保對安全措施有一個明確的方向并得到管理層的實際支持。論壇應(yīng)通過合理的責(zé)任分配和有效的資源管理促

25、進(jìn)組織內(nèi)部安全。該論壇可以作為目前管理機(jī)構(gòu)的一個組成部分。通常，論壇有以下作用：審查和核準(zhǔn)信息安全策略以及總體責(zé)任；當(dāng)信息資產(chǎn)暴露受到嚴(yán)重威脅時，監(jiān)視重大變化；審查和監(jiān)控安全事故；審核加強(qiáng)信息安全的重要活動。一個管理人員應(yīng)負(fù)責(zé)所有與安全相關(guān)的活動。信息安全的協(xié)調(diào)在大型組織中，需要建立一個與組織規(guī)模相宜的跨部門管理論壇，由組織有關(guān)部門的管理代表參與，通過論壇協(xié)調(diào)信息安全控制措施的實施情況。通常，這類論壇：就整個公司的信息安全的作用和責(zé)任達(dá)成一致；就信息安全的特定方法和處理過程達(dá)成一致，如風(fēng)險評估、安全分類系統(tǒng)；就整個公司的信息安全活動達(dá)成一致并提供支持，例如安全警報程序；確保將安全作為制定信息計

26、劃的一個部分；對控制措施是否完善進(jìn)行評估，并協(xié)調(diào)新系統(tǒng)或新服務(wù)的特定信息安全控制措施的實施情況；審查信息安全事故；g) 在整個組織中增加對信息安全工作支持的力度。信息安全責(zé)任的劃分應(yīng)該明確保護(hù)個人資產(chǎn)和執(zhí)行具體安全程序步驟的責(zé)任。信息安全策略（請參閱條款3）應(yīng)提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一般指導(dǎo)原則。如果需要，可以為特定的站點、系統(tǒng)或服務(wù)補(bǔ)充更加詳細(xì)的指導(dǎo)原則。應(yīng)明確說明對各個實際資產(chǎn)和信息資產(chǎn)以及安全進(jìn)程（如業(yè)務(wù)連續(xù)性規(guī)劃）的保護(hù)責(zé)任。在很多組織中，指定信息安全管理員負(fù)責(zé)開展和實施安全保護(hù)，并幫助確定控制措施。但是，資源管理以及實施控制措施仍由各個管理人員負(fù)責(zé)。一種常用的方法是為每項信息

27、資產(chǎn)指定一個所有者，并由他負(fù)責(zé)該資產(chǎn)的日常安全問題。信息資產(chǎn)的所有者將其所承擔(dān)的安全責(zé)任委托給各個管理人員或服務(wù)提供商。盡管所有者仍對該資產(chǎn)的安全負(fù)有最終責(zé)任，但可以確定被委托的人是否正確履行了責(zé)任。一定要明確說明各個管理人員所負(fù)責(zé)的范圍；特別是要明確以下范圍。必須確定并明確說明由誰負(fù)責(zé)各種資產(chǎn)和與每個系統(tǒng)相關(guān)的安全進(jìn)程。應(yīng)該確定負(fù)責(zé)各個資產(chǎn)和安全進(jìn)程的管理人員，并記錄責(zé)任的具體落實情況。應(yīng)明確規(guī)定授權(quán)級別并進(jìn)行備案。信息處理設(shè)施的授權(quán)程序?qū)τ谛碌男畔⑻幚碓O(shè)施，應(yīng)該制定管理授權(quán)程序。應(yīng)考慮以下問題。新設(shè)施應(yīng)獲得適當(dāng)?shù)挠脩艄芾韺徍?，授?quán)新設(shè)施的范圍和使用。應(yīng)獲得負(fù)責(zé)維護(hù)本地信息系統(tǒng)安全環(huán)境的管理

28、人員的批準(zhǔn)，以確保符合所有相關(guān)安全策略和要求。如果需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。請注意，某些連接可能需要對類型進(jìn)行核實。使用個人信息處理工具處理業(yè)務(wù)信息和其它必要的控制措施應(yīng)得到授權(quán)。在工作場所使用個人信息處理工具會帶來新的漏洞，因此需要進(jìn)行評估和授權(quán)。在聯(lián)網(wǎng)的環(huán)境中，這些控制措施特別重要。專家信息安全建議很多組織都需要專家級的信息安全建議。理想情況下，一位資深的全職信息安全顧問應(yīng)該提出以下建議。并不是所有組織都希望雇傭?qū)＜翌檰?。在這種情況下，我們建議專家負(fù)責(zé)協(xié)調(diào)公司內(nèi)部的知識和經(jīng)驗資源，以確保協(xié)調(diào)一致，并在安全決策方面提供幫助。各個組織應(yīng)該與公司以外的顧問保持聯(lián)系，在自

29、己不了解的領(lǐng)域，傾聽他們的專門建議。信息安全顧問或其它專家應(yīng)負(fù)責(zé)為信息安全的各種問題提供建議，這些意見既可以來自他們本人，也可以來自外界。組織的信息安全工作的效率如何，取決于他們對安全威脅評估的質(zhì)量和建議使用的控制措施。為得到最高的效率和最好的效果，信息安全顧問可以直接與管理層聯(lián)系。在發(fā)生可疑的安全事故或破壞行為時，應(yīng)盡早向信息安全顧問或其它專家進(jìn)行咨詢，以得到專家的指導(dǎo)或可供研究的資源。盡管多數(shù)內(nèi)部安全調(diào)查是在管理層的控制下進(jìn)行的，但仍然應(yīng)該邀請安全顧問，傾聽他們的建議，或由他們領(lǐng)導(dǎo)、實施這一調(diào)研活動。組織間的合作與執(zhí)法機(jī)關(guān)、管理部門、信息服務(wù)提供商和通信運營商簽署的合同應(yīng)保證：在發(fā)生安全事

30、故時，能迅速采取行動并獲得建議。同樣的，也應(yīng)該考慮加入安全組織和業(yè)界論壇。應(yīng)嚴(yán)格限制對安全信息的交換，以確保組織的保密信息沒有傳播給未經(jīng)授權(quán)的人。信息安全的獨立評審信息安全策略文檔（參見3.1.1）制定了信息安全的策略和責(zé)任。必須對該文檔的實施情況進(jìn)行獨立審查，確保組織的安全實踐活動不僅符合策略的要求，而且是靈活高效的。（參見12.2）。審查工作應(yīng)該由組織內(nèi)部的審計職能部門、獨立管理人員或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行，而且這些人員必須具備相應(yīng)的技能和經(jīng)驗。第三方訪問的安全性目標(biāo)：維護(hù)第三方訪問的組織信息處理設(shè)施和信息資產(chǎn)的安全性。要嚴(yán)格控制第三方對組織的信息處理設(shè)備的使用。如果存在對第

31、三方訪問的業(yè)務(wù)需求，必須進(jìn)行風(fēng)險評估，以確定所涉及的安全問題和控制要求。必須與第三方就控制措施達(dá)成一致，并在合同中規(guī)定。第三方的訪問可能涉及到其它人員。授予第三方訪問權(quán)限的合約應(yīng)該包括允許指定其它符合條件的人員進(jìn)行訪問和有關(guān)條件的規(guī)定條款。在制定這類合約或考慮信息處理外包時，可以將本標(biāo)準(zhǔn)作為一個基礎(chǔ)。確定第三方訪問的風(fēng)險訪問類型允許第三方使用的訪問類型非常重要。例如，通過網(wǎng)絡(luò)連接進(jìn)行訪問所帶來的風(fēng)險與實際訪問所帶來的風(fēng)險截然不同。應(yīng)考慮的訪問類型有：實際訪問，如對辦公室、計算機(jī)房、檔案室的訪問；邏輯訪問，如對組織的數(shù)據(jù)庫、信息系統(tǒng)的訪問。訪問理由允許第三方訪問有以下理由。例如，某些向組織提供服

32、務(wù)的第三方不在工作現(xiàn)場，但可以授予他們物理和邏輯訪問的權(quán)限，諸如：硬件和軟件支持人員，他們需要訪問系統(tǒng)級別或低級別的應(yīng)用程序功能；貿(mào)易伙伴或該組織創(chuàng)辦的合資企業(yè),他們與組織交換信息、訪問信息系統(tǒng)或共享數(shù)據(jù)庫。如果不進(jìn)行充分的安全管理就允許第三方訪問數(shù)據(jù)，則信息被置于很危險的境地。凡有業(yè)務(wù)需要與第三方連接時，就需要進(jìn)行風(fēng)險評估，以確定具體的控制措施要求。還需要考慮以下因素：所需的訪問類型、信息的價值、第三方所使用的控制措施以及該訪問對該組織信息的安全性可能帶來的影響?，F(xiàn)場承包商按照合約的規(guī)定，第三方在現(xiàn)場工作一段時間后也會留下導(dǎo)致安全隱患。第三方在現(xiàn)場的情況有：硬件和軟件的支持維護(hù)人員；清潔人員

33、、送餐人員、保安以及其它外包的支持服務(wù)人員；為學(xué)生提供的職位和其它臨時性的短期職位；咨詢?nèi)藛T。要對第三方使用信息處理設(shè)備進(jìn)行管理，了解要使用什么控制措施是至關(guān)重要的。通常，第三方訪問會帶來新的安全要求或內(nèi)部控制措施，這些都應(yīng)該在與第三方的合同中體現(xiàn)出來（另請參見4.2.2）。例如，如果對信息的保密性有特殊的要求，應(yīng)簽署保密協(xié)議（參見6.1.3）。只有實施了相應(yīng)的控制措施，并在合同中明確規(guī)定了連接或訪問的條款，才能允許第三方訪問信息和使用信息處理設(shè)備。第三方合同的安全要求第三方對組織信息處理設(shè)施的訪問，應(yīng)該根據(jù)包含所有必要安全要求的正式合同進(jìn)行，確保符合組織的安全策略和標(biāo)準(zhǔn)。應(yīng)確保組織和第三方之

34、間對合同內(nèi)容不存在任何歧義。為滿足供應(yīng)商，組織應(yīng)首先滿足自己。在合約中應(yīng)考慮以下條款：信息安全的常規(guī)策略；對資產(chǎn)的保護(hù)，包括：保護(hù)包括信息和軟件在內(nèi)的組織資產(chǎn)的步驟；確認(rèn)資產(chǎn)的安全是否受到威脅的步驟，如數(shù)據(jù)丟失或被修改；相應(yīng)的控制措施，以保證在合同終止時，或在合同執(zhí)行期間某個雙方認(rèn)可的時間點，將信息和資產(chǎn)歸還或銷毀；完整性和可用性；嚴(yán)格限制復(fù)制信息和泄露信息；說明每個可提供的服務(wù)；期望的服務(wù)水平和不可接受的服務(wù)水平；在適當(dāng)?shù)臅r候撤換員工的規(guī)定；達(dá)成各方義務(wù)的協(xié)議；與法律事務(wù)相關(guān)的責(zé)任（例如，數(shù)據(jù)保護(hù)法規(guī)）。如果合同涉及到與其它國家的組織進(jìn)行合作，應(yīng)考慮到各個國家法律系統(tǒng)之間的差異（另請參見12

35、.1）；知識產(chǎn)權(quán) (IPRs) 和版權(quán)轉(zhuǎn)讓（參見12.1.2）以及對合著的保護(hù)（另請參見6.1.3）；訪問控制協(xié)議，包括：允許使用的訪問方法，以及控制措施和對唯一標(biāo)識符的使用，如用戶 ID 和口令；用戶訪問和權(quán)限的授權(quán)程序；保留得到有權(quán)使用服務(wù)的人員清單，以及他們具體享有那些權(quán)限和權(quán)限；確定可核實的執(zhí)行標(biāo)準(zhǔn)、監(jiān)視及報告功能；監(jiān)視、撤消用戶活動的權(quán)限；審計合同責(zé)任或?qū)徲嫻ぷ鹘挥傻谌綀?zhí)行的權(quán)限；建立一種解決問題的漸進(jìn)過程；在需要時應(yīng)要考慮如何執(zhí)行應(yīng)急措施；與硬件和軟件安裝維護(hù)相關(guān)的責(zé)任；明晰的報告結(jié)構(gòu)和雙方認(rèn)可的報告格式；變更管理的明確制定過程；所需的物理保護(hù)控制措施和機(jī)制，以確保所有操作都符

36、合控制措施的要求；對用戶和管理員進(jìn)行的方法、步驟和安全方面的培訓(xùn)；保證免受惡意軟件攻擊的控制措施（參見8.3）；規(guī)定如何報告、通知和調(diào)查安全事故以及安全違反行為；第三方與分包商之間的參與關(guān)系。外包目標(biāo)：在將信息處理責(zé)任外包給另一組織時保障信息安全。在雙方的合同中，外包協(xié)議應(yīng)闡明信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境中存在的風(fēng)險、安全控制措施以及方法步驟。外包合同的安全要求如果將所有或部分信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的管理和控制進(jìn)行外包，則應(yīng)在雙方簽定的合同中反映組織的安全要求。例如，合同中應(yīng)闡明：如何符合法律要求，如數(shù)據(jù)保護(hù)法規(guī)；應(yīng)該如何規(guī)定保證外包合同中的參與方（包括轉(zhuǎn)包商）都了解各自的安全責(zé)任；如何

37、維護(hù)并檢測組織的業(yè)務(wù)資產(chǎn)的完整性和保密性；應(yīng)該使用何種物理和邏輯控制措施，限制授權(quán)用戶對組織的敏感業(yè)務(wù)信息的訪問；在發(fā)生災(zāi)難事故時，如何維護(hù)服務(wù)的可用性；為外包出去的設(shè)備提供何種級別的物理安全保護(hù)；審計人員的權(quán)限。合同中應(yīng)該包括4.2.2 中的列表列出的條款。合同應(yīng)允許在安全管理計劃詳細(xì)說明安全要求和程序步驟移植，使合同雙方就此達(dá)成一致。盡管外包合同會帶來一些復(fù)雜的安全問題，本業(yè)務(wù)規(guī)則中的控制措施可以作為一個認(rèn)可安全管理計劃的結(jié)構(gòu)和內(nèi)容的起點。資產(chǎn)分類管理資產(chǎn)責(zé)任目標(biāo)：對組織資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。所有主要的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。確定資產(chǎn)的責(zé)任幫助確保能夠提供適當(dāng)?shù)谋Ｗo(hù)。應(yīng)確定所

38、有主要資產(chǎn)的所有者，并分配維護(hù)該資產(chǎn)的責(zé)任?？梢晕胸?fù)責(zé)實施控制措施的責(zé)任。資產(chǎn)的責(zé)任由資產(chǎn)的指定所有責(zé)負(fù)責(zé)。資產(chǎn)目錄資產(chǎn)清單能幫助您確保對資產(chǎn)實施有效的保護(hù)，也可以用于其它商業(yè)目的，如保健、金融保險等（資產(chǎn)評估）。編輯資產(chǎn)清單的過程是資產(chǎn)評估的一個重要方面。組織應(yīng)確定其資產(chǎn)及其相對價值和重要性。利用以上信息，組織可以根據(jù)資產(chǎn)的重要性和價值提供相應(yīng)級別的保護(hù)。應(yīng)該為每個信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并保存一份清單。應(yīng)該明確確認(rèn)每項資產(chǎn)及其所有權(quán)和安全分類。（參見5.2）各方就此達(dá)成一致并將其當(dāng)前狀況進(jìn)行備案（這一點在資產(chǎn)發(fā)生損壞，進(jìn)行索賠時非常重要）。與信息系統(tǒng)相關(guān)聯(lián)的資產(chǎn)示例有：信息資產(chǎn)：數(shù)據(jù)庫和數(shù)

39、據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性計劃、退守計劃、歸檔信息；軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序；物質(zhì)資產(chǎn)：計算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶和磁盤）、其它技術(shù)設(shè)備（電源、空調(diào)器）、家具、機(jī)房；服務(wù)：計算和通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空調(diào)。信息分類目標(biāo)：保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。應(yīng)該對信息分類，指明其需要、優(yōu)先順序和保護(hù)級別。信息的敏感程度和關(guān)鍵程度各不相同。有些信息需要加強(qiáng)保護(hù)或進(jìn)行特別對待?？梢允褂眯畔⒎诸愊到y(tǒng)定義合適的保護(hù)級別，并解釋對特別處理手段

40、的需要。分類原則在對信息進(jìn)行分類并制定相關(guān)的保護(hù)性控制措施時，應(yīng)該考慮以下問題：對共享信息或限制信息共享的業(yè)務(wù)需求，以及與這種需求相關(guān)的業(yè)務(wù)影響，如對信息未經(jīng)授權(quán)的訪問或損害。通常，對信息的分類是確定如何處理和保護(hù)信息的簡略方法。應(yīng)按照信息的價值和對于組織的敏感程度，對信息和系統(tǒng)處理分類數(shù)據(jù)的結(jié)果進(jìn)行分類。也可以按信息對組織的關(guān)鍵程度分類，如按照其可用性和完整性分類。經(jīng)過一段時間后，例如該信息已被公之于眾，信息就變得不那么敏感和重要了。必須將這些問題考慮在內(nèi)，分類過粗會導(dǎo)致不必要的額外業(yè)務(wù)開銷。分類指導(dǎo)原則預(yù)計到并接受這樣一個事實：信息的分類不是固定不變的，可以根據(jù)預(yù)定策略進(jìn)行更改（參見9.1

41、）。也應(yīng)該考慮到信息類別的數(shù)量和進(jìn)行分類的優(yōu)點。過于復(fù)雜的分類會使人感覺非常麻煩，使用起來很不合算或沒有實用價值。在解釋其它組織文檔中的分類標(biāo)記時也應(yīng)該注意，因為相同或相似的標(biāo)記的定義可能不同。對信息進(jìn)行分類，如對文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤進(jìn)行分類，以及對分類定期審查等，仍由該信息的最初所有者或指定所有者負(fù)責(zé)執(zhí)行。信息標(biāo)識和處理根據(jù)組織采用的分類方法，明確標(biāo)記和處理信息的妥善步驟，是非常重要的。這些步驟應(yīng)包括實際存在的信息和電子形式的信息的標(biāo)記和處理步驟。對于每個類別，應(yīng)明確說明，處理步驟包括以下類別的信息處理活動：復(fù)制；存儲；通過郵寄、傳真和電子郵件進(jìn)行傳輸；通過移動電話、語音郵件、應(yīng)答

42、機(jī)等交談方式進(jìn)行傳輸；破壞。系統(tǒng)輸出結(jié)果包含敏感或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類標(biāo)記（輸出結(jié)果中）。標(biāo)記應(yīng)能反映根據(jù)5.2.1 中創(chuàng)建的規(guī)則進(jìn)行分類的結(jié)果。需要考慮的問題包括：打印出的報告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、磁盤、CD、磁盤）、電子消息和文件的傳輸問題。最合適的標(biāo)記形式就是貼上一張看的見、摸的著的標(biāo)簽。但是，有些信息資產(chǎn)（如電子格式的文檔）不能貼上實際的標(biāo)簽，需要使用電子方式的標(biāo)記方法。人員安全責(zé)任定義與資源管理的安全性目標(biāo)：降低設(shè)施誤操作、偷竊、詐騙或濫用等方面的人為風(fēng)險。在招聘階段，就應(yīng)該說明安全責(zé)任，將其寫入合同，并在雇用期間進(jìn)行監(jiān)督。對候選新員工應(yīng)充分進(jìn)行篩選（參見6.1

43、.2），特別是對于從事敏感工作的員工更是如此。所有員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密（不公開）協(xié)議?？紤]工作責(zé)任中的安全因素在組織的信息安全策略中應(yīng)該闡明安全任務(wù)和職責(zé)（參見3.1），并進(jìn)行備案。還應(yīng)包括實施和維護(hù)安全策略的總體責(zé)任，以及保護(hù)特殊資產(chǎn)、執(zhí)行特殊特別安全程序或活動的責(zé)任。人員選拔策略在考慮就業(yè)申請時應(yīng)該對固定員工進(jìn)行審查。審查應(yīng)包括以下內(nèi)容：是否有令滿意的個人介紹信，可以由某個組織或個人出具；對申請人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查；對申請人聲明的學(xué)術(shù)和專業(yè)資格進(jìn)行證實；進(jìn)行獨立的身份檢查（護(hù)照或類似文件）。如果某個職位，不管是外部招聘還是內(nèi)部提升員工，涉及到可以訪問信息

44、處理設(shè)備的人員，特別是那些處理敏感信息（如財務(wù)信息或絕密信息）的個人，組織必須對該人員進(jìn)行信用檢查。對于具有很高權(quán)力的員工，應(yīng)該定期進(jìn)行一次此類檢查。對承包商和臨時性員工，也應(yīng)執(zhí)行類似的選拔過程。如果這些員工是代理機(jī)構(gòu)介紹的，在與代理機(jī)構(gòu)的合同中應(yīng)該注明以下事項：代理機(jī)構(gòu)的選拔責(zé)任，以及如果代理機(jī)構(gòu)沒有完整執(zhí)行選拔過程，或選拔結(jié)果有疑問時，代理機(jī)構(gòu)應(yīng)遵循的通知本方的步驟。管理層應(yīng)有權(quán)訪問敏感系統(tǒng)，以評估對新和經(jīng)驗不足的員工的調(diào)查結(jié)果。所有員工的工作都應(yīng)由高級員工進(jìn)行定期審查和審核。管理人員應(yīng)該知道，員工的個人情況會對他們的工作產(chǎn)生影響。個人或財務(wù)上的問題、行為或生活方式上的變化、經(jīng)常曠工以及在

45、壓力或痛苦的心情下工作，都會導(dǎo)致欺騙、盜竊、工作出錯或其它安全問題。應(yīng)在自己的權(quán)限范圍內(nèi)，根據(jù)相應(yīng)的規(guī)定，妥善處理這些問題。保密協(xié)議簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。員工應(yīng)該簽定保密協(xié)議并將其作為初步雇傭的條款和條件?，F(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時性員工和第三方用戶的問題，在允許他們訪問信息處理設(shè)備之前，應(yīng)要求他們簽署一份協(xié)議。如果雇傭條款或合同發(fā)生了變化，特別在是雇員要離開組織或合同要到期時，要對保密協(xié)議進(jìn)行進(jìn)行重新審閱。雇傭條款和條件雇傭條款和條件應(yīng)該規(guī)定員工的信息安全責(zé)任。如有需要，該責(zé)任在結(jié)束雇用關(guān)系后的一段特定的時間內(nèi)仍然有效。條款中還應(yīng)該包括如果雇員無

46、視安全要求，那么可對其采取措施。雇用條款和條件中也應(yīng)該包括雇員的法律責(zé)任和權(quán)限方面的條款，如關(guān)于版權(quán)法或數(shù)據(jù)保護(hù)法規(guī)方面的內(nèi)容。條款中還應(yīng)該注明對雇員相關(guān)數(shù)據(jù)進(jìn)行分類和管理方面的責(zé)任。如果有必要的話，雇傭條款和條件中應(yīng)說明員工在組織辦公地點以外和正常工作時間以外（如在家工作時）應(yīng)該承擔(dān)的責(zé)任（另請參見7.2.5 和9.8.1）。用戶培訓(xùn)目標(biāo)：保證用戶了解信息安全存在的威脅和問題，在正常工作中切實遵守組織安全策略。應(yīng)對用戶進(jìn)行安全步驟和正確使用信息處理設(shè)備的培訓(xùn)，將可能的安全風(fēng)險降到最低。信息安全的教育與培訓(xùn)組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。這

47、包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登錄的步驟、軟件包的使用方法等等。當(dāng)然在此之前，必須授予其訪問信息或服務(wù)的權(quán)限。對安全事故和故障的處理目標(biāo)：最大限度降低由于事故和故障而遭受的損失，對此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報。各種類型的安全事故（安全破壞行為、威脅、弱點或故障）對組織資產(chǎn)的安全都會產(chǎn)生影響，所有雇員和承包商都應(yīng)了解報告各個類型安全事故的方法步驟。他們應(yīng)盡快將觀察到的或可疑的事件報告給事先指定的聯(lián)系人。組織應(yīng)建立正式的處分條例，處罰那些進(jìn)行違反安全活動的雇員。要妥善處理安全事故，應(yīng)在事故發(fā)生后，盡快

48、收集證據(jù)（參見12.1.7）。安全事故報告將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報。應(yīng)該建立一套正式的報告安全事故的步驟以及一套安全事故的響應(yīng)步驟，后者應(yīng)規(guī)定在收到安全事故報告后，應(yīng)該采取的行動。所有雇員和承包商都應(yīng)該了解報告安全事故的程序步驟，并根據(jù)要求，盡快報告安全事故。應(yīng)該建立適當(dāng)?shù)姆答伹?，以保證安全事故處理完畢后，報告人能知道該事件的處理結(jié)果。在進(jìn)行用戶警報培訓(xùn)時（參見6.2），可以將這些事件作為示例，向用戶講解可能發(fā)生什么事件、如何對這些事件進(jìn)行處理以及今后如何避免這類事件發(fā)生（另請參見12.1.7）。安全漏洞報告應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時

49、，立即進(jìn)行記錄并匯報。他們應(yīng)該將這些事件盡快報告給管理層，或直接報告給服務(wù)提供商。應(yīng)該告訴用戶，在任何情況下，也不要試圖證明一個可疑安全漏洞。這也是為了保護(hù)他們自己，這是因為在您測試某個漏洞時，很可能會導(dǎo)致對系統(tǒng)的錯誤使用。軟件故障報告應(yīng)建立報告軟件故障的程序步驟。應(yīng)考慮采取以下措施。將問題的征兆和屏幕上顯示的消息記錄下來。應(yīng)將該計算機(jī)隔離，如果可能，停止使用該計算機(jī)。立刻向合適的聯(lián)系人報警。如果要檢修設(shè)備，在重新接通該設(shè)備的電源前，應(yīng)將其從公司的網(wǎng)絡(luò)中斷開。不要將磁盤拿到其它計算機(jī)上使用。立刻將問題報告給信息安全管理人員。除非得到授權(quán)，用戶不要試圖刪除可疑的軟件。應(yīng)由經(jīng)過培訓(xùn)富有經(jīng)驗員工執(zhí)行

50、恢復(fù)工作。從事故中吸取教訓(xùn)應(yīng)該采用一種機(jī)制，將事故和故障的類型、規(guī)模和損失進(jìn)行量化和監(jiān)控。用這些信息來確定重復(fù)發(fā)生的或影響很大的事故或故障。這需要使用功能更強(qiáng)的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)（參見3.1.2）。紀(jì)律檢查程序應(yīng)該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的雇員（參見6.1.4，有關(guān)保留證據(jù)的問題，參見12.1.7）。對那些無視安全工作步驟的雇員來說，這種方法就是一種威懾。另外，如果懷疑某些員工有嚴(yán)重或長期違反組織安全的行為，這一方法能保證對他們的處罰是正確和公平的。實際和環(huán)境的安全安全區(qū)目標(biāo)：防止對公司工作場所和

51、信息的非法訪問、破壞和干擾。應(yīng)該將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在安全的地方，使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安全隔離帶進(jìn)行保護(hù)。應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。根據(jù)所確定的風(fēng)險的具體情況，提供相應(yīng)的保護(hù)。對紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險和損害。實際安全隔離帶可以在組織辦公區(qū)域和信息處理設(shè)備周圍建立幾個實際的防護(hù)設(shè)備，提供物理保護(hù)。每個防護(hù)設(shè)備都劃分出一個安全區(qū)，這都提高了整體的保護(hù)效果。各個組織應(yīng)使用安全區(qū)域保護(hù)信息處理設(shè)備等資產(chǎn)（參見7.1.3）。安全區(qū)域是用防護(hù)設(shè)備隔開的一

52、塊區(qū)域，例如通過一堵墻、刷卡才能進(jìn)入的控制門或人工值守的前臺。防護(hù)設(shè)備的位置和強(qiáng)度取決于風(fēng)險評估的結(jié)果。在需要時，可以考慮并實施以下指導(dǎo)原則和控制措施。應(yīng)明確劃分安全區(qū)域。建筑物或某個地方中存放信息處理設(shè)備的安全區(qū)的位置應(yīng)該非常合理（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開）。安全區(qū)四周應(yīng)有堅固的圍墻，所有可以進(jìn)出安全區(qū)的大門應(yīng)能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、報警裝備、鎖等等。設(shè)立一個人工值守的接待區(qū)域或使用其它方法，將對現(xiàn)場或建筑物的實際訪問限制在適當(dāng)?shù)膮^(qū)域中。只有經(jīng)過授權(quán)的人才能進(jìn)入現(xiàn)場或建筑物。如有必要，可進(jìn)行全方位的防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入安全區(qū)，以及由火災(zāi)和水災(zāi)引起

53、的環(huán)境問題的影響。安全區(qū)的所有防火門應(yīng)報警并關(guān)閉。安全區(qū)出入控制措施安全區(qū)應(yīng)該使用適當(dāng)?shù)某鋈肟刂拼胧┯枰员Ｗo(hù)。不經(jīng)批準(zhǔn)，任何人員不得出入。應(yīng)考慮以下控制措施。必須調(diào)查并弄清安全區(qū)域的來訪者的身份，并將他們進(jìn)入和離開安全區(qū)域的日期和時間記錄在案。只有來訪者有特定的、經(jīng)過授權(quán)的目的時，才能進(jìn)入安全區(qū)，而且還要告訴他們該區(qū)域的安全要求和緊急情況下的行動步驟。只有嚴(yán)格限定，經(jīng)過授權(quán)的人才能訪問敏感信息，使用信息處理設(shè)備。在對所有訪問行為進(jìn)行授權(quán)和驗證時，應(yīng)采用一些強(qiáng)制性的控制措施，如使用帶 PIN 的卡進(jìn)行刷卡。應(yīng)對所有訪問嚴(yán)格執(zhí)行審計流程。要求所有人員佩帶易于辨認(rèn)的標(biāo)識，并鼓勵他們盤問無人陪同的陌生

54、人以及未佩帶標(biāo)識的人。應(yīng)經(jīng)常審查并更新有關(guān)安全區(qū)域訪問權(quán)限的規(guī)定。辦公場所、房屋和設(shè)施的安全保障安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾個房間，安全隔離帶本身也可能是加鎖的并包括幾個可加鎖的小房間或保險箱。在選擇和設(shè)計安全區(qū)域時，應(yīng)將以下各種問題帶來的損害考慮在內(nèi)：火災(zāi)、水災(zāi)、爆炸、社會動蕩以及其它形式的自然或人為的災(zāi)害。也應(yīng)該將各種相關(guān)的健康和安全方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。還應(yīng)該考慮到臨近的隔離帶可能帶來的安全威脅，如其它安全區(qū)域發(fā)生泄露事件。應(yīng)考慮以下控制措施。關(guān)鍵設(shè)備應(yīng)放在公眾無法進(jìn)入的地方。建筑物應(yīng)該不很顯眼，使人無法察覺該建筑物的用途，在建筑物的內(nèi)外都沒有明顯標(biāo)志表明建筑物內(nèi)

55、進(jìn)行者信息處理活動。安全區(qū)域內(nèi)各種設(shè)備（如影印機(jī)、傳真機(jī)）齊全，并放在相應(yīng)的地方，以防止未經(jīng)授權(quán)的人員使用，否則會泄露信息。在沒人的時候，將門窗關(guān)閉，還要注意防止有人從窗戶，特別是只有一層的窗戶就可以進(jìn)入安全區(qū)域。按照專業(yè)標(biāo)準(zhǔn)安裝入侵檢測系統(tǒng)并經(jīng)常檢查，以對可進(jìn)入安全區(qū)域的門和窗戶進(jìn)行檢查。對無人區(qū)域進(jìn)行 24 小時的報警監(jiān)視。對其它區(qū)域也應(yīng)該提供相應(yīng)的保護(hù)，如計算機(jī)房或通訊室。由組織自己管理的信息處理設(shè)備應(yīng)與由第三方管理的信息處理設(shè)備分開。通過有些目錄和內(nèi)部人員電話號碼本，能確定敏感信息處理設(shè)備的位置，不能讓公眾得到這些資料。應(yīng)將危險或易燃材料存儲在安全的地方，與安全區(qū)保持安全距離。除非有特

56、殊要求，否則不要把大量的物品，如文具，存儲在安全區(qū)域內(nèi)。使應(yīng)急設(shè)備和備份介質(zhì)的存儲位置與主安全區(qū)域保持一個安全距離，以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。在安全區(qū)中工作要加強(qiáng)安全區(qū)域的安全性，還應(yīng)該采用其它控制措施和指導(dǎo)原則。者包括如何控制在安全區(qū)內(nèi)工作的個人和第三方人員，以及如何控制第三方人員在安全區(qū)以內(nèi)的活動。應(yīng)考慮以下問題。只有在有必要的前提下，才能讓某個個人知道有一個安全區(qū)或安全區(qū)內(nèi)所進(jìn)行的活動。出于安全原因和消除惡意行為發(fā)生的機(jī)會兩方面考慮，不允許在安全區(qū)域內(nèi)進(jìn)行未經(jīng)調(diào)查的工作。關(guān)閉無人使用的安全區(qū)域，每隔一段時間，進(jìn)行一次檢查。只有在需要時，才能允許第三方的支持服務(wù)人員進(jìn)入安

57、全區(qū)域或使用敏感信息處理設(shè)備。必須對其訪問行為進(jìn)行授權(quán)和監(jiān)視。在不同的范圍之間還需要隔離區(qū)控制實際訪問，在安全區(qū)域內(nèi)有不同的安全要求。除非經(jīng)過授權(quán)，不允許使用圖象、視頻、音頻和其它記錄設(shè)備。與其它區(qū)域隔離的交貨和裝載區(qū)域應(yīng)該對裝運區(qū)進(jìn)行控制，而且應(yīng)根據(jù)情況將其與信息處理設(shè)施隔離開來，避免非法訪問。這類區(qū)域的安全要求由風(fēng)險評估的情況決定。應(yīng)考慮以下指導(dǎo)原則。只有經(jīng)過確認(rèn)并授權(quán)的人在能從外面進(jìn)入存放物品的區(qū)域。設(shè)計存放物品區(qū)域時，要達(dá)到如下效果：負(fù)責(zé)交貨的人員不需要進(jìn)入建筑物的其它部分，就可以將貨物卸下。當(dāng)存放物品的區(qū)域內(nèi)部的門打開時，一定要保證外部的門是安全的。在將已收下的材料從存貨區(qū)移到使用地

58、點前，必須對其進(jìn)行檢查，以防止?jié)撛诘奈ｋU參見7.2.1d)。如果可以（參見5.1），在入口處對收下的材料進(jìn)行登記。設(shè)備的安全目標(biāo)：防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動中斷。應(yīng)保證設(shè)備免受安全方面的威脅和環(huán)境的危害。要降低對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪問的風(fēng)險并免受損失或損壞，必須對設(shè)備（包括不在現(xiàn)場使用的設(shè)備）進(jìn)行保護(hù)。還需要考慮設(shè)備的位置和選址問題?？赡苄枰厥獾目刂拼胧﹣肀Ｗo(hù)免遭危險或非法訪問，并保護(hù)輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施。設(shè)備選址與保護(hù)應(yīng)該注重設(shè)備的選址與保護(hù)，減少來自環(huán)境威脅和危險以及降低非法訪問的風(fēng)險。應(yīng)考慮以下問題。將設(shè)備安裝在合適的位置，不到必要時，盡量避免進(jìn)入工作區(qū)。確定處理

59、敏感數(shù)據(jù)的信息處理和存儲設(shè)備的位置時，應(yīng)注意選擇合適的位置，降低使用過程中因疏忽造成的風(fēng)險。應(yīng)該將需要特殊保護(hù)的設(shè)備隔離，以降低所需的保護(hù)級別。應(yīng)采用相應(yīng)的控制措施，盡可能降低潛在威脅的風(fēng)險，包括：盜竊；火災(zāi)；爆炸；煙塵；供水問題（或停水）；灰塵；振動；化學(xué)制品的影響；供電干擾；電磁輻射。組織在考慮其策略時，應(yīng)將在信息處理設(shè)備附近就餐、飲水和吸煙的情況考慮進(jìn)去。有些環(huán)境條件會對信息處理設(shè)備的運行產(chǎn)生負(fù)面影響，應(yīng)仔細(xì)監(jiān)視這些條件。對于在工業(yè)環(huán)境下運行的設(shè)備，應(yīng)考慮使用特殊的保護(hù)方法，如在鍵盤表面加一層膜。應(yīng)考慮臨近辦公區(qū)域發(fā)生災(zāi)難事件的影響，如臨近建筑物發(fā)生火災(zāi)、天花板漏水或地板滲水或大街上發(fā)生

60、爆炸事件。電源應(yīng)該防止設(shè)備出現(xiàn)電源故障，防止其它供電不正常的現(xiàn)象。應(yīng)提供穩(wěn)定的電力供應(yīng)，符合設(shè)備生產(chǎn)商說明書的規(guī)定。保證連續(xù)供電的方法有：多回路供電，以防止某個回路出現(xiàn)問題，造成斷電事故；不間斷電源 (UPS)；備用發(fā)電機(jī)。對于為重要商業(yè)業(yè)務(wù)提供電力支持的設(shè)備，需要使用 UPS 以保證設(shè)備可以依次關(guān)閉或持續(xù)運行。應(yīng)急計劃中應(yīng)包括 UPS 發(fā)生故障如何應(yīng)付的內(nèi)容。應(yīng)經(jīng)常檢查 UPS 設(shè)備，以保證其功率足夠大并根據(jù)生產(chǎn)商推薦的方法進(jìn)行測試。在發(fā)生較長時間的斷電事故時，而業(yè)務(wù)必須進(jìn)許進(jìn)行，則可以考慮使用后備發(fā)電機(jī)。如果已經(jīng)安裝了發(fā)電機(jī)，應(yīng)根據(jù)生產(chǎn)商的指示，對發(fā)電機(jī)進(jìn)行定期測試。應(yīng)保證燃料供應(yīng)充足，使