信息安全管理業(yè)務(wù)守則

信息平安管理業(yè)務(wù)守則(共9８頁)PAGEPAGE1————————————————————————————————作者：————————————————————————————————日期:?信息平安管理業(yè)務(wù)手則前言BS7799本部分內(nèi)容,即信息平安管理,是在BSI／ＤISC委員會(huì)ＢDD/2指導(dǎo)下完成的。它取代了已經(jīng)停止使用的BS7７99:199５。BS779９由兩個(gè)部分組成:第一部分:信息平安管理業(yè)務(wù)守則；其次部分:信息平安管理系統(tǒng)規(guī)范。BS７79９-1首發(fā)于１9９5年,它為信息平安供應(yīng)了一套全面綜合最佳實(shí)踐閱歷的把握措施。其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時(shí)為確定實(shí)施把握措施的范圍供應(yīng)一個(gè)參考依據(jù),并且能夠讓各種規(guī)模的組織所接受。本標(biāo)準(zhǔn)使用組織這一術(shù)語，既包括贏利性組織,也包括諸如公共部門等非贏利性組織。1999年的修訂版考慮到最新的信息處理技術(shù)應(yīng)用,特殊是網(wǎng)絡(luò)和通訊的進(jìn)展?fàn)顩r。它也更加強(qiáng)調(diào)了信息平安所涉及的商業(yè)問題和責(zé)任問題。本文檔所說明的把握措施不行能完全適用于全部狀況。它沒有考慮到本地系統(tǒng)、環(huán)境或技術(shù)上的制約因素。并且在形式上也不行能完全適合組織的全部潛在用戶。因此,本文檔還需要有進(jìn)一步的指導(dǎo)說明作為補(bǔ)充。例如,在制定公司策略或公司間貿(mào)易協(xié)定時(shí)，可以使用本文檔作為一個(gè)基石。ＢrｉtｉsｈＳtａｎdard作為一個(gè)業(yè)務(wù)守則,在形式上接受指導(dǎo)和建議結(jié)合的方式。在使用時(shí)，不應(yīng)當(dāng)有任何條條框框,尤其特殊留意,不要由于要求遵守守則而因噎廢食。本標(biāo)準(zhǔn)在起草時(shí)就已經(jīng)假定一個(gè)前提條件,即標(biāo)準(zhǔn)的執(zhí)行對(duì)象是具有相應(yīng)資格的、富有閱歷的有關(guān)人士。附件A的信息格外豐富,其中包含一張表,說明白19９５年版各部分與1999年版各條款間的關(guān)系。BriｔｉshStandard無意包涵合約的全部必要條款。BritishSｔａndards的用戶對(duì)他們正確使用本標(biāo)準(zhǔn)自負(fù)責(zé)任。符合BritｉsｈSｔａndａｒd不代表其本身豁免法律義務(wù)。什么是信息平安?信息是一種資產(chǎn),就象其它重要的商業(yè)資產(chǎn)一樣,它對(duì)一個(gè)組織來說是有價(jià)值的，因此需要妥當(dāng)進(jìn)行愛護(hù)。信息平安愛護(hù)信息免受多種威逼的攻擊,保證業(yè)務(wù)連續(xù)性，將業(yè)務(wù)損失降至最少,同時(shí)最大限度地獲得投資回報(bào)和利用商業(yè)機(jī)遇。信息存在的形式多種多樣。它可以打印或?qū)懺诩埳希噪娮游臋n形式儲(chǔ)存，通過郵寄或電子手段傳播,以膠片形式顯示或在交談中表達(dá)出來。不管信息的形式如何,或通過什么手段進(jìn)行共享或存儲(chǔ),都應(yīng)加以妥當(dāng)愛護(hù)。信息平安具有以下特征:保密性：確保只有經(jīng)過授權(quán)的人才能訪問信息；完整性:愛護(hù)信息和信息的處理方法精確而完整；可用性：確保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。信息平安是通過實(shí)施一整套適當(dāng)?shù)陌盐沾胧?shí)現(xiàn)的。把握措施包括策略、實(shí)踐、步驟、組織結(jié)構(gòu)和軟件功能。必需建立起一整套的把握措施,確保滿足組織特定的平安目標(biāo)。為什么需要信息平安信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。為保證組織富有競爭力,保持現(xiàn)金流順暢和組織贏利,以及遵紀(jì)守法和維護(hù)組織的良好商業(yè)形象，信息的保密性、完整性和可用性是至關(guān)重要的。各個(gè)組織及其信息系統(tǒng)和網(wǎng)絡(luò)所面臨的平安威逼與日俱增,來源也日益廣泛,包括利用計(jì)算機(jī)欺詐、竊取機(jī)密、惡意詆毀破壞等行為以及火災(zāi)或水災(zāi)。危害的來源多種多樣,如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客行為、拒絕服務(wù)攻擊等等,這些行為呈集中之勢遍、用意更加險(xiǎn)惡,而且手段更加簡單。組織對(duì)信息系統(tǒng)和服務(wù)的依靠意味著自身更簡潔受到平安威逼的攻擊。公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的互聯(lián)以及對(duì)信息資源的共享,增大了對(duì)訪問進(jìn)行把握的難度。分布式計(jì)算盡管格外流行，但降低了集中式專家級(jí)把握措施的有效性。很多信息系統(tǒng)在設(shè)計(jì)時(shí),沒有考慮到平安問題。通過技術(shù)手段獲得平安保障格外有限,必需輔之以相應(yīng)的管理手段和操作程序才能得到真正的平安保障。確定需要使用什么把握措施需要周密方案，并對(duì)細(xì)節(jié)問題加以留意。作為信息平安管理的最基本要求,組織內(nèi)全部的雇員都應(yīng)參與信息平安管理。信息平安管理還需要供應(yīng)商、客戶或股東的參與。也需要參考來自組織之外的專家的建議。假如在制定平安需求規(guī)范和設(shè)計(jì)階段時(shí)就考慮到了信息平安的把握措施,那么信息平安把握的成本會(huì)很低,并更有效率。如何制定平安要求組織確定自己的平安要求,這是平安愛護(hù)的起點(diǎn)。平安要求有三個(gè)主要來源。第一個(gè)來源是對(duì)組織面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估的結(jié)果。通過風(fēng)險(xiǎn)評(píng)估,確定風(fēng)險(xiǎn)和平安漏洞對(duì)資產(chǎn)的威逼,并評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的可能性以及潛在的影響。其次個(gè)來源是組織、其商業(yè)伙伴、承包商和服務(wù)供應(yīng)商必需滿足的法律、法令、規(guī)章以及合約方面的要求。第三個(gè)來源是一組特地的信息處理的原則、目標(biāo)和要求,它們是組織為了進(jìn)行信息處理必需制定的。評(píng)估平安風(fēng)險(xiǎn)平安要求是通過對(duì)平安風(fēng)險(xiǎn)的系統(tǒng)評(píng)估確定的。應(yīng)當(dāng)將實(shí)施把握措施的支出與平安故障可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮。風(fēng)險(xiǎn)評(píng)估技術(shù)適用于整個(gè)組織，或者組織的某一部分以及獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件或服務(wù)等。在這些地方,風(fēng)險(xiǎn)評(píng)估技術(shù)不僅切合實(shí)際,而且也頗有助益。進(jìn)行風(fēng)險(xiǎn)評(píng)估需要系統(tǒng)地考慮以下問題：平安故障可能造成的業(yè)務(wù)損失,包含由于信息和其它資產(chǎn)的保密性、完整性或可用性損失可能造成的后果;當(dāng)前主要的威逼和漏洞帶來的現(xiàn)實(shí)平安問題，以及目前實(shí)施的把握措施。評(píng)估的結(jié)果有助于指導(dǎo)用戶確定適宜的管理手段，以及管理信息平安風(fēng)險(xiǎn)的優(yōu)先挨次,并實(shí)施所選的把握措施來防范這些風(fēng)險(xiǎn)。必需多次重復(fù)執(zhí)行評(píng)估風(fēng)險(xiǎn)和選擇把握措施的過程,以涵蓋組織的不同部分或各個(gè)獨(dú)立的信息系統(tǒng)。對(duì)平安風(fēng)險(xiǎn)和實(shí)施的把握措施進(jìn)行定期審查格外重要，目的是:考慮業(yè)務(wù)要求和優(yōu)先挨次的變更;考慮新消滅的平安威逼和漏洞;確認(rèn)把握措施方法是否適當(dāng)和有效。應(yīng)當(dāng)依據(jù)以前的評(píng)估結(jié)果以及管理層可以接受的風(fēng)險(xiǎn)程度變化對(duì)系統(tǒng)平安執(zhí)行不同程度的審查。通常先在一個(gè)較高的層次上對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估(這是一種優(yōu)先處理高風(fēng)險(xiǎn)區(qū)域中的資源的方法),然后在一個(gè)具體層次上處理特定的風(fēng)險(xiǎn)。選擇把握措施一旦確定了平安要求,就應(yīng)選擇并實(shí)施適宜的把握措施，確保將風(fēng)險(xiǎn)降低到一個(gè)可接受的程度?？梢詮谋疚臋n或其它把握措施集合選擇適合的把握措施,也可以設(shè)計(jì)新的把握措施,以滿足特定的需求。管理風(fēng)險(xiǎn)有很多方法,本文檔供應(yīng)了常用方法的示例。但是，請(qǐng)務(wù)必留意,其中一些方法并不適用于全部信息系統(tǒng)或環(huán)境,而且可能不適用于全部組織。例如,8.1．4說明白如何劃分責(zé)任來防止欺詐行為和錯(cuò)誤行為。在較小的組織中很難將全部責(zé)任劃分清楚,因此需要使用其它方法以達(dá)到同樣的把握目的。在降低風(fēng)險(xiǎn)和違反平安造成的潛在損失時(shí),應(yīng)當(dāng)依據(jù)實(shí)施把握措施的成本選擇把握措施。還應(yīng)當(dāng)考慮聲譽(yù)受損等非貨幣因素。本文檔中的一些把握措施可以作為信息平安管理的指導(dǎo)性原則,這些方法適用于大多數(shù)組織。在下文的“信息平安起點(diǎn)”標(biāo)題下,對(duì)此做了較為具體的解釋。信息平安起點(diǎn)很多把握措施都可以作為指導(dǎo)性原則，它們?yōu)閷?shí)施信息平安供應(yīng)了一個(gè)很好的起點(diǎn)。這些方法可以是依據(jù)基本的法律要求制定的,也可以從信息平安的最佳實(shí)踐閱歷中獲得。從規(guī)律規(guī)定的角度來看,對(duì)組織至關(guān)重要的把握措施包括:學(xué)問產(chǎn)權(quán)（參閱）;組織記錄的愛護(hù)(參閱);對(duì)數(shù)據(jù)的愛護(hù)和個(gè)人信息的隱私權(quán)愛護(hù)(參閱）。在愛護(hù)信息平安的實(shí)踐中,格外好的常用把握措施包括：信息平安策略文檔(參閱)；信息平安責(zé)任的安排（參閱)；信息平安教育和培訓(xùn)(參閱);報(bào)告平安事故(參閱);業(yè)務(wù)連續(xù)性管理(參閱１1.１)。這些把握措施適用于大多數(shù)組織,并可在大多數(shù)環(huán)境中使用。請(qǐng)留意，盡管本文檔中的全部文檔都很重要，但一種方法是否適用,還是取決于一個(gè)組織所面臨的特定平安風(fēng)險(xiǎn)。因此,盡管接受上述措施可以作為一個(gè)很好的平安愛護(hù)起點(diǎn),但不能取代依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇把握措施的要求。成功的關(guān)鍵因素以往的閱歷表明,在組織中成功地實(shí)施信息平安愛護(hù),以下因素是格外關(guān)鍵的:反映組織目標(biāo)的平安策略、目標(biāo)以及活動(dòng);與組織文化全都的實(shí)施平安愛護(hù)的方法;來自管理層的實(shí)際支持和承諾;對(duì)平安要求、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理的深化理解；向全體管理人員和雇員有效地推銷平安的理念；向全部雇員和承包商宣揚(yáng)信息平安策略的指導(dǎo)原則和標(biāo)準(zhǔn)；供應(yīng)適當(dāng)?shù)呐嘤?xùn)和教育;一個(gè)綜合平衡的測量系統(tǒng),用來評(píng)估信息平安管理的執(zhí)行狀況和反饋意見和建議，以便進(jìn)一步改進(jìn)。制定自己的指導(dǎo)方針業(yè)務(wù)規(guī)章可以作為制定組織專用的指導(dǎo)原則的起點(diǎn)。本業(yè)務(wù)規(guī)章中的指導(dǎo)原則和把握措施并非全部適用。因此,還可能需要本文檔未包括的其它把握措施。消滅上述狀況時(shí),各把握措施之間相互參照很有用,有利于審計(jì)人員和業(yè)務(wù)伙伴檢查是否符合平安指導(dǎo)原則。名目ＴO(shè)C＼ｏ"１－3"\ｈ\ｚ1?1２2術(shù)語和定義?１3２．1信息平安?１３2.2風(fēng)險(xiǎn)評(píng)估?１32.３風(fēng)險(xiǎn)管理?13３平安策略?143.1信息平安策略?1４信息平安策略文檔?1４審查評(píng)估?1４4組織的平安?154．1信息平安基礎(chǔ)設(shè)施?15管理信息平安論壇?１5信息平安的協(xié)調(diào)?１5信息平安責(zé)任的劃分?15信息處理設(shè)施的授權(quán)程序?16專家信息平安建議?16組織間的合作?16信息平安的獨(dú)立評(píng)審?17４.2第三方訪問的平安性?１７確定第三方訪問的風(fēng)險(xiǎn)?１7第三方合同的平安要求?１８4.3外包?19外包合同的平安要求?19５資產(chǎn)分類管理?205.1資產(chǎn)責(zé)任?20資產(chǎn)名目 205.2信息分類?20分類原則?2０信息標(biāo)識(shí)和處理?2１６人員平安?226.１責(zé)任定義與資源管理的平安性?２2考慮工作責(zé)任中的平安因素?22人員選拔策略?22保密協(xié)議?２２雇傭條款和條件 ２２6.2用戶培訓(xùn) 23信息平安的教育與培訓(xùn)?２３6.3對(duì)平安事故和故障的處理?23平安事故報(bào)告?23平安漏洞報(bào)告?23軟件故障報(bào)告?２4從事故中吸取教訓(xùn)?２4紀(jì)律檢查程序?24７實(shí)際和環(huán)境的平安?257．１平安區(qū)?2５實(shí)際平安隔離帶 25平安區(qū)出入把握措施?25辦公場所、房屋和設(shè)施的平安保障?2６在平安區(qū)中工作?26與其它區(qū)域隔離的交貨和裝載區(qū)域?26７．２設(shè)備的平安?27設(shè)備選址與愛護(hù) 27電源 28電纜平安 28設(shè)備維護(hù)?28場外設(shè)備的平安?2８設(shè)備的平安處置與重用 29７.3常規(guī)把握措施?29桌面與屏幕管理策略?29資產(chǎn)處置?３０8通信與操作管理?3１8．1操作程序和責(zé)任?31明確的操作程序?31操作變更把握?31事故管理程序?31責(zé)任劃分?3２開發(fā)設(shè)施與運(yùn)營設(shè)施分別?３2外部設(shè)施管理?３38.2系統(tǒng)規(guī)劃與驗(yàn)收?３3容量規(guī)劃?3４系統(tǒng)驗(yàn)收?３４8．3防止惡意軟件?3５惡意軟件的把握措施?3５８.4內(nèi)務(wù)處理?36信息備份?36操作人員日志 3６錯(cuò)誤日志記錄?368.５網(wǎng)絡(luò)管理?36網(wǎng)絡(luò)把握措施?３78.6介質(zhì)處理與平安?37計(jì)算機(jī)活動(dòng)介質(zhì)的管理?３7介質(zhì)處置?3７信息處理程序?3８系統(tǒng)文檔的平安?３88．7信息和軟件交換?３8信息和軟件交換協(xié)議?３8傳輸中介質(zhì)的平安?３9電子商務(wù)平安?39電子郵件平安?40電子辦公系統(tǒng)平安?40信息公布系統(tǒng)?４１其它的信息交換形式?４1９訪問把握?439．１訪問把握的業(yè)務(wù)要求?43訪問把握策略 4３９.2用戶訪問管理 ４４用戶注冊?44權(quán)限管理?4４用戶口令管理?４5用戶訪問權(quán)限檢查 459．3用戶責(zé)任?46口令的使用?46無人值守的用戶設(shè)備?46９.4網(wǎng)絡(luò)訪問把握?46網(wǎng)絡(luò)服務(wù)的使用策略?４7實(shí)施把握的路徑?4７外部連接的用戶身份驗(yàn)證?47節(jié)點(diǎn)驗(yàn)證?４8遠(yuǎn)程診斷端口的愛護(hù)?48網(wǎng)絡(luò)劃分?４8網(wǎng)絡(luò)連接把握?48網(wǎng)絡(luò)路由把握?４９網(wǎng)絡(luò)服務(wù)平安?499.５操作系統(tǒng)訪問把握?5０終端自動(dòng)識(shí)別功能?50終端登錄程序?50用戶身份識(shí)別和驗(yàn)證?50口令管理系統(tǒng)?51系統(tǒng)有用程序的使用?5１愛護(hù)用戶的威逼報(bào)警?５２終端超時(shí)?52連接時(shí)間限制?５２9.6應(yīng)用程序訪問把握?53信息訪問限制?５３敏感系統(tǒng)的隔離?5３９．7監(jiān)控系統(tǒng)的訪問和使用?54大事日志記錄?５4監(jiān)控系統(tǒng)的使用?５4時(shí)鐘同步?５５9.8移動(dòng)計(jì)算和遠(yuǎn)程工作?56移動(dòng)計(jì)算?5６遠(yuǎn)程工作?５6１０系統(tǒng)開發(fā)與維護(hù)?581０．1系統(tǒng)的平安要求?5８平安要求分析和說明?58１0.2應(yīng)用系統(tǒng)中的平安 58輸入數(shù)據(jù)驗(yàn)證 58內(nèi)部處理的把握?５9消息驗(yàn)證?59輸出數(shù)據(jù)驗(yàn)證?６010.3加密把握措施?60加密把握措施的使用策略?60加密?６０數(shù)字簽名?61不否認(rèn)服務(wù)?６1密鑰管理?６１10．４系統(tǒng)文件的平安?62操作軟件的把握?62系統(tǒng)測試數(shù)據(jù)的愛護(hù)?６３對(duì)程序源代碼庫的訪問把握?６310．5開發(fā)和支持過程中的平安?６3變更把握程序?６3操作系統(tǒng)變更的技術(shù)評(píng)審?64對(duì)軟件包變更的限制 64隱蔽通道和特洛伊代碼?６4外包的軟件開發(fā)?651１業(yè)務(wù)連續(xù)性管理 6611．1業(yè)務(wù)連續(xù)性管理的特點(diǎn)?6６業(yè)務(wù)連續(xù)性管理程序?66業(yè)務(wù)連續(xù)性和影響分析 ６6編寫和實(shí)施連續(xù)性方案?６６業(yè)務(wù)連續(xù)性方案框架?６７業(yè)務(wù)連續(xù)性方案的檢查、維護(hù)和重新分析 ６712符合性?6９１2.１符合法律要求?6９確定適用法律?69學(xué)問產(chǎn)權(quán)（IPR）?69組織記錄的平安保障?69個(gè)人信息的數(shù)據(jù)愛護(hù)和平安?7０防止信息處理設(shè)施的濫用?70加密把握措施的調(diào)整?71證據(jù)收集?7１１2．２平安策略和技術(shù)符合性的評(píng)審?72符合平安策略?72技術(shù)符合性檢查?7212.３系統(tǒng)審計(jì)因素?72系統(tǒng)審計(jì)把握措施 ７２系統(tǒng)審計(jì)工具的愛護(hù)?7３范圍BS７79９本部分內(nèi)容為那些負(fù)責(zé)執(zhí)行或維護(hù)組織平安的人員供應(yīng)使用信息平安管理的建議。目的是為制定組織平安標(biāo)準(zhǔn)和有效平安管理供應(yīng)共同基礎(chǔ)，并提高組織間相互協(xié)調(diào)的信念。術(shù)語和定義在說明本文檔用途中應(yīng)用了以下定義。信息平安信息保密性、完整性和可用性的愛護(hù)留意保密性的定義是確保只有獲得授權(quán)的人才能訪問信息。完整性的定義是愛護(hù)信息和處理方法的精確和完整?？捎眯缘亩x是確保獲得授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。風(fēng)險(xiǎn)評(píng)估評(píng)估信息平安漏洞對(duì)信息處理設(shè)備帶來的威逼和影響及其發(fā)生的可能性風(fēng)險(xiǎn)管理以可以接受的成本，確認(rèn)、把握、排解可能影響信息系統(tǒng)的平安風(fēng)險(xiǎn)或?qū)⑵鋷淼奈：ψ钚』倪^程平安策略信息平安策略目標(biāo)：供應(yīng)管理指導(dǎo)，保證信息平安。管理層應(yīng)制定一個(gè)明確的平安策略方向,并通過在整個(gè)組織中發(fā)布和維護(hù)信息平安策略,表明自己對(duì)信息平安的支持和愛護(hù)責(zé)任。信息平安策略文檔策略文檔應(yīng)當(dāng)由管理層批準(zhǔn),依據(jù)狀況向全部員工公布傳達(dá)。文檔應(yīng)說明管理人員擔(dān)當(dāng)?shù)牧x務(wù)和責(zé)任，并制定組織的管理信息平安的步驟。至少應(yīng)包括以下指導(dǎo)原則:信息平安的定義、其總體目標(biāo)及范圍以及平安作為保障信息共享的機(jī)制所具有的重要性（參閱簡介）;陳述信息平安的管理意圖、支持目標(biāo)以及指導(dǎo)原則;簡要說明平安策略、原則、標(biāo)準(zhǔn)以及需要遵守的各項(xiàng)規(guī)定。這對(duì)組織格外重要，例如：1）符合法律和合約的要求;2）平安教育的要求;3)防止并檢測病毒和其它惡意軟件;4）業(yè)務(wù)連續(xù)性管理;5)違反平安策略的后果;確定信息平安管理的一般責(zé)任和具體責(zé)任,包括報(bào)告平安事故；參考支持平安策略的有關(guān)文獻(xiàn)，例如針對(duì)特定信息系統(tǒng)的更為詳盡的平安策略和方法以及用戶應(yīng)當(dāng)遵守的平安規(guī)章。平安策略應(yīng)當(dāng)向組織用戶傳達(dá),形式上是針對(duì)目標(biāo)讀者,并為讀者接受和理解。審查評(píng)估每個(gè)策略應(yīng)當(dāng)有一個(gè)負(fù)責(zé)人，他依據(jù)明確規(guī)定的審查程序?qū)Σ呗赃M(jìn)行維護(hù)和審查。審查過程應(yīng)當(dāng)確保在發(fā)生影響最初風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)的變化(如發(fā)生重大平安事故、消滅新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更)時(shí),對(duì)策略進(jìn)行相應(yīng)的審查。還應(yīng)當(dāng)進(jìn)行以下預(yù)定的、階段性的審查:檢查策略的有效性,通過所記錄的平安事故的性質(zhì)、數(shù)量以及影響反映出來;把握措施的成本及其業(yè)務(wù)效率的影響；技術(shù)變化帶來的影響。組織的平安信息平安基礎(chǔ)設(shè)施目標(biāo):管理組織內(nèi)部的信息平安。應(yīng)當(dāng)建立管理框架，在組織內(nèi)部開展和把握信息平安的管理實(shí)施。應(yīng)當(dāng)建立有管理領(lǐng)導(dǎo)層參與的管理論壇，以批準(zhǔn)信息平安策略、安排平安責(zé)任并協(xié)調(diào)組織范圍的平安策略實(shí)施。依據(jù)需要,應(yīng)當(dāng)建立專家提出信息平安建議的渠道,并供整個(gè)組織使用。建立與公司外部的平安專家的聯(lián)系,保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評(píng)估方法同步,并在處理平安事故時(shí)吸取他們的觀點(diǎn)。應(yīng)當(dāng)鼓舞接受跨學(xué)科跨范圍的信息平安方法，例如，讓管理人員、用戶、行政人員、應(yīng)用程序設(shè)計(jì)人員、審計(jì)人員以及平安人員和專家協(xié)同工作,讓他們參與保險(xiǎn)和風(fēng)險(xiǎn)管理的工作。管理信息平安論壇信息平安是一種由管理團(tuán)隊(duì)全部成員共同擔(dān)當(dāng)?shù)臉I(yè)務(wù)責(zé)任。應(yīng)當(dāng)建立一個(gè)管理論壇,確保對(duì)平安措施有一個(gè)明確的方向并得到管理層的實(shí)際支持。論壇應(yīng)通過合理的責(zé)任安排和有效的資源管理促進(jìn)組織內(nèi)部平安。該論壇可以作為目前管理機(jī)構(gòu)的一個(gè)組成部分。通常,論壇有以下作用:審查和核準(zhǔn)信息平安策略以及總體責(zé)任；當(dāng)信息資產(chǎn)暴露受到嚴(yán)峻威逼時(shí),監(jiān)視重大變化；審查和監(jiān)控平安事故;審核加強(qiáng)信息平安的重要活動(dòng)。一個(gè)管理人員應(yīng)負(fù)責(zé)全部與平安相關(guān)的活動(dòng)。信息平安的協(xié)調(diào)在大型組織中,需要建立一個(gè)與組織規(guī)模適宜的跨部門管理論壇，由組織有關(guān)部門的管理代表參與,通過論壇協(xié)調(diào)信息平安把握措施的實(shí)施狀況。通常,這類論壇:就整個(gè)公司的信息平安的作用和責(zé)任達(dá)成全都；就信息平安的特定方法和處理過程達(dá)成全都，如風(fēng)險(xiǎn)評(píng)估、平安分類系統(tǒng);就整個(gè)公司的信息平安活動(dòng)達(dá)成全都并供應(yīng)支持，例如平安警報(bào)程序；確保將平安作為制定信息方案的一個(gè)部分；對(duì)把握措施是否完善進(jìn)行評(píng)估，并協(xié)調(diào)新系統(tǒng)或新服務(wù)的特定信息平安把握措施的實(shí)施狀況；審查信息平安事故;g）在整個(gè)組織中增加對(duì)信息平安工作支持的力度。信息平安責(zé)任的劃分應(yīng)當(dāng)明確愛護(hù)個(gè)人資產(chǎn)和執(zhí)行具體平安程序步驟的責(zé)任。信息平安策略(請(qǐng)參閱條款３)應(yīng)供應(yīng)在組織內(nèi)安排平安任務(wù)和責(zé)任的一般指導(dǎo)原則。假如需要，可以為特定的站點(diǎn)、系統(tǒng)或服務(wù)補(bǔ)充更加具體的指導(dǎo)原則。應(yīng)明確說明對(duì)各個(gè)實(shí)際資產(chǎn)和信息資產(chǎn)以及平安進(jìn)程（如業(yè)務(wù)連續(xù)性規(guī)劃)的愛護(hù)責(zé)任。在很多組織中,指定信息平安管理員負(fù)責(zé)開展和實(shí)施平安愛護(hù),并掛念確定把握措施。但是，資源管理以及實(shí)施把握措施仍由各個(gè)管理人員負(fù)責(zé)。一種常用的方法是為每項(xiàng)信息資產(chǎn)指定一個(gè)全部者,并由他負(fù)責(zé)該資產(chǎn)的日常平安問題。信息資產(chǎn)的全部者將其所擔(dān)當(dāng)?shù)钠桨藏?zé)任托付給各個(gè)管理人員或服務(wù)供應(yīng)商。盡管全部者仍對(duì)該資產(chǎn)的平安負(fù)有最終責(zé)任,但可以確定被托付的人是否正確履行了責(zé)任?？隙ㄒ鞔_說明各個(gè)管理人員所負(fù)責(zé)的范圍;特殊是要明確以下范圍。必需確定并明確說明由誰負(fù)責(zé)各種資產(chǎn)和與每個(gè)系統(tǒng)相關(guān)的平安進(jìn)程。應(yīng)當(dāng)確定負(fù)責(zé)各個(gè)資產(chǎn)和平安進(jìn)程的管理人員，并記錄責(zé)任的具體落實(shí)狀況。應(yīng)明確規(guī)定授權(quán)級(jí)別并進(jìn)行備案。信息處理設(shè)施的授權(quán)程序?qū)τ谛碌男畔⑻幚碓O(shè)施,應(yīng)當(dāng)制定管理授權(quán)程序。應(yīng)考慮以下問題。新設(shè)施應(yīng)獲得適當(dāng)?shù)挠脩艄芾韺徍耍跈?quán)新設(shè)施的范圍和使用。應(yīng)獲得負(fù)責(zé)維護(hù)本地信息系統(tǒng)平安環(huán)境的管理人員的批準(zhǔn)，以確保符合全部相關(guān)平安策略和要求。假如需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。請(qǐng)留意，某些連接可能需要對(duì)類型進(jìn)行核實(shí)。使用個(gè)人信息處理工具處理業(yè)務(wù)信息和其它必要的把握措施應(yīng)得到授權(quán)。在工作場所使用個(gè)人信息處理工具會(huì)帶來新的漏洞，因此需要進(jìn)行評(píng)估和授權(quán)。在聯(lián)網(wǎng)的環(huán)境中,這些把握措施特殊重要。專家信息平安建議很多組織都需要專家級(jí)的信息平安建議。抱負(fù)狀況下,一位資深的全職信息平安顧問應(yīng)當(dāng)提出以下建議。并不是全部組織都期望雇傭?qū)＜翌檰枴Ｔ谶@種狀況下,我們建議專家負(fù)責(zé)協(xié)調(diào)公司內(nèi)部的學(xué)問和閱歷資源,以確保協(xié)調(diào)全都,并在平安決策方面供應(yīng)掛念。各個(gè)組織應(yīng)當(dāng)與公司以外的顧問保持聯(lián)系，在自己不了解的領(lǐng)域,傾聽他們的特地建議。信息平安顧問或其它專家應(yīng)負(fù)責(zé)為信息平安的各種問題供應(yīng)建議，這些意見既可以來自他們本人,也可以來自外界。組織的信息平安工作的效率如何,取決于他們對(duì)平安威逼評(píng)估的質(zhì)量和建議使用的把握措施。為得到最高的效率和最好的效果,信息平安顧問可以直接與管理層聯(lián)系。在發(fā)生可疑的平安事故或破壞行為時(shí)，應(yīng)盡早向信息平安顧問或其它專家進(jìn)行詢問，以得到專家的指導(dǎo)或可供爭辯的資源。盡管多數(shù)內(nèi)部平安調(diào)查是在管理層的把握下進(jìn)行的，但仍舊應(yīng)當(dāng)邀請(qǐng)平安顧問,傾聽他們的建議,或由他們領(lǐng)導(dǎo)、實(shí)施這一調(diào)研活動(dòng)。組織間的合作與執(zhí)法機(jī)關(guān)、管理部門、信息服務(wù)供應(yīng)商和通信運(yùn)營商簽署的合同應(yīng)保證:在發(fā)生平安事故時(shí),能快速實(shí)行行動(dòng)并獲得建議。同樣的,也應(yīng)當(dāng)考慮加入平安組織和業(yè)界論壇。應(yīng)嚴(yán)格限制對(duì)平安信息的交換,以確保組織的保密信息沒有傳播給未經(jīng)授權(quán)的人。信息平安的獨(dú)立評(píng)審信息平安策略文檔（參見）制定了信息平安的策略和責(zé)任。必需對(duì)該文檔的實(shí)施狀況進(jìn)行獨(dú)立審查,確保組織的平安實(shí)踐活動(dòng)不僅符合策略的要求,而且是機(jī)敏高效的。(參見12．２)。審查工作應(yīng)當(dāng)由組織內(nèi)部的審計(jì)職能部門、獨(dú)立管理人員或特地供應(yīng)此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行，而且這些人員必需具備相應(yīng)的技能和閱歷。第三方訪問的平安性目標(biāo):維護(hù)第三方訪問的組織信息處理設(shè)施和信息資產(chǎn)的平安性。要嚴(yán)格把握第三方對(duì)組織的信息處理設(shè)備的使用。假如存在對(duì)第三方訪問的業(yè)務(wù)需求,必需進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定所涉及的平安問題和把握要求。必需與第三方就把握措施達(dá)成全都,并在合同中規(guī)定。第三方的訪問可能涉及到其它人員。授予第三方訪問權(quán)限的合約應(yīng)當(dāng)包括允許指定其它符合條件的人員進(jìn)行訪問和有關(guān)條件的規(guī)定條款。在制定這類合約或考慮信息處理外包時(shí),可以將本標(biāo)準(zhǔn)作為一個(gè)基礎(chǔ)。確定第三方訪問的風(fēng)險(xiǎn)訪問類型允許第三方使用的訪問類型格外重要。例如,通過網(wǎng)絡(luò)連接進(jìn)行訪問所帶來的風(fēng)險(xiǎn)與實(shí)際訪問所帶來的風(fēng)險(xiǎn)截然不同。應(yīng)考慮的訪問類型有：實(shí)際訪問,如對(duì)辦公室、計(jì)算機(jī)房、檔案室的訪問；規(guī)律訪問,如對(duì)組織的數(shù)據(jù)庫、信息系統(tǒng)的訪問。訪問理由允許第三方訪問有以下理由。例如,某些向組織供應(yīng)服務(wù)的第三方不在工作現(xiàn)場,但可以授予他們物理和規(guī)律訪問的權(quán)限，諸如：硬件和軟件支持人員,他們需要訪問系統(tǒng)級(jí)別或低級(jí)別的應(yīng)用程序功能;貿(mào)易伙伴或該組織創(chuàng)辦的合資企業(yè)，他們與組織交換信息、訪問信息系統(tǒng)或共享數(shù)據(jù)庫。假如不進(jìn)行充分的平安管理就允許第三方訪問數(shù)據(jù),則信息被置于很危急的境地。凡有業(yè)務(wù)需要與第三方連接時(shí)，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定具體的把握措施要求。還需要考慮以下因素：所需的訪問類型、信息的價(jià)值、第三方所使用的把握措施以及該訪問對(duì)該組織信息的平安性可能帶來的影響?，F(xiàn)場承包商依據(jù)合約的規(guī)定，第三方在現(xiàn)場工作一段時(shí)間后也會(huì)留下導(dǎo)致平安隱患。第三方在現(xiàn)場的狀況有:硬件和軟件的支持維護(hù)人員;清潔人員、送餐人員、保安以及其它外包的支持服務(wù)人員；為同學(xué)供應(yīng)的職位和其它臨時(shí)性的短期職位；詢問人員。要對(duì)第三方使用信息處理設(shè)備進(jìn)行管理,了解要使用什么把握措施是至關(guān)重要的。通常,第三方訪問會(huì)帶來新的平安要求或內(nèi)部把握措施，這些都應(yīng)當(dāng)在與第三方的合同中體現(xiàn)出來(另請(qǐng)參見)。例如,假如對(duì)信息的保密性有特殊的要求,應(yīng)簽署保密協(xié)議（參見)。只有實(shí)施了相應(yīng)的把握措施，并在合同中明確規(guī)定了連接或訪問的條款,才能允許第三方訪問信息和使用信息處理設(shè)備。第三方合同的平安要求第三方對(duì)組織信息處理設(shè)施的訪問,應(yīng)當(dāng)依據(jù)包含全部必要平安要求的正式合同進(jìn)行，確保符合組織的平安策略和標(biāo)準(zhǔn)。應(yīng)確保組織和第三方之間對(duì)合同內(nèi)容不存在任何歧義。為滿足供應(yīng)商，組織應(yīng)首先滿足自己。在合約中應(yīng)考慮以下條款:信息平安的常規(guī)策略；對(duì)資產(chǎn)的愛護(hù)，包括：愛護(hù)包括信息和軟件在內(nèi)的組織資產(chǎn)的步驟；確認(rèn)資產(chǎn)的平安是否受到威逼的步驟,如數(shù)據(jù)丟失或被修改;相應(yīng)的把握措施,以保證在合同終止時(shí),或在合同執(zhí)行期間某個(gè)雙方認(rèn)可的時(shí)間點(diǎn),將信息和資產(chǎn)歸還或銷毀；完整性和可用性;嚴(yán)格限制復(fù)制信息和泄露信息;說明每個(gè)可供應(yīng)的服務(wù);期望的服務(wù)水平和不行接受的服務(wù)水平;在適當(dāng)?shù)臅r(shí)候撤換員工的規(guī)定;達(dá)成各方義務(wù)的協(xié)議;與法律事務(wù)相關(guān)的責(zé)任(例如,數(shù)據(jù)愛護(hù)法規(guī))。假如合同涉及到與其它國家的組織進(jìn)行合作,應(yīng)考慮到各個(gè)國家法律系統(tǒng)之間的差異(另請(qǐng)參見1２.1);學(xué)問產(chǎn)權(quán)(ＩPRs）和版權(quán)轉(zhuǎn)讓（參見)以及對(duì)合著的愛護(hù)(另請(qǐng)參見);訪問把握協(xié)議,包括：允許使用的訪問方法,以及把握措施和對(duì)唯一標(biāo)識(shí)符的使用,如用戶IＤ和口令;用戶訪問和權(quán)限的授權(quán)程序;保留得到有權(quán)使用服務(wù)的人員清單，以及他們具體享有那些權(quán)限和權(quán)限;確定可核實(shí)的執(zhí)行標(biāo)準(zhǔn)、監(jiān)視及報(bào)告功能;監(jiān)視、撤消用戶活動(dòng)的權(quán)限;審計(jì)合同責(zé)任或?qū)徲?jì)工作交由第三方執(zhí)行的權(quán)限;建立一種解決問題的漸進(jìn)過程;在需要時(shí)應(yīng)要考慮如何執(zhí)行應(yīng)急措施;與硬件和軟件安裝維護(hù)相關(guān)的責(zé)任；明晰的報(bào)告結(jié)構(gòu)和雙方認(rèn)可的報(bào)告格式；變更管理的明確制定過程；所需的物理愛護(hù)把握措施和機(jī)制,以確保全部操作都符合把握措施的要求；對(duì)用戶和管理員進(jìn)行的方法、步驟和平安方面的培訓(xùn)；保證免受惡意軟件攻擊的把握措施(參見8.3)；規(guī)定如何報(bào)告、通知和調(diào)查平安事故以及平安違反行為;第三方與分包商之間的參與關(guān)系。外包目標(biāo)：在將信息處理責(zé)任外包給另一組織時(shí)保障信息平安。在雙方的合同中,外包協(xié)議應(yīng)闡明信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境中存在的風(fēng)險(xiǎn)、平安把握措施以及方法步驟。外包合同的平安要求假如將全部或部分信息系統(tǒng)、網(wǎng)絡(luò)和／或桌面環(huán)境的管理和把握進(jìn)行外包,則應(yīng)在雙方簽定的合同中反映組織的平安要求。例如,合同中應(yīng)闡明：如何符合法律要求,如數(shù)據(jù)愛護(hù)法規(guī);應(yīng)當(dāng)如何規(guī)定保證外包合同中的參與方(包括轉(zhuǎn)包商）都了解各自的平安責(zé)任；如何維護(hù)并檢測組織的業(yè)務(wù)資產(chǎn)的完整性和保密性;應(yīng)當(dāng)使用何種物理和規(guī)律把握措施，限制授權(quán)用戶對(duì)組織的敏感業(yè)務(wù)信息的訪問;在發(fā)生災(zāi)難事故時(shí),如何維護(hù)服務(wù)的可用性;為外包出去的設(shè)備供應(yīng)何種級(jí)別的物理平安愛護(hù)；審計(jì)人員的權(quán)限。合同中應(yīng)當(dāng)包括4.２．2中的列表列出的條款。合同應(yīng)允許在平安管理方案具體說明平安要求和程序步驟移植,使合同雙方就此達(dá)成全都。盡管外包合同會(huì)帶來一些簡單的平安問題，本業(yè)務(wù)規(guī)章中的把握措施可以作為一個(gè)認(rèn)可平安管理方案的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。資產(chǎn)分類管理資產(chǎn)責(zé)任目標(biāo)：對(duì)組織資產(chǎn)進(jìn)行適當(dāng)?shù)膼圩o(hù)。全部主要的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的全部人。確定資產(chǎn)的責(zé)任掛念確保能夠供應(yīng)適當(dāng)?shù)膼圩o(hù)。應(yīng)確定全部主要資產(chǎn)的全部者,并安排維護(hù)該資產(chǎn)的責(zé)任?？梢酝懈敦?fù)責(zé)實(shí)施把握措施的責(zé)任。資產(chǎn)的責(zé)任由資產(chǎn)的指定全部責(zé)負(fù)責(zé)。資產(chǎn)名目資產(chǎn)清單能掛念您確保對(duì)資產(chǎn)實(shí)施有效的愛護(hù),也可以用于其它商業(yè)目的，如保健、金融保險(xiǎn)等（資產(chǎn)評(píng)估)。編輯資產(chǎn)清單的過程是資產(chǎn)評(píng)估的一個(gè)重要方面。組織應(yīng)確定其資產(chǎn)及其相對(duì)價(jià)值和重要性。利用以上信息，組織可以依據(jù)資產(chǎn)的重要性和價(jià)值供應(yīng)相應(yīng)級(jí)別的愛護(hù)。應(yīng)當(dāng)為每個(gè)信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并保存一份清單。應(yīng)當(dāng)明確確認(rèn)每項(xiàng)資產(chǎn)及其全部權(quán)和平安分類。（參見５．２)各方就此達(dá)成全都并將其當(dāng)前狀況進(jìn)行備案(這一點(diǎn)在資產(chǎn)發(fā)生損壞,進(jìn)行索賠時(shí)格外重要)。與信息系統(tǒng)相關(guān)聯(lián)的資產(chǎn)示例有:信息資產(chǎn):數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性方案、退守方案、歸檔信息;軟件資產(chǎn):應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及有用程序;物質(zhì)資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器)、通訊設(shè)備(路由器、ＰABX、傳真機(jī)、應(yīng)答機(jī))、磁介質(zhì)（磁帶和磁盤)、其它技術(shù)設(shè)備(電源、空調(diào)器）、家具、機(jī)房;服務(wù)：計(jì)算和通訊服務(wù)、常用設(shè)備,如加熱器、照明設(shè)備、電源、空調(diào)。信息分類目標(biāo)：保證信息資產(chǎn)得到適當(dāng)?shù)膼圩o(hù)。應(yīng)當(dāng)對(duì)信息分類，指明其需要、優(yōu)先挨次和愛護(hù)級(jí)別。信息的敏感程度和關(guān)鍵程度各不相同。有些信息需要加強(qiáng)愛護(hù)或進(jìn)行特殊對(duì)待?？梢允褂眯畔⒎诸愊到y(tǒng)定義合適的愛護(hù)級(jí)別，并解釋對(duì)特殊處理手段的需要。分類原則在對(duì)信息進(jìn)行分類并制定相關(guān)的愛護(hù)性把握措施時(shí),應(yīng)當(dāng)考慮以下問題:對(duì)共享信息或限制信息共享的業(yè)務(wù)需求,以及與這種需求相關(guān)的業(yè)務(wù)影響,如對(duì)信息未經(jīng)授權(quán)的訪問或損害。通常，對(duì)信息的分類是確定如何處理和愛護(hù)信息的簡略方法。應(yīng)依據(jù)信息的價(jià)值和對(duì)于組織的敏感程度，對(duì)信息和系統(tǒng)處理分類數(shù)據(jù)的結(jié)果進(jìn)行分類。也可以按信息對(duì)組織的關(guān)鍵程度分類,如依據(jù)其可用性和完整性分類。經(jīng)過一段時(shí)間后,例如該信息已被公之于眾，信息就變得不那么敏感和重要了。必需將這些問題考慮在內(nèi),分類過粗會(huì)導(dǎo)致不必要的額外業(yè)務(wù)開銷。分類指導(dǎo)原則估計(jì)到并接受這樣一個(gè)事實(shí)：信息的分類不是固定不變的，可以依據(jù)預(yù)定策略進(jìn)行更改(參見9．１）。也應(yīng)當(dāng)考慮到信息類別的數(shù)量和進(jìn)行分類的優(yōu)點(diǎn)。過于簡單的分類會(huì)使人感覺格外麻煩,使用起來很不合算或沒有有用價(jià)值。在解釋其它組織文檔中的分類標(biāo)記時(shí)也應(yīng)當(dāng)留意,由于相同或相像的標(biāo)記的定義可能不同。對(duì)信息進(jìn)行分類,如對(duì)文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤進(jìn)行分類,以及對(duì)分類定期審查等，仍由該信息的最初全部者或指定全部者負(fù)責(zé)執(zhí)行。信息標(biāo)識(shí)和處理依據(jù)組織接受的分類方法,明確標(biāo)記和處理信息的妥當(dāng)步驟,是格外重要的。這些步驟應(yīng)包括實(shí)際存在的信息和電子形式的信息的標(biāo)記和處理步驟。對(duì)于每個(gè)類別，應(yīng)明確說明，處理步驟包括以下類別的信息處理活動(dòng):復(fù)制;存儲(chǔ)；通過郵寄、傳真和電子郵件進(jìn)行傳輸；通過移動(dòng)電話、語音郵件、應(yīng)答機(jī)等交談方式進(jìn)行傳輸;破壞。系統(tǒng)輸出結(jié)果包含敏感或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類標(biāo)記(輸出結(jié)果中)。標(biāo)記應(yīng)能反映依據(jù)5．2.1中創(chuàng)建的規(guī)章進(jìn)行分類的結(jié)果。需要考慮的問題包括:打印出的報(bào)告、屏幕顯示結(jié)果、記錄信息的介質(zhì)(磁帶、磁盤、CD、磁盤）、電子消息和文件的傳輸問題。最合適的標(biāo)記形式就是貼上一張看的見、摸的著的標(biāo)簽。但是，有些信息資產(chǎn)(如電子格式的文檔）不能貼上實(shí)際的標(biāo)簽，需要使用電子方式的標(biāo)記方法。人員平安責(zé)任定義與資源管理的平安性目標(biāo):降低設(shè)施誤操作、偷竊、詐騙或?yàn)E用等方面的人為風(fēng)險(xiǎn)。在聘請(qǐng)階段,就應(yīng)當(dāng)說明平安責(zé)任,將其寫入合同,并在雇用期間進(jìn)行監(jiān)督。對(duì)候選新員工應(yīng)充分進(jìn)行篩選(參見),特殊是對(duì)于從事敏感工作的員工更是如此。全部員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密(不公開）協(xié)議?？紤]工作責(zé)任中的平安因素在組織的信息平安策略中應(yīng)當(dāng)闡明平安任務(wù)和職責(zé)(參見３.1),并進(jìn)行備案。還應(yīng)包括實(shí)施和維護(hù)平安策略的總體責(zé)任,以及愛護(hù)特殊資產(chǎn)、執(zhí)行特殊特殊平安程序或活動(dòng)的責(zé)任。人員選拔策略在考慮就業(yè)申請(qǐng)時(shí)應(yīng)當(dāng)對(duì)固定員工進(jìn)行審查。審查應(yīng)包括以下內(nèi)容:是否有令滿足的個(gè)人介紹信，可以由某個(gè)組織或個(gè)人出具;對(duì)申請(qǐng)人簡歷的完整性和精確性進(jìn)行檢查；對(duì)申請(qǐng)人聲明的學(xué)術(shù)和專業(yè)資格進(jìn)行證明；進(jìn)行獨(dú)立的身份檢查(護(hù)照或類似文件)。假如某個(gè)職位,不管是外部聘請(qǐng)還是內(nèi)部提升員工,涉及到可以訪問信息處理設(shè)備的人員,特殊是那些處理敏感信息（如財(cái)務(wù)信息或絕密信息)的個(gè)人，組織必需對(duì)該人員進(jìn)行信用檢查。對(duì)于具有很高權(quán)力的員工,應(yīng)當(dāng)定期進(jìn)行一次此類檢查。對(duì)承包商和臨時(shí)性員工,也應(yīng)執(zhí)行類似的選拔過程。假如這些員工是代理機(jī)構(gòu)介紹的，在與代理機(jī)構(gòu)的合同中應(yīng)當(dāng)注明以下事項(xiàng):代理機(jī)構(gòu)的選拔責(zé)任,以及假如代理機(jī)構(gòu)沒有完整執(zhí)行選拔過程,或選拔結(jié)果有疑問時(shí)，代理機(jī)構(gòu)應(yīng)遵循的通知本方的步驟。管理層應(yīng)有權(quán)訪問敏感系統(tǒng)，以評(píng)估對(duì)新和閱歷不足的員工的調(diào)查結(jié)果。全部員工的工作都應(yīng)由高級(jí)員工進(jìn)行定期審查和審核。管理人員應(yīng)當(dāng)知道,員工的個(gè)人狀況會(huì)對(duì)他們的工作產(chǎn)生影響。個(gè)人或財(cái)務(wù)上的問題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或苦痛的心情下工作,都會(huì)導(dǎo)致哄騙、盜竊、工作出錯(cuò)或其它平安問題。應(yīng)在自己的權(quán)限范圍內(nèi),依據(jù)相應(yīng)的規(guī)定,妥當(dāng)處理這些問題。保密協(xié)議簽署保密協(xié)議的目的是提示簽約人留意，這些信息是保密的。員工應(yīng)當(dāng)簽定保密協(xié)議并將其作為初步雇傭的條款和條件。現(xiàn)有的合同(包括保密協(xié)議)中沒有涉及臨時(shí)性員工和第三方用戶的問題,在允許他們訪問信息處理設(shè)備之前,應(yīng)要求他們簽署一份協(xié)議。假如雇傭條款或合同發(fā)生了變化,特殊在是雇員要離開組織或合同要到期時(shí),要對(duì)保密協(xié)議進(jìn)行進(jìn)行重新批閱。雇傭條款和條件雇傭條款和條件應(yīng)當(dāng)規(guī)定員工的信息平安責(zé)任。如有需要,該責(zé)任在結(jié)束雇用關(guān)系后的一段特定的時(shí)間內(nèi)仍舊有效。條款中還應(yīng)當(dāng)包括假如雇員無視平安要求,那么可對(duì)其實(shí)行措施。雇用條款和條件中也應(yīng)當(dāng)包括雇員的法律責(zé)任和權(quán)限方面的條款，如關(guān)于版權(quán)法或數(shù)據(jù)愛護(hù)法規(guī)方面的內(nèi)容。條款中還應(yīng)當(dāng)注明對(duì)雇員相關(guān)數(shù)據(jù)進(jìn)行分類和管理方面的責(zé)任。假如有必要的話,雇傭條款和條件中應(yīng)說明員工在組織辦公地點(diǎn)以外和正常工作時(shí)間以外(如在家工作時(shí))應(yīng)當(dāng)擔(dān)當(dāng)?shù)呢?zé)任(另請(qǐng)參見7.2.５和)。用戶培訓(xùn)目標(biāo)：保證用戶了解信息平安存在的威逼和問題,在正常工作中切實(shí)遵守組織平安策略。應(yīng)對(duì)用戶進(jìn)行平安步驟和正確使用信息處理設(shè)備的培訓(xùn),將可能的平安風(fēng)險(xiǎn)降到最低。信息平安的教育與培訓(xùn)組織全部員工以及相關(guān)的第三方用戶應(yīng)當(dāng)就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。這包括平安要求、法律責(zé)任和業(yè)務(wù)把握措施方面的內(nèi)容,以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登錄的步驟、軟件包的使用方法等等。當(dāng)然在此之前,必需授予其訪問信息或服務(wù)的權(quán)限。對(duì)平安事故和故障的處理目標(biāo):最大限度降低由于事故和故障而患病的損失,對(duì)此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。將影響平安的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。各種類型的平安事故(平安破壞行為、威逼、弱點(diǎn)或故障）對(duì)組織資產(chǎn)的平安都會(huì)產(chǎn)生影響，全部雇員和承包商都應(yīng)了解報(bào)告各個(gè)類型平安事故的方法步驟。他們應(yīng)盡快將觀看到的或可疑的大事報(bào)告給事先指定的聯(lián)系人。組織應(yīng)建立正式的處分條例,懲罰那些進(jìn)行違反平安活動(dòng)的雇員。要妥當(dāng)處理平安事故，應(yīng)在事故發(fā)生后,盡快收集證據(jù)（參見）。平安事故報(bào)告將影響平安的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。應(yīng)當(dāng)建立一套正式的報(bào)告平安事故的步驟以及一套平安事故的響應(yīng)步驟，后者應(yīng)規(guī)定在收到平安事故報(bào)告后,應(yīng)當(dāng)實(shí)行的行動(dòng)。全部雇員和承包商都應(yīng)當(dāng)了解報(bào)告平安事故的程序步驟,并依據(jù)要求,盡快報(bào)告平安事故。應(yīng)當(dāng)建立適當(dāng)?shù)姆答伹?，以保證平安事故處理完畢后,報(bào)告人能知道該大事的處理結(jié)果。在進(jìn)行用戶警報(bào)培訓(xùn)時(shí)(參見6.2)，可以將這些大事作為示例,向用戶講解可能發(fā)生什么大事、如何對(duì)這些大事進(jìn)行處理以及今后如何避開這類大事發(fā)生(另請(qǐng)參見)。平安漏洞報(bào)告應(yīng)當(dāng)要求信息服務(wù)用戶在發(fā)覺或懷疑系統(tǒng)或服務(wù)消滅平安漏洞或受到威逼時(shí),馬上進(jìn)行記錄并匯報(bào)。他們應(yīng)當(dāng)將這些大事盡快報(bào)告給管理層,或直接報(bào)告給服務(wù)供應(yīng)商。應(yīng)當(dāng)告知用戶，在任何狀況下,也不要試圖證明一個(gè)可疑平安漏洞。這也是為了愛護(hù)他們自己,這是由于在您測試某個(gè)漏洞時(shí)，很可能會(huì)導(dǎo)致對(duì)系統(tǒng)的錯(cuò)誤使用。軟件故障報(bào)告應(yīng)建立報(bào)告軟件故障的程序步驟。應(yīng)考慮實(shí)行以下措施。將問題的征兆和屏幕上顯示的消息記錄下來。應(yīng)將該計(jì)算機(jī)隔離，假如可能，停止使用該計(jì)算機(jī)。馬上向合適的聯(lián)系人報(bào)警。假如要檢修設(shè)備，在重新接通該設(shè)備的電源前，應(yīng)將其從公司的網(wǎng)絡(luò)中斷開。不要將磁盤拿到其它計(jì)算機(jī)上使用。馬上將問題報(bào)告給信息平安管理人員。除非得到授權(quán),用戶不要試圖刪除可疑的軟件。應(yīng)由經(jīng)過培訓(xùn)富有閱歷員工執(zhí)行恢復(fù)工作。從事故中吸取教訓(xùn)應(yīng)當(dāng)接受一種機(jī)制，將事故和故障的類型、規(guī)模和損失進(jìn)行量化和監(jiān)控。用這些信息來確定重復(fù)發(fā)生的或影響很大的事故或故障。這需要使用功能更強(qiáng)的或其它的把握措施，以降低事故發(fā)生的頻率、損失,或在修訂平安策略的過程中，將這一因素考慮在內(nèi)(參見）。紀(jì)律檢查程序應(yīng)當(dāng)建立正式的處分流程,懲罰那些違反組織平安策略和規(guī)定的雇員(參見,有關(guān)保留證據(jù)的問題，參見)。對(duì)那些無視平安工作步驟的雇員來說,這種方法就是一種威懾。另外，假如懷疑某些員工有嚴(yán)峻或長期違反組織平安的行為,這一方法能保證對(duì)他們的懲罰是正確和公正的。實(shí)際和環(huán)境的平安平安區(qū)目標(biāo):防止對(duì)公司工作場所和信息的非法訪問、破壞和干擾。應(yīng)當(dāng)將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在平安的地方，使用相應(yīng)的平安防護(hù)設(shè)備和準(zhǔn)入把握手段以及有明確標(biāo)志的平安隔離帶進(jìn)行愛護(hù)。應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。依據(jù)所確定的風(fēng)險(xiǎn)的具體狀況,供應(yīng)相應(yīng)的愛護(hù)。對(duì)紙張、介質(zhì)和信息處理設(shè)備建議實(shí)行桌面清空和屏幕清空策略，降低對(duì)紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)和損害。實(shí)際平安隔離帶可以在組織辦公區(qū)域和信息處理設(shè)備四周建立幾個(gè)實(shí)際的防護(hù)設(shè)備,供應(yīng)物理愛護(hù)。每個(gè)防護(hù)設(shè)備都劃分出一個(gè)平安區(qū),這都提高了整體的愛護(hù)效果。各個(gè)組織應(yīng)使用平安區(qū)域愛護(hù)信息處理設(shè)備等資產(chǎn)(參見）。平安區(qū)域是用防護(hù)設(shè)備隔開的一塊區(qū)域,例如通過一堵墻、刷卡才能進(jìn)入的把握門或人工值守的前臺(tái)。防護(hù)設(shè)備的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。在需要時(shí),可以考慮并實(shí)施以下指導(dǎo)原則和把握措施。應(yīng)明確劃分平安區(qū)域。建筑物或某個(gè)地方中存放信息處理設(shè)備的平安區(qū)的位置應(yīng)當(dāng)格外合理（例如,平安區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開)。平安區(qū)四周應(yīng)有牢固的圍墻,全部可以進(jìn)出平安區(qū)的大門應(yīng)能防止未經(jīng)授權(quán)的訪問,如使用把握裝置、柵欄、報(bào)警裝備、鎖等等。設(shè)立一個(gè)人工值守的接待區(qū)域或使用其它方法,將對(duì)現(xiàn)場或建筑物的實(shí)際訪問限制在適當(dāng)?shù)膮^(qū)域中。只有經(jīng)過授權(quán)的人才能進(jìn)入現(xiàn)場或建筑物。如有必要,可進(jìn)行全方位的防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入平安區(qū),以及由火災(zāi)和水災(zāi)引起的環(huán)境問題的影響。平安區(qū)的全部防火門應(yīng)報(bào)警并關(guān)閉。平安區(qū)出入把握措施平安區(qū)應(yīng)當(dāng)使用適當(dāng)?shù)某鋈氚盐沾胧┯枰詯圩o(hù)。不經(jīng)批準(zhǔn),任何人員不得出入。應(yīng)考慮以下把握措施。必需調(diào)查并弄清平安區(qū)域的來訪者的身份,并將他們進(jìn)入和離開平安區(qū)域的日期和時(shí)間記錄在案。只有來訪者有特定的、經(jīng)過授權(quán)的目的時(shí),才能進(jìn)入平安區(qū),而且還要告知他們該區(qū)域的平安要求和緊急狀況下的行動(dòng)步驟。只有嚴(yán)格限定，經(jīng)過授權(quán)的人才能訪問敏感信息,使用信息處理設(shè)備。在對(duì)全部訪問行為進(jìn)行授權(quán)和驗(yàn)證時(shí)，應(yīng)接受一些強(qiáng)制性的把握措施,如使用帶PIN的卡進(jìn)行刷卡。應(yīng)對(duì)全部訪問嚴(yán)格執(zhí)行審計(jì)流程。要求全部人員佩帶易于辨認(rèn)的標(biāo)識(shí)，并鼓舞他們盤問無人伴隨的生疏人以及未佩帶標(biāo)識(shí)的人。應(yīng)經(jīng)常審查并更新有關(guān)平安區(qū)域訪問權(quán)限的規(guī)定。辦公場所、房屋和設(shè)施的平安保障平安區(qū)域可能是平安隔離帶中的一間加鎖的辦公室或幾個(gè)房間，平安隔離帶本身也可能是加鎖的并包括幾個(gè)可加鎖的小房間或保險(xiǎn)箱。在選擇和設(shè)計(jì)平安區(qū)域時(shí),應(yīng)將以下各種問題帶來的損害考慮在內(nèi):火災(zāi)、水災(zāi)、爆炸、社會(huì)動(dòng)蕩以及其它形式的自然或人為的災(zāi)難。也應(yīng)當(dāng)將各種相關(guān)的健康和平安方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。還應(yīng)當(dāng)考慮到接近的隔離帶可能帶來的平安威逼，如其它平安區(qū)域發(fā)生泄露大事。應(yīng)考慮以下把握措施。關(guān)鍵設(shè)備應(yīng)放在公眾無法進(jìn)入的地方。建筑物應(yīng)當(dāng)不很惹眼，使人無法察覺該建筑物的用途,在建筑物的內(nèi)外都沒有明顯標(biāo)志表明建筑物內(nèi)進(jìn)行者信息處理活動(dòng)。平安區(qū)域內(nèi)各種設(shè)備(如影印機(jī)、傳真機(jī))齊全,并放在相應(yīng)的地方,以防止未經(jīng)授權(quán)的人員使用,否則會(huì)泄露信息。在沒人的時(shí)候,將門窗關(guān)閉,還要留意防止有人從窗戶,特殊是只有一層的窗戶就可以進(jìn)入平安區(qū)域。依據(jù)專業(yè)標(biāo)準(zhǔn)安裝入侵檢測系統(tǒng)并經(jīng)常檢查,以對(duì)可進(jìn)入平安區(qū)域的門和窗戶進(jìn)行檢查。對(duì)無人區(qū)域進(jìn)行24小時(shí)的報(bào)警監(jiān)視。對(duì)其它區(qū)域也應(yīng)當(dāng)供應(yīng)相應(yīng)的愛護(hù),如計(jì)算機(jī)房或通訊室。由組織自己管理的信息處理設(shè)備應(yīng)與由第三方管理的信息處理設(shè)備分開。通過有些名目和內(nèi)部人員電話號(hào)碼本，能確定敏感信息處理設(shè)備的位置,不能讓公眾得到這些資料。應(yīng)將危急或易燃材料存儲(chǔ)在平安的地方，與平安區(qū)保持平安距離。除非有特殊要求,否則不要把大量的物品,如文具，存儲(chǔ)在平安區(qū)域內(nèi)。使應(yīng)急設(shè)備和備份介質(zhì)的存儲(chǔ)位置與主平安區(qū)域保持一個(gè)平安距離,以防止主平安區(qū)域發(fā)生的災(zāi)難大事殃及這些設(shè)備。在平安區(qū)中工作要加強(qiáng)平安區(qū)域的平安性，還應(yīng)當(dāng)接受其它把握措施和指導(dǎo)原則。者包括如何把握在平安區(qū)內(nèi)工作的個(gè)人和第三方人員,以及如何把握第三方人員在平安區(qū)以內(nèi)的活動(dòng)。應(yīng)考慮以下問題。只有在有必要的前提下,才能讓某個(gè)個(gè)人知道有一個(gè)平安區(qū)或平安區(qū)內(nèi)所進(jìn)行的活動(dòng)。出于平安緣由和消退惡意行為發(fā)生的機(jī)會(huì)兩方面考慮,不允許在平安區(qū)域內(nèi)進(jìn)行未經(jīng)調(diào)查的工作。關(guān)閉無人使用的平安區(qū)域,每隔一段時(shí)間,進(jìn)行一次檢查。只有在需要時(shí)，才能允許第三方的支持服務(wù)人員進(jìn)入平安區(qū)域或使用敏感信息處理設(shè)備。必需對(duì)其訪問行為進(jìn)行授權(quán)和監(jiān)視。在不同的范圍之間還需要隔離區(qū)把握實(shí)際訪問，在平安區(qū)域內(nèi)有不同的平安要求。除非經(jīng)過授權(quán),不允許使用圖象、視頻、音頻和其它記錄設(shè)備。與其它區(qū)域隔離的交貨和裝載區(qū)域應(yīng)當(dāng)對(duì)裝運(yùn)區(qū)進(jìn)行把握,而且應(yīng)依據(jù)狀況將其與信息處理設(shè)施隔離開來,避開非法訪問。這類區(qū)域的平安要求由風(fēng)險(xiǎn)評(píng)估的狀況打算。應(yīng)考慮以下指導(dǎo)原則。只有經(jīng)過確認(rèn)并授權(quán)的人在能從外面進(jìn)入存放物品的區(qū)域。設(shè)計(jì)存放物品區(qū)域時(shí),要達(dá)到如下效果:負(fù)責(zé)交貨的人員不需要進(jìn)入建筑物的其它部分,就可以將貨物卸下。當(dāng)存放物品的區(qū)域內(nèi)部的門打開時(shí),肯定要保證外部的門是平安的。在將已收下的材料從存貨區(qū)移到使用地點(diǎn)前,必需對(duì)其進(jìn)行檢查,以防止?jié)撛诘奈＜盵參見ｄ)］。假如可以（參見５.１），在入口處對(duì)收下的材料進(jìn)行登記。設(shè)備的平安目標(biāo):防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動(dòng)中斷。應(yīng)保證設(shè)備免受平安方面的威逼和環(huán)境的危害。要降低對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)并免受損失或損壞,必需對(duì)設(shè)備(包括不在現(xiàn)場使用的設(shè)備)進(jìn)行愛護(hù)。還需要考慮設(shè)備的位置和選址問題。可能需要特殊的把握措施來愛護(hù)免遭危急或非法訪問,并愛護(hù)幫助設(shè)施,例如電源和電纜等基礎(chǔ)設(shè)施。設(shè)備選址與愛護(hù)應(yīng)當(dāng)留意設(shè)備的選址與愛護(hù)，削減來自環(huán)境威逼和危急以及降低非法訪問的風(fēng)險(xiǎn)。應(yīng)考慮以下問題。將設(shè)備安裝在合適的位置,不到必要時(shí)，盡量避開進(jìn)入工作區(qū)。確定處理敏感數(shù)據(jù)的信息處理和存儲(chǔ)設(shè)備的位置時(shí)，應(yīng)留意選擇合適的位置,降低使用過程中因疏忽造成的風(fēng)險(xiǎn)。應(yīng)當(dāng)將需要特殊愛護(hù)的設(shè)備隔離,以降低所需的愛護(hù)級(jí)別。應(yīng)接受相應(yīng)的把握措施，盡可能降低潛在威逼的風(fēng)險(xiǎn),包括：盜竊;火災(zāi)；爆炸;煙塵；供水問題（或停水);灰塵;振動(dòng);化學(xué)制品的影響;供電干擾；電磁輻射。組織在考慮其策略時(shí),應(yīng)將在信息處理設(shè)備四周就餐、飲水和吸煙的狀況考慮進(jìn)去。有些環(huán)境條件會(huì)對(duì)信息處理設(shè)備的運(yùn)行產(chǎn)生負(fù)面影響,應(yīng)認(rèn)真監(jiān)視這些條件。對(duì)于在工業(yè)環(huán)境下運(yùn)行的設(shè)備,應(yīng)考慮使用特殊的愛護(hù)方法，如在鍵盤表面加一層膜。應(yīng)考慮接近辦公區(qū)域發(fā)生災(zāi)難大事的影響，如接近建筑物發(fā)生火災(zāi)、天花板漏水或地板滲水或大街上發(fā)生爆炸大事。電源應(yīng)當(dāng)防止設(shè)備消滅電源故障,防止其它供電不正常的現(xiàn)象。應(yīng)供應(yīng)穩(wěn)定的電力供應(yīng),符合設(shè)備生產(chǎn)商說明書的規(guī)定。保證連續(xù)供電的方法有：多回路供電,以防止某個(gè)回路消滅問題，造成斷電事故；不間斷電源(ＵPＳ)；備用發(fā)電機(jī)。對(duì)于為重要商業(yè)業(yè)務(wù)供應(yīng)電力支持的設(shè)備,需要使用UＰＳ以保證設(shè)備可以依次關(guān)閉或持續(xù)運(yùn)行。應(yīng)急方案中應(yīng)包括UPS發(fā)生故障如何應(yīng)付的內(nèi)容。應(yīng)經(jīng)常檢查UPＳ設(shè)備，以保證其功率足夠大并依據(jù)生產(chǎn)商推舉的方法進(jìn)行測試。在發(fā)生較長時(shí)間的斷電事故時(shí)，而業(yè)務(wù)必需進(jìn)許進(jìn)行,則可以考慮使用后備發(fā)電機(jī)。假如已經(jīng)安裝了發(fā)電機(jī),應(yīng)依據(jù)生產(chǎn)商的指示，對(duì)發(fā)電機(jī)進(jìn)行定期測試。應(yīng)保證燃料供應(yīng)充分,使發(fā)電機(jī)能運(yùn)行更長一段時(shí)間。另外，在緊急出口處的設(shè)備間中應(yīng)安裝緊急電力開關(guān),以便在緊急狀況下快速切斷電源。萬一主回路發(fā)生故障,應(yīng)供應(yīng)應(yīng)急照明。全部建筑物都應(yīng)接受照明愛護(hù)設(shè)備,全部露天的通訊線都應(yīng)配備照明愛護(hù)濾光器。電纜平安電源線纜與通信電纜承載數(shù)據(jù)或支持性的信息服務(wù)，不應(yīng)被截?cái)嗷蚴軗p。應(yīng)考慮以下把握措施。假如可能，接入信息處理設(shè)備的電源線路和通信線路應(yīng)使用地下暗線,或?yàn)槠涔?yīng)多種愛護(hù)方法。防止未經(jīng)授權(quán)就損壞或切斷網(wǎng)絡(luò)線纜的現(xiàn)象,如將線纜埋入管道，或避開通過公共區(qū)域。電力線纜應(yīng)與通訊線纜隔離,以避開相互的干擾。對(duì)敏感或重要的系統(tǒng)，應(yīng)考慮接受進(jìn)一步的把握措施:在探傷位置和端點(diǎn),安裝鎧裝管道或帶鎖的箱體;使用其它路由或傳輸介質(zhì);使用光纖電纜；去除線纜上附著的未經(jīng)授權(quán)的設(shè)備。設(shè)備維護(hù)應(yīng)對(duì)設(shè)備進(jìn)行妥當(dāng)?shù)鼐S護(hù)，以保證其持續(xù)地可用并保持完整。應(yīng)考慮以下指導(dǎo)原則。依據(jù)供應(yīng)商推舉的服務(wù)間隔時(shí)間和規(guī)范,對(duì)設(shè)備進(jìn)行維護(hù)。只有經(jīng)過授權(quán)的維護(hù)人員才能對(duì)設(shè)備進(jìn)行修理和維護(hù)。將全部可能的或?qū)嶋H存在的故障以及預(yù)防性和休整性的維護(hù)手段進(jìn)行備案。在將設(shè)備送修時(shí)，應(yīng)實(shí)行適當(dāng)?shù)陌盐帐侄危ㄓ嘘P(guān)如何刪除和重寫數(shù)據(jù),請(qǐng)參見）。應(yīng)遵守全部保險(xiǎn)條例中提出的要求。場外設(shè)備的平安不管其全部權(quán)如何，在公司辦公區(qū)域以外使用信息處理設(shè)備經(jīng)過由管理層授權(quán)。為辦公區(qū)域以外設(shè)備供應(yīng)的平安愛護(hù),應(yīng)與為辦公區(qū)內(nèi)同類設(shè)備供應(yīng)的平安愛護(hù)相同,并將在辦公區(qū)以外使用設(shè)備的因素考慮在內(nèi)。信息處理設(shè)備包括各種形式的個(gè)人計(jì)算機(jī)、組織者、移動(dòng)電話、紙張或表格，可以由在家工作的員工持有,或從正常工作位置移開。應(yīng)考慮以下指導(dǎo)原則。從辦公區(qū)域?qū)⒃O(shè)備和介質(zhì)取走時(shí),不要在公共場所引起大家的留意。旅行時(shí),應(yīng)將便攜計(jì)算機(jī)放在手提皮箱內(nèi)并偽裝起來。應(yīng)隨時(shí)留意制造商對(duì)于愛護(hù)設(shè)備的指導(dǎo)，如防止接觸強(qiáng)電磁場。如何把握在家的工作由風(fēng)險(xiǎn)評(píng)估的結(jié)果打算,如有需要,應(yīng)使用適當(dāng)?shù)陌盐沾胧?如可封閉的檔案室、下班后桌面不允許留有物品的策略，以及對(duì)計(jì)算機(jī)使用的把握。應(yīng)接受充分的保險(xiǎn)手段愛護(hù)辦公區(qū)域以外的設(shè)備。平安風(fēng)險(xiǎn),如損壞、偷竊以及竊聽行為隨地點(diǎn)的不同會(huì)有很大的不同,在確定最合適的把握措施時(shí),應(yīng)將這些因素考慮在內(nèi)。有關(guān)如何愛護(hù)移動(dòng)設(shè)備的具體信息，請(qǐng)參閱。設(shè)備的平安處置與重用假如在處理或重新使用設(shè)備時(shí)，不加以留意的話,會(huì)危及信息的平安(另請(qǐng)參見)。對(duì)于存儲(chǔ)敏感信息的存儲(chǔ)設(shè)備，應(yīng)將其銷毀,或重寫數(shù)據(jù)，而不能只使用標(biāo)準(zhǔn)的刪除功能。應(yīng)檢查全部設(shè)備的存儲(chǔ)介質(zhì),如固定硬盤，移確保對(duì)介質(zhì)進(jìn)行處理前，全部敏感數(shù)據(jù)和授權(quán)軟件以被刪除或掩蓋。對(duì)于已毀壞的包含敏感數(shù)據(jù)的存儲(chǔ)設(shè)備,應(yīng)對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以確定是應(yīng)銷毀、修理或棄置該設(shè)備。常規(guī)把握措施目標(biāo):防止信息或信息處理設(shè)施受損或被盜。應(yīng)防止將信息和信息處理設(shè)備暴露給未經(jīng)授權(quán)的人,或被未經(jīng)授權(quán)的人修改或偷竊，并應(yīng)實(shí)行把握措施,將損失或損害最小化。８.6．3中考慮了處理和存儲(chǔ)的步驟。桌面與屏幕管理策略在組織中,對(duì)于紙張和可移動(dòng)的存儲(chǔ)介質(zhì)，應(yīng)實(shí)行桌面清空策略;對(duì)于信息處理設(shè)備，應(yīng)實(shí)行屏幕清空策略，以降低在工作時(shí)間內(nèi)外,對(duì)信息進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)、損失和損害。策略應(yīng)將以下因素考慮在內(nèi)：信息平安分類(參見5.2)、相應(yīng)的風(fēng)險(xiǎn)以及組織文化方面的問題。發(fā)生災(zāi)難大事,留在桌面上的信息很簡潔損壞或銷毀，如火災(zāi)、水災(zāi)或爆炸。應(yīng)考慮以下指導(dǎo)原則。在需要時(shí),在紙張和計(jì)算機(jī)介質(zhì)臨時(shí)不用時(shí)，特殊是在外工作時(shí),將其存儲(chǔ)在合適的加鎖的柜子和／或其它形式的平安設(shè)備中。在不使用敏感或關(guān)鍵的商業(yè)信息時(shí)，特殊時(shí)辦公室騰空時(shí),將其鎖起來(最好是在防火的保險(xiǎn)箱或柜子中)。在無人使用時(shí),應(yīng)將個(gè)人計(jì)算機(jī)和計(jì)算機(jī)終端和打印機(jī)保持注銷狀態(tài)，并用鍵盤鎖、口令或其它把握措施愛護(hù)起來。應(yīng)將往來信件的地址和無人使用的傳真機(jī)和電傳機(jī)愛護(hù)起來。在工作時(shí)間以外，將影印機(jī)鎖起來(或用其它方法防止未經(jīng)授權(quán)的使用）。在打印敏感或分類信息后,應(yīng)馬上從打印機(jī)中清除。資產(chǎn)處置未經(jīng)授權(quán)，不允許將設(shè)備、信息或軟件帶離工作場所。如有必要，應(yīng)使設(shè)備處于注銷狀態(tài)，在歸還設(shè)備后在重新登錄?，F(xiàn)場檢查是否有未經(jīng)授權(quán)就移動(dòng)財(cái)產(chǎn)的行為。每個(gè)人都應(yīng)知道，隨時(shí)會(huì)進(jìn)行現(xiàn)場檢查。通信與操作管理操作程序和責(zé)任目標(biāo):保證信息處理設(shè)施的操作平安無誤。應(yīng)當(dāng)建立全部信息處理設(shè)施的管理和操作的責(zé)任和程序。其中包括制定適當(dāng)?shù)牟僮髦噶詈褪鹿蚀笫碌捻憫?yīng)程序。在適當(dāng)?shù)臓顩r下進(jìn)行職責(zé)劃分，降低無意或有意造成的系統(tǒng)濫用風(fēng)險(xiǎn)。明確的操作程序應(yīng)對(duì)平安策略確定的操作程序進(jìn)行備案并維護(hù)。操作程序應(yīng)作為正式文檔來處理,對(duì)它進(jìn)行改動(dòng)需要得到管理層授權(quán)。這些程序步驟應(yīng)指明具體執(zhí)行每個(gè)作業(yè)的指令，包括:處理和使用信息;編制需求方案,包括與其它系統(tǒng)的相互依靠性、最先開頭的和最終完成的工作的時(shí)間;處理錯(cuò)誤或其它特別狀況的指令,這些特別狀況可能是在作業(yè)執(zhí)行期間產(chǎn)生的,包括對(duì)使用系統(tǒng)有用程序的限制(參閱）在消滅意外的操作或技術(shù)問題時(shí)的支持聯(lián)絡(luò)特殊的輸出處理指令，比如使用特殊文具或管理隱秘輸出,包括平安處置失敗作業(yè)產(chǎn)生的輸出的方法;在系統(tǒng)消滅故障時(shí)使用的系統(tǒng)重新啟動(dòng)和恢復(fù)的措施應(yīng)當(dāng)將備案的方法步驟隨時(shí)用于處理與信息處理和通信設(shè)施有關(guān)的系統(tǒng)內(nèi)務(wù)管理活動(dòng),例如計(jì)算機(jī)的啟動(dòng)和關(guān)閉程序、備份、設(shè)備維護(hù)、計(jì)算機(jī)房和郵件處理管理和平安。操作變更把握應(yīng)當(dāng)把握對(duì)信息處理設(shè)施和系統(tǒng)的變動(dòng)。對(duì)信息處理設(shè)施和系統(tǒng)把握不力是導(dǎo)致系統(tǒng)或平安故障的常見緣由。應(yīng)落實(shí)正式的管理責(zé)任和措施,確保對(duì)設(shè)備、軟件或程序的全部變更得到滿足的把握。操作程序應(yīng)嚴(yán)格把握變動(dòng)。更改程序時(shí),應(yīng)保留包含全部相關(guān)信息的審計(jì)日志。轉(zhuǎn)變操作環(huán)境可能會(huì)對(duì)應(yīng)用程序造成影響。在適當(dāng)?shù)臅r(shí)候，應(yīng)結(jié)合操作步驟和應(yīng)用更改把握步驟(另請(qǐng)參閱)。尤其,應(yīng)考慮以下各項(xiàng)：識(shí)別并記錄重大變更評(píng)估這類變更的潛在影響；提議變更的正式批準(zhǔn)程序；向全部相關(guān)人員通報(bào)變更細(xì)節(jié)確定中止變更并從失敗變更中恢復(fù)的責(zé)任的方法事故管理程序應(yīng)當(dāng)明確事故管理責(zé)任，制定相關(guān)程序,保證對(duì)平安事故反應(yīng)快速、有效且有條不紊（另請(qǐng)參閱）。應(yīng)考慮以下指導(dǎo)方針。制定針對(duì)各種可能存在的平安事故的措施，這些事故包括:信息系統(tǒng)故障和服務(wù)丟失;拒絕服務(wù);業(yè)務(wù)數(shù)據(jù)不完整或不精確產(chǎn)生錯(cuò)誤；違反保密性。除一般用于盡快恢復(fù)系統(tǒng)或服務(wù)的應(yīng)急方案外,這些措施還應(yīng)包括（另請(qǐng)參見):分析和鑒定事故產(chǎn)生的緣由;依據(jù)需要,制定防止再次發(fā)生的補(bǔ)救方案并執(zhí)行這一方案;收集審查記錄和類似證據(jù);與那些受意外大事影響或參與從意外大事中恢復(fù)工作的人員溝通;向上級(jí)匯報(bào)有關(guān)措施。適當(dāng)?shù)厥占瞳@得審查記錄和類似證據(jù)（參見）。內(nèi)部問題分析;用作與可能違反契約、違反規(guī)章制度的證據(jù),或者觸犯民事或刑事訴訟(例如計(jì)算機(jī)誤用或數(shù)據(jù)愛護(hù)立法)的證據(jù)；與軟件和服務(wù)供應(yīng)商協(xié)商賠償。嚴(yán)格認(rèn)真地把握平安違例恢復(fù)和訂正系統(tǒng)故障的措施。這些措施應(yīng)確保只有明確確定身份和獲得授權(quán)的人員才允許訪問正在使用的系統(tǒng)和數(shù)據(jù)(有關(guān)第三方訪問,另請(qǐng)參見)具體記錄實(shí)行的全部緊急措施;向管理層匯報(bào)緊急措施,并進(jìn)行有序的審查;以最小的延誤代價(jià)確認(rèn)業(yè)務(wù)系統(tǒng)和把握的完整性。責(zé)任劃分責(zé)任劃分是降低偶然或有意的系統(tǒng)濫用風(fēng)險(xiǎn)。為削減非法篡改或?yàn)E用信息或服務(wù)，應(yīng)考慮對(duì)某些管理或執(zhí)行責(zé)任或者責(zé)任范圍進(jìn)行劃分。小型組織可能認(rèn)為這種把握措施難以實(shí)現(xiàn)，但應(yīng)當(dāng)盡可能地有效應(yīng)用這一原則。當(dāng)難以劃分責(zé)任時(shí)，應(yīng)當(dāng)考慮使用其它把握措施，比如活動(dòng)監(jiān)控、審計(jì)追蹤和管理監(jiān)督等。平安審計(jì)保持獨(dú)立是格外重要的。應(yīng)當(dāng)留意的是,沒有人在其責(zé)任范圍內(nèi)所犯的錯(cuò)誤能夠逃脫檢查。應(yīng)當(dāng)將大事執(zhí)行同大事執(zhí)行的授權(quán)分開。應(yīng)考慮以下狀況。識(shí)別哪些是為達(dá)到欺詐目的的共謀串通活動(dòng)（例如偽造發(fā)出選購訂單然后證明貨物已經(jīng)收到)格外重要。假如存在串通的危急，那么需要制定把握措施,讓更多的人參與,降低消滅共謀的機(jī)會(huì)。開發(fā)設(shè)施與運(yùn)營設(shè)施分別開發(fā)設(shè)施、測試設(shè)施與操作設(shè)施分別對(duì)實(shí)現(xiàn)劃分職責(zé)的目的格外重要。應(yīng)制定軟件從開發(fā)向操作使用轉(zhuǎn)移的規(guī)章，并進(jìn)行備案。開發(fā)和測試活動(dòng)可能會(huì)產(chǎn)生嚴(yán)峻的問題，例如對(duì)文件或系統(tǒng)環(huán)境進(jìn)行不必要的改動(dòng)或者產(chǎn)生系統(tǒng)故障。應(yīng)當(dāng)考慮在操作、測試和開發(fā)環(huán)境之間進(jìn)行肯定程度的分別,防止消滅操作問題。在開發(fā)和測試部門之間也應(yīng)當(dāng)進(jìn)行類似的分別。在這種狀況下，需要維護(hù)一個(gè)已知的穩(wěn)定環(huán)境,在這個(gè)環(huán)境里執(zhí)行有效的測試并防止不適宜的開發(fā)人員訪問。當(dāng)開發(fā)人員和測試人員有權(quán)訪問操作系統(tǒng)及其信息時(shí),他們可能會(huì)帶入非法和未經(jīng)測試的代碼或者修改操作代碼。在某些系統(tǒng)上這種力量可能被濫用,甚至導(dǎo)致違法,即引入未經(jīng)檢驗(yàn)或惡意性的代碼。未經(jīng)檢驗(yàn)或惡意性的代碼會(huì)引起嚴(yán)峻的操作問題。開發(fā)人員和測試人員還構(gòu)成對(duì)操作信息機(jī)密性的威逼。假如開發(fā)和測試與軟件和信息同在一個(gè)計(jì)算環(huán)境里，那么開發(fā)和測試活動(dòng)可能會(huì)對(duì)軟件和信息造成意想不到的變動(dòng)。因此,需要將開發(fā)設(shè)施、測試設(shè)施與操作設(shè)施分別,降低意外改動(dòng)或非法訪問操作軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。應(yīng)考慮以下把握措施。開發(fā)和操作軟件盡可能在不同的計(jì)算機(jī)處理器上運(yùn)行,或者在不同的域或名目中。開發(fā)和測試活動(dòng)應(yīng)盡可能分開進(jìn)行。假如沒有必要,不允許從操作系統(tǒng)訪問編譯程序、編輯程序和其它系統(tǒng)有用程序。操作系統(tǒng)和測試系統(tǒng)應(yīng)當(dāng)使用不同的登錄程序,降低出錯(cuò)的風(fēng)險(xiǎn)。對(duì)于這些系統(tǒng)應(yīng)鼓舞用戶使用不同的口令,并且菜單應(yīng)當(dāng)顯示適當(dāng)?shù)臉?biāo)識(shí)消息。在把握措施得到落實(shí)后,開發(fā)人員才可以獲得操作口令。發(fā)布操作系統(tǒng)支持的口令。把握措施應(yīng)當(dāng)確保這些口令在使用后準(zhǔn)時(shí)更改。外部設(shè)施管理使用外部合同商管理信息處理設(shè)施可能會(huì)造成潛在的平安暴露,例如在承包商的辦公地點(diǎn)可能危害、破壞數(shù)據(jù)平安或丟失數(shù)據(jù)。這些風(fēng)險(xiǎn)應(yīng)事先得到確認(rèn)，與承包商達(dá)成適當(dāng)?shù)陌盐沾胧┎懭牒贤校ㄓ嘘P(guān)涉及訪問組織設(shè)施的第三方合約和外包合約的指導(dǎo)原則,另請(qǐng)參閱4.２.２和4．3)。特殊需要解決的問題包括:確定內(nèi)部保留的敏感或關(guān)鍵應(yīng)用程序獲得業(yè)務(wù)應(yīng)用程序全部者的認(rèn)可;業(yè)務(wù)連續(xù)性方案的含義；待指定的平安標(biāo)準(zhǔn)和檢查符合性的方法；有效監(jiān)控全部相關(guān)平安活動(dòng)的具體職責(zé)的安排和程序步驟；報(bào)告和處理平安事故的責(zé)任和程序步驟(參見)。系統(tǒng)規(guī)劃與驗(yàn)收目標(biāo)：最大限度降低系統(tǒng)故障的風(fēng)險(xiǎn)。預(yù)先規(guī)劃和預(yù)備是必不行少，這樣可以確保有足夠的容量和資源。應(yīng)當(dāng)制定將來容量要求的預(yù)算規(guī)劃,從而降低系統(tǒng)超載的風(fēng)險(xiǎn)。在驗(yàn)收和使用新的系統(tǒng)前，應(yīng)當(dāng)建立系統(tǒng)的操作要求,并對(duì)這些要求進(jìn)行備案和檢測。容量規(guī)劃容量需求需要進(jìn)行監(jiān)視,并且還應(yīng)當(dāng)制定將來的容量要求的規(guī)劃，確保系統(tǒng)有足夠的處理力量和存儲(chǔ)空間。這些預(yù)算規(guī)劃不僅應(yīng)考慮到新的業(yè)務(wù)和系統(tǒng)的要求，還應(yīng)當(dāng)考慮到組織在信息處理技術(shù)的現(xiàn)狀和規(guī)劃趨勢。大型計(jì)算機(jī)尤其需要留意,由于增加大型機(jī)的新容量成本會(huì)更加昂揚(yáng)并且交付周期也更長。大型機(jī)的管理員應(yīng)監(jiān)視主要系統(tǒng)資源的使用狀況,包括處理器、主存儲(chǔ)器、文件存儲(chǔ)器、打印機(jī)和其它輸出設(shè)備以及通信系統(tǒng)。他們應(yīng)當(dāng)判別資源的使用趨勢,尤其是與業(yè)務(wù)應(yīng)用程序或管理信息系統(tǒng)工具的關(guān)系。管理員應(yīng)使用這一信息來識(shí)別和避開可能消滅的威逼系統(tǒng)平安或用戶服務(wù)的瓶頸,同時(shí)制定適當(dāng)?shù)难a(bǔ)救措施。系統(tǒng)驗(yàn)收建立新的信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收標(biāo)準(zhǔn),并在驗(yàn)收前履行適當(dāng)?shù)南到y(tǒng)測試。管理員應(yīng)確保明確制定新系統(tǒng)的驗(yàn)收要求和標(biāo)準(zhǔn),并且這些標(biāo)準(zhǔn)和要求得到認(rèn)可、記錄和經(jīng)過檢驗(yàn)。應(yīng)考慮以下因素:性能和計(jì)算機(jī)容量要求;錯(cuò)誤恢復(fù)和重新啟動(dòng)的步驟,以及應(yīng)急方案;預(yù)備和檢驗(yàn)常規(guī)的操作程序,使之成為確定標(biāo)準(zhǔn)；認(rèn)可的平安把握投入使用；有效的人工方法；業(yè)務(wù)連續(xù)性布置（按11.1要求)安裝新系統(tǒng)不會(huì)對(duì)現(xiàn)有系統(tǒng)產(chǎn)生負(fù)面影響的事實(shí),尤其在高峰處理時(shí)間(比如月末)；新系統(tǒng)給組織的整體平安帶來影響的事實(shí);操作或使用新系統(tǒng)的培訓(xùn)。對(duì)于重要的新技術(shù)進(jìn)展，運(yùn)營部門和用戶應(yīng)關(guān)注進(jìn)展過程的每個(gè)階段,確保被提議的系統(tǒng)設(shè)計(jì)具有很高的操作效率。執(zhí)行適當(dāng)?shù)臋z驗(yàn)測試可以確認(rèn)全部驗(yàn)收標(biāo)準(zhǔn)是否完全達(dá)到。防止惡意軟件目標(biāo):愛護(hù)軟件和信息的完整性。防范措施可以防止和檢測到惡意軟件的入侵,因此不行缺少。軟件和信息處理設(shè)施易受惡意軟件的攻擊,比如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬(另請(qǐng)參見)和規(guī)律炸彈。應(yīng)提示用戶警覺未授權(quán)軟件或惡意軟件的危急,并且管理員應(yīng)適當(dāng)?shù)匾胩厥獾陌盐帐侄螜z測或防范這些軟件的侵襲。尤其是，實(shí)行防范措施檢查和預(yù)防個(gè)人計(jì)算機(jī)上的計(jì)算機(jī)病毒是必不行少的。惡意軟件的把握措施應(yīng)執(zhí)行防范惡意軟件的檢測和預(yù)防把握措施以及適當(dāng)?shù)耐ㄖ脩舻姆椒ā阂廛浖姆婪洞胧?yīng)依據(jù)平安意識(shí)、適當(dāng)?shù)南到y(tǒng)訪問和變更管理把握來制定。應(yīng)考慮以下把握措施：一個(gè)正式策略，要求遵守軟件許可,禁止使用未授權(quán)的軟件（參見)；一個(gè)正式策略，防范與從外部網(wǎng)絡(luò)或經(jīng)外部網(wǎng)絡(luò),或者在其它介質(zhì)上獵取文件和軟件相關(guān)的風(fēng)險(xiǎn)，指明應(yīng)實(shí)行什么防范措施(另請(qǐng)參閱10.5,特殊是1０.5．4和)。安裝并定期更新抗病毒的檢測和修復(fù)軟件來檢查計(jì)算機(jī)和其它介質(zhì)，將它作為一種預(yù)防把握手段或者常規(guī)手段;定期檢查支持關(guān)鍵業(yè)務(wù)進(jìn)程的系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容；正式調(diào)查未許可文件或未授權(quán)修改的消滅狀況；在使用前檢查電子媒介上的全部文件是否有未確定的或未授權(quán)的來源，或者檢查通過非置信網(wǎng)絡(luò)接收的文件是否有病毒;在使用前檢查全部電子郵件附件和下載內(nèi)容是否有惡意軟件；檢查可以在不同的地方進(jìn)行，例如電子郵件服務(wù)器、臺(tái)式計(jì)算機(jī)或者在進(jìn)入組織的網(wǎng)絡(luò)的時(shí)候；執(zhí)行系統(tǒng)病毒防護(hù)的管理步驟和責(zé)任,使用防范措施的培訓(xùn),報(bào)告病毒攻擊并從攻擊中恢復(fù)（參閱6.３和)。適當(dāng)?shù)膹牟《竟糁谢謴?fù)的業(yè)務(wù)連續(xù)性方案,包括全部需要的數(shù)據(jù)和軟件備份和恢復(fù)支配(參閱條款１1);檢驗(yàn)與惡意軟件有關(guān)的全部信息并確保警告公告精確和具體的方法。管理員應(yīng)確保使用合格來源（例如，有名雜志、可信Iｎｔerｎet站點(diǎn)或反病毒軟件供應(yīng)商）來識(shí)別哪些是惡作劇而哪些是真正的病毒。應(yīng)讓職員了解惡作劇的問題，并告知他們在收到這類軟件時(shí)如何處理；在網(wǎng)絡(luò)文件服務(wù)器支持大量的工作站時(shí),這些把握措施尤為重要。內(nèi)務(wù)處理目標(biāo)：維護(hù)信息處理和通信服務(wù)的完整性和可用性。建立常規(guī)的步驟執(zhí)行統(tǒng)一的備份策略（參閱１1.1)，備份多個(gè)數(shù)據(jù)副本并練習(xí)準(zhǔn)時(shí)恢復(fù)數(shù)據(jù)、記錄大事和錯(cuò)誤，并且在適當(dāng)?shù)臅r(shí)候監(jiān)視設(shè)備環(huán)境。信息備份應(yīng)定期備份數(shù)個(gè)核心業(yè)務(wù)信息和軟件的副本。擁有足夠的備份設(shè)備可以確保在發(fā)生災(zāi)難或介質(zhì)故障后能夠恢復(fù)全部關(guān)鍵業(yè)務(wù)信息和軟件。應(yīng)定期檢測各個(gè)系統(tǒng)的備份支配,確保他們符合業(yè)務(wù)連續(xù)性方案的要求(參見條款1１)。應(yīng)考慮以下指導(dǎo)方針。最基本的備份信息以及完整精確的備份副本記錄和文檔化的恢復(fù)步驟應(yīng)儲(chǔ)存在一個(gè)很遠(yuǎn)的位置,這個(gè)位置足可以避開受主站點(diǎn)的災(zāi)難波及。對(duì)于重要的業(yè)務(wù)應(yīng)用程序應(yīng)保留至少三代或三個(gè)周期的備份信息。備份信息應(yīng)賜予適當(dāng)級(jí)別的物理和環(huán)境愛護(hù)(參見條款7),這個(gè)級(jí)別和主站點(diǎn)應(yīng)用的標(biāo)準(zhǔn)全都。對(duì)主站點(diǎn)應(yīng)用的把握應(yīng)擴(kuò)展到掩蓋備份站點(diǎn)。定期測試備份介質(zhì),在的確可行的狀況下確保在需要緊急使用時(shí)可以依靠它們。定期檢查和測試復(fù)原步驟，確保它們不僅有效,而且能夠在恢復(fù)操作步驟安排的時(shí)間內(nèi)完成。打算關(guān)鍵業(yè)務(wù)信息的保留時(shí)間，并且確定永久保留的歸檔副本的要求(參閱）。操作人員日志操作人員應(yīng)保留他們活動(dòng)的日志記錄。依據(jù)需要，日志記錄應(yīng)包括:系統(tǒng)啟動(dòng)和結(jié)束時(shí)間;系統(tǒng)錯(cuò)誤和實(shí)行的訂正措施；確認(rèn)正確處理數(shù)據(jù)文件和計(jì)算機(jī)輸出;建立日志條目的人員姓名。應(yīng)依據(jù)操作步驟對(duì)操作人員的日志記錄定期進(jìn)行獨(dú)立的檢查。錯(cuò)誤日志記錄應(yīng)報(bào)告錯(cuò)誤并實(shí)行措施予以訂正。應(yīng)記錄用戶報(bào)告的關(guān)于信息處理或通信系統(tǒng)故障的錯(cuò)誤。應(yīng)有一個(gè)明確的處理報(bào)告的錯(cuò)誤的規(guī)章,包括：ａ）審查錯(cuò)誤日志,確保錯(cuò)誤已經(jīng)得到滿足的解決;ｂ)審查訂正措施,確保沒有違反把握措施，并且實(shí)行的行動(dòng)都得到充分的授權(quán)。網(wǎng)絡(luò)管理目標(biāo):保證網(wǎng)絡(luò)信息平安,愛護(hù)支持性的體系結(jié)構(gòu)?？赡芸缭浇M織邊界的網(wǎng)絡(luò)平安管理需要特殊的關(guān)注。而且可能還需要其它補(bǔ)充把握措施來愛護(hù)通過公共網(wǎng)絡(luò)傳送的敏感數(shù)據(jù)。網(wǎng)絡(luò)把握措施獲得并維護(hù)網(wǎng)絡(luò)平安需要一系列把握措施。網(wǎng)絡(luò)管理員應(yīng)執(zhí)行把握措施確保網(wǎng)絡(luò)中的數(shù)據(jù)平安,并愛護(hù)連接的服務(wù)避開非法訪問。尤其，應(yīng)考慮以下各項(xiàng)。依據(jù)需要,應(yīng)將網(wǎng)絡(luò)的操作職責(zé)和計(jì)算機(jī)的操作職責(zé)分別。應(yīng)制定遠(yuǎn)程設(shè)備(包括用戶區(qū)域的設(shè)備)的管理職責(zé)和程序。假如需要,應(yīng)指定特殊的把握措施愛護(hù)通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的機(jī)密性和完整性，并愛護(hù)連接的系統(tǒng)(參見9．4和1０．３）。可能還需要特殊的把握措施維護(hù)網(wǎng)絡(luò)服務(wù)和所連接的計(jì)算機(jī)的可用性。管理活動(dòng)應(yīng)親密協(xié)調(diào),優(yōu)化為業(yè)務(wù)供應(yīng)的服務(wù),確保把握措施在整個(gè)信息處理基礎(chǔ)結(jié)構(gòu)中應(yīng)用全都。介質(zhì)處理與平安目標(biāo)：防止資產(chǎn)受損以及業(yè)務(wù)活動(dòng)中斷。應(yīng)把握介質(zhì)并對(duì)其進(jìn)行物理愛護(hù)。應(yīng)制定適當(dāng)?shù)牟僮鞑襟E來愛護(hù)文檔、計(jì)算機(jī)介質(zhì)(磁帶、磁盤和盒式磁帶）、輸入/輸出數(shù)據(jù)和系統(tǒng)文檔避開損壞、盜竊和非法訪問。計(jì)算機(jī)活動(dòng)介質(zhì)的管理應(yīng)當(dāng)制定對(duì)計(jì)算機(jī)活動(dòng)介質(zhì)（如磁帶、磁盤、盒式磁帶以及打印報(bào)告)的管理的方法。應(yīng)考慮以下指導(dǎo)方針。假如不再需要,應(yīng)當(dāng)清除再可重復(fù)使用的介質(zhì)上要?jiǎng)h除的內(nèi)容。刪除介質(zhì)中的組織內(nèi)容需要得到批準(zhǔn),并且為維護(hù)審計(jì)追蹤應(yīng)當(dāng)保留全部這類刪除的記錄。全部介質(zhì)應(yīng)保存在一個(gè)平安保險(xiǎn)的環(huán)境里,并符合制造商的要求。應(yīng)明確記錄全部的步驟和授權(quán)級(jí)別。介質(zhì)處置介質(zhì)不再需要使用時(shí)應(yīng)對(duì)其進(jìn)行平安牢靠的處置。介質(zhì)處置不認(rèn)真可能會(huì)將敏感信息泄露給外人。為削減風(fēng)險(xiǎn)，應(yīng)建立平安處置介質(zhì)的正式步驟。應(yīng)考慮以下指導(dǎo)方針。保存敏感信息的介質(zhì)應(yīng)當(dāng)進(jìn)行平安保險(xiǎn)的保存和處置,例如燒毀或粉碎，或者在組織內(nèi)的其它應(yīng)用使用前清空數(shù)據(jù)。以下列表確定可能需要平安處置的項(xiàng):書面文檔;聲音或其它記錄;復(fù)寫紙;輸出報(bào)告；一次性使用打印色帶；磁帶;活動(dòng)磁盤或盒式磁帶;光存儲(chǔ)介質(zhì)（各種形式并包括全部制造商軟件分發(fā)介質(zhì))；程序清單;測試數(shù)據(jù);系統(tǒng)文檔。支配平安收集和處置全部介質(zhì)項(xiàng)比試圖分別敏感項(xiàng)要簡潔得多。很多組織供應(yīng)收集和處置紙張、設(shè)備和介質(zhì)的服務(wù)。謹(jǐn)慎選擇把握大量把握措施并具有閱歷的合格合同商。應(yīng)盡可能記錄對(duì)敏感項(xiàng)的處置，保留審計(jì)追蹤。在積累處置的介質(zhì)時(shí),應(yīng)考慮聚集效應(yīng)可能導(dǎo)致大量未分類信息比少量分類信息變得更加把握。信息處理程序?yàn)榱藧圩o(hù)此類信息免患病非法公開或?yàn)E用,應(yīng)當(dāng)制定信息處理和存儲(chǔ)程序。應(yīng)制定處理信息的方法步驟，并且與以下分類（參見5.２）全都:文檔、計(jì)算系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)計(jì)算、移動(dòng)通信、郵件、語音郵件、一般語音通信、多媒體、郵寄服務(wù)／設(shè)施、傳真機(jī)使用和其他任何敏感項(xiàng)(例如空白支票、發(fā)票等）。應(yīng)考慮以下各項(xiàng)(另請(qǐng)參見5．２和）:處理和標(biāo)記全部介質(zhì)（另請(qǐng)參見a）;訪問限制,以確定未授權(quán)人員的身份；維護(hù)授權(quán)人員接收數(shù)據(jù)的正式記錄；確保輸入數(shù)據(jù)完整,妥當(dāng)完成處理和應(yīng)用輸出驗(yàn)證;愛護(hù)正在等待輸出的假脫機(jī)數(shù)據(jù)與其敏感度全都;在符合生產(chǎn)商要求的環(huán)境中儲(chǔ)存介質(zhì);保持?jǐn)?shù)據(jù)分布的最低水平;清楚標(biāo)記全部數(shù)據(jù)副本,提示合法接收者留意；定期檢查分布列表和合法接收人員的列表。系統(tǒng)文檔的平安系統(tǒng)文檔可以包含一系列的敏感信息,例如對(duì)應(yīng)用程序進(jìn)程、過程、數(shù)據(jù)結(jié)構(gòu)和授權(quán)程序的說明(另請(qǐng)參見９.１)應(yīng)考慮以下把握措施來愛護(hù)系統(tǒng)文檔不受非法訪問。應(yīng)平安儲(chǔ)存系統(tǒng)文檔。系統(tǒng)文檔的訪問列表應(yīng)讓少數(shù)知道,使用需經(jīng)過應(yīng)用程序全部者授權(quán)。保留在公共網(wǎng)絡(luò)上或通過公共網(wǎng)絡(luò)供應(yīng)的系統(tǒng)文檔應(yīng)妥當(dāng)愛護(hù)。信息和軟件交換目標(biāo):防止組織間交換信息時(shí)信息受損、修改或?yàn)E用。應(yīng)把握組織間的信息和軟件的交換，并且交換應(yīng)符合有關(guān)立法(參見條款１2）。執(zhí)行交換應(yīng)在雙方意見全都的狀況下進(jìn)行。應(yīng)制定愛護(hù)信息和傳輸介質(zhì)的方法和標(biāo)準(zhǔn)。應(yīng)考慮與電子數(shù)據(jù)交換、電子商務(wù)和電子郵件有關(guān)的業(yè)務(wù)和平安以及對(duì)把握措施的要求。信息和軟件交換協(xié)議為了便于組織間以電子方式或手工方式交換信息和軟件,應(yīng)當(dāng)簽署協(xié)議，有些協(xié)議可以為正式協(xié)議，適當(dāng)?shù)臅r(shí)候還包括軟件第三方協(xié)議。這些協(xié)議的內(nèi)容應(yīng)反映有關(guān)業(yè)務(wù)信息的敏感度。應(yīng)考慮有關(guān)平安條件的協(xié)議：把握和通知傳播、發(fā)送和接收的管理責(zé)任;通知發(fā)送方、傳輸、發(fā)送和接收的步驟程序;打包和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn)；投遞者標(biāo)識(shí)標(biāo)準(zhǔn)；丟失數(shù)據(jù)的責(zé)任和償還；為敏感或關(guān)鍵信息使用認(rèn)可的標(biāo)記方法,確保標(biāo)記方式易于理解并且信息得到妥當(dāng)愛護(hù);信息和軟件的全部權(quán)以及數(shù)據(jù)愛護(hù)的責(zé)任、軟件版權(quán)規(guī)定和類似因素(參見和）。記錄和閱讀信息和軟件的技術(shù)標(biāo)準(zhǔn);愛護(hù)敏感數(shù)據(jù)需要的特殊把握措施，例如加密密鑰(參見)。傳輸中介質(zhì)的平安在實(shí)際傳輸過程中,信息簡潔受到非法訪問、濫用或破壞,比如在通過郵局服務(wù)或速遞公司發(fā)送介質(zhì)的時(shí)候。應(yīng)使用以下把握措施來愛護(hù)在站點(diǎn)之間傳送的計(jì)算機(jī)介質(zhì)。使用牢靠的傳輸工具或投遞人。授權(quán)的投遞人應(yīng)接受管理并進(jìn)行投遞人身份檢查。包裝應(yīng)當(dāng)格外牢固，可以愛護(hù)里面內(nèi)容不受運(yùn)輸過程中可能發(fā)生的事故造成損壞,并符合生產(chǎn)商的說明。需要的時(shí)候?qū)嵭刑厥獾陌盐沾胧圩o(hù)敏感數(shù)據(jù)免遭非法公開或修改。示例包括:使用加鎖容器；手工運(yùn)送;加固包裝(暴露任何訪問的企圖);在特殊狀況下,可以將運(yùn)輸分幾次完成并選擇不同的發(fā)送路線。電子商務(wù)平安電子商務(wù)包括使用電子數(shù)據(jù)交換(EＤＩ)、電子郵件和通過公共網(wǎng)絡(luò)如Inteｒｎｅt在線交易。電子商務(wù)易受網(wǎng)絡(luò)威逼的攻擊，可能會(huì)導(dǎo)致欺詐活動(dòng)、合同糾紛以及泄露或修改信息。應(yīng)使用把握措施愛護(hù)電子商務(wù)不受這類威逼。電子商務(wù)的平安考慮應(yīng)包括以下：驗(yàn)證。顧客和商家在相互確定身份上應(yīng)當(dāng)要求什么樣的保密程度?授權(quán)。向誰授權(quán)制定價(jià)格、發(fā)出或簽署關(guān)鍵的交易文件？交易伙伴如何了解？合同和投標(biāo)程序。在發(fā)送和接收關(guān)鍵文檔和認(rèn)可合同的保密性、完整性和證據(jù)有什么要求?定價(jià)信息。在公開的價(jià)目表上包含什么級(jí)別的信用和敏感折扣的機(jī)密?定單交易。如何供應(yīng)定單的保密性和完整性,付款和運(yùn)輸?shù)刂沸畔⒑褪肇洿_認(rèn)書？檢查。檢查顧客供應(yīng)的付款信息的適宜度如何？結(jié)算。最適合防止欺詐的付款形式是什么?定購要求。維護(hù)訂購信息的機(jī)密性和完整性，以及避開丟失或重復(fù)交易,需要實(shí)行什么愛護(hù)？責(zé)任。誰擔(dān)當(dāng)欺詐交易的風(fēng)險(xiǎn)？通過應(yīng)用１０．３總結(jié)的加密技術(shù)就可以解決以上很多問題,而且還考慮到符合法律要求(參見12.１,特殊是關(guān)于加密立法的１2.１.6）。交易伙伴之間的電子商務(wù)協(xié)議還應(yīng)當(dāng)需要規(guī)定各方同意的交易條款的文檔協(xié)議來支持,包括授權(quán)[參見上述b）］?？赡苓€需要與信息服務(wù)供應(yīng)商和增值網(wǎng)絡(luò)運(yùn)營商的協(xié)議。公共交易系統(tǒng)應(yīng)向顧客公布經(jīng)營條件。還應(yīng)當(dāng)考慮化解對(duì)用于電子商務(wù)的主機(jī)的攻擊，以及實(shí)施網(wǎng)絡(luò)互連需要的平安(參見）。電子郵件平安平安風(fēng)險(xiǎn)電子郵件正在用于業(yè)務(wù)通信溝通,正在取代傳統(tǒng)的溝通形式例如電傳和信函。電子郵件和傳統(tǒng)的業(yè)務(wù)通信方式的區(qū)分在于它的速度、信息結(jié)構(gòu)、信息具體程度和抵制非法使用的脆弱性。應(yīng)考慮實(shí)行把握措施來削減電子郵件帶來的平安風(fēng)險(xiǎn)。平安風(fēng)險(xiǎn)包括:存在非法訪問或變更或拒絕服務(wù)的漏洞;無力防止錯(cuò)誤消滅，例如錯(cuò)誤的地址或方向,以及一般的服務(wù)牢靠性和可用性;在業(yè)務(wù)流程中通信介質(zhì)變化的影響,例如增加發(fā)送的效果或從個(gè)人到個(gè)人與公司到公司發(fā)送正式消息的效果不同；法律因素,例如可能需要原始證