信息安全管理標(biāo)準(zhǔn)

信息安全管理標(biāo)準(zhǔn)WorldwideStandardsHavingtroublelocatinganoverseasstandard?BSIhasthesolutionWITHBSI,YOURSEARCHISOVERBEFOREIT,SEVENBEGUNWorldwideStandardsDirectisthefast,cost-effectivestandardsservice.Contactuson:Informationsecuritymanagement一Part1:Codeofpracticeforinformationsecuritymanagement信息安全治理標(biāo)準(zhǔn)第一部分:信息安全治理慣例名目WorldwideStandards2Havingtroublelocatinganoverseasstandard?BSIhasthesolution2WITHBSI,YOURSEARCHISOVERBEFOREIT'SEVENBEGUN2第一部分:信息安全治理慣例 4序18簡介19什么是信息安全?19什么緣故需要信息安全 19如何制定安全需求20評估信息風(fēng)險20安全操縱的選擇21信息安全的動身點22重要的成功因素22開發(fā)你自己的指導(dǎo)方針 23.范疇23.術(shù)語與定義23信息安全23風(fēng)險評估 23風(fēng)險治理23.安全策略24信息安全策略24信息安全策略文件 24復(fù)審及評估24.安全組織25息安全架構(gòu)25治理信息安全論壇25信息安全的和諧25信息安全責(zé)任的分配26息處理設(shè)備的授權(quán)步驟27信息安全專家的意見27組織之間的合作27信息安全的獨立復(fù)審28第三方訪咨詢的安全28確認(rèn)第三方訪咨詢的風(fēng)險29訪咨詢的種類29訪咨詢的緣故29.3現(xiàn)場合同方294.2.2第三方合同的安全要求304.3外包服務(wù)31外包合同的安全要求31.資產(chǎn)分類與操縱32資產(chǎn)的使用講明32資產(chǎn)清單32信息分類33分類的指南33信息標(biāo)注及處理33.人員安全34崗位定義及資源分配的安全34崗位責(zé)任的安全34人事過濾及策略35保密協(xié)議35雇傭條款36用戶培訓(xùn)36信息安全教育及培訓(xùn)36安全事件及失常的反應(yīng)措施36報告安全事件37報告安全的弱點37報告系統(tǒng)的故障37吸取教訓(xùn)38處罰程序38.物理與環(huán)境的安全38安全區(qū)域38物理安全地帶38物理入口的操縱39愛護辦公室、房間及設(shè)備39在安全地帶工作40隔離的交付及裝載地點41設(shè)備的安全41設(shè)備的放置及愛護 42電カ的供應(yīng)42電纜線路的安全43設(shè)備的愛護 43設(shè)備離開大廈的安全44設(shè)備的安全清除或重用44ー樣操縱45收拾桌子及清除屏幕的策略45財物的搬遷46.通訊與操作的治理46操作步驟及責(zé)任46文檔化操作程序46操作變動的操縱47安全事件治理程序 47責(zé)任分開制48開發(fā)及正式使用設(shè)備的分開48外部設(shè)備的治理49系統(tǒng)規(guī)劃及接收 50儲存量的打算50系統(tǒng)接收50應(yīng)付惡意軟件51操縱惡意軟件51備份及復(fù)原性常務(wù)治理52信息備份53操作員日志53對錯誤進行記錄53網(wǎng)絡(luò)治理54網(wǎng)絡(luò)操縱54介質(zhì)的處理與安全54可移動運算機介質(zhì)的治理 55介質(zhì)的清除55信息處理的程序56系統(tǒng)講明文檔的安全56信息與軟件的交換57信息及軟件交換協(xié)議57傳遞中介質(zhì)的安全57電子商務(wù)的安全58電子郵件的安全59安全風(fēng)險 59電子郵件的策略59電子辦公室系統(tǒng)的安全60可公用的系統(tǒng)60其它形式的信息交換61TOC\o"1-5"\h\z.訪咨詢操縱 62訪咨詢操縱的業(yè)務(wù)需求62訪咨詢操縱策略62策略及業(yè)務(wù)需求 62訪咨詢操縱規(guī)定 63用戶訪咨詢的治理63用戶登記63特權(quán)治理64用戶ロ令的治理65用戶訪咨詢權(quán)限的檢查65用戶責(zé)任65口令的使用66無人看管的用戶設(shè)備66網(wǎng)絡(luò)訪咨詢操縱67網(wǎng)絡(luò)服務(wù)的使用策略67強制式路徑67外部連接的用戶認(rèn)證68網(wǎng)點認(rèn)證69遠(yuǎn)程診斷端口的愛護69網(wǎng)絡(luò)的隔離69網(wǎng)絡(luò)連接操縱70網(wǎng)絡(luò)路由的操縱70網(wǎng)絡(luò)服務(wù)的安全71操作系統(tǒng)的訪咨詢操縱 71自動認(rèn)證終端71952終端的登錄程序72953用戶標(biāo)識及認(rèn)證72ロ令治理系統(tǒng)73系統(tǒng)工具的使用74為保證安全的人員配備強迫警鐘 ?4終端超時74連接時刻的限制75應(yīng)用系統(tǒng)的訪咨詢操縱 75信息訪咨詢的限制75敏銳系統(tǒng)的隔離76系統(tǒng)訪咨詢和使用的監(jiān)控76事件記錄76監(jiān)控系統(tǒng)的使用77風(fēng)險的程序及區(qū)域779.722風(fēng)險因素77對事件進行日志記錄和審查78時鐘的同步78移動操作及遠(yuǎn)程辦公78移動操作79遠(yuǎn)程工作80.系統(tǒng)開發(fā)與愛護82系統(tǒng)的安全要求82安全要求分析及規(guī)格82應(yīng)用系統(tǒng)中的安全82輸入數(shù)據(jù)的核實83內(nèi)部處理的操縱83有風(fēng)險的地點83檢查及操縱83消息認(rèn)證841024輸出數(shù)據(jù)的核實84密碼操縱85密碼操縱的使用策略 85加密85數(shù)字簽名86不可抵賴服務(wù)87密鑰治理87密鑰的愛護87標(biāo)準(zhǔn),程序及方法87系統(tǒng)文件的安全88運行軟件的操縱89系統(tǒng)測試數(shù)據(jù)的愛護 89源程序庫的訪咨詢操縱89開發(fā)及支持程序的安全90改動操縱程序 90操作系統(tǒng)改動的技術(shù)檢查91更換軟件包的限制91隱藏通道及特洛伊代碼92外包軟件的開發(fā)92.業(yè)務(wù)連續(xù)性治理93關(guān)于業(yè)務(wù)連續(xù)性治理93業(yè)務(wù)連續(xù)性治理的過程93業(yè)務(wù)連續(xù)性及阻礙的分析94撰寫及實施連續(xù)性打算94業(yè)務(wù)連續(xù)性打算的框架94測試、愛護及重新評估業(yè)務(wù)連續(xù)性打算95測試該打算95愛護及重新評估該打算96.遵循性 97是否遵守法律97確定適用的法律97知識產(chǎn)權(quán)97版權(quán)97軟件版權(quán)97保證機構(gòu)的記錄98數(shù)據(jù)愛護及個人信息的隱私99防止信息處理設(shè)備被濫用99密碼操縱的規(guī)定100證據(jù)的收集100證據(jù)的規(guī)則!00證據(jù)的適用性101證據(jù)的質(zhì)量和完備性101核對安全策略及技術(shù)合格性101與安全策略一致102技術(shù)依從性的檢查!02系統(tǒng)審計的考慮103系統(tǒng)審計操縱!03對系統(tǒng)審計工具的愛護103第二部分:信息安全治理系統(tǒng)的規(guī)范105疇105語與定義 105息安全治理系統(tǒng)的要求105概要105建立一個治理架構(gòu)105實施!05文檔105文檔操縱 !06記錄1064.詳細(xì)監(jiān)控I07安全策略107信息安全策略 107信息安全策略文檔107檢查和評判!07安全組織!07信息安全基礎(chǔ)設(shè)施107治理層信息安全論壇!07信息安全的和諧107信息安全職責(zé)的分配107信息處理設(shè)施的授權(quán)過程107專家信息安全建議!08各機構(gòu)之間的協(xié)作108信息安全的獨立檢查108第三方訪咨詢的安全 108第三方訪咨詢的風(fēng)險的識不108在第三方合同中的安全要求108外部采購!08在外購合同中的安全要求108資產(chǎn)分類與操縱!08資產(chǎn)的可講明性108資產(chǎn)的盤點108信息分類108分類方針 !09信息標(biāo)簽和處理 109人員安全109工作定義和資源中的安全109工作責(zé)任的安全I09職員選擇和策略109保密協(xié)議109雇傭的條款和條件109用戶培訓(xùn)!09信息安全教育和培訓(xùn)!09安全事故與故障的處理109報告突發(fā)安全事故110報告安全弱點110報告軟件故障110從事故中吸取教訓(xùn)110糾正過程110物理與環(huán)境的安全110安全地區(qū)110物理安全邊界110物理接口操縱110愛護辦公室、房間和設(shè)施110在安全地區(qū)工作110隔離的運輸和裝載地區(qū)110設(shè)備安全110設(shè)備放置地點的選擇與愛護111電源供應(yīng)111電纜安全111設(shè)備愛護111在機構(gòu)外部使用設(shè)備時應(yīng)注意的安全性111設(shè)備應(yīng)該被安全地處理掉和再使用111ー樣操縱111清潔桌面與清潔屏幕策略111資產(chǎn)的刪除111通訊與操作的治理111操作過程與職責(zé)111記錄操作過程111針對操作變化的操縱112事件治理程序112職責(zé)分離112開發(fā)設(shè)施與操作設(shè)施的分離112外部設(shè)施治理112系統(tǒng)打算與驗收!12容量打算112系統(tǒng)驗收112針對惡意軟件的防護112釆取操縱來防范惡意軟件112內(nèi)務(wù)處理112信息備份!13操作員日志113出錯日志113網(wǎng)絡(luò)治理113網(wǎng)絡(luò)操縱113介質(zhì)處理和安全113運算機可移動介質(zhì)的治理113介質(zhì)處理113信息處理程序113系統(tǒng)文檔的安全113信息及軟件的交換113信息和軟件的交流協(xié)議113傳輸過程中的介質(zhì)安全114電子商務(wù)安全114電子郵件安全114電子辦公系統(tǒng)的安全114信息公布系統(tǒng)的安全114其它方式的信息交換114訪咨詢操縱!14訪咨詢操縱的商業(yè)需求114訪咨詢操縱策略114用戶訪咨詢治理114用戶注冊114特權(quán)治理115用戶ロ令治理115用戶訪咨詢權(quán)限審查115用戶職責(zé)!15口令的使用115易被忽略的用戶設(shè)備115網(wǎng)絡(luò)訪咨詢操縱115網(wǎng)絡(luò)服務(wù)的使用策略115增強的路徑115外部連接的用戶認(rèn)證115節(jié)點認(rèn)證!15對遠(yuǎn)程診斷端口的愛護115網(wǎng)絡(luò)隔離115網(wǎng)絡(luò)連接操縱116網(wǎng)絡(luò)路由操縱116網(wǎng)絡(luò)服務(wù)的安全性116操作系統(tǒng)訪咨詢操縱116自動終端認(rèn)證116終端登錄過程116用戶標(biāo)識和認(rèn)證116ロ令治理系統(tǒng)116系統(tǒng)工具的使用116用警告信息愛護用戶116終端超時116連接時刻的限制 117應(yīng)用系統(tǒng)的訪咨詢操縱117信息訪咨詢限制 117敏銳系統(tǒng)的隔離117監(jiān)控對系統(tǒng)的訪咨詢和使用117事件日志117監(jiān)控對系統(tǒng)的使用情形117時鐘同步117移動運算與遠(yuǎn)程工作117移動運算117遠(yuǎn)程工作117系統(tǒng)開發(fā)與愛護118系統(tǒng)的安全需求!18安全需求分析與描述118應(yīng)用系統(tǒng)的安全118對輸入數(shù)據(jù)進行有效性確認(rèn)118對內(nèi)部處理的操縱118消息認(rèn)證!18對輸出數(shù)據(jù)進行有效性確認(rèn)118密碼操縱!18密碼操縱的使用策略118加密118數(shù)字簽名118不可否認(rèn)服務(wù)118密鑰治理118系統(tǒng)文件的安全性119對業(yè)務(wù)軟件的操縱119對系統(tǒng)測試數(shù)據(jù)的愛護 119對程序源代碼庫的訪咨詢操縱119在軟件開發(fā)與支持過程中的安全性119變化操縱程序119針對操作系統(tǒng)變化的技術(shù)審查119限制對軟件包的修改119隱藏信道和特洛依木馬代碼119外包軟件開發(fā)119TOC\o"1-5"\h\z業(yè)務(wù)連續(xù)性治理 119業(yè)務(wù)連續(xù)性治理的各個方面 119業(yè)務(wù)連續(xù)性治理的進程 120業(yè)務(wù)連續(xù)性與阻礙分析 120連續(xù)性打算的撰寫與實施120業(yè)務(wù)連續(xù)性打算的框架120測試、愛護與重新評估業(yè)務(wù)連續(xù)性打算120遵循性!20與法律要求的一致性120識不適用的立法120知識產(chǎn)權(quán)120愛護機構(gòu)的文檔記錄120數(shù)據(jù)愛護與個人信息隱私120防止信息處理設(shè)備的誤用 120密碼操縱制度!21證據(jù)收集121安全策略與技術(shù)遵循性的復(fù)審 121與安全策略的一致性121技術(shù)遵循性檢查121系統(tǒng)審計的考慮121系統(tǒng)審計操縱121系統(tǒng)審計工具的愛護121序BS7799的那個部分是在BSI/DISC委員會BDD/2一信息安全治理部監(jiān)督下完成的,用來代替BS77991995.BS7799分兩部分公布:ー第一部分:信息安全治理慣例ー第二部分:信息安全治理規(guī)范簡介什么是信息安全?信息是一家機構(gòu)的資產(chǎn),與其它資產(chǎn)ー樣,應(yīng)受到愛護。信息安全的作用是愛護信息不受大范疇威逼所干擾,使機構(gòu)業(yè)務(wù)能夠暢順,減少缺失及提供最大的投資回報和商機。信息能夠有多種存在方式,能夠?qū)懺诩埳?、儲存在電子文檔里,也能夠用郵遞或電子手段發(fā)送,能夠在電影上放映或者講話中提到。不管信息以何種方式表示、共享和儲備,都應(yīng)當(dāng)適當(dāng)?shù)貝圩o起來。因此信息安全的特點是保留信息的如下特性:保密性(confdentiality):保證信息只讓合法用戶訪咨詢;完整性(integrity):保證信息及其處理方法的準(zhǔn)確性(accuracy),完全性(completeness)；可用性(availability)：保證合法用戶在需要時能夠訪咨詢到信息及有關(guān)資產(chǎn)。實現(xiàn)信息安全要有一套合適的操縱(controls),如策略(policies)、慣例(practices)、程序(procedures)、組織的機構(gòu)(organizationalstructures)和軟件功能(softwarefunctions)〇這些操縱需要被建立以保證機構(gòu)的安全目標(biāo)能夠最終實現(xiàn)。什么緣故需要信息安全信息及其支持進程、系統(tǒng)和網(wǎng)絡(luò)是機構(gòu)的重要資產(chǎn)。信息的保密性、完整性和可用性對機構(gòu)保持競爭能力、現(xiàn)金流、利潤、守法及商業(yè)形象至關(guān)重要。但機構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對來自四面八方的威逼,如運算機輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。缺失的來源如運算機病毒、運算機黑客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜。機構(gòu)對信息系統(tǒng)及服務(wù)的依靠意味著更容易受到攻擊。公網(wǎng)和專網(wǎng)的互聯(lián)以及信息資源的共享增加了訪咨詢操縱的難度。分布式運算的趨勢差不多削弱了集中治理的成效。專門多信息系統(tǒng)沒有設(shè)計得專門安全。利用技術(shù)手段獲得的安全是受限制的,因而還應(yīng)該得到相應(yīng)治理和程序的支持。選擇使用那些安全操縱需要事前小心周密打算和對細(xì)節(jié)的關(guān)注。信息安全治理至少需要機構(gòu)全體職員的參與,同時也應(yīng)讓供應(yīng)商、客戶或股東參與,如果有必要,能夠向外界尋求專家的建議。對信息安全的操縱如果融合到需求分析和系統(tǒng)設(shè)計時期,則成效會更好,成本也更廉價。如何制定安全需求識不出ー個機構(gòu)的安全需求是專門重要的。安全需求有三個要緊來源。第一個來源是對機構(gòu)面臨的風(fēng)險的評估。通過評估風(fēng)險后,便能夠找出對機構(gòu)資產(chǎn)安全的威逼,對漏洞及其顯現(xiàn)的可能性以及造成多大缺失有個估量。第二個來源是機構(gòu)與合作伙伴、供應(yīng)商及服務(wù)提供者共同遵守的法律、法令、規(guī)例及合約條文的要求。第三個來源是機構(gòu)為業(yè)務(wù)正常運作所專門制定的原則、目標(biāo)及信息處理的規(guī)定。評估安全風(fēng)險安全需求通過系統(tǒng)地評估安全風(fēng)險而得到確認(rèn)。實現(xiàn)安全操縱的費用應(yīng)該與由于安全失敗所導(dǎo)致的業(yè)務(wù)缺失之間取得平穩(wěn)。風(fēng)險評估能夠在整個機構(gòu)或機構(gòu)的一部分、單個信息系統(tǒng)、某個系統(tǒng)部件或服務(wù)上實行,只要是可行的、現(xiàn)實的和有益的就能夠了。風(fēng)險評估是系統(tǒng)地考慮下列內(nèi)容的結(jié)果:a）安全措施失效后所造成的業(yè)務(wù)缺失,要考慮到信息和其它資產(chǎn)失去保密性、完整性和可用性后的潛在后果;b）最常見的威逼、漏洞以及最近實施的安全操縱失敗的現(xiàn)實可能性。評估結(jié)果會有助于指導(dǎo)和確定合適的治理行動和治理信息安全風(fēng)險的優(yōu)先次序,以及實施選擇的來抵御這些風(fēng)險的合適的安全操縱。風(fēng)險評估及安全操縱的選擇的進程可能要重復(fù)幾次,以便覆蓋機構(gòu)不同部門或個不信息系統(tǒng)。重要的是要定期復(fù)審安全風(fēng)險和實施的安全操縱,以便:a）考慮業(yè)務(wù)需求和優(yōu)先級的變化;b）考慮新顯現(xiàn)的威逼與漏洞;c）確認(rèn)安全操縱仍舊有效同時合適。復(fù)審應(yīng)該在不同深度上被執(zhí)行,這依靠于往常的復(fù)審結(jié)果和治理層預(yù)備同意的風(fēng)險的變化水平。風(fēng)險評估ー樣是第一從高層開始,目的是提升位于高風(fēng)險區(qū)的資源的優(yōu)先級,然后在ー個更詳細(xì)的層次上來講明特定的風(fēng)險。選擇操縱一旦找出了安全需求,下ー步應(yīng)是選擇及實施安全操縱來保證把風(fēng)險降低到可同意的水平。安全操縱能夠從那個標(biāo)準(zhǔn)或其它有關(guān)標(biāo)準(zhǔn)選擇,也能夠自己設(shè)計滿足特定要求的操縱。有專門多治理風(fēng)險的方法,該文檔只提供ー樣方法。然而,應(yīng)了解到ー些安全操縱并不適用于每個信息系統(tǒng)或環(huán)境,同時并不是對所有的機構(gòu)都可行。安全操縱的選擇應(yīng)該基于實施該安全操縱的費用和由此減少的有關(guān)風(fēng)險，以及發(fā)生安全事件后所造成的缺失,也要考慮非金鈔票上的缺失,如公司聲譽的降低等。這份文檔所提供的一些安全操縱能夠作為信息安全治理的指導(dǎo)原則,同時對大部分機構(gòu)差不多上適用的。信息安全的動身點有一些安全操縱能夠被看作指導(dǎo)性原則,能夠為實施信息安全提供ー個好的動身點。這些操縱要么是基于法律的規(guī)定,要么被認(rèn)為是信息安全的常用的最佳實踐和體會。從立法的觀點動身,機構(gòu)必不可少的安全操縱有:知識產(chǎn)權(quán)（參看!2.1.2）；對機構(gòu)文檔記錄的愛護（參看!2.1.3）；數(shù)據(jù)愛護及個人信息的隱私（參看!2.1.4）O被認(rèn)為是信息安全的最佳實踐的操縱包括:信息安全策略文檔（參看3.1.1）；信息安全責(zé)任的分配（參看4.1.3）；信息安全的教育與培訓(xùn)（參看6.2.1）；報告安全事件（參看6.3.1）；業(yè)務(wù)連續(xù)性治理（參看11.Do這些安全操縱在大部分機構(gòu)及環(huán)境都適用。盡管那個地點所提到的安全操縱都專門重要,但選出合適的安全操縱應(yīng)考慮機構(gòu)要面對的風(fēng)險。因此，盡管上面所提出的方法是一個專門好的動身點,但不能代替在風(fēng)險評估基礎(chǔ)上選擇出的合適的安全操縱。關(guān)鍵的成功因素體會表明:以下的因素對在ー個機構(gòu)內(nèi)成功實施信息安全通常是關(guān)鍵的:反映業(yè)務(wù)目標(biāo)的安全策略、安全目標(biāo)和活動;與機構(gòu)的文化保持一致性的安全實施方法；來自治理層的可見的支持與承諾;對安全需求、安全評估及安全治理有良好的明白得;關(guān)于安全的對所有經(jīng)理及職員的有效宣傳;向所有職員和合作伙伴公布關(guān)于信息安全策略和標(biāo)準(zhǔn)的指南;提供合適的培訓(xùn)與教育;ー套全面而均衡的用來評估信息安全治理的性能和有關(guān)改進安全治理的反饋建議的測量系統(tǒng)。開發(fā)你自己的指導(dǎo)方針那個安全實踐慣例能夠作為開發(fā)特定機構(gòu)安全指南的動身點。并不是該指南的所有方面和操縱差不多上適用的。進ー步講,該指南不包含的操縱也可能成為必須的。當(dāng)這種情形發(fā)生時,保留交叉引用是有所助益的,這有利于審計人員和業(yè)務(wù)伙伴進行一致性檢查。.范疇BS7799的這部分內(nèi)容為信息安全治理提供了舉薦建議，那些負(fù)責(zé)起動、實現(xiàn)或愛護機構(gòu)安全的人員能夠使用這些建議。目的是為開發(fā)安全標(biāo)準(zhǔn)和有效的安全治理慣例提供ー個公共基礎(chǔ),并提供在機構(gòu)之間進行交易的信心。.術(shù)語與定義該文檔有下列術(shù)語和定義:信息安全完整性定義為愛護信息和處理方法的準(zhǔn)確性和完備性?？捎眯远x為保證被授權(quán)用戶在需要時能夠訪咨詢到信息和有關(guān)資產(chǎn)。風(fēng)險評估對信息和信息處理設(shè)施所面臨的威逼及其阻礙以及信息系統(tǒng)脆弱性及其發(fā)生的可能性的評估。風(fēng)險治理以能夠同意的代價識不、操縱、最小化或者排除阻礙信息系統(tǒng)安全的風(fēng)險的程序。.安全策略信息安全策略目的:提供信息安全的治理方向及支持。治理層應(yīng)該指定清晰的策略方向及大力支持信息安全,并在全機構(gòu)推行及愛護信息安全策略。信息安全策略文件一個策略文件應(yīng)由治理層批準(zhǔn)、印制及向職員公布。策略應(yīng)聲明治理層的承諾,及機構(gòu)治理信息安全的方法。策略至少要包括以下內(nèi)容:a）信息安全的定義、整體目標(biāo)和范疇以及安全對信息共享的重要性（參看簡介）；b）對治理層的意圖的聲明及支持,以及信息安全的原則;c）安全策略、原則、標(biāo)準(zhǔn)的簡介,也包括對機構(gòu)有專門重要性的法律的要求,例如:1）要符合法律及合同要求;2）安全教育的要求;3）防止及檢測病毒及其它惡意代碼;4）業(yè)務(wù)連續(xù)性治理;5）違反安全策略的后果。d）信息安全治理的ー樣和特定責(zé)任的定義,包括報告安全事件;e）支持策略的文檔的參考講明,例如專門信息系統(tǒng)或安全規(guī)定用戶應(yīng)遵守的更詳盡的安全策略及程序。該策略應(yīng)在全機構(gòu)公布,讓有關(guān)人員訪咨詢和明白得透徹。3.1.2復(fù)審及評估策略應(yīng)有一個擁有者,負(fù)責(zé)按復(fù)審程序愛護及復(fù)審該策略。該復(fù)審程序應(yīng)確保在阻礙原風(fēng)險評估基礎(chǔ)的任何改動發(fā)生后會趕忙進行復(fù)審,例如發(fā)生重要的安全事件、顯現(xiàn)新漏洞、機構(gòu)或技術(shù)架構(gòu)的改變。還應(yīng)該定期安排審查以下內(nèi)容:a）系統(tǒng)所記錄的安全事件的本質(zhì)、次數(shù)及阻礙所表明的策略的有效性;b）操縱對業(yè)務(wù)效率的阻礙和成本;c）技術(shù)改變的成效。.安全組織信息安全架構(gòu)目的:治理機構(gòu)內(nèi)的信息安全。應(yīng)建立一個機構(gòu)治理架構(gòu),在全機構(gòu)內(nèi)推行及治理信息的安全。應(yīng)由治理層牽頭、組織治理論壇來討論及批準(zhǔn)信息安全策略、指派安全角式及和諧全機構(gòu)安全的實施。如有需要,應(yīng)在機構(gòu)內(nèi)建立一個信息安全資源庫。應(yīng)開始與不處的安全專家保持聯(lián)系,最終最新的行業(yè)動態(tài)、留意業(yè)內(nèi)標(biāo)準(zhǔn)及評估方法，以及發(fā)生安全事件時提供適當(dāng)?shù)穆?lián)系方法。應(yīng)從多方面考慮信息安全，例如,調(diào)動部門經(jīng)理、用戶、治理員、應(yīng)用系統(tǒng)設(shè)計者、審計及安全職員及保險和風(fēng)險治理專家共同制定策略。治理信息安全論壇信息安全是所有治理層成員所共有的責(zé)任。ー個治理論壇應(yīng)確保有明確的安全目標(biāo),及治理層的大力支持。論壇的目是在治理層的承諾及足夠資源的情形下,在全機構(gòu)內(nèi)推廣安全。論壇也能夠是治理層的一部分,一樣要承擔(dān)的工作有:檢查及批準(zhǔn)信息安全策略及整體責(zé)任監(jiān)控對暴露于嚴(yán)峻威逼面前的信息資產(chǎn)所作的重大改動檢查及監(jiān)控安全事件審批極大提升信息安全的重要舉措應(yīng)有一個經(jīng)理負(fù)責(zé)所有有關(guān)安全的活動。信息安全的和諧在大的機構(gòu)中,有關(guān)部門的治理人員應(yīng)組成跨過職能部門的安全論壇,來和諧信息安全治理的實施，論壇ー樣會是:統(tǒng)一指派機構(gòu)內(nèi)信息安全的角色和責(zé)任統(tǒng)一制定信息安全的方法和步驟,例如風(fēng)險評估、安全分類系統(tǒng)等統(tǒng)一及支持機構(gòu)的信息安全行動,例如舉辦安全意識培訓(xùn)確保安全是信息打算的一部分有新系統(tǒng)或服務(wù)時,評估個不信息安全操縱的準(zhǔn)確性,以及和諧信息安全操縱的實施檢查信息安全事件在全機構(gòu)內(nèi)提升業(yè)務(wù)方面對信息安全的支持信息安全責(zé)任的分配應(yīng)明確定義愛護個人資產(chǎn)及執(zhí)行某指定安全程序的責(zé)任。信息安全策略（參見條款3）應(yīng)提供如何分配機構(gòu)安全角式及責(zé)任的ー樣指引。如有需要,應(yīng)附加某個不網(wǎng)址、系統(tǒng)或服務(wù)更詳細(xì)的指引,也要明確確定物理資產(chǎn)、信息資產(chǎn)及安全進程的本地責(zé)任,例如業(yè)務(wù)連續(xù)性打算。專門多機構(gòu)的信息安全經(jīng)理負(fù)責(zé)整個安全和操縱的開發(fā)及實施,然而,查找及實施操縱的責(zé)任,則是個不經(jīng)理負(fù)責(zé)。ー個普遍的做法是定出每種信息安全資產(chǎn)的擁有者,然后這角色負(fù)責(zé)這資產(chǎn)的日常安全。信息資產(chǎn)的擁有者應(yīng)把安全責(zé)任委派到個不經(jīng)理或服務(wù)提供者。盡管如此,擁有者最終負(fù)責(zé)資產(chǎn)的安全,并能確定任何委派的責(zé)任會被正確舍棄。應(yīng)明確講明每位經(jīng)理所負(fù)的責(zé)任范疇,專門是:明確定義每個系統(tǒng)所關(guān)聯(lián)的資產(chǎn)及安全程序統(tǒng)ー那經(jīng)理負(fù)責(zé)那資產(chǎn)或安全程序,并講明責(zé)任的詳情明確定義及講明授權(quán)級不信息處理設(shè)備的授權(quán)步驟應(yīng)為新的信息處理設(shè)備建立治理授權(quán)步驟,要考慮的有:新設(shè)備要有適當(dāng)?shù)挠脩糁卫砼鷾?zhǔn)手續(xù),授權(quán)設(shè)備的使用及目的,也要有負(fù)責(zé)愛護本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準(zhǔn),以保證按有關(guān)安全策略及要求執(zhí)行。在任何需要的情形下,檢查清晰軟、硬件是否與其它系統(tǒng)部件兼容。注意:有些連接需要批準(zhǔn)使用個人信息處理設(shè)備處理業(yè)務(wù)信息的任何授權(quán)操縱在工作地點使用個人信息處理設(shè)備會導(dǎo)致新漏洞的顯現(xiàn),因此應(yīng)通過評估及授權(quán)這些操縱對互聯(lián)環(huán)境專門重要。信息安全專家的意見專門多機構(gòu)可能都需要信息安全專家的意見,最好是內(nèi)部有如此體會豐富的安全專家,但不是每個機構(gòu)都想要專家的意見。如果是如此，建議確定一位職員負(fù)責(zé)和諧機構(gòu)內(nèi)部的安全情況,及提供安全意見。機構(gòu)也應(yīng)找外部的專家,為自己沒有體會的安全情況提供意見。信息安全顧咨詢應(yīng)負(fù)責(zé)提供信息安全方方面面的意見,他們對安全威逼的評估及對操縱的意見會確定機構(gòu)信息安全的有效性。為了發(fā)揮最大效益,應(yīng)讓顧咨詢能夠直截了當(dāng)與整個機構(gòu)的所有治理層接觸。在懷疑發(fā)生安全事件時,應(yīng)在第一時刻把信息安全顧咨詢請來,以便第一手明白事件的真相,提供最專業(yè)的意見。盡管大部分內(nèi)部安全調(diào)查在治理層的操縱下正常執(zhí)行,但依舊需要信息安全顧咨詢的意見、領(lǐng)導(dǎo)及進行調(diào)查。組織之間的合作應(yīng)與執(zhí)法機構(gòu)、立法機關(guān)、信息服務(wù)提供者及電信運行商保持聯(lián)系,以保證安全事件發(fā)生后,趕忙采取行動及取得有關(guān)意見。同樣理由,也考慮與安全組及行業(yè)論壇的成員保持聯(lián)系。有關(guān)安全的信息的交換應(yīng)被禁止,以保證機構(gòu)的隱秘信息可不能傳到非法人員。信息安全的獨立復(fù)審信息安全策略文檔（參看3.1.1）講明信息安全的策略及責(zé)任,策略的實施應(yīng)受到獨立的檢查,以保證機構(gòu)的慣例如實反映策略,同時是可行的及有效的。如此的檢查能夠由內(nèi)部審計部門、某經(jīng)理或第三方有關(guān)這方面的機構(gòu)去執(zhí)行,因為他們有方面的技術(shù)及體會。第三方訪咨詢的安全目的:愛護被第三方訪咨詢的機構(gòu)信息處理設(shè)備及信息資產(chǎn)的安全。應(yīng)操縱來自第三方的對機構(gòu)信息處理設(shè)備的訪咨詢。如有業(yè)務(wù)需要讓第三方訪咨詢,應(yīng)先評估風(fēng)險以確定安全內(nèi)容及對操縱的需求。應(yīng)該統(tǒng)ー要執(zhí)行的操縱并與第三方定義如此的合同。第三方訪咨詢也包括其他參與者。準(zhǔn)許第三方訪咨詢的合同應(yīng)包括其它能夠訪咨詢的參與人員的名稱及條件。那個標(biāo)準(zhǔn)應(yīng)該被用作訂立如此的合同的基礎(chǔ),也作為考慮需要外包信息處理時的基礎(chǔ)。確認(rèn)第三方訪咨詢的風(fēng)險訪咨詢的種類給于第三方訪咨詢的訪咨詢類型是專門專門重要的,例如通過網(wǎng)絡(luò)連接訪咨詢的風(fēng)險與物理訪咨詢的風(fēng)險不同。要考慮的訪咨詢類型有:物理訪咨詢,例如進入辦公室、運算機房、文件柜等;邏輯訪咨詢,例如存取某機構(gòu)的數(shù)據(jù)庫、信息系統(tǒng)等。訪咨詢的緣故讓第三方訪咨詢能夠有專門多緣故,舉例,第三方為機構(gòu)提供服務(wù),但不能現(xiàn)場找到,只能通過物理及邏輯訪咨詢,例如硬件及軟件技術(shù)支持人員,需要訪咨詢到系統(tǒng)級不或應(yīng)用系統(tǒng)的最底層貿(mào)易伙伴或合資伙伴,需要交換信息、訪咨詢信息系統(tǒng)或共享數(shù)據(jù)庫沒有足夠愛護的安全治理,讓第三方訪咨詢會把信息處于危險的地步。但凡有業(yè)務(wù)需求需要連接到第三方的地點，應(yīng)先進行風(fēng)險評估,確定要操縱的任何要求。要考慮的有訪咨詢方法、信息的價值、第三方所采納的操縱,以及如此的訪咨詢對機構(gòu)信息安全的阻礙?，F(xiàn)場合同方現(xiàn)場的第三方通過合同所定的一段時刻后，也會減弱機構(gòu)的安全,如此的第三方的例子有:硬件及軟件愛護及技術(shù)支持人員清潔服務(wù)、膳食服務(wù)、保衛(wèi)服務(wù)及其它外包的支持服務(wù)學(xué)生臨時短工及其它短期職務(wù)的人員顧咨詢要清晰了解需要那些操縱來治理第三方對信息處理設(shè)備的訪咨詢。通常,所有因第三方訪咨詢而引致的訪咨詢或內(nèi)部操縱,應(yīng)反映在第三方的合同中（參看4.2.2）舉例,如果有專門需要要保密信息,應(yīng)考慮簽定‘保密協(xié)議’（參看6.1.3）不應(yīng)提供第三方訪咨詢信息及信息處理設(shè)備的能力,除非差不多實施適當(dāng)?shù)牟倏v及簽定有關(guān)合同并定出連接或訪咨詢的條款。第三方合同的安全要求涉及第三方訪咨詢機構(gòu)信息處理設(shè)備的安排,應(yīng)該基于正式簽定的合同,包括或參考所有符合機構(gòu)安全策略及標(biāo)準(zhǔn)的安全要求。合同應(yīng)沒有機構(gòu)和第三方之間模糊的地點。機構(gòu)應(yīng)滿足供應(yīng)商的賠償。合同條款能夠考慮以下:信息安全的總策略;資產(chǎn)的愛護,包括:愛護機構(gòu)資產(chǎn)的程序,包括信息及軟件;確定是否發(fā)生破壞資產(chǎn)安全事件的程序,例如數(shù)據(jù)的丟失或更換;確保在合同期滿或有效期間歸還或毀滅信息及資產(chǎn)；完整性及可用性；限制拷貝及公布信息；每種可供使用的服務(wù)的講明;服務(wù)的預(yù)期目標(biāo)及不可同意的服務(wù);適時調(diào)動職員的服務(wù)；各方對協(xié)議所負(fù)的責(zé)任;法律責(zé)任,例如:數(shù)據(jù)愛護的法律,專門是合同涉及與其它國家的機構(gòu)合作時所牽涉的不同的國家法律系統(tǒng)（參看12.1）；知識產(chǎn)權(quán)及版權(quán)（參看12.1.2）,以及任何合作成果的愛護（參見6.1.3）；訪咨詢操縱協(xié)定,包括:.可容許的訪咨詢方法,以及唯獨標(biāo)識符如用戶1D及口令的使用及治理操縱;.用戶訪咨詢及權(quán)限的授權(quán)過程;.儲存ー份合法使用可用服務(wù)的個人的名單,以及他們的使用權(quán)限;可核查的性能指標(biāo)的定義、監(jiān)控及報告方法;用于監(jiān)控、注銷用戶活動的權(quán)限;審計合同責(zé)任的權(quán)限,或讓第三方執(zhí)行如此的審計;越級申請解決咨詢題的手續(xù)；應(yīng)急安排；關(guān)于硬件及軟件安裝及愛護的責(zé)任；ー個專門清晰的報告架構(gòu)及統(tǒng)ー的報告格式；清晰明白的更換治理程序；任何需要的物理愛護操縱以及確保按照操縱治理的機制；對用戶及治理員的在方法、程序及安全方面的培訓(xùn)；應(yīng)付惡意軟件（參看8.3）的操縱；報告、通知及調(diào)查安全事件及安全違規(guī)的安排；第三方和轉(zhuǎn)包商之間的關(guān)系。外包服務(wù)目的:當(dāng)信息處理外包到另一家機構(gòu)時愛護信息的安全。外包的安排中應(yīng)該在合同中講明風(fēng)險、安全操縱、信息系統(tǒng)的處理過程、網(wǎng)絡(luò)、桌面環(huán)境。外包合同的安全要求合同應(yīng)包括機構(gòu)把全部或部分信息系統(tǒng)、網(wǎng)絡(luò)及/或桌面環(huán)境外包的安全要求。舉例來講,合同應(yīng)包括:合同的要求如何被滿足,例如：數(shù)據(jù)愛護的法律；有什么安全來保證所有參于外包的合同方，包括轉(zhuǎn)包商,明白他們的安全責(zé)任;如何愛護及測試機構(gòu)業(yè)務(wù)資產(chǎn)的完整性及保密性；有什么物理及邏輯操縱能夠用，來限制只讓合法用戶訪咨詢機構(gòu)的敏銳業(yè)務(wù)信息；當(dāng)發(fā)生災(zāi)難時如何愛護服務(wù)還能夠使用;有什么級不的物理安全來愛護外包設(shè)備;審計的權(quán)限。應(yīng)考慮4.2.2所列的,作為合同的條款。合同應(yīng)讓安全要求及程序能夠在合同雙方所用意的安全治理打算內(nèi)連續(xù)補充。盡管外包合同會帶來一些復(fù)雜的安全咨詢題,但那個地點所包括的操縱能夠作為起點,統(tǒng)ー安全治理打算的結(jié)構(gòu)及內(nèi)容。.資產(chǎn)分類與操縱資產(chǎn)的使用講明目的:堅持適當(dāng)?shù)膼圩o措施愛護機構(gòu)的資產(chǎn)。所有重要的信息資產(chǎn)應(yīng)有負(fù)責(zé)人,并有選定的所有者。資產(chǎn)的責(zé)任制保證實施了適當(dāng)?shù)膼圩o措施。所有重要的資產(chǎn)都要確定所有者,并制訂愛護適當(dāng)操縱的責(zé)任。實施操縱的責(zé)任能夠委派。責(zé)任應(yīng)只由所選定的擁有者負(fù)責(zé)。資產(chǎn)清單資產(chǎn)清單關(guān)心了解已實施有效的愛護措施,也能夠是為其它業(yè)務(wù)目的而實施，例如衛(wèi)生及安全、保險或財務(wù)（資產(chǎn)治理）的緣故。運算資產(chǎn)預(yù)備清單是風(fēng)險治理的ー項重要事務(wù)。機構(gòu)需要確定自己的資產(chǎn)、有多大價值及資產(chǎn)的重要性。機構(gòu)按這些信息便能夠按資產(chǎn)的價值及重要性提供那樣的愛護措施。每一個信息系統(tǒng)都要有如此的ー份清單,列明重要的資產(chǎn)。應(yīng)清晰確定每種資產(chǎn)及擁有權(quán)和安全分類（參看5.2）、當(dāng)前位置（當(dāng)丟失或損壞后要復(fù)原時，是專門重要明白在哪兒）。與信息系統(tǒng)有關(guān)的資產(chǎn)的例子有:信息資產(chǎn):數(shù)據(jù)庫及數(shù)據(jù)文件、系統(tǒng)講明文檔、用戶手冊、培訓(xùn)手冊、操作或支持程序、應(yīng)急打算、后備安排、歸檔信息）；軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)及系統(tǒng)工具;物理資產(chǎn):運算機設(shè)備（處理器、顯示器、筆記本、調(diào)制解調(diào)器）,通訊設(shè)備（路由器、PABX、傳真機、應(yīng)答機）、磁帶磁盤、其它技術(shù)設(shè)備（電源、空調(diào)）、家具、房子；服務(wù):運算及通訊服務(wù)、ー樣公用事務(wù),例如、供熱、燈光、電、空調(diào)等。信息分類目的:保證信息資產(chǎn)有適當(dāng)程度的愛護。信息應(yīng)被分類來確認(rèn)愛護的需求、優(yōu)先及程度。信息有不同程度的敏銳度及重要性。有些需要額外的愛護或?qū)ｉT處理。因此,應(yīng)使用信息分類系統(tǒng)來定義適當(dāng)?shù)膼圩o級不,并看看是否需要專門處理。分類的指南要考慮的有類不的數(shù)目,以及分類后有什么好處。過于復(fù)雜的方法日后可能變得繁瑣、使用不經(jīng)濟或顯得不實際。應(yīng)小心如何講明其它機構(gòu)的文件上的分類標(biāo)簽,有可能同一種或類似的標(biāo)簽有不同的定義。定義某信息的每個項目的責(zé)任,例如文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤，以及定期檢查這些分類的責(zé)任,應(yīng)該是有信息的被選所有者,或原先作者負(fù)責(zé)。信息標(biāo)注及處理按機構(gòu)所采納的分類方法,制訂合適的程序來標(biāo)注及處理信息是專門重要的。這些程序應(yīng)包括物理及電子形式的信息資產(chǎn)。每ー類都有指定的處理程序來定義以下各類的信息處理活動:拷貝;儲存;郵遞、傳真及電子郵件方式的傳輸;ロ頭傳輸,包括移動電話、語音郵件,應(yīng)答機;銷毀。系統(tǒng)帶有被分類為敏銳或重要信息的輸出,應(yīng)（再輸出）有適當(dāng)?shù)姆诸悩?biāo)簽注明。標(biāo)簽應(yīng)按5.2.1的分類規(guī)定注明。要考慮分類標(biāo)簽的物件有:打印報表、屏幕顯示、記錄介體（磁帶、磁盤、CD等）、電子消息及文件轉(zhuǎn)移。物理標(biāo)簽ー樣是適當(dāng)?shù)臉?biāo)簽形式,然而,某些信息資產(chǎn)，例如電子形式的文檔，不能物理標(biāo)注,應(yīng)使用電子標(biāo)注。.人員安全.!崗位定義及資源分配的安全目的:減少人為錯誤、或設(shè)備被偷取、假冒或濫用的風(fēng)險。應(yīng)在聘請時講明安全的責(zé)任,包括合同中寫明,以及在職員雇傭期間檢查。聘請職員時應(yīng)小心考慮（參看6.1.2）,專門是敏銳的崗位。所有職員及第三方用戶在使用信息處理設(shè)備時，要求簽一份保密協(xié)議。崗位責(zé)任的安全機構(gòu)信息安全策略（參看3.1）所規(guī)定的安全角色及責(zé)任，應(yīng)被記錄下來，責(zé)任應(yīng)包括實施或愛護安全策略的任何一樣責(zé)任,和任何愛護某資產(chǎn)的專門責(zé)任，或為執(zhí)行某安全進程或活動的責(zé)任。人事過濾及策略固定職員的檢查應(yīng)在申請職位時進行,包括:要有中意的舉薦人,舉例,一個舉薦業(yè)務(wù)上的行為,一個舉薦關(guān)于個運氣德;檢查申請人的簡歷（是否完整及準(zhǔn)確）；確認(rèn)有沒有考取所稱述的學(xué)歷及職業(yè)資格;獨立的身份檢查（護照或其它文件）；如果某崗位（第一次職位分派或升職）需要某人進入信息處理設(shè)備,專門是要處理敏銳信息（例如財務(wù)信息或?qū)ｉT機要信息），機構(gòu)應(yīng)檢查這名職員的信譽。至于有相當(dāng)授權(quán)權(quán)限的職員,應(yīng)定期檢查。合約及臨時人員也要通過同樣的過濾過程。當(dāng)這些職員是通過不處的人事公司提供,與人事公司簽定的合同應(yīng)清晰指明人事公司的過濾責(zé)任，以及如果過濾不完整、或結(jié)果有可疑時所要進行的通知程序。治理層應(yīng)該評估新的和沒有體會的職員訪咨詢敏銳系統(tǒng)所需的授權(quán)，是否需要監(jiān)督。所有職員的工作應(yīng)有更高級的職員定期查核。部門經(jīng)理應(yīng)明白職員的個人情形會阻礙他們的工作。個人及財務(wù)咨詢題、行為或生活適應(yīng)發(fā)生變動、經(jīng)常缺席及明顯精神壓抑,會進行假冒、偷盜、出錯或其他破壞安全行為。這些信息應(yīng)按當(dāng)?shù)赜嘘P(guān)法律作適當(dāng)?shù)奶幚?。保密協(xié)議ー樣的職員及第三方用戶沒有簽如此的協(xié)議（有保密協(xié)議在內(nèi)）,應(yīng)在容許進入信息處理設(shè)備前簽定如此的保密協(xié)議。保密協(xié)議應(yīng)在更換雇傭條款或合同時檢查,專門是當(dāng)職員快要離開機構(gòu)或合同快到期。雇傭條款雇傭條款應(yīng)講明職員信息安全的責(zé)任。如適當(dāng),這些責(zé)任應(yīng)在雇傭期滿后連續(xù)性一段時刻,還應(yīng)包括職員如果不領(lǐng)會安全要求所要采取的行動。職員的法律責(zé)任及權(quán)益,例如關(guān)于版權(quán)法律或數(shù)據(jù)愛護條例,應(yīng)講明清晰及包括在雇傭協(xié)議的條款中,也應(yīng)包括雇主數(shù)據(jù)的分類及治理的責(zé)任。在適當(dāng)?shù)牡攸c,雇傭條款應(yīng)講明這些責(zé)任也適用于機構(gòu)大廈之外及正常エ作時刻之外,例如在家辦公（參看7.2.5及9.8.1）用戶培訓(xùn)目的:保證用戶明白信息安全的威逼及擔(dān)憂，并在工作時支持實行機構(gòu)的安全策略。用戶應(yīng)被培訓(xùn)關(guān)于安全程序，以及信息處理設(shè)備的正確使用，來盡量減低安全風(fēng)險。信息安全教育及培訓(xùn)所有機構(gòu)的職員,如有關(guān)系,第三方用戶，都要同意適當(dāng)?shù)呐嘤?xùn),及注意機構(gòu)策略及程序的定期更新。培訓(xùn)內(nèi)容包括安全要求、法律責(zé)任及業(yè)務(wù)操縱，以及正確使用信息處理設(shè)備的培訓(xùn),例如授予訪咨詢信息或服務(wù)前的登陸程序、軟件包的使用等。安全事件及失常的反應(yīng)措施目的:把安全事故及失常的損壞降到最低，以及監(jiān)控這些事件，并從中取得教訓(xùn)。阻礙安全的事件應(yīng)盡快通過合適的治理渠道報告。所有職員及合同職員應(yīng)明白會阻礙機構(gòu)資產(chǎn)安全的不同類不事件（安全破壞、威逼、弱點或錯誤工作）的報告程序。他們應(yīng)盡快向指定聯(lián)系點報告任何受監(jiān)視的、或可疑的事件。機構(gòu)應(yīng)制訂正式的處罰程序處理破壞安全的職員。如要正確處理事件,可能需要在事件發(fā)生后第一時刻收集證據(jù)（參見!2.1.7）〇報告安全事件安全事件應(yīng)通過適當(dāng)?shù)闹卫砬辣M快報告。應(yīng)制訂正式的報告程序和事件反應(yīng)程序,講明收到事件報告后所要采取的行動。所有職員及合同職員應(yīng)該都被通知報告安全事件的程序,并需要盡快報告。應(yīng)實施合適的反饋程序保證處理事件后報告事件的結(jié)果。這些事件能夠當(dāng)作安全意識培訓(xùn)（參看6.2）的教材，講明事件發(fā)生會有什么情況發(fā)生、如何反應(yīng)事件,及以后如何幸免事件重現(xiàn)（參看12.1.7）報告安全的弱點信息服務(wù)的用戶應(yīng)被要求,要注意及報告系統(tǒng)或服務(wù)任何明顯的、或可疑的安全弱點或威逼。他們應(yīng)盡快向治理層或直截了當(dāng)向服務(wù)供應(yīng)商報告。用戶應(yīng)被通知，在任何情形下,他們都不應(yīng)試圖證實可疑的弱點，這是為自己愛護,因為測試弱點會被認(rèn)為是在濫用系統(tǒng)。報告系統(tǒng)的故障應(yīng)建立報告軟件出錯的程序,要考慮的行動有:咨詢題的現(xiàn)象及注意屏幕上顯現(xiàn)的消息;運算機應(yīng)被隔離,如可能,應(yīng)該停止使用。應(yīng)趕忙提醒有關(guān)人員。如果要檢驗設(shè)備,應(yīng)在重新啟動前把設(shè)備從機構(gòu)的網(wǎng)絡(luò)斷開連接。磁盤不應(yīng)轉(zhuǎn)移到其它運算機中;應(yīng)趕忙把事件報告信息安全經(jīng)理。用戶不應(yīng)試圖除掉可疑的軟件,除非有授權(quán)。應(yīng)由通過合格培訓(xùn)的、有體會的職員來復(fù)原系統(tǒng)。吸取教訓(xùn)應(yīng)有一套機制,來量化和監(jiān)控事件及出錯的種類、數(shù)量和代價。這些信息應(yīng)用來確認(rèn)重復(fù)顯現(xiàn)或阻礙嚴(yán)峻的事件或出錯。這可能暗示需要增強的或額外的操縱,或者用來限制日后顯現(xiàn)的次數(shù)、缺失及代價，或者用于在核查安全策略過程中考慮（參看3.1.2）處罰程序應(yīng)有一個正式的處罰程序來處罰那些違反機構(gòu)安全策略及程序（參看6.1.4及!2.1.7的的證據(jù)保留）的職員。這程序能夠用來阻嚇那些不理會安全程序的職員。此外，處罰程序應(yīng)確保正確,公平地處理那些懷疑要嚴(yán)峻破壞、或堅持要破壞安全的職員。.物理與環(huán)境的安全安全區(qū)域目的:防止非法訪咨詢、危害及干擾業(yè)務(wù)運營的前提條件及信息。重要的或敏銳的業(yè)務(wù)信息處理設(shè)備應(yīng)放在安全的地點，有特定安全范疇內(nèi)受到愛護,范疇的出入口有安全障礙及入口操縱,應(yīng)有物理的愛護防止非法進入、危害及干擾。所提供的愛護應(yīng)與所確定的風(fēng)險相應(yīng)。應(yīng)有一個桌子或屏幕的清除策略，以減少非法訪咨詢的風(fēng)險或損害紙張、介質(zhì)及信息處理設(shè)備。物理安全地帶物理的愛護能夠是在業(yè)務(wù)辦公地點及信息處理設(shè)備的周圍,設(shè)置多個物理障礙。每個障礙都有一個安全地帶,層層愛護。機構(gòu)應(yīng)劃分安全地帶來愛護有信息處理設(shè)備（參看7.1.3）的地點。一個安全地帶是指設(shè)置某些障礙,例如墻壁、有卡操縱的入口門、或是有人看管的用于接待的桌。每個障礙的位置及カ度要視乎風(fēng)險評估后的結(jié)果而定。下面的指南和操縱應(yīng)該被考慮和實現(xiàn):應(yīng)清除講明安全地帶的范疇;大廈或有信息處理設(shè)備的地點的周圍應(yīng)該是專門牢固的（即周圍沒有缺口或有專門容易進入的地點）。地點的外墻的結(jié)構(gòu)應(yīng)該專門牢固,以及所有外門應(yīng)有適當(dāng)?shù)膼圩o,防止非法進入,例如操縱機制、欄桿、警鐘、鎖等;應(yīng)劃出有人看管的會客地點，或使用其它方法操縱地點或大廈的物理進入。應(yīng)只讓合法人員進入地點即大廈;物理障礙,如需要,應(yīng)從實際的地板一直到房頂,以防止非法進入及環(huán)境的污染,例如火災(zāi)及水災(zāi);所有在安全地帶的防火門應(yīng)裝置警鐘,并是關(guān)閉的。物理入口的操縱安全地帶應(yīng)有適當(dāng)?shù)娜肟诓倏v愛護,保證只有合法人員進入。要考慮的有:進入安全地帶的客人應(yīng)有人監(jiān)督或被驅(qū)逐,他們進入及離開的時刻都要記錄。他們只能進入指定的地點、應(yīng)有授權(quán)的目的進入,同時,他們應(yīng)該被告知地點的安全要求及緊急程序指示；對敏銳信息及信息處理設(shè)備的訪咨詢應(yīng)操縱并限制為合法人員。認(rèn)證操縱,例如打卡加PIN,應(yīng)該用來授權(quán)及驗證所有的訪咨詢,并安全地保留所有訪咨詢的審計跟蹤；所有人員都需要戴上某些鮮亮的標(biāo)識,并鼓舞詢咨詢沒有人員陪同的生疏人、或沒有戴上標(biāo)識的人;應(yīng)定期檢查及更新安全地帶的訪咨詢權(quán)限；愛護辦公室、房間及設(shè)備ー個安全地帶可能是上鎖的辦公室或地帶內(nèi)的多個房間,房間可能都上鎖或有可上鎖的文件柜或保險箱。安全地帶的選定及設(shè)計應(yīng)考慮有可能發(fā)生火災(zāi)、水災(zāi)、爆炸、暴動、以及其它的天災(zāi)或人禍,也要考慮有關(guān)衛(wèi)生及安全規(guī)定及標(biāo)準(zhǔn),以及周圍環(huán)境的安全威逼,例如隔壁漏水。要注意的方面有:重要的地點應(yīng)選擇防止公眾進入的地點;大廈應(yīng)專門低調(diào)、不突出大廈的目的,大廈內(nèi)外沒有明顯的標(biāo)牌講明有信息處理的活動在進行;支持和功能設(shè)備,例如復(fù)印機、傳真機,應(yīng)放置在安全地帶以防止隨便被人使用來破壞信息安全;沒有人時,門窗應(yīng)上鎖，以及加大窗的外層愛護,專門是第一樓層的窗子安裝的并定期測試的合適入侵檢測系統(tǒng)應(yīng)該有效工作，確保系統(tǒng)是在檢查所有外部門和可用的窗子。空置地點應(yīng)經(jīng)常報警。同樣的保安措施應(yīng)實施在其它地點，例如，運算機房或通訊房;機構(gòu)所治理的信息處理設(shè)備應(yīng)與第三方治理的設(shè)備分開；標(biāo)明敏銳信息處理設(shè)備的地點的講明性名目及內(nèi)部電話簿,不應(yīng)讓公眾得到;危險或易燃物體,應(yīng)安全地儲存,與安全地帶保持一段安全的距離。大量的供應(yīng)物品,例如文具,不應(yīng)放置在安全地帶,除非確實有需要；備份設(shè)備及備份介質(zhì)應(yīng)該放置在距離主設(shè)備有一段距離的安全地點，幸免要緊地點發(fā)生災(zāi)難時受到破壞。在安全地帶工作安全地帶可能需要額外的操縱和指導(dǎo)方針來加大安全，這包括操縱職員或在安全地帶工作的第三方人員以及第三方在這地帶所進行的活動。要注意的有:需要明白有人員在安全地帶工作或在地帶內(nèi)進行活動；不鼓舞在安全地帶進行無人監(jiān)督的工作,有安全方面的緣故,也是為了減少惡意活動的機會;空置的安全地帶應(yīng)該物理上鎖及定期檢查;第三方的支持服務(wù)人員只有在需要時,才能進入安全地帶或訪咨詢敏銳信息處理設(shè)備。如此的訪咨詢應(yīng)有授權(quán)及被監(jiān)控。安全地帶內(nèi)不同安全級不的地點,可能需要額外的障礙及邊界來操縱物理訪咨詢;不應(yīng)攜帶相片、影帶、聲音或其它記錄設(shè)備,除非被授權(quán)。隔離的交付及裝載地點交付及裝載地點應(yīng)受到操縱，如可能,應(yīng)與信息處理設(shè)備隔離以幸免非法進入。這些地點的安全要求應(yīng)在風(fēng)險評估后確定。以下是要考慮的:應(yīng)禁止從大廈不處進入裝載地點。只讓授權(quán)人員進入;裝載地點應(yīng)當(dāng)設(shè)計成供應(yīng)品不需要操作職員進入大廈其它地點,就能夠卸載；當(dāng)內(nèi)門是打開時，裝載地點的外門應(yīng)上鎖；應(yīng)檢查進來的物品是否危險（參看7.2.1（4））,オ從裝載地點搬到使用地應(yīng)登記進來的物品,如有需要（參看5.1）,應(yīng)在大廈入口登記。設(shè)備的安全目的:防止資產(chǎn)丟失、缺失或被破壞,防止業(yè)務(wù)活動的停頓。設(shè)備應(yīng)有物理愛護不受安全威逼及環(huán)境事故的阻礙。要愛護設(shè)備（包括用在離線的地點）以減少非法訪咨詢數(shù)據(jù)的風(fēng)險,和愛護可不能丟失或缺失，也要考慮設(shè)備應(yīng)放在什么地點及如何處理掉。可能需要專門的操縱來愛護故障或非法訪咨詢,和保證支援設(shè)備,例如電カ供應(yīng)和線纜架構(gòu)。設(shè)備的放置及愛護設(shè)備應(yīng)放在安全的地點,愛護減少來自環(huán)境威逼及事故的風(fēng)險,減少非法訪咨詢的機會。要考慮的有:設(shè)備的位置,應(yīng)是盡量減少不必要的到工作地點的訪咨詢;處理敏銳數(shù)據(jù)的信息處理及儲存設(shè)備應(yīng)該好好放置,以減少使用時被俯瞰的風(fēng)險;需要專門愛護的東西,應(yīng)被隔離;應(yīng)操縱并減少潛在威逼顯現(xiàn)的風(fēng)險:偷竊;火;爆炸物;煙;水(或供水有咨詢題)；塵埃；震動；化學(xué)效應(yīng);電カ供應(yīng)干擾;電磁輻射;機構(gòu)應(yīng)考慮在信息處理設(shè)備鄰近的飲食及吸煙策略;應(yīng)監(jiān)控那些嚴(yán)峻阻礙信息處理設(shè)備操作的環(huán)境；考慮在エ業(yè)環(huán)境設(shè)備的專門愛護方法,例如采納鍵盤薄膜;應(yīng)考慮在大廈鄰近發(fā)生災(zāi)難的后果,例如隔離大廈著火、房頂漏水，地下層滲水、街道發(fā)生爆炸。電カ的供應(yīng)應(yīng)保證設(shè)備電源可不能顯現(xiàn)故障,或其它電カ專門。應(yīng)有適當(dāng)?shù)摹⒎显O(shè)備生產(chǎn)商規(guī)格的電カ供應(yīng)。關(guān)于連續(xù)性供電的選項有:多個輸電點,幸免單點輸電導(dǎo)致全部停電；不間斷電源(UPS)；備份發(fā)電機。建議為那些支持重要業(yè)務(wù)操作的設(shè)備配備UPS,保持有次序的停電或連續(xù)性供電。應(yīng)急打算應(yīng)包括UPS發(fā)生故障時應(yīng)采取什么行動。UPS設(shè)備應(yīng)定期檢查,保證有足夠的容量,并按生產(chǎn)商的建議進行測試。如果發(fā)生長時刻電源失敗還要連續(xù)信息處理的話,請考慮配備后備發(fā)電機。發(fā)電機安裝后,應(yīng)按生產(chǎn)商的指示定期進行測試。應(yīng)提供足夠的燃料保證發(fā)電機能夠長時刻發(fā)電。此外,緊急電カ開關(guān)應(yīng)放置設(shè)備房緊急出口的鄰近,以便一旦發(fā)生緊急事故趕忙關(guān)閉電源。也要考慮一旦電源失敗時的應(yīng)急燈。要愛護全大廈的燈,及在所有外部通訊線路都要裝上燈光愛護過濾器。電纜線路的安全應(yīng)愛護帶有數(shù)據(jù)或支持信息服務(wù)的電カ及電訊電纜,使之不被偵聽或破壞。要注意的有:a）進入信息處理設(shè)備的電カ及電訊電纜線路應(yīng)放在地下下面，如可能,也能夠考慮其它有足夠愛護能力的方法;b）網(wǎng)絡(luò)布線應(yīng)受到愛護,不要被非法截取或被破壞,舉例，使用管道或幸免通過公眾地點的路徑;c）電源電纜應(yīng)與通訊電纜分開,幸免干擾;d）至于敏銳或重要的系統(tǒng),更要考慮更多的操縱,包括:1）安裝裝甲管道,加了鎖的作為檢查及終點的房間或盒子；2）使用可選路由或者傳輸介質(zhì);3）光纖光纜；4）清除附加在電纜上的未授權(quán)設(shè)備。設(shè)備的愛護設(shè)備應(yīng)正確愛護來保證連續(xù)性可用合完整性。以下是要注意的:設(shè)備應(yīng)按供應(yīng)商的建議服務(wù)間隔及規(guī)格愛護;只有授權(quán)的愛護人員才能夠修理設(shè)備;記錄所有可疑的或真實的故障,以及所有防范及改正措施;實施適當(dāng)?shù)牟倏v如何把設(shè)備送出大廈進行修理（參看7.2.6的關(guān)于刪除、清除及蓋寫數(shù)據(jù)）。所有保險策略所提出的要求,都要遵守。設(shè)備離開大廈的安全不管是誰擁有的,在機構(gòu)不處使用任何設(shè)備處理信息應(yīng)有治理層的授權(quán)。所提供的安全愛護應(yīng)與設(shè)備在大廈內(nèi)使用時相同。還要考慮在機構(gòu)大廈不處工作的風(fēng)險。信息處理設(shè)備包括所有形式的個人運算機、商務(wù)通、移動電話紙張或其它表格,放在家里或從日常工作地點搬走。要考慮的有:從大廈取走的設(shè)備及介質(zhì),不應(yīng)放在公眾地點無人看管。筆記本運算機應(yīng)當(dāng)作手提行李隨身,及在外時盡量遮擋,不要顯露在外被人看到;應(yīng)經(jīng)常注意生產(chǎn)商愛護設(shè)備的指示,例如不要暴露在強大的電磁場內(nèi);在家工作的操縱，應(yīng)在評估風(fēng)險后確定,并適當(dāng)?shù)貙嵤?，舉例,可上鎖的文件柜、清除桌子的策略及運算機的訪咨詢操縱；應(yīng)有足夠的保險愛護不在大廈的設(shè)備。安全風(fēng)險,例如損壞、被盜及偷聽,可能每個地點都不同，因此應(yīng)認(rèn)真考慮后確定最適當(dāng)?shù)牟倏v。參看9.8.1的關(guān)于如何愛護移動設(shè)備。設(shè)備的安全清除或重用信息能夠通過不小心清除或重復(fù)使用設(shè)備而被破壞（參看8.6.4）,有敏銳信息的儲備設(shè)備應(yīng)該物理被銷毀或安全地覆蓋,而不是使用標(biāo)準(zhǔn)的刪除功能。所有儲存設(shè)備,例如固定硬盤,應(yīng)被檢查以保證已清除所有敏銳數(shù)據(jù)及授權(quán)軟件,或在清除前已被覆蓋。損壞了、有敏銳數(shù)據(jù)的儲存設(shè)備可能需要評估風(fēng)險后確定是否把設(shè)備銷毀、修理或丟掉。ー樣操縱目的:防止信息及信息處理設(shè)備被破壞或偷取。信息及信息處理設(shè)備應(yīng)該被愛護,不要公布給非法人員,讓非法人員更換或偷取,并實施有關(guān)操縱來盡量減少缺失及損壞。8.6.3是處理及儲存程序的考慮。收拾桌子及清除屏幕的策略機構(gòu)應(yīng)考慮制訂信息處理設(shè)備的收拾桌子上紙張、可移動儲存介體及清除屏幕的策略,以減少在規(guī)定工作時刻外非法進入、丟失及損壞信息的風(fēng)險。策略應(yīng)考慮信息安全的分類（參看5.2）,有關(guān)的風(fēng)險及機構(gòu)的文化。放在桌子上的信息,大有可能被損壞,或被天災(zāi)如火災(zāi)、水災(zāi)或爆炸破壞。要注意的有:如適當(dāng),紙張及運算機介質(zhì)不用時,專門是在規(guī)定工作時刻之外,應(yīng)儲存在合適的能夠上鎖的柜子及/或其他安全的柜子;敏銳或重要的業(yè)務(wù)信息不需要時,專門是辦公室沒人，應(yīng)被鎖起（最好是放在防火的保險柜）；個人運算機及運算機終端及打印機,都不應(yīng)在登陸狀態(tài)下被擱置ー旁,不用時應(yīng)該用鑰匙、口令以及其它操縱愛護;進來的及發(fā)出的郵件及無人看管的傳真機及電報機,都要統(tǒng)統(tǒng)被愛護起來;敏銳或保密信息的打印信息,應(yīng)趕忙從打印機上撕掉。財物的搬遷設(shè)備、信息或軟件不應(yīng)沒有授權(quán)就搬離。如需要同時合適,設(shè)備借出和歸還都要有登記。應(yīng)進行現(xiàn)場檢查有沒有擅自搬動財物。職員應(yīng)被通知有如此的現(xiàn)場檢查。.通訊與操作的治理8.!操作步驟及責(zé)任目的:確保信息處理設(shè)備運作正確及安全。應(yīng)該建立治理及操作所有信息處理設(shè)備的責(zé)任及程序,包括制定適當(dāng)?shù)牟僮髦甘炯笆鹿史磻?yīng)程序。在適當(dāng)?shù)牡攸c，應(yīng)實行責(zé)任隔離制度以減少疏忽或濫用系統(tǒng)的風(fēng)險。文檔化操作程序應(yīng)記錄及愛護安全策略所確定的操作程序，這文檔應(yīng)被視為是正式的文檔,有治理層授權(quán)才能改動。程序應(yīng)講明能夠每個作業(yè)的詳細(xì)執(zhí)行的講明,包括:信息的處理及調(diào)度;調(diào)度要求,包括與其它系統(tǒng)之間的相互依靠關(guān)系、最早開始的作業(yè)的時刻及最遲完成作業(yè)的時刻;處理錯誤或其它專門條件的指示,例如在執(zhí)行作業(yè)時出錯,緣故時禁止事業(yè)系統(tǒng)工具（參看9.5.5）；專門輸出處理指示,例如使用專門的文具或保密輸出的治理,包括安全排除失敗作業(yè)輸出的程序;發(fā)生系統(tǒng)失效時系統(tǒng)重起和復(fù)原的程序。也要為與信息處理及通訊設(shè)備有關(guān)的常務(wù)活動預(yù)備有講明的程序,如運算機開始及關(guān)閉的程序、備份、設(shè)備愛護、運算機房及郵件處理治理及安全。操作變動的操縱信息處理設(shè)備及系統(tǒng)的變動應(yīng)受到操縱,治理不足是導(dǎo)致系統(tǒng)或安全失效的常見緣故,因此要有一套正式的治理責(zé)任及程序,以保證妥善操縱所有設(shè)備、軟件或程序的更換。操作程序的變動應(yīng)該被嚴(yán)格操縱。當(dāng)更換程序時，應(yīng)有審計日志記錄所有有關(guān)信息。更換操作環(huán)境會阻礙應(yīng)用系統(tǒng)。如許可，操作及應(yīng)用系統(tǒng)的操縱更換程序應(yīng)融合（參看10.5.1）在ー起,專門是要注意以下事項:確認(rèn)及記錄重大的變動;評估這些更換的阻礙;對更換方案有正式的批準(zhǔn)程序;與所有有關(guān)人員溝通變更的詳情;確認(rèn)專門中止及復(fù)原失敗變更的責(zé)任的程序。安全事件治理程序應(yīng)建立事件治理的責(zé)任及程序，以確保快速、有效及有序反應(yīng)安全事件（參看6.3.1）。以下是要注意的事項:確立包括所有會發(fā)生的安全事件種類的程序，包括:信息系統(tǒng)失敗及服務(wù)丟失；拒絕服務(wù);因未完成或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)所引致的錯誤；泄密；除了正常應(yīng)急打算（用來第一時刻復(fù)原系統(tǒng)或服務(wù)）之外，程序應(yīng)包括:（參看6.3.4）分析及確定事件發(fā)生的緣故;補救方法的打算及實施，以免再次發(fā)生；收集審計追蹤及其它類似證據(jù)；與受阻礙的、或與復(fù)原事件的人員保持聯(lián)系；把所作的行動報告有關(guān)當(dāng)局；應(yīng)收集審計追蹤及其它類似證據(jù)（參看12.1.7）,并儲存妥善,以備為:內(nèi)部分析事件使用;作為破壞合同、違法或民事或犯罪訴訟（例如關(guān)于濫用運算機或數(shù)據(jù)愛護條例）的證據(jù);索取軟件及服務(wù)供應(yīng)商的賠償;復(fù)原安全事件所造成的破壞及復(fù)原系統(tǒng)失效的行動應(yīng)受到正式的嚴(yán)格操縱,確保:只準(zhǔn)許有明確指名的合法職員進入正在使用的系統(tǒng)及數(shù)據(jù)（參看4.2.2的第三方的訪咨詢）；詳細(xì)記錄所有緊急行動；向治理層報告所進行的緊急行動,并有條不紊地檢查；業(yè)務(wù)系統(tǒng)及操縱的完整性應(yīng)在最短時刻內(nèi)確認(rèn)無誤；責(zé)任分開制責(zé)任分開制是減少意外或濫用系統(tǒng)風(fēng)險的方法。分開治理或執(zhí)行某任務(wù)或負(fù)責(zé)范疇,目的是減少非法更換或錯誤使用信息或服務(wù)的機會。小機構(gòu)會發(fā)覺這方法專門難實現(xiàn)，但方法的原則仍舊能夠在最大范疇之內(nèi)實現(xiàn)。如果發(fā)覺專門難分開,能夠考慮其它治理方法例如監(jiān)控活動、審計跟蹤及治理監(jiān)督,但要注意安全審計的責(zé)任必須是獨立的。應(yīng)小心沒有一個人獨自負(fù)責(zé)某責(zé)任時,造假犯案后沒有人明白。應(yīng)把事件的啟動與授權(quán)分開，要注意以下:要注意分開那些需要共謀犯案的活動,例如；簽發(fā)訂貨單及收貨檢驗;如果有共謀的危險,應(yīng)制定操縱需要兩個或多個人共同檢查,把共謀的機會減低；開發(fā)及正式使用設(shè)備的分開把開發(fā)、測試及正式使用設(shè)備分開對分開有關(guān)角色是專門重要的,應(yīng)制定及寫明軟件從開發(fā)轉(zhuǎn)成正式使用的規(guī)定。開發(fā)及測試活動會引起嚴(yán)峻的咨詢題,例如不必要的文件或系統(tǒng)環(huán)境的更換,或系統(tǒng)失敗的不必要更換。應(yīng)考慮分開正式使用、測試及開發(fā)環(huán)境的程度,防止運作出錯。同樣,開發(fā)及測試設(shè)備之間也有類似的分開。如此就需要有一個穩(wěn)固的環(huán)境進行有用的測試,以及防止開發(fā)員借機會訪咨詢。當(dāng)開發(fā)及測試職員能夠訪咨詢正在使用的系統(tǒng)及信息時,他們能夠放置非法及未測試的代碼,放置惡意代碼或更換操作數(shù)據(jù),利用這些技巧在某些系統(tǒng)上做假,嚴(yán)峻阻礙系統(tǒng)的操作。開發(fā)人員及測試人員也有嫌疑會泄露正式使用的信息。開發(fā)及測試活動如果共享同一個運算機環(huán)境，會對軟件及信息帶來不必要的改動。因此最好把開發(fā)、測試及正式使用的設(shè)備分開,以減少被意外更換或非法進入正在使用的軟件及業(yè)務(wù)數(shù)據(jù)的風(fēng)險。要考慮的操縱有:開發(fā)及正在使用的軟件,在可能情形下,應(yīng)在不同的機器上運行;開發(fā)及測試活動應(yīng)進可能分開;編譯器、編輯器及其它系統(tǒng)工具,如果正在使用的系統(tǒng)沒有需求,就不讓訪咨詢;正在使用及測試系統(tǒng)應(yīng)使用不同的登陸程序,目的是減少出錯的機會。應(yīng)鼓舞用戶使用不同的口令登陸這些系統(tǒng),及菜單應(yīng)顯示適當(dāng)?shù)拇_認(rèn)消息;開發(fā)職員只能在有操縱的情形下存取正在使用的口令,操縱應(yīng)保證□令被使用后趕忙被改掉。外部設(shè)備的治理使用外來合同供應(yīng)商治理信息處理設(shè)備可能會加大暴露信息的機會,例如有可能在合同供應(yīng)商的地點破壞、損壞或丟失數(shù)據(jù),對這些風(fēng)險的顯現(xiàn)事先要有個估量,然后把治理這些風(fēng)險的適當(dāng)操縱寫入合同中（參看4.2.2及4.3,看看有關(guān)第三方進入機構(gòu)設(shè)備及外包合同的指引）。要解決的專門咨詢題有:確認(rèn)那些最好在機構(gòu)內(nèi)儲存的敏銳或重要的應(yīng)用系統(tǒng)；取得業(yè)務(wù)應(yīng)用系統(tǒng)所有者的同意;業(yè)務(wù)連續(xù)性打算的阻礙;應(yīng)該制定那ー類的安全標(biāo)準(zhǔn),以及測試是否符合標(biāo)準(zhǔn)的程序;分配指定的責(zé)任及程序,來監(jiān)控所有關(guān)于安全的活動；報告及處理安全事件的責(zé)任及程序（參看8.1.3）系統(tǒng)規(guī)劃及接收目的:把系統(tǒng)失效的風(fēng)險降到最低。事前應(yīng)有周詳?shù)拇蛩慵邦A(yù)備,使有足夠的儲存量及資源可用。至于對日后儲存擴展的要求，也要事先有個打算,以防顯現(xiàn)系統(tǒng)超載的風(fēng)險。新系統(tǒng)在接收及交付前應(yīng)通過測試,并確立及寫下運作要求。儲存量的打算應(yīng)小心監(jiān)控系統(tǒng)儲存的要求,以及好好打算以后的儲存要求，以保證有足夠的處理能力及儲存容量。打算應(yīng)包括考慮新業(yè)務(wù)及系統(tǒng)的要求，以及機構(gòu)信息處理系統(tǒng)的當(dāng)前及以后的趨勢。大型機器需要專門處理,因為機器價格昂貴及添加手續(xù)的時刻會比較長。大型機器服務(wù)的經(jīng)理應(yīng)監(jiān)控重要系統(tǒng)資源的使用情形,包括處理器、要緊內(nèi)存、文件儲存、打印機及其它輸出設(shè)備,以及通訊系統(tǒng)。經(jīng)理要負(fù)責(zé)確定使用的趨勢,專門是業(yè)務(wù)應(yīng)用系統(tǒng)或MIS工具。經(jīng)理應(yīng)利用這些統(tǒng)計數(shù)據(jù)找出及幸免會威逼系統(tǒng)安全或用戶服務(wù)的潛在瓶頸,并打算適當(dāng)?shù)难a救行動。系統(tǒng)接收應(yīng)建立一套新信息系統(tǒng)、更新及新版本的接收標(biāo)準(zhǔn),以及接收前要有進行系統(tǒng)測試。經(jīng)理們要清晰講明、統(tǒng)ー、記錄及測試新系統(tǒng)的接收標(biāo)準(zhǔn)。要注意的包括:性能及運算機儲存要求;錯誤復(fù)原及重起程序,和應(yīng)急打算;所有從日常操作程序到標(biāo)準(zhǔn)的籌備及測試;統(tǒng)ー要實施的安全操縱；有效的手工程序；業(yè)務(wù)連續(xù)性的安排,如11.1所提及；新系統(tǒng)安裝的證據(jù)可不能嚴(yán)峻阻礙現(xiàn)有系統(tǒng)，專門是處理高峰期,例如月末;充分考慮新系統(tǒng)成效對機構(gòu)安全的阻礙的證據(jù);操作及使用新系統(tǒng)的培訓(xùn)。關(guān)于重大的新開發(fā)，應(yīng)在每一時期與操作部門及用戶協(xié)商,以保證新系統(tǒng)方案的使用效率。應(yīng)進行適當(dāng)?shù)臏y試來確認(rèn)已符合所有接收標(biāo)準(zhǔn)。應(yīng)付惡意軟件目的:愛護軟件及信息的完整性。應(yīng)該有防范措施來防止及檢測有沒有惡意軟件。軟件及信息處理設(shè)備最容易受到惡意軟件的攻擊,例如運算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬（參看10.5.4）及邏輯炸彈。用戶應(yīng)明白有這些非法的危險或惡意軟件的存在。在適當(dāng)?shù)那樾蜗?經(jīng)理們應(yīng)實施操縱檢測或防止這些東西的顯現(xiàn)。專門是,一定要有防范措施檢測及防止個人運算機上的病毒。操縱惡意軟件應(yīng)實施檢測及防范措施操縱來愛護惡意代碼,及舉辦適當(dāng)?shù)挠脩舭踩庾R培訓(xùn)。惡意軟件的愛護應(yīng)該基于安全意識、適當(dāng)?shù)南到y(tǒng)訪咨詢及更換治理操縱。能夠考慮的操縱有:符合軟件授權(quán)許可的正式策略,以及禁止非法軟件的使用（參看12.1.2.2）；要有一個正式的策略指定要實施那些儲存措施,愛護不受通過或通過外部網(wǎng)絡(luò)或從任何其它途徑取得的文件及軟件所帶來的風(fēng)險威逼。（參看10.5,專門是10.5.4及10.5.5）；安裝及定期更新防病毒及修復(fù)軟件,為防范或日常操作目的掃描運算機及儲備設(shè)備;定期檢查支持重要業(yè)務(wù)進程的軟件及其數(shù)據(jù)內(nèi)容,如發(fā)覺有任何非法文件或更換,應(yīng)正式深入調(diào)查;在使用前,檢查所有來源不明或非法的電子文件,或從不信任網(wǎng)絡(luò)上所接收的文件,檢查有沒有病毒；使用前，檢查電子郵件附件及下載文件有沒有惡意軟件。如此的檢查能夠在不同地點進行,例如在電子郵件服務(wù)器,桌面運算機或進入機構(gòu)網(wǎng)絡(luò)的地點；關(guān)于愛護系統(tǒng)病毒入侵的治理程序及責(zé)任、培訓(xùn)用戶如何使用、如何報告復(fù)原病毒入侵。（參看6.3及8.1.3）；病毒入侵后復(fù)原系統(tǒng)的業(yè)務(wù)連續(xù)性打算,包括所有備份及復(fù)原數(shù)據(jù)及軟件的程序（參看第11條款）；檢查所有與惡意軟件有關(guān)的信息的程序,以及保持警示的信息正確及有用。部門經(jīng)理應(yīng)查看警示的信息來源是可靠的,例如來自有名望的專業(yè)雜志、可靠的網(wǎng)站或者防病毒供應(yīng)商,用來辨論那些是虛假病毒、那些是真病毒。職員也要明白虛假病毒的咨詢題,以及萬一接收這些虛假病毒時,明白該干什么。這些操縱對支持大數(shù)量的網(wǎng)絡(luò)文件服務(wù)器是專門重要的。備份及復(fù)原性常務(wù)治理目的:愛護信息處理及通訊服務(wù)的完整性及可用性。應(yīng)訂立日常程序?qū)嵤┙y(tǒng)ー備份策略（參看11.1）,定期備份數(shù)據(jù)及演練即時復(fù)原、記錄事件及錯誤,以及在適當(dāng)時候,監(jiān)控設(shè)備的環(huán)境。信息備份應(yīng)定期備份拷貝重要業(yè)務(wù)信息及軟件。要有足夠的備份設(shè)備把所有重要的業(yè)務(wù)信息及軟件在災(zāi)難發(fā)生或儲存設(shè)備失敗時復(fù)原。個不系統(tǒng)也要定期備份，以符合業(yè)務(wù)連續(xù)性打算（參看第11條款）的要求。要考慮的有:指定最低限度的備份信息,保留備份拷貝及復(fù)原程序的正確和完整的記錄,并存放在一個遠(yuǎn)程的地點上,以免主網(wǎng)絡(luò)地點發(fā)生災(zāi)難時可不能被波及。重要的業(yè)務(wù)應(yīng)用系統(tǒng)至少要保留三代的信息備份拷貝;信息備份拷貝要有足夠的物理及環(huán)境愛護（參看第7條款）,標(biāo)準(zhǔn)應(yīng)與主網(wǎng)絡(luò)地點一致。在主網(wǎng)絡(luò)地點實施的操縱也應(yīng)在備份地點實施;備份介質(zhì)應(yīng)定期同意檢查,如實際許可，保證在緊急情形時能夠使用;復(fù)原程序應(yīng)定期同意檢查及測試，以確保在復(fù)原操作程序所預(yù)定的時刻內(nèi)完成。應(yīng)確定重要業(yè)務(wù)信息的儲存期以及其它需要永久儲存的歸檔拷貝的儲存期（見!2.1.3）〇操作員日志操作職員應(yīng)保留一份記錄自己活動的日志，要包括的有:系統(tǒng)開始及完成時刻;系統(tǒng)錯誤及所進行的改正操作；正確處理數(shù)據(jù)文件及運算機輸出的確認(rèn);記錄日志表目的人名。對錯誤進行記錄應(yīng)報告錯誤及記錄所進行的改正操作。用戶所報有關(guān)信息處理或通訊系統(tǒng)的錯誤,應(yīng)被記錄放在日志中。應(yīng)該有清晰的規(guī)定講明如何處理報上的錯誤,包括:核查報出錯誤的日志,檢查清晰錯誤已中意解決;核查改正機制,檢查清晰操縱沒有被破壞,以及所進行的改正操作完全有授權(quán)。網(wǎng)絡(luò)治理目的:保證網(wǎng)絡(luò)中信息的安全及愛護支持架構(gòu)的安全。網(wǎng)絡(luò)的安全治理可能要跨部門，需要治理層注意。可能也需要愛護通過公用網(wǎng)傳輸?shù)拿翡J數(shù)據(jù)的操縱。網(wǎng)絡(luò)操縱愛護運算機網(wǎng)絡(luò)的安全需要一系列的操縱。網(wǎng)絡(luò)治理員應(yīng)實施操縱，愛護網(wǎng)絡(luò)中的數(shù)據(jù)、連接的服務(wù)不被非法訪咨詢，專門是,要注意以下方面:網(wǎng)絡(luò)的操作責(zé)任應(yīng)與運算機操作分開（參看8.1.4）；治理遠(yuǎn)程設(shè)備（包括用戶使用中心的設(shè)備）的責(zé)任及程序;如有需要,要指定專門的操縱保證經(jīng)公用網(wǎng)傳輸?shù)臄?shù)據(jù)的保密性及完整性,和愛護連接的系統(tǒng)的安全（參看9.4及10.3）。也需要專門的操縱保持網(wǎng)絡(luò)服務(wù)及連接運算機的可用時刻；治理工作應(yīng)被緊密和諧,一方面是讓業(yè)務(wù)盡量使用服務(wù)，另一方面是保證操縱在整個信息處理架構(gòu)都有效用。介質(zhì)的處理與安全目的:防止資產(chǎn)的缺失及業(yè)務(wù)的停頓。儲存介質(zhì)應(yīng)受到操縱和物理愛護。要有合適的操作程序愛護文檔、運算機介質(zhì)（磁帶、磁盤）、I/O數(shù)據(jù)及系統(tǒng)文檔不受損、不丟失和被非法訪咨詢。可移動運算機介質(zhì)的治理應(yīng)有治理可移動運算機介體（例如磁帶、磁盤、打印報表）的程序,可考慮的有:如果不再需要,可重用介質(zhì)中的往常內(nèi)容應(yīng)該統(tǒng)統(tǒng)清除;所有機構(gòu)要清除的介質(zhì)應(yīng)有授權(quán),應(yīng)把所有清除操作記錄,當(dāng)作日后審計跟蹤之用;所有介質(zhì)應(yīng)按制造商的規(guī)格儲存在安全的環(huán)境中。所有程序及授權(quán)級不都要記錄。介質(zhì)的清除不再需要的的介質(zhì),應(yīng)該安全地予以清除，因為如果處理不當(dāng)，就會泄露敏信息,所有應(yīng)制訂正式的清除程序,把風(fēng)險減到最低。有敏銳信息的介質(zhì)應(yīng)安全地予以儲存及清除，例如燒掉或撕碎,或使用另ー個機構(gòu)內(nèi)應(yīng)用系統(tǒng)把內(nèi)容清除;以下是一列可能需要安全清除的東西:紙文件;錄音;復(fù)寫紙;輸出報表;一次性打印色帶；磁帶;可換的磁盤或盒式磁帶;光盤（所有形式,包括所有生產(chǎn)商的軟件光盤）；程序列表；測試數(shù)據(jù)；系統(tǒng)講明文檔；把所有介質(zhì)收集并安全地清除，比分出敏銳信息容易；專門多機構(gòu)提供收集及清除的服務(wù),清除紙、設(shè)備及介質(zhì)。要小心選擇ー個治理完善、體會豐富的服務(wù)商;應(yīng)記錄敏銳信息的清除,如可能,保留一份審計跟蹤記錄。當(dāng)收集需要清除的介質(zhì)時,應(yīng)考慮越來越多的情形,可能會顯現(xiàn)有一大堆不保密的信息，比ー少量保密信息更敏銳。信息處理的程序應(yīng)制訂ー套處理及儲存信息的程序,以便愛護這類信息不被非法公布或濫用。程序應(yīng)按信息在文件、運算機系統(tǒng)、網(wǎng)絡(luò)、移動運算機、移動通訊、郵件、聲音郵件、ー樣語音通訊、多媒體、郵件服務(wù)/設(shè)備,傳真機的使用等中分類（參看5.2）,或其它敏銳文件,例如空支票、發(fā)票。要考慮的有（參看5.2及8.7.2）：所有介質(zhì)的處理及標(biāo)簽（參看8.7.2（1））；出入口的操縱,確認(rèn)非法人員;保留一份合法接收數(shù)據(jù)的正式記錄;保證輸入數(shù)據(jù)是完整、處理正當(dāng)完成及已進行輸出的檢查;愛護等待輸出的假脫機數(shù)據(jù),程度與數(shù)據(jù)的敏銳程序一致;介質(zhì)按生產(chǎn)商規(guī)格的環(huán)境儲存;把要分發(fā)的數(shù)據(jù)減到最底;把所有拷貝數(shù)據(jù)標(biāo)識清晰,注明合法接收者的姓名;定期查核分發(fā)列表及合法接收者列。系統(tǒng)講明文檔的安全系統(tǒng)文檔有專門多敏銳信息,例如應(yīng)用進程的講明、程序、數(shù)據(jù)結(jié)構(gòu)、授權(quán)進程（參看9.1）。關(guān)于愛護系統(tǒng)講明文檔不被非法訪咨詢的操縱有:應(yīng)安全地儲存系統(tǒng)講明文檔；訪咨詢系統(tǒng)講明文檔的人員應(yīng)該減到最少,并由應(yīng)用擁有者授權(quán);在公用網(wǎng)上的、或通過公用網(wǎng)提供的系統(tǒng)講明文檔,應(yīng)有適當(dāng)?shù)膼圩o。信息與軟件的交換目的:防止在機構(gòu)交換之間的信息不丟失、不被更換及濫用。機構(gòu)之間的信息及軟件交換應(yīng)受到操縱,并符合所有有關(guān)法律（參看第12條款）。應(yīng)按協(xié)議條款進行交換,制訂愛護傳輸中信息及介質(zhì)的程序及標(biāo)準(zhǔn),考慮與電子數(shù)據(jù)交換、電子商務(wù)及電子郵件的業(yè)務(wù)及安全因素,以及操縱的要求。信息及軟件交換協(xié)議機構(gòu)之間信息及軟件（電子的或手工的）的交換應(yīng)按協(xié)議（有些可能是正式的，包括第三者儲存附帶條件委付蓋印的軟件契約）進行。協(xié)議的安全內(nèi)容應(yīng)反映所交換的業(yè)務(wù)信息的敏銳程度。要考慮的安全條件有:操縱及通知傳送、分派及接收的治理責(zé)任;通知發(fā)送者、傳送、分派及接收的程序;包裝及傳送的最低技術(shù)標(biāo)準(zhǔn);速遞確認(rèn)的標(biāo)準(zhǔn);數(shù)據(jù)丟失時的責(zé)任;使用統(tǒng)ー的標(biāo)簽系統(tǒng)標(biāo)簽敏銳或重要的信息,保證標(biāo)簽清晰易明白、信息適當(dāng)?shù)厥艿綈圩o;信息及軟件的擁有者,以及數(shù)據(jù)愛護的責(zé)任,軟件版權(quán)的遵守及其它（參看12.1.2及!2.1.4）；記錄及閱讀信息及軟件的技術(shù)標(biāo)準(zhǔn)；需要的其它專門操縱以愛護敏銳的東西,例如密鑰（參看10.3.5）傳遞中介質(zhì)的安全信息在物理運輸時,例如通過郵遞服務(wù)或者速遞公司，會受到非法訪咨詢、濫用或被破壞，因此要實施操縱保證機構(gòu)之間在傳遞時的運算機介質(zhì)。a）應(yīng)使用可靠的運輸和速遞公司。治理層應(yīng)該授權(quán)使用那家速遞公司,并定期檢查確實是使用統(tǒng)一安排的速遞公司;b）按生產(chǎn)商的規(guī)格使用可靠的包裝愛護運輸時可不能物理破壞介質(zhì)的內(nèi)容;c）如有需要,應(yīng)推行專門的操縱愛護敏銳信息不被非法公布或更換,例如:1）使用加鎖的裝運箱;2）親手遞送;3）防篡改的包裝（能夠顯示有試圖打開的跡象）；4）在專門情形下,把托運物品分多次并按照多途徑遞送;電子商務(wù)的安全電子商務(wù)是指電子數(shù)據(jù)交換（electronicdatainterchangeEDI）、電子郵件及在公用網(wǎng)如互聯(lián)網(wǎng)在在線交易中的使用。電子商務(wù)冒專門多網(wǎng)絡(luò)上的風(fēng)險，例如假冒活動、合同糾紛以及公布或更換信息。因此，要實施操縱來愛護電子商務(wù)的安全:1）認(rèn)證。客戶及商家對對方稱述的身份有多少信心程度?2）授權(quán)。誰授權(quán)設(shè)置價格、簽發(fā)或簽名重要的交易文檔?貿(mào)易伙伴如何明白?3）合同及投標(biāo)過程。保密性、完整性及分派證明及接收重要文檔的收據(jù)的要求，以及合同抗抵賴性的要求是什么?4）價格信息。所推廣的廣告價有多少屬實?敏銳的折扣信息的保密程度有多高?5）定單交易。定單、支付及交付的詳細(xì)地址、接收確認(rèn)等保密性及完整性有多高?6）核對。核對客戶所提供的支付信息要到多大的程度?7）結(jié)算。防止假冒的最適當(dāng)?shù)闹Ц斗椒ㄊ鞘裁?8）下定單。需要那樣的愛護才能愛護定單的保密性及完整性,以及如何幸免丟失或重復(fù)交易?9）責(zé)任。誰承擔(dān)假冒交易的風(fēng)險?以上好幾點能夠使用密碼技術(shù)解決（參看10.3）（但要注意按有關(guān)法律（參看12.1,專門是12.1.6的密碼法律。貿(mào)易伙伴之間的電子商務(wù)安排,應(yīng)有協(xié)議約束雙方同意的貿(mào)易條款,包括授權(quán)的詳情（參看以上的第2）條）。也可能需要與其它信息服務(wù)及增殖網(wǎng)絡(luò)提供商簽定類似協(xié)議。公布貿(mào)易的系統(tǒng)應(yīng)公布它們對客戶的業(yè)務(wù)條款。應(yīng)充分考慮電子商務(wù)主機被攻擊后的復(fù)原，以及任何網(wǎng)絡(luò)互聯(lián)的安全對電子商務(wù)的阻礙。電子郵件的安全安全風(fēng)險電子郵件是用來溝通業(yè)務(wù),替代傳統(tǒng)的通訊方式如電報及信件，不同的是速度、消息結(jié)構(gòu)、非正式的程度及非法活動的風(fēng)險。應(yīng)考慮實施操縱以減少電子郵件所帶來的安全風(fēng)險，例如:消息非法訪咨詢或被更換的風(fēng)險,或拒絕服務(wù);出錯的風(fēng)險,例如不正確的地址或錯誤轉(zhuǎn)發(fā)，以及服務(wù)的ー樣可靠性及可用性;通訊介質(zhì)的變動對業(yè)務(wù)流程的阻礙,例如加速分派的阻礙,或個人對個人發(fā)送正式消息,或機構(gòu)對機構(gòu)發(fā)送;法律的考慮,例如出示對來源、分派、交付及接收的證明的要求公布從外部訪咨詢的職員名單的阻礙；操縱具有電子郵件賬號的遠(yuǎn)程用戶的訪咨詢。電子郵件的策略機構(gòu)應(yīng)有明確的關(guān)于電子郵件使用的策略,內(nèi)容有:電子郵件的攻擊,例如病毒、截取;電子郵件附件的愛護;何時不能使用電子郵件的指令;職員有責(zé)任愛護機構(gòu)的聲譽,例如不發(fā)送誹謗性電子郵件、不擾亂不人、不進行未經(jīng)認(rèn)可的購物等;使用密碼技術(shù)愛護電子消息的保密性及完整性（參看10.3）；儲存消息,一旦有法律訴訟,能夠趕忙發(fā)覺；額外的用于核對不能認(rèn)證的消息的操縱。電子辦公室系統(tǒng)的安全應(yīng)制訂和實施策略和指導(dǎo)方針，來操縱電子OA的業(yè)務(wù)及安全風(fēng)險。如此,便能夠用不同組合:文檔、運算機、運動辦公、移動通訊、