1、 信息安全管理实施细则目录前言一、信息安全范围二、术语与定义三、安全政策3.1信息安全政策四、安全组织4.1 信息安全基础架构4.2 外部存取的安全管理4.3 委外资源管理五、资产分类与管理5.1 资产管理权责5.2 信息分类六、个人信息安全守则6.1 工作执掌及资源的安全管理6.2 教育培训6.3 易发事件及故障处理七、使用环境的信息安全管理7.1 信息安全区7.2 设备安全7.3 日常管制八、通讯和操作过程管理8.1 操作程序书及权责8.2 系统规划及可行性8.3 侵略性软件防护8.4 储存管理8.5 网络管理8.6 媒体存取及安全性8.7 信息及软件交换九、存取管理9.1 存取管制的工作
2、要求9.2 使用者存取管理9.3 使用者权责9.4 网络存取管制9.5 操作系统存取管理9.6 应用软件存取管理9.7 监控系统的存取及使用9.8 移动计算机及拨接服务管理十、信息系统的开发和维护10.1 信息系统的安全要求10.2 应用软件的安全要求10.3 资料加密技术管制10.4 系统档案的安全性10.5 开发和支持系统的安全性十一、维持运营管理11.1 持续运营的方面十二、合法性12.1 合乎法律要求12.2 对信息安全政策和技术应用的审查12.3 系统稽核的考虑前言何谓信息安全?对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方
3、面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。信息安全的主要特征在于保护其-保密性:确保只有那些经过授权的人员可以接触信息-完整性:保护信息和信息处理办法的准确性和完整性-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体
4、安全目标得以实现。为何需要信息安全?信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。许多信息系统本身的设计就很不安全。
5、通过技术手段达到的安全很有限,因此要通过恰当的管理和流程加以支持。确认采取的管制措施时需要详细审慎的计划和构思。信息安全管理至少要求单位所有员工的参与。同时,也要求供货商、客户和股东的参与。单位外部的专家建议有时也很必要。如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。如何设置安全要求?单位能够确认其安全方面的要求至关重要。在这方面,主要有三个来源:第一个来源是对单位面临的风险进行评估。通过风险评估,可以确认单位的资产所面临的威胁,评估其弱项和危险发生的可能性,并对其潜在的冲击加以估计。第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、
6、规章或契约方面的要求。第三个来源是单位为支持其运营而开发出的一套针对信息处理的原则、目标和要求。评估安全风险安全要求是通过对安全风险的系统评估而确认的。管制方面的支出需要和安全失控时产生的危害进行平衡和比较。风险评估技巧可运用到整个组织或局部,也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。风险评估要求对如下因素进行系统考虑:- 安全失误所造成的经营性破坏,要求考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果- 现行威胁和弱点导致安全失误的现实可能性,及目前实施的管制手段在管理信息安全风险和实施管制手段防范风险时,上述评估结果有助于指导和决定采取适
7、当的管理行动及其优先程度。评估风险和选择管制手段的过程可能需要重复几次,以便涵盖单位的不同部分或单个的信息系统。对安全风险和实施的管制要进行定期回顾,以便 考虑运营要求和优先性方面所发生的变化-考虑新的威胁和薄弱环节确认所采取的管制手段仍然有效恰当根据以前评估的结果和管理层能够接受的风险程度,上述回顾应当按不同程度开展。风险评估一般先在较高层次上开展,以便对高风险领域的资源进行优先分类,然后从细节开展,目的是对付具体风险。选择管制手段安全要求一旦确定之后,就应选择并实施管制手段以确保风险被降到一个可接受的水平。管制手段可从本文件或别的管控手册中选择;还可以设计新管控办法来满足具体的需求。管理风
8、险有许多不同的办法,本文件列出了一些常用的手段。然而,需要认识的是有些手段并不是适用与所有信息系统或环境,也不一定适合所有的单位或组织。比如,本文件.1描述了如何对权责进行分类以便防止诈骗或失误。对许多小的单位或组织来说,这种办法就不一定适合,而另外的办法可能更好一些。管制的选择应当基于相对风险而言执行管制时的成本。也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。本文件中的某些管制手段可以用作多数单位的信息安全管理的指导原则。其细节在下述的“信息安全起始点”中将加以详细描述。信息安全起始点几条管制手段作为指导原则提供了信息安全执行方面的起始点。它们或者基于重大的立法要求,或者被认
9、为是信息安全领域内的最佳实施手法。从立法角度审视,对单位十分重要的管制手段主要包括:甲、知识产权(详见12.2)乙、保护单位记录(详见2.1.3)丙、数据保护和个人隐私(详见1.)对信息安全来说被认为是最佳实施手段的管制手段包括:甲、信息安全政策文件(详见3.11)乙、信息安全权责的分配(详见4.3)丙、信息安全教育和培训(详见6.2.1)丁、安全事故的回报(详见6.3.1)戊、持续运营管理(详见11.1)这些管制手段适用于多数单位和多数情形。应当注意的是,尽管本文件所述的管制手段很重要,但所有手段的适用性仍然取决于具体的当事情形。因此,上述的步骤虽然是很好的起点,它并不取代基于具体风险评估而
10、导出的管制手段。重大成功因素以往经验证实各单位要确保执行信息安全管理的成功需考虑如下重大因素:- 安全政策,目标和反应单位运营目标的活动- 符合单位文化的安全防卫模式- 管理层明显的支持和承诺- 对安全要求、风险评估和风险管理的充分理解- 向所有管理人员和员工推行安全概念的有效途径- 向所有员工和承包方发放有关本单位信息安全政策和标准的指导纲要- 提供恰当的培训和教育- 一整套用于评估信息安全管理表现及反馈改进意见的测量系统制定本单位的大纲本指导条例可用作各单位依据本身具体情况制定自己内部信息安全指导大纲的基础。本条例所描述的指导原则和管制手段也并不一定适合所有单位的情况。因此,有必要适时加以
11、调整。一、信息安全范围此部分针对各单位内部从事安全工作的人员提出了信息安全管理方面的建议。其目的是提供一个公共平台以各单位制定各自的安全标准和有效的安全管理手段,并增强各单位就此进行交流时的信心。二、术语与定义在本文件中,下列术语其定义如下:2.1 信息安全对信息保密性、完整性和可得性的保护。保密性被定义为确保唯有经过授权的人员方可存取信息。完整性被定义为保护信息和信息加工方法的准确和完全。可得性被定义为确保经授权的人员在必要时能存取信息和相关资产。2.2 风险评估对信息和信息处理设施的弱点、其所受威胁、后果及其发生概率的评估。2.3 风险管理以可以接受的成本,对影响信息系统的安全风险进行辨认
12、、控制、减少或消除的过程三、安全政策3.1 信息安全政策目标:为信息安全提供管理指导和支持。管理层应制定一套清晰的指导原则,并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。3.1.1 信息安全政策文件信息安全政策文件在经管理层批准后,要印行并颁发给单位的所有员工。该文件要阐明管理层对信息安全的承诺,并提出单位信息安全的管理方法。它至少要包括如下部分:- 对信息安全的定义,其总体目标和范围,安全作为信息分享确保机制的重要性- 支持信息安全目标和原则的管理意向声明- 对安全政策、原则、标准和应达到要求的简要解释,比如:1)符合立法和契约的规定;2)安全教育方面的要求;3)对
13、病毒和其它有害软件的预防和检测;4)持续运营管理;)违反安全政策的后果等;- 信息安全管理的总体和具体权责的定义,包括安全事故回报等;- 用以支持政策的文献援引;例如,适用于具体信息系统的更详细的安全政策和流程,或使用者应当遵守的安全条例等;本政策应以恰当、易得、易懂的方式向单位的标的使用者进行传达。3.1.2 审核与评估本政策要求有专人按既定程序对其进行定期检讨和审订。检讨和审订的过程要能够反应风险评估方面所发生的新变化,譬如重大安全事故、组织或技术基础设施上出现的新漏洞,等等。为此,要求对下列事项进行定期、有计划的审订:- 政策的有效性,可通过记录在案的安全事故的性质、数目和影响来论证-
14、对运营效率进行管制的成本及影响- 技术变化的影响四、安全组织4.1 信息安全基础架构目标:管理单位内部的信息安全。建立管理框架,以展开并管制单位内部信息安全的实施。同时,应建立适当的信息安全管理委员会对信息安全政策进行审批,对安全权责进行分配,并协调单位内部安全的实施。如有必要,在单位内部设立特别信息安全顾问并指定相应人选。同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段,并在发生安全事故时建立恰当的联络渠道。在此方面,应鼓励跨学科的信息安全安排,比如,在经理人、用户、程序管理员、应用软件设计师、审计人员和保安人员间开展合作和协调,或在保险和风险管理两个学科领域间进行专业交流
15、等。4.1.1 信息安全管理委员会信息安全是管理团队各成员共同承担的责任。因此,有必要建立一个信息安全管理委员会来确保信息安全方面的工作指导得力,管理有方。该委员会旨在通过适当的承诺和合理的资源分配提携单位内部的安全。其可为现有管理机构的一部分,主要行使如下职能:- 审订并批准信息安全政策和总体权责- 监督信息资产所面临威胁方面出现的重大变化- 审订并监督安全事故- 批准加强信息安全的重大举措所有有关的安全活动都应由一位经理负责。4.1.2 部门间协调在较大的单位内,有必要建立一个由各个部门管理代表组成的跨功能信息安全委员会来协调信息安全的实施。这样一个机构的功能包括:- 批准单位内信息安全方
16、面的人事安排和权责分配- 批准信息安全的具体方法和流程,如风险评估、安全分类体系等- 批准并支持单位内信息安全方面的提议,如安全意识课程等- 确保安全成为信息计划程序的一部分- 针对新系统或服务,评估其在信息安全方面的充足程度并协调其实施- 评定信息安全事故- 在全单位范围内以显要之方式提携对信息安全的支持4.1.3 权责分配保护各项资产及实施具体安全流程的权责应有明确定义。信息安全政策应当提供单位内安全人事和权责分配方面的具体指导原则。针对具体的地点、系统或服务的不同,可对此政策酌情进行补充。对各项有形、信息资产及安全程序所在方应承担的责任,如持续运营计划,也要加以明确定义。在某些单位内,需
17、任命一名信息安全经理负责发展实施安全、支持指定管制手段方面的有关事宜。但是,涉及资源分派和实施管制的事务仍应交由各部经理负责。通常的做法是为每项信息资产都指定一个负责人,由他来时时负责资产的日常安全。信息资产的负责人可将其安全权责代理给各部经理或服务提供方,但他对资产的安全仍负有最终的责任,并要求能确认代理权没有被滥用或误用。对各经理所负责的各安全领域进行定义十分重要;特别是要做到如下几点:- 和各系统有关的资产和安全程序要加以清楚辨别和定义- 负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案- 授权级别要清晰定义并记录在案4.1.4 信息处理设备的授权流程要建立起针对新信息
18、处理设施的管理授权流程。要考虑如下要素:- 新设施要有适当的使用者管理审批制度,以此对使用目的和使用情况进行审批。批准由负责当地信息系统安全环境的经理发给,并做到符合相关安全政策和要求。- 如必要,对软件和硬件进行检查,确保其和其它系统部件向匹配。- 使用个人信息处理设备处理公务信息及其相关必要之管制手段皆需经过批准。- 在公务场合使用个人信息处理设备本身可导致安全漏洞,因此要经过评估和批准。以上管制在联网的环境中尤其重要。4.1.5 专业信息安全顾问许多单位可能需要专业信息安全顾问。此职位最好由单位内部某位资深信息安全顾问担当。但不是所有单位都想聘用专业信息安全顾问。因此,特建议单位指定一位
19、具体个人来协调单位内部信息安全知识与经验方面的一致,及辅助该方面的决策。担此职务的人要和外部专家保持联系,能提出自己经验以外的建议。信息安全顾问或相应的外部联络人员的任务是根据自己的或外部的经验,就信息安全的所有方面提出建议。他们对安全威胁评估及提出管制建议的质量决定了单位信息安全的有效性。为使其建议的有效性最大化,应允许他们接触全单位管理的各个方面。如怀疑出现安全事故或漏洞,应尽早向信息安全顾问咨询,以获得专家指导或调查资源。尽管多数内部安全调查通常是在管理管制下进行,但仍可以委托信息安全顾问提出建议,领导或实施调查。4.1.6 组织间合作和有关执法、监管、信息服务和电讯运营部门保持良好的联
20、系,确保在安全事故时能或得其建议以便迅速采取行动。同样,也应考虑参加安全组织和行业论坛并成为其成员。安全信息的交换要加以严格限制,确保单位的保密信息不被传给没有经过授权的人员。4.1.7 信息安全审核的独立性信息安全政策文件规定了信息安全的政策和权责。对其实施的审核应独立开展,确保单位的做法恰当地反应了政策的要求,并确保实施方面的可行性和有效性。此类审核可由单位内部审计部门开展,也可由独立经理人或专门从事审核的第三方组织开展,只要这些人员具有适当的技能和经验。4.2 外部存取的安全管理目标:外来单位存取单位内部信息及信息处理设施时的安全管理。第三方接触本单位的信息处理设备要对其进行管制。如业务
21、需求第三方必须接触本单位的信息处理设备,则应对此行为的安全后果和管制要求进行风险评估。管制内容经双方同意,要在合同中加以定义。外方存取可能还会涉及到别的参与方。为此,和第三方签订的合同中还应涵盖对此授权的指定及其存取的条件。本标准可用作制定此类合同或考虑委外信息加工时的基础。4.2.1 第三方存取的风险鉴别4.2.1.1 存取的类别允许第三方存取的类别至关重要。比如,跨网络存取的风险和物理存取的风险是完全不同的。应考虑的存取类别包括:- 物理存取,如办公室、电脑房、档案柜等- 逻辑存取,如单位的数据库、信息系统等4.2.1.2 存取的原因允许第三方存取可能有若干原因。例如,这个第三方可能是在向
22、单位提供服务,但又不在现场,只能给其一定物理和逻辑存取途径,比方:- 需要系统级别或低级别应用功能的硬件和软件支持人员- 和本单位交换信息、存取信息系统或分享数据库的贸易伙伴或合资公司如没有充足的安全管理,允许第三方存取会给信息带来风险。因此,在有需求接触其它方信息时,要进行风险评估,确定管制的要求。同时,要考虑存取的类别、信息的价值、第三方使用的管制手段,以及让他方接触本单位信息的可能后果。4.2.1.3 现场承包方按合同规定可在现场滞留的第三方也可导致安全隐患。例如,在现场的第三方可以包括:- 硬件和软件维护和支持人员- 清洁、料理、保安和其它委外的支持服务人员- 学生员工及其它短期临时工
23、作人员- 顾问知道需采取哪些管制手段管理第三方对信息处理设备的存取至关重要。总体而言,和第三方签订的合同中要反应所有有关的安全要求和内部管制手段。例如,如有特殊要求保守信息秘密,就要和第三方签订保密协议(见6.)在相应管制手段布置周备或和第三方合同签订之前,不得允许第三方存取本单位信息或接触信息处理设备。4.2.2 与第三方存取单位签约时的安全要求涉及第三方接触本单位信息处理设备的安排应当基于正式的合同,该合同中要包括或提到所有的安全要求,以便确保符合单位的安全政策和标准。合同还要确保单位和第三方之间没有任何误会。单位在证实第三方的可靠性方面要做到完全放心。合同中可考虑包括如下要素:- 信息安
24、全的总体政策- 资产保护,包括1)保护单位资产的流程,包括信息和软件;2)诊断资产是否受到破坏的流程,包括数据的损失或修改;3)确保在合同期末或合同期间任意时间点归还或销毁信息的管制手段;)完整性和可得性;)限制信息的复制和泄漏- 所提供的所有服务的描述- 标的服务水准和不可接受的服务水准- 人员调动的规定- 合同双方各自的相关责任- 法律方面的责任,比如,数据保护方面的法规,要特别考虑到在合同牵涉到多国组织件合作时各国法律体系的不同(见2.1)- 知识产权和版权的分配(见12.1)及合作成果的保护(见.1.3)- 存取管制合同,包括1)允许的存取办法和管制手段,以及特别标记的运用如使用者身份
25、证和密码;2)对使用者存取和权限的授权过程;3)要求准备一份批准使用服务的个人使用者的名单并载明他们的使用权限- 定义有效的表现评判标准并对其进行监督和回报- 监督、撤销使用者活动的权力- 对合同权责进行审计或指定别人对其审计的权力- 建立解决问题的升级流程;在适当的情况下还要考虑应急安排- 硬件和软件安装和维护方面的责任- 清晰的回报结构和业经同意的回报格式- 清晰具体的变化管理流程- 确保管制手段得以实施的物理保护管制手段和机制- 对使用者和管理者进行培训的方法、流程和安全- 确保防范病毒软件的管制手段(见8.3)- 用于回报、通知和调查安全事故和安全违规的安排- 第三方涉及合同的分包4.
26、3 委外资源管理目标:委外加工处理时相关信息的安全管理。在各方签订的合同中,委外方面的安排要规定信息系统、网络和或桌面系统环境方面的风险、安全管制和流程。4.3.1 委外加工处理合约内的安全需求如单位需将其信息系统、网络和或桌面操作环境系统的管理和管理任务部分或全部地委托给他方实施,此方面的安全要求在有关各方签订的合同中加以规定。例如,合同应当规定:- 如何满足诸如数据保护等方面的法律要求- 进行哪些安排去确保委外的各方(包括分包方)能意识到其担负的安全责任- 如何维持并检验单位资产的完整性和保密性- 采取哪些物理和逻辑管制手段来限制使用者接触单位的敏感商业信息- 在发生灾难的情况下如何继续或
27、得服务- 对委外设备采取何种水准的物理安全保护- 审计权.2.2条款中所述的条件也可作为此合同考虑的要素。本合同应当允许双方在安全管理计划中对安全要求和流程进行扩展。尽管委外合同可导致一些复杂的安全问题,其准则中包括的管制手段可被用作安全管理计划的结构和内容的起点。五、资产分类与管理5.1 资产管理权责目标:确保信息资产得以适当保护。所有重大的信息资产都要有记录和主管人员。对资产的负责制度将确保对其进行有效的保护。其主管人员在经指定后要分配其在此方面的主要职责和管制办法。实施管制的任务可委托给他人,但最后的责任要由资产的主管人员承担。.1.1资产的盘点对资产的盘点可帮助确保有效的资产保护,也可
28、用于其它经营目的,如健康和安全、保险或财务方面的原因。编制资产盘点的流程是风险管理的重要方面。单位要能辨明其资产和这些资产的相对价值和重要性。基于这些信息,单位就可以提供和资产价值及重要性相应的保护级别。对各个信息系统的重要资产都要编制资产清单并加以保存。每个资产都要清楚辨明,其主管人员及安全类别(见5.)、现在的位置等都要确认并登记。与信息系统有关的资产举些例子可能包括:- 信息资产:数据库和数据文件、系统文件、使用手册、培训材料、操作和支持流程、持续经营计划、存档信息等- 软件资产:应用软件、系统软件、开发工具和用具等- 物理资产:电脑设备(包括处理器、显示器、笔记本电脑、调制解调器等),
29、通讯设备(路由器、PAX、传真机、答录机等),磁力媒体(录音带、光盘等),其它技术仪器(电源、空调设备等),家具及辅助设施- 服务:计算和通讯服务,通用设备,如供暖、照明、电、空调等5.2 信息分类目标:确保信息资产得到恰当的保护。对信息进行分类,显示其用途、优先程度和保护级别。信息具有不同的敏感度和重要性。有些信息需要额外的保护和处置。信息分类系统就是确认信息的保护级别,并采取恰当的特殊处置手段。5.2.1 分类原则信息分类及相关的保护管理办法应符合分享信息或限制信息的要求,符合此类需要所带来的相关后果,例如,对信息的未经批准的使用和毁坏。总而言之,对信息进行分类是决定如何处理和保护该信息的
30、一个捷径。要对数据分类系统的信息和输出进行标示,以决定此类信息对单位而言其价值和敏感度的级别。同样也可按照此类信息对单位的重要程度进行分类标示,例如,按照其完整性和可得性。经过一段时间之后,信息经常不再敏感或重要,例如,在信息变成公开信息之后。因此,要考虑这些方面,因为过细的分类会增加额外的费用。分类知道大纲应当预测并承认信息分类有时间性并岁政策变化而变化这一事实(见9.)。还要考虑分类范畴的标号及其益处。太复杂的标号系统用起来很费劲,即不经济也不实用。在接触和使用别单位的标号系统时要注意,因为他们的标号虽然和本单位的相同但含义可能完全不同。对信息类事务(包括文件、数据记录、数据文件或软盘)分
31、类进行定义并进行周期性审订的任务应由信息原来的的制造者或指定的主管人员来完成。5.2.2 信息标示及携带根据单位制定的分类原则,制定一整套信息标识和操作流程是非常重要的。这些流程要涵括以物理和电子形式存在的信息资产。针对每个类别,所定义的操作流程要包括如下类型的信息处理活动:- 复制- 存储- 以邮件、传真、电子邮件方式进行的传送- 以声音,包括移动电话、语音邮件、答录机等方式进行的传送- 销毁含有敏感重要信息的系统其输出应加以恰当的分类标示。此标示要求能够反应根据5.2.条款进行分类的类别。需要考虑进行标示的物品包括打印出的报告、屏幕显示、被记录的媒体(包括磁带、软盘、光盘、录音带等)、电子
32、消息和传送等。物理标示通常是最恰当的标示。但是,有的信息资产如以电子方式存在的文件,不能对其进行物理标示,在此情况下需考虑对其进行电子标示。六、个人信息安全守则6.1 工作执掌及资源的安全管理目标:降低错误、偷窃、欺骗或设备误用的风险。安全的权责应当在对员工进行聘用的阶段就开始实施,还应包括在合同中,并在以后员工的聘用期内时时进行监督。对潜在的待聘员工应加以仔细充分的筛选(见6.1.),特别是从事敏感工作的员工。所有使用信息处理设备的员工或第三方都要签署保密或不泄密协议。6.1.1 工作权责涵盖的安全需求单位信息安全政策中规定的安全角色和责任当在工作定义中恰当标明(见3.1)。这些要求包括实施
33、或维护安全政策以及保护特别资产或开展特别安全程序或活动时的具体权责。6.1.2 人员任用政策在单位终身职员申请工作时,对其进行资格审查。这应当包括如下内容:- 申请人是否具备充分的人品推荐材料,例如,可以是一份工作推荐,一份个人推荐- 对申请人简历的完整性和准确性进行检查- 对申请人声称的学术和资格证明进行认证- 独立的身份认证(通过护照或相应的身份证明材料)工任命或提升员工时,只要其涉及到接触信息处理设备,特别是处理敏感信息的设备,如处理财务信息或其它高度机密的信息的设备,单位需要对该员工进行信用调查。对握有大权的员工此类信用调查更要定期开展。对合同工和临时工也要开展类似的审查。如果上述人员
34、通过中介机构推荐给单位,则单位要和该机构签订合同,在合同中载明该中介机构要对被推荐人进行审查责任,以及中介机构在未对被推荐人进行审查或对审查结果有疑惑或怀疑时通知单位的必要程序。管理人员要对那些新来的或没有经验的但却得到授权可接触敏感系统的员工进行监视。对所有员工的工作都要进行定期审核,审核审批的程序有员工中的某位资深人士来制定。管理人员应当认识到其部下的个人环境会影响其工作。个人或财务上的问题会影响他们的工作,导致行为或生活方式的改变及多次旷工;压力或忧郁的表现可能导致欺诈、盗窃、错误或其它安全问题。对这类信息的处理要依据单位作在地区的适当法律程序加以解决。6.1.3 保密协议保密协议的目的
35、是对信息的保密性加以说明。雇员在受雇时,应和单位签署保密协议,此协议为员工守则的一部分。没有签署保密协议的闲散员工或第三方在接触信息处理设备之前必须签署有关保密协议。在雇佣合同或条款发生变动时,特别是员工要离开单位或其合同到期时,要对保密协议进行审订。6.1.4 员工守则该守则应载明雇员在信息安全方面的职责。如有必要,这些职责即使在雇佣关系结束后也应保持一定的有效期。其中应当包括员工违反安全规定时应采取的行动。员工的合法职责和权利,例如在版权法或数据保护法方面的权责,应得以清楚定义,并包括在员工守则中。员工数据分类和管理方面的职责也要包括在内。如有必要,员工守则应当规定这些权责不仅适用于单位范
36、围内,而是可以延伸到单位以外或正常工作时间以外,例如在家工作的情况。(参见.2和 9.1)6.2 教育训练目标:确保使用者在日常工作中了解如何看待和关心信息安全,并支持单位的安全政策。使用者应得以安全流程和正确使用信息处理设备方面的培训,以将可能的安全风险降至最低限度。6.2.1 信息安全的教育和培训单位的所有职员,以及在必要情况下涉及的第三方用户,都应定期接受安全政策和流程方面的教育和培训。这包括安全要求、法律职责和业务管制,以及正确使用信息处理设备方面的培训,例如,登录流程、软件包的使用等。6.3 易发事件及故障处理目标:发生易发事件及故障时如何将损害降至最小、监督类似事件并从中学习。安全
37、事故应通过适当的管理渠道尽快加以回报。所有员工和合同方都要认识如何回报影响单位资产安全的不同类型的事故。发生事故后,他们要把所有看到或怀疑的事故尽快地报告给指定联络人。单位要建立正式的处罚条例来惩治违反安全规定的员工。要恰当地对事故进行处理,杂发生事故后要尽快搜集有关证据(参见12.7)。6.3.1 安全事故回报发现安全事故后,应立即通过适当管理渠道回报。要建立正规的回报流程和事故反应流程,规定接到事故报告后应采取的行动。所有员工和合同方都应认识回报安全事故的操作流程,并被要求尽快加以回报。同时,建立适当的反馈流程来确保这些安全事故在处理完毕之后处理结果得以反馈。发生过的安全事故可用作安全培训
38、的例子,向使用者解释会发生哪些事故,如何反应,及以后如何避免此类事件等(参见12.1)。6.3.2 安全漏洞回报要求信息服务用户记录并回报任何其觉察或怀疑存在的安全漏洞。他们要把这些漏洞或者报告给管理人员或者直接尽快报告给服务提供商。应向使用者强调,无论在何种情况下,他们都不要试图对怀疑的漏洞进行论证。这对他们自身有益处,因为他们进行论证的行为有可能被误认为是潜在地错误使用系统。6.3.3 软件功能障碍回报要求建立并遵守软件功能障碍回报流程。可以考虑采取如下行动:- 问题的征兆和任何在显示屏上出现的信息都要加以记录- 如有可能,对电脑进行隔离,并停止继续使用。并马上通知有关当局。如需要对设备进
39、行检查,在重新启动之前应将其从单位网络上撤下。使用的软盘不得再在其它电脑上使用。- 有关事故应马上回报给信息安全经理。6.3.4 从事故中学习要求建立相应机制,对事故或功能障碍的类型、级别和损失程度进行量化、监督。这类信息可用作以后辨别重发事故或危害重大的功能障碍。这也表示有必要提高或增加额外的管制措施来限制未来事故的发生频率、降低其危害和成本,并审订安全审核流程。6.3.5 违规处置流程雇员如违反单位安全政策和流程,应通过正式的违规处置流程加以处理(参见6.和 1.1.7)。此类流程可用作警示,防止员工忽视单位的安全流程。此外,要确保能合理、公正地处理那些被怀疑是违反安全操作的员工。七、设备
40、及使用环境的信息安全管理7.1 信息安全区目标:保护企业所在地及信息免于未经授权的存取、破坏及入侵。关键或敏感的商业信息处理设备应放置在安全的区域,由安全防御带、适当的安全屏障和准入管制手段加以保护,以防它们物理上被非法进入、毁坏或干扰。提供的保护措施应当和风险相一致。建议采用清桌和清屏政策来降低对文件、媒体和信息处理设备非法存取或破坏的风险。7.1.1 信息安全区的实体区隔单位应通过安全实体区隔来保护信息储存处理设施的区域。每个区隔都可以提供更高的安全系数,从而增强总体的安全水平。单位应使用安全防御带来保护放置信息处理设备的区域(参见.3)。安全防御带即指构成区隔的东西,例如是一面墙,一道凭
41、卡片进入的门,或值班的接待台等。每个区隔的位置和力度取决于风险评估的结果。在适当的情况下可以考虑下列的指导原则和管制手段:- 安全防御带应当清楚定义- 放置信息处理设备的楼房或场所的防御带从物理角度应当非常可靠。场所的外墙应当是坚固的建筑物,所有的外门都应能防止非法的进入,比如通过安装管制机制、铁条、警报、安全锁等。- 在通往场所或楼房的通道上还应当配备值班接待台或其它类似机构,确保只有经过授权的人员才能得以靠近通往上述场所的通道。- 如有必要,物理区隔还应扩展到从地板到天花板的区间以防止非法进入或水、火灾等造成的环境污染。- 安全防御带内所有的防火门都应安装报警器,并随时处于紧闭状态。7.1
42、.2 信息安全区进出管制在信息安全区采取适当出入管制,确保只有经授权的人员得以进入。可考虑如下的管制措施:- 监视或禁止来安全区域的访问者。访问者的进入和离开数据及其时间要有记录。来访者只有在有明确经过授权的任务时才允许访问安全区,并要被告知安全区内的安全要求及紧急流程。- 对敏感信息和信息处理设备的通路进行管制,只有经过授权的人员才得以进入。同时使用身份识别管制手段,如刷卡或个人身份号码等对所有准入进行授权或认证。所有进入都要求有记录,并加以妥当保存。- 所有人员都要求佩戴清晰可见的身份辨认标志,并鼓励对未经陪伴陌生人或任何未佩戴标志的人员进行盘问。- 对进入安全区域的权限要定期进行审核和更
43、新。7.1.3 信息安全办公室、处所、设备安全区域可为上锁的办公室或物理意义的安全防御带内的几间房间,其本身可以上锁,也可以内置上锁的保险柜或保险箱。选择和设计安全区时,应考虑火灾、水灾、爆炸、暴乱或其它形式的自然或人为灾害所造成的损坏的可能性。还要考虑险关的健康和安全条例及标准。同时,也要考虑来自邻近场所的安全威胁,例如来自其它楼宇的漏水等等。可考虑如下的管制手段:- 关键设备的放置要能够放置公众的接触- 楼房要防止太过显眼,尽量避免显示其用途,楼内外禁止设置暗指此处有信息处理活动的标牌或标记。- 辅助功能设备,如复印机、传真机等,要放置在安全区内合适的位置,避免因外人接触而导致的信息泄漏。
44、- 房间无人时,门窗都要上锁关闭;窗户,特别是一楼的窗户,要安装必要的外部保护设施。- 所有的外门的外窗都要安装合乎职业标准的入侵检测系统,并对其进行定期检测。无人区特别要保持随时警戒。其它区域也要提供安全保护,如电脑房和通讯房等。- 从物理上把本单位管理的信息处理设备和第三方管理的信息处理设备进行区隔。- 显示本单位敏感信息处理设备的电话本或通讯录要避免被公众获得。- 把危险或易燃品保存到一个离安全区适当安全距离的地方。除非另加要求,诸如文具等的大宗物品不得储存在安全区。- 备用设备或媒体工具应放置在离设备稍远的地方,以防主场地毁坏时同时被毁。7.1.4 信息安全区内工作守则为进一步加强已采
45、取物理保护措施的安全区的安全,应制定附加的信息安全区内工作守则。这些包括针对在安全区工作的人员或第三方的管制,也包括对其活动的管制。可考虑如下原则:- 各人员对安全区的存在及其内活动当知之则知之,不当知之则不许知之。- 为安全和防止坏人破坏起见,对安全区内所有工作实施监视。- 无人安全区应采取物理手段加以封闭,并定期查看。- 应限制第三方辅助服务人员进入安全区或敏感信息处理设备,只在必要时才许其进入。同时,进入要进行授权和监视。安全防御带内部具有不同安全要求的区域之间的通道要采取格外的隔离和防护措施。- 除非经过授权,否则在安全区内禁止使用摄影、录象、录音或其它记录仪器设备。7.1.5 交接区
46、的隔离对交接区进行管制;如有必要,将其与信息处理设施进行隔离,并避免未经授权的进入。此类区域的安全要求必须通过风险评估后才能确定。可考虑采用如下原则:- 只允许经过授权且已辨明身份的人从楼外进入交接区。- 交接区的设计应做到使送货人员只在此卸货而不能走到楼内其它区域去。- 在交接区内门敞开的情况下,交接区外门应保持关闭状态。- 把进入的货物从交接区转到使用区之前要对其进行检查,确保没有潜在危险存在(参见7.2.1d)。- 进入货物在抵达时要进行登记(参见5.1)。7.2 设备安全目标:防止资产的遗失、损坏、危害及企业正常活动的中断。设备应从物理上防止受到安全威胁或环境上的破坏。有必要对设备,包括那些外借的设备,进行必要的保护,以降低数据被非法存取、遗失或破坏的风险。同时应考虑设备的座落和处置。要求有特别的管制手段来保护对设备的非法使用,并对诸如电源和电缆基础设施等辅助设备进行保护。7.2.1 设备座落及防护对设备座落加以保护,使其免受周围环境造成的威胁或损坏,并
浙ICP备2021020529号-1 | 浙B2-20240490 
