信息安全管理標(biāo)準(zhǔn)

信息安全管理標(biāo)準(zhǔn)WorldwideStandardsHavingtroublelocatinganoverseasstandard?BSIhasthesolutionWITHBSI,YOURSEARCHISOVERBEFOREIT,SEVENBEGUNWorldwideStandardsDirectisthefast,cost-effectivestandardsservice.Contactuson:Informationsecuritymanagement一Part1:Codeofpracticeforinformationsecuritymanagement信息安全治理標(biāo)準(zhǔn)第一部分:信息安全治理慣例名目WorldwideStandards2Havingtroublelocatinganoverseasstandard?BSIhasthesolution2WITHBSI,YOURSEARCHISOVERBEFOREIT'SEVENBEGUN2第一部分:信息安全治理慣例 4序18簡(jiǎn)介19什么是信息安全?19什么緣故需要信息安全 19如何制定安全需求20評(píng)估信息風(fēng)險(xiǎn)20安全操縱的選擇21信息安全的動(dòng)身點(diǎn)22重要的成功因素22開發(fā)你自己的指導(dǎo)方針 23.范疇23.術(shù)語與定義23信息安全23風(fēng)險(xiǎn)評(píng)估 23風(fēng)險(xiǎn)治理23.安全策略24信息安全策略24信息安全策略文件 24復(fù)審及評(píng)估24.安全組織25息安全架構(gòu)25治理信息安全論壇25信息安全的和諧25信息安全責(zé)任的分配26息處理設(shè)備的授權(quán)步驟27信息安全專家的意見27組織之間的合作27信息安全的獨(dú)立復(fù)審28第三方訪咨詢的安全28確認(rèn)第三方訪咨詢的風(fēng)險(xiǎn)29訪咨詢的種類29訪咨詢的緣故29.3現(xiàn)場(chǎng)合同方294.2.2第三方合同的安全要求304.3外包服務(wù)31外包合同的安全要求31.資產(chǎn)分類與操縱32資產(chǎn)的使用講明32資產(chǎn)清單32信息分類33分類的指南33信息標(biāo)注及處理33.人員安全34崗位定義及資源分配的安全34崗位責(zé)任的安全34人事過濾及策略35保密協(xié)議35雇傭條款36用戶培訓(xùn)36信息安全教育及培訓(xùn)36安全事件及失常的反應(yīng)措施36報(bào)告安全事件37報(bào)告安全的弱點(diǎn)37報(bào)告系統(tǒng)的故障37吸取教訓(xùn)38處罰程序38.物理與環(huán)境的安全38安全區(qū)域38物理安全地帶38物理入口的操縱39愛護(hù)辦公室、房間及設(shè)備39在安全地帶工作40隔離的交付及裝載地點(diǎn)41設(shè)備的安全41設(shè)備的放置及愛護(hù) 42電カ的供應(yīng)42電纜線路的安全43設(shè)備的愛護(hù) 43設(shè)備離開大廈的安全44設(shè)備的安全清除或重用44ー樣操縱45收拾桌子及清除屏幕的策略45財(cái)物的搬遷46.通訊與操作的治理46操作步驟及責(zé)任46文檔化操作程序46操作變動(dòng)的操縱47安全事件治理程序 47責(zé)任分開制48開發(fā)及正式使用設(shè)備的分開48外部設(shè)備的治理49系統(tǒng)規(guī)劃及接收 50儲(chǔ)存量的打算50系統(tǒng)接收50應(yīng)付惡意軟件51操縱惡意軟件51備份及復(fù)原性常務(wù)治理52信息備份53操作員日志53對(duì)錯(cuò)誤進(jìn)行記錄53網(wǎng)絡(luò)治理54網(wǎng)絡(luò)操縱54介質(zhì)的處理與安全54可移動(dòng)運(yùn)算機(jī)介質(zhì)的治理 55介質(zhì)的清除55信息處理的程序56系統(tǒng)講明文檔的安全56信息與軟件的交換57信息及軟件交換協(xié)議57傳遞中介質(zhì)的安全57電子商務(wù)的安全58電子郵件的安全59安全風(fēng)險(xiǎn) 59電子郵件的策略59電子辦公室系統(tǒng)的安全60可公用的系統(tǒng)60其它形式的信息交換61TOC\o"1-5"\h\z.訪咨詢操縱 62訪咨詢操縱的業(yè)務(wù)需求62訪咨詢操縱策略62策略及業(yè)務(wù)需求 62訪咨詢操縱規(guī)定 63用戶訪咨詢的治理63用戶登記63特權(quán)治理64用戶ロ令的治理65用戶訪咨詢權(quán)限的檢查65用戶責(zé)任65口令的使用66無人看管的用戶設(shè)備66網(wǎng)絡(luò)訪咨詢操縱67網(wǎng)絡(luò)服務(wù)的使用策略67強(qiáng)制式路徑67外部連接的用戶認(rèn)證68網(wǎng)點(diǎn)認(rèn)證69遠(yuǎn)程診斷端口的愛護(hù)69網(wǎng)絡(luò)的隔離69網(wǎng)絡(luò)連接操縱70網(wǎng)絡(luò)路由的操縱70網(wǎng)絡(luò)服務(wù)的安全71操作系統(tǒng)的訪咨詢操縱 71自動(dòng)認(rèn)證終端71952終端的登錄程序72953用戶標(biāo)識(shí)及認(rèn)證72ロ令治理系統(tǒng)73系統(tǒng)工具的使用74為保證安全的人員配備強(qiáng)迫警鐘 ?4終端超時(shí)74連接時(shí)刻的限制75應(yīng)用系統(tǒng)的訪咨詢操縱 75信息訪咨詢的限制75敏銳系統(tǒng)的隔離76系統(tǒng)訪咨詢和使用的監(jiān)控76事件記錄76監(jiān)控系統(tǒng)的使用77風(fēng)險(xiǎn)的程序及區(qū)域779.722風(fēng)險(xiǎn)因素77對(duì)事件進(jìn)行日志記錄和審查78時(shí)鐘的同步78移動(dòng)操作及遠(yuǎn)程辦公78移動(dòng)操作79遠(yuǎn)程工作80.系統(tǒng)開發(fā)與愛護(hù)82系統(tǒng)的安全要求82安全要求分析及規(guī)格82應(yīng)用系統(tǒng)中的安全82輸入數(shù)據(jù)的核實(shí)83內(nèi)部處理的操縱83有風(fēng)險(xiǎn)的地點(diǎn)83檢查及操縱83消息認(rèn)證841024輸出數(shù)據(jù)的核實(shí)84密碼操縱85密碼操縱的使用策略 85加密85數(shù)字簽名86不可抵賴服務(wù)87密鑰治理87密鑰的愛護(hù)87標(biāo)準(zhǔn),程序及方法87系統(tǒng)文件的安全88運(yùn)行軟件的操縱89系統(tǒng)測(cè)試數(shù)據(jù)的愛護(hù) 89源程序庫的訪咨詢操縱89開發(fā)及支持程序的安全90改動(dòng)操縱程序 90操作系統(tǒng)改動(dòng)的技術(shù)檢查91更換軟件包的限制91隱藏通道及特洛伊代碼92外包軟件的開發(fā)92.業(yè)務(wù)連續(xù)性治理93關(guān)于業(yè)務(wù)連續(xù)性治理93業(yè)務(wù)連續(xù)性治理的過程93業(yè)務(wù)連續(xù)性及阻礙的分析94撰寫及實(shí)施連續(xù)性打算94業(yè)務(wù)連續(xù)性打算的框架94測(cè)試、愛護(hù)及重新評(píng)估業(yè)務(wù)連續(xù)性打算95測(cè)試該打算95愛護(hù)及重新評(píng)估該打算96.遵循性 97是否遵守法律97確定適用的法律97知識(shí)產(chǎn)權(quán)97版權(quán)97軟件版權(quán)97保證機(jī)構(gòu)的記錄98數(shù)據(jù)愛護(hù)及個(gè)人信息的隱私99防止信息處理設(shè)備被濫用99密碼操縱的規(guī)定100證據(jù)的收集100證據(jù)的規(guī)則!00證據(jù)的適用性101證據(jù)的質(zhì)量和完備性101核對(duì)安全策略及技術(shù)合格性101與安全策略一致102技術(shù)依從性的檢查!02系統(tǒng)審計(jì)的考慮103系統(tǒng)審計(jì)操縱!03對(duì)系統(tǒng)審計(jì)工具的愛護(hù)103第二部分:信息安全治理系統(tǒng)的規(guī)范105疇105語與定義 105息安全治理系統(tǒng)的要求105概要105建立一個(gè)治理架構(gòu)105實(shí)施!05文檔105文檔操縱 !06記錄1064.詳細(xì)監(jiān)控I07安全策略107信息安全策略 107信息安全策略文檔107檢查和評(píng)判!07安全組織!07信息安全基礎(chǔ)設(shè)施107治理層信息安全論壇!07信息安全的和諧107信息安全職責(zé)的分配107信息處理設(shè)施的授權(quán)過程107專家信息安全建議!08各機(jī)構(gòu)之間的協(xié)作108信息安全的獨(dú)立檢查108第三方訪咨詢的安全 108第三方訪咨詢的風(fēng)險(xiǎn)的識(shí)不108在第三方合同中的安全要求108外部采購(gòu)!08在外購(gòu)合同中的安全要求108資產(chǎn)分類與操縱!08資產(chǎn)的可講明性108資產(chǎn)的盤點(diǎn)108信息分類108分類方針 !09信息標(biāo)簽和處理 109人員安全109工作定義和資源中的安全109工作責(zé)任的安全I(xiàn)09職員選擇和策略109保密協(xié)議109雇傭的條款和條件109用戶培訓(xùn)!09信息安全教育和培訓(xùn)!09安全事故與故障的處理109報(bào)告突發(fā)安全事故110報(bào)告安全弱點(diǎn)110報(bào)告軟件故障110從事故中吸取教訓(xùn)110糾正過程110物理與環(huán)境的安全110安全地區(qū)110物理安全邊界110物理接口操縱110愛護(hù)辦公室、房間和設(shè)施110在安全地區(qū)工作110隔離的運(yùn)輸和裝載地區(qū)110設(shè)備安全110設(shè)備放置地點(diǎn)的選擇與愛護(hù)111電源供應(yīng)111電纜安全111設(shè)備愛護(hù)111在機(jī)構(gòu)外部使用設(shè)備時(shí)應(yīng)注意的安全性111設(shè)備應(yīng)該被安全地處理掉和再使用111ー樣操縱111清潔桌面與清潔屏幕策略111資產(chǎn)的刪除111通訊與操作的治理111操作過程與職責(zé)111記錄操作過程111針對(duì)操作變化的操縱112事件治理程序112職責(zé)分離112開發(fā)設(shè)施與操作設(shè)施的分離112外部設(shè)施治理112系統(tǒng)打算與驗(yàn)收!12容量打算112系統(tǒng)驗(yàn)收112針對(duì)惡意軟件的防護(hù)112釆取操縱來防范惡意軟件112內(nèi)務(wù)處理112信息備份!13操作員日志113出錯(cuò)日志113網(wǎng)絡(luò)治理113網(wǎng)絡(luò)操縱113介質(zhì)處理和安全113運(yùn)算機(jī)可移動(dòng)介質(zhì)的治理113介質(zhì)處理113信息處理程序113系統(tǒng)文檔的安全113信息及軟件的交換113信息和軟件的交流協(xié)議113傳輸過程中的介質(zhì)安全114電子商務(wù)安全114電子郵件安全114電子辦公系統(tǒng)的安全114信息公布系統(tǒng)的安全114其它方式的信息交換114訪咨詢操縱!14訪咨詢操縱的商業(yè)需求114訪咨詢操縱策略114用戶訪咨詢治理114用戶注冊(cè)114特權(quán)治理115用戶ロ令治理115用戶訪咨詢權(quán)限審查115用戶職責(zé)!15口令的使用115易被忽略的用戶設(shè)備115網(wǎng)絡(luò)訪咨詢操縱115網(wǎng)絡(luò)服務(wù)的使用策略115增強(qiáng)的路徑115外部連接的用戶認(rèn)證115節(jié)點(diǎn)認(rèn)證!15對(duì)遠(yuǎn)程診斷端口的愛護(hù)115網(wǎng)絡(luò)隔離115網(wǎng)絡(luò)連接操縱116網(wǎng)絡(luò)路由操縱116網(wǎng)絡(luò)服務(wù)的安全性116操作系統(tǒng)訪咨詢操縱116自動(dòng)終端認(rèn)證116終端登錄過程116用戶標(biāo)識(shí)和認(rèn)證116ロ令治理系統(tǒng)116系統(tǒng)工具的使用116用警告信息愛護(hù)用戶116終端超時(shí)116連接時(shí)刻的限制 117應(yīng)用系統(tǒng)的訪咨詢操縱117信息訪咨詢限制 117敏銳系統(tǒng)的隔離117監(jiān)控對(duì)系統(tǒng)的訪咨詢和使用117事件日志117監(jiān)控對(duì)系統(tǒng)的使用情形117時(shí)鐘同步117移動(dòng)運(yùn)算與遠(yuǎn)程工作117移動(dòng)運(yùn)算117遠(yuǎn)程工作117系統(tǒng)開發(fā)與愛護(hù)118系統(tǒng)的安全需求!18安全需求分析與描述118應(yīng)用系統(tǒng)的安全118對(duì)輸入數(shù)據(jù)進(jìn)行有效性確認(rèn)118對(duì)內(nèi)部處理的操縱118消息認(rèn)證!18對(duì)輸出數(shù)據(jù)進(jìn)行有效性確認(rèn)118密碼操縱!18密碼操縱的使用策略118加密118數(shù)字簽名118不可否認(rèn)服務(wù)118密鑰治理118系統(tǒng)文件的安全性119對(duì)業(yè)務(wù)軟件的操縱119對(duì)系統(tǒng)測(cè)試數(shù)據(jù)的愛護(hù) 119對(duì)程序源代碼庫的訪咨詢操縱119在軟件開發(fā)與支持過程中的安全性119變化操縱程序119針對(duì)操作系統(tǒng)變化的技術(shù)審查119限制對(duì)軟件包的修改119隱藏信道和特洛依木馬代碼119外包軟件開發(fā)119TOC\o"1-5"\h\z業(yè)務(wù)連續(xù)性治理 119業(yè)務(wù)連續(xù)性治理的各個(gè)方面 119業(yè)務(wù)連續(xù)性治理的進(jìn)程 120業(yè)務(wù)連續(xù)性與阻礙分析 120連續(xù)性打算的撰寫與實(shí)施120業(yè)務(wù)連續(xù)性打算的框架120測(cè)試、愛護(hù)與重新評(píng)估業(yè)務(wù)連續(xù)性打算120遵循性!20與法律要求的一致性120識(shí)不適用的立法120知識(shí)產(chǎn)權(quán)120愛護(hù)機(jī)構(gòu)的文檔記錄120數(shù)據(jù)愛護(hù)與個(gè)人信息隱私120防止信息處理設(shè)備的誤用 120密碼操縱制度!21證據(jù)收集121安全策略與技術(shù)遵循性的復(fù)審 121與安全策略的一致性121技術(shù)遵循性檢查121系統(tǒng)審計(jì)的考慮121系統(tǒng)審計(jì)操縱121系統(tǒng)審計(jì)工具的愛護(hù)121序BS7799的那個(gè)部分是在BSI/DISC委員會(huì)BDD/2一信息安全治理部監(jiān)督下完成的,用來代替BS77991995.BS7799分兩部分公布:ー第一部分:信息安全治理慣例ー第二部分:信息安全治理規(guī)范簡(jiǎn)介什么是信息安全?信息是一家機(jī)構(gòu)的資產(chǎn),與其它資產(chǎn)ー樣,應(yīng)受到愛護(hù)。信息安全的作用是愛護(hù)信息不受大范疇威逼所干擾,使機(jī)構(gòu)業(yè)務(wù)能夠暢順,減少缺失及提供最大的投資回報(bào)和商機(jī)。信息能夠有多種存在方式,能夠?qū)懺诩埳?、?chǔ)存在電子文檔里,也能夠用郵遞或電子手段發(fā)送,能夠在電影上放映或者講話中提到。不管信息以何種方式表示、共享和儲(chǔ)備,都應(yīng)當(dāng)適當(dāng)?shù)貝圩o(hù)起來。因此信息安全的特點(diǎn)是保留信息的如下特性:保密性(confdentiality):保證信息只讓合法用戶訪咨詢;完整性(integrity):保證信息及其處理方法的準(zhǔn)確性(accuracy),完全性(completeness)；可用性(availability)：保證合法用戶在需要時(shí)能夠訪咨詢到信息及有關(guān)資產(chǎn)。實(shí)現(xiàn)信息安全要有一套合適的操縱(controls),如策略(policies)、慣例(practices)、程序(procedures)、組織的機(jī)構(gòu)(organizationalstructures)和軟件功能(softwarefunctions)〇這些操縱需要被建立以保證機(jī)構(gòu)的安全目標(biāo)能夠最終實(shí)現(xiàn)。什么緣故需要信息安全信息及其支持進(jìn)程、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)。信息的保密性、完整性和可用性對(duì)機(jī)構(gòu)保持競(jìng)爭(zhēng)能力、現(xiàn)金流、利潤(rùn)、守法及商業(yè)形象至關(guān)重要。但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對(duì)來自四面八方的威逼,如運(yùn)算機(jī)輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。缺失的來源如運(yùn)算機(jī)病毒、運(yùn)算機(jī)黑客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜。機(jī)構(gòu)對(duì)信息系統(tǒng)及服務(wù)的依靠意味著更容易受到攻擊。公網(wǎng)和專網(wǎng)的互聯(lián)以及信息資源的共享增加了訪咨詢操縱的難度。分布式運(yùn)算的趨勢(shì)差不多削弱了集中治理的成效。專門多信息系統(tǒng)沒有設(shè)計(jì)得專門安全。利用技術(shù)手段獲得的安全是受限制的,因而還應(yīng)該得到相應(yīng)治理和程序的支持。選擇使用那些安全操縱需要事前小心周密打算和對(duì)細(xì)節(jié)的關(guān)注。信息安全治理至少需要機(jī)構(gòu)全體職員的參與,同時(shí)也應(yīng)讓供應(yīng)商、客戶或股東參與,如果有必要,能夠向外界尋求專家的建議。對(duì)信息安全的操縱如果融合到需求分析和系統(tǒng)設(shè)計(jì)時(shí)期,則成效會(huì)更好,成本也更廉價(jià)。如何制定安全需求識(shí)不出ー個(gè)機(jī)構(gòu)的安全需求是專門重要的。安全需求有三個(gè)要緊來源。第一個(gè)來源是對(duì)機(jī)構(gòu)面臨的風(fēng)險(xiǎn)的評(píng)估。通過評(píng)估風(fēng)險(xiǎn)后,便能夠找出對(duì)機(jī)構(gòu)資產(chǎn)安全的威逼,對(duì)漏洞及其顯現(xiàn)的可能性以及造成多大缺失有個(gè)估量。第二個(gè)來源是機(jī)構(gòu)與合作伙伴、供應(yīng)商及服務(wù)提供者共同遵守的法律、法令、規(guī)例及合約條文的要求。第三個(gè)來源是機(jī)構(gòu)為業(yè)務(wù)正常運(yùn)作所專門制定的原則、目標(biāo)及信息處理的規(guī)定。評(píng)估安全風(fēng)險(xiǎn)安全需求通過系統(tǒng)地評(píng)估安全風(fēng)險(xiǎn)而得到確認(rèn)。實(shí)現(xiàn)安全操縱的費(fèi)用應(yīng)該與由于安全失敗所導(dǎo)致的業(yè)務(wù)缺失之間取得平穩(wěn)。風(fēng)險(xiǎn)評(píng)估能夠在整個(gè)機(jī)構(gòu)或機(jī)構(gòu)的一部分、單個(gè)信息系統(tǒng)、某個(gè)系統(tǒng)部件或服務(wù)上實(shí)行,只要是可行的、現(xiàn)實(shí)的和有益的就能夠了。風(fēng)險(xiǎn)評(píng)估是系統(tǒng)地考慮下列內(nèi)容的結(jié)果:a）安全措施失效后所造成的業(yè)務(wù)缺失,要考慮到信息和其它資產(chǎn)失去保密性、完整性和可用性后的潛在后果;b）最常見的威逼、漏洞以及最近實(shí)施的安全操縱失敗的現(xiàn)實(shí)可能性。評(píng)估結(jié)果會(huì)有助于指導(dǎo)和確定合適的治理行動(dòng)和治理信息安全風(fēng)險(xiǎn)的優(yōu)先次序,以及實(shí)施選擇的來抵御這些風(fēng)險(xiǎn)的合適的安全操縱。風(fēng)險(xiǎn)評(píng)估及安全操縱的選擇的進(jìn)程可能要重復(fù)幾次,以便覆蓋機(jī)構(gòu)不同部門或個(gè)不信息系統(tǒng)。重要的是要定期復(fù)審安全風(fēng)險(xiǎn)和實(shí)施的安全操縱,以便:a）考慮業(yè)務(wù)需求和優(yōu)先級(jí)的變化;b）考慮新顯現(xiàn)的威逼與漏洞;c）確認(rèn)安全操縱仍舊有效同時(shí)合適。復(fù)審應(yīng)該在不同深度上被執(zhí)行,這依靠于往常的復(fù)審結(jié)果和治理層預(yù)備同意的風(fēng)險(xiǎn)的變化水平。風(fēng)險(xiǎn)評(píng)估ー樣是第一從高層開始,目的是提升位于高風(fēng)險(xiǎn)區(qū)的資源的優(yōu)先級(jí),然后在ー個(gè)更詳細(xì)的層次上來講明特定的風(fēng)險(xiǎn)。選擇操縱一旦找出了安全需求,下ー步應(yīng)是選擇及實(shí)施安全操縱來保證把風(fēng)險(xiǎn)降低到可同意的水平。安全操縱能夠從那個(gè)標(biāo)準(zhǔn)或其它有關(guān)標(biāo)準(zhǔn)選擇,也能夠自己設(shè)計(jì)滿足特定要求的操縱。有專門多治理風(fēng)險(xiǎn)的方法,該文檔只提供ー樣方法。然而,應(yīng)了解到ー些安全操縱并不適用于每個(gè)信息系統(tǒng)或環(huán)境,同時(shí)并不是對(duì)所有的機(jī)構(gòu)都可行。安全操縱的選擇應(yīng)該基于實(shí)施該安全操縱的費(fèi)用和由此減少的有關(guān)風(fēng)險(xiǎn)，以及發(fā)生安全事件后所造成的缺失,也要考慮非金鈔票上的缺失,如公司聲譽(yù)的降低等。這份文檔所提供的一些安全操縱能夠作為信息安全治理的指導(dǎo)原則,同時(shí)對(duì)大部分機(jī)構(gòu)差不多上適用的。信息安全的動(dòng)身點(diǎn)有一些安全操縱能夠被看作指導(dǎo)性原則,能夠?yàn)閷?shí)施信息安全提供ー個(gè)好的動(dòng)身點(diǎn)。這些操縱要么是基于法律的規(guī)定,要么被認(rèn)為是信息安全的常用的最佳實(shí)踐和體會(huì)。從立法的觀點(diǎn)動(dòng)身,機(jī)構(gòu)必不可少的安全操縱有:知識(shí)產(chǎn)權(quán)（參看!2.1.2）；對(duì)機(jī)構(gòu)文檔記錄的愛護(hù)（參看!2.1.3）；數(shù)據(jù)愛護(hù)及個(gè)人信息的隱私（參看!2.1.4）O被認(rèn)為是信息安全的最佳實(shí)踐的操縱包括:信息安全策略文檔（參看3.1.1）；信息安全責(zé)任的分配（參看4.1.3）；信息安全的教育與培訓(xùn)（參看6.2.1）；報(bào)告安全事件（參看6.3.1）；業(yè)務(wù)連續(xù)性治理（參看11.Do這些安全操縱在大部分機(jī)構(gòu)及環(huán)境都適用。盡管那個(gè)地點(diǎn)所提到的安全操縱都專門重要,但選出合適的安全操縱應(yīng)考慮機(jī)構(gòu)要面對(duì)的風(fēng)險(xiǎn)。因此，盡管上面所提出的方法是一個(gè)專門好的動(dòng)身點(diǎn),但不能代替在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上選擇出的合適的安全操縱。關(guān)鍵的成功因素體會(huì)表明:以下的因素對(duì)在ー個(gè)機(jī)構(gòu)內(nèi)成功實(shí)施信息安全通常是關(guān)鍵的:反映業(yè)務(wù)目標(biāo)的安全策略、安全目標(biāo)和活動(dòng);與機(jī)構(gòu)的文化保持一致性的安全實(shí)施方法；來自治理層的可見的支持與承諾;對(duì)安全需求、安全評(píng)估及安全治理有良好的明白得;關(guān)于安全的對(duì)所有經(jīng)理及職員的有效宣傳;向所有職員和合作伙伴公布關(guān)于信息安全策略和標(biāo)準(zhǔn)的指南;提供合適的培訓(xùn)與教育;ー套全面而均衡的用來評(píng)估信息安全治理的性能和有關(guān)改進(jìn)安全治理的反饋建議的測(cè)量系統(tǒng)。開發(fā)你自己的指導(dǎo)方針那個(gè)安全實(shí)踐慣例能夠作為開發(fā)特定機(jī)構(gòu)安全指南的動(dòng)身點(diǎn)。并不是該指南的所有方面和操縱差不多上適用的。進(jìn)ー步講,該指南不包含的操縱也可能成為必須的。當(dāng)這種情形發(fā)生時(shí),保留交叉引用是有所助益的,這有利于審計(jì)人員和業(yè)務(wù)伙伴進(jìn)行一致性檢查。.范疇BS7799的這部分內(nèi)容為信息安全治理提供了舉薦建議，那些負(fù)責(zé)起動(dòng)、實(shí)現(xiàn)或愛護(hù)機(jī)構(gòu)安全的人員能夠使用這些建議。目的是為開發(fā)安全標(biāo)準(zhǔn)和有效的安全治理慣例提供ー個(gè)公共基礎(chǔ),并提供在機(jī)構(gòu)之間進(jìn)行交易的信心。.術(shù)語與定義該文檔有下列術(shù)語和定義:信息安全完整性定義為愛護(hù)信息和處理方法的準(zhǔn)確性和完備性?？捎眯远x為保證被授權(quán)用戶在需要時(shí)能夠訪咨詢到信息和有關(guān)資產(chǎn)。風(fēng)險(xiǎn)評(píng)估對(duì)信息和信息處理設(shè)施所面臨的威逼及其阻礙以及信息系統(tǒng)脆弱性及其發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)治理以能夠同意的代價(jià)識(shí)不、操縱、最小化或者排除阻礙信息系統(tǒng)安全的風(fēng)險(xiǎn)的程序。.安全策略信息安全策略目的:提供信息安全的治理方向及支持。治理層應(yīng)該指定清晰的策略方向及大力支持信息安全,并在全機(jī)構(gòu)推行及愛護(hù)信息安全策略。信息安全策略文件一個(gè)策略文件應(yīng)由治理層批準(zhǔn)、印制及向職員公布。策略應(yīng)聲明治理層的承諾,及機(jī)構(gòu)治理信息安全的方法。策略至少要包括以下內(nèi)容:a）信息安全的定義、整體目標(biāo)和范疇以及安全對(duì)信息共享的重要性（參看簡(jiǎn)介）；b）對(duì)治理層的意圖的聲明及支持,以及信息安全的原則;c）安全策略、原則、標(biāo)準(zhǔn)的簡(jiǎn)介,也包括對(duì)機(jī)構(gòu)有專門重要性的法律的要求,例如:1）要符合法律及合同要求;2）安全教育的要求;3）防止及檢測(cè)病毒及其它惡意代碼;4）業(yè)務(wù)連續(xù)性治理;5）違反安全策略的后果。d）信息安全治理的ー樣和特定責(zé)任的定義,包括報(bào)告安全事件;e）支持策略的文檔的參考講明,例如專門信息系統(tǒng)或安全規(guī)定用戶應(yīng)遵守的更詳盡的安全策略及程序。該策略應(yīng)在全機(jī)構(gòu)公布,讓有關(guān)人員訪咨詢和明白得透徹。3.1.2復(fù)審及評(píng)估策略應(yīng)有一個(gè)擁有者,負(fù)責(zé)按復(fù)審程序愛護(hù)及復(fù)審該策略。該復(fù)審程序應(yīng)確保在阻礙原風(fēng)險(xiǎn)評(píng)估基礎(chǔ)的任何改動(dòng)發(fā)生后會(huì)趕忙進(jìn)行復(fù)審,例如發(fā)生重要的安全事件、顯現(xiàn)新漏洞、機(jī)構(gòu)或技術(shù)架構(gòu)的改變。還應(yīng)該定期安排審查以下內(nèi)容:a）系統(tǒng)所記錄的安全事件的本質(zhì)、次數(shù)及阻礙所表明的策略的有效性;b）操縱對(duì)業(yè)務(wù)效率的阻礙和成本;c）技術(shù)改變的成效。.安全組織信息安全架構(gòu)目的:治理機(jī)構(gòu)內(nèi)的信息安全。應(yīng)建立一個(gè)機(jī)構(gòu)治理架構(gòu),在全機(jī)構(gòu)內(nèi)推行及治理信息的安全。應(yīng)由治理層牽頭、組織治理論壇來討論及批準(zhǔn)信息安全策略、指派安全角式及和諧全機(jī)構(gòu)安全的實(shí)施。如有需要,應(yīng)在機(jī)構(gòu)內(nèi)建立一個(gè)信息安全資源庫。應(yīng)開始與不處的安全專家保持聯(lián)系,最終最新的行業(yè)動(dòng)態(tài)、留意業(yè)內(nèi)標(biāo)準(zhǔn)及評(píng)估方法，以及發(fā)生安全事件時(shí)提供適當(dāng)?shù)穆?lián)系方法。應(yīng)從多方面考慮信息安全，例如,調(diào)動(dòng)部門經(jīng)理、用戶、治理員、應(yīng)用系統(tǒng)設(shè)計(jì)者、審計(jì)及安全職員及保險(xiǎn)和風(fēng)險(xiǎn)治理專家共同制定策略。治理信息安全論壇信息安全是所有治理層成員所共有的責(zé)任。ー個(gè)治理論壇應(yīng)確保有明確的安全目標(biāo),及治理層的大力支持。論壇的目是在治理層的承諾及足夠資源的情形下,在全機(jī)構(gòu)內(nèi)推廣安全。論壇也能夠是治理層的一部分,一樣要承擔(dān)的工作有:檢查及批準(zhǔn)信息安全策略及整體責(zé)任監(jiān)控對(duì)暴露于嚴(yán)峻威逼面前的信息資產(chǎn)所作的重大改動(dòng)檢查及監(jiān)控安全事件審批極大提升信息安全的重要舉措應(yīng)有一個(gè)經(jīng)理負(fù)責(zé)所有有關(guān)安全的活動(dòng)。信息安全的和諧在大的機(jī)構(gòu)中,有關(guān)部門的治理人員應(yīng)組成跨過職能部門的安全論壇,來和諧信息安全治理的實(shí)施，論壇ー樣會(huì)是:統(tǒng)一指派機(jī)構(gòu)內(nèi)信息安全的角色和責(zé)任統(tǒng)一制定信息安全的方法和步驟,例如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng)等統(tǒng)一及支持機(jī)構(gòu)的信息安全行動(dòng),例如舉辦安全意識(shí)培訓(xùn)確保安全是信息打算的一部分有新系統(tǒng)或服務(wù)時(shí),評(píng)估個(gè)不信息安全操縱的準(zhǔn)確性,以及和諧信息安全操縱的實(shí)施檢查信息安全事件在全機(jī)構(gòu)內(nèi)提升業(yè)務(wù)方面對(duì)信息安全的支持信息安全責(zé)任的分配應(yīng)明確定義愛護(hù)個(gè)人資產(chǎn)及執(zhí)行某指定安全程序的責(zé)任。信息安全策略（參見條款3）應(yīng)提供如何分配機(jī)構(gòu)安全角式及責(zé)任的ー樣指引。如有需要,應(yīng)附加某個(gè)不網(wǎng)址、系統(tǒng)或服務(wù)更詳細(xì)的指引,也要明確確定物理資產(chǎn)、信息資產(chǎn)及安全進(jìn)程的本地責(zé)任,例如業(yè)務(wù)連續(xù)性打算。專門多機(jī)構(gòu)的信息安全經(jīng)理負(fù)責(zé)整個(gè)安全和操縱的開發(fā)及實(shí)施,然而,查找及實(shí)施操縱的責(zé)任,則是個(gè)不經(jīng)理負(fù)責(zé)。ー個(gè)普遍的做法是定出每種信息安全資產(chǎn)的擁有者,然后這角色負(fù)責(zé)這資產(chǎn)的日常安全。信息資產(chǎn)的擁有者應(yīng)把安全責(zé)任委派到個(gè)不經(jīng)理或服務(wù)提供者。盡管如此,擁有者最終負(fù)責(zé)資產(chǎn)的安全,并能確定任何委派的責(zé)任會(huì)被正確舍棄。應(yīng)明確講明每位經(jīng)理所負(fù)的責(zé)任范疇,專門是:明確定義每個(gè)系統(tǒng)所關(guān)聯(lián)的資產(chǎn)及安全程序統(tǒng)ー那經(jīng)理負(fù)責(zé)那資產(chǎn)或安全程序,并講明責(zé)任的詳情明確定義及講明授權(quán)級(jí)不信息處理設(shè)備的授權(quán)步驟應(yīng)為新的信息處理設(shè)備建立治理授權(quán)步驟,要考慮的有:新設(shè)備要有適當(dāng)?shù)挠脩糁卫砼鷾?zhǔn)手續(xù),授權(quán)設(shè)備的使用及目的,也要有負(fù)責(zé)愛護(hù)本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準(zhǔn),以保證按有關(guān)安全策略及要求執(zhí)行。在任何需要的情形下,檢查清晰軟、硬件是否與其它系統(tǒng)部件兼容。注意:有些連接需要批準(zhǔn)使用個(gè)人信息處理設(shè)備處理業(yè)務(wù)信息的任何授權(quán)操縱在工作地點(diǎn)使用個(gè)人信息處理設(shè)備會(huì)導(dǎo)致新漏洞的顯現(xiàn),因此應(yīng)通過評(píng)估及授權(quán)這些操縱對(duì)互聯(lián)環(huán)境專門重要。信息安全專家的意見專門多機(jī)構(gòu)可能都需要信息安全專家的意見,最好是內(nèi)部有如此體會(huì)豐富的安全專家,但不是每個(gè)機(jī)構(gòu)都想要專家的意見。如果是如此，建議確定一位職員負(fù)責(zé)和諧機(jī)構(gòu)內(nèi)部的安全情況,及提供安全意見。機(jī)構(gòu)也應(yīng)找外部的專家,為自己沒有體會(huì)的安全情況提供意見。信息安全顧咨詢應(yīng)負(fù)責(zé)提供信息安全方方面面的意見,他們對(duì)安全威逼的評(píng)估及對(duì)操縱的意見會(huì)確定機(jī)構(gòu)信息安全的有效性。為了發(fā)揮最大效益,應(yīng)讓顧咨詢能夠直截了當(dāng)與整個(gè)機(jī)構(gòu)的所有治理層接觸。在懷疑發(fā)生安全事件時(shí),應(yīng)在第一時(shí)刻把信息安全顧咨詢請(qǐng)來,以便第一手明白事件的真相,提供最專業(yè)的意見。盡管大部分內(nèi)部安全調(diào)查在治理層的操縱下正常執(zhí)行,但依舊需要信息安全顧咨詢的意見、領(lǐng)導(dǎo)及進(jìn)行調(diào)查。組織之間的合作應(yīng)與執(zhí)法機(jī)構(gòu)、立法機(jī)關(guān)、信息服務(wù)提供者及電信運(yùn)行商保持聯(lián)系,以保證安全事件發(fā)生后,趕忙采取行動(dòng)及取得有關(guān)意見。同樣理由,也考慮與安全組及行業(yè)論壇的成員保持聯(lián)系。有關(guān)安全的信息的交換應(yīng)被禁止,以保證機(jī)構(gòu)的隱秘信息可不能傳到非法人員。信息安全的獨(dú)立復(fù)審信息安全策略文檔（參看3.1.1）講明信息安全的策略及責(zé)任,策略的實(shí)施應(yīng)受到獨(dú)立的檢查,以保證機(jī)構(gòu)的慣例如實(shí)反映策略,同時(shí)是可行的及有效的。如此的檢查能夠由內(nèi)部審計(jì)部門、某經(jīng)理或第三方有關(guān)這方面的機(jī)構(gòu)去執(zhí)行,因?yàn)樗麄冇蟹矫娴募夹g(shù)及體會(huì)。第三方訪咨詢的安全目的:愛護(hù)被第三方訪咨詢的機(jī)構(gòu)信息處理設(shè)備及信息資產(chǎn)的安全。應(yīng)操縱來自第三方的對(duì)機(jī)構(gòu)信息處理設(shè)備的訪咨詢。如有業(yè)務(wù)需要讓第三方訪咨詢,應(yīng)先評(píng)估風(fēng)險(xiǎn)以確定安全內(nèi)容及對(duì)操縱的需求。應(yīng)該統(tǒng)ー要執(zhí)行的操縱并與第三方定義如此的合同。第三方訪咨詢也包括其他參與者。準(zhǔn)許第三方訪咨詢的合同應(yīng)包括其它能夠訪咨詢的參與人員的名稱及條件。那個(gè)標(biāo)準(zhǔn)應(yīng)該被用作訂立如此的合同的基礎(chǔ),也作為考慮需要外包信息處理時(shí)的基礎(chǔ)。確認(rèn)第三方訪咨詢的風(fēng)險(xiǎn)訪咨詢的種類給于第三方訪咨詢的訪咨詢類型是專門專門重要的,例如通過網(wǎng)絡(luò)連接訪咨詢的風(fēng)險(xiǎn)與物理訪咨詢的風(fēng)險(xiǎn)不同。要考慮的訪咨詢類型有:物理訪咨詢,例如進(jìn)入辦公室、運(yùn)算機(jī)房、文件柜等;邏輯訪咨詢,例如存取某機(jī)構(gòu)的數(shù)據(jù)庫、信息系統(tǒng)等。訪咨詢的緣故讓第三方訪咨詢能夠有專門多緣故,舉例,第三方為機(jī)構(gòu)提供服務(wù),但不能現(xiàn)場(chǎng)找到,只能通過物理及邏輯訪咨詢,例如硬件及軟件技術(shù)支持人員,需要訪咨詢到系統(tǒng)級(jí)不或應(yīng)用系統(tǒng)的最底層貿(mào)易伙伴或合資伙伴,需要交換信息、訪咨詢信息系統(tǒng)或共享數(shù)據(jù)庫沒有足夠愛護(hù)的安全治理,讓第三方訪咨詢會(huì)把信息處于危險(xiǎn)的地步。但凡有業(yè)務(wù)需求需要連接到第三方的地點(diǎn)，應(yīng)先進(jìn)行風(fēng)險(xiǎn)評(píng)估,確定要操縱的任何要求。要考慮的有訪咨詢方法、信息的價(jià)值、第三方所采納的操縱,以及如此的訪咨詢對(duì)機(jī)構(gòu)信息安全的阻礙?，F(xiàn)場(chǎng)合同方現(xiàn)場(chǎng)的第三方通過合同所定的一段時(shí)刻后，也會(huì)減弱機(jī)構(gòu)的安全,如此的第三方的例子有:硬件及軟件愛護(hù)及技術(shù)支持人員清潔服務(wù)、膳食服務(wù)、保衛(wèi)服務(wù)及其它外包的支持服務(wù)學(xué)生臨時(shí)短工及其它短期職務(wù)的人員顧咨詢要清晰了解需要那些操縱來治理第三方對(duì)信息處理設(shè)備的訪咨詢。通常,所有因第三方訪咨詢而引致的訪咨詢或內(nèi)部操縱,應(yīng)反映在第三方的合同中（參看4.2.2）舉例,如果有專門需要要保密信息,應(yīng)考慮簽定‘保密協(xié)議’（參看6.1.3）不應(yīng)提供第三方訪咨詢信息及信息處理設(shè)備的能力,除非差不多實(shí)施適當(dāng)?shù)牟倏v及簽定有關(guān)合同并定出連接或訪咨詢的條款。第三方合同的安全要求涉及第三方訪咨詢機(jī)構(gòu)信息處理設(shè)備的安排,應(yīng)該基于正式簽定的合同,包括或參考所有符合機(jī)構(gòu)安全策略及標(biāo)準(zhǔn)的安全要求。合同應(yīng)沒有機(jī)構(gòu)和第三方之間模糊的地點(diǎn)。機(jī)構(gòu)應(yīng)滿足供應(yīng)商的賠償。合同條款能夠考慮以下:信息安全的總策略;資產(chǎn)的愛護(hù),包括:愛護(hù)機(jī)構(gòu)資產(chǎn)的程序,包括信息及軟件;確定是否發(fā)生破壞資產(chǎn)安全事件的程序,例如數(shù)據(jù)的丟失或更換;確保在合同期滿或有效期間歸還或毀滅信息及資產(chǎn)；完整性及可用性；限制拷貝及公布信息；每種可供使用的服務(wù)的講明;服務(wù)的預(yù)期目標(biāo)及不可同意的服務(wù);適時(shí)調(diào)動(dòng)職員的服務(wù)；各方對(duì)協(xié)議所負(fù)的責(zé)任;法律責(zé)任,例如:數(shù)據(jù)愛護(hù)的法律,專門是合同涉及與其它國(guó)家的機(jī)構(gòu)合作時(shí)所牽涉的不同的國(guó)家法律系統(tǒng)（參看12.1）；知識(shí)產(chǎn)權(quán)及版權(quán)（參看12.1.2）,以及任何合作成果的愛護(hù)（參見6.1.3）；訪咨詢操縱協(xié)定,包括:.可容許的訪咨詢方法,以及唯獨(dú)標(biāo)識(shí)符如用戶1D及口令的使用及治理操縱;.用戶訪咨詢及權(quán)限的授權(quán)過程;.儲(chǔ)存ー份合法使用可用服務(wù)的個(gè)人的名單,以及他們的使用權(quán)限;可核查的性能指標(biāo)的定義、監(jiān)控及報(bào)告方法;用于監(jiān)控、注銷用戶活動(dòng)的權(quán)限;審計(jì)合同責(zé)任的權(quán)限,或讓第三方執(zhí)行如此的審計(jì);越級(jí)申請(qǐng)解決咨詢題的手續(xù)；應(yīng)急安排；關(guān)于硬件及軟件安裝及愛護(hù)的責(zé)任；ー個(gè)專門清晰的報(bào)告架構(gòu)及統(tǒng)ー的報(bào)告格式；清晰明白的更換治理程序；任何需要的物理愛護(hù)操縱以及確保按照操縱治理的機(jī)制；對(duì)用戶及治理員的在方法、程序及安全方面的培訓(xùn)；應(yīng)付惡意軟件（參看8.3）的操縱；報(bào)告、通知及調(diào)查安全事件及安全違規(guī)的安排；第三方和轉(zhuǎn)包商之間的關(guān)系。外包服務(wù)目的:當(dāng)信息處理外包到另一家機(jī)構(gòu)時(shí)愛護(hù)信息的安全。外包的安排中應(yīng)該在合同中講明風(fēng)險(xiǎn)、安全操縱、信息系統(tǒng)的處理過程、網(wǎng)絡(luò)、桌面環(huán)境。外包合同的安全要求合同應(yīng)包括機(jī)構(gòu)把全部或部分信息系統(tǒng)、網(wǎng)絡(luò)及/或桌面環(huán)境外包的安全要求。舉例來講,合同應(yīng)包括:合同的要求如何被滿足,例如：數(shù)據(jù)愛護(hù)的法律；有什么安全來保證所有參于外包的合同方，包括轉(zhuǎn)包商,明白他們的安全責(zé)任;如何愛護(hù)及測(cè)試機(jī)構(gòu)業(yè)務(wù)資產(chǎn)的完整性及保密性；有什么物理及邏輯操縱能夠用，來限制只讓合法用戶訪咨詢機(jī)構(gòu)的敏銳業(yè)務(wù)信息；當(dāng)發(fā)生災(zāi)難時(shí)如何愛護(hù)服務(wù)還能夠使用;有什么級(jí)不的物理安全來愛護(hù)外包設(shè)備;審計(jì)的權(quán)限。應(yīng)考慮4.2.2所列的,作為合同的條款。合同應(yīng)讓安全要求及程序能夠在合同雙方所用意的安全治理打算內(nèi)連續(xù)補(bǔ)充。盡管外包合同會(huì)帶來一些復(fù)雜的安全咨詢題,但那個(gè)地點(diǎn)所包括的操縱能夠作為起點(diǎn),統(tǒng)ー安全治理打算的結(jié)構(gòu)及內(nèi)容。.資產(chǎn)分類與操縱資產(chǎn)的使用講明目的:堅(jiān)持適當(dāng)?shù)膼圩o(hù)措施愛護(hù)機(jī)構(gòu)的資產(chǎn)。所有重要的信息資產(chǎn)應(yīng)有負(fù)責(zé)人,并有選定的所有者。資產(chǎn)的責(zé)任制保證實(shí)施了適當(dāng)?shù)膼圩o(hù)措施。所有重要的資產(chǎn)都要確定所有者,并制訂愛護(hù)適當(dāng)操縱的責(zé)任。實(shí)施操縱的責(zé)任能夠委派。責(zé)任應(yīng)只由所選定的擁有者負(fù)責(zé)。資產(chǎn)清單資產(chǎn)清單關(guān)心了解已實(shí)施有效的愛護(hù)措施,也能夠是為其它業(yè)務(wù)目的而實(shí)施，例如衛(wèi)生及安全、保險(xiǎn)或財(cái)務(wù)（資產(chǎn)治理）的緣故。運(yùn)算資產(chǎn)預(yù)備清單是風(fēng)險(xiǎn)治理的ー項(xiàng)重要事務(wù)。機(jī)構(gòu)需要確定自己的資產(chǎn)、有多大價(jià)值及資產(chǎn)的重要性。機(jī)構(gòu)按這些信息便能夠按資產(chǎn)的價(jià)值及重要性提供那樣的愛護(hù)措施。每一個(gè)信息系統(tǒng)都要有如此的ー份清單,列明重要的資產(chǎn)。應(yīng)清晰確定每種資產(chǎn)及擁有權(quán)和安全分類（參看5.2）、當(dāng)前位置（當(dāng)丟失或損壞后要復(fù)原時(shí)，是專門重要明白在哪兒）。與信息系統(tǒng)有關(guān)的資產(chǎn)的例子有:信息資產(chǎn):數(shù)據(jù)庫及數(shù)據(jù)文件、系統(tǒng)講明文檔、用戶手冊(cè)、培訓(xùn)手冊(cè)、操作或支持程序、應(yīng)急打算、后備安排、歸檔信息）；軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)及系統(tǒng)工具;物理資產(chǎn):運(yùn)算機(jī)設(shè)備（處理器、顯示器、筆記本、調(diào)制解調(diào)器）,通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)）、磁帶磁盤、其它技術(shù)設(shè)備（電源、空調(diào)）、家具、房子；服務(wù):運(yùn)算及通訊服務(wù)、ー樣公用事務(wù),例如、供熱、燈光、電、空調(diào)等。信息分類目的:保證信息資產(chǎn)有適當(dāng)程度的愛護(hù)。信息應(yīng)被分類來確認(rèn)愛護(hù)的需求、優(yōu)先及程度。信息有不同程度的敏銳度及重要性。有些需要額外的愛護(hù)或?qū)ｉT處理。因此,應(yīng)使用信息分類系統(tǒng)來定義適當(dāng)?shù)膼圩o(hù)級(jí)不,并看看是否需要專門處理。分類的指南要考慮的有類不的數(shù)目,以及分類后有什么好處。過于復(fù)雜的方法日后可能變得繁瑣、使用不經(jīng)濟(jì)或顯得不實(shí)際。應(yīng)小心如何講明其它機(jī)構(gòu)的文件上的分類標(biāo)簽,有可能同一種或類似的標(biāo)簽有不同的定義。定義某信息的每個(gè)項(xiàng)目的責(zé)任,例如文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤，以及定期檢查這些分類的責(zé)任,應(yīng)該是有信息的被選所有者,或原先作者負(fù)責(zé)。信息標(biāo)注及處理按機(jī)構(gòu)所采納的分類方法,制訂合適的程序來標(biāo)注及處理信息是專門重要的。這些程序應(yīng)包括物理及電子形式的信息資產(chǎn)。每ー類都有指定的處理程序來定義以下各類的信息處理活動(dòng):拷貝;儲(chǔ)存;郵遞、傳真及電子郵件方式的傳輸;ロ頭傳輸,包括移動(dòng)電話、語音郵件,應(yīng)答機(jī);銷毀。系統(tǒng)帶有被分類為敏銳或重要信息的輸出,應(yīng)（再輸出）有適當(dāng)?shù)姆诸悩?biāo)簽注明。標(biāo)簽應(yīng)按5.2.1的分類規(guī)定注明。要考慮分類標(biāo)簽的物件有:打印報(bào)表、屏幕顯示、記錄介體（磁帶、磁盤、CD等）、電子消息及文件轉(zhuǎn)移。物理標(biāo)簽ー樣是適當(dāng)?shù)臉?biāo)簽形式,然而,某些信息資產(chǎn)，例如電子形式的文檔，不能物理標(biāo)注,應(yīng)使用電子標(biāo)注。.人員安全.!崗位定義及資源分配的安全目的:減少人為錯(cuò)誤、或設(shè)備被偷取、假冒或?yàn)E用的風(fēng)險(xiǎn)。應(yīng)在聘請(qǐng)時(shí)講明安全的責(zé)任,包括合同中寫明,以及在職員雇傭期間檢查。聘請(qǐng)職員時(shí)應(yīng)小心考慮（參看6.1.2）,專門是敏銳的崗位。所有職員及第三方用戶在使用信息處理設(shè)備時(shí)，要求簽一份保密協(xié)議。崗位責(zé)任的安全機(jī)構(gòu)信息安全策略（參看3.1）所規(guī)定的安全角色及責(zé)任，應(yīng)被記錄下來，責(zé)任應(yīng)包括實(shí)施或愛護(hù)安全策略的任何一樣責(zé)任,和任何愛護(hù)某資產(chǎn)的專門責(zé)任，或?yàn)閳?zhí)行某安全進(jìn)程或活動(dòng)的責(zé)任。人事過濾及策略固定職員的檢查應(yīng)在申請(qǐng)職位時(shí)進(jìn)行,包括:要有中意的舉薦人,舉例,一個(gè)舉薦業(yè)務(wù)上的行為,一個(gè)舉薦關(guān)于個(gè)運(yùn)氣德;檢查申請(qǐng)人的簡(jiǎn)歷（是否完整及準(zhǔn)確）；確認(rèn)有沒有考取所稱述的學(xué)歷及職業(yè)資格;獨(dú)立的身份檢查（護(hù)照或其它文件）；如果某崗位（第一次職位分派或升職）需要某人進(jìn)入信息處理設(shè)備,專門是要處理敏銳信息（例如財(cái)務(wù)信息或?qū)ｉT機(jī)要信息），機(jī)構(gòu)應(yīng)檢查這名職員的信譽(yù)。至于有相當(dāng)授權(quán)權(quán)限的職員,應(yīng)定期檢查。合約及臨時(shí)人員也要通過同樣的過濾過程。當(dāng)這些職員是通過不處的人事公司提供,與人事公司簽定的合同應(yīng)清晰指明人事公司的過濾責(zé)任，以及如果過濾不完整、或結(jié)果有可疑時(shí)所要進(jìn)行的通知程序。治理層應(yīng)該評(píng)估新的和沒有體會(huì)的職員訪咨詢敏銳系統(tǒng)所需的授權(quán)，是否需要監(jiān)督。所有職員的工作應(yīng)有更高級(jí)的職員定期查核。部門經(jīng)理應(yīng)明白職員的個(gè)人情形會(huì)阻礙他們的工作。個(gè)人及財(cái)務(wù)咨詢題、行為或生活適應(yīng)發(fā)生變動(dòng)、經(jīng)常缺席及明顯精神壓抑,會(huì)進(jìn)行假冒、偷盜、出錯(cuò)或其他破壞安全行為。這些信息應(yīng)按當(dāng)?shù)赜嘘P(guān)法律作適當(dāng)?shù)奶幚?。保密協(xié)議ー樣的職員及第三方用戶沒有簽如此的協(xié)議（有保密協(xié)議在內(nèi)）,應(yīng)在容許進(jìn)入信息處理設(shè)備前簽定如此的保密協(xié)議。保密協(xié)議應(yīng)在更換雇傭條款或合同時(shí)檢查,專門是當(dāng)職員快要離開機(jī)構(gòu)或合同快到期。雇傭條款雇傭條款應(yīng)講明職員信息安全的責(zé)任。如適當(dāng),這些責(zé)任應(yīng)在雇傭期滿后連續(xù)性一段時(shí)刻,還應(yīng)包括職員如果不領(lǐng)會(huì)安全要求所要采取的行動(dòng)。職員的法律責(zé)任及權(quán)益,例如關(guān)于版權(quán)法律或數(shù)據(jù)愛護(hù)條例,應(yīng)講明清晰及包括在雇傭協(xié)議的條款中,也應(yīng)包括雇主數(shù)據(jù)的分類及治理的責(zé)任。在適當(dāng)?shù)牡攸c(diǎn),雇傭條款應(yīng)講明這些責(zé)任也適用于機(jī)構(gòu)大廈之外及正常エ作時(shí)刻之外,例如在家辦公（參看7.2.5及9.8.1）用戶培訓(xùn)目的:保證用戶明白信息安全的威逼及擔(dān)憂，并在工作時(shí)支持實(shí)行機(jī)構(gòu)的安全策略。用戶應(yīng)被培訓(xùn)關(guān)于安全程序，以及信息處理設(shè)備的正確使用，來盡量減低安全風(fēng)險(xiǎn)。信息安全教育及培訓(xùn)所有機(jī)構(gòu)的職員,如有關(guān)系,第三方用戶，都要同意適當(dāng)?shù)呐嘤?xùn),及注意機(jī)構(gòu)策略及程序的定期更新。培訓(xùn)內(nèi)容包括安全要求、法律責(zé)任及業(yè)務(wù)操縱，以及正確使用信息處理設(shè)備的培訓(xùn),例如授予訪咨詢信息或服務(wù)前的登陸程序、軟件包的使用等。安全事件及失常的反應(yīng)措施目的:把安全事故及失常的損壞降到最低，以及監(jiān)控這些事件，并從中取得教訓(xùn)。阻礙安全的事件應(yīng)盡快通過合適的治理渠道報(bào)告。所有職員及合同職員應(yīng)明白會(huì)阻礙機(jī)構(gòu)資產(chǎn)安全的不同類不事件（安全破壞、威逼、弱點(diǎn)或錯(cuò)誤工作）的報(bào)告程序。他們應(yīng)盡快向指定聯(lián)系點(diǎn)報(bào)告任何受監(jiān)視的、或可疑的事件。機(jī)構(gòu)應(yīng)制訂正式的處罰程序處理破壞安全的職員。如要正確處理事件,可能需要在事件發(fā)生后第一時(shí)刻收集證據(jù)（參見!2.1.7）〇報(bào)告安全事件安全事件應(yīng)通過適當(dāng)?shù)闹卫砬辣M快報(bào)告。應(yīng)制訂正式的報(bào)告程序和事件反應(yīng)程序,講明收到事件報(bào)告后所要采取的行動(dòng)。所有職員及合同職員應(yīng)該都被通知報(bào)告安全事件的程序,并需要盡快報(bào)告。應(yīng)實(shí)施合適的反饋程序保證處理事件后報(bào)告事件的結(jié)果。這些事件能夠當(dāng)作安全意識(shí)培訓(xùn)（參看6.2）的教材，講明事件發(fā)生會(huì)有什么情況發(fā)生、如何反應(yīng)事件,及以后如何幸免事件重現(xiàn)（參看12.1.7）報(bào)告安全的弱點(diǎn)信息服務(wù)的用戶應(yīng)被要求,要注意及報(bào)告系統(tǒng)或服務(wù)任何明顯的、或可疑的安全弱點(diǎn)或威逼。他們應(yīng)盡快向治理層或直截了當(dāng)向服務(wù)供應(yīng)商報(bào)告。用戶應(yīng)被通知，在任何情形下,他們都不應(yīng)試圖證實(shí)可疑的弱點(diǎn)，這是為自己愛護(hù),因?yàn)闇y(cè)試弱點(diǎn)會(huì)被認(rèn)為是在濫用系統(tǒng)。報(bào)告系統(tǒng)的故障應(yīng)建立報(bào)告軟件出錯(cuò)的程序,要考慮的行動(dòng)有:咨詢題的現(xiàn)象及注意屏幕上顯現(xiàn)的消息;運(yùn)算機(jī)應(yīng)被隔離,如可能,應(yīng)該停止使用。應(yīng)趕忙提醒有關(guān)人員。如果要檢驗(yàn)設(shè)備,應(yīng)在重新啟動(dòng)前把設(shè)備從機(jī)構(gòu)的網(wǎng)絡(luò)斷開連接。磁盤不應(yīng)轉(zhuǎn)移到其它運(yùn)算機(jī)中;應(yīng)趕忙把事件報(bào)告信息安全經(jīng)理。用戶不應(yīng)試圖除掉可疑的軟件,除非有授權(quán)。應(yīng)由通過合格培訓(xùn)的、有體會(huì)的職員來復(fù)原系統(tǒng)。吸取教訓(xùn)應(yīng)有一套機(jī)制,來量化和監(jiān)控事件及出錯(cuò)的種類、數(shù)量和代價(jià)。這些信息應(yīng)用來確認(rèn)重復(fù)顯現(xiàn)或阻礙嚴(yán)峻的事件或出錯(cuò)。這可能暗示需要增強(qiáng)的或額外的操縱,或者用來限制日后顯現(xiàn)的次數(shù)、缺失及代價(jià)，或者用于在核查安全策略過程中考慮（參看3.1.2）處罰程序應(yīng)有一個(gè)正式的處罰程序來處罰那些違反機(jī)構(gòu)安全策略及程序（參看6.1.4及!2.1.7的的證據(jù)保留）的職員。這程序能夠用來阻嚇那些不理會(huì)安全程序的職員。此外，處罰程序應(yīng)確保正確,公平地處理那些懷疑要嚴(yán)峻破壞、或堅(jiān)持要破壞安全的職員。.物理與環(huán)境的安全安全區(qū)域目的:防止非法訪咨詢、危害及干擾業(yè)務(wù)運(yùn)營(yíng)的前提條件及信息。重要的或敏銳的業(yè)務(wù)信息處理設(shè)備應(yīng)放在安全的地點(diǎn)，有特定安全范疇內(nèi)受到愛護(hù),范疇的出入口有安全障礙及入口操縱,應(yīng)有物理的愛護(hù)防止非法進(jìn)入、危害及干擾。所提供的愛護(hù)應(yīng)與所確定的風(fēng)險(xiǎn)相應(yīng)。應(yīng)有一個(gè)桌子或屏幕的清除策略，以減少非法訪咨詢的風(fēng)險(xiǎn)或損害紙張、介質(zhì)及信息處理設(shè)備。物理安全地帶物理的愛護(hù)能夠是在業(yè)務(wù)辦公地點(diǎn)及信息處理設(shè)備的周圍,設(shè)置多個(gè)物理障礙。每個(gè)障礙都有一個(gè)安全地帶,層層愛護(hù)。機(jī)構(gòu)應(yīng)劃分安全地帶來愛護(hù)有信息處理設(shè)備（參看7.1.3）的地點(diǎn)。一個(gè)安全地帶是指設(shè)置某些障礙,例如墻壁、有卡操縱的入口門、或是有人看管的用于接待的桌。每個(gè)障礙的位置及カ度要視乎風(fēng)險(xiǎn)評(píng)估后的結(jié)果而定。下面的指南和操縱應(yīng)該被考慮和實(shí)現(xiàn):應(yīng)清除講明安全地帶的范疇;大廈或有信息處理設(shè)備的地點(diǎn)的周圍應(yīng)該是專門牢固的（即周圍沒有缺口或有專門容易進(jìn)入的地點(diǎn)）。地點(diǎn)的外墻的結(jié)構(gòu)應(yīng)該專門牢固,以及所有外門應(yīng)有適當(dāng)?shù)膼圩o(hù),防止非法進(jìn)入,例如操縱機(jī)制、欄桿、警鐘、鎖等;應(yīng)劃出有人看管的會(huì)客地點(diǎn)，或使用其它方法操縱地點(diǎn)或大廈的物理進(jìn)入。應(yīng)只讓合法人員進(jìn)入地點(diǎn)即大廈;物理障礙,如需要,應(yīng)從實(shí)際的地板一直到房頂,以防止非法進(jìn)入及環(huán)境的污染,例如火災(zāi)及水災(zāi);所有在安全地帶的防火門應(yīng)裝置警鐘,并是關(guān)閉的。物理入口的操縱安全地帶應(yīng)有適當(dāng)?shù)娜肟诓倏v愛護(hù),保證只有合法人員進(jìn)入。要考慮的有:進(jìn)入安全地帶的客人應(yīng)有人監(jiān)督或被驅(qū)逐,他們進(jìn)入及離開的時(shí)刻都要記錄。他們只能進(jìn)入指定的地點(diǎn)、應(yīng)有授權(quán)的目的進(jìn)入,同時(shí),他們應(yīng)該被告知地點(diǎn)的安全要求及緊急程序指示；對(duì)敏銳信息及信息處理設(shè)備的訪咨詢應(yīng)操縱并限制為合法人員。認(rèn)證操縱,例如打卡加PIN,應(yīng)該用來授權(quán)及驗(yàn)證所有的訪咨詢,并安全地保留所有訪咨詢的審計(jì)跟蹤；所有人員都需要戴上某些鮮亮的標(biāo)識(shí),并鼓舞詢咨詢沒有人員陪同的生疏人、或沒有戴上標(biāo)識(shí)的人;應(yīng)定期檢查及更新安全地帶的訪咨詢權(quán)限；愛護(hù)辦公室、房間及設(shè)備ー個(gè)安全地帶可能是上鎖的辦公室或地帶內(nèi)的多個(gè)房間,房間可能都上鎖或有可上鎖的文件柜或保險(xiǎn)箱。安全地帶的選定及設(shè)計(jì)應(yīng)考慮有可能發(fā)生火災(zāi)、水災(zāi)、爆炸、暴動(dòng)、以及其它的天災(zāi)或人禍,也要考慮有關(guān)衛(wèi)生及安全規(guī)定及標(biāo)準(zhǔn),以及周圍環(huán)境的安全威逼,例如隔壁漏水。要注意的方面有:重要的地點(diǎn)應(yīng)選擇防止公眾進(jìn)入的地點(diǎn);大廈應(yīng)專門低調(diào)、不突出大廈的目的,大廈內(nèi)外沒有明顯的標(biāo)牌講明有信息處理的活動(dòng)在進(jìn)行;支持和功能設(shè)備,例如復(fù)印機(jī)、傳真機(jī),應(yīng)放置在安全地帶以防止隨便被人使用來破壞信息安全;沒有人時(shí),門窗應(yīng)上鎖，以及加大窗的外層愛護(hù),專門是第一樓層的窗子安裝的并定期測(cè)試的合適入侵檢測(cè)系統(tǒng)應(yīng)該有效工作，確保系統(tǒng)是在檢查所有外部門和可用的窗子?？罩玫攸c(diǎn)應(yīng)經(jīng)常報(bào)警。同樣的保安措施應(yīng)實(shí)施在其它地點(diǎn)，例如，運(yùn)算機(jī)房或通訊房;機(jī)構(gòu)所治理的信息處理設(shè)備應(yīng)與第三方治理的設(shè)備分開；標(biāo)明敏銳信息處理設(shè)備的地點(diǎn)的講明性名目及內(nèi)部電話簿,不應(yīng)讓公眾得到;危險(xiǎn)或易燃物體,應(yīng)安全地儲(chǔ)存,與安全地帶保持一段安全的距離。大量的供應(yīng)物品,例如文具,不應(yīng)放置在安全地帶,除非確實(shí)有需要；備份設(shè)備及備份介質(zhì)應(yīng)該放置在距離主設(shè)備有一段距離的安全地點(diǎn)，幸免要緊地點(diǎn)發(fā)生災(zāi)難時(shí)受到破壞。在安全地帶工作安全地帶可能需要額外的操縱和指導(dǎo)方針來加大安全，這包括操縱職員或在安全地帶工作的第三方人員以及第三方在這地帶所進(jìn)行的活動(dòng)。要注意的有:需要明白有人員在安全地帶工作或在地帶內(nèi)進(jìn)行活動(dòng)；不鼓舞在安全地帶進(jìn)行無人監(jiān)督的工作,有安全方面的緣故,也是為了減少惡意活動(dòng)的機(jī)會(huì);空置的安全地帶應(yīng)該物理上鎖及定期檢查;第三方的支持服務(wù)人員只有在需要時(shí),才能進(jìn)入安全地帶或訪咨詢敏銳信息處理設(shè)備。如此的訪咨詢應(yīng)有授權(quán)及被監(jiān)控。安全地帶內(nèi)不同安全級(jí)不的地點(diǎn),可能需要額外的障礙及邊界來操縱物理訪咨詢;不應(yīng)攜帶相片、影帶、聲音或其它記錄設(shè)備,除非被授權(quán)。隔離的交付及裝載地點(diǎn)交付及裝載地點(diǎn)應(yīng)受到操縱，如可能,應(yīng)與信息處理設(shè)備隔離以幸免非法進(jìn)入。這些地點(diǎn)的安全要求應(yīng)在風(fēng)險(xiǎn)評(píng)估后確定。以下是要考慮的:應(yīng)禁止從大廈不處進(jìn)入裝載地點(diǎn)。只讓授權(quán)人員進(jìn)入;裝載地點(diǎn)應(yīng)當(dāng)設(shè)計(jì)成供應(yīng)品不需要操作職員進(jìn)入大廈其它地點(diǎn),就能夠卸載；當(dāng)內(nèi)門是打開時(shí)，裝載地點(diǎn)的外門應(yīng)上鎖；應(yīng)檢查進(jìn)來的物品是否危險(xiǎn)（參看7.2.1（4））,オ從裝載地點(diǎn)搬到使用地應(yīng)登記進(jìn)來的物品,如有需要（參看5.1）,應(yīng)在大廈入口登記。設(shè)備的安全目的:防止資產(chǎn)丟失、缺失或被破壞,防止業(yè)務(wù)活動(dòng)的停頓。設(shè)備應(yīng)有物理愛護(hù)不受安全威逼及環(huán)境事故的阻礙。要愛護(hù)設(shè)備（包括用在離線的地點(diǎn)）以減少非法訪咨詢數(shù)據(jù)的風(fēng)險(xiǎn),和愛護(hù)可不能丟失或缺失，也要考慮設(shè)備應(yīng)放在什么地點(diǎn)及如何處理掉?？赡苄枰獙ｉT的操縱來愛護(hù)故障或非法訪咨詢,和保證支援設(shè)備,例如電カ供應(yīng)和線纜架構(gòu)。設(shè)備的放置及愛護(hù)設(shè)備應(yīng)放在安全的地點(diǎn),愛護(hù)減少來自環(huán)境威逼及事故的風(fēng)險(xiǎn),減少非法訪咨詢的機(jī)會(huì)。要考慮的有:設(shè)備的位置,應(yīng)是盡量減少不必要的到工作地點(diǎn)的訪咨詢;處理敏銳數(shù)據(jù)的信息處理及儲(chǔ)存設(shè)備應(yīng)該好好放置,以減少使用時(shí)被俯瞰的風(fēng)險(xiǎn);需要專門愛護(hù)的東西,應(yīng)被隔離;應(yīng)操縱并減少潛在威逼顯現(xiàn)的風(fēng)險(xiǎn):偷竊;火;爆炸物;煙;水(或供水有咨詢題)；塵埃；震動(dòng)；化學(xué)效應(yīng);電カ供應(yīng)干擾;電磁輻射;機(jī)構(gòu)應(yīng)考慮在信息處理設(shè)備鄰近的飲食及吸煙策略;應(yīng)監(jiān)控那些嚴(yán)峻阻礙信息處理設(shè)備操作的環(huán)境；考慮在エ業(yè)環(huán)境設(shè)備的專門愛護(hù)方法,例如采納鍵盤薄膜;應(yīng)考慮在大廈鄰近發(fā)生災(zāi)難的后果,例如隔離大廈著火、房頂漏水，地下層滲水、街道發(fā)生爆炸。電カ的供應(yīng)應(yīng)保證設(shè)備電源可不能顯現(xiàn)故障,或其它電カ專門。應(yīng)有適當(dāng)?shù)?、符合設(shè)備生產(chǎn)商規(guī)格的電カ供應(yīng)。關(guān)于連續(xù)性供電的選項(xiàng)有:多個(gè)輸電點(diǎn),幸免單點(diǎn)輸電導(dǎo)致全部停電；不間斷電源(UPS)；備份發(fā)電機(jī)。建議為那些支持重要業(yè)務(wù)操作的設(shè)備配備UPS,保持有次序的停電或連續(xù)性供電。應(yīng)急打算應(yīng)包括UPS發(fā)生故障時(shí)應(yīng)采取什么行動(dòng)。UPS設(shè)備應(yīng)定期檢查,保證有足夠的容量,并按生產(chǎn)商的建議進(jìn)行測(cè)試。如果發(fā)生長(zhǎng)時(shí)刻電源失敗還要連續(xù)信息處理的話,請(qǐng)考慮配備后備發(fā)電機(jī)。發(fā)電機(jī)安裝后,應(yīng)按生產(chǎn)商的指示定期進(jìn)行測(cè)試。應(yīng)提供足夠的燃料保證發(fā)電機(jī)能夠長(zhǎng)時(shí)刻發(fā)電。此外,緊急電カ開關(guān)應(yīng)放置設(shè)備房緊急出口的鄰近,以便一旦發(fā)生緊急事故趕忙關(guān)閉電源。也要考慮一旦電源失敗時(shí)的應(yīng)急燈。要愛護(hù)全大廈的燈,及在所有外部通訊線路都要裝上燈光愛護(hù)過濾器。電纜線路的安全應(yīng)愛護(hù)帶有數(shù)據(jù)或支持信息服務(wù)的電カ及電訊電纜,使之不被偵聽或破壞。要注意的有:a）進(jìn)入信息處理設(shè)備的電カ及電訊電纜線路應(yīng)放在地下下面，如可能,也能夠考慮其它有足夠愛護(hù)能力的方法;b）網(wǎng)絡(luò)布線應(yīng)受到愛護(hù),不要被非法截取或被破壞,舉例，使用管道或幸免通過公眾地點(diǎn)的路徑;c）電源電纜應(yīng)與通訊電纜分開,幸免干擾;d）至于敏銳或重要的系統(tǒng),更要考慮更多的操縱,包括:1）安裝裝甲管道,加了鎖的作為檢查及終點(diǎn)的房間或盒子；2）使用可選路由或者傳輸介質(zhì);3）光纖光纜；4）清除附加在電纜上的未授權(quán)設(shè)備。設(shè)備的愛護(hù)設(shè)備應(yīng)正確愛護(hù)來保證連續(xù)性可用合完整性。以下是要注意的:設(shè)備應(yīng)按供應(yīng)商的建議服務(wù)間隔及規(guī)格愛護(hù);只有授權(quán)的愛護(hù)人員才能夠修理設(shè)備;記錄所有可疑的或真實(shí)的故障,以及所有防范及改正措施;實(shí)施適當(dāng)?shù)牟倏v如何把設(shè)備送出大廈進(jìn)行修理（參看7.2.6的關(guān)于刪除、清除及蓋寫數(shù)據(jù)）。所有保險(xiǎn)策略所提出的要求,都要遵守。設(shè)備離開大廈的安全不管是誰擁有的,在機(jī)構(gòu)不處使用任何設(shè)備處理信息應(yīng)有治理層的授權(quán)。所提供的安全愛護(hù)應(yīng)與設(shè)備在大廈內(nèi)使用時(shí)相同。還要考慮在機(jī)構(gòu)大廈不處工作的風(fēng)險(xiǎn)。信息處理設(shè)備包括所有形式的個(gè)人運(yùn)算機(jī)、商務(wù)通、移動(dòng)電話紙張或其它表格,放在家里或從日常工作地點(diǎn)搬走。要考慮的有:從大廈取走的設(shè)備及介質(zhì),不應(yīng)放在公眾地點(diǎn)無人看管。筆記本運(yùn)算機(jī)應(yīng)當(dāng)作手提行李隨身,及在外時(shí)盡量遮擋,不要顯露在外被人看到;應(yīng)經(jīng)常注意生產(chǎn)商愛護(hù)設(shè)備的指示,例如不要暴露在強(qiáng)大的電磁場(chǎng)內(nèi);在家工作的操縱，應(yīng)在評(píng)估風(fēng)險(xiǎn)后確定,并適當(dāng)?shù)貙?shí)施，舉例,可上鎖的文件柜、清除桌子的策略及運(yùn)算機(jī)的訪咨詢操縱；應(yīng)有足夠的保險(xiǎn)愛護(hù)不在大廈的設(shè)備。安全風(fēng)險(xiǎn),例如損壞、被盜及偷聽,可能每個(gè)地點(diǎn)都不同，因此應(yīng)認(rèn)真考慮后確定最適當(dāng)?shù)牟倏v。參看9.8.1的關(guān)于如何愛護(hù)移動(dòng)設(shè)備。設(shè)備的安全清除或重用信息能夠通過不小心清除或重復(fù)使用設(shè)備而被破壞（參看8.6.4）,有敏銳信息的儲(chǔ)備設(shè)備應(yīng)該物理被銷毀或安全地覆蓋,而不是使用標(biāo)準(zhǔn)的刪除功能。所有儲(chǔ)存設(shè)備,例如固定硬盤,應(yīng)被檢查以保證已清除所有敏銳數(shù)據(jù)及授權(quán)軟件,或在清除前已被覆蓋。損壞了、有敏銳數(shù)據(jù)的儲(chǔ)存設(shè)備可能需要評(píng)估風(fēng)險(xiǎn)后確定是否把設(shè)備銷毀、修理或丟掉。ー樣操縱目的:防止信息及信息處理設(shè)備被破壞或偷取。信息及信息處理設(shè)備應(yīng)該被愛護(hù),不要公布給非法人員,讓非法人員更換或偷取,并實(shí)施有關(guān)操縱來盡量減少缺失及損壞。8.6.3是處理及儲(chǔ)存程序的考慮。收拾桌子及清除屏幕的策略機(jī)構(gòu)應(yīng)考慮制訂信息處理設(shè)備的收拾桌子上紙張、可移動(dòng)儲(chǔ)存介體及清除屏幕的策略,以減少在規(guī)定工作時(shí)刻外非法進(jìn)入、丟失及損壞信息的風(fēng)險(xiǎn)。策略應(yīng)考慮信息安全的分類（參看5.2）,有關(guān)的風(fēng)險(xiǎn)及機(jī)構(gòu)的文化。放在桌子上的信息,大有可能被損壞,或被天災(zāi)如火災(zāi)、水災(zāi)或爆炸破壞。要注意的有:如適當(dāng),紙張及運(yùn)算機(jī)介質(zhì)不用時(shí),專門是在規(guī)定工作時(shí)刻之外,應(yīng)儲(chǔ)存在合適的能夠上鎖的柜子及/或其他安全的柜子;敏銳或重要的業(yè)務(wù)信息不需要時(shí),專門是辦公室沒人，應(yīng)被鎖起（最好是放在防火的保險(xiǎn)柜）；個(gè)人運(yùn)算機(jī)及運(yùn)算機(jī)終端及打印機(jī),都不應(yīng)在登陸狀態(tài)下被擱置ー旁,不用時(shí)應(yīng)該用鑰匙、口令以及其它操縱愛護(hù);進(jìn)來的及發(fā)出的郵件及無人看管的傳真機(jī)及電報(bào)機(jī),都要統(tǒng)統(tǒng)被愛護(hù)起來;敏銳或保密信息的打印信息,應(yīng)趕忙從打印機(jī)上撕掉。財(cái)物的搬遷設(shè)備、信息或軟件不應(yīng)沒有授權(quán)就搬離。如需要同時(shí)合適,設(shè)備借出和歸還都要有登記。應(yīng)進(jìn)行現(xiàn)場(chǎng)檢查有沒有擅自搬動(dòng)財(cái)物。職員應(yīng)被通知有如此的現(xiàn)場(chǎng)檢查。.通訊與操作的治理8.!操作步驟及責(zé)任目的:確保信息處理設(shè)備運(yùn)作正確及安全。應(yīng)該建立治理及操作所有信息處理設(shè)備的責(zé)任及程序,包括制定適當(dāng)?shù)牟僮髦甘炯笆鹿史磻?yīng)程序。在適當(dāng)?shù)牡攸c(diǎn)，應(yīng)實(shí)行責(zé)任隔離制度以減少疏忽或?yàn)E用系統(tǒng)的風(fēng)險(xiǎn)。文檔化操作程序應(yīng)記錄及愛護(hù)安全策略所確定的操作程序，這文檔應(yīng)被視為是正式的文檔,有治理層授權(quán)才能改動(dòng)。程序應(yīng)講明能夠每個(gè)作業(yè)的詳細(xì)執(zhí)行的講明,包括:信息的處理及調(diào)度;調(diào)度要求,包括與其它系統(tǒng)之間的相互依靠關(guān)系、最早開始的作業(yè)的時(shí)刻及最遲完成作業(yè)的時(shí)刻;處理錯(cuò)誤或其它專門條件的指示,例如在執(zhí)行作業(yè)時(shí)出錯(cuò),緣故時(shí)禁止事業(yè)系統(tǒng)工具（參看9.5.5）；專門輸出處理指示,例如使用專門的文具或保密輸出的治理,包括安全排除失敗作業(yè)輸出的程序;發(fā)生系統(tǒng)失效時(shí)系統(tǒng)重起和復(fù)原的程序。也要為與信息處理及通訊設(shè)備有關(guān)的常務(wù)活動(dòng)預(yù)備有講明的程序,如運(yùn)算機(jī)開始及關(guān)閉的程序、備份、設(shè)備愛護(hù)、運(yùn)算機(jī)房及郵件處理治理及安全。操作變動(dòng)的操縱信息處理設(shè)備及系統(tǒng)的變動(dòng)應(yīng)受到操縱,治理不足是導(dǎo)致系統(tǒng)或安全失效的常見緣故,因此要有一套正式的治理責(zé)任及程序,以保證妥善操縱所有設(shè)備、軟件或程序的更換。操作程序的變動(dòng)應(yīng)該被嚴(yán)格操縱。當(dāng)更換程序時(shí)，應(yīng)有審計(jì)日志記錄所有有關(guān)信息。更換操作環(huán)境會(huì)阻礙應(yīng)用系統(tǒng)。如許可，操作及應(yīng)用系統(tǒng)的操縱更換程序應(yīng)融合（參看10.5.1）在ー起,專門是要注意以下事項(xiàng):確認(rèn)及記錄重大的變動(dòng);評(píng)估這些更換的阻礙;對(duì)更換方案有正式的批準(zhǔn)程序;與所有有關(guān)人員溝通變更的詳情;確認(rèn)專門中止及復(fù)原失敗變更的責(zé)任的程序。安全事件治理程序應(yīng)建立事件治理的責(zé)任及程序，以確?？焖佟⒂行Ъ坝行蚍磻?yīng)安全事件（參看6.3.1）。以下是要注意的事項(xiàng):確立包括所有會(huì)發(fā)生的安全事件種類的程序，包括:信息系統(tǒng)失敗及服務(wù)丟失；拒絕服務(wù);因未完成或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)所引致的錯(cuò)誤；泄密；除了正常應(yīng)急打算（用來第一時(shí)刻復(fù)原系統(tǒng)或服務(wù)）之外，程序應(yīng)包括:（參看6.3.4）分析及確定事件發(fā)生的緣故;補(bǔ)救方法的打算及實(shí)施，以免再次發(fā)生；收集審計(jì)追蹤及其它類似證據(jù)；與受阻礙的、或與復(fù)原事件的人員保持聯(lián)系；把所作的行動(dòng)報(bào)告有關(guān)當(dāng)局；應(yīng)收集審計(jì)追蹤及其它類似證據(jù)（參看12.1.7）,并儲(chǔ)存妥善,以備為:內(nèi)部分析事件使用;作為破壞合同、違法或民事或犯罪訴訟（例如關(guān)于濫用運(yùn)算機(jī)或數(shù)據(jù)愛護(hù)條例）的證據(jù);索取軟件及服務(wù)供應(yīng)商的賠償;復(fù)原安全事件所造成的破壞及復(fù)原系統(tǒng)失效的行動(dòng)應(yīng)受到正式的嚴(yán)格操縱,確保:只準(zhǔn)許有明確指名的合法職員進(jìn)入正在使用的系統(tǒng)及數(shù)據(jù)（參看4.2.2的第三方的訪咨詢）；詳細(xì)記錄所有緊急行動(dòng)；向治理層報(bào)告所進(jìn)行的緊急行動(dòng),并有條不紊地檢查；業(yè)務(wù)系統(tǒng)及操縱的完整性應(yīng)在最短時(shí)刻內(nèi)確認(rèn)無誤；責(zé)任分開制責(zé)任分開制是減少意外或?yàn)E用系統(tǒng)風(fēng)險(xiǎn)的方法。分開治理或執(zhí)行某任務(wù)或負(fù)責(zé)范疇,目的是減少非法更換或錯(cuò)誤使用信息或服務(wù)的機(jī)會(huì)。小機(jī)構(gòu)會(huì)發(fā)覺這方法專門難實(shí)現(xiàn)，但方法的原則仍舊能夠在最大范疇之內(nèi)實(shí)現(xiàn)。如果發(fā)覺專門難分開,能夠考慮其它治理方法例如監(jiān)控活動(dòng)、審計(jì)跟蹤及治理監(jiān)督,但要注意安全審計(jì)的責(zé)任必須是獨(dú)立的。應(yīng)小心沒有一個(gè)人獨(dú)自負(fù)責(zé)某責(zé)任時(shí),造假犯案后沒有人明白。應(yīng)把事件的啟動(dòng)與授權(quán)分開，要注意以下:要注意分開那些需要共謀犯案的活動(dòng),例如；簽發(fā)訂貨單及收貨檢驗(yàn);如果有共謀的危險(xiǎn),應(yīng)制定操縱需要兩個(gè)或多個(gè)人共同檢查,把共謀的機(jī)會(huì)減低；開發(fā)及正式使用設(shè)備的分開把開發(fā)、測(cè)試及正式使用設(shè)備分開對(duì)分開有關(guān)角色是專門重要的,應(yīng)制定及寫明軟件從開發(fā)轉(zhuǎn)成正式使用的規(guī)定。開發(fā)及測(cè)試活動(dòng)會(huì)引起嚴(yán)峻的咨詢題,例如不必要的文件或系統(tǒng)環(huán)境的更換,或系統(tǒng)失敗的不必要更換。應(yīng)考慮分開正式使用、測(cè)試及開發(fā)環(huán)境的程度,防止運(yùn)作出錯(cuò)。同樣,開發(fā)及測(cè)試設(shè)備之間也有類似的分開。如此就需要有一個(gè)穩(wěn)固的環(huán)境進(jìn)行有用的測(cè)試,以及防止開發(fā)員借機(jī)會(huì)訪咨詢。當(dāng)開發(fā)及測(cè)試職員能夠訪咨詢正在使用的系統(tǒng)及信息時(shí),他們能夠放置非法及未測(cè)試的代碼,放置惡意代碼或更換操作數(shù)據(jù),利用這些技巧在某些系統(tǒng)上做假,嚴(yán)峻阻礙系統(tǒng)的操作。開發(fā)人員及測(cè)試人員也有嫌疑會(huì)泄露正式使用的信息。開發(fā)及測(cè)試活動(dòng)如果共享同一個(gè)運(yùn)算機(jī)環(huán)境，會(huì)對(duì)軟件及信息帶來不必要的改動(dòng)。因此最好把開發(fā)、測(cè)試及正式使用的設(shè)備分開,以減少被意外更換或非法進(jìn)入正在使用的軟件及業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。要考慮的操縱有:開發(fā)及正在使用的軟件,在可能情形下,應(yīng)在不同的機(jī)器上運(yùn)行;開發(fā)及測(cè)試活動(dòng)應(yīng)進(jìn)可能分開;編譯器、編輯器及其它系統(tǒng)工具,如果正在使用的系統(tǒng)沒有需求,就不讓訪咨詢;正在使用及測(cè)試系統(tǒng)應(yīng)使用不同的登陸程序,目的是減少出錯(cuò)的機(jī)會(huì)。應(yīng)鼓舞用戶使用不同的口令登陸這些系統(tǒng),及菜單應(yīng)顯示適當(dāng)?shù)拇_認(rèn)消息;開發(fā)職員只能在有操縱的情形下存取正在使用的口令,操縱應(yīng)保證□令被使用后趕忙被改掉。外部設(shè)備的治理使用外來合同供應(yīng)商治理信息處理設(shè)備可能會(huì)加大暴露信息的機(jī)會(huì),例如有可能在合同供應(yīng)商的地點(diǎn)破壞、損壞或丟失數(shù)據(jù),對(duì)這些風(fēng)險(xiǎn)的顯現(xiàn)事先要有個(gè)估量,然后把治理這些風(fēng)險(xiǎn)的適當(dāng)操縱寫入合同中（參看4.2.2及4.3,看看有關(guān)第三方進(jìn)入機(jī)構(gòu)設(shè)備及外包合同的指引）。要解決的專門咨詢題有:確認(rèn)那些最好在機(jī)構(gòu)內(nèi)儲(chǔ)存的敏銳或重要的應(yīng)用系統(tǒng)；取得業(yè)務(wù)應(yīng)用系統(tǒng)所有者的同意;業(yè)務(wù)連續(xù)性打算的阻礙;應(yīng)該制定那ー類的安全標(biāo)準(zhǔn),以及測(cè)試是否符合標(biāo)準(zhǔn)的程序;分配指定的責(zé)任及程序,來監(jiān)控所有關(guān)于安全的活動(dòng)；報(bào)告及處理安全事件的責(zé)任及程序（參看8.1.3）系統(tǒng)規(guī)劃及接收目的:把系統(tǒng)失效的風(fēng)險(xiǎn)降到最低。事前應(yīng)有周詳?shù)拇蛩慵邦A(yù)備,使有足夠的儲(chǔ)存量及資源可用。至于對(duì)日后儲(chǔ)存擴(kuò)展的要求，也要事先有個(gè)打算,以防顯現(xiàn)系統(tǒng)超載的風(fēng)險(xiǎn)。新系統(tǒng)在接收及交付前應(yīng)通過測(cè)試,并確立及寫下運(yùn)作要求。儲(chǔ)存量的打算應(yīng)小心監(jiān)控系統(tǒng)儲(chǔ)存的要求,以及好好打算以后的儲(chǔ)存要求，以保證有足夠的處理能力及儲(chǔ)存容量。打算應(yīng)包括考慮新業(yè)務(wù)及系統(tǒng)的要求，以及機(jī)構(gòu)信息處理系統(tǒng)的當(dāng)前及以后的趨勢(shì)。大型機(jī)器需要專門處理,因?yàn)闄C(jī)器價(jià)格昂貴及添加手續(xù)的時(shí)刻會(huì)比較長(zhǎng)。大型機(jī)器服務(wù)的經(jīng)理應(yīng)監(jiān)控重要系統(tǒng)資源的使用情形,包括處理器、要緊內(nèi)存、文件儲(chǔ)存、打印機(jī)及其它輸出設(shè)備,以及通訊系統(tǒng)。經(jīng)理要負(fù)責(zé)確定使用的趨勢(shì),專門是業(yè)務(wù)應(yīng)用系統(tǒng)或MIS工具。經(jīng)理應(yīng)利用這些統(tǒng)計(jì)數(shù)據(jù)找出及幸免會(huì)威逼系統(tǒng)安全或用戶服務(wù)的潛在瓶頸,并打算適當(dāng)?shù)难a(bǔ)救行動(dòng)。系統(tǒng)接收應(yīng)建立一套新信息系統(tǒng)、更新及新版本的接收標(biāo)準(zhǔn),以及接收前要有進(jìn)行系統(tǒng)測(cè)試。經(jīng)理們要清晰講明、統(tǒng)ー、記錄及測(cè)試新系統(tǒng)的接收標(biāo)準(zhǔn)。要注意的包括:性能及運(yùn)算機(jī)儲(chǔ)存要求;錯(cuò)誤復(fù)原及重起程序,和應(yīng)急打算;所有從日常操作程序到標(biāo)準(zhǔn)的籌備及測(cè)試;統(tǒng)ー要實(shí)施的安全操縱；有效的手工程序；業(yè)務(wù)連續(xù)性的安排,如11.1所提及；新系統(tǒng)安裝的證據(jù)可不能嚴(yán)峻阻礙現(xiàn)有系統(tǒng)，專門是處理高峰期,例如月末;充分考慮新系統(tǒng)成效對(duì)機(jī)構(gòu)安全的阻礙的證據(jù);操作及使用新系統(tǒng)的培訓(xùn)。關(guān)于重大的新開發(fā)，應(yīng)在每一時(shí)期與操作部門及用戶協(xié)商,以保證新系統(tǒng)方案的使用效率。應(yīng)進(jìn)行適當(dāng)?shù)臏y(cè)試來確認(rèn)已符合所有接收標(biāo)準(zhǔn)。應(yīng)付惡意軟件目的:愛護(hù)軟件及信息的完整性。應(yīng)該有防范措施來防止及檢測(cè)有沒有惡意軟件。軟件及信息處理設(shè)備最容易受到惡意軟件的攻擊,例如運(yùn)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬（參看10.5.4）及邏輯炸彈。用戶應(yīng)明白有這些非法的危險(xiǎn)或惡意軟件的存在。在適當(dāng)?shù)那樾蜗?經(jīng)理們應(yīng)實(shí)施操縱檢測(cè)或防止這些東西的顯現(xiàn)。專門是,一定要有防范措施檢測(cè)及防止個(gè)人運(yùn)算機(jī)上的病毒。操縱惡意軟件應(yīng)實(shí)施檢測(cè)及防范措施操縱來愛護(hù)惡意代碼,及舉辦適當(dāng)?shù)挠脩舭踩庾R(shí)培訓(xùn)。惡意軟件的愛護(hù)應(yīng)該基于安全意識(shí)、適當(dāng)?shù)南到y(tǒng)訪咨詢及更換治理操縱。能夠考慮的操縱有:符合軟件授權(quán)許可的正式策略,以及禁止非法軟件的使用（參看12.1.2.2）；要有一個(gè)正式的策略指定要實(shí)施那些儲(chǔ)存措施,愛護(hù)不受通過或通過外部網(wǎng)絡(luò)或從任何其它途徑取得的文件及軟件所帶來的風(fēng)險(xiǎn)威逼。（參看10.5,專門是10.5.4及10.5.5）；安裝及定期更新防病毒及修復(fù)軟件,為防范或日常操作目的掃描運(yùn)算機(jī)及儲(chǔ)備設(shè)備;定期檢查支持重要業(yè)務(wù)進(jìn)程的軟件及其數(shù)據(jù)內(nèi)容,如發(fā)覺有任何非法文件或更換,應(yīng)正式深入調(diào)查;在使用前,檢查所有來源不明或非法的電子文件,或從不信任網(wǎng)絡(luò)上所接收的文件,檢查有沒有病毒；使用前，檢查電子郵件附件及下載文件有沒有惡意軟件。如此的檢查能夠在不同地點(diǎn)進(jìn)行,例如在電子郵件服務(wù)器,桌面運(yùn)算機(jī)或進(jìn)入機(jī)構(gòu)網(wǎng)絡(luò)的地點(diǎn)；關(guān)于愛護(hù)系統(tǒng)病毒入侵的治理程序及責(zé)任、培訓(xùn)用戶如何使用、如何報(bào)告復(fù)原病毒入侵。（參看6.3及8.1.3）；病毒入侵后復(fù)原系統(tǒng)的業(yè)務(wù)連續(xù)性打算,包括所有備份及復(fù)原數(shù)據(jù)及軟件的程序（參看第11條款）；檢查所有與惡意軟件有關(guān)的信息的程序,以及保持警示的信息正確及有用。部門經(jīng)理應(yīng)查看警示的信息來源是可靠的,例如來自有名望的專業(yè)雜志、可靠的網(wǎng)站或者防病毒供應(yīng)商,用來辨論那些是虛假病毒、那些是真病毒。職員也要明白虛假病毒的咨詢題,以及萬一接收這些虛假病毒時(shí),明白該干什么。這些操縱對(duì)支持大數(shù)量的網(wǎng)絡(luò)文件服務(wù)器是專門重要的。備份及復(fù)原性常務(wù)治理目的:愛護(hù)信息處理及通訊服務(wù)的完整性及可用性。應(yīng)訂立日常程序?qū)嵤┙y(tǒng)ー備份策略（參看11.1）,定期備份數(shù)據(jù)及演練即時(shí)復(fù)原、記錄事件及錯(cuò)誤,以及在適當(dāng)時(shí)候,監(jiān)控設(shè)備的環(huán)境。信息備份應(yīng)定期備份拷貝重要業(yè)務(wù)信息及軟件。要有足夠的備份設(shè)備把所有重要的業(yè)務(wù)信息及軟件在災(zāi)難發(fā)生或儲(chǔ)存設(shè)備失敗時(shí)復(fù)原。個(gè)不系統(tǒng)也要定期備份，以符合業(yè)務(wù)連續(xù)性打算（參看第11條款）的要求。要考慮的有:指定最低限度的備份信息,保留備份拷貝及復(fù)原程序的正確和完整的記錄,并存放在一個(gè)遠(yuǎn)程的地點(diǎn)上,以免主網(wǎng)絡(luò)地點(diǎn)發(fā)生災(zāi)難時(shí)可不能被波及。重要的業(yè)務(wù)應(yīng)用系統(tǒng)至少要保留三代的信息備份拷貝;信息備份拷貝要有足夠的物理及環(huán)境愛護(hù)（參看第7條款）,標(biāo)準(zhǔn)應(yīng)與主網(wǎng)絡(luò)地點(diǎn)一致。在主網(wǎng)絡(luò)地點(diǎn)實(shí)施的操縱也應(yīng)在備份地點(diǎn)實(shí)施;備份介質(zhì)應(yīng)定期同意檢查,如實(shí)際許可，保證在緊急情形時(shí)能夠使用;復(fù)原程序應(yīng)定期同意檢查及測(cè)試，以確保在復(fù)原操作程序所預(yù)定的時(shí)刻內(nèi)完成。應(yīng)確定重要業(yè)務(wù)信息的儲(chǔ)存期以及其它需要永久儲(chǔ)存的歸檔拷貝的儲(chǔ)存期（見!2.1.3）〇操作員日志操作職員應(yīng)保留一份記錄自己活動(dòng)的日志，要包括的有:系統(tǒng)開始及完成時(shí)刻;系統(tǒng)錯(cuò)誤及所進(jìn)行的改正操作；正確處理數(shù)據(jù)文件及運(yùn)算機(jī)輸出的確認(rèn);記錄日志表目的人名。對(duì)錯(cuò)誤進(jìn)行記錄應(yīng)報(bào)告錯(cuò)誤及記錄所進(jìn)行的改正操作。用戶所報(bào)有關(guān)信息處理或通訊系統(tǒng)的錯(cuò)誤,應(yīng)被記錄放在日志中。應(yīng)該有清晰的規(guī)定講明如何處理報(bào)上的錯(cuò)誤,包括:核查報(bào)出錯(cuò)誤的日志,檢查清晰錯(cuò)誤已中意解決;核查改正機(jī)制,檢查清晰操縱沒有被破壞,以及所進(jìn)行的改正操作完全有授權(quán)。網(wǎng)絡(luò)治理目的:保證網(wǎng)絡(luò)中信息的安全及愛護(hù)支持架構(gòu)的安全。網(wǎng)絡(luò)的安全治理可能要跨部門，需要治理層注意。可能也需要愛護(hù)通過公用網(wǎng)傳輸?shù)拿翡J數(shù)據(jù)的操縱。網(wǎng)絡(luò)操縱愛護(hù)運(yùn)算機(jī)網(wǎng)絡(luò)的安全需要一系列的操縱。網(wǎng)絡(luò)治理員應(yīng)實(shí)施操縱，愛護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)、連接的服務(wù)不被非法訪咨詢，專門是,要注意以下方面:網(wǎng)絡(luò)的操作責(zé)任應(yīng)與運(yùn)算機(jī)操作分開（參看8.1.4）；治理遠(yuǎn)程設(shè)備（包括用戶使用中心的設(shè)備）的責(zé)任及程序;如有需要,要指定專門的操縱保證經(jīng)公用網(wǎng)傳輸?shù)臄?shù)據(jù)的保密性及完整性,和愛護(hù)連接的系統(tǒng)的安全（參看9.4及10.3）。也需要專門的操縱保持網(wǎng)絡(luò)服務(wù)及連接運(yùn)算機(jī)的可用時(shí)刻；治理工作應(yīng)被緊密和諧,一方面是讓業(yè)務(wù)盡量使用服務(wù)，另一方面是保證操縱在整個(gè)信息處理架構(gòu)都有效用。介質(zhì)的處理與安全目的:防止資產(chǎn)的缺失及業(yè)務(wù)的停頓。儲(chǔ)存介質(zhì)應(yīng)受到操縱和物理愛護(hù)。要有合適的操作程序愛護(hù)文檔、運(yùn)算機(jī)介質(zhì)（磁帶、磁盤）、I/O數(shù)據(jù)及系統(tǒng)文檔不受損、不丟失和被非法訪咨詢?？梢苿?dòng)運(yùn)算機(jī)介質(zhì)的治理應(yīng)有治理可移動(dòng)運(yùn)算機(jī)介體（例如磁帶、磁盤、打印報(bào)表）的程序,可考慮的有:如果不再需要,可重用介質(zhì)中的往常內(nèi)容應(yīng)該統(tǒng)統(tǒng)清除;所有機(jī)構(gòu)要清除的介質(zhì)應(yīng)有授權(quán),應(yīng)把所有清除操作記錄,當(dāng)作日后審計(jì)跟蹤之用;所有介質(zhì)應(yīng)按制造商的規(guī)格儲(chǔ)存在安全的環(huán)境中。所有程序及授權(quán)級(jí)不都要記錄。介質(zhì)的清除不再需要的的介質(zhì),應(yīng)該安全地予以清除，因?yàn)槿绻幚聿划?dāng)，就會(huì)泄露敏信息,所有應(yīng)制訂正式的清除程序,把風(fēng)險(xiǎn)減到最低。有敏銳信息的介質(zhì)應(yīng)安全地予以儲(chǔ)存及清除，例如燒掉或撕碎,或使用另ー個(gè)機(jī)構(gòu)內(nèi)應(yīng)用系統(tǒng)把內(nèi)容清除;以下是一列可能需要安全清除的東西:紙文件;錄音;復(fù)寫紙;輸出報(bào)表;一次性打印色帶；磁帶;可換的磁盤或盒式磁帶;光盤（所有形式,包括所有生產(chǎn)商的軟件光盤）；程序列表；測(cè)試數(shù)據(jù)；系統(tǒng)講明文檔；把所有介質(zhì)收集并安全地清除，比分出敏銳信息容易；專門多機(jī)構(gòu)提供收集及清除的服務(wù),清除紙、設(shè)備及介質(zhì)。要小心選擇ー個(gè)治理完善、體會(huì)豐富的服務(wù)商;應(yīng)記錄敏銳信息的清除,如可能,保留一份審計(jì)跟蹤記錄。當(dāng)收集需要清除的介質(zhì)時(shí),應(yīng)考慮越來越多的情形,可能會(huì)顯現(xiàn)有一大堆不保密的信息，比ー少量保密信息更敏銳。信息處理的程序應(yīng)制訂ー套處理及儲(chǔ)存信息的程序,以便愛護(hù)這類信息不被非法公布或?yàn)E用。程序應(yīng)按信息在文件、運(yùn)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)運(yùn)算機(jī)、移動(dòng)通訊、郵件、聲音郵件、ー樣語音通訊、多媒體、郵件服務(wù)/設(shè)備,傳真機(jī)的使用等中分類（參看5.2）,或其它敏銳文件,例如空支票、發(fā)票。要考慮的有（參看5.2及8.7.2）：所有介質(zhì)的處理及標(biāo)簽（參看8.7.2（1））；出入口的操縱,確認(rèn)非法人員;保留一份合法接收數(shù)據(jù)的正式記錄;保證輸入數(shù)據(jù)是完整、處理正當(dāng)完成及已進(jìn)行輸出的檢查;愛護(hù)等待輸出的假脫機(jī)數(shù)據(jù),程度與數(shù)據(jù)的敏銳程序一致;介質(zhì)按生產(chǎn)商規(guī)格的環(huán)境儲(chǔ)存;把要分發(fā)的數(shù)據(jù)減到最底;把所有拷貝數(shù)據(jù)標(biāo)識(shí)清晰,注明合法接收者的姓名;定期查核分發(fā)列表及合法接收者列。系統(tǒng)講明文檔的安全系統(tǒng)文檔有專門多敏銳信息,例如應(yīng)用進(jìn)程的講明、程序、數(shù)據(jù)結(jié)構(gòu)、授權(quán)進(jìn)程（參看9.1）。關(guān)于愛護(hù)系統(tǒng)講明文檔不被非法訪咨詢的操縱有:應(yīng)安全地儲(chǔ)存系統(tǒng)講明文檔；訪咨詢系統(tǒng)講明文檔的人員應(yīng)該減到最少,并由應(yīng)用擁有者授權(quán);在公用網(wǎng)上的、或通過公用網(wǎng)提供的系統(tǒng)講明文檔,應(yīng)有適當(dāng)?shù)膼圩o(hù)。信息與軟件的交換目的:防止在機(jī)構(gòu)交換之間的信息不丟失、不被更換及濫用。機(jī)構(gòu)之間的信息及軟件交換應(yīng)受到操縱,并符合所有有關(guān)法律（參看第12條款）。應(yīng)按協(xié)議條款進(jìn)行交換,制訂愛護(hù)傳輸中信息及介質(zhì)的程序及標(biāo)準(zhǔn),考慮與電子數(shù)據(jù)交換、電子商務(wù)及電子郵件的業(yè)務(wù)及安全因素,以及操縱的要求。信息及軟件交換協(xié)議機(jī)構(gòu)之間信息及軟件（電子的或手工的）的交換應(yīng)按協(xié)議（有些可能是正式的，包括第三者儲(chǔ)存附帶條件委付蓋印的軟件契約）進(jìn)行。協(xié)議的安全內(nèi)容應(yīng)反映所交換的業(yè)務(wù)信息的敏銳程度。要考慮的安全條件有:操縱及通知傳送、分派及接收的治理責(zé)任;通知發(fā)送者、傳送、分派及接收的程序;包裝及傳送的最低技術(shù)標(biāo)準(zhǔn);速遞確認(rèn)的標(biāo)準(zhǔn);數(shù)據(jù)丟失時(shí)的責(zé)任;使用統(tǒng)ー的標(biāo)簽系統(tǒng)標(biāo)簽敏銳或重要的信息,保證標(biāo)簽清晰易明白、信息適當(dāng)?shù)厥艿綈圩o(hù);信息及軟件的擁有者,以及數(shù)據(jù)愛護(hù)的責(zé)任,軟件版權(quán)的遵守及其它（參看12.1.2及!2.1.4）；記錄及閱讀信息及軟件的技術(shù)標(biāo)準(zhǔn)；需要的其它專門操縱以愛護(hù)敏銳的東西,例如密鑰（參看10.3.5）傳遞中介質(zhì)的安全信息在物理運(yùn)輸時(shí),例如通過郵遞服務(wù)或者速遞公司，會(huì)受到非法訪咨詢、濫用或被破壞，因此要實(shí)施操縱保證機(jī)構(gòu)之間在傳遞時(shí)的運(yùn)算機(jī)介質(zhì)。a）應(yīng)使用可靠的運(yùn)輸和速遞公司。治理層應(yīng)該授權(quán)使用那家速遞公司,并定期檢查確實(shí)是使用統(tǒng)一安排的速遞公司;b）按生產(chǎn)商的規(guī)格使用可靠的包裝愛護(hù)運(yùn)輸時(shí)可不能物理破壞介質(zhì)的內(nèi)容;c）如有需要,應(yīng)推行專門的操縱愛護(hù)敏銳信息不被非法公布或更換,例如:1）使用加鎖的裝運(yùn)箱;2）親手遞送;3）防篡改的包裝（能夠顯示有試圖打開的跡象）；4）在專門情形下,把托運(yùn)物品分多次并按照多途徑遞送;電子商務(wù)的安全電子商務(wù)是指電子數(shù)據(jù)交換（electronicdatainterchangeEDI）、電子郵件及在公用網(wǎng)如互聯(lián)網(wǎng)在在線交易中的使用。電子商務(wù)冒專門多網(wǎng)絡(luò)上的風(fēng)險(xiǎn)，例如假冒活動(dòng)、合同糾紛以及公布或更換信息。因此，要實(shí)施操縱來愛護(hù)電子商務(wù)的安全:1）認(rèn)證?？蛻艏吧碳覍?duì)對(duì)方稱述的身份有多少信心程度?2）授權(quán)。誰授權(quán)設(shè)置價(jià)格、簽發(fā)或簽名重要的交易文檔?貿(mào)易伙伴如何明白?3）合同及投標(biāo)過程。保密性、完整性及分派證明及接收重要文檔的收據(jù)的要求，以及合同抗抵賴性的要求是什么?4）價(jià)格信息。所推廣的廣告價(jià)有多少屬實(shí)?敏銳的折扣信息的保密程度有多高?5）定單交易。定單、支付及交付的詳細(xì)地址、接收確認(rèn)等保密性及完整性有多高?6）核對(duì)。核對(duì)客戶所提供的支付信息要到多大的程度?7）結(jié)算。防止假冒的最適當(dāng)?shù)闹Ц斗椒ㄊ鞘裁?8）下定單。需要那樣的愛護(hù)才能愛護(hù)定單的保密性及完整性,以及如何幸免丟失或重復(fù)交易?9）責(zé)任。誰承擔(dān)假冒交易的風(fēng)險(xiǎn)?以上好幾點(diǎn)能夠使用密碼技術(shù)解決（參看10.3）（但要注意按有關(guān)法律（參看12.1,專門是12.1.6的密碼法律。貿(mào)易伙伴之間的電子商務(wù)安排,應(yīng)有協(xié)議約束雙方同意的貿(mào)易條款,包括授權(quán)的詳情（參看以上的第2）條）。也可能需要與其它信息服務(wù)及增殖網(wǎng)絡(luò)提供商簽定類似協(xié)議。公布貿(mào)易的系統(tǒng)應(yīng)公布它們對(duì)客戶的業(yè)務(wù)條款。應(yīng)充分考慮電子商務(wù)主機(jī)被攻擊后的復(fù)原，以及任何網(wǎng)絡(luò)互聯(lián)的安全對(duì)電子商務(wù)的阻礙。電子郵件的安全安全風(fēng)險(xiǎn)電子郵件是用來溝通業(yè)務(wù),替代傳統(tǒng)的通訊方式如電報(bào)及信件，不同的是速度、消息結(jié)構(gòu)、非正式的程度及非法活動(dòng)的風(fēng)險(xiǎn)。應(yīng)考慮實(shí)施操縱以減少電子郵件所帶來的安全風(fēng)險(xiǎn)，例如:消息非法訪咨詢或被更換的風(fēng)險(xiǎn),或拒絕服務(wù);出錯(cuò)的風(fēng)險(xiǎn),例如不正確的地址或錯(cuò)誤轉(zhuǎn)發(fā)，以及服務(wù)的ー樣可靠性及可用性;通訊介質(zhì)的變動(dòng)對(duì)業(yè)務(wù)流程的阻礙,例如加速分派的阻礙,或個(gè)人對(duì)個(gè)人發(fā)送正式消息,或機(jī)構(gòu)對(duì)機(jī)構(gòu)發(fā)送;法律的考慮,例如出示對(duì)來源、分派、交付及接收的證明的要求公布從外部訪咨詢的職員名單的阻礙；操縱具有電子郵件賬號(hào)的遠(yuǎn)程用戶的訪咨詢。電子郵件的策略機(jī)構(gòu)應(yīng)有明確的關(guān)于電子郵件使用的策略,內(nèi)容有:電子郵件的攻擊,例如病毒、截取;電子郵件附件的愛護(hù);何時(shí)不能使用電子郵件的指令;職員有責(zé)任愛護(hù)機(jī)構(gòu)的聲譽(yù),例如不發(fā)送誹謗性電子郵件、不擾亂不人、不進(jìn)行未經(jīng)認(rèn)可的購(gòu)物等;使用密碼技術(shù)愛護(hù)電子消息的保密性及完整性（參看10.3）；儲(chǔ)存消息,一旦有法律訴訟,能夠趕忙發(fā)覺；額外的用于核對(duì)不能認(rèn)證的消息的操縱。電子辦公室系統(tǒng)的安全應(yīng)制訂和實(shí)施策略和指導(dǎo)方針，來操縱電子OA的業(yè)務(wù)及安全風(fēng)險(xiǎn)。如此,便能夠用不同組合:文檔、運(yùn)算機(jī)、運(yùn)動(dòng)辦公、移動(dòng)通訊、