信息安全管理

信息安全管理

治理

BS7799-1:1999

第一部分：信息安全治理

業(yè)務(wù)手則

前言

BS7799本部分內(nèi)容，即信息安全治理，是在BSI/DISC委員會(huì)BDD

/2指導(dǎo)下完成的。它取代了差不多停止使用的BS7799:1995o

BS7799由兩個(gè)部分組成：

第一部分：信息安全治理業(yè)務(wù)守則；

第二部分：信息安全治理系統(tǒng)規(guī)范。

BS7799-1首發(fā)于1995年，它為信息安全提供了一套全面綜合最佳實(shí)

踐體會(huì)的操縱措施。其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時(shí)為確定實(shí)

施操縱措施的范疇提供一個(gè)參考依據(jù)，同時(shí)能夠讓各種規(guī)模的組織所采

納。

本標(biāo)準(zhǔn)使用組織這一術(shù)語(yǔ)，既包括贏利性組織，也包括諸如公共部門(mén)

等非贏利性組織。

1999年的修訂版考慮到最新的信息處理技術(shù)應(yīng)用，專(zhuān)門(mén)是網(wǎng)絡(luò)和通訊

的進(jìn)展情形。它也更加大調(diào)了信息安全所涉及的商業(yè)咨詢(xún)題和責(zé)任咨詢(xún)

題。

本文檔所講明的操縱措施不可能完全適用于所有情形。它沒(méi)有考慮到

本地系統(tǒng)、環(huán)境或技術(shù)上的制約因素。同時(shí)在形式上也不可能完全適合組

織的所有潛在用戶(hù)。因此，本文檔還需要有進(jìn)一步的指導(dǎo)講明作為補(bǔ)充。

例如，在制定公司策略或公司間貿(mào)易協(xié)定時(shí)，能夠使用本文檔作為一個(gè)基

石。

BritishStandard作為一個(gè)業(yè)務(wù)守則，在形式上采納指導(dǎo)和建議結(jié)合的

方式。在使用時(shí)，不應(yīng)該有任何條條框框，專(zhuān)門(mén)專(zhuān)門(mén)注意，不要因?yàn)橐?/p>

遵守守則而因噎廢食。

本標(biāo)準(zhǔn)在起草時(shí)就差不多假定一個(gè)前提條件，即標(biāo)準(zhǔn)的執(zhí)行對(duì)象是具

有相應(yīng)資格的、富有體會(huì)的有關(guān)人士。附件A的信息專(zhuān)門(mén)豐富，其中包含

一張表，講明了1995年版各部分與1999年版各條款間的關(guān)系。BritishSta

ndard無(wú)意包容合約的所有必要條款。BritishStandards的用戶(hù)對(duì)他們正確

使用本標(biāo)準(zhǔn)自負(fù)責(zé)任。

符合BritishStandard不代表其本身豁免法律義務(wù)。

什么是信息安全？

信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對(duì)一個(gè)組織來(lái)講

是有價(jià)值的，因此需要妥善進(jìn)行愛(ài)護(hù)。信息安全愛(ài)護(hù)信息免受多種威逼的

攻擊，保證業(yè)務(wù)連續(xù)性，將業(yè)務(wù)缺失降至最少，同時(shí)最大限度地獲得投資

回報(bào)和利用商業(yè)機(jī)遇。信息存在的形式多種多樣。它能夠打印或?qū)懺诩?/p>

上，以電子文檔形式儲(chǔ)存，通過(guò)郵寄或電子手段傳播，以膠片形式顯示或

在交談中表達(dá)出來(lái)。不管信息的形式如何，或通過(guò)什么手段進(jìn)行共享或儲(chǔ)

備，都應(yīng)加以妥善愛(ài)護(hù)。

信息安全具有以下特點(diǎn)：

保密性：確保只有通過(guò)授權(quán)的人才能訪咨詢(xún)信息；

完整性：愛(ài)護(hù)信息和信息的處理方法準(zhǔn)確而完整；

可用性：確保通過(guò)授權(quán)的用戶(hù)在需要時(shí)能夠訪咨詢(xún)信息并使用有關(guān)信

息資產(chǎn)。

信息安全是通過(guò)實(shí)施一整套適當(dāng)?shù)牟倏v措施實(shí)現(xiàn)的。操縱措施包括策

略、實(shí)踐、步驟、組織結(jié)構(gòu)和軟件功能。必須建立起一整套的操縱措施，

確保滿(mǎn)足組織特定的安全目標(biāo)。

什么緣故需要信息安全

信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)差不多上重要的業(yè)務(wù)資產(chǎn)。為保證組

織富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和組織贏利，以及遵紀(jì)守法和愛(ài)護(hù)組織的

良好商業(yè)形象，信息的保密性、完整性和可用性是至關(guān)重要的。

作為信息安全治理的最差不多要求，組織內(nèi)所有的雇員都應(yīng)參與信息

安全治理。信息安全治理還需要供應(yīng)商、客戶(hù)或股東的參與。也需要參考

來(lái)自組織之外的專(zhuān)家的建議。

如果在制定安全需求規(guī)范和設(shè)計(jì)時(shí)期時(shí)就考慮到了信息安全的操縱措

施，那么信息安全操縱的成本會(huì)專(zhuān)門(mén)低，并更有效率。

如何制定安全要求

組織確定自己的安全要求，這是安全愛(ài)護(hù)的起點(diǎn)。安全要求有三個(gè)要

緊來(lái)源。第一個(gè)來(lái)源是對(duì)組織面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估的結(jié)果。通過(guò)風(fēng)險(xiǎn)評(píng)

估，確定風(fēng)險(xiǎn)和安全漏洞對(duì)資產(chǎn)的威逼，并評(píng)判風(fēng)險(xiǎn)發(fā)生的可能性以及潛

在的阻礙。

第二個(gè)來(lái)源是組織、其商業(yè)伙伴、承包商和服務(wù)提供商必須滿(mǎn)足的法

律、法令、規(guī)章以及合約方面的要求。

第三個(gè)來(lái)源是一組專(zhuān)門(mén)的信息處理的原則、目標(biāo)和要求，它們是組織

為了進(jìn)行信息處理必須制定的。

評(píng)估安全風(fēng)險(xiǎn)

安全要求是通過(guò)對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估確定的。應(yīng)該將實(shí)施操縱措施

的支出與安全故障可能造成的商業(yè)缺失進(jìn)行權(quán)衡考慮。風(fēng)險(xiǎn)評(píng)估技術(shù)適用

于整個(gè)組織，或者組織的某一部分以及獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件或

服務(wù)等。在這些地點(diǎn)，風(fēng)險(xiǎn)評(píng)估技術(shù)不僅切合實(shí)際，而且也頗有助益。

進(jìn)行風(fēng)險(xiǎn)評(píng)估需要系統(tǒng)地考慮以下咨詢(xún)題：

安全故障可能造成的業(yè)務(wù)缺失，包含由于信息和其它資產(chǎn)的保密性、

完整性或可用性缺失可能造成的后果；

當(dāng)前要緊的威逼和漏洞帶來(lái)的現(xiàn)實(shí)安全咨詢(xún)題，以及目前實(shí)施的操縱

措施。

評(píng)估的結(jié)果有助于指導(dǎo)用戶(hù)確定適宜的治理手段，以及治理信息安全

風(fēng)險(xiǎn)的優(yōu)先順序，并實(shí)施所選的操縱措施來(lái)防范這些風(fēng)險(xiǎn)。必須多次重復(fù)

執(zhí)行評(píng)估風(fēng)險(xiǎn)和選擇操縱措施的過(guò)程，以涵蓋組織的不同部分或各個(gè)獨(dú)立

的信息系統(tǒng)。

對(duì)安全風(fēng)險(xiǎn)和實(shí)施的操縱措施進(jìn)行定期審查專(zhuān)門(mén)重要，目的是：

考慮業(yè)務(wù)要求和優(yōu)先順序的變更；

考慮新顯現(xiàn)的安全威逼和漏洞；

確認(rèn)操縱措施方法是否適當(dāng)和有效。

應(yīng)該按照往常的評(píng)估結(jié)果以及治理層能夠同意的風(fēng)險(xiǎn)程度變化對(duì)系統(tǒng)

安全執(zhí)行不同程度的審查。通常先在一個(gè)較高的層次上對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估

（這是一種優(yōu)先處理高風(fēng)險(xiǎn)區(qū)域中的資源的方法），然后在一個(gè)具體層次

上處理特定的風(fēng)險(xiǎn)。

選擇操縱措施

一旦確定了安全要求，就應(yīng)選擇并實(shí)施適宜的操縱措施，確保將風(fēng)險(xiǎn)

降低到一個(gè)可同意的程度。能夠從本文檔或其它操縱措施集合選擇適合的

操縱措施，也能夠設(shè)計(jì)新的操縱措施，以滿(mǎn)足特定的需求。治理風(fēng)險(xiǎn)有許

多方法，本文檔提供了常用方法的示例。然而，請(qǐng)務(wù)必注意，其中一些方

法并不適用于所有信息系統(tǒng)或環(huán)境，而且可能不適用于所有組織。例如，

8.1.4講明了如何劃分責(zé)任來(lái)防止欺詐行為和錯(cuò)誤行為。在較小的組織中專(zhuān)

門(mén)難將所有責(zé)任劃分清晰，因此需要使用其它方法以達(dá)到同樣的操縱目

的。

在降低風(fēng)險(xiǎn)和違反安全造成的潛在缺失時(shí)，應(yīng)該按照實(shí)施操縱措施的

成本選擇操縱措施。還應(yīng)該考慮聲譽(yù)受損等非貨幣因素。本文檔中的一些

操縱措施能夠作為信息安全治理的指導(dǎo)性原則，這些方法適用于大多數(shù)組

織。在下文的“信息安全起點(diǎn)”標(biāo)題下，對(duì)此做了較為詳細(xì)的講明。

信息安全起點(diǎn)

專(zhuān)門(mén)多操縱措施都能夠作為指導(dǎo)性原則，它們?yōu)閷?shí)施信息安全提供了

一個(gè)專(zhuān)門(mén)好的起點(diǎn)。這些方法能夠是按照差不多的法律要求制定的，也能

夠從信息安全的最佳實(shí)踐體會(huì)中獲得。

從規(guī)律規(guī)定的角度來(lái)看，對(duì)組織至關(guān)重要的操縱措施包括：

知識(shí)產(chǎn)權(quán)（參閱12.1.2）；

組織記錄的愛(ài)護(hù)（參閱12.1.3）；

對(duì)數(shù)據(jù)的愛(ài)護(hù)和個(gè)人信息的隱私權(quán)愛(ài)護(hù)（參閱12.1.4）。

在愛(ài)護(hù)信息安全的實(shí)踐中，專(zhuān)門(mén)好的常用操縱措施包括：

信息安全策略文檔（參閱3.1.1）；

信息安全責(zé)任的分配（參閱4.1.3）；

信息安全教育和培訓(xùn)（參閱6.2.1）；

報(bào)告安全事故（參閱6.3.1）；

業(yè)務(wù)連續(xù)性治理（參閱11.Do

這些操縱措施適用于大多數(shù)組織，并可在大多數(shù)環(huán)境中使用。請(qǐng)注

意，盡管本文檔中的所有文檔都專(zhuān)門(mén)重要，但一種方法是否適用，依舊取

決于一個(gè)組織所面臨的特定安全風(fēng)險(xiǎn)。因此，盡管采納上述措施能夠作為

一個(gè)專(zhuān)門(mén)好的安全愛(ài)護(hù)起點(diǎn)，但不能取代按照風(fēng)險(xiǎn)評(píng)估結(jié)果選擇操縱措施

的要求。

成功的關(guān)鍵因素

以往的體會(huì)表明，在組織中成功地實(shí)施信息安全愛(ài)護(hù)，以下因素是專(zhuān)

門(mén)關(guān)鍵的：

反映組織目標(biāo)的安全策略、目標(biāo)以及活動(dòng)；

與組織文化一致的實(shí)施安全愛(ài)護(hù)的方法；

來(lái)自治理層的實(shí)際支持和承諾；

對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)治理的深入明白得；

向全體治理人員和雇員有效地推銷(xiāo)安全的理念；

向所有雇員和承包商宣傳信息安全策略的指導(dǎo)原則和標(biāo)準(zhǔn)；

提供適當(dāng)?shù)呐嘤?xùn)和教育；

一個(gè)綜合平穩(wěn)的測(cè)量系統(tǒng)，用來(lái)評(píng)估信息安全治理的執(zhí)行情形和反饋

意見(jiàn)和建議，以便進(jìn)一步改進(jìn)。

制定自己的指導(dǎo)方針

業(yè)務(wù)規(guī)則能夠作為制定組織專(zhuān)用的指導(dǎo)原則的起點(diǎn)。本業(yè)務(wù)規(guī)則中的

指導(dǎo)原則和操縱措施并非全部適用。因此，還可能需要本文檔未包括的其

它操縱措施。顯現(xiàn)上述情形時(shí)，各操縱措施之間相互參照專(zhuān)門(mén)有用，有利

于審計(jì)人員和業(yè)務(wù)伙伴檢查是否符合安全指導(dǎo)原則。

名目

116

2術(shù)語(yǔ)和定義16

2.1信息安全16

2.2風(fēng)險(xiǎn)評(píng)估16

2.3風(fēng)險(xiǎn)治理16

3安全策略17

3.1信息安全策略17

3.1.1信息安全策略文檔17

3.1.2審查評(píng)估17

4組織的安全18

4.1信息安全基礎(chǔ)設(shè)施18

4.1.1治理信息安全論壇18

4.1.2信息安全的和諧19

4.1.3信息安全責(zé)任的劃分19

4.1.4信息處理設(shè)施的授權(quán)程序20

4.1.5專(zhuān)家信息安全建議20

4.1.6組織間的合作21

4.1.7信息安全的獨(dú)立評(píng)審21

4.2第三方訪咨詢(xún)的安全性22

4.2.1確定第三方訪咨詢(xún)的風(fēng)險(xiǎn)22

4.2.2第三方合同的安全要求23

4.3外包25

4.3.1外包合同的安全要求25

5資產(chǎn)分類(lèi)治理26

5.1資產(chǎn)責(zé)任26

5.1.1資產(chǎn)名目26

5.2信息分類(lèi)27

5.2.1分類(lèi)原則27

5.2.2信息標(biāo)識(shí)和處理27

6人員安全29

6.1責(zé)任定義與資源治理的安全性29

6.1.1考慮工作責(zé)任中的安全因素29

6.1.2人員選拔策略29

6.1.3保密協(xié)議29

6.1.4雇傭條款和條件30

6.2用戶(hù)培訓(xùn)30

6.2.1信息安全的教育與培訓(xùn)30

6.3對(duì)安全事故和故障的處理31

6.3.1安全事故報(bào)告31

6.3.2安全漏洞報(bào)告31

6.3.3軟件故障報(bào)告31

6.3.4從事故中吸取教訓(xùn)32

6.3.5紀(jì)律檢查程序32

7實(shí)際和環(huán)境的安全32

7.1安全區(qū)32

7.1.1實(shí)際安全隔離帶32

7.1.2安全區(qū)出入操縱措施33

7.1.3辦公場(chǎng)所、房屋和設(shè)施的安全保證34

7.1.4在安全區(qū)中工作35

7.1.5與其它區(qū)域隔離的交貨和裝載區(qū)域35

7.2設(shè)備的安全35

7.2.1設(shè)備選址與愛(ài)護(hù)36

7.2.2電源37

7.2.3電纜安全37

7.2.4設(shè)備愛(ài)護(hù)38

7.2.5場(chǎng)外設(shè)備的安全38

7.2.6設(shè)備的安全處置與重用39

7.3常規(guī)操縱措施39

7.3.1桌面與屏幕治理策略39

7.3.2資產(chǎn)處置40

8通信與操作治理40

8.1操作程序和責(zé)任40

8.1.1明確的操作程序41

8.1.2操作變更操縱41

8.1.3事故治理程序42

8.1.4責(zé)任劃分43

8.1.5開(kāi)發(fā)設(shè)施與運(yùn)營(yíng)設(shè)施分離43

8.1.6外部設(shè)施治理44

8.2系統(tǒng)規(guī)劃與驗(yàn)收45

8.2.1容量規(guī)劃45

8.2.2系統(tǒng)驗(yàn)收45

8.3防止惡意軟件46

8.3.1惡意軟件的操縱措施46

8.4內(nèi)務(wù)處理47

8.4.1信息備份47

8.4.2操作人員日志48

8.4.3錯(cuò)誤日志記錄48

8.5網(wǎng)絡(luò)治理49

8.5.1網(wǎng)絡(luò)操縱措施49

8.6介質(zhì)處理與安全49

8.6.1運(yùn)算機(jī)活動(dòng)介質(zhì)的治理49

8.6.2介質(zhì)處置50

8.6.3信息處理程序51

8.6.4系統(tǒng)文檔的安全51

8.7信息和軟件交換51

8.7.1信息和軟件交換協(xié)議52

8.7.2傳輸中介質(zhì)的安全52

8.7.3電子商務(wù)安全53

8.7.4電子郵件安全54

8.7.5電子辦公系統(tǒng)安全55

8.7.6信息公布系統(tǒng)55

8.7.7其它的信息交換形式56

9訪咨詢(xún)操縱57

9.1訪咨詢(xún)操縱的業(yè)務(wù)要求57

9.1.1訪咨詢(xún)操縱策略57

9.2用戶(hù)訪咨詢(xún)治理58

9.2.1用戶(hù)注冊(cè)59

9.2.2權(quán)限治理59

9.2.3用戶(hù)口令治理60

9.2.4用戶(hù)訪咨詢(xún)權(quán)限檢查60

9.3用戶(hù)責(zé)任61

9.3.1口令的使用61

9.3.2無(wú)人值守的用戶(hù)設(shè)備62

9.4網(wǎng)絡(luò)訪咨詢(xún)操縱62

9.4.1網(wǎng)絡(luò)服務(wù)的使用策略63

9.4.2實(shí)施操縱的路徑63

9.4.3外部連接的用戶(hù)身份驗(yàn)證64

9.4.4節(jié)點(diǎn)驗(yàn)證64

9.4.5遠(yuǎn)程診斷端口的愛(ài)護(hù)65

9.4.6網(wǎng)絡(luò)劃分65

9.4.7網(wǎng)絡(luò)連接操縱65

9.4.8網(wǎng)絡(luò)路由操縱66

9.4.9網(wǎng)絡(luò)服務(wù)安全66

9.5操作系統(tǒng)訪咨詢(xún)操縱66

9.5.1終端自動(dòng)識(shí)不功能67

9.5.2終端登錄程序67

9.5.3用戶(hù)身份識(shí)不和驗(yàn)證68

9.5.4口令治理系統(tǒng)68

9.5.5系統(tǒng)有用程序的使用69

9.5.6愛(ài)護(hù)用戶(hù)的威逼報(bào)警69

9.5.7終端超時(shí)70

9.5.8連接時(shí)刻限制70

9.6應(yīng)用程序訪咨詢(xún)操縱70

9.6.1信息訪咨詢(xún)限制71

9.6.2敏銳系統(tǒng)的隔離71

9.7監(jiān)控系統(tǒng)的訪咨詢(xún)和使用72

9.7.1事件日志記錄72

9.7.2監(jiān)控系統(tǒng)的使用72

9.7.3時(shí)鐘同步74

9.8移動(dòng)運(yùn)算和遠(yuǎn)程工作74

9.8.1移動(dòng)運(yùn)算75

9.8.2遠(yuǎn)程工作75

10系統(tǒng)開(kāi)發(fā)與愛(ài)護(hù)77

10.1系統(tǒng)的安全要求77

10.1.1安全要求分析和講明77

10.2應(yīng)用系統(tǒng)中的安全77

10.2.1輸入數(shù)據(jù)驗(yàn)證78

10.2.2內(nèi)部處理的操縱78

10.2.3消息驗(yàn)證79

10.2.4輸出數(shù)據(jù)驗(yàn)證80

10.3加密操縱措施80

10.3.1加密操縱措施的使用策略80

10.3.2加密81

10.3.3數(shù)字簽名81

10.3.4不否認(rèn)服務(wù)82

10.3.5密鑰治理82

10.4系統(tǒng)文件的安全84

10.4.1操作軟件的操縱84

10.4.2系統(tǒng)測(cè)試數(shù)據(jù)的愛(ài)護(hù)85

10.4.3對(duì)程序源代碼庫(kù)的訪咨詢(xún)操縱85

10.5開(kāi)發(fā)和支持過(guò)程中的安全86

10.5.1變更操縱程序86

10.5.2操作系統(tǒng)變更的技術(shù)評(píng)審87

10.5.3對(duì)軟件包變更的限制87

10.5.4隱藏通道和特洛伊代碼88

10.5.5外包的軟件開(kāi)發(fā)88

11業(yè)務(wù)連續(xù)性治理88

11.1業(yè)務(wù)連續(xù)性治理的特點(diǎn)88

11.1.1業(yè)務(wù)連續(xù)性治理程序89

11.1.2業(yè)務(wù)連續(xù)性和阻礙分析89

11.1.3編寫(xiě)和實(shí)施連續(xù)性打算90

11.1.4業(yè)務(wù)連續(xù)性打算框架90

11.1.5業(yè)務(wù)連續(xù)性打算的檢查、愛(ài)護(hù)和重新分析91

12符合性92

12.1符合法律要求92

12.1.1確定適用法律93

12.1.2知識(shí)產(chǎn)權(quán)（IPR）93

12.1.3組織記錄的安全保證94

12.1.4個(gè)人信息的數(shù)據(jù)愛(ài)護(hù)和安全95

12.1.5防止信息處理設(shè)施的濫用95

12.1.6加密操縱措施的調(diào)整96

12.1.7證據(jù)收集96

12.2安全策略和技術(shù)符合性的評(píng)審97

12.2.1符合安全策略98

12.2.2技術(shù)符合性檢查98

12.3系統(tǒng)審計(jì)因素98

12.3.1系統(tǒng)審計(jì)操縱措施99

12.3.2系統(tǒng)審計(jì)工具的愛(ài)護(hù)99

范疇

BS7799本部分內(nèi)容為那些負(fù)責(zé)執(zhí)行或愛(ài)護(hù)組織安全的人員提供使用

信息安全治理的建議。目的是為制定組織安全標(biāo)準(zhǔn)和有效安全治理提供共

同基礎(chǔ)，并提升組織間相互和諧的信心。

術(shù)語(yǔ)和定義

在講明本文檔用途中應(yīng)用了以下定義。

信息安全

信息保密性、完整性和可用性的愛(ài)護(hù)

注意

保密性的定義是確保只有獲得授權(quán)的人才能訪咨詢(xún)信息。

完整性的定義是愛(ài)護(hù)信息和處理方法的準(zhǔn)確和完整。

可用性的定義是確保獲得授權(quán)的用戶(hù)在需要時(shí)能夠訪咨詢(xún)信息并使用

有關(guān)信息資產(chǎn)。

風(fēng)險(xiǎn)評(píng)估

評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來(lái)的威逼和阻礙及其發(fā)生的可能

性

風(fēng)險(xiǎn)治理

以能夠同意的成本，確認(rèn)、操縱、排除可能阻礙信息系統(tǒng)的安全風(fēng)險(xiǎn)

或?qū)⑵鋷?lái)的危害最小化的過(guò)程

安全策略

信息安全策略

目標(biāo)：提供治理指導(dǎo)，保證信息安全。

治理層應(yīng)制定一個(gè)明確的安全策略方向，并通過(guò)在整個(gè)組織中公布和

愛(ài)護(hù)信息安全策略，表明自己對(duì)信息安全的支持和愛(ài)護(hù)責(zé)任。

信息安全策略文檔

策略文檔應(yīng)該由治理層批準(zhǔn)，按照情形向所有職員公布傳達(dá)。文檔應(yīng)

講明治理人員承擔(dān)的義務(wù)和責(zé)任，并制定組織的治理信息安全的步驟。至

少應(yīng)包括以下指導(dǎo)原則：

信息安全的定義、其總體目標(biāo)及范疇以及安全作為保證信息共享的機(jī)

制所具有的重要性（參閱簡(jiǎn)介）；

陳述信息安全的治理意圖、支持目標(biāo)以及指導(dǎo)原則；

簡(jiǎn)要講明安全策略、原則、標(biāo)準(zhǔn)以及需要遵守的各項(xiàng)規(guī)定。這對(duì)組織

專(zhuān)門(mén)重要，例如：

1）符合法律和合約的要求；

2）安全教育的要求；

3）防止并檢測(cè)病毒和其它惡意軟件；

4）業(yè)務(wù)連續(xù)性治理；

5）違反安全策略的后果；

確定信息安全治理的一樣責(zé)任和具體責(zé)任，包括報(bào)告安全事故；

參考支持安全策略的有關(guān)文獻(xiàn)，例如針對(duì)特定信息系統(tǒng)的更為詳盡的

安全策略和方法以及用戶(hù)應(yīng)該遵守的安全規(guī)則。安全策略應(yīng)該向組織用戶(hù)

傳達(dá)，形式上是針對(duì)目標(biāo)讀者，并為讀者同意和明白得。

審查評(píng)估

每個(gè)策略應(yīng)該有一個(gè)負(fù)責(zé)人，他按照明確規(guī)定的審查程序計(jì)策略進(jìn)行

愛(ài)護(hù)和審查。審查過(guò)程應(yīng)該確保在發(fā)生阻礙最初風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)的變化

（如發(fā)生重大安全事故、顯現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變

更）時(shí)，計(jì)策略進(jìn)行相應(yīng)的審查。還應(yīng)該進(jìn)行以下預(yù)定的、時(shí)期性的審

查：

檢查策略的有效性，通過(guò)所記錄的安全事故的性質(zhì)、數(shù)量以及阻礙反

映出來(lái)；

操縱措施的成本及其業(yè)務(wù)效率的阻礙；

技術(shù)變化帶來(lái)的阻礙。

組織的安全

信息安全基礎(chǔ)設(shè)施

目標(biāo)：治理組織內(nèi)部的信息安全。

應(yīng)該建立治理框架，在組織內(nèi)部開(kāi)展和操縱信息安全的治理實(shí)施。應(yīng)

該建立有治理領(lǐng)導(dǎo)層參加的治理論壇，以批準(zhǔn)信息安全策略、分配安全責(zé)

任并和諧組織范疇的安全策略實(shí)施。按照需要，應(yīng)該建立專(zhuān)家提出信息安

全建議的渠道，并供整個(gè)組織使用。建立與公司外部的安全專(zhuān)家的聯(lián)系，

保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評(píng)估方法同步，并在處理安全事故時(shí)吸取

他們的觀點(diǎn)。應(yīng)該鼓舞采納跨學(xué)科跨范疇的信息安全方法，例如，讓治理

人員、用戶(hù)、行政人員、應(yīng)用程序設(shè)計(jì)人員、審計(jì)人員以及安全人員和專(zhuān)

家協(xié)同工作，讓他們參與保險(xiǎn)和風(fēng)險(xiǎn)治理的工作。

治理信息安全論壇

信息安全是一種由治理團(tuán)隊(duì)所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任。應(yīng)該建立

一個(gè)治理論壇，確保對(duì)安全措施有一個(gè)明確的方向并得到治理層的實(shí)際支

持。論壇應(yīng)通過(guò)合理的責(zé)任分配和有效的資源治理促進(jìn)組織內(nèi)部安全。該

論壇能夠作為目前治理機(jī)構(gòu)的一個(gè)組成部分。通常，論壇有以下作用：

審查和核準(zhǔn)信息安全策略以及總體責(zé)任；

當(dāng)信息資產(chǎn)暴露受到嚴(yán)峻威逼時(shí)，監(jiān)視重大變化；

審查和監(jiān)控安全事故；

審核加大信息安全的重要活動(dòng)。

一個(gè)治理人員應(yīng)負(fù)責(zé)所有與安全有關(guān)的活動(dòng)。

信息安全的和諧

在大型組織中，需要建立一個(gè)與組織規(guī)模適宜的跨部門(mén)治理論壇，由

組織有關(guān)部門(mén)的治理代表參與，通過(guò)論壇和諧信息安全操縱措施的實(shí)施情

形。

通常，這類(lèi)論壇：

就整個(gè)公司的信息安全的作用和責(zé)任達(dá)成一致；

就信息安全的特定方法和處理過(guò)程達(dá)成一致，如風(fēng)險(xiǎn)評(píng)估、安全分類(lèi)

系統(tǒng)；

就整個(gè)公司的信息安全活動(dòng)達(dá)成一致并提供支持，例如安全警報(bào)程

序；

確保將安全作為制定信息打算的一個(gè)部分；

對(duì)操縱措施是否完善進(jìn)行評(píng)估，并和諧新系統(tǒng)或新服務(wù)的特定信息安

全操縱措施的實(shí)施情形；

審查信息安全事故；g）在整個(gè)組織中增加對(duì)信息安全工作支持的力

度。

信息安全責(zé)任的劃分

應(yīng)該明確愛(ài)護(hù)個(gè)人資產(chǎn)和執(zhí)行具體安全程序步驟的責(zé)任。信息安全策

略（請(qǐng)參閱條款3）應(yīng)提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一樣指導(dǎo)原

則。如果需要，能夠?yàn)樘囟ǖ恼军c(diǎn)、系統(tǒng)或服務(wù)補(bǔ)充更加詳細(xì)的指導(dǎo)原

則。應(yīng)明確講明對(duì)各個(gè)實(shí)際資產(chǎn)和信息資產(chǎn)以及安全進(jìn)程（如業(yè)務(wù)連續(xù)性

規(guī)劃）的愛(ài)護(hù)責(zé)任。

在專(zhuān)門(mén)多組織中，指定信息安全治理員負(fù)責(zé)開(kāi)展和實(shí)施安全愛(ài)護(hù)，并

關(guān)心確定操縱措施。然而，資源治理以及實(shí)施操縱措施仍由各個(gè)治理人員

負(fù)責(zé)。一種常用的方法是為每項(xiàng)信息資產(chǎn)指定一個(gè)所有者，并由他負(fù)責(zé)該

資產(chǎn)的日常安全咨詢(xún)題。

信息資產(chǎn)的所有者將其所承擔(dān)的安全責(zé)任托付給各個(gè)治理人員或服務(wù)

提供商。盡管所有者仍對(duì)該資產(chǎn)的安全負(fù)有最終責(zé)任，但能夠確定被托付

的人是否正確履行了責(zé)任。一定要明確講明各個(gè)治理人員所負(fù)責(zé)的范疇；

專(zhuān)門(mén)是要明確以下范疇。

必須確定并明確講明由誰(shuí)負(fù)責(zé)各種資產(chǎn)和與每個(gè)系統(tǒng)有關(guān)的安全進(jìn)

程。

應(yīng)該確定負(fù)責(zé)各個(gè)資產(chǎn)和安全進(jìn)程的治理人員，并記錄責(zé)任的具體落

實(shí)情形。

應(yīng)明確規(guī)定授權(quán)級(jí)不并進(jìn)行備案。

信息處理設(shè)施的授權(quán)程序

關(guān)于新的信息處理設(shè)施，應(yīng)該制定治理授權(quán)程序。

應(yīng)考慮以下咨詢(xún)題。

新設(shè)施應(yīng)獲得適當(dāng)?shù)挠脩?hù)治理審核，授權(quán)新設(shè)施的范疇和使用。應(yīng)獲

得負(fù)責(zé)愛(ài)護(hù)本地信息系統(tǒng)安全環(huán)境的治理人員的批準(zhǔn)，以確保符合所有有

關(guān)安全策略和要求。

如果需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。

請(qǐng)注意，某些連接可能需要對(duì)類(lèi)型進(jìn)行核實(shí)。

使用個(gè)人信息處理工具處理業(yè)務(wù)信息和其它必要的操縱措施應(yīng)得到授

權(quán)。

在工作場(chǎng)所使用個(gè)人信息處理工具會(huì)帶來(lái)新的漏洞，因此需要進(jìn)行評(píng)

估和授權(quán)。

在聯(lián)網(wǎng)的環(huán)境中，這些操縱措施專(zhuān)門(mén)重要。

專(zhuān)家信息安全建議

專(zhuān)門(mén)多組織都需要專(zhuān)家級(jí)的信息安全建議。理想情形下，一位資深的

全職信息安全顧咨詢(xún)應(yīng)該提出以下建議。并不是所有組織都期望雇傭?qū)＜?/p>

顧咨詢(xún)。在這種情形下，我們建議專(zhuān)家負(fù)責(zé)和諧公司內(nèi)部的知識(shí)和體會(huì)資

源，以確保和諧一致，并在安全決策方面提供關(guān)心。各個(gè)組織應(yīng)該與公司

以外的顧咨詢(xún)保持聯(lián)系，在自己不了解的領(lǐng)域，傾聽(tīng)他們的專(zhuān)門(mén)建議。

信息安全顧咨詢(xún)或其它專(zhuān)家應(yīng)負(fù)責(zé)為信息安全的各種咨詢(xún)題提供建

議，這些意見(jiàn)既能夠來(lái)自他們本人，也能夠來(lái)自外界。組織的信息安全工

作的效率如何，取決于他們對(duì)安全威逼評(píng)估的質(zhì)量和建議使用的操縱措

施。為得到最高的效率和最好的成效，信息安全顧咨詢(xún)能夠直截了當(dāng)與治

理層聯(lián)系。

在發(fā)生可疑的安全事故或破壞行為時(shí)，應(yīng)盡早向信息安全顧咨詢(xún)或其

它專(zhuān)家進(jìn)行咨詢(xún)，以得到專(zhuān)家的指導(dǎo)或可供研究的資源。盡管多數(shù)內(nèi)部安

全調(diào)查是在治理層的操縱下進(jìn)行的，但仍舊應(yīng)該邀請(qǐng)安全顧咨詢(xún)，傾聽(tīng)他

們的建議，或由他們領(lǐng)導(dǎo)、實(shí)施這一調(diào)研活動(dòng)。

組織間的合作

與執(zhí)法機(jī)關(guān)、治理部門(mén)、信息服務(wù)提供商和通信運(yùn)營(yíng)商簽署的合同應(yīng)

保證：在發(fā)生安全事故時(shí)，能迅速采取行動(dòng)并獲得建議。同樣的，也應(yīng)該

考慮加入安全組織和業(yè)界論壇。

應(yīng)嚴(yán)格限制對(duì)安全信息的交換，以確保組織的保密信息沒(méi)有傳播給未

經(jīng)授權(quán)的人。

信息安全的獨(dú)立評(píng)審

信息安全策略文檔（參見(jiàn)3.1.1）制定了信息安全的策略和責(zé)任。必

須對(duì)該文檔的實(shí)施情形進(jìn)行獨(dú)立審查，確保組織的安全實(shí)踐活動(dòng)不僅符合

策略的要求，而且是靈活高效的。（參見(jiàn)12.2）。審查工作應(yīng)該由組織內(nèi)部

的審計(jì)職能部門(mén)、獨(dú)立治理人員或?qū)ｉT(mén)提供此類(lèi)服務(wù)的第三方組織負(fù)責(zé)執(zhí)

行，而且這些人員必須具備相應(yīng)的技能和體會(huì)。

第三方訪咨詢(xún)的安全性

目標(biāo)：愛(ài)護(hù)第三方訪咨詢(xún)的組織信息處理設(shè)施和信息資產(chǎn)的安全性。

要嚴(yán)格操縱第三方對(duì)組織的信息處理設(shè)備的使用。

如果存在對(duì)第三方訪咨詢(xún)的業(yè)務(wù)需求，必須進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定所

涉及的安全咨詢(xún)題和操縱要求。必須與第三方就操縱措施達(dá)成一致，并在

合同中規(guī)定。

第三方的訪咨詢(xún)可能涉及到其它人員。授予第三方訪咨詢(xún)權(quán)限的合約

應(yīng)該包括承諾指定其它符合條件的人員進(jìn)行訪咨詢(xún)和有關(guān)條件的規(guī)定條

款。

在制定這類(lèi)合約或考慮信息處理外包時(shí)，能夠?qū)⒈緲?biāo)準(zhǔn)作為一個(gè)基

礎(chǔ)。

確定第三方訪咨詢(xún)的風(fēng)險(xiǎn)

訪咨詢(xún)類(lèi)型

承諾第三方使用的訪咨詢(xún)類(lèi)型專(zhuān)門(mén)重要。例如，通過(guò)網(wǎng)絡(luò)連接進(jìn)行訪

咨詢(xún)所帶來(lái)的風(fēng)險(xiǎn)與實(shí)際訪咨詢(xún)所帶來(lái)的風(fēng)險(xiǎn)截然不同。應(yīng)考慮的訪咨詢(xún)

類(lèi)型有：

實(shí)際訪咨詢(xún)，如對(duì)辦公室、運(yùn)算機(jī)房、檔案室的訪咨詢(xún)；

邏輯訪咨詢(xún)，如對(duì)組織的數(shù)據(jù)庫(kù)、信息系統(tǒng)的訪咨詢(xún)。

訪咨詢(xún)理由

承諾第三方訪咨詢(xún)有以下理由。例如，某些向組織提供服務(wù)的第三方

不在工作現(xiàn)場(chǎng)，但能夠授予他們物理和邏輯訪咨詢(xún)的權(quán)限，諸如：

硬件和軟件支持人員，他們需要訪咨詢(xún)系統(tǒng)級(jí)不或低級(jí)不的應(yīng)用程序

功能；

貿(mào)易伙伴或該組織創(chuàng)辦的合資企業(yè)，他們與組織交換信息、訪咨詢(xún)信息

系統(tǒng)或共享數(shù)據(jù)庫(kù)。

如果不進(jìn)行充分的安全治理就承諾第三方訪咨詢(xún)數(shù)據(jù)，則信息被置于

專(zhuān)門(mén)危險(xiǎn)的境地。凡有業(yè)務(wù)需要與第三方連接時(shí)，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，

以確定具體的操縱措施要求。還需要考慮以下因素：所需的訪咨詢(xún)類(lèi)型、

信息的價(jià)值、第三方所使用的操縱措施以及該訪咨詢(xún)對(duì)該組織信息的安全

性可能帶來(lái)的阻礙。

現(xiàn)場(chǎng)承包商

按照合約的規(guī)定，第三方在現(xiàn)場(chǎng)工作一段時(shí)刻后也會(huì)留下導(dǎo)致安全隱

患。第三方在現(xiàn)場(chǎng)的情形有：

硬件和軟件的支持愛(ài)護(hù)人員；

清潔人員、送餐人員、保安以及其它外包的支持服務(wù)人員；

為學(xué)生提供的職位和其它臨時(shí)性的短期職位；

咨詢(xún)?nèi)藛T。

要對(duì)第三方使用信息處理設(shè)備進(jìn)行治理，了解要使用什么操縱措施是

至關(guān)重要的。通常，第三方訪咨詢(xún)會(huì)帶來(lái)新的安全要求或內(nèi)部操縱措施，

這些都應(yīng)該在與第三方的合同中體現(xiàn)出來(lái)（另請(qǐng)參見(jiàn)4.2.2）o例如，如果

對(duì)信息的保密性有專(zhuān)門(mén)的要求，應(yīng)簽署保密協(xié)議（參見(jiàn)6.1.3）。

只有實(shí)施了相應(yīng)的操縱措施，并在合同中明確規(guī)定了連接或訪咨詢(xún)的

條款，才能承諾第三方訪咨詢(xún)信息和使用信息處理設(shè)備。

第三方合同的安全要求

第三方對(duì)組織信息處理設(shè)施的訪咨詢(xún)，應(yīng)該按照包含所有必要安全要

求的正式合同進(jìn)行，確保符合組織的安全策略和標(biāo)準(zhǔn)。應(yīng)確保組織和第三

方之間對(duì)合同內(nèi)容不存在任何歧義。為滿(mǎn)足供應(yīng)商，組織應(yīng)第一滿(mǎn)足自

己。在合約中應(yīng)考慮以下條款：

信息安全的常規(guī)策略；

對(duì)資產(chǎn)的愛(ài)護(hù)，包括：

愛(ài)護(hù)包括信息和軟件在內(nèi)的組織資產(chǎn)的步驟；

確認(rèn)資產(chǎn)的安全是否受到威逼的步驟，如數(shù)據(jù)丟失或被修改；

相應(yīng)的操縱措施，以保證在合同終止時(shí)，或在合同執(zhí)行期間某個(gè)雙方

認(rèn)可的時(shí)刻點(diǎn)，將信息和資產(chǎn)歸還或銷(xiāo)毀；

完整性和可用性；

嚴(yán)格限制復(fù)制信息和泄露信息；

講明每個(gè)可提供的服務(wù)；

期望的服務(wù)水平和不可同意的服務(wù)水平；

在適當(dāng)?shù)臅r(shí)候撤換職員的規(guī)定；

達(dá)成各方義務(wù)的協(xié)議；

與法律事務(wù)有關(guān)的責(zé)任（例如，數(shù)據(jù)愛(ài)護(hù)法規(guī)）。如果合同涉及到與

其它國(guó)家的組織進(jìn)行合作，應(yīng)考慮到各個(gè)國(guó)家法律系統(tǒng)之間的差異（另請(qǐng)

參見(jiàn)12.1）；

知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓?zhuān)▍⒁?jiàn)12.1.2）以及對(duì)合著的愛(ài)護(hù)（另請(qǐng)

參見(jiàn)6.1.3）；

訪咨詢(xún)操縱協(xié)議，包括：

承諾使用的訪咨詢(xún)方法，以及操縱措施和對(duì)唯獨(dú)標(biāo)識(shí)符的使用，如用

戶(hù)ID和口令；

用戶(hù)訪咨詢(xún)和權(quán)限的授權(quán)程序；

保留得到有權(quán)使用服務(wù)的人員清單，以及他們具體享有那些權(quán)限和權(quán)

限；

確定可核實(shí)的執(zhí)行標(biāo)準(zhǔn)、監(jiān)視及報(bào)告功能；

監(jiān)視、撤消用戶(hù)活動(dòng)的權(quán)限；

審計(jì)合同責(zé)任或?qū)徲?jì)工作交由第三方執(zhí)行的權(quán)限；

建立一種解決咨詢(xún)題的漸進(jìn)過(guò)程；在需要時(shí)應(yīng)要考慮如何執(zhí)行應(yīng)急措

施;

與硬件和軟件安裝愛(ài)護(hù)有關(guān)的責(zé)任；

明晰的報(bào)告結(jié)構(gòu)和雙方認(rèn)可的報(bào)告格式；

變更治理的明確制定過(guò)程；

所需的物理愛(ài)護(hù)操縱措施和機(jī)制，以確保所有操作都符合操縱措施的

要求；

對(duì)用戶(hù)和治理員進(jìn)行的方法、步驟和安全方面的培訓(xùn)；

保證免受惡意軟件攻擊的操縱措施（參見(jiàn)8.3）；

規(guī)定如何報(bào)告、通知和調(diào)查安全事故以及安全違反行為；

第三方與分包商之間的參與關(guān)系。

外包

目標(biāo)：在將信息處理責(zé)任外包給另一組織時(shí)保證信息安全。

在雙方的合同中，外包協(xié)議應(yīng)闡明信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境中存

在的風(fēng)險(xiǎn)、安全操縱措施以及方法步驟。

外包合同的安全要求

如果將所有或部分信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的治理和操縱進(jìn)行外

包，則應(yīng)在雙方簽定的合同中反映組織的安全要求。

例如,合同中應(yīng)闡明：

如何符合法律要求，如數(shù)據(jù)愛(ài)護(hù)法規(guī)；

應(yīng)該如何規(guī)定保證外包合同中的參與方（包括轉(zhuǎn)包商）都了解各自的

安全責(zé)任；

如何愛(ài)護(hù)并檢測(cè)組織的業(yè)務(wù)資產(chǎn)的完整性和保密性；

應(yīng)該使用何種物理和邏輯操縱措施，限制授權(quán)用戶(hù)對(duì)組織的敏銳業(yè)務(wù)

信息的訪咨詢(xún)；

在發(fā)生災(zāi)難事故時(shí)，如何愛(ài)護(hù)服務(wù)的可用性；

為外包出去的設(shè)備提供何種級(jí)不的物理安全愛(ài)護(hù)；

審計(jì)人員的權(quán)限。

合同中應(yīng)該包括422中的列表列出的條款。合同應(yīng)承諾在安全治理

打算詳細(xì)講明安全要求和程序步驟移植，使合同雙方就此達(dá)成一致。

盡管外包合同會(huì)帶來(lái)一些復(fù)雜的安全咨詢(xún)題，本業(yè)務(wù)規(guī)則中的操縱措

施能夠作為一個(gè)認(rèn)可安全治理打算的結(jié)構(gòu)和內(nèi)容的起點(diǎn)。

資產(chǎn)分類(lèi)治理

資產(chǎn)責(zé)任

目標(biāo)：對(duì)組織資產(chǎn)進(jìn)行適當(dāng)?shù)膼?ài)護(hù)。

所有要緊的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。

確定資產(chǎn)的責(zé)任關(guān)心確保能夠提供適當(dāng)?shù)膼?ài)護(hù)。

應(yīng)確定所有要緊資產(chǎn)的所有者，并分配愛(ài)護(hù)該資產(chǎn)的責(zé)任。

能夠托付負(fù)責(zé)實(shí)施操縱措施的責(zé)任。資產(chǎn)的責(zé)任由資產(chǎn)的指定所有責(zé)

負(fù)責(zé)。

資產(chǎn)名目

資產(chǎn)清單能關(guān)心您確保對(duì)資產(chǎn)實(shí)施有效的愛(ài)護(hù)，也能夠用于其它商業(yè)

目的，如保健、金融保險(xiǎn)等（資產(chǎn)評(píng)估）。編輯資產(chǎn)清單的過(guò)程是資產(chǎn)評(píng)

估的一個(gè)重要方面。組織應(yīng)確定其資產(chǎn)及其相對(duì)價(jià)值和重要性。利用以上

信息，組織能夠按照資產(chǎn)的重要性和價(jià)值提供相應(yīng)級(jí)不的愛(ài)護(hù)。應(yīng)該為每

個(gè)信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并儲(chǔ)存一份清單。應(yīng)該明確確認(rèn)每項(xiàng)資產(chǎn)及其

所有權(quán)和安全分類(lèi)。（參見(jiàn)5.2）各方就此達(dá)成一致并將其當(dāng)前狀況進(jìn)行備

案（這一點(diǎn)在資產(chǎn)發(fā)生損壞，進(jìn)行索賠時(shí)專(zhuān)門(mén)重要）。與信息系統(tǒng)有關(guān)聯(lián)

的資產(chǎn)示例有：

信息資產(chǎn)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文檔、用戶(hù)手冊(cè)、培訓(xùn)材料、操

作或支持步驟、連續(xù)性打算、退守打算、歸檔信息；

軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開(kāi)發(fā)工具以及有用程序；

物質(zhì)資產(chǎn)：運(yùn)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)

器）、通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶和磁

盤(pán)）、其它技術(shù)設(shè)備（電源、空調(diào)器）、家具、機(jī)房；

服務(wù)：運(yùn)算和通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空

調(diào)。

信息分類(lèi)

目標(biāo)：保證信息資產(chǎn)得到適當(dāng)?shù)膼?ài)護(hù)。

應(yīng)該對(duì)信息分類(lèi)，指明其需要、優(yōu)先順序和愛(ài)護(hù)級(jí)不。

信息的敏銳程度和關(guān)鍵程度各不相同。有些信息需要加大愛(ài)護(hù)或進(jìn)行

專(zhuān)門(mén)對(duì)待。能夠使用信息分類(lèi)系統(tǒng)定義合適的愛(ài)護(hù)級(jí)不，并講明對(duì)專(zhuān)門(mén)處

理手段的需要。

分類(lèi)原則

在對(duì)信息進(jìn)行分類(lèi)并制定有關(guān)的愛(ài)護(hù)性操縱措施時(shí)，應(yīng)該考慮以下咨

詢(xún)題：對(duì)共享信息或限制信息共享的業(yè)務(wù)需求，以及與這種需求有關(guān)的業(yè)

務(wù)阻礙，如對(duì)信息未經(jīng)授權(quán)的訪咨詢(xún)或損害。通常，對(duì)信息的分類(lèi)是確定

如何處理和愛(ài)護(hù)信息的簡(jiǎn)略方法。應(yīng)按照信息的價(jià)值和關(guān)于組織的敏銳程

度，對(duì)信息和系統(tǒng)處理分類(lèi)數(shù)據(jù)的結(jié)果進(jìn)行分類(lèi)。也能夠按信息對(duì)組織的

關(guān)鍵程度分類(lèi)，如按照其可用性和完整性分類(lèi)。

通過(guò)一段時(shí)刻后，例如該信息已被公之于眾，信息就變得不那么敏銳

和重要了。必須將這些咨詢(xún)題考慮在內(nèi)，分類(lèi)過(guò)粗會(huì)導(dǎo)致不必要的額外業(yè)

務(wù)開(kāi)銷(xiāo)。分類(lèi)指導(dǎo)原則估量到并同意如此一個(gè)事實(shí)：信息的分類(lèi)不是固定

不變的，能夠按照預(yù)定策略進(jìn)行更換（參見(jiàn)9.1）。

也應(yīng)該考慮到信息類(lèi)不的數(shù)量和進(jìn)行分類(lèi)的優(yōu)點(diǎn)。過(guò)于復(fù)雜的分類(lèi)會(huì)

使人感受專(zhuān)門(mén)苦惱，使用起來(lái)專(zhuān)門(mén)不合算或沒(méi)有有用價(jià)值。在講明其它組

織文檔中的分類(lèi)標(biāo)記時(shí)也應(yīng)該注意，因?yàn)橄嗤蛳嗨频臉?biāo)記的定義可能不

同。對(duì)信息進(jìn)行分類(lèi)，如對(duì)文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤(pán)進(jìn)行分類(lèi)，

以及對(duì)分類(lèi)定期審查等，仍由該信息的最初所有者或指定所有者負(fù)責(zé)執(zhí)

行。

信息標(biāo)識(shí)和處理

按照組織采納的分類(lèi)方法，明確標(biāo)記和處理信息的妥善步驟，是專(zhuān)門(mén)

重要的。這些步驟應(yīng)包括實(shí)際存在的信息和電子形式的信息的標(biāo)記和處理

步驟。關(guān)于每個(gè)類(lèi)不，應(yīng)明確講明，處理步驟包括以下類(lèi)不的信息處理活

動(dòng)：

復(fù)制；

儲(chǔ)備；

通過(guò)郵寄、傳真和電子郵件進(jìn)行傳輸；

通過(guò)移動(dòng)電話、語(yǔ)音郵件、應(yīng)答機(jī)等交談方式進(jìn)行傳輸；

破壞。

系統(tǒng)輸出結(jié)果包含敏銳或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類(lèi)標(biāo)記（輸出結(jié)

果中）。標(biāo)記應(yīng)能反映按照521中創(chuàng)建的規(guī)則進(jìn)行分類(lèi)的結(jié)果。需要考慮

的咨詢(xún)題包括：打印出的報(bào)告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、

磁盤(pán)、CD、磁盤(pán)）、電子消息和文件的傳輸咨詢(xún)題。最合適的標(biāo)記形式確

實(shí)是貼上一張看的見(jiàn)、摸的著的標(biāo)簽。然而，有些信息資產(chǎn)（如電子格式

的文檔）不能貼上實(shí)際的標(biāo)簽，需要使用電子方式的標(biāo)記方法。

人員安全

責(zé)任定義與資源治理的安全性

目標(biāo)：降低設(shè)施誤操作、偷竊、詐騙或?yàn)E用等方面的人為風(fēng)險(xiǎn)。

在聘請(qǐng)時(shí)期，就應(yīng)該講明安全責(zé)任，將其寫(xiě)入合同，并在雇用期間進(jìn)

行監(jiān)督。

對(duì)候選新職員應(yīng)充分進(jìn)行選擇（參見(jiàn)6.1.2）,專(zhuān)門(mén)是關(guān)于從事敏銳工

作的職員更是如此。所有職員和使用信息處理設(shè)施的第三方用戶(hù)都應(yīng)簽署

保密（不公布）協(xié)議。

考慮工作責(zé)任中的安全因素

在組織的信息安全策略中應(yīng)該闡明安全任務(wù)和職責(zé)（參見(jiàn)3.1）,并進(jìn)

行備案。還應(yīng)包括實(shí)施和愛(ài)護(hù)安全策略的總體責(zé)任，以及愛(ài)護(hù)專(zhuān)門(mén)資產(chǎn)、

執(zhí)行專(zhuān)門(mén)專(zhuān)門(mén)安全程序或活動(dòng)的責(zé)任。

人員選拔策略

在考慮就業(yè)申請(qǐng)時(shí)應(yīng)該對(duì)固定職員進(jìn)行審查。審查應(yīng)包括以下內(nèi)容：

是否有令中意的個(gè)人介紹信，能夠由某個(gè)組織或個(gè)人出具；

對(duì)申請(qǐng)人簡(jiǎn)歷的完整性和準(zhǔn)確性進(jìn)行檢查；

對(duì)申請(qǐng)人聲明的學(xué)術(shù)和專(zhuān)業(yè)資格進(jìn)行證實(shí)；

進(jìn)行獨(dú)立的身份檢查（護(hù)照或類(lèi)似文件）。

治理層應(yīng)有權(quán)訪咨詢(xún)敏銳系統(tǒng)，以評(píng)估對(duì)新和體會(huì)不足的職員的調(diào)查

結(jié)果。所有職員的工作都應(yīng)由高級(jí)職員進(jìn)行定期審查和審核。

治理人員應(yīng)該明白，職員的個(gè)人情形會(huì)對(duì)他們的工作產(chǎn)生阻礙。個(gè)人

或財(cái)務(wù)上的咨詢(xún)題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或痛

楚的心情下工作，都會(huì)導(dǎo)致欺詐、盜竊、工作出錯(cuò)或其它安全咨詢(xún)題。應(yīng)

在自己的權(quán)限范疇內(nèi)，按照相應(yīng)的規(guī)定，妥善處理這些咨詢(xún)題。

保密協(xié)議

簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。職員應(yīng)

該簽定保密協(xié)議并將其作為初步雇傭的條款和條件。

現(xiàn)有的合同（包括保密協(xié)議）中沒(méi)有涉及臨時(shí)性職員和第三方用戶(hù)的

咨詢(xún)題，在承諾他們?cè)L咨詢(xún)信息處理設(shè)備之前，應(yīng)要求他們簽署一份協(xié)

議。如果雇傭條款或合同發(fā)生了變化，專(zhuān)門(mén)在是雇員要離開(kāi)組織或合同要

到期時(shí)，要對(duì)保密協(xié)議進(jìn)行進(jìn)行重新批閱。

雇傭條款和條件

雇傭條款和條件應(yīng)該規(guī)定職員的信息安全責(zé)任。如有需要，該責(zé)任在

終止雇用關(guān)系后的一段特定的時(shí)刻內(nèi)仍舊有效。條款中還應(yīng)該包括如果雇

員無(wú)視安全要求，那么可對(duì)其采取措施。

雇用條款和條件中也應(yīng)該包括雇員的法律責(zé)任和權(quán)限方面的條款，如

關(guān)于版權(quán)法或數(shù)據(jù)愛(ài)護(hù)法規(guī)方面的內(nèi)容。條款中還應(yīng)該注明對(duì)雇員有關(guān)數(shù)

據(jù)進(jìn)行分類(lèi)和治理方面的責(zé)任。

如果有必要的話，雇傭條款和條件中應(yīng)講明職員在組織辦公地點(diǎn)以外

和正常工作時(shí)刻以外（如在家工作時(shí)）應(yīng)該承擔(dān)的責(zé)任（另請(qǐng)參見(jiàn)725

和9.8.1）o

用戶(hù)培訓(xùn)

目標(biāo)：保證用戶(hù)了解信息安全存在的威逼和咨詢(xún)題，在正常工作中切

實(shí)遵守組織安全策略。

應(yīng)對(duì)用戶(hù)進(jìn)行安全步驟和正確使用信息處理設(shè)備的培訓(xùn)，將可能的安

全風(fēng)險(xiǎn)降到最低。

信息安全的教育與培訓(xùn)

組織所有職員以及有關(guān)的第三方用戶(hù)應(yīng)該就組織策略和程序同意適當(dāng)

的培訓(xùn)并定期了解最新變化。這包括安全要求、法律責(zé)任和業(yè)務(wù)操縱措施

方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登錄的步驟、軟

件包的使用方法等等。因此在此之前，必須授予其訪咨詢(xún)信息或服務(wù)的權(quán)

限。

對(duì)安全事故和故障的處理

目標(biāo)：最大限度降低由于事故和故障而遭受的缺失，對(duì)此類(lèi)事故進(jìn)行

監(jiān)控并吸取教訓(xùn)。

將阻礙安全的事故通過(guò)適當(dāng)?shù)闹卫砬辣M快匯報(bào)。

安全事故報(bào)告

將阻礙安全的事故通過(guò)適當(dāng)?shù)闹卫砬辣M快匯報(bào)。

應(yīng)該建立一套正式的報(bào)告安全事故的步驟以及一套安全事故的響應(yīng)步

驟，后者應(yīng)規(guī)定在收到安全事故報(bào)告后，應(yīng)該采取的行動(dòng)。所有雇員和承

包商都應(yīng)該了解報(bào)告安全事故的程序步驟，并按照要求，盡快報(bào)告安全事

故。應(yīng)該建立適當(dāng)?shù)姆答伹?，以保證安全事故處理完畢后，報(bào)告人能明

白該事件的處理結(jié)果。在進(jìn)行用戶(hù)警報(bào)培訓(xùn)時(shí)（參見(jiàn)6.2）,能夠?qū)⑦@些事

件作為示例，向用戶(hù)講解可能發(fā)生什么事件、如何對(duì)這些事件進(jìn)行處理以

及今后如何幸免這類(lèi)事件發(fā)生（另請(qǐng)參見(jiàn)12.1.7）0

安全漏洞報(bào)告

應(yīng)該要求信息服務(wù)用戶(hù)在發(fā)覺(jué)或懷疑系統(tǒng)或服務(wù)顯現(xiàn)安全漏洞或受到

威逼時(shí)，趕忙進(jìn)行記錄并匯報(bào)。他們應(yīng)該將這些事件盡快報(bào)告給治理層，

或直截了當(dāng)報(bào)告給服務(wù)提供商。應(yīng)該告訴用戶(hù)，在任何情形下，也不要試

圖證明一個(gè)可疑安全漏洞。這也是為了愛(ài)護(hù)他們自己，這是因?yàn)樵谀鷾y(cè)試

某個(gè)漏洞時(shí)，專(zhuān)門(mén)可能會(huì)導(dǎo)致對(duì)系統(tǒng)的錯(cuò)誤使用。

軟件故障報(bào)告

應(yīng)建立報(bào)告軟件故障的程序步驟。應(yīng)考慮采取以下措施。

將咨詢(xún)題的征兆和屏幕上顯示的消息記錄下來(lái)。

趕忙將咨詢(xún)題報(bào)告給信息安全治理人員。除非得到授權(quán)，用戶(hù)不要試

圖刪除可疑的軟件。應(yīng)由通過(guò)培訓(xùn)富有體會(huì)職員執(zhí)行復(fù)原工作。

從事故中吸取教訓(xùn)

應(yīng)該采納一種機(jī)制，將事故和故障的類(lèi)型、規(guī)模和缺失進(jìn)行量化和監(jiān)

控。用這些信息來(lái)確定重復(fù)發(fā)生的或阻礙專(zhuān)門(mén)大的事故或故障。這需要使

用功能更強(qiáng)的或其它的操縱措施，以降低事故發(fā)生的頻率、缺失，或在修

訂安全策略的過(guò)程中，將這一因素考慮在內(nèi)（參見(jiàn)3.1.2）。

紀(jì)律檢查程序

應(yīng)該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的雇員

（參見(jiàn)6.1.4,有關(guān)保留證據(jù)的咨詢(xún)題，參見(jiàn)12.1.7）。對(duì)那些無(wú)視安全工

作步驟的雇員來(lái)講，這種方法確實(shí)是一種威懾。另外，如果懷疑某些職員

有嚴(yán)峻或長(zhǎng)期違反組織安全的行為，這一方法能保證對(duì)他們的處罰是正確

和公平的。

實(shí)際和環(huán)境的安全

安全區(qū)

目標(biāo)：防止對(duì)公司工作場(chǎng)所和信息的非法訪咨詢(xún)、破壞和干擾。

應(yīng)該將關(guān)鍵或敏銳的商業(yè)信息處理設(shè)備放在安全的地點(diǎn)，使用相應(yīng)的

安全防護(hù)設(shè)備和準(zhǔn)入操縱手段以及有明確標(biāo)志的安全隔離帶進(jìn)行愛(ài)護(hù)。應(yīng)

使這些設(shè)備免受未經(jīng)授權(quán)的訪咨詢(xún)、損害或干擾。

按照所確定的風(fēng)險(xiǎn)的具體情形，提供相應(yīng)的愛(ài)護(hù)。對(duì)紙張、介質(zhì)和信

息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對(duì)紙張、介質(zhì)和信息

處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪咨詢(xún)所帶來(lái)的風(fēng)險(xiǎn)和損害。

實(shí)際安全隔離帶

能夠在組織辦公區(qū)域和信息處理設(shè)備周?chē)讉€(gè)實(shí)際的防護(hù)設(shè)備，

提供物理愛(ài)護(hù)。每個(gè)防護(hù)設(shè)備都劃分出一個(gè)安全區(qū)，這都提升了整體的愛(ài)

護(hù)成效。各個(gè)組織應(yīng)使用安全區(qū)域愛(ài)護(hù)信息處理設(shè)備等資產(chǎn)（參見(jiàn)7.1.

3）o安全區(qū)域是用防護(hù)設(shè)備隔開(kāi)的一塊區(qū)域，例如通過(guò)一堵墻、刷卡才能

進(jìn)入的操縱門(mén)或人工值守的前臺(tái)。防護(hù)設(shè)備的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估

的結(jié)果。在需要時(shí)，能夠考慮并實(shí)施以下指導(dǎo)原則和操縱措施。

應(yīng)明確劃分安全區(qū)域。

建筑物或某個(gè)地點(diǎn)中存放信息處理設(shè)備的安全區(qū)的位置應(yīng)該專(zhuān)門(mén)合理

（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開(kāi)）。安全區(qū)四周應(yīng)有牢

固的圍墻，所有能夠進(jìn)出安全區(qū)的大門(mén)應(yīng)能防止未經(jīng)授權(quán)的訪咨詢(xún)，如使

用操縱裝置、柵欄、報(bào)警裝備、鎖等等。

設(shè)置一個(gè)人工值守的接待區(qū)域或使用其它方法，將對(duì)現(xiàn)場(chǎng)或建筑物的

實(shí)際訪咨詢(xún)限制在適當(dāng)?shù)膮^(qū)域中。只有通過(guò)授權(quán)的人才能進(jìn)入現(xiàn)場(chǎng)或建筑

物。

如有必要，可進(jìn)行全方位的防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入安全區(qū)，

以及由火災(zāi)和水災(zāi)引起的環(huán)境咨詢(xún)題的阻礙。

安全區(qū)的所有防火門(mén)應(yīng)報(bào)警并關(guān)閉。

安全區(qū)出入操縱措施

安全區(qū)應(yīng)該使用適當(dāng)?shù)某鋈氩倏v措施予以愛(ài)護(hù)。不經(jīng)批準(zhǔn)，任何人員

不得出入。應(yīng)考慮以下操縱措施。

必須調(diào)查并弄清安全區(qū)域的來(lái)訪者的身份，并將他們進(jìn)入和離開(kāi)安全

區(qū)域的日期和時(shí)刻記錄在案。只有來(lái)訪者有特定的、通過(guò)授權(quán)的目的時(shí)，

才能進(jìn)入安全區(qū)，而且還要告訴他們?cè)搮^(qū)域的安全要求和緊急情形下的行

動(dòng)步驟。

只有嚴(yán)格限定，通過(guò)授權(quán)的人才能訪咨詢(xún)敏銳信息，使用信息處理設(shè)

備。在對(duì)所有訪咨詢(xún)行為進(jìn)行授權(quán)和驗(yàn)證時(shí)，應(yīng)采納一些強(qiáng)制性的操縱措

施，如使用帶PIN的卡進(jìn)行刷卡。應(yīng)對(duì)所有訪咨詢(xún)嚴(yán)格執(zhí)行審計(jì)流程。

要求所有人員佩帶易于辨認(rèn)的標(biāo)識(shí)，并鼓舞他們?cè)冏稍?xún)無(wú)人陪同的生

疏人以及未佩帶標(biāo)識(shí)的人。

應(yīng)經(jīng)常審查并更新有關(guān)安全區(qū)域訪咨詢(xún)權(quán)限的規(guī)定。

辦公場(chǎng)所、房屋和設(shè)施的安全保證

安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾個(gè)房間，安全

隔離帶本身也可能是加鎖的并包括幾個(gè)可加鎖的小房間或保險(xiǎn)箱。在選擇

和設(shè)計(jì)安全區(qū)域時(shí)，應(yīng)將以下各種咨詢(xún)題帶來(lái)的損害考慮在內(nèi)：火災(zāi)、水

災(zāi)、爆炸、社會(huì)動(dòng)蕩以及其它形式的自然或人為的災(zāi)難。也應(yīng)該將各種有

關(guān)的健康和安全方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。還應(yīng)該考慮到臨近的隔離帶

可能帶來(lái)的安全威逼，如其它安全區(qū)域發(fā)生泄露事件。

應(yīng)考慮以下操縱措施。

關(guān)鍵設(shè)備應(yīng)放在公眾無(wú)法進(jìn)入的地點(diǎn)。

建筑物應(yīng)該不專(zhuān)門(mén)顯眼，使人無(wú)法察覺(jué)該建筑物的用途，在建筑物的

內(nèi)外都沒(méi)有明顯標(biāo)志表明建筑物內(nèi)進(jìn)行者信息處理活動(dòng)。

安全區(qū)域內(nèi)各種設(shè)備（如影印機(jī)、傳真機(jī)）齊全，并放在相應(yīng)的地

點(diǎn)，以防止未經(jīng)授權(quán)的人員使用，否則會(huì)泄露信息。

在沒(méi)人的時(shí)候，將門(mén)窗關(guān)閉，還要注意防止有人從窗戶(hù)，專(zhuān)門(mén)是只有

一層的窗戶(hù)就能夠進(jìn)入安全區(qū)域。

按照專(zhuān)業(yè)標(biāo)準(zhǔn)安裝入侵檢測(cè)系統(tǒng)并經(jīng)常檢查，以對(duì)可進(jìn)入安全區(qū)域的

門(mén)和窗戶(hù)進(jìn)行檢查。對(duì)無(wú)人區(qū)域進(jìn)行24小時(shí)的報(bào)警監(jiān)視。對(duì)其它區(qū)域也

應(yīng)該提供相應(yīng)的愛(ài)護(hù)，如運(yùn)算機(jī)房或通訊室。

由組織自己治理的信息處理設(shè)備應(yīng)與由第三方治理的信息處理設(shè)備分

開(kāi)。

通過(guò)有些名目和內(nèi)部人員電話號(hào)碼本，能確定敏銳信息處理設(shè)備的位

置，不能讓公眾得到這些資料。

應(yīng)將危險(xiǎn)或易燃材料儲(chǔ)備在安全的地點(diǎn)，與安全區(qū)保持安全距離。除

非有專(zhuān)門(mén)要求，否則不要把大量的物品，如文具，儲(chǔ)備在安全區(qū)域內(nèi)。

使應(yīng)急設(shè)備和備份介質(zhì)的儲(chǔ)備位置與主安全區(qū)域保持一個(gè)安全距離，

以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。

在安全區(qū)中工作

要加大安全區(qū)域的安全性，還應(yīng)該采納其它操縱措施和指導(dǎo)原則。者

包括如何操縱在安全區(qū)內(nèi)工作的個(gè)人和第三方人員，以及如何操縱第三方

人員在安全區(qū)以?xún)?nèi)的活動(dòng)。應(yīng)考慮以下咨詢(xún)題。

只有在有必要的前提下，才能讓某個(gè)個(gè)人明白有一個(gè)安全區(qū)或安全區(qū)

內(nèi)所進(jìn)行的活動(dòng)。

出于安全緣故和排除惡意行為發(fā)生的機(jī)會(huì)兩方面考慮，不承諾在安全

區(qū)域內(nèi)進(jìn)行未經(jīng)調(diào)查的工作。

關(guān)閉無(wú)人使用的安全區(qū)域，每隔一段時(shí)刻，進(jìn)行一次檢查。

只有在需要時(shí)，才能承諾第三方的支持服務(wù)人員進(jìn)入安全區(qū)域或使用

敏銳信息處理設(shè)備。必須對(duì)其訪咨詢(xún)行為進(jìn)行授權(quán)和監(jiān)視。在不同的范疇

之間還需要隔離區(qū)操縱實(shí)際訪咨詢(xún)，在安全區(qū)域內(nèi)有不同的安全要求。

除非通過(guò)授權(quán)，不承諾使用圖象、視頻、音頻和其它記錄設(shè)備。

與其它區(qū)域隔離的交貨和裝載區(qū)域

應(yīng)該對(duì)裝運(yùn)區(qū)進(jìn)行操縱，而且應(yīng)按照情形將其與信息處理設(shè)施隔離開(kāi)

來(lái)，幸免非法訪咨詢(xún)。這類(lèi)區(qū)域的安全要求由風(fēng)險(xiǎn)評(píng)估的情形決定。應(yīng)考

慮以下指導(dǎo)原則。

只有通過(guò)確認(rèn)并授權(quán)的人在能從不處進(jìn)入存放物品的區(qū)域。

設(shè)計(jì)存放物品區(qū)域時(shí)，要達(dá)到如下成效：負(fù)責(zé)交貨的人員不需要進(jìn)入

建筑物的其它部分，就能夠?qū)⑽镔Y卸下。

當(dāng)存放物品的區(qū)域內(nèi)部的門(mén)打開(kāi)時(shí)，一定要保證外部的門(mén)是安全的。

在將已收下的材料從存貨區(qū)移到使用地點(diǎn)前，必須對(duì)其進(jìn)行檢查，以

防止?jié)撛诘奈ｋU(xiǎn)［參見(jiàn)7.2.1d）］。

如果能夠（參見(jiàn)5.1）,在入口處對(duì)收下的材料進(jìn)行登記。

設(shè)備的安全

目標(biāo)：防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動(dòng)中斷。

應(yīng)保證設(shè)備免受安全方面的威逼和環(huán)境的危害。

要降低對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪咨詢(xún)的風(fēng)險(xiǎn)并免受缺失或損壞，必須對(duì)

設(shè)備（包括不在現(xiàn)場(chǎng)使用的設(shè)備）進(jìn)行愛(ài)護(hù)。還需要考慮設(shè)備的位置和選

址咨詢(xún)題?？赡苄枰獙?zhuān)門(mén)的操縱措施來(lái)愛(ài)護(hù)免遭危險(xiǎn)或非法訪咨詢(xún)，并愛(ài)

護(hù)輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施。

設(shè)備選址與愛(ài)護(hù)

應(yīng)該注重設(shè)備的選址與愛(ài)護(hù)，減少來(lái)自環(huán)境威逼和危險(xiǎn)以及降低非法

訪咨詢(xún)的風(fēng)險(xiǎn)。應(yīng)考慮以下咨詢(xún)題。

將設(shè)備安裝在合適的位置，不到必要時(shí)，盡量幸免進(jìn)入工作區(qū)。

確定處理敏銳數(shù)據(jù)的信息處理和儲(chǔ)備設(shè)備的位置時(shí)，應(yīng)注意選擇合適

的位置，降低使用過(guò)程中因疏忽造成的風(fēng)險(xiǎn)。

應(yīng)該將需要專(zhuān)門(mén)愛(ài)護(hù)的設(shè)備隔離，以降低所需的愛(ài)護(hù)級(jí)不。

應(yīng)采納相應(yīng)的操縱措施，盡可能降低潛在威逼的風(fēng)險(xiǎn)，包括：

盜竊；

火災(zāi)；

爆炸；

煙塵；

供水咨詢(xún)題（或停水）；

灰塵；

振動(dòng)；

化學(xué)制品的阻礙；

供電干擾；

電磁輻射。

組織在考慮其策略時(shí)，應(yīng)將在信息處理設(shè)備鄰近就餐、飲水和吸煙的

情形考慮到里面去。

有些環(huán)境條件會(huì)對(duì)信息處理設(shè)備的運(yùn)行產(chǎn)生負(fù)面阻礙，應(yīng)認(rèn)真監(jiān)視這

些條件。

關(guān)于在工業(yè)環(huán)境下運(yùn)行的設(shè)備，應(yīng)考慮使用專(zhuān)門(mén)的愛(ài)護(hù)方法，如在鍵

盤(pán)表面加一層膜。

應(yīng)考慮臨近辦公區(qū)域發(fā)生災(zāi)難事件的阻礙，如臨近建筑物發(fā)生火災(zāi)、

天花板漏水或地板滲水或大街上發(fā)生爆炸事件。

電源

應(yīng)該防止設(shè)備顯現(xiàn)電源故障，防止其它供電不正常的現(xiàn)象。應(yīng)提供穩(wěn)

固的電力供應(yīng)，符合設(shè)備生產(chǎn)商講明書(shū)的規(guī)定。保證連續(xù)供電的方法有：

多回路供電，以防止某個(gè)回路顯現(xiàn)咨詢(xún)題，造成斷電事故；

不間斷電源(UPS)；

備用發(fā)電機(jī)。

關(guān)于為重要商業(yè)業(yè)務(wù)提供電力支持的設(shè)備，需要使用UPS以保證設(shè)備

能夠依次關(guān)閉或連續(xù)運(yùn)行。應(yīng)急打算中應(yīng)包括UPS發(fā)生故障如何應(yīng)對(duì)的內(nèi)

容。應(yīng)經(jīng)常檢查UPS設(shè)備，以保證其功率足夠大并按照生產(chǎn)商舉薦的方法

進(jìn)行測(cè)試。

在發(fā)生較長(zhǎng)時(shí)刻的斷電事故時(shí)，而業(yè)務(wù)必須進(jìn)許進(jìn)行，則能夠考慮使

用后備發(fā)電機(jī)。如果差不多安裝了發(fā)電機(jī)，應(yīng)按照生產(chǎn)商的指示，對(duì)發(fā)電

機(jī)進(jìn)行定期測(cè)試。應(yīng)保證燃料供應(yīng)充足，使發(fā)電機(jī)能運(yùn)行更長(zhǎng)一段時(shí)刻。

另外，在緊急出口處的設(shè)備間中應(yīng)安裝緊急電力開(kāi)關(guān)，以便在緊急情形

下迅速切斷電源。萬(wàn)一主回路發(fā)生故障，應(yīng)提供應(yīng)急照明。所有建筑物都

應(yīng)采納照明愛(ài)護(hù)設(shè)備，所有露天的通訊線都應(yīng)配備照明愛(ài)護(hù)濾光器。

電纜安全

電源線纜與通信電纜承載數(shù)據(jù)或支持性的信息服務(wù)，不應(yīng)被截?cái)嗷蚴?/p>

損。應(yīng)考慮以下操縱措施。

如果可能，接入信息處理設(shè)備的電源線路和通信線路應(yīng)使用地下暗

線，或?yàn)槠涮峁┒喾N愛(ài)護(hù)方法。

防止未經(jīng)授權(quán)就損壞或切斷網(wǎng)絡(luò)線纜的現(xiàn)象，如將線纜埋入管道，或

幸免通過(guò)公共區(qū)域。

電力線纜應(yīng)與通訊線纜隔離，以幸免相互的干擾。

對(duì)敏銳或重要的系統(tǒng)，應(yīng)考慮采納進(jìn)一步的操縱措施：

在探傷位置和端點(diǎn)，安裝鎧裝管道或帶鎖的箱體；

使用其它路由或傳輸介質(zhì)；

使用光纖電纜；

去除線纜上附著的未經(jīng)授權(quán)的設(shè)備。

設(shè)備愛(ài)護(hù)

應(yīng)對(duì)設(shè)備進(jìn)行妥善地愛(ài)護(hù)，以保證其連續(xù)地可用并保持完整。應(yīng)考慮

以下指導(dǎo)原則。

按照供應(yīng)商舉薦的服務(wù)間隔時(shí)刻和規(guī)范，對(duì)設(shè)備進(jìn)行愛(ài)護(hù)。

只有通過(guò)授權(quán)的愛(ài)護(hù)人員才能對(duì)設(shè)備進(jìn)行修理和愛(ài)護(hù)。

將所有可能的或?qū)嶋H存在的故障以及預(yù)防性和休整性的愛(ài)護(hù)手段進(jìn)行

備案。

在將設(shè)備送修時(shí)，應(yīng)采取適當(dāng)?shù)牟倏v手段（有關(guān)如何刪除和重寫(xiě)數(shù)

據(jù)，請(qǐng)參見(jiàn)726）。應(yīng)遵守所有保險(xiǎn)條例中提出的要求。

場(chǎng)外設(shè)備的安全

不管其所有權(quán)如何，在公司辦公區(qū)域以外使用信息處理設(shè)備通過(guò)由治理

層授權(quán)。為辦公區(qū)域以外設(shè)備提供的安全愛(ài)護(hù)，應(yīng)與為辦公區(qū)內(nèi)同類(lèi)設(shè)備

提供的安全愛(ài)護(hù)相同，并將在辦公區(qū)以外使用設(shè)備的因素考慮在內(nèi)。信息

處理設(shè)備包括各種形式的個(gè)人運(yùn)算機(jī)、組織者、移動(dòng)電話、紙張或表格，

能夠由在家工作的職員持有，或從正常工作位置移開(kāi)。應(yīng)考慮以下指導(dǎo)原

則。

從辦公區(qū)域?qū)⒃O(shè)備和介質(zhì)取走時(shí)，不要在公共場(chǎng)所引起大伙兒的注

意。旅行時(shí)，應(yīng)將便攜運(yùn)算機(jī)放在手提皮箱內(nèi)并假裝起來(lái)。

應(yīng)隨時(shí)注意制造商關(guān)于愛(ài)護(hù)設(shè)備的指導(dǎo)，如防止接觸強(qiáng)電磁場(chǎng)。

如何操縱在家的工作由風(fēng)險(xiǎn)評(píng)估的結(jié)果決定，如有需要，應(yīng)使用適當(dāng)

的操縱措施，如可封閉的檔案室、下班后桌面不承諾留有物品的策略，以

及對(duì)運(yùn)算機(jī)使用的操縱。

應(yīng)采納充分的保險(xiǎn)手段愛(ài)護(hù)辦公區(qū)域以外的設(shè)備。

安全風(fēng)險(xiǎn)，如損壞、偷竊以及竊聽(tīng)行為隨地點(diǎn)的不同會(huì)有專(zhuān)門(mén)大的不

同，在確定最合適的操縱措施時(shí)，應(yīng)將這些因素考慮在內(nèi)。有關(guān)如何愛(ài)護(hù)

移動(dòng)設(shè)備的詳細(xì)信息，請(qǐng)參閱9.8.1。

設(shè)備的安全處置與重用

如果在處理或重新使用設(shè)備時(shí)，不加以注意的話，會(huì)危及信息的安全

（另請(qǐng)參見(jiàn)864）。關(guān)于儲(chǔ)備敏銳信息的儲(chǔ)備設(shè)備，應(yīng)將其銷(xiāo)毀，或重寫(xiě)

數(shù)據(jù)，而不能只使用標(biāo)準(zhǔn)的刪除功能。

應(yīng)檢查所有設(shè)備的儲(chǔ)備介質(zhì)，如固定硬盤(pán)，移確保對(duì)介質(zhì)進(jìn)行處理

前，所有敏銳數(shù)據(jù)和授權(quán)軟件以被刪除或覆蓋。關(guān)于已毀壞的包含敏銳數(shù)

據(jù)的儲(chǔ)備設(shè)備，應(yīng)對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定是應(yīng)銷(xiāo)毀、修理或棄置該設(shè)

備。

常規(guī)操縱措施

目標(biāo)：防止信息或信息處理設(shè)施受損或被盜。

應(yīng)防止將信息和信息處理設(shè)備暴露給未經(jīng)授權(quán)的人，或被未經(jīng)授權(quán)的

人修改或偷竊，并應(yīng)采取操縱措施，將缺失或損害最小化。863中考慮了

處理和儲(chǔ)備的步驟。

桌面與屏幕治理策略

在組織中，關(guān)于紙張和可移動(dòng)的儲(chǔ)備介質(zhì)，應(yīng)采取桌面清空策略；關(guān)

于信息處理設(shè)備，應(yīng)采取屏幕清空策略，以降低在工作時(shí)刻內(nèi)外，對(duì)信息

進(jìn)行未經(jīng)授權(quán)訪咨詢(xún)所帶來(lái)的風(fēng)險(xiǎn)、缺失和損害。策略應(yīng)將以下因素考慮

在內(nèi)：信息安全分類(lèi)（參見(jiàn)5.2）、相應(yīng)的風(fēng)險(xiǎn)以及組織文化方面的咨詢(xún)

題。發(fā)生災(zāi)難事件，留在桌面上的信息專(zhuān)門(mén)容易損壞或銷(xiāo)毀，如火災(zāi)、水

災(zāi)或爆炸。

應(yīng)考慮以下指導(dǎo)原則。

在需要時(shí)，在紙張和運(yùn)算機(jī)介質(zhì)臨時(shí)不用時(shí)，專(zhuān)門(mén)是在外工作時(shí)，將

其儲(chǔ)備在合適的加鎖的柜子和/或其它形式的安全設(shè)備中。

在不使用敏銳或關(guān)鍵的商業(yè)信息時(shí)，專(zhuān)門(mén)時(shí)辦公室騰空時(shí)，將其鎖起

來(lái)（最好是在防火的保險(xiǎn)箱或柜子中）。

在無(wú)人使用時(shí)，應(yīng)將個(gè)人運(yùn)算機(jī)和運(yùn)算機(jī)終端和打印機(jī)保持注銷(xiāo)狀

態(tài)，并用鍵盤(pán)鎖、口令或其它操縱措施愛(ài)護(hù)起來(lái)。

應(yīng)將往來(lái)信件的地址和無(wú)人使用的傳真機(jī)和電傳機(jī)愛(ài)護(hù)起來(lái)。

在工作時(shí)刻以外，將影印機(jī)鎖起來(lái)（或用其它方法防止未經(jīng)授權(quán)的使

用）。

在打印敏銳或分類(lèi)信息后，應(yīng)趕忙從打印機(jī)中清除。

資產(chǎn)處置

未經(jīng)授權(quán)，不承諾將設(shè)備、信息或軟件帶離工作場(chǎng)所。如有必要，應(yīng)

使設(shè)備處于注銷(xiāo)狀態(tài)，在歸還設(shè)備后在重新登錄?，F(xiàn)場(chǎng)檢查是否有未經(jīng)授

權(quán)就移動(dòng)財(cái)產(chǎn)的行為。每個(gè)人都應(yīng)明白，隨時(shí)會(huì)進(jìn)行現(xiàn)場(chǎng)檢查。

通信與操作治理

操作程序和責(zé)任

目標(biāo)：保證信息處理設(shè)施的操作安全無(wú)誤。

應(yīng)該建立所有信息處理設(shè)施的治理和操作的責(zé)任和程序。其中包括制

定適當(dāng)?shù)牟僮髦噶詈褪鹿适录捻憫?yīng)程序。

在適當(dāng)?shù)那樾蜗逻M(jìn)行職責(zé)劃分，降低無(wú)意或有意造成的系統(tǒng)濫用風(fēng)

險(xiǎn)。

明確的操作程序

應(yīng)對(duì)安全策略確定的操作程序進(jìn)行備案并愛(ài)護(hù)。操作程序應(yīng)作為正式

文檔來(lái)處理，對(duì)它進(jìn)行改動(dòng)需要得到治理層授權(quán)。這些程序步驟應(yīng)指明具

體執(zhí)行每個(gè)作業(yè)的指令，包括：

處理和使用信息；

編制需求打算，包括與其它系統(tǒng)的相互依靠性、最先開(kāi)始的和最后完

成的工作的時(shí)刻；

處理錯(cuò)誤或其它專(zhuān)門(mén)情形的指令，這些專(zhuān)門(mén)情形可能是在作業(yè)執(zhí)行期

間產(chǎn)生的，包括對(duì)使用系統(tǒng)有用程序的限制（參閱9.5.5）

在顯現(xiàn)意外的操作或技術(shù)咨詢(xún)題時(shí)的支持聯(lián)絡(luò)

專(zhuān)門(mén)的輸出處理指令，例如使用專(zhuān)門(mén)文具或治理隱秘輸出，包括安全

處置失敗作業(yè)產(chǎn)生的輸出的方法；

在系統(tǒng)顯現(xiàn)故障時(shí)使用的系統(tǒng)重新啟動(dòng)和復(fù)原的措施

應(yīng)該將備案的方法步驟隨時(shí)用于處理與信息處理和通信設(shè)施有關(guān)的系

統(tǒng)內(nèi)務(wù)治理活動(dòng)，例如運(yùn)算機(jī)的啟動(dòng)和關(guān)閉程序、備份、設(shè)備愛(ài)護(hù)、運(yùn)算

機(jī)房和郵件處理治理和安全。

操作變更操縱

應(yīng)該操縱對(duì)信息處理設(shè)施和系統(tǒng)的變動(dòng)。對(duì)信息處理設(shè)施和系統(tǒng)操縱

不力是導(dǎo)致系統(tǒng)或安全故障的常見(jiàn)緣故。應(yīng)落實(shí)正式的治理責(zé)任和措施，

確保對(duì)設(shè)備、軟件或程序的所有變更得到中意的操縱。操作程序應(yīng)嚴(yán)格操

縱變動(dòng)。更換程序時(shí)，應(yīng)保留包含所有有關(guān)信息的審計(jì)日志。改變操作環(huán)

境可能會(huì)對(duì)應(yīng)用程序造成阻礙。在適當(dāng)?shù)臅r(shí)候，應(yīng)結(jié)合操作步驟和應(yīng)用更

換操縱步驟（另請(qǐng)參閱10.5.1）o專(zhuān)門(mén)，應(yīng)考慮以下各項(xiàng)：

識(shí)不并記錄重大變更

評(píng)估這類(lèi)變更的潛在阻礙；

提議變更的正式批準(zhǔn)程序；

向所有有關(guān)人員通報(bào)變更細(xì)節(jié)

確定中止變更并從失敗變更中復(fù)原的責(zé)任的方法

事故治理程序

應(yīng)該明確事故治理責(zé)任，制定有關(guān)程序，保證對(duì)安全事故反應(yīng)迅速、

有效且有條不紊（另請(qǐng)參閱631）。應(yīng)考慮以下指導(dǎo)方針。

制定針對(duì)各種可能存在的安全事故的措施，這些事故包括：

信息系統(tǒng)故障和服務(wù)丟失；

拒絕服務(wù)；

業(yè)務(wù)數(shù)據(jù)不完整或不準(zhǔn)確產(chǎn)生錯(cuò)誤；

違反保密性。

除一樣用于盡快復(fù)原系統(tǒng)或服務(wù)的應(yīng)急打算外，這些措施還應(yīng)包括

（另請(qǐng)參見(jiàn)6.3.4）：

分析和鑒定事故產(chǎn)生的緣故；

按照需要，制定防止再次發(fā)生的補(bǔ)救打算并執(zhí)行這一打算；

收集審查記錄和類(lèi)似證據(jù)；

與那些受意外事件阻礙或參加從意外事件中復(fù)原工作的人員交流；

向上級(jí)匯報(bào)有關(guān)措施。

適當(dāng)?shù)厥占瞳@得審查記錄和類(lèi)似證據(jù)（參見(jiàn)12.1.7）o

內(nèi)部咨詢(xún)題分析；

用作與可能違反契約、違反規(guī)章制度的證據(jù)，或者觸犯民事或刑事訴

訟（例如運(yùn)算機(jī)誤用或數(shù)據(jù)愛(ài)護(hù)立法）的證據(jù)；

與軟件和服務(wù)供應(yīng)商協(xié)商賠償。

嚴(yán)格認(rèn)真地操縱安全違例復(fù)原和糾正系統(tǒng)故障的措施。這些措施應(yīng)確

保

只有明確確定身份和獲得授權(quán)的人員才承諾訪咨詢(xún)正在使用的系統(tǒng)和

數(shù)據(jù)（有關(guān)第三方訪咨詢(xún)，另請(qǐng)參見(jiàn)4.2.2）

詳細(xì)記錄采取的所有緊急措施；

向治理層匯報(bào)緊急措施，并進(jìn)行有序的審查；

以最小的延誤代價(jià)確認(rèn)業(yè)務(wù)系統(tǒng)和操縱的完整性。

責(zé)任劃分

責(zé)任劃分是降低偶然或有意的系統(tǒng)濫用風(fēng)險(xiǎn)。為減少非法篡改或?yàn)E用

信息或服務(wù)，應(yīng)考慮對(duì)某些治理或執(zhí)行責(zé)任或者責(zé)任范疇進(jìn)行劃分。

小型組織可能認(rèn)為這種操縱措施難以實(shí)現(xiàn)，但應(yīng)該盡可能地有效應(yīng)用

這一原則。

當(dāng)難以劃分責(zé)任時(shí)，應(yīng)該考慮使用其它操縱措施，例如活動(dòng)監(jiān)控、審

計(jì)追蹤和治理監(jiān)督等。安全審計(jì)保持獨(dú)立是專(zhuān)門(mén)重要的。

應(yīng)該注意的是，沒(méi)有人在其責(zé)任范疇內(nèi)所犯的錯(cuò)誤能夠逃脫檢查。應(yīng)

該將事件執(zhí)行同事件執(zhí)行的授權(quán)分開(kāi)。應(yīng)考慮以下情形。

識(shí)不哪些是為達(dá)到欺詐目的的共謀串通活動(dòng)（例如偽造發(fā)出采購(gòu)訂單

然后證明物資差不多收到）專(zhuān)門(mén)重要。

如果存在串通的危險(xiǎn)，那么需要制定操縱措施，讓更多的人參與，降

低顯現(xiàn)共謀的機(jī)會(huì)。

開(kāi)發(fā)設(shè)施與運(yùn)營(yíng)設(shè)施分離

開(kāi)發(fā)設(shè)施、測(cè)試設(shè)施與操作設(shè)施分離對(duì)實(shí)現(xiàn)劃分職責(zé)的目的專(zhuān)門(mén)重

要。應(yīng)制定軟