618/128信息安全治理體系建立的通用方法本章將以BS7799的治理思想介紹通用安全治理體系建立的方法；信息安全治理包括諸多方面，如風(fēng)險(xiǎn)治理、工程治理、業(yè)務(wù)連續(xù)性治理等，每項(xiàng)治理的要點(diǎn)均有不同。后續(xù)將詳細(xì)介紹不同部分的治理。本章內(nèi)容適合參加信息安全高級(jí)治理師認(rèn)證的讀者。信息安全治理體系概述什么是信息安全治理體系信息安全治理體系，即InformationSecurityManagementSystem(簡(jiǎn)稱ISMS)，是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接治理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、打算、活動(dòng)、程序、過程和資源的集合。BS7799－2是建立和維持信息安全治理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全治理體系范圍，制定信息安全方針，明確治理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇操縱目標(biāo)與操縱措施等一系列活動(dòng)來建立信息安全治理體系；體系一旦建立，組織應(yīng)按體系的規(guī)定要求進(jìn)行運(yùn)作，保持體系運(yùn)行的有效性；信息安全治理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全治理體系，其中應(yīng)闡述被愛護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)治理方法、操縱目標(biāo)與操縱措施、信息資產(chǎn)需要愛護(hù)的程度等內(nèi)容。1.ISMS的范圍ISMS的范圍能夠依照整個(gè)組織或者組織的一部分進(jìn)行定義，包括相關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和用于過程中的技術(shù)、存儲(chǔ)以及通信的信息等，ISMS的范圍能夠包括：組織所有的信息系統(tǒng)；組織的部分信息系統(tǒng)；特定的信息系統(tǒng)。此外，為了保證不同的業(yè)務(wù)利益，組織需要為業(yè)務(wù)的不同方面定義不同的ISMS。例如，能夠?yàn)榻M織和其他公司之間特定的貿(mào)易關(guān)系定義ISMS，也能夠?yàn)榻M織結(jié)構(gòu)定義ISMS，不同的情境能夠由一個(gè)或者多個(gè)ISMS表述。組織內(nèi)部成功實(shí)施信息安全治理的關(guān)鍵因素反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)；與組織文化一致的實(shí)施安全的方法；來自治理層的有形支持與承諾；對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)治理的良好理解；向所有治理者及雇員推行安全意思；向所有雇員和承包商分發(fā)有關(guān)信息安全方針和準(zhǔn)則的導(dǎo)則；提供適當(dāng)?shù)呐嘤?xùn)與教育；用于評(píng)價(jià)信息安全治理績(jī)效及反饋改進(jìn)建議，并有利于綜合平衡的測(cè)量系統(tǒng)。建立ISMS的步驟不同的組織在建立與完善信息安全治理體系時(shí)，可依照自己的特點(diǎn)和具體的情況，采取不同的步驟和方法。但總體來講，建立信息安全治理體系一般要通過下列四個(gè)差不多步驟：信息安全治理體系的策劃與預(yù)備；信息安全體系文件的編制；信息安全治理體系的運(yùn)行；信息安全治理體系的審核與評(píng)審。信息安全治理體系的作用1.ISMS的特點(diǎn)信息安全治理治理體系是一個(gè)系統(tǒng)化、程序化和文件化的治理體系。該體系具有以下特點(diǎn)：體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防操縱為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求；強(qiáng)調(diào)全過程和動(dòng)態(tài)操縱，本著操縱費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全操縱方式；強(qiáng)調(diào)愛護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性。2.實(shí)施ISMS的作用組織建立、實(shí)施與保持信息安全治理體系將會(huì)產(chǎn)生如下作用：強(qiáng)化職員的信息安全意識(shí)，規(guī)范組織信息安全行為；對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面體統(tǒng)的愛護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的生意伙伴和客戶對(duì)組織充滿信心；假如通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保證重要信息，提高組織的知名度與信任度；促使治理層貫徹信息安全保障體系；組織能夠參照信息安全治理模型，按照先進(jìn)的信息安全治理標(biāo)準(zhǔn)BS7799建立組織完整的信息安全治理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全治理方式，用最低的成本，達(dá)到可同意的信息安全水平，從全然上保證業(yè)務(wù)的連續(xù)性。信息安全治理體系的預(yù)備為在組織中順利建設(shè)信息安全治理體系，需要建立有效信息安全機(jī)構(gòu)，對(duì)組織中的各類人員分配角色、明確權(quán)限、落實(shí)責(zé)任并予以溝通。成立信息安全委員會(huì)信息安全委員會(huì)由組織的最高治理層與信息安全治理有關(guān)的部門負(fù)責(zé)人、治理人員、技術(shù)人員組成，定期召開會(huì)議，就以下重要信息安全議題進(jìn)行討論并做出決策，為組織信息安全治理提供導(dǎo)向與支持。評(píng)審和審批信息安全方針；分配信息安全治理職責(zé)；確認(rèn)風(fēng)險(xiǎn)評(píng)估的結(jié)果；對(duì)與信息安全治理有關(guān)的重大事項(xiàng)，如組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息安全設(shè)施購(gòu)置等；評(píng)審與監(jiān)督信息安全事故；審批與信息安全治理有關(guān)的其他重要事項(xiàng)。任命信息安全治理經(jīng)理組織最高治理者在治理層中指定一名信息安全治理經(jīng)理，分管組織的信息安全治理事宜，具體由以下責(zé)任：確定信息安全治理標(biāo)準(zhǔn)建立、實(shí)施和維護(hù)信息安全治理體系；負(fù)責(zé)組織的信息安全方針與安全策略的貫徹與落實(shí)；向最高治理者提交信息安全治理體系績(jī)效報(bào)告，以供評(píng)審，并為改進(jìn)信息安全治理體系提供證據(jù)；就信息安全治理的有關(guān)問題與外部各方面進(jìn)行聯(lián)絡(luò)。組建信息安全治理推進(jìn)小組在信息安全委員會(huì)的批準(zhǔn)下，由信息安全治理經(jīng)理組建信息安全治理推進(jìn)小組，并對(duì)其進(jìn)行治理。小組成員要明白信息安全技術(shù)知識(shí)，有一定的信息安全治理技能，同時(shí)有較強(qiáng)的分析能力及文字能力，小組成員一般是企業(yè)各部門的骨干人員。保證有關(guān)人員的作用、職責(zé)和權(quán)限得到有效溝通用適當(dāng)?shù)姆绞?，如通過培訓(xùn)、制定文件等方式，讓每位職員明白自己的作用、職責(zé)與權(quán)限，以及與其他部分的關(guān)系，以保證全體職員各司其職，相互配合，有效地開展活動(dòng)，為信息安全治理體系的建立做出貢獻(xiàn)。組織機(jī)構(gòu)的設(shè)立原則合適的操縱范圍一般情況下，一個(gè)經(jīng)理直接操縱的下屬治理人員許多于6人，但不應(yīng)超過10人。在作業(yè)復(fù)雜的部門或車間，一個(gè)組長(zhǎng)對(duì)15人保持操縱。在作業(yè)簡(jiǎn)單的部門或車間，一個(gè)組長(zhǎng)能操縱50個(gè)人或更多的人。合適的治理層次公司負(fù)責(zé)人與基層治理部門之間的治理層數(shù)應(yīng)愛護(hù)最少程度，最阻礙利潤(rùn)的部門經(jīng)理應(yīng)該直接向公司負(fù)責(zé)人報(bào)告。一個(gè)上級(jí)的原則責(zé)、權(quán)、利一致的原則既無重疊，又無空白的原則執(zhí)行部門與監(jiān)督部門分離的原則信息安全部門有一定的獨(dú)立性，不應(yīng)成為生產(chǎn)部門的下屬單位。信息安全治理體系組織結(jié)構(gòu)建立及職責(zé)劃分的注意事項(xiàng)假如現(xiàn)有的組織結(jié)構(gòu)合理，則只需將信息安全標(biāo)準(zhǔn)的要求分配落實(shí)到現(xiàn)有的組織結(jié)構(gòu)中即可。假如現(xiàn)有的組織結(jié)構(gòu)不合理，則按上面（5）中所述規(guī)則對(duì)組織結(jié)構(gòu)進(jìn)行調(diào)整。應(yīng)將組織內(nèi)的部門設(shè)置及各部門的信息安全職責(zé)、權(quán)限及相互關(guān)系以文件的形式加以規(guī)定。應(yīng)將部門內(nèi)崗位設(shè)置及各崗位的職責(zé)、權(quán)限和相互關(guān)系以文件的形式加以規(guī)定。日常的信息安全監(jiān)督檢查工作應(yīng)有專門的部門負(fù)責(zé)關(guān)于大型企業(yè)來講，能夠設(shè)置專門的安全部（能夠把信息安全和職業(yè)健康與安全的職能劃歸此部門），安全部設(shè)立首席安全執(zhí)行官，首席安全執(zhí)行官直接向組織最高治理層負(fù)責(zé)（有的也向首席信息官負(fù)責(zé)）。美國(guó)“911”恐懼突擊事件以后，在美國(guó)的一些大型企業(yè)，這種安全機(jī)構(gòu)的設(shè)置方式逐漸流行，它強(qiáng)調(diào)對(duì)各種風(fēng)險(xiǎn)的綜合治理和對(duì)威脅的快速反應(yīng)。關(guān)于小型企業(yè)來講，能夠把信息安全治理工作劃歸到信息部、人事行政部或其他相關(guān)部門。建立信息安全治理體系原則PDCA原則PDCA循環(huán)的概念最早是由美國(guó)質(zhì)量治理專家戴明提出來的，因此又稱為“戴明環(huán)”。在質(zhì)量治理中應(yīng)用廣泛，PDCA代表的含義如下：P(Plan)：打算，確定方針和目標(biāo)，確定活動(dòng)打算；D(Do)：實(shí)施，實(shí)際去做，實(shí)現(xiàn)打算中的內(nèi)容；C(Check)：檢查，總結(jié)執(zhí)行打算的結(jié)果，注意效果，找出問題；A(Action)：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以確信并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個(gè)PDCA循環(huán)。PDCA循環(huán)的四個(gè)時(shí)期具體內(nèi)容如下：(1)打算時(shí)期：制定具體工作打算，提出總的目標(biāo)。具體來講又分為以下4個(gè)步驟。分析目前現(xiàn)狀，找出存在的問題；分析產(chǎn)生問題的各種緣故以及阻礙因素；分析并找出治理中的要緊問題；制定治理打算，確定治理要點(diǎn)。依照治理體制中出現(xiàn)的要緊問題，制定治理的措施、方案，明確治理的重點(diǎn)。制定治理方案時(shí)要注意整體的詳盡性、多選性、全面性。(2)實(shí)施時(shí)期：確實(shí)是指按照制定的方案去執(zhí)行。在治理工作中全面執(zhí)行制定的方案。制定的治理方案在治理工作中執(zhí)行的情況，直接阻礙全過程。因此在實(shí)施時(shí)期要堅(jiān)持按照制定的方案去執(zhí)行。(3)檢查時(shí)期：即檢查實(shí)施打算的結(jié)果。檢查工作這一時(shí)期是比較重要的一個(gè)時(shí)期，它是對(duì)實(shí)施方案是否合理，是否可行有何不妥的檢查。是為下一個(gè)時(shí)期工作提供條件，是檢驗(yàn)上一時(shí)期工作好壞的檢驗(yàn)期。(4)處理時(shí)期：依照調(diào)查效果進(jìn)行處理。對(duì)已解決的問題，加以標(biāo)準(zhǔn)化：即把已成功的可行的條文進(jìn)行標(biāo)準(zhǔn)化，將這些納入制度、規(guī)定中，防止以后再發(fā)生類似問題；找出尚未解決的問題，轉(zhuǎn)入下一個(gè)循環(huán)中去，以便解決。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。在質(zhì)量治理中，PDCA循環(huán)得到了廣泛的應(yīng)用，并取得了專門好的效果，有人也稱其為質(zhì)量治理的差不多方法。之因此叫PDCA循環(huán)，是因?yàn)檫@四個(gè)過程不是運(yùn)行一次就完結(jié)，而是周而復(fù)始地進(jìn)行，其特點(diǎn)是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)”；每個(gè)循環(huán)系統(tǒng)包括PDCA四個(gè)時(shí)期曾螺旋式上升和進(jìn)展，每循環(huán)一次要求提高一步。建立和治理一個(gè)信息安全治理體系需要象其他任何治理體系一樣的方法。那個(gè)地點(diǎn)描述的過程模型遵循一個(gè)連續(xù)的活動(dòng)循環(huán)：打算、實(shí)施、檢查、和處置。之因此能夠描述為一個(gè)有效的循環(huán)因?yàn)樗哪康氖菫榱吮ＷC您的組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)刻改進(jìn)。信息安全治理體系的PDCA過程如下圖12-1所示。圖12-1PDCA模型與信息安全治理體系過程ISMS的PDCA具有以下內(nèi)容：1.打算和實(shí)施一個(gè)持續(xù)提高的過程通常要求最初的投資：文件化實(shí)踐，將風(fēng)險(xiǎn)治理的過程正式化，確定評(píng)審的方法和配置資源。這些活動(dòng)通常作為循環(huán)的開始。那個(gè)時(shí)期在評(píng)審時(shí)期開始實(shí)施時(shí)結(jié)束。打算時(shí)期用來保證為信息安全治理體系建立的內(nèi)容和范圍正確地建立，評(píng)估信息安全風(fēng)險(xiǎn)和建立適當(dāng)?shù)靥幚磉@些風(fēng)險(xiǎn)的打算。實(shí)施時(shí)期用來實(shí)施在打算時(shí)期確定的決定和解決方案。2.檢查與行動(dòng)檢查和處置評(píng)審時(shí)期用來加強(qiáng)、修改和改進(jìn)已識(shí)不和實(shí)施的安全方案。評(píng)審能夠在任何時(shí)刻、以任何頻率實(shí)施，取決于如何樣做適合于考慮的具體情況。在一些體系中他們可能需要建立在計(jì)算機(jī)化的過程中以運(yùn)行和立即回應(yīng)。其他過程可能只需在有信息安全事故時(shí)、被愛護(hù)的信息資產(chǎn)變化時(shí)或需要增加時(shí)、威脅和脆弱性變化時(shí)需要回應(yīng)。最后，需要每一年或其他周期性評(píng)審或?qū)徍艘员ＷC整個(gè)治理體系達(dá)成其目標(biāo)。3.操縱措施總結(jié)(SummaryofControls)組織可能發(fā)覺制作一份相關(guān)和應(yīng)用于組織的信息安全治理體系的操縱措施總結(jié)（SoC）的好處。提供一份操縱措施小結(jié)能夠使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。SoC可能包含敏感的信息，因此當(dāng)SoC在外部和內(nèi)部同時(shí)應(yīng)用時(shí)，應(yīng)考慮他們關(guān)于接收者是否合適。文件化信息安全治理另一個(gè)特不重要的原則確實(shí)是文件化，即所有打算及操作過的情況都要有文件記錄，如此可做到有章可循，有據(jù)可查，文件的類型通常有手冊(cè)、規(guī)范、指南、記錄等，使用這些文件能夠使組織內(nèi)部溝通意圖，統(tǒng)一行動(dòng)，并為事件提客觀證據(jù)，同時(shí)也可用于學(xué)習(xí)和培訓(xùn)。假如有些組織曾參與過9000或BS7799的認(rèn)證，會(huì)深刻體會(huì)到文件化的重要性。領(lǐng)導(dǎo)重視組織建立信息安全治理體系需要投入大量物力和人力，這就需要得到領(lǐng)導(dǎo)的認(rèn)可，尤其是最高領(lǐng)導(dǎo)，如此才能確保這一項(xiàng)目可不能因缺少資源支持而中途廢棄。最高領(lǐng)導(dǎo)層在具體建立信息安全治理體系時(shí)應(yīng)做到如下幾點(diǎn)：(1)治理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全治理體系的證據(jù)，包括：建立信息安全方針；確保建立信息安全目標(biāo)和打算；為信息安全確立職位和責(zé)任；向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要；提供足夠的資源以開發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全治理體系；確定可同意風(fēng)險(xiǎn)的水平；進(jìn)行信息安全治理體系的評(píng)審。(2)治理層為組織將確定和提供所需的資源，以：建立、實(shí)施、運(yùn)行和維護(hù)信息安全治理體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)不和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù)；正確地應(yīng)用所有實(shí)施的操縱措施維護(hù)足夠的安全；必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；需要時(shí)，改進(jìn)信息安全治理體系的有效性。全員參與僅有領(lǐng)導(dǎo)的支持沒有實(shí)際操作的人員同樣信息安全治理體系不能專門好地建立起來，而組織內(nèi)由于一般人員的誤操作和疏忽造成嚴(yán)峻損失的不止少數(shù)，因此我們必須明確安全治理體系不是組織內(nèi)IT部門的情況，而是需要全體職員參與的。組織應(yīng)確保所有被分配信息安全治理體系職責(zé)的人員具有能力履行指派的任務(wù)。組織應(yīng)：確定從事阻礙信息安全治理體系的人員所必要的能力；提供能力培訓(xùn)和，必要時(shí)，聘用有能力的人員滿足這些需求；評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性；保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的紀(jì)錄。組織應(yīng)確保所有相關(guān)的人員明白他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)如何樣達(dá)成信息安全治理目標(biāo)。信息安全治理體系的建立建立信息安全治理體系下圖是建立信息安全治理體系的流程圖,圖12-2，制訂信息安全方針制訂信息安全方針方針文檔定義ISMS范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)治理選擇操縱目標(biāo)措施預(yù)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件圖12-2ISMS流程圖組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全治理體系。為滿足該標(biāo)準(zhǔn)的目的，使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。組織應(yīng)做到如下幾點(diǎn)：應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全治理體系的范圍。應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全治理體系的方針，方針應(yīng)：1)包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則。2)考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。3)建立組織戰(zhàn)略和風(fēng)險(xiǎn)治理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全治理體系。4)建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。5)經(jīng)治理層批準(zhǔn)。確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)不適用于信息安全治理體系及已識(shí)不的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。為信息安全治理體系建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可同意的水平。確定同意風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和識(shí)不可同意風(fēng)險(xiǎn)的水平。確定風(fēng)險(xiǎn)1)在信息安全治理體系的范圍內(nèi)，識(shí)不資產(chǎn)及其責(zé)任人。2)識(shí)不對(duì)這些資產(chǎn)的威脅。3)識(shí)不可能被威脅利用的脆弱性。4)不資產(chǎn)失去保密性、完整性和可用性的阻礙。評(píng)價(jià)風(fēng)險(xiǎn)1)評(píng)估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2)評(píng)估與這些資產(chǎn)相關(guān)的要緊威脅、脆弱點(diǎn)和阻礙造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的操縱措施；3)可能風(fēng)險(xiǎn)的等級(jí)；4)確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理。識(shí)不和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施：可能的行動(dòng)包括：1)應(yīng)用合適的操縱措施；2)明白并有目的地同意風(fēng)險(xiǎn)，同時(shí)這些措施能清晰地滿足組織方針和同意風(fēng)險(xiǎn)的標(biāo)準(zhǔn)；3)幸免風(fēng)險(xiǎn)；4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)，供應(yīng)商等。選擇操縱目標(biāo)和操縱措施處理風(fēng)險(xiǎn)：應(yīng)從2.6章節(jié)中操縱措施中選擇合適的操縱目標(biāo)和操縱措施，應(yīng)該依照風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果調(diào)整。預(yù)備一份適用性聲明。從上面選擇的操縱目標(biāo)和操縱措施以及被選擇的緣故應(yīng)在適用性聲明中文件化。從2.6章節(jié)中剪裁的操縱措施也應(yīng)加以記錄；提議的殘余風(fēng)險(xiǎn)應(yīng)獲得治理層批準(zhǔn)并授權(quán)實(shí)施和運(yùn)作信息安全治理體系。文件要求信息安全治理體系文件應(yīng)包括：文件化的安全方針文件和操縱目標(biāo)；信息安全治理體系范圍和程序及支持信息安全治理體系的操縱措施；風(fēng)險(xiǎn)評(píng)估報(bào)告；風(fēng)險(xiǎn)處理打算；組織需要的文件化的程序以確保有效地打算運(yùn)營(yíng)和對(duì)信息安全過程的操縱；本標(biāo)準(zhǔn)要求的記錄；適用性聲明。文件操縱信息安全治理體系所要求的文件應(yīng)予以愛護(hù)和操縱。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的操縱：文件公布前得到批準(zhǔn)，以確保文件的充分性；必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)不；確保在使用處可獲得適用文件的有關(guān)版本；確保文件保持清晰、易于識(shí)不；確保外來文件得到識(shí)不，并操縱其分發(fā)；確保文件的發(fā)放在操縱狀態(tài)下；防止作廢文件的非預(yù)期使用；若因任何緣故而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。記錄操縱應(yīng)建立并保持紀(jì)錄，以提供符合要求和信息安全治理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被操縱。信息安全治理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)不和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、愛護(hù)、檢索、保存期限和處置所需的操縱。需要一個(gè)治理過程確定記錄的程度。應(yīng)保留上述過程績(jī)效記錄和所有與信息安全治理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。例如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。實(shí)施和運(yùn)作信息安全治理體系組織應(yīng)按如下步聚實(shí)施：識(shí)不合適的治理行動(dòng)和確定治理信息安全風(fēng)險(xiǎn)的優(yōu)先順序（即：風(fēng)險(xiǎn)處理打算；實(shí)施風(fēng)險(xiǎn)處理打算以達(dá)到識(shí)不的操縱目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任；實(shí)施在上述章節(jié)里選擇的操縱目標(biāo)和操縱措施；培訓(xùn)和意識(shí)；治理運(yùn)作過程；治理資源；實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的操縱措施。監(jiān)控和評(píng)審信息安全治理體系監(jiān)控信息安全治理體系組織應(yīng)：執(zhí)行監(jiān)控程序和其他操縱措施，以：1)實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤；2)及時(shí)識(shí)不失敗和成功的安全破壞和事故；3)能夠使治理層確定分派給職員的或通過信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo)；4)確定解決安全破壞的行動(dòng)是否反映了運(yùn)營(yíng)的優(yōu)先級(jí)。進(jìn)行常規(guī)的信息安全治理體系有效性的評(píng)審（包括符合安全方針和目標(biāo)，及安全操縱措施的評(píng)審）考慮安全評(píng)審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋；評(píng)審殘余風(fēng)險(xiǎn)和可同意風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1)組織2)技術(shù)3)業(yè)務(wù)目標(biāo)和過程4)識(shí)不威脅，及5)外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化。在打算的時(shí)刻段內(nèi)實(shí)施內(nèi)部信息安全治理體系審核。經(jīng)常進(jìn)行信息安全治理體系治理評(píng)審（至少每年評(píng)審一次）以保證信息安全治理體系的范圍仍然足夠，在信息安全治理體系過程中的改進(jìn)措施已被識(shí)不（見信息安全治理體系的治理評(píng)審）；記錄所采取的行動(dòng)和能夠阻礙信息安全治理體系的有效性或績(jī)效的事件。維護(hù)和改進(jìn)信息安全治理體系組織應(yīng)經(jīng)常：實(shí)施已識(shí)不的關(guān)于信息安全治理體系的改進(jìn)措施采取合適的糾正和預(yù)防措施[見7.2和7.3].應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到的知識(shí)。溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。信息安全治理體系的治理評(píng)審治理層應(yīng)按策劃的時(shí)刻間隔評(píng)審組織的信息安全治理體系，以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)信息安全治理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清晰地文件化，應(yīng)保持治理評(píng)審的紀(jì)錄。評(píng)審輸入治理評(píng)審的輸入應(yīng)包括以下方面的信息：信息安全治理體系審核和評(píng)審的結(jié)果；相關(guān)方的反饋；能夠用于組織改進(jìn)其信息安全治理體系績(jī)效和有效性的技術(shù)，產(chǎn)品或程序；預(yù)防和糾正措施的狀況；往常風(fēng)險(xiǎn)評(píng)估沒有足夠強(qiáng)調(diào)的脆弱性或威脅；以往治理評(píng)審的跟蹤措施；任何可能阻礙信息安全治理體系的變更；改進(jìn)的建議。評(píng)審輸出治理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：對(duì)信息安全治理體系有效性的改進(jìn)；修改阻礙信息安全的程序，必要時(shí)，回應(yīng)內(nèi)部或外部可能阻礙信息安全治理體系的事件，包括以下的變更：業(yè)務(wù)要求；安全要求；業(yè)務(wù)過程阻礙現(xiàn)存的業(yè)務(wù)要求；法規(guī)或法律環(huán)境；風(fēng)險(xiǎn)的等級(jí)和/或可同意風(fēng)險(xiǎn)的水平；資源需求。內(nèi)部信息安全治理體系審核組織應(yīng)按策化的時(shí)刻間隔進(jìn)行內(nèi)部信息安全治理體系審核，以確定信息安全治理體系的操縱目標(biāo)、操縱措施、過程和程序是否：符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；符合識(shí)不的信息安全的要求；被有效地實(shí)施和維護(hù)；達(dá)到預(yù)想的績(jī)效。任何審核活動(dòng)應(yīng)策劃，策劃應(yīng)考慮過程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確保審核過程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)記錄[見4.3.3]的責(zé)任及要求。負(fù)責(zé)被審核區(qū)域的治理者應(yīng)確保沒有延遲地采取措施減少被發(fā)覺的不符合及引起不合格的緣故。改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果[見條款7]。信息安全治理體系改進(jìn)持續(xù)改進(jìn)組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和治理評(píng)審的信息持續(xù)改進(jìn)信息安全治理體系的有效性。糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全治理體系有關(guān)的不合格的緣故，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：識(shí)不實(shí)施和/或運(yùn)行信息安全治理體系中的不合格；確定不合格的緣故；評(píng)價(jià)確保不合格不再發(fā)生的措施的需求；確定和實(shí)施所需的糾正措施；記錄所采取措施的結(jié)果；評(píng)審所采取的糾正措施。預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問題的阻礙程度相適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：識(shí)不潛在的不合格及引起不合格的緣故；確定和實(shí)施所需的預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)價(jià)所采取的預(yù)防措施；識(shí)不已變更的風(fēng)險(xiǎn)和確保注意力關(guān)注在重大的已變更的風(fēng)險(xiǎn)。糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。操縱措施的選擇通常操縱措施是在BS7799的十大領(lǐng)域中進(jìn)行選擇，因此針對(duì)不同組織的實(shí)際情況選擇操縱目標(biāo)不同，上述曾介紹過的需進(jìn)行適用性聲明。以下將詳細(xì)介紹十大領(lǐng)域的操縱措施。安全方針信息安全方針目標(biāo)：為信息安全提供治理指導(dǎo)和支持。治理者應(yīng)該制定一套清晰的指導(dǎo)方針，并通過在組織內(nèi)對(duì)信息安全方針的公布和保持來證明對(duì)信息安全的支持與承諾。1.信息安全方針文件方針文件應(yīng)得到治理者批準(zhǔn)，并以適當(dāng)?shù)姆绞焦?、傳達(dá)到所有職員。該文件應(yīng)該闡明治理者對(duì)實(shí)行信息安全的承諾，并陳述組織治理信息安全的方法，它至少應(yīng)該包括以下幾個(gè)部分：信息安全的定義，其總體目標(biāo)和范圍，以及其作為信息共享的安全機(jī)制的重要性（見引言）；申明支持信息安全目標(biāo)和原則的治理意向；對(duì)組織有重大意義的安全方針、原則、標(biāo)準(zhǔn)和符合性要求的簡(jiǎn)要講明，例如：符合法規(guī)和合同的要求；安全教育的要求；對(duì)計(jì)算機(jī)病毒和其他惡意軟件的防范和檢測(cè)；可持續(xù)運(yùn)營(yíng)的治理；違反安全方針的后果；對(duì)信息安全治理的總體和具體責(zé)任的定義，包括匯報(bào)安全事故；提及支持安全方針的文件，如：特定信息系統(tǒng)的更加詳細(xì)的安全方針和程序，或用戶應(yīng)該遵守的安全規(guī)定。本方針應(yīng)以恰當(dāng)、易得、易明白的方式向單位的預(yù)期使用者進(jìn)行傳達(dá)。評(píng)審與鑒定方針應(yīng)有專人按照既定的評(píng)審程序負(fù)責(zé)它的保持和評(píng)審。該程序應(yīng)確保任何阻礙原始風(fēng)險(xiǎn)評(píng)估依照的變化都會(huì)得到相應(yīng)的評(píng)審，如：重大的安全事故、新的脆弱性、組織基礎(chǔ)結(jié)構(gòu)或技術(shù)基礎(chǔ)設(shè)施的變化。同樣應(yīng)對(duì)以下各項(xiàng)進(jìn)行有打算的、定期的評(píng)審：方針的有效性，可通過記錄在案的安全事故的性質(zhì)、數(shù)量和所造成的阻礙來論證；對(duì)運(yùn)營(yíng)效率進(jìn)行操縱的成本和效果；技術(shù)變化所造成的阻礙；安全組織信息安全基礎(chǔ)結(jié)構(gòu)目標(biāo)：在組織內(nèi)部治理信息安全。應(yīng)建立治理框架，在組織內(nèi)部開展和操縱信息安全的實(shí)施。應(yīng)該建立具有治理權(quán)的適當(dāng)?shù)男畔踩卫砦瘑T會(huì)來批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。如有必要，應(yīng)在組織內(nèi)建立提供信息安全建議的專家小組并使其有效。應(yīng)建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢(shì)，監(jiān)督安全標(biāo)準(zhǔn)和評(píng)估方法，并在處理安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)渠道。另外應(yīng)鼓舞多學(xué)科的信息安全方法的進(jìn)展，如：經(jīng)理人、用戶、行政人員、應(yīng)用軟件設(shè)計(jì)者、審核人員和保安人員以及行業(yè)專家（如保險(xiǎn)和風(fēng)險(xiǎn)治理領(lǐng)域）之間的協(xié)作。1.信息安全治理委員會(huì)信息安全是治理團(tuán)隊(duì)中所有成員共同的職務(wù)責(zé)任。因此應(yīng)考慮建立信息安全委員會(huì)以確保為信息安全的啟動(dòng)工作提供明確的指導(dǎo)和明顯的治理支持。該委員會(huì)應(yīng)該在組織內(nèi)部通過適當(dāng)?shù)某兄Z和提供充足的資源來促進(jìn)安全工作。信息安全治理委員會(huì)能夠作為現(xiàn)有治理團(tuán)體的一部分，所承擔(dān)的職責(zé)要緊有：評(píng)審和批準(zhǔn)信息安全方針和總體職責(zé)；監(jiān)督信息資產(chǎn)面臨重大威脅時(shí)所暴露出的重大變化；評(píng)審和監(jiān)督信息安全事故；批準(zhǔn)加強(qiáng)信息安全的主動(dòng)行為。應(yīng)有一名經(jīng)理負(fù)責(zé)和安全有關(guān)的所有行為。2.信息安全的協(xié)作問題在較大的組織內(nèi)部，有必要成立由各相關(guān)部門的治理代表組成的跨部門的信息安全委員會(huì)，以合作實(shí)施信息安全的操縱措施。它的要緊功能有：批準(zhǔn)組織內(nèi)關(guān)于信息安全的具體任務(wù)和責(zé)任；批準(zhǔn)信息安全方面的具體方法和程序，如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng)；批準(zhǔn)和支持全組織范圍的信息安全問題的提議，如安全意識(shí)培訓(xùn)；確保安全問題是信息設(shè)計(jì)過程的一部分；評(píng)估新系統(tǒng)或服務(wù)在信息安全操縱實(shí)施方面的充分程度和協(xié)作情況；評(píng)審信息安全事故；提高全組織對(duì)信息安全的支持程度。3.信息安全責(zé)任分配愛護(hù)單獨(dú)的資產(chǎn)和實(shí)施具體的安全過程的職責(zé)應(yīng)該給予明確定義。信息安全方針（見上述條款）應(yīng)該為組織內(nèi)部信息安全任務(wù)和責(zé)任的分配提供總體的指導(dǎo)。必要時(shí)，針對(duì)具體的地點(diǎn)、系統(tǒng)和服務(wù)，應(yīng)對(duì)此方針作更詳細(xì)的補(bǔ)充。對(duì)由各項(xiàng)有形資產(chǎn)和信息資產(chǎn)以及安全程序所在方承擔(dān)的責(zé)任，如可持續(xù)運(yùn)營(yíng)打算，應(yīng)清晰定義。在許多組織中，會(huì)任命一名信息安全經(jīng)理來負(fù)責(zé)信息安全工作的開展和實(shí)施，并支持操縱措施的鑒不工作。然而，分配資源和實(shí)施操縱措施的責(zé)任一般由各部門經(jīng)理承擔(dān)。通常的做法是為每項(xiàng)信息資產(chǎn)指定專人來負(fù)責(zé)日常的安全工作。信息資產(chǎn)的負(fù)責(zé)人能夠把安全職責(zé)托付給各部門的經(jīng)理或服務(wù)提供商。然而，信息資產(chǎn)負(fù)責(zé)人對(duì)資產(chǎn)的安全負(fù)有最終的責(zé)任，并應(yīng)有權(quán)確定責(zé)任人是否恰當(dāng)?shù)穆男辛寺氊?zé)。對(duì)各個(gè)經(jīng)理所負(fù)責(zé)的安全領(lǐng)域的清晰描述是專門重要的，特不應(yīng)進(jìn)行以下工作：和各個(gè)系統(tǒng)相關(guān)的各種資產(chǎn)和安全過程應(yīng)給予識(shí)不和明確的定義。各項(xiàng)資產(chǎn)或安全過程的治理者責(zé)任應(yīng)通過審批，并以文件的形式詳細(xì)記錄該職責(zé)。授權(quán)級(jí)不應(yīng)清晰定義并記錄在案。4.信息處理設(shè)備的授權(quán)程序關(guān)于新的信息處理設(shè)備應(yīng)建立治理授權(quán)程序，應(yīng)考慮以下操縱措施：新設(shè)備應(yīng)有適當(dāng)?shù)挠脩糁卫韺徟贫?，?duì)用戶的使用目的和使用情況進(jìn)行授權(quán)。同樣應(yīng)得到負(fù)責(zé)維護(hù)本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準(zhǔn)，以確保滿足所有相關(guān)的安全方針和要求。如有必要，應(yīng)檢查硬件和軟件，以確保與其他系統(tǒng)部件兼容（注：關(guān)于有些連接，類型兼容也是必須的）。使用個(gè)人信息處理設(shè)備來處理商業(yè)信息以及任為必要的操縱措施應(yīng)經(jīng)授權(quán)。在工作場(chǎng)所使用個(gè)人信息處理設(shè)備可能導(dǎo)致新的脆弱性，因此應(yīng)經(jīng)評(píng)估和授權(quán)。上述操縱措施在聯(lián)網(wǎng)的環(huán)境中尤為重要。5.信息安全專家建議許多組織可能需要安全專家的建議，這最好由組織內(nèi)富有經(jīng)驗(yàn)的信息安全顧問來提供。并非所有的組織都情愿雇用專家顧問。因此，建議組織專門指定一個(gè)人來協(xié)調(diào)組織中的知識(shí)和經(jīng)驗(yàn)，以確保一致性，并關(guān)心做出安全決議。同時(shí)他們還應(yīng)和合適的外部顧問保持聯(lián)系，以提供自身經(jīng)驗(yàn)之外的專家建議。信息安全顧問或等同的聯(lián)絡(luò)人員的任務(wù)應(yīng)該是使用他們自己的和外部的建議，為信息安全的所有方面提供咨詢。他們對(duì)安全威脅的評(píng)估質(zhì)量和對(duì)操縱措施的建議水平?jīng)Q定了組織的信息安全的有效性。為使其建議最大程度的發(fā)揮作用，他們應(yīng)有權(quán)接觸組織治理層的各個(gè)方面。若懷疑出現(xiàn)安全事件或破壞，應(yīng)盡早的咨詢信息安全顧問和相應(yīng)的外部聯(lián)絡(luò)人員，以獲得專業(yè)指導(dǎo)和調(diào)查資源。盡管多數(shù)的內(nèi)部安全調(diào)查通常是在治理層的操縱下進(jìn)行的，但仍能夠邀請(qǐng)安全顧問給出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。6.組織間的合作為確保在發(fā)生安全事故時(shí)能最快的采取適當(dāng)措施和獲得指導(dǎo)建議，各個(gè)組織應(yīng)和執(zhí)法機(jī)關(guān)、治理機(jī)構(gòu)、信息服務(wù)提供機(jī)構(gòu)以及電信營(yíng)運(yùn)部門保持適當(dāng)?shù)穆?lián)系。同樣也應(yīng)考慮成為安全組織和行業(yè)論壇的成員。安全信息的交流應(yīng)該加以限制，以確保組織的秘密信息可不能泄漏到未經(jīng)授權(quán)的人員手中。7.信息安全審核的獨(dú)立性信息安全方針條例制定出了信息安全的方針和職能。實(shí)施情況的審核工作應(yīng)該獨(dú)立進(jìn)行，來確保組織規(guī)范能夠?qū)ｉT好的反映安全方針，同時(shí)是可行的和有效的。審核工作應(yīng)由組織內(nèi)部的審核職能部門、獨(dú)立經(jīng)理人或精通于此種審核工作的第三方組織來實(shí)施，只要審核人員掌握了相應(yīng)的技術(shù)和經(jīng)驗(yàn)。第三方訪問安全治理目標(biāo)：保證第三方訪問組織的信息處理設(shè)備和信息資產(chǎn)時(shí)的安全性。第三方訪問組織內(nèi)部的信息處理設(shè)備的權(quán)限應(yīng)該受到操縱。若有業(yè)務(wù)上需要第三方的訪問，應(yīng)對(duì)此做出風(fēng)險(xiǎn)評(píng)估來確定訪問可能帶來的安全后后果和對(duì)訪問進(jìn)行的操縱需求。操縱措施應(yīng)經(jīng)雙方同意，并在合同中進(jìn)行明確定義。第三方訪問還會(huì)涉及其他參與者。授予第三方訪問權(quán)的合同應(yīng)該涵蓋對(duì)合法的參與者任命和同意訪訪問的條件。在考慮信息外包處理時(shí)，此標(biāo)準(zhǔn)能夠作為簽訂此類合同的基礎(chǔ)。1.第三方訪問的風(fēng)險(xiǎn)鑒不(1)訪問類型給予第三方訪問的類型至關(guān)重要。比如，通過網(wǎng)絡(luò)連接的訪問風(fēng)險(xiǎn)與物理訪問的風(fēng)險(xiǎn)有專門大區(qū)不。需要考慮的訪問類型有：物理訪問，如訪問辦公室，計(jì)算機(jī)房，文件柜等邏輯訪問，如訪問組織的數(shù)據(jù)庫(kù)，信息系統(tǒng)等(2)訪問緣故授權(quán)第三方訪問有若干緣故。例如，向組織提供服務(wù)卻不在現(xiàn)場(chǎng)的第三方，就能夠被授予物理和邏輯訪問權(quán)，如：硬件和軟件支持人員，他們需要有權(quán)訪問系統(tǒng)級(jí)或低級(jí)的應(yīng)用程序功能。貿(mào)易伙伴或合資伙伴，他們之間需要交流信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫(kù)。若沒有充分的信息安全治理，同意第三方訪問將給信息帶來風(fēng)險(xiǎn)。因此，在業(yè)務(wù)上有與第三方接觸的需求時(shí)，則需進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定具體的操縱措施的要求。還要考慮所要進(jìn)行的訪問類型、信息的價(jià)值、第三方使用的操縱措施和訪問給組織信息的安全可能帶來的后果。(3)現(xiàn)場(chǎng)承包方按照合同規(guī)定，能夠在現(xiàn)場(chǎng)滯留一段時(shí)刻的第三方也有可能帶來安全隱患?，F(xiàn)場(chǎng)第三方的例子有：硬件和軟件維護(hù)和支持人員清潔人員、送餐人員、保安和其他的外包支持服務(wù)人員學(xué)生和其他的短期臨時(shí)工作人員顧問了解采取哪些操縱措施來治理第三方對(duì)信息處理設(shè)備的訪問是至關(guān)重要的?？偟膩碇v，在與第三方所簽的合同中應(yīng)反映出所有的由第三方訪問導(dǎo)致的安全需求或內(nèi)部的操縱措施。例如：若對(duì)信息的保密性有專門要求的時(shí)候，就要采納保密協(xié)議。只有在實(shí)施了適當(dāng)?shù)牟倏v措施并簽訂了涵蓋連接和訪問條件的合同之后，第三方方可訪問信息和信息處理設(shè)備。2.與第三方簽約時(shí)的安全要求涉及到第三方訪問本組織信息處理設(shè)備的安排應(yīng)基于正式的合同。該合同應(yīng)包括或提到安全要求，以保證遵守本組織安全方針和安全標(biāo)準(zhǔn)。合同應(yīng)確保本組織和第三方之間沒有誤會(huì)。各個(gè)組織應(yīng)確保供應(yīng)商的可靠性。合同中應(yīng)該考慮如下條款：信息安全的總體方針；資產(chǎn)愛護(hù)方面，包括：愛護(hù)組織資產(chǎn)（包括信息和軟件在內(nèi)）的程序；確定資產(chǎn)是否受到危害的程序，如數(shù)據(jù)的丟失或篡改；確保在合同截止時(shí)或合同執(zhí)行期間某一雙方同意的時(shí)刻，歸還或銷毀信息的操縱措施；完整性和可用性；對(duì)復(fù)制和泄漏信息的限制；對(duì)可用服務(wù)的描述；服務(wù)的目標(biāo)級(jí)和服務(wù)的不可同意級(jí)；人員調(diào)整的規(guī)定；協(xié)約方各自的責(zé)任；法律方面的責(zé)任，如數(shù)據(jù)愛護(hù)法規(guī)，假如合同涉及到其他國(guó)家的組織，還應(yīng)特不考慮不同國(guó)家法律體系的區(qū)不；知識(shí)產(chǎn)權(quán)和版權(quán)轉(zhuǎn)讓（見操縱措施遵從性）與合作成果愛護(hù)；訪問操縱協(xié)議，包括：所同意的操縱方法，對(duì)獨(dú)特的標(biāo)識(shí)符（如用戶ID，密碼）的操縱和使用；用戶訪問和特權(quán)的授權(quán)過程；要求保有一份名單，用來記錄被授權(quán)使用可用服務(wù)的用戶，以及他們的使用權(quán)和特權(quán)；可驗(yàn)證的行為標(biāo)準(zhǔn)的定義、監(jiān)督和匯報(bào)；監(jiān)督和廢除用戶行為的權(quán)力；審核合同的責(zé)任，或是委任第三方來執(zhí)行審核工作；建立解決問題的升級(jí)流程，在適當(dāng)情況下，還要考慮應(yīng)急安排；軟件和硬件安裝和維護(hù)責(zé)任；清晰的匯報(bào)結(jié)構(gòu)和業(yè)經(jīng)認(rèn)同的匯報(bào)形式；清晰、詳細(xì)的變更治理流程；確保操縱措施得以實(shí)施所需的物理愛護(hù)操縱和機(jī)制；對(duì)用戶和治理者在方法、流程和安全方面的培訓(xùn)；確保防范惡意軟件的操縱措施；匯報(bào)、通知和調(diào)查安全事故和安全破壞的安排；包括第三方和次承包商；委外資源治理目標(biāo)：當(dāng)把信息處理的責(zé)任托付給其他組織時(shí)，要確保委外信息的安全性委外安排時(shí)，應(yīng)該在簽約方的合同中表明信息系統(tǒng)、網(wǎng)絡(luò)和或桌面環(huán)境方面的風(fēng)險(xiǎn)、安全操縱和流程。1.委外合同中的安全要求假如組織將其全部或部分信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境的治理和操縱任務(wù)托付給其他組織，委外的安全要求應(yīng)在合同中加以規(guī)定并要爭(zhēng)得雙方的同意。例如：合同中應(yīng)規(guī)定：如何滿足法律方面的要求，如數(shù)據(jù)愛護(hù)法規(guī)；做出哪些安排來確保涉及委外的各方，包括次分包商，能意識(shí)到各自的責(zé)任；如何維護(hù)和監(jiān)測(cè)組織的商業(yè)資產(chǎn)的完整性和保密性；要采取哪些物理和邏輯上的操縱措施來約束和限制業(yè)經(jīng)授權(quán)的用戶對(duì)商業(yè)信息的訪問；在發(fā)生災(zāi)難的情況下，如何維持服務(wù)的可用性；對(duì)委外設(shè)備需要提供何種程度的物理安全；審核權(quán)。前面條款中的列表所給出的款項(xiàng)也應(yīng)作為合同的一部分考慮到里面去。在雙方同意的安全治理打算中，此合同應(yīng)當(dāng)詳細(xì)論述安全要求與流程。盡管委外合同會(huì)引起一些復(fù)雜的安全問題，在本規(guī)范中提及的操縱措施能夠作為協(xié)商安全治理打算結(jié)構(gòu)和內(nèi)容的起始點(diǎn)。資產(chǎn)分類與操縱資產(chǎn)責(zé)任目標(biāo)：保持對(duì)組織資產(chǎn)的適當(dāng)愛護(hù)。應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。資產(chǎn)責(zé)任有助于確保對(duì)資產(chǎn)保持適當(dāng)?shù)膼圩o(hù)。應(yīng)該為所有重要資產(chǎn)指定所有人，并應(yīng)該分配對(duì)其保持適當(dāng)操縱措施的責(zé)任。實(shí)施操縱措施的職責(zé)能夠托付。責(zé)任應(yīng)由指定的資產(chǎn)所有人承擔(dān)。1.資產(chǎn)清單資產(chǎn)清單有助于確保進(jìn)行有效的資產(chǎn)愛護(hù)，其它商業(yè)目的，如衛(wèi)生和安全、保險(xiǎn)或財(cái)務(wù)（資產(chǎn)治理）緣故同樣需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要方面。組織需要識(shí)不其資產(chǎn)及這些資產(chǎn)的相對(duì)價(jià)值和重要性?；谶@些信息，組織能夠進(jìn)而提供與資產(chǎn)的價(jià)值和重要性相符的愛護(hù)等級(jí)。應(yīng)該編制并保持與每一信息系統(tǒng)相關(guān)的重要資產(chǎn)的清單。應(yīng)該清晰識(shí)不每項(xiàng)資產(chǎn)、其擁有權(quán)、經(jīng)同意和記錄為文件的安全分級(jí)（見5.2），以及資產(chǎn)現(xiàn)在的位置（當(dāng)試圖從丟失和損壞狀態(tài)恢復(fù)時(shí)是重要的）。和信息系統(tǒng)相關(guān)的資產(chǎn)的例子：信息資產(chǎn)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序、持續(xù)性打算、備用系統(tǒng)安排、存檔信息；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和有用程序；有形資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、數(shù)字程控交換機(jī)、傳真機(jī)、應(yīng)答機(jī)），磁媒體（磁帶和軟盤），其他技術(shù)裝備（電源，空調(diào)設(shè)備），家具和住宅；服務(wù)：計(jì)算和通信服務(wù)，通用設(shè)備，如供暖，照明，電力和空調(diào)等。信息分類目標(biāo)：確保信息資產(chǎn)受到適當(dāng)級(jí)不的愛護(hù)；應(yīng)該對(duì)信息進(jìn)行分類以指明要求、優(yōu)先性和愛護(hù)等級(jí)。信息具有不同程度的敏感性和重要性。一些項(xiàng)目可能需要額外級(jí)不的愛護(hù)和專門處理。應(yīng)該使用信息分類系統(tǒng)來定義一套適當(dāng)?shù)膼圩o(hù)等級(jí)，并傳達(dá)專門處理措施的要求。1.分類原則信息分類和相應(yīng)的愛護(hù)操縱措施應(yīng)該考慮共享或限制信息的商業(yè)要求，以及與這些要求相關(guān)的商業(yè)阻礙，如對(duì)信息未經(jīng)授權(quán)的訪問或損壞。一般而言，對(duì)信息分類是決定如何處理和愛護(hù)此信息的一條捷徑。來自處理機(jī)密性數(shù)據(jù)之系統(tǒng)的信息和輸出應(yīng)該按照其對(duì)組織的價(jià)值和敏感性進(jìn)行標(biāo)示。按照信息對(duì)組織的重要性進(jìn)行標(biāo)示同樣是適當(dāng)?shù)?，如，按照信息的完整性和可用性。通過了一段時(shí)刻后，例如當(dāng)信息差不多被公開時(shí)，信息通常就不再是敏感的或重要的。應(yīng)該考慮到這些方面，因?yàn)檫^高的保密級(jí)不能夠?qū)е虏槐匾念~外的商業(yè)支出。分類原則應(yīng)該預(yù)見并顧及到一個(gè)事實(shí)，及對(duì)任何特定信息的分類都沒有必要始終不變，并能夠依照一些預(yù)定的方針變化。應(yīng)該考慮劃分類不的數(shù)量以及對(duì)其使用所帶來的益處。過于復(fù)雜的分類方案可能造成使用上的苦惱和不經(jīng)濟(jì)或被證明為不切合實(shí)際。在解釋來自其他組織的文件上的分類標(biāo)簽時(shí)應(yīng)該小心，他們對(duì)相同或相似名字的標(biāo)簽可能有不同的定義。對(duì)一項(xiàng)信息（如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或磁盤）的分類進(jìn)行定義以及對(duì)該分類定期評(píng)審的責(zé)任應(yīng)該保留給數(shù)據(jù)的創(chuàng)始者或指定的信息所有人。2.信息的標(biāo)示和處理重要的是依照組織所采納的分類方案，為信息的標(biāo)示和處理定義一套合適的程序。這些程序必須包含以物理或電子形式存在的信息資產(chǎn)。對(duì)每一信息類不，應(yīng)該定義處理程序，包含下列種類的信息處理活動(dòng)：復(fù)制；存儲(chǔ)；以郵件、傳真和電子郵件傳送；以口頭方式，包括移動(dòng)電話、語(yǔ)音郵件、答錄機(jī)傳送；銷毀。含有被劃分為敏感或重要信息之系統(tǒng)的輸出應(yīng)該采納適當(dāng)?shù)姆诸悩?biāo)示（在輸出上）。該標(biāo)示應(yīng)該反映依照上述分類原則建立的規(guī)則所做的分類。應(yīng)考慮的項(xiàng)目包括打印報(bào)告、屏幕顯示、記錄了信息的媒體（磁帶、磁盤、光盤、盒式磁帶），電子信息和文件傳送。物理標(biāo)示一般是最合適的標(biāo)示形式。然而，一些信息資產(chǎn)，如電子形式的文件，就不能進(jìn)行物理標(biāo)示，而需要使用電子方法標(biāo)示。人員安全崗位定義和資源分配的安全目標(biāo)：降低人為錯(cuò)誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險(xiǎn)。應(yīng)該在新職員聘用時(shí)期就提出安全責(zé)任問題，包括在聘用合同中，同時(shí)在職員的雇傭期間進(jìn)行監(jiān)督。應(yīng)該對(duì)可能的新職員進(jìn)行充分的篩選，尤其是從事敏感工作的職員。所有雇員以及信息處理設(shè)施的第三方用戶都應(yīng)該簽署保密（不泄密）協(xié)議。1.崗位責(zé)任中的安全安全任務(wù)和責(zé)任，如同在組織的信息安全方針中規(guī)定的（見3.1），應(yīng)該在適當(dāng)?shù)那闆r下形成文件。這些任務(wù)和責(zé)任既應(yīng)該包括實(shí)現(xiàn)或保持安全方針的任何一般責(zé)任，又應(yīng)該包括愛護(hù)特定資產(chǎn)或執(zhí)行特定的安全過程或活動(dòng)的任何具體責(zé)任。2.人員選拔及方針對(duì)終身職員的核實(shí)檢查應(yīng)該在招聘時(shí)進(jìn)行。這應(yīng)該包括以下操縱措施：具有令人中意的能力、運(yùn)氣推舉材料，如針對(duì)工作或針對(duì)個(gè)人的；應(yīng)聘者相關(guān)閱歷的檢查（針對(duì)完整性和準(zhǔn)確性）；聲稱的學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)；獨(dú)立的身份檢查（護(hù)照或類似證件）。不管是初次任命依舊提升，當(dāng)一項(xiàng)工作涉及的人員具有訪問信息處理設(shè)備的機(jī)會(huì)，特不是假如這些設(shè)備處理敏感信息，如財(cái)務(wù)信息或高度機(jī)密的信息時(shí)，組織應(yīng)該同樣進(jìn)行信用檢查。關(guān)于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)該定期重復(fù)。關(guān)于合同方和臨時(shí)職員應(yīng)該執(zhí)行相似的篩選程序。若這些人員是由代理機(jī)構(gòu)推舉的，則在與代理機(jī)構(gòu)簽訂的合同中應(yīng)該明確規(guī)定該代理機(jī)構(gòu)的篩選責(zé)任，以及假如沒有完成篩選工作或者假如有理由對(duì)篩選結(jié)果懷疑或擔(dān)心，它們必須遵循的通知程序。治理層應(yīng)該對(duì)有權(quán)訪問敏感系統(tǒng)的新職員和缺乏經(jīng)驗(yàn)的職員的監(jiān)督工作進(jìn)行評(píng)價(jià)。每一名職員的工作都應(yīng)該定期通過一名更高層職員的評(píng)審和批準(zhǔn)程序。各經(jīng)理應(yīng)該意識(shí)到職員的個(gè)人環(huán)境能夠阻礙他們的工作。個(gè)人或財(cái)政問題、行為或生活方式的改變、重復(fù)的缺勤以及壓力或抑郁可能導(dǎo)致欺詐、偷竊、錯(cuò)誤或其他安全隱患。應(yīng)該依據(jù)相應(yīng)權(quán)限范圍內(nèi)適當(dāng)?shù)囊?guī)定來處理這類信息。3.保密協(xié)議保密或不泄密協(xié)議用于告知信息是保密的或秘密的。雇員通常應(yīng)該簽署此類協(xié)議作為他們受雇的先決條件。應(yīng)該要求現(xiàn)存合同（含保密協(xié)議）尚未包括的臨時(shí)職員和第三方用戶在被給予信息處理設(shè)備訪問權(quán)之前簽署一個(gè)保密協(xié)議。在雇用條款或合同發(fā)生變化時(shí)，特不是職員要離開組織或合同將到期時(shí)，應(yīng)該對(duì)保密協(xié)議進(jìn)行評(píng)審。4.雇傭條款和條件雇傭條款和條件應(yīng)該闡明雇員對(duì)信息安全的責(zé)任。適當(dāng)時(shí)，在雇傭結(jié)束后，這些責(zé)任應(yīng)該接著一定的時(shí)刻。應(yīng)該包括假如雇員無視安全要求時(shí)所采取的行動(dòng)。雇員的法律責(zé)任和權(quán)利，如涉及到的版權(quán)法或數(shù)據(jù)愛護(hù)法，應(yīng)該闡明并包括在雇傭條款和條件中。還應(yīng)該包括分類和治理雇主數(shù)據(jù)的責(zé)任。只要適當(dāng)，雇傭條款和條件應(yīng)該講明這些責(zé)任是延伸到組織范圍以外和正常工作時(shí)刻以外，例如在家工作時(shí)。用戶培訓(xùn)目標(biāo)：確保用戶意識(shí)到信息安全的威脅和利害關(guān)系，并具有在日常工作過程中支持組織安全方針的能力。應(yīng)對(duì)用戶進(jìn)行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險(xiǎn)。1.信息安全教育和培訓(xùn)組織中所用職員以及相關(guān)的第三方用戶，應(yīng)該同意適當(dāng)?shù)呐嘤?xùn)同時(shí)依照組織方針和程序的變化定期再培訓(xùn)。這包括安全要求、法律責(zé)任和商業(yè)操縱措施，還包括在被授權(quán)訪問信息或服務(wù)之前正確使用信息處理設(shè)備，如登錄程序、軟件包的使用的培訓(xùn)。安全事故和故障的響應(yīng)目標(biāo)：盡量減小安全事故和故障造成的損失，監(jiān)督此類事件并吸取教訓(xùn)。阻礙安全的事故應(yīng)該盡快通過適當(dāng)?shù)闹卫砬缊?bào)告。應(yīng)使所有雇員和簽約人明白可能阻礙組織資產(chǎn)安全的不同種類事故（安全事故、威脅、弱點(diǎn)或故障）的各種報(bào)告程序。應(yīng)該要求他們以最快的速度把任何看到的或懷疑的事故報(bào)告給指定的聯(lián)絡(luò)人。組織應(yīng)該建立正式的懲處程序以處理破壞安全的職員。為妥當(dāng)?shù)奶幚硎鹿剩斜匾谑鹿拾l(fā)生后盡快收集證據(jù)。1.報(bào)告安全事故安全事故應(yīng)該盡快通過適當(dāng)?shù)闹卫砬缊?bào)告。應(yīng)該建立正式的報(bào)告程序，同時(shí)建立事故響應(yīng)程序，闡明接到事故報(bào)告后所采取的行動(dòng)。應(yīng)該使所有職員和簽約方明白報(bào)告安全事故的程序，并應(yīng)該要求他們盡快報(bào)告此類事故。應(yīng)該在事故被處理完并關(guān)閉后，執(zhí)行適當(dāng)?shù)姆答伋绦颍源_保那些報(bào)告的事故被通告了結(jié)果。這些事故能夠用于用戶安全意識(shí)培訓(xùn)，作為會(huì)發(fā)生什么事故、對(duì)此類事故如何響應(yīng)、以及今后如何幸免的例子。2.報(bào)告安全弱點(diǎn)應(yīng)該要求信息服務(wù)的用戶記錄并報(bào)告任何看到的或懷疑的系統(tǒng)或服務(wù)的安全弱點(diǎn)或?qū)λ鼈兊耐{。他們應(yīng)該盡快把這些問題向他們的治理層或直接向服務(wù)提供者報(bào)告。應(yīng)該告知用戶，在任何情況下，他們都不應(yīng)該試圖驗(yàn)證一個(gè)懷疑的弱點(diǎn)。這是為了愛護(hù)他們自己，因?yàn)闇y(cè)試弱點(diǎn)可能被認(rèn)為是濫用系統(tǒng)。3.報(bào)告軟件故障應(yīng)該建立報(bào)告軟件故障的程序，應(yīng)該考慮以下行為。應(yīng)該記錄下問題的征兆和任何顯示在屏幕上的信息。假如可能，計(jì)算機(jī)應(yīng)被隔離，并停止對(duì)其的使用。應(yīng)該立即警告適當(dāng)?shù)穆?lián)絡(luò)人。假如要檢查設(shè)備，應(yīng)在重新啟用前將其與組織的所有網(wǎng)絡(luò)斷開。軟盤不應(yīng)該用于其他計(jì)算機(jī)。該事故應(yīng)該立即報(bào)告給信息安全經(jīng)理。除非被授權(quán)，用戶不應(yīng)該試圖刪除有疑問的軟件。應(yīng)該由通過適當(dāng)培訓(xùn)并有經(jīng)驗(yàn)的職員執(zhí)行恢復(fù)工作。4.從事故中學(xué)習(xí)應(yīng)該有在用的機(jī)制以使事故和故障的種類、數(shù)量和損失能夠被量化和監(jiān)督。這類信息應(yīng)該用于識(shí)不重發(fā)或有重大阻礙的事故和故障。這能夠表明增強(qiáng)或增加操縱措施的必要性，以限制今后事故發(fā)生的頻率、損壞程度和損失，或者在安全方針評(píng)審過程（見3.1.2）中加以考慮。5.懲處程序針對(duì)違反組織安全方針和程序的雇員應(yīng)該有正式的懲處程序。此程序?qū)Σ蝗豢赡軣o視安全方針的雇員能夠起到威懾作用。另外，應(yīng)該保證正確、公平的處理被懷疑嚴(yán)峻或連續(xù)破壞安全的雇員。物理和環(huán)境安全安全區(qū)域目標(biāo)：防止對(duì)商業(yè)場(chǎng)所和信息未經(jīng)授權(quán)的訪問、破壞和干擾。關(guān)鍵或敏感的商業(yè)信息處理設(shè)備應(yīng)該放置在安全區(qū)域，由規(guī)定的安全防護(hù)帶，適當(dāng)?shù)陌踩琳虾腿肟诓倏v愛護(hù)。這些設(shè)備應(yīng)該被物理愛護(hù)，防止未授權(quán)的訪問、破壞和干擾。所提供的愛護(hù)應(yīng)該和被確認(rèn)的風(fēng)險(xiǎn)相當(dāng)。建議采納清空桌面和清屏方針以降低對(duì)文件、媒體和信息處理設(shè)備的未經(jīng)授權(quán)的訪問或破壞的風(fēng)險(xiǎn)。1.物理安全防護(hù)帶物理愛護(hù)能夠通過在商業(yè)場(chǎng)所和信息處理設(shè)備周圍設(shè)置若干物理屏障達(dá)到。每個(gè)屏障形成一個(gè)安全防護(hù)帶，每個(gè)防護(hù)帶都增強(qiáng)所提供的整體防護(hù)。組織應(yīng)該使用安全防護(hù)帶來愛護(hù)放置信息處理設(shè)備（見7.1.3）的區(qū)域。安全防護(hù)帶是構(gòu)建屏障的東西，如墻、進(jìn)門的操縱卡或有人職守的接待臺(tái)。每個(gè)屏障的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。適當(dāng)情況下應(yīng)該考慮下述原則和操縱措施：安全防護(hù)帶應(yīng)該明確規(guī)定。放置信息處理設(shè)備的建筑物或場(chǎng)所的防護(hù)帶在物理上應(yīng)該是的牢固的（例如，在防護(hù)帶或安全區(qū)域不應(yīng)該有能夠輕易闖入的缺口）。場(chǎng)所的外墻應(yīng)該是牢固的建筑物，所有的外門應(yīng)該被適當(dāng)愛護(hù)，防止未經(jīng)授權(quán)的訪問，如操縱機(jī)制、柵欄、警鈴、鎖等。應(yīng)該設(shè)置有人職守的接待區(qū)或其他方法對(duì)場(chǎng)所或建筑物操縱物理訪問。對(duì)場(chǎng)所和建筑物的訪問應(yīng)該僅限于經(jīng)授權(quán)的人員。如有必要，物理屏障應(yīng)從地板延伸到天花板，以防止未經(jīng)授權(quán)的進(jìn)入和由諸如火災(zāi)和水災(zāi)引起的環(huán)境污染。安全防護(hù)帶的所有防火門應(yīng)具報(bào)警功能并用力關(guān)緊。2.物理進(jìn)入操縱措施安全區(qū)應(yīng)該通過適當(dāng)?shù)倪M(jìn)入操縱措施愛護(hù)，以確保只有經(jīng)授權(quán)的人員能夠進(jìn)入，應(yīng)考慮以下的操縱措施：安全區(qū)的訪問者應(yīng)該被監(jiān)督或經(jīng)批準(zhǔn)，同時(shí)應(yīng)該記錄他們進(jìn)入和離開的日期和時(shí)刻。他們應(yīng)該僅被同意訪問特定的、經(jīng)受權(quán)的目標(biāo)，并應(yīng)該發(fā)給他們關(guān)于安全區(qū)域要求和應(yīng)急程序的講明。對(duì)敏感信息和信息處理設(shè)備的訪問應(yīng)被操縱并僅限于經(jīng)受權(quán)的人。鑒不操縱措施，如帶個(gè)人身份號(hào)碼的掃描卡，應(yīng)被用于所有訪問的授權(quán)和驗(yàn)證。應(yīng)該安全的保持所有訪問的審計(jì)線索。應(yīng)該要求所有職員穿戴某種明顯的身份標(biāo)志，并鼓舞向沒有陪伴的陌生人和沒有穿帶明顯身份標(biāo)志的任何人盤問。對(duì)安全區(qū)的訪問權(quán)應(yīng)該定期評(píng)審并更新。3.愛護(hù)辦公室、房間和設(shè)備的安全安全區(qū)可能是上鎖的辦公室或物理安全防護(hù)帶中的若干房間，這些房間能夠被鎖住同時(shí)可能存放有可上鎖的柜子和保險(xiǎn)箱。安全區(qū)的選擇和設(shè)計(jì)應(yīng)該考慮火災(zāi)、水災(zāi)、爆炸、暴亂和其他形式的自然或人為災(zāi)難造成損害的可能性。還應(yīng)該考慮相關(guān)的衛(wèi)生、安全法規(guī)和標(biāo)準(zhǔn)。同樣應(yīng)該考慮相鄰場(chǎng)所造成的任何安全威脅，如來自其他區(qū)域的水泄漏。應(yīng)該考慮以下操縱措施：關(guān)鍵設(shè)備的放置應(yīng)該幸免被公眾訪問。建筑物應(yīng)該不引人注目，并盡量少的顯示其用途，建筑物內(nèi)外沒有表明存在信息處理活動(dòng)的明顯標(biāo)志。輔助功能和設(shè)備，如影印機(jī)、傳真機(jī)應(yīng)該被妥當(dāng)?shù)姆胖迷诎踩珔^(qū)內(nèi)，以幸免能夠危害信息安全的訪問需求。無人看管時(shí)門窗應(yīng)該上鎖，應(yīng)該考慮對(duì)窗戶，特不是地面層窗戶的外部愛護(hù)。應(yīng)該在所有的外門和能夠出入的窗戶按專業(yè)標(biāo)準(zhǔn)安裝入侵監(jiān)測(cè)系統(tǒng)并定期測(cè)試。無人區(qū)應(yīng)該時(shí)刻保持警戒狀態(tài)。應(yīng)該同樣為其它區(qū)域提供愛護(hù)，如計(jì)算機(jī)房或通信機(jī)房。由組織治理的信息處理設(shè)備應(yīng)該和第三方治理的信息處理設(shè)備從物理上隔離。顯示敏感信息處理設(shè)備位置的目錄和內(nèi)部電話本不應(yīng)該輕易地被公眾獵取。危險(xiǎn)或易燃物品應(yīng)該安全地保存在與安全區(qū)保持安全距離的地點(diǎn)。大宗消耗品如文具除非必要否則不應(yīng)該存放在安全區(qū)。備用設(shè)備和備份媒體的放置應(yīng)該與主場(chǎng)地保持安全的距離，以幸免因主場(chǎng)地的災(zāi)難造成毀壞。4.在安全區(qū)內(nèi)工作可能需要額外的操縱措施和指導(dǎo)原則來加強(qiáng)安全區(qū)域的安全性。這包括對(duì)在安全區(qū)內(nèi)工作的職員和第三方人員以及發(fā)生在安全區(qū)的第三方活動(dòng)的操縱措施。應(yīng)該考慮以下操縱措施：只有在有必要明白的情況下，職員才應(yīng)該明白安全區(qū)的存在或其內(nèi)的活動(dòng)。為安全緣故和防止產(chǎn)生惡意活動(dòng)的機(jī)會(huì)，在安全區(qū)內(nèi)應(yīng)該幸免無人監(jiān)督的工作。空閑的安全區(qū)應(yīng)該上鎖并定期檢查。第三方服務(wù)支持人員只有在必要時(shí)才應(yīng)該被同意有限制的訪問安全區(qū)或敏感信息處理設(shè)備。這種訪問應(yīng)該通過授權(quán)并同意監(jiān)督。在安全防護(hù)帶內(nèi)具有不同安全要求的區(qū)域之間可能需要操縱物理訪問的額外的屏障和防護(hù)帶。除非經(jīng)授權(quán)，不應(yīng)該同意使用照相、錄像、錄音或其他記錄設(shè)備。5.隔離交接區(qū)交接區(qū)應(yīng)予以操縱，如有可能，與信息處理設(shè)備隔離，以幸免未經(jīng)授權(quán)的訪問。此類區(qū)域的安全要求應(yīng)該由風(fēng)險(xiǎn)評(píng)估決定。應(yīng)該考慮以下操縱措施：從建筑物外對(duì)接貨區(qū)的訪問應(yīng)限于經(jīng)確認(rèn)和授權(quán)的人。應(yīng)將接貨區(qū)設(shè)計(jì)成送貨員能夠卸貨卻無法得到訪問建筑物其它部分的權(quán)利。當(dāng)接待區(qū)的內(nèi)門打開時(shí)，外門應(yīng)該是安全的。進(jìn)入的物品在從接貨區(qū)轉(zhuǎn)移到使用地點(diǎn)之前應(yīng)該同意檢查，以防止?jié)撛诘奈ｋU(xiǎn)。假如適當(dāng)，進(jìn)入的物品應(yīng)在入口進(jìn)行登記。設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或泄漏以及商業(yè)活動(dòng)的中斷。應(yīng)該在物理上愛護(hù)設(shè)備免受安全威脅和環(huán)境危害。有必要愛護(hù)設(shè)備（包括場(chǎng)所外使用的）以降低對(duì)數(shù)據(jù)未經(jīng)受權(quán)訪問的風(fēng)險(xiǎn)以及防止丟失或損壞。還應(yīng)該考慮設(shè)備的放置和布局。專門的操縱措施可能是必要的，以防止危害或未經(jīng)授權(quán)的訪問，并愛護(hù)輔助設(shè)施，如電力和電纜設(shè)施。1.設(shè)備放置和愛護(hù)應(yīng)該放置或愛護(hù)設(shè)備以降低環(huán)境威脅和危害造成的風(fēng)險(xiǎn)，以及未經(jīng)受權(quán)訪問的機(jī)會(huì)。應(yīng)該考慮以下操縱措施：設(shè)備的放置應(yīng)盡量減少對(duì)工作區(qū)不必要的訪問。處理敏感數(shù)據(jù)的信息處理和存儲(chǔ)設(shè)備應(yīng)該被妥善放置以降低在使用中被忽視的風(fēng)險(xiǎn)。需要專門愛護(hù)的物品應(yīng)隔離放置，以降低所需的總體愛護(hù)等級(jí)。應(yīng)該采取措施以盡量降低潛在威脅的風(fēng)險(xiǎn)，包括：偷竊；火災(zāi)；爆炸；吸煙；水（或供水故障）；灰塵；震動(dòng)；化學(xué)反應(yīng)；電源干擾；電磁輻射。e)組織應(yīng)該考慮在信息處理設(shè)備附近吃東西、飲水和吸煙的方針。關(guān)于可能對(duì)信息處理設(shè)備的運(yùn)行有負(fù)面阻礙的環(huán)境條件應(yīng)該進(jìn)行監(jiān)控。專門的愛護(hù)方法，如鍵盤愛護(hù)膜應(yīng)該考慮配備在工業(yè)環(huán)境下。應(yīng)該考慮發(fā)生在臨近區(qū)域的災(zāi)難的阻礙，如：臨近建筑物著火，天花板漏水，低于地平面的地面滲水或臨街爆炸。2.電力供應(yīng)應(yīng)該愛護(hù)設(shè)備以防電力中斷和其他與電有關(guān)的異態(tài)。應(yīng)該依照設(shè)備制造商的講明提供合適的電力。實(shí)現(xiàn)不間斷電力的可選措施包括：多條線路供電以幸免單點(diǎn)故障；不間斷電源（UPS）；備用發(fā)電機(jī)。關(guān)于支持關(guān)鍵商業(yè)業(yè)務(wù)的設(shè)備，推舉使用不間斷電源（UPS），來保證設(shè)備的正常關(guān)機(jī)或持續(xù)運(yùn)轉(zhuǎn)。應(yīng)急打算應(yīng)該包括在UPS失效時(shí)所采取的行動(dòng)。UPS設(shè)備應(yīng)該定期檢查，以確保其具有足夠的電量，并按照制造商的建議測(cè)試。在長(zhǎng)時(shí)刻停電的情況下，假如業(yè)務(wù)要接著，應(yīng)該考慮備用發(fā)電機(jī)。安裝之后，發(fā)電機(jī)應(yīng)該按照制造商的講明定期測(cè)試。應(yīng)該有足夠的燃料供應(yīng)，以確保發(fā)電機(jī)能長(zhǎng)時(shí)刻工作。另外，緊急電源開關(guān)應(yīng)位于設(shè)備室的緊急出口附近，以便在緊急情況下迅速切斷電源。在主電源發(fā)生故障時(shí)，應(yīng)該提供應(yīng)急照明。應(yīng)該對(duì)所有建筑物應(yīng)用雷電防護(hù)，并在所有外部通信線路上安裝雷電防護(hù)過濾器。3.電纜安全應(yīng)該愛護(hù)傳送數(shù)據(jù)或支持信息服務(wù)的電力和通信電纜，防止竊聽或損壞。應(yīng)該考慮以下操縱措施：如有可能，接入信息處理設(shè)備的電源和通信線路應(yīng)該鋪設(shè)在地下，或者采取足夠的可替代的愛護(hù)。應(yīng)該愛護(hù)網(wǎng)絡(luò)電纜以防未經(jīng)授權(quán)的竊聽或損壞，例如，通過使用電纜管道和幸免通過公共區(qū)域。電力電纜應(yīng)該與通信電纜隔離，以防干擾。關(guān)于敏感或關(guān)鍵系統(tǒng)，另外考慮的操縱措施包括：在監(jiān)測(cè)點(diǎn)和端點(diǎn)處安裝裝甲管道以及上鎖房間或盒子；使用可替換的路由選擇或傳輸媒體；使用光纖電纜；啟用對(duì)未經(jīng)授權(quán)而聯(lián)接在電纜上的設(shè)備的掃描；4.設(shè)備維護(hù)應(yīng)該正確的維護(hù)維護(hù)以確保其持續(xù)的可用性和完整性。應(yīng)該考慮以下操縱措施。設(shè)備應(yīng)該按照提供商推舉的服務(wù)周期和規(guī)定來進(jìn)行維護(hù)。只有經(jīng)授權(quán)的維護(hù)人員才能修理和保養(yǎng)設(shè)備。應(yīng)該保持所有懷疑的和確實(shí)的故障以及所有預(yù)防和糾正措施的紀(jì)錄。在將設(shè)備送到組織外維護(hù)時(shí)，應(yīng)該采取適當(dāng)?shù)牟倏v措施（見7.2.6關(guān)于刪除、消磁和重寫數(shù)據(jù)）。應(yīng)該遵守保險(xiǎn)單規(guī)定的所有要求。5.場(chǎng)所外設(shè)備的安全不管所有權(quán)如何，任何在組織場(chǎng)所外用于信息處理的設(shè)備應(yīng)該經(jīng)治理層授權(quán)?？紤]到在組織外工作的風(fēng)險(xiǎn)，所提供的愛護(hù)應(yīng)該等同于組織內(nèi)相同用途的設(shè)備。信息處理設(shè)備包括用于家庭工作或從正常工作地點(diǎn)帶出的所有形式的個(gè)人電腦、檔案夾、移動(dòng)電話、文件或其他的物品。應(yīng)該考慮以下指導(dǎo)原則：從組織帶出的設(shè)備和媒體不應(yīng)留在公共場(chǎng)所無人看管。在旅行時(shí)，移動(dòng)計(jì)算機(jī)應(yīng)該如同手提袋一樣加以攜帶并在可能時(shí)加以掩飾。應(yīng)該始終遵守生產(chǎn)商對(duì)設(shè)備愛護(hù)的講明，如愛護(hù)設(shè)備不暴露于強(qiáng)電磁場(chǎng)。家庭工作的操縱措施應(yīng)該由風(fēng)險(xiǎn)評(píng)估確定，并應(yīng)該采取合適的操縱措施，如可上鎖的文件柜、清空桌面方針以及對(duì)計(jì)算機(jī)的訪問操縱。為愛護(hù)場(chǎng)所外的設(shè)備，應(yīng)該投保足值的保險(xiǎn)。如損壞、盜竊和竊聽的安全風(fēng)險(xiǎn)在不同地點(diǎn)變化專門大，應(yīng)該在決定最合適的操縱措施時(shí)加以考慮。關(guān)于愛護(hù)移動(dòng)設(shè)備的其他方面的更多信息可參見9.8.16.安全的處置或再啟用設(shè)備草率的處置或再啟用設(shè)備能夠泄漏信息。存有敏感信息的存儲(chǔ)設(shè)備應(yīng)該從物理上被銷毀或安全地重寫，而不是使用標(biāo)準(zhǔn)的刪除功能。帶有存儲(chǔ)媒體（如固定硬盤）的所有設(shè)備應(yīng)該被檢查以確保任何敏感數(shù)據(jù)和授權(quán)軟件在處置前已被清除或重寫。被損壞的存有敏感數(shù)據(jù)的儲(chǔ)存設(shè)備，需要通過風(fēng)險(xiǎn)評(píng)估以決定這些設(shè)備是否應(yīng)該被銷毀、修理或丟棄。常規(guī)操縱措施目標(biāo)：防止信息和信息處理設(shè)備的損壞或被盜。應(yīng)該愛護(hù)信息和信息處理設(shè)備以防泄漏給未經(jīng)授權(quán)的人，被其修改或偷竊，操縱措施應(yīng)該到位以盡量減少損失或損壞。在下章節(jié)中考慮了處理和存儲(chǔ)程序。1.清空桌面和清屏方針組織應(yīng)考慮對(duì)文件及可攜帶的儲(chǔ)存媒體采取清空桌面方針，對(duì)信息處理設(shè)備采取清屏方針，以降低在正常工作時(shí)刻內(nèi)外信息未經(jīng)授權(quán)的訪問，丟失和損壞的風(fēng)險(xiǎn)。該方針應(yīng)考慮信息安全分類（見5.2），相應(yīng)的風(fēng)險(xiǎn)和組織文化的各方面。留在桌面上的信息也有可能被諸如火災(zāi)、水災(zāi)或爆炸的災(zāi)難損壞或銷毀。應(yīng)考慮下述操縱措施：適當(dāng)情況下，文件和計(jì)算機(jī)媒體在不用時(shí)，特不在工作時(shí)刻之外，應(yīng)存放在適當(dāng)?shù)纳湘i的柜子和/或其他形式的安全設(shè)備中。敏感或關(guān)鍵商業(yè)信息，在不使用尤其是辦公室無人時(shí)應(yīng)鎖起來（最好是在防火保險(xiǎn)柜或文件柜中）。個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端和打印機(jī)，在無人看管時(shí)不應(yīng)處于登錄狀態(tài)。應(yīng)在不用時(shí)采納鍵盤鎖、口令或其他的操縱措施加以愛護(hù)。收發(fā)信件的地點(diǎn)和無人看管的傳真機(jī)和電傳機(jī)應(yīng)該加以愛護(hù)。在正常工作時(shí)刻之外應(yīng)將復(fù)印機(jī)加鎖（或者以其他方式防止未經(jīng)授權(quán)的使用）。敏感或機(jī)密信息，打印完后，應(yīng)該立即從打印機(jī)清除。2.資產(chǎn)的遷移設(shè)備、信息或軟件未經(jīng)授權(quán)不應(yīng)帶離原場(chǎng)所。必要和合適的情況下，設(shè)備應(yīng)注銷并在帶回時(shí)再注冊(cè)。應(yīng)進(jìn)行抽查，以檢查財(cái)產(chǎn)非經(jīng)受權(quán)的移動(dòng)。應(yīng)使個(gè)人明白將抽樣檢查。通信和操作治理操作程序和責(zé)任目標(biāo)：確保對(duì)信息處理設(shè)備正確和安全的操作。應(yīng)該建立所有信息處理設(shè)備治理和操作的責(zé)任和程序。包括制訂適當(dāng)?shù)牟僮髦改虾褪鹿史磻?yīng)程序。適當(dāng)情況下應(yīng)實(shí)施責(zé)任劃分，以降低疏忽或有意濫用系統(tǒng)的風(fēng)險(xiǎn)。1.文件化操作程序被安全方針確定的操作程序應(yīng)該文件化并保持。應(yīng)將操作程序作為正式文件對(duì)待，經(jīng)治理層授權(quán)后可修改。程序應(yīng)該規(guī)定每項(xiàng)工作詳細(xì)的執(zhí)行指導(dǎo)，包括：信息的加工和處理；日程要求，包括和其他系統(tǒng)的依存關(guān)系，最早的工作開始時(shí)刻和最晚的工作完成時(shí)刻；對(duì)在工作執(zhí)行過程中出現(xiàn)的錯(cuò)誤或其他意外情況的處理指導(dǎo)，包括對(duì)系統(tǒng)功能使用的限制；在發(fā)生意外的操作或技術(shù)困難時(shí)的支持聯(lián)絡(luò)；專門輸出處理指導(dǎo)，諸如專門文具的使用或保密輸出的治理，包括失敗作業(yè)輸出的安全處理程序；在系統(tǒng)失效時(shí)使用的系統(tǒng)重啟和恢復(fù)程序；與信息處理和通信設(shè)備有關(guān)的系統(tǒng)日常治理活動(dòng)也應(yīng)預(yù)備文件化的程序。如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序、備份、設(shè)備維護(hù)、計(jì)算機(jī)房和信件處理的治理和安全。2.操作的變更操縱應(yīng)該操縱信息處理設(shè)備和系統(tǒng)的改變。對(duì)信息處理設(shè)備和系統(tǒng)變化的操縱不夠是系統(tǒng)或安全故障的通常緣故。應(yīng)該制訂正式的治理責(zé)任和程序以確保滿足對(duì)設(shè)備、軟件或程序的所有改變的操縱。對(duì)操作程序應(yīng)該進(jìn)行嚴(yán)格的變更操縱。在程序變更時(shí)，應(yīng)該保留包括所有相關(guān)信息的審計(jì)日志。操作環(huán)境的變化能夠阻礙到應(yīng)用程序?？尚械那闆r下，應(yīng)把操作和應(yīng)用的變更操縱程序整合起來。特不應(yīng)考慮以下操縱措施：重大變更的識(shí)不和記錄；評(píng)估此類變更的潛在阻礙；所建議更改的正式審批程序；變更細(xì)節(jié)通知給所有相關(guān)人員；確定中止和恢復(fù)不成功變更的責(zé)任的程序。3.事故治理流程應(yīng)建立事故治理責(zé)任和流程來確保對(duì)安全事故快速、有效和有序的響應(yīng)（見6.3.1）。應(yīng)考慮以下的操縱措施：針對(duì)所有潛在的安全事故類型，建立響應(yīng)程序，包括：信息系統(tǒng)故障和喪失服務(wù)；拒絕服務(wù)；不完整或不準(zhǔn)確的商業(yè)數(shù)據(jù)導(dǎo)致的錯(cuò)誤；保密性的破壞；除正常的應(yīng)急打算（為盡快的恢復(fù)系統(tǒng)或服務(wù)而設(shè)計(jì)），程序還應(yīng)包括（見6.3.4）：分析和識(shí)不事故緣故；如有必要，設(shè)計(jì)和實(shí)施補(bǔ)救措施以防止事故的重發(fā)；收集審計(jì)記錄和類似證據(jù)；與受到事故阻礙的人，或恢復(fù)工作涉及到的人溝通；向有關(guān)當(dāng)局匯報(bào)情況。假如適當(dāng)，應(yīng)該收集和安全的保管審計(jì)記錄和相似的證據(jù)，以用于：內(nèi)部問題分析；為可能的違反合同、違反法規(guī)要求或引起的民事或刑事訴訟（如由于濫用計(jì)算機(jī)或違反數(shù)據(jù)愛護(hù)法）作為相關(guān)證據(jù)；與軟件和服務(wù)提供商商談賠償問題。對(duì)安全破壞的恢復(fù)工作以及系統(tǒng)故障的糾正工作，應(yīng)進(jìn)行慎重和正式的操縱。此程序應(yīng)確保：僅同意經(jīng)明確識(shí)不和授權(quán)的職員訪問運(yùn)行中的系統(tǒng)和數(shù)據(jù)；詳細(xì)記錄所采取的所有緊急行動(dòng)；應(yīng)急行動(dòng)應(yīng)報(bào)告給治理層，并以有序的方式評(píng)審；對(duì)操縱措施和商業(yè)系統(tǒng)完整性的確認(rèn)應(yīng)盡量幸免延遲。4.職責(zé)分開職責(zé)分開是降低意外或有意濫用系統(tǒng)的風(fēng)險(xiǎn)的一種方法。為減小未經(jīng)授權(quán)的修改或?yàn)E用信息或服務(wù)的機(jī)會(huì)，應(yīng)考慮分開治理或執(zhí)行特定職責(zé)或責(zé)任領(lǐng)域。小型組織可能發(fā)覺這種操縱方法難以做到，然而只要可能并可行，該原則應(yīng)該被應(yīng)用。如劃分工作比較困難，應(yīng)考慮其他的操縱措施，如行動(dòng)監(jiān)視、審計(jì)跟蹤和治理監(jiān)督。保持安全審計(jì)的獨(dú)立性專門重要。應(yīng)該注意不能有人在獨(dú)立責(zé)任領(lǐng)域?qū)嵤┰p騙而不被發(fā)覺。事件的提出和批準(zhǔn)應(yīng)該分開。應(yīng)考慮如下的操縱措施：活動(dòng)分開專門重要，現(xiàn)在需要相互勾結(jié)才能進(jìn)行欺詐，如提高訂單價(jià)格，和核對(duì)所收到的物資。如有相互勾結(jié)的危險(xiǎn)，則需設(shè)計(jì)操縱措施以包括兩個(gè)或更多的人，由此降低合謀的可能性。5.開發(fā)和操作設(shè)備的隔離隔離開發(fā)、測(cè)試和操作設(shè)備對(duì)實(shí)現(xiàn)分離所涉及的任務(wù)是重要的。應(yīng)該制訂并文件化軟件從開發(fā)轉(zhuǎn)入操作狀態(tài)的規(guī)則。開發(fā)和測(cè)試行為會(huì)引起嚴(yán)峻的問題，如文件或系統(tǒng)環(huán)境的不希望有的修改或系統(tǒng)故障。應(yīng)考慮為防止操作問題在操作與測(cè)試和開發(fā)環(huán)境之間所必要的分離級(jí)不。在開發(fā)和測(cè)試功能之間也應(yīng)實(shí)施類似的隔離。在這種情況下，有必要保持一個(gè)已知的并穩(wěn)定的環(huán)境，在此環(huán)境中執(zhí)行有意義的測(cè)試和防止不適當(dāng)?shù)拈_發(fā)者的訪問。當(dāng)開發(fā)和測(cè)試人員有權(quán)訪問操作系統(tǒng)和其信息時(shí)，他們有可能引入未經(jīng)授權(quán)和未經(jīng)測(cè)試的程序代碼或改變操作數(shù)據(jù)。在某些系統(tǒng)中，這種能力能夠被濫用而進(jìn)行欺詐、或引入未經(jīng)測(cè)試或惡意的代碼。未經(jīng)測(cè)試的或惡意的代碼能引起嚴(yán)峻的操作問題。開發(fā)者和測(cè)試人員還會(huì)給操作信息的保密性造成威脅。假如開發(fā)和測(cè)試活動(dòng)共享相同的計(jì)算環(huán)境，能夠造成軟件和信息的意外改變。因此為降低意外改變或未經(jīng)授權(quán)的訪問操作軟件和商業(yè)數(shù)據(jù)的風(fēng)險(xiǎn)，隔離開發(fā)、測(cè)試和操作設(shè)備是值得的。應(yīng)考慮如下的操縱措施：如有可能，開發(fā)和操作軟件應(yīng)該運(yùn)行在不同的計(jì)算機(jī)處理器上，或是在不同的域中或目錄下。開發(fā)和測(cè)試活動(dòng)應(yīng)盡可能的分離遠(yuǎn)。編譯程序、編輯程序和其他的系統(tǒng)應(yīng)用程序在不需要時(shí)不應(yīng)該能從操作系統(tǒng)訪問。對(duì)操作系統(tǒng)和測(cè)試系統(tǒng)應(yīng)使用不同的登錄程序，以降低錯(cuò)誤的風(fēng)險(xiǎn)。應(yīng)該鼓舞用戶對(duì)這些系統(tǒng)使用不同的密碼，菜單應(yīng)顯示適當(dāng)?shù)淖R(shí)不信息。只有制定了關(guān)于分發(fā)口令以支持操作系統(tǒng)的操縱措施后，開發(fā)人員才有權(quán)獲得操作密碼。操縱措施應(yīng)確保密碼在使用后被更改。6.外部設(shè)備治理由外部合同方來治理信息處理設(shè)備能夠引起潛在的安全破壞，如數(shù)據(jù)在承包商一方的被泄密、損失或遺失的可能性。應(yīng)該提早識(shí)不這些風(fēng)險(xiǎn)，與合同方商定適當(dāng)?shù)牟倏v措施并寫入合同（對(duì)涉及訪問組織設(shè)備的第三方的合同以及委外合同的原則見4.2.2和4.3）。應(yīng)該提出的專門的問題有：識(shí)不最好自身保留的敏感或關(guān)鍵的應(yīng)用軟件；獲得商業(yè)應(yīng)用軟件所有人的許可；可持續(xù)商業(yè)打算的隱含內(nèi)容；需要詳細(xì)講明的安全標(biāo)準(zhǔn)和衡量符合性的程序；有效監(jiān)督所有相關(guān)安全活動(dòng)的具體責(zé)任和程序的分配；匯報(bào)和處理安全事件的責(zé)任和程序。系統(tǒng)規(guī)劃和接收目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低。需要事先打算和預(yù)備以確保足夠的容量和資源可用。應(yīng)對(duì)以后容量需求做出預(yù)測(cè)，以降低系統(tǒng)超載的風(fēng)險(xiǎn)。應(yīng)建立新系統(tǒng)的操作要求，在驗(yàn)收和使用前文件化并測(cè)試。1.容量規(guī)劃應(yīng)監(jiān)控所需的容量并預(yù)測(cè)以后的容量需求，以確保有足夠的處理能力和存儲(chǔ)能力可用。這些預(yù)測(cè)應(yīng)當(dāng)考慮新業(yè)務(wù)和系統(tǒng)的需求，以及組織在信息處理方面當(dāng)前和以后的趨勢(shì)。大型計(jì)算機(jī)需要特不注意，因?yàn)楂C取新的容量需要更大的成本和更長(zhǎng)的交付時(shí)刻。大型業(yè)務(wù)的治理者應(yīng)監(jiān)控關(guān)鍵系統(tǒng)資源的使用，包括處理器、主存儲(chǔ)器、文件存儲(chǔ)器、打印機(jī)和其他輸出設(shè)備以及通信系統(tǒng)。治理人應(yīng)該確認(rèn)使用上的趨勢(shì)，特不是與商業(yè)應(yīng)用程序或治理信息系統(tǒng)工具相關(guān)時(shí)。治理者應(yīng)使用此信息來識(shí)不和幸免可能對(duì)系統(tǒng)安全或用戶服務(wù)造成威脅的潛在瓶頸，并設(shè)計(jì)適當(dāng)?shù)难a(bǔ)救措施。2.系統(tǒng)的接收應(yīng)該制訂新信息系統(tǒng)、升級(jí)和新版本的接收標(biāo)準(zhǔn)，并在接收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。治理者應(yīng)確保新系統(tǒng)的接收要求和標(biāo)準(zhǔn)被清晰定義，同意，文件化并測(cè)試。應(yīng)考慮以下的操縱措施：性能和計(jì)算機(jī)容量的要求；錯(cuò)誤恢復(fù)和重啟程序，以及應(yīng)急打算；預(yù)備和測(cè)試日常的操作程序以達(dá)到規(guī)定的標(biāo)準(zhǔn)；實(shí)施業(yè)經(jīng)同意的安全操縱措施；有效的指南程序；商業(yè)持續(xù)性安排，如11.1要求的；新系統(tǒng)的安裝可不能給現(xiàn)有系統(tǒng)帶來負(fù)面阻礙的證據(jù)，特不是在處理高峰時(shí)刻，如月末；差不多考慮了新系統(tǒng)對(duì)組織的整體安全產(chǎn)生的阻礙的證據(jù)；操作和使用新系統(tǒng)的培訓(xùn)；關(guān)于要緊的新的開發(fā)工作，應(yīng)該在開發(fā)過程的所有時(shí)期咨詢操作人員和用戶，以確保所提出的系統(tǒng)設(shè)計(jì)方案的操作效率。應(yīng)該實(shí)施適當(dāng)?shù)臏y(cè)試來確認(rèn)所有的接收標(biāo)準(zhǔn)已被滿足。惡意軟件的防護(hù)目標(biāo)：愛護(hù)軟件和信息的完整性。需要有預(yù)防措施來防止和檢測(cè)惡意軟件的引入。軟件和信息處理設(shè)備易受引入的惡意軟件的攻擊，諸如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬以及邏輯炸彈。用戶應(yīng)該意識(shí)到未經(jīng)授權(quán)或惡意軟件的危害，在適當(dāng)情況下，治理人員應(yīng)該采取專門的操縱措施來監(jiān)測(cè)和防止此類惡意軟件的引入。特不是，采取預(yù)防措施來監(jiān)測(cè)和防止個(gè)人計(jì)算機(jī)上的計(jì)算機(jī)病毒是必需的。1.惡意軟件的操縱措施應(yīng)實(shí)施防范惡意軟件的監(jiān)測(cè)和預(yù)防措施并進(jìn)行適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn)。防范惡意軟件應(yīng)基于安全意識(shí)，適當(dāng)?shù)南到y(tǒng)訪問操縱和變更治理操縱。應(yīng)考慮如下操縱措施：制訂正式的方針來要求遵守軟件許可協(xié)議并禁止使用未經(jīng)授權(quán)的軟件（見）；制訂正式的方針以防范與從外部網(wǎng)絡(luò)或通過外部網(wǎng)絡(luò)或從任何其他媒體上取得文件和軟件相關(guān)的風(fēng)險(xiǎn)，指出應(yīng)該采取的愛護(hù)措施（見10.5，特不是10.5.4和10.5.5）；安裝和定期更新防病毒監(jiān)測(cè)和修復(fù)軟件以掃描計(jì)算機(jī)和媒體，不管作為防備措施或是例行程序；定期檢查支持關(guān)鍵商業(yè)過程的系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容，對(duì)出現(xiàn)的任何未經(jīng)批準(zhǔn)的文件或未經(jīng)授權(quán)的修改應(yīng)進(jìn)行正式的調(diào)查；關(guān)于電子媒體上來源不明或來源未經(jīng)授權(quán)的文件，或者從不可靠的網(wǎng)絡(luò)上收到的文件，在使用之前進(jìn)行病毒檢查；對(duì)任何電子郵件的附件和下載內(nèi)容，在使用之前進(jìn)行惡意軟件檢查。此類檢查可在不同地點(diǎn)進(jìn)行，如電子郵件服務(wù)器，桌上電腦或在進(jìn)入組織的網(wǎng)絡(luò)時(shí)；關(guān)于處理系統(tǒng)中病毒防范的治理程序和責(zé)任，如何在其使用中培訓(xùn)，如何報(bào)告并從病毒攻擊中恢復(fù)（見6.3和8.1.3）；用于病毒攻擊后恢復(fù)工作的持續(xù)商業(yè)打算，包括所有必需的數(shù)據(jù)和軟件的備份以及恢復(fù)安排（見11款）；建立驗(yàn)證和所有惡意軟件相關(guān)的信息的程序，確保警告公報(bào)的準(zhǔn)確性和有用性。治理者應(yīng)確保資料的來源是可靠的，如有聲望的雜志、可信賴的網(wǎng)站或防病毒軟件提供商，以區(qū)分惡作劇和真正的病毒。職員應(yīng)該明白惡作劇的問題并在收到它們時(shí)明白如何處理。這些操縱措施關(guān)于支持大批工作站的網(wǎng)絡(luò)文件服務(wù)器尤其重要。內(nèi)務(wù)處理目標(biāo)：保持信息處理和通信服務(wù)的完整性和可用性。應(yīng)建立常規(guī)程序以實(shí)施通過批準(zhǔn)的備份策略，對(duì)數(shù)據(jù)作備份，演練備份資料的及時(shí)恢復(fù)，記錄登錄和登錄失敗事件，并在適當(dāng)?shù)那闆r下，監(jiān)控設(shè)備環(huán)境。1.信息備份重要的商業(yè)信息和軟件應(yīng)該定期備份。應(yīng)該提供足夠的備份設(shè)備以確保所有重要的商業(yè)信息和軟件能夠在發(fā)生災(zāi)難或媒體故障后迅速恢復(fù)。不同系統(tǒng)的備份安排應(yīng)該定期的進(jìn)行測(cè)試，以確保能夠滿足持續(xù)性運(yùn)營(yíng)打算的要求。應(yīng)考慮如下的操縱措施：備份信息的最低級(jí)不、備份的準(zhǔn)確的和完整的記錄和所記錄的恢復(fù)流程都應(yīng)該保存在足夠遠(yuǎn)的地點(diǎn)，能夠幸免從主場(chǎng)發(fā)生災(zāi)難所帶來的損失。對(duì)重要的商業(yè)應(yīng)用軟件的備份信息至少應(yīng)該保留三代。對(duì)備份信息的物理和環(huán)境的愛護(hù)級(jí)不應(yīng)和主場(chǎng)所應(yīng)用的標(biāo)準(zhǔn)相一致。對(duì)主場(chǎng)的媒體所實(shí)施的操縱措施要涵蓋到備份地點(diǎn)。如可行，要對(duì)備份媒體進(jìn)行定期的測(cè)試，以確保必要時(shí)，可用于緊急備用。備份流程應(yīng)定期的進(jìn)行檢查和測(cè)試，以確保其有效性，并確保在恢復(fù)工作的操作流程中能夠在規(guī)定的時(shí)刻內(nèi)完成工作規(guī)定重要的商業(yè)信息的保留期以及永久保存的文檔復(fù)件的要求。（見12.1.3）。2.操作者日志操作人員應(yīng)該保留其行為日志。日志應(yīng)包括：系統(tǒng)啟動(dòng)和關(guān)機(jī)時(shí)刻系統(tǒng)錯(cuò)誤和所采取的修正行為對(duì)數(shù)據(jù)文件和計(jì)算機(jī)輸出的正確處理的確認(rèn)登錄人員的名字對(duì)操作人員日志應(yīng)按操作流程進(jìn)行定期的、獨(dú)立的檢查。3.差錯(cuò)記錄對(duì)差錯(cuò)應(yīng)該進(jìn)行匯報(bào)并采取修正行動(dòng)。應(yīng)該記錄用戶所匯報(bào)的信息處理中或通信系統(tǒng)中的差錯(cuò)。對(duì)如何處理匯報(bào)上來的差錯(cuò)應(yīng)有明確的規(guī)則：檢查差錯(cuò)記錄，以保證差錯(cuò)被圓滿解決；檢查修正記錄，以確保沒有危害到操縱措施，同時(shí)所采取的行動(dòng)是通過充分授權(quán)的。網(wǎng)絡(luò)治理目標(biāo)：確保對(duì)網(wǎng)絡(luò)中信息和支持性的基礎(chǔ)設(shè)施的愛護(hù)。對(duì)跨組織邊界的網(wǎng)絡(luò)的安全治理需要格外注意。關(guān)于通過公共網(wǎng)絡(luò)的敏感信息要有額外的操縱措施。1.網(wǎng)絡(luò)操縱為實(shí)現(xiàn)和維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全性，需要有一套操縱措施。由網(wǎng)絡(luò)治理員實(shí)施操縱措施，確保網(wǎng)絡(luò)中數(shù)據(jù)的安全，并防止相連的服務(wù)受到未經(jīng)授權(quán)的訪問。特不地，應(yīng)考慮如下的操縱措施：在適當(dāng)情況下，對(duì)網(wǎng)絡(luò)的操作責(zé)任應(yīng)和計(jì)算機(jī)操作化分開。要建立對(duì)遠(yuǎn)程設(shè)備（包括用戶區(qū)的設(shè)備）的治理責(zé)任和流程。如有必要，應(yīng)建立專門的操縱措施來確保通過公共網(wǎng)絡(luò)的數(shù)據(jù)的保密性和完整性，并愛護(hù)相連接的系統(tǒng)。還需要專門的操縱措施來維護(hù)網(wǎng)絡(luò)服務(wù)和所連接的計(jì)算機(jī)的可用性。治理行動(dòng)要緊密協(xié)作，以優(yōu)化對(duì)業(yè)務(wù)所提供的服務(wù)，并確保對(duì)信息處理基礎(chǔ)設(shè)施的操縱措施得以始終如一的進(jìn)行。媒體的處理和安全目標(biāo)：防止資產(chǎn)損失和商業(yè)活動(dòng)的中斷對(duì)媒體應(yīng)加以治理和基于物理上的愛護(hù)。應(yīng)建立合適的操作流程來愛護(hù)文檔、計(jì)算機(jī)媒體（磁帶、軟盤、盒式磁帶）、輸入/輸出數(shù)據(jù)和系統(tǒng)文件免受損壞、盜用和未授權(quán)的訪問。1.可移動(dòng)的計(jì)算機(jī)媒體的治理應(yīng)有流程來治理可移動(dòng)的計(jì)算機(jī)媒體，如磁帶、軟盤、盒式磁帶和打印的文件。應(yīng)考慮如下的操縱措施：對(duì)從組織中換下來的可再用媒體上的往常的內(nèi)容，如不再需要，應(yīng)刪除掉。從組織中換下來的任何媒體都要通過批準(zhǔn)，并應(yīng)保留記錄和審核跟蹤記錄。所有的媒體應(yīng)該按照制造商的指示保存在安全的環(huán)境中。所有的流程和授權(quán)級(jí)不都要進(jìn)行清晰的記錄。2.媒體的處理媒體作廢后，應(yīng)當(dāng)對(duì)其進(jìn)行安全處理。敏感信息可能通過對(duì)媒體的草率處理而泄漏出去。因此，應(yīng)當(dāng)建立正規(guī)的媒體安全處理流程以將此風(fēng)險(xiǎn)將至最低。應(yīng)當(dāng)考慮下面的操縱措施