信息安全管理规范
信息安全管理体系规范(Part I)
(信息安全管理实施细则)
目录
前言
一、
二、
三、
信息安全范围 术语与定义 安全政策 3.1 信息安全政策
四、 安全组织
4.1
4.2
4.3 信息安全基础架构 外部存取的安全管理 委外资源管理
五、 资产分类与管理
5.1
5.2 资产管理权责 信息分类
六、 个人信息安全守则
6.1
6.2
6.3 工作执掌及资源的安全管理 教育培训 易发事件及故障处理
七、 使用环境的信息安全管理
7.1
7.2
7.3 信息安全区 设备安全 日常管制
八、 通讯和操作过程管理
8.1
8.2
8.3
8.4
8.5
8.6
8.7 操作程序书及权责 系统规划及可行性 侵略性软件防护 储存管理 网络管理 媒体存取及安全性 信息及软件交换
九、 存取管理
9.1
9.2
9.3
9.4
9.5
9.6
9.7
9.8 存取管制的工作要求 使用者存取管理 使用者权责 网络存取管制 操作系统存取管理 应用软件存取管理 监控系统的存取及使用 移动计算机及拨接服务管理
十、 信息系统的开发和维护
10.1 信息系统的安全要求
10.2 应用软件的安全要求
10.3 资料加密技术管制
10.4 系统档案的安全性
10.5 开发和支持系统的安全性
十一、 维持运营管理
11.1 持续运营的方面
十二、 合法性
12.1 合乎法律要求
12.2 对信息安全政策和技术应用的审查
12.3 系统稽核的考虑
前言
何谓信息安全?
对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其
- 保密性:确保只有那些经过授权的人员可以接触信息
-完整性:保护信息和信息处理办法的准确性和完整性
-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产
信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体安全目标得以实现。
为何需要信息安全?
信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。 单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。
对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。
许多信息系统本身的设计就很不安全。通过技术手段达到的安全很有限,因此要通过恰当的管理和流程加以支持。确认采取的管制措施时需要详细审慎的计划和构思。信息安全管理至少要求单位所有员工的参与。同时,也要求供货商、客户和股东的参与。单位外部的专家建议有时也很必要。
如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。
如何设置安全要求?
单位能够确认其安全方面的要求至关重要。在这方面,主要有三个来源:
第一个来源是对单位面临的风险进行评估。通过风险评估,可以确认单位的资产所面临的威胁,评估其弱项和危险发生的可能性,并对其潜在的冲击加以估计。 第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、规章或契约方面的要求。
第三个来源是单位为支持其运营而开发出的一套针对信息处理的原则、目标和要求。
评估安全风险
安全要求是通过对安全风险的系统评估而确认的。管制方面的支出需要和安全失控时产生的危害进行平衡和比较。风险评估技巧可运用到整个组织或局部,也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。 风险评估要求对如下因素进行系统考虑:
- 安全失误所造成的经营性破坏,要求考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果
- 现行威胁和弱点导致安全失误的现实可能性,及目前实施的管制手段
在管理信息安全风险和实施管制手段防范风险时,上述评估结果有助于指导和决定采取适当的管理行动及其优先程度。评估风险和选择管制手段的过程可能需要重复几次,以便涵盖单位的不同部分或单个的信息系统。
对安全风险和实施的管制要进行定期回顾,以便
- 考虑运营要求和优先性方面所发生的变化
-考虑新的威胁和薄弱环节
-确认所采取的管制手段仍然有效恰当
根据以前评估的结果和管理层能够接受的风险程度,上述回顾应当按不同程度开展。风险评估一般先在较高层次上开展,以便对高风险领域的资源进行优先分类,然后从细节开展,目的是对付具体风险。
选择管制手段
安全要求一旦确定之后,就应选择并实施管制手段以确保风险被降到一个可接受的水平。管制手段可从本文件或别的管控手册中选择;还可以设计新管控办法来满足具体的需求。管理风险有许多不同的办法,本文件列出了一些常用的手段。然而,需要认识的是有些手段并不是适用与所有信息系统或环境,也不一定适合所有的单位
或组织。比如,本文件8.1.4描述了如何对权责进行分类以便防止诈骗或失误。对许多小的单位或组织来说,这种办法就不一定适合,而另外的办法可能更好一些。
管制的选择应当基于相对风险而言执行管制时的成本。也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。
本文件中的某些管制手段可以用作多数单位的信息安全管理的指导原则。其细节在下述的“信息安全起始点”中将加以详细描述。
信息安全起始点
几条管制手段作为指导原则提供了信息安全执行方面的起始点。它们或者基于重大的立法要求,或者被认为是信息安全领域内的最佳实施手法。
从立法角度审视,对单位十分重要的管制手段主要包括: 甲、知识产权(详见12.1.2) 乙、保护单位记录(详见12.1.3) 丙、数据保护和个人隐私(详见12.1.4) 对信息安全来说被认为是最佳实施手段的管制手段包括: 甲、信息安全政策文件(详见3.1.1) 乙、信息安全权责的分配(详见4.1.3) 丙、信息安全教育和培训(详见6.2.1) 丁、安全事故的回报(详见6.3.1) 戊、持续运营管理(详见11.1)
这些管制手段适用于多数单位和多数情形。应当注意的是,尽管本文件所述的管制手段很重要,但所有手段的适用性仍然取决于具体的当事情形。因此,上述的步骤虽然是很好的起点,它并不取代基于具体风险评估而导出的管制手段。
重大成功因素
- 安全政策,目标和反应单位运营目标的活动
- 符合单位文化的安全防卫模式
- 管理层明显的支持和承诺
- 对安全要求、风险评估和风险管理的充分理解 以往经验证实各单位要确保执行信息安全管理的成功需考虑如下重大因素:
- 向所有管理人员和员工推行安全概念的有效途径
- 向所有员工和承包方发放有关本单位信息安全政策和标准的指导纲要
- 提供恰当的培训和教育
- 一整套用于评估信息安全管理表现及反馈改进意见的测量系统
制定本单位的大纲
本指导条例可用作各单位依据本身具体情况制定自己内部信息安全指导大纲的基础。本条例所描述的指导原则和管制手段也并不一定适合所有单位的情况。因此,有必要适时加以调整。
一、信息安全范围
此部分针对各单位内部从事安全工作的人员提出了信息安全管理方面的建议。其目的是提供一个公共平台以各单位制定各自的安全标准和有效的安全管理手段,并增强各单位就此进行交流时的信心。
二、术语与定义
在本文件中,下列术语其定义如下:
2.1 信息安全
对信息保密性、完整性和可得性的保护。
保密性被定义为确保唯有经过授权的人员方可存取信息。
完整性被定义为保护信息和信息加工方法的准确和完全。
可得性被定义为确保经授权的人员在必要时能存取信息和相关资产。
2.2 风险评估
对信息和信息处理设施的弱点、其所受威胁、后果及其发生概率的评估。
2.3 风险管理
以可以接受的成本,对影响信息系统的安全风险进行辨认、控制、减少或消除的过程
三、安全政策
3.1
信息安全政策
3.1.1 信息安全政策文件
信息安全政策文件在经管理层批准后,要印行并颁发给单位的所有员工。该文件要阐明管理层对信息安全的承诺,并提出单位信息安全的管理方法。它至少要包括如下部分:
- 对信息安全的定义,其总体目标和范围,安全作为信息分享确保机制的重要性 - 支持信息安全目标和原则的管理意向声明
- 对安全政策、原则、标准和应达到要求的简要解释,比如:1)符合立法和契约的规定;2)安全教育方面的要求;3)对病毒和其它有害软件的预防和检测;4)持续运营管理;5)违反安全政策的后果等;
- 信息安全管理的总体和具体权责的定义,包括安全事故回报等;
- 用以支持政策的文献援引;例如,适用于具体信息系统的更详细的安全政策和流程,或使用者应当遵守的安全条例等;
本政策应以恰当、易得、易懂的方式向单位的标的使用者进行传达。
3.1.2 审核与评估
本政策要求有专人按既定程序对其进行定期检讨和审订。检讨和审订的过程要能够反应风险评估方面所发生的新变化,譬如重大安全事故、组织或技术基础设施上出现的新漏洞,等等。为此,要求对下列事项进行定期、有计划的审订:
- 政策的有效性,可通过记录在案的安全事故的性质、数目和影响来论证 - 对运营效率进行管制的成本及影响
- 技术变化的影响
四、 安全组织
4.1
信息安全基础架构
4.1.1 信息安全管理委员会
信息安全是管理团队各成员共同承担的责任。因此,有必要建立一个信息安全管理委员会来确保信息安全方面的工作指导得力,管理有方。该委员会旨在通过适当的承诺和合理的资源分配提携单位内部的安全。其可为现有管理机构的一部分,主要行使如下职能:
- 审订并批准信息安全政策和总体权责
- 监督信息资产所面临威胁方面出现的重大变化
- 审订并监督安全事故
- 批准加强信息安全的重大举措
所有有关的安全活动都应由一位经理负责。
4.1.2 部门间协调
在较大的单位内,有必要建立一个由各个部门管理代表组成的跨功能信息安全委员会来协调信息安全的实施。这样一个机构的功能包括:
- 批准单位内信息安全方面的人事安排和权责分配
- 批准信息安全的具体方法和流程,如风险评估、安全分类体系等
- 批准并支持单位内信息安全方面的提议,如安全意识课程等
- 确保安全成为信息计划程序的一部分
- 针对新系统或服务,评估其在信息安全方面的充足程度并协调其实施
- 评定信息安全事故
- 在全单位范围内以显要之方式提携对信息安全的支持
4.1.3 权责分配
保护各项资产及实施具体安全流程的权责应有明确定义。
信息安全政策应当提供单位内安全人事和权责分配方面的具体指导原则。针对具体的地点、系统或服务的不同,可对此政策酌情进行补充。对各项有形、信息资产及安全程序所在方应承担的责任,如持续运营计划,也要加以明确定义。
在某些单位内,需任命一名信息安全经理负责发展实施安全、支持指定管制手段方面的有关事宜。但是,涉及资源分派和实施管制的事务仍应交由各部经理负责。通常的做法是为每项信息资产都指定一个负责人,由他来时时负责资产的日常安全。
信息资产的负责人可将其安全权责代理给各部经理或服务提供方,但他对资产的安全仍负有最终的责任,并要求能确认代理权没有被滥用或误用。
对各经理所负责的各安全领域进行定义十分重要;特别是要做到如下几点: - 和各系统有关的资产和安全程序要加以清楚辨别和定义
- 负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案 - 授权级别要清晰定义并记录在案
4.1.4 信息处理设备的授权流程
要建立起针对新信息处理设施的管理授权流程。
要考虑如下要素:
- 新设施要有适当的使用者管理审批制度,以此对使用目的和使用情况进行审批。批准由负责当地信息系统安全环境的经理发给,并做到符合相关安全政策和要求。 - 如必要,对软件和硬件进行检查,确保其和其它系统部件向匹配。
- 使用个人信息处理设备处理公务信息及其相关必要之管制手段皆需经过批准。 - 在公务场合使用个人信息处理设备本身可导致安全漏洞,因此要经过评估和批准。 以上管制在联网的环境中尤其重要。
4.1.5 专业信息安全顾问
许多单位可能需要专业信息安全顾问。此职位最好由单位内部某位资深信息安全顾问担当。但不是所有单位都想聘用专业信息安全顾问。因此,特建议单位指定一位具体个人来协调单位内部信息安全知识与经验方面的一致,及辅助该方面的决策。担此职务的人要和外部专家保持联系,能提出自己经验以外的建议。
信息安全顾问或相应的外部联络人员的任务是根据自己的或外部的经验,就信息安全的所有方面提出建议。他们对安全威胁评估及提出管制建议的质量决定了单位信息安全的有效性。为使其建议的有效性最大化,应允许他们接触全单位管理的各个方面。 如怀疑出现安全事故或漏洞,应尽早向信息安全顾问咨询,以获得专家指导或调查资源。尽管多数内部安全调查通常是在管理管制下进行,但仍可以委托信息安全顾问提出建议,领导或实施调查。
4.1.6 组织间合作
和有关执法、监管、信息服务和电讯运营部门保持良好的联系,确保在安全事故时能或得其建议以便迅速采取行动。同样,也应考虑参加安全组织和行业论坛并成为其成员。
安全信息的交换要加以严格限制,确保单位的保密信息不被传给没有经过授权的人员。
4.1.7 信息安全审核的独立性
信息安全政策文件规定了信息安全的政策和权责。对其实施的审核应独立开展,确保单位的做法恰当地反应了政策的要求,并确保实施方面的可行性和有效性。
此类审核可由单位内部审计部门开展,也可由独立经理人或专门从事审核的第三方组织开展,只要这些人员具有适当的技能和经验。
4.2
外部存取的安全管理
4.2.1 第三方存取的风险鉴别
4.2.1.1 存取的类别
允许第三方存取的类别至关重要。比如,跨网络存取的风险和物理存取的风险是完全不同的。应考虑的存取类别包括:
- 物理存取,如办公室、电脑房、档案柜等
- 逻辑存取,如单位的数据库、信息系统等
4.2.1.2 存取的原因
允许第三方存取可能有若干原因。例如,这个第三方可能是在向单位提供服务,但又不在现场,只能给其一定物理和逻辑存取途径,比方:
- 需要系统级别或低级别应用功能的硬件和软件支持人员
- 和本单位交换信息、存取信息系统或分享数据库的贸易伙伴或合资公司
如没有充足的安全管理,允许第三方存取会给信息带来风险。因此,在有需求接触其它方信息时,要进行风险评估,确定管制的要求。同时,要考虑存取的类别、信息的价值、第三方使用的管制手段,以及让他方接触本单位信息的可能后果。
4.2.1.3 现场承包方
按合同规定可在现场滞留的第三方也可导致安全隐患。例如,在现场的第三方可以包括:
- 硬件和软件维护和支持人员
- 清洁、料理、保安和其它委外的支持服务人员
- 学生员工及其它短期临时工作人员
- 顾问
知道需采取哪些管制手段管理第三方对信息处理设备的存取至关重要。总体而言,和第三方签订的合同中要反应所有有关的安全要求和内部管制手段。例如,如有特殊要求保守信息秘密,就要和第三方签订保密协议(见6.1.3)
在相应管制手段布置周备或和第三方合同签订之前,不得允许第三方存取本单位信息或接触信息处理设备。
4.2.2 与第三方存取单位签约时的安全要求
涉及第三方接触本单位信息处理设备的安排应当基于正式的合同,该合同中要包括或提到所有的安全要求,以便确保符合单位的安全政策和标准。合同还要确保单位和第三方之间没有任何误会。单位在证实第三方的可靠性方面要做到完全放心。合同中可考虑包括如下要素:
- 信息安全的总体政策
- 资产保护,包括1)保护单位资产的流程,包括信息和软件;2)诊断资产是否受到破坏的流程,包括数据的损失或修改;3)确保在合同期末或合同期间任意时间点归还或销毁信息的管制手段;4)完整性和可得性;5)限制信息的复制和泄漏 - 所提供的所有服务的描述
- 标的服务水准和不可接受的服务水准
- 人员调动的规定
- 合同双方各自的相关责任
- 法律方面的责任,比如,数据保护方面的法规,要特别考虑到在合同牵涉到多国组织件合作时各国法律体系的不同(见12.1)
- 知识产权和版权的分配(见12.1.2)及合作成果的保护(见6.1.3)
- 存取管制合同,包括1)允许的存取办法和管制手段,以及特别标记的运用如使用者身份证和密码;2)对使用者存取和权限的授权过程;3)要求准备一份批准使用服务的个人使用者的名单并载明他们的使用权限
- 定义有效的表现评判标准并对其进行监督和回报
- 监督、撤销使用者活动的权力
- 对合同权责进行审计或指定别人对其审计的权力
- 建立解决问题的升级流程;在适当的情况下还要考虑应急安排
- 硬件和软件安装和维护方面的责任
- 清晰的回报结构和业经同意的回报格式
- 清晰具体的变化管理流程
- 确保管制手段得以实施的物理保护管制手段和机制
- 对使用者和管理者进行培训的方法、流程和安全
- 确保防范病毒软件的管制手段(见8.3)
- 用于回报、通知和调查安全事故和安全违规的安排
- 第三方涉及合同的分包
4.3
委外资源管理
4.3.1 委外加工处理合约内的安全需求
如单位需将其信息系统、网络和/或桌面操作环境系统的管理和管理任务部分或全部地委托给他方实施,此方面的安全要求在有关各方签订的合同中加以规定。
例如,合同应当规定:
- 如何满足诸如数据保护等方面的法律要求
- 进行哪些安排去确保委外的各方(包括分包方)能意识到其担负的安全责任 - 如何维持并检验单位资产的完整性和保密性
- 采取哪些物理和逻辑管制手段来限制使用者接触单位的敏感商业信息
- 在发生灾难的情况下如何继续或得服务
- 对委外设备采取何种水准的物理安全保护
- 审计权
4.2.2条款中所述的条件也可作为此合同考虑的要素。本合同应当允许双方在安全管理计划中对安全要求和流程进行扩展。
尽管委外合同可导致一些复杂的安全问题,其准则中包括的管制手段可被用作安全管理计划的结构和内容的起点。
五、 资产分类与管理
5.1
资产管理权责
5..1.1 资产的盘点
对资产的盘点可帮助确保有效的资产保护,也可用于其它经营目的,如健康和安全、保险或财务方面的原因。编制资产盘点的流程是风险管理的重要方面。单位要能辨明其资产和这些资产的相对价值和重要性。基于这些信息,单位就可以提供和资产价值及重要性相应的保护级别。对各个信息系统的重要资产都要编制资产清单并加以保存。每个资产都要清楚辨明,其主管人员及安全类别(见5.2)、现在的位置等都要确认并登记。与信息系统有关的资产举些例子可能包括:
- 信息资产:数据库和数据文件、系统文件、使用手册、培训材料、操作和支持流程、持续经营计划、存档信息等
- 软件资产:应用软件、系统软件、开发工具和用具等
- 物理资产:电脑设备(包括处理器、显示器、笔记本电脑、调制解调器等),通讯设备(路由器、PBAX、传真机、答录机等),磁力媒体(录音带、光盘等),其它技术仪器(电源、空调设备等),家具及辅助设施
- 服务:计算和通讯服务,通用设备,如供暖、照明、电、空调等
5.2
信息分类
5.2.1 分类原则
信息分类及相关的保护管理办法应符合分享信息或限制信息的要求,符合此类需要所带来的相关后果,例如,对信息的未经批准的使用和毁坏。总而言之,对信息进行分类是决定如何处理和保护该信息的一个捷径。要对数据分类系统的信息和输出进行标示,以决定此类信息对单位而言其价值和敏感度的级别。同样也可按照此类信息对单位的重要程度进行分类标示,例如,按照其完整性和可得性。
经过一段时间之后,信息经常不再敏感或重要,例如,在信息变成公开信息之后。因此,要考虑这些方面,因为过细的分类会增加额外的费用。分类知道大纲应当预测并承认信息分类有时间性并岁政策变化而变化这一事实(见9.1)。
还要考虑分类范畴的标号及其益处。太复杂的标号系统用起来很费劲,即不经济也不实用。在接触和使用别单位的标号系统时要注意,因为他们的标号虽然和本单位的相同但含义可能完全不同。
对信息类事务(包括文件、数据记录、数据文件或软盘)分类进行定义并进行周期性审订的任务应由信息原来的的制造者或指定的主管人员来完成。
5.2.2 信息标示及携带
根据单位制定的分类原则,制定一整套信息标识和操作流程是非常重要的。这些流程要涵括以物理和电子形式存在的信息资产。针对每个类别,所定义的操作流程要包括如下类型的信息处理活动:
- 复制
- 存储
- 以邮件、传真、电子邮件方式进行的传送
- 以声音,包括移动电话、语音邮件、答录机等方式进行的传送
- 销毁
含有敏感重要信息的系统其输出应加以恰当的分类标示。此标示要求能够反应根据
5.2.1条款进行分类的类别。需要考虑进行标示的物品包括打印出的报告、屏幕显示、被记录的媒体(包括磁带、软盘、光盘、录音带等)、电子消息和传送等。
物理标示通常是最恰当的标示。但是,有的信息资产如以电子方式存在的文件,不能对其进行物理标示,在此情况下需考虑对其进行电子标示。
六、 个人信息安全守则
6.1 工作执掌及资源的安全管理
6.1.1 工作权责涵盖的安全需求
单位信息安全政策中规定的安全角色和责任当在工作定义中恰当标明(见3.1)。这些要求包括实施或维护安全政策以及保护特别资产或开展特别安全程序或活动时的具体权责。
6.1.2 人员任用政策
在单位终身职员申请工作时,对其进行资格审查。这应当包括如下内容:
- 申请人是否具备充分的人品推荐材料,例如,可以是一份工作推荐,一份个人推荐 - 对申请人简历的完整性和准确性进行检查
- 对申请人声称的学术和资格证明进行认证
- 独立的身份认证(通过护照或相应的身份证明材料)
工任命或提升员工时,只要其涉及到接触信息处理设备,特别是处理敏感信息的设备,如处理财务信息或其它高度机密的信息的设备,单位需要对该员工进行信用调查。对握有大权的员工此类信用调查更要定期开展。
对合同工和临时工也要开展类似的审查。如果上述人员通过中介机构推荐给单位,则单位要和该机构签订合同,在合同中载明该中介机构要对被推荐人进行审查责任,以及中介机构在未对被推荐人进行审查或对审查结果有疑惑或怀疑时通知单位的必要程序。
管理人员要对那些新来的或没有经验的但却得到授权可接触敏感系统的员工进行监视。对所有员工的工作都要进行定期审核,审核审批的程序有员工中的某位资深人士来制定。
管理人员应当认识到其部下的个人环境会影响其工作。个人或财务上的问题会影响他们的工作,导致行为或生活方式的改变及多次旷工;压力或忧郁的表现可能导致欺诈、盗窃、错误或其它安全问题。对这类信息的处理要依据单位作在地区的适当法律程序加以解决。
6.1.3 保密协议
保密协议的目的是对信息的保密性加以说明。雇员在受雇时,应和单位签署保密协议,此协议为员工守则的一部分。
没有签署保密协议的闲散员工或第三方在接触信息处理设备之前必须签署有关保密协议。
在雇佣合同或条款发生变动时,特别是员工要离开单位或其合同到期时,要对保密协议进行审订。
6.1.4 员工守则
该守则应载明雇员在信息安全方面的职责。如有必要,这些职责即使在雇佣关系结束后也应保持一定的有效期。其中应当包括员工违反安全规定时应采取的行动。
员工的合法职责和权利,例如在版权法或数据保护法方面的权责,应得以清楚定义,并包括在员工守则中。员工数据分类和管理方面的职责也要包括在内。如有必要,员工守则应当规定这些权责不仅适用于单位范围内,而是可以延伸到单位以外或正常工作时间以外,例如在家工作的情况。(参见7.2.5 和 9.8.1)
6.2
教育训练
6.2.1 信息安全的教育和培训
单位的所有职员,以及在必要情况下涉及的第三方用户,都应定期接受安全政策和流程方面的教育和培训。这包括安全要求、法律职责和业务管制,以及正确使用信息处理设备方面的培训,例如,登录流程、软件包的使用等。
6.3
易发事件及故障处理
6.3.1 安全事故回报
发现安全事故后,应立即通过适当管理渠道回报。
要建立正规的回报流程和事故反应流程,规定接到事故报告后应采取的行动。所有员工和合同方都应认识回报安全事故的操作流程,并被要求尽快加以回报。同时,建立适当的反馈流程来确保这些安全事故在处理完毕之后处理结果得以反馈。发生过的安全事故可用作安全培训的例子,向使用者解释会发生哪些事故,如何反应,及以后如何避免此类事件等(参见12.1.7)。
6.3.2 安全漏洞回报
要求信息服务用户记录并回报任何其觉察或怀疑存在的安全漏洞。他们要把这些漏洞或者报告给管理人员或者直接尽快报告给服务提供商。应向使用者强调,无论在何种情况下,他们都不要试图对怀疑的漏洞进行论证。这对他们自身有益处,因为他们进行论证的行为有可能被误认为是潜在地错误使用系统。
6.3.3 软件功能障碍回报
要求建立并遵守软件功能障碍回报流程。可以考虑采取如下行动:
- 问题的征兆和任何在显示屏上出现的信息都要加以记录
- 如有可能,对电脑进行隔离,并停止继续使用。并马上通知有关当局。如需要对设备进行检查,在重新启动之前应将其从单位网络上撤下。使用的软盘不得再在其它电脑上使用。
- 有关事故应马上回报给信息安全经理。
6.3.4 从事故中学习
要求建立相应机制,对事故或功能障碍的类型、级别和损失程度进行量化、监督。这类信息可用作以后辨别重发事故或危害重大的功能障碍。这也表示有必要提高或增加额外的管制措施来限制未来事故的发生频率、降低其危害和成本,并审订安全审核流程。
6.3.5 违规处置流程
雇员如违反单位安全政策和流程,应通过正式的违规处置流程加以处理(参见6.1.4和 12.1.7)。此类流程可用作警示,防止员工忽视单位的安全流程。此外,要确保能合理、公正地处理那些被怀疑是违反安全操作的员工。
七、 设备及使用环境的信息安全管理
7.1
信息安全区
7.1.1 信息安全区的实体区隔
单位应通过安全实体区隔来保护信息储存处理设施的区域。每个区隔都可以提供更高的安全系数,从而增强总体的安全水平。单位应使用安全防御带来保护放置信息处理设备的区域(参见7.1.3)。安全防御带即指构成区隔的东西,例如是一面墙,一道凭卡片进入的门,或值班的接待台等。每个区隔的位置和力度取决于风险评估的结果。
在适当的情况下可以考虑下列的指导原则和管制手段:
- 安全防御带应当清楚定义
- 放置信息处理设备的楼房或场所的防御带从物理角度应当非常可靠。场所的外墙应当是坚固的建筑物,所有的外门都应能防止非法的进入,比如通过安装管制机制、铁条、警报、安全锁等。
- 在通往场所或楼房的通道上还应当配备值班接待台或其它类似机构,确保只有经过授权的人员才能得以靠近通往上述场所的通道。
- 如有必要,物理区隔还应扩展到从地板到天花板的区间以防止非法进入或水、火灾等造成的环境污染。
- 安全防御带内所有的防火门都应安装报警器,并随时处于紧闭状态。
7.1.2 信息安全区进出管制
在信息安全区采取适当出入管制,确保只有经授权的人员得以进入。可考虑如下的管制措施:
- 监视或禁止来安全区域的访问者。访问者的进入和离开数据及其时间要有记录。来访者只有在有明确经过授权的任务时才允许访问安全区,并要被告知安全区内的安全要求及紧急流程。
- 对敏感信息和信息处理设备的通路进行管制,只有经过授权的人员才得以进入。同时使用身份识别管制手段,如刷卡或个人身份号码等对所有准入进行授权或认证。所有进入都要求有记录,并加以妥当保存。
- 所有人员都要求佩戴清晰可见的身份辨认标志,并鼓励对未经陪伴陌生人或任何未佩戴标志的人员进行盘问。
- 对进入安全区域的权限要定期进行审核和更新。
7.1.3 信息安全办公室、处所、设备
安全区域可为上锁的办公室或物理意义的安全防御带内的几间房间,其本身可以上锁,也可以内置上锁的保险柜或保险箱。选择和设计安全区时,应考虑火灾、水灾、爆炸、暴乱或其它形式的自然或人为灾害所造成的损坏的可能性。还要考虑险关的健康和安全条例及标准。同时,也要考虑来自邻近场所的安全威胁,例如来自其它楼宇的漏水等等。
可考虑如下的管制手段:
- 关键设备的放置要能够放置公众的接触
- 楼房要防止太过显眼,尽量避免显示其用途,楼内外禁止设置暗指此处有信息处理活动的标牌或标记。
- 辅助功能设备,如复印机、传真机等,要放置在安全区内合适的位置,避免因外人接触而导致的信息泄漏。
- 房间无人时,门窗都要上锁关闭;窗户,特别是一楼的窗户,要安装必要的外部保护设施。
- 所有的外门的外窗都要安装合乎职业标准的入侵检测系统,并对其进行定期检测。无人区特别要保持随时警戒。其它区域也要提供安全保护,如电脑房和通讯房等。 - 从物理上把本单位管理的信息处理设备和第三方管理的信息处理设备进行区隔。 - 显示本单位敏感信息处理设备的电话本或通讯录要避免被公众获得。
- 把危险或易燃品保存到一个离安全区适当安全距离的地方。除非另加要求,诸如文具等的大宗物品不得储存在安全区。
- 备用设备或媒体工具应放置在离设备稍远的地方,以防主场地毁坏时同时被毁。
7.1.4 信息安全区内工作守则
为进一步加强已采取物理保护措施的安全区的安全,应制定附加的信息安全区内工作守则。这些包括针对在安全区工作的人员或第三方的管制,也包括对其活动的管制。可考虑如下原则:
- 各人员对安全区的存在及其内活动当知之则知之,不当知之则不许知之。 - 为安全和防止坏人破坏起见,对安全区内所有工作实施监视。
- 无人安全区应采取物理手段加以封闭,并定期查看。
- 应限制第三方辅助服务人员进入安全区或敏感信息处理设备,只在必要时才许其进入。同时,进入要进行授权和监视。安全防御带内部具有不同安全要求的区域之间的通道要采取格外的隔离和防护措施。
- 除非经过授权,否则在安全区内禁止使用摄影、录象、录音或其它记录仪器设备。
7.1.5 交接区的隔离
对交接区进行管制;如有必要,将其与信息处理设施进行隔离,并避免未经授权的进入。此类区域的安全要求必须通过风险评估后才能确定。可考虑采用如下原则: - 只允许经过授权且已辨明身份的人从楼外进入交接区。
- 交接区的设计应做到使送货人员只在此卸货而不能走到楼内其它区域去。 - 在交接区内门敞开的情况下,交接区外门应保持关闭状态。
- 把进入的货物从交接区转到使用区之前要对其进行检查,确保没有潜在危险存在(参见7.2.1d)。
- 进入货物在抵达时要进行登记(参见5.1)。
7.2
设备安全
7.2.1 设备座落及防护
对设备座落加以保护,使其免受周围环境造成的威胁或损坏,并避免未经授权的进入。可考虑如下要素:
- 设备座落要做到尽量减少不必要进入工作区的次数。
- 处理敏感数据的信息处理和存储设备的座落要使其在使用时不被遗漏。 - 需要特别保护的物品要分开放置,以节省额外的保护措施。
- 采取管制手段来降低潜在威胁的风险,包括:1)盗窃;2)火灾;3)爆炸;4)烟雾;5)水灾(包括供水故障);6)灰尘;7)通风;8)化学反应;9)供电中断;10)电磁辐射
- 单位还应考虑制定在信息处理设备附近就餐、饮水和吸烟方面的规定。 - 对可能影响信息处理设备使用的环境因素进行监控。
- 在工业环境下可考虑采用特别的保护方法,如对键盘套上保护膜等。
- 还要考虑附近发生灾难时的保护方案,如附近楼房着火、屋顶或地板漏水或临街爆炸等。
7.2.2 电力供应
使设备避免断电或其它供电方面的问题。供电要符合设备制造商对供电的规定和要求。保持供电不中断的措施包括:
- 多条供电线路以防某条供电线路出现故障
- 续电器(UPS)
- 备用发电机
支持关键运营的设备要特别考虑使用续电器,可保证其能正常关机或持续运转。同时,要制定续电器发生故障时的应急计划。对续电器要定期检查其储电量,并按制造商的指导对其进行测试。
备用发电机主要用作应付长时间的断电。如安装了发电机,应当按制造商的要求对其进行定期检测。同时,要储备充足的燃料,确保发电机能长时间地发电。
此外,要在设备室的紧急出口处安装紧急电源开关,用作紧急情况下迅速关闭电源。还要安装紧急照明灯以防紧急断电。所有的楼房都要实施照明保护措施,并给所有外部通讯线路安装照明保护滤光器。
7.2.3 传输设备安全性
保护传输数据或支持信息服务的供电和通讯传输设备,使之免于中断或损坏。可考虑如下管制措施:
- 如有可能,信息处理设备的电源线和通讯线都要铺在地下并提供充足的备用保护措施。
- 防止网络电缆被非法截断或破坏,例如通过安装电缆保护导管或避开公众区等措施 - 电源线和通讯线要分开铺设,避免互相干扰。
- 对敏感或关键设备,可考虑进一步的管制措施,如:1)在检测或终点端安装装甲防护电缆导管或上锁房间或盒子;2)使用备用路径或传输媒介;3)使用光纤电缆;4)对非法挂置在电缆上的物件进行定期扫除
7.2.4 设备的维护、保养
对设备的维护应依据制造商的指示或规定的流程进行,确保持续正常的工作状态。可考虑如下指导原则:
- 根据供货商建议的周期和规格对设备进行定期维护
- 只允许经过授权的维护人员对设备进行检修和维护
- 对所有怀疑或实在的故障及所有的防范、修正维护措施进行记录
- 如设备需要送到单位外面进行维修,应采取适当的管制措施(参见7.2.6)。保险条例的所有要求都要遵守。
7.2.5 非管制区的设备安全管理
无论设备产权如何,使用任何单位以外的设备进行信息处理都要经单位领导批准。考虑在单位外进行信息处理可能导致的风险,在外处理信息所应采取的防护措施在程度上不得亚于单位内部的防护措施。此处所指的信息处理设备包括任何家庭用的或从单位带出的任何形式的个人电脑、手持电脑、移动电话、纸张或其它物品。可考虑采用如下的指导原则:
- 从单位带出的设备或媒介在公共场合要有人照看。旅行时,移动电脑应作为行李随身携带并进行掩饰。
- 随时遵守制造商关于保护设备的指示,例如防止设备接触强磁场等。
- 在家工作的管制措施要经过风险评估后决定并实施,例如,可安装上锁的保险柜、采纳桌面净空原则及电脑的存取控制等。
诸如盗窃、损坏和遗失等安全风险在各个地方的程度不同,因此在各地要因地制宜地制定防护措施。关于保护移动设备的其它信息可参见9.8.1条款。
7.2.6 设备报废或再启用安全管理
信息通过不经心的报废处置或重新启用遗失。报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
所有存有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
7.3
日常管制
7.3.1 桌面及屏幕净空原则
单位应制定并执行桌面及屏幕净空原则,降低工作时间内和工作时间外的未经授权存取信息、遗失或损坏信息的风险。政策的制定要考虑信息安全分类(参见5.2)、相应的风险和单位的企业文化等。
留在桌面上的信息很易于被盗,或在发生水灾、火灾、爆炸时被毁坏。
可考虑实行如下原则:
- 如有可能,在不用时,特别是下班后,将文件和电脑媒体锁在柜子里或其它形式的安全家具中
- 敏感或关键企业信息在不用时,特别是办公室无人时,应锁起来(最好是锁在防火保险柜或保险箱里)。
- 个人电脑和电脑终端及打印机在无人使用时不得置于上网状态,并要求有密码、密码锁或其它的保护措施。
- 收发邮件的地点和无人照看的传真、电挂设施要加以保护。
- 下班后,要把复印机锁起来(或加以保护禁止其它方式的非法使用)。 - 敏感或机密信息打印出来后要马上从打印机上拿走。
7.3.2 财产撤离
单位所属设备、信息或软件未经授权不得撤离。如有必要,设备要从网上下来,归还时再重新上网。要进行场地检查以检测资产是否被非法挪用。要通知员工场地检查的事情。
八、 沟通和操作过程管理
8.1
操作程序书及权责
8.1.1 操作流程的文件化
安全原则中阐明的操作流程应有文件记录并加以存档。应把操作流程看作正式的文件,其变更需要经过管理人员的批准。
流程要规定每个工作的具体实行指示,包括:
- 信息的加工和处理
- 日程的要求,包括和其它系统的相互依存,最早的工作起始点及最晚的工作结束日期等
- 关于处理工作过程当中出现的错误或其它特殊条件的指示,包括对系统设备的使用限制等(参见9.5.5)
- 出现预料之外的操作或技术困难时寻求支持的联络方式
- 特别输出处理指示,例如如何使用特别的文具或机密输出的管理等,包括对错误输出的安全处理
- 出现系统瘫痪时的系统重新启动和恢复流程
和信息处理及通讯设备有关的系统整理活动要有记录在案的操作流程,例如电脑启动和关闭程序、备份、设备维护、电脑房和邮件处理管理及安全流程等。
8.1.2 系统变更管制
要对信息处理设施和系统方面的变化加以管制。对信息处理设备和系统管制的不充分是引起系统或安全瘫痪的常见原因。因此,要有正式的管理权责和流程对所有的设备、软件或流程变更进行令人满意的管制。对操作程序变更的管制要尤其严格。如程序发生变更,则应保持一份记载所有相关信息的审计记录。操作环境的变更可能会影响应用程序。如有可能,应把操作和应用的变更管制流程整合起来(参见10.5.1)。特别是要考虑如下的因素:
- 对重大变更的辨别和记录
- 对此类变化的潜在影响的评估
- 对提议的变更的正式审批流程
- 把变更的细节通知给所有的相关人员
- 追究放弃变更或失败变更恢复责任的流程
8.1.3 事故管理程序
要建立事故管理责任流程制度,确保安全事故发生后作出快速、有效、有序的反应(参见6.3.1)。可考虑如下的指导原则:
- 设立流程,使其涵盖所有潜在的安全事故类型,包括1)信息系统瘫痪和服务的损失;2)拒绝服务;3)不完整或不准确的业务数据所导致的错误;4)泄密
- 除一般的应急计划之外(其目的是尽快地恢复系统和服务),这些流程还要包括(参见6.3.4):1)对事故原因的分析和辨认;2)如必要,制定并实施补救计划防止同类事故的再发生;3)收集审计记录和相关证据;4)和受到事故影响及从事求援的人员交流;5)向有关当局报告行动
- 应集收并妥当保存审计记录和相关证据(参见12.1.7),用于:1)内部问题分析;2)潜在的违反合同、法规的证据,或滥用电脑或违反数据保护法律而导致的刑事、民事诉讼中的证据;3)和软件及服务供应商开展索赔的谈判
- 对纠正违反安全行为和修正系统瘫痪的行动要加以仔细认真的管制。其管制流程要确保:1)只有经过明确授权并辨明身份的人员才得以接触系统和数据(参见
4.2.2条款中关于第三方存取的规定);2)所有紧急行动都要有详细的记录;3)有序地向管理人员报告并评估紧急行动计划;4)对运营系统和管制手段完整性的确认应尽量避免耽搁
8.1.4 部门权责划分
权责划分是降低事故风险和故意滥用系统风险的一个有效手段。因此,要考虑对各部门的权责进行清楚划分,以避免未经授权而修改或滥用信息。
小单位可能觉得这一管制办法实施起来比较困难,但应尽量参考运用其原则和做法。如划分权责有困难,那么应该考虑其它的管制手段如行动监视、审计记录和管理监督等。保持安全审计的独立性是非常重要的。
应注意确保在责任单一的区域内,只要有人从事犯罪活动就马上会被察觉。事件的发起和其授权要分开考虑。可考虑如下要素:
- 对集体犯罪行为进行区分非常重要,此类活动可包括提高订单价格或对所收订单加以确认等
- 如有集体犯罪的危险,管制手段的实施就需要两个或以上的人员参与,这样可以降低合谋的可能性
8.1.5 开发与操作设备的隔离
对开发、测试和操作设备进行隔离对权责划分来说非常重要。要制定相关法规来控制软件从开发部门向操作部门的划拨。
开发和测试活动会导致严重的问题,如对文件或系统环境的乱改,或系统瘫痪等。因此,要针对操作、测试和开发环境的隔离考虑必要的隔离级别,以避免操作上的问题。在开发和测试功能之间,也要求有类似的隔离。在此情况下,有必要保持一个已知而稳定的环境,以供开展有意义的测试,并避免非法开发人员的存取。
如开发和测试人员可进入操作系统并存取其信息,他们有可能会引入未经授权或未经检测的编码并篡改操作数据。在某些系统内,这一能力可能会被滥用来进行犯罪活动,或引入未经测试的病毒码。未经检测的病毒码会导致严重的操作问题。开发人员和测试人员也会构成对操作信息保密性的威胁。
如共用相同的计算环境,开发和测试活动可能会导致软件和信息的变更。这样,把开发、测试和操作设备隔离开就可以降低发生事故或非法存取操作软件和业务数据的风险。可考虑如下的管制手段:
- 如可能,应在不同的电脑处理机上,或不同的域名或目录下运行开发和操作软件 - 尽可能地将开发和测试活动隔离开
- 不必要时,编辑器和其它系统设备不得通过操作系统进行存取
- 操作和测试系统要使用不同的登录流程,以此降低出错的风险。要鼓励使用者在不同系统上使用不同的口令,而菜单也要求能显示适当的身份辨别指令。
- 只有管制手段要求向开发人员发放口令以支持操作系统时,开发人员才可获得操作口令。同时,管制手段要确保口令在用毕后马上更换。
8.1.6 外部设备管理
使用外部承包方来管理信息处理设备可能会引起诸如数据丢失、泄漏或毁坏等潜在的安全问题。因此,对这些风险要事先加以辨认,并纳入和承包方签订的合同当中。需
要
考虑的要素包括
- 对单位内部的敏感或关键应用加以辨认
- 获得商业应用软件产权人的批准
- 持续运营计划的考虑
- 要加以规定的安全标准和检验是否合法的程序
- 具体权责的划分和对有关安全活动进行监视的流程
- 报告和处理安全事故的权责及流程(参见8.1.3)
8.2 系统规划及可行性
8.2.1 系统容量需求计划
对系统容量要求进行监控,并进行未来容量要求预测,确保充足的处理和存储能力。这些预测要考虑新业务和系统的要求及单位信息处理的当前和未来走向。
对主框计算机要格外注意,因为它们采购的成本较高,时间也较长。主框服务的经理人员应当对主要系统资源的使用情况进行监视,包括处理器、主要内存、文件储存、打印机和其它输出设备及通讯系统。它们要对使用的走向加以辨认,特别是有关业务应用或管理信息系统工具方面的走向。
管理人员应当运用这些信息来辨认并避免可能对系统安全或使用者服务构成安全的潜在瓶颈,并事先进行适当的补救行动规划。
8.2.2 系统验收
建立新信息系统、系统升级和新版本方面的验收标准;在验收前进行适当测试。管理人员应当确保新系统验收的要求和标准有清除的定义,并得到同意、记录和测试。可考虑下列有关方面:
- 运转和计算能力的要求
- 错误恢复、启动流程和应急计划
- 备有经过同意的安全管制措施
- 有效的操作流程
- 11.1条款中要求的业务持续安排
- 新系统不会,特别是在月末这样的高峰期间不会影响现有设备运行的证据 - 对新系统对单位总体安全作产生影响已加以考虑的证据
- 操作和使用新系统方面的有关培训
在从事重大开发项目时,要开发过程中的所有阶段要就操作功能和使用进行咨询,以确保提出的系统设计的最高操作效率。采取适当的测试来确认所有的验收标准都已达到。
8.3 侵略性软件防护
8.3.1 对非法入侵软件的防御管理
检测并防止非法软件的入侵,实施恰当的防范流程。对侵略性软件的防范应以安全意识、适当的系统存取和更改管理管制措施等为基础。可考虑如下措施:
- 制定政策要求使用正版软件,禁止使用盗版软件(参见12.1.2.2)
- 制定政策防范使用外来的软件或文件的风险(参见10.5.4和10.5.5)
- 安装并定期升级防病毒检测和修补软件,用其来扫描电脑和媒体并将其制度化 - 对支持关键业务程序的系统软件和数据进行定期监测。对非法文件或修改展开调查 - 在使用前,对电子媒体上的任何来源不详的文件或从不可靠网络上下载的文件进行防病毒扫描
- 在使用前,对任何电子邮件的附件和下载的文件进行防病毒扫描。这种监测可开不用的地方展开,如电力邮件服务器、桌面电脑或进入单位的网络时
- 防范系统病毒的管理流程及权责、其使用方法的培训、报告和病毒攻击后的恢复(参见6.3和8.1.3)
- 用于病毒攻击后恢复工作的持续经营计划,包罗所有必要的数据和软件备份及恢复安排(参见地11条款)
- 用于检测所有侵略性软件信息的流程,确保警告标志的准确。管理人员要确保合格的来源,如有名的杂志、可靠的因特网站点或防病毒软件供应商等,来区分小把戏和真正的病毒。员工要求认识小把戏的危害并知道如何处理之。
这些管制措施对支持大批工作站的网络文件服务器尤为重要。
8.4 储存管理
8.4.1 资料备份
重要的商业信息和软件应进行定期备份。要有充足的备份设备来确保所有关键的业务信息和软件在发生灾难或媒体瘫痪后都能得以恢复。针对单个系统的备份安排要进行定期测试,确保它们符合持续运营计划的要求(参见11条款)。可考虑如下指导原则:
- 备份信息、关于备份拷贝的准确完整的记录及恢复的流程等信息要储存在一个远离主场的地点,确保即使主场发生灾难信息备份信息也能幸免遇难。对重要的业务应用软件应保留最少三代的备份信息。
- 对备份信息的物理和环境保护级别不得亚于主场的保护级别标准(参见第7条款)。对主场媒体的管制措施也应延展到备份文件的保护。
- 应对备份媒体进行定期检查,确保其在紧急情况下能正常发挥作用。
- 恢复流程应定期审订测试,确保其有效性,使其在规定时间内能够完成恢复的任务 重大业务信息的保留期及文档附件是否永久保存等都要加以规定。
8.4.2 登录数据管理
操作人员应保存其登录数据记录。登录数据要包括如下信息:
- 系统启动和关闭时间
- 系统错误和所采取的修改行动
- 对数据文件和电脑输出的正确操作的确认
- 登录人员的名称
对操作人员登录应按操作流程进行能够定期审核。
8.4.3 差错记录管理
对差错进行记录并采取纠正措施。使用者作出的信息处理或通讯系统的差错报告要进行记录。对如何处理报告的差错应有明确的规定,包括
- 对差错记录进行审核,确保差错已得到满意的解决
- 对采取的修改措施进行审核,确保管制手段的正确性和采取行动的合法性
8.5 网络管理
8.5.1 网络管制
实施一系列管制措施,实现并保持网络安全。对网络管理人员实行管制,确保网络上数据的安全,并保护相关服务不被非法使用。特别是要考虑如下要素:
- 在适当情况下,把网络的操作权责和电脑操作划分开(参见8.1.4)
- 要建立管理远程设备(包括使用区域的设备)的责任和流程
- 如有必要,采取特别管制措施保护通过公共网络传送的数据的保密性和完整性,并保护联结系统(参见9.4和10.3)。同时,采用特别管制措施来保持网络服务和电脑联网。
- 对管理活动进行跟踪协调,使提供的服务最优化,并确保对整个信息处理基础设施的管制得以持续进行
8.6 媒体存取及安全性
8.6.1 可移动计算机媒体的管理
对可移动计算机媒体如磁带、光盘、打印的报告的管理进行管制。可考虑如下指导原则:
- 任何可再用媒体上保留的过去的内容如不需要都要加以清除。
- 任何媒体如从单位移出,都要经过审批并同时保留记录以供事后查询(参见
8.7.2)
- 所有媒体都要按照制造商的规定保存在安全的环境中
对所有的流程和授权级别进行清楚的记录。
8.6.2 媒体的处理
媒体作废后,应对其进行安全处理。敏感信息可能通过无意处理媒体时泄漏出去。因此,要建立正规的媒体安全处理流程将此风险降至最低。可考虑如下指导原则:
- 对载有敏感信息的媒体应加以安全妥当的保存或采用安全的方式加以处置,如焚烧或碎片,或在清除信息后给本单位的其它机构使用
- 下列物品属于应进行安全处置的物品:1)书面文件;2)录音或其它形式的记录;
3)碳写纸;4)输出报告;5)一次性打印色带;6)磁带;7)可读写软盘或磁盘;8)光学储存媒体(包括所有形式和所有制造商制造的软件分销媒体);9)程序列表;10)测试数据;11)系统记录
- 把需处理的媒体收集起来进行集中安全处理比单个清除敏感数据简便易行。
- 许多单位对文件、设备和媒体的处理采取收购处理的做法。为此,需要小心挑选有经验且办事牢靠的承包商进行上述作业。
- 对敏感物品的处置要进行登录,以便事后进行审计之用。
在堆积媒体等候集中处理时,应当考虑到所谓的“堆置效应”,即大量未分类信息堆置在一起可能比少量单个信息更敏感。
8.6.3 信息移动或储存程序
建立信息移动或储存流程,确保信息不被非法泄漏或滥用。制定必要流程并按照其分类对文件、电脑系统、网络、移动电脑、移动通讯、邮件、语音邮件、一般语音通讯、多媒体、邮政服务及设施、传真机和其它敏感物品如空白支票、发票等的使用进行管理。可考虑如下要素(参见5.2和8.7.2):
- 给所有媒体作标示(参见8.7.2之第一项)
- 对存取进行限制,以辨别非法人员
- 保留授权人员相关数据的正式记录
- 确保输入数据的完整性、处理过程得以正确完成及对输出的有效确认
- 对等待输出的数据采取与其敏感性相应的保护措施
- 把媒体保存在符合制造商规定的环境中
- 尽量减少数据的分发
- 对所有数据进行清楚标示,以引起其合法接收人员的注意
- 定期对分发清单和合法接收人员名单进行审订
8.6.4 系统文件的安全性
系统文件可能载有系列敏感信息,如对应用过程、流程、数据结构、授权过程等的描述(参加9.1)。因此,要考虑采取下列措施防止系统文件被非法存取:
- 系统文件要安全妥当地保存
- 系统文件的存取清单要尽量简短,并要经过应用执掌人的授权
- 保留在公共网络上或通过公共网络提供的系统文件要加以适当保护
8.7 信息及软件交换
8.7.1 信息及软件转换协议
单位间通过电子或手动方式交换信息或软件时,应签订正式协议。此类协议的安全内容要反映所涉及的业务信息的敏感性。关于安全条件的协议内容要考虑:
- 对传输、发送和接收进行管制和通知的管理权责
- 通知发件人、传输、发送和接收的流程
- 包装和传输的最低技术标准
- 快件认证标准
- 遗失数据时的责任
- 对敏感或关键信息使用经过同意的标示系统,确保报表得失意义明白无误,以及对信息进行适当保护
- 信息和软件所属权及数据保护的责任,软件的版权合法性和类似的考虑(参见12.1.2和12.1.4)
- 用于记录和读写信息和软件的技术标准
- 任何可用于保护诸如密码键等敏感物品的特别管制手段(参见10.3.5)
8.7.2 传递中媒体的安全管制
信息在物理传递过程中(例如,通过邮政服务或快件传递媒体)可能遭受非法存取、滥用或毁坏。因此,可采用如下管制手段来保护电脑媒体在两地传递过程中的安全: - 使用可靠的传递方式或快件服务。经过授权的快件服务公司的清单要经过单位管理人员的批准,并制定流程来检查快件公司的身份
- 要有充分的包装,以防止传递过程中所发生的物理毁坏;或按照媒体制造商的要求进行包装
- 如有必要,采取特别的管制措施来保护敏感信息,使其避免被非法泄漏或修改。可采用的措施包括:1)使用上锁的集装箱;2)手头传递;3)防拆包装(可显示任何拆封的痕迹);4)在特殊情况下,将发送的物品分开并通过不同的路线传递
8.7.3 电子商务的安全性
电子商务可能会涉及电子数据交换、电子邮件和通过因特网之类的公众网进行网上交易等方式的使用。电子商务很容易受到网络上的威胁,从而导致欺诈行为、合同纠纷和信息的泄漏或修改。应当采取管制手段防止上列威胁的出现。进行电子商务时可考虑如下要素:
- 身份认证:客户和交易人对彼此的身份的把握程度如何?
- 授权:谁有权力来制定价格、交易内容并签署关键的交易文件?贸易伙伴怎么知道这个?
- 合同和竞标过程:关于关键文件的发送、接收及合同的不可推翻性在其保密性、完整性和可证明性方面有哪些要求?
- 定价信息:报价清单的完整性和敏感折扣安排的保密性在多大程度上是可信的? - 订单交易:订单、支付和交货地址详情及接收确认方面的完整性和保密性如何? - 检审:如何适当地对客户提交的支付信息进行检审?
- 结算:什么是防范欺诈的最佳支付方式?
- 订货:应采取哪些措施来保护订单信息的保密性和完整性,并防止上述信息的泄漏或复制?
- 责任:出现欺诈性交易时的责任谁来承担?
上述的许多考虑都要依法通过网上加密技术的使用得以实现。(参见10.3条款,12.1条款和12.1.6条款)
贸易伙伴间的电子商务安排应通过记录在案的合同加以约束,从而使双方都能对合同的贸易条款作出承诺,包括授权的细节等。同时,也有必要和信息服务和网络增值业务提供商签订其它的协议。
公共交易系统应向客户公开其交易条款及规定。
对电子商务主机的攻击反弹的现象要加以特别注意,并要求实施任何安全隐患处理措施。
8.7.4 电子邮件的安全性
8.7.4.1 安全风险
电子邮件被用作业务交流,从而替代了传统形式的通讯方式如电传或信件。电子邮件和传统的商务通讯方式有很多不同,如速度、信函结构、正规的程度及易受非法攻击等。因此,要制定使用电子邮件的安全政策和管制办法,降低使用电子邮件产生的风险。安全方面的风险包括:
- 信息易受到非法存取、修改或拒收
- 易出错误,如错误的地址或错发,及服务的总体可靠性和易得性等
- 通讯媒体的改变对业务流程的影响,如发送速度加快的影响,及在人与人之间而非公司和公司之间发送正式信函的影响等
- 法律方面的考虑,如潜在的关于邮件来源、发送、提交和接收证明的要求 - 向外界公布本单位员工名单的隐患
- 对远程存取电子邮件人员的管制
8.7.4.2 电子邮件方面的政策
单位应当制定清楚的政策对电子邮件的使用加以规定,包括:
- 对电子邮件的攻击,如病毒或截获
- 保护电子邮件的附件
- 关于何时禁止使用电子邮件的规定
- 员工不损害公司利益的责任,如不得发放诋毁性的电子邮件,不得用电子邮件对他人进行骚扰,不得进行非法买卖等
- 使用加密技术保护电子信息的保密性和完整性(参见10.3)
- 保留有关讯息用于法律诉讼时的作证
- 对不能辨明其身份的电子邮件进行检审的额外管制手段
8.7.5 电子办公系统的安全性
制定实施有关政策和纲领,对电子办公系统的使用和安全风险进行管制。这些提供了机会可以通过运用文件、电脑、移动电脑、移动通讯、邮件、语音邮件、语音通讯、多媒体、邮政服务设施和传真机等的组合更快地传播讯息并分享商务信息。 对设备联结的安全考虑应当包括如下几点:
- 办公室系统中的信息面临的安全隐患:如电话记录或电话会议,呼叫的保密性、传真的保存、邮件的打开和分发等
- 管理信息共享的政策和适当管制措施,如公司电子布告栏的使用等
- 如系统不能提供适当级别的保护,需要进行隔离保护的敏感商业信息的分类 - 限制存取涉及被选个人的日记信息,如从事敏感项目工作的员工的信息
- 系统支持业务应用的适当性,如通讯订单或授权等
- 对允许使用系统的员工、合同方或业务伙伴的分类划分,及其可存取的位置 - 对使用者的身份进行识别,例如是单位的员工还是用于别的目的的合同方等 - 对系统上的信息进行备份保存(参见12.1.3和8.4.1)
- 紧急情况的要求和安排(参见11.1)
8.7.6 公共信息系统的安全性
采取措施保护以电子形式发布的信息的完整性,防止对其进行非法修改而造成的对单位名誉的损害。在公共系统上的信息,如通过因特网可存取的网络服务器上的信息,要合乎其所在地区或所从事交易的地区的法律的要求。信息在公开前,要经过正式审批过程。
应采取适当的机制对公共系统上的软件、数据或其它要求高度完整性的信息加以保护,例如采取电子签字等(参见10.3.3)。电子发布系统,特别是允许反馈和直接存入的系统,要加以严格管制,以做到:
- 信息的获得符合数据保护法律的要求(参见12.1.4)
- 输入发布系统的、或系统需要处理的信息要得以完全、准确、按时的处理 - 敏感信息在收集和储存过程中要加以保护
- 进入发布系统时,不得进入与其相连的但与本操作无关的其它网络
8.7.7 其它形态的信息交换
制定流程和管制办法,对通过声频、传真和视频设备等渠道进行的信息交换进行保护。安全意识或使用设施流程的缺乏会导致信息的泄漏,比如,打移动电话、使用语音答录机时会被监听,语音邮件系统被非法进入或把传真错发给别人等。
通讯设备出现故障、超载或中断会导致业务的中断及信息的泄漏(参见7.2和11条款)。信息可可能通过非法使用者的进入而遗失(参见第9条款)。
因此,需要制定一些政策,规定员工在使用语音、传真和视频通讯设备时应遵守的流程。这主要包括:
- 提醒员工打电话时采取适当保护措施,如不提敏感信息以免信息被如下人员监听或截获:1)员工周围的人,特别是使用手持电话的人;2)通过盗线或其它物理方式接触电话机或电话线的人,及使用使用手持电话时用扫描接收器进行监听的人;
3)在受话人一端的人
- 提醒员工不得在公开场所、开放的办公室或墙壁较薄的房间内谈论保密话题
- 不得在语音答录机上留言,因为这些设备可被非法人员盗听、或由于拨号错误而录到不正确的地方
- 提醒员工使用传真机所可能导致的问题,如1)传真机内存信息被非法提取;2)故意或非故意地对传真机的程序进行修改导致传真发送到别的指定的号码上;3)由于错误拨号或错误使用传真机内存的号码而把传真错误地发到错误的号码上。