信息安全管理標準WorldwideStandardsHavingtroublelocatinganoverseasstandard?BSIhasthesolutionWITHBSI,YOURSEARCHISOVERBEFOREIT,SEVENBEGUNWorldwideStandardsDirectisthefast,cost-effectivestandardsservice.Contactuson:Informationsecuritymanagement一Part1:Codeofpracticeforinformationsecuritymanagement信息安全治理標準第一部分:信息安全治理慣例名目WorldwideStandards2Havingtroublelocatinganoverseasstandard?BSIhasthesolution2WITHBSI,YOURSEARCHISOVERBEFOREIT'SEVENBEGUN2第一部分:信息安全治理慣例 4序18簡介19什么是信息安全?19什么緣故需要信息安全 19如何制定安全需求20評估信息風險20安全操縱的選擇21信息安全的動身點22重要的成功因素22開發你自己的指導方針 23.范疇23.術語與定義23信息安全23風險評估 23風險治理23.安全策略24信息安全策略24信息安全策略文件 24復審及評估24.安全組織25息安全架構25治理信息安全論壇25信息安全的和諧25信息安全責任的分配26息處理設備的授權步驟27信息安全專家的意見27組織之間的合作27信息安全的獨立復審28第三方訪咨詢的安全28確認第三方訪咨詢的風險29訪咨詢的種類29訪咨詢的緣故29.3現場合同方294.2.2第三方合同的安全要求304.3外包服務31外包合同的安全要求31.資產分類與操縱32資產的使用講明32資產清單32信息分類33分類的指南33信息標注及處理33.人員安全34崗位定義及資源分配的安全34崗位責任的安全34人事過濾及策略35保密協議35雇傭條款36用戶培訓36信息安全教育及培訓36安全事件及失常的反應措施36報告安全事件37報告安全的弱點37報告系統的故障37吸取教訓38處罰程序38.物理與環境的安全38安全區域38物理安全地帶38物理入口的操縱39愛護辦公室、房間及設備39在安全地帶工作40隔離的交付及裝載地點41設備的安全41設備的放置及愛護 42電カ的供應42電纜線路的安全43設備的愛護 43設備離開大廈的安全44設備的安全清除或重用44ー樣操縱45收拾桌子及清除屏幕的策略45財物的搬遷46.通訊與操作的治理46操作步驟及責任46文檔化操作程序46操作變動的操縱47安全事件治理程序 47責任分開制48開發及正式使用設備的分開48外部設備的治理49系統規劃及接收 50儲存量的打算50系統接收50應付惡意軟件51操縱惡意軟件51備份及復原性常務治理52信息備份53操作員日志53對錯誤進行記錄53網絡治理54網絡操縱54介質的處理與安全54可移動運算機介質的治理 55介質的清除55信息處理的程序56系統講明文檔的安全56信息與軟件的交換57信息及軟件交換協議57傳遞中介質的安全57電子商務的安全58電子郵件的安全59安全風險 59電子郵件的策略59電子辦公室系統的安全60可公用的系統60其它形式的信息交換61TOC\o"1-5"\h\z.訪咨詢操縱 62訪咨詢操縱的業務需求62訪咨詢操縱策略62策略及業務需求 62訪咨詢操縱規定 63用戶訪咨詢的治理63用戶登記63特權治理64用戶ロ令的治理65用戶訪咨詢權限的檢查65用戶責任65口令的使用66無人看管的用戶設備66網絡訪咨詢操縱67網絡服務的使用策略67強制式路徑67外部連接的用戶認證68網點認證69遠程診斷端口的愛護69網絡的隔離69網絡連接操縱70網絡路由的操縱70網絡服務的安全71操作系統的訪咨詢操縱 71自動認證終端71952終端的登錄程序72953用戶標識及認證72ロ令治理系統73系統工具的使用74為保證安全的人員配備強迫警鐘 ?4終端超時74連接時刻的限制75應用系統的訪咨詢操縱 75信息訪咨詢的限制75敏銳系統的隔離76系統訪咨詢和使用的監控76事件記錄76監控系統的使用77風險的程序及區域779.722風險因素77對事件進行日志記錄和審查78時鐘的同步78移動操作及遠程辦公78移動操作79遠程工作80.系統開發與愛護82系統的安全要求82安全要求分析及規格82應用系統中的安全82輸入數據的核實83內部處理的操縱83有風險的地點83檢查及操縱83消息認證841024輸出數據的核實84密碼操縱85密碼操縱的使用策略 85加密85數字簽名86不可抵賴服務87密鑰治理87密鑰的愛護87標準,程序及方法87系統文件的安全88運行軟件的操縱89系統測試數據的愛護 89源程序庫的訪咨詢操縱89開發及支持程序的安全90改動操縱程序 90操作系統改動的技術檢查91更換軟件包的限制91隱藏通道及特洛伊代碼92外包軟件的開發92.業務連續性治理93關于業務連續性治理93業務連續性治理的過程93業務連續性及阻礙的分析94撰寫及實施連續性打算94業務連續性打算的框架94測試、愛護及重新評估業務連續性打算95測試該打算95愛護及重新評估該打算96.遵循性 97是否遵守法律97確定適用的法律97知識產權97版權97軟件版權97保證機構的記錄98數據愛護及個人信息的隱私99防止信息處理設備被濫用99密碼操縱的規定100證據的收集100證據的規則!00證據的適用性101證據的質量和完備性101核對安全策略及技術合格性101與安全策略一致102技術依從性的檢查!02系統審計的考慮103系統審計操縱!03對系統審計工具的愛護103第二部分:信息安全治理系統的規范105疇105語與定義 105息安全治理系統的要求105概要105建立一個治理架構105實施!05文檔105文檔操縱 !06記錄1064.詳細監控I07安全策略107信息安全策略 107信息安全策略文檔107檢查和評判!07安全組織!07信息安全基礎設施107治理層信息安全論壇!07信息安全的和諧107信息安全職責的分配107信息處理設施的授權過程107專家信息安全建議!08各機構之間的協作108信息安全的獨立檢查108第三方訪咨詢的安全 108第三方訪咨詢的風險的識不108在第三方合同中的安全要求108外部采購!08在外購合同中的安全要求108資產分類與操縱!08資產的可講明性108資產的盤點108信息分類108分類方針 !09信息標簽和處理 109人員安全109工作定義和資源中的安全109工作責任的安全I09職員選擇和策略109保密協議109雇傭的條款和條件109用戶培訓!09信息安全教育和培訓!09安全事故與故障的處理109報告突發安全事故110報告安全弱點110報告軟件故障110從事故中吸取教訓110糾正過程110物理與環境的安全110安全地區110物理安全邊界110物理接口操縱110愛護辦公室、房間和設施110在安全地區工作110隔離的運輸和裝載地區110設備安全110設備放置地點的選擇與愛護111電源供應111電纜安全111設備愛護111在機構外部使用設備時應注意的安全性111設備應該被安全地處理掉和再使用111ー樣操縱111清潔桌面與清潔屏幕策略111資產的刪除111通訊與操作的治理111操作過程與職責111記錄操作過程111針對操作變化的操縱112事件治理程序112職責分離112開發設施與操作設施的分離112外部設施治理112系統打算與驗收!12容量打算112系統驗收112針對惡意軟件的防護112釆取操縱來防范惡意軟件112內務處理112信息備份!13操作員日志113出錯日志113網絡治理113網絡操縱113介質處理和安全113運算機可移動介質的治理113介質處理113信息處理程序113系統文檔的安全113信息及軟件的交換113信息和軟件的交流協議113傳輸過程中的介質安全114電子商務安全114電子郵件安全114電子辦公系統的安全114信息公布系統的安全114其它方式的信息交換114訪咨詢操縱!14訪咨詢操縱的商業需求114訪咨詢操縱策略114用戶訪咨詢治理114用戶注冊114特權治理115用戶ロ令治理115用戶訪咨詢權限審查115用戶職責!15口令的使用115易被忽略的用戶設備115網絡訪咨詢操縱115網絡服務的使用策略115增強的路徑115外部連接的用戶認證115節點認證!15對遠程診斷端口的愛護115網絡隔離115網絡連接操縱116網絡路由操縱116網絡服務的安全性116操作系統訪咨詢操縱116自動終端認證116終端登錄過程116用戶標識和認證116ロ令治理系統116系統工具的使用116用警告信息愛護用戶116終端超時116連接時刻的限制 117應用系統的訪咨詢操縱117信息訪咨詢限制 117敏銳系統的隔離117監控對系統的訪咨詢和使用117事件日志117監控對系統的使用情形117時鐘同步117移動運算與遠程工作117移動運算117遠程工作117系統開發與愛護118系統的安全需求!18安全需求分析與描述118應用系統的安全118對輸入數據進行有效性確認118對內部處理的操縱118消息認證!18對輸出數據進行有效性確認118密碼操縱!18密碼操縱的使用策略118加密118數字簽名118不可否認服務118密鑰治理118系統文件的安全性119對業務軟件的操縱119對系統測試數據的愛護 119對程序源代碼庫的訪咨詢操縱119在軟件開發與支持過程中的安全性119變化操縱程序119針對操作系統變化的技術審查119限制對軟件包的修改119隱藏信道和特洛依木馬代碼119外包軟件開發119TOC\o"1-5"\h\z業務連續性治理 119業務連續性治理的各個方面 119業務連續性治理的進程 120業務連續性與阻礙分析 120連續性打算的撰寫與實施120業務連續性打算的框架120測試、愛護與重新評估業務連續性打算120遵循性!20與法律要求的一致性120識不適用的立法120知識產權120愛護機構的文檔記錄120數據愛護與個人信息隱私120防止信息處理設備的誤用 120密碼操縱制度!21證據收集121安全策略與技術遵循性的復審 121與安全策略的一致性121技術遵循性檢查121系統審計的考慮121系統審計操縱121系統審計工具的愛護121序BS7799的那個部分是在BSI/DISC委員會BDD/2一信息安全治理部監督下完成的,用來代替BS77991995.BS7799分兩部分公布:ー第一部分:信息安全治理慣例ー第二部分:信息安全治理規范簡介什么是信息安全?信息是一家機構的資產,與其它資產ー樣,應受到愛護。信息安全的作用是愛護信息不受大范疇威逼所干擾,使機構業務能夠暢順,減少缺失及提供最大的投資回報和商機。信息能夠有多種存在方式,能夠寫在紙上、儲存在電子文檔里,也能夠用郵遞或電子手段發送,能夠在電影上放映或者講話中提到。不管信息以何種方式表示、共享和儲備,都應當適當地愛護起來。因此信息安全的特點是保留信息的如下特性:保密性(confdentiality):保證信息只讓合法用戶訪咨詢;完整性(integrity):保證信息及其處理方法的準確性(accuracy),完全性(completeness)；可用性(availability)：保證合法用戶在需要時能夠訪咨詢到信息及有關資產。實現信息安全要有一套合適的操縱(controls),如策略(policies)、慣例(practices)、程序(procedures)、組織的機構(organizationalstructures)和軟件功能(softwarefunctions)〇這些操縱需要被建立以保證機構的安全目標能夠最終實現。什么緣故需要信息安全信息及其支持進程、系統和網絡是機構的重要資產。信息的保密性、完整性和可用性對機構保持競爭能力、現金流、利潤、守法及商業形象至關重要。但機構及其信息系統和網絡也越來越要面對來自四面八方的威逼,如運算機輔助的詐騙、間諜、破壞、火災及水災等。缺失的來源如運算機病毒、運算機黑客及拒絕服務攻擊等手段變得更普遍、大膽和復雜。機構對信息系統及服務的依靠意味著更容易受到攻擊。公網和專網的互聯以及信息資源的共享增加了訪咨詢操縱的難度。分布式運算的趨勢差不多削弱了集中治理的成效。專門多信息系統沒有設計得專門安全。利用技術手段獲得的安全是受限制的,因而還應該得到相應治理和程序的支持。選擇使用那些安全操縱需要事前小心周密打算和對細節的關注。信息安全治理至少需要機構全體職員的參與,同時也應讓供應商、客戶或股東參與,如果有必要,能夠向外界尋求專家的建議。對信息安全的操縱如果融合到需求分析和系統設計時期,則成效會更好,成本也更廉價。如何制定安全需求識不出ー個機構的安全需求是專門重要的。安全需求有三個要緊來源。第一個來源是對機構面臨的風險的評估。通過評估風險后,便能夠找出對機構資產安全的威逼,對漏洞及其顯現的可能性以及造成多大缺失有個估量。第二個來源是機構與合作伙伴、供應商及服務提供者共同遵守的法律、法令、規例及合約條文的要求。第三個來源是機構為業務正常運作所專門制定的原則、目標及信息處理的規定。評估安全風險安全需求通過系統地評估安全風險而得到確認。實現安全操縱的費用應該與由于安全失敗所導致的業務缺失之間取得平穩。風險評估能夠在整個機構或機構的一部分、單個信息系統、某個系統部件或服務上實行,只要是可行的、現實的和有益的就能夠了。風險評估是系統地考慮下列內容的結果:a）安全措施失效后所造成的業務缺失,要考慮到信息和其它資產失去保密性、完整性和可用性后的潛在后果;b）最常見的威逼、漏洞以及最近實施的安全操縱失敗的現實可能性。評估結果會有助于指導和確定合適的治理行動和治理信息安全風險的優先次序,以及實施選擇的來抵御這些風險的合適的安全操縱。風險評估及安全操縱的選擇的進程可能要重復幾次,以便覆蓋機構不同部門或個不信息系統。重要的是要定期復審安全風險和實施的安全操縱,以便:a）考慮業務需求和優先級的變化;b）考慮新顯現的威逼與漏洞;c）確認安全操縱仍舊有效同時合適。復審應該在不同深度上被執行,這依靠于往常的復審結果和治理層預備同意的風險的變化水平。風險評估ー樣是第一從高層開始,目的是提升位于高風險區的資源的優先級,然后在ー個更詳細的層次上來講明特定的風險。選擇操縱一旦找出了安全需求,下ー步應是選擇及實施安全操縱來保證把風險降低到可同意的水平。安全操縱能夠從那個標準或其它有關標準選擇,也能夠自己設計滿足特定要求的操縱。有專門多治理風險的方法,該文檔只提供ー樣方法。然而,應了解到ー些安全操縱并不適用于每個信息系統或環境,同時并不是對所有的機構都可行。安全操縱的選擇應該基于實施該安全操縱的費用和由此減少的有關風險，以及發生安全事件后所造成的缺失,也要考慮非金鈔票上的缺失,如公司聲譽的降低等。這份文檔所提供的一些安全操縱能夠作為信息安全治理的指導原則,同時對大部分機構差不多上適用的。信息安全的動身點有一些安全操縱能夠被看作指導性原則,能夠為實施信息安全提供ー個好的動身點。這些操縱要么是基于法律的規定,要么被認為是信息安全的常用的最佳實踐和體會。從立法的觀點動身,機構必不可少的安全操縱有:知識產權（參看!2.1.2）；對機構文檔記錄的愛護（參看!2.1.3）；數據愛護及個人信息的隱私（參看!2.1.4）O被認為是信息安全的最佳實踐的操縱包括:信息安全策略文檔（參看3.1.1）；信息安全責任的分配（參看4.1.3）；信息安全的教育與培訓（參看6.2.1）；報告安全事件（參看6.3.1）；業務連續性治理（參看11.Do這些安全操縱在大部分機構及環境都適用。盡管那個地點所提到的安全操縱都專門重要,但選出合適的安全操縱應考慮機構要面對的風險。因此，盡管上面所提出的方法是一個專門好的動身點,但不能代替在風險評估基礎上選擇出的合適的安全操縱。關鍵的成功因素體會表明:以下的因素對在ー個機構內成功實施信息安全通常是關鍵的:反映業務目標的安全策略、安全目標和活動;與機構的文化保持一致性的安全實施方法；來自治理層的可見的支持與承諾;對安全需求、安全評估及安全治理有良好的明白得;關于安全的對所有經理及職員的有效宣傳;向所有職員和合作伙伴公布關于信息安全策略和標準的指南;提供合適的培訓與教育;ー套全面而均衡的用來評估信息安全治理的性能和有關改進安全治理的反饋建議的測量系統。開發你自己的指導方針那個安全實踐慣例能夠作為開發特定機構安全指南的動身點。并不是該指南的所有方面和操縱差不多上適用的。進ー步講,該指南不包含的操縱也可能成為必須的。當這種情形發生時,保留交叉引用是有所助益的,這有利于審計人員和業務伙伴進行一致性檢查。.范疇BS7799的這部分內容為信息安全治理提供了舉薦建議，那些負責起動、實現或愛護機構安全的人員能夠使用這些建議。目的是為開發安全標準和有效的安全治理慣例提供ー個公共基礎,并提供在機構之間進行交易的信心。.術語與定義該文檔有下列術語和定義:信息安全完整性定義為愛護信息和處理方法的準確性和完備性。可用性定義為保證被授權用戶在需要時能夠訪咨詢到信息和有關資產。風險評估對信息和信息處理設施所面臨的威逼及其阻礙以及信息系統脆弱性及其發生的可能性的評估。風險治理以能夠同意的代價識不、操縱、最小化或者排除阻礙信息系統安全的風險的程序。.安全策略信息安全策略目的:提供信息安全的治理方向及支持。治理層應該指定清晰的策略方向及大力支持信息安全,并在全機構推行及愛護信息安全策略。信息安全策略文件一個策略文件應由治理層批準、印制及向職員公布。策略應聲明治理層的承諾,及機構治理信息安全的方法。策略至少要包括以下內容:a）信息安全的定義、整體目標和范疇以及安全對信息共享的重要性（參看簡介）；b）對治理層的意圖的聲明及支持,以及信息安全的原則;c）安全策略、原則、標準的簡介,也包括對機構有專門重要性的法律的要求,例如:1）要符合法律及合同要求;2）安全教育的要求;3）防止及檢測病毒及其它惡意代碼;4）業務連續性治理;5）違反安全策略的后果。d）信息安全治理的ー樣和特定責任的定義,包括報告安全事件;e）支持策略的文檔的參考講明,例如專門信息系統或安全規定用戶應遵守的更詳盡的安全策略及程序。該策略應在全機構公布,讓有關人員訪咨詢和明白得透徹。3.1.2復審及評估策略應有一個擁有者,負責按復審程序愛護及復審該策略。該復審程序應確保在阻礙原風險評估基礎的任何改動發生后會趕忙進行復審,例如發生重要的安全事件、顯現新漏洞、機構或技術架構的改變。還應該定期安排審查以下內容:a）系統所記錄的安全事件的本質、次數及阻礙所表明的策略的有效性;b）操縱對業務效率的阻礙和成本;c）技術改變的成效。.安全組織信息安全架構目的:治理機構內的信息安全。應建立一個機構治理架構,在全機構內推行及治理信息的安全。應由治理層牽頭、組織治理論壇來討論及批準信息安全策略、指派安全角式及和諧全機構安全的實施。如有需要,應在機構內建立一個信息安全資源庫。應開始與不處的安全專家保持聯系,最終最新的行業動態、留意業內標準及評估方法，以及發生安全事件時提供適當的聯系方法。應從多方面考慮信息安全，例如,調動部門經理、用戶、治理員、應用系統設計者、審計及安全職員及保險和風險治理專家共同制定策略。治理信息安全論壇信息安全是所有治理層成員所共有的責任。ー個治理論壇應確保有明確的安全目標,及治理層的大力支持。論壇的目是在治理層的承諾及足夠資源的情形下,在全機構內推廣安全。論壇也能夠是治理層的一部分,一樣要承擔的工作有:檢查及批準信息安全策略及整體責任監控對暴露于嚴峻威逼面前的信息資產所作的重大改動檢查及監控安全事件審批極大提升信息安全的重要舉措應有一個經理負責所有有關安全的活動。信息安全的和諧在大的機構中,有關部門的治理人員應組成跨過職能部門的安全論壇,來和諧信息安全治理的實施，論壇ー樣會是:統一指派機構內信息安全的角色和責任統一制定信息安全的方法和步驟,例如風險評估、安全分類系統等統一及支持機構的信息安全行動,例如舉辦安全意識培訓確保安全是信息打算的一部分有新系統或服務時,評估個不信息安全操縱的準確性,以及和諧信息安全操縱的實施檢查信息安全事件在全機構內提升業務方面對信息安全的支持信息安全責任的分配應明確定義愛護個人資產及執行某指定安全程序的責任。信息安全策略（參見條款3）應提供如何分配機構安全角式及責任的ー樣指引。如有需要,應附加某個不網址、系統或服務更詳細的指引,也要明確確定物理資產、信息資產及安全進程的本地責任,例如業務連續性打算。專門多機構的信息安全經理負責整個安全和操縱的開發及實施,然而,查找及實施操縱的責任,則是個不經理負責。ー個普遍的做法是定出每種信息安全資產的擁有者,然后這角色負責這資產的日常安全。信息資產的擁有者應把安全責任委派到個不經理或服務提供者。盡管如此,擁有者最終負責資產的安全,并能確定任何委派的責任會被正確舍棄。應明確講明每位經理所負的責任范疇,專門是:明確定義每個系統所關聯的資產及安全程序統ー那經理負責那資產或安全程序,并講明責任的詳情明確定義及講明授權級不信息處理設備的授權步驟應為新的信息處理設備建立治理授權步驟,要考慮的有:新設備要有適當的用戶治理批準手續,授權設備的使用及目的,也要有負責愛護本地信息系統安全環境的經理的批準,以保證按有關安全策略及要求執行。在任何需要的情形下,檢查清晰軟、硬件是否與其它系統部件兼容。注意:有些連接需要批準使用個人信息處理設備處理業務信息的任何授權操縱在工作地點使用個人信息處理設備會導致新漏洞的顯現,因此應通過評估及授權這些操縱對互聯環境專門重要。信息安全專家的意見專門多機構可能都需要信息安全專家的意見,最好是內部有如此體會豐富的安全專家,但不是每個機構都想要專家的意見。如果是如此，建議確定一位職員負責和諧機構內部的安全情況,及提供安全意見。機構也應找外部的專家,為自己沒有體會的安全情況提供意見。信息安全顧咨詢應負責提供信息安全方方面面的意見,他們對安全威逼的評估及對操縱的意見會確定機構信息安全的有效性。為了發揮最大效益,應讓顧咨詢能夠直截了當與整個機構的所有治理層接觸。在懷疑發生安全事件時,應在第一時刻把信息安全顧咨詢請來,以便第一手明白事件的真相,提供最專業的意見。盡管大部分內部安全調查在治理層的操縱下正常執行,但依舊需要信息安全顧咨詢的意見、領導及進行調查。組織之間的合作應與執法機構、立法機關、信息服務提供者及電信運行商保持聯系,以保證安全事件發生后,趕忙采取行動及取得有關意見。同樣理由,也考慮與安全組及行業論壇的成員保持聯系。有關安全的信息的交換應被禁止,以保證機構的隱秘信息可不能傳到非法人員。信息安全的獨立復審信息安全策略文檔（參看3.1.1）講明信息安全的策略及責任,策略的實施應受到獨立的檢查,以保證機構的慣例如實反映策略,同時是可行的及有效的。如此的檢查能夠由內部審計部門、某經理或第三方有關這方面的機構去執行,因為他們有方面的技術及體會。第三方訪咨詢的安全目的:愛護被第三方訪咨詢的機構信息處理設備及信息資產的安全。應操縱來自第三方的對機構信息處理設備的訪咨詢。如有業務需要讓第三方訪咨詢,應先評估風險以確定安全內容及對操縱的需求。應該統ー要執行的操縱并與第三方定義如此的合同。第三方訪咨詢也包括其他參與者。準許第三方訪咨詢的合同應包括其它能夠訪咨詢的參與人員的名稱及條件。那個標準應該被用作訂立如此的合同的基礎,也作為考慮需要外包信息處理時的基礎。確認第三方訪咨詢的風險訪咨詢的種類給于第三方訪咨詢的訪咨詢類型是專門專門重要的,例如通過網絡連接訪咨詢的風險與物理訪咨詢的風險不同。要考慮的訪咨詢類型有:物理訪咨詢,例如進入辦公室、運算機房、文件柜等;邏輯訪咨詢,例如存取某機構的數據庫、信息系統等。訪咨詢的緣故讓第三方訪咨詢能夠有專門多緣故,舉例,第三方為機構提供服務,但不能現場找到,只能通過物理及邏輯訪咨詢,例如硬件及軟件技術支持人員,需要訪咨詢到系統級不或應用系統的最底層貿易伙伴或合資伙伴,需要交換信息、訪咨詢信息系統或共享數據庫沒有足夠愛護的安全治理,讓第三方訪咨詢會把信息處于危險的地步。但凡有業務需求需要連接到第三方的地點，應先進行風險評估,確定要操縱的任何要求。要考慮的有訪咨詢方法、信息的價值、第三方所采納的操縱,以及如此的訪咨詢對機構信息安全的阻礙。現場合同方現場的第三方通過合同所定的一段時刻后，也會減弱機構的安全,如此的第三方的例子有:硬件及軟件愛護及技術支持人員清潔服務、膳食服務、保衛服務及其它外包的支持服務學生臨時短工及其它短期職務的人員顧咨詢要清晰了解需要那些操縱來治理第三方對信息處理設備的訪咨詢。通常,所有因第三方訪咨詢而引致的訪咨詢或內部操縱,應反映在第三方的合同中（參看4.2.2）舉例,如果有專門需要要保密信息,應考慮簽定‘保密協議’（參看6.1.3）不應提供第三方訪咨詢信息及信息處理設備的能力,除非差不多實施適當的操縱及簽定有關合同并定出連接或訪咨詢的條款。第三方合同的安全要求涉及第三方訪咨詢機構信息處理設備的安排,應該基于正式簽定的合同,包括或參考所有符合機構安全策略及標準的安全要求。合同應沒有機構和第三方之間模糊的地點。機構應滿足供應商的賠償。合同條款能夠考慮以下:信息安全的總策略;資產的愛護,包括:愛護機構資產的程序,包括信息及軟件;確定是否發生破壞資產安全事件的程序,例如數據的丟失或更換;確保在合同期滿或有效期間歸還或毀滅信息及資產；完整性及可用性；限制拷貝及公布信息；每種可供使用的服務的講明;服務的預期目標及不可同意的服務;適時調動職員的服務；各方對協議所負的責任;法律責任,例如:數據愛護的法律,專門是合同涉及與其它國家的機構合作時所牽涉的不同的國家法律系統（參看12.1）；知識產權及版權（參看12.1.2）,以及任何合作成果的愛護（參見6.1.3）；訪咨詢操縱協定,包括:.可容許的訪咨詢方法,以及唯獨標識符如用戶1D及口令的使用及治理操縱;.用戶訪咨詢及權限的授權過程;.儲存ー份合法使用可用服務的個人的名單,以及他們的使用權限;可核查的性能指標的定義、監控及報告方法;用于監控、注銷用戶活動的權限;審計合同責任的權限,或讓第三方執行如此的審計;越級申請解決咨詢題的手續；應急安排；關于硬件及軟件安裝及愛護的責任；ー個專門清晰的報告架構及統ー的報告格式；清晰明白的更換治理程序；任何需要的物理愛護操縱以及確保按照操縱治理的機制；對用戶及治理員的在方法、程序及安全方面的培訓；應付惡意軟件（參看8.3）的操縱；報告、通知及調查安全事件及安全違規的安排；第三方和轉包商之間的關系。外包服務目的:當信息處理外包到另一家機構時愛護信息的安全。外包的安排中應該在合同中講明風險、安全操縱、信息系統的處理過程、網絡、桌面環境。外包合同的安全要求合同應包括機構把全部或部分信息系統、網絡及/或桌面環境外包的安全要求。舉例來講,合同應包括:合同的要求如何被滿足,例如：數據愛護的法律；有什么安全來保證所有參于外包的合同方，包括轉包商,明白他們的安全責任;如何愛護及測試機構業務資產的完整性及保密性；有什么物理及邏輯操縱能夠用，來限制只讓合法用戶訪咨詢機構的敏銳業務信息；當發生災難時如何愛護服務還能夠使用;有什么級不的物理安全來愛護外包設備;審計的權限。應考慮4.2.2所列的,作為合同的條款。合同應讓安全要求及程序能夠在合同雙方所用意的安全治理打算內連續補充。盡管外包合同會帶來一些復雜的安全咨詢題,但那個地點所包括的操縱能夠作為起點,統ー安全治理打算的結構及內容。.資產分類與操縱資產的使用講明目的:堅持適當的愛護措施愛護機構的資產。所有重要的信息資產應有負責人,并有選定的所有者。資產的責任制保證實施了適當的愛護措施。所有重要的資產都要確定所有者,并制訂愛護適當操縱的責任。實施操縱的責任能夠委派。責任應只由所選定的擁有者負責。資產清單資產清單關心了解已實施有效的愛護措施,也能夠是為其它業務目的而實施，例如衛生及安全、保險或財務（資產治理）的緣故。運算資產預備清單是風險治理的ー項重要事務。機構需要確定自己的資產、有多大價值及資產的重要性。機構按這些信息便能夠按資產的價值及重要性提供那樣的愛護措施。每一個信息系統都要有如此的ー份清單,列明重要的資產。應清晰確定每種資產及擁有權和安全分類（參看5.2）、當前位置（當丟失或損壞后要復原時，是專門重要明白在哪兒）。與信息系統有關的資產的例子有:信息資產:數據庫及數據文件、系統講明文檔、用戶手冊、培訓手冊、操作或支持程序、應急打算、后備安排、歸檔信息）；軟件資產:應用軟件、系統軟件、開發及系統工具;物理資產:運算機設備（處理器、顯示器、筆記本、調制解調器）,通訊設備（路由器、PABX、傳真機、應答機）、磁帶磁盤、其它技術設備（電源、空調）、家具、房子；服務:運算及通訊服務、ー樣公用事務,例如、供熱、燈光、電、空調等。信息分類目的:保證信息資產有適當程度的愛護。信息應被分類來確認愛護的需求、優先及程度。信息有不同程度的敏銳度及重要性。有些需要額外的愛護或專門處理。因此,應使用信息分類系統來定義適當的愛護級不,并看看是否需要專門處理。分類的指南要考慮的有類不的數目,以及分類后有什么好處。過于復雜的方法日后可能變得繁瑣、使用不經濟或顯得不實際。應小心如何講明其它機構的文件上的分類標簽,有可能同一種或類似的標簽有不同的定義。定義某信息的每個項目的責任,例如文件、數據記錄、數據文件或磁盤，以及定期檢查這些分類的責任,應該是有信息的被選所有者,或原先作者負責。信息標注及處理按機構所采納的分類方法,制訂合適的程序來標注及處理信息是專門重要的。這些程序應包括物理及電子形式的信息資產。每ー類都有指定的處理程序來定義以下各類的信息處理活動:拷貝;儲存;郵遞、傳真及電子郵件方式的傳輸;ロ頭傳輸,包括移動電話、語音郵件,應答機;銷毀。系統帶有被分類為敏銳或重要信息的輸出,應（再輸出）有適當的分類標簽注明。標簽應按5.2.1的分類規定注明。要考慮分類標簽的物件有:打印報表、屏幕顯示、記錄介體（磁帶、磁盤、CD等）、電子消息及文件轉移。物理標簽ー樣是適當的標簽形式,然而,某些信息資產，例如電子形式的文檔，不能物理標注,應使用電子標注。.人員安全.!崗位定義及資源分配的安全目的:減少人為錯誤、或設備被偷取、假冒或濫用的風險。應在聘請時講明安全的責任,包括合同中寫明,以及在職員雇傭期間檢查。聘請職員時應小心考慮（參看6.1.2）,專門是敏銳的崗位。所有職員及第三方用戶在使用信息處理設備時，要求簽一份保密協議。崗位責任的安全機構信息安全策略（參看3.1）所規定的安全角色及責任，應被記錄下來，責任應包括實施或愛護安全策略的任何一樣責任,和任何愛護某資產的專門責任，或為執行某安全進程或活動的責任。人事過濾及策略固定職員的檢查應在申請職位時進行,包括:要有中意的舉薦人,舉例,一個舉薦業務上的行為,一個舉薦關于個運氣德;檢查申請人的簡歷（是否完整及準確）；確認有沒有考取所稱述的學歷及職業資格;獨立的身份檢查（護照或其它文件）；如果某崗位（第一次職位分派或升職）需要某人進入信息處理設備,專門是要處理敏銳信息（例如財務信息或專門機要信息），機構應檢查這名職員的信譽。至于有相當授權權限的職員,應定期檢查。合約及臨時人員也要通過同樣的過濾過程。當這些職員是通過不處的人事公司提供,與人事公司簽定的合同應清晰指明人事公司的過濾責任，以及如果過濾不完整、或結果有可疑時所要進行的通知程序。治理層應該評估新的和沒有體會的職員訪咨詢敏銳系統所需的授權，是否需要監督。所有職員的工作應有更高級的職員定期查核。部門經理應明白職員的個人情形會阻礙他們的工作。個人及財務咨詢題、行為或生活適應發生變動、經常缺席及明顯精神壓抑,會進行假冒、偷盜、出錯或其他破壞安全行為。這些信息應按當地有關法律作適當的處理。保密協議ー樣的職員及第三方用戶沒有簽如此的協議（有保密協議在內）,應在容許進入信息處理設備前簽定如此的保密協議。保密協議應在更換雇傭條款或合同時檢查,專門是當職員快要離開機構或合同快到期。雇傭條款雇傭條款應講明職員信息安全的責任。如適當,這些責任應在雇傭期滿后連續性一段時刻,還應包括職員如果不領會安全要求所要采取的行動。職員的法律責任及權益,例如關于版權法律或數據愛護條例,應講明清晰及包括在雇傭協議的條款中,也應包括雇主數據的分類及治理的責任。在適當的地點,雇傭條款應講明這些責任也適用于機構大廈之外及正常エ作時刻之外,例如在家辦公（參看7.2.5及9.8.1）用戶培訓目的:保證用戶明白信息安全的威逼及擔憂，并在工作時支持實行機構的安全策略。用戶應被培訓關于安全程序，以及信息處理設備的正確使用，來盡量減低安全風險。信息安全教育及培訓所有機構的職員,如有關系,第三方用戶，都要同意適當的培訓,及注意機構策略及程序的定期更新。培訓內容包括安全要求、法律責任及業務操縱，以及正確使用信息處理設備的培訓,例如授予訪咨詢信息或服務前的登陸程序、軟件包的使用等。安全事件及失常的反應措施目的:把安全事故及失常的損壞降到最低，以及監控這些事件，并從中取得教訓。阻礙安全的事件應盡快通過合適的治理渠道報告。所有職員及合同職員應明白會阻礙機構資產安全的不同類不事件（安全破壞、威逼、弱點或錯誤工作）的報告程序。他們應盡快向指定聯系點報告任何受監視的、或可疑的事件。機構應制訂正式的處罰程序處理破壞安全的職員。如要正確處理事件,可能需要在事件發生后第一時刻收集證據（參見!2.1.7）〇報告安全事件安全事件應通過適當的治理渠道盡快報告。應制訂正式的報告程序和事件反應程序,講明收到事件報告后所要采取的行動。所有職員及合同職員應該都被通知報告安全事件的程序,并需要盡快報告。應實施合適的反饋程序保證處理事件后報告事件的結果。這些事件能夠當作安全意識培訓（參看6.2）的教材，講明事件發生會有什么情況發生、如何反應事件,及以后如何幸免事件重現（參看12.1.7）報告安全的弱點信息服務的用戶應被要求,要注意及報告系統或服務任何明顯的、或可疑的安全弱點或威逼。他們應盡快向治理層或直截了當向服務供應商報告。用戶應被通知，在任何情形下,他們都不應試圖證實可疑的弱點，這是為自己愛護,因為測試弱點會被認為是在濫用系統。報告系統的故障應建立報告軟件出錯的程序,要考慮的行動有:咨詢題的現象及注意屏幕上顯現的消息;運算機應被隔離,如可能,應該停止使用。應趕忙提醒有關人員。如果要檢驗設備,應在重新啟動前把設備從機構的網絡斷開連接。磁盤不應轉移到其它運算機中;應趕忙把事件報告信息安全經理。用戶不應試圖除掉可疑的軟件,除非有授權。應由通過合格培訓的、有體會的職員來復原系統。吸取教訓應有一套機制,來量化和監控事件及出錯的種類、數量和代價。這些信息應用來確認重復顯現或阻礙嚴峻的事件或出錯。這可能暗示需要增強的或額外的操縱,或者用來限制日后顯現的次數、缺失及代價，或者用于在核查安全策略過程中考慮（參看3.1.2）處罰程序應有一個正式的處罰程序來處罰那些違反機構安全策略及程序（參看6.1.4及!2.1.7的的證據保留）的職員。這程序能夠用來阻嚇那些不理會安全程序的職員。此外，處罰程序應確保正確,公平地處理那些懷疑要嚴峻破壞、或堅持要破壞安全的職員。.物理與環境的安全安全區域目的:防止非法訪咨詢、危害及干擾業務運營的前提條件及信息。重要的或敏銳的業務信息處理設備應放在安全的地點，有特定安全范疇內受到愛護,范疇的出入口有安全障礙及入口操縱,應有物理的愛護防止非法進入、危害及干擾。所提供的愛護應與所確定的風險相應。應有一個桌子或屏幕的清除策略，以減少非法訪咨詢的風險或損害紙張、介質及信息處理設備。物理安全地帶物理的愛護能夠是在業務辦公地點及信息處理設備的周圍,設置多個物理障礙。每個障礙都有一個安全地帶,層層愛護。機構應劃分安全地帶來愛護有信息處理設備（參看7.1.3）的地點。一個安全地帶是指設置某些障礙,例如墻壁、有卡操縱的入口門、或是有人看管的用于接待的桌。每個障礙的位置及カ度要視乎風險評估后的結果而定。下面的指南和操縱應該被考慮和實現:應清除講明安全地帶的范疇;大廈或有信息處理設備的地點的周圍應該是專門牢固的（即周圍沒有缺口或有專門容易進入的地點）。地點的外墻的結構應該專門牢固,以及所有外門應有適當的愛護,防止非法進入,例如操縱機制、欄桿、警鐘、鎖等;應劃出有人看管的會客地點，或使用其它方法操縱地點或大廈的物理進入。應只讓合法人員進入地點即大廈;物理障礙,如需要,應從實際的地板一直到房頂,以防止非法進入及環境的污染,例如火災及水災;所有在安全地帶的防火門應裝置警鐘,并是關閉的。物理入口的操縱安全地帶應有適當的入口操縱愛護,保證只有合法人員進入。要考慮的有:進入安全地帶的客人應有人監督或被驅逐,他們進入及離開的時刻都要記錄。他們只能進入指定的地點、應有授權的目的進入,同時,他們應該被告知地點的安全要求及緊急程序指示；對敏銳信息及信息處理設備的訪咨詢應操縱并限制為合法人員。認證操縱,例如打卡加PIN,應該用來授權及驗證所有的訪咨詢,并安全地保留所有訪咨詢的審計跟蹤；所有人員都需要戴上某些鮮亮的標識,并鼓舞詢咨詢沒有人員陪同的生疏人、或沒有戴上標識的人;應定期檢查及更新安全地帶的訪咨詢權限；愛護辦公室、房間及設備ー個安全地帶可能是上鎖的辦公室或地帶內的多個房間,房間可能都上鎖或有可上鎖的文件柜或保險箱。安全地帶的選定及設計應考慮有可能發生火災、水災、爆炸、暴動、以及其它的天災或人禍,也要考慮有關衛生及安全規定及標準,以及周圍環境的安全威逼,例如隔壁漏水。要注意的方面有:重要的地點應選擇防止公眾進入的地點;大廈應專門低調、不突出大廈的目的,大廈內外沒有明顯的標牌講明有信息處理的活動在進行;支持和功能設備,例如復印機、傳真機,應放置在安全地帶以防止隨便被人使用來破壞信息安全;沒有人時,門窗應上鎖，以及加大窗的外層愛護,專門是第一樓層的窗子安裝的并定期測試的合適入侵檢測系統應該有效工作，確保系統是在檢查所有外部門和可用的窗子。空置地點應經常報警。同樣的保安措施應實施在其它地點，例如，運算機房或通訊房;機構所治理的信息處理設備應與第三方治理的設備分開；標明敏銳信息處理設備的地點的講明性名目及內部電話簿,不應讓公眾得到;危險或易燃物體,應安全地儲存,與安全地帶保持一段安全的距離。大量的供應物品,例如文具,不應放置在安全地帶,除非確實有需要；備份設備及備份介質應該放置在距離主設備有一段距離的安全地點，幸免要緊地點發生災難時受到破壞。在安全地帶工作安全地帶可能需要額外的操縱和指導方針來加大安全，這包括操縱職員或在安全地帶工作的第三方人員以及第三方在這地帶所進行的活動。要注意的有:需要明白有人員在安全地帶工作或在地帶內進行活動；不鼓舞在安全地帶進行無人監督的工作,有安全方面的緣故,也是為了減少惡意活動的機會;空置的安全地帶應該物理上鎖及定期檢查;第三方的支持服務人員只有在需要時,才能進入安全地帶或訪咨詢敏銳信息處理設備。如此的訪咨詢應有授權及被監控。安全地帶內不同安全級不的地點,可能需要額外的障礙及邊界來操縱物理訪咨詢;不應攜帶相片、影帶、聲音或其它記錄設備,除非被授權。隔離的交付及裝載地點交付及裝載地點應受到操縱，如可能,應與信息處理設備隔離以幸免非法進入。這些地點的安全要求應在風險評估后確定。以下是要考慮的:應禁止從大廈不處進入裝載地點。只讓授權人員進入;裝載地點應當設計成供應品不需要操作職員進入大廈其它地點,就能夠卸載；當內門是打開時，裝載地點的外門應上鎖；應檢查進來的物品是否危險（參看7.2.1（4））,オ從裝載地點搬到使用地應登記進來的物品,如有需要（參看5.1）,應在大廈入口登記。設備的安全目的:防止資產丟失、缺失或被破壞,防止業務活動的停頓。設備應有物理愛護不受安全威逼及環境事故的阻礙。要愛護設備（包括用在離線的地點）以減少非法訪咨詢數據的風險,和愛護可不能丟失或缺失，也要考慮設備應放在什么地點及如何處理掉。可能需要專門的操縱來愛護故障或非法訪咨詢,和保證支援設備,例如電カ供應和線纜架構。設備的放置及愛護設備應放在安全的地點,愛護減少來自環境威逼及事故的風險,減少非法訪咨詢的機會。要考慮的有:設備的位置,應是盡量減少不必要的到工作地點的訪咨詢;處理敏銳數據的信息處理及儲存設備應該好好放置,以減少使用時被俯瞰的風險;需要專門愛護的東西,應被隔離;應操縱并減少潛在威逼顯現的風險:偷竊;火;爆炸物;煙;水(或供水有咨詢題)；塵埃；震動；化學效應;電カ供應干擾;電磁輻射;機構應考慮在信息處理設備鄰近的飲食及吸煙策略;應監控那些嚴峻阻礙信息處理設備操作的環境；考慮在エ業環境設備的專門愛護方法,例如采納鍵盤薄膜;應考慮在大廈鄰近發生災難的后果,例如隔離大廈著火、房頂漏水，地下層滲水、街道發生爆炸。電カ的供應應保證設備電源可不能顯現故障,或其它電カ專門。應有適當的、符合設備生產商規格的電カ供應。關于連續性供電的選項有:多個輸電點,幸免單點輸電導致全部停電；不間斷電源(UPS)；備份發電機。建議為那些支持重要業務操作的設備配備UPS,保持有次序的停電或連續性供電。應急打算應包括UPS發生故障時應采取什么行動。UPS設備應定期檢查,保證有足夠的容量,并按生產商的建議進行測試。如果發生長時刻電源失敗還要連續信息處理的話,請考慮配備后備發電機。發電機安裝后,應按生產商的指示定期進行測試。應提供足夠的燃料保證發電機能夠長時刻發電。此外,緊急電カ開關應放置設備房緊急出口的鄰近,以便一旦發生緊急事故趕忙關閉電源。也要考慮一旦電源失敗時的應急燈。要愛護全大廈的燈,及在所有外部通訊線路都要裝上燈光愛護過濾器。電纜線路的安全應愛護帶有數據或支持信息服務的電カ及電訊電纜,使之不被偵聽或破壞。要注意的有:a）進入信息處理設備的電カ及電訊電纜線路應放在地下下面，如可能,也能夠考慮其它有足夠愛護能力的方法;b）網絡布線應受到愛護,不要被非法截取或被破壞,舉例，使用管道或幸免通過公眾地點的路徑;c）電源電纜應與通訊電纜分開,幸免干擾;d）至于敏銳或重要的系統,更要考慮更多的操縱,包括:1）安裝裝甲管道,加了鎖的作為檢查及終點的房間或盒子；2）使用可選路由或者傳輸介質;3）光纖光纜；4）清除附加在電纜上的未授權設備。設備的愛護設備應正確愛護來保證連續性可用合完整性。以下是要注意的:設備應按供應商的建議服務間隔及規格愛護;只有授權的愛護人員才能夠修理設備;記錄所有可疑的或真實的故障,以及所有防范及改正措施;實施適當的操縱如何把設備送出大廈進行修理（參看7.2.6的關于刪除、清除及蓋寫數據）。所有保險策略所提出的要求,都要遵守。設備離開大廈的安全不管是誰擁有的,在機構不處使用任何設備處理信息應有治理層的授權。所提供的安全愛護應與設備在大廈內使用時相同。還要考慮在機構大廈不處工作的風險。信息處理設備包括所有形式的個人運算機、商務通、移動電話紙張或其它表格,放在家里或從日常工作地點搬走。要考慮的有:從大廈取走的設備及介質,不應放在公眾地點無人看管。筆記本運算機應當作手提行李隨身,及在外時盡量遮擋,不要顯露在外被人看到;應經常注意生產商愛護設備的指示,例如不要暴露在強大的電磁場內;在家工作的操縱，應在評估風險后確定,并適當地實施，舉例,可上鎖的文件柜、清除桌子的策略及運算機的訪咨詢操縱；應有足夠的保險愛護不在大廈的設備。安全風險,例如損壞、被盜及偷聽,可能每個地點都不同，因此應認真考慮后確定最適當的操縱。參看9.8.1的關于如何愛護移動設備。設備的安全清除或重用信息能夠通過不小心清除或重復使用設備而被破壞（參看8.6.4）,有敏銳信息的儲備設備應該物理被銷毀或安全地覆蓋,而不是使用標準的刪除功能。所有儲存設備,例如固定硬盤,應被檢查以保證已清除所有敏銳數據及授權軟件,或在清除前已被覆蓋。損壞了、有敏銳數據的儲存設備可能需要評估風險后確定是否把設備銷毀、修理或丟掉。ー樣操縱目的:防止信息及信息處理設備被破壞或偷取。信息及信息處理設備應該被愛護,不要公布給非法人員,讓非法人員更換或偷取,并實施有關操縱來盡量減少缺失及損壞。8.6.3是處理及儲存程序的考慮。收拾桌子及清除屏幕的策略機構應考慮制訂信息處理設備的收拾桌子上紙張、可移動儲存介體及清除屏幕的策略,以減少在規定工作時刻外非法進入、丟失及損壞信息的風險。策略應考慮信息安全的分類（參看5.2）,有關的風險及機構的文化。放在桌子上的信息,大有可能被損壞,或被天災如火災、水災或爆炸破壞。要注意的有:如適當,紙張及運算機介質不用時,專門是在規定工作時刻之外,應儲存在合適的能夠上鎖的柜子及/或其他安全的柜子;敏銳或重要的業務信息不需要時,專門是辦公室沒人，應被鎖起（最好是放在防火的保險柜）；個人運算機及運算機終端及打印機,都不應在登陸狀態下被擱置ー旁,不用時應該用鑰匙、口令以及其它操縱愛護;進來的及發出的郵件及無人看管的傳真機及電報機,都要統統被愛護起來;敏銳或保密信息的打印信息,應趕忙從打印機上撕掉。財物的搬遷設備、信息或軟件不應沒有授權就搬離。如需要同時合適,設備借出和歸還都要有登記。應進行現場檢查有沒有擅自搬動財物。職員應被通知有如此的現場檢查。.通訊與操作的治理8.!操作步驟及責任目的:確保信息處理設備運作正確及安全。應該建立治理及操作所有信息處理設備的責任及程序,包括制定適當的操作指示及事故反應程序。在適當的地點，應實行責任隔離制度以減少疏忽或濫用系統的風險。文檔化操作程序應記錄及愛護安全策略所確定的操作程序，這文檔應被視為是正式的文檔,有治理層授權才能改動。程序應講明能夠每個作業的詳細執行的講明,包括:信息的處理及調度;調度要求,包括與其它系統之間的相互依靠關系、最早開始的作業的時刻及最遲完成作業的時刻;處理錯誤或其它專門條件的指示,例如在執行作業時出錯,緣故時禁止事業系統工具（參看9.5.5）；專門輸出處理指示,例如使用專門的文具或保密輸出的治理,包括安全排除失敗作業輸出的程序;發生系統失效時系統重起和復原的程序。也要為與信息處理及通訊設備有關的常務活動預備有講明的程序,如運算機開始及關閉的程序、備份、設備愛護、運算機房及郵件處理治理及安全。操作變動的操縱信息處理設備及系統的變動應受到操縱,治理不足是導致系統或安全失效的常見緣故,因此要有一套正式的治理責任及程序,以保證妥善操縱所有設備、軟件或程序的更換。操作程序的變動應該被嚴格操縱。當更換程序時，應有審計日志記錄所有有關信息。更換操作環境會阻礙應用系統。如許可，操作及應用系統的操縱更換程序應融合（參看10.5.1）在ー起,專門是要注意以下事項:確認及記錄重大的變動;評估這些更換的阻礙;對更換方案有正式的批準程序;與所有有關人員溝通變更的詳情;確認專門中止及復原失敗變更的責任的程序。安全事件治理程序應建立事件治理的責任及程序，以確保快速、有效及有序反應安全事件（參看6.3.1）。以下是要注意的事項:確立包括所有會發生的安全事件種類的程序，包括:信息系統失敗及服務丟失；拒絕服務;因未完成或不準確的業務數據所引致的錯誤；泄密；除了正常應急打算（用來第一時刻復原系統或服務）之外，程序應包括:（參看6.3.4）分析及確定事件發生的緣故;補救方法的打算及實施，以免再次發生；收集審計追蹤及其它類似證據；與受阻礙的、或與復原事件的人員保持聯系；把所作的行動報告有關當局；應收集審計追蹤及其它類似證據（參看12.1.7）,并儲存妥善,以備為:內部分析事件使用;作為破壞合同、違法或民事或犯罪訴訟（例如關于濫用運算機或數據愛護條例）的證據;索取軟件及服務供應商的賠償;復原安全事件所造成的破壞及復原系統失效的行動應受到正式的嚴格操縱,確保:只準許有明確指名的合法職員進入正在使用的系統及數據（參看4.2.2的第三方的訪咨詢）；詳細記錄所有緊急行動；向治理層報告所進行的緊急行動,并有條不紊地檢查；業務系統及操縱的完整性應在最短時刻內確認無誤；責任分開制責任分開制是減少意外或濫用系統風險的方法。分開治理或執行某任務或負責范疇,目的是減少非法更換或錯誤使用信息或服務的機會。小機構會發覺這方法專門難實現，但方法的原則仍舊能夠在最大范疇之內實現。如果發覺專門難分開,能夠考慮其它治理方法例如監控活動、審計跟蹤及治理監督,但要注意安全審計的責任必須是獨立的。應小心沒有一個人獨自負責某責任時,造假犯案后沒有人明白。應把事件的啟動與授權分開，要注意以下:要注意分開那些需要共謀犯案的活動,例如；簽發訂貨單及收貨檢驗;如果有共謀的危險,應制定操縱需要兩個或多個人共同檢查,把共謀的機會減低；開發及正式使用設備的分開把開發、測試及正式使用設備分開對分開有關角色是專門重要的,應制定及寫明軟件從開發轉成正式使用的規定。開發及測試活動會引起嚴峻的咨詢題,例如不必要的文件或系統環境的更換,或系統失敗的不必要更換。應考慮分開正式使用、測試及開發環境的程度,防止運作出錯。同樣,開發及測試設備之間也有類似的分開。如此就需要有一個穩固的環境進行有用的測試,以及防止開發員借機會訪咨詢。當開發及測試職員能夠訪咨詢正在使用的系統及信息時,他們能夠放置非法及未測試的代碼,放置惡意代碼或更換操作數據,利用這些技巧在某些系統上做假,嚴峻阻礙系統的操作。開發人員及測試人員也有嫌疑會泄露正式使用的信息。開發及測試活動如果共享同一個運算機環境，會對軟件及信息帶來不必要的改動。因此最好把開發、測試及正式使用的設備分開,以減少被意外更換或非法進入正在使用的軟件及業務數據的風險。要考慮的操縱有:開發及正在使用的軟件,在可能情形下,應在不同的機器上運行;開發及測試活動應進可能分開;編譯器、編輯器及其它系統工具,如果正在使用的系統沒有需求,就不讓訪咨詢;正在使用及測試系統應使用不同的登陸程序,目的是減少出錯的機會。應鼓舞用戶使用不同的口令登陸這些系統,及菜單應顯示適當的確認消息;開發職員只能在有操縱的情形下存取正在使用的口令,操縱應保證□令被使用后趕忙被改掉。外部設備的治理使用外來合同供應商治理信息處理設備可能會加大暴露信息的機會,例如有可能在合同供應商的地點破壞、損壞或丟失數據,對這些風險的顯現事先要有個估量,然后把治理這些風險的適當操縱寫入合同中（參看4.2.2及4.3,看看有關第三方進入機構設備及外包合同的指引）。要解決的專門咨詢題有:確認那些最好在機構內儲存的敏銳或重要的應用系統；取得業務應用系統所有者的同意;業務連續性打算的阻礙;應該制定那ー類的安全標準,以及測試是否符合標準的程序;分配指定的責任及程序,來監控所有關于安全的活動；報告及處理安全事件的責任及程序（參看8.1.3）系統規劃及接收目的:把系統失效的風險降到最低。事前應有周詳的打算及預備,使有足夠的儲存量及資源可用。至于對日后儲存擴展的要求，也要事先有個打算,以防顯現系統超載的風險。新系統在接收及交付前應通過測試,并確立及寫下運作要求。儲存量的打算應小心監控系統儲存的要求,以及好好打算以后的儲存要求，以保證有足夠的處理能力及儲存容量。打算應包括考慮新業務及系統的要求，以及機構信息處理系統的當前及以后的趨勢。大型機器需要專門處理,因為機器價格昂貴及添加手續的時刻會比較長。大型機器服務的經理應監控重要系統資源的使用情形,包括處理器、要緊內存、文件儲存、打印機及其它輸出設備,以及通訊系統。經理要負責確定使用的趨勢,專門是業務應用系統或MIS工具。經理應利用這些統計數據找出及幸免會威逼系統安全或用戶服務的潛在瓶頸,并打算適當的補救行動。系統接收應建立一套新信息系統、更新及新版本的接收標準,以及接收前要有進行系統測試。經理們要清晰講明、統ー、記錄及測試新系統的接收標準。要注意的包括:性能及運算機儲存要求;錯誤復原及重起程序,和應急打算;所有從日常操作程序到標準的籌備及測試;統ー要實施的安全操縱；有效的手工程序；業務連續性的安排,如11.1所提及；新系統安裝的證據可不能嚴峻阻礙現有系統，專門是處理高峰期,例如月末;充分考慮新系統成效對機構安全的阻礙的證據;操作及使用新系統的培訓。關于重大的新開發，應在每一時期與操作部門及用戶協商,以保證新系統方案的使用效率。應進行適當的測試來確認已符合所有接收標準。應付惡意軟件目的:愛護軟件及信息的完整性。應該有防范措施來防止及檢測有沒有惡意軟件。軟件及信息處理設備最容易受到惡意軟件的攻擊,例如運算機病毒、網絡蠕蟲、特洛伊木馬（參看10.5.4）及邏輯炸彈。用戶應明白有這些非法的危險或惡意軟件的存在。在適當的情形下,經理們應實施操縱檢測或防止這些東西的顯現。專門是,一定要有防范措施檢測及防止個人運算機上的病毒。操縱惡意軟件應實施檢測及防范措施操縱來愛護惡意代碼,及舉辦適當的用戶安全意識培訓。惡意軟件的愛護應該基于安全意識、適當的系統訪咨詢及更換治理操縱。能夠考慮的操縱有:符合軟件授權許可的正式策略,以及禁止非法軟件的使用（參看12.1.2.2）；要有一個正式的策略指定要實施那些儲存措施,愛護不受通過或通過外部網絡或從任何其它途徑取得的文件及軟件所帶來的風險威逼。（參看10.5,專門是10.5.4及10.5.5）；安裝及定期更新防病毒及修復軟件,為防范或日常操作目的掃描運算機及儲備設備;定期檢查支持重要業務進程的軟件及其數據內容,如發覺有任何非法文件或更換,應正式深入調查;在使用前,檢查所有來源不明或非法的電子文件,或從不信任網絡上所接收的文件,檢查有沒有病毒；使用前，檢查電子郵件附件及下載文件有沒有惡意軟件。如此的檢查能夠在不同地點進行,例如在電子郵件服務器,桌面運算機或進入機構網絡的地點；關于愛護系統病毒入侵的治理程序及責任、培訓用戶如何使用、如何報告復原病毒入侵。（參看6.3及8.1.3）；病毒入侵后復原系統的業務連續性打算,包括所有備份及復原數據及軟件的程序（參看第11條款）；檢查所有與惡意軟件有關的信息的程序,以及保持警示的信息正確及有用。部門經理應查看警示的信息來源是可靠的,例如來自有名望的專業雜志、可靠的網站或者防病毒供應商,用來辨論那些是虛假病毒、那些是真病毒。職員也要明白虛假病毒的咨詢題,以及萬一接收這些虛假病毒時,明白該干什么。這些操縱對支持大數量的網絡文件服務器是專門重要的。備份及復原性常務治理目的:愛護信息處理及通訊服務的完整性及可用性。應訂立日常程序實施統ー備份策略（參看11.1）,定期備份數據及演練即時復原、記錄事件及錯誤,以及在適當時候,監控設備的環境。信息備份應定期備份拷貝重要業務信息及軟件。要有足夠的備份設備把所有重要的業務信息及軟件在災難發生或儲存設備失敗時復原。個不系統也要定期備份，以符合業務連續性打算（參看第11條款）的要求。要考慮的有:指定最低限度的備份信息,保留備份拷貝及復原程序的正確和完整的記錄,并存放在一個遠程的地點上,以免主網絡地點發生災難時可不能被波及。重要的業務應用系統至少要保留三代的信息備份拷貝;信息備份拷貝要有足夠的物理及環境愛護（參看第7條款）,標準應與主網絡地點一致。在主網絡地點實施的操縱也應在備份地點實施;備份介質應定期同意檢查,如實際許可，保證在緊急情形時能夠使用;復原程序應定期同意檢查及測試，以確保在復原操作程序所預定的時刻內完成。應確定重要業務信息的儲存期以及其它需要永久儲存的歸檔拷貝的儲存期（見!2.1.3）〇操作員日志操作職員應保留一份記錄自己活動的日志，要包括的有:系統開始及完成時刻;系統錯誤及所進行的改正操作；正確處理數據文件及運算機輸出的確認;記錄日志表目的人名。對錯誤進行記錄應報告錯誤及記錄所進行的改正操作。用戶所報有關信息處理或通訊系統的錯誤,應被記錄放在日志中。應該有清晰的規定講明如何處理報上的錯誤,包括:核查報出錯誤的日志,檢查清晰錯誤已中意解決;核查改正機制,檢查清晰操縱沒有被破壞,以及所進行的改正操作完全有授權。網絡治理目的:保證網絡中信息的安全及愛護支持架構的安全。網絡的安全治理可能要跨部門，需要治理層注意。可能也需要愛護通過公用網傳輸的敏銳數據的操縱。網絡操縱愛護運算機網絡的安全需要一系列的操縱。網絡治理員應實施操縱，愛護網絡中的數據、連接的服務不被非法訪咨詢，專門是,要注意以下方面:網絡的操作責任應與運算機操作分開（參看8.1.4）；治理遠程設備（包括用戶使用中心的設備）的責任及程序;如有需要,要指定專門的操縱保證經公用網傳輸的數據的保密性及完整性,和愛護連接的系統的安全（參看9.4及10.3）。也需要專門的操縱保持網絡服務及連接運算機的可用時刻；治理工作應被緊密和諧,一方面是讓業務盡量使用服務，另一方面是保證操縱在整個信息處理架構都有效用。介質的處理與安全目的:防止資產的缺失及業務的停頓。儲存介質應受到操縱和物理愛護。要有合適的操作程序愛護文檔、運算機介質（磁帶、磁盤）、I/O數據及系統文檔不受損、不丟失和被非法訪咨詢。可移動運算機介質的治理應有治理可移動運算機介體（例如磁帶、磁盤、打印報表）的程序,可考慮的有:如果不再需要,可重用介質中的往常內容應該統統清除;所有機構要清除的介質應有授權,應把所有清除操作記錄,當作日后審計跟蹤之用;所有介質應按制造商的規格儲存在安全的環境中。所有程序及授權級不都要記錄。介質的清除不再需要的的介質,應該安全地予以清除，因為如果處理不當，就會泄露敏信息,所有應制訂正式的清除程序,把風險減到最低。有敏銳信息的介質應安全地予以儲存及清除，例如燒掉或撕碎,或使用另ー個機構內應用系統把內容清除;以下是一列可能需要安全清除的東西:紙文件;錄音;復寫紙;輸出報表;一次性打印色帶；磁帶;可換的磁盤或盒式磁帶;光盤（所有形式,包括所有生產商的軟件光盤）；程序列表；測試數據；系統講明文檔；把所有介質收集并安全地清除，比分出敏銳信息容易；專門多機構提供收集及清除的服務,清除紙、設備及介質。要小心選擇ー個治理完善、體會豐富的服務商;應記錄敏銳信息的清除,如可能,保留一份審計跟蹤記錄。當收集需要清除的介質時,應考慮越來越多的情形,可能會顯現有一大堆不保密的信息，比ー少量保密信息更敏銳。信息處理的程序應制訂ー套處理及儲存信息的程序,以便愛護這類信息不被非法公布或濫用。程序應按信息在文件、運算機系統、網絡、移動運算機、移動通訊、郵件、聲音郵件、ー樣語音通訊、多媒體、郵件服務/設備,傳真機的使用等中分類（參看5.2）,或其它敏銳文件,例如空支票、發票。要考慮的有（參看5.2及8.7.2）：所有介質的處理及標簽（參看8.7.2（1））；出入口的操縱,確認非法人員;保留一份合法接收數據的正式記錄;保證輸入數據是完整、處理正當完成及已進行輸出的檢查;愛護等待輸出的假脫機數據,程度與數據的敏銳程序一致;介質按生產商規格的環境儲存;把要分發的數據減到最底;把所有拷貝數據標識清晰,注明合法接收者的姓名;定期查核分發列表及合法接收者列。系統講明文檔的安全系統文檔有專門多敏銳信息,例如應用進程的講明、程序、數據結構、授權進程（參看9.1）。關于愛護系統講明文檔不被非法訪咨詢的操縱有:應安全地儲存系統講明文檔；訪咨詢系統講明文檔的人員應該減到最少,并由應用擁有者授權;在公用網上的、或通過公用網提供的系統講明文檔,應有適當的愛護。信息與軟件的交換目的:防止在機構交換之間的信息不丟失、不被更換及濫用。機構之間的信息及軟件交換應受到操縱,并符合所有有關法律（參看第12條款）。應按協議條款進行交換,制訂愛護傳輸中信息及介質的程序及標準,考慮與電子數據交換、電子商務及電子郵件的業務及安全因素,以及操縱的要求。信息及軟件交換協議機構之間信息及軟件（電子的或手工的）的交換應按協議（有些可能是正式的，包括第三者儲存附帶條件委付蓋印的軟件契約）進行。協議的安全內容應反映所交換的業務信息的敏銳程度。要考慮的安全條件有:操縱及通知傳送、分派及接收的治理責任;通知發送者、傳送、分派及接收的程序;包裝及傳送的最低技術標準;速遞確認的標準;數據丟失時的責任;使用統ー的標簽系統標簽敏銳或重要的信息,保證標簽清晰易明白、信息適當地受到愛護;信息及軟件的擁有者,以及數據愛護的責任,軟件版權的遵守及其它（參看12.1.2及!2.1.4）；記錄及閱讀信息及軟件的技術標準；需要的其它專門操縱以愛護敏銳的東西,例如密鑰（參看10.3.5）傳遞中介質的安全信息在物理運輸時,例如通過郵遞服務或者速遞公司，會受到非法訪咨詢、濫用或被破壞，因此要實施操縱保證機構之間在傳遞時的運算機介質。a）應使用可靠的運輸和速遞公司。治理層應該授權使用那家速遞公司,并定期檢查確實是使用統一安排的速遞公司;b）按生產商的規格使用可靠的包裝愛護運輸時可不能物理破壞介質的內容;c）如有需要,應推行專門的操縱愛護敏銳信息不被非法公布或更換,例如:1）使用加鎖的裝運箱;2）親手遞送;3）防篡改的包裝（能夠顯示有試圖打開的跡象）；4）在專門情形下,把托運物品分多次并按照多途徑遞送;電子商務的安全電子商務是指電子數據交換（electronicdatainterchangeEDI）、電子郵件及在公用網如互聯網在在線交易中的使用。電子商務冒專門多網絡上的風險，例如假冒活動、合同糾紛以及公布或更換信息。因此，要實施操縱來愛護電子商務的安全:1）認證。客戶及商家對對方稱述的身份有多少信心程度?2）授權。誰授權設置價格、簽發或簽名重要的交易文檔?貿易伙伴如何明白?3）合同及投標過程。保密性、完整性及分派證明及接收重要文檔的收據的要求，以及合同抗抵賴性的要求是什么?4）價格信息。所推廣的廣告價有多少屬實?敏銳的折扣信息的保密程度有多高?5）定單交易。定單、支付及交付的詳細地址、接收確認等保密性及完整性有多高?6）核對。核對客戶所提供的支付信息要到多大的程度?7）結算。防止假冒的最適當的支付方法是什么?8）下定單。需要那樣的愛護才能愛護定單的保密性及完整性,以及如何幸免丟失或重復交易?9）責任。誰承擔假冒交易的風險?以上好幾點能夠使用密碼技術解決（參看10.3）（但要注意按有關法律（參看12.1,專門是12.1.6的密碼法律。貿易伙伴之間的電子商務安排,應有協議約束雙方同意的貿易條款,包括授權的詳情（參看以上的第2）條）。也可能需要與其它信息服務及增殖網絡提供商簽定類似協議。公布貿易的系統應公布它們對客戶的業務條款。應充分考慮電子商務主機被攻擊后的復原，以及任何網絡互聯的安全對電子商務的阻礙。電子郵件的安全安全風險電子郵件是用來溝通業務,替代傳統的通訊方式如電報及信件，不同的是速度、消息結構、非正式的程度及非法活動的風險。應考慮實施操縱以減少電子郵件所帶來的安全風險，例如:消息非法訪咨詢或被更換的風險,或拒絕服務;出錯的風險,例如不正確的地址或錯誤轉發，以及服務的ー樣可靠性及可用性;通訊介質的變動對業務流程的阻礙,例如加速分派的阻礙,或個人對個人發送正式消息,或機構對機構發送;法律的考慮,例如出示對來源、分派、交付及接收的證明的要求公布從外部訪咨詢的職員名單的阻礙；操縱具有電子郵件賬號的遠程用戶的訪咨詢。電子郵件的策略機構應有明確的關于電子郵件使用的策略,內容有:電子郵件的攻擊,例如病毒、截取;電子郵件附件的愛護;何時不能使用電子郵件的指令;職員有責任愛護機構的聲譽,例如不發送誹謗性電子郵件、不擾亂不人、不進行未經認可的購物等;使用密碼技術愛護電子消息的保密性及完整性（參看10.3）；儲存消息,一旦有法律訴訟,能夠趕忙發覺；額外的用于核對不能認證的消息的操縱。電子辦公室系統的安全應制訂和實施策略和指導方針，來操縱電子OA的業務及安全風險。如此,便能夠用不同組合:文檔、運算機、運動辦公、移動通訊、