发布时间 : 星期一 文章信息安全管理规范更新完毕开始阅读3fdf7c360b4c2e3f572763c4
- 知识产权和版权的分配(见12.1.2)及合作成果的保护(见6.1.3)
- 存取管制合同,包括1)允许的存取办法和管制手段,以及特别标记的运用如使用者身份证和密码;2)对使用者存取和权限的授权过程;3)要求准备一份批准使用服务的个人使用者的名单并载明他们的使用权限 - 定义有效的表现评判标准并对其进行监督和回报 - 监督、撤销使用者活动的权力
- 对合同权责进行审计或指定别人对其审计的权力
- 建立解决问题的升级流程;在适当的情况下还要考虑应急安排 - 硬件和软件安装和维护方面的责任 - 清晰的回报结构和业经同意的回报格式 - 清晰具体的变化管理流程
- 确保管制手段得以实施的物理保护管制手段和机制 - 对使用者和管理者进行培训的方法、流程和安全 - 确保防范病毒软件的管制手段(见8.3)
- 用于回报、通知和调查安全事故和安全违规的安排 - 第三方涉及合同的分包 4.3
目标:委外加工处理时相关信息的安全管理。 在各方签订的合同中,委外方面的安排要规定信息系统、网络和/或桌面系统环境方面的风险、安全管制和流程。
委外资源管理
4.3.1 委外加工处理合约内的安全需求 如单位需将其信息系统、网络和/或桌面操作环境系统的管理和管理任务部分或全部地委托给他方实施,此方面的安全要求在有关各方签订的合同中加以规定。 例如,合同应当规定:
- 如何满足诸如数据保护等方面的法律要求
- 进行哪些安排去确保委外的各方(包括分包方)能意识到其担负的安全责任 - 如何维持并检验单位资产的完整性和保密性
- 采取哪些物理和逻辑管制手段来限制使用者接触单位的敏感商业信息 - 在发生灾难的情况下如何继续或得服务 - 对委外设备采取何种水准的物理安全保护
- 审计权
4.2.2条款中所述的条件也可作为此合同考虑的要素。本合同应当允许双方在安全管理计划中对安全要求和流程进行扩展。
尽管委外合同可导致一些复杂的安全问题,其准则中包括的管制手段可被用作安全管理计划的结构和内容的起点。
五、 资产分类与管理 5.1
目标:确保信息资产得以适当保护。 所有重大的信息资产都要有记录和主管人员。 对资产的负责制度将确保对其进行有效的保护。其主管人员在经指定后要分配其在此方面的主要职责和管制办法。实施管制的任务可委托给他人,但最后的责任要由资产的主管人员承担。
资产管理权责
5..1.1 资产的盘点 对资产的盘点可帮助确保有效的资产保护,也可用于其它经营目的,如健康和安全、保险或财务方面的原因。编制资产盘点的流程是风险管理的重要方面。单位要能辨明其资产和这些资产的相对价值和重要性。基于这些信息,单位就可以提供和资产价值及重要性相应的保护级别。对各个信息系统的重要资产都要编制资产清单并加以保存。每个资产都要清楚辨明,其主管人员及安全类别(见5.2)、现在的位置等都要确认并登记。与信息系统有关的资产举些例子可能包括:
- 信息资产:数据库和数据文件、系统文件、使用手册、培训材料、操作和支持流程、持续经营计划、存档信息等 - 软件资产:应用软件、系统软件、开发工具和用具等
- 物理资产:电脑设备(包括处理器、显示器、笔记本电脑、调制解调器等),通讯设备(路由器、PBAX、传真机、答录机等),磁力媒体(录音带、光盘等),其它技术仪器(电源、空调设备等),家具及辅助设施 - 服务:计算和通讯服务,通用设备,如供暖、照明、电、空调等 5.2
目标:确保信息资产得到恰当的保护。 对信息进行分类,显示其用途、优先程度和保护级别。 信息分类
信息具有不同的敏感度和重要性。有些信息需要额外的保护和处置。信息分类系统就是确认信息的保护级别,并采取恰当的特殊处置手段。
5.2.1 分类原则 信息分类及相关的保护管理办法应符合分享信息或限制信息的要求,符合此类需要所带来的相关后果,例如,对信息的未经批准的使用和毁坏。总而言之,对信息进行分类是决定如何处理和保护该信息的一个捷径。要对数据分类系统的信息和输出进行标示,以决定此类信息对单位而言其价值和敏感度的级别。同样也可按照此类信息对单位的重要程度进行分类标示,例如,按照其完整性和可得性。
经过一段时间之后,信息经常不再敏感或重要,例如,在信息变成公开信息之后。因此,要考虑这些方面,因为过细的分类会增加额外的费用。分类知道大纲应当预测并承认信息分类有时间性并岁政策变化而变化这一事实(见9.1)。
还要考虑分类范畴的标号及其益处。太复杂的标号系统用起来很费劲,即不经济也不实用。在接触和使用别单位的标号系统时要注意,因为他们的标号虽然和本单位的相同但含义可能完全不同。
对信息类事务(包括文件、数据记录、数据文件或软盘)分类进行定义并进行周期性审订的任务应由信息原来的的制造者或指定的主管人员来完成。
5.2.2 信息标示及携带 根据单位制定的分类原则,制定一整套信息标识和操作流程是非常重要的。这些流程要涵括以物理和电子形式存在的信息资产。针对每个类别,所定义的操作流程要包括如下类型的信息处理活动: - 复制 - 存储
- 以邮件、传真、电子邮件方式进行的传送
- 以声音,包括移动电话、语音邮件、答录机等方式进行的传送 - 销毁
含有敏感重要信息的系统其输出应加以恰当的分类标示。此标示要求能够反应根据5.2.1条款进行分类的类别。需要考虑进行标示的物品包括打印出的报告、屏幕显示、被记录的媒体(包括磁带、软盘、光盘、录音带等)、电子消息和传送等。 物理标示通常是最恰当的标示。但是,有的信息资产如以电子方式存在的文件,不能对其进行物理标示,在此情况下需考虑对其进行电子标示。
六、 个人信息安全守则 6.1
工作执掌及资源的安全管理
目标:降低错误、偷窃、欺骗或设备误用的风险。 安全的权责应当在对员工进行聘用的阶段就开始实施,还应包括在合同中,并在以后员工的聘用期内时时进行监督。 对潜在的待聘员工应加以仔细充分的筛选(见6.1.2),特别是从事敏感工作的员工。所有使用信息处理设备的员工或第三方都要签署保密或不泄密协议。
6.1.1 工作权责涵盖的安全需求 单位信息安全政策中规定的安全角色和责任当在工作定义中恰当标明(见3.1)。这些要求包括实施或维护安全政策以及保护特别资产或开展特别安全程序或活动时的具体权责。
6.1.2 人员任用政策 在单位终身职员申请工作时,对其进行资格审查。这应当包括如下内容:
- 申请人是否具备充分的人品推荐材料,例如,可以是一份工作推荐,一份个人推荐 - 对申请人简历的完整性和准确性进行检查 - 对申请人声称的学术和资格证明进行认证
- 独立的身份认证(通过护照或相应的身份证明材料)
工任命或提升员工时,只要其涉及到接触信息处理设备,特别是处理敏感信息的设备,如处理财务信息或其它高度机密的信息的设备,单位需要对该员工进行信用调查。对握有大权的员工此类信用调查更要定期开展。
对合同工和临时工也要开展类似的审查。如果上述人员通过中介机构推荐给单位,则单位要和该机构签订合同,在合同中载明该中介机构要对被推荐人进行审查责任,以及中介机构在未对被推荐人进行审查或对审查结果有疑惑或怀疑时通知单位的必要程序。
管理人员要对那些新来的或没有经验的但却得到授权可接触敏感系统的员工进行监视。对所有员工的工作都要进行定期审核,审核审批的程序有员工中的某位资深人士来制定。
管理人员应当认识到其部下的个人环境会影响其工作。个人或财务上的问题会影响他们的工作,导致行为或生活方式的改变及多次旷工;压力或忧郁的表现可能导致欺诈、盗窃、错误或其它安全问题。对这类信息的处理要依据单位作在地区的适当法律程序加以解决。
6.1.3 保密协议 保密协议的目的是对信息的保密性加以说明。雇员在受雇时,应和单位签署保密协议,此协议为员工守则的一部分。