4.1.6 组织间合作 和有关执法、监管、信息服务和电讯运营部门保持良好的联系,确保在安全事故时能或得其建议以便迅速采取行动。同样,也应考虑参加安全组织和行业论坛并成为其成员。
安全信息的交换要加以严格限制,确保单位的保密信息不被传给没有经过授权的人员。
4.1.7 信息安全审核的独立性 信息安全政策文件规定了信息安全的政策和权责。对其实施的审核应独立开展,确保单位的做法恰当地反应了政策的要求,并确保实施方面的可行性和有效性。
此类审核可由单位内部审计部门开展,也可由独立经理人或专门从事审核的第三方组织开展,只要这些人员具有适当的技能和经验。 4.2
目标:外来单位存取单位内部信息及信息处理设施时的安全管理。 第三方接触本单位的信息处理设备要对其进行管制。 如业务需求第三方必须接触本单位的信息处理设备,则应对此行为的安全后果和管制要求进行风险评估。管制内容经双方同意,要在合同中加以定义。 外方存取可能还会涉及到别的参与方。为此,和第三方签订的合同中还应涵盖对此授权的指定及其存取的条件。 本标准可用作制定此类合同或考虑委外信息加工时的基础。
外部存取的安全管理
4.2.1 第三方存取的风险鉴别 4.2.1.1
存取的类别
允许第三方存取的类别至关重要。比如,跨网络存取的风险和物理存取的风险是完全不同的。应考虑的存取类别包括:
- 物理存取,如办公室、电脑房、档案柜等 - 逻辑存取,如单位的数据库、信息系统等 4.2.1.2
存取的原因
允许第三方存取可能有若干原因。例如,这个第三方可能是在向单位提供服务,但又不在现场,只能给其一定物理和逻辑存取途径,比方: - 需要系统级别或低级别应用功能的硬件和软件支持人员
- 和本单位交换信息、存取信息系统或分享数据库的贸易伙伴或合资公司
如没有充足的安全管理,允许第三方存取会给信息带来风险。因此,在有需求接触其它方信息时,要进行风险评估,确定管制的要求。同时,要考虑存取的类别、信息的价值、第三方使用的管制手段,以及让他方接触本单位信息的可能后果。 4.2.1.3
现场承包方
按合同规定可在现场滞留的第三方也可导致安全隐患。例如,在现场的第三方可以包括:
- 硬件和软件维护和支持人员
- 清洁、料理、保安和其它委外的支持服务人员 - 学生员工及其它短期临时工作人员 - 顾问
知道需采取哪些管制手段管理第三方对信息处理设备的存取至关重要。总体而言,和第三方签订的合同中要反应所有有关的安全要求和内部管制手段。例如,如有特殊要求保守信息秘密,就要和第三方签订保密协议(见6.1.3)
在相应管制手段布置周备或和第三方合同签订之前,不得允许第三方存取本单位信息或接触信息处理设备。
4.2.2 与第三方存取单位签约时的安全要求 涉及第三方接触本单位信息处理设备的安排应当基于正式的合同,该合同中要包括或提到所有的安全要求,以便确保符合单位的安全政策和标准。合同还要确保单位和第三方之间没有任何误会。单位在证实第三方的可靠性方面要做到完全放心。合同中可考虑包括如下要素: - 信息安全的总体政策
- 资产保护,包括1)保护单位资产的流程,包括信息和软件;2)诊断资产是否受到破坏的流程,包括数据的损失或修改;3)确保在合同期末或合同期间任意时间点归还或销毁信息的管制手段;4)完整性和可得性;5)限制信息的复制和泄漏 - 所提供的所有服务的描述
- 标的服务水准和不可接受的服务水准 - 人员调动的规定
- 合同双方各自的相关责任
- 法律方面的责任,比如,数据保护方面的法规,要特别考虑到在合同牵涉到多国组织件合作时各国法律体系的不同(见12.1)
- 知识产权和版权的分配(见12.1.2)及合作成果的保护(见6.1.3)
- 存取管制合同,包括1)允许的存取办法和管制手段,以及特别标记的运用如使用者身份证和密码;2)对使用者存取和权限的授权过程;3)要求准备一份批准使用服务的个人使用者的名单并载明他们的使用权限 - 定义有效的表现评判标准并对其进行监督和回报 - 监督、撤销使用者活动的权力
- 对合同权责进行审计或指定别人对其审计的权力
- 建立解决问题的升级流程;在适当的情况下还要考虑应急安排 - 硬件和软件安装和维护方面的责任 - 清晰的回报结构和业经同意的回报格式 - 清晰具体的变化管理流程
- 确保管制手段得以实施的物理保护管制手段和机制 - 对使用者和管理者进行培训的方法、流程和安全 - 确保防范病毒软件的管制手段(见8.3)
- 用于回报、通知和调查安全事故和安全违规的安排 - 第三方涉及合同的分包 4.3
目标:委外加工处理时相关信息的安全管理。 在各方签订的合同中,委外方面的安排要规定信息系统、网络和/或桌面系统环境方面的风险、安全管制和流程。
委外资源管理
4.3.1 委外加工处理合约内的安全需求 如单位需将其信息系统、网络和/或桌面操作环境系统的管理和管理任务部分或全部地委托给他方实施,此方面的安全要求在有关各方签订的合同中加以规定。 例如,合同应当规定:
- 如何满足诸如数据保护等方面的法律要求
- 进行哪些安排去确保委外的各方(包括分包方)能意识到其担负的安全责任 - 如何维持并检验单位资产的完整性和保密性
- 采取哪些物理和逻辑管制手段来限制使用者接触单位的敏感商业信息 - 在发生灾难的情况下如何继续或得服务 - 对委外设备采取何种水准的物理安全保护
- 审计权
4.2.2条款中所述的条件也可作为此合同考虑的要素。本合同应当允许双方在安全管理计划中对安全要求和流程进行扩展。
尽管委外合同可导致一些复杂的安全问题,其准则中包括的管制手段可被用作安全管理计划的结构和内容的起点。
五、 资产分类与管理 5.1
目标:确保信息资产得以适当保护。 所有重大的信息资产都要有记录和主管人员。 对资产的负责制度将确保对其进行有效的保护。其主管人员在经指定后要分配其在此方面的主要职责和管制办法。实施管制的任务可委托给他人,但最后的责任要由资产的主管人员承担。
资产管理权责
5..1.1 资产的盘点 对资产的盘点可帮助确保有效的资产保护,也可用于其它经营目的,如健康和安全、保险或财务方面的原因。编制资产盘点的流程是风险管理的重要方面。单位要能辨明其资产和这些资产的相对价值和重要性。基于这些信息,单位就可以提供和资产价值及重要性相应的保护级别。对各个信息系统的重要资产都要编制资产清单并加以保存。每个资产都要清楚辨明,其主管人员及安全类别(见5.2)、现在的位置等都要确认并登记。与信息系统有关的资产举些例子可能包括:
- 信息资产:数据库和数据文件、系统文件、使用手册、培训材料、操作和支持流程、持续经营计划、存档信息等 - 软件资产:应用软件、系统软件、开发工具和用具等
- 物理资产:电脑设备(包括处理器、显示器、笔记本电脑、调制解调器等),通讯设备(路由器、PBAX、传真机、答录机等),磁力媒体(录音带、光盘等),其它技术仪器(电源、空调设备等),家具及辅助设施 - 服务:计算和通讯服务,通用设备,如供暖、照明、电、空调等 5.2
目标:确保信息资产得到恰当的保护。 对信息进行分类,显示其用途、优先程度和保护级别。 信息分类
信息具有不同的敏感度和重要性。有些信息需要额外的保护和处置。信息分类系统就是确认信息的保护级别,并采取恰当的特殊处置手段。
5.2.1 分类原则 信息分类及相关的保护管理办法应符合分享信息或限制信息的要求,符合此类需要所带来的相关后果,例如,对信息的未经批准的使用和毁坏。总而言之,对信息进行分类是决定如何处理和保护该信息的一个捷径。要对数据分类系统的信息和输出进行标示,以决定此类信息对单位而言其价值和敏感度的级别。同样也可按照此类信息对单位的重要程度进行分类标示,例如,按照其完整性和可得性。
经过一段时间之后,信息经常不再敏感或重要,例如,在信息变成公开信息之后。因此,要考虑这些方面,因为过细的分类会增加额外的费用。分类知道大纲应当预测并承认信息分类有时间性并岁政策变化而变化这一事实(见9.1)。
还要考虑分类范畴的标号及其益处。太复杂的标号系统用起来很费劲,即不经济也不实用。在接触和使用别单位的标号系统时要注意,因为他们的标号虽然和本单位的相同但含义可能完全不同。
对信息类事务(包括文件、数据记录、数据文件或软盘)分类进行定义并进行周期性审订的任务应由信息原来的的制造者或指定的主管人员来完成。
5.2.2 信息标示及携带 根据单位制定的分类原则,制定一整套信息标识和操作流程是非常重要的。这些流程要涵括以物理和电子形式存在的信息资产。针对每个类别,所定义的操作流程要包括如下类型的信息处理活动: - 复制 - 存储
- 以邮件、传真、电子邮件方式进行的传送
- 以声音,包括移动电话、语音邮件、答录机等方式进行的传送 - 销毁
含有敏感重要信息的系统其输出应加以恰当的分类标示。此标示要求能够反应根据5.2.1条款进行分类的类别。需要考虑进行标示的物品包括打印出的报告、屏幕显示、被记录的媒体(包括磁带、软盘、光盘、录音带等)、电子消息和传送等。 物理标示通常是最恰当的标示。但是,有的信息资产如以电子方式存在的文件,不能对其进行物理标示,在此情况下需考虑对其进行电子标示。
六、 个人信息安全守则 6.1
工作执掌及资源的安全管理