目标:降低错误、偷窃、欺骗或设备误用的风险。 安全的权责应当在对员工进行聘用的阶段就开始实施,还应包括在合同中,并在以后员工的聘用期内时时进行监督。 对潜在的待聘员工应加以仔细充分的筛选(见6.1.2),特别是从事敏感工作的员工。所有使用信息处理设备的员工或第三方都要签署保密或不泄密协议。
6.1.1 工作权责涵盖的安全需求 单位信息安全政策中规定的安全角色和责任当在工作定义中恰当标明(见3.1)。这些要求包括实施或维护安全政策以及保护特别资产或开展特别安全程序或活动时的具体权责。
6.1.2 人员任用政策 在单位终身职员申请工作时,对其进行资格审查。这应当包括如下内容:
- 申请人是否具备充分的人品推荐材料,例如,可以是一份工作推荐,一份个人推荐 - 对申请人简历的完整性和准确性进行检查 - 对申请人声称的学术和资格证明进行认证
- 独立的身份认证(通过护照或相应的身份证明材料)
工任命或提升员工时,只要其涉及到接触信息处理设备,特别是处理敏感信息的设备,如处理财务信息或其它高度机密的信息的设备,单位需要对该员工进行信用调查。对握有大权的员工此类信用调查更要定期开展。
对合同工和临时工也要开展类似的审查。如果上述人员通过中介机构推荐给单位,则单位要和该机构签订合同,在合同中载明该中介机构要对被推荐人进行审查责任,以及中介机构在未对被推荐人进行审查或对审查结果有疑惑或怀疑时通知单位的必要程序。
管理人员要对那些新来的或没有经验的但却得到授权可接触敏感系统的员工进行监视。对所有员工的工作都要进行定期审核,审核审批的程序有员工中的某位资深人士来制定。
管理人员应当认识到其部下的个人环境会影响其工作。个人或财务上的问题会影响他们的工作,导致行为或生活方式的改变及多次旷工;压力或忧郁的表现可能导致欺诈、盗窃、错误或其它安全问题。对这类信息的处理要依据单位作在地区的适当法律程序加以解决。
6.1.3 保密协议 保密协议的目的是对信息的保密性加以说明。雇员在受雇时,应和单位签署保密协议,此协议为员工守则的一部分。
没有签署保密协议的闲散员工或第三方在接触信息处理设备之前必须签署有关保密协议。
在雇佣合同或条款发生变动时,特别是员工要离开单位或其合同到期时,要对保密协议进行审订。
6.1.4 员工守则 该守则应载明雇员在信息安全方面的职责。如有必要,这些职责即使在雇佣关系结束后也应保持一定的有效期。其中应当包括员工违反安全规定时应采取的行动。 员工的合法职责和权利,例如在版权法或数据保护法方面的权责,应得以清楚定义,并包括在员工守则中。员工数据分类和管理方面的职责也要包括在内。如有必要,员工守则应当规定这些权责不仅适用于单位范围内,而是可以延伸到单位以外或正常工作时间以外,例如在家工作的情况。(参见7.2.5 和 9.8.1) 6.2
目标:确保使用者在日常工作中了解如何看待和关心信息安全,并支持单位的安全政策。 使用者应得以安全流程和正确使用信息处理设备方面的培训,以将可能的安全风险降至最低限度。
教育训练
6.2.1 信息安全的教育和培训 单位的所有职员,以及在必要情况下涉及的第三方用户,都应定期接受安全政策和流程方面的教育和培训。这包括安全要求、法律职责和业务管制,以及正确使用信息处理设备方面的培训,例如,登录流程、软件包的使用等。 6.3
目标:发生易发事件及故障时如何将损害降至最小、监督类似事件并从中学习。 安全事故应通过适当的管理渠道尽快加以回报。 所有员工和合同方都要认识如何回报影响单位资产安全的不同类型的事故。发生事故后,他们要把所有看到或怀疑的事故尽快地报告给指定联络人。单位要建立正式的处罚条例来惩治违反安全规定的员工。要恰当地对事故进行处理,杂发生事故后要尽快搜集有关证据(参见12.1.7)。
易发事件及故障处理
6.3.1 安全事故回报 发现安全事故后,应立即通过适当管理渠道回报。
要建立正规的回报流程和事故反应流程,规定接到事故报告后应采取的行动。所有员工和合同方都应认识回报安全事故的操作流程,并被要求尽快加以回报。同时,建立适当的反馈流程来确保这些安全事故在处理完毕之后处理结果得以反馈。发生过的安全事故可用作安全培训的例子,向使用者解释会发生哪些事故,如何反应,及以后如何避免此类事件等(参见12.1.7)。
6.3.2 安全漏洞回报 要求信息服务用户记录并回报任何其觉察或怀疑存在的安全漏洞。他们要把这些漏洞或者报告给管理人员或者直接尽快报告给服务提供商。应向使用者强调,无论在何种情况下,他们都不要试图对怀疑的漏洞进行论证。这对他们自身有益处,因为他们进行论证的行为有可能被误认为是潜在地错误使用系统。
6.3.3 软件功能障碍回报 要求建立并遵守软件功能障碍回报流程。可以考虑采取如下行动: - 问题的征兆和任何在显示屏上出现的信息都要加以记录
- 如有可能,对电脑进行隔离,并停止继续使用。并马上通知有关当局。如需要对设备进行检查,在重新启动之前应将其从单位网络上撤下。使用的软盘不得再在其它电脑上使用。 - 有关事故应马上回报给信息安全经理。
6.3.4 从事故中学习 要求建立相应机制,对事故或功能障碍的类型、级别和损失程度进行量化、监督。这类信息可用作以后辨别重发事故或危害重大的功能障碍。这也表示有必要提高或增加额外的管制措施来限制未来事故的发生频率、降低其危害和成本,并审订安全审核流程。
6.3.5 违规处置流程 雇员如违反单位安全政策和流程,应通过正式的违规处置流程加以处理(参见6.1.4和 12.1.7)。此类流程可用作警示,防止员工忽视单位的安全流程。此外,要确保能合理、公正地处理那些被怀疑是违反安全操作的员工。
七、 设备及使用环境的信息安全管理 7.1
信息安全区
目标:保护企业所在地及信息免于未经授权的存取、破坏及入侵。 关键或敏感的商业信息处理设备应放置在安全的区域,由安全防御带、适当的安全屏障和准入管制手段加以保护,以防它们物理上被非法进入、毁坏或干扰。 提供的保护措施应当和风险相一致。建议采用清桌和清屏政策来降低对文件、媒体和信息处理设备非法存取或破坏的风险。
7.1.1 信息安全区的实体区隔 单位应通过安全实体区隔来保护信息储存处理设施的区域。每个区隔都可以提供更高的安全系数,从而增强总体的安全水平。单位应使用安全防御带来保护放置信息处理设备的区域(参见7.1.3)。安全防御带即指构成区隔的东西,例如是一面墙,一道凭卡片进入的门,或值班的接待台等。每个区隔的位置和力度取决于风险评估的结果。
在适当的情况下可以考虑下列的指导原则和管制手段: - 安全防御带应当清楚定义
- 放置信息处理设备的楼房或场所的防御带从物理角度应当非常可靠。场所的外墙应当是坚固的建筑物,所有的外门都应能防止非法的进入,比如通过安装管制机制、铁条、警报、安全锁等。 - 在通往场所或楼房的通道上还应当配备值班接待台或其它类似机构,确保只有经过授权的人员才能得以靠近通往上述场所的通道。 - 如有必要,物理区隔还应扩展到从地板到天花板的区间以防止非法进入或水、火灾等造成的环境污染。 - 安全防御带内所有的防火门都应安装报警器,并随时处于紧闭状态。
7.1.2 信息安全区进出管制 在信息安全区采取适当出入管制,确保只有经授权的人员得以进入。可考虑如下的管制措施:
- 监视或禁止来安全区域的访问者。访问者的进入和离开数据及其时间要有记录。来访者只有在有明确经过授权的任务时才允许访问安全区,并要被告知安全区内的安全要求及紧急流程。 - 对敏感信息和信息处理设备的通路进行管制,只有经过授权的人员才得以进入。同时使用身份识别管制手段,如刷卡或个人身份号码等对所有准入进行授权或认证。所有进入都要求有记录,并加以妥当保存。 - 所有人员都要求佩戴清晰可见的身份辨认标志,并鼓励对未经陪伴陌生人或任何未佩戴标志的人员进行盘问。 - 对进入安全区域的权限要定期进行审核和更新。
7.1.3 信息安全办公室、处所、设备 安全区域可为上锁的办公室或物理意义的安全防御带内的几间房间,其本身可以上锁,也可以内置上锁的保险柜或保险箱。选择和设计安全区时,应考虑火灾、水灾、爆炸、暴乱或其它形式的自然或人为灾害所造成的损坏的可能性。还要考虑险关的健康和安全条例及标准。同时,也要考虑来自邻近场所的安全威胁,例如来自其它楼宇的漏水等等。
可考虑如下的管制手段:
- 关键设备的放置要能够放置公众的接触
- 楼房要防止太过显眼,尽量避免显示其用途,楼内外禁止设置暗指此处有信息处理活动的标牌或标记。 - 辅助功能设备,如复印机、传真机等,要放置在安全区内合适的位置,避免因外人接触而导致的信息泄漏。 - 房间无人时,门窗都要上锁关闭;窗户,特别是一楼的窗户,要安装必要的外部保护设施。 - 所有的外门的外窗都要安装合乎职业标准的入侵检测系统,并对其进行定期检测。无人区特别要保持随时警戒。其它区域也要提供安全保护,如电脑房和通讯房等。 - 从物理上把本单位管理的信息处理设备和第三方管理的信息处理设备进行区隔。 - 显示本单位敏感信息处理设备的电话本或通讯录要避免被公众获得。
- 把危险或易燃品保存到一个离安全区适当安全距离的地方。除非另加要求,诸如文具等的大宗物品不得储存在安全区。 - 备用设备或媒体工具应放置在离设备稍远的地方,以防主场地毁坏时同时被毁。
7.1.4 信息安全区内工作守则 为进一步加强已采取物理保护措施的安全区的安全,应制定附加的信息安全区内工作守则。这些包括针对在安全区工作的人员或第三方的管制,也包括对其活动的管制。可考虑如下原则:
- 各人员对安全区的存在及其内活动当知之则知之,不当知之则不许知之。 - 为安全和防止坏人破坏起见,对安全区内所有工作实施监视。 - 无人安全区应采取物理手段加以封闭,并定期查看。
- 应限制第三方辅助服务人员进入安全区或敏感信息处理设备,只在必要时才许其进入。同时,进入要进行授权和监视。安全防御带内部具有不同安全要求的区域之间的通道要采取格外的隔离和防护措施。 - 除非经过授权,否则在安全区内禁止使用摄影、录象、录音或其它记录仪器设备。
7.1.5 交接区的隔离