国际标准 ISO/IEC 17799(二)8 通信和运营管理
8.1 操作过程和责任
目标:确保信息处理设备的正确安全运行。
应当确立信息处理设备的管理和操作责任和程序。其中包括建立操作指南和事故处理程序。
如果合适的话,应当进行责任分离(见8.1.4),以减小粗心大意或者精心策划的系统错用。
8.1.1 记录在案的操作过程
应当把安全策略确立的操作程序记录在案并加以保存。应当把操作程序作为正式的文档,对它的改动应当得
到管理层的授权。
这些程序应当详细说明具体执行每项工作时的做法,包括
a) 信息处理和处置;
b) 进程安排的要求,包括与其它系统的相对独立、早期工作启动和后期工作结束;
c) 处理错误或者其它异常情况的操作指导,包括对系统设施的使用限制(见9.5)。这些异常情况可能
在工作进行过程中遇到。
d) 出现意料之外的运行困难或者技术难题时建立辅助连接;
e) 在系统发生故障时要用的系统重启和恢复过程。
8.1.2 运行变更管理
应当控制对信息处理设备和系统的变更。对信息处理设备和系统改变的管理不够是信息故障或者安全事故的
常见诱因。应当有正式的管理责任和程序,确保对设备、软件和程序做的所有变更都得到满意管理。运行程
序应当受到严格的变更管理的控制。当程序改变时,应当保留一份记录所有相关信息的审查日志。对操作环
境所做变动可能影响到应用程序。只要是可行的话,就应当把运行和应用程序变更管理措施结合在一起(又
见10.5.1)。特别应当考虑以下措施:
a) 识别并记录重大变更;
b) 对此类变更潜在影响的评估;
c) 拟议中变更的正式批准手续;
d) 把变更的所有细节通知相关人士;
e) 能够确定从失败的变更中进行恢复时所承担责任的方法;
8.1.3 意外事故管理程序
应当建立意外事故处理责任和相应程序,以确保对安全事故做出迅速、有效和有条理的反应(又见6.3.1)。
应当考虑以下的管理措施:
a) 应当建立起覆盖所有可能的安全事故类型的处理程序,包括:
1. 信息系统故障和服务损失;
2. 拒绝服务;
3. 不完整或者不准确的业务数据导致的错误;
4. 保密性漏洞;
b) 除了正常的紧急事件处理计划(用于尽快恢复系统或者服务)之外,此项管理程序还应当包括:
1. 分析和辨认事故原因;
2. 如果需要的话,要规划并执行补救措施以防再次发生;
3. 收集审查追踪记录和类似的证据;
4. 和其它受到事故影响以及与此事故有关的人员进行沟通;
5. 把相应的行动向适当的负责人员汇报。
c) 适当的时候,应当收集并保护审查追踪和类似的证据(见12.1.7)。这样是为了 :
1. 内部问题分析;
2. 将其用做证据证明潜在的违反合同行为、违反规定的行为或者触犯民法或刑法的行为,例如违反了有
关计算机误用或数据保护相关法规。
3. 同软件或者服务供应商进行谈判,以获得赔偿。
d) 应当认真仔细地管理修补安全漏洞和解决系统故障时采取的措施。此项措施应当确保:
1. 只允许得到明确识别和授权的人员访问正在使用中的系统和数据(又见4.2.2,其中涉及第三方访问)
;
2. 采取的所有紧急事故处理行为都详细地记录在案;
3. 应当有序地把紧急事故处理行动汇报给管理层,并由他们进行复查;
4. 以最快的速度确认业务系统和管理措施的完整性;
8.1.4 责任的分离
责任分离是一种降低偶然或者蓄意系统误用风险的方法。应当考虑把某些责任或者责任区的管理或者执行加
以分离,减少对系统或者服务未经授权的访问或者改动的机会。
较小的组织可能发现这些措施难于执行,但是应当尽可能实践和利用这一指导原则。如果难于把责任分离,
应当考虑采取其它的管理措施,例如:活动监测、审查追踪和管理层监督。安全审查要保持独立,这点非常
重要。
应当小心注意的是,没有哪个人能够单独责任区使用欺诈手段而不被发现。应当把事情的启动和授权分开。
应当考虑采取以下管理措施。
a) 应当把那些需要勾结在一起才能进行欺诈的活动分离开,例如:建立采购清单并确认已经收到货物了
。这一点十分重要。
b) 如果有相互勾结的危险,就应当采取措施对两个或者更多的人进行管理,从而降低共谋的危险。
8.1.5开发过程和运行过程的分离
应当将开发、测试和运行过程分开,这对实现相关角色的分离很重要。应当定义软件从开发到运行的状态转
变要遵守的规则,并将其记录在案。
开发和测试行为可能引起严重的问题,例如,对文档或者系统环境的有害的改动,或者对系统故障弄巧成拙
的处理。在运行环境、测试环境和开发环境之间进行分离时,应当考虑分离的层次。这种分离对于防止出现
运行问题是必要的。另外,还应当在开发和测试功能之间做类似的划分。在这种情况下,需要保持一个已知
的稳定环境,可以在其中运行有防范功能的测试程序,以防止不适当的开发人员访问。
在开发和测试人员可以访问操作系统及其信息的地方,他们可能会引入未经授权和未经测试的程序编码或者
改变运行数据。在某些系统中,这种可能性会被滥用于欺诈或者引入未经授权的或恶意的代码。未经授权的
或恶意的代码能够导致严重的运行问题。开发人员和测试人员本身也对操作信息的保密性构成了威胁。
如果开发和测试共享同一个计算机系统,可能在不经意间改动了软件和信息。因此,为了降低因操作软件和
业务数据的意外改变或者未经授权的访问而造成的风险,建立分立的开发、测试和运行机制是个理想的解决
方案。为此,应当考虑以下的管理措施。
a) 可能的话,开发和运营软件应当在不同的计算机处理器上运行或者在不同的域或目录下运行。
b) 应当尽可能的将开发和测试活动分开。
c) 如果不要求,不应当从操作系统中访问到编译器、编辑器和其它的系统工具。
d) 对操作系统和测试系统应当使用不同的登录程序以减小发生错误的风险。应当鼓励用户对这些系统使
用不同的密码,并且菜单应当显示适当的身份信息。
e) 开发人员只应当有运行密码,其中管理措施负责为支持操作系统而发布密码。管理措施应当确保密码
在使用后做改变。
8.1.6 外部设施的管理
如果使用外部签约方来管理信息处理过程,那么就可能导致潜在的安全漏洞,例如可能危及、损坏或者丢失
在签约方当地的数据。应当事先确定这些风险。而且,所要采取的适当对策也应当得到签约人的同意,并将
其写入合同中(有关访问组织设施和外购合同的第三方协议的指导原则,参见4.2.2和4.3)
应当提到的特殊议题包括:
a) 识别出那些在内部能够得到更好保存的敏感或关键应用程序;
b) 取得业务应用软件所有权人的许可;
c) 业务连续性计划的含义;
d) 专门化的安全标准和测量符合性的程序
e) 分配专门的责任和程序,以有效地监督所有相关的安全活动。
f) 报告和处理意外安全事故的责任和过程。(见8.13)
8.2 系统规划和验收
目标:将系统故障的风险降低到最小。
为确保有足够的容量和资源可供利用,需要有先进的规划和准备工作。
应当预测未来容量需求,以减少信息超载的风险。
在新系统验收和使用前,应当确定它们的运行需要,并对其做记录和检测。
8.2.1 容量规划
为了确保有足够的处理能力和存储空间可供利用,应当监测系统容量需要并对未来的容量需求做出预测。这
些预测中应当考虑到新的业务需求和系统需求、该组织当前的和预测的信息处理趋势。
需要特别关注主机,因为对主机而言征购新容量要更多的资金和时间。主机服务器的管理员应当负责监视关
键系统资源的使用,包括处理器、主存储器、文件存储器、打印机和其它输出设备以及通信系统。他们应当
判别容量使用的趋势,特别是系统容量与业务应用程序或者管理信息系统工具的关系。
管理员应当利用这些信息去识别和避免可能出现的危及系统安全或用户服务的瓶颈,并制订出得当的补救措
施。
8.2.2系统验收
应当建立新信息系统、系统升级和新版本的验收标准,并在验收之前做适当的系统测试。 管理员应当确保新
系统的验收标准和要求得到了清楚地定义、记录和测试。应当考虑以下的管理措施:
a) 性能和计算机容量需求;
b) 错误恢复和重新启动程序,还有意外事故处理计划。
c) 按照已定标准的例行操作程序进行测试和准备。
d) 经批准的适当安全管理措施。
e) 有效的人工操作程序
f) 业务连续性安排,如11.1所要求的那样。
g) 找到证据证明新系统的安装不会对现有系统有负面影响,尤其是在高峰处理时段,例如月末;
h) 找到证据证明已经考虑到新系统对该组织整体安全性的影响。
i) 新系统的操作或使用培训。
对于重大的新开发,应当在开发过程的所有阶段都考虑操作功能并向用户咨询,以确保拟建系统的运行效率
。应当做适当的检测,确认所有的验收条款都得到充分满足。
8.3 防止恶意软件
目标:保护软件和信息的完整性
需要小心提防,以阻止和发现恶意软件的引入。
软件和信息处理设施容易受到入侵恶意软件的危害,例如计算机病毒、网络蠕虫、特洛伊木马(Trojan
horses)(参见10.5.4)和逻辑炸弹。用户应当知晓未经授权软件或者恶意软件的危害。适当的时候,管理
员应当采取专门的控制措施来发现和阻止恶意软件的引入。尤其要注意,在个人计算机上发现和阻止计算机
病毒是根本性的办法。
8.3.1 防止恶意软件的管理措施
为防止恶意软件,应当采取一定的检测和预防措施,并启动适当的用户知情程序。对恶意软件的预防应当基
于安全意识、适当的系统访问和变化管理措施。应当考虑以下的管理措施:
a) 一个正式的安全策略,该安全策略要符合软件许可证并且禁止使用未经授权软件。
b) 一个正式的预防风险的策略。无论文档和软件是从外部网络获得的,或者通过外部网络获得的,又或
者是在任何其它媒体上得到的, 策略中的这些风险都与其密切相关。而该策略指出了应当采取怎样的预防措
施(参见10.5, 特别是10.5.4和10.5.5)。
c) 安装并定期升级防病毒的检测软件和修复软件。用它们扫描计算机和存储介质,这可以作为一种预防
控制手段或者作为一种例行程序。
d) 指导对于支持关键业务程序的系统中数据内容和软件的检查。无论出现任何未经验收的文件或者未经
授权的修改,都要进行正式调查。
e) 对于任何在来源不明或者未经授权的电子媒介上的文件,或者从未受置信的网络上收到的文件,都需
要在使用之前检查病毒。
f) 在使用之前,检测所有电子邮件的附件和下载材料。这种检测可以在不同地点进行,例如:在电子邮
件服务器上、桌面电脑上或者在进入组织的网络时。
g) 系统上负责病毒防护的管理程序和责任、在程序使用方面的培训、病毒袭击的报告和遭受袭击后的恢
复(见6.3和8.1.3)
h) 为从病毒袭击中恢复,需要采用适当的业务连续性计划。它包括所有必要的数据和软件备份以及恢复
安排(参见第一句)。
i) 要考虑使用这样的程序:它能够验证所有与恶意软件相关的信息并且确保警报公告的内容准确翔实。
管理员应当确保使用合格的信息资源,例如:具有良好声誉的期刊、可以信赖的互联网站或者防毒软件供应
商。这就可以方便区分入侵软件是在愚弄人还是真的有病毒。应当提醒组织成员,可能有捉弄人的事情出现
。还要告知他们收到这种东西时怎样做。
这些控制措施对于支持很多工作站的网络文件服务器尤其重要。
8.4 内务管理
目标:保持信息处理和通信服务的完整性和有效性。
应当创立例行程序,来执行已批准的备份策略(参见11.1)、获取数据备份文件并练习对它们进行适时的恢
复、还要记录意外事件和安全故障。如果合适的话,也要监测设备环境。
8.4.1 信息备份
应当定期对基本业务信息和软件进行备份。 应当提供足够的信息备份设备以确保所有重要的业务信息和软件
都能够在一次事故或者存储介质故障之后得到恢复。 应当定期检测单独系统的备份任务安排,以保证这些安
排能够满足对业务连续性计划的需要(见第11个句子)。应当考虑以下措施:
a) 在远程地点应当保有最低限度的备份信息,还包括准确和完整的备份件的记录并留有档案的恢复过程
。该地点应当离主要业务地址足够远,以确保它可以免受主要业务地址发生灾难性事故所造成的损坏。对于
重要的业务应用程序,应当至少保存三代或者三个周期的备份数据。
b) 应当对备份信息给以适当程度的物质的和环境上的保护(见第7句)。这些保护措施要与主要地址所
用的标准相一致。应当把主要地址采用的保护性管理措施扩展到备份件存放地点。
c) 如果可行,应当定期检测备份介质,以确保可以在需要的时候拿它们应急。
d) 应当定期检查并测试恢复的程序,以确保它们的有效性并保证能够在指定的时间内按照恢复操作程序
完成信息恢复。
应当确定重要业务信息的保存期限,还要确定对需要永久保存(见12.1.3)的档案文件的所有要求。
.
8.4.2 操作员日志
操作人员应当保存一份他们活动的日志。该日志记录应当正确地包括:
a) 系统启动时间和关闭时间;
b) 系统错误和所采取的纠正措施。
c) 确认对数据文件和计算机输出做了正确的处理;
d) 做相应记录的人员的姓名。
应当对操作员日志做定期的和独立与操作程序的检查。
8.4.3 事故记录
应当报告发生的事故,并采取补救措施。对于用户报告的有关信息处理系统或者通信系统的故障应当做记录
。对于如何处理报告上来的事故应当清楚的规定,包括:
a) 复验事故日志,确保故障得到满意地解决。
b) 考查改正措施,确保管理措施没有被打折扣而且所采取的措施得到了完全地授权。
8.5 网络管理
目标:确保对网络上信息的保卫和对基础支持设施的保护。
对于可能跨越组织界线的网络的安全管理需要加以注意。
对于经过公众网的敏感信息可能还要加上另外的管理保护措施。
8.5.1 网络管理措施
为了达到和保持计算机网络的安全需要采取广泛的管理措施。网络管理员应当执行这些管理措施以确保网络
上信息的安全,并确保从未经授权的途径接入服务时对网络加以保护。 尤其应当考虑以下的管理措施:
a) 网络的运营责任应当和计算机操作在适当的地方分开。
b) 应当建立对远程设备的管理责任和管理程序,其中远程设备也包括在用户区的设备。
c)
如果需要,应当设立专门措施保护经过公众网的信息的保密性和完整性,并保护所连接的系统(见9.4和10.3
)。可能还需要专门措施维护网络服务和计算机连接的有效性。
d) 管理活动不但应当与优化对业务的服务紧密协作,还应当确保这些管理措施在整个信息处理的基础架
构上都能得到一致的应用。
8.6 备份介质处理和安全
目标:防止对资产的毁坏和对业务活动的扰乱。
备份介质应当得到妥善的管理和物理上的保护
应当建立适当的操作程序来保护文件档案、计算机存储介质(磁带,磁盘,盒式磁带)、输入/输出数据和系
统文件,使它们免遭破坏、偷盗和未经授权的访问。
8.6.1 对可移动的计算机存储介质的管理
应当有对可移动的计算机存储介质的管理程序。这些存储介质有多种,例如磁带、磁盘、盒式磁带和打印出
的报告。应当考虑以下的管理措施:
a) 对于将要从组织中移走的可重复使用的存储介质,如果它上面的内容不再需要了,就应当删除。
b) 对所有从组织中移走的存储介质都应当需要得到授权,并且应当保存对所有这样的转移所做的记录(
见8.7.2)。
c) 所有的存储介质都应当保存在一个安全的环境中,该环境要符合存储介质制造商的规定。
所有的程序和授权等级都应当清楚地记录在案。
8.6.2 存储介质的处置
在不用的时候,存储介质应当得到安全地存放。 敏感信息可能会由于随意地放置存储介质而泄露给外人。应
当建立存储介质安全存放的正式程序来把这种风险降低到最小。应当考虑以下的管理措施:
a) 保存有敏感信息的存储介质应当得到安全的存放和处置,例如通过焚毁或者粉碎,或者在清空其中的
数据以后把它给组织中的其他人使用。
b) 下面列出了可能需要安全处置的物品清单:
1) 纸型文献;
2) 声音记录或其它记录;
3) 复写纸;
4) 输出报告;
5) 一次性打印机色带;
6) 磁带;
7) 可移动磁盘或者盒式磁带;
8) 光学存储介质(所有的形式,包括所有的制造商软件销售存储介质);
9) 程序列表;
10) 测试数据;
11) 系统文件;
c) 应当把所有要收集和安全存放的存储介质都做妥善安排,这要比试图从中分离出敏感物品容易。
d) 很多组织提供对纸张、设备和存储介质的收集和安全处置服务。应当小心地选择提供此种服务的合适
的签约人,该签约人应当具备足够的管理措施和经验。
e) 在可能的情况下应当对含有敏感信息的存储介质的处置做记录,以备审查。
在积累等候处置的存储介质的时候,应当注意聚集效应。这种聚集可能会导致大量的未经分类的信息比少量
的经过分级处理的信息更为敏感。
8.6.3 信息处理程序
应当建立处理和储存信息的程序来保护这些信息免于未经授权的泄露或误用。这些处理信息程序的建立应当
与对信息的分类相一致(见5.2)。其中分类是在以下范围内的:文档、计算系统、网络、移动计算、移动通
信、信件、声音邮件、一般的声音联络、多媒体、邮政服务/设备、传真机的使用和任何其它敏感物品,例如
空白支票、配货单等。应当考虑以下的管理措施(见5.2和8.7.2):
a) 处理并标记所有的存储媒介(又见 8.7.2a);
b) 对确认未经授权的人员进行访问限制。
c) 保有一份对得到授权的数据接收方的正式记录。
d) 确保输入的数据是完备的,处理过程正确地完成了并确认了输出的有效性。
e) 保护那些根据其敏感性等待输出到具有相应安全等级的形式的卷轴式数据。
f) 把存储介质存放在符合制造商要求的环境中。
g) 把数据发放的范围缩到最小。
h) 为了引起经授权的接收方的注意,应当把所有数据的备份都清晰地标明。
i) 定期复查信息发送表和得到授权的信息接收方列表。
8.6.4 系统文件的安全
系统文件可能保护有多种的敏感信息,例如对应用软件运行、程序、数据结构、授权程序等的描述(见9.1)
。应当考虑采用以下的管理措施来保护文件免受未经授权访问的侵害。
a) 应当安全地存储系统文件;
b) 系统文档的访问列表应当保持在很小的范围内,并且得到应用程序所有人的同意。
c) 应当恰当地保护在公共网络上保存的系统文档或通过公众网提供的信息。
8.7 信息和软件的交换
目标:防止在组织间交换的信息被弄丢、修改或者盗用。
在组织之间交换信息和软件应当受到控制,并且应当服从所有相关的法律(见第12句)。
应当在协议的基础上进行交换。为了保护需要交换的信息和存储媒介,应当建立适当的程序和标准。应当考
虑到与电子数据交换、电子商务和电子邮件相关的业务和安全含义,还应当考虑到管理措施的要求。
8.7.1信息和软件交换协议
应当为在组织之间(无论是以电子形式,还是以手工形式)交换信息和软件建立协议。这些协议有的可能是
正式的。适当的时候,这些协议可包括软件条件托付协议。这样一份协议的安全内容应当反映出相关业务的
敏感性。关于安全条件的协议应当包括:
a) 控制和通知发送、速递和接收的管理责任。
b) 通知发送人、发送、速递和接收的程序;
c) 包装和发送的最低技术标准;
d) 信使认证标准;
e) 发生丢失数据的事故时的责任和义务;
f) 为敏感信息和关键信息使用获得批准的标签系统,确保这些标签的含义能被马上理解并且信息得到恰
当的保护;
g) 信息和软件的所有权和对于数据保护、软件版权和类似的情况所承担的责任(见12.1.2和12.1.4);
h) 记录和读取信息和软件的技术标准;
i) 保护敏感物品例如密钥所需要的所有专门的控制措施(见10.3.5)。
8.7.2转运时介质的安全
在从物理上运输信息,例如通过邮政服务或者通过信使递送信息存储介质的时候,信息容易受到未经授权的
访问、盗用或者讹误的伤害。应当运用以下的管理措施保护在不同地点间传送的计算机存储介质。
a) 应当使用可靠的运输手段和信使。经过授权的信使的列表应当得到管理层的批准,并且利用适当的程
序检查信使的身份。
b) 存储介质的包装应当足以保护其中的内容免受任何在转运中可能出现的物理损伤,而且还要符合制造
商的相应规定。
c) 需要的时候,应当采用专门的管理措施来保护敏感信息免受未经授权的公开或者修改。例如:
1) 使用上锁的容器;
2) 人工递送;
3) 防泄密包装(能够显示出任何企图获得数据的尝试);
4) 在例外的情况下,把托运货物分成多份由不同的路径来发货和递送;
5) 使用数字签名和加密,见10.3。
8.7.3电子商务安全
电子商务与电子数据交换(EDI)、电子邮件和通过公众网,比如Internet,的在线贸易的使用相关。许多可
能导致欺诈行为、合同争议和信息泄露或者信息更改的网络威胁都会对电子商务造成危害。应当用合同来保
护电子商务免受这些威胁的危害。电子商务的安全措施应当包括:
a) 认证。 客户和交易人员对彼此所声称的身份应当有多大程度的信任?
b) 授权。授权谁进行定价、设定议题或者签署关键的交易文件?贸易伙伴如何知道这一点?
c) 合同和投保程序。 对保密性和完整性有何要求?对关键文件的递送与接收的证明和对合同的认证有什
么要求?
d) 定价信息。对于建议价格列表的完整性和敏感的打折安排的保密性可以有多大的置信度?
e) 订单发送。如何保证对订单、支付和送货的详细地址以及接收确认的完整性和保密性?
f) 核查。对客户提供的支付信息进行什么程度的检查才是适当的?
g) 结算。怎样才是最适当的防止欺诈付款方式?
h) 订货。需要什么保护措施来保持订货信息的保密性和完整性,并避免交易损失或者重复交易。
i) 责任。欺诈性交易的风险由谁来承担?
考虑到要符合法律要求(见12.1, 特别是12.1.6中的密码的相关立法),上述多个问题通过利用10.3列出的
密码技术来处理。
交易伙伴之间的电子商务安排有书面协议的支持。协议把交易各方置于得到认可的协议条款的约束之下。这
些交易条款包括授权的细节(见上述b)。可能还需要与信息服务和增殖网络供应商签署的其它协议
公共交易系统应当向客户公开发布它们的交易条款。
应当注意到攻击电子商务所用主机之后进行的恢复和攻击其它所有为电子商务活动而设的网络连接的安全牵
连之后进行的恢复(见9.4.7)
8.7.4 电子邮件的安全
8.7.4.1安全风险
人们使用电子邮件进行业务联系,它正在替代传统的通讯方式例如直通电话和信件。电子邮件在很多方面与
传统通讯方式不同,比如它的速度、信息结构、未授权行为的知晓程度和对其易损性。应当注意到减少电子
邮件造成的安全风险的管理需要。这些安全风险包括:
a) 信息对未经授权的服务或修改或者拒绝服务的易损性。
b) 对于故障例如错误指向和误导的易损性,以及服务的总体可靠性和有效性。
c) 通讯媒介的改变对业务活动的影响,例如递送速度增加的影响或者个人向个人而不是公司对公司来发
送正式信息所造成的影响。
d) 法律上的考虑,例如在证明来源、速递、交货和接收时可能要涉及。
e) 对外发布可接触的人员列表时的影响。
f) 控制远程用户对电子邮件列表的访问。
8.7.4.2电子邮件使用策略
对于电子邮件的使用,组织应当建立起一套清楚的策略,包括:
a) 对电子邮件的攻击,例如:病毒、拦截;
b) 对电子邮件附件的保护;
c) 关于在什么时候不使用电子邮件的规定;
d) 雇员所承担的不对公司造成伤害的责任,例如:发送电子邮件进行诽谤,使用电子邮件骚扰他人,或
者未经授权的采购;
e) 用来保护电子信息的保密性和完整性的加密技术的使用;
f) 信息的保存。这些信息如果存储了就能够在需要进行诉讼时找到。
g) 为不能鉴别的信息核对而设立的其它管理措施。
8.7.5 电子办公系统的安全
为了控制与电子办公系统相关的业务风险和安全风险,应当准备并实施相应的策略和规定。,通过组合下列
事物,包括文档、计算机、移动计算、移动通信、邮件、声音邮件、一般语音通信、多媒体、邮政服务/设备
和传真机,它们提供了一种快速传播并分享业务信息的机会。
在考虑与这些设备建立连接对安全的冲击和对业务的影响时应当包括:
a) 办公系统内信息的易损性,例如:录音电话或会议电话、电话的保密性、传真件的储存、开始邮件、
邮件的发送。
b) 有关管理信息共享的一些策略和适当措施,例如对电子公告板的使用。
c) 如果该办公系统不能对敏感的业务信息提供适当等级的保护,就从中排除这些信息。
d) 限制访问与特定个人有关的日志信息,例如在敏感工程中工作的人员。
e) 办公系统支持具体业务实践的适宜性,例如联系订单或者授权。
f) 允许使用该办公系统的公司人员、签约方和业务伙伴的范围,以及可以访问该系统的地点(见4.2)
g) 把选择的设备限制在用户的特殊范围内。
h) 识别用户的状态,例如:本组织的雇员或者为其他客户利益服务的用户。
i) 对该办公系统上信息的备份和保存(见12.1.3和8.4)。
j) 撤退要求和安排(见11.1)。
8.7.6 公众可访问的系统
应当认真保护以电子形式发布的信息的完整性,防止未经授权的改动,这些改动可能会影响该信息发布组织
的声誉。在一个公众可访问的系统上的信息,例如一个可以通过互联网访问的Web服务器上的信息,需要符合
相应法律法规。该系统要受到这些法规的管辖而且业务活动也是其管辖范围内进行的。在信息被公开发布之
前应当有一个正式的授权程序。
软件、数据和其它一些需要具备较高完整性的信息,如果要在公众可访问的系统上发布,应当有相应的保护
机制。例如:数字签名(见10.3.3)电子公告系统,特别是那些允许信息反馈和直接访问信息的系统,应当
认真地加以管理以确保:
a) 信息的取得符合所有的数据保护立法(见12.1.4);
b) 对于输出到公众可访问的系统的信息和由该系统处理的信息应当按时进行完整、准确的处理。
c) 在敏感信息的收集和存储过程中,应当对它们加以保护。
d) 对信息发布系统的访问不允许对与它相连的网络的无意识的访问。
8.7.6 信息交换的其它形式
使用声音、传真和影像设备交换信息的时候,应当有相应程序和管理措施对这些信息进行保护。在使用这些
设备的时候,可能会由于缺乏重视、缺少策略和相应的程序而损坏信息。例如,在公众场合打手机时被偷听
,回复设备被窃听、对拨入语音邮件系统的非法访问或者用传真设备偶然地把传真件错误地发送给其他人。
如果通信设备发生故障、超负荷运行或者被干扰,业务运营可能被打断而且信息可能受到损害(见7.2和句11
)。如果通信设备受到未经授权的用户的访问,信息也可能受到损坏(见第9句)。
对组织成员在使用语音、传真和影像通讯时所要遵守的程序, 应当建立一个详细的策略声明。它应当包括:
a) 提醒员工们应当采取适当的预防措施,例如以下列方式打电话时不披露敏感信息以避免被窃听或被截
获。
1) 同近在咫尺的人通电话尤其移动电话。
2) 通过对电话听筒或者电话线的物理接触来窃取情报,或者在使用模拟电话时通过扫描接收器窃听。
3) 给在位于接收方的人通话时。
b) 提醒员工使用传真机时要注意的问题,即:
1) 对内置信息存储做未经授权的访问来检索信息。
2) 对机器蓄意的或者偶然的编程,使其向特定传真号码发送信息。
3) 由于误拨号或者使用了不正确的存储号码而向错误的传真号发送文档和信息。