5资产分类和管理
5.1 资产的可计量性
目标:为组织的资产提供适当的保护。
应当考虑到所有主要的信息资产,并为它们指定所有权人。
资产的可计量性可以帮助确保有适当的维护措施。应当为所有主要财产确定所有权人,并且为维护适当的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当保持资产的可计量性。
5.1.1 资产清单
资产清单帮助确保进行了有效的资产保护,并且其它的业务目的,例如出于健康和安全、保险或者金融(资产管理)原因,也可能要用到资产清单。编写资产清单的过程是风险评估的一个重要方面。组织要能够确定其资产、资产的相对价值和这些资产的重要性。根据该信息,组织可以提供与资产价值及其重要性相符的安全保护等级。应当为每个信息系统的重要资产都建立并保有一份资产清单。对于每种资产,都要清楚地进行确认,其所有权和安全等级划分(见5.2),以及资产目前所处位置(当需要恢复损失和毁坏的信息时,这点就非常重要)都应当得到批准并记录在案。与信息系统密切相关的资产包括:
a)信息资产:数据库和数据文件、系统文件、用户操作手册、培训材料、操作或执行的程序、连续性计划、撤退安排、归档的信息;
b)软件资产:应用软件、系统软件、开发工具和设备;
c)实物资产:计算机设备(处理器、显示器、膝上电脑、调制解调器),通信设备(路由器、专用自动交换分机、传真机、录音电话),磁性存储介质(磁带和磁盘),其它技术设备(电源、空调设备),家具、通融资金;
d)服务:计算和通信服务、公共服务例如供暖、照明、供电、空气调节。
5.2 信息分类
目标:取保信息资产得到适当程度的保护。
应当将信息分类,指出其安全保护的需要、优先级和保护程度。
不同信息有不同的敏感性和重要性。有的信息资产可能需要额外保护或者特殊处理。应当采用信息分类系统来定义适当的安全保护等级范围,并传达特殊处理措施的需要。
5.2.1 分类原则
信息的分类和相关保护措施应当考虑到信息共享和信息限制的业务需要,还要考虑这些需要对业务的冲击,例如对信息未经授权的访问或者对信息的破坏。一般说来,信息分类是一种确定应当如何处理和保护该信息的简捷方法。
信息和处理分类数据的系统输出应当按照其对于组织的价值和敏感性加以标识。根据信息对组织的关键程度对其进行标识,比如按照其完整性和有效性进行标识,这样做也是可取的。
经过一段时间以后,信息常常会变得不再敏感或者重要了,例如在信息公开发布以后。这些方面都应当考虑到。如果把安全保护的分类划定得过高就会导致不必要的业务开支。对于任何信息的分类都不一定自始至终固定不变,可能按照一些预定的策略发生改变。信息分类指南应当预料到这些结论并认可这一实际情况(见9.1)。
应当考虑分类范畴的数量以及使用这种分类所带来的好处。 过于复杂的分类规划可能很累赘而且使用和执行起来也不经济。解释其它组织发送过来的文件上的标签时应当十分小心,相同或者相似的标签名称可能具有不同的含义。
信息的始发人或指定的所有权人应当承担确定一则信息类别的责任,例如对一份文件、数据记录、数据文件或者磁盘进行分类的责任,以及定期检查这些分类的责任。
5.2.2 信息标识和处理
为信息标识和处理定义一个符合组织所采用分类计划的适当处理程序集合是非常重要的。这些程序要涵盖实物形式和电子形式的信息。对于每种分类,应当定义包含以下信息处理活动的数据处理程序:
a)复制
b)存储
c)通过邮局、传真和电子邮件的信息发送
d)通过口头语言的信息传递,包括通过移动电话、语音邮件和录音电话传送的信息。
e)销毁
对于那些含有被划定为敏感或者重要信息的系统,其输出应当带有适当的分类标识。该标识应当反映根据5.2.1中规则而建立的分类。 需要考虑的项目包括打印的报告、屏幕显示、存储介质(磁带、磁盘、CD、卡式盒带)、电子消息和文档传输。
一般来说,物理标识是最合适的标识形式。然而,一些信息资产例如电子文档无法加上物理标识,这时可以采用电子标识。
6 人员安全
6.1 工作定义和外包的安全
目标:减少人为失误、盗贼、欺诈或者设备误用所造成的风险。
在招聘时就要提到安全责任的问题,将其包括在合同中,并在雇佣期内监测这种安全责任。
应当对应聘人员进行充分的筛选(见6.2.1),对敏感的工作尤其如此。所有雇员和使用信息处理设备的第三方都应当签署一份信息保密(不泄露)协议。
6.1.1把安全包括在工作责任中
应当在适当的地方记录组织安全策略(见3.1)中所设定的安全角色和安全责任。它们应当包含执行或者维护安全策略的所有总体责任,还包含保护特殊信息资产的专门责任,或者执行特殊安全管理程序或者活动的责任。
6.1.2 人员筛选和策略
在工作申请时应当严格审查长期雇员。包括采取以下措施:
a)有满意的特征比对,例如一项业务和一个人;
b)对申请人履历的审查(完整性和准确性);
c)对其所宣称的学术和职业资质进行确认;
d)单独的身份检查(护照或者类似文件);
当一项工作涉及到能够访问信息处理设备的个人时,无论是最初指派还是后来晋升,组织还应当做专门的信用检查,尤其对于那些处理敏感信息的设备更是如此,比如处理财务信息或者高度机密信息的设备。对于那些处于相当权力岗位的人员应当定期重复进行检查。
对合同签约方和临时雇员也要进行类似的检查。如果这些雇员是通过代理机构提供的,在与代理机构的合同中应当清楚定义该代理方所要承担的筛选责任,以及如果筛选没有完成或者对筛选的结果仍然存有疑虑时代理机构应当遵循的通知程序。
管理层应当评价对有权访问敏感系统的新雇员和没有经验的雇员所做检查监督。所有雇员的工作都要由更高级的雇员做定期检查并遵循一定的批准程序。
管理人员应当清楚他们员工的个人环境会影响到他们的工作。私人问题和财务问题、他们行动或者生活方式的改变、不断出现的消极情绪和精神压力异常,都可能导致欺诈、盗窃、失误或者其它安全隐患。这类信息应当做符合相关法规的处理。
6.1.3 保密协议
保密协议或者不泄露协议用于提醒人们注意该信息是保密的。通常情况下,雇员应当签署这样的协议以作为雇佣他们起码条件和要求。
授权尚未受合同(包含保密协议)约束的临时职员和第三方使用信息处理设备之前,还应当要求他们签订一份保密协议。
当用工合同或者协议发生变动时还要对保密协议进行检查,尤其是雇员要离开该组织或者合同即将接受的时候。
6.1.4 用工条款
用工合同条款应当阐明雇员对于信息安全所负的责任。适当的时候,在雇佣期结束后的一段确定时期内仍然要承担这种责任。其中包括如果雇员不遵守安全要求时组织所要采取的行动。
在用工合同条款中应当包括并清楚界定员工的法律责任和权利,例如:涉及到的版权法或者数据保护法规方面的责任和权利。还包括员工信息的分类和管理责任。只要情况适当,用工合同中就应当清楚阐明这些责任要延伸到组织规定范围之外并拓展到正常的工作时间之外,例如在家工作时就要考虑这些问题(又见7.2.5和9.8.1)。
6.2 用户培训
目标:确保用户清楚信息安全威胁和利害关系。使用户准备好在正常工作过程中能够支持组织的安全策略。
应当在安全程序中、在信息处理设备的正确使用过程中培训用户,以降低可能的安全风险。
6.2.1 信息安全教育和培训
组织的所有雇员和相关的第三方用户都应当接受适当的培训并定期向它们传达组织更新的策略和程序。这包括安全要求,法律责任和业务管理措施,以及在授权访问信息和使用服务之前所要接受的正确使用信息处理程序的培训,例如:登录程序、软件包的使用等。
6.3 对安全事故和故障做出反应
目标:把安全事故和安全故障的损失降到最低程度,监测这些事故并从中吸取教训。
对于影响安全的事故,应当通过适当的管理途径尽快报告。
所有的雇员和签约人应当清楚报告不同类型的事故(安全漏洞、安全威胁、弱点或者故障)的程序,这些事故可能对组织资产的安全构成威胁。应当要求他们把所发现的或者预测的任何事故尽快向合同中指定的地点报告。组织应当建立一个正式的处罚制度,以处理那些造成安全漏洞的职员。为了恰当地对事故做出处理,要在事故发生之后迅速地收集证据,这一点非常重要。
6.3.1 报告安全事故
应当尽可能快速地通过适当管理渠道报告安全事故。
应当建立起正式的报告程序,还应当建立事故反应机制,以便设定在接到事故报告时所应当采取的措施。应当让所有的雇员和签约人都明白报告安全事故的程序,还应当要求他们尽快报告。应当实行适当的反馈机制,确保在处理完事故之后能够知道所报告事故的处理结果。可以用这些事故来训练用户的安全意识(见6.2),使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这些事故(见12.1.7)。
6.3.2 报告安全缺陷
应当要求信息服务的用户注意并报告任何观察到或者预测到的系统或者服务的弱点、或者是对系统或服务的威胁。他们应当尽快向他们的管理层或者服务供应商报告此类事件。应当通知用户,无论在任何情况下,都不要试图去证实可疑缺陷。这是出于对他们自身的保护,因为测试系统缺陷的行为可能被当作对系统的潜在所误用。
6.3.3报告软件故障
应当建立报告软件故障的程序。应当考虑采取以下的措施:
a)应当记录出现问题的特征和出现在屏幕上的任何信息;
b)如果可能的话,应当将计算机隔离并停止使用。应当立即变更所用的连接。如果要检测机器,还应当在重新启动之前断开与组织中其它网络的连接。其磁盘不应当用在其它计算机上。
c)应当立即把该事件向信息安全管理人员报告。
除非得到授权,否则用户不能试图删除可疑软件。应当由受过适当训练的有经验的人员做恢复工作。
6.3.4 吸取事故教训
应当有相应的机制来量化并监测事故和故障的类型、大小和造成的损失。这些信息可以用来确认再次发生的事故或者故障及其造成的冲击。这些信息显示出对强化和附加管理措施的需求程度。可以用这些管理措施来限制未来发生事故的频率、事故造成的损失和破坏,或者将其放入安全策略复查过程(见3.1.2)。
6.3.5 惩处程序
对那些违反组织安全管理政策和程序的雇员(见6.1.4, 在12.1.7中有关于证据保留期的内容),应当有一个正式的惩戒手段。这样的管理程序可以作为对那些易于忽视安全程序人员的警示。另外,应当确保对怀疑犯下严重或者持续安全错误的雇员做出正确的、公平的处理。
