第四单元：加密控制政策.docVIP

加密控制措施 Measure of Encrypt and Control Version: 1.0 Copyright ? 2006-2007 Altus Technology Inc. 二○○六年六月十二日 核准：__________ 審核：__________ 承辦：__________ 目 錄  ? 緒論 1 一. 目的 3 二. 政策 3 2.1 加密策略 3 2.2 實施指南 4 三. 系統管理方法 5 3.1 TrustView系統優點 5 3.2 TrustView系統管理 6 四 執行與實施 8 五 風險評估 9 緒論 我們處在信息，信息可以，使，同样，也可以构成，造成。在的中，工业会。，在一的安全来保护。看來資訊安全如此重要，那麽利用一個好的加密系統乃當務之急，這樣就防止部門内部機密資料未經授權的開啟、複製、存取及列印，以及非法傳遞和洩漏，保障企業與日俱增的機密文件保護需求。傳統的資訊安全著重在存取控制、認證及授權，或是以紙本來限制只讓有權限的人閱讀。然而，這些方法並無法協助企業控管機密文件在被授權閱讀者存取後如何被運用。本部門就採用TrustView系統來防止部門内部機密資料未經授權的開啟、複製、存取及列印，以及非法傳遞和洩漏，不但方便部門工作人員工作，為我們降低資安風險，還提高了工作效率，免卻了資安問題的煩擾，而且為部門未來的不斷發展奠定了基礎，能夠適合資訊時代的要求。  一. 目的 如何在電子文件的生命週期裡，有效防範洩密事件於未然，並切實掌控文檔使用歷史？如何多人共享機密資訊，仍確保資訊不被非法傳遞洩漏？如何管制未經授權的文件使用，如複製列印 ? 面對如此多的資安問題，為保障企業與日俱增的機密文件保護需求，防止部門内部機密資料未經授權的開啟、複製、存取及列印，以及非法傳遞和洩漏，需要一的安全来保护 二. 政策 為保護信息，應開發並實施加密控制的使用策略，根據ISO17799-2005還有ISO27001-2005信息技術和安全技術，制訂一系列政策。 2.1 加密策略 加密政策是資訊安全管理的一種有效且必不可少的政策。應識別並定期評審反映組織信息保護需要的保密或非擴散協議的需求，加密政策需要使用合法可實施條款來解決保護機密信息的要求，要滿足要求，需考慮下列因素： 1. 定義要保護的信息（如機密信息），涉及公司機密及敏感性資料，各部門認爲是重要的資料都歸為機密信息，需要採用加密系統。 2.基於風險評估確認要求的保護級別，包括要求的加密算法的類型、強度和質量。 3.使用密碼技術保護用可移動介質、設備或者通過通訊綫路傳輸的敏感信息 4.角色和職責。誰負責： 1）.策略的宣導 2）.策略的實施 5.為在整個組織有效實施而採用的標準（哪种解決方法用於哪些業務過程）。 基於一個組織的安全需求，在此政策中可能需要考慮其他因素。加密政策針對它適用的管轄範圍遵循所有適用的法律法規。另外還應進行周期性評審，黨發生影響這些需求的變更時，也要進行評審。 保護公司機密信息， 個人都明白自己的職責，以授權、負責的方式保護、使用和共享信息。對於一個公司來説，需要制定一套完整的、適用的加密控制措施政策。 2.2 實施指南 制定密碼策略后，實施中應該考慮的内容： 1.確定公司的機密及敏感性資料。 2.採用加密系統需要與資訊部門協商，填寫服務申請單，經核准方可實施。 3.資訊部門負責對系統的導入和安裝問題，進行技術支持。 4.為避免未授權信息洩露的簽署者的職責和行爲（即“需要知道的”）。 5.信息所有者、商業秘密和知識產權，以及他們如何與機密信息保護相關聯係。 6.機密信息的許可使用，文檔管理員根據需要給與群組和個人相關權限。 7.關於機密資料的有效期，由文檔管理員設定。 8.未授權洩露或機密信息破壞的通知和報告過程。 9.對涉及機密信息的活動的審計監視權利。 10.違反公司規定，將機密資料外發或洩露根據情節嚴重按公司規定處罰。 加密控制的有效實施需要制定加密控制措施和政策，有了政策才能更好的去執行和實施，其中考慮到了加密控制的管理方法以及風險評估還有一些標準等。 三. 系統管理方法 通過加密手段來保護部門資料的保密性、真實性或完整性。加密控制主要使用TrustView系統，此系統使用最先進標準256-bit的AES（Advanced Encryption Standard）加密技術，文件從產生到消滅皆被完整保護；作者和系統管理者在文件被開啟後，仍可持續追蹤管理文件收件者的使用行為，甚至回收文件。 TrustView系統優點 使用此系統有如下優點： ?? 1.容易安裝與操作容易 不論是伺服端（TrustServer）或用戶端（TrustView for Office Client Agent