【等级保护】资讯安全入门手册.pptVIP

資訊安全─入門手冊 第 6 章 政策 第 6 章 政策 政策或許是資訊安全專家工作之中，最乏味的部分。 政策會制訂規則，且政策強迫人們做他們不想做的事情。 政策對於組織非常重要，所以也是組織資訊安全部門的重要工作之一。 6-1政策的重要性 政策可用來提供系統設定的規則、員工平時的活動和緊急狀況的應變。政策本身提供下列兩個主要的功能: 政策定義組織的安全需求。 政策讓每個人知道什麼該做、什麼不該做。 本節內容如下： 6-1-1 安全需求的定義 6-1-2 維繫組織的每一個人 6-1-1 安全需求的定義 政策定義如何落實安全。其中，也包括了妥善設定電腦系統與網路以及實體安全措施。 政策會定義適當的機制以保護資訊與系統安全。 政策定義的不只是安全的技術而已，也定義員工負責的安全相關職責，例如使用者管理員。 定義了員工在使用組織的電腦系統時，必須遵守的規範。 政策定義發生超出預期的狀況時，如何緊急應變的程序。 在發生安全事件或系統故障時，組織的政策與程序也可以定義處理的方法與目標。 6-1-2 維繫組織的每一個人 規則是組織執行安全計劃不能或缺的重要項目。 組織所有員工共同努力維持安全也非常重要，而政策可以提供所有員工協同工作的架構。 組織的政策和程序定義了安全計劃和目標。 6-2 定義政策的類型 組織可以利用多種政策和程序，來定義安全如何運作。 組織可以依據需求，彈性選擇結合各種政策和程序，或進一步細分政策和程序。 每種政策都含有下列三個部分： 目的：每一種政策和程序，都必須清楚地說明建立政策或程序的原因，組織希望政策或程序達成的效益。 範圍：每一種政策和程序都應該定義涵蓋的範圍，例如應用在所有電腦系統和網路系統的安全政策，資訊政策或許會適用所有員工。 責任：在政策和程序的文件內容中，應該定義員工的職責。負責該項政策或程序的員工，應該接受適當的教育訓練且瞭解文件的要求。 6-2-1 資訊政策 資訊政策定義組織的機密資訊範圍，以及如何保護這些資訊。 這類政策應該完整涵蓋整個組織內的資訊。 雖然資訊可以是文件記錄或電子檔案，但政策必須同時考量這兩種資訊的類型。 每個員工對於自己持有的機密文件，都應該善盡保密責任。 界定機密資訊 機密資訊的界定會因為組織的業務性質而異。機密資訊可能包含業務記錄、產品設計、專利資訊、公司電話簿等等。 所有組織會將薪資帳冊、員工基本資料、醫療保險資訊、未公開的財務資訊等，全部視為機密資訊。 特別注意的是─組織內部並非所有資訊全部都是機密資訊，因此必須清楚地界定並讓員工瞭解機密資訊的範圍。 分類 對於大部分組織而言，一、二種分類等級就已經足夠了。 最低等級的資訊是屬於公開資訊─換言之，也就是已經公開或可以公開的資訊。 再進一級是屬於不能公開的資訊，這類資訊稱為『私有』、『公司機密』、『公司機要』。 如果還有第三種機密資訊的等級，它可能稱為『受限制的』或『受保護的』。可以存取這類資訊的人，通常侷限於組織內部少數員工。 機密資訊的標示和分類 針對每種機密資訊的等級（公開資訊以上的等級）來說，政策都必須清楚的定義資訊標示的方式。 若是屬於紙類資訊時，那麼應該標示在每一頁的最上方或最下方。 也可以利用文書處理軟體的頁首、頁尾功能來達成。 通常會用大寫、粗體加以標示，而且使用和本文不同的字型。 如果是儲存在電腦系統內的資訊，那麼政策應該明定適當的保護等級。 保護的方式或許是檔案的存取控制、指定特定類型文件的保護密碼，甚至對檔案加密。 系統管理員可以讀取電腦系統內任何文件。 如果系統管理員持有受保護的資訊時，那麼加密或許是唯一保護資訊的方法。 傳輸機密資訊 資訊政策必須明訂如何傳輸機密資訊。傳輸資訊的方法很多(電子郵件、實體郵件、傳真)，政策應該明確規範每種傳輸方式。 若是透過電子郵件傳輸資訊，那麼政策應該規範檔案（若含有附加檔案）和內容的加密方式。 若是郵寄（包含快遞在內）紙張類文件時，必須建立適當的簽收機制，例如快遞簽收或掛號郵件等。 若是傳真紙張類文件，那麼應該先用電話和收件人聯絡，請他們在傳真機旁等待，然後才把文件傳真過去。 銷毀機密文件 若將機密資訊扔到垃圾桶或資源回收箱，未經授權的人就有可能取得機密文件。 紙類機密資訊可以送到碎紙機絞碎。交錯型的碎紙機，可以將紙張縱向與橫向切割，因此可以提供更高等級的保護。 若刪除的動作不夠確實，則有可能恢復刪除的檔案內容。 6-2-2 安全政策 安全政策用來定義電腦系統與網路設備技術層面的要求。 定義系統或網路管理員，如何妥善設定系統才能達成安全需求。 安全政策也定義出每一種系統建置的安全需求。 安全政策可能不會個別定義作業系統的設定細節。 辨識與認證 安全政策必須定義如何識別使用者。 安全政策必須定義使用者識別碼的準則，或專指定義準則的系統管理程序。