13.2信息傳輸

13.2信息傳輸

13.2.1信息傳輸策略和規程

控制
宜有正式的傳輸策略、規程和控制，以保護通過使用各種類型通信設施進行的信息傳輸。
實現指南
使用通信設施進行信息傳輸的規程和控制宜考慮下列條款：
a) 設計用來防止傳輸信息遭受截取、復制、修改、錯誤尋址和破壞的規程；
b) 檢測和防止可能通過使用電子通信傳輸的惡意軟件的規程（見12.2.1）；
c) 保護以附件形式傳輸的敏感電子信息的規程；
d) 通信設施可接受使用的策略或指南的概述（見8.1.3）；
e) 員工、合同方人員和任何其他用戶不危害組織的責任，例如誹謗、擾亂、冒名、連鎖信轉發、未授權購買等；
f) 密碼技術的使用，例如保護信息的保密性、完整性和真實性（見第10章）；
g) 所有業務通信（包括消息）的保留和處理指南，要與國家和地方法律法規一致；
h) 與使用通信設施相關的控制和限制，例如將電子郵件自動轉發到外部郵件地址；
i) 建議員工采取適當的預防措施以防泄露保密信息；
j) 不將包含保密信息的消息留在應答機上，因為可能被未授權個人重放，也不能留在公用系統或者由于誤撥號而被不正確地存儲；
k) 建議員工有關傳真機的使用或服務問題，即：
1) 未授權訪問內置消息存儲器，以檢索消息；
2) 有意的或無意的對機器編程，將消息發送給特定的電話號碼；
3) 由于誤撥號或使用錯誤存儲的號碼將文件和消息發送給錯誤的電話號碼。
另外，宜提醒員工，不要在公共場所、通過不安全的通信方式、開放的辦公室和會場進行保密會談。
信息傳輸服務宜符合所有相關的法律要求（見18.1）。
其他信息
可通過使用多種不同類型的通信設施進行信息傳輸，例如電子郵件、聲音、傳真和視頻。
可通過多種不同類型的介質進行軟件傳輸，包括從互聯網下載和從出售現貨的供應商處獲得。

13.2.2信息傳輸協議

控制
協議宜解決組織與外部方之間業務信息的安全傳輸。
實現指南
信息傳輸協議宜包括：
a) 對傳輸、分發、接收進行控制和通知的管理責任；
b) 確保可追溯性和不可抵賴性的規程；
c) 打包和傳輸的最低技術標準；
d) 托管協議；
e) 信使標識標準；
f) 信息安全事態發生時的責任和義務，例如數據丟失；
g) 為敏感或關鍵信息使用商定的標記系統，確保標記的含義被快速理解，信息得到適當的保護（見8.2）；
h) 用于記錄和讀取信息和軟件的技術標準；
i) 為保護敏感項（例如密碼（見第10章）），可以要求任何專門的控制；
j) 維護信息在傳輸過程中的監管鏈；
k) 訪問控制的可接受級別。
為保護傳輸中的信息和物理介質（見8.3.3），宜建立和維護策略、規程和標準，并宜在傳輸協議中予以引用。
任何協議的信息安全內容宜反映所涉及業務信息的敏感度。
其他信息

13.2.3電子消息發送

控制
宜適當保護包含在電子消息發送中的信息。
實現指南
電子消息發送的信息安全考慮宜包括以下方面：
a) 保護消息免遭未授權訪問、修改，或與組織所采用的分級模式相稱的拒絕服務；
b) 確保正確的尋址和消息傳輸；
c) 服務的可靠性和可用性；
d) 法律方面的考慮，例如電子簽名的要求；
e) 在使用外部公共服務（例如即時消息或文件共享）前獲得批準；
f) 強鑒別級別，控制來自公共可訪問網絡的訪問。
其他信息

13.2.4保密或不泄露協議

控制
宜識別、定期評審和文件化反映組織信息保護需要的保密性或不泄露協議的要求。
實現指南
保密或不泄露協議宜使用法律強制條款來保護保密信息。保密或不泄露協議適用于外部方或組織的員工。宜基于其他方的類型及其被允許訪問或處理的保密信息，來選擇或添加要素。為識別保密性或不泄露協議的要求，宜考慮下列因素：
a) 要保護的信息（例如保密信息）的定義；
b) 協議的期望持續時間，包括不確定地需要維護保密性的情況；
c) 協議終止時所需的措施；
d) 簽署者的責任和行為，以避免未授權信息泄露；
e) 信息、商業秘密和知識產權的所有權，及其如何與保密信息的保護相關；
f) 保密信息的許可使用，及簽署者使用信息的權力；
g) 對涉及保密信息的活動的審核和監視的權力；
h) 未授權泄露或保密信息破壞的通知和報告過程；
i) 協議終止時，要返還或銷毀的信息項；
j) 違反協議時期望采取的措施。
基于一個組織的信息安全要求，在保密性或不泄露協議中可能需要其他因素。
保密性和不泄露協議宜針對其適用的管轄范圍遵循所有適用的法律法規（見18.1）。
保密性和不泄露協議的要求宜進行周期性評審，當發生影響這些要求的變更時，也宜進行評審。
其他信息
保密性和不泄密協議保護組織信息，并告知簽署者以授權、負責的方式來保護、使用和披露信息的責任。