信息安全管理体系建立方法
以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理。
1 信息安全管理体系概述 1.1 什么是信息安全管理体系
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1. ISMS的范围
ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:
组织所有的信息系统; 组织的部分信息系统; 特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
2. 组织内部成功实施信息安全管理的关键因素 反映业务目标的安全方针、目标和活动; 与组织文化一致的实施安全的方法; 来自管理层的有形支持与承诺;
对安全要求、风险评估和风险管理的良好理解; 向所有管理者及雇员推行安全意思;
向所有雇员和承包商分发有关信息安全方针和准则的导则; 提供适当的培训与教育;
用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。 3. 建立ISMS的步骤
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:
a) 信息安全管理体系的策划与准备; b) 信息安全体系文件的编制; c) 信息安全管理体系的运行;
d) 信息安全管理体系的审核与评审。
1.2 信息安全管理体系的作用
1. ISMS的特点
信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:
体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求;
强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;
强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和可用性,保持组织的竞争优势和商务运作的持续性。 2. 实施ISMS的作用
组织建立、实施与保持信息安全管理体系将会产生如下作用: 强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面体统的保护,维持竞争优势;
在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; 使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信
任度;
促使管理层贯彻信息安全保障体系;
组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息安
全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
1.3 信息安全管理体系的准备
为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。
1. 成立信息安全委员会
信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。
评审和审批信息安全方针; 分配信息安全管理职责; 确认风险评估的结果;
对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等; 评审与监督信息安全事故;
审批与信息安全管理有关的其他重要事项。 2. 任命信息安全管理经理
组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:
确定信息安全管理标准建立、实施和维护信息安全管理体系; 负责组织的信息安全方针与安全策略的贯彻与落实;
向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证
据;
就信息安全管理的有关问题与外部各方面进行联络。 3. 组建信息安全管理推进小组
在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及文字能力,小组
成员一般是企业各部门的骨干人员。
4. 保证有关人员的作用、职责和权限得到有效沟通
用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立做出贡献。
5. 组织机构的设立原则 合适的控制范围
一般情况下,一个经理直接控制的下属管理人员不少于6人,但不应超过10人。在作业复杂的部门或车间,一个组长对15人保持控制。在作业简单的部门或车间,一个组长能控制50个人或更多的人。
合适的管理层次
公司负责人与基层管理部门之间的管理层数应保护最少程度,最影响利润的部门经理应该直接向公司负责人报告。 一个上级的原则
责、权、利一致的原则
既无重叠,又无空白的原则 执行部门与监督部门分离的原则
信息安全部门有一定的性,不应成为生产部门的下属单位。 6. 信息安全管理体系组织结构建立及职责划分的注意事项
如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理,则按上面(5)中所述规则对组织结构进行调整。
应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。 日常的信息安全监督检查工作应有专门的部门负责
对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部门),安全部设立首席安全执行官,首席安全执行官直接向组织最高管理层负责(有的也向首席信息官负责)。美国“911”恐怖袭击事件以后,在美国的一些大型企业,这种安全机构的设置方式逐渐流行,它强调对各种风险的综合管理和对威胁的快速反应。
对于小型企业来说,可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。
2 建立信息安全管理体系原则 2.1 PDCA原则
PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环”。在质量管理中应用广泛,PDCA代表的含义如下:
P(Plan):计划,确定方针和目标,确定活动计划; D(Do):实施,实际去做,实现计划中的内容;
C(Check):检查,总结执行计划的结果,注意效果,找出问题;
A(Action):行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。
PDCA循环的四个阶段具体内容如下:
(1) 计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以下4个步骤。 分析目前现状,找出存在的问题;
分析产生问题的各种原因以及影响因素; 分析并找出管理中的主要问题;
制定管理计划,确定管理要点。
根据管理中出现的主要问题,制定管理的措施、方案,明确管理的重点。制定管理方案时要注意整体的详尽性、多选性、全面性。
(2) 实施阶段:就是指按照制定的方案去执行。
在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况,直接影响全过程。所以在实施阶段要坚持按照制定的方案去执行。
(3) 检查阶段:即检查实施计划的结果。
检查工作这一阶段是比较重要的一个阶段,它是对实施方案是否合理,是否可行有何不妥的检查。是为下一个阶段工作提供条件,是检验上一阶段工作好坏的检验期。
(4) 处理阶段:根据调查效果进行处理。
对已解决的问题,加以标准化:即把已成功的可行的条文进行标准化,将这些纳入制度、规定中,防止以后再发生类似问题;
找出尚未解决的问题,转入下一个循环中去,以便解决。
PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中,PDCA循环得到了广泛的应用,并取得了很好的效果,有人也称其为质量管理的基本方法。之所以叫PDCA循环,是因为这四个过程不是运行一次就完结,而是周而复始地进行,其特点是“大环套小环,一环扣一环,小环保大环,推动大循环”;每个循环系统包括PDCA四个阶段曾螺旋式上升和发展,每循环一次要求提高一步。
建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环:计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12-1所示。
图12-1 PDCA模型与信息安全管理体系过程
ISMS的PDCA具有以下内容: 1. 计划和实施
一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的过程正式化,确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立,评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。
2. 检查与行动
检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、
威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。
3. 控制措施总结(Summary of Controls)
组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结(SoC)的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息,因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。
2.2 文件化
信息安全管理另一个非常重要的原则就是文件化,即所有计划及操作过的事情都要有文件记录, 这样可做到有章可循,有据可查,文件的类型通常有手册、规范、指南、记录等,使用这些文件可以使组织内部沟通意图,统一行动,并为事件提客观证据,同时也可用于学习和培训。如果有些组织曾参与过9000或BS7799的认证,会深刻体会到文件化的重要性。
2.3 领导重视
组织建立信息安全管理体系需要投入大量物力和人力,这就需要得到领导的认可,尤其是最高领导,这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点:
(1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:
a) 建立信息安全方针;
b) 确保建立信息安全目标和计划; c) 为信息安全确立职位和责任;
d) 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要;
e) 提供足够的资源以开发、实施,运行和维护信息安全管理体系; f) 确定可接受风险的水平;
g) 进行信息安全管理体系的评审。
(2) 管理层为组织将确定和提供所需的资源,以: a) 建立、实施、运行和维护信息安全管理体系; b) 确保信息安全程序支持业务要求;
c) 识别和强调法律和法规要求及合同的安全义务; d) 正确地应用所有实施的控制措施维护足够的安全; e) 必要时,进行评审,并适当回应这些评审的结果; f) 需要时,改进信息安全管理体系的有效性。
2.4 全员参与
仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来,而组织内由于普通人员的误操作和疏忽造成严重损失的不止少数,因此我们必须明确安全管理体系不是组织内IT部门的事情,而是需要全体员工参与的。
组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应: a) 确定从事影响信息安全管理体系的人员所必要的能力;
b) 提供能力培训和,必要时,聘用有能力的人员满足这些需求; c) 评价提供的培训和所采取行动的有效性;
d) 保持教育、培训、技能、经验和资格的纪录。
组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标。
3 信息安全管理体系的建立 3.1 建立信息安全管理体系
下图是建立信息安全管理体系的流程图,图12-2,
第一步:
制订信息安全方针 方针文档 文件 第二步:
定义ISMS范围 ISMS范围 文件 评估报告
第三步:
进行风险评估 文件 第四步:
实施风险管理 文档化 文件 文档化 第五步:
选择控制目标措施 文件 第六步:
准备适用声明 声明文件
文件 图12-2ISMS流程图
组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。 组织应做到如下几点:
a) 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。
b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针,方针应:
1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。 2)考虑业务及法律或法规的要求,及合同的安全义务。
3)建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理体系。 4)建立风险评价的标准和风险评估定义的结构。 5)经管理层批准。
c) 确定风险评估的系统化的方法
识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平。
d) 确定风险
1)在信息安全管理体系的范围内,识别资产及其责任人。 2)识别对这些资产的威胁。
3)识别可能被威胁利用的脆弱性。
4)别资产失去保密性、完整性和可用性的影响。 e) 评价风险
1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果; 2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施;
3)估计风险的等级;
4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理。 f) 识别和评价供处理风险的可选措施:
可能的行动包括:
1)应用合适的控制措施;
2)知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的标准; 3)避免风险;
4)转移相关业务风险到其他方面如:保险业,供应商等。 g) 选择控制目标和控制措施处理风险:
应从2.6章节中控制措施中选择合适的控制目标和控制措施,应该根据风险评估和风险处理过程的结果调整。
h) 准备一份适用性声明。
从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从2.6章节中剪裁的控制措施也应加以记录;
i) 提议的残余风险应获得管理层批准并授权实施和运作信息安全管理体系。
3.2 文件要求
信息安全管理体系文件应包括:
a) 文件化的安全方针文件和控制目标;
b) 信息安全管理体系范围和程序及支持信息安全管理体系的控制措施; c) 风险评估报告; d) 风险处理计划;
e) 组织需要的文件化的程序以确保有效地计划运营和对信息安全过程的控制; f) 本标准要求的记录; g) 适用性声明。
3.3 文件控制
信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序,以规定以下方面所需的控制:
a) 文件发布前得到批准,以确保文件的充分性; b) 必要时对文件进行评审与更新,并再次批准; c) 确保文件的更改和现行修订状态得到识别;
d) e) f) g) h) i) 确保在使用处可获得适用文件的有关版本; 确保文件保持清晰、易于识别;
确保外来文件得到识别,并控制其分发; 确保文件的发放在控制状态下; 防止作废文件的非预期使用;
若因任何原因而保留作废文件时,对这些文件进行适当的标识。
3.4 记录控制
应建立并保持纪录,以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。
应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如:访问者的签名簿,审核记录和授权访问记录。
4 实施和运作信息安全管理体系
组织应按如下步聚实施:
a) 识别合适的管理行动和确定管理信息安全风险的优先顺序(即:风险处理计划;
b) 实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安全角色和责任; c) 实施在上述章节里选择的控制目标和控制措施; d) 培训和意识; e) 管理运作过程; f) 管理资源;
g) 实施程序和其他有能力随时探测和回应安全事故的控制措施。
5 监控和评审信息安全管理体系 5.1 监控信息安全管理体系
组织应:
a) 执行监控程序和其他控制措施,以: 1)实时探测处理结果中的错误;
2)及时识别失败和成功的安全破坏和事故;
3)能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标; 4)确定解决安全破坏的行动是否反映了运营的优先级。
b) 进行常规的信息安全管理体系有效性的评审(包括符合安全方针和目标,及安全控制措施的评审)考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈;
c) 评审残余风险和可接受风险的水平,考虑以下方面的变化: 1)组织 2)技术
3)业务目标和过程 4)识别威胁,及
5)外部事件,如:法律、法规的环境发生变化或社会环境发生变化。
d) 在计划的时间段内实施内部信息安全管理体系审核。
e) 经常进行信息安全管理体系管理评审(至少每年评审一次)以保证信息安全管理体系的范围仍然足够,在信息安全管理体系过程中的改进措施已被识别(见信息安全管理体系的管理评审);
f) 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件。
5.2 维护和改进信息安全管理体系
组织应经常:
a) 实施已识别的对于信息安全管理体系的改进措施
b) 采取合适的纠正和预防措施[见7.2和7.3]. 应用从其他组织的安全经验和组织内学到的知识。 c) 沟通结果和行动并得到所有参与的相关方的同意。 d) 确保改进行动达到了预期的目标。
5.3 信息安全管理体系的管理评审
管理层应按策划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。 评审应包括评价信息安全管理体系改进的机会和变更的需要, 包括安全方针和安全目标。 评审的结果应清楚地文件化,应保持管理评审的纪录。
5.3.1 评审输入
管理评审的输入应包括以下方面的信息: a) 信息安全管理体系审核和评审的结果; b) 相关方的反馈;
c) 可以用于组织改进其信息安全管理体系绩效和有效性的技术,产品或程序; d) 预防和纠正措施的状况;
e) 以前风险评估没有足够强调的脆弱性或威胁; f) 以往管理评审的跟踪措施;
g) 任何可能影响信息安全管理体系的变更; h) 改进的建议。
5.3.2 评审输出
管理评审的输出应包括以下方面有关的任何决定和措施: a) 对信息安全管理体系有效性的改进;
b) 修改影响信息安全的程序,必要时,回应内部或外部可能影响信息安全管理体系的事件,包括以下的变更: 1) 业务要求; 2) 安全要求;
3) 业务过程影响现存的业务要求; 4) 法规或法律环境;
5) 风险的等级和/或可接受风险的水平; c) 资源需求。
5.3.3 内部信息安全管理体系审核
组织应按策化的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、
控制措施、过程和程序是否:
a) 符合本标准和相关法律法规的要求; b) 符合识别的信息安全的要求; c) 被有效地实施和维护; d) 达到预想的绩效。
任何审核活动应策划, 策划应考虑过程的状况和重要性,审核的范围以及前次审核的结果。应确定审核的标准,范围,频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作。
应在一个文件化的程序中确定策划和实施审核,报告结果和维护记录[见4.3.3]的责任及要求。
负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。改进措施应包括验证采取的措施和报告验证的结果[见条款7]。
6 信息安全管理体系改进 6.1 持续改进
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性。
6.2 纠正措施
组织应确定措施,以消除与实施和运行信息安全管理体系有关的不合格的原因,防止不合格的再发生。应为纠正措施编制形成文件的程序,确定以下的要求:
a) 识别实施和/或运行信息安全管理体系中的不合格; b) 确定不合格的原因;
c) 评价确保不合格不再发生的措施的需求; d) 确定和实施所需的纠正措施; e) 记录所采取措施的结果; f) 评审所采取的纠正措施。
6.3 预防措施
组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序,以规定以下方面的要求:
a) 识别潜在的不合格及引起不合格的原因; b) 确定和实施所需的预防措施; c) 记录所采取措施的结果; d) 评价所采取的预防措施;
e) 识别已变更的风险和确保注意力关注在重大的已变更的风险。 纠正措施的优先权应以风险评估的结果为基础确定。 注:预防不合格的措施总是比纠正措施更节约成本。
7 控制措施的选择
通常控制措施是在BS7799的十大领域中进行选择,当然针对不同组织的实际情况选择控制目标不同,上述曾介绍过的需进行适用性声明。以下将详细介绍十大领域的控制措施。
7.1 安全方针
7.1.1 信息安全方针
目标:为信息安全提供管理指导和支持。 管理者应该制定一套清晰的指导方针,并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。 1. 信息安全方针文件
方针文件应得到管理者批准,并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺,并陈述组织管理信息安全的方法,它至少应该包括以下几个部分:
信息安全的定义,其总体目标和范围,以及其作为信息共享的安全机制的重要性(见引言); 申明支持信息安全目标和原则的管理意向;
对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明,例如:符合法规和合同的要求;
安全教育的要求;
对计算机病毒和其他恶意软件的防范和检测; 可持续运营的管理; 违反安全方针的后果;
对信息安全管理的总体和具体责任的定义,包括汇报安全事故;
提及支持安全方针的文件,如:特定信息系统的更加详细的安全方针和程序,或用户应该遵守的安全规定。
本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达。
7.1.2 评审与鉴定
方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审,如:重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化。同样应对以下各项进行有计划的、定期的评审:
a) 方针的有效性,可通过记录在案的安全事故的性质、数量和所造成的影响来论证; b) 对运营效率进行控制的成本和效果; c) 技术变化所造成的影响;
7.2 安全组织
7.2.1 信息安全基础结构
目标:在组织内部管理信息安全。 应建立管理框架,在组织内部开展和控制信息安全的实施。 应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。另外应鼓励多学科的信息安全方法的发展,如:经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家(如保险和风险管理领域)之间的协作。 1. 信息安全管理委员会
信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。信息安全管理委员会可以作为现有管理团体的一部分,所承担的职责主要有:
评审和批准信息安全方针和总体职责;
监督信息资产面临重大威胁时所暴露出的重大变化; 评审和监督信息安全事故; 批准加强信息安全的主动行为。
应有一名经理负责和安全有关的所有行为。 2. 信息安全的协作问题
在较大的组织内部,有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会,以合作实施信息安全的控制措施。它的主要功能有:
• 批准组织内关于信息安全的具体任务和责任;
• 批准信息安全方面的具体方法和程序,如风险评估、安全分类系统; • 批准和支持全组织范围的信息安全问题的提议,如安全意识培训; • 确保安全问题是信息设计过程的一部分;
• 评估新系统或服务在信息安全控制实施方面的充分程度和协作情况; • 评审信息安全事故;
• 提高全组织对信息安全的支持程度。 3. 信息安全责任分配
保护单独的资产和实施具体的安全过程的职责应该给予明确定义。
信息安全方针(见上述条款)应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时,针对具体的地点、系统和服务,应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任,如可持续运营计划,应清晰定义。
在许多组织中,会任命一名信息安全经理来负责信息安全工作的开展和实施,并支持控制措施的鉴别工作。
然而,分配资源和实施控制措施的责任一般由各部门经理承担。通常的做法是为每项信息资产指定专人来负责日常的安全工作。
信息资产的负责人可以把安全职责委托给各部门的经理或服务提供商。然而,信息资产负责人对资产的安全负有最终的责任,并应有权确定责任人是否恰当的履行了职责。对各个经理所负责的安全领域的清晰描述是很重要的,特别应进行以下工作:
和各个系统相关的各种资产和安全过程应给予识别和明确的定义。
各项资产或安全过程的管理者责任应经过审批,并以文件的形式详细记录该职责。 授权级别应清晰定义并记录在案。
4. 信息处理设备的授权程序
对于新的信息处理设备应建立管理授权程序,应考虑以下控制措施:
新设备应有适当的用户管理审批制度,对用户的使用目的和使用情况进行授权。同样应得到负责维
护本地信息系统安全环境的经理的批准,以确保满足所有相关的安全方针和要求。如有必要,应检查硬件和软件,以确保与其他系统部件兼容(注:对于有些连接,类型兼容也是必须的)。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性,因此应经评估和授权。上述控制措施在联网的环境中尤为重要。
5. 信息安全专家建议
许多组织可能需要安全专家的建议,这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问。因此,建议组织专门指定一个人来协调组织中的知识和经验,以确保一致性,并帮助做出安全决议。同时他们还应和合适的外部顾问保持联系,以提供自身经验之外的专家建议。信息安全顾问或等同的联络人员的任务应该是使用他们自己的和外部的建议,为信息安全的所有方面提供咨询。他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性。为使其建议最大程度的发挥作用,他们应有权接触组织管理层的各个方面。若怀疑出现安全事件或破坏,应尽早的咨询信息安全顾问和相应的外部联络人员,以获得专业指导和调查资源。尽管多数的内部安全调查通常是在管理层的控制下进行的,但仍可以邀请安全顾问给出建议,领导或实施调查。
6. 组织间的合作
为确保在发生安全事故时能最快的采取适当措施和获得指导建议,各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系。同样也应考虑成为安全组织和行业论坛的成员。
安全信息的交流应该加以,以确保组织的秘密信息不会泄漏到未经授权的人员手中。
7. 信息安全审核的性
信息安全方针条例制定出了信息安全的方针和职能。实施情况的审核工作应该进行,来确保组织规范能够很好的反映安全方针,并且是可行的和有效的。
审核工作应由组织内部的审核职能部门、经理人或精通于此种审核工作的第三方组织来实施,只要审核人员掌握了相应的技术和经验。
7.2.2 第三方访问安全管理
目标:保证第三方访问组织的信息处理设备和信息资产时的安全性。 第三方访问组织内部的信息处理设备的权限应该受到控制。 若有业务上需要第三方的访问,应对此做出风险评估来确定访问可能带来的安全后后果和对访问进行的控制需求。控制措施应经双方同意,并在合同中进行明确定义。 第三方访问还会涉及其他参与者。授予第三方访问权的合同应该涵盖对合法的参与 者任命和允许访访问的条件。 在考虑信息外包处理时,此标准可以作为签订此类合同的基础。 1. 第三方访问的风险鉴别 (1) 访问类型
给予第三方访问的类型至关重要。比如,通过网络连接的访问风险与物理访问的风险有很大区别。需要考虑的访问类型有:
a) 物理访问,如访问办公室,计算机房,文件柜等 b) 逻辑访问,如访问组织的数据库,信息系统等 (2) 访问原因
授权第三方访问有若干原因。例如,向组织提供服务却不在现场的第三方,就可以被授予物理和逻辑访问权,如:
a) 硬件和软件支持人员,他们需要有权访问系统级或低级的应用程序功能。
b) 贸易伙伴或合资伙伴,他们之间需要交流信息,访问信息系统或共享数据库。
若没有充分的信息安全管理,允许第三方访问将给信息带来风险。因此,在业务上有与第三方接触的需求时,则需进行风险评估,以确定具体的控制措施的要求。还要考虑所要进行的访问类型、信息的价值、第三方使用的控制措施和访问给组织信息的安全可能带来的后果。
(3) 现场承包方
按照合同规定,可以在现场滞留一段时间的第三方也有可能带来安全隐患。现场第三方的例子有:
硬件和软件维护和支持人员
清洁人员、送餐人员、保安和其他的外包支持服务人员 学生和其他的短期临时工作人员 顾问
了解采取哪些控制措施来管理第三方对信息处理设备的访问是至关重要的。总的来说,在与第三方所签的合同中应反映出所有的由第三方访问导致的安全需求或内部的控制措施。例如:若对信息的保密性有特殊要求的时候,就要采用保密协议。
只有在实施了适当的控制措施并签订了涵盖连接和访问条件的合同之后,第三方方可访问信息和信息处理设备。
2. 与第三方签约时的安全要求
涉及到第三方访问本组织信息处理设备的安排应基于正式的合同。该合同应包括或提到安全要求,以保证遵守本组织安全方针和安全标准。合同应确保本组织和第三方之间没有误会。各个组织应确保供应商的可靠性。合同中应该考虑如下条款:
a) 信息安全的总体方针; b) 资产保护方面,包括:
1) 保护组织资产(包括信息和软件在内)的程序; 2) 确定资产是否受到危害的程序,如数据的丢失或篡改;
3) 确保在合同截止时或合同执行期间某一双方同意的时间,归还或销毁信息的控制措施; 4) 完整性和可用性; 5) 对复制和泄漏信息的; c) 对可用服务的描述;
d) 服务的目标级和服务的不可接受级; e) 人员调整的规定; f)
协约方各自的责任; 法律体系的区别;
h) 知识产权和版权转让(见控制措施遵从性)与合作成果保护; i)
访问控制协议,包括:
1) 所允许的控制方法,对独特的标识符(如用户ID,密码)的控制和使用; 2) 用户访问和特权的授权过程;
3) 要求保有一份名单,用来记录被授权使用可用服务的用户,以及他们的使用权和特权; j) l)
可验证的行为标准的定义、监督和汇报;
审核合同的责任,或是委任第三方来执行审核工作; k) 监督和废除用户行为的权力;
g) 法律方面的责任,如数据保规,如果合同涉及到其他国家的组织,还应特别考虑不同国家
m) 建立解决问题的升级流程,在适当情况下,还要考虑应急安排; n) 软件和硬件安装和维护责任;
o) 清晰的汇报结构和业经认同的汇报形式; p) 清晰、详细的变更管理流程;
q) 确保控制措施得以实施所需的物理保护控制和机制; r) t)
对用户和管理者在方法、流程和安全方面的培训; 汇报、通知和调查安全事故和安全破坏的安排; s) 确保防范恶意软件的控制措施; u) 包括第三方和次承包商;
7.2.3 委外资源管理
目标:当把信息处理的责任委托给其他组织时,要确保委外信息的安全性 委外安排时,应该在签约方的合同中表明信息系统、网络和或桌面环境方面的风险、安全控制和流程。 1. 委外合同中的安全要求
如果组织将其全部或部分信息系统、网络或桌面环境的管理和控制任务委托给其他组织,委外的安全要求应在合同中加以规定并要争得双方的同意。
例如:合同中应规定:
a) 如何满足法律方面的要求,如数据保规;
b) 做出哪些安排来确保涉及委外的各方,包括次分包商,能意识到各自的责任; c) 如何维护和监测组织的商业资产的完整性和保密性;
d) 要采取哪些物理和逻辑上的控制措施来约束和业经授权的用户对商业信息的访问; e) 在发生灾难的情况下,如何维持服务的可用性; f) 对委外设备需要提供何种程度的物理安全; g) 审核权。
前面条款中的列表所给出的款项也应作为合同的一部分考虑进去。在双方同意的安全管理计划中,此合同应当详细论述安全要求与流程。
尽管委外合同会引起一些复杂的安全问题,在本规范中提及的控制措施可以作为协商安全管理计划结构和内容的起始点。
7.3 资产分类与控制
7.3.1 资产责任
目标:保持对组织资产的适当保护。 应该考虑所有重要的信息资产并指定所有人。 资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人,并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。 1. 资产清单
资产清单有助于确保进行有效的资产保护,其它商业目的,如卫生和安全、保险或财务(资产管理)原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息,组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级(见5.2),以及资产现在的位置(当试图从丢失和损坏状态恢复时是重要的)。和信息系统相关的资产的例子:
a) 信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、
备用系统安排、存档信息;
b) 软件资产:应用软件、系统软件、开发工具和实用程序;
c) 有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字
程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和住所;
d) 服务:计算和通信服务,通用设备,如供暖,照明,电力和空调等。
7.3.2 信息分类
目标:确保信息资产受到适当级别的保护; 应该对信息进行分类以指明要求、优先性和保护等级。 信息具有不同程度的敏感性和重要性。一些项目可能需要额外级别的保护和特殊处理。应该使用信息分类系统来定义一套适当的保护等级,并传达特殊处理措施的要求。 1. 分类原则
信息分类和相应的保护控制措施应该考虑共享或信息的商业要求,以及与这些要求相关的商业影响,如对信息未经授权的访问或损坏。一般而言,对信息分类是决定如何处理和保护此信息的一条捷径。
来自处理机密性数据之系统的信息和输出应该按照其对组织的价值和敏感性进行标示。按照信息对组织的重要性进行标示同样是适当的,如,按照信息的完整性和可用性。经过了一段时间后,例如当信息已经被公开时,信息通常就不再是敏感的或重要的。应该考虑到这些方面,因为过高的保密级别能够导致不必要的额外的商业支出。分类原则应该预见并顾及到一个事实,及对任何特定信息的分类都没有必要始终不变,并可以根据一些预定的方针变化。
应该考虑划分类别的数量以及对其使用所带来的益处。过于复杂的分类方案可能造成使用上的麻烦和不经济或被证明为不切合实际。在解释来自其他组织的文件上的分类标签时应该小心,他们对相同或相似名字的标签可能有不同的定义。
对一项信息(如文件、数据记录、数据档案或磁盘)的分类进行定义以及对该分类定期评审的责任应该保留给数据的创始者或指定的信息所有人。
2. 信息的标示和处理
重要的是根据组织所采用的分类方案,为信息的标示和处理定义一套合适的程序。这些程序必须包含以物理或电子形式存在的信息资产。对每一信息类别,应该定义处理程序,包含下列种类的信息处理活动: a) 复制; b) 存储;
c) 以邮件、传真和电子邮件传送;
d) 以口头方式,包括移动电话、语音邮件、答录机传送; e) 销毁。
含有被划分为敏感或重要信息之系统的输出应该采用适当的分类标示(在输出上)。该标示应该反映根据上述分类原则建立的规则所做的分类。应考虑的项目包括打印报告、屏幕显示、记录了信息的媒体(磁带、磁盘、光盘、盒式磁带),电子信息和文件传送。
物理标示一般是最合适的标示形式。然而,一些信息资产,如电子形式的文件,就不能进行物理标示,而需要使用电子方法标示。
7.4 人员安全
7.4.1 岗位定义和资源分配的安全
目标:降低人为错误、盗窃、诈骗或误用设备的风险。 应该在新员工聘用阶段就提出安全责任问题,包括在聘用合同中,并且在员工的雇佣期间进行监督。 应该对可能的新员工进行充分的筛选,尤其是从事敏感工作的员工。所有雇员以及信息处理设施的第三方用户都应该签署保密(不泄密)协议。 1. 岗位责任中的安全
安全任务和责任,如同在组织的信息安全方针中规定的(见3.1),应该在适当的情况下形成文件。这些任务和责任既应该包括实现或保持安全方针的任何一般责任,又应该包括保护特定资产或执行特定的安全过程或活动的任何具体责任。
2. 人员选拔及方针
对终身员工的核实检查应该在招聘时进行。这应该包括以下控制措施: a) 具有令人满意的能力、人品推荐材料,如针对工作或针对个人的; b) 应聘者相关阅历的检查(针对完整性和准确性); c) 声称的学术或专业资格的确认; d) 的身份检查(护照或类似证件)。
无论是初次任命还是提升,当一项工作涉及的人员具有访问信息处理设备的机会,特别是如果这些设备处理敏感信息,如财务信息或高度机密的信息时,组织应该同样进行信用检查。对于处在有相当权力位置的人员,这种检查应该定期重复。
对于合同方和临时员工应该执行相似的筛选程序。若这些人员是由代理机构推荐的,则在与代理机构签订的合同中应该明确规定该代理机构的筛选责任,以及如果没有完成筛选工作或者如果有理由对筛选结果怀疑或担心,它们必须遵循的通知程序。
管理层应该对有权访问敏感系统的新员工和缺乏经验的员工的监督工作进行评价。每一名员工的工作都应该定期经过一名更高层职员的评审和批准程序。
各经理应该意识到员工的个人环境可以影响他们的工作。个人或财政问题、行为或生活方式的改变、重复的缺勤以及压力或抑郁可能导致欺诈、偷窃、错误或其他安全隐患。应该依据相应权限范围内适当的规定来处理这类信息。
3. 保密协议
保密或不泄密协议用于告知信息是保密的或秘密的。雇员通常应该签署此类协议作为他们受雇的先决条件。
应该要求现存合同(含保密协议)尚未包括的临时员工和第三方用户在被给予信息处理设备访问权之前签署一个保密协议。
在雇用条款或合同发生变化时,特别是员工要离开组织或合同将到期时,应该对保密协议进行评审。 4. 雇佣条款和条件
雇佣条款和条件应该阐明雇员对信息安全的责任。适当时,在雇佣结束后,这些责任应该继续一定的时间。应该包括如果雇员无视安全要求时所采取的行动。
雇员的法律责任和权利,如涉及到的版权法或数据保,应该阐明并包括在雇佣条款和条件中。还应该包括分类和管理雇主数据的责任。只要适当,雇佣条款和条件应该说明这些责任是延伸到组织范围以外和正常工作时间以外,例如在家工作时。
7.4.2 用户培训
目标:确保用户意识到信息安全的威胁和利害关系,并具有在日常工作过程中支持组织安全方针的能力。 应对用户进行安全程序和正确使用信息处理设备的培训,以尽量降低可能的安全风险。
1. 信息安全教育和培训
组织中所用员工以及相关的第三方用户,应该接受适当的培训并且根据组织方针和程序的变化定期再培训。这包括安全要求、法律责任和商业控制措施,还包括在被授权访问信息或服务之前正确使用信息处理设备,如登录程序、软件包的使用的培训。
7.4.3 安全事故和故障的响应
目标:尽量减小安全事故和故障造成的损失,监督此类事件并吸取教训。 影响安全的事故应该尽快通过适当的管理渠道报告。 应使所有雇员和签约人知道可能影响组织资产安全的不同种类事故(安全事故、威 胁、弱点或故障)的各种报告程序。 应该要求他们以最快的速度把任何看到的或怀疑的事故报告给指定的联络人。组织 应该建立正式的惩罚程序以处理破坏安全的员工。为妥当的处理事故,有必要在事故发 生后尽快收集证据。 1. 报告安全事故
安全事故应该尽快通过适当的管理渠道报告。
应该建立正式的报告程序,同时建立事故响应程序,阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序,并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后,执行适当的反馈程序,以确保那些报告的事故被通告了结果。这些事故可以用于用户安全意识培训,作为会发生什么事故、对此类事故如何响应、以及将来如何避免的例子。
2. 报告安全弱点
应该要求信息服务的用户记录并报告任何看到的或怀疑的系统或服务的安全弱点或对它们的威胁。他们应该尽快把这些问题向他们的管理层或直接向服务提供者报告。应该告知用户,在任何情况下,他们都不应该试图验证一个怀疑的弱点。这是为了保护他们自己,因为测试弱点可能被认为是滥用系统。
3. 报告软件故障
应该建立报告软件故障的程序,应该考虑以下行为。 a) 应该记录下问题的征兆和任何显示在屏幕上的信息。
b) 如果可能,计算机应被隔离,并停止对其的使用。应该立即警告适当的联络人。如果要检查设备,
应在重新启用前将其与组织的所有网络断开。软盘不应该用于其他计算机。 c) 该事故应该立即报告给信息安全经理。
除非被授权,用户不应该试图删除有疑问的软件。应该由经过适当培训并有经验的员工执行恢复工作。
4. 从事故中学习
应该有在用的机制以使事故和故障的种类、数量和损失能够被量化和监督。这类信息应该用于识别重发或有重大影响的事故和故障。这可以表明增强或增加控制措施的必要性,以将来事故发生的频率、损坏程度和损失,或者在安全方针评审过程(见3.1.2)中加以考虑。
5. 惩罚程序
针对违反组织安全方针和程序的雇员应该有正式的惩罚程序。此程序对不然可能无视安全方针的雇员能够起到威慑作用。另外,应该保证正确、公平的处理被怀疑严重或连续破坏安全的雇员。
7.5 物理和环境安全
7.5.1 安全区域
目标:防止对商业场所和信息未经授权的访问、破坏和干扰。 关键或敏感的商业信息处理设备应该放置在安全区域,由规定的安全防护带,适当的安全屏障和入口控制保护。这些设备应该被物理保护,防止未授权的访问、破坏和干扰。 所提供的保护应该和被确认的风险相当。建议采用清空桌面和清屏方针以降低对文件、媒体和信息处理设备的未经授权的访问或破坏的风险。 1. 物理安全防护带
物理保护可以通过在商业场所和信息处理设备周围设置若干物理屏障达到。每个屏障形成一个安全防护带,每个防护带都增强所提供的整体防护。组织应该使用安全防护带来保护放置信息处理设备(见7.1.3)的区域。安全防护带是构建屏障的东西,如墙、进门的控制卡或有人职守的接待台。每个屏障的位置和强度取决于风险评估的结果。
适当情况下应该考虑下述原则和控制措施: a) 安全防护带应该明确规定。
b) 放置信息处理设备的建筑物或场所的防护带在物理上应该是的牢固的(例如,在防护带或安全区
域不应该有能够轻易闯入的缺口)。场所的外墙应该是坚固的建筑物,所有的外门应该被适当保护,防止未经授权的访问,如控制机制、栅栏、警铃、锁等。
c) 应该设置有人职守的接待区或其他方法对场所或建筑物控制物理访问。对场所和建筑物的访问应
该仅限于经授权的人员。
d) 如有必要,物理屏障应从地板延伸到天花板,以防止未经授权的进入和由诸如火灾和水灾引起的
环境污染。
e) 安全防护带的所有防火门应具报警功能并用力关紧。 2. 物理进入控制措施
安全区应该通过适当的进入控制措施保护,以确保只有经授权的人员能够进入,应考虑以下的控制措施:
a) 安全区的访问者应该被监督或经批准,并且应该记录他们进入和离开的日期和时间。他们应该仅
被允许访问特定的、经受权的目标,并应该发给他们关于安全区域要求和应急程序的说明。 b) 对敏感信息和信息处理设备的访问应被控制并仅限于经受权的人。鉴别控制措施,如带个人身份
号码的扫描卡,应被用于所有访问的授权和验证。应该安全的保持所有访问的审计线索。 c) 应该要求所有员工穿戴某种明显的身份标志,并鼓励向没有陪伴的陌生人和没有穿带明显身份标
志的任何人盘问。
d) 对安全区的访问权应该定期评审并更新。 3. 保护办公室、房间和设备的安全
安全区可能是上锁的办公室或物理安全防护带中的若干房间,这些房间可以被锁住并且可能存放有可上锁的柜子和保险箱。安全区的选择和设计应该考虑火灾、水灾、爆炸、和其他形式的自然或人为灾害造成损害的可能性。还应该考虑相关的卫生、安全法规和标准。同样应该考虑相邻场所造成的任何安全威胁,如来自其他区域的水泄漏。
应该考虑以下控制措施:
a) 关键设备的放置应该避免被公众访问。
b) 建筑物应该不引人注目,并尽量少的显示其用途,建筑物内外没有表明存在信息处理活动的明显
标志。
c) 辅助功能和设备,如影印机、传真机应该被妥当的放置在安全区内,以避免能够危害信息安全的
访问需求。
d) 无人看管时门窗应该上锁,应该考虑对窗户,特别是地面层窗户的外部保护。
e) 应该在所有的外门和可以出入的窗户按专业标准安装入侵监测系统并定期测试。无人区应该时刻
保持警戒状态。应该同样为其它区域提供保护,如计算机房或通信机房。 f) 由组织管理的信息处理设备应该和第三方管理的信息处理设备从物理上隔离。 g) 显示敏感信息处理设备位置的目录和内部电话本不应该轻易地被公众获取。
h) 危险或易燃物品应该安全地保存在与安全区保持安全距离的地方。大宗消耗品如文具除非必要否
则不应该存放在安全区。
i) 备用设备和备份媒体的放置应该与主场地保持安全的距离,以避免因主场地的灾害造成毁坏。 4. 在安全区内工作
可能需要额外的控制措施和指导原则来加强安全区域的安全性。这包括对在安全区内工作的员工和第三方人员以及发生在安全区的第三方活动的控制措施。应该考虑以下控制措施:
a) 只有在有必要知道的情况下,员工才应该知道安全区的存在或其内的活动。 b) 为安全原因和防止产生恶意活动的机会,在安全区内应该避免无人监督的工作。 c) 空闲的安全区应该上锁并定期检查。
d) 第三方服务支持人员只有在必要时才应该被允许有的访问安全区或敏感信息处理设备。这种
访问应该经过授权并接受监督。在安全防护带内具有不同安全要求的区域之间可能需要控制物理访问的额外的屏障和防护带。
e) 除非经授权,不应该允许使用照相、录像、录音或其他记录设备。
5. 隔离交接区
交接区应予以控制,如有可能,与信息处理设备隔离,以避免未经授权的访问。此类区域的安全要求应该由风险评估决定。应该考虑以下控制措施:
a) 从建筑物外对接货区的访问应限于经确认和授权的人。
b) 应将接货区设计成送货员能够卸货却无法得到访问建筑物其它部分的权利。 c) 当接待区的内门打开时,外门应该是安全的。
d) 进入的物品在从接货区转移到使用地点之前应该接受检查,以防止潜在的危险。 e) 如果适当,进入的物品应在入口进行登记。
7.5.2 设备安全
目标:防止资产的丢失、损坏或泄漏以及商业活动的中断。 应该在物理上保护设备免受安全威胁和环境危害。有必要保护设备(包括场所外使用的)以降低对数据未经受权访问的风险以及防止丢失或损坏。还应该考虑设备的放置和布局。特殊的控制措施可能是必要的,以防止危害或未经授权的访问,并保护辅助设施,如电力和电缆设施。 1. 设备放置和保护
应该放置或保护设备以降低环境威胁和危害造成的风险,以及未经受权访问的机会。应该考虑以下控制措施:
a) 设备的放置应尽量减少对工作区不必要的访问。
b) 处理敏感数据的信息处理和存储设备应该被妥善放置以降低在使用中被忽视的风险。 c) 需要特殊保护的物品应隔离放置,以降低所需的总体保护等级。 d) 应该采取措施以尽量降低潜在威胁的风险,包括: 1) 偷窃;
2) 火灾; 3) 爆炸; 4) 吸烟;
5) 水(或供水故障); 6) 灰尘; 7) 震动; 8) 化学反应; 9) 电源干扰; 10) 电磁辐射。
e) 组织应该考虑在信息处理设备附近吃东西、饮水和吸烟的方针。 f) 对于可能对信息处理设备的运行有负面影响的环境条件应该进行监控。 g) 特殊的保护方法,如键盘保护膜应该考虑配备在工业环境下。
h) 应该考虑发生在临近区域的灾害的影响,如:临近建筑物着火,天花板漏水,低于地平面的地面
渗水或临街爆炸。 2. 电力供应
应该保护设备以防电力中断和其他与电有关的异态。应该根据设备制造商的说明提供合适的电力。 实现不间断电力的可选措施包括: a) 多条线路供电以避免单点故障; b) 不间断电源(UPS); c) 备用发电机。
对于支持关键商业业务的设备,推荐使用不间断电源(UPS),来保证设备的正常关机或持续运转。应急计划应该包括在UPS失效时所采取的行动。UPS设备应该定期检查,以确保其具有足够的电量,并按照制造商的建议测试。
在长时间停电的情况下,如果业务要继续,应该考虑备用发电机。安装之后,发电机应该按照制造商的说明定期测试。应该有足够的燃料供应,以确保发电机能长时间工作。
另外,紧急电源开关应位于设备室的紧急出口附近,以便在紧急情况下迅速切断电源。在主电源发生故障时,应该提供应急照明。应该对所有建筑物应用雷电防护,并在所有外部通信线路上安装雷电防护过滤器。
3. 电缆安全
应该保护传送数据或支持信息服务的电力和通信电缆,防止窃听或损坏。应该考虑以下控制措施: a) 如有可能,接入信息处理设备的电源和通信线路应该铺设在地下,或者采取足够的可替代的保护。 b) 应该保护网络电缆以防未经授权的窃听或损坏,例如,通过使用电缆管道和避免通过公共区域。 c) 电力电缆应该与通信电缆隔离,以防干扰。 d) 对于敏感或关键系统,另外考虑的控制措施包括:
1) 在监测点和端点处安装装甲管道以及上锁房间或盒子; 2) 使用可替换的路由选择或传输媒体; 3) 使用光纤电缆;
4) 启用对未经授权而联接在电缆上的设备的扫描; 4. 设备维护
应该正确的维护维护以确保其持续的可用性和完整性。应该考虑以下控制措施。
a) 设备应该按照提供商推荐的服务周期和规定来进行维护。 b) 只有经授权的维护人员才能修理和保养设备。
c) 应该保持所有怀疑的和确实的故障以及所有预防和纠正措施的纪录。
d) 在将设备送到组织外维护时,应该采取适当的控制措施(见7.2.6关于删除、消磁和重写数据)。
应该遵守保险单规定的所有要求。 5. 场所外设备的安全
无论所有权如何,任何在组织场所外用于信息处理的设备应该经管理层授权。考虑到在组织外工作的风险,所提供的保护应该等同于组织内相同用途的设备。信息处理设备包括用于家庭工作或从正常工作地点带出的所有形式的个人电脑、档案夹、移动电话、文件或其他的物品。应该考虑以下指导原则:
a) 从组织带出的设备和媒体不应留在公共场所无人看管。在旅行时,移动计算机应该如同手提袋一
样加以携带并在可能时加以掩饰。
b) 应该始终遵守生产商对设备保护的说明,如保护设备不暴露于强电磁场。
c) 家庭工作的控制措施应该由风险评估确定,并应该采取合适的控制措施,如可上锁的文件柜、清
空桌面方针以及对计算机的访问控制。 d) 为保护场所外的设备,应该投保足值的保险。
如损坏、盗窃和窃听的安全风险在不同地点变化很大,应该在决定最合适的控制措施时加以考虑。关于保护移动设备的其他方面的更多信息可参见9.8.1
6. 安全的处置或再启用设备
草率的处置或再启用设备能够泄漏信息。存有敏感信息的存储设备应该从物理上被销毁或安全地重写,而不是使用标准的删除功能。
带有存储媒体(如固定硬盘)的所有设备应该被检查以确保任何敏感数据和授权软件在处置前已被清除或重写。被损坏的存有敏感数据的储存设备,需要经过风险评估以决定这些设备是否应该被销毁、修理或丢弃。
7.5.3 常规控制措施
目标:防止信息和信息处理设备的损坏或被盗。 应该保护信息和信息处理设备以防泄漏给未经授权的人,被其修改或偷窃,控制措施应该到位以尽量减少损失或损坏。 在下章节中考虑了处理和存储程序。 1. 清空桌面和清屏方针
组织应考虑对文件及可携带的储存媒体采取清空桌面方针,对信息处理设备采取清屏方针,以降低在正常工作时间内外信息未经授权的访问,丢失和损坏的风险。该方针应考虑信息安全分类(见5.2),相应的风险和组织文化的各方面。
留在桌面上的信息也有可能被诸如火灾、水灾或爆炸的灾害损坏或销毁。 应考虑下述控制措施:
a) 适当情况下,文件和计算机媒体在不用时,特别在工作时间之外,应存放在适当的上锁的柜子和
/或其他形式的安全设备中。
b) 敏感或关键商业信息,在不使用尤其是办公室无人时应锁起来(最好是在防火保险柜或文件柜
中)。
c) 个人计算机、计算机终端和打印机,在无人看管时不应处于登录状态。应在不用时采用键盘锁、
口令或其他的控制措施加以保护。
d) 收发信件的地点和无人看管的传真机和电传机应该加以保护。
e) 在正常工作时间之外应将复印机加锁(或者以其他方式防止未经授权的使用)。 f) 敏感或机密信息,打印完后,应该立即从打印机清除。
2. 资产的迁移
设备、信息或软件未经授权不应带离原场所。必要和合适的情况下,设备应注销并在带回时再注册。应进行抽查,以检查财产非经受权的移动。应使个人知道将抽样检查。
7.6 通信和操作管理
7.6.1 操作程序和责任
目标:确保对信息处理设备正确和安全的操作。 应该建立所有信息处理设备管理和操作的责任和程序。包括制订适当的操作指南 和事故反应程序。 适当情况下应实施责任划分,以降低疏忽或故意滥用系统的风险。 1. 文件化操作程序
被安全方针确定的操作程序应该文件化并保持。应将操作程序作为正式文件对待,经管理层授权后可修改。
程序应该规定每项工作详细的执行指导,包括: a) 信息的加工和处理;
b) 日程要求,包括和其他系统的依存关系,最早的工作开始时间和最晚的工作完成时间; c) 对在工作执行过程中出现的错误或其他意外情况的处理指导,包括对系统功能使用的; d) 在发生意外的操作或技术困难时的支持联络;
e) 特殊输出处理指导,诸如特殊文具的使用或保密输出的管理,包括失败作业输出的安全处理程序; f) 在系统失效时使用的系统重启和恢复程序;
与信息处理和通信设备有关的系统日常管理活动也应准备文件化的程序。如计算机启动和关机程序、备份、设备维护、计算机房和信件处理的管理和安全。
2. 操作的变更控制
应该控制信息处理设备和系统的改变。对信息处理设备和系统变化的控制不够是系统或安全故障的通常原因。应该制订正式的管理责任和程序以确保满足对设备、软件或程序的所有改变的控制。对操作程序应该进行严格的变更控制。在程序变更时,应该保留包括所有相关信息的审计日志。操作环境的变化能够影响到应用程序。可行的情况下,应把操作和应用的变更控制程序整合起来。特别应考虑以下控制措施:
a) 重大变更的识别和记录; b) 评估此类变更的潜在影响; c) 所建议更改的正式审批程序; d) 变更细节通知给所有相关人员;
e) 确定中止和恢复不成功变更的责任的程序。 3. 事故管理流程
应建立事故管理责任和流程来确保对安全事故快速、有效和有序的响应(见6.3.1)。应考虑以下的控制措施:
a) 针对所有潜在的安全事故类型,建立响应程序,包括:
1) 信息系统故障和丧失服务; 2) 拒绝服务;
3) 不完整或不准确的商业数据导致的错误; 4) 保密性的破坏;
b) 除正常的应急计划(为尽快的恢复系统或服务而设计),程序还应包括(见6.3.4):
1) 分析和识别事故原因;
2) 如有必要,设计和实施补救措施以防止事故的重发; 3) 收集审计记录和类似证据;
4) 与受到事故影响的人,或恢复工作涉及到的人沟通; 5) 向有关当局汇报情况。
c) 如果适当,应该收集和安全的保管审计记录和相似的证据,以用于:
1) 内部问题分析;
2) 为可能的违反合同、违反法规要求或引起的民事或刑事诉讼(如由于滥用计算机或违反数据
保)作为相关证据;
3) 与软件和服务提供商商谈赔偿问题。
d) 对安全破坏的恢复工作以及系统故障的纠正工作,应进行谨慎和正式的控制。此程序应确保:
1) 仅允许经明确识别和授权的员工访问运行中的系统和数据; 2) 详细记录所采取的所有紧急行动;
3) 应急行动应报告给管理层,并以有序的方式评审; 4) 对控制措施和商业系统完整性的确认应尽量避免延迟。 4. 职责分开
职责分开是降低意外或故意滥用系统的风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会,应考虑分开管理或执行特定职责或责任领域。
小型组织可能发现这种控制方法难以做到,但是只要可能并可行,该原则应该被应用。如划分工作比较困难,应考虑其他的控制措施,如行动监视、审计跟踪和管理监督。保持安全审计的性很重要。
应该注意不能有人在责任领域实施诈骗而不被发现。事件的提出和批准应该分开。应考虑如下的控制措施:
a) 活动分开很重要,此时需要相互勾结才能进行欺诈,如提高订单价格,和核对所收到的货物。 b) 如有相互勾结的危险,则需设计控制措施以包括两个或更多的人,由此降低合谋的可能性。
5. 开发和操作设备的隔离
隔离开发、测试和操作设备对实现分离所涉及的任务是重要的。应该制订并文件化软件从开发转入操作状态的规则。
开发和测试行为会引起严重的问题,如文件或系统环境的不希望有的修改或系统故障。应考虑为防止操作问题在操作与测试和开发环境之间所必要的分离级别。在开发和测试功能之间也应实施类似的隔
离。在这种情况下,有必要保持一个已知的并稳定的环境,在此环境中执行有意义的测试和防止不适当的开发者的访问。
当开发和测试人员有权访问操作系统和其信息时,他们有可能引入未经授权和未经测试的程序代码或改变操作数据。在某些系统中,这种能力能够被滥用而进行欺诈、或引入未经测试或恶意的代码。未经测试的或恶意的代码能引起严重的操作问题。开发者和测试人员还会给操作信息的保密性造成威胁。
如果开发和测试活动共享相同的计算环境,可以造成软件和信息的意外改变。因此为降低意外改变或未经授权的访问操作软件和商业数据的风险,隔离开发、测试和操作设备是值得的。应考虑如下的控制措施:
a) 如有可能,开发和操作软件应该运行在不同的计算机处理器上,或是在不同的域中或目录下。 b) 开发和测试活动应尽可能的分离远。
c) 编译程序、编辑程序和其他的系统应用程序在不需要时不应该能从操作系统访问。
d) 对操作系统和测试系统应使用不同的登录程序,以降低错误的风险。应该鼓励用户对这些系统使
用不同的密码,菜单应显示适当的识别信息。
e) 只有制定了关于分发口令以支持操作系统的控制措施后,开发人员才有权获得操作密码。控制措
施应确保密码在使用后被更改。
6. 外部设备管理
由外部合同方来管理信息处理设备可以引起潜在的安全破坏,如数据在承包商一方的被泄密、损失或遗失的可能性。应该提前识别这些风险,与合同方商定适当的控制措施并写入合同(对涉及访问组织设备的第三方的合同以及委外合同的原则见4.2.2 和4.3)。
应该提出的特殊的问题有:
a) 识别最好自身保留的敏感或关键的应用软件; b) 获得商业应用软件所有人的许可; c) 可持续商业计划的隐含内容;
d) 需要详细说明的安全标准和衡量符合性的程序; e) 有效监督所有相关安全活动的具体责任和程序的分配; f) 汇报和处理安全事件的责任和程序。
7.6.2 系统规划和接收
目标:将系统失效的风险降到最低。 需要事先计划和准备以确保足够的容量和资源可用。 应对未来容量需求做出预测,以降低系统超载的风险。 应建立新系统的操作要求,在验收和使用前文件化并测试。 1. 容量规划
应监控所需的容量并预测未来的容量需求,以确保有足够的处理能力和存储能力可用。这些预测应当考虑新业务和系统的需求,以及组织在信息处理方面当前和未来的趋势。
大型计算机需要特别注意,因为获取新的容量需要更大的成本和更长的交付时间。大型业务的管理者应监控关键系统资源的使用,包括处理器、主存储器、文件存储器、打印机和其他输出设备以及通信系统。管理人应该确认使用上的趋势,特别是与商业应用程序或管理信息系统工具相关时。
管理者应使用此信息来识别和避免可能对系统安全或用户服务造成威胁的潜在瓶颈,并设计适当的补救措施。
2. 系统的接收
应该制订新信息系统、升级和新版本的接收标准,并在接收前对系统进行适当的测试。管理者应确保新系统的接收要求和标准被清晰定义,同意,文件化并测试。应考虑以下的控制措施:
a) 性能和计算机容量的要求;
b) 错误恢复和重启程序,以及应急计划; c) 准备和测试日常的操作程序以达到规定的标准; d) 实施业经同意的安全控制措施; e) 有效的指南程序;
f) 商业持续性安排,如11.1要求的;
g) 新系统的安装不会给现有系统带来负面影响的证据,特别是在处理高峰时间,如月末; h) 已经考虑了新系统对组织的整体安全产生的影响的证据; i) 操作和使用新系统的培训;
对于主要的新的开发工作,应该在开发过程的所有阶段咨询操作人员和用户,以确保所提出的系统设计方案的操作效率。应该实施适当的测试来确认所有的接收标准已被满足。
7.6.3 恶意软件的防护
目标:保护软件和信息的完整性。 需要有预防措施来防止和检测恶意软件的引入。 软件和信息处理设备易受引入的恶意软件的攻击,诸如计算机病毒、网络蠕虫、特洛伊木马以及逻辑。用户应该意识到未经授权或恶意软件的危害,在适当情况下,管理人员应该采取特殊的控制措施来监测和防止此类恶意软件的引入。特别是,采取预防措施来监测和防止个人计算机上的计算机病毒是必需的。 1. 恶意软件的控制措施
应实施防范恶意软件的监测和预防措施并进行适当的用户意识培训。防范恶意软件应基于安全意识,适当的系统访问控制和变更管理控制。应考虑如下控制措施:
a) 制订正式的方针来要求遵守软件许可协议并禁止使用未经授权的软件(见12.1.2.2);
b) 制订正式的方针以防范与从外部网络或通过外部网络或从任何其他媒体上取得文件和软件相关
的风险,指出应该采取的保护措施(见10.5,特别是10.5.4和10.5.5);
c) 安装和定期更新防病毒监测和修复软件以扫描计算机和媒体,无论作为防御措施或是例行程序; d) 定期检查支持关键商业过程的系统的软件和数据内容,对出现的任何未经批准的文件或未经授权
的修改应进行正式的调查;
e) 对于电子媒体上来源不明或来源未经授权的文件,或者从不可靠的网络上收到的文件,在使用之
前进行病毒检查;
f) 对任何电子邮件的附件和下载内容,在使用之前进行恶意软件检查。此类检查可在不同地点进行,
如电子邮件服务器,桌上电脑或在进入组织的网络时;
g) 关于处理系统中病毒防范的管理程序和责任,如何在其使用中培训,如何报告并从病毒攻击中恢
复(见6.3和8.1.3);
h) 用于病毒攻击后恢复工作的持续商业计划,包括所有必需的数据和软件的备份以及恢复安排(见
11款);
i) 建立验证和所有恶意软件相关的信息的程序,确保警告公报的准确性和有用性。管理者应确保资
料的来源是可靠的,如有声望的杂志、可信赖的网站或防病毒软件提供商,以区分恶作剧和真正的病毒。员工应该知道恶作剧的问题并在收到它们时知道如何处理。 这些控制措施对于支持大批工作站的网络文件服务器尤其重要。
7.6.4 内务处理
目标:保持信息处理和通信服务的完整性和可用性。 应建立常规程序以实施经过批准的备份策略,对数据作备份,演练备份资料的及时恢复,记录登录和登录失败事件,并在适当的情况下,监控设备环境。 1. 信息备份
重要的商业信息和软件应该定期备份。应该提供足够的备份设备以确保所有重要的商业信息和软件能够在发生灾难或媒体故障后迅速恢复。不同系统的备份安排应该定期的进行测试,以确保可以满足持续性运营计划的要求。应考虑如下的控制措施:
a) 备份信息的最低级别、备份的准确的和完整的记录和所记录的恢复流程都应该保存在足够远的地
点,可以避免从主场发生灾害所带来的损失。对重要的商业应用软件的备份信息至少应该保留三代。
b) 对备份信息的物理和环境的保护级别应和主场所应用的标准相一致。对主场的媒体所实施的控制
措施要涵盖到备份地点。
c) 如可行,要对备份媒体进行定期的测试,以确保必要时,可用于紧急备用。
d) 备份流程应定期的进行检查和测试,以确保其有效性,并确保在恢复工作的操作流程中可以在规
定的时间内完成工作
规定重要的商业信息的保留期以及永久保存的文档复件的要求。(见12.1.3)。 2. 操作者日志
操作人员应该保留其行为日志。日志应包括: a) 系统启动和关机时间 b) 系统错误和所采取的修正行为
c) 对数据文件和计算机输出的正确处理的确认 d) 登录人员的名字
对操作人员日志应按操作流程进行定期的、的检查。 3. 差错记录
对差错应该进行汇报并采取修正行动。应该记录用户所汇报的信息处理中或通信系统中的差错。对如何处理汇报上来的差错应有明确的规则:
a) 检查差错记录,以保证差错被解决;
b) 检查修正记录,以确保没有危害到控制措施,并且所采取的行动是经过充分授权的。
7.6.5 网络管理
目标:确保对网络中信息和支持性的基础设施的保护。 对跨组织边界的网络的安全管理需要格外注意。 对于通过公共网络的敏感信息要有额外的控制措施。 1. 网络控制
为实现和维护计算机网络的安全性,需要有一套控制措施。由网络管理员实施控制措施,确保网络中数据的安全,并防止相连的服务受到未经授权的访问。特别地,应考虑如下的控制措施:
a) 在适当情况下,对网络的操作责任应和计算机操作化分开。 b) 要建立对远程设备(包括用户区的设备)的管理责任和流程。
c) 如有必要,应建立特殊的控制措施来确保通过公共网络的数据的保密性和完整性,并保护相连接
的系统。还需要特殊的控制措施来维护网络服务和所连接的计算机的可用性。
d) 管理行动要紧密协作,以优化对业务所提供的服务,并确保对信息处理基础设施的控制措施得以
始终如一的进行。
7.6.6 媒体的处理和安全
目标:防止资产损失和商业活动的中断 对媒体应加以管理和基于物理上的保护。 应建立合适的操作流程来保护文档、计算机媒体(磁带、软盘、盒式磁带)、输入/输出数据和系统文件免受损坏、盗用和未授权的访问。 1. 可移动的计算机媒体的管理
应有流程来管理可移动的计算机媒体,如磁带、软盘、盒式磁带和打印的文件。应考虑如下的控制措施:
a) 对从组织中换下来的可再用媒体上的以前的内容,如不再需要,应删除掉。 b) 从组织中换下来的任何媒体都要经过批准,并应保留记录和审核跟踪记录。 c) 所有的媒体应该按照制造商的指示保存在安全的环境中。 所有的流程和授权级别都要进行清晰的记录。 2. 媒体的处理
媒体作废后,应当对其进行安全处理。敏感信息可能通过对媒体的草率处理而泄漏出去。因此,应当建立正规的媒体安全处理流程以将此风险将至最低。应当考虑下面的控制措施:
a) 对载有敏感信息的媒体应加以安全妥当的保存或采用安全的方式加以处置,如焚烧或碎片,或在
清空数据后供本组织的其他机构使用。 b) 下面的列表指明了可能需要安全处置的物品:
1) 书面文件;
2) 录音或其他形式的记录; 3) 复写纸; 4) 输出报告; 5) 一次性打印色带; 6) 磁带;
7) 可移动的磁盘或磁带;
8) 光学存储媒体(包括所有形式和所有制造商制造的软件分销媒体); 9) 程序列表; 10) 测试数据; 11) 系统文档。
c) 把所有的媒体收集起来进行安全的处理,比试图分离出敏感的媒体可能更加容易。
d) 许多单位对文件、设备和媒体提供收购和处理的服务。应当注意选择一个适当的有足够的控制措
施和经验的承包商。
e) 对敏感物品的处理要进行记录,以便日后进行审核之用。
在堆积媒体等候集中处理时,应当考虑到所谓的“堆置效应”,即大量未分类信息堆置在一起可能比少量单个信息更敏感。
3. 信息处理的流程
应当建立信息处理和存储的流程,以便保护这种信息免于非法的透露或误用。制定必要的流程并按照其分类对文件、电脑系统、网络、移动计算、移动通讯、邮件、语音邮件、一般语音通讯、多媒体、邮政服务及设施、传真机和其它敏感物品如空白支票、等的使用进行管理。应当考虑下面的控制措施:
a) 所有介质的处理和标注;
b) 对访问进行以识别未授权的人员; c) 保留一个数据的合法收件人的正式记录;
d) 确保输入数据的完整性、处理过程得以正确完成及对输出的有效确认; e) 对等待输出的数据采取与其敏感性相应的保护; f) 把媒体存放在符合制造商规定的环境中; g) 尽量减少数据的分发;
h) 对所有的数据副本进行清楚标示,以引起其合法接收人员的注意; i) 定期对分发清单和合法收件人的名单进行回顾。 4. 系统文档的安全
系统文档可能载有系列敏感信息,如对应用程序、流程、数据结构、授权过程的描述。应当考虑下面的控制措施以保护系统文档免受未授权的访问。
a) 系统文档应当被安全地保存。
b) 系统文档的访问清单要尽量简短,并要经过应用者的授权。
c) 保留在公共网络上的或通过公共网络所提供的系统文档应当被适当地保护。
7.6.7 信息和软件的交换
目标:防止丢失、修改或误用组织之间交换的信息。 应当控制组织之间信息和软件的交换,并应当使其符合任何相关的法规(参见12条)。 应当根据协议来进行交换。建立流程和标准来保护传输中的信息和媒体。应当考虑与电子数据交换,电子商务和电子邮件有关的商业和安全隐患以及控制措施的需求。 1. 信息和软件交换协议
应当为组织之间的信息和软件的交换(不管是电子的或人工的)订立协议,某些协议可能是正式的,在适当的时候,包括软件的由第三方保存的协议。这样一种协议的安全内容应当反映所涉及的商业信息的敏感性。关于安全条件的协议应当考虑:
a) 对传输、发送和接收进行控制和通知的管理权责; b) 通知发件人、传输、发送和接收的流程; c) 包装和传输的最低技术标准; d) 信使的身份证明标准; e) 丢失数据的责任;
f) 对敏感或关键的信息使用一种经过议定的标示系统,确保标示的意思易于理解,信息得到适当的
保护;
g) 信息和软件所属权及数据保护的责任,软件的版权合法性和类似的考虑; h) 用于记录和读写信息和软件的技术标准;
i) 保护敏感物品所可能要求的任何特殊的控制措施,诸如加密的密钥。 2. 传输中的媒体的安全
信息在物理传输的过程中,例如,当通过邮政服务或快件传递的时候,可能容易受到未授权的访问,误用或讹误。应当应用下列的控制措施来保护电脑媒体在两地传递过程中的安全:
a) 应当使用可靠的传递方式或信使。管理层应当议定一系列经过授权的信使并实施检查信使身份的
流程。
b) 应当有充分的包装,以保护内容免受传输过程中所可能发生的物理损害,并要符合制造商的说明。 c) 在必要的地方,应当采用特殊的控制措施,以保护敏感信息免受未授权的透露或修改。可采用的
控制措施包括:
1) 使用上锁的集装箱; 2) 手工传递;
3) 防拆包装(可显示任何拆封的痕迹);
4) 在特殊的情况下,将发送的物品分开并通过不同的路线传递。 5) 使用数字签名和加密,参见10.3。 3. 电子商务的安全
电子商务可能会涉及电子数据交换、电子邮件和通过因特网之类的公众网进行网上交易等方式的使用。电子商务很容易受到大量的网络上的威胁,从而导致欺诈行为,合同纠纷和信息的透露或修改。应当应用控制措施来保护电子商务免受这样的威胁。对于电子商务的安全考虑应当包括下面的控制措施:
a) 身份验证。客户和交易人对彼此的身份的把握程度如何?
b) 授权。谁被授权来制定价格、交易内容并签署关键的交易文件?交易伙伴如何知道这一点? c) 合同和竞标过程。关于关键文件的发送、接收及合同的认可在其保密性、完整性和可证明性方面
有哪些要求?
d) 定价信息。报价清单的完整性和敏感折扣安排的保密性在多大程度上是可信的? e) 订单交易。订单、支付和交货地址的细节及接收确认方面的完整性和保密性如何? f) 审查。如何适当地对客户提交的支付信息进行审查? g) 结算。防范欺诈的最适当的支付方式是什么?
h) 订货。应采取哪些措施来保护订单信息的保密性和完整性,并防止上述信息的透露或复制? i) 责任。对于任何欺诈性交易的风险由谁来承担?
上述的许多考虑都要依法通过网上加密技术的使用得以实现。
贸易伙伴间的电子商务安排应当由文档化的协议来支持,该协议使双方都对议定的贸易条款作出承诺,包括授权的细节。同时,也必要和信息服务和网络增值业务提供商签订其他的协议。
公共交易系统应当向客户公开其交易条款及规定。
应当考虑用于电子商务的主机对于攻击的抵抗能力,以及实施电子商务所要求的任何网络互联的安全隐患的处理措施。
4. 电子邮件的安全 (1) 安全风险
电子邮件被用于商业通讯,取代了传统形式的通讯方式如电传或信件。电子邮件和传统的商务通讯方式有很多不同,如速度、信函结构、非正式的程度及易受非法攻击等。因此,应当考虑需要采取控制措施以减少由电子邮件所产生的安全风险。安全风险包括:
a) 信息易受到未授权的访问,修改或拒绝服务;
b) 易出错误,如错误的地址或错发,以及服务的总体可靠性和可用性;
c) 通讯媒体的改变对商业流程的影响,如发送速度加快的影响,及在人与人之间而非公司和公司之
间发送正式信函的影响,等;
d) 法律方面的考虑,如潜在的关于邮件来源、发送、提交和接收证明的要求; e) 向外界公布可访问的职员名单的隐患; f) 控制远程使用者访问电子邮件帐号。 (2) 关于电子邮件的方针
组织应当制定一个清楚的方针对电子邮件的使用加以规定,包括: a) 对电子邮件的攻击,如病毒,中途截取; b) 保护电子邮件的附件;
c) 关于何时禁止使用电子邮件的方针;
d) 员工不损害公司利益的责任,如不得发放诋毁性的电子邮件,不得使用电子邮件对他人进行骚扰,
不得进行非法买卖等;
e) 使用加密技术保护电子信息的秘密性和完整性; f) 保留有关信息用于法律诉讼时的作证;
g) 对不能辩明其身份的电子邮件进行检审的额外控制措施。 5. 电子办公系统的安全
应当制定和实施有关的方针以控制与电子办公系统有关的商业和安全风险。通过使用文件、电脑、移动电脑、移动通讯、邮件、语音邮件、语音通讯、多媒体、邮政服务/设施和传真机等的组合,为更快地传播和共享商业信息提供了机会。
对连接这种设备的安全和商业隐患的考虑应当包括:
a) 办公系统中的信息的脆弱性,如电话记录或电话会议,电话内容的秘密性,传真的存储,邮件的
开启和分发等;
b) 管理信息共享的方针和适当的控制措施,例如,公司电子布告栏的使用; c) 如果系统不能提供一种适当程度的保护,则排除敏感的商业信息的种类; d) 存取涉及被选个人的日记信息,如从事敏感项目工作的员工的信息; e) 系统支持商业应用的适当性,如通讯订单或授权等;
f) 对允许使用系统的员工、合同方或业务伙伴的分类划分,及其可存取的位置; g) 将所选的设备限定于特殊种类的使用者;
h) 识别使用者的身份,如是组织的雇员还是为了其他使用者的利益而设立的公司名录中的合同方; i) 对系统上的信息进行备份保存;(参见12.1.3和8.4.1)
j) 紧急情况的要求和安排(参见11.1) 6. 公共可用的系统
应当注意保护以电子形式发表的信息的完整性,防止对其进行未授权的修改而造成对组织名誉的损害。在公共可用系统上的信息,如通过因特网可访问的网络服务器上的信息,需要合乎其所在地区或所从事交易的地区的法律的要求。信息在被公开之前,应当有一个正式的授权流程。
应当采取适当的机制对公共系统上的软件、数据或其他要求高度完整性的信息加以保护,例如,数字签名。电子发布系统,特别是那些允许信息的反馈和直接进入的系统,要加以严格的控制,以做到:
a) 信息的获得符合任何数据保规的要求;
b) 输入发布系统的并由发布系统处理的信息将得到完整、准确和及时的处理; c) 在收集的过程中和存储的时候,敏感的信息将得以保护; d) 对发布系统的访问不允许对与其相连接的网络的意外访问。 7. 其他形式的信息交换
应当有适当的流程和控制措施,对通过声音、传真和视频通讯设备等进行的信息交换进行保护。安全意识,关于使用这些设备的方针或流程的缺乏会导致信息的损害,例如,在公共场合打移动电话,使用语音答录机时会被偷听,对拨号语音邮件系统的未授权访问或使用传真机设备偶然地将传真错发给别人等。
如果通讯设备出现故障,超载或中断会导致商业的中断和信息的损害。
应当制定一个清楚的方针声明,规定职员在使用语音、传真和视频通讯设备时应遵守的流程。这应当包括:
a) 提醒职员在打电话时进行适当的注意,如不提敏感信息以避免信息被下列人员偷听或截获:
1) 职员周围的人,特别是使用手提电话的时候;
2) 通过盗线或其他物理方式接触电话机或电话线的人,及使用手提电话时用扫描接收器进行监
听的人;
3) 在受话人一端的人;
b) 提醒职员不得在公开场所、开放的办公室或墙壁较薄的房间内谈论保密话题;
c) 不得在语音答录机上留言,因为这些设备可被非法人员盗听、或由于拨号错误而录到不正确的地
方;
d) 提醒职员关于使用传真机所可能导致的问题,即:
1) 传真机内存信息被非法访问;
2) 故意或非故意地对传真机的程序进行修改导致传真发送到别的指定的号码上; 3) 由于错误拨号或错误使用传真机内存的号码而把传真错误地发送到错误的号码上。
7.7 访问控制
7.7.1 访问控制的商业要求
目标:控制对信息的访问 对信息和商业流程的访问应在商务和安全需求的基础上进行控制。 访问控制应考虑到信息传播和授权方面的方针。 1. 访问控制方针
(1) 方针和商务需求
访问控制的商务需求应进行定义和文档化。每一个用户或用户组访问控制规则和权力都应在访问方针报告书中明确声明。应给用户和服务提供商应提供由访问控制决定的商务需求的明确声明。
访问控制方针应考虑下述问题: a) 不同的商务应用的安全需求 b) 所有和商务应用相关的信息的辨认
c) 信息传播和授权方针,如了解原则、信息的安全级别和分类的需求 d) 不同系统和网络的访问控制和信息分类方针之间的一致性 e) 关于保护对数据和服务的有关法规和合同义务(见12款) f) 对普通范畴工作的标准用户访问文件
g) 对于公认一切类型的可用连接的分布式和网络化的环境的访问权限的管理 (2) 访问控制规则
为详细说明访问控制规则,应注意考虑以下各项:
a) 区分必须执行的规则与可选的或有条件则应执行的规则;
b) 所建立的规则应以“未经明确允许的都是禁止的”为前提,而不是以较弱的原则“未经明确禁止
的都是允许的”为前提;
c) 信息标记的变化(见5.2),包括由信息处理设备自动引起的的或是有用户决定引起的; d) 由信息系统和管理人员引起的用户许可的变化;
e) 规则在颁布之前需要管理人员的批准或其他形式的许可,而一些则不需要;
7.7.2 用户访问管理
目标:防止对信息系统的未授权访问 应有正式的流程来控制对信息系统和服务的访问权的分配。 流程应该涵盖用户访问的生存期的各个阶段,包括从新用户的注册,到不再需要访问信息系统和服务时的注销。在适当情况下,对于可以超越系统控制的访问特权的分配,控制时应给予特别的注意。 1. 用户注册
应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。 应通过指示的用户注册流程控制对多用户信息服务的访问,这一流程应包括:
a) 使用唯一的用户身份识别符,这样可将用户和其行为联系起来,并使用户为其行为负责。只有工
作执行需要时,才允许使用群识别符;
b) 检查用户是否获得了系统所有人对信息系统和服务的授权访问。管理人员的个别授权也是适当
的;
c) 检查所授予的访问级别对于商务目的是否合适,并且是否和组织安全方针相一致,访问级别不可
危害职责的划分;
d) 向用户颁发其访问权限的书面声明;
e) 要求用户签订申明书,表明其了解自己的访问条件; f) 确保只有在授权流程完成之后,服务提供商才可以提供服务; g) 保留一份记录所有注册使用该服务的用户的正式名单; h) 对于改变工作或离开组织的用户,应立即取消其访问权;
i) 定期的检查和取消冗余的用户身份识别符和账户; j) 确保冗余的用户身份识别符不分配给其他用户;
若员工或服务代理商试图进行越权访问,应有条款对此详加说明,并考虑将其包含在员工合同和服务合同中(见6.1.4和6.3.5)。
2. 特权管理
应对特权的使用和分配(是多用户信息系统的特点或功能,它允许用户超越系统或应用控制措施的控制)进行和控制。对系统特权的不恰当的使用是被破坏的系统发生故障的一个主要原因。
禁止未授权访问的多用户系统应该具备由正式的授权过程所控制的特权分配。应考虑如下的步骤: a) 和系统产品相关联的特权,如操作系统、数据库管理系统和每个应用软件,及需要进行特权分配
的用户的类别都要进行辨别;
b) 应该在需要的时候才给用户分配特权,也就是说,只给最少的功能角色直至它们需要; c) 应保留授权流程和已分配的特权的记录。在授权过程完成之前,不得授予特权; d) 系统例行测试的开发和使用应避免对用户授予特权; e) 特权应分配给和正常业务使用所需的不同用户。 3. 用户密码管理
密码是证实访问信息系统或服务的用户身份的常用方法。密码的分配需要由正式的管理流程来控制,其步骤应是:
a) 需要用户签订一份声明,确保个人密码的保密性和工作组密码只限于组成员之中(这可能包含在
雇用条款和条件中,见6.1.4);
b) 在需要用户保留他们自己的密码的情况下,确保向他们提供了一个安全的、临时性的密码,此密
码要立即进行更换。用户忘记密码时所提供的临时密码,必须通过用户明确的身份标识来提供; c) 需要在安全模式下提供临时密码。避免使用第三方或未受保护(明文)的电子邮件信息。用户需
要对受到的密码进行确认。
密码不得以未受保护的形式储存在计算机内(见9.5.4)其他的用于用户识别和辨别的技术,比如生物技术,如指纹检验、签名验证和硬件标记,如芯片卡,都是可用的,在适当的时候应该考虑采用。
4. 用户访问权的审查
确保对数据和信息服务的访问的有效控制,管理人员应该定期的执行对用户访问权的检查工作来确保:
a) 用户的访问权限的定期或变更后检查(建议6个月为一周期); b) 特殊访问权的批准要更经常的进行审查,建议3个月为一个周期; c) 定期的审查特权分配,以确保不会获得未经授权的特权。
7.7.3 用户职责
目标:防止未授权的用户访问 已授权用户的合作是有效的安全的基本条件。 应使用户意识到其在维护有效的访问控制中的责任,特别是关系到密码的使用和用户设备的安全问题。 1. 密码的使用
用户应该在选择和使用密码时遵循良好的安全规范。
密码提供了证实用户身份的一种方法,从而证实对信息处理设备的访问权。建议所有的用户: a) 保护密码的保密性;
b) 避免保有密码的文字记录,除非这种记录可以被安全的保存起来; c) 如有迹象表明系统或密码受到危害,则应更改密码; d) 选择最小长度为六个字符的高质量的密码,密码应:
1) 便于记忆;
2) 不基于他人根据与本人有关的信息易于猜到或获得的任何事物,如名字,电话号码,和生日
等;
3) 不要采用连续同一字符或是全数字群或全字符群;
e) 定期的或基于访问次数来更改密码(特权账户的密码和普通密码相比,要更换得更频繁一些)避
免重新使用或循环使用旧密码; f) 第一次登录时即更换临时密码;
g) 不把密码包含在任何自动登录的程序中,如保存在宏或功能键中; h) 不要共享个人密码;
如果用户需要访问多项服务或平台,并需要保留多个密码,则建议用户在所有可以为所保存的密码提供合理保护级别的服务中使用唯一的、高质量的密码(见上述的d)。
2. 无人看管的用户设备
用户应确保对无人看管的设备有适当的保护。在用户区所安装的设备,如工作站或文件服务器,当长时间无人看管时,针对未授权访问需要有特殊的保护。要求用户和承包商意识到保护无人看管设备的安全要求和流程,以及他们在实施这种保护时的责任。建议用户:
a) 使用完,终止活动的进程,除非有适当的锁定机制来保护,如屏保密码;
b) 进程结束之后,应从主机上注销并退出系统(如,不仅仅是关闭个人电脑或终端); c) 通过键盘锁或相似的办法避免对个人电脑或终端的未授权使用,如密码保护。
7.7.4 网络访问控制
目标:保护网络服务,控制对内部网络和外部网络服务的访问。 为了确保访问网络和网络服务的用户不会危害到这些网络服务的安全性,确保以下各项是很必要的: a) 在组织内部网络和其他组织的网络以及公共网络之间的合适的接口程序; b) 对用户和设备的合适的认证机制; c) 控制用户对信息服务的访问; 1. 使用网络服务的方针
和网络服务的非安全性连接将会影响到整个组织。用户只可以直接访问已经明确授权访问的服务。这种控制对于连接到敏感的或关键性的商业应用软件或连接到高风险区的用户的网络连接是特别重要的,如在组织安全管理和控制之外的公共或外部区域。
应制定关于网络和网络服务使用问题的方针: a) 所允许访问的网络和网络服务;
b) 决定什么人可以访问那些网络和网络服务的授权流程; c) 保护对网络连接和网络服务的管理控制与流程;
此方针要和商务访问控制方针相一致(见9.1) 2. 强制路径
应控制从用户终端到计算机服务的路径。网络应被设计成允许最大范围的资源共享和路由的灵活性。这种特点也给未经授权的访问商务应用软件和使用信息设备制造了机会。在用户终端和允许用户访问的计算机服务之间的路由,如建立强制路径,包含有这样的控制措施的路径可以减小此类风险。
强制路径的目的是防止用户在用户终端和其已被授权的服务之间的路径以外选择路径。这需要在路径的不同节点上实施一系列的控制措施。此原则是通过事先确定的选择来在网络中每个节点上的路由选择。
此类的例子有:
a) 分配专线或电话号码;
b) 和特定的应用系统或安全网关的自动连接端口; c) 单独用户的有限的菜单和子菜单项; d) 防止无的网络漫游;
e) 对外部网络用户,强制其使用特定的应用系统和/或安全网关;
f) 主动控制所允许通过安全网关(如防火墙)的源地址和目的地址之间的通信;
g) 对于在组织中的用户群,通过建立单独的逻辑域来网络访问,如虚拟私人网,对强制路径的
要求应该基于商务访问控制方针(见9.1); 3. 外部连接的用户认证
外部连接给未授权访问商务信息提供了潜在的可能,如拨号方式的访问。因此,远程用户的访问必须经过认证。认证方法有不同的类型,一些方法提供的安全级别要大一些,如基于使用加密技术的方法可提供很强的认证。通过风险评估来决定所需的保护级别是很重要的。这也是能够适当的选择认证方法所需要的。
对远程用户的认证可以通过使用,如基于加密技术,硬件令牌或询问/响应协议来达到。专用线路或网络用户地址检验设备也可以用来提供连接源地址的保证。
反向拨号流程和控制,如使用回拨调制解调器,可以提供防止对组织信息处理设备的未授权和不需要的访问的保护。这种控制措施可以识别企图在远程地点和组织网络之间建立连接的用户。在使用此控制措施时,组织不得使用含有呼叫转接的网络服务,否则,这些服务必须禁止使用呼叫转接功能,来避免由此带来的缺陷。回拨过程保证在组织一方可以出现中断也是很重要的。否则,远程用户可以保持线路开放,而伪称已经进行了回拨认证。对于这种可能性,回拨流程和控制措施要彻底的进行测试。
4. 节点认证
自动连接到远程计算机的功能为商务应用的未授权访问提供了途径。因此对远程计算机的连接要进行认证。如果连接所用的是组织安全管理控制之外的网络,认证则是特别的重要。认证的例子和如何实现认证在上述9.4.3中已给出。
节点认证可以作为验证连接到安全的、共享的计算机设备的远程用户群的可选方法。 5. 远程诊断端口保护
应该可靠的控制诊断端口的访问。很多计算机和通信系统都安装有维修工程师所用的拨号远程诊断设备。如果不加以保护,这些诊断端口则提供了未授权访问的途径。因此,应有适当的安全机制来进行保护,如使用键锁和程序来确保只有计算机服务管理人员和要求访问的软硬件支持人员之间的设备才可以访问这些端口。
6. 网络的隔离
网络正被日益地扩展到组织的传统边界之外,这是因为所建立的商务合作关系需要信息处理或网络设备的互联或共享。这种扩展增加了对现存的使用网络的信息系统的未授权访问的风险,其中有一些网络由于本身的敏感性或重要性,需要对来自其他网络用户的保护。在这种情况下,应考虑在网络内部引入控制措施,来隔离信息服务组、用户和信息系统。
控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网域,如组织内部的网络域,和外部网络域,每一个网域有所定义的安全边界来保护。这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流。网关要经过配置,以过滤两个区域之间的通信量(见9.4.7和9.4.8)和根据组织的访问控制方针来堵塞未授权访问(见9.1)。这种网关的一个例子就是通常所说的防火墙。
网络隔离成区域的标准应以访问控制方针和访问需求为基础(见9.1),还应考虑相关的成本和包含有适当的网络路由或网关技术的性能影响(见9.4.7和9.4.8)
7. 网络连接控制
对于共享的网络,特别是超越了组织边界的网络的访问控制措施要求包含有用户连接容量的控制措施。这种控制措施的实施是通过网关来实现的,网关通过预先定义的路由表或路由规则来过滤通信量的。所实行的措施应基于商务应用的访问方针和需求,因此要给予维护和更新。
应使用措施的应有的例子有: a) 电子邮件 b) 单向文件传输 c) 双向文件传输 d) 交互式的访问
e) 和时间与日期相关的网络连接 8. 网络路由控制
共享的网络,特别是扩展到组织边界之外的网络,需要具有路由控制措施来确保计算机的互连和信息流不会违背商务应用的访问控制方针(见9.1)。对和第三方(非本组织)用户共享的网络,这种控制措施是必须的。
路由控制应基于明确的源地址和目的地址检查机制。网络地址翻译对于网络隔离和防止路由从一个组织的网络扩展到另一个组织的网络是一个很有效的机制。此功能可在软件和硬件上实现。实施时应意识到所采用的机制的强度。 9. 网络服务的安全问题
大范围的公共网络和私人网络的服务是可用的,其中有一些提供了增值服务。网络服务具有独特的、复杂的特点。使用网络服务的组织应确保提供一个对所使用的服务的安全特点的清晰的描述。
7.7.5 操作系统访问控制
目标:防止对计算机的未授权访问 应使用操作系统级的安全设施来对计算机资源的访问。这些设备应该可以: a) 辨认和认证身份,如有必要,认证用户的终端或地点 b) 记录成功的和失败的系统访问 c) 提供适当的认证方法,如果使用密码管理系统,应确保高质量的密码(见9.3.1d) d) 适当的情况下,用户的访问次数 其他的访问控制方法如询问-响应方法,如果基于商务风险是合理的,也可采用。 1. 自动终端识别
应考虑自动终端识别来认证到特定位置和便携式设备的连接。如果会话只能由特定的位置或计算机终端发起是很重要的话,自动终端识别是一种可用的技术。在终端内或连接到终端上的识别器可用于识别特定的终端是否允许发起或接收特定的业务。对终端实施物理保护,维护终端识别器的安全是很必要的。还有很多其他的技术可用来认证用户(见9.4.3)。 2. 终端登录流程
对信息服务的访问只有通过安全的登录流程才是可行的。计算机系统的登录流程应被设计成尽量减小未授权访问的可能。因此,登录流程应尽量少的泄漏系统信息,以避免为未授权用户提供不必要的信息。一个好的登录流程应该:
a) 不显示系统或应用识别器,直到登录流程成功的完成之后; b) 显示一般性通知,提醒计算机只应被已经授权的用户访问; c) 在登录过程中,不提供可以帮助未授权用户的帮助信息;
d) 在完成所有的输入数据时,才确认登录信息。当发生错误时,系统不应提示时数据的那个部分是
错误的还是正确的;
e) 所允许的不成功的登录企图的次数,(建议为3次),并考虑:
1) 记录不成功的登录尝试;
2) 在进一步的登录尝试之前,应强制有一个时间延迟,或是拒绝没有特定授权的进一步尝试; 3) 断开数据链路连接;
f) 对登录流程最大和最小时间,如果超时,系统则应终止登录过程 g) 在成功的登录流程完成之后,显示如下信息:
1) 上次不成功登录的日期和时间
2) 从上一次成功登录以来的不成功的登录尝试的详细情况 3. 用户识别和确认
所有的用户(包括技术支持人员,如操作人员,网络管理人员,系统程序员和数据库管理人员)都应有唯一的用户识别标识为个人使用。以便于其行为可以最终追踪到责任者。用户的识别符不应显示用户特权级别的任何线索(见9.2.2),如经理,监督员。
在例外的情况下,有明显的商务利益的时候,则用户群或特定的工作可以共享一个用户标识符。管理部门对此种情况的批示要加以记录。为维持责任,则需要有额外的控制措施。
有不同的确认流程可以用来证实用户所声明的身份。密码(见9.3.1及下面)则是在只有用户知道的基础上,用于识别和确认的最常用的方法。使用加密技术和确认协议同样可以证实用户身份。
用户拥有的记忆标记或智能卡一类的实物也可用于识别和确认用户身份。利用个人的特有的特点和属性的生物确认技术也可确认身份。安全连接的技术和机制的组合使用将会使识别更有力度。
4. 密码管理系统
密码是用来证实用户访问计算机服务的权力的主要的方法之一。密码管理系统应该提供有效的、交互的功能,来确保密码的质量(见9.3.1密码使用原则)。
一些应用要求有的权力机构来分配用户密码。大多数情况下,密码的选择和维护都是由用户来进行的。
好的密码管理系统应:
a) 主张使用个人密码,以维持责任性;
b) 适当的情况下,允许用户选择和更换自己的密码,并包括一个允许输入错误的确认流程; c) 如上节条款中所述主张选择高质量密码;
d) 在用户保有个人密码的情况下,主张更换密码,如上节条款所述; e) 用户自己选择密码的情况下,强制他们第一次登录时即更改临时密码; f) 保留一份以前的用户密码的记录,如前12个月的,以防止重用; g) 在输入密码时,屏幕上不要显示出来; h) 将密码文件和应用系统数据分开保存; i) 以加密的形式保存用单向加密算法加密的密码; j) 在软件安装之后,改变厂商的缺省密码 5. 系统工具的使用
多数的计算机设备都有一套或多套可以超越系统和应用程序控制的系统工具。和控制其使用时很重要的。应考虑以下的控制措施:
a) 对系统工具实施验证流程; b) 将系统工具和应用软件隔离开;
c) 将对系统工具的使用到值得信任的、授权用户中的最小可行数量; d) 对系统工具的特殊使用的授权;
e) 系统工具的可用性,如授权变动的持续时间的; f) 记录对系统工具的使用; g) 定义和记录系统工具的授权级别;
h) 移去所有不必要的基于软件的工具和系统软件; 6. 保护用户的强制警报
对可能成为强制对象的用户应考虑强制警报规定。是否提供这种警报的决定应基于对风险的评估。对强制警报的响应应有已经定义的责任和流程。
7. 终端超时
处于高风险区的待用终端,如组织安全管理之外的公共的或外部的区域,或提供高风险服务的待用终端,在所规定的静止状态之后应该关机,以防止未授权的人员的访问。在规定的静止时间之后,超时功能应该清掉终端的屏幕,终止应用软件和网络会话。超时延迟应能反映地区和终端用户的安全风险。
为一些个人电脑所提供的终端超时功能的有限形式,可以清屏,和防止未授权访问,但不能中断应用软件和网络会话。 8.连接时间的
连接时间可以对非高风险的应用提供额外的安全保护。对终端连接到计算机服务所允许的时间的可以降低未授权访问的机会。对于敏感的计算机应用,应该考虑这样的控制措施,特别是高风险区的终端,如组织安全管理之外的公共的或外部的区域,更应给予考虑。这种措施的例子有:
a) 采用预定的时隙,如批文件传输,或规则的短时间的交互式会话; b) 如果没有超时的或延时的操作,将连接时间到正常的办公时间;
7.7.6 应用访问控制
目标:防止对信息系统内部的信息的未授权访问。 在应用系统内,应采用安全设施来访问。 对软件和信息的逻辑访问应该在授权用户中。 应用系统应: a) 依照所定义的商务访问控制方针,控制用户对信息和应用系统功能的访问; b) 对所有可以忽视系统或应用控制的一切工具和操作系统软件给予保护,防止未授权访问; c) 不危害共享信息资源的其他系统的安全; d) 信息所有人,其他的指定的授权个人,或所规定的用户群才能够访问系统; 1. 信息访问
应该依照所规定的访问控制方针,基于不同的商务应用的需求,并和组织信息访问保持一致,来对应用系统的用户,包括支持人员提供访问信息和应用系统功能的权力。为支持访问需求应考虑应用下述控制措施:
a) 为控制对应用系统功能的访问提供目录;
b) 通过对用户文档进行适当的编辑,来用户了解没有被授权访问的应用系统的功能; c) 控制用户的访问权,如,读、写、删除、和执行;
d) 确保处理敏感信息的应用系统的输出只能包含对输出使用有关的信息,并只能被发送到被授权的
终端和地点,还要包括对这些输出进行周期性的检查以确保删除冗余信息。 2. 敏感系统隔离
敏感系统要求有专用的(隔离的)计算环境。有些应用系统敏感到有丢失的可能,需要进行特殊的处理。这种敏感性意味着应用系统应在专用的计算机上运行,只应和值得信赖的应用系统共享资源,或是没有。下述考虑的事项应用于:
a) 应有所有人对应用系统的敏感性进行明确定义,并使之文档化。
b) 在共享的环境中运行敏感应用时,和其共享资源的应用系统应该经敏感应用的所有人辨认和同
意。
7.7.7 监控系统访问与使用
目标:检测未授权的行为 应该对系统进行监控,以发现和访问控制方针相背离之处,并记录可监控事件,以便于在发生安全事故时提供线索。 系统监控允许审查所采用的控制措施的有效性,和证实与访问方针模型的一致性 1. 事件日志
应建立记录意外事件和其他与安全相关事件的审核日志,并将其保留已经同意的一段时间,以协助以后的调查和访问控制控工作。审核日志应包括:
a) 用户身份标识符;
b) 登录和退出系统的日期和时间; c) 如有可能,终端的身份和位置; d) 成功的和被拒绝的系统访问尝试的记录;
e) 成功的和被拒绝的数据和其他资源的访问尝试的记录。
确定的审核日志应作为记录保留方针的一部分加以存档,或因为收集证据的需要而进行存档。 2. 监控系统的使用 (1) 流程和风险区
应建立监控信息处理设备使用情况的流程。为确保用户只进行被授权的操作,这些流程是必须的。不同设备所需的监督级别应有风险评估来确定。应该给予考虑的方面有:
a) 授权访问,包括如下的详细情况: 1) 用户ID;
2) 关键事件的日期和时间; 3) 事件类型; 4) 被访问的文件; 5) 使用的程序和应用软件; b) 所有的特权操作,如: 1) 使用系统管理员的账号; 2) 系统启动和中止;
3) 输入/输出设备的连接与拆卸; c) 未授权的访问尝试,如: 1) 失败的尝试;
2) 违反访问方针,网关和防火墙的通告; 3) 入侵检测系统的报警 d) 系统警报或故障,如: 1) 控制台警报或信息; 2) 系统登录异常; 3) 网络管理警报; (2) 风险因素
应经常检查监控行为的结果。检查的频繁程度要由所涉及的风险来决定。应给予考虑的风险因素包括:
a) 应用程序的关键程度;
b) 所涉及的信息的价值、敏感性或关键性; c) 系统渗透和误用的历史记录; d) 系统互连的广度(特别是公众网); (3) 日志和审查事件
日志审查包括了解系统所面临的威胁和威胁发生的方式。在9.7.1中给出了在发生安全事件时,需要深入调查的事件的例子。
系统日志包括大量的信息,其中很多信息和安全控无关。为帮助辨认出对安全监控目的有意义的事件,应考虑将适当的信息类型自动的复制到第二日志中,或使用适当的系统工具软件或审核工具来执行文件审查工作。
分配日志审查责任时,应考虑在执行审查工作的人员和被监督人员之间进行角色划分。
应特别关注记录设备的安全,因为设备遭到损害,将会提供对安全的错误判断。控制措施应针对防止其受到未授权更改和操作问题,此类问题包括:
a) 记录设备无效; b) 更改记录的信息类型; c) 日志文件被编辑或删除;
d) 日志文件的媒体被耗尽,不能记录事件,自身不可重写; 3. 时钟同步
对计算机时钟的正确设置对于确保审核日志的准确性是很重要的,因为这些日志是调查所需要的,或是法律事件或违规事件的证据。不准确的审核日志会妨碍调查和毁坏这些证据的可信性。
计算机或通信设备有能力运行时钟的情况下,它应被设置成公认的标准,如都用协调时间,或标准时间。有些时钟会随时间出现偏差,应有流程来检查和矫正一切明显的偏差。
7.7.8 移动计算和远程工作
目标:确保使用可移动的计算和远程工作设施时的信息的安全。 所需要的保护应和工作的特定方式所引起的风险相一致。当时用移动机算时,应考虑在未受保护的环境中的风险,并应给予适当的保护。在远程工作的情况下,组织应该对远程工作地点应用保护,并确保对这种方式的工作有适当的安排。 1. 移动计算
当使用移动计算设备时,如笔记本,掌上电脑和移动电话,应该特别注意,以确保商务信息不受到危害。应采用考虑使用移动计算设备而带来的风险的正式方针,特别这种使用是在未受保护的环境中进行的。例如这样一种方针应包括对物理保护、访问控制、加密技术、备份和病毒防护的需求。方针还应包括对移动设备连到网络上的规则和建议,以及在公共场所使用此类设备的原则。
在公共场所、会议室和其他的组织边界之外的未受保护的地区,使用移动的计算设备时,应给予注意。应给予保护,以避免对这些设备储存和处理的信息的未授权保护或泄漏,如利用加密技术进行保护。 当这些设备在公共场所使用时,应加以注意,避免未授权的人员的窥视问题很重要的。应有防护恶意软件的流程并时常更新。应有可用设备可以快速方便的备份信息。这些备份应给予充足的保护,来防止,诸如信息的盗用或丢失。
对于连接到网络上的可移动设备,也应加以保护。利用移动的计算设备,通过公共网远程访问商务信息,只有经过成功的辨识和确认,并有适当的访问控制措施时才可以进行。
对移动的计算设备应加以保护,以防止盗用,特别是如遗忘在车子里,和其他形式的交通工具、旅馆房间、会议中心和会议室。携带重要的、敏感的或关键性的商务信息的设备不应无人照管,如有可能,应在进行物理锁定,或使用特殊的锁定法来保护设备。对移动设备的物理保护的更多信息可查7.2.5。
对进行移动计算的员工应安排培训,提高他们对这种工作方式所引起的附加风险的意识,并实施控制措施。
2.远程工作
远程工作利用通信技术,使员工在组织之外的远方进行工作。对远程工作地点给予适当的保护,以防止设备和信息的盗用,非授权的泄漏信息,对组织内部系统的未授权的远程访问,或对设备的滥用。管理人员对远程工作的授权和控制是很重要的,同时对这种形式的工作的合适的安排也是很重要的。
组织应考虑制订一种方针、流程和标准来控制远程工作活动。有合适的安全的安排和控制,并且这
些安排和控制依从了组织的安全方针,如果组织满足了以上的条件,才可以授权进行远程工作活动。应考虑以下各项:
a) 远程工作地点的当前的物理安全,应当考虑到建筑物和当地环境的物理安全; b) 推荐的远程工作环境;
c) 通信安全需求,应当考虑对组织内部系统的远程访问的需要,可以通过通信连接访问的或传播的
信息的敏感性,内部系统的敏感性;
d) 使用设备的其他人员,如家属和朋友,对信息或资源的未授权访问的威胁; 应考虑的控制措施和安排有:
e) 对远程工作所用的合适的设备和储存设备的规定;
f) 所允许的工作的定义,工作的时间,所包含的信息的分类,远程工作人员被授权访问的内部系统
和服务;
g) 对合适的通信设备的规定,包括安全的远程访问的方法的规定; h) 物理安全;
i) 家属和访问者访问设备和信息的规则和指导; j) 软件和硬件支持和维护的规定; k) 备份和商务持续性流程; l) 审核和安全监控;
m) 远程工作截止时,授权和访问权的撤回,以及设备的归还。
7.8 系统开发和维护
7.8.1 系统的安全需求
目标:确保把安全置于信息系统内部。 这将包括基础结构,商业应用软件和用户开发的应用软件。支持应用或服务的商业过程的设计和实施,对安全至关重要。在开发信息系统之前,应当识别和议定安全需求。 所有的安全需求,包括备用系统安排的需要,应当在一个方案的需求阶段被识别并被证明是合理的,取得一致意见并将其文档化,作为信息系统整体商业实例的一部分。
1. 安全需求的分析和说明
对于新系统的商业需求的声明,或现有系统的增强应当说明对于控制措施的需求。这样的说明应当考虑并入信息系统的自动的控制措施,以及对于支持性的人工控制措施的需要。当评价商业应用软件的软件包时,应作类似的考虑。如果考虑适当,管理层可能希望使用单独评价过或鉴定过的产品。
安全需求和控制措施应当反映所涉及的信息资产的商业价值,以及可能由故障或安全的缺乏而导致的潜在的商业损失。分析安全需求和识别控制措施以实现他们的框架是风险评估和风险管理。
在设计状态下引入的控制措施,相对于实施中或实施后所包括的那些控制措施,其实施和维护费用要低得多。
7.9 应用系统中的安全
目标:防止丢失,修改或误用使用者在应用系统中的数据。 应用系统中应当设计有适当的控制措施和审核记录或活动日志,包括使用者的书面应用。这些应当包括对输入数据,内部处理和输出数据的确认。 对于处理,或影响敏感的、有价值的或重要的组织资产的系统,可能需要额外的控制措施。这样的控制措施应当根据安全需求和风险评估来确定。
1. 输入数据的确认
输入应用系统的数据应当被确认以确保它是正确的和适当的。应检查商业交易、固定数据(名称和地址、信用贷款极限值、客户参考数字)和参数表(销售价格、货币兑换率、税率)的输入。应当考虑下列的控制措施:
a) 通过双重输入或其他输入检查以检测下列错误:
1) 超位数值;
2) 数据区中的无效字符; 3) 丢失的或不完整的数据; 4) 超出数据容量的上下极限; 5) 未授权的或不一致的控制数据;
b) 定期回顾关键区或数据文件的内容,以确定他们的有效性和完整性;
c) 检查硬拷贝输入文件是否有任何对输入数据的未授权改动(对输入文件的任何改动都应当经过授
权);
d) 用于响应确认错误的程序; e) 用于测试输入数据的合理性的程序;
f) 定义在数据输入过程中所涉及的所有职员的责任。 2. 内部处理的控制 (1) 风险区域
已正确输入的数据可因处理错误或通过故意的行为而被破坏。对合法性的检查应当被并入系统以检测这样的破坏。应用软件的设计应当确保的实施以将导致完整性丧失的处理故障的风险降至最低。要考虑的特殊区域包括:
a) 在程序中使用和设置增加与删除功能以实施对数据的改动; b) 防止程序以错误的顺序运行或在初次处理故障后运行的流程; c) 使用正确的程序从故障中恢复以确保对数据的正确处理。 (2) 检查和控制措施
所要求的控制措施将取决于应用软件的性质和对任何数据破坏的商业影响。其检查实例包括: a) 会话或批处理控制措施,在交易更新之后协调数据文件的平衡; b) 平衡处理控制措施,针对先前的封闭平衡检查开放平衡,即:
1) 运行到运行的控制措施; 2) 文件更新的总计; 3) 程序到程序的控制措施; c) 对系统产生的数据的确认;
d) 检查中心和远程计算机之间的下载或上传数据或软件的完整性(参见10.3.3); e) 记录和文件的无用数据总和;
f) 检查以确保应用程序在正确的时间运行;
g) 检查以确保程序按正确的顺序运行,在出现故障时终止,并在问题解决后才开始进一步的处
理。
3. 消息的验证
消息验证是一种技术,用于检测对传输的电子信息的未授权改动或破坏。它可以在硬件或软件中实施,支持物理信息验证装置或软件规则系统。
对于有安全需求的应用软件,应当考虑消息验证以保护消息内容的完整性,例如,非常重要的电子化的资金转移,说明,合同,建议等或其他类似的电子数据的交换。应当进行安全风险的评估以决定是否需要信息的验证并识别最适当的实施方法。
消息验证不是设计用来保护消息的内容免受未授权的透露。加密技术(参见10.3.2和10.3.3)可以用作实施信息验证的一个适当的方法。
4. 输出数据的确认
从应用系统中输出的数据应当被确认以确保对存储的信息的处理对于当时的情形来说是正确的和适当的。典型地,系统建立在这样的前提上,那就是对输出数据所进行的适当的确认,验证和测试总是正确的。情形并不总是这样。输出数据的确认可包括:
a) 进行合理性的检查以测试输出的数据是否合理; b) 进行一致性的控制计算以确保对所有数据的处理;
c) 为读者提供充足的信息或随后处理系统以决定信息的准确性,完整性,精确度和分类; d) 用于响应输出数据合法性测试的程序; e) 定义数据输出过程中所涉及的所有职员的责任。
7.9.1 加密控制
目标:保护信息的秘密性,真实性或完整性 对于被视为面临风险的信息和其他的控制措施不能对其提供足够保护的信息,应当使用加密系统和技术。 1. 关于使用加密控制措施的方针
决定加密的解决方案是否适当应当被看作评估风险和选择控制措施的较宽范围过程的一部分。应当进行风险评估以决定对信息保护的程度。那么,这种评估就可以被用来决定加密的控制措施是否适当,应当适用哪种类型的控制措施以及用于何种目的和商业过程。
一个组织应当制定一个方针,关于为了保护其信息而对加密控制措施的使用。对于将利益最大化,将使用加密控制措施的风险最小化,以及避免不适当的或不正确的使用来说,这样一种方针是必需的。当制定方针的时候,应当考虑如下方面:
a) 整个组织针对使用加密控制措施的管理方法,包括总的原则,在这种原则的指导下,应当对信息
进行保护;
b) 密钥管理的方法,包括在密钥被丢失,损害或破坏的情况下,对加密信息恢复的处理方法; c) 角色和责任,例如,谁负责: d) 方针的实施; e) 密钥的管理;
f) 如何决定加密保护的适当标准;
g) 为在整个组织内的有效实施所采纳的标准(对于哪种商业过程使用哪种解决方案)。 2. 加密
加密是一种密码技术,它可以用于保护信息的秘密性。应当考虑将其用于敏感的或重要信息的保护。 根据风险评估,应当考虑加密规则系统的类型和质量以及所使用的密码的长度来确认所要求的保护标准。
当使用组织的加密方针时,应当考虑世界不同地区对于可能适用于加密技术使用的规则和国家的,以及加密信息界流动的问题。另外,应当考虑适用于加密技术进出口的控制措施。
应当寻求专家的建议以确认适当的保护标准,选择合适的产品,这些产品将提供所要求的保护以及密钥管理安全系统的实施。另外,也需要寻求关于法律和规则的法律建议,这些法律和规则可能适用于组织对加密术的使用。
3. 数字签名
数字签名提供了一种保护电子文件真实性和完整性的方法。例如,它们可以被用于电子商务,在电子商务中,需要验证谁签署了一份电子文件并检查所签署的文件内容是否被修改了。
数字签名可以被适用于电子化处理的任何形式的文件,例如,它们可以被用于签署电子支票,资金的转移,合同和协议。可以通过使用一种加密技术来实施数字签名,该加密技术以一种独特相关的一对密钥为基础,其中的一个密钥被用来创立一个签名(私人密钥)而另一个用来检查该签名(公共密钥)。
应当注意保护私人密钥的秘密性。该密钥应当被秘密地保存,因为任何有权访问该密钥的人都能够签署文件,例如,支票,合同,因而伪造密钥所有人的签名。另外,保护公共密钥的完整性是重要的。通过使用一种公共密钥的鉴定来提供这种保护(参见10.3.5)。
需要考虑所使用的签名规则系统的类型和质量以及所使用的密码的长度。用于数字签名的密钥应当区别于用于加密的那些密钥(参见10.3.2)。
当使用数字签名的时候,应当考虑任何相关的法规,这些法规描述了数字签名在什么条件下具有法律约束力。例如,在电子商务中,了解数字签名的法律地位是很重要的。在法律结构不足的地方,有具有约束力的合同或其他的协议以支持数字签名的使用可能是必需的。应当寻求关于法律和规则的法律建议,它可能适用于组织对于数字签名的使用。
4. 防抵赖服务
防抵赖服务应当被用于解决关于一种事件或行为出现或未出现的争端,例如,涉及在电子合同或支票上的数字签的争端。它们能够帮助建立证据以证明一种特殊的事件或行为是否已经发生,例如,拒绝使用电子邮件发送经过数字签名的说明书。这些服务以加密技术和数字签名技术的使用为基础。
5. 密钥的管理 (1) 密钥的保护
密钥的管理对于加密技术的有效使用是必要的。密钥的任何损害或丢失都可能导致信息的秘密性,真实性或完整性的损害。应当有适当的管理系统以支持组织对两种类型的加密技术的使用,分别是:
a) 对称密钥技术,两个或更多的当事方共享相同的密钥并且该密钥被用于加密和解密信息。该密钥
必须被秘密地保存,因为任何有权访问该密钥的人都能够解密用该密钥所加密的所有信息,或引入非法的信息。
b) 公钥加密技术,每一个使用者都有一对密钥,一个公共密钥(可以透露给任何人)和一个私人密
钥(必须秘密地保存)。公钥加密技术可以用于加密和进行数字签名。
应当保护所有的密钥,防止修改和破坏,需要保护秘密的和私人的密钥,防止未授权的透露。加密技术也可以用于这个目的。应当使用物理保护来保护用于产生,存储和将密钥存档的设备。
(2) 标准、程序和方法
密钥管理系统应当以一套议定的标准,程序和安全方法为基础,这些标准,程序和方法用于如下方面:
a) 产生用于不同的加密系统和不同的应用软件的密钥; b) 产生和获得公共密钥的鉴定;
c) 对预期的使用者发布密钥,包括收到时如何激活密钥; d) 存储密钥,包括授权的使用者如何获得对密钥的访问;
e) 改动或更新密钥,包括关于密钥应当何时被改动以及如何改动的规则; f) 处理受到损害的密钥;
g) 撤销密钥包括密钥应当如何被撤回或撤销,例如,当密钥被损坏或当一个使用者离开组织的时候
(在这种情形下,密钥也应当被存档);
h) 恢复丢失或破坏的密钥作为商业持续性管理的一部分,例如,用于加密信息的恢复; i) 将密钥存档,例如,用于存档或备份的信息的密钥; j) 销毁密钥;
k) 记录和审核与密钥管理有关的活动。
为了减少危害的可能性,密钥应当有规定的有效期,以便它们仅仅可以用于一段有限的时间。这段时间应当取决于加密的控制措施被使用的环境以及所觉察到的风险。
可能需要考虑处理处理访问密钥的法律要求的程序,例如,加密的信息可能需要以未加密的形式作为法庭案件中的证据。
在除了对秘密的和私人的密钥进行安全管理的问题之外,也应当考虑对公共密钥的保护。对于公共密钥存在一种威胁,那就是某人通过用他们自己的公共密钥代替使用者的公共密钥,从而伪造数字签名。通过使用公共密钥的鉴定来解决这个问题。这些鉴定应当通过一种将与公共/私人密钥对的所有者有关的信息独特地与公共密钥连接在一起的方式进行的。所以,进行这些鉴定的管理过程值得信任是很重要的。这个过程通常由一个认证的权威机构进行,该机构应当是一个被承认的组织,它具有适当的控制措施和适当的流程以提供所要求的信任度。
与外部的加密服务的供应商,如与一个认证机构,所签订的服务标准协议或合同的内容,应当包括责任,服务的可靠性和对服务提供的相应时间。
7.9.2 系统文件的安全
目标:确保以一种安全的方式进行IT计划和支持活动。应当控制对系统文件的访问。 维护系统的完整性应当由用户功能或应用系统或软件所从属的开发组负责。 1. 操作系统软件的控制
应当对操作系统上的软件的实施提供控制。为了最大限度降低操作系统破坏的风险,应当考虑下列的控制措施。
a) 对操作系统程序库的更新只能由指定的程序库管理员根据适当的管理授权来进行。 b) 如有可能,操作系统应只保留执行码。
c) 在证实测试成功和用户接收之前,以及相应的程序资源库被更新之前,操作系统不应运行执行码。 d) 应保存所有操作程序库的更新检查记录。 e) 应当保留以前的软件版本作为临时应变措施。
应当将操作系统中所使用的由销售商所供应的软件维护在由供应商所支持的标准上。对升级到新版本的任何决定都应当考虑该版本的安全性,例如,新的安全功能的引入或影响该版本的安全问题的数量
和严重性。如果软件的修补能够有助于消除或减少安全的弱点,那么就应当应用软件的修补。
在必要的时候,经管理层的批准,仅仅是出于支持的目的而给予供应商物理或逻辑上的访问权。应当监控供应商的活动。
2. 系统测试数据的保护
测试数据应当受到保护和控制。系统和接收测试通常要求大量尽可能接近于操作数据的测试数据。应当避免使用含有个人信息的操作数据库。如果使用这种信息,则在使用之前,应当使其失去个性。当用于测试的目的时,应当使用下列控制措施保护操作数据。
a) 适用于操作应用系统的访问控制程序也应当适用于操作应用系统。
b) 操作信息每一次被复制到一个测试应用系统的时候都应当有一个单独的验证。 c) 测试完成后,应当立即将操作信息从测试应用系统中清除。 d) 应当记录操作信息的复制和使用以供以后审核之用。 3. 对程序资源库的访问控制
为了减少计算机程序被破坏的可能性,应当如下所述保持对程序资源库访问的严格控制。 a) 在可能的地方,程序资源库不应当被保存在操作系统中。 b) 应当为每一种应用指定程序库管理程序。
c) IT技术支持人员不应当具有对程序资源库不受的访问权。 d) 开发或维护中的程序不应当被保存在操作程序资源库中。
e) 程序源库的更新和向程序员发布的程序源应由指定的程序库管理程序根据信息技术支持经理对
应用的授权来完成。
f) 程序清单应当被保存在一个安全的环境中。 g) 应保存对所有程序资源库访问的审核记录。
h) 旧版本的源程序,当它们被操作时,其精确日期和时间的明确指示,连同所有支持软件、工作控
制、数据定义和程序,均应归档。
i) 对程序源库的维护和复制应当依从严格的改动控制流程(参见10.4.1)。
7.9.3 开发和支持过程的安全
目标:保持应用系统软件和信息的安全 应当严格控制项目和支持环境。 负责应用系统的管理人员也应当负责项目或支持环境的安全。他们应当确保所有建议的系统改动都被回顾,以检查他们没有危害系统或操作环境的安全。 1. 改动控制流程
为了将信息系统的损坏减至最小,应当对改动的实施进行严格的控制。应当加强正规的改动控制流程。他们应当确保安全和控制流程不被损害,技术支持程序员只能访问那些他们的工作所必须的部分系统,并应当获得对于任何改动的正式的协议和批准。改动应用软件可能影响操作环境。在切实可行的地方,应当整合应用和操作改动控制流程(参见8.1.2)。这个过程应当包括:
a) 保留一个关于议定的授权标准的记录; b) 确保改动是由授权的用户所提交的;
c) 回顾控制措施和整合流程以确保它们不会受到改动的损害; d) 识别所有需要修改的计算机软件,信息,数据库实体和硬件; e) 在工作开始之前,获得对详细建议的正式批准;
f) 确保授权的用户在任何实施之前接受改动; g) 确保实施的进行,以使商业受到的破坏最小化;
h) 确保在完成每次改动时,更新建立的系统文件,将旧文件存档或处理掉; i) 保持对所有软件更新的版本控制; j) 保持对于所有改动请求的审核追踪;
k) 确保对操作文件和用户程序的必要的适当改动;
l) 确保改动的实施在正确的时间发生并且没有干扰所涉及的商业过程。
许多组织保留了一个用户测试新软件的环境,该环境与开发和生产环境相隔离。这提供了一种方法,可以对新软件进行控制,对用于测试目的的操作信息进行额外的保护。
2. 对操作系统改动的技术回顾
有必要定期改动操作系统,例如安装新提供的软件版本或修补程序。当改动出现的时候,应当回顾和测试应用系统以确保对于操作或安全没有相反的影响。这个过程应当包括:
a) 回顾应用控制措施和整合流程以确保它们没有受到操作系统改动的损害; b) 确保一年一度的支持计划和预算将涵盖由操作系统改动所导致的回顾和系统测试; c) 确保及时提供操作系统改动通知,以在实施之前,进行适当的回顾; d) 确保对商业持续性计划进行适当的改动。 3. 关于对软件包改动的
不应当鼓励对软件包的修改。实际上,销售商所提供的软件包应当最大可能的不被修改而使用。在认为必要修改软件包的地方,应当考虑如下几点:
a) 内置的控制措施和整合过程被损害的风险; b) 是否应当获得销售商的同意;
c) 从厂商那里获得作为标准程序更新所要求的改动的可能性; d) 如果组织由于软件的改动而对其将来的维护负责所带来的影响。
如果认为有必要改动,则应保留原始软件,并在完全一样的复制件上进行改动。所有的改动应经过充分的测试并形成文件,以便如果有必要的话,它们可以被应用于将来的软件升级。
4. 隐藏的信道和特洛伊代码
隐藏的信道可以通过某些间接的和模糊的方法暴露信息。它可以被激活,通过改变被计算机系统的安全和不安全的因素所访问的参数,或通过将信息置入数据流中。特洛伊代码是被设计用来以一种方式影响一个系统的,该方式未被授权,不容易被发现并且不是程序接收者或用户所要求的。隐藏的信道和特洛伊代码很少偶然出现,在涉及到隐藏的信道或特洛伊代码的地方,应当考虑如下几点:
a) 只能购买规范程序;
b) 购买使用源代码的程序以便代码可以被验证; c) 使用评估过的产品;
d) 在进行操作使用之前,检查所有的源代码; e) 代码一旦被安装,就控制对代码的访问和修改; f) 使用被证明是可靠的职员操作关键的系统。 5.外包的软件开发
在软件的开发被外包的地方,应当考虑如下几点: a) 许可安排,代码的所有权和知识产权;
b) 质量合格证和所进行的工作的精确度;
c) 在第三方发生故障的情况中,有第三方保存,待条件完成后即交受让人的证书的安排; d) 质量审核和所作工作精确度的访问权; e) 对于代码质量的契约上的要求; f) 在安装之前进行测试以检测特洛伊代码。
7.10 持续运营管理
7.10.1 持续运营管理的方面
目标:抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。 应当实施持续性运营管理过程以通过预防的和恢复的控制措施的结合将由灾难和安全故障所引起的破坏减少到可以接收的程度(例如,安全故障可能是自然灾难,事件,设备故障,和有意行为的结果)。 应当分析灾难,安全故障和服务丢失的后果。应制定和实施偶然事故计划,以确保商业过程可以在所要求的时间范围内恢复。该计划应被保留和实施,使之成为所有其他管理过程的组成部分。 商业持续性管理应当包括识别和减少风险,破坏性事件的后果,确保主要操作的及时恢复的控制措施。,保护关键的商业过程免受主要的故障或灾难的影响。 1. 持续运营管理过程
应当有一个适当的管理过程用于发展和维护整个组织的运营持续性。它应当将下列运营持续性管理的关键要素组合在一起:
a) 根据风险出现的可能性和它们的影响,包括对重大运营过程的识别和优先考虑,来理解组织所面
临的风险;
b) 理解中断对组织所可能产生的影响(重要的是要找到处理较小事故以及能威胁组织生存的严重事
故的解决办法),并确立信息处理设施的商业目标;
c) 考虑购买合适的保险,它可以形成运营持续性过程的组成部分; d) 将与议定的商业目标和优先权一致的运营持续运营策略公式化和文件化; e) 将与议定的策略一致的运营持续计划公式化和文件化; f) 定期测试和更新处于适当位置上的计划和程序;
g) 确保运营持续性的管理并入组织的过程和结构。协调运营持续性管理过程的责任应当在组织内以
一种适当的标准进行分配,如信息安全管理委员会(见4.1.1)。 2. 持续运营和影响的分析
应当从识别可能引起商业过程中断的事件,如设备的故障,洪灾和火灾,来开始商业的持续运营。随后,应当进行风险评估,以决定那些中断的影响(根据破坏的规模和恢复的时间)。这两种活动被进行时,都有商业资源和商业过程所有者的完全参与。该评估考虑所有的运营过程,并不仅限于信息处理设施。
应当根据风险评估的结果,制定一个策略计划,以决定商业持续运营的总体处理方法。计划一旦制定,就应当得到管理层的认可。
3. 制定和实施持续运营计划
应当制定计划,以便在关键的运营过程中断,或出现故障之后的所要求的时间范围内,维护或恢复商业运营。运营持续性计划过程应当考虑如下几点:
a) 识别和认同所有的责任和应急流程;
b) 实施应急流程,以便在所要求的时间范围内恢复和复原。需要特别注意对外部商业从属性以及合
同进行适当的评估; c) 议定的流程和过程的文件化;
d) 在议定的应急流程和过程包括危机的管理中对职员进行适当的教育; e) 测试和更新计划。
计划的过程应当集中于所要求的商业目标,例如,在一个可以接受的时间范围内,恢复对客户的特殊服务。应当考虑使之出现的服务和资源,包括人员配备,非信息处理资源,以及对信息处理设施的紧急情况安排。
4. 持续运营计划框架
应当维护持续运营计划的单独框架,以确保所有的计划是一致的,并识别测试和维护的优先性。每一个运营持续运营计划都应当明确规定它活动的条件,以及执行每一部分计划的负责人。当新的需求出现时,应当适当修正已建立的应急流程,例如,撤离计划或任何现有的紧急情况的安排。
持续运营计划的框架应当考虑如下几点:
a) 启动计划的条件,它描述了每个计划被启动之前所应遵照的流程(如何评估当时的情形,将涉及
到什么人,等);
b) 应急流程,它描述了在事件发生后所应采取的行动,该事件能危及商业的运营和人类的生活。这
应当包括公共关系管理的安排以及与适当的公共权威机构的有效联络,如局,消防中心和当地的;
c) 紧急情况流程,它描述了将必要的商业活动或支持服务转移到可选择的临时位置,并在所要求的
时间范围内,使商业过程恢复运营所采取的行动; d) 恢复流程,它描述了恢复到正常的商业运营所采取的行动;
e) 维护时间表,它规定了如何和何时测试该计划,以及维护该计划的过程; f) 意识和教育活动,它是被设计用来理解商业持续运营过程并确保该过程持续有效; g) 个人的职责,描述了谁负责执行哪部分计划。应当按照要求指定备选方案。
每一个计划都应当有一个特定的负责人。应急流程,人工紧急情况计划和恢复计划都应当在适当的商业资源或有关的商业过程的负责人的责任范围之内。对于可选择的技术服务的紧急情况安排,诸如信息处理和通讯设施,通常应当是服务提供者的责任。
5. 测试,维护和重新评估持续运营计划 (1) 测试计划
持续运营计划在被测试的时候可能失败,这常常是由于不正确的假定,疏忽,或设备或人员的变动所造成的。所以,应当定期测试它们以确保它们是最新的和有效的。这样的测试也应当确保恢复小组的所有成员以及其他有关的职员都知道该计划。
对持续运营计划测试的时间表应当指明应如何以及何时测试计划的每个要素。建议经常测试计划的个别部分。应当使用各种技术,以便对计划在实际中运行提供保证。这应当包括:
a) 对不同的计划说明书的桌面测试(通过使用中断实例来讨论商业恢复的安排); b) 模拟(尤指培训在事故或紧急情况之后进行管理的人员); c) 技术恢复测试(确保信息系统能够被有效地恢复);
d) 在另外的站点测试恢复(运行与远离主站点的恢复操作并联的商业过程); e) 测试供应商的设施和服务(确保外部所提供的服务和产品将符合合同的承诺); f) 完整的演习(测试组织,职员,设备,设施和过程是否能够应付中断)。 该技术可以被用于任何组织并应当反映特定的恢复计划的性质。 (2) 维护和重新评估计划
应当通过定期的回顾和更新来维护持续运营计划,以确保它们的持续有效性。其过程应当包括在组织的变更管理程序中,以确保商业持续性问题被适当地提出。
应当为每个商业持续运营计划的定期回顾指定职责;对于商业安排中的改动的识别还没有反映在商业持续运营计划中,其后应当对计划进行适当的更新。这个正式的改动控制过程应当确保通过对这个完整计划的定期回顾来发布和加强这个更新后的计划。
需要更新计划的情形可能包括新设备的购买,或操作系统的升级以及下列方面的变动: a) 人员;
b) 地址或电话号码; c) 商业策略; d) 位置、设施和资源; e) 法规;
f) 承包商、供应商和主要的客户; g) 程序,或者新的/分离的程序 h) 风险(操作的和财务的)
7.11 遵从性
7.11.1 遵守法律要求
目标:避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。 对信息系统的设计、操作、使用和管理可能要根据法律、法规和合同的安全要求。 详细而精确的法律要求方面的建议应该从组织的法律顾问,或者合格的法律从业人员处获得。从一个国家到另一个国家以及对于在一个国家产生的信息传送到另一国家(例如:信息流动)的法律要求会有所不同。 1.识别现行的法律
所有相关法律、法规和合同的要求应该针对每一个信息系统进行详细的定义和纪录。为满足这些要求而采取的控制措施和规定的个人责任相似的也应该进行详细的定义和纪录。
2. 知识产权(IPR) (1) 版权
在使用可能与知识产权,如:版权、设计权、商标权相关的材料时,应采取适当程序来确保遵守法律规定。侵犯版权的行为可能导致法律诉讼甚至刑事诉讼。
法律、法规和合同的要求可能对使用专利产品进行了。在某些情况下,法律、法规可能规定只有组织自己开发、或者取得了许可证或者由开发者提供给组织的产品,才能被使用。
(2) 软件版权
专利软件产品通常在许可协议下被提供,将产品的使用在特定的机器上,并且复制也只能用于备份。下面的控制措施应当被考虑:
a) 公布一个软件版权遵守方针,定义对软件和信息产品的合法使用; b) 为取得软件产品的程序制定标准;
c) 保持对软件版权和取得方针的注意,并提请注意:如果员工违反规定将受到惩罚; d) 保持适当的资产记录;
e) 保有对拥有许可证、母盘和手册等权利的证据;
f) 执行控制措施来确保任何产品使用者的数量都没有超过; g) 进行检查以确保只有经受权的软件和取得许可证的产品才能被安装; h) 为保证适当的许可证环境制订一个方针; i) 为处理和传递软件给他人制订一个方针; j) 使用恰当的审计工具;
k) 遵守从公共网络取得软件和信息的条款和条件。(同样的看8.7.6)。 3. 保护组织纪录
组织的重要记录应该被保护以防止丢失、毁坏和被篡改。如同支持基本的商业活动一样,一些记录可能需要被安全的保留,以达到法律或法规的要求。相应的例子是一些被作为证据的记录,证明组织在法律、法规的范围内运营,或者确保足以防止潜在的民事、刑事诉讼,或者确认与股东、合作伙伴和审计人员相关的财务数据。信息的内容和保留的时间可能由国家法律、法规规定。
记录应该被划分为不同种类,如:财务记录、数据库记录、处理日志、审计日志和操作程序,每一种记录都应详细规定保存期限和存储媒体的种类,如:纸、微缩胶片、磁介质、光介质。任何与加密文档和数字签名相关的密钥(看10.3.2和10.3.3)应该被安全的保管并在需要时能被经受权的人获得。
应考虑到用于存储记录的媒体的损坏问题。应根据生产商的建议来执行存储和持有程序。 一旦选择了电子存储媒体,应建立程序确保在整个保存期间对数据具有访问能力(储存媒体和储存格式的可读性),防止由于未来技术变化造成的数据丢失。
应该选择这种数据存储系统,使所要求的数据能够以一种法庭所接受的方式被找回,如:所有被要求的数据能够被以可接受的时间结构和可接受的存储格式找回。
存储和持有系统应该确保记录的明确分类和法律、法规所要求的保留其间。在该期间届满后,如果这些记录组织不需要,应该能够对这些数据以恰当的方式销毁。
为了履行这些责任,下面的步骤应该在组织内采用:
a) 应该公布保留、存储、持有、和处理记录与信息的指导原则。
b) 应该草拟一个保留时间表来确认基本记录种类和它们应该被保留的时间。 c) 应该保留一个关键信息资源的详细目录。
d) 应该执行恰当的控制措施来保护基本记录和信息,防止丢失、损坏和被篡改。
4. 数据保护和个人信息隐私
一些国家已经制定法律对个人数据的处理和传送进行控制(与个人有关的信息,人们可以通过这些信息确认他的身份)。这类控制措施可能对收集、处理和传播个人信息设置了义务,并且可能对从一个国家到另一个国家传递这类数据设置了。
遵守数据保需要适当的管理结构和控制。通常,最好的做法是由一个数据保护专员来进行指导,他应该针对管理者、使用者、和服务提供商的个人责任和应该遵守的详细程序提供指导。为了维护在结
构性文件中的个人数据,并且确保意识到定义在相关法律中的数据保护原则,将相关建议告诉数据保护专员应该是信息所有者的责任。
5. 防止对信息处理设备的滥用
组织的信息处理设备是为了商业目的而提供的。管理层应该对信息设备的使用进行授权。在没有得到管理层的同意时,任何出于非商业或非经授权目的的使用,都应该被看作不适当得使用设备。如果这类活动通过监督或者其他途径被确认,就应该引起人员管理者的注意,考虑对此进行适当的惩罚。
使用监督措施的合法性在不同的国家情况是不同的,并且可能要求事先通知雇员或者得到他们的同意。在实施监督程序前,应该听取法律建议。
许多国家已经制定出或者正在制定防止计算机被滥用的法律。出于未经授权的目的使用计算机有可能成为犯罪行为。因此使所有的用户意识到他们被允许访问的详细范围是基本的要求。这能够通过一些方式做到,例如:给用户书面授权,该授权应该经用户签字并且被组织安全的保管。组织的雇员以及第三方用户应该被告知,除非经过授权否则一切访问都是被禁止的。
登录警告信息应该在计算机屏幕上显示,指出将进入的系统是保密的并且未经授权的访问不被允许。用户必须认可屏幕上的信息并做出恰当的反应以继续该登录过程。
6. 加密控制规则
一些国家已经通过合同、法律、规章或其他工具来控制对加密措施的接触和使用。这类控制可能包括:
a) 为实施加密功能的硬件和软件的进出口 b) 本身具有加密功能的硬件和软件的进出口
c) 国家针对信息通过硬件和软件加密来保证提供保密内容的强制和任意访问方法。
应该寻求法律建议来确保对国家法律的遵守。在加密信息和加密措施被转移到另一个国家之前,法律建议同样应该被采纳。
7. 证据收集 (1) 证据规则
收集足够的证据来支持针对一个人或组织的行动是必要的。只要这个行动是一个内部惩罚事件,所需的证据将通过内部程序描述。
一旦该行动涉及到法律,无论是民法或刑法,所提供的证据应该符合被相关法律或者该案件的受审规定的规则。一般来讲,这些规则包括:
a) 证据的有效性:能否在法庭上使用; b) 证据的证明力:证据的质量和完整性;
c) 足够的证据证明控制措施在整个数据存储期间已经正确的和始终被执行(如过程控制证明)以确
保要被恢复的证据被系统存储和处理。 (2) 证据的有效性
为了满足证据的有效性,组织应该确保他们的信息系统依从任何已公布的针对有效证据产品的标准或操作法规。
(3) 证据的质量和完整性
为了满足证据的质量和完整性,需要严格的证据记录。一般来讲,这种严格的记录能够在下面的情况下被建立。
a) 对于纸介文件:原始版本应该被安全保管并且记录谁发现的它、在哪儿发现的它、什么时间发现
的它以及谁能证明此发现的过程。所有的调查都应该确保原始版本没有被篡改。
b) 对于存储于计算机媒体上的信息:应该将任何可移动媒体,硬盘上的或者记忆体中的信息进行拷
贝以确保其可用性。在拷贝过程中的所有活动的日志应该被保存并且此过程应该被证明。媒体的拷贝以及该日志应该被安全保管。
在一个事件刚被发现时,它是否将导致诉讼活动并不一定。因此,在事件的严重性被意识到之前,存在着必要证据被意外毁坏的危险。建议使律师和介入任何可能的法律活动并且对所需的证据提供建议。
7.11.2 安全方针和技术依从情况检查
信息系统的安全性应该被定期检查。 根据恰当的安全方针和技术平台这些检查应该被执行,并且信息系统应该被审计以遵守安目标:确保系统符合组织的安全方针和标准。 全实施标准。 1. 遵守安全方针
管理者应该确保在他们责任领域内的所有安全程序被正确的实施。另外,组织内的所有领域应该考虑进行定期检查来确保依从安全方针和标准。它们应该包括:
a) 信息系统 b) 系统提供商
c) 信息和信息资产的所有人 d) 用户 e) 管理人员
信息系统的所有人应该支持经常性的对系统是否依从了适当的安全方针、标准和所有得其它的安全需求的审查。
2. 技术依从审查
应定期的审查信息系统是否依从了安全实施标准。技术依从审查涉及到对操作系统的检验,以确保正确的实施了软件和硬件控制。这种类型的依从审查要求有专家的技术支持。此工作应由有经验的系统工程师手工进行,或是由软件包来自动进行,软件包可以生成由技术专家事后进行解释的技术报告。
依从审查还包括,例如,渗透测试,此种测试可以由的专家进行,特别是为此目的签约的专家进行。依从审查对于发现系统的脆弱性和审查用来防止由此而导致的未授权访问的控制措施的有效性时很有用的。万一渗透测试危害到系统的安全性或意外的引起其他的脆弱点,则应实行警告。
任何技术依从审查都只能由、或在有能力的、业经授权的人员来进行。
7.11.3 系统审核事项
目标:将系统审核过程的利益最大化,将其干扰最小化。 在系统审核时,应有控制措施来保护操作系统和审核工具为保护审核工具的完整性和防止对其的误用,以需要有保护措施。 1. 系统审核控制
审核需求以及设计到对审查操作系统的活动,都应仔细的规划,并应适合尽量减小中断商务流程的风险。应该遵守以下各项:
a) 审核需求应和适当的管理相一致。
b) 审查的范围应该经过同意和得到控制。 c) 审查应局限于对软件和数据的只读访问。
d) 除了只读之外的访问只允许对系统文件的隔离复制,此复制件在审核之后应该删除。 e) 为执行审核所需的IT资源应该进行明确的定义并保持其可用性。 f) 特殊的和额外的处理的需求应进行定义和经过同意。 g) 应监督和记录所有的访问,以生成参考记录。 h) 对所有的流程,需求和责任都应文档化。
2. 系统审核工具的保护
对系统审核工具的保护,如软件或数据文件,都应给予保护来防止任何可能的误用和危害。这些工具应与开发和操作系统隔离开,不应保留在磁带库或用户区内,除非给予适当等级的附加保护。
英国标准——BS7799-2:2002
信息安全管理体系——
规范与使用指南
目 录
前言
0 介绍
0.1总则 0.2过程方法
0. 0. 3其他管理体系的兼容性 1 范围
1.1概要 1.2应用 2标准参考 3名词与定义
4信息安全管理体系要求 4.1总则
4.2建立和管理信息安全管理体系
4.2.1建立信息安全管理体系
4.2.2实施和运营(对照中文ISO9001确认)?信息安全管理体系 4.2.3监控和评审信息安全管理体系 4.2.4维护和改进信息安全管理体系 4.3文件化要求
4.3.1总则 4.3.2文件控制 4.3.3记录控制 5管理职责
5.1管理承诺?(对照中文ISO9001确认) 5.2资源管理
5.2.1资源提供 5.2.2培训、意识和能力 6信息安全管理体系管理评审 6.1总则
6.2评审输入?(对照中文ISO9001确认) 6.3评审输出?(对照中文IS9001确认) 7信息安全管理体系改进 7.1持续改进 7.2纠正措施 7.3预防措施
附件A(有关标准的)控制目标和控制措施 A.1介绍 A.2最佳实践指南 A.3安全方针 A.4组织安全 A.5资产分级和控制
A.6人事安全 A.7实体和环境安全 A.8通信与运营安全
A.9访问控制 A.10系统开发和维护 A.11业务连续性管理 A.12符合
附件B(情报性的)本标准使用指南 B1概况
B.1.1PDCA模型 B.1.2计划与实施 B.1.3检查与改进 B.1.4控制措施小结 B2计划阶段 B.2.1介绍
B.2.2信息安全方针
B.2.3信息安全管理体系范围 B.2.4风险识别与评估 B2.5风险处理计划 B3实施阶段 B.3.1介绍
B.3.2资源、培训和意识 B.3.3风险处理 B4实施阶段 B.4.1介绍 B.4.2常规检查 B.4.3自我监督程序 B.4.4从其它事件中学习 B.4.5审核 B.4.6管理评审 B.4.7趋势分析 B5改进阶段 B.5.1介绍
B.5.2不符合项
B.5.3纠正和预防措施
B.5.4OECD原则和BS7799-2
附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对照 0 介绍 0.1 总则
本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系(信息安全管理体系)有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的
规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方 案。
本标准能用于内部、外部包括认证组织使用,评定一个组织符合其本身的需要及客户和法律的要求的能力。
0.2过程方法
本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。
为使组织有效动作,必须识别和管理众多相互关联的活动。通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其惯例,课程只为:“过程方法”。 过程的方法鼓励使用者强调以下方面的重要性:
a) a) 理解业务动作对信息安全的需求和建立信息安全方针和目标的需要;
b) b) 在全面管理组织业务风险的环境下实施和动作控制措施; c) c) 监控和评审信息安全管理体系的有效性和绩效;
d) d) 在客观的测量,持续改进过程。
本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”(PDCA)模型,适用于所有信息安全管理体系的过程。图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望,通过必要的行动措施和过程,产生信息安全结果(即:管理状态下的信息安全),满足那些需要和期望。图一同时展示了4、5、6和7章中所提出的过程联系。 例1
一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。 例2
一个期望可以是如果严重的事故发生-如:组织的电子商务网站被黑客入侵—将有被培训过的员工通过适用的程序减少其影响。
注:名词“程序”,从传统来讲,用在信息安全方面意味着员工工作的过程,而不是计算机或其它电子概念。
PDCA模型应用与信息安全管理体系过程
计划PLAN
建立ISMS 相关单位 相关单位 实施和 维护和 运作ISMS 改进ISMS 信息 管理状态 实施 改进 安全需求 下的信息 安全 和期望 用 DO ACTION 监控和 评审ISMS 检查CHECK 计划(建立信息安全管理体系) 建立与管理风险和改进信息安全有关的安全方针、
目
标、目的、过程和程序,以达到与组织整体方针
和
目标相适应的结果。
实施(实施和动作信息安全管理体系 实施和动作信息安全方针、控制措施、过程和程
序。
检查(监控和评审信息安全管理体系) 针对安全方针、目标和实践经验等评审和(如果适用)
职测量过程的绩效并向管理层报告结果供评审使用。
改进(维护和改进信息安全管理体系) 在管理评审的结果的基础上,采取纠正和预防措施以
持续改进信息安全管理体系。
0.3与其他管理体系标准的兼容性
本标准与ISO9001:2000与ISO16949:1996相结合以支持实施和动作安全体系的一致性和整合。
在附件C中以表格显示BS7799,ISO14001各部分不同条款间的对应关系,本标准使组织能
够联合或整合其信息安全管理体系及相关管理体系的要求。
1 范围
1.1概要
本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改进一个文件化的信息安全管理体系的模型。它规范了对定制实施安全控制措施以适应不同组织或相关部分的需求。(附录B提供使用规范的指南)。
信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。
1.2应用
本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。 当本标准的任何要求因组织及其产品的特点而不适用时,可以考虑对其进行删减。
除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,
否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据
证明相关风险被负责人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。
2引用标准
ISO9001:2000质量管理体系-要求
ISO/IEC17799:2000信息技术—信息安全管理实践指南 ISO指南73:2001风险管理指南-名词
3名词和定义
从本英国标准的目的出发,以下名词和定义适用。 3.1可用性
保证被授权的使用者需要时能够访问信息及相关资产。[BS ISO/IEC17799:2000] 3.2保密性
保证信息只被授权的人访问。[BS ISO/IEC17799:2000] 3.3信息安全
安全保护信息的保密性、完整性和可用性 3.4信息安全管理体系(信息安全管理体系)
是整个管理体系的一部分,建立在运营风险的方法上,以建立、实施、动作、监控、评审、
维护和改进信息安全。
注:管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。 3.5完整性
保护信息和处理方法的准确和完整。[BS ISO/IEC17799:2000] 3.6风险接受
接受一个风险的决定[ISO Guide 73] 3.7风险分析
系统地使用信息识别来源和估计风险[ISO Guide 73] 3.8风险评估
风险分析和风险评价的整个过程[ISO Guide 73] 3.9风险评价
把估计风险与给出的风险标准相比较,确定风险严重性的过程。[ISO Guide 73] 3.10风险管理
指导和控制组织风险的联合行动 3.11风险处理
选择和实施措施以更改风险的处理过程[ISO Guide 73] 3.12适用性声明
描述适用于组织的信息安全管理体系范围的控制目标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。
4.信息安全管理体系要求
4.1总要求
组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。
为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。 4.2建立和管理信息安全管理体系 4.2.1建立信息安全管理体系 组织应:
a) a) 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的
范围。
b) b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系
的方针, 方针应:
1) 1) 包括为其目标建立一个框架并为信息安全活动建立整体的方向和原
则。
2) 2) 考虑业务及法律或法规的要求,及合同的安全义务。
3) 3) 建立组织战略和风险管理的环境,在这种环境下,建立和维护信息
安全管理体系。
4) 4) 建立风险评价的标准和风险评估定义的结构。 5) 5) 经管理层批准
c) c) 确定风险评估的系统化的方法
识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估
的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。 确定接受风险的标准和识别可接受风险的水平[见5.1f] d) d) 确定风险:
1) 1) 在信息安全管理体系的范围内,识别资产及其责任人 2) 2) 识别对这些资产的威胁
3) 3) 识别可能被威胁利用的脆弱性
4) 4) 别资产失去保密性、完整性和可用性的影响 e) e) 评价风险
1) 1) 评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整
性和可用性的潜在后果;
2) 2) 评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生
的现实的可能性和现存的控制措施; 3) 3) 估计风险的等级
4) 4) 确定介绍风险或使用在c中建立的标准进行衡量确定需要处理; f) f) 识别和评价供处理风险的可选措施:
可能的行动包括:
1) 1) 应用合适的控制措施
2) 2) 知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和
接受风险的标准 3) 3) 避免风险;
4) 4) 转移相关业务风险到其他方面如:保险业,供应商等。 g) g) 选择控制目标和控制措施处理风险:
应从本标准附件A中列出的控制目标和控制措施,选择应该根据风险评估和
风险处理过程的结果调整。
注意:附件A中列出的控制目标和控制措施,作为本标准的一部分,并不是所有的控制目标和措施,组织可能选择另加的控制措施。
h) h) 准备一份适用性声明。从上面4.2.1(g)选择的控制目标和控制措施以及
被选择的原因应在适用性声明中文件化。从附件A中剪裁的控制措施也应加以记录;
i) i) 提议的残余风险应获得管理层批准并授权实施和动作信息安全管理体系。
4.2.2实施和运作信息安全管理体系
组织应:
a) a) 识别合适的管理行动和确定管理信息安全风险的优先顺序(即:风险处
理计划) -[见条款5];
b) b) 实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安
全角色和责
任。
c) c) 实施在4.2.1(g)选择的控制目标和措施 d) d) 培训和意识[见5.2.2]; e) e) 管理动作过程; f) f) 管理资源[见5.2];
g) g) 实施程序和其他有能力随时探测和回应安全事故的控制措施。
4.2.3监控和评审信息安全管理体系 组织应:
a) a) 执行监控程序和其他控制措施,以:
1) 1) 实时探测处理结果中的错误;
2) 2) 及时识别失败和成功的安全破坏和事故;
3) 3) 能够使管理层确定分派给员工的或通过信息技术实施的安全活动是
否达到了预期的目标;
4) 4) 确定解决安全破坏的行动是否反映了运营的优先级。
b) b) 进行常规的信息安全管理体系有效性的评审(包括符合安全方针和目标,
及安全控制措施的评审)考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈;
c) c) 评审残余风险和可接受风险的水平,考虑以下方面的变化:
1) 1) 组织 2) 2) 技术
3) 3) 业务目标和过程 4) 4) 识别威胁
5) 5) 外部事件,如:法律、法规的环境发生变化或社会环境发生变化。 d) d) 在计划的时间段内实施内部信息安全管理体系审核。
e) e) 经常进行信息安全管理体系管理评审(至少每年评审一次)以保证信息
安全管理体系的范围仍然足够,在信息安全检查管理体系过程中的改进措施已被识别(见条款6信息安全管理体系的管理评审);
f) f) 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效性的事
件[见4.3.4]。
4.2.4维护和改进信息安全管理体系 组织应经常:
a) a) 实施已识别的对于信息安全管理体系的改进措施
b) b) 采取合适的纠正和预防措施应用从其他组织的安全经验和组织内学到
的知识。
c) c) 沟通结果和行动并得到所有参与的相关方的同意。 d) d) 确保改进行动达到了预期的目标。
4.3文件要求 4.3.1总则
信息安全管理体系文件应包括:
a) a) 文件化的安全方针文件和控制目标;
b) b) 信息安全管理体系范围[见4.2.1]和程序及支持信息安全管理体系的控
制措施
c) c) 风险评估报告[见4.2.1]; d) d) 风险处理计划;
e) e) 组织需要的文件化的程序以确保存有效地计划运营和对信息安全过程
的控制[见6.1]
f) f) 本标准要求的记录[见4.3.4]; g) g) 适用性声明
注1:当本标准中出现“文件化的程序”,这意味着建立、文件化、实施和维护该程序。 注2:SeeISO9001
注3:文件和记录可以用多形式和不同媒体。 4.3.2文件控制
信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序,以规定以下方面所需的控制:
a) a) 文件发布前得到批准,以确保文件的充分性; b) b) 必要时对文件进行评审与更新,并再次批准; c) c) 确保文件的更改和现行修订状态得到识别; d) d) 确保在使用处可获得适用文件夹的有关版本; e) e) 确保文件夹保持清晰、易于识别; f) f) 确保外来文件的发放在控制状态下; g) g) 确保文件的发放在控制状态下; h) h) 防止作废文件的非预期使用;
i) i) 若因任何原因而保留作废文件时,对这些文件进行适当的标识。
4.3.3记录控制
应建立并保持记录,以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。
信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。
应保留4.2概要的过程绩效记录和所有与信息安全管理体系有关的安全事故发生的记录。 举例
记录的例子如:访问者的签名簿,审核记录和授权访问记录。
5管理职责
5.1管理承诺
管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:
a) a) 建立信息安全方针;
b) b) 确保建立信息安全目标和计划; c) c) 为信息安全确立职位和责任;
d) d) 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件
下组织的责任及持续改进的需要。
e) e) 提供足够的资源以开发、实施,运行和维护信息安全管理体系[见5.2.1]; f) f) 确定可接受风险的水平;
g) g) 进行信息安全管理体系的评审[见条款6]。
5.2资源管理 5.2.1提供资源
组织将确定和提供所需的资源,以:
a) a) 建立、实施、运行和维护信息安全管理体系; b) b) 确保信息安全程序支持业务要求;
c) c) 识别和强调法律和法规要求及合同的安全义务;
d) d) 正确地应用所有实施的控制措施维护足够的安全; e) e) 必要时,进行评审,并适当回应这些评审的结果; f) f) 需要时,改进信息安全管理体系的有效性。
5.2.2培训,意识和能力
组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应:
a) a) 确定从事影响信息安全管理体系的人员所必要的能力; b) b) 提供能力培训和必要时,聘用有能力的人员满足这些需求; c) c) 评价提供的培训和所采取行动的有效性;
d) d) 保持教育、培训、技能、经验和资格的记录[见4.3.3]
组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标.
6 信息安全管理体系的管理评审
6.1总则
管理层应按策划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。评审的结果应清楚地文件化,应保持管理评审的记录[见4.3.3] 6.2评审输入
管理评审的输入应包括以下方面的信息: a) a) 信息安全管理体系审核和评审的结果; b) b) 相关方的反馈;
c) c) 可以用于组织改进其信息安全管理体系绩效和有效性的技术,产品或程序; d) d) 预防和纠正措施的状况;
e) e) 以前风险评估没有足够强调的脆弱性或威胁; f) f) 以往管理评审的跟踪措施;
g) g) 任何可能影响信息安全管理体系的变更; h) h) 改进的建议。 6.3评审输出
管理评审的输出应包括以下方面有关的任何决定和措施: a) a) 对信息安全管理体系有效性的改进;
b) b) 修改影响信息安全的程序,必要时,回应内部或外部可能影响信息安全管理体系的
事件,包括以下的变更: 1) 1) 业务要求; 2) 2) 安全要求;
3) 3) 业务过程影响现存的业务要求; 4) 4) 法规或法律环境;
5) 5) 风险的等级和/或可接受风险的水平; c) c) 资源需求。
6.4内部信息安全管理体系审核
组织应按策划的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否: a) a) 符合本标准和相关法律法规的要求;
b) b) 符合识别的信息安全的要求; c) c) 被有效地实施和维护; d) d) 达到预想的绩效。
任何审核活动应策划,策划应考虑过程的状况和重要性,审核的范围以及前次审核的结果。应确定审核的标准,范围,频次和方法。选择审核员及进行审核应确认审核过程的客观和公正。审核员不应审核他们自己的工作。
应在一个文件化的程序中确定策划和实施审核,报告结果和维护记录[见4.3.3]的责任及要求. 负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。
改进措施应包括验证采取的措施和报告验证的结果[见条款7]。 7信息安全管理体系改进 7.1持续改进
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性。 7.2纠正措施
组织应确定措施,以消除与实施和运行信息安全管理体系有关的不合格的原因,防止不合格的再发生。应为纠正措施编制形成文件的程序,确定以下的要求: a) a) 识别实施或运行信息安全管理体系中的不合格; b) b) 确定不合格的原因;
c) c) 评价确保不合格不再发生的措施的需求; d) d) 确定和实施所需的纠正措施; e) e) 记录所采取措施的结果[见4.3.3]; f) f) 评审所采取的纠正措施。 7.3预防措施
组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程序适应。应为预防措施编制形成文件的程序,以规定以下方面的要求: a) a) 识别潜在的不合格及引起不合格的原因; b) b) 确定和实施所需的预防措施; c) c) 记录所采取措施的结果[见4.3.3]; d) d) 评价所采取的预防措施;
纠正措施的优先权应以风险评估的结果为基础确定。 注:预防不合格的措施总是比纠正措施更节约成本。
附录A(引用) 控制目标和控制措施
A.1介绍
从A.3到A.12列出的控制目标和控制措施是直接引用并与BS ISO/IEC 17799:2000条款3到12一致。一表中的清单并不彻底,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的信息安全管理体系过程的一部分。 A.2实践指南规范
BS ISO/IEC 17799:2000条款3至12提供最佳实践的实施建议和指南以支持A.3到A.12规范的控制措施。 A.3安全方针 A.3.1信息安全方针 控制目标:提供管理方向和支持信息安全 BS ISO/IEC 17799:2000编号 3.1 控制措施 A.3.1.1 A.3.1.2
A.4组织安全 BS ISO/IEC 17799:2000号 A.4.1信息安全基础设施 控制目标:在组织中管理信息安全 4.1 编信息安全方针文件 评审和评价 管理层应提供一份方针方件,出版并在适当时,沟通给所有员工。 应经常评审方针文件,尤其在发生决定性的变化时,确保方针的适宜性 3.1.2 3.1.1 控制措施 A.4.1.1 信息安全管理委员会 信息安全管理委员会确保明确的目标和管理层对启动安全管理可见的支持。管理委员会应通过适当的承诺和充足的资源推广安全 4.1.1 A.4.1.2 信息安全协作 在大的组织中,应使用一个由从各组织相关单位的管理者代表组成的跨功能的委员会,协作实施信息安全控制措施。 4.1.2 A.4.1.3 落实信息安全责任 应明确定保护每种资产和负责特定安全过程的责任 4.1.3 A.4.1.5 对信息处理设施的授权过程 应建立对于新的信息处理设施的管理授权过程 应从内部或外部搜集专家的信息安全建议并在组织内部实施协作 4.1.4 A.4.1.5 专家信息安全建议 4.1.5 A.4.1.6 A.4.1.7 组织间的合作 的信息安全审查 应与执法机关、主管机关、信息服务提供者,及通信业者维持适当的接触 应对信息安全方针的实施进行的审查 4.1.6 4.1.7 4.2 A.4.2第三方访问的安全 控制目标:维护组织的信息处理设施及信息资产被第三方访问时的安全 控制措施 A.4.2.1 确认第三方访问的风险 A.4.2.2 与第三方合约中的安全要求 A.4.3外包 控制目标:当信息处理的责任委托其他组织时,应维护信息的安全 A.4.3.1 外包合约中的安全要求` 当组织将全部或部分的信息系统、网络,及/或桌面计算机环境的管理及控制外包时,在双方同意的合约中应载明安全的要求。
A.5资产分类与控制 A.5.1资产的保管责任 控制目标:维持对于组织的资产的适切保护 BS ISO/IEC 17799:2000编号 5.1 .4.3.1 应对第三方访问组织的信息处理设施所带来的风险进行评估,并实施适当的安全控制 涉及第三方访问组织的信息处理设施的安排,应以包含必要的安全要求在内的正式合约为基础。 4.3 4.2.2 4.2.1 控制措施 A.5.1.1 资产的清单 应列出并维护一份与每个信息系统有关的所有重要资产的清单 5.1.1 A.5.2信息分类 控制目标:确保信息资产受到适当程度的保护 控制措施 A.5.2.1 分类原则 信息的分类及相关的保护控制,应适合于5.2.1 企业运营对于信息分享或的需要,以及这些需要对企业运营所带来的冲击 A.5.2.2 信息的标识及处理
A.6人事安全 BS ISO/IEC 17799:2000号 A.6.1工作说明及人力资源的安全 控制目标:降低因人员错误、偷窃、诈欺或不当使用设施所造成的风险 6.1 编应制定信息标识及处理的程序,以符合组5.2.2 织所采行的分类法则 控制措施 A.6.1.1 将安全需求列入工作职责中 A.6.1.2 A.6.1.3 人员筛审及 保密合约 组织在信息安全方针中所规定的安全职责及责任,应适度地书面化于工作职责说明书中 应在招聘员工时执行正式员工的验证查核 员工应签署保密协议作为其启始聘用合同的一部分 A.6.1.4 聘用合同 聘用合同中的应陈述员工对信息安全的责任 A.6.2使用者培训 控制目标:确保员工了解信息安全的威胁及考虑,并且具备在其日常工作过程中支持组织的信息安全方针的能力 6.2 6.1.4 6.1.3 6.1.2 6.1.1 控制措施 A.6.2.1 信息安全的教育与培训 组织的所有员工以及相关的第三方使用者,对于组织方针及程序应接受适当、定期更新的训练 A.6.3安全及失效事件的响应 控制目标:将安全及失效事件所造成的损害降到最小,并监督此类事件,从中学习 6.3 6.2.1 A.6.3.1 安全事故报告 安全事件应在事件被发现之后尽快由适当的管理途径进行通报 6.3.1 A.6.3.2 安全弱点的报告 应要求信息服务的使用者记下并报告任何观察到的或可疑的有关系统或服务方面的安全弱点或威胁 6.3.2 A.6.3.3 软件失效事件的报告 应建立报告软件失效事件的相关程序 6.3.3 A.6.3.4 从事件中学习 应有适当机制的以量化与监督安全事故及失效事件的种类、数量、及成本 6.3.4 A.6.3.5 惩处的流程 员工违反组织安全方针及程序,应由正式的惩处流程来处理 6.3.5
A.7实体及环境安全 A.7.1安全区域 控制目标:防止对企业运行所在地及信息未经授权的进入、访问、破坏及干扰 BS ISO/IEC 17799:2000编号 7.1 控制措施 A.7.1.1 A.7.1.2 A.7.1.3 A.7.1.4 实体安全边界 实体进出控制 组织应有安全的边界以保护包含信息处理设施的区域 安全区域应有适当的进出控制加以保护,以确保只有经授权的人员可以进出 应划定安全区域,以保护具有特殊安全需求的办公处所及设备 应对在安全区域中进行的作业有额外的控制方法及指导原则以加强安全区域的安全 A.7.1.5 递送及装载区域应加以控制,如有可能应与信息处理设施隔离,以避免未经授权的访问 A.7.2设备安全 控制目标:预防资产遗产、破坏或损失和防止企业运营活动遭受干扰 7.2 7.1.5 7.1.4 7.1.3 7.1.2 7.1.1 控制措施 A.7.2.1 设备的安置及保护 A.7.2.2 电源供应 应妥善安置及保护设备,以降低来自环境的威胁与危险所造成的风险以及未经授权的访问 应保护设备免于电力失效及其它电力异常的影响 7.2.2 7.2.1 A.7.2.3 A.7.2.4 A.7.2.5 A.7.2.6 电缆传输安全 设备维护 组织以外的设备安全 设备报废或再利用的安全防护 传输资料或支持信息服务的电力及通讯电缆,应予以保护免于被拦截或破坏 设备应进行正确维护,以确保其持续的可用性及完整性 任何在组织所在地以外使用的信息处理设备应要求管理层授权 设备在报废或再利用前,应清除在设备中的信息 7.2.3 7.2.4 7.2.5 7.2.6 7.3 A.7.3一般控制 控制目标:防止信息及信息处理设备的损毁或失窃 控制措施 A.7.3.1 办公桌面净空及计算机屏幕画面净空策略 A.7.3.2
A.8通讯与操作管理 A.8.4.2 操作员日志 作业人员应维持一份记录其作业活动的工作日。操作日志应受到经常性的,的审查。 A.8.4.3 错误事件登录 应通报错误并采取改正行动 8.4.3 8.5 BS ISO/IEC 17799:2000编号 8.4.2 资产的移出 组织应具备办公桌面净空及计算机屏幕画面净空的,以降低因信息被未经授权访问、遗失及损害所造成的风险 未经授权不得移出组织所拥有的设备、信息及软件 7.3.2 7.3.1 A.8.5网络管理 控制目标:确保网络中信息的安全性以及保护支持性的基础设施 控制措施 A.8.5.1 网络控制 应实行一系列的控制方法以达成并维护网络的安全 A.8.6存储媒体的处理与安全 控制目标:防止资产遭受损害以及企业营运活动遭受干扰 8.5.1 控制措施 A.8.6.1 A.8.6.2 A.8.6.3 A.8.6.4 可移动式计算机存储媒体的管理 存储媒体的报废 信息的处理程序 系统文件的安全 对于可移动式计算机储存媒体例如磁带、磁盘以及打印出来的报告的管理应回以控制 不再需要的储存媒体,应可靠并安全地处置 8.6.2 应建立信息的处理及储存程序,以保护信息不被未经授权的泄漏或不当使用 应保护系统文件以防未经授权的访问 8.6.4 8.7 A.8.7信息及软件的交换 控制目标:防止在组织间交换的信息遭受遗失、修改及不当使用 8.6.3 8.6.1 控制措施 A.8.7.1 信息及软件交换协议 以电子化或人工方式在组织间交换信息及软件时,应签订协议,其中有些可能是正式的协议书 运送存储媒体时应保护其不遭受未经授权的泄漏、不当使用或毁坏 应保护电子商务免于诈欺行为、合约争议以及信息被泄漏及修改 应开发一份电子邮件的使用策略,并应有降低电子邮件所造成的安全风险的适当控制方法 8.7.1 A.8.7.2 A.8.7.3 A.8.7.4 存储媒体的运送安全 电子商务安全 电子邮件的安全 8.7.2 8.7.2 8.7.3 A.8.7.5 电子化办公室系统的安全 为控制电子化办公室系统所带来的业务与安全风险,各项与指导原则应加以拟定并实施 信息在成为公众可取用前应有正式的授权过程,应保护这类信息的完整性以防止未经授权的修改 8.7.5 A.8.7.6 开放的公用系统 8.7.6 A.8.7.7 其它形式的信息交换 应有适当的策略、程序及控制方法来保护经由传真、语音及影像等通讯设施进行的信息交换 8.7.7
A.9访问控制 A.9.1企业营运对访问控制的要求 控制目标:控制对于信息的访问 BS ISO/IEC 17799:2000编号 9.1 控制措施 A.9.1.1 访问控制策略 企业营运对访问控制的要求应加以界定并文件化,对于信息的访问应如访问控制中所界定的加以 9.1.1 A.9.2使用者访问管理 控制目标:确保访问信息系统的权限被适当地授权、落实和维护 9.2 控制措施 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 使用者注册 特殊权限的管理 使用者密码管理 使用者访问权限的审查 应有正式的使用者注册及注销的程序,以进行所有的多人使用信息系统及服务的访问授权 对于特殊权限的分配及使用,应加以及控制 对密码的分配,应通过正式的管理流程加以控制 管理层应定期执行正式审查过程对于使用者的访问权限实施评审 9.2.1 9.2.2 9.2.3 9.2.4 9.3 A..9.3使用者责任 控制目标:防止未经授权的使用者访问 控制措施 A.9.3.1 A.9.3.2 密码的使用 无人看管的使用者设备 应要求使用者在选择及使用密码时,遵循良好的安全惯例 应要求使用者确保无人看管的使用者设备有适当的保护 9.3.1 9.3.2 9.4 A.9.4网络访问控制 控制目标:保护网络化的服务 控制措施 A.9.4.1 A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 A.9.4.6 A.9.4.7 A.9.4.8 使用网络服务的 强制性的路径 外部联机的使用者认证 节点认证 远程诊断端口的保护 网络的隔离 网络联机的控制 网络路由的控制 使用者应仅能直接访问已获得特别授权使用的服务 由使用者的终端机至计算机服务器羊的路径应加以控制 应对远程使用者的访问进行使用者认证 到远程计算机系统的联机应被认证 对于诊断断口的访问应可靠地加以控制 应引起可在网络中以群组方式隔离信息服务、使用者及信息系统的控制方法 在分享式的网络中,使用者的联机能力应依照访问控制策略加以 在分享式的网络中,应有路由控制方法以确保计算机联机及信息流不违反所制定的企业营运应用软件的访问控制 9.4.1 9.4.2 9.4.3 9.4.4 9.4.5 9.4.6 9.4.7 9.4.8 A.9(继续) A.9.4.9 网络服务的安全 对于组织使用网络服务业者提供的所有网络服务的安全特性,应提供清楚的说明 A.9.5操作系统访问控制 控制目标:防止未经授权的计算机访问 9.5 BS ISO/IEC 17799:2000编号 9.4.9 控制措施 A.9.5.1 A.9.5.2 A.9.5.3 自动化的终端机识别 终端机联机程序 使用者识别及认证 应使用自动化的终端机识别,以认证连接到特定场所及可移动式设备的联机 访问信息服务应有安全的联机流程 所有使用者应有唯一的识别码(使用者代号)专供其个人的使用,以便各项活动可以追溯至应负责的个人.使用一种适当的认证技术以真实地识别使用者的身份 A.9.5.4 A.9.5.5 口令字管理系统 系统工具的使用 密码管理系统应提供有效的、交互式的设施以确保使用优质的密码 系统工具的使用应加以并严格控制 9.5.5 9.5.4 9.5.2 9.5.3 9.5.1 A.9.5.6 A.9.5.7 提供受胁迫警报以保护使用者 终端机逾时终止 对于可能成为他人胁迫的目标的使用者,应提供胁迫警报 在高风险场所或为高风险系统服务终端机,在进入休止状态达到规定的一段时间后,应加以关闭以防止未经授权的人进行访问 9.5.6 9.5.7 A.9.5.8 联机时间的 应使用联机时间的,以提供高风险的应用程序额外的安全 9.5.8 9.6 A.9.6应用程序访问控制 控制目标:防止对于保持在信息系统中的信息进行未经授权的访问 控制措施 A.9.6.1 A.9.6.2 信息访问 机密性系统的隔离 A.9.7系统访问及使用的监控 控制目标:侦探未经授权的活动 对于信息及应有系统的功能的访问应依照访问控制策略加以 具机密性质的系统应有专属的〈隔离的〉运算环境 9.7 9.6.2 9.6.1 控制措施 A.9.7.1 事件登录 应产生记载着异常状况及其它安全相关事件的审核日志,并保存一定的期间以协助未来的调查及访问控制的监控 A.9.7.2 A.9.7.3 A.9.8可移动式计算机运算及计算机通讯远距工作 控制目标:确保使用可移动式计算机运算及计算机通讯远距工作的设施的信息安全 系统使用的监控 定时器同步 应建立监控信息设施使用情况的程序,并且应定期对监活动的结果进行审查 计算机的定时器应同步以便能准确地记录 9.7.3 BS ISO/IEC 17799:2000编号 9.8 A.9(继续) 9.7.2 9.7.1 控制措施 A.9.8.1 可移动式计算机运算 应有适当的正式并且采用适当的控制方法,以防范使用可移动式计算机远算设施进行工作时所造成的风险,特别是在未被保护的环境中工作时 A.9.8.2 计算机通讯远距工作 A.10系统开发及维护 应开发策略、程序和标准以便授权及控制计算机通讯远距工作的活动 BS ISO/IEC 17799:2000编号 9.8.2 9.8.1 A.10.1系统的安全要求 控制目标:确保安全机制建于信息系统之中 控制措施 A.10.1.1 安全要求的分析对于使用新系统或改进既有系统的企业营及标准 运要求,应将对控制方法的要求制定于其中 A.10.2应用系统中的安全 控制目标:防止应用系统中的使用者资料遗失、修改及不当使用 控制措施 A.10.2.1 输入资料的验证 输入应用系统的资料应加以验证,以确保资料是正确且适当的 A.10.2.2 内部处理控制 验证的检查应成为系统的一部份,以侦测出所处理的资料是否损毁 A.10.2.3 消息的认证 当有保护消息内容完整性的安全要求时,应针对应用程序进行消息的认证 A.10.2.4 输出资料的验证 从应用系统输出的资料应加以验证,以确保对所储存的资料的处理流程是正确的,且就其情况而言是适当的 A.10.3密码学的控制方法 控制目标:保护信息的机密性、真实性或完整性 控制措施 A.10.3.1 运用密码学控制应发展且遵循以密码学控制方法来达成保方法时的 护信息目的 A.10.3.2 资料加密 应使用资料加密,以保护机密或关键信息的机密性 A.10.3.3 数字签章 应使用不可否认性的服务,以解决某事件或行动是否有发生的争议 A.10.3.4 不可否认性的服应使用既定的标准、程序及方法为基础的务 密钥管理系统以支持密码学技术的运用 A.10.3.5 密钥管理 A.10(继续) A.10.4系统档案的安全 控制目标:确保信息科技的项目及支持特性活动以安全的方式来进行 10.1 10.1.1 10.2 10.2.1 10.2.2 10.2.3 10.2.4 10.3 10.3.1 10.3.2 10.3.3 10.3.4 10.3.5 BS ISO/IEC 17799:2000编号 10.4 控制措施 A.10.4.1 A.10.4.2 A.10.4.3 控制执行软件 系统测试资料的保护 原始链接库的访问控制 A.10.5开发及支持流程中的安全 控制目标:维护应用系统的软件及信息的安全 10.5 对于原始链接库的访问维护严格的控制 10.4.3 应建立程序控制操作系统上的软件执行 测试资料应加以保护及控制 10.4.1 10.4.2 控制措施 A.10.5.1 A.10.5.2 A.10.5.3 A.10.5.4 A.10.5.5 变更控制的程序 操作系统变更的技术审查 软件包修改的 秘密信道及特洛伊木马 委外的软件开发 应使用正式的变更控制程序严格地控制变更的实行,以将信息系统的损毁降至最小 当发生变更时,应对应用系统进行审查及测试 应阻止对于软件包的修改,对于变更应严格控制 应控制并检查软件的采购、使用及修改以防范可能密秘信道及特洛伊木马程序 应使用控制方法防护委外的软件开发 10.5.1 10.5.2 10.5.3 10.5.4 10.5.5 BS ISO/IEC 17799:2000编号 11.1 A.11业务持续动作管理 A.11.1业务持续动作管理考虑 控制目标:防止企业运营中断并且保护企业营运的关键流程免于重大失效或灾难的影响 控制措施 A.11.1.1 A.11.1.2 A.11.1.3 A.11.1.4 业务持续动作的管理流程 业务持续动作及冲击分析 持续动作计划的撰写及执行 业务持续动作规划的架构 业务持续动作计划的测试、维护与再评估 为发展及维护企业的持续动作性,应有遍及整个组织的管理流程 应发展以适当的风险评估为基础的策略性计划,以为业务持续动作的方法 应发展计划确保在重要的业务流程中断或失效后可及时维护或恢复业务动作 应维持一个单一的业务持续动作计划架构,以确保所有计划的一致性,且鉴别其先后次序以进行测试与维护 业务持续运作计划应定期测试,且透过定期审查予以维护,以确保及时性及有效性 11.1.1 11.1.2 11.1.3 11.1.4 A.11.1.5 11.1.5
A.12符合性 A.12.1法规要求的符合性 控制目标:避免违反任何刑事、民事法律以及法律条文、行规或合约内容所规定的义务、以及违反任何安全的要求 BS ISO/IEC 17799:2000编号 12.1 控制措施 A.12.1.1 鉴别适用的法律规定 知识产权 对每一个信息系统而言,法律条文、行律及契约内容所规定的所有相关要求,应加以明白地界定及文件化 应实行适当的程序,以确保在使用智能财产权方面的物品及他人专属的软件产品时,能符合法律的 12.1.1 A.12.1.2 12.1.2 A.12.1.3 A.12.1.4 A.12.1.5 组织记录的保护 个人信息的隐私及数据保护 信息处理设施不当使用的预防 有关密码学控制方法的规定 证据的收集 应防止属于组织的重要记录遗失、被破坏及篡改 应使用控制方法,以依照相关的法律保护个人信息 使用信息处理设备应经营管理者授权,并且在应使用控制方法,以防止这些设施遭受不当使用 12.1.3 12.1.4 12.1.5 A.12.1.6 应有适当的控制方法,以确保使用或访问密码12.1.6 学控制方法,符合国家所制定的协议书、法律、行政规定或其他正式法律文件的要求 当对某个人或某组织所采取的行动涉及法律,12.1.7 不论是民法或刑法,所提供的证据应符合相关法律或审理该案件的法庭对于证据所作的规定,并应包括符合任何有关可采购证据的产生的已发行标准或最佳惯例在内 12.2 A.12.1.7 A.12.2安全符合性及技术符合性的审查 控制目标:确保系统符合组织的安全及标准 控制措施 A.12.2.1 安全方针的符合性 管理者应确保在其责任范围内的所有安全程序被正确地执行,并且组织内的所有范围应定期加以审查,以确保符合安全及标准 12.2.1 A.12.2.2 技术符合性的检查 12.2.2 12.3 A.12.3系统审核的考虑 控制目标:将有效性提升至最大,并将对来自及作用在系统审核,流程的干扰降至最小 控制措施 A.12.3.1 A.12.3.2 系统审核的控制 对于操作系统的审核,应加以策划并取得同意,12.3.1 以将对企业营运的流程造成中断的风险降至最小 对于系统审核工具的访问应加以保护,以防止可能的不当使用或遭侵入而损坏 系统审核工具的保护 12.3.2
附录 B (情报性的)标准使用指南 B.1总则
B.1.1PDCA 模型
建立和管理一个信息安全管理体系需要像其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环计划、实施、检查、和处置。之所以可以描述为一个有效的循环国为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。
B.1.2计划和实施
一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的进程正式化,确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立,评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。
B.1.3检查和处置
检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。
B.1.4控制措施总结(Summary of Controls)
组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结(SoC)的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息,因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。 注:SoC不是(Statement of Applicability)[见4.2.1]的替代品。SoA是认证必须的要求。
B.2 计划阶段
B.2.1介绍
PDCA循环的计划活动是为保证正确地建立信息安全管理体系的内容和范围,识别和评估所有的信息安全风险,建立合适的处理风险计划而设计的。计划活动所有阶段必须文件化作为管理变化的追溯,这一点非常重要。
B.2.2信息安全方针
4.2.1b)要求组织和其管理层确定包含建立其目标和目的框架、并建立总的方向、信息安全行动原则的信息安全方针。该方针的内容的指南在BS ISO/IEC 17799:2000中给出。
B.2.3信息安全管理体系的范围
信息安全管理体系可能覆盖组织所有部分。应清楚识别的从属、界面和对于一个环境的边界的假设。这对于只有组织的部分单位包括在信息安全管理体系范围内时尤其重要。范围的界定可能分为几种方式,例如,分为领域,使后续的风险管理任务变得容易。信息安全管理体系范围文件应覆盖:
a) a) 建立范围和信息安全管理体系的环境所使用的过程; b) b) 战略及组织环境;
c) c) 组织使用的信息安全风险管理的方法;
d) d) 信息安全风险评价的标准和所需的确保的程度的要求; e) e) 在信息安全管理体系的范围内信息资产和识别
信息安全管理体系的范围可能在质量管理体系控制的范围、另一个管理体系或另一个信息安全管理体系(相同的或一个第三方的组织)之内,在这种情况下,只有那些信息安全管理体系具有的管理控制可以考虑为在信息安全管理体系的范围内。
B.2.4风险识别和评估
风险评估文件应解释选择哪一种风险方法,为什么此方法适合安全要求,业务环境,组织的规模和面临的风险等。采用的方法应致力于安全的努力和有效利用资源。文件也应覆盖选择的工具和技术,解释为什么它们适用于信息安全管理体系的范围和风险,怎样正确地使用这些工具和技术以产生有效的结果。 以下风险评估的详细内容应文件化:
a) a) 信息安全管理体系范围内的资产的评价,包括在不能以钱来衡量时,估价量度的使
用的信息;
b) b) 识别威胁和弱点;
c) c) 对威胁利用脆弱点的评估,及当此类事故发生时的影响; d) d) 在评估结果的基础上计算风险,识别残余风险。
B.2.5风险处理计划
组织应建立一个详细的日程,或风险处理计划,对于每一个识别的风险确定: a) a) 选择的处理风险的方法; b) b) 已有的控制措施; c) c) 建议的新添的控制措施;
d) d) 实施新提议的控制措施的时间架构。
应识别一个可接受风险的水平,对于每一个不在可接受水平内的风险应从下列方面选择合适的措施:
a) a) 决定接受风险,如,因为不能采取其他措施或太贵;
b) b) 转移风险;或
c) c) 降低风险到可接受的风险。
风险治理计划是一个调和的文件,确定降低不可接受的水平,因此应对是否增加更多的控制措施或接受更高的风险作出一个决定。当设立一个可接受的风险的水平,力度和控制措施的成本应与潜在的事故造成的代价相比较。
适用性声明[见4.2.1h]记录控制目标和从附录A选择的控制措施。这份文件是信息安全管理体系认证要求的一份工作文件。BS ISO/IEC17799:2000提供相关实施这些控制措施的附加信息,当识别的风险超过这些控制措施可以控制的水平时,可能需要设计附加的控制措施并加以实施。
设计用来阻止、侦测、、保护和恢复安全侵害(与信息安全管理体系一致)的控制措施对实施PDCA模型非常重要并应在早期与提供预防、侦测、和恢复的管理控制措施一起加以实施,这样才能更有效。
应准备一份提供日程、排列优先次序、一个详细的工作计划和责任的计划,实施控制措施。
B.3实施阶段
B.3.1介绍
在PDCA循环中的实施阶段是设计用来实施选择的控制措施和推进必要的策划阶段所做出的决定一致的管理信息安全风险措施。
B.3.2资源,培训和意识
应落实充足的运行信息安全管理体系和所有安全控制措施的资源,包括实施所有控制措施的文件,和维护信息安全管理体系文件的活动。另外,应提高安全意识和实施培训项目,这项活动应与实施安全控制措施并行。
意识项目的目的是产生一种有很好基础的风险管理和安全的文化。应监控安全意识项目的进展以保证其持续有效性和时事性。特别的安全培训应适用于是否支持意识项目,使所有相关方在需要时完成他们的任务。
B.3.3风险处理
对于经过评估可接受的风险,不需要进一步的措施。
如果决定转移风险,应采取进一步行动,如:使用合同,保险安排和组织结构如合作伙伴和合资等。在这种情况下,应保证风险转移到的组织理解那些风险的性质和能够有效地管理他们。
当决定降低风险,应实施已选择的控制措施。这些实施应与在策划活动中准备的风险处理计划一致。成功实施该计划要求有效的管理体系,管理体系确定选择的方法,指派责任和个人对措施以及监控这些措施的特别的标准的职责。当一个组织决定接受高于呆接受水平的风险时,应获得管理层的批准。
在不可接受风险被降低或转移之后,还会有残余风险。控制措施应保证不希望发生的影响或破坏及时被识别并适当管理。
B.4检查阶段
B.4.1介绍
检查活动是设计用来保证控制措施有效运行,与预期一致,信息安全管理体系持续有效。另外,任何有关风险评估范围或假设的变化应予以考虑。如果发现控制措施不够充足,应决定采取必要的纠正措施。此类活动的实行应在PDCA循环的处置阶段。意识到纠正措施只有在必要时采用非常重要:
a) a) 维护信息安全管理体系文件内部的一致性:并
b) b) 如果不做改变其效果会使组织暴露与不可接受的风险之下。
检查活动也应包括一份为管理和运行信息安全管理体系的控制措施的程序的描述及不断评审风险及在不断变化的技术、威胁或功能下处理风险的过程。
在可能确定目前的安全状态是令人满意的同时,应注意技术的变化和业务的需求及新威胁和脆弱点的发生,以预测信息安全管理体系未来的变化并确保其在未来持续有效。
在检查阶段采集的信息提供可以用来决定和测量信息安全管理体系在符合文件化的组织安全方针和目标有效性的测量的有价值的数据资源。这些信息应同时用于一种识别无效的过程和程序的资源。
检查活动的性质依赖于PDCA循环有关的特性,以下是一些例子。 例一
入侵检测技术的自动响应。一个网络入侵监测员会监测其他部件的安全是否被渗透。 例二
安全事故响应行动。在安全破坏事件中采取行动的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。
在B.4.2到B.4.7中给出了其他的例子
B.4.2日常检查
这些程序应作为正式的业务过程经常进行并设计用来侦测处理结果的错误。他们可能包括:调整银行账户、资产清点、及解决客户抱怨。很明确,此类的检查需要设计的体系里以进行足够的次数来任何发生的错误造成的损害(及后续责任)。
a) a) 检查有没有无意的和未授权的对管理软件活动参数的改变; b) b) 确定数据在“虚拟公司”的不同网络部分间传输的准确性和完整性。
B.4.3自治程序
自治程序是一个为任何错误或失败在发生时能被及时发现而建立的控制措施。例如,一个监控网络(如:设备故障或错误)的设备并鸣响警铃。警铃能够提醒负责的员工问题的所在,使他们能查清事故原因并修复它。但在一段时间内如果总是不能被纠正,另外的警铃会对更高层的管理者鸣响,因此自动升级问题。
B.4.4从其它处学习
一种确定组织的程序不够好的方法是识别其他组织处理问题是否更有效。这种学习适用于技术软件和管理活动。有很多来源识别在技术和软件中的脆弱性。组织应经常参考这些并对他们的软件进行适当的更新。
管理技巧的信息会经常在很多管理论坛上交流和讨论,包括会议,执业协会,和使用者小组,
并有很多文件发布在技术和管理杂志上。此类交流使组织能够学习怎样处理类似的问题。
B.4.5内部信息安全管理体系审核
总的目标是通过在一个特定常规审核时间段进行检查(时间不应该超过一年)信息安全管理体系所有的方面是否达到预想的效果。应计划足够的审核次数使审核任务均匀散布在整个的选择周期。管理层应保证有证据确认:
a) a) 信息安全方针仍能够准确地反映业务需求; b) b) 使用一个合适的风险评估方法;
c) c) 遵循了文件化的管理程序(即:在信息安全管理体系的范围内),并达到了他们向
往的目标;
d) d) 实施了技术控制措施(如:防火墙,物理访问控制)等,并正确地配置和像预期的
一样工作;
e) e) 正确地评估了残余风险而且组织有的管理层仍能接受残余风险; f) f) 实施了前一次审核和评审达成一致意见的措施; g) g) 信息安全管理体系与本标准一致。
审核需要目前文件和记录的样本及管理层和员工参与会见谈话。
B.4.6管理评审
总目标是检查信息安全管理体系的有效性,至少每年一次,以识别需要的改进和要采取的行动。在确定目前的安全状态是令人满意的同时,应注意技术的变化和业务需求的变化及新威胁和脆弱点的发生,以预测信息安全管理体系未来的变化并确保其在未来持续有效。
B.4.7趋势分析
经常进行趋势分析将帮助组织识别需要改进的领域,并应建立一个持续改进循环的基本部分。
B.5改进阶段
B.5.1介绍
为使信息安全管理体系保持有效,应以在检查阶段采集和信息为基础经常改进。
改进活动的目的是采取作为检查活动的结果的措施。行动将就不符合项或采取其他的纠正措施如在B.5.2和B.5.3中解释的。措施可能进一步立刻进入策划和实施活动。一个前面的例子是当一个新的威胁被识别,策划活动应更新风险评估。一个后面的例子是把现存的业务连续性计划付诸行动,如果检查活动识别出需要这样做。注意作为改进的结果改变信息安全管理体系或下一步策划行动,关键是所有的相关方被子及时告知所作的改变,并提相应的附加的培训。
B.5.2不符合项
一个不符合项是:(从ISO/IEC指南62条款应用使用指南)
a) a) 缺少,或缺乏有效实施和维护一个或多个信息安全管理体系的要求;或
b) b) 一种情况是,在有客观证据的基础上,引起对信息安全管理体系完成信息安全方针
和组织安全目标的能力的重大的怀疑。
非常重要的,在检查阶段的评审强调不符合项的区域,应采取进一步的调查以识别事故的原因,识别采取不仅解决问题而且减少和防止其再发生。纠正措施应与不符合项的严重程度对于信息安全管理体系符合特定的要求的风险一致。
B.5.3纠正和预防措施
应采取纠正(或反应式的)措施以消除不符合项的原因或其他不合需要的情况以防止再次发生。应采取预防(或预先)措施消除潜在不符合项的发生的原因或其他不合需要的潜在情况。 永远不可能全部消除孤立的不符合项。另一方面,可能出现的情况是一个孤立的事件可能事实上是一个弱点的征兆,如果不加以处理可能会对整个组织发生影响。当识别和实施任何纠正措施应从这种观点考虑孤立事件。如果不加以立即的纠正措施外,考虑中、长期观点非常重要,确保补救工作不仅考虑在考虑之下的问题而且预防和减少类似事件在发生的可能性。
B.5.4OECD原则和BS7799-2002-12-19
在OECD指南中给出的信息系统和网络安全原则适用于所有的方针和管理信息系统和网络安全运行层面。本英国标准为实施一些OECD原则提供一个使用PDCA模型的信息安全管理体系框架,在条款4,5,6和7中描述的过程,在表B.1.中显示。
表B.1-OECD 原则和PDCA模型 OECD原则 意识 参与者应知道信息系统和网络安全的需要和他们能够做什么来加强安全 责任 所有参与者负责信息系统和网络的安全 回应 参与者应及时并采取协作的方式以预防、侦测和回应安全事件 风险评估 参与者应执行风险评估 安全设计和实施 参与者应把安全作为信息系统和网络基本的元素 这个活动是实施进程的一部分(见4.2.2和5.1) 这是监控活动的一部分,检查阶段(见4.2.3和6.1至6.4)和一个回应活动,纠正阶段(见4.2.4和7.1至7.3)。这还可以被一些策划和检查阶段方面覆盖 这项活动是策划阶段的一部分(见4.2.1)并且风险在评估是检查阶段的一部分(见4.2.3和6.1至6.4) 一旦完成风险评估,选择控制措施处理风险是策划阶段的一部分(见4.2.1)。实施阶段(见4.2.2和5.2)覆盖这些控制措施的实施和运行。 对应的信息安全管理体系过程和PDCA阶段 这个活动是实施过程的一部分(见4.2.2和5.2.2) 安全管理 参与者应采取一套完整的方法进行安全管理 重新评估 参与者应评审和重新评估信息系统和网络的安全,并进行适当的修改安全方针,实践,测量和程序
风险管理实施一个包括预防,侦测和回应事故,不断维护,评审和审核的过程。所有这方面包含在策划,实施,检查和改进阶段 信息安全的重新评估是检查阶段的一部分(见4.2.3和6.1至6.4),应进行经常性的评估以检查信息安全管理体系的有效性及改进安全是纠正阶段的一部分(见4.2.4和7.1至7.3) 附录C(情报性的)
BS EN ISO9001:2000,BS EN ISO14001:1996与BS7799-2:2002对照
表C.1显示BS EN ISO9001:2000,BS EN ISO14001:1996与BS7799-2:2002间的对照关系 BS7799-2:20002 0介绍 0.1介绍 0.2过程方法 0.3与其他管理体系的兼容性 1范围 1.1总则 1.2应用 2标准参考 3名词和定义 4信息安全管理体系要求 4.1总要求 4.2建立和管理信息安全管理体系 4.2.1建立信息安全管理体系 4.2.2实施和运行信息安全管理体系 1范围 1.1总则 1.2应用 2标准参考 3名词和定义 4 QMS要求 4.1总要求 4.2文件要求 2标准参考 3名词和定义 4 EMS要求 4.1总要求 4.4实施和运行 4.5.1监控和测量 4.5.2不符合纠正预防措1范围 BS EN ISO9001:2000 0介绍 0.1总则 0.2过程方法 0.3与ISO9004的关系 0. 0. 4与其他管理体系的兼容性 BS EN ISO 14001:1996 介绍 4.2.3监控和评审信息安全管理体系 4.2.4维护和改进住处安全管理体系 4.3文件要求 4.3.1总则 4.3.2文件控制 4.3.3记录控制 5管理责任 5.1管理承诺 4.2.1总则 4.2.2文件控制 4.2.3文件控制 4.2.4记录控制 施 4.4.5文件控制 4.5.3记录 5管理责任 5.1管理承诺 5.2以客户为关注焦点 5.3质量方针 5.4策划 5.5责任、授权和沟通 4.2环境方针 4.3策划
表C.1显示BS EN ISO9001:2000,BS EN ISO14001:1996与BS7799-2:2002间的对照关系 (继续) BS7799-2:2002 5.2资源管理 5.2.1资源提供 5.2.2培训、意识和能力 BS EN ISO9001:2000 6资源管理 6.1资源提供 6.2人力资源 6.2.2能力,意识和培训 6.3基础设施 6.4工作环境 6信息安全管理体系管理评审 6.1总则 6.2评审输入 6.3评审输出 6.4信息安全管理体系 内部审核 7信息安全管理体系改进 7.1持续改进 7.2纠正措施 8改进 8.5.1持续改进 8.5.2纠正措施 4.5.2不符合与纠正预防措施 5.6管理评审 5.6.1总则 5.6.2评审输入 5.6.3评审输出 8.2.2内部审核 4.6管理评审 4.5.4EMS审核 BS EN ISO14001:1996 4.2.2培训,意识和能力 7.3预防措施 附录A控制目标和控制措施 附录B标准使用指南 附录C不同管理标准体系标准间的对应关系
8.5.3预防措施 附录 A ISO14001与ISO9001间的联系 附录A规范使用指南 附录B ISO14001和ISO9001间的联系
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- ryyc.cn 版权所有 湘ICP备2023022495号-3
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务