《信息安全管理体系规范与使用指南hcsa.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系规范与使用指南hcsa.docx(83页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、英国标准准BSS 77799-2:220022信息安全全管理体体系规范与使使用指南南目录前言0 介绍绍0.1总总则0.2过过程方法法0.3与与其他管管理体系系的兼容容性1 范围围1.1概概要1.2应应用2 标准准参考3 名词词与定义义4 信息息安全管管理体系系要求4.1总总则4.2建建立和管管理信息息安全管管理体系系4.2.1建立立信息安安全管理理体系4.2.2实施施和运作作信息安安全管理理体系4.2.3监控控和评审审信息安安全管理理体系4.2.4维维护和改改进信息息安全管管理体系系4.3文文件化要要求4.3.1总则则4.3.2文件件控制4.3.3记录录控制5 管理理职责5.1管管理承诺诺5.
2、2资资源管理理5.2.1资源源提供5.2.2培训训、意识识和能力力6 信息息安全管管理体系系管理评评审6.1总总则6.2评评审输入入6.3评评审输出出6.4内内部信息息安全管管理体系系审核7 信息息安全管管理体系系改进7.1持持续改进进7.2纠纠正措施施7.3预预防措施施附件A(有有关标准准的)控控制目标标和控制制措施A1介介绍A2最最佳实践践指南A3安安全方针针A4组组织安全全A5资资产分级级和控制制A6人人事安全全A7实实体和环环境安全全A8通通信与运运营安全全A9访访问控制制A100系统开开发和维维护A111业务连连续性管管理A122符合附件B(情情报性的的)本标标准使用用指南B1概况况
3、B.1.1PDDCA模模型B.1.2计划划与实施施B.1.3检查查与改进进B.1.4控制制措施小小结B2计划划阶段B.2.1介绍绍B.2.2信息息安全方方针B.2.3信息息安全管管理体系系范围B.2.4风险险识别与与评估B.2.5风险险处理计计划B3实施施阶段B.3.1介绍绍B.3.2资源源、培训训和意识识B.3.3风险险处理B4检查查阶段B.4.1介绍绍B.4.2常规规检查B.4.3自我我方针程程序B.4.4从其他他处学习习B.4.5审核核B.4.6管理理评审B.4.7虚实实分析B5改进进阶段B.5.1介绍绍B.1.2不符符合项B.5.3纠正正和预防防措施B.5.4OEECD原原则和BBS
4、777999 2附件C(情情报)IISO 90001:220000、ISOO140001与与BS777999-2:20002条款款对照0介绍0.1总总则本标准的的目的是是为业务务经理和和他们的的员工提提供建立立和管理理一个有有效的信信息安全全管理体体系(IISMSS)的模模型。采采用ISSMS应应是一个个组织的的战略决决定。一一个组织织的ISSMS的的设计和和实施受受业务需需要和目目标、产产生的安安全需求求、采用用的过程程及组织织的大小小、结构构的影响响。上述述因素和和他们的的支持过过程预计计会随事事件而变变化。希希望简单单的情况况是用简简单的IISMSS解决方方案。本标准可可以又内内部、外外
5、部包括括认证组组织使用用审核一一个组织织符合其其本身的的需要及及客户和和法律的的要求的的能力。0.2过过程方法法本标准推推荐采用用过程的的方法开开发、实实施和改改进一个个组织的的ISMMS的有有效性。一个组织织必须识识别和管管理许多多活动使使其有效效地运行行。一个个活动使使用资源源和在管管理状态态下使其其能够把把输入转转换为输输出,这这个过程程可以被被认为是是一个过过程。经经常地,一一个过程程的输出出直接形形成了下下一个过过程的输输入。在一个组组织用应应用一个个过程的的体系,并并识别这这些过程程、过程程间的相相互作用用及过程程的管理理,可以以叫做过过程的方方法。过程的方方法鼓励励使用者者强调一
6、一下重要要性:a)理解解业务信信息安全全需求和和建立信信息安全全方针和和目标的的需求;b)在全全面管理理组织业业务风险险的环境境下实施施也运作作控制措措施;c)监控控和评审审ISMMS的有有效性和和绩效;d)在客客观评价价的基础础上持续续改进。本标准采采用的,适适用于IISMSS的模型型,如图图一所示示。图一一显示IISMSS怎样考考虑输入入利益相相关方的的细小安安全需求求和期望望,通过过必要的的行动产产生信息息安全结结果(即即:管理理的信息息安全),此此结果满满足这些些需要和和期望。一一个需求求的例子子可能是是信息安安全事故故不要对对组织引引起财务务损失和和/或引高高层主管管的尴尬尬。一个个
7、期望的的例子可可能是如如果严重重的事故故发生也也许足智智多谋饿饿电子商商务网站站被黑客客入侵将有被被培训过过的员工工通过使使用的程程序减小小其影响响。这显显示了本本标准在在第四至至第七部部分的联联系。被被模型就就是众所所周知的的“Plaan-DDo-CChecck-AAct”(PECA)模型,本模型可以用于所有的过程。PDCA模型可以简单地描述如下图:PDCAA模型应应用与信信息安全全管理体体系过程程计划PLLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS 实施 开发、维维护 改改进 DOO 和改进进循环 AACTIION监控和评审I
8、SMS1范围1.1概概要本标准规规范在组组织整个个业务风风险的环环境下建建立、实实施、维维护和改改进一个个文件化化的ISSMS模模型。它它规定了了对定制制实施安安全控制制措施以以适应不不同组织织或相关关方的需需求。(见见附件BB,提供供了使用用该规范范的指南南)。ISMSS保证足足够的和和成比例例和安全全控制措措施以充充分保护护信息资资产名给给与客户户和其他他利益相相关方信信心。这这将转化化为维护护和提高高竞争优优势、现现金流、赢赢利能力力、法律律符合和和商务形形象。1.2应应用本标准提提出的要要求使一一般性的的并试图图用于所所有的组组织,不不管其类类型、大大小和业业务性质质。当由由于组织织的
9、性质质和业务务本标准准中的要要求不能能使用,要要求可以以考虑删删减。除非不能能删减不不影响组组织的能能力,和和/或责任任提供符符合由风风险评估估和适用用的法律律确定的的信息安安全要求求,否则则不能声声称符合合本标准准。任何何能够满满足风险险接受标标准的删删减必须须证明是是正当的的并需要要提供证证据证明明相关风风险被负负责人员员正当地地接受。对对于条款款4,55,6和和7的要求求的删减减不能接接受。2引用标标准ISO 90001:220000质量管管理体系系-要求ISO/IECC 1777999:20000信信息技术术信息安安全管理理实践指指南ISO 指南733:20001风风险管理理指南-名词
10、3名词和和定义从本英国国标准的的目的出出发,以以下名词词和定义义适用。3.1可可用性保证被授授权的使使用者需需要时能能够访问问信息及及相关资资产。BS ISOO/IEEC 1177999:2200003.2保保密性保证信息息只被授授权的访访问。BS ISOO/IEEC 1177999:2200003.3信信息安全全安全保护护信息的的保密性性、完整整性和可可用性3.4信信息安全全管理体体系(IISMSS)是整个管管理体系系的一部部分,建建立在业业务风险险的方法法上,以以开发、实实施完成成、评审审和维护护信息安安全。3.5完完整性保护信息息和处理理过程的的准确和和完整。BS ISO/IEC 177
11、99:20003.6风风险接受受接受一个个风险的的决定。ISO Guide 733.7风风险分析析系统化地地使用信信息识别别来源和和估计风风险。ISOO Guuidee 7333.8风风险评估估风险分析析和风险险评价的的整个过过程。ISOO Guuidee 7333.9风风险评价价比较估计计风险与与给出的的风险标标准,确确定风险险严重性性的过程程。IISO Guiide 733.100风险管管理指导和控控制组织织风险的的联合行行动。3.111风险处处理选择和实实施措施施以更改改风险处处理过程程。IISO Guiide 733.122适用性性声明描述与使使用组织织的ISSMS范范围的控控制目标标
12、和控制制措施。这这些控制制目标和和控制措措施是建建立在风风险评估估和处理理过程的的结论和和结果基基础上。4信息安安全管理理体系要要求4.1总总要求组织应在在组织整整体业务务活动和和风险的的环境下下开发、实实施、维维护和持持续改进进文件化化的ISSMS。对对于该标标准的目目的,使使用的过过程是建建立在图图一说示示的PDDCA模模型为基基础上。4.2建建立和管管理ISSMS4.2.1建立立ISMMS组织应:a)应用用业务的的性质、组组织、其其方位、资资产和技技术定义义SIMMS的范范围。b)应用用组织的的业务性性质、自自主、方方位、资资产和技技术定义义ISMMS的方方针,方方针应:1)包括括为其目
13、目标建立立一个框框架病危危信息安安全活动动建立整整日的方方向和原原则。2)考虑虑业务及及法律或或法规的的要求,及及合同的的安全义义务。3)建立立组织战战略和风风险的环环境,在在这种环环境下,建建立和维维护信息息安全管管理体系系。4)建立立风险评评价的标标准和风风险评估估定义的的结构。见4.2.1c5)经管管理层批批准c)定义义风险评评估的系系统化的的方法识别适用用于ISSMS及及已识别别的信息息安全、法法律和法法规的要要求的风风险评估估的方法法为ISSMS 建立方方针和目目标以降降低风险险至可接接受的水水平。确确定接受受风险的的标准和和识别可可接受分分享的水水平。见5.11fd)定义义风险1)
14、在IISMSS的范围围内,识识别资产产及其责责任人2)识别别对这些些资产的的威胁3)识别别可能被被威胁利利用的脆脆弱性4)识别别资产失失去保密密性、完完整性和和可用性性的影响响e)评估估风险1)评估估由于安安全故障障带来的的业务损损害,要要考虑资资产失去去保密性性、完整整性和可可用性的的潜在后后果2)评估估与这些些资产相相关的主主要威胁胁、脆弱弱点和影影响造成成此类事事故发生生的现实实的可能能性和现现存的控控制措施施3)估计计风险的的等级4)确定定介绍风风险或使使用在cc中建立立的标准准进行衡衡量确定定需要处处理f)识别别和评价价供处理理风险的的可选措措施1)应用用合适的的控制措措施2)知道道
15、并有目目的的棘棘手风险险,同时时这些措措施能清清楚地满满足组织织方针和和接受风风险的标标准。见4.22.13)避免免风险4)转移移相关业业务风险险到其他他方面如如:保险险业、供供应商等等。g)选择择控制目目标和控控制措施施处理风风险应从本标标准附件件A中选择择合适的的控制目目标和控控制措施施,选择择应该根根据风险险评估和和风险处处理过程程的结果果调整。注意:附附件A中列出出的控制制目标和和控制措措施,作作为本标标准的一一部分,并并不是所所有的控控制目标标和措施施,组织织可能选选择另加加的控制制措施。h)准备备一份适适用性声声明。从从上面44.2.1(gg)选择择的控制制目标和和控制措措施以及及
16、被选择择的原因因应在适适用性声声明中文文件化。从从附件AA中剪裁裁的控制制措施也也应加以以记录i)提议议的残余余风险应应获得管管理层批批准并授授权实施施和运作作ISMMS。4.2.2实施施和运作作ISMMS组织应:a)识别别合适的的管理行行动和确确定管理理信息安安全风险险的优先先顺序,(即即:风险险处理计计划)-见条条款5b)实施施风险处处理计划划以达到到识别的的控制目目标,包包括对资资金的考考虑和落落实安全全角色和和责任c)实施施在4.2.11(g)选择的的控制目目标和控控制措施施d)培训训和意识识见5.22.2e)管理理运作过过程f)管理理资源见5.22g)实施施程序和和其他有有能力随随时
17、探测测和回应应安全事事故。4.2.3监控控和评审审ISMMS组织应:a) 执行监控控程序和和其他控控制措施施,以:1) 是探测处处理结果果中的错错误2) 及时识别别失败的的和成功功的安全全破坏和和事故3) 能够使管管理层决决定以分分派给员员工的或或通过信信息技术术实施的的安全活活动是否否达到了了预期的的目标4) 确定解决决安全破破坏的行行动是否否反映了了业务的的优先级级b)进行行常规的的ISMMS 有有效性的的评审(包包括符合合安全方方针和目目标,及及安全控控制措施施的评审审)考虑虑安全评评审的结结果、事事故、来来自所有有利益相相关方的的建议和和反馈c)评审审残余风风险和可可接受风风险的水水平
18、,考考虑一下下变化1) 组织2) 技术3) 业务目标标和过程程4) 识别威胁胁及5) 外部事件件,如:法律、法法规的环环境发生生变化或或社会环环境发生生变化d)在计计划的时时间段内内实施内内部ISSMS审审核e)经常常进行IISMSS管理评评审(至至少每年年评审一一个周期期)以保保证信息息安全管管理体系系的范围围仍然足足够,在在ISMMS过程程中的改改进措施施已被识识别(见见条款66ISMMS的管管理评审审)f)记录录所采取取的行动动和能够够影响IISMSS的有效效性或绩绩效的事事件见4.33.44.2.4维护护和改进进ISMMS组织应经经常:a)实施施以识别别的对于于ISMMS改进进措施。b
19、)采取取合适的的纠正和和预防行行动见7.22和7.33。应应用从其其他组织织的安全全经验和和组织内内学到知知识。c)沟通通结果和和行动并并得到所所有参与与的相关关访的同同意。d)确保保改进行行动达到到了预期期的目标标4.3文文件要求求4.3.1总则则ISMSS文件应应包括:a)文件件化的安安全方针针文件和和控制目目标b)ISSMS范范围见4.22.1和程序序及支持持ISMMS的控控制措施施c)风险险评估报报告见4.22.1d)风险险处理计计划见4.22.2e)组织织需要的的文件化化的程序序以确保保有效计计划运营营和对信信息安全全过程的的控制见6.11f)本标标准要求求的记录录见4.33.4g)
20、适用用性声明明注1:当当本标准准中出现现“文件的的程序”,这意意味着建建立、文文件化、实实施和维维护该程程序。注2:SSee ISOO 90001注3:文文件和记记录可以以用多种种形式和和不同媒媒体。4.3.2文件件控制ISMSS要求的的文件应应保护和和控制。应应建立文文件化的的程序确确定管理理所需文文件:a)文件件发布得得到批准准,以确确保文件件的充分分性b)必要要时对文文件进行行审批与与更新,并并再次批批准c)确保保文件的的更改和和现行修修订状态态得到识识别d)确保保在使用用处可获获得适用用文件的的有关版版本e)确保保文件保保持清晰晰、易于于识别f)确保保外来文文件得到到识别,并并控制起起
21、分发g)确保保文件的的发放在在控制状状态下h)防止止作废文文件的非非预期使使用i)若因因任何原原因而保保留作废废文件时时,对这这些文件件进行适适当的标标识4.3.3记录录控制应建立并并保持纪纪录,以以提供符符合要求求和信息息安全管管理体系系的有效效运行的的证据。记记录应当当被控制制。信息息安全管管理体系系应考虑虑任何有有关的法法律要求求。记录录应保持持清晰、易易于识别别和检索索。应编编制形成成文件的的程序,以以规定记记录的标标储存、保保护检索索、保存存期限和和处置所所需的控控制。一一个管理理过程将将确定记记录的程程度。应保留44.2概概要的过过程绩效效记录和和所有与与信息安安全管理理体系有有关
22、的安安全事故故发生的的纪录。举例记录的例例子如:访问者者的签名名簿,审审核记录录和授权权访问记记录。5管理职职责5.1管管理承诺诺管理层应应提供其其承诺建建立、实实施、运运行、监监控、评评审、维维护和改改进信息息安全管管理体系系的证据据,包括括:a)建立立信息安安全方针针:b)确保保建立信信息安全全目标和和计划:c)为信信息安全全确立角角色和责责任;d)向组组织传达达达到信信息安全全目标和和符合信信息安全全方针的的重要性性、在法法律条件件下组织织的责任任及持续续改进的的需要。e)提供供足够的的资源以以开发、实实施,运运行和维维护信息息安全管管理体系系见55.2.1 f)确定定可接受受风险的的水
23、平;g)进行行信息安安全管理理体系的的评审见条款款6 。5.2资资源管理理5.2.1提供供资源组织将确确定和提提供所需需的资源源,以:a)建立立、实施施、运行行和维护护信息安安全管理理体系;b)确保保信息安安全程序序支持业业务要求求;c)识别别和强调调法律和和法规要要求及合合同安全全的义务务;d)正确确地应用用所有实实施的控控制措施施维护足足够的安安全;e)必要要时,进进行评审审,并适适当回应应这些评评审的结结果;f)需要要时,改改进信息息安全管管理体系系的有效效性。5.2.2培训训、意识识和能力力组织应确确保所有有的被分分配信息息安全管管理体系系职责的的人员具具有能力力履行要要求的任任务。组
24、组织应:a)确定定从事影影响信息息安全管管理体系系的人员员所必要要的能力力;b)提供供能力培培训和,必必要时,聘聘用有能能力的人人员满足足这些需需求;c)评价价提供的的培训和和所采取取行动的的有效性性:d)保持持教育、培培训、技技能、经经验和资资格的纪纪录 见433 组织应确确保所有有相关的的人员知知道他们们信息安安全活动动的适当当性和重重要性以以及他们们的贡献献怎样达达成信息息安全管管理目标标。6信息安安全管理理体系的的管理评评审61总总则管理层应应按策划划的时间间间隔评评审组织织的信息息安全管管理体系系,以确确保其持持续的适适宜性、充充分性和和有效性性。评审审应包括括评价信信息安全全管理体
25、体系改进进的机会会和变更更的需要要,包括括安全方方针和安安全目标标。评审的结结果因清清楚地文文件化,应应保持管管理评审审的纪录录见4433162评评审输入入管理评审审的输入入应包括括以下方方面的信信息:a)信息息安全管管理体系系审核和和评审的的结果;b)相关关方的反反馈;c)可以以用于组组织改进进其信息息安全管管理体系系业绩和和有效性性的技术术,产品品或程序序;d)预防防和纠正正措施的的状况;e)以前前风险评评估没有有足够强强调的脆脆弱性或或威胁;f) 以以往管理理评审的的跟踪措措施:g)任何何可能影影响信息息安全管管理体系系的变更更;h)改进进的建议议。63评评审输出出管理评审审的输出出应包
26、括括以下方方面有关关的任何何决定和和措施:a) 信信息安全全管理体体系有效效性的改改进;b)修改改影响信信息安全全的程序序,必要要时,以以回应内内部或外外部可能能影响信信息安全全管理体体系的事事件,包包括以下下的变更更: 1)业业务要求求; 2)安安全要求求; 3)业业务过程程影响现现存的业业务要求求; 4)法法规或法法律环境境; 5)风风险的等等级和或可接接受风险险的水平平;c)资源源需求。64 内部信信息安全全管理体体系审核核组织应按按策化的的时间间间隔进行行内部信信息安全全管理体体系审核核,以确确定信息息安全管管理体系系的控制制目标。控制措施施、过程程和程序序是否:a) 符符合本标标准和
27、相相关法律律法规的的要求;b)符合合识别的的信息安安全要求求;c)被有有效地实实施和维维护;d)达到到预想的的业绩任何审核核活动应应策划,策策划应考考虑过程程的状况况和重要要性,要要审核的的范围以以及前次次审核的的结果。应应确定审审核的标标准,范范围,频频次和方方法。选选择审核核员及进进行审核核应确保保审核过过程的客客观和公公正。审审核员不不应审核核他们自自己的工工作。应在一个个文件化化的程序序中确定定策划和和实施审审核,报报告结果果和维护护及维护护记录见43的责责任及要要求。负责被审审核区域域的管理理者应确确保采取取没有延延迟措施施减少被被发现的的不符合合及引起起的原因因。改进进应包括括验证
28、采采取的措措施和报报告验证证的结果果见条条款7。7 ISSMS改改进71持持续 改进 组织应通通过使用用安全方方针、安安全目标标、审核核结果、对对监控事事件的分分析、纠纠正和预预防行动动和管理理i审的信息息持续改改进ISSMS的的有效性性。7. 22 纠正正措施组织应采采取措施施,以消消除不合合格的与与实施和和运行信信息安全全管理体体系有关关的原因因,防止止不合格格的再发发生。应应为纠正正措施编编制形成成文件的的程序,确确定以下下的要求求:a)识别别实施和和或运运行信息息安全管管理体系系的不合合格;b)确定定不合和和的原因因:c)评价价确保不不合格不不再发生生的措施施的需求求;d) 确确定和实
29、实施所需需的纠正正措施:e)记录录所采取取措施的的结果 见433 ;f) 评评审所采采取的纠纠正措施施。7. 33预防措措施组织应针针对未来来的不合合格确定定措施以以防上其其发生。预预防措施施应于潜潜在问题题的影响响程度相相适应。应应为预防防措施编编制形成成文件的的程序,以以确定以以下方面面的要求求:a)识别别潜在的的不合格格及其原原因;b) 确确定和实实施所需需的预防防措施:C)记录录所采取取措施的的结果见433:d)评审审所采取取的预防防措施;识别以以便更得得风险和和确保注注意力关关注在重重大的以以变更的的风险。纠正措施施的优先先权应以以风险评评估的结结果为基基础确定定。注:预防防不合格格
30、的措施施总是比比纠正措措施更节节约成本本。附录A(引引用)控制目标标和控制制措施A1介介绍从A33到A12列出出的控制制目标和和控制措措施是直直接引用用并与BBS IISO/IECC 1777999:20000条款款3到12一致致。在表表中的清清单并不不彻底,一一个组织织可能考考虑另外外必要的的控制目目标和控控制措施施。在这这些表中中选择控控制目标标和控制制措施是是条款442规定定的信息息安全管管理体系系过程的的一部分分。A2实实践指南南规范SS IISOIECC 1777999:20000条款款3至 122提供最最佳实践践的实施施建议和和指南以以支持AA3到A12规范范的控制制措施。A 3安
31、全方方针BS IISO/IEOO177999:220000编号A.3.1信息息安全方方针控制目标标:提供供管理方方向和支支持信息息安全3.1控制措施施A.3.1.11信息安全全方针文文件管理层应应提供一一份方针针文件,出出版并沟沟通,适适当时,给给所有员员工。3.1.1A.3.1.22评审和评评价应经常评评审方针针文件,在在发生决决定性的的变化时时,确保保方针的的适宜性性3.1.2A4组组织安全全BS IISO/IEOO177999:220000编号A.4.1信息息安全基基础设施施控制目标标:在组组织中管管理信息息安全4.1控制措施施A.411.1管理信息息安全委委员会信息安全全管理委委员会确
32、确保明确确的目标标和管理理层对启启动安全全管理可可见的支支持。管管理委员员会应通通过适当当的承诺诺和种族族的资源源推广安安全4.1.1A.4.1.22信息安全全协作在大的组组织中,应应使用一一个由从从各组织织相关单单位的管管理者代代表组成成的跨功功能的委委员会,协协作实施施信息安安全控制制措施4.1.2A.4.1.33落实信息息安全责责任应明确定定义保护护每种资资产和负负责特定定安全过过程的责责任A.4.1.33A.4.1.44对信息处处理设施施的授权权过程应建立对对于新的的信息处处理设施施的管理理授权A.4.1.44A.4.1.55专家信息息安全建建议应从内部部或外部部搜集专专家的信信息安全
33、全建议并并在组织织内部实实施协作作A.4.1.55A.4.1.66组织间的的合作与执法机机关、主主管机关关、信息息服务提提供者,及及通信业业者应维维持适当当的接触触A.4.1.66A.4.1.77独立的信信息安全全审查应对信息息安全方方针的实实施进行行独立的的审查A.4.1.77A.4.2第三三方访问问的安全全控制目标标:维护护组织的的信息处处理设施施及细小小资产被被第三方方访问时时的安全全A.4.2控制措施施A.4.2.11确认第三三方访问问的风险险应对第三三访问组组织的信信息处理理设施所所带来的的风险进进行评估估,并实实施适当当的安全全控制A.4.2.11A.4.2.22与第三方方的合约约
34、中的安安全要求求涉及第三三方访问问组织的的信息设设施的安安排,应应以包含含必要的的安全要要求在内内的正式式合约为为基础A.4.2.22A.4.3外包包控制目标标:当信信息处理理的责任任委托其其它组织织时,应应维护信信息的安安全A.4.3A.4.3.11外包合约约中的安安全要求求当组织将将全部或或部分的的信息系系统、网网络及/或桌上上型计算算机环境境的管理理及控制制外包时时,在双双方同意意的合约约中应载载明安全全的要求求A.4.3.11A5资资产分类类与控制制BS IISO/IEOO177999:220000编号A.5.资产的的保管责责任控制目标标:维持持对于组组织的资资产的适适切保护护5.1控
35、制措施施A.5.1.11资产的清清单应列出并并维持一一份与每每个信息息系统有有关的所所有重要要的资产产的清单单A.5.2信息息分类控制目标标:确保保信息资资产受到到适当程程度的保保护5.2控制措施施A.5.2.11分类原则则信息的分分类及相相关的保保护控制制,应适适合于企企业营运运对于信信息分享享或限制制的需要要,以及及这些需需要对企企业营运运所带来来的冲击击5.2.1A.5.2.22信息的标标识及处处理应制定信信息标识识及处理理的程序序,以符符合组织织所采行行动的分分类法则则5.2.2A6人人事安全全BS IISO/IEOO177999:220000编号A.6.1工作作说明及及人力资资源的安
36、安全控制目标标:降低低因人员员错误、偷偷窃、诈诈欺或不不当使用用设施所所造成的的风险6.1控制措施施A.6.1.11将安全需需求列入入工作职职责中组织在信信息安全全方针中中所规定定的安全全角色及及责任,应应适度地地书面化化于工作作职责说说明书中中6.1.1A6.11.2人员筛审审及政策策应在招聘聘员工时时执行正正式员工工的验证证查核6.1.2A6.11.3保密合约约员工应签签署保密密协议作作为其启启始聘用用合同的的一部分分6.1.3A6.11.4聘用合同同聘用合同同中因陈陈述员工工对信息息安全的的责任6.1.4A.6.2使用用者培训训控制目标标:确保保员工了了解信息息安全的的威胁及及考虑,并并
37、且具备备在其日日常工作作过程中中支持组组织的信信息安全全方针的的能力6.2控制措施施A.6.2.11信息安全全的教育育与培训训组织的所所有员工工以及相相关的第第三方使使用者,对对于组织织方针及及程序应应接受适适当、定定期更新新的训练练6.2.1A.6.3安全全及失效效事件的的响应6.3A6.33.1安全事故故报告安全事件件应在事事件被发发现之后后尽快由由适当的的管理途途径进行行通报6.3.1A6.33.2安全弱点点的报告告应要求信信息服务务的使用用者记下下并报告告任何观观察到的的或可疑疑的有关关系统或或服务方方面的安安全弱点点或威胁胁6.3.2A6.33.3软件失效效事件的的报告应建立报报告软
38、件件失效事事件的相相关程序序6.3.3A6.33.4从事件中中学习应有适当当机制以以量化与与监督安安全事故故及失效效事件的的种类、数数量及成成本6.3.4A6.33.5惩处的流流程员工违反反组织安安全方针针及程序序,应由由正式的的惩处流流程来处处理6.3.5A7实实体及环环境安全全BS IISO/IEOO177999:220000编号A.7.1安全全区域控制目标标:防止止对企业业运行所所在地及及信息未未经授权权的进入入、访问问、破坏坏及干扰扰7.1控制措施施A.7.1.11实体安全全边界组织应有有安全的的边界以以保护包包含信息息处理设设施的区区域7.1.1A7.11.2实体进出出控制安全区域域
39、应有适适当的进进出控制制加以保保护,以以确保只只有经授授权的人人员可以以进出7.1.2A.7.1.33办公处所所及设备备的保护护应划定安安全区域域,以保保护具有有特殊安安全需求求的办公公处所及及设备7.1.3A.7.1.44在安全区区域中的的作业应对在安安全区域域中进行行的作业业有额外外的控制制方法及及指导原原则以坚坚强安全全区域的的安全7.1.4A.7.1.55隔离递送送及装载载区域递送及装装载区域域应加以以控制,如如有可能能与信息息处理设设施隔离离,以避避免未经经授权的的访问7.1.5A.7.2 设备安安全控制目标标:预防防资产遗遗失或损损失和防防止企业业运营活活动遭受受干扰7.2控制措施
40、施A.7.2.11设备的安安置及保保护应妥善安安置及保保护设备备,以降降低来自自环境的的威胁与与危险所所造成的的风险以以及未经经授权的的访问7.2.1A.7.2.11电源供应应应保护设设备免于于电力失失效及其其它电力力异常的的影响7.2.2A.7.2.33电缆传输输安全传输资料料或支持持信息服服务的电电力及通通讯电缆缆,应予予以保护护免于被被拦截或或破坏7.2.3A.7.2.44设备维护护设备应进进行正确确维护,以以确保其其持续的的可用性性及完整整性7.2.4A.7.2.55组织以外外的设备备安全任何在组组织所在在地以外外使用的的信息处处理设备备应要求求管理层层授权7.2.5A.7.2.66设
41、备报废废或再利利用的安安全防护护设备在报报废或再再利用前前,应清清除在设设备中的的信息7.2.6A.7.3一般般控制控制目标标:防止止信息及及信息处处理设备备的损毁毁或失窃窃7.3控制措施施A.7.3.11办公桌面面净空及及计算机机屏幕画画面净空空策略组织应具具备办公公桌面净净空及计计算机屏屏幕画面面净空的的政策,以以降低因因信息被被未经授授权访问问、遗失失及所造造成的风风险7.3.1A.7.3.22资产的移移出未经授权权不得移移出组织织所拥有有的设备备、信息息及软件件7.3.2A8通通讯与操操作管理理BS IISO/IEOO177999:220000编号A.8.1 作业程程序及责责任控制目标
42、标:确保保正确、安安全地操操作信息息处理设设备8.1控制措施施A.8.1.11文件化的的作业程程序由条款44.1.1.11所制定定的信息息安全政政策所指指明的作作业程序序应加以以文件化化及维护护8.1.1A.8.1.22作业变更更控制对信息处处理设施施及系统统的变更更应加以以控制8.1.2A.8.1.33事故管理理程序应建立事事故的管管理责任任及程序序,以确确保迅速速、有效效及有序序地反应应安全事事件和采采集事故故有关数数据如审审核线索索和日志志8.1.3A.8.1.44职务隔离离职务及负负责范围围应加以以隔离,以以降低未未经授权权的修改改或者不不当使用用信息或或服务的的机会8.1.4A.8.
43、1.55开发与操操作设备备的隔离离开发及测测试设备备应与操操作设备备分离。应应确定和和文件化化从开发发状态到到运行状状态移植植软件的的规定8.1.5A8.11.6外部设备备的管理理使用外部部的设备备管理服服务之前前,应鉴鉴别其风风险,并并与承包包尚协议议适当的的控制方方法,并并纳入合合约内容容之中8.1.6A.8.2 系统规规划及验验收控制目标标:将系系统失效效的风险险降至最最小8.2控制措施施A.8.2.11容量规划划容量要求求应加以以监督,并并应作出出对于未未来容量量需求的的推测,以以确保拥拥有合适适的运算算处理能能力及储储存空间间8.2.1A.8.2.22系统验收收应建立新新信息系系统、升升级及新新版本的的验收标标准,并并且在允允收前对对系统进进行适当当的测试试8.2.2A.8.3对具具恶意的的软件的的防范控制目标标:保护护软件及及信息的的完整性性不受恶恶意软件件的损害害8.3控制措施施A.8.3.11对具恶意意的软件件的控制制应有具侦侦测性及及预防性性的控制制方法以以防范恶恶意的软软件,并并且