《信息技术信息安全管理实用规则(DOC 60)48837.docx》由会员分享,可在线阅读,更多相关《信息技术信息安全管理实用规则(DOC 60)48837.docx(110页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、GB/T 国家质量监督检验检疫总局 发布-实施-发布信息技术 信息安全管理实用规则Information technology-Code of practicefor information security management(ISO/IEC 17799:2000,MOD)(报批稿)GB/T 中华人民共和国国家标准ICS 35.0401GB/T 目 次前言III引言IV1 范围12 术语和定义义12.1 信息安安全 12.2 风险评评估 12.3 风险管管理 13 安全策略13.1 信息安安全策略14 组织的安全全24.1 信息安安全基础设施施24.2 第三方方访问的安全全44.3 外包6
2、5 资产分类和和控制75.1 资产的的可核查性75.2 信息分分类76 人员安全86.1 岗位设设定和人力资资源的安全86.2 用户培培训106.3 对安全全事故和故障障的响应107 物理和环境境的安全117.1 安全区区域117.2 设备安安全137.3 一般控控制158 通信和操作作管理168.1 操作规规程和职责168.2 系统规规划和验收198.3 防范恶恶意软件198.4 内务处处理208.5 网络管管理218.6 媒体处处置和安全218.7 信息和和软件的交换换239 访问控制269.1 访问控控制的业务要要求279.2 用户访访问管理279.3 用户职职责299.4 网络访访问控
3、制309.5 操作系系统访问控制制329.6 应用访访问控制359.7 对系统统访问和使用用的监督359.8 移动计计算和远程工工作3710 系统开发发和维护3810.1 系统统的安全要求求3810.2 应用用系统的安全全3910.3 密码码控制4110.4 系统统文件的安全全4310.5 开发发和支持过程程的安全4411 业务连续续性管理4611.1 业务务连续性管理理的各方面4612 符合性4812.1 符合合法律要求4812.2 安全全策略和技术术符合性的评评审5112.3 系统统审核考虑52XI前 言GB/T XXXXX-XXXXX信息息技术 信息息安全管理实实用规则。本标准修改采用用
4、ISO/IIEC 177799-22000信信息技术 信信息安全管理理实用规则,在在12.1.6中增加了了“a) 使用用国家主管部部门审批的密密码算法和密密码产品”,作为修改改内容。本标标准中所有实实线方框仅具具有醒目的作作用。本部分由中华人人民共和国信信息产业部提提出。本部分由全国信信息安全标准准化技术委员员会归口。本部分由中国电电子技术标准准化研究所、中中国电子科技技集团第300研究所、上上海三零卫士士信息安全有有限公司、中中国电子科技技集团第155研究所、北北京思乐信息息技术有限公公司负责起草草。本部分主要起草草人:黄家英英、林望重、魏魏忠、林中、王王新杰、罗锋锋盈、陈星。引 言什么是信
5、息安全全?象其他重要业务务资产一样,信信息也是一种种资产。它对对一个组织具具有价值,因因此需要加以以合适地保护护。信息安全全防止信息受受到的各种威威胁,以确保保业务连续性性,使业务损损害减至最小小,使投资回回报和业务机机会最大。信息可能以各种种形式存在。它它可以打印或或写在纸上、以以电子方式存存储、用邮寄寄或电子手段段发送、呈现现在胶片上或或用言语表达达。无论信息息采用什么形形式或者用什什么方法存储储或共享,都都应对它进行行适当地保护护。信息安全在此表表现为保持下下列特征:a)保密性:确保信息仅仅被已授权访访问的人访问问;b)完整性:保保护信息及处处理方法的准准确性和完备备性;c)可用性:确保
6、已授权权用户在需要要时可以访问问信息和相关关资产。信息安全是通过过实现一组合合适控制获得得的。控制可可以是策略、惯惯例、规程、组组织结构和软软件功能。需需要建立这些些控制,以确确保满足该组组织的特定安安全目标。为什么需要信息息安全?信息和支持过程程,系统和网网络都是重要要的业务资产产。信息的保保密性、完整整性和可用性性对维持竞争争优势、现金金流转、赢利利、守法和商商业形象可能能是必不可少少的。各组织及其信息息系统和网络络日益面临来来自各个方面面的安全威胁胁。这些方面面包括计算机机辅助欺诈、间间谍活动、恶恶意破坏、毁毁坏行为、火火灾或水灾。诸诸如计算机病病毒、计算机机黑客捣乱和和拒绝服务攻攻击,
7、已经变变得更普遍、更更有野心和日日益高科技。对信息系统和服服务的依赖意意味着组织对对安全威胁更更为脆弱。公公共网络和专专用网络的互互连和信息资资源的共享增增加了实现访访问控制的难难度。分布式式计算的趋势势已削弱集中中式控制的有有效性。许多信息系统已已不再单纯追追求设计成安安全的,因为为通过技术手手段可获得的的安全性是有有限的。应该该用合适的管管理和规程给给予支持。标标识哪些控制制要到位需要要仔细规划并并注意细节。信信息安全管理理至少需要该该组织内的所所有员工参与与,还可能还还要求供应商商、消费者或或股票持有人人的参与。外外界组织的专专家建议可能能也是需要的的。如果在制定要求求规范和设计计阶段把
8、信息息安全控制结结合进去,那那么,该信息息安全控制就就会更加经济济和更加有效效。如何建立安全要要求最重要的是组织织标识出它的的安全要求。有有三个主要来来源。第一个来源是由由评估该组织织的风险所获获得的。通过过风险评估,标标识出对资产产的威胁,评评价易受威胁胁的脆弱性和和威胁出现的的可能性和预预测威胁潜在在的影响。第二个来源是组组织、贸易伙伙伴、合同方方和服务提供供者必须满足足的法律、法法规、规章和和合同的要求求。第三个来源是组组织开发支持持其运行的信信息处理的特特定原则、目目标和要求的的特定集合。评估安全风险安全要求是通过过安全风险的的系统性评估估予以标识。用用于控制的经经费需要针对对可能由安
9、全全故障导致的的业务损害加加以平衡。风风险评估技术术可适用于整整个组织,或或仅适用于组组织的某些部部门,若这样样做切实可行行、现实和有有帮助,该技技术也适用于于各个信息系系统、特定系系统部件或服服务。风险评估要系统统地考虑以下下内容:a)可能由安安全故障导致致的业务损害害,要考虑到到信息或其他他资产的保密密性、完整性性或可用性丧丧失的潜在后后果;b)从最常见的的威胁和脆弱弱性以及当前前所实现的控控制来看,有有出现这样一一种故障的现现实可能性。评估的结果将帮帮助指导和确确定合适的管管理行动,以以及管理信息息安全风险和和实现所选择择控制的优先先级,以防范范这些风险。评评估风险和选选择控制的过过程可
10、能需要要进行许多次次,以便涵盖盖组织的不同同部门或各个个信息系统。重要的是对安全全风险和已实实现的控制进进行周期性评评审,以便:a)考虑业务务要求和优先先级的变更;b)考虑新的威威胁和脆弱性性;c)证实控制制仍然维持有有效和合适。根据先前评估的的结果评审宜宜在不同深度度级别进行,以以及在管理层层准备接受的的更改风险级级别进行。作作为高风险区区域优化资源源的一种手段段,风险评估估通常首先在在高级别进行行,然后在更更细的级别进进行,以提出出具体的风险险。选择控制一旦安全要求已已被标识,则则应选择并实实现控制,以以确保风险减减少到可接受受的程度。控控制可以从本本标准或其他他控制集合中中选择,或者者当
11、合适时设设计新的控制制以满足特定定需求。有许许多不同的管管理风险的方方法,本标准准提供常用方方法的若干例例子。然而,需需要认识到有有些控制不适适用于每种信信息系统或环环境,并且不不是对所有组组织都可行。作作为一个例子子,8.1.4描述如何何分割责任,以以防止欺诈或或出错。在较较小的组织中中分割所有责责任是不太可可能的,获得得相同控制目目标的其他方方法可能是必必要的。作为为另一个例子子,9.7和12.1描述述如何监督系系统使用及如如何收集证据据。所描述的的控制,例如如事件记录可可能与适用的的法律相冲突突,诸如消费费者或在工作作场地内的隐隐私保护。控制应根据与风风险减少相关关的实现成本本和潜在损失
12、失(如果安全全违规出现)予予以选择。也也应考虑诸如如丧失信誉等等非金钱因素素。本标准中的某些些控制可认为为是信息安全全管理的指导导原则,并且且可用于大多多数组织。下下面在题为“信息安全起起点”中更详细解解释这些控制制。信息安全起点许多控制可认为为是为实现信信息安全提供供良好起点的的指导原则。它它们或者是基基于重要的法法律性要求,或或者被认为是是信息安全常常用的最佳惯惯例。从法律的观点看看,对某个组组织重要的控控制包括:a)个人信息的的数据保护和和隐私(见112.1.44);b)保护组织的的记录(见112.1.33);c)知识产权权(见12.1.2)。认为是信息安全全常用最佳惯惯例的控制包包括:
13、a)信息安全全策略文档(见见3.1);b)信息安全职职责的分配(见见4.1.33);c)信息安全全教育和培训训(见6.22.1);d)报告安全事事故(见6.3.1);e)业务连续续性管理(见见11.1)。这些控制适用于于大多数组织织和环境。应应注意,虽然然本标准中的的所有控制都都是重要的,但但是从某个组组织正面临的的特定风险来来看,应确定定任一控制的的贴切性。因因此,虽然上上述方法被认认为是一种良良好的起点,但但它并不取代代选择基于风风险评估的控控制。关键的成功因素素经验已经表明下下列因素通常常对某个组织织能否成功实实现信息安全全是关键的:a)反映业务务目标安全策策略、目的以以及活动;b)符合
14、组织文文化的实现安安全的方法;c)来自管理理层的可视支支持和承诺;d)正确理解安安全要求、风风险评估和风风险管理;e)向所有管管理者和员工工传达有效的的安全需求;f)向所有员员工和合同商商分发关于信信息安全策略略和标准的指指导;g)提供合适的的培训和教育育;h)有一个综合合和平衡的度度量系统,它它可用来评估估信息安全管管理的执行情情况以及反馈馈改进建议。 开发你自己的指指南本实用规则可以以认为是开发发组织具体指指导的起点。本本实用规则中中的指导和控控制并不全都都是可用的。而而且,可以要要求本标准中中未包括的附附加控制。当当发生这种情情况时,保持持交叉引用可可能是有用的的,该交叉引引用便于审核核
15、员和业务方方进行符合性性检验。信息技术 信信息安全管理理实用规则1 范围本标准对信息安安全管理给出出建议,供负负责在其组织织启动、实施施或维护安全全的人员使用用。本标准为为开发组织的的安全标准和和有效的安全全管理做法提提供公共基础础,并提供组组织间交往的的信任。本标标准的推荐内内容应按照适适用的我国法法律和法规加加以选择和使使用。2 术语和定义下列定义适用于于本标准。2.1 信息安全 IInformmationn secuurity保持信息的保密密性、完整性性和可用性。 保密性确保信息仅被已已授权访问的的人访问。 完整性保护信息及处理理方法的准确确性和完备性性。 可用性确保已授权用户户在需要时
16、可可以访问信息息和相关资产产。2.2 风险评估 RRisk aassesssment对信息和信息处处理设施的威威胁、影响及及信息和信息息处理设施自自身的脆弱性性以及它们出出现的可能性性的评估。2.3 风险管理 RRisk mmanageement相对可接受的费费用而言,标标识、控制和和尽量减少(或或消除)可能能影响信息系系统的安全风风险的过程。3 安全策略3.1 信息安全策略目的:提供管理理方向和支持持信息安全。管理层应制定清清晰的策略方方向,并通过过在整个组织织中颁发和维维护信息安全全策略来表明明对信息安全全的支持和承承诺。3.1.1 信息安全策略文文档策略文件要由管管理层批准,当当合适时,
17、将将其发布并传传递给所有员员工。策略文文档应说明管管理承诺,并并提出组织的的管理信息安安全的途径。至至少,应包括括下列指南:a)信息安全全定义、其总总目标和范围围以及在信息息共享允许机机制下安全的的重要性(见见引言);b)管理层意图图的说明,以以支持信息安安全的目标和和原则;c)对组织特特别重要的安安全策略、原原则、标准和和符合性要求求的简要说明明,例如:1) 服从法律和合同同要求;2) 安全教育要求;3) 防范和检测病毒毒和其他恶意意软件;4) 业务连续性管理理;5) 安全策略违反的的后果;d)安全信息管管理(包括报报告安全事故故)的总职责责和特定职责责的定义;e)引用可以以支持策略的的文档
18、,例如如,特定信息息系统的更详详细的安全策策略和规程,或或用户应遵守守的安全规则则。应以预期的读者者适合的、可可访问的和可可理解的形式式将策略传递递给整个组织织的用户。3.1.2 评审和评价该策略应有专人人负责,他按按照所定义的的评审过程负负责其维护和和评审。该过过程应确保:根据影响原原始风险评估估基础的任何何变更(例如如,重大的安安全事故、新新的脆弱性和和随组织上或或技术上的基基础设施的变变更)进行相相应的评审。还还要安排下列列周期性评审审:a)通过所记记录安全事故故的性质、数数目和影响证证明策略的有有效性;b)控制对业业务效率和成成本的影响;c)技术变更更的影响。4 组织的安全4.1 信息
19、安全基础设设施目的:管理组织织范围内的信信息安全。应建立管理框架架,以启动和和控制组织范范围内的信息息安全的实施施。应建立有管理领领导人员参加加的相应的管管理协调小组组,以核准整整个组织内的的信息安全策策略、指派安安全角色以及及协调安全的的实施。若需需要,要在组组织范围内建建立专家信息息安全建议原原始资料,并并在组织内可可利用该资料料。要发展与与外部安全专专家的联系,以以便跟上行业业趋势、跟踪踪标准和评估估方法,并且且当涉及安全全事故时,提提供相适应的的联络地点。应应鼓励信息安安全的多学科科途径,例如如,涉及诸如如保险和风险险管理等领域域内的管理者者、用户、行行政管理者、应应用设计者、审审核员
20、和安全全职员以及专专业技术熟练练工人的合作作和协作。4.1.1 管理信息安全协协调小组信息安全是管理理团队所有成成员所共同遵遵守的业务职职责。因此,认认为管理协调调小组能确保保安全举措有有清晰的方向向和看得见的的管理层支持持。该协调小小组要通过合合适的承诺和和足够的资源源来促进组织织范围内的安安全。该协调调小组可以是是现有管理团团体的一部分分。一般,这这种协调小组组承担下列事事项:a)评审和核核准信息安全全策略和总体体职责;b)监督暴露露于主要威胁胁下的信息资资产重大变更更;c)评审和监监督信息安全全事故;d)批准增强强信息安全的的重大举措。由一名管理者负负责与安全相相关的所有活活动。4.1.
21、2 信息安全协调在大型组织中,有有必要成立一一个由各相关关部门的管理理代表组成的的跨部门的协协调小组,以以协调信息安安全控制措施施的实施。一一般地说,这这样的协调小小组执行以下下方面的工作作:a)商定整个个组织中信息息安全的特定定角色和职责责;b)商定信息息安全的特定定方法和过程程,例如,风风险评估,安安全分类体系系;c)商定和支支持组织范围围的信息安全全举措,例如如,安全意识识教育计划;d)确保安全全是信息规划划过程的一部部分;e)评估新系系统或服务的的特定信息安安全控制的充充分程度,并并协调实施这这些控制;f)评审信息息安全事故;g)促进整个个组织信息安安全的业务支支持的可视性性。4.1.
22、3 信息安全职责的的分配保护各种资产以以及进行特定定安全处理的的职责应予以以清晰地定义义。信息安全策略(见见第3章)应应对组织内的的安全角色和和职责的分配配提供全面指指导。若需要要,应用特定定场地、系统统或服务用的的更详细的指指导予以补充充。各个物理理及信息资产产和安全过程程(诸如业务务连续性规划划)的局部职职责应予以清清晰地定义。在许多组织中,将将任命一名信信息安全管理理者全面负责责安全的开发发和实施,并并支持控制的的标识。然而,提供控制制资源并实施施这些控制的的职责通常归归于各个管理理者。一种通通常的做法是是对每一信息息资产指定一一名责任人,因因此,他对该该信息资产的的日常安全负负责。信息
23、资产的责任任人可以将他他们的安全职职责委托给各各个管理者或或服务提供者者。尽管如此此,该责任人人仍然最终负负责该资产的的安全,并且且他应能确定定任何被委托托的职责是否否已被正确地地履行。重要的是每个管管理者负责的的领域要予以以清晰地规定定;特别是,应应进行下列工工作。a)与每个独独立系统相关关的各种资产产和安全过程程应予以标识识并清晰地定定义。b)应商定每每一资产或安安全过程的管管理者职责,并并且应形成该该职责的细节节文档。c)授权级别别应清晰地予予以定义,并并形成文档。4.1.4 信息处理设施的的授权过程应建立新信息处处理设施的管管理授权过程程。理应考虑下列控控制:a)新设施要要有相应用户户
24、管理层的批批准,以授权权设施的用途途和使用。还还要获得负责责维护本地系系统安全环境境的管理者批批准,以确保保所有相关安安全策略和要要求得到满足足。b)若需要,硬硬件和软件应应进行检验,以以确保它们与与其他系统部部件兼容。注:对某些连接接可以要求型型式批准。c)应对处理理业务信息和和所有必要控控制所使用的的个人信息处处理设施进行行授权。d)使用工作作场地内的个个人信息处理理设施可能引引起新的脆弱弱性,因此,要要进行评估和和授权。这些控制在已组组成网络的环环境中特别重重要。4.1.5 专家的信息安全全建议专家的安全建议议可能是许多多组织需要的的。在概念上上,一个有经经验的内部信信息安全顾问问要提供
25、这种种建议。不是是所有组织都都希望聘用专专家顾问。在在这样的情况况下,建议确确定专门人员员协调内部知知识和经验,以以确保一致性性,并且在作作出安全判定定时提供帮助助。各个组织织也应访问适适合的外部顾顾问,顾问们们可提供超出出各组织自身身经验的专家家建议。应对信息安全顾顾问或上述相相应人员分派派提供建议的的任务,即使使用他们自己己的或外部的的建议来提供供关于信息安安全各方面的的建议。他们们评定安全威威胁的质量和和关于控制的的建议将确定定该组织的信信息安全的有有效性。为了了最高有效性性和最好效果果,要允许他他们直接访问问整个组织中中的管理层。在怀疑发生安全全事故或违规规之后的最早早可能阶段,要要咨
26、询信息安安全顾问或合合同中相应的的指定人,以以提供专门指指导或调查资资源的原始资资料。虽然大大多数内部安安全调查将通通常在管理控控制下进行,但但可以要求信信息安全顾问问对调查提供供建议、引导导或进行这种种调查。4.1.6 组织之间的合作作要保持与法律执执行机构、制制订法规的机机构、信息服服务提供者和和电信运营商商的相应联系系,以确保万万一出现安全全事故时可以以快速采取适适当行动并获获得建议。同同样,要考虑虑安全团体和和行业协调小小组的成员。安全信息的交换换要受到限制制,以确保不不把该组织的的保密信息传传递给未授权权的个人。4.1.7 信息安全的独立立评审信息安全策略文文档(见3.1)提出信信息
27、安全策略略和职责。其其实施要独立立地予以评审审,以提供保保证,即保证证组织的实践践正确地反映映了策略,并并且保证该策策略是可行的的和有效的(见见12.2)。这样的评审可以以通过内部审审核职能、独独立的管理者者或专门做这这种评审的第第三方组织来来进行,条件件是这些候选选者具有相应应的技能和经经验。4.2 第三方访问的安安全目的:维护被第第三方所访问问的组织的信信息处理设施施和信息资产产的安全。被第三方访问的的组织的信息息处理设施应应予以控制。若有一种业务需需要这种第三三方访问,就就要进行风险险评估,以确确定安全蕴涵涵和控制要求求。在与第三三方签订的合合同中要商定定和定义控制制。第三方访问还可可能
28、包含其他他参与者。给给与第三方访访问的合同要要包括指定其其它合格参与与者及其访问问的条件的许许可限度。本标准可以用作作这种合同的的基础以及考考虑外包信息息处理时的基基础。4.2.1 标识第三方访问问的风险4.2.1.1 访问类型给予第三方的访访问类型特别别重要。例如如,通过网络络连接的访问问风险与由于于物理访问导导致的风险不不同。应予以以考虑的访问问类型有:a)物理访问问,例如,访访问办公室,计计算机机房,档档案室;b)逻辑访问,例例如,访问组组织的数据库库,信息系统统。4.2.1.2 访问的原因有许多原因可以以授予第三方方访问。例如如,向组织提提供服务却不不在现场的第第三方,可以以授予物理和
29、和逻辑访问权权,诸如:a)硬件和软软件支持人员员,他们需要要访问系统级级或低级别的的应用功能度度;b)贸易伙伴或或联合投资者者,他们可以以交换信息,访访问信息系统统或共享数据据库。在不充分的安全全管理情况下下,由于第三三方访问,可可能把信息置置于风险中。若若有业务需要要连接到第三三方地址,那那么应进行风风险评估,以以标识出特定定控制的任何何要求。要考考虑到所要求求的访问类型型、信息的价价值、第三方方所利用的控控制以及这种种访问牵连到到该组织的信信息安全。4.2.1.3 现场合同方在其合同中所定定义的一段时时间内位于现现场的第三方方也可能导致致安全弱点。现现场第三方的的例子包括:a)硬件和软软件
30、维护与支支持人员;b)清洁、给养养、安全保卫卫和其他外包包支持服务;c)实习学生生或其他短期期临时工作人人员;d)顾问。重要的是要理解解需要什么样样的控制来管管理第三方对对信息处理设设施的访问。一一般来说,由由第三方访问问导致的所有有安全要求或或者内部控制制应在第三方方合同反映出出来(也见44.2.2)。例例如,如果对对于信息的保保密性有特定定的需要,可可以使用不泄泄露协议(见见6.1.33)。只有在实施了适适当的控制措措施并签定了了涵盖连接和和访问条款的的合同之后,第第三方才可以以访问信息和和信息处理设设施。4.2.2 第三方合同中的的安全要求涉及第三方访问问组织信息处处理设施的协协议要以包
31、含含或引用所有有重要要求的的正式合同为为基础,以确确保符合组织织的安全策略略和标准。该该合同要确保保在该组织和和第三方之间间不存在误解解。至于其供供应商的赔偿偿问题,各组组织应自行解解决。合同中中应考虑下列列条款:a)信息安全全的通用策略略;b)资产保护,包包括:1) 保护组织资产(包包括信息和软软件)的规程程;2) 确定资产是否受受到损害(例例如丢失数据据或修改数据据)的规程;3) 确保在合同截止止时或在合同同执行期间双双方同意的某某一时段对信信息和资产的的归还或销毁毁的控制;4) 完整性和可用性性;5) 对拷贝和泄露信信息的限制;c)要提供每每项服务的描描述;d)服务的目标标级别和不可可接
32、受的服务务级别;e)若合适,人人员转职的规规定;f)协议双方方的相关义务务;g)关于法律事事件(例如,数数据保护法律律)的责任。如如果该合同涉涉及与其他国国家的组织的的合作,特别别要考虑到不不同的国家法法律体系(也也见12.11);h)知识产权(IIPRs)和版权转转让(见122.1.2)以以及任何协作作性工作的保保护(见6.1.3);i)访问控制制协议,包括括:1) 允许的访问方法法,唯一标识识符(诸如用用户ID和口口令)的控制制和使用。2) 用户访问和特权权的授权过程程;3) 维护被授权使用用正在提供的的服务的个人人清单的要求求以及他们与与这种使用相相关的权利和和特权是哪些些;j)可验证的
33、的性能要求的的定义、监督督和报告;k)监督和撤销销用户活动的的权利;l)审核合同同职责的权利利或拥有由第第三方进行这这些审核的权权利;m)建立逐级解解决问题的过过程;在适合合的情况下,也也应考虑意外外事故安排;n)关于硬件和和软件安装和和维护的职责责;o)一种清晰的的报告结构和和商定的报告告格式;p) 一种清晰规定的的变更管理过过程;q) 任何要求的物理理保护控制和和机制,以确确保遵守这些些控制;r) 对用户和管理者者在方法、规规程和安全方方面的培训;s) 确保防范恶意软软件的控制措措施(见8.3);t) 报告、通知和调调查安全事故故和安全违规规的安排;u) 包括具有转包商商的第三方。4.3
34、外包目的:信息处理理的职责是在在外包给其他他组织时维护护信息安全。外包安排应在双双方的合同中中指出信息系系统、网络和和/或桌面环环境的风险、安安全控制和规规程。4.3.1 外包合同中的安安全要求组织的信息系统统、网络和/或桌面环境境的全部或某某些部分的管管理和控制进进行外包时,要要在双方所商商定的合同中中指出安全要要求。例如,合同中要要指出:a) 如何满足法律要要求,例如,数数据保护法律律;b) 有什么样的安排排,可确保外外包所涉及的的各方(包括括转包商)知知道其安全职职责;c) 如何维护和测试试该组织的业业务资产的完完整性和保密密性;d) 将使用什么样的的物理和逻辑辑控制来限制制和限定已授授
35、权用户访问问该组织的敏敏感的业务信信息;e) 万一有自然灾害害,如何维护护服务的可用用性;f) 对外包设备要提提供什么等级级的物理安全全;g) 审核的权利。4.2.2的清清单中所给出出的条款也应应考虑作为该该合同的一部部分。该合同同要允许在双双方待商定的的安全管理计计划中扩充安安全要求和规规程。虽然外包合同可可能提出某些些复杂的安全全问题,但在在本实用规则则中所包括的的控制可以用用作商定安全全管理计划的的结构和内容容的起点。5 资产分类和控制制5.1 资产的可核查性性目的:维持对组组织资产的相相应保护。所有主要信息资资产应是可核核查的,并且且有指定的责责任人。资产的可核查性性有助于确保保维持相
36、应的的保护。对于于所有主要资资产要标识出出责任人,并并且要赋予维维护相应控制制的职责。可可以授予实施施控制的职责责。可核查性性归于资产的的指定责任人人。5.1.1 资产清单资产清单有助于于确保进行有有效的资产保保护,并且对对于其他业务务目的,诸如如健康与安全全、保险或财财务(资产管管理)的原因因,也需要资资产清单。编编制资产清单单的过程是风风险管理的重重要部分。一一个组织需要要能标识出资资产和这些资资产的相关价价值和重要性性。然后,根根据该信息,一一个组织可以以提供与资产产的价值和重重要性相称的的保护等级。每每个信息系统统相关的重要要资产都应编编制清单并加加以维持。每每一资产应清清楚地标识,应
37、应商定其所有有权和安全分分类(见5.2)以及其其当前位置(尝尝试从丢失或或损坏中恢复复时是重要的的)并形成文文档。与信息息系统相关的的资产举例:a) 信息资产:数据据库和数据文文件,系统文文档,用户手手册,培训材材料,操作或或支持规程,连连续性计划,后后备运行安排排,归档的信信息;b) 软件资产:应用用软件,系统统软件,开发发工具和实用用程序;c) 物理资产:计算算机设备(处处理器、监视视器、便携式式计算机、调调制解调器),通通信设备(路路由器、PAABX、传真真机、应答机机),磁媒体体(磁带和磁磁盘),其他他技术设备(电电源、空调装装置),家具具,用具;d) 服务:计算和通通信服务,一一般公
38、用事业业,例如,供供暖,照明,能能源,空调。5.2 信息分类目的:确保信息息资产受到相相应等级的保保护。信息要分类,以以指出保护的的需求、优先先级和程度。信息具有可变的的敏感性和重重要性。某些些项可以要求求附加等级的的保护或特别别的处理。信信息分类体制制用来定义一一组合适的保保护等级和传传递特别处理理措施的需求求。5.2.1 分类指南信息的分类及相相关保护控制制要考虑到共共享或限制信信息的业务需需求以及与这这种需求相关关的业务影响响,例如,对对信息的未授授权访问或损损坏。一般说说,给予信息息的分类是确确定该信息如如何予以处理理和保护的简简便方法。信息和处理分类类数据的系统统的输出要根根据它对组
39、织织的价值和敏敏感性予以标标记。根据它它对组织的重重要程度对信信息进行标记记也可能是合合适的,例如如根据它的完完整性和可用用性。在某一一段时间之后后,信息通常常不再是敏感感的或重要的的,例如,当当该信息已经经公开时。过过多的分类可可能导致不必必要的附加业业务费用,上上述各方面应应予以考虑。分分类指南要预预先考虑并允允许任何给定定的信息项的的分类在全部部时间内不必必固定,并且且根据预先确确定的策略加加以变更(见见9.1)。对于分类种类的的数目和从其其使用中获得得的好处要予予以考虑。过过度复杂的方方案可能对使使用不方便和和不经济,或或许是不实际际的。在解释释其他组织文文档上的分类类标记应小心心,因
40、为其他他组织可能对对于相同或类类似命名的标标记有不同的的定义。定义信息项(例例如,对文档档,数据记录录,数据文件件或软件)的的分类以及周周期性评审该该分类的职责责仍然属于信信息的始发者者或指定的拥拥有者。5.2.2 信息标记和处理理重要的是,按照照组织所采纳纳的分类方案案对信息标记记和处理定义义一组合适的的规程。这些些规程需要涵涵盖物理和电电子格式的信信息资产。对对每种分类,要要定义处理规规程,以涵盖盖下列信息处处理活动类型型:a) 拷贝;b) 存储;c) 邮政、传真和电电子邮件的传传输;d) 话音传输,包括括移动电话、话话音邮件、应应答机;e) 销毁(数据结构构);系统的输出含有有了分类为敏
41、敏感的或重要要的信息应在在该输出中携携带合适的分分类标记。该该标记要根据据5.2.11中所建立的的规则反映出出分类。待考考虑的项目包包括打印报告告、屏幕显示示、记录媒体体(磁带、磁磁盘、CD、盒盒式磁带)、电电子报文和文文件传送。物理标记一般是是最合适的标标记形式。然然而,某些信信息资产(诸诸如电子形式式的文档等)在在物理上不能能做标记,而而需要使用电电子标记手段段。6 人员安全6.1 岗位设定和人力力资源的安全全目的:减少人为为差错、盗窃窃、欺诈或滥滥用设施的风风险。在招聘阶段要指指出安全职责责,要包含在在合同中并在在个人聘用期期间予以监督督。要对可能的新成成员进行充分分的筛选,特特别对敏感
42、性性岗位的成员员(见6.11.2)。所所有雇员和信信息处理设施施的第三方用用户要签署保保密(不泄密密)协议。6.1.1 在岗位职责中要要包含的安全全在合适情况下,在在组织的信息息安全策略中中所列出的安安全角色和职职责(见3.1),要形形成文档。它它们要包括实实施或维护安安全策略的总总职责以及保保护特定资产产或执行特定定安全过程或或活动的任何何特定职责。6.1.2 人员筛选和策略略固定职员的鉴定定核查要在职职务申请时进进行。这包括括下列控制:a) 获得令人满意的的参考资料;b) 申请人履历的核核查(针对完完整性和准确确性);c) 声称的学术、专专业资格的证证实;d) 独立的身份核查查(身份证或或
43、护照)。当一个职务(原原先任命的或或提升的)涉涉及到对信息息处理设施进进行访问的人人时,特别是是,如果这些些设施正在处处理敏感信息息,例如,财财务信息或高高度保密的信信息,那么,该该组织还要进进行信用核查查。对于占据据重要职权位位置的职员而而言,要周期期性地重复这这种核查。对于合同商和临临时职员要进进行类似的筛筛选过程。若若这些职员是是通过代理提提供的,那么么,与代理的的合同要清晰晰地规定代理理对筛选的职职责,以及如如果未完成筛筛选或结果引引起怀疑或关关注时,这些些代理需要遵遵守通知规程程。在新的和无经验验的职员被授授权访问敏感感系统时,管管理层要评价价对他们所要要求的监督。所所有职员的工工作
44、须经此类类职员中更资资深成员周期期性评审和批批准过程。管理者要了解其其职员的个人人环境可能影影响其工作。个个人的或财务务的问题、他他们的行为或或生活方式的的变化、经常常缺勤以及有有压力或压抑抑的迹象都可可能导致欺诈诈、盗窃、出出错或其他安安全隐患。要要按照相关权权限中的合适适法律处理这这些情况。6.1.3 保密性协议保密性协议或不不泄密协议用用来告知信息息是保密的或或秘密的。雇雇员们一般要要签署这样的的协议,作为为聘用他们的的最初条款和和条件的一部部分。应要求现有合同同(包含保密密协议)中没没有涉及的临临时职员和第第三方用户在在给予访问信信息处理设施施之前签署保保密协议。当聘用或合同的的期限有
45、变化化时,特别是是,当雇员预预期离开该组组织或合同到到期终止时,要要评审保密协协议。6.1.4 雇用条款和条件件雇用条款和条件件要说明雇员员的信息安全全职责。若合合适,这些职职责应在雇用用结束后继续续规定的一段段时间。应包包括如果雇员员漠视安全要要求所要采取取的行动。雇员的合法职责责和权利(例例如,关于版版权法或数据据保护法)要要予以阐明并并包括在雇用用的条款和条条件内。也要要包括雇主的的数据分类和和管理的职责责。只要合适适时,雇用的的条款和条件件要说明上述述这些职责扩扩充到组织办办公地点之外外以及正常工工作时间之外外,例如,在在家里工作的的情况(也见见7.2.55和9.8.11)。6.2 用
46、户培训目的:确保用户户知道信息安安全威胁和利利害关系,并并准备好在其其正常工作过过程中支持组组织的安全策策略。为了使可能的安安全风险减到到最小,用户户应接受安全全规程和正确确使用信息处处理设施方面面的培训。6.2.1 信息安全教育和和培训组织的所有雇员员和(若相关关的)第三方方用户要接受受组织的策略略和规程方面面的适当培训训和定期更新新内容。这包包括安全要求求、合法职责责和业务控制制以及在给予予访问信息和和服务之前正正确使用信息息处理设施的的培训,例如如登录过程,使使用软件包等等。6.3 对安全事故和故故障的响应目的:使安全事事故和故障的的损害减到最最小,并监督督这种事故以以及从事故中中学习。影响安全的事故故要尽可能快快地通过合适适的管理渠道道予以报告。要使所有雇员和和合同商知道道报告可能对对组织的资产产安全有影响响的不同类型型事故(安全全违规、威胁胁、弱点或故故障)的规程程,应要求他他们尽可能快快地把任何观观察到的或预预测到的事故故报告给指明明的联系点。该该组织对涉及及安全违规的的雇员应建立立一个正式的的纪律处理办办法。为了能能正确地指出出事故,在出出