《GB-T 22081-2016 ISO IEC 27002-2013 信息技术 安全技术 信息安全控制实践指南.pdf》由会员分享,可在线阅读,更多相关《GB-T 22081-2016 ISO IEC 27002-2013 信息技术 安全技术 信息安全控制实践指南.pdf(76页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3代替G B/T2 2 0 8 12 0 0 8信息技术 安全技术信息安全控制实践指南I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sC o d eo fp r a c t i c e f o ri n f o r m a t i o ns e c u r i t yc o n t r o l s(I S O/I E C
2、2 7 0 0 2:2 0 1 3,I D T)2 0 1 6-0 8-2 9发布2 0 1 7-0 3-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言 0.1 背景和环境 0.2 信息安全要求 0.3 控制的选择 0.4 编制组织自己的指南 0.5 生命周期的考虑 0.6 相关标准1 范围12 规范性引用文件13 术语和定义14 标准结构1 4.1 章节1 4.2 控制类别15 信息安全策略2 5.1 信息安全管理指导26 信息安全组织3 6.1 内部组织3 6.2 移动设备和远程工作57 人力资源安全7 7.1 任用前7
3、7.2 任用中8 7.3 任用的终止和变更1 08 资产管理1 0 8.1 有关资产的责任1 0 8.2 信息分级1 1 8.3 介质处理1 39 访问控制1 4 9.1 访问控制的业务要求1 4 9.2 用户访问管理1 5 9.3 用户责任1 8 9.4 系统和应用访问控制1 91 0 密码2 1 1 0.1 密码控制2 11 1 物理和环境安全2 3G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3 1 1.1 安全区域2 3 1 1.2 设备2 51 2 运行安全2 8 1 2.1 运行规程和责任2 8 1 2.2 恶意软件防范3 0 1
4、 2.3 备份3 1 1 2.4 日志和监视3 2 1 2.5 运行软件控制3 4 1 2.6 技术方面的脆弱性管理3 4 1 2.7 信息系统审计的考虑3 61 3 通信安全3 6 1 3.1 网络安全管理3 6 1 3.2 信息传输3 81 4 系统获取、开发和维护4 0 1 4.1 信息系统的安全要求4 0 1 4.2 开发和支持过程中的安全4 2 1 4.3 测试数据4 51 5 供应商关系4 6 1 5.1 供应商关系中的信息安全4 6 1 5.2 供应商服务交付管理4 81 6 信息安全事件管理4 9 1 6.1 信息安全事件的管理和改进4 91 7 业务连续性管理的信息安全方面5
5、 2 1 7.1 信息安全的连续性5 2 1 7.2 冗余5 41 8 符合性5 4 1 8.1 符合法律和合同要求5 4 1 8.2 信息安全评审5 6附录NA(资料性附录)G B/T2 2 0 8 12 0 1 6与G B/T2 2 0 8 12 0 0 8对比5 8附录N B(资料性附录)G B/T2 2 0 8 12 0 1 6与G B/T2 2 0 8 12 0 0 8主要关键词变化6 4参考文献6 5G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T
6、2 2 0 8 12 0 0 8 信息技术 安全技术 信息安全管理实用规则。本标准与G B/T2 2 0 8 12 0 0 8相比,主要技术变化如下:结构变化见附录NA;术语变化见附录N B。本标准使用翻译法等同采用I S O/I E C2 7 0 0 2:2 0 1 3 信息技术 安全技术 信息安全控制实践指南 及其相应的技术勘误(I S O/I E C2 7 0 0 2:2 0 1 3/C O R1:2 0 1 4)。与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:G B/T2 9 2 4 62 0 1 2 信息技术 安全技术 信息安全管理体系 概述和词汇(I S O/I E
7、 C2 7 0 0 0:2 0 0 9,I D T)。本标准做了下列编辑性修改:增加了资料性附录NA;增加了资料性附录N B。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零卫士信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信息产品监督检验院、浙江远望电子有限公司、杭州在信
8、科技有限公司。本标准主要起草人:许玉娜、上官晓丽、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直、于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳。本标准所代替标准的历次版本发布情况为:G B/T2 2 0 8 12 0 0 8。G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3引 言0.1 背景和环境本标准可作为组织基于G B/T2 2 0 8 01 0实现信息安全管理体系(I S M S)过程中选择控制时的参考,或作为组织在实现通用信息安全控制时的指南。在考虑具体信息安全风险环境后,本标准
9、也可用于制定特定行业和特定组织的信息安全管理指南。所有类型和规模的组织(包括公共和私营部门、商业组织、非盈利性组织)都会收集、处理、存储和传输包括电子、物理和语音(如会谈和演讲)等多种形式的信息。信息的价值超越文字、数字和图像的本身,例如:知识、概念、观点和品牌都是无形信息。在互联世界中对于组织业务而言,信息和相关过程、系统、网络及其操作、处理与保护活动中所涉及的人员都是资产,与其他重要的业务资产一样,对组织的业务至关重要,因此值得或需要保护以防范各种危害。资产易遭受故意和意外的威胁;且相关的过程、系统、网络和人员均有其固有脆弱性。业务过程和系统的变更或其他外部变更(如新的法律法规)可能产生新
10、的信息安全风险。因此,考虑到威胁利用脆弱性损害组织的途径多种多样,信息安全风险始终存在。有效的信息安全通过防范威胁和脆弱性使组织得到保护来减少风险,从而降低对其资产的影响。信息安全可通过实现一组合适的控制来达到,包括策略、过程、规程、组织结构和软硬件功能。必要时,需要建立、实现、监视、评审和改进这些控制,以确保其满足组织特定的安全和业务目标。G B/T2 2 0 8 01 0规定的I S M S采用整体的、协调的观点看待组织的信息安全风险,以便在一致的管理体系总体框架下实现一套全面的信息安全控制。从G B/T2 2 0 8 01 0和本标准来看,许多信息系统的设计未达到是安全的。通过技术手段可
11、获得的安全是有限的,宜通过适当的管理和规程给予支持。确定哪些控制应该存在,这需要仔细规划并注意细节。一个成功的信息安全管理体系需要得到组织内的所有员工的支持,股东、供应商或其他外部各方的参与,也需要外部各方的专家建议。在更一般的意义上,有效的信息安全也向管理者及其他相关方保证组织资产处于合理的安全,并受到保护不被损害,因此其角色等同于业务推动者。0.2 信息安全要求组织识别其安全要求是必要的。安全要求的3个主要来源是:a)考虑组织的整体业务战略与目标,对组织风险的评估。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;b)组织及其贸易伙伴、合同方和服
12、务提供商必须满足的法律、法规、规章制度和合同要求,以及他们的社会文化环境;c)组织为支持其运行,针对信息的操作、处理、存储、通信和归档而建立的原则、目标和业务要求。实现控制所使用的资源,必须权衡缺少这些控制而导致的安全问题以及可能导致的业务危害。风险评估的结果将有助于指导和确定合适的管理措施、信息安全风险管理的优先级以及为防范这些风险所选择控制实现的优先级。I S O/I E C2 7 0 0 51 1提供了信息安全风险管理指南,包括风险评估、风险处置、风险接受、风险沟通、风险监视和风险评审各方面的建议。G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2
13、0 1 30.3 控制的选择控制可以选自本标准或其他控制集,或适当时针对特定的需求设计新的控制。控制的选择取决于组织决策,该决策基于风险接受准则、风险处置选项、组织采用的通用风险管理方法;控制的选择也必须遵守所有相关的国家法律法规。同时控制的选择也取决于控制交互方式以提供纵深防御。本标准中的某些控制可被当作信息安全管理的指导原则,并且可用于大多数组织。在每个控制之下,详细地给出了其实现指南。有关选择控制的更详细信息以及其他的风险的处置选项,可参见I S O/I E C2 7 0 0 51 1。0.4 编制组织自己的指南本标准可作为组织制定其特定指南的起点。对一个组织来说,本标准中的控制和指南并
14、非全部适用。另外,可能还需要增加一些不包含在本标准中的控制和指南。当制定包含一些增加的控制和指南的组织文件时,给出一些对本标准可用条款的交叉应用,这可能是有用的,以支持审核员和和业务伙伴的符合性检查。0.5 生命周期的考虑信息有其固有的生命周期,即从其创建和产生,经过存储、处理、使用和传输到其最终销毁或消失。在其生命周期中,信息资产的价值和所面临的风险可能会变化(如在公司账目正式公布后,对它的窃取和未授权泄露所产生的危害将极大的降低),但在所有阶段,信息安全仍存在一定程度的重要性。信息系统的生命周期包括构思、规约、设计、开发、测试、实现、使用、维护,并最终退役和销毁。在每一阶段均应考虑到信息安
15、全。在每一阶段上均应考虑信息安全。开发新的系统或对现有系统的改变,为组织升级和改进安全控制提供了机会,同时应考虑实际的安全事件以及当前和预测的信息安全风险。0.6 相关标准本标准就一个广泛的、可通用于不同组织的信息安全控制集,提供了相应的指南;而信息安全管理体系标准族中的其他标准就信息安全管理全过程的其他方面提供了补充建议或要求。信息安全管理体系标准的总体介绍参见I S O/I E C2 7 0 0 0。I S O/I E C2 7 0 0 0中提供的词汇表确定了信息安全管理体系标准中使用的绝大部分术语,并描述了每个标准的范围和目标。G B/T2 2 0 8 12 0 1 6/I S O/I
16、E C2 7 0 0 2:2 0 1 3信息技术 安全技术信息安全控制实践指南1 范围本标准为组织的信息安全标准和信息安全管理实践提供了指南,包括考虑了组织信息安全风险环境的控制的选择、实现和管理。本标准被设计用于组织:a)选择控制,即基于G B/T2 2 0 8 01 0,在实现一个信息安全管理体系的过程中选择控制;b)实现通用的、可接受的信息安全控制;c)制定组织自己的信息安全管理指南。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。I S O/I E C2 7 0
17、 0 0 信息技术 安全技术 信息安全管理体系 概述和词汇(I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sI n f o r m a t i o ns e c u r i t ym a n a g e m e n t s y s t e m sO v e r v i e wa n dv o c a b u l a r y)。3 术语和定义I S O/I E C2 7 0 0 0界定的术语和定义适用于本文件。4 标准结构本标准包括1 4个安全控制的章节,共含有3 5个主要安全类别以及1 1 4
18、项控制。4.1 章节定义安全控制的每个章节,包含一个或多个主要安全类别。本标准中各章节的顺序不表示其重要性。根据不同的环境,任何或所有章节中的安全控制都可能是重要的,因此应用本标准的每一个组织,宜识别可应用的控制,这些控制多么重要,以及它们如何应用到各个业务过程。另外,本标准的列表没有优先顺序。4.2 控制类别每一个主要安全控制类别包括:a)一个控制目标,声明要实现什么;b)一个或多个控制,可被用于实现该控制目标。控制的描述结构如下:控制为满足控制目标,给出定义特定控制的陈述。1G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3实现指南为支持该
19、控制的实现并满足控制目标,提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用,也可能不能满足组织的特定控制要求。其他信息提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的参考。如无其他信息,本项将不给出。5 信息安全策略5.1 信息安全管理指导目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持。5.1.1 信息安全策略控制信息安全策略集宜被定义,由管理者批准,并发布、传达给所有员工和外部相关方。实现指南在最高层上,组织宜定义一个“信息安全方针”,该方针宜获得管理层批准,并建立组织管理其信息安全目标的方法。信息安全方针宜关注下列方面产生的要求:a)业务战略;b
20、)法律、法规和合同;c)当前和预期的信息安全威胁环境。该信息安全方针宜包括涉及以下内容的陈述:a)信息安全、目标和原则的定义,以指导所有信息安全有关的活动;b)把信息安全管理方面的一般和特定责任的分配给已定义的角色;c)处理偏差和意外的过程。在较低层面,该信息安全策略宜由特定主题的策略予以支持,这些策略进一步强制性地规定了信息安全控制的实现,并通常是结构化的,以强调组织内某些目标群体需求或涵盖某些主题。例如,这样的策略主题包括:a)访问控制(见第9章);b)信息分级(和处理)(见8.2);c)物理和环境安全(见第1 1章);d)面向终端用户的策略,如:1)资产的可接受使用(见8.1.3);2)
21、桌面和屏幕的清理(见1 1.2.9);3)信息传输(见1 3.2.1);4)移动设备和远程工作(见6.2);5)软件安装及其使用限制(见1 2.6.2);e)备份(见1 2.3);f)信息传输(见1 3.2);g)恶意软件防范(见1 2.2);h)技术脆弱性管理(见1 2.6.1);2G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3i)密码控制(见第1 0章);j)通信安全(见第1 3章);k)隐私及其个人可识别信息的保护(见1 8.1.4);l)供应商关系(见第1 5章)。这些策略宜采用预期读者适合的、可访问和可理解的形式传达给员工和外部相
22、关方,例如,在“信息安全意识、教育和培训”(见7.2.2)环境下。其他信息内部信息安全策略的需求因组织而异。内部策略对于大型和复杂的组织而言尤其有用,当这些组织中确定和批准控制预期水平的人员与实现控制的人员是分离的,或者当内部策略应用在组织不同的人员或职能时,也是非常有用的。信息安全策略可以以单一“信息安全策略”文件的形式发布,或作为各不相同但相互关联的一套文件的形式发布。如果信息安全策略在组织外进行分发,宜注意不要泄露保密信息。一些组织使用其他术语用于这些策略文件,例如“标准”“导则”或“规则”。5.1.2 信息安全策略的评审控制宜按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确
23、保其持续的适宜性、充分性和有效性。实现指南每个策略宜有专人负责,他对策略的制定、评审和评价具有被批准的管理责任。评审宜包括评估组织策略和信息安全管理方法的改进机会,以适应组织环境、业务状况、法律法规或技术环境发生的变化。信息安全策略评审宜考虑管理评审的结果。宜获得管理层对修订的策略的批准。6 信息安全组织6.1 内部组织目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。6.1.1 信息安全的角色和责任控制所有的信息安全责任宜予以定义和分配。实现指南信息安全责任的分配宜与信息安全策略(见5.1.1)相一致。各个资产的保护责任和执行特定安全过程的责任宜被清晰地标识。宜定义信息安全风险
24、管理活动的责任,特别是接受残余风险的责任。必要时,宜针对特定的地点和信息处理设施的责任补充更详细的指南。宜定义本地资产保护和执行特定安全过程的责任。被分配了信息安全责任的个体可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并且他们宜确定任何被委托的任务是否已被正确地执行。宜指明个体负责的领域。特别是,宜进行下列工作:a)识别和定义资产和信息安全过程;b)指定每一资产或安全过程的责任实体,并且该责任的细节要形成文件(见8.1.2);3G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3c)定义授权级别并形成文件;d)被任命的个体宜具备信息
25、安全领域的能力且被给予机会以跟进相关发展,使其能够履行信息安全领域责任;e)宜对供应商关系中信息安全方面的监督和协调予以识别,并形成文件。其他信息在许多组织中,将任命一名信息安全管理人员全面负责安全的开发实现,并支持控制的识别。然而,提供控制资源并实现这些控制的责任通常归于各个管理人员。一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。6.1.2 职责分离控制宜分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。实现指南宜注意,任何人都不能在非授权或不被监视的情况下访问、修改和使用资产。宜把一活动的启动与其授权相分离。在设计该控制时,宜考虑勾结的可能
26、性。小型组织可能感到难以实现这种职责分离,但只要具有可能性和可行性,宜尽量应用该原则。如果难以分离,宜考虑其他控制,例如对活动的监视、审核踪迹和管理监督等。其他信息职责分离是一种降低意外或蓄意滥用组织资产的风险的方法。6.1.3 与职能机构的联系控制宜维护与相关职能机构的适当联系。实现指南组织宜有规程指明什么时候与哪个职能机构(例如,执法部门、法规部门、监管部门)进行联系,以及如何及时报告已识别的信息安全事件(例如,已识别的信息安全事件可能很触犯了法律)。其他信息受到来自互联网的攻击组织可能需要职能机构对攻击源采取行动。维护这样的联系,可能是支持信息安全事件管理(第1 6章)或业务连续和应急计
27、划过程(第1 7章)的要求。与法规部门的联系还有助于预先知道组织必须实现的法律法规方面预期的变化,并进行预先准备。与其他部门的联系包括公共事业、紧急服务、电力供应、健康和安全部门,例如消防局(关系到业务连续性)、电信提供商(关系到路由和可用性)、供水部门(关系到设备的冷却设施)。6.1.4 与特定相关方的联系控制宜维护与特定相关方、其他专业安全论坛和专业协会的适当联系。实现指南宜考虑把特定的相关方或论坛中的成员关系作为一种手段,来:a)增进最佳实践的知识,掌握最新相关安全信息;b)确保了解的信息安全环境是最新的和全面的;c)获取以前的有关攻击和脆弱性的预警、公告和补丁;d)获得信息安全专家的建
28、议;e)共享和交换关于新的技术、产品、威胁或脆弱性的信息;4G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3f)当处置信息安全事件时,提供适当的联络点(第1 6章)。其他信息可建立信息共享协议来改进安全问题的协作和协调。这种协议宜识别出有关保护保密信息的要求。6.1.5 项目管理中的信息安全控制宜关注项目管理中的信息安全问题,无论何种类型的项目。实现指南宜把信息安全整合到组织的项目管理方法中,作为项目的一部份,以确保识别并强调了信息安全风险。这通常可应用于所有项目,无论其特征是什么,例如核心业务过程、I T、设施管理和其他支持过程等方面的项目
29、。使用的项目管理方法宜要求:a)信息安全目标被纳入项目目标;b)为识别必要的控制,在项目的早期阶段宜进行信息安全风险评估;c)信息安全作为所采用的项目管理方法各个阶段的一部分。在所有项目中宜解决和定期评审信息安全问题。宜定义信息安全责任,并分配给在项目管理方法中定义的特定角色。6.2 移动设备和远程工作目标:确保移动设备远程工作及其使用的安全。6.2.1 移动设备策略控制宜采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。实现指南当使用移动设备时,宜特别注意确保业务信息不被损害。移动设备策略宜考虑在不受保护的环境下使用移动设备工作的风险。移动设备策略宜考虑:a)移动设备的注
30、册;b)物理保护的要求;c)软件安装的限制;d)移动设备软件版本和应用补丁的要求;e)连接到信息服务的限制;f)访问控制;g)密码技术;h)恶意软件防范;i)远程禁用、删除或锁定;j)备份;k)W e b服务和W e b应用程序的使用。当在公共场所、会议室和其他不受保护的区域使用移动计算设备时,宜加以小心。为避免未授权访问或泄露这些设备所存储和处理的信息,宜有适当的保护,例如使用密码技术(见第1 0章)和强制使用秘密鉴别信息(见9.2.4)。还宜对移动设备进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的运输工具上、旅5G B/T2 2 0 8 12 0 1 6/I S O/I E
31、C2 7 0 0 2:2 0 1 3馆房间、会议中心和会议室。宜为移动设备的被窃或丢失等情况建立一个符合法律、保险和组织的其他安全要求的特定规程。携带重要、敏感或关键业务信息的设备不宜无人值守,若有可能,宜以物理的方式锁起来,或使用专用锁来保护设备。宜安排使用移动设备的人员进行培训,以提高他们对这种工作方式导致的附加风险和所实现的控制的了解。当移动设备策略允许使用私人移动设备时,策略和相关的安全措施宜考虑:a)分离设备的私人和业务使用,包括使用软件来支持这种分离并保护在私人设备上的业务数据;b)仅在以下情况提供对业务信息的访问:用户签订最终用户协议知晓其职责(物理保护、软件升级等);放弃业务数
32、据的所有权;允许组织远程擦除数据在设备被盗或丢失时、或不再授权使用该服务时。本策略需要考虑隐私方面的法律法规。其他信息移动设备无线连接类似于其他类型的网络连接,但在确定控制时,宜考虑两者的重要区别。典型的区别有:a)一些无线安全协议是不成熟的,并有已知的弱点;b)因为受限的网络带宽或因为移动设备在规定的备份时间未能连接网络,在移动设备上存储的信息可能不能备份。移动设备通常与固定使用设备享用相同的功能,如联网、互联网接入、电子邮件和文件处理。移动设备上的信息安全控制通常包含固定使用设备上采用的措施和为解决在组织场地之外使用带来的威胁而采用的措施。6.2.2 远程工作控制宜实现相应的策略及其支持性
33、的安全措施,以保护在远程工作地点上所访问的、处理的或存储的信息。实现指南允许远程工作活动的组织宜发布策略,以定义使用远程工作的条件和限制。当认为适用且法律允许时,宜考虑下列事项:a)远程工作场地的现有物理安全,要考虑到建筑物和本地环境的物理安全;b)推荐的物理的远程工作环境;c)通信安全要求,要考虑远程访问组织内部系统的需要、被访问的并在通信链路上传递的信息的敏感性以及内部系统的敏感性;d)提供虚拟桌面访问以防止在私人设备上处理和存储信息;e)住处的其他人员(例如,家人和朋友)未授权访问信息或资源的威胁;f)家庭网络的使用和无线网络服务配置的要求或限制;g)针对私有设备开发的预防知识产权争论的
34、策略和规程;h)对私人设备的访问(以验证机器安全或开展调查)可能是被法律禁止的;i)使组织对员工或外部相关方人员等私人拥有的工作站上的客户端软件负有责任的软件许可协议;j)恶意软件防范和防火墙要求。考虑的指南和安排宜包括:a)当不允许使用不在组织控制下的私人设备时,对远程工作活动提供合适的设备和存储设施;b)确定允许的工作、工作小时数、可以保持的信息分级和授权远程工作者访问的内部系统和服务;6G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3c)提供适合的通信设备,包括使远程访问安全的方法;d)物理安全;e)有关家人和来宾访问设备和信息的规则和
35、指南;f)提供硬件和软件支持和维护;g)提供保险;h)用于备份和业务连续性的规程;i)审核和安全监视;j)当远程工作活动终止时,撤销授权和访问权,并返回设备。其他信息远程工作指的是办公室以外的所有形式的工作,包括非传统工作环境比如那些被称为“远程办公”“弹性工作场所”“远地工作”和“虚拟工作”环境。7 人力资源安全7.1 任用前目标:确保员工和合同方理解其责任,并适合其角色。7.1.1 审查控制宜按照相关法律法规和道德规范,对所有任用候选者的背景进行验证核查,并与业务要求、访问信息的等级和察觉的风险相适宜。实现指南验证宜考虑所有相关的隐私、个人身份信息的保护以及与任用相关的法律,且允许时,宜包
36、括以下内容:a)有效的可接受的推荐材料(例如,企业出具和个人出具的文字材料);b)申请人履历的验证(针对该履历的完备性和准确性);c)声称的学历、专业资质的证实;d)独立的个人身份验证(护照或类似文件);e)更多细节的验证,例如信用核查或犯罪记录核查。当组织聘用人员担任一个特定的信息安全角色时,组织宜确认该候选人,是否:a)具有执行该安全角色所必须的能力;b)可被信任担任该角色,特别是当该角色对组织是十分重要的。当为一项工作所初始任命的或晋升的人员有权访问信息处理设施,特别是如果该设施正在处理保密信息,例如,财务信息或高度保密的信息,该组织也宜考虑进一步的、更详细的验证。宜有规程确定验证评审的
37、准则和限制,例如谁有资格审查人员,以及如何、何时、为什么执行验证评审。宜确保对合同方人员审查的过程。在这种情况下,组织和合同方的协议宜规定执行审查的责任,以及当审查未完成或审查结果引起怀疑或关注时,需遵守的通告规程。被考虑在组织内录用的所有候选者的信息宜按照相关管辖范围内存在的合适的法律来收集和处理。依据适用的法律,宜将审查活动提前通知候选者。7.1.2 任用条款及条件控制宜在员工和合同方的合同协议中声明他们和组织对信息安全的责任。7G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3实现指南员工或合同方的合同义务宜反映组织的信息安全策略,并澄清
38、和声明:a)所有访问保密信息的员工和合同方人员宜在给予访问信息处理设施权限之前签署保密或不泄露协议(见1 3.2.4);b)员工、合同方的法律责任和权利,例如关于版权法、数据保护法(见1 8.1.2和1 8.1.4);c)信息分级的责任,以及对与由员工或合同方处理的信息、信息处理设施和信息服务有关的其他资产进行管理的责任(见第8章);d)雇员或合同方处理来自其他公司或外部方的信息的责任;e)雇员或合同方漠视组织的安全要求所要采取的措施(见7.2.3)。在任用之前,宜和候选人交流信息安全角色和责任相关信息。组织宜确保员工和合同方同意与信息安全相关的条款和条件,这些条款和条件与他们对信息系统和服务
39、相关组织资产进行访问的类型和范围相适宜。若适用,包含于任用条款和条件中的责任宜在任用结束后延续一段规定的时间(见7.3)。其他信息一个行为准则可用来陈述员工或合同方有关保密性、数据保护、道德规范、组织设备和设施的适当使用等方面的责任,以及组织所期望的良好实践。在合同协议中,与合同方有关的外部方能被要求作为合同方的代表。7.2 任用中目标:确保员工和合同方意识到并履行其信息安全责任。7.2.1 管理责任控制管理层宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全。实现指南管理责任宜包括确保员工和合同方:a)在被允许访问保密信息或信息系统前了解其信息安全角色和责任;b)获取了声明其组织角
40、色的信息安全期望的指南;c)受到激励以实现组织的信息安全策略;d)对于他们在组织内的角色和责任相关的信息安全意识达到一定程度(见7.2.2);e)遵守任用的条款和条件,包括组织的信息安全策略和适当的工作方法;f)保持适当的技能和资质,并定期接受教育;g)提供违反信息安全策略或规程的匿名报告通道(“举报”)。管理层宜展示出对信息安全策略、规程和控制的支持,并以身作则。其他信息如果不使员工和合同方了解他们的信息安全责任,他们就可能组织造成相当大的破坏。得到激励的人员可能是更可靠的并能减少信息安全事件的发生。缺乏有效的管理会使员工感觉被低估,并由此导致对组织的负面信息安全影响。例如,缺乏有效的管理可
41、能导致信息安全被忽视或组织资产的潜在误用。7.2.2 信息安全意识、教育和培训控制组织所有员工和相关的合同方,宜按其工作职能,接受适当的意识教育和培训,及组织策略及规程8G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3的定期更新的信息。实现指南信息安全意识培训方案旨在使员工,适当时,包括合同方,了解他们的信息安全责任以及免责的方法。信息安全意识方案宜按照组织的信息安全策略和相关规程建立,考虑组织要保护的信息以及为保护这些信息所实现的控制。意识方案宜包括一些意识提升活动,像组织宣传活动(例如“信息安全日”)、发行宣传册或制作简报等。宜考虑组织中
42、的员工角色,相关时还需考虑组织对合同方意识的期望来规划意识方案。宜随时间安排,最好定期安排意识方案中的活动,以便活动可以重复并覆盖新的员工和合同方。意识方案宜根据组织的策略和规程定期更新,并宜汲取信息安全事件的经验教训。意识培训宜按照组织的信息安全意识培训方案的要求执行。意识培训可使用不同的交付媒介,包括课堂教学、远程学习、网络教学、自学及其他。信息安全教育和培训宜覆盖一般方面,例如:a)在整个组织范围内说明管理层对信息安全的承诺;b)熟悉并遵从适用的信息安全规则和义务的要求,正如策略、标准、法律、法规、合同和协议中所定义的;c)对个人作为和不作为的问责制度,以及确保或保护组织和外部方的信息的
43、安全的一般责任;d)基本的信息安全规程(例如信息安全事件报告)和基线控制(例如口令安全、恶意软件控制和清空桌面);e)可得到关于信息安全问题的更多信息和建议的联络点和资源,包括进一步的信息安全教育和培训材料。信息安全教育和培训宜定期进行。初始的教育和培训不仅适用于新员工,也适用于那些调配到对信息安全要求完全不同的新岗位或角色的员工,且宜在其开展工作前进行培训。为有效进行教育和培训,组织宜制定信息安全意识培训方案。该方案宜与组织的信息安全策略和相关规程保持一致,并考虑组织要予保护的信息以及为保护这些信息已实现的控制。该方案宜考虑教育和培训的不同形式,例如讲座或自学。其他信息当编制意识方案时,重要
44、的是,不仅要关注“做什么”和“怎么做”,还要关注“为什么”。员工要理解信息安全的目标以及他们自己行为对组织的潜在影响,包括正面的和负面的,也很重要。意识、教育和培训可以是其他培训活动的一部分,或与之协同开展,例如通用信息技术或通用安全培训。意识、教育和培训活动宜适于并与个人的角色、责任和技能相关。在意识、教育和培训课程结束时,可评估员工的理解情况,以测试知识传递效果。7.2.3 违规处理过程控制宜有正式的、且已被传达的违规处理过程以对信息安全违规的员工采取措施。实现指南在没有验证信息安全违规已经发生之前(见1 6.1.7),不能开始该违规处理过程。正式的违规处理过程宜确保对被怀疑信息安全违规的
45、员工,给予了正确和公平的对待。无论违规是第一次或是已发生过,无论违规者是否经过适当地培训,正式的违规处理过程宜规定一个处理程度的响应,要考虑例如违规的性质、重要性及对于业务的影响等因素,相关法律、业务合同和其他因素等。违规处理过程也可用于对员工的一种威慑,防止他们违反组织的信息安全策略和规程及其他信息安全违规。故意的违规可能需要立刻采取相应的措施。9G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3其他信息如果对值得注意的信息安全行为定义了一些主动地惩罚,那么违规处理过程还可能成为一种动力或激励。7.3 任用的终止和变更目标:在任用变更或终止过
46、程中保护组织的利益。7.3.1 任用终止或变更的责任控制宜确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行。实现指南责任终止的传达宜包括正在进行的信息安全要求和法律责任,适当时,还包括任何保密协议规定的责任(见1 3.2.4),并且在员工、合同方雇佣结束后持续一段时间仍然有效的任用条款和条件(见7.1.2)。责任及其职责在任用终止后仍然有效的内容宜包含在员工、合同方的合同条款及条件中(见7.1.2)。当终止当前责任或任用并开始新的责任或任用时,宜管理对责任或任用的变更。其他信息人力资源的职能通常是与管理相关规程的安全方面的监督管理员一起负责总体的任用终止处理。在外部方
47、提供合同方的情况下,责任终止的处理可能由该外部方根据组织与外部方的协议处理。有必要通知员工、顾客、合同方关于组织人员的变更和运营上的安排。8 资产管理8.1 有关资产的责任目标:识别组织资产并定义适当的保护责任。8.1.1 资产清单控制宜识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单。实现指南组织宜识别与信息生命周期相关的资产并将资产的重要性形成文件。信息生命周期宜包括创建、处理、存储、传输、删除和销毁。适当时,宜将专有的或现有的资产清单形成文件并维护。资产清单宜准确,实时更新并与其他清单一致。宜为每项已识别的资产指定所属关系(见8.1.2)并分级(见8.2)。其
48、他信息资产清单有助于确保形成有效的资产保护,还可以基于诸如健康与安全、保险或财务(资产管理)等原因,要求该清单具有其他意图。I S O/I E C2 7 0 0 51 1提供了识别资产时组织可能需要考虑的资产示例。编制资产清单的过程是风险管理的重要前提条件(见I S O/I E C2 7 0 0 0,I S O/I E C2 7 0 0 51 1)。8.1.2 资产的所属关系控制宜维护资产清单中资产的所属关系。01G B/T2 2 0 8 12 0 1 6/I S O/I E C2 7 0 0 2:2 0 1 3实现指南对资产生命周期具有被认可的管理责任的个人和其他实体有资格被指定为资产拥有者
49、。确保及时分配资产所属关系的过程要经常被实现。资产在创立或转移到组织时宜分配其所有权。资产被创建或转移到组织时,宜指定拥有者。资产拥有者宜对资产的整个生命周期负有适当的管理责任。资产拥有者宜:a)确保资产登记造册;b)确保对资产进行了适当的分级和保护;c)考虑适用的可用的访问控制策略,定义并定期评审对重要资产的访问限制和分级;d)确保资产在删除或销毁时进行了合适的处置。其他信息已识别的拥有者可以是一个人或一个实体,其对控制资产的整个生命周期负有管理责任。已识别的拥有者没有必要拥有资产产权。例行任务可以被委派,例如委派给一个管理员日常看管资产,但该拥有者仍然要承担责任。在复杂的信息系统中,可以用
50、资产分组来协同工作以提供特定服务。在此情况下,服务拥有者要为服务交付负责,包括其资产的运行。8.1.3 资产的可接受使用控制宜识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现。实现指南使用或拥有组织资产访问权的员工和外部方用户,宜知晓组织信息的信息安全要求,以及组织与信息、信息处理和资源相关的其他资产的信息安全要求。他们宜对其使用任何信息处理资源以及在其责任下进行的任何使用负责。8.1.4 资产归还控制所有员工和外部用户在任用、合同或协议终止时,宜归还其占用的所有组织资产。实现指南终止过程宜被正式化,包括归还所有先前发出的组织拥有的或被委托的物