信息安全管理體系規(guī)范與使用指引33

1、信息安全管理體系規(guī)范與使用指南目錄前言0 介紹0.1 總則0.2 過程方法0.3 與其他管理體系的兼容性1 范圍1.1 概要1.2 應(yīng)用2 標(biāo)準(zhǔn)參考3 名詞與定義4 信息安全管理體系要求4.1 總則4.2 建立和管理信息安全管理體系4.2.1 建立信息安全管理體系4.2.2 實施和運作信息安全管理體系4.2.3 監(jiān)控和評審信息安全管理體系4.2.4 維護和改進(jìn)信息安全管理體系4.3 文件化要求4.3.1 總則4.3.2 文件控制4.3.3 記錄控制5 管理職責(zé)5.1 管理承諾5.2 資源管理5.2.1 資源提供5.2.2 培訓(xùn)、意識和能力6 信息安全管理體系管理評審6.1 總則6.2 評審輸入

2、6.3 評審輸出6.4 內(nèi)部信息安全管理體系審核7 信息安全管理體系改進(jìn)7.1 持續(xù)改進(jìn)7.2 糾正措施7.3 預(yù)防措施附件 A （有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施A1 介紹A2 最佳實踐指南A3 安全方針A4 組織安全A5 資產(chǎn)分級和控制A6 人事安全A7 實體和環(huán)境安全A8 通信與運營安全A9 訪問控制A 10 系統(tǒng)開發(fā)和維護A 11 業(yè)務(wù)連續(xù)性管理A 12 符合附件B （情報性的）本標(biāo)準(zhǔn)使用指南B1 概況B.1.1PDCA 模型B.1.2 計劃與實施B.1.3 檢查與改進(jìn)B.1.4 控制措施小結(jié)B2 計劃階段B.2.1 介紹B.2.2 信息安全方針B.2.3 信息安全管理體系范圍B.2.4

3、 風(fēng)險識別與評估B.2.5 風(fēng)險處理計劃B3 實施階段B.3.1 介紹B.3.2 資源、培訓(xùn)和意識B.3.3 風(fēng)險處理B4 檢查階段B.4.1 介紹B.4.2 常規(guī)檢查B.4.3 自我方針程序B.4.4 從其他處學(xué)習(xí)B.4.5 審核B.4.6 管理評審B.4.7 虛實分析B5 改進(jìn)階段B.5.1 介紹B.1.2 不符合項B.5.3 糾正和預(yù)防措施B.5.4OECD 原則和 BS 7799 2附件 C (情報)ISO 9001:2000、ISO14001 與 BS7799-2:2002 條款對照0 介紹0.1 總則 本標(biāo)準(zhǔn)的目的是為業(yè)務(wù)經(jīng)理和他們的員工提供建立和管理一個有效的信息安全管理體系(

4、ISMS )的模型。 采用 ISMS 應(yīng)是一個組織的戰(zhàn)略決定。 一個組織的 ISMS 的設(shè)計和實施受 業(yè)務(wù)需要和目標(biāo)、產(chǎn)生的安全需求、采用的過程及組織的大小、結(jié)構(gòu)的影響。上述因素和他 們的支持過程預(yù)計會隨事件而變化。希望簡單的情況是用簡單的ISMS 解決方案。本標(biāo)準(zhǔn)可以又內(nèi)部、 外部包括認(rèn)證組織使用審核一個組織符合其本身的需要及客戶和法律的 要求的能力。ISMS的有效性。0.2過程方法本標(biāo)準(zhǔn)推薦采用過程的方法開發(fā)、實施和改進(jìn)一個組織的一個組織必須識別和管理許多活動使其有效地運行。一個活動使用資源和在管理狀態(tài)下使其能夠把輸入轉(zhuǎn)換為輸出，這個過程可以被認(rèn)為是一個過程。經(jīng)常地，一個過程的輸出直接形成

5、了下一個過程的輸入。在一個組織用應(yīng)用一個過程的體系，并識別這些過程、 過程間的相互作用及過程的管理，可以叫做過程的方法。過程的方法鼓勵使用者強調(diào)一下重要性：a）理解業(yè)務(wù)信息安全需求和建立信息安全方針和目標(biāo)的需求；b）在全面管理組織業(yè)務(wù)風(fēng)險的環(huán)境下實施也運作控制措施；c）監(jiān)控和評審ISMS的有效性和績效；d）在客觀評價的基礎(chǔ)上持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用的，適用于 ISMS的模型，如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關(guān)方的細(xì)小安全需求和期望，通過必要的行動產(chǎn)生信息安全結(jié)果（即：管理的信息安全），此結(jié)果滿足這些需要和期望。一個需求的例子可能是信息安全事故不要對組織引起財務(wù)損失和/或引高層主管的尷

6、尬。一個期望的例子可能是如果嚴(yán)重的事故發(fā)生也許足智多謀餓電子商務(wù)網(wǎng)站被黑客入侵一將有被培訓(xùn)過的員工通過使用的程序減小其影響。這顯示了本標(biāo)準(zhǔn)在第四至第七部分的聯(lián)系。被模型就是眾所周知的“ Plan-Do-Check-Act ”（ PECA）模型，本模型 可以用于所有的過程。 PDCA模型可以簡單地描述如下圖：PDCA模型應(yīng)用與信息安全管理體系過程計戈U PLAN建立ISMS相關(guān)單位實施DO開發(fā)、維護實施和 運作ISMS和改進(jìn)循環(huán)維護和改進(jìn)ISMS改進(jìn)ACTION相關(guān)單位管理狀態(tài)下的信息信息 安全需求1范圍1.1概要本標(biāo)準(zhǔn)規(guī)范在組織整個業(yè)務(wù)風(fēng)險的環(huán)境下建立、實施、維護和改進(jìn)一個文件化的 ISMS模

7、型。它規(guī)定了對定制實施安全控制措施以適應(yīng)不同組織或相關(guān)方的需求。（見附件B,提供了使用該規(guī)范的指南）。ISMS保證足夠的和成比例和安全控制措施以充分保護信息資產(chǎn)名給與客戶和其他利益相關(guān) 方信心。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務(wù)形象。1.2應(yīng)用本標(biāo)準(zhǔn)提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務(wù)性質(zhì)。當(dāng)由于組織的性質(zhì)和業(yè)務(wù)本標(biāo)準(zhǔn)中的要求不能使用，要求可以考慮刪減。除非不能刪減不影響組織的能力，和/或責(zé)任提供符合由風(fēng)險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。任何能夠滿足風(fēng)險接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險被

8、負(fù)責(zé)人員正當(dāng)?shù)亟邮堋τ跅l款4,5,6和7的要求的刪減不能接受。2引用標(biāo)準(zhǔn)ISO 9001:2000質(zhì)量管理體系-要求ISO/IEC 17799:2000信息技術(shù)一信息安全管理實踐指南ISO指南73:2001風(fēng)險管理指南-名詞3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。3.1可用性保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)資產(chǎn)。BS ISO/IEC 17799:20003.2保密性 保證信息只被授權(quán)的訪問。BS ISO/IEC 17799:20003.3信息安全安全保護信息的保密性、完整性和可用性3.4信息安全管理體系（ISMS）是整個管理體系的一部分，建立在業(yè)務(wù)風(fēng)險的方法上，以開

9、發(fā)、實施完成、評審和維護信息安全。3.5 完整性 保護信息和處理過程的準(zhǔn)確和完整。 BS ISO/IEC 17799:20003.6 風(fēng)險接受 接受一個風(fēng)險的決定。 ISO Guide 733.7 風(fēng)險分析 系統(tǒng)化地使用信息識別來源和估計風(fēng)險。 ISO Guide 733.8 風(fēng)險評估 風(fēng)險分析和風(fēng)險評價的整個過程。 ISO Guide 733.9 風(fēng)險評價 比較估計風(fēng)險與給出的風(fēng)險標(biāo)準(zhǔn)，確定風(fēng)險嚴(yán)重性的過程。 ISO Guide 733.10 風(fēng)險管理 指導(dǎo)和控制組織風(fēng)險的聯(lián)合行動。3.11 風(fēng)險處理 選擇和實施措施以更改風(fēng)險處理過程。ISO Guide 733.12 適用性聲明 描述與使用

10、組織的 ISMS 范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是建立 在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。4 信息安全管理體系要求4.1 總要求 組織應(yīng)在組織整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下開發(fā)、實施、維護和持續(xù)改進(jìn)文件化的 ISMS 。 對于該標(biāo)準(zhǔn)的目的，使用的過程是建立在圖一說示的 PDCA 模型為基礎(chǔ)上。4.2 建立和管理 ISMS4.2.1 建立 ISMS組織應(yīng)：a）應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)定義SIMS的范圍。b）應(yīng)用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應(yīng)：1）包括為其目標(biāo)建立一個框架病危信息安全活動建立整日的方向和原則。2）考慮業(yè)務(wù)及法律或

11、法規(guī)的要求，及合同的安全義務(wù)。3）建立組織戰(zhàn)略和風(fēng)險的環(huán)境，在這種環(huán)境下， 建立和維護信息安全管理體系。4）建立風(fēng)險評價的標(biāo)準(zhǔn)和風(fēng)險評估定義的結(jié)構(gòu)。見 4.2.1c5）經(jīng)管理層批準(zhǔn)c）定義風(fēng)險評估的系統(tǒng)化的方法識別適用于 ISMS 及已識別的信息安全、 法律和法規(guī)的要求的風(fēng)險評估的方法為ISMS 建立方針和目標(biāo)以降低風(fēng)險至可接受的水平。 確定接受風(fēng)險的標(biāo)準(zhǔn)和識別 可接受分享的水平。 見 5.1fd）定義風(fēng)險1）在 ISMS 的范圍內(nèi)，識別資產(chǎn)及其責(zé)任人2）識別對這些資產(chǎn)的威脅3）識別可能被威脅利用的脆弱性4）識別資產(chǎn)失去保密性、完整性和可用性的影響e）評估風(fēng)險1）評估由于安全故障帶來的業(yè)務(wù)損害

12、， 要考慮資產(chǎn)失去保密性、 完整性和可用性 的潛在后果2）評估與這些資產(chǎn)相關(guān)的主要威脅、 脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可 能性和現(xiàn)存的控制措施3）估計風(fēng)險的等級4）確定介紹風(fēng)險或使用在 c 中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理f）識別和評價供處理風(fēng)險的可選措施1）應(yīng)用合適的控制措施2）知道并有目的的棘手風(fēng)險， 同時這些措施能清楚地滿足組織方針和接受風(fēng)險的 標(biāo)準(zhǔn)。 見 4.2.13）避免風(fēng)險4）轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面如：保險業(yè)、供應(yīng)商等。g）選擇控制目標(biāo)和控制措施處理風(fēng)險應(yīng)從本標(biāo)準(zhǔn)附件 A 中選擇合適的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險評估 和風(fēng)險處理過程的結(jié)果調(diào)整。注意：附件 A 中

13、列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所 有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h）準(zhǔn)備一份適用性聲明。從上面4.2.1（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A 中剪裁的控制措施也應(yīng)加以記錄i）提議的殘余風(fēng)險應(yīng)獲得管理層批準(zhǔn)并授權(quán)實施和運作ISMS。4.2.2 實施和運作 ISMS組織應(yīng)：a）識別合適的管理行動和確定管理信息安全風(fēng)險的優(yōu)先順序，（即：風(fēng)險處理計劃） - 見條款 5b）實施風(fēng)險處理計劃以達(dá)到識別的控制目標(biāo)，包括對資金的考慮和落實安全角色和責(zé)任c）實施在4.2.1（g）選擇的控制目標(biāo)和控制措施d）培訓(xùn)和意識見5.2.2e

14、）管理運作過程f）管理資源見5.2g）實施程序和其他有能力隨時探測和回應(yīng)安全事故。4.2.3 監(jiān)控和評審 ISMS組織應(yīng)：a）執(zhí)行監(jiān)控程序和其他控制措施，以：1）是探測處理結(jié)果中的錯誤2）及時識別失敗的和成功的安全破壞和事故3）能夠使管理層決定以分派給員工的或通過信息技術(shù)實施的安全活動 是否達(dá)到了預(yù)期的目標(biāo)4）確定解決安全破壞的行動是否反映了業(yè)務(wù)的優(yōu)先級b）進(jìn)行常規(guī)的ISMS有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措 施的評審） 考慮安全評審的結(jié)果、 事故、 來自所有利益相關(guān)方的建議和反饋c）評審殘余風(fēng)險和可接受風(fēng)險的水平，考慮一下變化1 ） 組織2）技術(shù)3 ） 業(yè)務(wù)目標(biāo)和過程4） 識

15、別威脅及5）外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化d）在計劃的時間段內(nèi)實施內(nèi)部ISMS審核e）經(jīng)常進(jìn)行ISMS管理評審（至少每年評審一個周期）以保證信息安全管理體 系的范圍仍然足夠，在 ISMS 過程中的改進(jìn)措施已被識別（見條款 6ISMS 的 管理評審）f）記錄所采取的行動和能夠影響ISMS的有效性或績效的事件見4344.2.4 維護和改進(jìn) ISMS 組織應(yīng)經(jīng)常：a）實施以識別的對于ISMS改進(jìn)措施。b）采取合適的糾正和預(yù)防行動 見7.2和7.3。應(yīng)用從其他組織的安全經(jīng)驗和組 織內(nèi)學(xué)到知識。c）溝通結(jié)果和行動并得到所有參與的相關(guān)訪的同意。d）確保改進(jìn)行動達(dá)到了預(yù)期的目標(biāo)4.

16、3 文件要求4.3.1 總則ISMS 文件應(yīng)包括：a）文件化的安全方針文件和控制目標(biāo)b）ISMS 范圍 見 4 . 2 .1和程序及支持 ISMS 的控制措施c）風(fēng)險評估報告見421d）風(fēng)險處理計劃見422e）組織需要的文件化的程序以確保有效計劃運營和對信息安全過程的控 制見 6.1f）本標(biāo)準(zhǔn)要求的記錄 見 4.3.4g）適用性聲明注 1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件的程序” ，這意味著建立、文件化、實施和維護該程序。注 2：See ISO 9001注 3：文件和記錄可以用多種形式和不同媒體。4.3.2 文件控制ISMS 要求的文件應(yīng)保護和控制。應(yīng)建立文件化的程序確定管理所需文件：a）文件發(fā)布得到批準(zhǔn)

17、，以確保文件的充分性b）必要時對文件進(jìn)行審批與更新，并再次批準(zhǔn)c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別d）確保在使用處可獲得適用文件的有關(guān)版本e）確保文件保持清晰、易于識別f）確保外來文件得到識別，并控制起分發(fā)g）確保文件的發(fā)放在控制狀態(tài)下h）防止作廢文件的非預(yù)期使用i）若因任何原因而保留作廢文件時，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識4.3.3 記錄控制應(yīng)建立并保持紀(jì)錄， 以提供符合要求和信息安全管理體系的有效運行的證據(jù)。記錄應(yīng)當(dāng)被控 制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識別和檢索。應(yīng) 編制形成文件的程序，以規(guī)定記錄的標(biāo)儲存、保護檢索、保存期限和處置所需的控制。一個 管理過

18、程將確定記錄的程度。應(yīng)保留 4.2 概要的過程績效記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5 管理職責(zé)5.1 管理承諾管理層應(yīng)提供其承諾建立、 實施、運行、監(jiān)控、 評審、維護和改進(jìn)信息安全管理體系的證據(jù)， 包括：a）建立信息安全方針：b）確保建立信息安全目標(biāo)和計劃：c）為信息安全確立角色和責(zé)任；d）向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e）提供足夠的資源以開發(fā)、 實施，運行和維護信息安全管理體系 見521f）確定可接受風(fēng)險的水平；g）進(jìn)行信息安全管理體系的評審見條款6

19、。5.2 資源管理5.2.1 提供資源組織將確定和提供所需的資源，以：a）建立、實施、運行和維護信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識別和強調(diào)法律和法規(guī)要求及合同安全的義務(wù)；d）正確地應(yīng)用所有實施的控制措施維護足夠的安全；e）必要時，進(jìn)行評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f）需要時，改進(jìn)信息安全管理體系的有效性。5.2.2 培訓(xùn)、意識和能力 組織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。組織應(yīng)：a）確定從事影響信息安全管理體系的人員所必要的能力；b）提供能力培訓(xùn)和，必要時，聘用有能力的人員滿足這些需求；c）評價提供的培訓(xùn)和所采取行動的有效性：d）保持

20、教育、培訓(xùn)、技能、經(jīng)驗和資格的紀(jì)錄見4. 3. 3組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣 達(dá)成信息安全管理目標(biāo)。6 信息安全管理體系的管理評審6 1 總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、 充分性和有效性。 評審應(yīng)包括評價信息安全管理體系改進(jìn)的機會和變更的需要，包括安全方針和安全目標(biāo)。評審的結(jié)果因清楚地文件化，應(yīng)保持管理評審的紀(jì)錄見433162 評審輸入 管理評審的輸入應(yīng)包括以下方面的信息：a）信息安全管理體系審核和評審的結(jié)果；b）相關(guān)方的反饋；c）可以用于組織改進(jìn)其信息安全管理體系業(yè)績和有效性的技術(shù)，產(chǎn)品或程序；

21、d）預(yù)防和糾正措施的狀況；e）以前風(fēng)險評估沒有足夠強調(diào)的脆弱性或威脅；f）以往管理評審的跟蹤措施：g）任何可能影響信息安全管理體系的變更；h）改進(jìn)的建議。63 評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a）信息安全管理體系有效性的改進(jìn)；b）修改影響信息安全的程序，必要時，以回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事 件，包括以下的變更：1）業(yè)務(wù)要求；2）安全要求；3）業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4）法規(guī)或法律環(huán)境；5）風(fēng)險的等級和或可接受風(fēng)險的水平；c）資源需求。64 內(nèi)部信息安全管理體系審核 組織應(yīng)按策化的時間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)

22、。控制措施、過程和程序是否：a）符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合識別的信息安全要求；c）被有效地實施和維護；d）達(dá)到預(yù)想的業(yè)績.任何審核活動應(yīng)策劃， 策劃應(yīng)考慮過程的狀況和重要性， 要審核的范圍以及前次審核的結(jié)果。 應(yīng)確定審核的標(biāo)準(zhǔn)， 范圍， 頻次和方法。 選擇審核員及進(jìn)行審核應(yīng)確保審核過程的客觀和公 正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個文件化的程序中確定策劃和實施審核，報告結(jié)果和維護及維護記錄見43的責(zé)任及要求。負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保采取沒有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。改進(jìn)應(yīng)包括驗證采取的措施和報告驗證的結(jié)果見條款7。7 ISMS 改進(jìn)71 持續(xù) 改進(jìn) 組織應(yīng)

23、通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防行動和管理i 審的信息持續(xù)改進(jìn) ISMS 的有效性。7. 2 糾正措施組織應(yīng)采取措施， 以消除不合格的與實施和運行信息安全管理體系有關(guān)的原因，防止不合格 的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a）識別實施和/或運行信息安全管理體系的不合格；b）確定不合和的原因：c）評價確保不合格不再發(fā)生的措施的需求；d）確定和實施所需的糾正措施：e）記錄所采取措施的結(jié)果見4. 3. 3;f）評審所采取的糾正措施。7. 3預(yù)防措施 組織應(yīng)針對未來的不合格確定措施以防上其發(fā)生。預(yù)防措施應(yīng)于潛在問題的影響程度相適 應(yīng)。應(yīng)為預(yù)防措施

24、編制形成文件的程序，以確定以下方面的要求：a）識別潛在的不合格及其原因；b）確定和實施所需的預(yù)防措施：C）記錄所采取措施的結(jié)果見4. 3. 3:d）評審所采取的預(yù)防措施；識別以便更得風(fēng)險和確保注意力關(guān)注在重大的以變更的風(fēng)險。 糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。附錄A （引用）控制目標(biāo)和控制措施A 1 介紹從 A 3 到 A 12 列出的控制目標(biāo)和控制措施是直接引用并與BS ISO/IEC 17799 ： 2000 條款 3 到 12 一致。在表中的清單并不徹底，一個組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措

25、施是條款4. 2*規(guī)定的信息安全管理體系過程的一部分。A 2實踐指南規(guī)范SS ISO/ IEC 17799 :2000條款3至12提供最佳實踐的實施建議和指南以支持A .3到A 12規(guī)范的控制措施。A .3安全方針BS ISO/IEO17799:2000編號A.3.1信息安全方針控制目標(biāo)：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應(yīng)提供一份方針文件，出版并溝 通，適當(dāng)時，給所有員工。3.1.1A.3.1.2評審和評價應(yīng)經(jīng)常評審方針文件，在發(fā)生決定性的 變化時，確保方針的適宜性3.1.2A. 4組織安全BS ISO/IEO17799:2000編號A.4.1信息安

26、全基礎(chǔ)設(shè)施控制目標(biāo)：在組織中管理信息安全4.1控制措施A.41.1管理信息安全委 員會信息安全管理委員會確保明確的目標(biāo) 和管理層對啟動安全管理可見的支持。 管理委員會應(yīng)通過適當(dāng)?shù)某兄Z和種族 的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作在大的組織中，應(yīng)使用一個由從各組織 相關(guān)單位的管理者代表組成的跨功能 的委員會，協(xié)作實施信息安全控制措施4.1.2A.4.1.3落實信息安全責(zé)任應(yīng)明確疋義保護每種資產(chǎn)和負(fù)責(zé)特疋 安全過程的責(zé)任A.4.1.3A.4.1.4對信息處理設(shè)施 的授權(quán)過程應(yīng)建立對于新的信息處理設(shè)施的管理 授權(quán)A.4.1.4A.4.1.5專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全

27、建議并在組織內(nèi)部實施協(xié)作A.4.1.5A.4.1.6組織間的合作與執(zhí)法機關(guān)、主管機關(guān)、信息服務(wù)提供者， 及通信業(yè)者應(yīng)維持適當(dāng)?shù)慕佑|A.4.1.6A.4.1.7獨立的信息安全審 查應(yīng)對信息安全方針的實施進(jìn)行獨立的審 查A.4.1.7A.4.2第三方訪問的安全控制目標(biāo)：維護組織的信息處理設(shè)施及細(xì)小資產(chǎn)被第三方訪問時的安全A.4.2控制措施A.4.2.1確認(rèn)第三方訪冋的風(fēng)險應(yīng)對第三訪問組織的信息處理設(shè)施所帶 來的風(fēng)險進(jìn)行評估， 并實施適當(dāng)?shù)陌踩?制A.4.2.1A.4.2.2與第三方的合約中 的安全要求涉及第三方訪問組織的信息設(shè)施的安排， 應(yīng)以包含必要的安全要求在內(nèi)的正式合 約為基礎(chǔ)A.4.2.2

28、A.4.3外包控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其它組織時，應(yīng)維護信息的安全A.4.3A.4.3.1夕卜包合約中的安全 要求當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)及/或桌上型計算機環(huán)境的管理及控制外包 時，在雙方同意的合約中應(yīng)載明安全的要 求A.4.3.1A. 5資產(chǎn)分類與控制BS ISO/IEO17799:2000編號A.5.資產(chǎn)的保管責(zé)任控制目標(biāo)：維持對于組織的資產(chǎn)的適切保護5.1控制措施A.5.1.1資產(chǎn)的清單應(yīng)列出并維持一份與每個信息系統(tǒng)有 關(guān)的所有重要的資產(chǎn)的清單A.5.2信息分類控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護5.2控制措施A.5.2.1分類原則信息的分類及相關(guān)的保護控制，應(yīng)適合

29、于企業(yè)營運對于信息分享或限制的需 要，以及這些需要對企業(yè)營運所帶來的 沖擊5.2.1A.5.2.2信息的標(biāo)識及處理應(yīng)制定信息標(biāo)識及處理的程序，以符合 組織所采行動的分類法則5.2.2A. 6人事安全BS ISO/IEO17799:2000編號A.6.1工作說明及人力資源的安全控制目標(biāo)：降低因人員錯誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險6.1控制措施A.6.1.1將安全需求列入 工作職責(zé)中組織在信息安全方針中所規(guī)定的安全角色 及責(zé)任，應(yīng)適度地書面化于工作職責(zé)說明書 中6.1.1A6.1.2人員篩審及政策應(yīng)在招聘員工時執(zhí)行正式員工的驗證查核6.1.2A6.1.3保密合約員工應(yīng)簽署保密協(xié)議作為其啟

30、始聘用合同 的一部分6.1.3A6.1.4聘用合同聘用合同中因陳述員工對信息安全的責(zé)任6.1.4A.6.2使用者培訓(xùn)控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力6.2控制措施A.6.2.1信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者， 對于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練6.2.1A.6.3安全及失效事件的響應(yīng)6.3A6.3.1安全事故報告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng) 的管理途徑進(jìn)行通報6.3.1A6.3.2安全弱點的報告應(yīng)要求信息服務(wù)的使用者記下并報告任何 觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的 安全弱點或威脅6

31、.3.2A6.3.3軟件失效事件的報告應(yīng)建立報告軟件失效事件的相關(guān)程序6.3.3A6.3.4從事件中學(xué)習(xí)應(yīng)有適當(dāng)機制以量化與監(jiān)督安全事故及失6.3.4效事件的種類、數(shù)量及成本A6.3.5懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來處理6.3.5A. 7實體及環(huán)境安全BS ISO/IEO17799:2000編號A .7.1安全區(qū)域控制目標(biāo)：防止對企業(yè)運行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問、破壞及干擾7.1控制措施A.7.1.1實體安全邊界組織應(yīng)有安全的邊界以保護包含信息處理 設(shè)施的區(qū)域7.1.1A7.1.2實體進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出

32、7.1.2A.7.1.3辦公處所及設(shè)備 的保護應(yīng)劃疋安全區(qū)域，以保護具有特殊安全需求 的辦公處所及設(shè)備7.1.3A.7.1.4在安全區(qū)域中的 作業(yè)應(yīng)對在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以堅強安全區(qū)域的安全7.1.4A.7.1.5隔離遞送及裝載 區(qū)域遞送及裝載區(qū)域應(yīng)加以控制，如有可能與信 息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問7.1.5A .7.2設(shè)備安全控制目標(biāo)：預(yù)防資產(chǎn)遺失或損失和防止企業(yè)運營活動遭受干擾7.2控制措施A.7.2.1設(shè)備的安置及保護應(yīng)妥善安置及保護設(shè)備， 以降低來自環(huán)境的 威脅與危險所造成的風(fēng)險以及未經(jīng)授權(quán)的 訪問7.2.1A.7.2.1電源供應(yīng)應(yīng)保護設(shè)備免于電力

33、失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電 纜，應(yīng)予以保護免于被攔截或破壞7.2.3A.7.2.4設(shè)備維護設(shè)備應(yīng)進(jìn)行正確維護，以確保其持續(xù)的可用 性及完整性7.2.4A.7.2.5組織以外 的設(shè)備安 全任何在組織所在地以外使用的信息處理設(shè) 備應(yīng)要求管理層授權(quán)7.2.5A.7.2.6設(shè)備報廢或再利 用的安全防護設(shè)備在報廢或再利用前， 應(yīng)清除在設(shè)備中的 信息7.2.6A.7.3 一般控制控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及 計算機屏幕畫面 凈空策略組織應(yīng)具備辦公桌面凈空及計算機屏幕畫 面凈空的政

34、策，以降低因信息被未經(jīng)授權(quán)訪 問、遺失及所造成的風(fēng)險7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件7.3.2A. 8通訊與操作管理BS ISO/IEO17799:2000編號A .8.1作業(yè)程序及責(zé)任控制目標(biāo)：確保正確、安全地操作信息處理設(shè)備8.1控制措施A.8.1.1文件化的作業(yè)程序由條款4.1.1.1所制定的信息安全政策所指 明的作業(yè)程序應(yīng)加以文件化及維護8.1.1A.8.1.2作業(yè)變更控制對信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制8.1.2A.8.1.3事故管理程序應(yīng)建立事故的管理責(zé)任及程序，以確保迅 速、有效及有序地反應(yīng)安全事件和米集事故8.1.3有關(guān)數(shù)據(jù)如審

35、核線索和日志A.8.1.4職務(wù)隔離職務(wù)及負(fù)責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當(dāng)使用信息或服務(wù)的機會8.1.4A.8.1.5開發(fā)與操作設(shè)備 的隔離開發(fā)及測試設(shè)備應(yīng)與操作設(shè)備分離。應(yīng)確定和文件化從開發(fā)狀態(tài)到運行狀態(tài)移植軟件 的規(guī)定8.1.5A8.1.6外部設(shè)備的管理使用外部的設(shè)備管理服務(wù)之前，應(yīng)鑒別其風(fēng) 險，并與承包尚協(xié)議適當(dāng)?shù)目刂品椒ǎ?并納 入合約內(nèi)容之中8.1.6A .8.2系統(tǒng)規(guī)劃及驗收控制目標(biāo)：將系統(tǒng)失效的風(fēng)險降至最小8.2控制措施A.8.2.1容量規(guī)劃容量要求應(yīng)加以監(jiān)督，并應(yīng)作出對于未來容 量需求的推測，以確保擁有合適的運算處理 能力及儲存空間8.2.1A.8.2.2系統(tǒng)驗收

36、應(yīng)建立新信息系統(tǒng)、升級及 新版本的驗收標(biāo)準(zhǔn)，并且在 允收前對系統(tǒng)進(jìn)行適當(dāng)?shù)臏y 試8.2.2A.8.3對具惡意的軟件的防范控制目標(biāo)：保護軟件及信息的完整性不受惡意軟件的損害8.3控制措施A.8.3.1對具惡意 的軟件的 控制應(yīng)有具偵測性及預(yù)防性的控制方法以防范 惡意的軟件，并且應(yīng)有適當(dāng)?shù)氖褂谜哳A(yù)警程 序的措施8.3.1A.8.4日常事務(wù)處理控制目標(biāo)：維持信息處理及通訊服務(wù)的完整性及可用性8.4控制措施A.8.4.1信息備份應(yīng)定期備份重要的企業(yè)營運信息和軟件并 經(jīng)常測試8.4.1A.8.4.2操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動的工 作日。操作日志應(yīng)受到經(jīng)常性的， 獨立的審 查8.4.2BS

37、 ISO/IEO17799:2000編號A.8.4.3錯誤事件登錄應(yīng)通報錯誤并采取改正行動8.4.3A.8.5網(wǎng)絡(luò)管理控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護支持性的基礎(chǔ)設(shè)施8.5控制措施A.8.5.1網(wǎng)絡(luò)控制應(yīng)實行一系列的控制方法以達(dá)成并維護網(wǎng) 絡(luò)的安全8.5.1A.8.6存儲媒體的處理與安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營運活動遭受干擾8.6控制措施A.8.6.1可移動式計算機 存儲媒體的管理對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應(yīng)加以控制8.6.1A.8.6.2存儲媒體的報廢不再需要的儲存媒體，應(yīng)可靠并安全地處置8.6.2A.8.6.3信息的處理程序應(yīng)建立信

38、息的處理及儲存程序，以保護信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用8.6.3A.8.6.4系統(tǒng)文件的安全應(yīng)保護系統(tǒng)文件以防未經(jīng)授權(quán)的訪問8.6.4A .8.7信息軟件的交換控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用8.7控制措施A.8.7.1信息及軟件交換 協(xié)議以電子化或人工方式在組織間交換信息及 軟件時，應(yīng)簽訂協(xié)議，其中有些可能是正式 的協(xié)議書8.7.1A.8.7.2存儲媒體的運送安全運送存儲媒體時應(yīng)保護其不遭受未經(jīng)授權(quán)以及信息被泄漏、不當(dāng)使用或毀壞8.7.2A.8.7.3電子商務(wù)安全應(yīng)保護電子商務(wù)免于詐欺行為，合約爭議以及信息被泄漏及修改8.7.3A.8.7.4電子郵件的安全應(yīng)開發(fā)一

39、份電子郵件的使用策略，并應(yīng)有降 低電子郵件所造成的安全風(fēng)險的適當(dāng)控制方法8.7.4A.8.7.5電子化辦公室系 統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與 安全風(fēng)險，各項政策與指導(dǎo)原則應(yīng)加以擬定 并實施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán) 過程，應(yīng)保護這類信息的完整性以防止未經(jīng) 授權(quán)的修改8.7.6A.8.7.7其它形式的信息 交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法來保護經(jīng) 由傳真、語音及影像等同學(xué)設(shè)施進(jìn)行的信息 交換8.7.7A . 9訪問控制BS ISO/IEO17799:2000編號A.9.1企業(yè)營運對訪問控制的要求 控制目標(biāo)：控制對于信息的訪問9.1

40、控制措施A.9.1.1訪問控制策略企業(yè)營運對訪問控制的要求應(yīng)加以界定 并文件化，對于信息的訪問應(yīng)如訪問控制 政策中所界定的加以限制9.1.1A.9.2使用者訪問管理控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實和維護9.2控制措施A.9.2.1使用者注冊應(yīng)有正式的使用者注冊及注銷的程序，以進(jìn)行所有的多分使用信息系統(tǒng)及服務(wù)的 訪問授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應(yīng)加以限制 及控制9.2.2A.9.2.3使用者密碼管理對于密碼的分配，應(yīng)通過正式的管理流程 加以控制9.2.3A.9.2.4使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實施

41、評審9.2.4A .9.3使用者責(zé)任控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪冋9.3控制措施A.9.3.1密碼的使用應(yīng)要求使用者在選擇及使用密碼時，遵循良好的安全慣例9.3.1A.9.3.2無人看管 的使用者 設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo9.3.2A.9.4網(wǎng)絡(luò)訪問控制控制目標(biāo)：保護網(wǎng)絡(luò)化的服務(wù)9.4控制措施A.9.4.1使用網(wǎng)絡(luò)服務(wù)的 政策使用者應(yīng)僅能直接訪問已獲特別授權(quán)使 用的服務(wù)9.4.1A.9.4.2強制性路徑由使用者的終端機至計算機服務(wù)器間的 路徑應(yīng)加以控制9.4.2A.9.4.3外部聯(lián)機的使用者認(rèn)證應(yīng)對遠(yuǎn)程使用者的訪問進(jìn)行使用者認(rèn)證9.4.3A.9.4.4節(jié)點認(rèn)證到

42、遠(yuǎn)程計算機系統(tǒng)的、聯(lián)機應(yīng)被認(rèn)證9.4.4A.9.4.5遠(yuǎn)程診斷端口的 保護對于診斷端口的訪問應(yīng)可靠地加以控制9.4.5A.9.4.6網(wǎng)絡(luò)的隔離應(yīng)引進(jìn)可在網(wǎng)絡(luò)中以群組方式隔離信息 服務(wù)、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡(luò)聯(lián)機的控制在分享式的網(wǎng)絡(luò)中使用者的聯(lián)機能力應(yīng) 依照訪問控制策略加以限制9.4.7A.9.4.8網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以 確保計算機聯(lián)機及信息流不違反所制定 的企業(yè)營運應(yīng)用軟件的訪問控制政策9.4.8A.9.4.9網(wǎng)絡(luò)服務(wù)的安全對于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有 網(wǎng)絡(luò)服務(wù)的安全特性，應(yīng)提供清楚的說明9.4.9A.9.5操作系統(tǒng)訪問控制

43、控制目標(biāo)：防止未經(jīng)授權(quán)的計算機訪問9.5控制措施A.9.5.1自動化的終端機 識別應(yīng)使用自動化的終端機識別， 以認(rèn)證連接 到特定場所可移動式設(shè)備的聯(lián)機9.5.1A.9.5.2終端機聯(lián)機程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機流程9.5.2A.9.5.3使用者識別及認(rèn)證所有使用者應(yīng)有唯一的識別碼< 使用者代碼 > 專供其個人的使用，以便各項活動可 以追溯至應(yīng)負(fù)責(zé)的個人，應(yīng)使用一種適當(dāng) 的認(rèn)證技術(shù)以真實地識別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制9.5.5

44、A.9.5.6提供受脅迫警報 以保護使用者對于可能成為他人脅迫的目標(biāo)的使用者 應(yīng)提供受脅迫警報9.5.6A.9.5.7終端機逾時終止在高風(fēng)險場所或為高風(fēng)險系統(tǒng)服務(wù)終端 機，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時間 后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行 訪問9.5.7A.9.5.8聯(lián)機時間的限制應(yīng)使用聯(lián)機時間的限制，以體統(tǒng)高風(fēng)險的應(yīng)用程序額外的安全9.5.8A.9.6應(yīng)用程序訪問控制控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪冋9.6控制措施A.9.6.1信息訪問限制對于信息及應(yīng)用系統(tǒng)的功能的訪問應(yīng)依 照訪問控制策略加以分析限制9.6.1A.9.6.2機密性系統(tǒng)的隔離具機密性質(zhì)的系統(tǒng)應(yīng)有專署

45、的< 隔離的>運算環(huán)境9.6.2A.9.7系統(tǒng)訪問及使用的監(jiān)控控制目標(biāo)：偵測未經(jīng)授權(quán)的活動9.7控制措施A.9.7.1事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān) 的事件的審核日志， 并保存一定的期間以 協(xié)助未來的調(diào)查及訪冋控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程 序，并且應(yīng)敵情對監(jiān)控活動的結(jié)果進(jìn)行審 查9.7.2A.9.7.3定時器同步計算機的定時器應(yīng)同步以便準(zhǔn)確地記錄9.7.3A.9.8可移動式計算機運算及計算機通訊遠(yuǎn)距工 作控制目標(biāo)：確保使用可移動式計算機運算及計算機通訊遠(yuǎn)距工作的設(shè)施的 信息安全9.8控制措施A.9.8.1可移動式計算

46、機 運算應(yīng)有適當(dāng)?shù)恼秸卟⑶颐子眠m當(dāng)?shù)目?制方法論，以防范使用可移動式計算機運 算設(shè)施進(jìn)行工作時所造成的風(fēng)險，特別是在未被保護的環(huán)境中工作時9.8.1A.9.8.2計算機通訊遠(yuǎn)距 工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制 計算機通訊遠(yuǎn)距工作的活動9.8.2A . 10系統(tǒng)開發(fā)及維護BS ISO/IEO17799:2000編號A.10.1系統(tǒng)的安全要求控制目標(biāo)：確保安全機制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標(biāo)準(zhǔn)對于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企 業(yè)營運要求，應(yīng)將對控制方法的要求制 定于其中10.1.1A.10.2應(yīng)用系統(tǒng)中的安全控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺

47、失、修改及不當(dāng)使用10.2控制措施A.10.2.1輸入資料的驗證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗證，以確 保資料是正確且適當(dāng)?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗證的檢查應(yīng)成為系統(tǒng)的一部分，以偵 測出所處理的資料是否損毀10.2.2A.10.2.3消息的認(rèn)證當(dāng)有保護消息內(nèi)容完整性的安全要求時，應(yīng)針對應(yīng)用程序進(jìn)行消息的認(rèn)證10.2.3A.10.2.4輸出資料的驗證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗證，以 確保對所儲存的資料的處理流程是正 確的，且就其情況而言是適當(dāng)?shù)?0.2.4A.10.3密碼學(xué)的控制方法控制目標(biāo)：保護信息的機密性、真實性或完整性10.3控制措施A.10.3.1運用密碼學(xué)控制方 法的政

48、策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來達(dá) 成保護信息目的的政策10.3.1A.10.3.2資料加密應(yīng)使用資料加密，以保護機密或關(guān)鍵信 息的機密性10.3.2A.10.3.3數(shù)字簽章應(yīng)使用數(shù)字簽章，以保護電子化信息的 真實性及完整性10.3.3A.10.3.4不可否認(rèn)性的服務(wù)應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事 件或行動是否有發(fā)生爭議10.3.4A.10.3.5密鑰管理應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ) 的密鑰管理系統(tǒng)，以支持密碼學(xué)技術(shù)的 運用10.3.5A.10.4系統(tǒng)檔案的安全控制目標(biāo)：確保信息科技的項目及支持性活動以安全的方式來進(jìn)行10.4控制措施A.10.4.1控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)

49、上的軟件執(zhí) 行10.4.1A.10.4.2系統(tǒng)測試資料的保 護測試資料應(yīng)加以保護及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問應(yīng)維持嚴(yán)格的 控制10.4.3A.10.5開發(fā)及支持流程的安全控制目標(biāo)：維持應(yīng)用系統(tǒng)的軟件及信息的安全10.5控制措施A.10.5.1變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控 制變更的實行，以將信息系統(tǒng)的損毀降 至最小10.5.1A.10.5.2操作系統(tǒng)變更的技 術(shù)審查當(dāng)發(fā)生變更時，應(yīng)對應(yīng)用系統(tǒng)進(jìn)行身材 及得失10.5.2A.10.5.3軟件包修改的限制應(yīng)阻止對于軟件包的修改，對于變更應(yīng) 嚴(yán)格控制10.5.3A.10.5.4秘密信道及特

50、洛伊木馬應(yīng)控制并檢查軟件的采購、使用及修改 以防范可能的秘密信道及特洛伊木馬 程序10.5.4A.10.5.5委外的軟件開發(fā)應(yīng)使用控制方法以防護委外的軟件開 發(fā)10.5.5A . 11業(yè)務(wù)持續(xù)運作管理BS ISO/IEO17799:2000編號A .11.1業(yè)務(wù)持續(xù)運作管理考慮控制目標(biāo)：防止企業(yè)運營中斷并且保護企業(yè)營運的關(guān)鍵流程免于重大失效 或災(zāi)難的影響11.1控制措施A.11.1.1業(yè)務(wù)持續(xù)運作的 管理流程為發(fā)展及維持企業(yè)的持續(xù)運作性，應(yīng)有遍及整個組織的管理流程11.1.1A.11.1.2業(yè)務(wù)持續(xù)運作及 沖擊分析應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險評估為基礎(chǔ)的策略性 計劃，以為業(yè)務(wù)持續(xù)運作的方法11.1.2A

51、.11.1.3持續(xù)運作計劃的 撰寫及執(zhí)行應(yīng)發(fā)展計劃確保在重要的業(yè)務(wù)流程中斷或 失效后可及時維持或恢復(fù)業(yè)務(wù)運作11.1.3A.11.1.4業(yè)務(wù)持續(xù)運作規(guī) 劃的架構(gòu)應(yīng)維持一個單一的業(yè)務(wù)持續(xù)運作計劃架構(gòu)， 以確保所有計劃的一致性， 且鑒別其先后次 序以進(jìn)行測試與維護11.1.4A.11.1.5業(yè)務(wù)持續(xù)運作計 劃的測試、維護與 再評估業(yè)務(wù)持續(xù)運作計劃應(yīng)定期測試，怯、且透過定期身材予以維護，以確保及時性及有效性11.1.5A . 12符合性BS ISO/IEO17799:2000編號A.12.1法規(guī)要求的符合性控制目標(biāo)：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約 內(nèi)容所規(guī)定的義務(wù)、以及違反任

52、何要求安全的要求12.1控制措施A12.1.1鑒別適用的法律規(guī)疋對每一個信息系統(tǒng)而言，法律條文、行 政法規(guī)及契約內(nèi)容所規(guī)定的所有相關(guān) 要求，應(yīng)加以明白地界定及文件化12.1.1A12.1.2知識產(chǎn)權(quán)應(yīng)事項適當(dāng)?shù)某绦颍源_保在只用智能 財產(chǎn)權(quán)方面的物品及他人專署的軟件 產(chǎn)品時，能符合法律的限制12.1.2A12.1.3組織紀(jì)錄的保護應(yīng)防止屬于組織的重要紀(jì)錄遺失、被破 壞及篡改12.1.3A12.1.4個人信息的隱私及 數(shù)據(jù)保護應(yīng)使用控制方法，以依照相關(guān)的法律保 護個人信息12.1.4A12.1.5信息處理設(shè)施不當(dāng) 使用的預(yù)防使用信息處理設(shè)備應(yīng)經(jīng)管理者授權(quán)，并 且應(yīng)使用控制方法，以防止這些設(shè)施遭 受不當(dāng)使用12.1.5A12.1.6有關(guān)密碼學(xué)控