信息安全管理實(shí)用規(guī)則(共98頁(yè))

1、PAGE PAGE 92信息技術(shù) 安全(nqun)技術(shù)信息安全管理(gunl)實(shí)用規(guī)則Information technology-Security techniques-Code of practice for information security management（ISO/IEC 17799：2005）目 次 TOC o 1-3 h z u HYPERLINK l _Toc140998967 引 言 PAGEREF _Toc140998967 h III HYPERLINK l _Toc140998968 0.1 什么(shn me)是信息安全？ PAGEREF _Toc14099

2、8968 h III HYPERLINK l _Toc140998969 0.2 為什么需要(xyo)信息安全？ PAGEREF _Toc140998969 h III HYPERLINK l _Toc140998970 0.3 如何建立安全(nqun)要求 PAGEREF _Toc140998970 h III HYPERLINK l _Toc140998971 0.4 評(píng)估安全風(fēng)險(xiǎn) PAGEREF _Toc140998971 h IV HYPERLINK l _Toc140998972 0.5 選擇控制措施 PAGEREF _Toc140998972 h IV HYPERLINK l _T

3、oc140998973 0.6 信息安全起點(diǎn) PAGEREF _Toc140998973 h IV HYPERLINK l _Toc140998974 0.7 關(guān)鍵的成功因素 PAGEREF _Toc140998974 h V HYPERLINK l _Toc140998975 0.8 開發(fā)你自己的指南 PAGEREF _Toc140998975 h V HYPERLINK l _Toc140998976 1 范圍 PAGEREF _Toc140998976 h 1 HYPERLINK l _Toc140998977 2 術(shù)語(yǔ)和定義 PAGEREF _Toc140998977 h 1 HYPE

4、RLINK l _Toc140998978 3 本標(biāo)準(zhǔn)的結(jié)構(gòu) PAGEREF _Toc140998978 h 2 HYPERLINK l _Toc140998979 3.1 章節(jié) PAGEREF _Toc140998979 h 2 HYPERLINK l _Toc140998980 3.2 主要安全類別 PAGEREF _Toc140998980 h 3 HYPERLINK l _Toc140998981 4 風(fēng)險(xiǎn)評(píng)估和處理 PAGEREF _Toc140998981 h 3 HYPERLINK l _Toc140998982 4.1 評(píng)估安全風(fēng)險(xiǎn) PAGEREF _Toc140998982

5、h 3 HYPERLINK l _Toc140998983 4.2 處理安全風(fēng)險(xiǎn) PAGEREF _Toc140998983 h 4 HYPERLINK l _Toc140998984 5 安全方針 PAGEREF _Toc140998984 h 4 HYPERLINK l _Toc140998985 5.1 信息安全方針 PAGEREF _Toc140998985 h 4 HYPERLINK l _Toc140998986 6 信息安全組織 PAGEREF _Toc140998986 h 6 HYPERLINK l _Toc140998987 6.1 內(nèi)部組織 PAGEREF _Toc140

6、998987 h 6 HYPERLINK l _Toc140998988 6.2 外部各方 PAGEREF _Toc140998988 h 10 HYPERLINK l _Toc140998989 7 資產(chǎn)管理 PAGEREF _Toc140998989 h 15 HYPERLINK l _Toc140998990 7.1 對(duì)資產(chǎn)負(fù)責(zé) PAGEREF _Toc140998990 h 15 HYPERLINK l _Toc140998991 7.2 信息分類 PAGEREF _Toc140998991 h 16 HYPERLINK l _Toc140998992 8 人力資源安全 PAGEREF

7、 _Toc140998992 h 18 HYPERLINK l _Toc140998993 8.1 任用之前 PAGEREF _Toc140998993 h 18 HYPERLINK l _Toc140998994 8.2 任用中 PAGEREF _Toc140998994 h 20 HYPERLINK l _Toc140998995 8.3 任用的終止或變化 PAGEREF _Toc140998995 h 21 HYPERLINK l _Toc140998996 9 物理和環(huán)境安全 PAGEREF _Toc140998996 h 23 HYPERLINK l _Toc140998997 9.

8、1 安全區(qū)域 PAGEREF _Toc140998997 h 23 HYPERLINK l _Toc140998998 9.2 設(shè)備安全 PAGEREF _Toc140998998 h 26 HYPERLINK l _Toc140998999 10 通信和操作管理 PAGEREF _Toc140998999 h 29 HYPERLINK l _Toc140999000 10.1 操作程序和職責(zé) PAGEREF _Toc140999000 h 29 HYPERLINK l _Toc140999001 10.2 第三方服務(wù)交付管理 PAGEREF _Toc140999001 h 32 HYPERL

9、INK l _Toc140999002 10.3 系統(tǒng)規(guī)劃和驗(yàn)收 PAGEREF _Toc140999002 h 33 HYPERLINK l _Toc140999003 10.4 防范惡意和移動(dòng)代碼 PAGEREF _Toc140999003 h 34 HYPERLINK l _Toc140999004 10.5 備份 PAGEREF _Toc140999004 h 36 HYPERLINK l _Toc140999005 10.6 網(wǎng)絡(luò)安全管理 PAGEREF _Toc140999005 h 37 HYPERLINK l _Toc140999006 10.7 介質(zhì)處置 PAGEREF _T

10、oc140999006 h 38 HYPERLINK l _Toc140999007 10.8 信息的交換 PAGEREF _Toc140999007 h 40 HYPERLINK l _Toc140999008 10.9 電子商務(wù)(din z shn w)服務(wù) PAGEREF _Toc140999008 h 44 HYPERLINK l _Toc140999009 10.10 監(jiān)視(jinsh) PAGEREF _Toc140999009 h 46 HYPERLINK l _Toc140999010 11 訪問控制 PAGEREF _Toc140999010 h 50 HYPERLINK l

11、 _Toc140999011 11.1 訪問控制的業(yè)務(wù)(yw)要求 PAGEREF _Toc140999011 h 50 HYPERLINK l _Toc140999012 11.2 用戶訪問管理 PAGEREF _Toc140999012 h 51 HYPERLINK l _Toc140999013 11.3 用戶職責(zé) PAGEREF _Toc140999013 h 53 HYPERLINK l _Toc140999014 11.4 網(wǎng)絡(luò)訪問控制 PAGEREF _Toc140999014 h 55 HYPERLINK l _Toc140999015 11.5 操作系統(tǒng)訪問控制 PAGERE

12、F _Toc140999015 h 58 HYPERLINK l _Toc140999016 11.6 應(yīng)用和信息訪問控制 PAGEREF _Toc140999016 h 62 HYPERLINK l _Toc140999017 11.7 移動(dòng)計(jì)算和遠(yuǎn)程工作 PAGEREF _Toc140999017 h 63 HYPERLINK l _Toc140999018 12 信息系統(tǒng)獲取、開發(fā)和維護(hù) PAGEREF _Toc140999018 h 65 HYPERLINK l _Toc140999019 12.1 信息系統(tǒng)的安全要求 PAGEREF _Toc140999019 h 65 HYPERL

13、INK l _Toc140999020 12.2 應(yīng)用中的正確處理 PAGEREF _Toc140999020 h 66 HYPERLINK l _Toc140999021 12.3 密碼控制 PAGEREF _Toc140999021 h 68 HYPERLINK l _Toc140999022 12.4 系統(tǒng)文件的安全 PAGEREF _Toc140999022 h 70 HYPERLINK l _Toc140999023 12.5 開發(fā)和支持過程中的安全 PAGEREF _Toc140999023 h 72 HYPERLINK l _Toc140999024 12.6 技術(shù)脆弱性管理 P

14、AGEREF _Toc140999024 h 75 HYPERLINK l _Toc140999025 13 信息安全事件管理 PAGEREF _Toc140999025 h 76 HYPERLINK l _Toc140999026 13.1 報(bào)告信息安全事態(tài)和弱點(diǎn) PAGEREF _Toc140999026 h 76 HYPERLINK l _Toc140999027 13.2 信息安全事件和改進(jìn)的管理 PAGEREF _Toc140999027 h 78 HYPERLINK l _Toc140999028 14 業(yè)務(wù)連續(xù)性管理 PAGEREF _Toc140999028 h 80 HYPE

15、RLINK l _Toc140999029 14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面 PAGEREF _Toc140999029 h 80 HYPERLINK l _Toc140999030 15 符合性 PAGEREF _Toc140999030 h 84 HYPERLINK l _Toc140999031 15.1 符合法律要求 PAGEREF _Toc140999031 h 84 HYPERLINK l _Toc140999032 15.2 符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性 PAGEREF _Toc140999032 h 87 HYPERLINK l _Toc140999033 15.3

16、信息系統(tǒng)審核考慮 PAGEREF _Toc140999033 h 88 引 言什么(shn me)是信息安全？象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種(y zhn)資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當(dāng)中（也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南）。信息(xnx)可以以多種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語(yǔ)言表達(dá)。無論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。信息安全是保護(hù)信息免受各種

17、威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全是通過實(shí)施一組合適的控制措施而達(dá)到的，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個(gè)過程應(yīng)與其他業(yè)務(wù)管理過程聯(lián)合進(jìn)行。為什么需要信息安全？信息及其支持過程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金周轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個(gè)方面的安全威脅，包括計(jì)算機(jī)輔助欺詐、間諜活動(dòng)、惡意破壞、毀壞行為、火災(zāi)或洪水。諸如惡意代碼、計(jì)算機(jī)黑客搗亂

18、和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅，已經(jīng)變得更加普遍、更有野心和日益復(fù)雜。信息安全對(duì)于公共和專用兩部分的業(yè)務(wù)以及保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信息安全都將作為一個(gè)使動(dòng)者，例如實(shí)現(xiàn)電子政務(wù)或電子商務(wù)，避免或減少相關(guān)風(fēng)險(xiǎn)。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、信息資源的共享都增加了實(shí)現(xiàn)訪問控制的難度。分布式計(jì)算的趨勢(shì)也削弱了集中的、專門控制的有效性。許多信息系統(tǒng)并沒有被設(shè)計(jì)成是安全的。通過技術(shù)手段可獲得的安全性是有限的，應(yīng)該通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實(shí)施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與，還可能要求利益相關(guān)人、供應(yīng)商、第三方、顧客或其他外部

19、團(tuán)體的參與。外部組織的專家建議可能也是需要的。如何建立安全要求組織識(shí)別出其安全要求是非常重要的，安全要求有三個(gè)主要來源：一個(gè)來源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下，評(píng)估該組織的風(fēng)險(xiǎn)所獲得的。通過風(fēng)險(xiǎn)評(píng)估，識(shí)別資產(chǎn)受到的威脅，評(píng)價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計(jì)潛在的影響。另一個(gè)來源是組織、貿(mào)易伙伴、合同(h tong)方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的社會(huì)文化環(huán)境。第三個(gè)來源(liyun)是組織開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。評(píng)估(pn )安全風(fēng)險(xiǎn)安全要求是通過對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的。用于控制措施的支出需要針對(duì)可能

20、由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。風(fēng)險(xiǎn)評(píng)估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆?dòng)、管理信息安全風(fēng)險(xiǎn)的優(yōu)先級(jí)以及實(shí)現(xiàn)所選擇的用以防范這些風(fēng)險(xiǎn)的控制措施。風(fēng)險(xiǎn)評(píng)估應(yīng)定期進(jìn)行，以應(yīng)對(duì)可能影響風(fēng)險(xiǎn)評(píng)估結(jié)果的任何變化。更多的關(guān)于安全風(fēng)險(xiǎn)評(píng)估的信息見第4.1節(jié)“評(píng)估安全風(fēng)險(xiǎn)”。選擇控制措施一旦安全要求和風(fēng)險(xiǎn)已被識(shí)別并已作出風(fēng)險(xiǎn)處理決定，則應(yīng)選擇并實(shí)現(xiàn)合適的控制措施，以確保風(fēng)險(xiǎn)降低到可接受的級(jí)別?？刂拼胧┛梢詮谋緲?biāo)準(zhǔn)或其他控制措施集合中選擇，或者當(dāng)合適時(shí)設(shè)計(jì)新的控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所作出的決定，該決定是基于組織所應(yīng)用的風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處理選項(xiàng)和通用的風(fēng)險(xiǎn)管理方法，同時(shí)還要遵守

21、所有相關(guān)的國(guó)家和國(guó)際法律法規(guī)。本標(biāo)準(zhǔn)中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。下面在題為“信息安全起點(diǎn)”中將更詳細(xì)的解釋這些控制措施。更多的關(guān)于選擇控制措施和其他風(fēng)險(xiǎn)處理選項(xiàng)的信息見第4.2節(jié)“處理安全風(fēng)險(xiǎn)”。信息安全起點(diǎn)許多控制措施被認(rèn)為是實(shí)現(xiàn)信息安全的良好起點(diǎn)。它們或者是基于重要的法律要求，或者被認(rèn)為是信息安全的常用慣例。從法律的觀點(diǎn)看，對(duì)某個(gè)組織重要的控制措施包括，根據(jù)適用的法律：數(shù)據(jù)保護(hù)和個(gè)人信息的隱私（見15.1.4）；保護(hù)組織的記錄（見15.1.3）；知識(shí)產(chǎn)權(quán)（見15.1.2）。被認(rèn)為是信息安全的常用慣例的控制措施包括： 信息安全方針文件（見5.1.1）

22、；信息安全職責(zé)的分配（見6.1.3）；信息安全意識(shí)、教育和培訓(xùn)（見8.2.2）；應(yīng)用中的正確處理（見12.2）；技術(shù)脆弱性管理（見12.6）；業(yè)務(wù)連續(xù)性管理（見14）；信息安全事件和改進(jìn)管理（見13.2）。這些(zhxi)控制措施(cush)適用(shyng)于大多數(shù)組織和環(huán)境。應(yīng)注意，雖然本標(biāo)準(zhǔn)中的所有控制措施都是重要的并且是應(yīng)被考慮的，但是應(yīng)根據(jù)某個(gè)組織所面臨的特定風(fēng)險(xiǎn)來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認(rèn)為是一種良好的起點(diǎn)，但它并不能取代基于風(fēng)險(xiǎn)評(píng)估而選擇的控制措施。關(guān)鍵的成功因素經(jīng)驗(yàn)表明，下列因素通常對(duì)一個(gè)組織成功地實(shí)現(xiàn)信息安全來說，十分關(guān)鍵： 反映業(yè)務(wù)目標(biāo)的信息安

23、全方針、目標(biāo)以及活動(dòng)；和組織文化保持一致的實(shí)現(xiàn)、保持、監(jiān)視和改進(jìn)信息安全的方法和框架；來自所有級(jí)別管理者的可視化的支持和承諾； 正確理解信息安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理；向所有管理人員、員工和其它方傳達(dá)有效的信息安全知識(shí)以使他們具備安全意識(shí)；向所有管理人員、員工和其它方分發(fā)關(guān)于信息安全方針和標(biāo)準(zhǔn)的指導(dǎo)意見；提供資金以支持信息安全管理活動(dòng)；提供適當(dāng)?shù)囊庾R(shí)、培訓(xùn)和教育；建立一個(gè)有效的信息安全事件管理過程；實(shí)現(xiàn)一個(gè)測(cè)量 注意信息安全測(cè)量不在本標(biāo)準(zhǔn)范圍內(nèi)。系統(tǒng)，它可用來評(píng)價(jià)信息安全管理的執(zhí)行情況和反饋的改進(jìn)建議。開發(fā)你自己的指南本實(shí)用規(guī)則可認(rèn)為是組織開發(fā)其詳細(xì)指南的起點(diǎn)。對(duì)一個(gè)組織來說，本實(shí)用規(guī)則中的

24、控制措施和指南并非全部適用，此外，很可能還需要本標(biāo)準(zhǔn)中未包括的另外的控制措施和指南。為便于審核員和業(yè)務(wù)伙伴進(jìn)行符合性檢查，當(dāng)開發(fā)包含另外的指南或控制措施的文件時(shí)，對(duì)本標(biāo)準(zhǔn)中條款的相互參考可能是有用的。信息技術(shù) 安全(nqun)技術(shù) 信息安全管理實(shí)用(shyng)規(guī)則范圍(fnwi)本標(biāo)準(zhǔn)給出了一個(gè)組織啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則。本標(biāo)準(zhǔn)列出的目標(biāo)為通常所接受的信息安全管理的目的提供了指導(dǎo)。本標(biāo)準(zhǔn)的控制目標(biāo)和控制措施的實(shí)施旨在滿足風(fēng)險(xiǎn)評(píng)估所識(shí)別的要求。本標(biāo)準(zhǔn)可作為建立組織的安全準(zhǔn)則和有效安全管理慣例的實(shí)用指南，并有利于在組織間的活動(dòng)中建立信心。術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于

25、本標(biāo)準(zhǔn)。2.1 資產(chǎn) asset對(duì)組織有價(jià)值的任何東西ISO/IEC 13335-1:2004。2.2 控制措施 control管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的。注：控制措施也用于防護(hù)措施或?qū)Σ叩耐x詞。2.3 指南 guideline闡明應(yīng)做什么和怎么做以達(dá)到方針策略中制定的目標(biāo)的描述ISO/IEC TR 13335-1：20042.4 信息處理設(shè)施 information processing facilities任何信息處理系統(tǒng)、服務(wù)或基礎(chǔ)設(shè)施，或放置它們的場(chǎng)所2.5 信息安全 information security保持信息

26、的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等2.6 信息安全事態(tài) information security event信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)ISO/IEC TR 18044：20042.7 信息安全事件 information security incident一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性ISO/IEC TR 18044：20042.8 方針 policy管理者正

27、式發(fā)布的總的宗旨和方向2.9 風(fēng)險(xiǎn)(fngxin) risk事件的概率及其結(jié)果(ji gu)的組合ISO/IEC Guide 73：20022.10 風(fēng)險(xiǎn)(fngxin)分析 risk analysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)ISO/IEC Guide 73：20022.11 風(fēng)險(xiǎn)評(píng)估 risk assessment風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程ISO/IEC Guide 73：20022.12 風(fēng)險(xiǎn)評(píng)價(jià) risk evaluation將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程ISO/IEC Guide 73：20022.13 風(fēng)險(xiǎn)管理 risk managemen

28、t指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)注：風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)傳遞ISO/IEC Guide 73：20022.14 風(fēng)險(xiǎn)處理 risk treatment選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程ISO/IEC Guide 73：20022.15 第三方 third party就所涉及的問題被公認(rèn)為是獨(dú)立于有關(guān)各方的個(gè)人或機(jī)構(gòu)ISO Guide 2：19962.16 威脅 threat可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因ISO/IEC TR 13335-1：20042.17 脆弱性 vulnerability可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱

29、點(diǎn)ISO/IEC TR 13335-1：2004本標(biāo)準(zhǔn)的結(jié)構(gòu)本標(biāo)準(zhǔn)包括11個(gè)安全控制措施的章節(jié)（共含有39個(gè)主要安全類別）和1個(gè)介紹風(fēng)險(xiǎn)評(píng)估和處理的章節(jié)。章節(jié)每一章包含多個(gè)主要安全類別。11個(gè)章節(jié)（連同每一章中所包含的主要安全類別的數(shù)量）是：安全方針（1）；信息安全組織（2）；資產(chǎn)管理（2）；人力資源安全（3）；物理和環(huán)境安全（2）；通信(tng xn)和操作管理（10）；訪問控制（7）；信息系統(tǒng)獲取(huq)、開發(fā)和維護(hù)（6）；信息安全事件(shjin)管理（2）；業(yè)務(wù)連續(xù)性管理（1）；符合性（3）。注：本標(biāo)準(zhǔn)中章節(jié)的順序不表示其重要性。根據(jù)不同的環(huán)境，所有章節(jié)都可能是重要的，因此應(yīng)用本標(biāo)準(zhǔn)

30、的每一個(gè)組織應(yīng)識(shí)別適用的章節(jié)及其重要性，以及它們對(duì)各個(gè)業(yè)務(wù)過程的適用性。另外，本標(biāo)準(zhǔn)的排列均沒有優(yōu)先順序，除非另外注明。主要安全類別每一個(gè)主要安全類別包含：一個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么；一個(gè)或多個(gè)控制措施，可被用于實(shí)現(xiàn)該控制目標(biāo)?？刂拼胧┑拿枋鼋Y(jié)構(gòu)如下：控制措施定義滿足控制目標(biāo)的特定的控制措施的陳述。實(shí)施指南為支持控制措施的實(shí)施和滿足控制目標(biāo)，提供更詳細(xì)的信息。本指南的某些內(nèi)容可能不適用于所有情況，所以其他實(shí)現(xiàn)控制措施的方法可能更為合適。其它信息提供需要考慮的進(jìn)一步的信息，例如法律方面的考慮和對(duì)其他標(biāo)準(zhǔn)的引用。風(fēng)險(xiǎn)評(píng)估和處理評(píng)估安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)照風(fēng)險(xiǎn)接受準(zhǔn)則和組織相關(guān)目標(biāo)，識(shí)別、量化并區(qū)分

31、風(fēng)險(xiǎn)的優(yōu)先次序。風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)指導(dǎo)并確定適當(dāng)?shù)墓芾泶胧┘捌鋬?yōu)先級(jí)，以管理信息安全風(fēng)險(xiǎn)和實(shí)施為防范這些風(fēng)險(xiǎn)而選擇的控制措施。評(píng)估風(fēng)險(xiǎn)和選擇控制措施的過程可能需要執(zhí)行多次，以覆蓋組織的不同部門或各個(gè)信息系統(tǒng)。風(fēng)險(xiǎn)評(píng)估應(yīng)包括估計(jì)風(fēng)險(xiǎn)大小的系統(tǒng)方法（風(fēng)險(xiǎn)分析），和將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較，以確定風(fēng)險(xiǎn)嚴(yán)重性的過程（風(fēng)險(xiǎn)評(píng)價(jià)）。風(fēng)險(xiǎn)評(píng)估還應(yīng)定期進(jìn)行，以應(yīng)對(duì)安全要求和風(fēng)險(xiǎn)情形的變化，例如資產(chǎn)、威脅、脆弱性、影響，風(fēng)險(xiǎn)評(píng)價(jià)；當(dāng)發(fā)生重大變化時(shí)也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估應(yīng)使用一種能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的系統(tǒng)化的方式。為使信息安全風(fēng)險(xiǎn)評(píng)估有效，它應(yīng)有一個(gè)清晰定義的范圍。如果合適，應(yīng)包括與其他領(lǐng)域風(fēng)

32、險(xiǎn)評(píng)估的關(guān)系。如果可行、實(shí)際和有幫助，風(fēng)險(xiǎn)評(píng)估的范圍既可以是整個(gè)組織、組織的一部分、單個(gè)信息系統(tǒng)、特定的系統(tǒng)部件，也可以是服務(wù)。風(fēng)險(xiǎn)評(píng)估方法的例子在ISO/IEC TR 13335-3IT安全(nqun)管理指南：IT安全管理技術(shù)中討論。處理安全(nqun)風(fēng)險(xiǎn)在考慮風(fēng)險(xiǎn)處理前，組織應(yīng)確定風(fēng)險(xiǎn)是否能被接受的準(zhǔn)則。如果經(jīng)評(píng)估顯示，風(fēng)險(xiǎn)較低或處理成本對(duì)于組織來說不劃算，則風(fēng)險(xiǎn)可被接受。這些決定(judng)應(yīng)加以記錄。對(duì)于風(fēng)險(xiǎn)評(píng)估所識(shí)別的每一個(gè)風(fēng)險(xiǎn)，必須作出風(fēng)險(xiǎn)處理決定?？赡艿娘L(fēng)險(xiǎn)處理選項(xiàng)包括：應(yīng)用適當(dāng)?shù)目刂拼胧┮越档惋L(fēng)險(xiǎn)；只要它們滿足組織的方針和風(fēng)險(xiǎn)接受準(zhǔn)則，則要有意識(shí)的、客觀的接受該風(fēng)險(xiǎn)；通過

33、禁止可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的行為來避免風(fēng)險(xiǎn)；將相關(guān)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如，保險(xiǎn)或供應(yīng)商。對(duì)風(fēng)險(xiǎn)處理決定中要采用適當(dāng)?shù)目刂拼胧┑哪切╋L(fēng)險(xiǎn)來說，應(yīng)選擇和實(shí)施這些控制措施以滿足風(fēng)險(xiǎn)評(píng)估所識(shí)別的要求?？刂拼胧?yīng)確保在考慮以下因素的情況下，將風(fēng)險(xiǎn)降低到可接受級(jí)別：國(guó)家和國(guó)際法律法規(guī)的要求和約束；組織的目標(biāo)；運(yùn)行要求和約束；降低風(fēng)險(xiǎn)相關(guān)的實(shí)施和運(yùn)行的成本，并使之與組織的要求和約束保持相稱；平衡控制措施實(shí)施和運(yùn)行的投資與安全失誤可能導(dǎo)致的損害的需要?？刂拼胧┛梢詮谋緲?biāo)準(zhǔn)或其他控制集合中選擇，或者設(shè)計(jì)新的控制措施以滿足組織的特定需求。認(rèn)識(shí)到有些控制措施并不是對(duì)每一種信息系統(tǒng)或環(huán)境都適用，并且不是對(duì)所有組織都可行，這

34、一點(diǎn)非常重要。例如，10.1.3描述如何分割責(zé)任，以防止欺詐或錯(cuò)誤。在較小的組織中分割所有責(zé)任是不太可能的，實(shí)現(xiàn)同一控制目標(biāo)的其他方法可能是必要的。另外一個(gè)例子，10.10描述如何監(jiān)視系統(tǒng)使用及如何收集證據(jù)。所描述的控制措施，例如事件日志，可能與適用的法律相沖突，諸如顧客或在工作場(chǎng)地內(nèi)的隱私保護(hù)。信息安全控制措施應(yīng)在系統(tǒng)和項(xiàng)目需求說明書和設(shè)計(jì)階段予以考慮。做不到這一點(diǎn)可能導(dǎo)致額外的成本和低效率的解決方案，最壞的情況下可能達(dá)不到足夠的安全。應(yīng)該牢記，沒有一個(gè)控制措施集合能實(shí)現(xiàn)絕對(duì)的安全，為支持組織的目標(biāo)，應(yīng)實(shí)施額外的管理措施來監(jiān)視、評(píng)價(jià)和改進(jìn)安全控制措施的效率和有效性。安全方針信息安全方針目標(biāo)：

35、依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全。管理者應(yīng)根據(jù)業(yè)務(wù)目標(biāo)制定清晰的方針指導(dǎo)(zhdo)，并通過在整個(gè)組織中頒布和維護(hù)信息安全方針來表明對(duì)信息安全的支持和承諾。信息安全方針(fngzhng)文件控制措施信息安全方針文件應(yīng)由管理者批準(zhǔn)(p zhn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。實(shí)施指南信息安全方針文件應(yīng)說明管理承諾，并提出組織的管理信息安全的方法。方針文件應(yīng)包括以下聲明：信息安全、整體目標(biāo)和范圍的定義，以及在允許信息共享機(jī)制下安全的重要性（見引言）；管理者意圖的聲明，以支持符合業(yè)務(wù)戰(zhàn)略和目標(biāo)的信息安全目標(biāo)和原則；設(shè)置控制目標(biāo)和控制措施的框架，包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的結(jié)構(gòu)；對(duì)

36、組織特別重要的安全方針策略、原則、標(biāo)準(zhǔn)和符合性要求的簡(jiǎn)要說明，包括：符合法律法規(guī)和合同要求；安全教育、培訓(xùn)和意識(shí)要求；業(yè)務(wù)連續(xù)性管理；違反信息安全方針的后果；信息安全管理（包括報(bào)告信息安全事件）的一般和特定職責(zé)的定義；對(duì)支持方針的文件的引用，例如，特定信息系統(tǒng)的更詳細(xì)的安全方針策略和程序，或用戶應(yīng)遵守的安全規(guī)則。應(yīng)以預(yù)期讀者適合的、可訪問的和可理解的形式將本信息安全方針傳達(dá)給整個(gè)組織的用戶。其它信息信息安全方針可能是總體方針文件的一部分。如果信息安全方針在組織外進(jìn)行分發(fā)，應(yīng)注意不要泄露敏感信息。更多信息參見ISO/IEC 13335-1：2004。信息安全方針的評(píng)審控制措施應(yīng)按計(jì)劃的時(shí)間間隔或

37、當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審，以確保它持續(xù)的適宜性、充分性和有效性。實(shí)施指南信息安全方針應(yīng)有專人負(fù)責(zé)，他負(fù)有安全方針制定、評(píng)審和評(píng)價(jià)的管理職責(zé)。評(píng)審應(yīng)包括評(píng)估組織信息安全方針改進(jìn)的機(jī)會(huì)，和管理信息安全適應(yīng)組織環(huán)境、業(yè)務(wù)狀況、法律條件或技術(shù)環(huán)境變化的方法。信息安全方針評(píng)審應(yīng)考慮管理評(píng)審的結(jié)果。要定義管理評(píng)審程序，包括時(shí)間表或評(píng)審周期。管理評(píng)審的輸入(shr)應(yīng)包括以下信息：相關(guān)(xinggun)方的反饋；獨(dú)立(dl)評(píng)審的結(jié)果（見6.1.8）；預(yù)防和糾正措施的狀態(tài)（見6.1.8和15.2.1）；以往管理評(píng)審的結(jié)果；過程執(zhí)行情況和信息安全方針符合性；可能影響組織管理信息安全的方法的變更，包

38、括組織環(huán)境、業(yè)務(wù)狀況、資源可用性、合同、規(guī)章，和法律條件或技術(shù)環(huán)境的變更。威脅和脆弱性的趨勢(shì)；已報(bào)告的信息安全事件（見13.1）；相關(guān)專家的建議（見6.1.6）。管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：組織管理信息安全的方法和它的過程的改進(jìn)；控制目標(biāo)和控制措施的改進(jìn)資源和/或職責(zé)分配的改進(jìn)。管理評(píng)審的記錄應(yīng)被維護(hù)。應(yīng)獲得管理者對(duì)修訂的方針的批準(zhǔn)。信息安全組織內(nèi)部組織目標(biāo)：在組織內(nèi)管理信息安全。應(yīng)建立管理框架，以啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施。管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。若需要，要在組織范圍內(nèi)建立專家信息安全建議庫(kù)，并在組織內(nèi)可用。要

39、發(fā)展與外部安全專家或組織（包括相關(guān)權(quán)威人士）的聯(lián)系，以便跟上行業(yè)趨勢(shì)、跟蹤標(biāo)準(zhǔn)和評(píng)估方法，并且當(dāng)處理信息安全事件時(shí)，提供合適的聯(lián)絡(luò)點(diǎn)。應(yīng)鼓勵(lì)采用多學(xué)科方法，解決信息安全問題。信息安全的管理承諾控制措施管理者應(yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn)，來積極支持組織內(nèi)的安全。實(shí)施指南管理者應(yīng)：確保信息安全目標(biāo)得以識(shí)別，滿足組織要求，并已被整合到相關(guān)過程中；制定、評(píng)審、批準(zhǔn)信息安全方針；評(píng)審信息安全方針(fngzhng)實(shí)施的有效性；為安全啟動(dòng)(qdng)提供明確的方向和管理者明顯的支持；為信息安全提供(tgng)所需的資源；批準(zhǔn)整個(gè)組織內(nèi)信息安全專門的角色和職責(zé)分配；啟動(dòng)計(jì)劃和

40、程序來保持信息安全意識(shí)；確保整個(gè)組織內(nèi)的信息安全控制措施的實(shí)施是相互協(xié)調(diào)的（見6.1.2）。管理者應(yīng)識(shí)別對(duì)內(nèi)外部專家的信息安全建議的需求，并在整個(gè)組織內(nèi)評(píng)審和協(xié)調(diào)專家建議結(jié)果。根據(jù)組織的規(guī)模不同，這些職責(zé)可以由一個(gè)專門的管理協(xié)調(diào)小組或由一個(gè)已存在的機(jī)構(gòu)（例如董事會(huì)）承擔(dān)。其它信息更多內(nèi)容可參考ISO/IEC 13335-1：2004。信息安全協(xié)調(diào)控制措施信息安全活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào)。實(shí)施指南典型的，信息安全協(xié)調(diào)應(yīng)包括管理人員、用戶、行政人員、應(yīng)用設(shè)計(jì)人員、審核員和安全專員，以及保險(xiǎn)、法律、人力資源、IT或風(fēng)險(xiǎn)管理等領(lǐng)域?qū)＜业膮f(xié)調(diào)和協(xié)作。這些活動(dòng)應(yīng)：確保

41、安全活動(dòng)的實(shí)施與信息安全方針相一致；確定如何處理不符合項(xiàng)；核準(zhǔn)信息安全的方法和過程，例如風(fēng)險(xiǎn)評(píng)估、信息分類；識(shí)別重大的威脅變更和暴露于威脅下的信息和信息處理設(shè)施； 評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；有效地促進(jìn)整個(gè)組織內(nèi)的信息安全教育、培訓(xùn)和意識(shí)；評(píng)價(jià)在信息安全事件的監(jiān)視和評(píng)審中獲得的信息，推薦適當(dāng)?shù)拇胧╉憫?yīng)識(shí)別的信息安全事件。如果組織沒有使用一個(gè)獨(dú)立的跨部門的小組，例如因?yàn)檫@樣的小組對(duì)組織規(guī)模來說是不適當(dāng)?shù)?，那么上面描述的措施?yīng)由其它合適的管理機(jī)構(gòu)或單獨(dú)管理人員實(shí)施。信息安全職責(zé)的分配控制措施所有的信息安全職責(zé)應(yīng)予以清晰地定義。實(shí)施指南信息安全職責(zé)(zhz)的分配應(yīng)和信息安全方針（見第

42、4 譯者認(rèn)為應(yīng)該是第5章。章）相一致。各個(gè)資產(chǎn)的保護(hù)和執(zhí)行特定安全(nqun)過程的職責(zé)應(yīng)被清晰的識(shí)別。這些職責(zé)應(yīng)在必要時(shí)加以補(bǔ)充，來為特定地點(diǎn)和信息處理設(shè)施提供更詳細(xì)的指南。資產(chǎn)保護(hù)和執(zhí)行特定安全過程（諸如業(yè)務(wù)連續(xù)性計(jì)劃）的局部職責(zé)應(yīng)予以清晰地定義。分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員。盡管如此，他們(t men)仍然負(fù)有責(zé)任，并且他們應(yīng)能夠確定任何被委托的任務(wù)是否已被正確地執(zhí)行。個(gè)人負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定；特別是，應(yīng)進(jìn)行下列工作：與每個(gè)特殊系統(tǒng)相關(guān)的資產(chǎn)和安全過程應(yīng)予以識(shí)別并清晰地定義；應(yīng)分配每一資產(chǎn)或安全過程的實(shí)體職責(zé)，并且該職責(zé)的細(xì)節(jié)應(yīng)形成文件（見7.1.2）；授權(quán)級(jí)別

43、應(yīng)清晰地予以定義，并形成文件。其它信息在許多組織中，將任命一名信息安全管理人員全面負(fù)責(zé)安全的開發(fā)和實(shí)施，并支持控制措施的識(shí)別。然而，提供控制措施資源并實(shí)施這些控制措施的職責(zé)通常歸于各個(gè)管理人員。一種通常的做法是對(duì)每一資產(chǎn)指定一名責(zé)任人，他也就對(duì)該信息資產(chǎn)的日常保護(hù)負(fù)責(zé)。信息處理設(shè)施的授權(quán)過程控制措施新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán)過程。實(shí)施指南授權(quán)過程應(yīng)考慮下列指南：新設(shè)施要有適當(dāng)?shù)挠脩艄芾硎跈?quán)，以批準(zhǔn)其用途和使用；還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng)安全環(huán)境的管理人員授權(quán)，以確保所有相關(guān)的安全方針策略和要求得到滿足；若需要，硬件和軟件應(yīng)進(jìn)行檢查，以確保它們與其他系統(tǒng)組件兼容；使用個(gè)人或私有信息處理

44、設(shè)施（例如便攜式電腦、家用電腦或手持設(shè)備）處理業(yè)務(wù)信息，可能引起新的脆弱性，因此應(yīng)識(shí)別和實(shí)施必要的控制措施。保密性協(xié)議控制措施應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。實(shí)施指南保密或不泄露協(xié)議應(yīng)使用合法可實(shí)施條款來解決保護(hù)機(jī)密信息的要求。要識(shí)別保密或不泄露協(xié)議的要求，需考慮下列因素：定義要保護(hù)的信息（如機(jī)密信息）；協(xié)議(xiy)的期望持續(xù)時(shí)間，包括不確定的需要維持保密性的情形；協(xié)議(xiy)終止時(shí)所需的措施；為避免(bmin)未授權(quán)信息泄露的簽署者的職責(zé)和行為 （即“需要知道的”）信息所有者、商業(yè)秘密和知識(shí)產(chǎn)權(quán)，以及他們?nèi)绾闻c機(jī)密信息保護(hù)相關(guān)聯(lián)；機(jī)密信息的許可使用，及簽署

45、者使用信息的權(quán)力；對(duì)涉及機(jī)密信息的活動(dòng)的審核和監(jiān)視權(quán)力；未授權(quán)泄露或機(jī)密信息破壞的通知和報(bào)告過程；關(guān)于協(xié)議終止時(shí)信息歸檔或銷毀的條款；違反協(xié)議后期望采取的措施。基于一個(gè)組織的安全要求，在保密性或不泄露協(xié)議中可能需要其他因素。保密性和不泄露協(xié)議應(yīng)針對(duì)它適用的管轄范圍（也見15.1.1）遵循所有適用的法律法規(guī)。保密性和不泄露協(xié)議的要求應(yīng)進(jìn)行周期性評(píng)審，當(dāng)發(fā)生影響這些要求的變更時(shí)，也要進(jìn)行評(píng)審。其它信息保密性和不泄密協(xié)議保護(hù)組織信息，并告知簽署者他們的職責(zé)，以授權(quán)、負(fù)責(zé)的方式保護(hù)、使用和公開信息。對(duì)于一個(gè)組織來說，可能需要在不同環(huán)境中使用保密性或不泄密協(xié)議的不同格式。與政府部門的聯(lián)系控制措施應(yīng)保持與

46、政府相關(guān)部門的適當(dāng)聯(lián)系。實(shí)施指南組織應(yīng)有規(guī)程指明什么時(shí)候應(yīng)當(dāng)與哪個(gè)部門（例如，執(zhí)法部門、消防局、監(jiān)管部門）聯(lián)系，以及懷疑已識(shí)別的信息安全事件可能觸犯了法律時(shí)，應(yīng)如何及時(shí)報(bào)告。受到來自互聯(lián)網(wǎng)攻擊的組織可能需要外部第三方（例如互聯(lián)網(wǎng)服務(wù)提供商或電信運(yùn)營(yíng)商）采取措施以應(yīng)對(duì)攻擊源。其它信息保持這樣的聯(lián)系可能是支持信息安全事件管理（第13.2節(jié)）或業(yè)務(wù)連續(xù)性和應(yīng)急規(guī)劃過程（第14章）的要求。與法規(guī)部門的聯(lián)系有助于預(yù)先知道組織必須遵循的法律法規(guī)方面預(yù)期的變化，并為這些變化做好準(zhǔn)備。與其他部門的聯(lián)系包括公共部門、緊急服務(wù)和健康安全部門，例如消防局（與14章的業(yè)務(wù)連續(xù)性有關(guān)）、電信提供商（與路由和可用性有關(guān)）

47、、供水部門（與設(shè)備的冷卻設(shè)施有關(guān)）。與特定利益集團(tuán)的聯(lián)系控制措施應(yīng)保持與特定利益集團(tuán)、其他安全專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。實(shí)施(shsh)指南應(yīng)考慮(kol)成為特定(tdng)利益集團(tuán)或安全專家組的成員，以便：增進(jìn)對(duì)最佳實(shí)踐和最新相關(guān)安全信息的了解；確保全面了解當(dāng)前的信息安全環(huán)境；盡早收到關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)??；獲得信息安全專家的建議；分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息；提供處理信息安全事件時(shí)適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)（見13.2.1）。其它信息建立信息共享協(xié)議來改進(jìn)安全問題的協(xié)作和協(xié)調(diào)。這種協(xié)議應(yīng)識(shí)別出保護(hù)敏感信息的要求。信息安全的獨(dú)立評(píng)審控制措施組織管理信息安全的方法及其實(shí)施

48、（例如信息安全的控制目標(biāo)、控制措施、策略、過程和程序）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審，當(dāng)安全實(shí)施發(fā)生重大變化時(shí)，也要進(jìn)行獨(dú)立評(píng)審。實(shí)施指南獨(dú)立評(píng)審應(yīng)由管理者啟動(dòng)。對(duì)于確保一個(gè)組織管理信息安全方法的持續(xù)的適宜性、充分性和有效性，這種獨(dú)立評(píng)審是必須的。評(píng)審應(yīng)包括評(píng)估安全方法改進(jìn)的機(jī)會(huì)和變更的需要，包括方針和控制目標(biāo)。這樣的評(píng)審應(yīng)由獨(dú)立于被評(píng)審范圍的人員執(zhí)行，例如內(nèi)部審核部門、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員應(yīng)具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。獨(dú)立評(píng)審的結(jié)果應(yīng)被記錄并報(bào)告給啟動(dòng)評(píng)審的管理者。這些記錄應(yīng)加以保持。如果獨(dú)立評(píng)審識(shí)別出組織管理信息安全的方法和實(shí)施不充分，或不符合信息安全

49、方針文件（見5.1.1）中聲明的信息安全的方向，管理者應(yīng)考慮糾正措施。其它信息對(duì)于管理人員應(yīng)定期評(píng)審（15.2.1）的范圍也可以獨(dú)立評(píng)審。評(píng)審方法包括會(huì)見管理者、檢查記錄或安全方針文件的評(píng)審。ISO 19011：2002，質(zhì)量和/或環(huán)境管理體系審核指南，也提供實(shí)施獨(dú)立評(píng)審的有幫助的指導(dǎo)信息，包括評(píng)審方案的建立和實(shí)施。15.3詳細(xì)說明了與運(yùn)行的信息系統(tǒng)獨(dú)立評(píng)審相關(guān)的控制和系統(tǒng)審核工具的使用。外部各方目標(biāo)：保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全。組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于引入外部方的產(chǎn)品或服務(wù)而降低。任何(rnh)外部方對(duì)組織信息處理設(shè)施的訪

50、問、對(duì)信息資產(chǎn)(zchn)的處理和通信(tng xn)都應(yīng)予以控制。若有與外部方一起工作的業(yè)務(wù)需要，它可能要求訪問組織的信息和信息處理設(shè)施、從外部方獲得一個(gè)產(chǎn)品和服務(wù)，或提供給外部方一個(gè)產(chǎn)品和服務(wù)，應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定涉及安全的方面和控制要求。在與外部方簽訂的合同中要商定和定義控制措施。與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別控制措施應(yīng)識(shí)別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允許訪問前實(shí)施適當(dāng)?shù)目刂拼胧?。?shí)施指南當(dāng)需要允許外部方訪問組織的信息處理設(shè)施或信息時(shí)，應(yīng)實(shí)施風(fēng)險(xiǎn)評(píng)估（見第4章）以識(shí)別特定控制措施的要求。關(guān)于外部方訪問的風(fēng)險(xiǎn)的識(shí)別應(yīng)考慮以下問題：外部方需要訪問的信息處理設(shè)施；外部

51、方對(duì)信息和信息處理設(shè)施的訪問類型，例如：物理訪問，例如進(jìn)入辦公室，計(jì)算機(jī)機(jī)房，檔案室；邏輯訪問，例如訪問組織的數(shù)據(jù)庫(kù)，信息系統(tǒng)；組織和外部方之間的網(wǎng)絡(luò)連接，例如，固定連接、遠(yuǎn)程訪問；現(xiàn)場(chǎng)訪問還是非現(xiàn)場(chǎng)訪問；所涉及信息的價(jià)值和敏感性，及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度；為保護(hù)不希望被外部方訪問到的信息所需的控制措施；與處理組織信息有關(guān)的外部方人員；能夠識(shí)別組織或人員如何被授權(quán)訪問、如何進(jìn)行授權(quán)驗(yàn)證，以及多長(zhǎng)時(shí)間需要再確認(rèn)；外部方在存儲(chǔ)、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制措施；外部方需要時(shí)無法訪問，外部方輸入或接收不正確的或誤導(dǎo)的信息的影響；處理信息安全事件和潛在破壞的慣例和程序，和當(dāng)發(fā)

52、生信息安全事件時(shí)外部方持續(xù)訪問的條款和條件；應(yīng)考慮與外部方有關(guān)的法律法規(guī)要求和其他合同責(zé)任；這些安排對(duì)其他利益相關(guān)人的利益可能造成怎樣的影響。除非已實(shí)施了適當(dāng)?shù)目刂拼胧?，才可允許外部方訪問組織信息，可行時(shí)，應(yīng)簽訂合同規(guī)定外部方連接或訪問以及工作安排的條款和條件，一般而言，與外部方合作引起的安全要求或內(nèi)部控制措施應(yīng)通過與外部方的協(xié)議反映出來（見6.2.2和6.2.3）。應(yīng)確保外部方意識(shí)到他們的責(zé)任，并且接受在訪問、處理、通信或管理組織的信息和信息處理設(shè)施所涉及的職責(zé)和責(zé)任。其它信息安全(nqun)管理不充分(chngfn)，可能(knng)使信息由于外部方介入而處于風(fēng)險(xiǎn)中。應(yīng)確定和應(yīng)用控制措施，

53、以管理外部方對(duì)信息處理設(shè)施的訪問。例如，如果對(duì)信息的保密性有特殊的要求，就需要使用不泄漏協(xié)議。如果外包程度高，或涉及到幾個(gè)外部方時(shí)，組織會(huì)面臨與組織間的處理、管理和通信相關(guān)的風(fēng)險(xiǎn)。6.2.2和6.2.3提出的控制措施涵蓋了對(duì)不同外部方的安排，例如，包括：服務(wù)提供商（例如互聯(lián)網(wǎng)服務(wù)提供商）、網(wǎng)絡(luò)提供商、電話服務(wù)、維護(hù)和支持服務(wù)；受管理的安全服務(wù)；顧客；設(shè)施和運(yùn)行的外包，例如，IT系統(tǒng)、數(shù)據(jù)收集服務(wù)、中心呼叫業(yè)務(wù)；管理者，業(yè)務(wù)顧問和審核員；開發(fā)者和提供商，例如軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和提供商；保潔、餐飲和其他外包支持服務(wù)；臨時(shí)人員、實(shí)習(xí)學(xué)生和其他臨時(shí)短期安排。這些協(xié)議有助于減少與外部方相關(guān)的風(fēng)險(xiǎn)

54、。處理與顧客有關(guān)的安全問題控制措施應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求。實(shí)施指南要在允許顧客訪問組織任何資產(chǎn)（依據(jù)訪問的類型和范圍，并不需要應(yīng)用所有的條款）前解決安全問題，應(yīng)考慮下列條款：資產(chǎn)保護(hù)，包括：保護(hù)組織資產(chǎn)（包括信息和軟件）的程序，以及對(duì)已知脆弱性的管理；判定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序；完整性；對(duì)拷貝和公開信息的限制；擬提供的產(chǎn)品或服務(wù)的描述；顧客訪問的不同原因、要求和利益；訪問控制策略，包括：允許的訪問方法，唯一標(biāo)識(shí)符的控制和使用，例如用戶ID和口令；用戶訪問和權(quán)限的授權(quán)過程；沒有明確授權(quán)的訪問均被禁止的聲明；撤消訪問權(quán)或中斷系統(tǒng)間連接的處

55、理；信息錯(cuò)誤(cuw)（例如個(gè)人信息的錯(cuò)誤）、信息安全事件(shjin)和安全違規(guī)(wi u)的報(bào)告、通知和調(diào)查的安排；每項(xiàng)可用服務(wù)的描述；服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別；監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利；組織和顧客各自的義務(wù)；相關(guān)法律責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如果協(xié)議涉及與其他國(guó)家顧客的合作，特別要考慮到不同國(guó)家的法律體系（也見15.1）；知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見15.1.2）以及任何合著作品的保護(hù)（見6.1.5）；其它信息與顧客訪問組織資產(chǎn)有關(guān)的安全要求，可能隨所訪問的信息處理設(shè)施和信息的不同而有明顯差異。這些安全要求應(yīng)在顧客協(xié)議中加以明確，包

56、括所有已確定的風(fēng)險(xiǎn)和安全要求（見6.2.1）。與外部方的協(xié)議也可能涉及多方。允許外部各方訪問的協(xié)議應(yīng)包括允許指派其他合格者，并規(guī)定他們?cè)L問和訪問有關(guān)的條件。處理第三方協(xié)議中的安全問題控制措施涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議，應(yīng)涵蓋所有相關(guān)的安全要求。實(shí)施指南協(xié)議應(yīng)確保在組織和第三方之間不存在誤解。組織應(yīng)使第三方的保證滿足自己的需要。為滿足識(shí)別的安全要求（見6.2.1），應(yīng)考慮將下列條款包含在協(xié)議中：信息安全方針；確保資產(chǎn)保護(hù)的控制措施，包括：保護(hù)組織資產(chǎn)（包括信息、軟件和硬件）的程序；所有需要的物理保護(hù)控制措施和

57、機(jī)制；確保防范惡意軟件（見10.4.1）的控制措施；判定資產(chǎn)是否受到損害（例如信息、軟件和硬件的丟失或修改）的程序；確保在協(xié)議終止時(shí)或在合同執(zhí)行期間雙方同意的某一時(shí)刻對(duì)信息和資產(chǎn)的返還或銷毀的控制措施；保密性、完整性、可用性和任何其他相關(guān)的資產(chǎn)屬性（見2.1.5）；對(duì)拷貝和公開信息，以及保密性協(xié)議的使用的限制（見6.1.5）；對(duì)用戶和管理員在方法、程序和安全方面的培訓(xùn)；確保用戶(yngh)意識(shí)到信息安全職責(zé)和問題；若適宜(shy)，人員(rnyun)調(diào)動(dòng)的規(guī)定；關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；一種清晰的報(bào)告結(jié)構(gòu)和商定的報(bào)告格式；一種清晰規(guī)定的變更管理過程；訪問控制策略，包括：導(dǎo)致必要的第三方訪

58、問的不同原因、要求和利益；允許的訪問方法，唯一標(biāo)識(shí)符（諸如用戶ID和口令）的控制和使用；用戶訪問和權(quán)限的授權(quán)過程；維護(hù)被授權(quán)使用可用服務(wù)的個(gè)人清單以及他們與這種使用相關(guān)的權(quán)利和權(quán)限的要求；沒有明確授權(quán)的所有訪問都要禁止的聲明；撤消訪問權(quán)或中斷系統(tǒng)間連接的處理；報(bào)告、通知和調(diào)查信息安全事件和安全違規(guī)以及違背協(xié)議中所聲明的要求的安排；提供的每項(xiàng)產(chǎn)品和服務(wù)的描述，根據(jù)安全分類（見7.2.1）提供可獲得信息的描述；服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別；可驗(yàn)證的性能準(zhǔn)則的定義、監(jiān)視和報(bào)告；監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利；審核協(xié)議中規(guī)定的責(zé)任、第三方實(shí)施的審核、列舉審核員的法定權(quán)限等方面的權(quán)利；建

59、立逐級(jí)解決問題的過程；服務(wù)連續(xù)性要求，包括根據(jù)一個(gè)組織的業(yè)務(wù)優(yōu)先級(jí)對(duì)可用性和可靠性的測(cè)度；協(xié)議各方的相關(guān)義務(wù)；有關(guān)法律的責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如果該協(xié)議涉及與其他國(guó)家的組織的合作，特別要考慮到不同國(guó)家的法律體系（也見15.1）；知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見15.1.2）以及任何合著作品的保護(hù)（見6.1.5）；涉及具有次承包商的第三方，應(yīng)對(duì)這些次承包商需要實(shí)施安全控制措施；重新協(xié)商/終止協(xié)議的條件：應(yīng)提供應(yīng)急計(jì)劃以處理任一方機(jī)構(gòu)在協(xié)議到期之前希望終止合作關(guān)系的情況；如果組織的安全要求發(fā)生變化，協(xié)議的重新協(xié)商；資產(chǎn)(zchn)清單(qngdn)、許可證、協(xié)議(xi

60、y)或與它們相關(guān)的權(quán)利的當(dāng)前文件。其它信息協(xié)議會(huì)隨組織和第三方機(jī)構(gòu)類型的不同發(fā)生很大的變化。因此，應(yīng)注意要在協(xié)議中包括所有識(shí)別的風(fēng)險(xiǎn)和安全要求（見6.2.1）。需要時(shí)，在安全管理計(jì)劃中擴(kuò)展所需的控制措施和程序。如果外包信息安全管理，協(xié)議應(yīng)指出第三方將如何保證維持風(fēng)險(xiǎn)評(píng)估中定義的適當(dāng)?shù)陌踩?，安全如何適于識(shí)別和處理風(fēng)險(xiǎn)的變化。外包和其他形式第三方服務(wù)提供之間的區(qū)別包括責(zé)任問題、交付期的規(guī)劃問題、在此期間潛在的運(yùn)行中斷問題、應(yīng)急規(guī)劃安排、約定的詳細(xì)評(píng)審以及安全事故信息的收集和管理。因此，組織計(jì)劃和管理外包安排的交付，并提供適當(dāng)?shù)倪^程管理變更和協(xié)議的重新協(xié)商/終止，這是十分重要的。需要考慮當(dāng)?shù)谌讲荒?/p>