信息安全管理業(yè)務手則(一)

信息安全管理業(yè)務手則(1)

前言

BS7799本部分內(nèi)容，即信息安全管理，是在BSI/DISC委員會BDD/2指導

下完成的。它取代了已經(jīng)停止使用的BS7799:1995o

BS7799由兩個部分構成：

a)第一部分：信息安全管理業(yè)務守則：

b)第二部分：信息安全管理系統(tǒng)規(guī)范。

RS7799-1首發(fā)于1995年,它為信息安全提供了一套全面綜合最佳實踐經(jīng)驗的

操縱措施。其R的是將信息系統(tǒng)用于工業(yè)與商業(yè)用途時為確定實施操縱措施的范

圍提供一個參考根據(jù)，同時能夠讓各類規(guī)模的組織所使用。

本標準使用組織這一術語，既包含廉利性組織，也包含諸如公共部門等非贏利性

組織。

1999年的修訂版考慮到最新的信息處理技術應用，特別是網(wǎng)絡與通訊的進展情

況。它也更加強調了信息安全所涉及的商業(yè)問題與責任問題。

本文檔所說明的操縱措施不可能完全適用于所有情況。它沒有考慮到本地系統(tǒng)、

環(huán)境或者技術上的制約因素。同時在形式上也不可能完全適合組織的所有潛在用

戶。因此，本文檔還需要有進一步的指導說明作為補充。比如，在制定公司策略

或者公司間貿(mào)易協(xié)定時，能夠使用本文檔作為一個基石。

BritishStandard作為一個業(yè)務守則，在形式上使用指導與建議結合的方式。在使

用時，不應該有任何條條框框，特別特別注意，不要由于要求遵守守則而因噎廢

食。

本標準在起草時就已經(jīng)假定一個前提條件，即標準的執(zhí)行對象是具有相應資格

的、富有經(jīng)驗的有關人士c附件A的信息非常豐富，其中包含一張表，說明了

1995年版各部分與1999年版各條款間的關系。BritishStandard無意包容合約

的所有必要條款。BritishStandards的用戶對他們正確使用本標準自負責任。

符合BritishStandard不代表其本身豁免法律義務。

什么是信息安全?

信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對一個組織來說是有價值的，

因此需要妥善進行保護。信息安全保護信息免受多種威脅的攻擊，保證業(yè)務連續(xù)

性,將業(yè)務缺失降至最少.同時最大限度地獲得投資I可報與利用商業(yè)機遇C信息

存在的形式多種多樣。它能夠打印或者寫在紙上，以電子文檔形式儲存，通過郵

寄或者電子手段傳播，以膠片形式顯示或者在交談中表達出來。不管信息的形式

如何，或者通過什么手段進行共享或者存儲，都應加以妥善保護。

信息安全具有下列特征：

a）保密性：確保只有通過授權的人才能訪問信息；

b）完整性：保護信息與信息的處理方法準確而完整；

c）可用性：確保通過授權的用戶在需要時能夠訪問信息并使用有關信息資

產(chǎn)。

信息安全是通過實施一整套適當?shù)牟倏v措施實現(xiàn)的。操縱措施包含策略、實踐、

步驟、組織結構與軟件功能。務必建立起一整套的操縱措施，確保滿足組織特定

的安全目標。

為什么需要信息安全

信息與支持進程、系統(tǒng)與網(wǎng)絡都是重要的業(yè)務資產(chǎn)。為保證組織富有競爭力，保

持現(xiàn)金流順暢與組織贏利，與遵紀守法與保護組織的良好商業(yè)形象，信息的保密

性、完整性與可用性是至關重要的。

各個組織及其信息系統(tǒng)與網(wǎng)絡所面臨的安全威脅與日俱增，來源也日益廣泛，包

含利用計算機欺詐、竊取機密、惡意詆毀破壞等行為與火災或者水災。危害的來

源多種多樣，如計算機病毒、計算機黑客行為、拒絕服務攻擊等等，這些行為呈

蔓延之勢遍、用意更加險惡，而且手段更加復雜。組織對信息系統(tǒng)與服務的依靠

意味著自身更容易受到安全威脅的攻擊。公共網(wǎng)絡與專用網(wǎng)絡的互聯(lián)與對信息資

源的共享，增大了對訪問進行操縱的難度C分布式計算盡管十分流行，但降低了

集中式方家級操縱措施的有效性。很多信息系統(tǒng)在設計時，沒有考慮到安全問題。

通過技術手段獲得安全保障十分有限，務必輔之以相應的管理手段與操作程序才

能得到真正的安全保障。確定需要使用什么操縱措施需要周密計劃，并對細節(jié)問

題加以注意。

作為信息安全管理的最基本要求，組織內(nèi)所有的雇員都應參與信息安全管理。信

息安全管理還需要供應商、客戶或者股東的參與。也需要參考來自組織之外的專

家的建議。

假如在制定安全需求規(guī)范與設計階段時就考慮到了信息安全的操縱措施，那么信

息安全操縱的成本會很低，并更有效率。

如何制定安全要求

組織確定自己的安全要求，這是安全保護的起點。安全要求有三個要緊來源。第

一個來源是對組織面臨的風險進行評估的結果。通過風險評估，確定風險與安全

漏洞對資產(chǎn)的威脅，并評價風險發(fā)生的可能性與潛在的影響。

笫二個來源是組織、其商業(yè)伙伴、承包商與服務提供商務必滿足的法律、法令、

規(guī)章與合約方面的要求。

第三個來源是?組專門的信息處理的原則、目標與要求，它們是組織為了進行信

息處理務必制定的。

評估安全風險

安全要求是通過對安全風險的系統(tǒng)評估確定的。應該將實施操縱措施的支出與安

全故障可能造成的商業(yè)缺失進行權衡考慮。風險評估技術適用于整個組織，或者

者組織的某一部分與獨立的信息系統(tǒng)、特定系統(tǒng)組件或者服務等。在這些地方，

風險評估技術不僅切合實際，而且也頗有助益。

進行風險評估需要系統(tǒng)地考慮下列問題：

a）安全故障可能造成的業(yè)務缺失，包含由于信息與其它資產(chǎn)的保密性、完整性

或者可用性缺失可能造成的后果；

b）當前要緊的威脅與漏洞帶來的現(xiàn)實安全問題，與目前實施的操縱措施。

評估的結果有助于指導用戶確定適宜的管理手段，與管理信息安全風險的優(yōu)先順

序，并實施所選的操縱措施來防范這些風險。務必多次重復執(zhí)行評估風險與選擇

操縱措施的過程，以涵蓋組織的不一致部分或者各個獨立的信息系統(tǒng)。

對安全風險與實施的操縱措施進行定期審查非常重要，目的是:

a）考慮業(yè)務要求與優(yōu)先順序的變更；

b）考慮新出現(xiàn)的安全威脅與漏洞；

c）確認操縱措施方法是否適當與有效。

應該根據(jù)往常的評估結果與管理層能夠同意的風險程度變化對系統(tǒng)安全執(zhí)行不

一致程度的審查。通常先在一個較高的層次上對風險進行評估（這是一種優(yōu)先處

理高風險區(qū)域中的資源的方法），然后在一個具體層次上處理特定的風險。

選擇操縱措施

一旦確定了安全要求，就應選擇并實施適宜的操縱措施，確保將風險降低到一個

可同意的程度。能夠從本乂檔或者其它操縱措施集合選擇適合的操縱措施，也能

夠設計新的操縱措施，以滿足特定的需求。管理風險有許多方法，本文檔提供了

常用方法的示例。但是，請務必注意,其中一些方法并不適用于所有信息系統(tǒng)或

者環(huán)境，而且可能不適用于所有組織。比如，8.1.4說明了如何劃分責任來防止

欺詐行為與錯誤行為。在較小的組織中很難將所有責任劃分清晰，因此需要使用

其它方法以達到同樣的操縱目的。

在降低風險與違反安全造成的潛在缺失時，應該根據(jù)實施操縱措施的成本選擇操

縱措施。還應該考慮聲譽受損等非貨幣因素。本文檔中的一些操縱措施能夠作為

信息安全管理的指導性原則，這些方法適用于大多數(shù)組織。在下文的“信息安全

起點”標題下，對此做了較為全面的解釋。

信息安全起點

很多操縱措施都能夠作為指導性原則，它們?yōu)閷嵤┬畔踩峁┝艘粋€很好的起

點。這些方法能夠是根據(jù)基本的法律要求制定的，也能夠從信息安全的最佳實踐

經(jīng)驗中獲得。

從規(guī)律規(guī)定的角度來看，對組織至關重要的操縱措施包含：

a）知識產(chǎn)權（參閱12.1.2）；

b）組織記錄的保護（參閱12.1.3）;

c）對數(shù)據(jù)的保護與個人信息的隱私權保護（參閱12.1.4）o

在保護信息安全的實踐中，非常好的常用操縱措施包含:

a）信息安全策略文檔〔參閱3.1.1）；

b）信息安全責任的分配（參閱4.1.3）;

c）信息安全教育與培譏（參閱6.2.1）；

d）報告安全事故（參閱6.3.1）;

e）業(yè)務連續(xù)性管理（參閱11.1）。

這些操縱措施適用于大多數(shù)組織，并可在大多數(shù)環(huán)境中使用。請注意，盡管本文檔中的所有文檔

都很重要，但一種方法是否適用，還是取決于一個組織所面臨的特定安全風險。因此，盡管使用

上述措施能夠作為一個很好的安全保護起點，但不能取代根據(jù)風險評估結果選擇操縱措施的要

求。

成功的關鍵因素

以往的經(jīng)驗說明，在組織中成功地實施信息安全保護，下列因素是非常關鍵的：

a）反映組織目標的安全策略、目標與活動；

b）與組織文化一致的實施安全保護的方法；

c）來自管理層的實際支持與承諾；

d）對安全要求、風險評估與風險管理的深入懂得；

e）向全體管理人員與雇員有效地推銷安全的理念；

f）向所有雇員與承包商宣傳信息安全策略的指導原則與標準；

g）提供適當?shù)呐嘤柵c教育；

h）一個綜合平衡的測量系統(tǒng)，用來評估信息安全管理的執(zhí)行情況與反饋意見

與建議，以便進一步改進。

制定自己的指導方針

業(yè)務規(guī)則能夠作為制定組織專用的指導原則的起點。本業(yè)務規(guī)則中的指導原則與

操縱措施并非全部適用。因此，還可能需要本文檔未包含的其它操縱措施。出現(xiàn)

上述情況時，各操縱措施之間相互參照很有用，有利于審計人員與業(yè)務伙伴檢查

是否符合安全指導原則。

目錄

1...........................................................................................................................................................................12

2術語與定義....................................................................13

2.1信息安全....................................................................13

2.2風險評估...................................................................13

2.3風險管理...................................................................13

3安全策略.....................................................................14

3.1信息安全策略..............................................................14

3.1.1信息安全策略文檔........................................................14

3.1.2審查評估..............................................................14

4組織的安全..............................................................15

4.1信息安全基礎設施...........................................................15

4.1.1管理信息安全論壇........................................................15

4.1.2信息安全的協(xié)調..........................................................15

4.1.3信息安全責任的劃分......................................................15

4.1.4信息處理設施的授權程序................................................16

4.1.5專家信息安全建議........................................................16

4.1.6組織間的合作............................................................16

4.1.7信息安全的獨立評審....................................................17

4.2第三方訪問的安全性.........................................................17

4.2.1確定第三方訪問的風險..................................................17

4.2.2第三方合同的安全要求..................................................18

4.3外包.......................................................................19

4.3.1外包合同的安全要求.....................................................19

5資產(chǎn)分類管理.................................................................20

5.1費產(chǎn)貢任...................................................................20

5.1.1資產(chǎn)目錄..............................................................20

5.2信息分類...................................................................20

5.2.1分類原則...............................................................20

5.2.2信息標識與處理.........................................................21

6人員安全.....................................................................22

6.1責任定義與資源管理的安全性.................................................22

6.1.1考慮工作責任中的安全因素...............................................22

6.1.2人員選拔策略............................................................22

6.1.3保密協(xié)議................................................................22

6.1.4雇傭條款與條件.........................................................22

62用戶培訓...................................................................23

6.2.1信息安全的教育叮培訓...................................................23

6.3對安全事故與故障的處理....................................................23

6.3.1安全事故報告...........................................................23

6.3.2安全漏洞報告............................................................23

6.3.3軟件故障報告...........................................................24

6.3.4從事故中吸取教訓.......................................................24

6.3.5紀律檢查程序...........................................................24

7實際與環(huán)境的安全..............................................................25

7.1安全區(qū).....................................................................25

7.1.1實際安全隔離帶.........................................................25

7.1.2安全區(qū)出入操縱措施...............................................25

7.1.3辦公場所、房屋與設施的安全保障.........................................26

7.1.4在安全區(qū)中工作...................................................26

7.1.5與其它區(qū)域隔離的交貨與裝我區(qū)域.........................................26

7.2設備的安全.................................................................27

7.2.1設備選址＞保護..........................................................27

7.2.2電源....................................................................28

7.2.3電纜安全................................................................28

7.2.4設備保護................................................................28

7.2.5場外設備的安全..........................................................28

7.2.6設備的安全處置與之用...................................................29

7.3常規(guī)操縱措施...............................................................29

7.3.1桌面與屏幕管理策略.....................................................29

7.3.2資產(chǎn)處置..............................................................30

8通信與操作管理...............................................................31

8.1操作程序與責任.............................................................31

8.1.1明確的操作程序.........................................................31

8.1.2操作變更操縱...........................................................31

8.L3事故管理程序...........................................................31

8.L4責任劃分................................................................32

8.1.5開發(fā)設施一運營設施分離.................................................32

8.1.6外部設施管理...........................................................33

8.2系統(tǒng)規(guī)劃與驗收.............................................................33

8.2.1容量規(guī)劃................................................................34

8.2.2系統(tǒng)驗收................................................................34

8.3防止惡意軟件...............................................................35

8.3.1惡意軟件的操縱措施.....................................................35

8.4內(nèi)務處理....................................................................36

8.4.1信息備份................................................................36

8.4.2操作人員FI志............................................................36

%1.3錯誤日志記錄............................................................36

8.5網(wǎng)絡管理...................................................................36

8.5.1網(wǎng)絡操縱措施...........................................................37

8.6介質處理與安全.............................................................37

8.6.1計算機活動介質的管理...................................................37

8.6.2介質處置................................................................37

8.6.3信息處理程序...........................................................38

8.6.1系統(tǒng)文檔的安全.........................................................38

8.7信息與軟件交換.............................................................38

8.7.1信息與軟件交換協(xié)議......................................................38

8.7.2傳輸中介質的安全.......................................................39

8.7.3電子商務安全............................................................39

8.7.4電子郵件安全............................................................40

8.7.5電子辦公系統(tǒng)安全........................................................40

8.7.6信息公布系統(tǒng)............................................................41

8.7.7其它的信息交換形正......................................................41

9訪問操縱.....................................................................43

9.1訪問操縱的業(yè)務要求........................................................43

9.1.1訪問操縱策略..........................................................43

9.2用戶訪問管理...............................................................44

9.2.1用戶注冊................................................................44

9.2.2權限管理................................................................44

9.2.3用戶口令管理............................................................45

9.2.4用戶訪問權限檢杳.......................................................45

9.3用戶責任...................................................................46

9.3.1口令的使用.............................................................46

9.3.2無人值守的用戶設備.....................................................46

9.4網(wǎng)絡訪問操縱...............................................................46

9.4.1網(wǎng)絡服務的使用策略......................................................47

9.4.2實施操縱的路徑.........................................................47

9.4.3外部連接的用戶身份驗證.................................................47

9.4.4節(jié)點驗證...............................................................48

9.4.5遠程診斷端口的保護.....................................................48

9.4.6網(wǎng)絡劃分................................................................48

9.4.7網(wǎng)絡連接操縱............................................................48

9.4.8網(wǎng)絡路由操縱............................................................49

9.1.9網(wǎng)絡服務安全............................................................49

9.5操作系統(tǒng)訪問操縱..........................................................50

9.5.1終端自動識別功能.......................................................50

9.5.2終端登錄程序...........................................................50

9.5.3用戶身份識別與驗證.....................................................50

9.5.4口令管理系統(tǒng)............................................................51

9.5.5系統(tǒng)有用程序的使用.....................................................51

9.5.6保護用戶的威脅報警.....................................................52

9.5.7終端超時...............................................................52

9.5.8連接時間限制...........................................................52

9.6應用程序訪問操縱..........................................................53

9.6.1信息訪問限制...........................................................53

9.6.2敏感系統(tǒng)的隔離.........................................................53

9.7監(jiān)控系統(tǒng)的訪問與使用.......................................................54

9.7.1事件日志記錄............................................................54

9.7.2監(jiān)捽系統(tǒng)的使用..........................................................54

9.7.3時鐘同步................................................................55

9.8移動計算與遠程工作........................................................56

9.8.1移動計算..............................................................56

9.8.2遠程工作..............................................................56

10系統(tǒng)開發(fā)與保護.............................................................58

10.1系統(tǒng)的安全要求...........................................................58

10.LI安全要求分析與說明...................................................58

10.2應用系統(tǒng)中的安全.......................................................58

10.2.1輸入數(shù)據(jù)驗證.........................................................58

10.2.2內(nèi)部處理的操縱.......................................................59

10.2.3消息驗證.............................................................59

10.2.1輸出數(shù)據(jù)驗證.........................................................60

10.3加密操縱措施.............................................................60

10.3.1加密操縱措施的使用策略...............................................60

10.3.2加密.................................................................60

10.3.3數(shù)字卷名.............................................................61

10.3.4不否認服務...........................................................61

10.3.5密鑰管理.............................................................61

10.4系統(tǒng)文件的安全..........................................................62

10.4.1操作軟件的操縱........................................................62

10.4.2系統(tǒng)測試數(shù)據(jù)的保護...................................................63

10.4.3對程序源代碼庫的訪問操縱.............................................63

10.5開發(fā)與支持過程中的安全...................................................63

10.5.1變更操縱程序.........................................................63

10.5.2操作系統(tǒng)變更的技術評審...............................................64

10.5.3對軟件包變更的限制...................................................64

10.5.4隱蔽通道與特洛伊代碼.................................................64

10.。5外包的軟件開發(fā).......................................................65

11業(yè)務連續(xù)性管理................................................................66

11.1業(yè)務連續(xù)性管理的特點....................................................66

ILL1業(yè)務連續(xù)性管理程序....................................................66

11.1.2業(yè)務連續(xù)性與影響分析..................................................66

11.1.3編寫與實施連續(xù)性計劃..................................................66

ILL4業(yè)務連續(xù)性計劃框架....................................................67

ILL5業(yè)務連續(xù)性計劃的檢查、保護與事新分析.................................67

12符合性.....................................................................69

12.1符合法律要求.............................................................69

12.1.1確定適用法律.........................................................69

12.L2知識產(chǎn)權（IPR）.......................................................69

12.1.3組織記錄的安全保障...................................................69

12.1.4個人信息的數(shù)據(jù)保護與安全.............................................70

12.1.5防止信息處理設施的濫用...............................................70

12.1.6加密操縱措施的調整...................................................71

12.L7證據(jù)收集.............................................................71

12.2安全策略與技術符合性的評審...............................................72

12.2.1符合安全策略..........................................................72

12.2.2技術符合性檢查........................................................72

12.3系統(tǒng)審計因素.............................................................72

12.3.1系統(tǒng)審計操縱措施......................................................72

12.3.2系統(tǒng)審計工具的保護....................................................73

范圍

BS7799本部分內(nèi)容為那些負責執(zhí)行或者保護組織安全的人員提供使用信息安

全管理的建議。目的是為制定組織安全標準與有效安全管理提供共同基礎，并提

高組織間相互協(xié)調的信心,

術語與定義

在說明本文檔用途中應用了下列定義。

信息安全

信息保密性、完整性與可用性的保護

注意

保密性的定義是確保只有獲得授權的人才能訪問信息。

完整性的定義是保護信息與處理方法的準確與完整。

可用性的定義是確保獲得授權的用戶在需要時能夠訪問信息并使用有關信息資

產(chǎn)。

風險評估

評估信息安全漏洞對信息處理設備帶來的威脅與影響及其發(fā)生的可能性

風險管理

以能夠同意的成本，確認、操縱、排除可能影響信息系統(tǒng)的安全風險或者將其帶

來的危害最小化的過程

安全策略

信息安全策略

目標:提供管理指導,保證信息安全。

管理層應制定一個明確的安全策略方向，并通過在整個組織中公布與保護信息安

全策略，說明自己對信息安全的支持與保護責任。

信息安全策略文檔

策略文檔應該由管理層批準，根據(jù)情況向所有員工公布傳達。文檔應說明管理人

員承擔的義務與責任，并制定組織的管理信息安全的步驟。至少應包含下列指導

原則：

a）信息安全的定義、其總體目標及范圍與安全作為‘呆障信息共享的機制所具

有的重要性（參閱簡介）；

b）陳述信息安全的管理意圖、支持目標與指導原貝!；

c）簡要說明安全策略、原則、標準與需要遵守的各項規(guī)定。這對組織非常重

要，比如：

1）符合法律與合約的要求；

2）安全教育的要求；

3）防止并檢測病毒與其它惡意軟件;

4）業(yè)務連續(xù)性管理;

5）違反安全策略的后果；

d）確定信息安全管理的通常責任與具體責任，包含報告安全事故；

e）參考支持安全策略的有關文獻，比如針對特定信息系統(tǒng)的更為詳盡的安全

策略與方法與用戶應該遵守的安全規(guī)則。安全策略應該向組織用戶傳達，

形式上是針對目標讀者，并為讀者同意與懂得。

審查評估

每個策略應該有一個負責人，他根據(jù)明確規(guī)定的審查程序計策略進行保護與審

So審杳過程應該確保在發(fā)生影響最初風險評估的基礎的變化（如發(fā)生重大安全

事故、出現(xiàn)新的漏洞與組織或者技術基礎結構發(fā)生變更）時，計策略進行相應的

審查。還應該進行下列預定的、階段性的審查：

a）檢查策略的有效性，通過所記錄的安全事故的性質、數(shù)量與影響反映出來;

b）操縱措施的成本及其業(yè)務效率的影響；

c）技術變化帶來的影響。

組織的安全

信息安全基礎設施

目標:管理組織內(nèi)部的信息安全。

應該建立管理框架，在組織內(nèi)部開展與操縱信息安全的管理實施。應該建立有管

理領導層參加的管理論壇，以批準信息安全策略、分配安全責任并協(xié)調組織范圍

的安全策略實施。根據(jù)需要，應該建立專家提出信息安全建議的渠道，并供整個

組織使用。建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標準與

評估方法同步，并在處理安全事故時汲取他們的觀點。應該鼓勵使用跨學科跨范

圍的信息安全方法，比如，讓管理人員、用戶、行政人員、應用程序設計人員、

審計人員與安全人員與專家協(xié)同工作，讓他們參與保險與風險管理的工作。

管理信息安全論壇

信息安全是一種由管理團隊所有成員共同承擔的業(yè)務責任。應該建立一個管理論

壇，確保對安全措施有一人明確的方向并得到管理層的實際支持。論壇應通過合

理的責任分配與有效的資源管理促進組織內(nèi)部安全。該淪壇能夠作為目前管理機

構的一個構成部分。通常，論壇有下列作用：

a）審查與核準信息安全策略與總體責任；

b）當信息資產(chǎn)暴露受到嚴重威脅時，監(jiān)視重大變化；

c）審查與監(jiān)控安全事故；

d）審核加強信息安全的重要活動。

一個管理人員應負責所有與安全有關的活動。

信息安全的協(xié)調

在大型組織中，需要建立一個與組織規(guī)模相宜的跨部門管理論壇，由組織有關部

門的管理代表參與，通過論壇協(xié)調信息安全操縱措施的實施情況。

通常，這類論壇：

a）就整個公司的信息安全的作用與責任達成一致；

b）就信息安全的特定方法與處理過程達成一致，如風險評估、安全分類系統(tǒng);

c）就整個公司的信息安全活動達成一致并提供支持，比如安全警報程序；

d）確保將安全作為制定信息計劃的一個部分;

e）對操縱措施是否完善進行評估，并協(xié)調新系統(tǒng)或者新服務的特定信息安全

操縱措施的實施情況；

0審查信息安全事故；g）在整個組織中增加對信息安全工作支持的力度。

信息安全責任的劃分

應該明確保護個人資產(chǎn)與執(zhí)行具體安全程序步驟的責任。信息安全策略（請參閱

條款3）應提供在組織內(nèi)分配安全任務與責任的通常指導原則。假如需要，能夠

為特定的站點、系統(tǒng)或者服務補充更加全面的指導原則。應明確說明對各個實際

資產(chǎn)與信息資產(chǎn)與安全進程（如業(yè)務連續(xù)性規(guī)劃）的保護責任。

在很多組織中，指定信息安全管理員負責開展與實施安全保護，并借助確定操縱

措施。但是，資源管理與實施操縱措施仍由各個管理人員負責。一種常用的方法

是為每項信息資產(chǎn)指定一個所有者，并由他負責該資產(chǎn)的日常安全問題。

信息資產(chǎn)的所有者將其所承擔的安全責任委托給各個管理人員或者服務提供商。

盡管所有者仍對該資產(chǎn)的安全負有最終責任，但能夠確定被委托的人是否正確履

行了責任。一定要明確說明各個管理人員所負責的范圍;特別是要明確下列范圍。

a）務必確定并明確說明由誰負責各類資產(chǎn)與與每個系統(tǒng)有關的安全進程。

b）應該確定負責各個資產(chǎn)與安全進程的管理人員，并記錄責任的具體落實情

況。

c）應明確規(guī)定授權級別并進行備案。

信息處理設施的授權程序

關于新的信息處理設施，應該制定管理授權程序。

應考慮下列問題。

a）新設施應獲得適當?shù)挠脩艄芾韺徍?，授權新設施的范圍與使用。應獲得負

責保護本地信息系統(tǒng)安全環(huán)境的管理人員的批準，以確保符合所有有關安

全策略與要求。

b）假如需要，應檢查硬件與軟件以確保它們與其它系統(tǒng)組件兼容。

c）請注意，某些連接可能需要對類型進行核實。

d）使用個人信息處理工具處理業(yè)務信息與其它必要的操縱措施應得到授權。

e）在工作場所使用個人信息處理工具會帶來新的漏洞，因此需要進行評估與

授權。

在聯(lián)網(wǎng)的環(huán)境中，這些操縱措施特別重要。

專家信息安全建議

很多組織都需要專家級的信息安全建議。理想情況下，一位資深的全職信息安全

顧問應該提出下列建議。并不是所有組織都希望雇傭專家顧問。在這種情況下，

我們建議專家負責協(xié)調公司內(nèi)部的知識與經(jīng)驗資源，以確保協(xié)調一致，并在安全

決策方面提供幫助。各個組織應該與公司以外的顧問保持聯(lián)系，在自己不熟悉的

領域，傾聽他們的專門建議。

信息安全顧問或者其它專家應負責為信息安全的各類問題提供建議，這些意見既

能夠來自他們本人，也能夠來自外界。組織的信息安全工作的效率如何，取決于

他們對安全威脅評估的質量與建議使用的操縱措施。為得到最高的效率與最好的

效果，信息安全顧問能夠直接與管理層聯(lián)系。

在發(fā)生可疑的安全事故或者破壞行為時，應盡早向信息安全顧問或者其它專家進

行咨詢，以得到專家的指導或者可供研究的資源。盡管多數(shù)內(nèi)部安全調查是在管

理層的操縱卜進行的，但仍然應該邀請安全顧問，傾聽他們的建議，或者由他們

領導、實施這一-調研活動C

組織間的合作

與執(zhí)法機關、管理部門、信息服務提供商與通信運營商簽署的合同應保證：在發(fā)

生安全事故時，能迅速采取行動并獲得建議。同樣的，也應該考慮加入安全組織

與業(yè)界論壇。

應嚴格限制對安全信息的交換，以確保組織的保密信息沒有傳播給未經(jīng)授權的

人。

信息安全的獨立評審

信息安全策略文檔（參見3.1.1）制定了信息安全的策略與賁任。務必對該文檔

的實施情況進行獨立審查，確保組織的安全實踐活動不僅符合策略的要求，而且

是靈活高效的。（參見12.2）。審查工作應該由組織內(nèi)部的審計職能部門、獨

立管理人員或者專門提供此類服務的第三方組織負責執(zhí)行，而且這些人員務必具

備相應的技能與經(jīng)驗。

第三方訪問的安全性

目標:保護第三方訪問的組織信息處理設施與信息資產(chǎn)的安全性。

要嚴格操縱第三方對組織的信息處理設備的使用。

假如存在對第三方訪問的業(yè)務需求，務必進行風險評估，以確定所涉及的安全問

題與操縱要求。務必與第三方就操縱措施達成一致，并在合同中規(guī)定。

第三方的訪問可能涉及到其它人員。授予第三方訪問權限的合約應該包含同意指

定其它符合條件的人員進行訪問與有關條件的規(guī)定條款。

在制定這類合約或者考慮信息處理外包時，能夠將本標準作為?個基礎。

確定第三方訪問的風險

訪問類型

同意第三方使用的訪問類型非常重要。比如，通過網(wǎng)絡連接進行訪問所帶來的風

險與實際訪問所帶來的風險截然不一致。應考慮的訪問類型有：

a）實際訪問，如對辦公室、計算機房、檔案室的訪問；

b）邏輯訪問，如對組織的數(shù)據(jù)庫、信息系統(tǒng)的訪問。

訪問理由

同意第三方訪問有下列理由。比如，某些向組織提供服務的第三方不在工作現(xiàn)場,

但能夠授予他們物理與邏輯訪問的權限，諸如：

a）硬件與軟件支持人員，他們需要訪問系統(tǒng)級別或者低級別的應用程序功

能；

b）貿(mào)易伙伴或者該組織創(chuàng)辦的合資企業(yè),他們與組織交換信息、訪問信息系

統(tǒng)或者共享數(shù)據(jù)庫,

假如不進行充分的安全管理就同意第三方訪問數(shù)據(jù)，貝！信息被置于很危險的境

地。凡有業(yè)務需要與第三方連接時，就需要進行風險評估，以確定具體的操縱措

施要求。還需要考慮下列因素：所需的訪問類型、信息的價值、第三方所使用的

操縱措施與該訪問對該組織信息的安全性可能帶來的影響。

現(xiàn)場承包商

按照合約的規(guī)定，第三方在現(xiàn)場工作一段時間后也會留下導致安全隱患。第三方

在現(xiàn)場的情況有：

a）硬件與軟件的支持保護人員；

b）清潔人員、送餐人員、保安與其它外包的支持服務人員；

c）為學生提供的職位與其它臨時性的短期職位;

d）咨詢?nèi)藛T。

要對第三方使用信息處理設備進行管理，熟悉要使用什么操縱措施是至關重要

的。通常，第三方訪問會帶來新的安全要求或者內(nèi)部操縱措施，這些都應該在與

第三方的合同中表達出來（另請參見4.2.2）o比如，假如對信息的保密性有特

殊的要求，應簽署保密協(xié)議（參見6.1.3）o

只有實施了相應的操縱措施，并在合同中明確規(guī)定了連接或者訪問的條款，才能

同意第三方訪問信息與使用信息處理設備。

第三方合同的安全要求

第三方對組織信息處理設施的訪問,應該根據(jù)包含所有必耍安全要求的正式合同

地行，確保傷吉組織的安全策咯與標準。應確保組織與第三方之間對合同內(nèi)容不

存在任何歧義。為滿足供應商，組織應首先滿足自己。在合約中應考慮下列條款:

a）信息安全的常規(guī)策略；

b）對資產(chǎn)的保護，包含：

1）保護包含信息與軟件在內(nèi)的組織資產(chǎn)的步驟；

2）確認資產(chǎn)的安全是否受到威脅的步驟，如數(shù)據(jù)丟失或者被修改；

3）相應的操縱措施，以保證在合同終止時，或者在合同執(zhí)行期間某個雙

方認可的時間點，將信息與資產(chǎn)歸還或者銷毀；

4）完整性與可用性；

5）嚴格限制復制信息與泄露信息：

c）說明每個可提供的服務；

d）期望的服務水平與不可同意的服務水平;

e）在適當?shù)臅r候撤換員工的規(guī)定;

f）達成各方義務的協(xié)議；

g）與法律*務有關的女任（比如，數(shù)據(jù)保護法規(guī)）。假如合同涉及到與其它

國家的組織進行合作，應考慮到各個國家法律系統(tǒng)之間的差異（另語參見

12.1）;

h）知識產(chǎn)權（IPRs）與版權轉讓（參見12.1.2）與對合著的保護（另請參見

6.1.3）;

i）訪問操縱協(xié)議，包含：

1）同意使用的訪叵方法，與操縱措施與對唯一標識符的使用，如用戶ID

與口令；

2）用戶訪問與權限的授權程序；

3）保留得到有權使用服務的人員消單，與他們具體享有那些權限與權限;

j）確定可核實的執(zhí)行標準、監(jiān)視及報告功能；

k）監(jiān)視、撤消用戶活動的權限；

1）審計合同責任或者將審計工作交由第三方執(zhí)行的權限；

m）建立?種解決問題的漸進過程；在需要時應要考慮如何執(zhí)行應急措施；

n）與硬件與軟件安裝保護有關的責任；

o）明晰的報告結構與雙方認可的報告格式；

P）變更管理的明確制定過程；

q）所需的物理保護操縱措施與機制，以確保所有操作都符合操縱措施的要

求；

r）對用戶與管理員進行的方法、步驟與安全方面的培訓：

s）保證免受惡意軟件攻擊的操縱措施（參見8.3）;

t）規(guī)定如何報告、通知與調查安全事故與安全違反行為；

u）第三方與分包商之間的參與關系。

外包

目標:在將信息處理責任外包給另一組織時保障信息安全。

在雙方的合同中，外包協(xié)議應闡明信息系統(tǒng)、網(wǎng)絡與/或者桌面環(huán)境中存在的風

險、安全操縱措施與方法步驟。

外包合同的安全要求

假如將所有或者部分信息系統(tǒng)、網(wǎng)絡與/或者桌面環(huán)境的管理與操縱進行外包，

則應在雙方簽定的合同中反映組織的安全要求。

比如，合同中應闡明：

a）如何符合法律要求，如數(shù)據(jù)保護法規(guī)；

b）應該如何規(guī)定保證外包合同中的參與方（包含轉包商）都熟悉各自的安全

責任；

c）如何保護并檢測組織的業(yè)務資產(chǎn)的完整性與保密性；

d）應該使用何種物理與邏輯操縱措施，限制授權用戶對蛆織的敏感業(yè)務信息

的訪問；

e）在發(fā)生災難事故時，如何保護服務的可用性；

f）為外包出去的設備提供何種級別的物理安全保撲；

g）審計人員的權限。

合同中應該包含4.2.2中的列表列出的條款。合同應同意在安全管理計劃全面

說明安全要求與程序步驟移植，使合同雙方就此達成一致。

盡管外包合同會帶來一些復雜的安全問題，本業(yè)務規(guī)則中的操縱措施能夠作為一

個認可安全管理計劃的結構與內(nèi)容的起點。

資產(chǎn)分類管理

資產(chǎn)責任

目標:對組織資產(chǎn)進行適當?shù)谋Ｗo。

所有要緊的信息資產(chǎn)應進行登記，并指定資產(chǎn)的所有人。

確定資產(chǎn)的貢任幫助確保能夠提供適當?shù)谋Ｗo。

應確定所有要緊資產(chǎn)的所有者，并分配保護該資產(chǎn)的責任。

能夠委托負責實施操縱措施的責任。資產(chǎn)的責任由資產(chǎn)的指定所有責負責。

資產(chǎn)目錄

資產(chǎn)清單能幫助您確保對資產(chǎn)實施有效的保護，也能夠用于其它商業(yè)目的，如保

健、金融保險等（資產(chǎn)評估）。編輯資產(chǎn)清單的過程是資產(chǎn)評估的一個重要方面。

組織應確定其資產(chǎn)及其相對價值與重要性。利用以上信息，組織能夠根據(jù)資產(chǎn)的

重要性與價值提供相應級別的保護。應該為每個信息系統(tǒng)的關聯(lián)資產(chǎn)草擬并儲存

一份清單。應該明確確認每項資產(chǎn)及其所有權與安全分類。（參見5.2）各方就

此達成一致并將其當前狀況進行備案（這一點在資產(chǎn)發(fā)生損壞，進行索賠時非常

企要）。與信息系統(tǒng)有關聯(lián)的資產(chǎn)示例有：

a）信息資產(chǎn)：數(shù)據(jù)庫與數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓材料、操作或

者支持步驟、連續(xù)性計劃、退守計劃、歸檔信息；

b）軟件資產(chǎn)：應用程序軟件、系統(tǒng)軟件、開發(fā)工具與有用程序;

c）物質資產(chǎn)：計算機設備（處理器、監(jiān)視器、膝上型電腦、調制解調器）、

通訊設備（路由器、PABX、傳真機、應答機）、磁介質（磁帶與磁盤）、

其它技術設備（電源、空調器）、家具、機房；

d）服務：計算與通訊服務、常用設備，如加熱器、照明設備、電源、空調。

信息分類

目標:保證信息資產(chǎn)得到適當?shù)谋Ｗo。

應該對信息分類，指明其需要、優(yōu)先順序與保護級別。

信息的敏感程度與關鍵程度各不相同。有些信息需要加強保護或者進行特別對

待。能夠使用信息分類系統(tǒng)定義合適的保護級別，并解釋對特別處理手段的需要。

分類原則

在對信息進行分類并制定有關的保護性操縱措施時，應該考慮下列問題：對共享

信息或者限制信息共享的業(yè)務需求，與與這種需求有關的業(yè)務影響，如對信息未

經(jīng)授權的訪問或者損害。通常，對信息的分類是確定如何處理與保護信息的簡略

方法。應按照信息的價值與關于組織的敏感程度，對信息與系統(tǒng)處理分類數(shù)據(jù)的

結果進行分類。也能夠按信息對組織的關鍵程度分類，如按照其可用性與完整性

分類。

通過一段時間后，比如該信息已被公之于眾，信息就變得不那么敏感與重要了。

務必將這些問題考慮在內(nèi)，分類過粗會導致不必要的額外業(yè)務開銷