信息安全管理體系——規(guī)范與使用指南

1、ISO7799-2:2002信息安全管理體系    英國(guó)標(biāo)準(zhǔn)BS7799-2:2002  信息安全管理體系規(guī)范與使用指南                目 錄前言0 介紹01總則02過(guò)程方法0 0  3其他管理體系的兼容性1 范圍11概要12應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求 41總則 42建立和管理信息安全管理體系421建立信息安全管理體系422實(shí)施和運(yùn)營(yíng)(對(duì)照中文ISO

2、9001確認(rèn))？信息安全管理體系423監(jiān)控和評(píng)審信息安全管理體系424維護(hù)和改進(jìn)信息安全管理體系 43文件化要求431總則432文件控制433記錄控制5管理職責(zé)51管理承諾？（對(duì)照中文ISO9001確認(rèn)）52資源管理521資源提供 522培訓(xùn)、意識(shí)和能力6信息安全管理體系管理評(píng)審 61總則 62評(píng)審輸入？（對(duì)照中文ISO9001確認(rèn)） 63評(píng)審輸出？（對(duì)照中文IS9001確認(rèn)）7信息安全管理體系改進(jìn) 71持續(xù)改進(jìn) 72糾正措施 73預(yù)防措施附件A（有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施 A1介紹 A2最佳實(shí)踐指南 A3安全方針 A4組織安全 A5資產(chǎn)分級(jí)和控制 A6人事安全 A7實(shí)體和環(huán)境安全 A8通

3、信與運(yùn)營(yíng)安全 A9訪問(wèn)控制A10系統(tǒng)開(kāi)發(fā)和維護(hù) A11業(yè)務(wù)連續(xù)性管理 A12符合 附件B（情報(bào)性的）本標(biāo)準(zhǔn)使用指南B1概況 B.1.1PDCA模型 B.1.2計(jì)劃與實(shí)施 B.1.3檢查與改進(jìn) B.1.4控制措施小結(jié)B2計(jì)劃階段 B.2.1介紹 B.2.2信息安全方針 B.2.3信息安全管理體系范圍 B.2.4風(fēng)險(xiǎn)識(shí)別與評(píng)估 B2.5風(fēng)險(xiǎn)處理計(jì)劃B3實(shí)施階段 B.3.1介紹 B.3.2資源、培訓(xùn)和意識(shí) B.3.3風(fēng)險(xiǎn)處理B4實(shí)施階段 B.4.1介紹 B.4.2常規(guī)檢查 B.4.3自我監(jiān)督程序 B.4.4從其它事件中學(xué)習(xí) B.4.5審核 B.4.6管理評(píng)審 B.4.7趨勢(shì)分析B5改進(jìn)階段

4、 B.5.1介紹 B.5.2不符合項(xiàng) B.5.3糾正和預(yù)防措施 B.5.4OECD原則和BS7799-2附件C(情報(bào))ISO9001:2000、ISO14001與BS7799-2：2002條款對(duì)照0 介紹01 總則本標(biāo)準(zhǔn)的目的是為管理者和他們的員工們提供建立和管理一個(gè)有效的信息安全管理體系（信息安全管理體系）有模型。采用信息安全管理體系應(yīng)當(dāng)是一項(xiàng)組織的戰(zhàn)略決策。一個(gè)組織信息安全管理體系的設(shè)計(jì)和實(shí)施受運(yùn)營(yíng)需求、具體目標(biāo)、安全需求、所采用的過(guò)程及該組織的規(guī)模和結(jié)構(gòu)的影響。上述因素和他們的支持過(guò)程會(huì)不斷發(fā)生變化。希望簡(jiǎn)單的情況使用簡(jiǎn)單的信息安全解決方案。 本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織

5、使用，評(píng)定一個(gè)組織符合其本身的需要及客戶和法律的要求的能力。 02過(guò)程方法本標(biāo)準(zhǔn)鼓勵(lì)采用過(guò)程的方法建立、實(shí)施、和改進(jìn)組織的信息安全管理體系的有效性。 為使組織有效動(dòng)作，必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)。通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)可視為過(guò)程。通常，一個(gè)過(guò)程的輸出直接形成了下一個(gè)過(guò)程的輸入。組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用，連同這些過(guò)程的識(shí)別和相互作用及其慣例，課程只為：“過(guò)程方法”。過(guò)程的方法鼓勵(lì)使用者強(qiáng)調(diào)以下方面的重要性：a） a）  理解業(yè)務(wù)動(dòng)作對(duì)信息安全的需求和建立信息安全方針和目標(biāo)的需要；b） b）  在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施和動(dòng)

6、作控制措施；c） c）  監(jiān)控和評(píng)審信息安全管理體系的有效性和績(jī)效；d） d）  在客觀的測(cè)量，持續(xù)改進(jìn)過(guò)程。本標(biāo)準(zhǔn)采用的模型就是說(shuō)眾所周知的“Plan策劃-Do實(shí)施-Check檢查-Act處置”（PDCA）模型，適用于所有信息安全管理體系的過(guò)程。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望，通過(guò)必要的行動(dòng)措施和過(guò)程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。圖一同時(shí)展示了4、5、6和7章中所提出的過(guò)程聯(lián)系。 例1一個(gè)需求是信息安全事故不要引起組織的財(cái)務(wù)損失和/或引起高層主管的尷尬。例2一個(gè)期望可以是如果嚴(yán)重的事故發(fā)生

7、-如：組織的電子商務(wù)網(wǎng)站被黑客入侵將有被培訓(xùn)過(guò)的員工通過(guò)適用的程序減少其影響。 注：名詞“程序”，從傳統(tǒng)來(lái)講，用在信息安全方面意味著員工工作的過(guò)程，而不是計(jì)算機(jī)或其它電子概念。        PDCA模型應(yīng)用與信息安全管理體系過(guò)程   計(jì)劃PLAN 建立ISMS   相關(guān)單位    管理狀態(tài)下的信息安全  相關(guān)單位    信息安全需求和期望   實(shí)施和運(yùn)作I

8、SMS維護(hù)和改進(jìn)ISMS 實(shí)施 改進(jìn) 監(jiān)控和評(píng)審ISMS用 DO ACTION    檢查CHECK  計(jì)劃（建立信息安全管理體系） 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的安全方針、目標(biāo)、目的、過(guò)程和程序，以達(dá)到與組織整體方針和 目標(biāo)相適應(yīng)的結(jié)果。 實(shí)施（實(shí)施和動(dòng)作信息安全管理體系 實(shí)施和動(dòng)作信息安全方針、控制措施、過(guò)程和程序。 檢查（監(jiān)控和評(píng)審信息安全管理體系） 針對(duì)安全方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)等評(píng)審和（如果適用） 職測(cè)量過(guò)程的績(jī)效并向管理層報(bào)告結(jié)果供評(píng)審使用。 改進(jìn)（維護(hù)和改進(jìn)信息安全管理體系） 在管理評(píng)審的結(jié)果的基礎(chǔ)上，采取糾

9、正和預(yù)防措施以 持續(xù)改進(jìn)信息安全管理體系。 03與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001：2000與ISO16949：1996相結(jié)合以支持實(shí)施和動(dòng)作安全體系的一致性和整合。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對(duì)應(yīng)關(guān)系，本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。            1 范圍11概要本標(biāo)準(zhǔn)提供在組織整個(gè)動(dòng)作風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)一個(gè)文件化的信息安全管理體系的模型。它規(guī)范了對(duì)定制

10、實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)部分的需求。（附錄B提供使用規(guī)范的指南）。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護(hù)信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。這將轉(zhuǎn)化為維護(hù)和提高競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。  12應(yīng)用本標(biāo)準(zhǔn)規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。當(dāng)本標(biāo)準(zhǔn)的任何要求因組織及其產(chǎn)品的特點(diǎn)而不適用時(shí)，可以考慮對(duì)其進(jìn)行刪減。除非刪減不影響組織的能力、和/或責(zé)任提供符合由風(fēng)險(xiǎn)評(píng)估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。任何能夠滿足風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證

11、明相關(guān)風(fēng)險(xiǎn)被負(fù)責(zé)人員正當(dāng)?shù)亟邮堋?duì)于條款4，5，6和7的要求的刪減不能接受。  2引用標(biāo)準(zhǔn) ISO9001：2000質(zhì)量管理體系-要求 ISO/IEC17799：2000信息技術(shù)信息安全管理實(shí)踐指南 ISO指南73：2001風(fēng)險(xiǎn)管理指南-名詞   3名詞和定義從本英國(guó)標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。31可用性 保證被授權(quán)的使用者需要時(shí)能夠訪問(wèn)信息及相關(guān)資產(chǎn)。BS ISO/IEC17799：200032保密性保證信息只被授權(quán)的人訪問(wèn)。BS ISO/IEC17799：200033信息安全安全保護(hù)信息的保密性、完整性和可用性34信息安全管理體系（

12、信息安全管理體系）是整個(gè)管理體系的一部分，建立在運(yùn)營(yíng)風(fēng)險(xiǎn)的方法上，以建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全。注：管理體系包括組織的架構(gòu)、方針、策劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源。35完整性保護(hù)信息和處理方法的準(zhǔn)確和完整。BS ISO/IEC17799：200036風(fēng)險(xiǎn)接受接受一個(gè)風(fēng)險(xiǎn)的決定ISO Guide 7337風(fēng)險(xiǎn)分析系統(tǒng)地使用信息識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)ISO Guide 7338風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程ISO Guide 73 39風(fēng)險(xiǎn)評(píng)價(jià)把估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)相比較，確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程。ISO Guide 73310風(fēng)險(xiǎn)管理指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)

13、合行動(dòng)311風(fēng)險(xiǎn)處理選擇和實(shí)施措施以更改風(fēng)險(xiǎn)的處理過(guò)程ISO Guide 73312適用性聲明描述適用于組織的信息安全管理體系范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是建立在風(fēng)險(xiǎn)評(píng)估和處理過(guò)程的結(jié)論和結(jié)果基礎(chǔ)上。4信息安全管理體系要求41總要求組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全管理體系。為滿足該標(biāo)準(zhǔn)的目的，使用的過(guò)程建立在圖一所示的PDCA模型基礎(chǔ)上。42建立和管理信息安全管理體系421建立信息安全管理體系組織應(yīng)：a） a）  應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全管理體系的范圍。b） b）  

14、60; 應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全管理體系的方針，方針應(yīng)：1） 1）  包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則。2） 2）    考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。3） 3）    建立組織戰(zhàn)略和風(fēng)險(xiǎn)管理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。4） 4）    建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。5） 5）    經(jīng)管理層批準(zhǔn)c） c）  確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安

15、全管理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可接受的水平。確定接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和識(shí)別可接受風(fēng)險(xiǎn)的水平見(jiàn)5.1fd） d）  確定風(fēng)險(xiǎn)：1） 1）  在信息安全管理體系的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人2） 2）  識(shí)別對(duì)這些資產(chǎn)的威脅3） 3）  識(shí)別可能被威脅利用的脆弱性4） 4）  別資產(chǎn)失去保密性、完整性和可用性的影響e） e）  評(píng)價(jià)風(fēng)險(xiǎn)1） 1）  評(píng)估由于安全故障帶來(lái)的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2）  評(píng)估與這

16、些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施；3） 3）  估計(jì)風(fēng)險(xiǎn)的等級(jí)4） 4）  確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理；f） f）   識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施：可能的行動(dòng)包括：1） 1）  應(yīng)用合適的控制措施2） 2）  知道并有目的地接受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)3） 3）  避免風(fēng)險(xiǎn)；4） 4）  轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)，供應(yīng)商等。g） g）  選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)： 應(yīng)從本標(biāo)準(zhǔn)附件

17、A中列出的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果調(diào)整。注意：附件A中列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h） h）  準(zhǔn)備一份適用性聲明。從上面4.2.1（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄；i） i）    提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和動(dòng)作信息安全管理體系。422實(shí)施和運(yùn)作信息安全管理體系組織應(yīng)：a） a）  識(shí)別合適的管理行動(dòng)和確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序（即：風(fēng)險(xiǎn)處理

18、計(jì)劃）-見(jiàn)條款5；b） b）  實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任。c） c）  實(shí)施在4.2.1（g）選擇的控制目標(biāo)和措施d） d）  培訓(xùn)和意識(shí)見(jiàn)5.2.2;e） e）  管理動(dòng)作過(guò)程；f） f）   管理資源見(jiàn)5.2；g） g）  實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的控制措施。423監(jiān)控和評(píng)審信息安全管理體系組織應(yīng)：a） a）  執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1）  實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤；2） 2）  及時(shí)識(shí)別失敗和成功的安全破壞

19、和事故；3） 3）  能夠使管理層確定分派給員工的或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo)；4） 4）  確定解決安全破壞的行動(dòng)是否反映了運(yùn)營(yíng)的優(yōu)先級(jí)。b） b）  進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審（包括符合安全方針和目標(biāo)，及安全控制措施的評(píng)審）考慮安全評(píng)審的結(jié)果、事故、來(lái)自所有利益相關(guān)方的建議和反饋；c） c）  評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1） 1）  組織2） 2）  技術(shù)3） 3）  業(yè)務(wù)目標(biāo)和過(guò)程4） 4）  識(shí)別威脅5） 5）  外部事件，如：法律、法規(guī)的

20、環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化。d） d）  在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。e） e）  經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審（至少每年評(píng)審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過(guò)程中的改進(jìn)措施已被識(shí)別（見(jiàn)條款6信息安全管理體系的管理評(píng)審）；f） f）   記錄所采取的行動(dòng)和能夠影響信息安全管理體系的有效性或績(jī)效性的事件見(jiàn)4.3.4。424維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a） a）  實(shí)施已識(shí)別的對(duì)于信息安全管理體系的改進(jìn)措施b） b）  采取合適的糾正和預(yù)防措施應(yīng)用從其他組織的安全經(jīng)驗(yàn)和

21、組織內(nèi)學(xué)到的知識(shí)。c） c）  溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。d） d）  確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。43文件要求431總則信息安全管理體系文件應(yīng)包括：a） a）  文件化的安全方針文件和控制目標(biāo)；b） b）  信息安全管理體系范圍見(jiàn)4.2.1和程序及支持信息安全管理體系的控制措施c） c）  風(fēng)險(xiǎn)評(píng)估報(bào)告見(jiàn)4.2.1;d） d）  風(fēng)險(xiǎn)處理計(jì)劃;e） e）  組織需要的文件化的程序以確保存有效地計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制見(jiàn)6.1f） f）   本標(biāo)準(zhǔn)要求的記錄見(jiàn)4.3.4;g） g

22、）  適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。432文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a） a）  文件發(fā)布前得到批準(zhǔn)，以確保文件的充分性；b） b）  必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)；c） c）  確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d） d）  確保在使用處可獲得適用文件夾的有關(guān)版本；e） e）  確保文件夾保持清晰、易于識(shí)別；f） f）

23、60;  確保外來(lái)文件的發(fā)放在控制狀態(tài)下；g） g）  確保文件的發(fā)放在控制狀態(tài)下；h） h）  防止作廢文件的非預(yù)期使用；i） i）    若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。433記錄控制應(yīng)建立并保持記錄，以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的控制。需要一個(gè)管理過(guò)程確定記錄的程度。應(yīng)保留4.2概要的過(guò)程績(jī)效記錄和所有與信息安全管理體系

24、有關(guān)的安全事故發(fā)生的記錄。舉例記錄的例子如：訪問(wèn)者的簽名簿，審核記錄和授權(quán)訪問(wèn)記錄。 5管理職責(zé)51管理承諾管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a） a）  建立信息安全方針；b） b）  確保建立信息安全目標(biāo)和計(jì)劃；c） c）  為信息安全確立職位和責(zé)任；d） d）  向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e） e）  提供足夠的資源以開(kāi)發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系見(jiàn)5.2.1;f） f）   確定

25、可接受風(fēng)險(xiǎn)的水平;g） g）  進(jìn)行信息安全管理體系的評(píng)審見(jiàn)條款6。52資源管理521提供資源組織將確定和提供所需的資源，以：a） a）  建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b） b）  確保信息安全程序支持業(yè)務(wù)要求；c） c）  識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù)；d） d）  正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e） e）  必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；f） f）   需要時(shí)，改進(jìn)信息安全管理體系的有效性。522培訓(xùn)，意識(shí)和能力 組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員

26、具有能力履行指派的任務(wù)。組織應(yīng)：a） a）  確定從事影響信息安全管理體系的人員所必要的能力；b） b）  提供能力培訓(xùn)和必要時(shí)，聘用有能力的人員滿足這些需求；c） c）  評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性；d） d）  保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄見(jiàn)4.3.3組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評(píng)審61總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括

27、安全方針和安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清楚地文件化，應(yīng)保持管理評(píng)審的記錄見(jiàn)4.3.362評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息：a） a）  信息安全管理體系審核和評(píng)審的結(jié)果；b） b）  相關(guān)方的反饋；c） c）  可以用于組織改進(jìn)其信息安全管理體系績(jī)效和有效性的技術(shù)，產(chǎn)品或程序；d） d）  預(yù)防和糾正措施的狀況；e） e）  以前風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或威脅；f） f）   以往管理評(píng)審的跟蹤措施；g） g）  任何可能影響信息安全管理體系的變更；h） h）  改進(jìn)的建議。63評(píng)審輸出管理評(píng)審的

28、輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a） a）  對(duì)信息安全管理體系有效性的改進(jìn)；b） b）  修改影響信息安全的程序，必要時(shí)，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 1）  業(yè)務(wù)要求；2） 2）  安全要求；3） 3）  業(yè)務(wù)過(guò)程影響現(xiàn)存的業(yè)務(wù)要求；4） 4）  法規(guī)或法律環(huán)境；5） 5）  風(fēng)險(xiǎn)的等級(jí)和/或可接受風(fēng)險(xiǎn)的水平；c） c）  資源需求。64內(nèi)部信息安全管理體系審核組織應(yīng)按策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序

29、是否：a） a）  符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b） b）  符合識(shí)別的信息安全的要求；c） c）  被有效地實(shí)施和維護(hù)；d） d）  達(dá)到預(yù)想的績(jī)效。任何審核活動(dòng)應(yīng)策劃，策劃應(yīng)考慮過(guò)程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確認(rèn)審核過(guò)程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)記錄見(jiàn)4.3.3的責(zé)任及要求.負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒(méi)有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的

30、結(jié)果見(jiàn)條款7。7信息安全管理體系改進(jìn)71持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。72糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a） a）  識(shí)別實(shí)施或運(yùn)行信息安全管理體系中的不合格；b） b）  確定不合格的原因；c） c）  評(píng)價(jià)確保不合格不再發(fā)生的措施的需求；d） d）  確定和實(shí)施所需的糾正措施；e） e）  記錄所采取措施的結(jié)果見(jiàn)4.3.3;

31、f） f）   評(píng)審所采取的糾正措施。73預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問(wèn)題的影響程序適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：a） a）  識(shí)別潛在的不合格及引起不合格的原因；b） b）  確定和實(shí)施所需的預(yù)防措施；c） c）  記錄所采取措施的結(jié)果見(jiàn)4.3.3；d） d）  評(píng)價(jià)所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。       

32、60;        附錄A（引用）控制目標(biāo)和控制措施 A1介紹從A.3到A.12列出的控制目標(biāo)和控制措施是直接引用并與BS ISO/IEC 17799:2000條款3到12一致。一表中的清單并不徹底，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款4.2.1規(guī)定的信息安全管理體系過(guò)程的一部分。A2實(shí)踐指南規(guī)范BS ISO/IEC 17799：2000條款3至12提供最佳實(shí)踐的實(shí)施建議和指南以支持A.3到A.12規(guī)范的控制措施。A.3安全方針 BS ISO/I

33、EC 17799:2000編號(hào)A.3.1信息安全方針控制目標(biāo)：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應(yīng)提供一份方針?lè)郊?出版并在適當(dāng)時(shí),溝通給所有員工。3.1.1A.3.1.2評(píng)審和評(píng)價(jià)應(yīng)經(jīng)常評(píng)審方針文件,尤其在發(fā)生決定性的變化時(shí),確保方針的適宜性3.1.2 A.4組織安全 BS ISO/IEC 17799:2000編號(hào)A.4.1信息安全基礎(chǔ)設(shè)施控制目標(biāo)：在組織中管理信息安全4.1控制措施A.4.1.1信息安全管理委員會(huì)信息安全管理委員會(huì)確保明確的目標(biāo)和管理層對(duì)啟動(dòng)安全管理可見(jiàn)的支持。管理委員會(huì)應(yīng)通過(guò)適當(dāng)?shù)某兄Z和充足的資源推廣安全4.1

34、.1A.4.1.2信息安全協(xié)作在大的組織中，應(yīng)使用一個(gè)由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會(huì)，協(xié)作實(shí)施信息安全控制措施。4.1.2A.4.1.3落實(shí)信息安全責(zé)任應(yīng)明確定保護(hù)每種資產(chǎn)和負(fù)責(zé)特定安全過(guò)程的責(zé)任4.1.3A.4.1.5對(duì)信息處理設(shè)施的授權(quán)過(guò)程應(yīng)建立對(duì)于新的信息處理設(shè)施的管理授權(quán)過(guò)程4.1.4A.4.1.5專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實(shí)施協(xié)作4.1.5A.4.1.6組織間的合作應(yīng)與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān)、信息服務(wù)提供者，及通信業(yè)者維持適當(dāng)?shù)慕佑|4.1.6A.4.1.7獨(dú)立的信息安全審查應(yīng)對(duì)信息安全方針的實(shí)施進(jìn)行獨(dú)立的審查4.1.7A.4.2第

35、三方訪問(wèn)的安全控制目標(biāo)：維護(hù)組織的信息處理設(shè)施及信息資產(chǎn)被第三方訪問(wèn)時(shí)的安全4.2控制措施A.4.2.1確認(rèn)第三方訪問(wèn)的風(fēng)險(xiǎn)應(yīng)對(duì)第三方訪問(wèn)組織的信息處理設(shè)施所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，并實(shí)施適當(dāng)?shù)陌踩刂?.2.1A.4.2.2與第三方合約中的安全要求涉及第三方訪問(wèn)組織的信息處理設(shè)施的安排，應(yīng)以包含必要的安全要求在內(nèi)的正式合約為基礎(chǔ)。4.2.2A.4.3外包控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其他組織時(shí)，應(yīng)維護(hù)信息的安全4.3A.4.3.1外包合約中的安全要求當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)，及/或桌面計(jì)算機(jī)環(huán)境的管理及控制外包時(shí)，在雙方同意的合約中應(yīng)載明安全的要求。.4.3.1  

36、A5資產(chǎn)分類與控制 BS ISO/IEC 17799:2000編號(hào)A.5.1資產(chǎn)的保管責(zé)任控制目標(biāo):維持對(duì)于組織的資產(chǎn)的適切保護(hù)5.1控制措施A.5.1.1資產(chǎn)的清單應(yīng)列出并維護(hù)一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單5.1.1A.5.2信息分類控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)控制措施A.5.2.1分類原則信息的分類及相關(guān)的保護(hù)控制，應(yīng)適合于企業(yè)運(yùn)營(yíng)對(duì)于信息分享或限制的需要，以及這些需要對(duì)企業(yè)運(yùn)營(yíng)所帶來(lái)的沖擊5.2.1A.5.2.2信息的標(biāo)識(shí)及處理應(yīng)制定信息標(biāo)識(shí)及處理的程序，以符合組織所采行的分類法則5.2.2  A.6人事安全 BS ISO/

37、IEC 17799:2000編號(hào)A.6.1工作說(shuō)明及人力資源的安全控制目標(biāo)：降低因人員錯(cuò)誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險(xiǎn)6.1控制措施A.6.1.1將安全需求列入工作職責(zé)中組織在信息安全方針中所規(guī)定的安全職責(zé)及責(zé)任，應(yīng)適度地書(shū)面化于工作職責(zé)說(shuō)明書(shū)中6.1.1A.6.1.2人員篩審及政策應(yīng)在招聘員工時(shí)執(zhí)行正式員工的驗(yàn)證查核6.1.2A.6.1.3保密合約員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分6.1.3A.6.1.4聘用合同聘用合同中的應(yīng)陳述員工對(duì)信息安全的責(zé)任6.1.4A.6.2使用者培訓(xùn)控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過(guò)程中支持組織的信息安全方針的

38、能力6.2控制措施A.6.2.1信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者，對(duì)于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練6.2.1A.6.3安全及失效事件的響應(yīng)控制目標(biāo)：將安全及失效事件所造成的損害降到最小，并監(jiān)督此類事件，從中學(xué)習(xí)6.3A.6.3.1安全事故報(bào)告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M(jìn)行通報(bào)6.3.1A.6.3.2安全弱點(diǎn)的報(bào)告應(yīng)要求信息服務(wù)的使用者記下并報(bào)告任何觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點(diǎn)或威脅6.3.2A.6.3.3軟件失效事件的報(bào)告應(yīng)建立報(bào)告軟件失效事件的相關(guān)程序6.3.3A.6.3.4從事件中學(xué)習(xí)應(yīng)有適當(dāng)機(jī)制的以量化與監(jiān)督安全事故

39、及失效事件的種類、數(shù)量、及成本6.3.4A.6.3.5懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來(lái)處理6.3.5 A.7實(shí)體及環(huán)境安全 BS ISO/IEC 17799:2000編號(hào)A.7.1安全區(qū)域控制目標(biāo)：防止對(duì)企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問(wèn)、破壞及干擾7.1控制措施A.7.1.1實(shí)體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理設(shè)施的區(qū)域7.1.1A.7.1.2實(shí)體進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出7.1.2A.7.1.3 應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備7.1.3A.7.1

40、.4 應(yīng)對(duì)在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以加強(qiáng)安全區(qū)域的安全7.1.4A.7.1.5 遞送及裝載區(qū)域應(yīng)加以控制，如有可能應(yīng)與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問(wèn)7.1.5A.7.2設(shè)備安全控制目標(biāo)：預(yù)防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運(yùn)營(yíng)活動(dòng)遭受干擾7.2控制措施A.7.2.1設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備，以降低來(lái)自環(huán)境的威脅與危險(xiǎn)所造成的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)的訪問(wèn)7.2.1A.7.2.2電源供應(yīng)應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護(hù)免于被攔截或破壞7.2.3A.

41、7.2.4設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性7.2.4A.7.2.5組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)7.2.5A.7.2.6設(shè)備報(bào)廢或再利用的安全防護(hù)設(shè)備在報(bào)廢或再利用前，應(yīng)清除在設(shè)備中的信息7.2.6A.7.3一般控制控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空策略組織應(yīng)具備辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問(wèn)、遺失及損害所造成的風(fēng)險(xiǎn)7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件7.3.2 A.8通訊

42、與操作管理 BS ISO/IEC 17799:2000編號(hào)A.8.4.2操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動(dòng)的工作日。操作日志應(yīng)受到經(jīng)常性的，獨(dú)立的審查。8.4.2A.8.4.3錯(cuò)誤事件登錄應(yīng)通報(bào)錯(cuò)誤并采取改正行動(dòng)8.4.3A.8.5網(wǎng)絡(luò)管理控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施8.5控制措施A.8.5.1網(wǎng)絡(luò)控制應(yīng)實(shí)行一系列的控制方法以達(dá)成并維護(hù)網(wǎng)絡(luò)的安全8.5.1A.8.6存儲(chǔ)媒體的處理與安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營(yíng)運(yùn)活動(dòng)遭受干擾 控制措施A.8.6.1可移動(dòng)式計(jì)算機(jī)存儲(chǔ)媒體的管理對(duì)于可移動(dòng)式計(jì)算機(jī)儲(chǔ)存媒體例如磁帶、磁盤(pán)以及打印出來(lái)的

43、報(bào)告的管理應(yīng)回以控制8.6.1A.8.6.2存儲(chǔ)媒體的報(bào)廢不再需要的儲(chǔ)存媒體，應(yīng)可靠并安全地處置8.6.2A.8.6.3信息的處理程序應(yīng)建立信息的處理及儲(chǔ)存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用8.6.3A.8.6.4系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問(wèn)8.6.4A.8.7信息及軟件的交換控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時(shí)，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書(shū)8.7.1A.8.7.2存儲(chǔ)媒體的運(yùn)送安全運(yùn)送存儲(chǔ)媒體時(shí)應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)的泄漏、不當(dāng)使用或毀壞8.7.2

44、A.8.7.3電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為、合約爭(zhēng)議以及信息被泄漏及修改8.7.2A.8.7.4電子郵件的安全應(yīng)開(kāi)發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險(xiǎn)的適當(dāng)控制方法8.7.3A.8.7.5電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來(lái)的業(yè)務(wù)與安全風(fēng)險(xiǎn)，各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定并實(shí)施8.7.5A.8.7.6開(kāi)放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過(guò)程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改8.7.6A.8.7.7其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法?lái)保護(hù)經(jīng)由傳真、語(yǔ)音及影像等通訊設(shè)施進(jìn)行的信息交換8.7.7 A.9訪問(wèn)

45、控制 BS ISO/IEC 17799:2000編號(hào)A.9.1企業(yè)營(yíng)運(yùn)對(duì)訪問(wèn)控制的要求控制目標(biāo)：控制對(duì)于信息的訪問(wèn)9.1控制措施A.9.1.1訪問(wèn)控制策略企業(yè)營(yíng)運(yùn)對(duì)訪問(wèn)控制的要求應(yīng)加以界定并文件化，對(duì)于信息的訪問(wèn)應(yīng)如訪問(wèn)控制政策中所界定的加以限制9.1.1A.9.2使用者訪問(wèn)管理控制目標(biāo)：確保訪問(wèn)信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)9.2控制措施A.9.2.1使用者注冊(cè)應(yīng)有正式的使用者注冊(cè)及注銷的程序，以進(jìn)行所有的多人使用信息系統(tǒng)及服務(wù)的訪問(wèn)授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對(duì)于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制9.2.2A.9.2.3使用者密碼管理對(duì)密碼的分配，應(yīng)通過(guò)

46、正式的管理流程加以控制9.2.3A.9.2.4使用者訪問(wèn)權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過(guò)程對(duì)于使用者的訪問(wèn)權(quán)限實(shí)施評(píng)審9.2.4A.9.3使用者責(zé)任控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問(wèn)9.3控制措施A.9.3.1密碼的使用應(yīng)要求使用者在選擇及使用密碼時(shí)，遵循良好的安全慣例9.3.1A.9.3.2無(wú)人看管的使用者設(shè)備應(yīng)要求使用者確保無(wú)人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)9.3.2A.9.4網(wǎng)絡(luò)訪問(wèn)控制控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)9.4控制措施A.9.4.1使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問(wèn)已獲得特別授權(quán)使用的服務(wù)9.4.1A.9.4.2強(qiáng)制性的路徑由使用者的終端機(jī)至計(jì)算機(jī)服務(wù)器羊的路徑應(yīng)加以控制9

47、.4.2A.9.4.3外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對(duì)遠(yuǎn)程使用者的訪問(wèn)進(jìn)行使用者認(rèn)證9.4.3A.9.4.4節(jié)點(diǎn)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的聯(lián)機(jī)應(yīng)被認(rèn)證9.4.4A.9.4.5遠(yuǎn)程診斷端口的保護(hù)對(duì)于診斷斷口的訪問(wèn)應(yīng)可靠地加以控制9.4.5A.9.4.6網(wǎng)絡(luò)的隔離應(yīng)引起可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中，使用者的聯(lián)機(jī)能力應(yīng)依照訪問(wèn)控制策略加以限制9.4.7A.9.4.8網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計(jì)算機(jī)聯(lián)機(jī)及信息流不違反所制定的企業(yè)營(yíng)運(yùn)應(yīng)用軟件的訪問(wèn)控制政策9.4.8A.9（繼續(xù)） BS ISO

48、/IEC 17799:2000編號(hào)A.9.4.9網(wǎng)絡(luò)服務(wù)的安全對(duì)于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性,應(yīng)提供清楚的說(shuō)明9.4.9A.9.5操作系統(tǒng)訪問(wèn)控制控制目標(biāo):防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問(wèn)9.5控制措施A.9.5.1自動(dòng)化的終端機(jī)識(shí)別應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別,以認(rèn)證連接到特定場(chǎng)所及可移動(dòng)式設(shè)備的聯(lián)機(jī)9.5.1A.9.5.2終端機(jī)聯(lián)機(jī)程序訪問(wèn)信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程9.5.2A.9.5.3使用者識(shí)別及認(rèn)證所有使用者應(yīng)有唯一的識(shí)別碼(使用者代號(hào))專供其個(gè)人的使用,以便各項(xiàng)活動(dòng)可以追溯至應(yīng)負(fù)責(zé)的個(gè)人.使用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以真實(shí)地識(shí)別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)

49、密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制9.5.5A.9.5.6提供受脅迫警報(bào)以保護(hù)使用者對(duì)于可能成為他人脅迫的目標(biāo)的使用者，應(yīng)提供脅迫警報(bào)9.5.6A.9.5.7終端機(jī)逾時(shí)終止在高風(fēng)險(xiǎn)場(chǎng)所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問(wèn)9.5.7A.9.5.8聯(lián)機(jī)時(shí)間的限制應(yīng)使用聯(lián)機(jī)時(shí)間的限制，以提供高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全9.5.8A.9.6應(yīng)用程序訪問(wèn)控制控制目標(biāo)：防止對(duì)于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問(wèn)9.6控制措施A.9.6.1信息訪問(wèn)

50、限制對(duì)于信息及應(yīng)有系統(tǒng)的功能的訪問(wèn)應(yīng)依照訪問(wèn)控制策略加以限制9.6.1A.9.6.2機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專屬的隔離的運(yùn)算環(huán)境9.6.2A.9.7系統(tǒng)訪問(wèn)及使用的監(jiān)控控制目標(biāo)：偵探未經(jīng)授權(quán)的活動(dòng)9.7控制措施A.9.7.1事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)事件的審核日志，并保存一定的期間以協(xié)助未來(lái)的調(diào)查及訪問(wèn)控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息設(shè)施使用情況的程序，并且應(yīng)定期對(duì)監(jiān)活動(dòng)的結(jié)果進(jìn)行審查9.7.2A.9.7.3定時(shí)器同步計(jì)算機(jī)的定時(shí)器應(yīng)同步以便能準(zhǔn)確地記錄9.7.3A.9（繼續(xù)） BS ISO/IEC 17799:2000編號(hào)A

51、.9.8可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作控制目標(biāo)：確保使用可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全9.8控制措施A.9.8.1可移動(dòng)式計(jì)算機(jī)運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒?，以防范使用可移?dòng)式計(jì)算機(jī)遠(yuǎn)算設(shè)施進(jìn)行工作時(shí)所造成的風(fēng)險(xiǎn)，特別是在未被保護(hù)的環(huán)境中工作時(shí)9.8.1A.9.8.2計(jì)算機(jī)通訊遠(yuǎn)距工作應(yīng)開(kāi)發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計(jì)算機(jī)通訊遠(yuǎn)距工作的活動(dòng)9.8.2A.10系統(tǒng)開(kāi)發(fā)及維護(hù) BS ISO/IEC 17799:2000編號(hào)A.10.1系統(tǒng)的安全要求控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標(biāo)準(zhǔn)

52、對(duì)于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營(yíng)運(yùn)要求，應(yīng)將對(duì)控制方法的要求制定于其中10.1.1A.10.2應(yīng)用系統(tǒng)中的安全控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用10.2控制措施A.10.2.1輸入資料的驗(yàn)證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證，以確保資料是正確且適當(dāng)?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部份，以偵測(cè)出所處理的資料是否損毀10.2.2A.10.2.3消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性的安全要求時(shí)，應(yīng)針對(duì)應(yīng)用程序進(jìn)行消息的認(rèn)證10.2.3A.10.2.4輸出資料的驗(yàn)證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證，以確保對(duì)所儲(chǔ)存的資料的處理流程是正確的，且就其情況而言是

53、適當(dāng)?shù)?0.2.4A.10.3密碼學(xué)的控制方法控制目標(biāo)：保護(hù)信息的機(jī)密性、真實(shí)性或完整性10.3控制措施A.10.3.1運(yùn)用密碼學(xué)控制方法時(shí)的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來(lái)達(dá)成保護(hù)信息目的政策10.3.1A.10.3.2資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性10.3.2A.10.3.3數(shù)字簽章應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動(dòng)是否有發(fā)生的爭(zhēng)議10.3.3A.10.3.4不可否認(rèn)性的服務(wù)應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)以支持密碼學(xué)技術(shù)的運(yùn)用10.3.4A.10.3.5密鑰管理 10.3.5A.10（繼續(xù)） BS ISO/IEC 177

54、99:2000編號(hào)A.10.4系統(tǒng)檔案的安全控制目標(biāo)：確保信息科技的項(xiàng)目及支持特性活動(dòng)以安全的方式來(lái)進(jìn)行10.4控制措施A.10.4.1控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測(cè)試資料的保護(hù)測(cè)試資料應(yīng)加以保護(hù)及控制10.4.2A.10.4.3原始鏈接庫(kù)的訪問(wèn)控制對(duì)于原始鏈接庫(kù)的訪問(wèn)維護(hù)嚴(yán)格的控制10.4.3A.10.5開(kāi)發(fā)及支持流程中的安全控制目標(biāo)：維護(hù)應(yīng)用系統(tǒng)的軟件及信息的安全10.5控制措施A.10.5.1變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控制變更的實(shí)行，以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變更的技術(shù)審查當(dāng)發(fā)生變更時(shí)

55、，應(yīng)對(duì)應(yīng)用系統(tǒng)進(jìn)行審查及測(cè)試10.5.2A.10.5.3軟件包修改的限制應(yīng)阻止對(duì)于軟件包的修改，對(duì)于變更應(yīng)嚴(yán)格控制10.5.3A.10.5.4秘密信道及特洛伊木馬應(yīng)控制并檢查軟件的采購(gòu)、使用及修改以防范可能密秘信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開(kāi)發(fā)應(yīng)使用控制方法防護(hù)委外的軟件開(kāi)發(fā)10.5.5A.11業(yè)務(wù)持續(xù)動(dòng)作管理 BS ISO/IEC 17799:2000編號(hào)A.11.1業(yè)務(wù)持續(xù)動(dòng)作管理考慮控制目標(biāo)：防止企業(yè)運(yùn)營(yíng)中斷并且保護(hù)企業(yè)營(yíng)運(yùn)的關(guān)鍵流程免于重大失效或?yàn)?zāi)難的影響11.1控制措施A.11.1.1業(yè)務(wù)持續(xù)動(dòng)作的管理流程為發(fā)展及維護(hù)企業(yè)的持續(xù)動(dòng)作性，應(yīng)有遍及整個(gè)組織的管理流程11.1.1A.11.1.2業(yè)務(wù)持續(xù)動(dòng)