信息安全管理體系

1、ISO17799標準下載 山東世通質(zhì)量認證有限公司      信息安全管理體系規(guī)范與使用指南                目 錄前言0 介紹01總則02過程方法0 0  3其他管理體系的兼容性1 范圍11概要12應用2標準參考3名詞與定義4信息安全管理體系要求 41總則 42建立和管理信息安全管理體系421建立信息安全管理體系422實施和運營(對照中文ISO9001確認)？信息安全管理

2、體系423監(jiān)控和評審信息安全管理體系424維護和改進信息安全管理體系 43文件化要求431總則432文件控制433記錄控制5管理職責51管理承諾？（對照中文ISO9001確認）52資源管理521資源提供 522培訓、意識和能力6信息安全管理體系管理評審 61總則 62評審輸入？（對照中文ISO9001確認） 63評審輸出？（對照中文IS9001確認）7信息安全管理體系改進 71持續(xù)改進 72糾正措施 73預防措施附件A（有關標準的）控制目標和控制措施 A1介紹 A2最佳實踐指南 A3安全方針 A4組織安全 A5資產(chǎn)分級和控制 A6人事安全 A7實體和環(huán)境安全 A8通信與運營安全 A9訪問控制A

3、10系統(tǒng)開發(fā)和維護 A11業(yè)務連續(xù)性管理 A12符合 附件B（情報性的）本標準使用指南B1概況 B.1.1PDCA模型 B.1.2計劃與實施 B.1.3檢查與改進 B.1.4控制措施小結(jié)B2計劃階段 B.2.1介紹 B.2.2信息安全方針 B.2.3信息安全管理體系范圍 B.2.4風險識別與評估 B2.5風險處理計劃B3實施階段 B.3.1介紹 B.3.2資源、培訓和意識 B.3.3風險處理B4實施階段 B.4.1介紹 B.4.2常規(guī)檢查 B.4.3自我監(jiān)督程序 B.4.4從其它事件中學習 B.4.5審核 B.4.6管理評審 B.4.7趨勢分析B5改進階段 B.5.1介紹 B.5.2

4、不符合項 B.5.3糾正和預防措施 B.5.4OECD原則和BS7799-2附件C(情報)ISO9001:2000、ISO14001與BS7799-2：2002條款對照0 介紹01 總則本標準的目的是為管理者和他們的員工們提供建立和管理一個有效的信息安全管理體系（信息安全管理體系）有模型。采用信息安全管理體系應當是一項組織的戰(zhàn)略決策。一個組織信息安全管理體系的設計和實施受運營需求、具體目標、安全需求、所采用的過程及該組織的規(guī)模和結(jié)構(gòu)的影響。上述因素和他們的支持過程會不斷發(fā)生變化。希望簡單的情況使用簡單的信息安全解決方案。 本標準能用于內(nèi)部、外部包括認證組織使用，評定一個組織符合其本身

5、的需要及客戶和法律的要求的能力。 02過程方法本標準鼓勵采用過程的方法建立、實施、和改進組織的信息安全管理體系的有效性。 為使組織有效動作，必須識別和管理眾多相互關聯(lián)的活動。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動可視為過程。通常，一個過程的輸出直接形成了下一個過程的輸入。組織內(nèi)諸過程的系統(tǒng)的應用，連同這些過程的識別和相互作用及其慣例，課程只為：“過程方法”。過程的方法鼓勵使用者強調(diào)以下方面的重要性：a） a）  理解業(yè)務動作對信息安全的需求和建立信息安全方針和目標的需要；b） b）  在全面管理組織業(yè)務風險的環(huán)境下實施和動作控制措施；c） c）

6、60; 監(jiān)控和評審信息安全管理體系的有效性和績效；d） d）  在客觀的測量，持續(xù)改進過程。本標準采用的模型就是說眾所周知的“Plan策劃-Do實施-Check檢查-Act處置”（PDCA）模型，適用于所有信息安全管理體系的過程。圖一展示信息安全管理體系怎樣考慮輸入利益相關方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。圖一同時展示了4、5、6和7章中所提出的過程聯(lián)系。 例1一個需求是信息安全事故不要引起組織的財務損失和/或引起高層主管的尷尬。例2一個期望可以是如果嚴重的事故發(fā)生-如：組織的電子商務網(wǎng)站被黑

7、客入侵將有被培訓過的員工通過適用的程序減少其影響。 注：名詞“程序”，從傳統(tǒng)來講，用在信息安全方面意味著員工工作的過程，而不是計算機或其它電子概念。        PDCA模型應用與信息安全管理體系過程   計劃PLAN 建立ISMS   相關單位    管理狀態(tài)下的信息安全  相關單位    信息安全需求和期望   實施和運作ISMS維護和改進ISMS&#

8、160;實施 改進 監(jiān)控和評審ISMS用 DO ACTION    檢查CHECK  計劃（建立信息安全管理體系） 建立與管理風險和改進信息安全有關的安全方針、目標、目的、過程和程序，以達到與組織整體方針和 目標相適應的結(jié)果。 實施（實施和動作信息安全管理體系 實施和動作信息安全方針、控制措施、過程和程序。 檢查（監(jiān)控和評審信息安全管理體系） 針對安全方針、目標和實踐經(jīng)驗等評審和（如果適用）職測量過程的績效并向管理層報告結(jié)果供評審使用。 改進（維護和改進信息安全管理體系） 在管理評審的結(jié)果的基礎上，采取糾正和預防措施以 持續(xù)改進信息安

9、全管理體系。 03與其他管理體系標準的兼容性本標準與ISO9001：2000與ISO16949：1996相結(jié)合以支持實施和動作安全體系的一致性和整合。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對應關系，本標準使組織能夠聯(lián)合或整合其信息安全管理體系及相關管理體系的要求。            1 范圍11概要本標準提供在組織整個動作風險的環(huán)境下建立、實施、動作、監(jiān)控、評審、維護和改進一個文件化的信息安全管理體系的模型。它規(guī)范了對定制實施安全控制措施以適應不同組織

10、或相關部分的需求。（附錄B提供使用規(guī)范的指南）。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護信息資產(chǎn)并給與客戶和其他利益相關方信心。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、羸利能力、法律符合和商務形象。  12應用本標準規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。當本標準的任何要求因組織及其產(chǎn)品的特點而不適用時，可以考慮對其進行刪減。除非刪減不影響組織的能力、和/或責任提供符合由風險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標準。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)牟⑿枰峁┳C據(jù)證明相關風險被負責人員正當?shù)亟邮?/p>

11、。對于條款4，5，6和7的要求的刪減不能接受。  2引用標準 ISO9001：2000質(zhì)量管理體系-要求 ISO/IEC17799：2000信息技術信息安全管理實踐指南 ISO指南73：2001風險管理指南-名詞   3名詞和定義從本英國標準的目的出發(fā)，以下名詞和定義適用。31可用性 保證被授權(quán)的使用者需要時能夠訪問信息及相關資產(chǎn)。BS ISO/IEC17799：200032保密性保證信息只被授權(quán)的人訪問。BS ISO/IEC17799：200033信息安全安全保護信息的保密性、完整性和可用性34信息安全管理體系（信息安全管理體系）是整個管理體

12、系的一部分，建立在運營風險的方法上，以建立、實施、動作、監(jiān)控、評審、維護和改進信息安全。注：管理體系包括組織的架構(gòu)、方針、策劃活動、職責、實踐、程序、過程和資源。35完整性保護信息和處理方法的準確和完整。BS ISO/IEC17799：200036風險接受接受一個風險的決定ISO Guide 7337風險分析系統(tǒng)地使用信息識別來源和估計風險ISO Guide 7338風險評估風險分析和風險評價的整個過程ISO Guide 73 39風險評價把估計風險與給出的風險標準相比較，確定風險嚴重性的過程。ISO Guide 73310風險管理指導和控制組織風險的聯(lián)合行動311風險處理選擇和實施

13、措施以更改風險的處理過程ISO Guide 73312適用性聲明描述適用于組織的信息安全管理體系范圍的控制目標和控制措施。這些控制目標和控制措施是建立在風險評估和處理過程的結(jié)論和結(jié)果基礎上。4信息安全管理體系要求41總要求組織應在整體業(yè)務活動和風險的環(huán)境下建立、實施、維護和持續(xù)改進文件化的信息安全管理體系。為滿足該標準的目的，使用的過程建立在圖一所示的PDCA模型基礎上。42建立和管理信息安全管理體系421建立信息安全管理體系組織應：a） a）  應用業(yè)務的性質(zhì)、組織、其方位、資產(chǎn)和技術確定信息安全管理體系的范圍。b） b）    應用組織的業(yè)務性質(zhì)、組

14、織、方位、資產(chǎn)和技術確定信息安全管理體系的方針，方針應：1） 1）  包括為其目標建立一個框架并為信息安全活動建立整體的方向和原則。2） 2）    考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務。3） 3）    建立組織戰(zhàn)略和風險管理的環(huán)境，在這種環(huán)境下，建立和維護信息安全管理體系。4） 4）    建立風險評價的標準和風險評估定義的結(jié)構(gòu)。5） 5）    經(jīng)管理層批準c） c）  確定風險評估的系統(tǒng)化的方法識別適用于信息安全管理體系及已識別的信息安全、

15、法律和法規(guī)的要求的風險評估的方法。為信息安全管理體系建立方針和目標以降低風險至可接受的水平。確定接受風險的標準和識別可接受風險的水平見5.1fd） d）  確定風險：1） 1）  在信息安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責任人2） 2）  識別對這些資產(chǎn)的威脅3） 3）  識別可能被威脅利用的脆弱性4） 4）  別資產(chǎn)失去保密性、完整性和可用性的影響e） e）  評價風險1） 1）  評估由于安全故障帶來的業(yè)務損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2）  評估與這些資產(chǎn)相關的主要威脅、脆弱點和

16、影響造成此類事故發(fā)生的現(xiàn)實的可能性和現(xiàn)存的控制措施；3） 3）  估計風險的等級4） 4）  確定介紹風險或使用在c中建立的標準進行衡量確定需要處理；f） f）   識別和評價供處理風險的可選措施：可能的行動包括：1） 1）  應用合適的控制措施2） 2）  知道并有目的地接受風險，同時這些措施能清楚地滿足組織方針和接受風險的標準3） 3）  避免風險；4） 4）  轉(zhuǎn)移相關業(yè)務風險到其他方面如：保險業(yè)，供應商等。g） g）  選擇控制目標和控制措施處理風險： 應從本標準附件A中列出的控制目標和控制措施，

17、選擇應該根據(jù)風險評估和風險處理過程的結(jié)果調(diào)整。注意：附件A中列出的控制目標和控制措施，作為本標準的一部分，并不是所有的控制目標和措施，組織可能選擇另加的控制措施。h） h）  準備一份適用性聲明。從上面4.2.1（g）選擇的控制目標和控制措施以及被選擇的原因應在適用性聲明中文件化。從附件A中剪裁的控制措施也應加以記錄；i） i）    提議的殘余風險應獲得管理層批準并授權(quán)實施和動作信息安全管理體系。422實施和運作信息安全管理體系組織應：a） a）  識別合適的管理行動和確定管理信息安全風險的優(yōu)先順序（即：風險處理計劃）-見條款5；b） b）&

18、#160; 實施風險處理計劃以達到識別的控制目標，包括對資金的考慮和落實安全角色和責任。c） c）  實施在4.2.1（g）選擇的控制目標和措施d） d）  培訓和意識見5.2.2;e） e）  管理動作過程；f） f）   管理資源見5.2；g） g）  實施程序和其他有能力隨時探測和回應安全事故的控制措施。423監(jiān)控和評審信息安全管理體系組織應：a） a）  執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1）  實時探測處理結(jié)果中的錯誤；2） 2）  及時識別失敗和成功的安全破壞和事故；3） 3） 

19、 能夠使管理層確定分派給員工的或通過信息技術實施的安全活動是否達到了預期的目標；4） 4）  確定解決安全破壞的行動是否反映了運營的優(yōu)先級。b） b）  進行常規(guī)的信息安全管理體系有效性的評審（包括符合安全方針和目標，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關方的建議和反饋；c） c）  評審殘余風險和可接受風險的水平，考慮以下方面的變化：1） 1）  組織2） 2）  技術3） 3）  業(yè)務目標和過程4） 4）  識別威脅5） 5）  外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化

20、。d） d）  在計劃的時間段內(nèi)實施內(nèi)部信息安全管理體系審核。e） e）  經(jīng)常進行信息安全管理體系管理評審（至少每年評審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進措施已被識別（見條款6信息安全管理體系的管理評審）；f） f）   記錄所采取的行動和能夠影響信息安全管理體系的有效性或績效性的事件見4.3.4。424維護和改進信息安全管理體系組織應經(jīng)常：a） a）  實施已識別的對于信息安全管理體系的改進措施b） b）  采取合適的糾正和預防措施應用從其他組織的安全經(jīng)驗和組織內(nèi)學到的知識。c） c）&

21、#160; 溝通結(jié)果和行動并得到所有參與的相關方的同意。d） d）  確保改進行動達到了預期的目標。43文件要求431總則信息安全管理體系文件應包括：a） a）  文件化的安全方針文件和控制目標；b） b）  信息安全管理體系范圍見4.2.1和程序及支持信息安全管理體系的控制措施c） c）  風險評估報告見4.2.1;d） d）  風險處理計劃;e） e）  組織需要的文件化的程序以確保存有效地計劃運營和對信息安全過程的控制見6.1f） f）   本標準要求的記錄見4.3.4;g） g）  適用性聲明注1

22、：當本標準中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實施和維護該程序。注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。432文件控制信息安全管理體系所要求的文件應予以保護和控制。應編制文件化的程序，以規(guī)定以下方面所需的控制：a） a）  文件發(fā)布前得到批準，以確保文件的充分性；b） b）  必要時對文件進行評審與更新，并再次批準；c） c）  確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d） d）  確保在使用處可獲得適用文件夾的有關版本；e） e）  確保文件夾保持清晰、易于識別；f） f）   確保外來文

23、件的發(fā)放在控制狀態(tài)下；g） g）  確保文件的發(fā)放在控制狀態(tài)下；h） h）  防止作廢文件的非預期使用；i） i）    若因任何原因而保留作廢文件時，對這些文件進行適當?shù)臉俗R。433記錄控制應建立并保持記錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。記錄應當被控制。信息安全管理體系應考慮任何有關的法律要求。記錄應保持清晰、易于識別和檢索。應編制形成文件的程序，以規(guī)定記錄的標識、儲存、保護、檢索、保存期限和處置所需的控制。需要一個管理過程確定記錄的程度。應保留4.2概要的過程績效記錄和所有與信息安全管理體系有關的安全事故發(fā)生的記錄。舉例

24、記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。 5管理職責51管理承諾管理層應提供其承諾建立、實施、運行、監(jiān)控、評審、維護和改進信息安全管理體系的證據(jù)，包括：a） a）  建立信息安全方針；b） b）  確保建立信息安全目標和計劃；c） c）  為信息安全確立職位和責任；d） d）  向組織傳達達到信息安全目標和符合信息安全方針的重要性、在法律條件下組織的責任及持續(xù)改進的需要。e） e）  提供足夠的資源以開發(fā)、實施，運行和維護信息安全管理體系見5.2.1;f） f）   確定可接受風險的水平;g） g）&

25、#160; 進行信息安全管理體系的評審見條款6。52資源管理521提供資源組織將確定和提供所需的資源，以：a） a）  建立、實施、運行和維護信息安全管理體系；b） b）  確保信息安全程序支持業(yè)務要求；c） c）  識別和強調(diào)法律和法規(guī)要求及合同的安全義務；d） d）  正確地應用所有實施的控制措施維護足夠的安全；e） e）  必要時，進行評審，并適當回應這些評審的結(jié)果；f） f）   需要時，改進信息安全管理體系的有效性。522培訓，意識和能力 組織應確保所有被分配信息安全管理體系職責的人員具有能力履行指派的任務。組織應

26、：a） a）  確定從事影響信息安全管理體系的人員所必要的能力；b） b）  提供能力培訓和必要時，聘用有能力的人員滿足這些需求；c） c）  評價提供的培訓和所采取行動的有效性；d） d）  保持教育、培訓、技能、經(jīng)驗和資格的記錄見4.3.3組織應確保所有相關的人員知道他們信息安全活動的適當性和重要性以及他們的貢獻怎樣達成信息安全管理目標.6 信息安全管理體系的管理評審61總則管理層應按策劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。評審的結(jié)果

27、應清楚地文件化，應保持管理評審的記錄見4.3.362評審輸入管理評審的輸入應包括以下方面的信息：a） a）  信息安全管理體系審核和評審的結(jié)果；b） b）  相關方的反饋；c） c）  可以用于組織改進其信息安全管理體系績效和有效性的技術，產(chǎn)品或程序；d） d）  預防和糾正措施的狀況；e） e）  以前風險評估沒有足夠強調(diào)的脆弱性或威脅；f） f）   以往管理評審的跟蹤措施；g） g）  任何可能影響信息安全管理體系的變更；h） h）  改進的建議。63評審輸出管理評審的輸出應包括以下方面有關的任何決

28、定和措施：a） a）  對信息安全管理體系有效性的改進；b） b）  修改影響信息安全的程序，必要時，回應內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 1）  業(yè)務要求；2） 2）  安全要求；3） 3）  業(yè)務過程影響現(xiàn)存的業(yè)務要求；4） 4）  法規(guī)或法律環(huán)境；5） 5）  風險的等級和/或可接受風險的水平；c） c）  資源需求。64內(nèi)部信息安全管理體系審核組織應按策劃的時間間隔進行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標、控制措施、過程和程序是否：a） a） 

29、符合本標準和相關法律法規(guī)的要求；b） b）  符合識別的信息安全的要求；c） c）  被有效地實施和維護；d） d）  達到預想的績效。任何審核活動應策劃，策劃應考慮過程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應確定審核的標準，范圍，頻次和方法。選擇審核員及進行審核應確認審核過程的客觀和公正。審核員不應審核他們自己的工作。應在一個文件化的程序中確定策劃和實施審核，報告結(jié)果和維護記錄見4.3.3的責任及要求.負責被審核區(qū)域的管理者應確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進措施應包括驗證采取的措施和報告驗證的結(jié)果見條款7。7信息安全管理體

30、系改進71持續(xù)改進組織應通過使用安全方針、安全目標、審核結(jié)果、對監(jiān)控事件的分析、糾正和預防措施和管理評審的信息持續(xù)改進信息安全管理體系的有效性。72糾正措施組織應確定措施，以消除與實施和運行信息安全管理體系有關的不合格的原因，防止不合格的再發(fā)生。應為糾正措施編制形成文件的程序，確定以下的要求：a） a）  識別實施或運行信息安全管理體系中的不合格；b） b）  確定不合格的原因；c） c）  評價確保不合格不再發(fā)生的措施的需求；d） d）  確定和實施所需的糾正措施；e） e）  記錄所采取措施的結(jié)果見4.3.3;f） f） 

31、0; 評審所采取的糾正措施。73預防措施組織應針對潛在的不合格確定措施以防止其發(fā)生。預防措施應于潛在問題的影響程序適應。應為預防措施編制形成文件的程序，以規(guī)定以下方面的要求：a） a）  識別潛在的不合格及引起不合格的原因；b） b）  確定和實施所需的預防措施；c） c）  記錄所采取措施的結(jié)果見4.3.3；d） d）  評價所采取的預防措施；糾正措施的優(yōu)先權(quán)應以風險評估的結(jié)果為基礎確定。注：預防不合格的措施總是比糾正措施更節(jié)約成本。          

32、      附錄A（引用）控制目標和控制措施 A1介紹從A.3到A.12列出的控制目標和控制措施是直接引用并與BS ISO/IEC 17799:2000條款3到12一致。一表中的清單并不徹底，一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和控制措施是條款4.2.1規(guī)定的信息安全管理體系過程的一部分。A2實踐指南規(guī)范BS ISO/IEC 17799：2000條款3至12提供最佳實踐的實施建議和指南以支持A.3到A.12規(guī)范的控制措施。A.3安全方針 BS ISO/IEC 17799:2000編號

33、A.3.1信息安全方針控制目標：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應提供一份方針方件,出版并在適當時,溝通給所有員工。3.1.1A.3.1.2評審和評價應經(jīng)常評審方針文件,尤其在發(fā)生決定性的變化時,確保方針的適宜性3.1.2 A.4組織安全 BS ISO/IEC 17799:2000編號A.4.1信息安全基礎設施控制目標：在組織中管理信息安全4.1控制措施A.4.1.1信息安全管理委員會信息安全管理委員會確保明確的目標和管理層對啟動安全管理可見的支持。管理委員會應通過適當?shù)某兄Z和充足的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作

34、在大的組織中，應使用一個由從各組織相關單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息安全控制措施。4.1.2A.4.1.3落實信息安全責任應明確定保護每種資產(chǎn)和負責特定安全過程的責任4.1.3A.4.1.5對信息處理設施的授權(quán)過程應建立對于新的信息處理設施的管理授權(quán)過程4.1.4A.4.1.5專家信息安全建議應從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實施協(xié)作4.1.5A.4.1.6組織間的合作應與執(zhí)法機關、主管機關、信息服務提供者，及通信業(yè)者維持適當?shù)慕佑|4.1.6A.4.1.7獨立的信息安全審查應對信息安全方針的實施進行獨立的審查4.1.7A.4.2第三方訪問的安全控制目標：維護組

35、織的信息處理設施及信息資產(chǎn)被第三方訪問時的安全4.2控制措施A.4.2.1確認第三方訪問的風險應對第三方訪問組織的信息處理設施所帶來的風險進行評估，并實施適當?shù)陌踩刂?.2.1A.4.2.2與第三方合約中的安全要求涉及第三方訪問組織的信息處理設施的安排，應以包含必要的安全要求在內(nèi)的正式合約為基礎。4.2.2A.4.3外包控制目標：當信息處理的責任委托其他組織時，應維護信息的安全4.3A.4.3.1外包合約中的安全要求當組織將全部或部分的信息系統(tǒng)、網(wǎng)絡，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方同意的合約中應載明安全的要求。.4.3.1  A5資產(chǎn)分類與控制 

36、BS ISO/IEC 17799:2000編號A.5.1資產(chǎn)的保管責任控制目標:維持對于組織的資產(chǎn)的適切保護5.1控制措施A.5.1.1資產(chǎn)的清單應列出并維護一份與每個信息系統(tǒng)有關的所有重要資產(chǎn)的清單5.1.1A.5.2信息分類控制目標：確保信息資產(chǎn)受到適當程度的保護控制措施A.5.2.1分類原則信息的分類及相關的保護控制，應適合于企業(yè)運營對于信息分享或限制的需要，以及這些需要對企業(yè)運營所帶來的沖擊5.2.1A.5.2.2信息的標識及處理應制定信息標識及處理的程序，以符合組織所采行的分類法則5.2.2  A.6人事安全 BS ISO/IEC 17799:2000編

37、號A.6.1工作說明及人力資源的安全控制目標：降低因人員錯誤、偷竊、詐欺或不當使用設施所造成的風險6.1控制措施A.6.1.1將安全需求列入工作職責中組織在信息安全方針中所規(guī)定的安全職責及責任，應適度地書面化于工作職責說明書中6.1.1A.6.1.2人員篩審及政策應在招聘員工時執(zhí)行正式員工的驗證查核6.1.2A.6.1.3保密合約員工應簽署保密協(xié)議作為其啟始聘用合同的一部分6.1.3A.6.1.4聘用合同聘用合同中的應陳述員工對信息安全的責任6.1.4A.6.2使用者培訓控制目標：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力6.2控制措施A.6.2.

38、1信息安全的教育與培訓組織的所有員工以及相關的第三方使用者，對于組織方針及程序應接受適當、定期更新的訓練6.2.1A.6.3安全及失效事件的響應控制目標：將安全及失效事件所造成的損害降到最小，并監(jiān)督此類事件，從中學習6.3A.6.3.1安全事故報告安全事件應在事件被發(fā)現(xiàn)之后盡快由適當?shù)墓芾硗緩竭M行通報6.3.1A.6.3.2安全弱點的報告應要求信息服務的使用者記下并報告任何觀察到的或可疑的有關系統(tǒng)或服務方面的安全弱點或威脅6.3.2A.6.3.3軟件失效事件的報告應建立報告軟件失效事件的相關程序6.3.3A.6.3.4從事件中學習應有適當機制的以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量、及成本

39、6.3.4A.6.3.5懲處的流程員工違反組織安全方針及程序，應由正式的懲處流程來處理6.3.5 A.7實體及環(huán)境安全 BS ISO/IEC 17799:2000編號A.7.1安全區(qū)域控制目標：防止對企業(yè)運行所在地及信息未經(jīng)授權(quán)的進入、訪問、破壞及干擾7.1控制措施A.7.1.1實體安全邊界組織應有安全的邊界以保護包含信息處理設施的區(qū)域7.1.1A.7.1.2實體進出控制安全區(qū)域應有適當?shù)倪M出控制加以保護，以確保只有經(jīng)授權(quán)的人員可以進出7.1.2A.7.1.3 應劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設備7.1.3A.7.1.4 應對在安全區(qū)域

40、中進行的作業(yè)有額外的控制方法及指導原則以加強安全區(qū)域的安全7.1.4A.7.1.5 遞送及裝載區(qū)域應加以控制，如有可能應與信息處理設施隔離，以避免未經(jīng)授權(quán)的訪問7.1.5A.7.2設備安全控制目標：預防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運營活動遭受干擾7.2控制措施A.7.2.1設備的安置及保護應妥善安置及保護設備，以降低來自環(huán)境的威脅與危險所造成的風險以及未經(jīng)授權(quán)的訪問7.2.1A.7.2.2電源供應應保護設備免于電力失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務的電力及通訊電纜，應予以保護免于被攔截或破壞7.2.3A.7.2.4設備維護設備應進行正

41、確維護，以確保其持續(xù)的可用性及完整性7.2.4A.7.2.5組織以外的設備安全任何在組織所在地以外使用的信息處理設備應要求管理層授權(quán)7.2.5A.7.2.6設備報廢或再利用的安全防護設備在報廢或再利用前，應清除在設備中的信息7.2.6A.7.3一般控制控制目標：防止信息及信息處理設備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計算機屏幕畫面凈空策略組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問、遺失及損害所造成的風險7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設備、信息及軟件7.3.2 A.8通訊與操作管理 BS I

42、SO/IEC 17799:2000編號A.8.4.2操作員日志作業(yè)人員應維持一份記錄其作業(yè)活動的工作日。操作日志應受到經(jīng)常性的，獨立的審查。8.4.2A.8.4.3錯誤事件登錄應通報錯誤并采取改正行動8.4.3A.8.5網(wǎng)絡管理控制目標：確保網(wǎng)絡中信息的安全性以及保護支持性的基礎設施8.5控制措施A.8.5.1網(wǎng)絡控制應實行一系列的控制方法以達成并維護網(wǎng)絡的安全8.5.1A.8.6存儲媒體的處理與安全控制目標：防止資產(chǎn)遭受損害以及企業(yè)營運活動遭受干擾 控制措施A.8.6.1可移動式計算機存儲媒體的管理對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應回以控制8.6.1

43、A.8.6.2存儲媒體的報廢不再需要的儲存媒體，應可靠并安全地處置8.6.2A.8.6.3信息的處理程序應建立信息的處理及儲存程序，以保護信息不被未經(jīng)授權(quán)的泄漏或不當使用8.6.3A.8.6.4系統(tǒng)文件的安全應保護系統(tǒng)文件以防未經(jīng)授權(quán)的訪問8.6.4A.8.7信息及軟件的交換控制目標：防止在組織間交換的信息遭受遺失、修改及不當使用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應簽訂協(xié)議，其中有些可能是正式的協(xié)議書8.7.1A.8.7.2存儲媒體的運送安全運送存儲媒體時應保護其不遭受未經(jīng)授權(quán)的泄漏、不當使用或毀壞8.7.2A.8.7.3電子商務安全應保

44、護電子商務免于詐欺行為、合約爭議以及信息被泄漏及修改8.7.2A.8.7.4電子郵件的安全應開發(fā)一份電子郵件的使用策略，并應有降低電子郵件所造成的安全風險的適當控制方法8.7.3A.8.7.5電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務與安全風險，各項政策與指導原則應加以擬定并實施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應有正式的授權(quán)過程，應保護這類信息的完整性以防止未經(jīng)授權(quán)的修改8.7.6A.8.7.7其它形式的信息交換應有適當?shù)牟呗浴⒊绦蚣翱刂品椒▉肀Ｗo經(jīng)由傳真、語音及影像等通訊設施進行的信息交換8.7.7 A.9訪問控制 BS ISO/

45、IEC 17799:2000編號A.9.1企業(yè)營運對訪問控制的要求控制目標：控制對于信息的訪問9.1控制措施A.9.1.1訪問控制策略企業(yè)營運對訪問控制的要求應加以界定并文件化，對于信息的訪問應如訪問控制政策中所界定的加以限制9.1.1A.9.2使用者訪問管理控制目標：確保訪問信息系統(tǒng)的權(quán)限被適當?shù)厥跈?quán)、落實和維護9.2控制措施A.9.2.1使用者注冊應有正式的使用者注冊及注銷的程序，以進行所有的多人使用信息系統(tǒng)及服務的訪問授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應加以限制及控制9.2.2A.9.2.3使用者密碼管理對密碼的分配，應通過正式的管理流程加以控制9.2.

46、3A.9.2.4使用者訪問權(quán)限的審查管理層應定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實施評審9.2.4A.9.3使用者責任控制目標：防止未經(jīng)授權(quán)的使用者訪問9.3控制措施A.9.3.1密碼的使用應要求使用者在選擇及使用密碼時，遵循良好的安全慣例9.3.1A.9.3.2無人看管的使用者設備應要求使用者確保無人看管的使用者設備有適當?shù)谋Ｗo9.3.2A.9.4網(wǎng)絡訪問控制控制目標：保護網(wǎng)絡化的服務9.4控制措施A.9.4.1使用網(wǎng)絡服務的政策使用者應僅能直接訪問已獲得特別授權(quán)使用的服務9.4.1A.9.4.2強制性的路徑由使用者的終端機至計算機服務器羊的路徑應加以控制9.4.2A.9.4.3外部聯(lián)機

47、的使用者認證應對遠程使用者的訪問進行使用者認證9.4.3A.9.4.4節(jié)點認證到遠程計算機系統(tǒng)的聯(lián)機應被認證9.4.4A.9.4.5遠程診斷端口的保護對于診斷斷口的訪問應可靠地加以控制9.4.5A.9.4.6網(wǎng)絡的隔離應引起可在網(wǎng)絡中以群組方式隔離信息服務、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡聯(lián)機的控制在分享式的網(wǎng)絡中，使用者的聯(lián)機能力應依照訪問控制策略加以限制9.4.7A.9.4.8網(wǎng)絡路由的控制在分享式的網(wǎng)絡中，應有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應用軟件的訪問控制政策9.4.8A.9（繼續(xù)） BS ISO/IEC 17799:2000

48、編號A.9.4.9網(wǎng)絡服務的安全對于組織使用網(wǎng)絡服務業(yè)者提供的所有網(wǎng)絡服務的安全特性,應提供清楚的說明9.4.9A.9.5操作系統(tǒng)訪問控制控制目標:防止未經(jīng)授權(quán)的計算機訪問9.5控制措施A.9.5.1自動化的終端機識別應使用自動化的終端機識別,以認證連接到特定場所及可移動式設備的聯(lián)機9.5.1A.9.5.2終端機聯(lián)機程序訪問信息服務應有安全的聯(lián)機流程9.5.2A.9.5.3使用者識別及認證所有使用者應有唯一的識別碼(使用者代號)專供其個人的使用,以便各項活動可以追溯至應負責的個人.使用一種適當?shù)恼J證技術以真實地識別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應提供有效的、交互

49、式的設施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應加以限制并嚴格控制9.5.5A.9.5.6提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標的使用者，應提供脅迫警報9.5.6A.9.5.7終端機逾時終止在高風險場所或為高風險系統(tǒng)服務終端機，在進入休止狀態(tài)達到規(guī)定的一段時間后，應加以關閉以防止未經(jīng)授權(quán)的人進行訪問9.5.7A.9.5.8聯(lián)機時間的限制應使用聯(lián)機時間的限制，以提供高風險的應用程序額外的安全9.5.8A.9.6應用程序訪問控制控制目標：防止對于保持在信息系統(tǒng)中的信息進行未經(jīng)授權(quán)的訪問9.6控制措施A.9.6.1信息訪問限制對于信息及應有系統(tǒng)的功能的

50、訪問應依照訪問控制策略加以限制9.6.1A.9.6.2機密性系統(tǒng)的隔離具機密性質(zhì)的系統(tǒng)應有專屬的隔離的運算環(huán)境9.6.2A.9.7系統(tǒng)訪問及使用的監(jiān)控控制目標：偵探未經(jīng)授權(quán)的活動9.7控制措施A.9.7.1事件登錄應產(chǎn)生記載著異常狀況及其它安全相關事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應建立監(jiān)控信息設施使用情況的程序，并且應定期對監(jiān)活動的結(jié)果進行審查9.7.2A.9.7.3定時器同步計算機的定時器應同步以便能準確地記錄9.7.3A.9（繼續(xù)） BS ISO/IEC 17799:2000編號A.9.8可移動式計算機運算及計

51、算機通訊遠距工作控制目標：確保使用可移動式計算機運算及計算機通訊遠距工作的設施的信息安全9.8控制措施A.9.8.1可移動式計算機運算應有適當?shù)恼秸卟⑶也捎眠m當?shù)目刂品椒?，以防范使用可移動式計算機遠算設施進行工作時所造成的風險，特別是在未被保護的環(huán)境中工作時9.8.1A.9.8.2計算機通訊遠距工作應開發(fā)策略、程序和標準以便授權(quán)及控制計算機通訊遠距工作的活動9.8.2A.10系統(tǒng)開發(fā)及維護 BS ISO/IEC 17799:2000編號A.10.1系統(tǒng)的安全要求控制目標：確保安全機制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標準對于使用新系統(tǒng)或改進既有系統(tǒng)的

52、企業(yè)營運要求，應將對控制方法的要求制定于其中10.1.1A.10.2應用系統(tǒng)中的安全控制目標：防止應用系統(tǒng)中的使用者資料遺失、修改及不當使用10.2控制措施A.10.2.1輸入資料的驗證輸入應用系統(tǒng)的資料應加以驗證，以確保資料是正確且適當?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗證的檢查應成為系統(tǒng)的一部份，以偵測出所處理的資料是否損毀10.2.2A.10.2.3消息的認證當有保護消息內(nèi)容完整性的安全要求時，應針對應用程序進行消息的認證10.2.3A.10.2.4輸出資料的驗證從應用系統(tǒng)輸出的資料應加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當?shù)?0.2.4A.10.3

53、密碼學的控制方法控制目標：保護信息的機密性、真實性或完整性10.3控制措施A.10.3.1運用密碼學控制方法時的政策應發(fā)展且遵循以密碼學控制方法來達成保護信息目的政策10.3.1A.10.3.2資料加密應使用資料加密，以保護機密或關鍵信息的機密性10.3.2A.10.3.3數(shù)字簽章應使用不可否認性的服務，以解決某事件或行動是否有發(fā)生的爭議10.3.3A.10.3.4不可否認性的服務應使用既定的標準、程序及方法為基礎的密鑰管理系統(tǒng)以支持密碼學技術的運用10.3.4A.10.3.5密鑰管理 10.3.5A.10（繼續(xù)） BS ISO/IEC 17799:2000編號A.10.4

54、系統(tǒng)檔案的安全控制目標：確保信息科技的項目及支持特性活動以安全的方式來進行10.4控制措施A.10.4.1控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測試資料的保護測試資料應加以保護及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴格的控制10.4.3A.10.5開發(fā)及支持流程中的安全控制目標：維護應用系統(tǒng)的軟件及信息的安全10.5控制措施A.10.5.1變更控制的程序應使用正式的變更控制程序嚴格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變更的技術審查當發(fā)生變更時，應對應用系統(tǒng)進行審查及測試1

55、0.5.2A.10.5.3軟件包修改的限制應阻止對于軟件包的修改，對于變更應嚴格控制10.5.3A.10.5.4秘密信道及特洛伊木馬應控制并檢查軟件的采購、使用及修改以防范可能密秘信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開發(fā)應使用控制方法防護委外的軟件開發(fā)10.5.5A.11業(yè)務持續(xù)動作管理 BS ISO/IEC 17799:2000編號A.11.1業(yè)務持續(xù)動作管理考慮控制目標：防止企業(yè)運營中斷并且保護企業(yè)營運的關鍵流程免于重大失效或災難的影響11.1控制措施A.11.1.1業(yè)務持續(xù)動作的管理流程為發(fā)展及維護企業(yè)的持續(xù)動作性，應有遍及整個組織的管理流程11.1.1A.11.1.2業(yè)務持續(xù)動作及沖擊分析應發(fā)展以適當?shù)娘L險評估為基礎的策略性計劃，以為業(yè)務持續(xù)動作的方法11.1.2A.11.1.3持續(xù)動作計劃的撰寫及執(zhí)行應發(fā)展計劃確保在重要的業(yè)