信息安全管理

信息安全管理

治理

BS7799-1:1999

第一部分：信息安全治理

業(yè)務手則

前言

BS7799本部分內容，即信息安全治理，是在BSI/DISC委員會BDD

/2指導下完成的。它取代了差不多停止使用的BS7799:1995o

BS7799由兩個部分組成：

第一部分：信息安全治理業(yè)務守則；

第二部分：信息安全治理系統(tǒng)規(guī)范。

BS7799-1首發(fā)于1995年，它為信息安全提供了一套全面綜合最佳實

踐體會的操縱措施。其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時為確定實

施操縱措施的范疇提供一個參考依據(jù)，同時能夠讓各種規(guī)模的組織所采

納。

本標準使用組織這一術語，既包括贏利性組織，也包括諸如公共部門

等非贏利性組織。

1999年的修訂版考慮到最新的信息處理技術應用，專門是網(wǎng)絡和通訊

的進展情形。它也更加大調了信息安全所涉及的商業(yè)咨詢題和責任咨詢

題。

本文檔所講明的操縱措施不可能完全適用于所有情形。它沒有考慮到

本地系統(tǒng)、環(huán)境或技術上的制約因素。同時在形式上也不可能完全適合組

織的所有潛在用戶。因此，本文檔還需要有進一步的指導講明作為補充。

例如，在制定公司策略或公司間貿易協(xié)定時，能夠使用本文檔作為一個基

石。

BritishStandard作為一個業(yè)務守則，在形式上采納指導和建議結合的

方式。在使用時，不應該有任何條條框框，專門專門注意，不要因為要求

遵守守則而因噎廢食。

本標準在起草時就差不多假定一個前提條件，即標準的執(zhí)行對象是具

有相應資格的、富有體會的有關人士。附件A的信息專門豐富，其中包含

一張表，講明了1995年版各部分與1999年版各條款間的關系。BritishSta

ndard無意包容合約的所有必要條款。BritishStandards的用戶對他們正確

使用本標準自負責任。

符合BritishStandard不代表其本身豁免法律義務。

什么是信息安全？

信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對一個組織來講

是有價值的，因此需要妥善進行愛護。信息安全愛護信息免受多種威逼的

攻擊，保證業(yè)務連續(xù)性，將業(yè)務缺失降至最少，同時最大限度地獲得投資

回報和利用商業(yè)機遇。信息存在的形式多種多樣。它能夠打印或寫在紙

上，以電子文檔形式儲存，通過郵寄或電子手段傳播，以膠片形式顯示或

在交談中表達出來。不管信息的形式如何，或通過什么手段進行共享或儲

備，都應加以妥善愛護。

信息安全具有以下特點：

保密性：確保只有通過授權的人才能訪咨詢信息；

完整性：愛護信息和信息的處理方法準確而完整；

可用性：確保通過授權的用戶在需要時能夠訪咨詢信息并使用有關信

息資產(chǎn)。

信息安全是通過實施一整套適當?shù)牟倏v措施實現(xiàn)的。操縱措施包括策

略、實踐、步驟、組織結構和軟件功能。必須建立起一整套的操縱措施，

確保滿足組織特定的安全目標。

什么緣故需要信息安全

信息和支持進程、系統(tǒng)以及網(wǎng)絡差不多上重要的業(yè)務資產(chǎn)。為保證組

織富有競爭力，保持現(xiàn)金流順暢和組織贏利，以及遵紀守法和愛護組織的

良好商業(yè)形象，信息的保密性、完整性和可用性是至關重要的。

作為信息安全治理的最差不多要求，組織內所有的雇員都應參與信息

安全治理。信息安全治理還需要供應商、客戶或股東的參與。也需要參考

來自組織之外的專家的建議。

如果在制定安全需求規(guī)范和設計時期時就考慮到了信息安全的操縱措

施，那么信息安全操縱的成本會專門低，并更有效率。

如何制定安全要求

組織確定自己的安全要求，這是安全愛護的起點。安全要求有三個要

緊來源。第一個來源是對組織面臨的風險進行評估的結果。通過風險評

估，確定風險和安全漏洞對資產(chǎn)的威逼，并評判風險發(fā)生的可能性以及潛

在的阻礙。

第二個來源是組織、其商業(yè)伙伴、承包商和服務提供商必須滿足的法

律、法令、規(guī)章以及合約方面的要求。

第三個來源是一組專門的信息處理的原則、目標和要求，它們是組織

為了進行信息處理必須制定的。

評估安全風險

安全要求是通過對安全風險的系統(tǒng)評估確定的。應該將實施操縱措施

的支出與安全故障可能造成的商業(yè)缺失進行權衡考慮。風險評估技術適用

于整個組織，或者組織的某一部分以及獨立的信息系統(tǒng)、特定系統(tǒng)組件或

服務等。在這些地點，風險評估技術不僅切合實際，而且也頗有助益。

進行風險評估需要系統(tǒng)地考慮以下咨詢題：

安全故障可能造成的業(yè)務缺失，包含由于信息和其它資產(chǎn)的保密性、

完整性或可用性缺失可能造成的后果；

當前要緊的威逼和漏洞帶來的現(xiàn)實安全咨詢題，以及目前實施的操縱

措施。

評估的結果有助于指導用戶確定適宜的治理手段，以及治理信息安全

風險的優(yōu)先順序，并實施所選的操縱措施來防范這些風險。必須多次重復

執(zhí)行評估風險和選擇操縱措施的過程，以涵蓋組織的不同部分或各個獨立

的信息系統(tǒng)。

對安全風險和實施的操縱措施進行定期審查專門重要，目的是：

考慮業(yè)務要求和優(yōu)先順序的變更；

考慮新顯現(xiàn)的安全威逼和漏洞；

確認操縱措施方法是否適當和有效。

應該按照往常的評估結果以及治理層能夠同意的風險程度變化對系統(tǒng)

安全執(zhí)行不同程度的審查。通常先在一個較高的層次上對風險進行評估

（這是一種優(yōu)先處理高風險區(qū)域中的資源的方法），然后在一個具體層次

上處理特定的風險。

選擇操縱措施

一旦確定了安全要求，就應選擇并實施適宜的操縱措施，確保將風險

降低到一個可同意的程度。能夠從本文檔或其它操縱措施集合選擇適合的

操縱措施，也能夠設計新的操縱措施，以滿足特定的需求。治理風險有許

多方法，本文檔提供了常用方法的示例。然而，請務必注意，其中一些方

法并不適用于所有信息系統(tǒng)或環(huán)境，而且可能不適用于所有組織。例如，

8.1.4講明了如何劃分責任來防止欺詐行為和錯誤行為。在較小的組織中專

門難將所有責任劃分清晰，因此需要使用其它方法以達到同樣的操縱目

的。

在降低風險和違反安全造成的潛在缺失時，應該按照實施操縱措施的

成本選擇操縱措施。還應該考慮聲譽受損等非貨幣因素。本文檔中的一些

操縱措施能夠作為信息安全治理的指導性原則，這些方法適用于大多數(shù)組

織。在下文的“信息安全起點”標題下，對此做了較為詳細的講明。

信息安全起點

專門多操縱措施都能夠作為指導性原則，它們?yōu)閷嵤┬畔踩峁┝?/p>

一個專門好的起點。這些方法能夠是按照差不多的法律要求制定的，也能

夠從信息安全的最佳實踐體會中獲得。

從規(guī)律規(guī)定的角度來看，對組織至關重要的操縱措施包括：

知識產(chǎn)權（參閱12.1.2）；

組織記錄的愛護（參閱12.1.3）；

對數(shù)據(jù)的愛護和個人信息的隱私權愛護（參閱12.1.4）。

在愛護信息安全的實踐中，專門好的常用操縱措施包括：

信息安全策略文檔（參閱3.1.1）；

信息安全責任的分配（參閱4.1.3）；

信息安全教育和培訓（參閱6.2.1）；

報告安全事故（參閱6.3.1）；

業(yè)務連續(xù)性治理（參閱11.Do

這些操縱措施適用于大多數(shù)組織，并可在大多數(shù)環(huán)境中使用。請注

意，盡管本文檔中的所有文檔都專門重要，但一種方法是否適用，依舊取

決于一個組織所面臨的特定安全風險。因此，盡管采納上述措施能夠作為

一個專門好的安全愛護起點，但不能取代按照風險評估結果選擇操縱措施

的要求。

成功的關鍵因素

以往的體會表明，在組織中成功地實施信息安全愛護，以下因素是專

門關鍵的：

反映組織目標的安全策略、目標以及活動；

與組織文化一致的實施安全愛護的方法；

來自治理層的實際支持和承諾；

對安全要求、風險評估以及風險治理的深入明白得；

向全體治理人員和雇員有效地推銷安全的理念；

向所有雇員和承包商宣傳信息安全策略的指導原則和標準；

提供適當?shù)呐嘤柡徒逃?/p>

一個綜合平穩(wěn)的測量系統(tǒng)，用來評估信息安全治理的執(zhí)行情形和反饋

意見和建議，以便進一步改進。

制定自己的指導方針

業(yè)務規(guī)則能夠作為制定組織專用的指導原則的起點。本業(yè)務規(guī)則中的

指導原則和操縱措施并非全部適用。因此，還可能需要本文檔未包括的其

它操縱措施。顯現(xiàn)上述情形時，各操縱措施之間相互參照專門有用，有利

于審計人員和業(yè)務伙伴檢查是否符合安全指導原則。

名目

116

2術語和定義16

2.1信息安全16

2.2風險評估16

2.3風險治理16

3安全策略17

3.1信息安全策略17

3.1.1信息安全策略文檔17

3.1.2審查評估17

4組織的安全18

4.1信息安全基礎設施18

4.1.1治理信息安全論壇18

4.1.2信息安全的和諧19

4.1.3信息安全責任的劃分19

4.1.4信息處理設施的授權程序20

4.1.5專家信息安全建議20

4.1.6組織間的合作21

4.1.7信息安全的獨立評審21

4.2第三方訪咨詢的安全性22

4.2.1確定第三方訪咨詢的風險22

4.2.2第三方合同的安全要求23

4.3外包25

4.3.1外包合同的安全要求25

5資產(chǎn)分類治理26

5.1資產(chǎn)責任26

5.1.1資產(chǎn)名目26

5.2信息分類27

5.2.1分類原則27

5.2.2信息標識和處理27

6人員安全29

6.1責任定義與資源治理的安全性29

6.1.1考慮工作責任中的安全因素29

6.1.2人員選拔策略29

6.1.3保密協(xié)議29

6.1.4雇傭條款和條件30

6.2用戶培訓30

6.2.1信息安全的教育與培訓30

6.3對安全事故和故障的處理31

6.3.1安全事故報告31

6.3.2安全漏洞報告31

6.3.3軟件故障報告31

6.3.4從事故中吸取教訓32

6.3.5紀律檢查程序32

7實際和環(huán)境的安全32

7.1安全區(qū)32

7.1.1實際安全隔離帶32

7.1.2安全區(qū)出入操縱措施33

7.1.3辦公場所、房屋和設施的安全保證34

7.1.4在安全區(qū)中工作35

7.1.5與其它區(qū)域隔離的交貨和裝載區(qū)域35

7.2設備的安全35

7.2.1設備選址與愛護36

7.2.2電源37

7.2.3電纜安全37

7.2.4設備愛護38

7.2.5場外設備的安全38

7.2.6設備的安全處置與重用39

7.3常規(guī)操縱措施39

7.3.1桌面與屏幕治理策略39

7.3.2資產(chǎn)處置40

8通信與操作治理40

8.1操作程序和責任40

8.1.1明確的操作程序41

8.1.2操作變更操縱41

8.1.3事故治理程序42

8.1.4責任劃分43

8.1.5開發(fā)設施與運營設施分離43

8.1.6外部設施治理44

8.2系統(tǒng)規(guī)劃與驗收45

8.2.1容量規(guī)劃45

8.2.2系統(tǒng)驗收45

8.3防止惡意軟件46

8.3.1惡意軟件的操縱措施46

8.4內務處理47

8.4.1信息備份47

8.4.2操作人員日志48

8.4.3錯誤日志記錄48

8.5網(wǎng)絡治理49

8.5.1網(wǎng)絡操縱措施49

8.6介質處理與安全49

8.6.1運算機活動介質的治理49

8.6.2介質處置50

8.6.3信息處理程序51

8.6.4系統(tǒng)文檔的安全51

8.7信息和軟件交換51

8.7.1信息和軟件交換協(xié)議52

8.7.2傳輸中介質的安全52

8.7.3電子商務安全53

8.7.4電子郵件安全54

8.7.5電子辦公系統(tǒng)安全55

8.7.6信息公布系統(tǒng)55

8.7.7其它的信息交換形式56

9訪咨詢操縱57

9.1訪咨詢操縱的業(yè)務要求57

9.1.1訪咨詢操縱策略57

9.2用戶訪咨詢治理58

9.2.1用戶注冊59

9.2.2權限治理59

9.2.3用戶口令治理60

9.2.4用戶訪咨詢權限檢查60

9.3用戶責任61

9.3.1口令的使用61

9.3.2無人值守的用戶設備62

9.4網(wǎng)絡訪咨詢操縱62

9.4.1網(wǎng)絡服務的使用策略63

9.4.2實施操縱的路徑63

9.4.3外部連接的用戶身份驗證64

9.4.4節(jié)點驗證64

9.4.5遠程診斷端口的愛護65

9.4.6網(wǎng)絡劃分65

9.4.7網(wǎng)絡連接操縱65

9.4.8網(wǎng)絡路由操縱66

9.4.9網(wǎng)絡服務安全66

9.5操作系統(tǒng)訪咨詢操縱66

9.5.1終端自動識不功能67

9.5.2終端登錄程序67

9.5.3用戶身份識不和驗證68

9.5.4口令治理系統(tǒng)68

9.5.5系統(tǒng)有用程序的使用69

9.5.6愛護用戶的威逼報警69

9.5.7終端超時70

9.5.8連接時刻限制70

9.6應用程序訪咨詢操縱70

9.6.1信息訪咨詢限制71

9.6.2敏銳系統(tǒng)的隔離71

9.7監(jiān)控系統(tǒng)的訪咨詢和使用72

9.7.1事件日志記錄72

9.7.2監(jiān)控系統(tǒng)的使用72

9.7.3時鐘同步74

9.8移動運算和遠程工作74

9.8.1移動運算75

9.8.2遠程工作75

10系統(tǒng)開發(fā)與愛護77

10.1系統(tǒng)的安全要求77

10.1.1安全要求分析和講明77

10.2應用系統(tǒng)中的安全77

10.2.1輸入數(shù)據(jù)驗證78

10.2.2內部處理的操縱78

10.2.3消息驗證79

10.2.4輸出數(shù)據(jù)驗證80

10.3加密操縱措施80

10.3.1加密操縱措施的使用策略80

10.3.2加密81

10.3.3數(shù)字簽名81

10.3.4不否認服務82

10.3.5密鑰治理82

10.4系統(tǒng)文件的安全84

10.4.1操作軟件的操縱84

10.4.2系統(tǒng)測試數(shù)據(jù)的愛護85

10.4.3對程序源代碼庫的訪咨詢操縱85

10.5開發(fā)和支持過程中的安全86

10.5.1變更操縱程序86

10.5.2操作系統(tǒng)變更的技術評審87

10.5.3對軟件包變更的限制87

10.5.4隱藏通道和特洛伊代碼88

10.5.5外包的軟件開發(fā)88

11業(yè)務連續(xù)性治理88

11.1業(yè)務連續(xù)性治理的特點88

11.1.1業(yè)務連續(xù)性治理程序89

11.1.2業(yè)務連續(xù)性和阻礙分析89

11.1.3編寫和實施連續(xù)性打算90

11.1.4業(yè)務連續(xù)性打算框架90

11.1.5業(yè)務連續(xù)性打算的檢查、愛護和重新分析91

12符合性92

12.1符合法律要求92

12.1.1確定適用法律93

12.1.2知識產(chǎn)權（IPR）93

12.1.3組織記錄的安全保證94

12.1.4個人信息的數(shù)據(jù)愛護和安全95

12.1.5防止信息處理設施的濫用95

12.1.6加密操縱措施的調整96

12.1.7證據(jù)收集96

12.2安全策略和技術符合性的評審97

12.2.1符合安全策略98

12.2.2技術符合性檢查98

12.3系統(tǒng)審計因素98

12.3.1系統(tǒng)審計操縱措施99

12.3.2系統(tǒng)審計工具的愛護99

范疇

BS7799本部分內容為那些負責執(zhí)行或愛護組織安全的人員提供使用

信息安全治理的建議。目的是為制定組織安全標準和有效安全治理提供共

同基礎，并提升組織間相互和諧的信心。

術語和定義

在講明本文檔用途中應用了以下定義。

信息安全

信息保密性、完整性和可用性的愛護

注意

保密性的定義是確保只有獲得授權的人才能訪咨詢信息。

完整性的定義是愛護信息和處理方法的準確和完整。

可用性的定義是確保獲得授權的用戶在需要時能夠訪咨詢信息并使用

有關信息資產(chǎn)。

風險評估

評估信息安全漏洞對信息處理設備帶來的威逼和阻礙及其發(fā)生的可能

性

風險治理

以能夠同意的成本，確認、操縱、排除可能阻礙信息系統(tǒng)的安全風險

或將其帶來的危害最小化的過程

安全策略

信息安全策略

目標：提供治理指導，保證信息安全。

治理層應制定一個明確的安全策略方向，并通過在整個組織中公布和

愛護信息安全策略，表明自己對信息安全的支持和愛護責任。

信息安全策略文檔

策略文檔應該由治理層批準，按照情形向所有職員公布傳達。文檔應

講明治理人員承擔的義務和責任，并制定組織的治理信息安全的步驟。至

少應包括以下指導原則：

信息安全的定義、其總體目標及范疇以及安全作為保證信息共享的機

制所具有的重要性（參閱簡介）；

陳述信息安全的治理意圖、支持目標以及指導原則；

簡要講明安全策略、原則、標準以及需要遵守的各項規(guī)定。這對組織

專門重要，例如：

1）符合法律和合約的要求；

2）安全教育的要求；

3）防止并檢測病毒和其它惡意軟件；

4）業(yè)務連續(xù)性治理；

5）違反安全策略的后果；

確定信息安全治理的一樣責任和具體責任，包括報告安全事故；

參考支持安全策略的有關文獻，例如針對特定信息系統(tǒng)的更為詳盡的

安全策略和方法以及用戶應該遵守的安全規(guī)則。安全策略應該向組織用戶

傳達，形式上是針對目標讀者，并為讀者同意和明白得。

審查評估

每個策略應該有一個負責人，他按照明確規(guī)定的審查程序計策略進行

愛護和審查。審查過程應該確保在發(fā)生阻礙最初風險評估的基礎的變化

（如發(fā)生重大安全事故、顯現(xiàn)新的漏洞以及組織或技術基礎結構發(fā)生變

更）時，計策略進行相應的審查。還應該進行以下預定的、時期性的審

查：

檢查策略的有效性，通過所記錄的安全事故的性質、數(shù)量以及阻礙反

映出來；

操縱措施的成本及其業(yè)務效率的阻礙；

技術變化帶來的阻礙。

組織的安全

信息安全基礎設施

目標：治理組織內部的信息安全。

應該建立治理框架，在組織內部開展和操縱信息安全的治理實施。應

該建立有治理領導層參加的治理論壇，以批準信息安全策略、分配安全責

任并和諧組織范疇的安全策略實施。按照需要，應該建立專家提出信息安

全建議的渠道，并供整個組織使用。建立與公司外部的安全專家的聯(lián)系，

保持與業(yè)界的潮流、監(jiān)視標準和評估方法同步，并在處理安全事故時吸取

他們的觀點。應該鼓舞采納跨學科跨范疇的信息安全方法，例如，讓治理

人員、用戶、行政人員、應用程序設計人員、審計人員以及安全人員和專

家協(xié)同工作，讓他們參與保險和風險治理的工作。

治理信息安全論壇

信息安全是一種由治理團隊所有成員共同承擔的業(yè)務責任。應該建立

一個治理論壇，確保對安全措施有一個明確的方向并得到治理層的實際支

持。論壇應通過合理的責任分配和有效的資源治理促進組織內部安全。該

論壇能夠作為目前治理機構的一個組成部分。通常，論壇有以下作用：

審查和核準信息安全策略以及總體責任；

當信息資產(chǎn)暴露受到嚴峻威逼時，監(jiān)視重大變化；

審查和監(jiān)控安全事故；

審核加大信息安全的重要活動。

一個治理人員應負責所有與安全有關的活動。

信息安全的和諧

在大型組織中，需要建立一個與組織規(guī)模適宜的跨部門治理論壇，由

組織有關部門的治理代表參與，通過論壇和諧信息安全操縱措施的實施情

形。

通常，這類論壇：

就整個公司的信息安全的作用和責任達成一致；

就信息安全的特定方法和處理過程達成一致，如風險評估、安全分類

系統(tǒng)；

就整個公司的信息安全活動達成一致并提供支持，例如安全警報程

序；

確保將安全作為制定信息打算的一個部分；

對操縱措施是否完善進行評估，并和諧新系統(tǒng)或新服務的特定信息安

全操縱措施的實施情形；

審查信息安全事故；g）在整個組織中增加對信息安全工作支持的力

度。

信息安全責任的劃分

應該明確愛護個人資產(chǎn)和執(zhí)行具體安全程序步驟的責任。信息安全策

略（請參閱條款3）應提供在組織內分配安全任務和責任的一樣指導原

則。如果需要，能夠為特定的站點、系統(tǒng)或服務補充更加詳細的指導原

則。應明確講明對各個實際資產(chǎn)和信息資產(chǎn)以及安全進程（如業(yè)務連續(xù)性

規(guī)劃）的愛護責任。

在專門多組織中，指定信息安全治理員負責開展和實施安全愛護，并

關心確定操縱措施。然而，資源治理以及實施操縱措施仍由各個治理人員

負責。一種常用的方法是為每項信息資產(chǎn)指定一個所有者，并由他負責該

資產(chǎn)的日常安全咨詢題。

信息資產(chǎn)的所有者將其所承擔的安全責任托付給各個治理人員或服務

提供商。盡管所有者仍對該資產(chǎn)的安全負有最終責任，但能夠確定被托付

的人是否正確履行了責任。一定要明確講明各個治理人員所負責的范疇；

專門是要明確以下范疇。

必須確定并明確講明由誰負責各種資產(chǎn)和與每個系統(tǒng)有關的安全進

程。

應該確定負責各個資產(chǎn)和安全進程的治理人員，并記錄責任的具體落

實情形。

應明確規(guī)定授權級不并進行備案。

信息處理設施的授權程序

關于新的信息處理設施，應該制定治理授權程序。

應考慮以下咨詢題。

新設施應獲得適當?shù)挠脩糁卫韺徍耍跈嘈略O施的范疇和使用。應獲

得負責愛護本地信息系統(tǒng)安全環(huán)境的治理人員的批準，以確保符合所有有

關安全策略和要求。

如果需要，應檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。

請注意，某些連接可能需要對類型進行核實。

使用個人信息處理工具處理業(yè)務信息和其它必要的操縱措施應得到授

權。

在工作場所使用個人信息處理工具會帶來新的漏洞，因此需要進行評

估和授權。

在聯(lián)網(wǎng)的環(huán)境中，這些操縱措施專門重要。

專家信息安全建議

專門多組織都需要專家級的信息安全建議。理想情形下，一位資深的

全職信息安全顧咨詢應該提出以下建議。并不是所有組織都期望雇傭專家

顧咨詢。在這種情形下，我們建議專家負責和諧公司內部的知識和體會資

源，以確保和諧一致，并在安全決策方面提供關心。各個組織應該與公司

以外的顧咨詢保持聯(lián)系，在自己不了解的領域，傾聽他們的專門建議。

信息安全顧咨詢或其它專家應負責為信息安全的各種咨詢題提供建

議，這些意見既能夠來自他們本人，也能夠來自外界。組織的信息安全工

作的效率如何，取決于他們對安全威逼評估的質量和建議使用的操縱措

施。為得到最高的效率和最好的成效，信息安全顧咨詢能夠直截了當與治

理層聯(lián)系。

在發(fā)生可疑的安全事故或破壞行為時，應盡早向信息安全顧咨詢或其

它專家進行咨詢，以得到專家的指導或可供研究的資源。盡管多數(shù)內部安

全調查是在治理層的操縱下進行的，但仍舊應該邀請安全顧咨詢，傾聽他

們的建議，或由他們領導、實施這一調研活動。

組織間的合作

與執(zhí)法機關、治理部門、信息服務提供商和通信運營商簽署的合同應

保證：在發(fā)生安全事故時，能迅速采取行動并獲得建議。同樣的，也應該

考慮加入安全組織和業(yè)界論壇。

應嚴格限制對安全信息的交換，以確保組織的保密信息沒有傳播給未

經(jīng)授權的人。

信息安全的獨立評審

信息安全策略文檔（參見3.1.1）制定了信息安全的策略和責任。必

須對該文檔的實施情形進行獨立審查，確保組織的安全實踐活動不僅符合

策略的要求，而且是靈活高效的。（參見12.2）。審查工作應該由組織內部

的審計職能部門、獨立治理人員或專門提供此類服務的第三方組織負責執(zhí)

行，而且這些人員必須具備相應的技能和體會。

第三方訪咨詢的安全性

目標：愛護第三方訪咨詢的組織信息處理設施和信息資產(chǎn)的安全性。

要嚴格操縱第三方對組織的信息處理設備的使用。

如果存在對第三方訪咨詢的業(yè)務需求，必須進行風險評估，以確定所

涉及的安全咨詢題和操縱要求。必須與第三方就操縱措施達成一致，并在

合同中規(guī)定。

第三方的訪咨詢可能涉及到其它人員。授予第三方訪咨詢權限的合約

應該包括承諾指定其它符合條件的人員進行訪咨詢和有關條件的規(guī)定條

款。

在制定這類合約或考慮信息處理外包時，能夠將本標準作為一個基

礎。

確定第三方訪咨詢的風險

訪咨詢類型

承諾第三方使用的訪咨詢類型專門重要。例如，通過網(wǎng)絡連接進行訪

咨詢所帶來的風險與實際訪咨詢所帶來的風險截然不同。應考慮的訪咨詢

類型有：

實際訪咨詢，如對辦公室、運算機房、檔案室的訪咨詢；

邏輯訪咨詢，如對組織的數(shù)據(jù)庫、信息系統(tǒng)的訪咨詢。

訪咨詢理由

承諾第三方訪咨詢有以下理由。例如，某些向組織提供服務的第三方

不在工作現(xiàn)場，但能夠授予他們物理和邏輯訪咨詢的權限，諸如：

硬件和軟件支持人員，他們需要訪咨詢系統(tǒng)級不或低級不的應用程序

功能；

貿易伙伴或該組織創(chuàng)辦的合資企業(yè)，他們與組織交換信息、訪咨詢信息

系統(tǒng)或共享數(shù)據(jù)庫。

如果不進行充分的安全治理就承諾第三方訪咨詢數(shù)據(jù)，則信息被置于

專門危險的境地。凡有業(yè)務需要與第三方連接時，就需要進行風險評估，

以確定具體的操縱措施要求。還需要考慮以下因素：所需的訪咨詢類型、

信息的價值、第三方所使用的操縱措施以及該訪咨詢對該組織信息的安全

性可能帶來的阻礙。

現(xiàn)場承包商

按照合約的規(guī)定，第三方在現(xiàn)場工作一段時刻后也會留下導致安全隱

患。第三方在現(xiàn)場的情形有：

硬件和軟件的支持愛護人員；

清潔人員、送餐人員、保安以及其它外包的支持服務人員；

為學生提供的職位和其它臨時性的短期職位；

咨詢人員。

要對第三方使用信息處理設備進行治理，了解要使用什么操縱措施是

至關重要的。通常，第三方訪咨詢會帶來新的安全要求或內部操縱措施，

這些都應該在與第三方的合同中體現(xiàn)出來（另請參見4.2.2）o例如，如果

對信息的保密性有專門的要求，應簽署保密協(xié)議（參見6.1.3）。

只有實施了相應的操縱措施，并在合同中明確規(guī)定了連接或訪咨詢的

條款，才能承諾第三方訪咨詢信息和使用信息處理設備。

第三方合同的安全要求

第三方對組織信息處理設施的訪咨詢，應該按照包含所有必要安全要

求的正式合同進行，確保符合組織的安全策略和標準。應確保組織和第三

方之間對合同內容不存在任何歧義。為滿足供應商，組織應第一滿足自

己。在合約中應考慮以下條款：

信息安全的常規(guī)策略；

對資產(chǎn)的愛護，包括：

愛護包括信息和軟件在內的組織資產(chǎn)的步驟；

確認資產(chǎn)的安全是否受到威逼的步驟，如數(shù)據(jù)丟失或被修改；

相應的操縱措施，以保證在合同終止時，或在合同執(zhí)行期間某個雙方

認可的時刻點，將信息和資產(chǎn)歸還或銷毀；

完整性和可用性；

嚴格限制復制信息和泄露信息；

講明每個可提供的服務；

期望的服務水平和不可同意的服務水平；

在適當?shù)臅r候撤換職員的規(guī)定；

達成各方義務的協(xié)議；

與法律事務有關的責任（例如，數(shù)據(jù)愛護法規(guī)）。如果合同涉及到與

其它國家的組織進行合作，應考慮到各個國家法律系統(tǒng)之間的差異（另請

參見12.1）；

知識產(chǎn)權（IPRs）和版權轉讓（參見12.1.2）以及對合著的愛護（另請

參見6.1.3）；

訪咨詢操縱協(xié)議，包括：

承諾使用的訪咨詢方法，以及操縱措施和對唯獨標識符的使用，如用

戶ID和口令；

用戶訪咨詢和權限的授權程序；

保留得到有權使用服務的人員清單，以及他們具體享有那些權限和權

限；

確定可核實的執(zhí)行標準、監(jiān)視及報告功能；

監(jiān)視、撤消用戶活動的權限；

審計合同責任或將審計工作交由第三方執(zhí)行的權限；

建立一種解決咨詢題的漸進過程；在需要時應要考慮如何執(zhí)行應急措

施;

與硬件和軟件安裝愛護有關的責任；

明晰的報告結構和雙方認可的報告格式；

變更治理的明確制定過程；

所需的物理愛護操縱措施和機制，以確保所有操作都符合操縱措施的

要求；

對用戶和治理員進行的方法、步驟和安全方面的培訓；

保證免受惡意軟件攻擊的操縱措施（參見8.3）；

規(guī)定如何報告、通知和調查安全事故以及安全違反行為；

第三方與分包商之間的參與關系。

外包

目標：在將信息處理責任外包給另一組織時保證信息安全。

在雙方的合同中，外包協(xié)議應闡明信息系統(tǒng)、網(wǎng)絡和/或桌面環(huán)境中存

在的風險、安全操縱措施以及方法步驟。

外包合同的安全要求

如果將所有或部分信息系統(tǒng)、網(wǎng)絡和/或桌面環(huán)境的治理和操縱進行外

包，則應在雙方簽定的合同中反映組織的安全要求。

例如,合同中應闡明：

如何符合法律要求，如數(shù)據(jù)愛護法規(guī)；

應該如何規(guī)定保證外包合同中的參與方（包括轉包商）都了解各自的

安全責任；

如何愛護并檢測組織的業(yè)務資產(chǎn)的完整性和保密性；

應該使用何種物理和邏輯操縱措施，限制授權用戶對組織的敏銳業(yè)務

信息的訪咨詢；

在發(fā)生災難事故時，如何愛護服務的可用性；

為外包出去的設備提供何種級不的物理安全愛護；

審計人員的權限。

合同中應該包括422中的列表列出的條款。合同應承諾在安全治理

打算詳細講明安全要求和程序步驟移植，使合同雙方就此達成一致。

盡管外包合同會帶來一些復雜的安全咨詢題，本業(yè)務規(guī)則中的操縱措

施能夠作為一個認可安全治理打算的結構和內容的起點。

資產(chǎn)分類治理

資產(chǎn)責任

目標：對組織資產(chǎn)進行適當?shù)膼圩o。

所有要緊的信息資產(chǎn)應進行登記，并指定資產(chǎn)的所有人。

確定資產(chǎn)的責任關心確保能夠提供適當?shù)膼圩o。

應確定所有要緊資產(chǎn)的所有者，并分配愛護該資產(chǎn)的責任。

能夠托付負責實施操縱措施的責任。資產(chǎn)的責任由資產(chǎn)的指定所有責

負責。

資產(chǎn)名目

資產(chǎn)清單能關心您確保對資產(chǎn)實施有效的愛護，也能夠用于其它商業(yè)

目的，如保健、金融保險等（資產(chǎn)評估）。編輯資產(chǎn)清單的過程是資產(chǎn)評

估的一個重要方面。組織應確定其資產(chǎn)及其相對價值和重要性。利用以上

信息，組織能夠按照資產(chǎn)的重要性和價值提供相應級不的愛護。應該為每

個信息系統(tǒng)的關聯(lián)資產(chǎn)草擬并儲存一份清單。應該明確確認每項資產(chǎn)及其

所有權和安全分類。（參見5.2）各方就此達成一致并將其當前狀況進行備

案（這一點在資產(chǎn)發(fā)生損壞，進行索賠時專門重要）。與信息系統(tǒng)有關聯(lián)

的資產(chǎn)示例有：

信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓材料、操

作或支持步驟、連續(xù)性打算、退守打算、歸檔信息；

軟件資產(chǎn)：應用程序軟件、系統(tǒng)軟件、開發(fā)工具以及有用程序；

物質資產(chǎn)：運算機設備（處理器、監(jiān)視器、膝上型電腦、調制解調

器）、通訊設備（路由器、PABX、傳真機、應答機）、磁介質（磁帶和磁

盤）、其它技術設備（電源、空調器）、家具、機房；

服務：運算和通訊服務、常用設備，如加熱器、照明設備、電源、空

調。

信息分類

目標：保證信息資產(chǎn)得到適當?shù)膼圩o。

應該對信息分類，指明其需要、優(yōu)先順序和愛護級不。

信息的敏銳程度和關鍵程度各不相同。有些信息需要加大愛護或進行

專門對待。能夠使用信息分類系統(tǒng)定義合適的愛護級不，并講明對專門處

理手段的需要。

分類原則

在對信息進行分類并制定有關的愛護性操縱措施時，應該考慮以下咨

詢題：對共享信息或限制信息共享的業(yè)務需求，以及與這種需求有關的業(yè)

務阻礙，如對信息未經(jīng)授權的訪咨詢或損害。通常，對信息的分類是確定

如何處理和愛護信息的簡略方法。應按照信息的價值和關于組織的敏銳程

度，對信息和系統(tǒng)處理分類數(shù)據(jù)的結果進行分類。也能夠按信息對組織的

關鍵程度分類，如按照其可用性和完整性分類。

通過一段時刻后，例如該信息已被公之于眾，信息就變得不那么敏銳

和重要了。必須將這些咨詢題考慮在內，分類過粗會導致不必要的額外業(yè)

務開銷。分類指導原則估量到并同意如此一個事實：信息的分類不是固定

不變的，能夠按照預定策略進行更換（參見9.1）。

也應該考慮到信息類不的數(shù)量和進行分類的優(yōu)點。過于復雜的分類會

使人感受專門苦惱，使用起來專門不合算或沒有有用價值。在講明其它組

織文檔中的分類標記時也應該注意，因為相同或相似的標記的定義可能不

同。對信息進行分類，如對文檔、數(shù)據(jù)記錄、數(shù)據(jù)文件或磁盤進行分類，

以及對分類定期審查等，仍由該信息的最初所有者或指定所有者負責執(zhí)

行。

信息標識和處理

按照組織采納的分類方法，明確標記和處理信息的妥善步驟，是專門

重要的。這些步驟應包括實際存在的信息和電子形式的信息的標記和處理

步驟。關于每個類不，應明確講明，處理步驟包括以下類不的信息處理活

動：

復制；

儲備；

通過郵寄、傳真和電子郵件進行傳輸；

通過移動電話、語音郵件、應答機等交談方式進行傳輸；

破壞。

系統(tǒng)輸出結果包含敏銳或關鍵信息，應帶有相應的分類標記（輸出結

果中）。標記應能反映按照521中創(chuàng)建的規(guī)則進行分類的結果。需要考慮

的咨詢題包括：打印出的報告、屏幕顯示結果、記錄信息的介質（磁帶、

磁盤、CD、磁盤）、電子消息和文件的傳輸咨詢題。最合適的標記形式確

實是貼上一張看的見、摸的著的標簽。然而，有些信息資產(chǎn)（如電子格式

的文檔）不能貼上實際的標簽，需要使用電子方式的標記方法。

人員安全

責任定義與資源治理的安全性

目標：降低設施誤操作、偷竊、詐騙或濫用等方面的人為風險。

在聘請時期，就應該講明安全責任，將其寫入合同，并在雇用期間進

行監(jiān)督。

對候選新職員應充分進行選擇（參見6.1.2）,專門是關于從事敏銳工

作的職員更是如此。所有職員和使用信息處理設施的第三方用戶都應簽署

保密（不公布）協(xié)議。

考慮工作責任中的安全因素

在組織的信息安全策略中應該闡明安全任務和職責（參見3.1）,并進

行備案。還應包括實施和愛護安全策略的總體責任，以及愛護專門資產(chǎn)、

執(zhí)行專門專門安全程序或活動的責任。

人員選拔策略

在考慮就業(yè)申請時應該對固定職員進行審查。審查應包括以下內容：

是否有令中意的個人介紹信，能夠由某個組織或個人出具；

對申請人簡歷的完整性和準確性進行檢查；

對申請人聲明的學術和專業(yè)資格進行證實；

進行獨立的身份檢查（護照或類似文件）。

治理層應有權訪咨詢敏銳系統(tǒng)，以評估對新和體會不足的職員的調查

結果。所有職員的工作都應由高級職員進行定期審查和審核。

治理人員應該明白，職員的個人情形會對他們的工作產(chǎn)生阻礙。個人

或財務上的咨詢題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或痛

楚的心情下工作，都會導致欺詐、盜竊、工作出錯或其它安全咨詢題。應

在自己的權限范疇內，按照相應的規(guī)定，妥善處理這些咨詢題。

保密協(xié)議

簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。職員應

該簽定保密協(xié)議并將其作為初步雇傭的條款和條件。

現(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時性職員和第三方用戶的

咨詢題，在承諾他們訪咨詢信息處理設備之前，應要求他們簽署一份協(xié)

議。如果雇傭條款或合同發(fā)生了變化，專門在是雇員要離開組織或合同要

到期時，要對保密協(xié)議進行進行重新批閱。

雇傭條款和條件

雇傭條款和條件應該規(guī)定職員的信息安全責任。如有需要，該責任在

終止雇用關系后的一段特定的時刻內仍舊有效。條款中還應該包括如果雇

員無視安全要求，那么可對其采取措施。

雇用條款和條件中也應該包括雇員的法律責任和權限方面的條款，如

關于版權法或數(shù)據(jù)愛護法規(guī)方面的內容。條款中還應該注明對雇員有關數(shù)

據(jù)進行分類和治理方面的責任。

如果有必要的話，雇傭條款和條件中應講明職員在組織辦公地點以外

和正常工作時刻以外（如在家工作時）應該承擔的責任（另請參見725

和9.8.1）o

用戶培訓

目標：保證用戶了解信息安全存在的威逼和咨詢題，在正常工作中切

實遵守組織安全策略。

應對用戶進行安全步驟和正確使用信息處理設備的培訓，將可能的安

全風險降到最低。

信息安全的教育與培訓

組織所有職員以及有關的第三方用戶應該就組織策略和程序同意適當

的培訓并定期了解最新變化。這包括安全要求、法律責任和業(yè)務操縱措施

方面的內容，以及如何使用信息處理設備方面的培訓，如登錄的步驟、軟

件包的使用方法等等。因此在此之前，必須授予其訪咨詢信息或服務的權

限。

對安全事故和故障的處理

目標：最大限度降低由于事故和故障而遭受的缺失，對此類事故進行

監(jiān)控并吸取教訓。

將阻礙安全的事故通過適當?shù)闹卫砬辣M快匯報。

安全事故報告

將阻礙安全的事故通過適當?shù)闹卫砬辣M快匯報。

應該建立一套正式的報告安全事故的步驟以及一套安全事故的響應步

驟，后者應規(guī)定在收到安全事故報告后，應該采取的行動。所有雇員和承

包商都應該了解報告安全事故的程序步驟，并按照要求，盡快報告安全事

故。應該建立適當?shù)姆答伹溃员ＷC安全事故處理完畢后，報告人能明

白該事件的處理結果。在進行用戶警報培訓時（參見6.2）,能夠將這些事

件作為示例，向用戶講解可能發(fā)生什么事件、如何對這些事件進行處理以

及今后如何幸免這類事件發(fā)生（另請參見12.1.7）0

安全漏洞報告

應該要求信息服務用戶在發(fā)覺或懷疑系統(tǒng)或服務顯現(xiàn)安全漏洞或受到

威逼時，趕忙進行記錄并匯報。他們應該將這些事件盡快報告給治理層，

或直截了當報告給服務提供商。應該告訴用戶，在任何情形下，也不要試

圖證明一個可疑安全漏洞。這也是為了愛護他們自己，這是因為在您測試

某個漏洞時，專門可能會導致對系統(tǒng)的錯誤使用。

軟件故障報告

應建立報告軟件故障的程序步驟。應考慮采取以下措施。

將咨詢題的征兆和屏幕上顯示的消息記錄下來。

趕忙將咨詢題報告給信息安全治理人員。除非得到授權，用戶不要試

圖刪除可疑的軟件。應由通過培訓富有體會職員執(zhí)行復原工作。

從事故中吸取教訓

應該采納一種機制，將事故和故障的類型、規(guī)模和缺失進行量化和監(jiān)

控。用這些信息來確定重復發(fā)生的或阻礙專門大的事故或故障。這需要使

用功能更強的或其它的操縱措施，以降低事故發(fā)生的頻率、缺失，或在修

訂安全策略的過程中，將這一因素考慮在內（參見3.1.2）。

紀律檢查程序

應該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的雇員

（參見6.1.4,有關保留證據(jù)的咨詢題，參見12.1.7）。對那些無視安全工

作步驟的雇員來講，這種方法確實是一種威懾。另外，如果懷疑某些職員

有嚴峻或長期違反組織安全的行為，這一方法能保證對他們的處罰是正確

和公平的。

實際和環(huán)境的安全

安全區(qū)

目標：防止對公司工作場所和信息的非法訪咨詢、破壞和干擾。

應該將關鍵或敏銳的商業(yè)信息處理設備放在安全的地點，使用相應的

安全防護設備和準入操縱手段以及有明確標志的安全隔離帶進行愛護。應

使這些設備免受未經(jīng)授權的訪咨詢、損害或干擾。

按照所確定的風險的具體情形，提供相應的愛護。對紙張、介質和信

息處理設備建議采取桌面清空和屏幕清空策略，降低對紙張、介質和信息

處理設備進行未經(jīng)授權訪咨詢所帶來的風險和損害。

實際安全隔離帶

能夠在組織辦公區(qū)域和信息處理設備周圍建立幾個實際的防護設備，

提供物理愛護。每個防護設備都劃分出一個安全區(qū)，這都提升了整體的愛

護成效。各個組織應使用安全區(qū)域愛護信息處理設備等資產(chǎn)（參見7.1.

3）o安全區(qū)域是用防護設備隔開的一塊區(qū)域，例如通過一堵墻、刷卡才能

進入的操縱門或人工值守的前臺。防護設備的位置和強度取決于風險評估

的結果。在需要時，能夠考慮并實施以下指導原則和操縱措施。

應明確劃分安全區(qū)域。

建筑物或某個地點中存放信息處理設備的安全區(qū)的位置應該專門合理

（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應隔開）。安全區(qū)四周應有牢

固的圍墻，所有能夠進出安全區(qū)的大門應能防止未經(jīng)授權的訪咨詢，如使

用操縱裝置、柵欄、報警裝備、鎖等等。

設置一個人工值守的接待區(qū)域或使用其它方法，將對現(xiàn)場或建筑物的

實際訪咨詢限制在適當?shù)膮^(qū)域中。只有通過授權的人才能進入現(xiàn)場或建筑

物。

如有必要，可進行全方位的防護，以防止有人未經(jīng)授權進入安全區(qū)，

以及由火災和水災引起的環(huán)境咨詢題的阻礙。

安全區(qū)的所有防火門應報警并關閉。

安全區(qū)出入操縱措施

安全區(qū)應該使用適當?shù)某鋈氩倏v措施予以愛護。不經(jīng)批準，任何人員

不得出入。應考慮以下操縱措施。

必須調查并弄清安全區(qū)域的來訪者的身份，并將他們進入和離開安全

區(qū)域的日期和時刻記錄在案。只有來訪者有特定的、通過授權的目的時，

才能進入安全區(qū)，而且還要告訴他們該區(qū)域的安全要求和緊急情形下的行

動步驟。

只有嚴格限定，通過授權的人才能訪咨詢敏銳信息，使用信息處理設

備。在對所有訪咨詢行為進行授權和驗證時，應采納一些強制性的操縱措

施，如使用帶PIN的卡進行刷卡。應對所有訪咨詢嚴格執(zhí)行審計流程。

要求所有人員佩帶易于辨認的標識，并鼓舞他們詢咨詢無人陪同的生

疏人以及未佩帶標識的人。

應經(jīng)常審查并更新有關安全區(qū)域訪咨詢權限的規(guī)定。

辦公場所、房屋和設施的安全保證

安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾個房間，安全

隔離帶本身也可能是加鎖的并包括幾個可加鎖的小房間或保險箱。在選擇

和設計安全區(qū)域時，應將以下各種咨詢題帶來的損害考慮在內：火災、水

災、爆炸、社會動蕩以及其它形式的自然或人為的災難。也應該將各種有

關的健康和安全方面的規(guī)定和標準考慮在內。還應該考慮到臨近的隔離帶

可能帶來的安全威逼，如其它安全區(qū)域發(fā)生泄露事件。

應考慮以下操縱措施。

關鍵設備應放在公眾無法進入的地點。

建筑物應該不專門顯眼，使人無法察覺該建筑物的用途，在建筑物的

內外都沒有明顯標志表明建筑物內進行者信息處理活動。

安全區(qū)域內各種設備（如影印機、傳真機）齊全，并放在相應的地

點，以防止未經(jīng)授權的人員使用，否則會泄露信息。

在沒人的時候，將門窗關閉，還要注意防止有人從窗戶，專門是只有

一層的窗戶就能夠進入安全區(qū)域。

按照專業(yè)標準安裝入侵檢測系統(tǒng)并經(jīng)常檢查，以對可進入安全區(qū)域的

門和窗戶進行檢查。對無人區(qū)域進行24小時的報警監(jiān)視。對其它區(qū)域也

應該提供相應的愛護，如運算機房或通訊室。

由組織自己治理的信息處理設備應與由第三方治理的信息處理設備分

開。

通過有些名目和內部人員電話號碼本，能確定敏銳信息處理設備的位

置，不能讓公眾得到這些資料。

應將危險或易燃材料儲備在安全的地點，與安全區(qū)保持安全距離。除

非有專門要求，否則不要把大量的物品，如文具，儲備在安全區(qū)域內。

使應急設備和備份介質的儲備位置與主安全區(qū)域保持一個安全距離，

以防止主安全區(qū)域發(fā)生的災難事件殃及這些設備。

在安全區(qū)中工作

要加大安全區(qū)域的安全性，還應該采納其它操縱措施和指導原則。者

包括如何操縱在安全區(qū)內工作的個人和第三方人員，以及如何操縱第三方

人員在安全區(qū)以內的活動。應考慮以下咨詢題。

只有在有必要的前提下，才能讓某個個人明白有一個安全區(qū)或安全區(qū)

內所進行的活動。

出于安全緣故和排除惡意行為發(fā)生的機會兩方面考慮，不承諾在安全

區(qū)域內進行未經(jīng)調查的工作。

關閉無人使用的安全區(qū)域，每隔一段時刻，進行一次檢查。

只有在需要時，才能承諾第三方的支持服務人員進入安全區(qū)域或使用

敏銳信息處理設備。必須對其訪咨詢行為進行授權和監(jiān)視。在不同的范疇

之間還需要隔離區(qū)操縱實際訪咨詢，在安全區(qū)域內有不同的安全要求。

除非通過授權，不承諾使用圖象、視頻、音頻和其它記錄設備。

與其它區(qū)域隔離的交貨和裝載區(qū)域

應該對裝運區(qū)進行操縱，而且應按照情形將其與信息處理設施隔離開

來，幸免非法訪咨詢。這類區(qū)域的安全要求由風險評估的情形決定。應考

慮以下指導原則。

只有通過確認并授權的人在能從不處進入存放物品的區(qū)域。

設計存放物品區(qū)域時，要達到如下成效：負責交貨的人員不需要進入

建筑物的其它部分，就能夠將物資卸下。

當存放物品的區(qū)域內部的門打開時，一定要保證外部的門是安全的。

在將已收下的材料從存貨區(qū)移到使用地點前，必須對其進行檢查，以

防止?jié)撛诘奈ｋU［參見7.2.1d）］。

如果能夠（參見5.1）,在入口處對收下的材料進行登記。

設備的安全

目標：防止資產(chǎn)流失、受損或毀壞以及業(yè)務活動中斷。

應保證設備免受安全方面的威逼和環(huán)境的危害。

要降低對數(shù)據(jù)進行未經(jīng)授權訪咨詢的風險并免受缺失或損壞，必須對

設備（包括不在現(xiàn)場使用的設備）進行愛護。還需要考慮設備的位置和選

址咨詢題?？赡苄枰獙ｉT的操縱措施來愛護免遭危險或非法訪咨詢，并愛

護輔助設施，例如電源和電纜等基礎設施。

設備選址與愛護

應該注重設備的選址與愛護，減少來自環(huán)境威逼和危險以及降低非法

訪咨詢的風險。應考慮以下咨詢題。

將設備安裝在合適的位置，不到必要時，盡量幸免進入工作區(qū)。

確定處理敏銳數(shù)據(jù)的信息處理和儲備設備的位置時，應注意選擇合適

的位置，降低使用過程中因疏忽造成的風險。

應該將需要專門愛護的設備隔離，以降低所需的愛護級不。

應采納相應的操縱措施，盡可能降低潛在威逼的風險，包括：

盜竊；

火災；

爆炸；

煙塵；

供水咨詢題（或停水）；

灰塵；

振動；

化學制品的阻礙；

供電干擾；

電磁輻射。

組織在考慮其策略時，應將在信息處理設備鄰近就餐、飲水和吸煙的

情形考慮到里面去。

有些環(huán)境條件會對信息處理設備的運行產(chǎn)生負面阻礙，應認真監(jiān)視這

些條件。

關于在工業(yè)環(huán)境下運行的設備，應考慮使用專門的愛護方法，如在鍵

盤表面加一層膜。

應考慮臨近辦公區(qū)域發(fā)生災難事件的阻礙，如臨近建筑物發(fā)生火災、

天花板漏水或地板滲水或大街上發(fā)生爆炸事件。

電源

應該防止設備顯現(xiàn)電源故障，防止其它供電不正常的現(xiàn)象。應提供穩(wěn)

固的電力供應，符合設備生產(chǎn)商講明書的規(guī)定。保證連續(xù)供電的方法有：

多回路供電，以防止某個回路顯現(xiàn)咨詢題，造成斷電事故；

不間斷電源(UPS)；

備用發(fā)電機。

關于為重要商業(yè)業(yè)務提供電力支持的設備，需要使用UPS以保證設備

能夠依次關閉或連續(xù)運行。應急打算中應包括UPS發(fā)生故障如何應對的內

容。應經(jīng)常檢查UPS設備，以保證其功率足夠大并按照生產(chǎn)商舉薦的方法

進行測試。

在發(fā)生較長時刻的斷電事故時，而業(yè)務必須進許進行，則能夠考慮使

用后備發(fā)電機。如果差不多安裝了發(fā)電機，應按照生產(chǎn)商的指示，對發(fā)電

機進行定期測試。應保證燃料供應充足，使發(fā)電機能運行更長一段時刻。

另外，在緊急出口處的設備間中應安裝緊急電力開關，以便在緊急情形

下迅速切斷電源。萬一主回路發(fā)生故障，應提供應急照明。所有建筑物都

應采納照明愛護設備，所有露天的通訊線都應配備照明愛護濾光器。

電纜安全

電源線纜與通信電纜承載數(shù)據(jù)或支持性的信息服務，不應被截斷或受

損。應考慮以下操縱措施。

如果可能，接入信息處理設備的電源線路和通信線路應使用地下暗

線，或為其提供多種愛護方法。

防止未經(jīng)授權就損壞或切斷網(wǎng)絡線纜的現(xiàn)象，如將線纜埋入管道，或

幸免通過公共區(qū)域。

電力線纜應與通訊線纜隔離，以幸免相互的干擾。

對敏銳或重要的系統(tǒng)，應考慮采納進一步的操縱措施：

在探傷位置和端點，安裝鎧裝管道或帶鎖的箱體；

使用其它路由或傳輸介質；

使用光纖電纜；

去除線纜上附著的未經(jīng)授權的設備。

設備愛護

應對設備進行妥善地愛護，以保證其連續(xù)地可用并保持完整。應考慮

以下指導原則。

按照供應商舉薦的服務間隔時刻和規(guī)范，對設備進行愛護。

只有通過授權的愛護人員才能對設備進行修理和愛護。

將所有可能的或實際存在的故障以及預防性和休整性的愛護手段進行

備案。

在將設備送修時，應采取適當?shù)牟倏v手段（有關如何刪除和重寫數(shù)

據(jù)，請參見726）。應遵守所有保險條例中提出的要求。

場外設備的安全

不管其所有權如何，在公司辦公區(qū)域以外使用信息處理設備通過由治理

層授權。為辦公區(qū)域以外設備提供的安全愛護，應與為辦公區(qū)內同類設備

提供的安全愛護相同，并將在辦公區(qū)以外使用設備的因素考慮在內。信息

處理設備包括各種形式的個人運算機、組織者、移動電話、紙張或表格，

能夠由在家工作的職員持有，或從正常工作位置移開。應考慮以下指導原

則。

從辦公區(qū)域將設備和介質取走時，不要在公共場所引起大伙兒的注

意。旅行時，應將便攜運算機放在手提皮箱內并假裝起來。

應隨時注意制造商關于愛護設備的指導，如防止接觸強電磁場。

如何操縱在家的工作由風險評估的結果決定，如有需要，應使用適當

的操縱措施，如可封閉的檔案室、下班后桌面不承諾留有物品的策略，以

及對運算機使用的操縱。

應采納充分的保險手段愛護辦公區(qū)域以外的設備。

安全風險，如損壞、偷竊以及竊聽行為隨地點的不同會有專門大的不

同，在確定最合適的操縱措施時，應將這些因素考慮在內。有關如何愛護

移動設備的詳細信息，請參閱9.8.1。

設備的安全處置與重用

如果在處理或重新使用設備時，不加以注意的話，會危及信息的安全

（另請參見864）。關于儲備敏銳信息的儲備設備，應將其銷毀，或重寫

數(shù)據(jù)，而不能只使用標準的刪除功能。

應檢查所有設備的儲備介質，如固定硬盤，移確保對介質進行處理

前，所有敏銳數(shù)據(jù)和授權軟件以被刪除或覆蓋。關于已毀壞的包含敏銳數(shù)

據(jù)的儲備設備，應對其進行風險評估，以確定是應銷毀、修理或棄置該設

備。

常規(guī)操縱措施

目標：防止信息或信息處理設施受損或被盜。

應防止將信息和信息處理設備暴露給未經(jīng)授權的人，或被未經(jīng)授權的

人修改或偷竊，并應采取操縱措施，將缺失或損害最小化。863中考慮了

處理和儲備的步驟。

桌面與屏幕治理策略

在組織中，關于紙張和可移動的儲備介質，應采取桌面清空策略；關

于信息處理設備，應采取屏幕清空策略，以降低在工作時刻內外，對信息

進行未經(jīng)授權訪咨詢所帶來的風險、缺失和損害。策略應將以下因素考慮

在內：信息安全分類（參見5.2）、相應的風險以及組織文化方面的咨詢

題。發(fā)生災難事件，留在桌面上的信息專門容易損壞或銷毀，如火災、水

災或爆炸。

應考慮以下指導原則。

在需要時，在紙張和運算機介質臨時不用時，專門是在外工作時，將

其儲備在合適的加鎖的柜子和/或其它形式的安全設備中。

在不使用敏銳或關鍵的商業(yè)信息時，專門時辦公室騰空時，將其鎖起

來（最好是在防火的保險箱或柜子中）。

在無人使用時，應將個人運算機和運算機終端和打印機保持注銷狀

態(tài)，并用鍵盤鎖、口令或其它操縱措施愛護起來。

應將往來信件的地址和無人使用的傳真機和電傳機愛護起來。

在工作時刻以外，將影印機鎖起來（或用其它方法防止未經(jīng)授權的使

用）。

在打印敏銳或分類信息后，應趕忙從打印機中清除。

資產(chǎn)處置

未經(jīng)授權，不承諾將設備、信息或軟件帶離工作場所。如有必要，應

使設備處于注銷狀態(tài)，在歸還設備后在重新登錄?，F(xiàn)場檢查是否有未經(jīng)授

權就移動財產(chǎn)的行為。每個人都應明白，隨時會進行現(xiàn)場檢查。

通信與操作治理

操作程序和責任

目標：保證信息處理設施的操作安全無誤。

應該建立所有信息處理設施的治理和操作的責任和程序。其中包括制

定適當?shù)牟僮髦噶詈褪鹿适录捻憫绦颉?/p>

在適當?shù)那樾蜗逻M行職責劃分，降低無意或有意造成的系統(tǒng)濫用風

險。

明確的操作程序

應對安全策略確定的操作程序進行備案并愛護。操作程序應作為正式

文檔來處理，對它進行改動需要得到治理層授權。這些程序步驟應指明具

體執(zhí)行每個作業(yè)的指令，包括：

處理和使用信息；

編制需求打算，包括與其它系統(tǒng)的相互依靠性、最先開始的和最后完

成的工作的時刻；

處理錯誤或其它專門情形的指令，這些專門情形可能是在作業(yè)執(zhí)行期

間產(chǎn)生的，包括對使用系統(tǒng)有用程序的限制（參閱9.5.5）

在顯現(xiàn)意外的操作或技術咨詢題時的支持聯(lián)絡

專門的輸出處理指令，例如使用專門文具或治理隱秘輸出，包括安全

處置失敗作業(yè)產(chǎn)生的輸出的方法；

在系統(tǒng)顯現(xiàn)故障時使用的系統(tǒng)重新啟動和復原的措施

應該將備案的方法步驟隨時用于處理與信息處理和通信設施有關的系

統(tǒng)內務治理活動，例如運算機的啟動和關閉程序、備份、設備愛護、運算

機房和郵件處理治理和安全。

操作變更操縱

應該操縱對信息處理設施和系統(tǒng)的變動。對信息處理設施和系統(tǒng)操縱

不力是導致系統(tǒng)或安全故障的常見緣故。應落實正式的治理責任和措施，

確保對設備、軟件或程序的所有變更得到中意的操縱。操作程序應嚴格操

縱變動。更換程序時，應保留包含所有有關信息的審計日志。改變操作環(huán)

境可能會對應用程序造成阻礙。在適當?shù)臅r候，應結合操作步驟和應用更

換操縱步驟（另請參閱10.5.1）o專門，應考慮以下各項：

識不并記錄重大變更

評估這類變更的潛在阻礙；

提議變更的正式批準程序；

向所有有關人員通報變更細節(jié)

確定中止變更并從失敗變更中復原的責任的方法

事故治理程序

應該明確事故治理責任，制定有關程序，保證對安全事故反應迅速、

有效且有條不紊（另請參閱631）。應考慮以下指導方針。

制定針對各種可能存在的安全事故的措施，這些事故包括：

信息系統(tǒng)故障和服務丟失；

拒絕服務；

業(yè)務數(shù)據(jù)不完整或不準確產(chǎn)生錯誤；

違反保密性。

除一樣用于盡快復原系統(tǒng)或服務的應急打算外，這些措施還應包括

（另請參見6.3.4）：

分析和鑒定事故產(chǎn)生的緣故；

按照需要，制定防止再次發(fā)生的補救打算并執(zhí)行這一打算；

收集審查記錄和類似證據(jù)；

與那些受意外事件阻礙或參加從意外事件中復原工作的人員交流；

向上級匯報有關措施。

適當?shù)厥占瞳@得審查記錄和類似證據(jù)（參見12.1.7）o

內部咨詢題分析；

用作與可能違反契約、違反規(guī)章制度的證據(jù)，或者觸犯民事或刑事訴

訟（例如運算機誤用或數(shù)據(jù)愛護立法）的證據(jù)；

與軟件和服務供應商協(xié)商賠償。

嚴格認真地操縱安全違例復原和糾正系統(tǒng)故障的措施。這些措施應確

保

只有明確確定身份和獲得授權的人員才承諾訪咨詢正在使用的系統(tǒng)和

數(shù)據(jù)（有關第三方訪咨詢，另請參見4.2.2）

詳細記錄采取的所有緊急措施；

向治理層匯報緊急措施，并進行有序的審查；

以最小的延誤代價確認業(yè)務系統(tǒng)和操縱的完整性。

責任劃分

責任劃分是降低偶然或有意的系統(tǒng)濫用風險。為減少非法篡改或濫用

信息或服務，應考慮對某些治理或執(zhí)行責任或者責任范疇進行劃分。

小型組織可能認為這種操縱措施難以實現(xiàn)，但應該盡可能地有效應用

這一原則。

當難以劃分責任時，應該考慮使用其它操縱措施，例如活動監(jiān)控、審

計追蹤和治理監(jiān)督等。安全審計保持獨立是專門重要的。

應該注意的是，沒有人在其責任范疇內所犯的錯誤能夠逃脫檢查。應

該將事件執(zhí)行同事件執(zhí)行的授權分開。應考慮以下情形。

識不哪些是為達到欺詐目的的共謀串通活動（例如偽造發(fā)出采購訂單

然后證明物資差不多收到）專門重要。

如果存在串通的危險，那么需要制定操縱措施，讓更多的人參與，降

低顯現(xiàn)共謀的機會。

開發(fā)設施與運營設施分離

開發(fā)設施、測試設施與操作設施分離對實現(xiàn)劃分職責的目的專門重

要。應制定軟