GB-T22081-2016信息技術(shù) 安全技術(shù)信息安全控制實(shí)踐指南

代替GB/T22081—2008信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南(ISO/IEC27002:2013,IDT)中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布IGB/T22081—2016/ISO/IEC27002:2013前言 Ⅲ 0.1背景和環(huán)境 0.2信息安全要求 0.3控制的選擇 V0.4編制組織自己的指南 V0.5生命周期的考慮 V0.6相關(guān)標(biāo)準(zhǔn) V1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14標(biāo)準(zhǔn)結(jié)構(gòu) 14.1章節(jié) 14.2控制類別 15信息安全策略 25.1信息安全管理指導(dǎo) 26信息安全組織 36.1內(nèi)部組織 36.2移動設(shè)備和遠(yuǎn)程工作 57人力資源安全 77.1任用前 77.2任用中 87.3任用的終止和變更 8資產(chǎn)管理 8.1有關(guān)資產(chǎn)的責(zé)任 8.2信息分級 8.3介質(zhì)處理 9訪問控制 9.1訪問控制的業(yè)務(wù)要求 9.2用戶訪問管理 9.3用戶責(zé)任 9.4系統(tǒng)和應(yīng)用訪問控制 10.1密碼控制 11物理和環(huán)境安全 GB/T22081—2016/ISO/IEC27002:201311.1安全區(qū)域 11.2設(shè)備 12運(yùn)行安全 12.1運(yùn)行規(guī)程和責(zé)任 12.2惡意軟件防范 12.3備份 12.4日志和監(jiān)視 12.5運(yùn)行軟件控制 12.6技術(shù)方面的脆弱性管理 12.7信息系統(tǒng)審計(jì)的考慮 13通信安全 13.1網(wǎng)絡(luò)安全管理 13.2信息傳輸 14系統(tǒng)獲取、開發(fā)和維護(hù) 14.1信息系統(tǒng)的安全要求 14.2開發(fā)和支持過程中的安全 14.3測試數(shù)據(jù) 15供應(yīng)商關(guān)系 15.1供應(yīng)商關(guān)系中的信息安全 15.2供應(yīng)商服務(wù)交付管理 16信息安全事件管理 16.1信息安全事件的管理和改進(jìn) 17業(yè)務(wù)連續(xù)性管理的信息安全方面 17.1信息安全的連續(xù)性 17.2冗余 18符合性 18.1符合法律和合同要求 18.2信息安全評審 附錄NA(資料性附錄)GB/T22081—2016與GB/T22081—2008對比 附錄NB(資料性附錄)GB/T22081-2016與GB/T22081—2008主要關(guān)鍵詞變化 參考文獻(xiàn) Ⅲ本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC27002:2013《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指——GB/T29246—2012信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:——增加了資料性附錄NA;4c)定義授權(quán)級別并形成文件；d)被任命的個體宜具備信息安全領(lǐng)域的能力且被給予機(jī)會以跟進(jìn)相關(guān)發(fā)展，使其能夠履行信息安全領(lǐng)域責(zé)任；e)宜對供應(yīng)商關(guān)系中信息安全方面的監(jiān)督和協(xié)調(diào)予以識別，并形成文件。其他信息在許多組織中，將任命一名信息安全管理人員全面負(fù)責(zé)安全的開發(fā)實(shí)現(xiàn)，并支持控制的識別。然而，提供控制資源并實(shí)現(xiàn)這些控制的責(zé)任通常歸于各個管理人員。一種通常的做法是為每一項(xiàng)資產(chǎn)指定一名責(zé)任人負(fù)責(zé)該項(xiàng)資產(chǎn)的日常保護(hù)?？刂埔朔蛛x沖突的職責(zé)及其責(zé)任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會實(shí)現(xiàn)指南宜注意，任何人都不能在非授權(quán)或不被監(jiān)視的情況下訪問、修改和使用資產(chǎn)。宜把一活動的啟動與其授權(quán)相分離。在設(shè)計(jì)該控制時，宜考慮勾結(jié)的可能性。小型組織可能感到難以實(shí)現(xiàn)這種職責(zé)分離，但只要具有可能性和可行性，宜盡量應(yīng)用該原則。如果其他信息職責(zé)分離是一種降低意外或蓄意濫用組織資產(chǎn)的風(fēng)險的方法控制宜維護(hù)與相關(guān)職能機(jī)構(gòu)的適當(dāng)聯(lián)系。實(shí)現(xiàn)指南組織宜有規(guī)程指明什么時候與哪個職能機(jī)構(gòu)(例如，執(zhí)法部門、法規(guī)部門、監(jiān)管部門)進(jìn)行聯(lián)系，以及如何及時報(bào)告已識別的信息安全事件(例如，已識別的信息安全事件可能很觸犯了法律)。其他信息受到來自互聯(lián)網(wǎng)的攻擊組織可能需要職能機(jī)構(gòu)對攻擊源采取行動。維護(hù)這樣的聯(lián)系，可能是支持信息安全事件管理(第16章)或業(yè)務(wù)連續(xù)和應(yīng)急計(jì)劃過程(第17章)的要求。與法規(guī)部門的聯(lián)系還有助于預(yù)先知道組織必須實(shí)現(xiàn)的法律法規(guī)方面預(yù)期的變化，并進(jìn)行預(yù)先準(zhǔn)備。與其他部門的聯(lián)系包括公共事業(yè)、緊急服務(wù)、電力供應(yīng)、健康和安全部門，例如消防局(關(guān)系到業(yè)務(wù)連續(xù)性)、電信提供商(關(guān)系到路由和可用性)、供水部門(關(guān)系到設(shè)備的冷卻設(shè)施)控制宜維護(hù)與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系。實(shí)現(xiàn)指南宜考慮把特定的相關(guān)方或論壇中的成員關(guān)系作為一種手段，來：a)增進(jìn)最佳實(shí)踐的知識，掌握最新相關(guān)安全信息；b)確保了解的信息安全環(huán)境是最新的和全面的；c)獲取以前的有關(guān)攻擊和脆弱性的預(yù)警、公告和補(bǔ)??；d)獲得信息安全專家的建議；e)共享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息；V0.3控制的選擇方法；控制的選擇也必須遵守所有相關(guān)的國家法律法規(guī)。同時控制的選擇也取決于控制交互方式以提本標(biāo)準(zhǔn)中的某些控制可被當(dāng)作信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。在每個控制之下，詳細(xì)地給出了其實(shí)現(xiàn)指南。有關(guān)選擇控制的更詳細(xì)信息以及其他的風(fēng)險的處置選項(xiàng)，可參見0.4編制組織自己的指南本標(biāo)準(zhǔn)可作為組織制定其特定指南的起點(diǎn)。對一個組織來說，本標(biāo)準(zhǔn)中的控制和指南并非全部適用。另外，可能還需要增加一些不包含在本標(biāo)準(zhǔn)中的控制和指南。當(dāng)制定包含一些增加的控制和指南一階段均應(yīng)考慮到信息安全。在每一階段上均應(yīng)考慮信息安全。開發(fā)新的系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的改變，信息安全管理體系標(biāo)準(zhǔn)的總體介紹參見ISO/IEC27000。ISO/IEC27000中提供的詞匯表確定了1信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南本標(biāo)準(zhǔn)為組織的信息安全標(biāo)準(zhǔn)和信息安全管理實(shí)踐提供了指南，包括考慮了組織信息安全風(fēng)險環(huán)本標(biāo)準(zhǔn)被設(shè)計(jì)用于組織：a)選擇控制，即基于GB/T22080[10],在實(shí)現(xiàn)一個信息安全管理體系的過程中選擇控制；b)實(shí)現(xiàn)通用的、可接受的信息安全控制；c)制定組織自己的信息安全管理指南。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。ISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems-Overviewandvocabulary)。3術(shù)語和定義ISO/IEC27000界定的術(shù)語和定義適用于本文件。4標(biāo)準(zhǔn)結(jié)構(gòu)本標(biāo)準(zhǔn)包括14個安全控制的章節(jié)，共含有35個主要安全類別以及114項(xiàng)控制。4.1章節(jié)定義安全控制的每個章節(jié)，包含一個或多個主要安全類別本標(biāo)準(zhǔn)中各章節(jié)的順序不表示其重要性。根據(jù)不同的環(huán)境，任何或所有章節(jié)中的安全控制都可能是重要的，因此應(yīng)用本標(biāo)準(zhǔn)的每一個組織，宜識別可應(yīng)用的控制，這些控制多么重要，以及它們?nèi)绾螒?yīng)用到各個業(yè)務(wù)過程。另外，本標(biāo)準(zhǔn)的列表沒有優(yōu)先順序。4.2控制類別每一個主要安全控制類別包括：a)一個控制目標(biāo)，聲明要實(shí)現(xiàn)什么;b)一個或多個控制，可被用于實(shí)現(xiàn)該控制目標(biāo)?？刂频拿枋鼋Y(jié)構(gòu)如下：控制為滿足控制目標(biāo)，給出定義特定控制的陳述。2實(shí)現(xiàn)指南為支持該控制的實(shí)現(xiàn)并滿足控制目標(biāo)，提供更詳細(xì)的信息。該指南可能不能完全適用或不足以在所有情況下適用，也可能不能滿足組織的特定控制要求。其他信息提供需要考慮的進(jìn)一步的信息，例如法律方面的考慮和對其他標(biāo)準(zhǔn)的參考。如無其他信息，本項(xiàng)將不給出。5信息安全策略5.1信息安全管理指導(dǎo)目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)，為信息安全提供管理指導(dǎo)和支持。5.1.1信息安全策略控制信息安全策略集宜被定義，由管理者批準(zhǔn)，并發(fā)布、傳達(dá)給所有員工和外部相關(guān)方。實(shí)現(xiàn)指南在最高層上，組織宜定義一個“信息安全方針”,該方針宜獲得管理層批準(zhǔn)，并建立組織管理其信息安全目標(biāo)的方法。信息安全方針宜關(guān)注下列方面產(chǎn)生的要求：a)業(yè)務(wù)戰(zhàn)略；c)當(dāng)前和預(yù)期的信息安全威脅環(huán)境。該信息安全方針宜包括涉及以下內(nèi)容的陳述：a)信息安全、目標(biāo)和原則的定義，以指導(dǎo)所有信息安全有關(guān)的活動；b)把信息安全管理方面的一般和特定責(zé)任的分配給已定義的角色；c)處理偏差和意外的過程。在較低層面，該信息安全策略宜由特定主題的策略予以支持，這些策略進(jìn)一步強(qiáng)制性地規(guī)定了信息安全控制的實(shí)現(xiàn)，并通常是結(jié)構(gòu)化的，以強(qiáng)調(diào)組織內(nèi)某些目標(biāo)群體需求或涵蓋某些主題。a)訪問控制(見第9章);b)信息分級(和處理)(見8.2);c)物理和環(huán)境安全(見第11章);1)資產(chǎn)的可接受使用(見8.1.3);2)桌面和屏幕的清理(見11.2.9);3)信息傳輸(見13.2.1);4)移動設(shè)備和遠(yuǎn)程工作(見6.2);5)軟件安裝及其使用限制(見12.6.2);e)備份(見12.3);f)信息傳輸(見13.2);g)惡意軟件防范(見12.2);h)技術(shù)脆弱性管理(見12.6.1);3i)密碼控制(見第10章);j)通信安全(見第13章);k)隱私及其個人可識別信息的保護(hù)(見18.1.4);1)供應(yīng)商關(guān)系(見第15章)。這些策略宜采用預(yù)期讀者適合的、可訪問和可理解的形式傳達(dá)給員工和外部相關(guān)方，例如，在“信息其他信息內(nèi)部信息安全策略的需求因組織而異。內(nèi)部策略對于大型和復(fù)雜的組織而言尤其有用，當(dāng)這些組織中確定和批準(zhǔn)控制預(yù)期水平的人員與實(shí)現(xiàn)控制的人員是分離的，或者當(dāng)內(nèi)部策略應(yīng)用在組織不同的人員或職能時，也是非常有用的。信息安全策略可以以單—“信息安全策略”文件的形式發(fā)布，或作為各不相同但相互關(guān)聯(lián)的一套文件的形式發(fā)布。如果信息安全策略在組織外進(jìn)行分發(fā)，宜注意不要泄露保密信息。5.1.2信息安全策略的評審控制宜按計(jì)劃的時間間隔或當(dāng)重大變化發(fā)生時進(jìn)行信息安全策略評審，以確保其持續(xù)的適宜性、充分性和有效性。實(shí)現(xiàn)指南每個策略宜有專人負(fù)責(zé)，他對策略的制定、評審和評價具有被批準(zhǔn)的管理責(zé)任。評審宜包括評估組織策略和信息安全管理方法的改進(jìn)機(jī)會，以適應(yīng)組織環(huán)境、業(yè)務(wù)狀況、法律法規(guī)或技術(shù)環(huán)境發(fā)生的變化。信息安全策略評審宜考慮管理評審的結(jié)果。宜獲得管理層對修訂的策略的批準(zhǔn)。6信息安全組織6.1內(nèi)部組織目標(biāo)：建立一個管理框架，以啟動和控制組織內(nèi)信息安全的實(shí)現(xiàn)和運(yùn)行。6.1.1信息安全的角色和責(zé)任控制所有的信息安全責(zé)任宜予以定義和分配。實(shí)現(xiàn)指南信息安全責(zé)任的分配宜與信息安全策略(見5.1.1)相一致。各個資產(chǎn)的保護(hù)責(zé)任和執(zhí)行特定安全過程的責(zé)任宜被清晰地標(biāo)識。宜定義信息安全風(fēng)險管理活動的責(zé)任，特別是接受殘余風(fēng)險的責(zé)任。必要時，宜針對特定的地點(diǎn)和信息處理設(shè)施的責(zé)任補(bǔ)充更詳細(xì)的指南。宜定義本地資產(chǎn)保護(hù)和執(zhí)行特定安全過程的責(zé)任。被分配了信息安全責(zé)任的個體可以將安全任務(wù)委托給其他人員。盡管如此，他們?nèi)匀回?fù)有責(zé)任，并且他們宜確定任何被委托的任務(wù)是否已被正確地執(zhí)行。宜指明個體負(fù)責(zé)的領(lǐng)域。特別是，宜進(jìn)行下列工作：a)識別和定義資產(chǎn)和信息安全過程；b)指定每一資產(chǎn)或安全過程的責(zé)任實(shí)體，并且該責(zé)任的細(xì)節(jié)要形成文件(見8.1.2);4c)定義授權(quán)級別并形成文件；d)被任命的個體宜具備信息安全領(lǐng)域的能力且被給予機(jī)會以跟進(jìn)相關(guān)發(fā)展，使其能夠履行信息安全領(lǐng)域責(zé)任；e)宜對供應(yīng)商關(guān)系中信息安全方面的監(jiān)督和協(xié)調(diào)予以識別，并形成文件。其他信息在許多組織中，將任命一名信息安全管理人員全面負(fù)責(zé)安全的開發(fā)實(shí)現(xiàn)，并支持控制的識別。然而，提供控制資源并實(shí)現(xiàn)這些控制的責(zé)任通常歸于各個管理人員。一種通常的做法是為每一項(xiàng)資產(chǎn)指定一名責(zé)任人負(fù)責(zé)該項(xiàng)資產(chǎn)的日常保護(hù)。控制宜分離沖突的職責(zé)及其責(zé)任范圍，以減少未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會。實(shí)現(xiàn)指南宜注意，任何人都不能在非授權(quán)或不被監(jiān)視的情況下訪問、修改和使用資產(chǎn)。宜把一活動的啟動與其授權(quán)相分離。在設(shè)計(jì)該控制時，宜考慮勾結(jié)的可能性小型組織可能感到難以實(shí)現(xiàn)這種職責(zé)分離，但只要具有可能性和可行性，宜盡量應(yīng)用該原則。如果難以分離，宜考慮其他控制，例如對活動的監(jiān)視、審核蹤跡和管理監(jiān)督等。其他信息職責(zé)分離是一種降低意外或蓄意濫用組織資產(chǎn)的風(fēng)險的方法?？刂埔司S護(hù)與相關(guān)職能機(jī)構(gòu)的適當(dāng)聯(lián)系。實(shí)現(xiàn)指南組織宜有規(guī)程指明什么時候與哪個職能機(jī)構(gòu)(例如，執(zhí)法部門、法規(guī)部門、監(jiān)管部門)進(jìn)行聯(lián)系，以及如何及時報(bào)告已識別的信息安全事件(例如，已識別的信息安全事件可能很觸犯了法律)。其他信息受到來自互聯(lián)網(wǎng)的攻擊組織可能需要職能機(jī)構(gòu)對攻擊源采取行動。維護(hù)這樣的聯(lián)系，可能是支持信息安全事件管理(第16章)或業(yè)務(wù)連續(xù)和應(yīng)急計(jì)劃過程(第17章)的要求。與法規(guī)部門的聯(lián)系還有助于預(yù)先知道組織必須實(shí)現(xiàn)的法律法規(guī)方面預(yù)期的變化，并進(jìn)行預(yù)先準(zhǔn)備。與其他部門的聯(lián)系包括公共事業(yè)、緊急服務(wù)、電力供應(yīng)、健康和安全部門，例如消防局(關(guān)系到業(yè)務(wù)連續(xù)性)、電信提供商(關(guān)系到路由和可用性)、供水部門(關(guān)系到設(shè)備的冷卻設(shè)施)?？刂埔司S護(hù)與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系。實(shí)現(xiàn)指南宜考慮把特定的相關(guān)方或論壇中的成員關(guān)系作為一種手段，來a)增進(jìn)最佳實(shí)踐的知識，掌握最新相關(guān)安全信息；b)確保了解的信息安全環(huán)境是最新的和全面的；c)獲取以前的有關(guān)攻擊和脆弱性的預(yù)警、公告和補(bǔ)?。籨)獲得信息安全專家的建議；e)共享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息；5f)當(dāng)處置信息安全事件時，提供適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)(第16章)?？山⑿畔⒐蚕韰f(xié)議來改進(jìn)安全問題的協(xié)作和協(xié)調(diào)。這種協(xié)議宜識別出有關(guān)保護(hù)保密信息的控制c)信息安全作為所采用的項(xiàng)目管理方法各個階段的一部分。在所有項(xiàng)目中宜解決和定期評審信息安全問題。宜定義信息安全責(zé)任，并分配給在項(xiàng)目管理方法 控制宜采用相應(yīng)的策略及其支持性的安全措施以管理由于使用移動設(shè)備所帶來的風(fēng)險。當(dāng)使用移動設(shè)備時，宜特別注意確保業(yè)務(wù)信息不被損害。移動設(shè)備策略宜考慮在不受保護(hù)的環(huán)境問或泄露這些設(shè)備所存儲和處理的信息，宜有適當(dāng)?shù)谋Ｗo(hù)，例如使用密碼技術(shù)(見第10章)和強(qiáng)制使用6館房間、會議中心和會議室。宜為移動設(shè)備的被竊或丟失等情況建立一個符合法律、保險和組織的其他安全要求的特定規(guī)程。攜帶重要、敏感或關(guān)鍵業(yè)務(wù)信息的設(shè)備不宜無人值守，若有可能，宜以物理的方式鎖起來，或使用專用鎖來保護(hù)設(shè)備。宜安排使用移動設(shè)備的人員進(jìn)行培訓(xùn)，以提高他們對這種工作方式導(dǎo)致的附加風(fēng)險和所實(shí)現(xiàn)的控制的了解。當(dāng)移動設(shè)備策略允許使用私人移動設(shè)備時，策略和相關(guān)的安全措施宜考慮：a)分離設(shè)備的私人和業(yè)務(wù)使用，包括使用軟件來支持這種分離并保護(hù)在私人設(shè)備上的業(yè)務(wù)數(shù)據(jù)；b)僅在以下情況提供對業(yè)務(wù)信息的訪問：用戶簽訂最終用戶協(xié)議知曉其職責(zé)(物理保護(hù)、軟件升級等);放棄業(yè)務(wù)數(shù)據(jù)的所有權(quán)；允許組織遠(yuǎn)程擦除數(shù)據(jù)在設(shè)備被盜或丟失時、或不再授權(quán)使用該服務(wù)時。本策略需要考慮隱私方面的法律法規(guī)。其他信息移動設(shè)備無線連接類似于其他類型的網(wǎng)絡(luò)連接，但在確定控制時，宜考慮兩者的重要區(qū)別。典型的a)一些無線安全協(xié)議是不成熟的，并有已知的弱點(diǎn)；b)因?yàn)槭芟薜木W(wǎng)絡(luò)帶寬或因?yàn)橐苿釉O(shè)備在規(guī)定的備份時間未能連接網(wǎng)絡(luò)，在移動設(shè)備上存儲的信息可能不能備份。移動設(shè)備通常與固定使用設(shè)備享用相同的功能，如聯(lián)網(wǎng)、互聯(lián)網(wǎng)接入、電子郵件和文件處理。移動設(shè)備上的信息安全控制通常包含固定使用設(shè)備上采用的措施和為解決在組織場地之外使用帶來的威脅而采用的措施?？刂埔藢?shí)現(xiàn)相應(yīng)的策略及其支持性的安全措施，以保護(hù)在遠(yuǎn)程工作地點(diǎn)上所訪問的、處理的或存儲的信息。實(shí)現(xiàn)指南允許遠(yuǎn)程工作活動的組織宜發(fā)布策略，以定義使用遠(yuǎn)程工作的條件和限制。當(dāng)認(rèn)為適用且法律允a)遠(yuǎn)程工作場地的現(xiàn)有物理安全，要考慮到建筑物和本地環(huán)境的物理安全；b)推薦的物理的遠(yuǎn)程工作環(huán)境；c)通信安全要求，要考慮遠(yuǎn)程訪問組織內(nèi)部系統(tǒng)的需要、被訪問的并在通信鏈路上傳遞的信息的敏感性以及內(nèi)部系統(tǒng)的敏感性；d)提供虛擬桌面訪問以防止在私人設(shè)備上處理和存儲信息；e)住處的其他人員(例如，家人和朋友)未授權(quán)訪問信息或資源的威脅；f)家庭網(wǎng)絡(luò)的使用和無線網(wǎng)絡(luò)服務(wù)配置的要求或限制；g)針對私有設(shè)備開發(fā)的預(yù)防知識產(chǎn)權(quán)爭論的策略和規(guī)程；h)對私人設(shè)備的訪問(以驗(yàn)證機(jī)器安全或開展調(diào)查)可能是被法律禁止的；i)使組織對員工或外部相關(guān)方人員等私人擁有的工作站上的客戶端軟件負(fù)有責(zé)任的軟件許可協(xié)議；j)惡意軟件防范和防火墻要求?？紤]的指南和安排宜包括：a)當(dāng)不允許使用不在組織控制下的私人設(shè)備時，對遠(yuǎn)程工作活動提供合適的設(shè)備和存儲設(shè)施；b)確定允許的工作、工作小時數(shù)、可以保持的信息分級和授權(quán)遠(yuǎn)程工作者訪問的內(nèi)部系統(tǒng)和服務(wù)；7c)提供適合的通信設(shè)備，包括使遠(yuǎn)程訪問安全的方法；d)物理安全；e)有關(guān)家人和來賓訪問設(shè)備和信息的規(guī)則和指南；f)提供硬件和軟件支持和維護(hù)；h)用于備份和業(yè)務(wù)連續(xù)性的規(guī)程；i)審核和安全監(jiān)視；j)當(dāng)遠(yuǎn)程工作活動終止時，撤銷授權(quán)和訪問權(quán)，并返回設(shè)備。其他信息遠(yuǎn)程工作指的是辦公室以外的所有形式的工作，包括非傳統(tǒng)工作環(huán)境比如那些被稱為“遠(yuǎn)程辦公”7人力資源安全 目標(biāo)：確保員工和合同方理解其責(zé)任，并適合其角色?？刂埔税凑障嚓P(guān)法律法規(guī)和道德規(guī)范，對所有任用候選者的背景進(jìn)行驗(yàn)證核查，并與業(yè)務(wù)要求、訪問信息的等級和察覺的風(fēng)險相適宜。實(shí)現(xiàn)指南驗(yàn)證宜考慮所有相關(guān)的隱私、個人身份信息的保護(hù)以及與任用相關(guān)的法律，且允許時，宜包括以下a)有效的可接受的推薦材料(例如，企業(yè)出具和個人出具的文字材料);b)申請人履歷的驗(yàn)證(針對該履歷的完備性和準(zhǔn)確性);c)聲稱的學(xué)歷、專業(yè)資質(zhì)的證實(shí)；d)獨(dú)立的個人身份驗(yàn)證(護(hù)照或類似文件);e)更多細(xì)節(jié)的驗(yàn)證，例如信用核查或犯罪記錄核查。當(dāng)組織聘用人員擔(dān)任一個特定的信息安全角色時，組織宜確認(rèn)該候選人，是否：a)具有執(zhí)行該安全角色所必須的能力；b)可被信任擔(dān)任該角色，特別是當(dāng)該角色對組織是十分重要的。當(dāng)為一項(xiàng)工作所初始任命的或晉升的人員有權(quán)訪問信息處理設(shè)施，特別是如果該設(shè)施正在處理保宜有規(guī)程確定驗(yàn)證評審的準(zhǔn)則和限制，例如誰有資格審查人員，以及如何、何時、為什么執(zhí)行驗(yàn)證評審。宜確保對合同方人員審查的過程。在這種情況下，組織和合同方的協(xié)議宜規(guī)定執(zhí)行審查的責(zé)任，以及當(dāng)審查未完成或?qū)彶榻Y(jié)果引起懷疑或關(guān)注時，需遵守的通告規(guī)程。被考慮在組織內(nèi)錄用的所有候選者的信息宜按照相關(guān)管轄范圍內(nèi)存在的合適的法律來收集和處理。依據(jù)適用的法律，宜將審查活動提前通知候選者。7.1.2任用條款及條件控制宜在員工和合同方的合同協(xié)議中聲明他們和組織對信息安全的責(zé)任。a)所有訪問保密信息的員工和合同方人員宜在給予訪問信息處理設(shè)施權(quán)限之前簽署保密或不泄資產(chǎn)進(jìn)行管理的責(zé)任(見第8章);d)雇員或合同方處理來自其他公司或外部方的信息e)雇員或合同方漠視組織的安全要求所要采取的措施(見7.2.3)。組織宜確保員工和合同方同意與信息安全相關(guān)的條款和條件，這些條款和條件與他們對信息系統(tǒng)7.2任用中控制a)在被允許訪問保密信息或信息系統(tǒng)前了解b)獲取了聲明其組織角色的信息安全期望的指南；d)對于他們在組織內(nèi)的角色和責(zé)任相關(guān)的信息安全如果不使員工和合同方了解他們的信息安全責(zé)任，他們就可能組織造成相當(dāng)大的破壞。得到激勵9GB/T22081—2016/ISO/IEC27002:2013的定期更新的信息。實(shí)現(xiàn)指南信息安全意識培訓(xùn)方案旨在使員工，適當(dāng)時，包括合同方，了解他們的信息安全責(zé)任以及免責(zé)的方法。信息安全意識方案宜按照組織的信息安全策略和相關(guān)規(guī)程建立，考慮組織要保護(hù)的信息以及為保護(hù)這些信息所實(shí)現(xiàn)的控制。意識方案宜包括一些意識提升活動，像組織宣傳活動(例如“信息安全日”)、發(fā)行宣傳冊或制作簡報(bào)等。宜考慮組織中的員工角色，相關(guān)時還需考慮組織對合同方意識的期望來規(guī)劃意識方案。宜隨時間安排，最好定期安排意識方案中的活動，以便活動可以重復(fù)并覆蓋新的員工和合同方。意識方案宜根據(jù)組織的策略和規(guī)程定期更新，并宜汲取信息安全事件的經(jīng)驗(yàn)教訓(xùn)。意識培訓(xùn)宜按照組織的信息安全意識培訓(xùn)方案的要求執(zhí)行。意識培訓(xùn)可使用不同的交付媒介，包信息安全教育和培訓(xùn)宜覆蓋一般方面，例如：a)在整個組織范圍內(nèi)說明管理層對信息安全的承諾；b)熟悉并遵從適用的信息安全規(guī)則和義務(wù)的要求，正如策略、標(biāo)準(zhǔn)、法律、法規(guī)、合同和協(xié)議中所定義的；c)對個人作為和不作為的問責(zé)制度，以及確?；虮Ｗo(hù)組織和外部方的信息的安全的一般責(zé)任；d)基本的信息安全規(guī)程(例如信息安全事件報(bào)告)和基線控制(例如口令安全、惡意軟件控制和清空桌面);e)可得到關(guān)于信息安全問題的更多信息和建議的聯(lián)絡(luò)點(diǎn)和資源，包括進(jìn)一步的信息安全教育和培訓(xùn)材料。信息安全教育和培訓(xùn)宜定期進(jìn)行。初始的教育和培訓(xùn)不僅適用于新員工，也適用于那些調(diào)配到對信息安全要求完全不同的新崗位或角色的員工，且宜在其開展工作前進(jìn)行培訓(xùn)。為有效進(jìn)行教育和培訓(xùn)，組織宜制定信息安全意識培訓(xùn)方案。該方案宜與組織的信息安全策略和相關(guān)規(guī)程保持一致，并考慮組織要予保護(hù)的信息以及為保護(hù)這些信息已實(shí)現(xiàn)的控制。該方案宜考慮教育和培訓(xùn)的不同形式，例如講座或自學(xué)。其他信息信息安全的目標(biāo)以及他們自己行為對組織的潛在影響，包括正面的和負(fù)面的，也很重要意識、教育和培訓(xùn)可以是其他培訓(xùn)活動的一部分，或與之協(xié)同開展，例如通用信息技術(shù)或通用安全培訓(xùn)。意識、教育和培訓(xùn)活動宜適于并與個人的角色、責(zé)任和技能相關(guān)。在意識、教育和培訓(xùn)課程結(jié)束時，可評估員工的理解情況，以測試知識傳遞效果。7.2.3違規(guī)處理過程控制宜有正式的、且已被傳達(dá)的違規(guī)處理過程以對信息安全違規(guī)的員工采取措施。實(shí)現(xiàn)指南在沒有驗(yàn)證信息安全違規(guī)已經(jīng)發(fā)生之前(見16.1.7),不能開始該違規(guī)處理過程。正式的違規(guī)處理過程宜確保對被懷疑信息安全違規(guī)的員工，給予了正確和公平的對待。無論違規(guī)是第一次或是已發(fā)生過，無論違規(guī)者是否經(jīng)過適當(dāng)?shù)嘏嘤?xùn)，正式的違規(guī)處理過程宜規(guī)定一個處理程度的響應(yīng)，要考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素，相關(guān)法律、業(yè)務(wù)合同和其他因素等。違規(guī)處理過程也可用于對員工的一種威懾，防止他們違反組織的信息安全策略和規(guī)程及其他信息安全違規(guī)。故意的違規(guī)可能需要立刻采取相應(yīng)的措施。如果對值得注意的信息安全行為定義了一些主動地懲罰，那么違規(guī)處理過程還可能成為一種動力7.3任用的終止和變更人力資源的職能通常是與管理相關(guān)規(guī)程的安全方面的監(jiān)督管理員一起負(fù)責(zé)總體的任用終止處理。組織宜識別與信息生命周期相關(guān)的資產(chǎn)并將資產(chǎn)的重要性形成文件。信息生命周期宜包括創(chuàng)建、宜為每項(xiàng)已識別的資產(chǎn)指定所屬關(guān)系(見8.1.2)并分級(見8.2)。ISO/IEC27005[]提供了識別資產(chǎn)時組織可能需要考慮的資產(chǎn)示例。編制資產(chǎn)清單的過程是風(fēng)險管理的重要前提條件(見ISO/IEC27000,ISO/IEC27005[])。確保及時分配資產(chǎn)所屬關(guān)系的過程要經(jīng)常被實(shí)現(xiàn)。資產(chǎn)在創(chuàng)立或轉(zhuǎn)移到組織時宜分配其所有權(quán)。資產(chǎn)被創(chuàng)建或轉(zhuǎn)移到組織時，宜指定擁有者。資產(chǎn)擁有者宜對資產(chǎn)的整個生命周期負(fù)有適當(dāng)?shù)墓芾韉)確保資產(chǎn)在刪除或銷毀時進(jìn)行了合適的處置。其他信息已識別的擁有者可以是一個人或一個實(shí)體，其對控制資產(chǎn)的整個生命周期負(fù)有管理責(zé)任。已識別8.1.3資產(chǎn)的可接受使用控制息、信息處理和資源相關(guān)的其他資產(chǎn)的信息安全要求。他們宜對其使用任何信息處理資源以及在其責(zé)當(dāng)員工或外部方用戶購買了組織的設(shè)備或使用他們自己人員設(shè)備時，宜遵循該規(guī)程確保所有相關(guān)當(dāng)員工或外部方用戶擁有的知識對正在進(jìn)行的操作非常重要時，那么這樣的信息宜形成文件并移 信息的分級及相關(guān)保護(hù)控制宜考慮到共享或限制信息的業(yè)務(wù)需求和法律要求。非信息類的資產(chǎn)的分級方案宜包含當(dāng)時的分級規(guī)則和當(dāng)時的分級評審準(zhǔn)則。宜通過分析考慮到的信息的保密性、完分級為處理信息的人員提供如何處理和保護(hù)信息的簡明指示。將有相似保護(hù)需求的信息分組，并規(guī)定適用于每個組中所有信息的信息安全規(guī)程，有助于分級。這一途徑減少了逐項(xiàng)的風(fēng)險評估和客戶信息標(biāo)記的規(guī)程需要涵蓋物理和電子格式的信息及其相關(guān)資產(chǎn)。該標(biāo)記宜反映8.2.1中所建立的分級方案。標(biāo)記宜易于識別。該規(guī)程宜考慮信息被訪問的方式或資產(chǎn)根據(jù)其介質(zhì)類型被處理的方式，分級信息的標(biāo)記是實(shí)現(xiàn)信息共享的一個關(guān)鍵要求。物理標(biāo)簽和元數(shù)信息及相關(guān)資產(chǎn)的標(biāo)記有時有負(fù)面作用。分級的資產(chǎn)容易被識別，從而被內(nèi)部人員或外部攻擊者d)符合制造商說明書的IT資產(chǎn)存儲；包含信息共享的與其他組織的協(xié)議宜包含識別信息分級的規(guī)程和詮釋其他組織信息分級標(biāo)記的 f)有價值數(shù)據(jù)的多個拷貝宜分開存儲在不同的介質(zhì)中，以進(jìn)一步減少數(shù)據(jù)同時損壞或丟失的宜建立介質(zhì)安全處置的正式規(guī)程，以最小化把保密信息泄露給未授權(quán)人員的風(fēng)險。包含保密信息可能需要對包含敏感數(shù)據(jù)的已損壞設(shè)備進(jìn)行風(fēng)險評估以確定其部件是否宜進(jìn)行b)授權(quán)的送信人列表要經(jīng)管理層批準(zhǔn)；e)宜保持其中標(biāo)識了介質(zhì)的內(nèi)容、所應(yīng)用的保護(hù)，并記錄了移交給運(yùn)輸方的時間和接受地點(diǎn)的其他信息9訪問控制9.1訪問控制的業(yè)務(wù)要求訪問控制包括邏輯的和物理的(見第11章),且宜一并考慮。宜為用戶和服務(wù)提供商提供一份清晰c)系統(tǒng)和網(wǎng)絡(luò)的訪問權(quán)和信息分級策略之間的一致性；GB/T22081—2016/ISO/IEC27002:2013d)關(guān)于限制訪問數(shù)據(jù)或服務(wù)的相關(guān)法律和合同義務(wù)(見18.1);h)有關(guān)訪問權(quán)定期評審的要求(見9.2.5);b)信息處理設(shè)施自動啟動的信息標(biāo)記變更和用戶自主啟動的信息標(biāo)記變更(見8.2.2);c)信息系統(tǒng)自動啟動的用戶許可變更和由管從而有不同的訪問配置);9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問d)訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段(如使用VPN和無線網(wǎng)絡(luò));e)訪問各種網(wǎng)絡(luò)服務(wù)的用戶鑒別要求；對網(wǎng)絡(luò)服務(wù)的未授權(quán)和不安全連接可影響整個組織。對于與敏感或關(guān)鍵業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)連接，或9.2.1用戶注冊和注銷b)立即禁用或刪除離開該用戶的ID(見9.2.6);c)定期識別并刪除或禁用冗余的用戶ID;d)確保冗余的用戶ID不會發(fā)給其他用戶。其他信息a)分配和啟用或撤銷用戶ID;b)對這樣的用戶ID提供或撤銷訪問權(quán)(見9.2.2)。用于對用戶ID訪問權(quán)進(jìn)行分配或撤銷的供給過程宜包括：a)針對信息系統(tǒng)或服務(wù)的使用，從系統(tǒng)或服務(wù)的擁有者那里獲得授權(quán)(見8.1.2);從管理層那里f)定期與信息系統(tǒng)或服務(wù)的責(zé)任主體評審訪問權(quán)(見9.2.5)。宜考慮基于業(yè)務(wù)要求建立用戶訪問角色，以此把一些訪問權(quán)概括到一些典型的用戶訪問輪廓中。實(shí)現(xiàn)指南特許訪問權(quán)的分配宜按照相關(guān)訪問控制策略(見9.1.1),通過正式的授權(quán)過程加以控制。宜考慮下c)宜維護(hù)授權(quán)過程和所有特權(quán)的分配記錄。在該授權(quán)過程沒有完成之前，特許訪問權(quán)不宜進(jìn)行e)特許訪問權(quán)宜賦予一個用戶ID——該用戶ID不同于常規(guī)業(yè)務(wù)活動所使用的那些ID,常規(guī)業(yè)特定用戶離開或變更工作時盡可能快地變更口令；特定用戶之間要使用合適的機(jī)制進(jìn)行溝其他信息系統(tǒng)管理權(quán)(能使用戶超越系統(tǒng)或應(yīng)用控制的信息系統(tǒng)的任何特性或能力)的不恰當(dāng)使用是一種導(dǎo)9.2.4用戶的秘密鑒別信息管理d)宜以安全的方式將臨時秘密鑒別信息提供給用戶；宜避免使用外部方或未受保護(hù)的(明文)電口令是一種秘密鑒別信息的常用類型和驗(yàn)證用戶身份的常用手段。其他秘密鑒別信息的類型如密鑰以及存儲在硬件令牌(如智能卡)的生成鑒別碼的其他數(shù)據(jù)。9.2.5用戶訪問權(quán)的評審實(shí)現(xiàn)指南a)宜定期和在任何變更之后如升職、降c)對于特許訪問權(quán)的授權(quán)宜以更頻繁的時間間隔進(jìn)行評審；e)具有特許訪問權(quán)的賬戶的變更宜在定期評審時記入日志。9.2.6訪問權(quán)的移除或調(diào)整實(shí)現(xiàn)指南任用終止時，宜移除或暫停個人對與信息處理設(shè)施和服務(wù)有關(guān)的信息和資產(chǎn)的訪問權(quán)。這將決定移除訪問權(quán)是否是必要的。任用的變更宜體現(xiàn)在不適用于新崗位的訪問權(quán)的移除上。宜移除或改變的訂閱的權(quán)限實(shí)現(xiàn)。任何標(biāo)識雇員和合同方人員訪問權(quán)的文件宜反映訪問權(quán)的移除和調(diào)整。如果一個已對信息資產(chǎn)和信息處理設(shè)施的訪問權(quán)在任用終止或變更前是否減少或移除，取決于對風(fēng)險因素的其他信息在由管理者提出任用終止的情況下，不滿的員工或外部用戶可能故意破壞信息或破壞信息處理設(shè)控制實(shí)現(xiàn)指南其他信息9.4系統(tǒng)和應(yīng)用訪問控制控制控制宜選擇適當(dāng)?shù)纳矸蓁b別技術(shù)以證實(shí)用戶聲稱的身份。d)僅在所有輸入數(shù)據(jù)完成時才驗(yàn)證登錄信息。如果出現(xiàn)一個差錯條件，系統(tǒng)不宜指出數(shù)據(jù)的哪控制實(shí)現(xiàn)指南一個口令管理系統(tǒng)宜h)分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)其他信息控制實(shí)現(xiàn)指南其他信息大多數(shù)計(jì)算機(jī)安裝有一個或多個可能超越系統(tǒng)控制實(shí)現(xiàn)指南這種代碼的受控的集中存儲來實(shí)現(xiàn)，更好的是放在源程序庫中。為了控制對源程序庫的訪問以減少潛f)宜維護(hù)對源程序庫所有訪問的審計(jì)日志；g)維護(hù)和拷貝源程序庫宜受嚴(yán)格變更控制規(guī)程的制約(見 控制其他信息關(guān)于密碼解決方案是否合適的決策，宜作為風(fēng)險評估和控制選擇的一部分。該評估能被用于決定控制宜保護(hù)所有的密鑰免遭修改和丟失。另外，私密密鑰和私鑰需要防范非授權(quán)的泄露和使用。用來b)發(fā)布和獲得公鑰證書；k)記錄和審核與密鑰管理相關(guān)的活動。除了安全地管理私密密鑰和私鑰外，還宜考慮公鑰的真實(shí)性。公鑰真實(shí)性的鑒別過程可以由認(rèn)證機(jī)構(gòu)正式頒發(fā)的公鑰證書來完成，該認(rèn)證機(jī)構(gòu)宜是一個具有合適的控制和規(guī)程以提供所需的信任度的與外部密鑰服務(wù)提供者(例如與認(rèn)證機(jī)構(gòu))簽訂的服務(wù)級別協(xié)議或合同的內(nèi)容，宜涵蓋服務(wù)責(zé)任、服務(wù)可靠性和提供服務(wù)的響應(yīng)次數(shù)等若干問題(見15.2)。其他信息密鑰管理對于有效使用密碼技術(shù)來說是必需的。ISO/IEC11770[2I3][4]提供了更多密鑰管理的信息。密碼技術(shù)還可以用來保護(hù)密鑰。需要考慮制定規(guī)程來處理對密鑰訪問的法律要求，例如，加密的信息可能需要以未加密的形式提供，以作為法庭證據(jù)。11物理和環(huán)境安全目標(biāo)：防止對組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾?？刂埔硕x和使用安全邊界來保護(hù)包含敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域。實(shí)現(xiàn)指南對于物理安全邊界，若適合，宜考慮和實(shí)現(xiàn)下列指南：a)宜確定安全邊界，各個邊界的設(shè)置地點(diǎn)和強(qiáng)度取決于邊界內(nèi)資產(chǎn)的安全要求和風(fēng)險評估的結(jié)果；b)包含信息處理設(shè)施的建筑物或場地的邊界宜在物理上是安全的(即，在邊界或區(qū)域內(nèi)不宜存在可能易于闖入的任何缺口);場所的房頂、墻和地板宜是堅(jiān)固建筑，所有通往外部的門宜使用控制機(jī)制(例如，門閂、報(bào)警器、鎖等)來適當(dāng)保護(hù)，以防止未授權(quán)進(jìn)入；無人看管的門和窗戶要上鎖，還要考慮窗戶的外部保護(hù)，尤其是地面一層的窗戶；c)宜設(shè)立人工接待區(qū)域或采用其他手段，控制實(shí)際進(jìn)入場所或建筑物；宜限制只有授權(quán)的人員才能進(jìn)入場所或建筑物；d)適用時，宜建立物理屏障以防止未授權(quán)進(jìn)入和環(huán)境污染；e)宜根據(jù)相關(guān)標(biāo)準(zhǔn)，在安全邊界的所有防火門及其墻體上，安裝報(bào)警裝置，并進(jìn)行監(jiān)事和測試，以建立所需的防衛(wèi)水平；它們宜按我國消防規(guī)范安全運(yùn)行；f)宜按照我國標(biāo)準(zhǔn)，對所有的外部門窗安裝適當(dāng)?shù)陌卜辣O(jiān)測系統(tǒng)，并進(jìn)行定期測試；宜一直警惕空閑區(qū)域；其他區(qū)域宜提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；g)組織管理的信息處理設(shè)施宜在物理上與外部方管理的設(shè)施分開。其他信息物理保護(hù)可以通過在組織邊界和信息處理設(shè)施周圍設(shè)置一個或多個物理屏障來實(shí)現(xiàn)。多重屏障的使用將提供附加保護(hù)，一個屏障的失效不意味著立即危及到安全。一個安全區(qū)域可以是一個可上鎖的辦公室，或是被連續(xù)的內(nèi)部物理安全屏障包圍的幾個房間。在安全邊界內(nèi)具有不同安全要求的區(qū)域之間宜需要額外的屏障和邊界以控制物理訪問。宜特別注意容納多個組織資產(chǎn)的建筑的物理訪問安全。風(fēng)險評估確定的物理控制的應(yīng)用，特別是針對安全區(qū)域，宜與組織的技術(shù)和經(jīng)濟(jì)環(huán)境相適應(yīng)?？刂瓢踩珔^(qū)域宜由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。實(shí)現(xiàn)指南b)宜通過實(shí)現(xiàn)適當(dāng)?shù)脑L問控制，來實(shí)現(xiàn)僅限于已授權(quán)人員才可訪問處理或儲存保密信息的區(qū)域c)宜安全地維護(hù)和監(jiān)視所有訪問的紙質(zhì)登記冊或者電子審核蹤跡?？刂芶)關(guān)鍵設(shè)施的安置宜避免公眾訪問的場地?？刂瓶刂瓢踩珔^(qū)域的工作安排包括對在安全區(qū)域工作的員工和外部用戶的控制，控制要覆蓋發(fā)生在安全區(qū)GB/T22081—2016/ISO/IEC27002:2013訪問點(diǎn)(例如交接區(qū))和未授權(quán)人員可進(jìn)入的其他點(diǎn)宜加以控制，如果可能，宜與信息處理設(shè)施隔a)由建筑物外進(jìn)入交接區(qū)的訪問宜限于已標(biāo)識的和已授權(quán)的b)交接區(qū)宜設(shè)計(jì)為在交接人員無需訪問建筑物的其他部分就能裝卸物資；e)運(yùn)進(jìn)的物資宜按照資產(chǎn)管理規(guī)程(見第8章)在場所入口處進(jìn)行登記；b)宜謹(jǐn)慎放置處理敏感數(shù)據(jù)的信息處理設(shè)施，以減少其在使用期間信息被未授權(quán)人員窺視的f)宜建立在信息處理設(shè)施附近飲食和吸煙的規(guī)定；g)宜監(jiān)視可能對信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度);宜保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。a)符合設(shè)備制造商規(guī)范及本地相b)定期評估其能力以滿足業(yè)務(wù)增長的需要并保持與其他支持設(shè)施的交互其他信息控制控制b)只有已授權(quán)的維護(hù)人員才可對設(shè)備進(jìn)行修理和服務(wù)；控制實(shí)現(xiàn)指南a)宜對授權(quán)允許將資產(chǎn)帶出辦公場所的員工和外部用戶進(jìn)行標(biāo)識；其他信息用于檢測未授權(quán)資產(chǎn)移動的抽查也可用作檢測未授權(quán)的記錄裝置、武器等，以防止其進(jìn)出辦公場所。該抽查宜按照相關(guān)法律法規(guī)執(zhí)行。抽查活動宜讓每個個體都知曉，并且驗(yàn)證活動只能在法律法規(guī)在組織場所外使用信息存儲和處理設(shè)備宜得到管理者的授權(quán)。這適用于組織擁有的設(shè)備和為了組辦公室的安全通信(參見ISO/IEC27033[lsTls][[1a[19]);其他信息用于家庭工作或從常規(guī)工作地點(diǎn)帶走的信息存儲和處理設(shè)備包括所有形式的個人計(jì)算機(jī)、管理設(shè)有關(guān)保護(hù)移動設(shè)備其他方面的更多信息可見6.2。其他信息當(dāng)設(shè)備予以處置或重新調(diào)配時，除了安全的磁盤擦除，全盤加密可以減少保密信息泄露的風(fēng)險，c)加密密鑰自身的機(jī)密性能夠得到保障(如用于加密磁盤的密鑰從不存儲在被加密保護(hù)的磁盤關(guān)于加密的更多建議見第10章。控制其他信息宜考慮使用帶有個人識別碼(PIN)功能的打印機(jī)，使得發(fā)起打印的人員是能得到其打印輸出的唯12運(yùn)行安全12.1運(yùn)行規(guī)程和責(zé)任 實(shí)現(xiàn)指南c)備份(見12.3);e)對在工作執(zhí)行期間可能出現(xiàn)的處理差錯或其他異常情況的指導(dǎo)，包括對使用系統(tǒng)實(shí)用工具的處置規(guī)程(見8.3和11.2.7);i)審計(jì)蹤跡和系統(tǒng)日志信息的管理(見12.4);j)監(jiān)視規(guī)程。控制a)重大變更的標(biāo)識和記錄；對信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失效的常見原因。對運(yùn)行環(huán)境的變更，宜考慮相關(guān)系統(tǒng)業(yè)務(wù)關(guān)鍵性，來識別容量需求。宜使用系統(tǒng)調(diào)整和監(jiān)視以確保并必要時改進(jìn)系統(tǒng)的可用性和效率。宜有檢測控制以及時地指出問題。對未來容量需求的預(yù)測宜考慮新的業(yè)務(wù)、系統(tǒng)要需要特別關(guān)注與訂貨交貨周期長或成本高相關(guān)的所有資源；因此管理者宜監(jiān)視關(guān)鍵系統(tǒng)資源的使管理者宜使用該信息來識別和避免可能威脅到系統(tǒng)安全或服務(wù)的潛在的瓶頸及對關(guān)鍵員工的依a)刪除廢棄數(shù)據(jù)(磁盤空間);d)優(yōu)化應(yīng)用邏輯或數(shù)據(jù)庫查詢；e)拒絕或限制非關(guān)鍵業(yè)務(wù)的資源高消耗服務(wù)的帶寬(如視頻流)。控制a)宜定義軟件從開發(fā)狀態(tài)到運(yùn)行狀態(tài)的傳送規(guī)則并形成文件；b)開發(fā)和運(yùn)行軟件宜在不同的系統(tǒng)或計(jì)算機(jī)處理器上以及在不同的域或目錄內(nèi)運(yùn)行；f)用戶宜在運(yùn)行和測試系統(tǒng)中使用不同的用戶配置文件，菜單宜顯示合適的標(biāo)識消息以減少出其他信息維護(hù)一種已知的和穩(wěn)定的環(huán)境以執(zhí)行有意義的測試若開發(fā)和測試人員訪問運(yùn)行系統(tǒng)及信息，那么他們可能會引入未授權(quán)和未測試的代碼或改變運(yùn)行開發(fā)和測試人員也會威脅到運(yùn)行信息的保密性。如果開發(fā)和測試活動共享同一計(jì)算環(huán)境，那么可能引起非故意的軟件或信息的變更。因此，為了減少意外變更或未授權(quán)訪問運(yùn)行軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng) 控制b)實(shí)現(xiàn)控制(如應(yīng)用程序白名單),以防止或發(fā)現(xiàn)未授權(quán)軟件的使用；c)實(shí)現(xiàn)控制(如黑名單),以防止或發(fā)現(xiàn)已知或可疑的惡意網(wǎng)站的訪問；d)建立防范風(fēng)險的正式策略，該風(fēng)險與來自或經(jīng)由外部網(wǎng)絡(luò)或在其他介質(zhì)上獲得的文件和軟件f)定期評審支持關(guān)鍵業(yè)務(wù)過程的系統(tǒng)軟件和數(shù)據(jù)內(nèi)容；宜正式調(diào)查存在的任何未批準(zhǔn)的文件或h)就系統(tǒng)上惡意軟件的防護(hù)，定義規(guī)程和責(zé)任，并就惡意軟件攻擊，培訓(xùn)它們的使用、報(bào)告和及恢復(fù)安排(見12.3);其他信息使用兩個或多個來自不同供應(yīng)商的用于防范信息處理環(huán)境中惡意軟件的軟件產(chǎn)品，能改進(jìn)惡意軟單獨(dú)使用惡意軟件檢測及修復(fù)軟件作為惡意軟件控制通常不充分，通常需要結(jié)合防止惡意軟件引控制實(shí)現(xiàn)指南b)備份的程度(例如完全備份或差異備份)和頻率宜反映組織的業(yè)務(wù)要求、涉及信息的安全要求d)宜給予備份信息一個與主辦公場所應(yīng)用標(biāo)準(zhǔn)相一致的適當(dāng)?shù)奈锢砗铜h(huán)境保護(hù)等級(見第11章);測試相結(jié)合，并檢查是否符合所需的恢復(fù)時間。宜使用專用的測試介質(zhì)進(jìn)行備份數(shù)據(jù)恢復(fù)能操作規(guī)程宜監(jiān)視備份的執(zhí)行情況，解決執(zhí)行計(jì)劃備份的故障，以確保根據(jù)備份策略實(shí)施備份的完宜定期測試單個系統(tǒng)和服務(wù)的備份安排以確保其滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求。對于關(guān)鍵系統(tǒng)和服 控制a)用戶ID;f)成功的和被拒絕的對數(shù)據(jù)以及其他資源訪問嘗試的記錄；i)系統(tǒng)工具和應(yīng)用程序的使用一些審計(jì)日志可能被要求存檔，以作為記錄保存策略的一部分或由于收集和保留證據(jù)的需要(見其他信息系統(tǒng)日志通常包含大量的信息，其中許多與信息安全監(jiān)視無關(guān)。為幫助識別出對信息安全監(jiān)視目控制特權(quán)用戶的賬戶持有人可能能夠在其直接控制下操作信息處理設(shè)施上的日志，因此有必要保護(hù)和其他信息控制實(shí)現(xiàn)指南組織從外部源獲得基準(zhǔn)時間的途徑以及如何同步內(nèi)部時鐘宜形成相應(yīng)的文件并實(shí)現(xiàn)其他信息理的證據(jù)。不準(zhǔn)確的審計(jì)日志可能妨礙調(diào)查，并損害這種證據(jù)的可信性。可使用鏈接到源于國家原子鐘的無線電廣播時間，作為日志生成系統(tǒng)的主時鐘。可使用網(wǎng)絡(luò)時間協(xié)議來保持所有服務(wù)器與主時鐘控制a)宜僅由受過培訓(xùn)的管理員，根據(jù)合適的管理授權(quán)(見9.4.5),進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的d)宜使用配置控制系統(tǒng)對所有已開發(fā)的軟件和系統(tǒng)文件進(jìn)行控制；g)宜保留應(yīng)用軟件的先前版本作為應(yīng)急措施；供應(yīng)商停止支持舊版本的軟件。組織宜考慮依賴于升級到新版的任何決策宜考慮變更的業(yè)務(wù)要求和新版的安全，即引入的新安全功能或影響該版本宜及時獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評價組織對這些脆弱性的暴露狀況并采取當(dāng)前的、完整的資產(chǎn)清單(見第8章)是進(jìn)行有效技術(shù)方面的脆弱性管理的先決條件。支持技術(shù)方宜采取適當(dāng)?shù)?、及時的措施以響應(yīng)潛在的技術(shù)方面脆弱性。建立有效的技術(shù)方面的脆弱性管理過b)用于識別相關(guān)的技術(shù)方面的脆弱性和維護(hù)有關(guān)這些脆弱性的認(rèn)識的信息資源，宜被識別用于c)宜制定時間表對潛在的相關(guān)技術(shù)方面的脆弱性的通知做出反映；e)按照技術(shù)方面的脆弱性需要解f)如果有可用的補(bǔ)丁，則宜評估與安裝該補(bǔ)丁相的風(fēng)險進(jìn)行比較);k)有效的技術(shù)方面的脆弱性管理過程宜與事件管理活動保持一致，以傳遞脆弱性數(shù)據(jù)至事件響1)確定脆弱性被識別但沒有合適對策時的規(guī)程。在該情況下，組織宜評價與已知脆弱性相關(guān)的其他信息技術(shù)方面的脆弱性管理可被看作是變更管理的一個子功能，因此可以利用變更管理的過程和規(guī)程供應(yīng)商往往是在很大的壓力下發(fā)布補(bǔ)丁。因此，補(bǔ)丁可能不足以解決該問題，并且可能存在負(fù)作他用戶報(bào)告的經(jīng)驗(yàn)來評價相關(guān)的風(fēng)險?？蓞⒖际褂肐SO/IEC27031[41實(shí)現(xiàn)指南宜使用最小授權(quán)原則。如獲得了某些特權(quán)，用戶就可能具有安裝軟件的能力。組織宜確定允許安的或可疑的潛在的惡意軟件相關(guān)的軟件)。宜針對用戶所涉及的角色授予這些特權(quán)。其他信息 涉及運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動，宜謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化業(yè)務(wù)過程的a)訪問系統(tǒng)和數(shù)據(jù)的審計(jì)要求宜與相關(guān)的管理達(dá)成一致；f)可能影響系統(tǒng)可用性的審計(jì)測試宜在業(yè)務(wù)時間外進(jìn)行；13通信安全 已連接的系統(tǒng)及應(yīng)用(見第10章和13.2);為維護(hù)所連接的網(wǎng)絡(luò)服務(wù)和計(jì)算機(jī)的可用性，還可d)宜應(yīng)用合適的日志生成和監(jiān)視，以便能記錄和檢測到一些可能影響信息安全或與信息安全相e)為優(yōu)化對組織的服務(wù)和確保在信息處理基礎(chǔ)設(shè)施中諸多控制的一致應(yīng)用，宜緊密協(xié)調(diào)相應(yīng)的實(shí)現(xiàn)指南其他信息檢測系統(tǒng)。這些服務(wù)既包括簡單的未受控的帶寬也包括復(fù)雜的增值的提供。管理大型網(wǎng)絡(luò)安全的一種方法是將該網(wǎng)絡(luò)分成獨(dú)立的網(wǎng)絡(luò)域。域的選擇可以基于信任級別(如公織單元的服務(wù)器域)。域之間的隔離可以使用不同的物理網(wǎng)絡(luò)或者使用不同的邏輯網(wǎng)絡(luò)(如虛擬專用網(wǎng)進(jìn)行控制。劃分網(wǎng)絡(luò)域以及允許穿過網(wǎng)關(guān)訪問的準(zhǔn)則宜基于對每個域安全要求的評估。該評估宜與訪外部連接，并將該訪問從內(nèi)部網(wǎng)絡(luò)隔離，直到該訪問在授權(quán)訪問內(nèi)部系統(tǒng)之前根據(jù)網(wǎng)絡(luò)控制策略其他信息這樣的擴(kuò)展會增加對使用網(wǎng)絡(luò)的組織信息系統(tǒng)未授權(quán)訪問的風(fēng)險，其中的某些系統(tǒng)由于其敏感性或關(guān) 使用通信設(shè)施進(jìn)行信息傳輸?shù)囊?guī)程和控制宜考慮下列條款b)檢測和防止可能通過使用電子通信傳輸?shù)膼阂廛浖囊?guī)程(見12.2.1);c)保護(hù)以附件形式傳輸?shù)拿舾须娮有畔⒌囊?guī)程；d)通信設(shè)施可接受使用的策略或指南的概述(見8.1.3);i)建議員工采取適當(dāng)?shù)念A(yù)防措施以防泄露保密信息；3)由于誤撥號或使用錯誤存儲的號碼信息傳輸服務(wù)宜符合所有相關(guān)的法律要求(見18.1)。其他信息g)為敏感或關(guān)鍵信息使用商定的標(biāo)記系統(tǒng)，確保標(biāo)記的含義被快速理解，信息得到適當(dāng)?shù)谋Ｗo(hù)(見8.2);h)用于記錄和讀取信息和軟件的技術(shù)標(biāo)準(zhǔn)；i)為保護(hù)敏感項(xiàng)[例如密碼(見第10章)],可以要求任何專門的控制；實(shí)現(xiàn)指南e)在使用外部公共服務(wù)(例如即時消息或文件共享)前獲得批準(zhǔn)；其他信息保密或不泄露協(xié)議宜使用法律強(qiáng)制條款來保護(hù)保密信息。保密或不泄露協(xié)議適用于外部方或組織的員工。宜基于其他方的類型及其被允許訪問或處理的保密信息，來選擇或添加要素。為識別保密性h)未授權(quán)泄露或保密信息破壞的通知和報(bào)告過程；j)違反協(xié)議時期望采取的措施。保密性和不泄露協(xié)議宜針對其適用的管轄范圍遵循所有適用的法律法規(guī)(見18.1)。14.1信息系統(tǒng)的安全要求目標(biāo)：確保信息安全是信息系統(tǒng)整個生命周期中的一個有機(jī)組成部分。這也目標(biāo)：確保信息安全是信息系統(tǒng)整個生命周期中的一個有機(jī)組成部分。這也包括提供公共網(wǎng)絡(luò)服務(wù)信息安全要求和控制宜反映出所涉及信息的業(yè)務(wù)價值(見8.2),和可能由于缺乏足夠的安全導(dǎo)致的宜在信息系統(tǒng)項(xiàng)目初期階段識別和管理信息安全要求和相關(guān)的過程。盡早考慮信息安全要求(如如需某種產(chǎn)品，則宜遵循一個正式的測試和獲取過程。與供貨商簽訂的合同宜確定已識別的安全要求。如果推薦的產(chǎn)品的安全功能不能滿足規(guī)定的安全要求，那么在購買產(chǎn)品之前宜重新考慮引入的宜評價和實(shí)現(xiàn)可用的產(chǎn)品安全配置指南及其系統(tǒng)的最終軟件/服務(wù)棧。宜規(guī)定產(chǎn)品接收準(zhǔn)則(如產(chǎn)品的功能性方面),這可為滿足已識別的安全要求提供保證。宜在獲取產(chǎn)品之前根據(jù)這些準(zhǔn)則評價產(chǎn)品。宜評審附加功能以確保其不會引入不可接受的附加風(fēng)險。其他信息ISO/IEC27005[1]和ISO31000[2]提供了使用風(fēng)險管理過程識別滿足信息安全要求的控制的實(shí)現(xiàn)指南h)適用于驗(yàn)證顧客提供的支付信息的驗(yàn)證程度；j)為維護(hù)訂單信息的保密性和完整性所需的保護(hù)級別；上述考慮可以通過應(yīng)用密碼控制來實(shí)現(xiàn)(見第10章),還要考慮符合法律要求(見第18章，特別是合作伙伴間的應(yīng)用服務(wù)協(xié)議宜形成文件，該協(xié)議列出了雙方達(dá)成一致的服務(wù)條款，包括上述授權(quán)其他信息信息。因此詳細(xì)的風(fēng)險評估和適當(dāng)?shù)目刂七x擇不可或缺。所要求的控制通常包括有關(guān)鑒別和使數(shù)據(jù)傳可以使應(yīng)用服務(wù)使用安全的鑒別方法，如使用公鑰密碼技術(shù)和數(shù)字簽名(見第10章)以減少風(fēng)險。實(shí)現(xiàn)指南a)事務(wù)中涉及的每一方的電子簽名的使用；d)在涉及的各方之間通信的協(xié)議是安全的；f)當(dāng)使用一個可信機(jī)構(gòu)(例如為了頒布及維護(hù)數(shù)字簽名或數(shù)字認(rèn)證)時，安全可被集成嵌入到整其他信息日標(biāo)，確保信息安全在信息系統(tǒng)開發(fā)生命周期中得到設(shè)計(jì)和實(shí)現(xiàn)?？刂茖?shí)現(xiàn)指南當(dāng)開發(fā)所用的標(biāo)準(zhǔn)可能未知或與當(dāng)前的最佳實(shí)踐不一致時，新開發(fā)和代碼復(fù)用時均宜使用安全的控制這個過程宜包括風(fēng)險評估、變更影響分析和所需安全控制的規(guī)范。這一過程還宜確保不損害現(xiàn)有e)識別和檢查安全關(guān)鍵代碼以最小化已知安全弱點(diǎn)發(fā)生的可能性；其他信息控制實(shí)現(xiàn)指南c)確保對業(yè)務(wù)連續(xù)性計(jì)劃進(jìn)行適當(dāng)?shù)淖兏?見第17章)。其他信息控制確保最新批準(zhǔn)的補(bǔ)丁和應(yīng)用更新已經(jīng)安裝在所有的授權(quán)軟件中(見12.6.1)。宜充分測試所有變更并形14.2.5系統(tǒng)安全工程原則控制宜定期評審這些原則和已建立的工程規(guī)程，以確保其有效地用于工程過程中的安全增強(qiáng)標(biāo)準(zhǔn)。還宜定期評審以確保其在對抗任何潛在的新威脅方面保持最新，并保持其對技術(shù)和解決方案發(fā)展的適外包的信息系統(tǒng)。組織宜證實(shí)供應(yīng)商的安全工應(yīng)用開發(fā)規(guī)程宜適用于具有輸入輸出接口的應(yīng)用開發(fā)中的安全工程技術(shù)。安全工程技術(shù)提供了用控制組織宜針對覆蓋系統(tǒng)開發(fā)全生命周期的系統(tǒng)開發(fā)和集成活動，建立安全開發(fā)環(huán)境，并予以適當(dāng)實(shí)現(xiàn)指南組織宜評估與單個系統(tǒng)開發(fā)工作相關(guān)的風(fēng)險，并為特定系統(tǒng)的開發(fā)工作建立安全的開發(fā)環(huán)境，d)工作環(huán)境中人員的可信度(見7.1.1);一旦特定開發(fā)環(huán)境的保護(hù)級別被確定，組織宜將相應(yīng)的過程形成安全開發(fā)規(guī)程文件并提供給有需實(shí)現(xiàn)指南e)提供用以建立安全和隱私保護(hù)能力的最低可接受級i)對開發(fā)過程和控制進(jìn)行審計(jì)的合同權(quán)利；k)組織保有遵守相關(guān)法律法規(guī)和驗(yàn)證控制有效性的責(zé)任。其他信息有關(guān)供應(yīng)商關(guān)系的更多信息參見ISO/IEC27036[21[z][2n]。實(shí)現(xiàn)指南收測試(包括內(nèi)部和外包開發(fā)),以確保系統(tǒng)工作按預(yù)期且僅按預(yù)期(見14.1.1和14.1.9)進(jìn)行工作。測系統(tǒng)驗(yàn)收測試宜包括信息安全要求測試(見14.1.1和14.1.2)和是否遵循安全系統(tǒng)開發(fā)實(shí)踐測試(見14.2.1)。該測試還宜在接收組件和集成系統(tǒng)上進(jìn)行。組織可借助自動工具如代碼分析工具或漏洞實(shí)現(xiàn)指南宜避免在測試中使用包含個人可識別信息或任何其他保密信息的運(yùn)行數(shù)據(jù)。如果個人可識別信息或其他保密信息被用于測試意圖，那么宜通過刪除或修改來保護(hù)所有的敏感細(xì)節(jié)和內(nèi)容(見其他信息15供應(yīng)商關(guān)系控制a)識別并記錄組織允許訪問其信息的供應(yīng)商類型，如IT服務(wù)、物流、d)將各類信息和各類訪問的最低信息安全要求作為單個供應(yīng)商協(xié)議的基礎(chǔ)，該協(xié)議基于組織的e)對各類供應(yīng)商和各類訪問遵守所建立的信息安全要求進(jìn)行監(jiān)視的過程和規(guī)程，包括第三方評k)對與供應(yīng)商人員接洽的組織人員進(jìn)行適當(dāng)?shù)募s定和行為準(zhǔn)則的意識培訓(xùn)，該準(zhǔn)則基于供應(yīng)商其他信息信息安全管理不充分的供應(yīng)商可使信息處于風(fēng)險中。宜識別并應(yīng)用控制來管理供應(yīng)商對信息處理議涉及到跨國界的信息傳送或訪問時的數(shù)據(jù)保護(hù)風(fēng)險，此時組織需要意識到其仍負(fù)有信息保護(hù)的法律實(shí)現(xiàn)指南宜建立供應(yīng)商協(xié)議并形成文件，以確保組織和供應(yīng)商雙方在履行相關(guān)信息安全要求的義務(wù)上不存f)對于供應(yīng)商人員訪問或接收組織信息，或者給出被授權(quán)訪問或接收組織信息的供應(yīng)商人員的h)事件管理要求和規(guī)程(尤其是在事件補(bǔ)救過程中的通知和協(xié)作);m)對與協(xié)議相關(guān)的供應(yīng)商過程和控制進(jìn)行審核的權(quán)利；o)供應(yīng)商定期遞交控制有效性的獨(dú)立報(bào)告和及時糾正報(bào)告中提其他信息不同組織和不同類型供應(yīng)商的協(xié)議可能有很大不同。因此，宜注意包含所有相關(guān)的信息安全風(fēng)險在協(xié)議中需要考慮當(dāng)供應(yīng)商不能提供產(chǎn)品或服務(wù)時的連續(xù)處理規(guī)程，以避免拖延安排替代產(chǎn)品或?qū)崿F(xiàn)指南a)除了對供應(yīng)商關(guān)系的一般信息安全要求外，確定適用于信息與通信技術(shù)產(chǎn)品或服務(wù)獲取的信e)實(shí)現(xiàn)一個過程來標(biāo)識對維護(hù)功能至關(guān)重要的產(chǎn)品或服務(wù)組件，并當(dāng)這些產(chǎn)品或服務(wù)組件在組f)獲得關(guān)鍵組件及其來源在供應(yīng)鏈中可追溯的保障；g)獲得對交付的信息與通信技術(shù)產(chǎn)品按預(yù)期工作無任何意外的或不需要的功能的保障；h)確定與供應(yīng)鏈及在組織和供應(yīng)商中任何潛在的問題和妥協(xié)有關(guān)的信息共享規(guī)則；商不在經(jīng)營導(dǎo)致組件不可用的風(fēng)險或因技術(shù)進(jìn)步供應(yīng)商不再提供這些組件的風(fēng)險。其他信息建議組織與供應(yīng)商合作，以知曉信息與通信技術(shù)供應(yīng)鏈及對所提供產(chǎn)品和服務(wù)有重要影響的任何事宜。組織通過在與供應(yīng)商的協(xié)議中明確在信息與通信技術(shù)供應(yīng)鏈中宜由其他供應(yīng)商解決的問題，可影響信息與通信技術(shù)供應(yīng)鏈的信息安全實(shí)踐。控制g)評審供應(yīng)商與其自身供應(yīng)商關(guān)系上的信息安全方面；護(hù)商定的服務(wù)連續(xù)性水平(見第17章)。宜將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個體或服務(wù)管理團(tuán)隊(duì)。另外，組織宜確保供應(yīng)商為符合性評審和協(xié)議要求的強(qiáng)制執(zhí)行分配了責(zé)任。宜有足夠的技術(shù)能力和資源可用，以監(jiān)視協(xié)議要求尤其是控制實(shí)現(xiàn)指南4)新的或變更的控制以解決信息安全事件并提高安全性；c)供應(yīng)商服務(wù)做出的變更以實(shí)現(xiàn)：a)宜建立管理責(zé)任以確保以下規(guī)程被制定并在組織內(nèi)得到充分的交流：5)評估和決斷信息安全事態(tài)以及評估信息安全弱1)準(zhǔn)備信息安全事態(tài)報(bào)告表格，以便在信息安全事態(tài)發(fā)生時支持報(bào)告行動和幫助人員在報(bào)3)參考已建立的正式紀(jì)律處罰過程來處理安全違信息安全事件管理的目標(biāo)宜與管理層商定，并宜確保信息安全事件管理責(zé)任人理解組織在處理信其他信息信息安全事件可能超越組織和國家的邊界。為了響應(yīng)這類事件，與外部組織適時地協(xié)同響應(yīng)和共控制所有員工和合同方人員都宜知道他們有責(zé)任盡可能快地報(bào)告信息安全事態(tài)。他們還宜知道報(bào)告信其他信息故障或其他異常的系統(tǒng)行為可能是安全攻擊和實(shí)際安全違規(guī)的跡象，因此宜始終將其當(dāng)作信息安控制宜要求使用組織信息系統(tǒng)和服務(wù)的員工和合同方注意并報(bào)告任何觀察到的或可疑的系統(tǒng)或服務(wù)中實(shí)現(xiàn)指南為了防止信息安全事件，所有員工和合同方宜盡可能快地將這些問題向聯(lián)絡(luò)點(diǎn)報(bào)告。報(bào)告機(jī)制宜其他信息宜建議員工和合同方不要試圖去證明被懷疑的安全弱點(diǎn)。測試弱點(diǎn)可能被看作是潛在的系統(tǒng)濫聯(lián)絡(luò)點(diǎn)宜使用商定的信息安全事態(tài)和事件分級尺度評估每個信息安全事態(tài)，并決定該事態(tài)是否該歸于信息安全事件。事件的分級和優(yōu)先級有助于標(biāo)識事件的實(shí)現(xiàn)指南b)按要求進(jìn)行信息安全取證分析(見16.1.7);宜利用在分析和解決信息安全事件中得到的知識來減少未來事件發(fā)生的可能性和影響。宜有能夠量化和監(jiān)視信息安全事件的類型、規(guī)模和代價的機(jī)制。宜利用從信息安全事件評價中獲在確保保密性的前提下，來自實(shí)際信息安全事件的案例可被用于意識培訓(xùn)(見7.2.2),作為例子說法律證據(jù)可能超越組織或司法管轄的邊界。在這種情況下，宜確保組織有資格去收集作為法律證識別是包括搜索、辨認(rèn)和記錄潛在證據(jù)的過程。收集是聚集可能包含潛在證據(jù)的物證的過程。獲取是在已定義的集合中創(chuàng)建數(shù)據(jù)拷貝的過程。保存是維護(hù)和保護(hù)潛在證據(jù)的完整性和原始狀態(tài)的認(rèn)識到事件的嚴(yán)重性之前，必要的證據(jù)被故意或意外毀壞的危險是存在的。如果預(yù)計(jì)要采取任何法律17.1信息安全的連續(xù)性目標(biāo)：宜將信息安全連續(xù)性納入組織業(yè)務(wù)連續(xù)性管理之中?？刂平M織宜確定在業(yè)務(wù)連續(xù)性管理過程或?yàn)?zāi)難恢復(fù)管理過程中是否包含了信息安全連續(xù)性。宜在計(jì)劃的信息安全要求仍保持不變?；蛘?，組織能實(shí)施信息安全方面的業(yè)務(wù)影響分析以確定信息安全要求適災(zāi)難恢復(fù)管理的業(yè)務(wù)影響分析中獲取信息安全方面的信息。這可表明信息安全連續(xù)性要求在業(yè)務(wù)連續(xù)實(shí)現(xiàn)指南a)具有一個適當(dāng)?shù)墓芾砑軜?gòu)通過具有必要權(quán)限、經(jīng)驗(yàn)和能力的人員來準(zhǔn)備、減輕和響應(yīng)中斷c)在不利情況下不能維護(hù)的信息安全控制的補(bǔ)償其他信息針對業(yè)務(wù)連續(xù)性或?yàn)?zāi)難恢復(fù)，可能已確定了專用的過程和規(guī)程。宜保護(hù)在這些過程和規(guī)程中或其組織宜定期驗(yàn)證已建立和實(shí)現(xiàn)的信息安全連續(xù)性控制，以確保這些控制在不利情況下是正當(dāng)和有實(shí)現(xiàn)指南b)演練和測試信息安全連續(xù)性過程、規(guī)程和控制的常識和常規(guī)操作以確保其性能符合信息安全息安全連續(xù)性控制的驗(yàn)證宜與組織業(yè)務(wù)連續(xù)性或?yàn)?zāi)難恢復(fù)測試整合。組織宜識別信息系統(tǒng)可用性的業(yè)務(wù)要求。當(dāng)使用現(xiàn)有系統(tǒng)架構(gòu)不能保證可用性時，宜考慮冗余組 實(shí)現(xiàn)指南為滿足其業(yè)務(wù)類型的要求，管理人員宜識別所有適用于其組織的法律。如果組織在其他國家開展實(shí)現(xiàn)指南j)符合從公共網(wǎng)絡(luò)獲得軟件和信息的條款和條件；其他信息如，限制產(chǎn)品用于指定的機(jī)器或限制只能拷貝到創(chuàng)建的備份副本上。組織所開發(fā)的軟件的知識產(chǎn)權(quán)重能使用組織自己開發(fā)的資料，或者開發(fā)者許可組織使用或提供給組織的資料。版權(quán)侵害可能導(dǎo)致法律控制存儲和處理系統(tǒng)宜確保能按照國家或地區(qū)法律或法規(guī)的規(guī)定，清晰地標(biāo)識出記錄及其保存期限。其他信息控制針對隱私和個人可識別信息保護(hù)，宜制定和實(shí)現(xiàn)組織的數(shù)據(jù)策略。該策略宜通知到涉符合該策略和所有相關(guān)的涉及個人隱私保護(hù)和個人可識別信息保護(hù)的法律法規(guī)需要合適的管理結(jié)人員、用戶和服務(wù)提供商提供他們各自的職責(zé)以及宜遵守的特定規(guī)程的指南。處理個人可識別信息和確保了解數(shù)據(jù)保護(hù)原則的責(zé)任宜根據(jù)相關(guān)法律法規(guī)來確定。宜實(shí)現(xiàn)適當(dāng)?shù)募夹g(shù)和組織措施以保護(hù)個人其他信息經(jīng)發(fā)布控制個人可識別信息(一般是指可以從該信息確定生命個體的信息)收集、處理和傳輸?shù)姆伞?shí)現(xiàn)指南b)限制被設(shè)計(jì)用以增加密碼功能的計(jì)算機(jī)硬件和軟件的入口或出口；d)國家主管部門對加密信息的強(qiáng)制或自主訪問方法，該信息通過硬件或軟件加密來提供其內(nèi)容宜征求法律建議，以確保符合國家法律法規(guī)。在將加密信息或密碼目標(biāo)：確保依據(jù)組織策略和規(guī)程來實(shí)現(xiàn)和運(yùn)行信息安全。18.2.1信息安全的獨(dú)立評審控制實(shí)現(xiàn)指南種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。其他信息管理者宜定期評審其責(zé)任范圍內(nèi)的信息處理和規(guī)程與適當(dāng)?shù)陌踩呗浴?biāo)準(zhǔn)和任何其他安全要求實(shí)現(xiàn)指南管理人員宜識別如何評審策略、標(biāo)準(zhǔn)和其他適用的法律法規(guī)規(guī)定的信息安全要求得到滿足。為了宜記錄并維護(hù)管理人員進(jìn)行評審和采取糾正措施的結(jié)果。當(dāng)在管理人員的責(zé)任范圍內(nèi)進(jìn)行獨(dú)立評其他信息其他信息技術(shù)符合性評審包括運(yùn)行系統(tǒng)的檢查，以確保硬件和軟件控制被正確實(shí)現(xiàn)。這種類型的符合性評家來完成。符合性評審有助于發(fā)現(xiàn)系統(tǒng)的脆弱性，并有助于檢查控制是否能有效預(yù)防由于這些脆弱性滲透測試和脆弱性評估提供系統(tǒng)在特定時間特定狀態(tài)的快照。該快照僅限于滲透攻擊期間實(shí)際被GB/T22081—2016與GB/T22081—2008對比5.1信息安全管理指導(dǎo)5.1.1信息安全策略5.1.1信息安全方針文件5.1.2信息安全策略的評審5.1.2信息安全方針的評審6.1.1信息安全的角色和責(zé)任6.1.3信息安全職責(zé)的分配8.1,1角色和職責(zé)6.1.2職責(zé)分離10.1.3責(zé)任分割6.1.3與職能機(jī)構(gòu)的聯(lián)系6.1.6與政府部門的聯(lián)系6.1.4與特定相關(guān)方的聯(lián)系6.1.7與特定利益集團(tuán)的聯(lián)系6.1.5項(xiàng)目管理中的信息安全新的控制6.2移動設(shè)備和遠(yuǎn)程工作6.2.1移動設(shè)備策略11.7.1移動計(jì)算和通信6.2.2遠(yuǎn)程工作11.7.2遠(yuǎn)程工作7.1任用前7.1.1審查8.1.2審查7.1.2任用條款及條件8.1.3任用條款和條件7.2.1管理責(zé)任6.1.1信息安全的管理承諾8.2.1管理職責(zé)7.2.2信息安全意識、教育和培訓(xùn)8.2.2信息安全意識、教育和培訓(xùn)7.2.3違規(guī)處理過程8.2.3紀(jì)律處理過程7.3任用的終止和變更7.3.1任用終止或變更的責(zé)任8.3.1終止職責(zé)8.1有關(guān)資產(chǎn)的責(zé)任8.1.1資產(chǎn)清單7.1.1資產(chǎn)清單8.1.2資產(chǎn)的所屬關(guān)系7.1.2資產(chǎn)責(zé)任人8.1.3資產(chǎn)的可接受使用7.1.3資產(chǎn)的可接受使用8.1.4資產(chǎn)歸還8.3.2資產(chǎn)的歸還8.2信息分級8.2.1信息的分級7.2.1分類指南8.2.2信息的標(biāo)記7.2.2信息的標(biāo)記和處理8.2.3資產(chǎn)的處理7.2.2信息的標(biāo)記和處理10.7.3信息處理規(guī)程8.3介質(zhì)處理10.7介質(zhì)處置8.3.1移動介質(zhì)的管理10.7.1可移動介質(zhì)的管理8.3.2介質(zhì)的處置10.7.2介質(zhì)的處置8.3.3物理介質(zhì)的轉(zhuǎn)移10.8.3運(yùn)輸中的物理介質(zhì)9.1訪問控制的業(yè)務(wù)要求9.1.1訪問控制策略11.1.1訪問控制策略9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問11.4.1使用網(wǎng)絡(luò)服務(wù)的策略9.2用戶訪問管理9.2.1用戶注冊和注銷11.2.1用戶注冊9.2.2用戶訪問供給11.2.1用戶注冊11.2.2特殊權(quán)限管理9.2.3特定訪問權(quán)管理11.2.2特殊權(quán)限管理9.2.4用戶的秘密鑒別信息管理11.2.3用戶口令管理11.5.2用戶標(biāo)識和鑒別9.2.5用戶訪問權(quán)的評審11.2.4用戶訪問權(quán)的復(fù)查9.2.6訪問權(quán)的移除或調(diào)整8.3.3撤銷訪問權(quán)9.3用戶責(zé)任9.3.1秘密鑒別信息的使用9.4系統(tǒng)和應(yīng)用訪問控制9.4.1信息訪問限制11.6.1信息訪問限制11.6.2敏感系統(tǒng)隔離9.4.2安全登錄規(guī)程11.5.1安全登錄規(guī)程11.5.5會話超時11.5.6聯(lián)機(jī)時間的限定11.2.3用戶口令管理11.5.4系統(tǒng)實(shí)用工具的使用9.4.4特權(quán)實(shí)用程序的使用11.5.4系統(tǒng)實(shí)用工具的使用9.4.5程序源代碼的訪問控制12.4.3對程序源代碼的訪問控制10.1密碼控制10.1.1密碼控制的使用策略12.3.1使用密碼控制的策略10.1.2密鑰管理12.3.2密鑰管理11.1安全區(qū)域11.1.1物理安全邊界9.1.1物理安全周邊11.1.2物理入口控制9.1.2物理人口控制11.1.3辦公室、房間和設(shè)施的安全保護(hù)9.1.3辦公室、房間和設(shè)施的安全保護(hù)11.1.4外部和環(huán)境威脅的安全防護(hù)9.1.4外部和環(huán)境威脅的安全防護(hù)11.1.5在安全區(qū)域工作9.1.5在安全區(qū)域工作11.1.6交接區(qū)9.1.6公共訪問、交接區(qū)安全11.2設(shè)備11.2.1設(shè)備安置和保護(hù)9.2.1設(shè)備安置和保護(hù)11.2.2支持性設(shè)施9.2.2支持性設(shè)施11.2.3布纜安全9.2.3布纜安全11.2.4設(shè)備維護(hù)9.2.4設(shè)備維護(hù)11.2.5資產(chǎn)的移動9.2.7資產(chǎn)的移動11.2.6組織場所外的設(shè)備與資產(chǎn)安全9.2.5組織場所外的設(shè)備安全11.2.7設(shè)備的安全處置或再利用9.2.6設(shè)備的安全處置或再利用11.2.8無人值守的用戶設(shè)備11.3.2無人值守的用戶設(shè)備11.2.9清理桌面和屏幕策略11.3.3清空桌面和屏幕策略12.1運(yùn)行規(guī)程和責(zé)任12.1.1文件化的操作規(guī)程10.1.1文件化的操作規(guī)程12.1.2變更管理10.1.2變更管理12.1.3容量管理10.3.1容量管理12