信息技術(shù)信息安全管理規(guī)則

ICS35.040OB

中華人民共和I家標(biāo)準(zhǔn)

GB/Txxxx—xxxx

信息技術(shù)信息安全管理實用規(guī)則

Informationtechnology-Codeofpractice

forinformationsecuritymanagement

(ISO/IEC17799：2000,MOD)

(報批稿)

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

GB/Txxxx—xxxx

目次

前言.....................................................................................Ill

引言......................................................................................IV

1范圍.....................................................................................1

2術(shù)語和定義...............................................................................1

2.1信息安全............................................................................1

2.2風(fēng)險評估...........................................................................1

2.3風(fēng)險管理.............................................................................1

3安全策略.................................................................................1

3.1信息安全策略.........................................................................1

4組織的安全...............................................................................2

4.1信息安全基礎(chǔ)設(shè)施.....................................................................2

4.2第三方訪問的安全.....................................................................4

4.3外包..................................................................................6

5資產(chǎn)分類和控制..........................................................................7

5.1資產(chǎn)的可核查性.......................................................................7

5.2信息分類.............................................................................7

6人員安全.................................................................................8

6.1崗位設(shè)定和人力資源的安全.............................................................8

6.2用戶培訓(xùn).............................................................................10

6.3對安全事故和故障的響應(yīng)..............................................................10

7物理和環(huán)境的安全.......................................................................11

7.1安全區(qū)域.............................................................................11

7.2設(shè)備安全..............................................................................13

7.3一般控制..............................................................................15

8通信和操作管理.........................................................................16

8.1操作規(guī)程和職責(zé).......................................................................16

8.2系統(tǒng)規(guī)劃和驗收......................................................................19

8.3防范惡意軟件........................................................................19

8.4內(nèi)務(wù)處理............................................................................20

8.5網(wǎng)絡(luò)管理............................................................................21

8.6媒體處置和安全......................................................................21

8.7信息和軟件的交換....................................................................23

9訪問控制................................................................................26

9.1訪問控制的業(yè)務(wù)要求..................................................................27

9.2用戶訪問管理.........................................................................27

9.3用戶職責(zé).............................................................................29

9.4網(wǎng)絡(luò)訪問控制.........................................................................30

9.5操作系統(tǒng)訪問控制....................................................................32

9.6應(yīng)用訪問控制.........................................................................35

GB/Txxxx—xxxx

9.7對系統(tǒng)訪問和使用的監(jiān)督...............................................................35

9.8移動計算和遠(yuǎn)程工作...................................................................37

10系統(tǒng)開發(fā)和維護(hù)........................................................................38

10.1系統(tǒng)的安全要求......................................................................38

10.2應(yīng)用系統(tǒng)的安全......................................................................39

10.3密碼控制..........................................................................41

10.4系統(tǒng)文件的安全.....................................................................43

10.5開發(fā)和支持過程的安全...............................................................44

11業(yè)務(wù)連續(xù)性管理........................................................................46

11.1業(yè)務(wù)連續(xù)性管理的各方面.............................................................46

12符合性.................................................................................48

12.1符合法律要求........................................................................48

12.2安全策略和技術(shù)符合性的評審.........................................................51

12.3系統(tǒng)審核考慮........................................................................52

GB/Txxxx—xxxx

?i/.—>—

刖R

GBfTxxxx-xxxx《信息技術(shù)信息安全管理實用規(guī)則》。

本標(biāo)準(zhǔn)修改采用ISO/IEC17799-2000《信息技術(shù)信息安全管理實用規(guī)則》，在12.1.6中增加了“a)

使用國家主管部門審批的密碼算法和密碼產(chǎn)品”，作為修改內(nèi)容。本標(biāo)準(zhǔn)中所有實線方框僅具有醒目的

作用。

本部分由中華人民共和國信息產(chǎn)業(yè)部提出。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。

本部分由中國電子技術(shù)標(biāo)準(zhǔn)化研究所、中國電子科技集團(tuán)第30研究所、上海三零衛(wèi)士信息安全有

限公司、中國電子科技集團(tuán)第15研究所、北京思樂信息技術(shù)有限公司負(fù)責(zé)起草。

本部分主要起草人：黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。

III

GB/Txxxx—xxxx

引言

什么是信息安全？

象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)。它對一個組織具有價值，因此需要加以合適地保

護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損害減至最小，使投資回報和業(yè)務(wù)

機(jī)會最大。

信息可能以各種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存儲、用郵寄或電子手段發(fā)送、

呈現(xiàn)在膠片上或用言語表達(dá)。無論信息采用什么形式或者用什么方法存儲或共享，都應(yīng)對它進(jìn)行適當(dāng)?shù)?/p>

保護(hù)。

信息安全在此表現(xiàn)為保持下列特征：

a）保密性：確保信息僅被已授權(quán)訪問的人訪問：

b）完整性：保護(hù)信息及處理方法的準(zhǔn)確性和完備性；

c）可用性：確保已授權(quán)用戶在需要時可以訪問信息和相關(guān)資產(chǎn)。

信息安全是通過實現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。

需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

為什么需要信息安全？

信息和支持過程，系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。信息的保密性、完整性和可用性對維持競爭

優(yōu)勢、現(xiàn)金流轉(zhuǎn)、贏利、守法和商業(yè)形象可能是必不可少的。

各組織及其信息系統(tǒng)和網(wǎng)絡(luò)日益面臨來自各個方面的安全威脅。這些方面包括計算機(jī)輔助欺詐、

間諜活動、惡意破壞、毀壞行為、火災(zāi)或水災(zāi)。諸如計算機(jī)病毒、計算機(jī)黑客搗亂和拒絕服務(wù)攻擊，己

經(jīng)變得更普遍、更有野心和日益高科技。

對信息系統(tǒng)和服務(wù)的依賴意味著組織對安全威脅更為脆弱。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資

源的共享增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢己削弱集中式控制的有效性。

許多信息系統(tǒng)已不再單純追求設(shè)計成安全的，因為通過技術(shù)手段可獲得的安全性是有限的。應(yīng)該

用合適的管理和規(guī)程給予支持。標(biāo)識哪些控制要到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需要

該組織內(nèi)的所有員工參與，還可能還要求供應(yīng)商、消費(fèi)者或股票持有人的參與。外界組織的專家建議可

能也是需要的。

如果在制定要求規(guī)范和設(shè)計階段把信息安全控制結(jié)合進(jìn)去，那么，該信息安全控制就會更加經(jīng)濟(jì)

和更加有效。

IV

GB/Txxxx—xxxx

如何建立安一全要求

最重要的是組織標(biāo)識出它的安全要求。有三個主要來源。

第一個來源是由評估該組織的風(fēng)險所獲得的。通過風(fēng)險評估，標(biāo)識出對資產(chǎn)的威脅r評價易受威

脅的脆弱性和威脅出現(xiàn)的可能性和預(yù)測威脅潛在的影響。

第二個來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同的要求。

第三個來源是組織開發(fā)支持其運(yùn)行的信息處理的特定原則、目標(biāo)和要求的特定集合。

評估安全風(fēng)險

安全要求是通過安全風(fēng)險的系統(tǒng)性評估予以標(biāo)識。用于控制的經(jīng)費(fèi)需要針對可能由安全故障導(dǎo)致

的業(yè)務(wù)損害加以平衡。風(fēng)險評估技術(shù)可適用于整個組織，或僅適用于組織的某些部門，若這樣做切實可

行、現(xiàn)實和有幫助，該技術(shù)也適用于各個信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。

風(fēng)險評估要系統(tǒng)地考慮以下內(nèi)容：

a）可能由安全故障導(dǎo)致的業(yè)務(wù)損害，要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的

潛在后果；

b）從最常見的威脅和脆弱性以及當(dāng)前所實現(xiàn)的控制來看，有出現(xiàn)這樣一種故障的現(xiàn)實可能性。

評估的結(jié)果將幫助指導(dǎo)和確定合適的管理行動，以及管理信息安全風(fēng)險和實現(xiàn)所選擇控制的優(yōu)先

級，以防范這些風(fēng)險。評估風(fēng)險和選擇控制的過程可能需要進(jìn)行許多次，以便涵蓋組織的不同部門或各

個信息系統(tǒng)。

重要的是對安全風(fēng)險和已實現(xiàn)的控制進(jìn)行周期性評審，以便：

a）考慮業(yè)務(wù)要求和優(yōu)先級的變更；

b）考慮新的威脅和脆弱性；

c）證實控制仍然維持有效和合適。

根據(jù)先前評估的結(jié)果評審宜在不同深度級別進(jìn)行，以及在管理層準(zhǔn)備接受的更改風(fēng)險級別進(jìn)行。

作為高風(fēng)險區(qū)域優(yōu)化資源的一種手段，風(fēng)險評估通常首先在高級別進(jìn)行，然后在更細(xì)的級別進(jìn)行，以提

出具體的風(fēng)險。

選擇控制

一旦安全要求已被標(biāo)識，則應(yīng)選擇并實現(xiàn)控制，以確保風(fēng)險減少到可接受的程度?？刂瓶梢詮谋?/p>

標(biāo)準(zhǔn)或其他控制集合中選擇，或者當(dāng)合適時設(shè)計新的控制以滿足特定需求。有許多不同的管理風(fēng)險的方

法，本標(biāo)準(zhǔn)提供常用方法的若干例子。然而，需要認(rèn)識到有些控制不適用于每種信息系統(tǒng)或環(huán)境，并且

不是對所有組織都可行。作為一個例子，8.1.4描述如何分割責(zé)任，以防止欺詐或出錯。在較小的組織

中分割所有責(zé)任是不太可能的，獲得相同控制目標(biāo)的其他方法可能是必要的。作為另一個例子，9.7和

12.1描述如何監(jiān)督系統(tǒng)使用及如何收集證據(jù)。所描述的控制，例如事件記錄可能與適用的法律相沖突，

V

GB/Txxxx—xxxx

諸如消費(fèi)者或在工作場地內(nèi)的隱私保護(hù)。

控制應(yīng)根據(jù)與風(fēng)險減少相關(guān)的實現(xiàn)成本和潛在損失（如果安全違規(guī)出現(xiàn)）予以選擇。也應(yīng)考慮諸

如喪失信譽(yù)等非金錢因素。

本標(biāo)準(zhǔn)中的某些控制可認(rèn)為是信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。下面在題為“信

息安全起點”中更詳細(xì)解釋這些控制。

信息安全起點

許多控制可認(rèn)為是為實現(xiàn)信息安全提供良好起點的指導(dǎo)原則。它們或者是基于重要的法律性要求,

或者被認(rèn)為是信息安全常用的最佳慣例。

從法律的觀點看，對某個組織重要的控制包括：

a）個人信息的數(shù)據(jù)保護(hù)和隱私（見12.1.4）；

b）保護(hù)組織的記錄（見12.1.3）；

c）知識產(chǎn)權(quán)（見12.1.2）。

認(rèn)為是信息安全常用最佳慣例的控制包括：

a）信息安全策略文檔（見3.1）；

b）信息安全職責(zé)的分配（見4.1.3）；

c）信息安全教育和培訓(xùn)（見621）；

d）報告安全事故（見6.3.1）；

e）業(yè)務(wù)連續(xù)性管理（見11.1）。

這些控制適用于大多數(shù)組織和環(huán)境。應(yīng)注意，雖然本標(biāo)準(zhǔn)中的所有控制都是重要的，但是從某個

組織正面臨的特定風(fēng)險來看，應(yīng)確定任一控制的貼切性。因此，雖然上述方法被認(rèn)為是一種良好的起點，

但它并不取代選擇基于風(fēng)險評估的控制。

關(guān)鍵的成功因素

經(jīng)驗已經(jīng)表明下列因素通常對某個組織能否成功實現(xiàn)信息安全是關(guān)鍵的：

a）反映業(yè)務(wù)目標(biāo)安全策略、目的以及活動；

b）符合組織文化的實現(xiàn)安全的方法：

c）來自管理層的可視支持和承諾：

d）正確理解安全要求、風(fēng)險評估和風(fēng)險管理；

e）向所有管理者和員工傳達(dá)有效的安全需求；

f）向所有員工和合同商分發(fā)關(guān)于信息安全策略和標(biāo)準(zhǔn)的指導(dǎo)；

g）提供合適的培訓(xùn)和教育；

h）有一個綜合和平衡的度量系統(tǒng)，它可用來評估信息安全管理的執(zhí)行情況以及反饋改進(jìn)建議。

VI

GB/Txxxx—xxxx

開發(fā)你自己的指南

本實用規(guī)則可以認(rèn)為是開發(fā)組織具體指導(dǎo)的起點。本實用規(guī)則中的指導(dǎo)和控制并不全都是可用的。

而且，可以要求本標(biāo)準(zhǔn)中未包括的附加控制。當(dāng)發(fā)生這種情況時，保持交叉引用可能是有用的，該交叉

引用便于審核員和業(yè)務(wù)方進(jìn)行符合性檢驗。

VII

GB/Txxxx—xxxx

信息技術(shù)信息安全管理實用規(guī)則

1范圍

本標(biāo)準(zhǔn)對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用。本標(biāo)準(zhǔn)為開

發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并提供組織間交往的信任。本標(biāo)準(zhǔn)的推薦內(nèi)容

應(yīng)按照適用的我國法律和法規(guī)加以選擇和使用。

2術(shù)語和定義

下列定義適用于本標(biāo)準(zhǔn)。

2.1信息安全I(xiàn)nformationsecurity

保持信息的保密性、完整性和可用性。

—保密性

確保信息僅被已授權(quán)訪問的人訪問。

-完整性

保護(hù)信息及處理方法的準(zhǔn)確性和完備性。

-可用性

確保已授權(quán)用戶在需要時可以訪問信息和相關(guān)資產(chǎn)。

2.2風(fēng)險評估Riskassessment

對信息和信息處理設(shè)施的威脅、影響及信息和信息處理設(shè)施自身的脆弱性以及它們出現(xiàn)的可能性

的評估。

2.3風(fēng)險管理Riskmanagement

相對可接受的費(fèi)用而言，標(biāo)識、控制和盡量減少（或消除）可能影響信息系統(tǒng)的安全風(fēng)險的過程。

3安全策略

3.1信息安全策略

目的：提供管理方向和支持信息安全。

管理層應(yīng)制定清晰的策略方向，并通過在整個組織中頒發(fā)和維護(hù)信息安全策略來表明對信息安全

的支持和承諾。

3.1.1信息安全策略文檔

策略文件要由管理層批準(zhǔn)，當(dāng)合適時，將其發(fā)布并傳遞給所有員工。策略文檔應(yīng)說明管理承諾，

并提出組織的管理信息安全的途徑。至少，應(yīng)包括下列指南：

a）信息安全定義、其總目標(biāo)和范圍以及在信息共享允許機(jī)制下安全的重要性（見引言）;

b）管理層意圖的說明，以支持信息安全的目標(biāo)和原則；

c）對組織特別重要的安全策略、原則、標(biāo)準(zhǔn)和符合性要求的簡要說明，例如：

1

GB/Txxxx—xxxx

1）服從法律和合同要求；

2）安全教育要求；

3）防范和檢測病毒和其他惡意軟件；

4）業(yè)務(wù)連續(xù)性管理；

5）安全策略違反的后果；

d）安全信息管理（包括報告安全事故）的總職責(zé)和特定職責(zé)的定義；

e）引用可以支持策略的文檔，例如，特定信息系統(tǒng)的更詳細(xì)的安全策略和規(guī)程，或用戶應(yīng)遵守的

安全規(guī)則。

應(yīng)以預(yù)期的讀者適合的、可訪問的和可理解的形式將策略傳遞給整個組織的用戶。

3.1.2評審和評價

該策略應(yīng)有專人負(fù)責(zé)，他按照所定義的評審過程負(fù)責(zé)其維護(hù)和評審。該過程應(yīng)確保：根據(jù)影響原

始風(fēng)險評估基礎(chǔ)的任何變更（例如，重大的安全事故、新的脆弱性和隨組織上或技術(shù)上的基礎(chǔ)設(shè)施的變

更）進(jìn)行相應(yīng)的評審。還要安排下列周期性評審：

a）通過所記錄安全事故的性質(zhì)、數(shù)目和影響證明策略的有效性；

b）控制對業(yè)務(wù)效率和成本的影響：

c）技術(shù)變更的影響。

4組織的安全

4.1信息安全基礎(chǔ)設(shè)施

目的：管理組織范圍內(nèi)的信息安全。

應(yīng)建立管理框架，以啟動和控制組織范圍內(nèi)的信息安全的實施。

應(yīng)建立有管理領(lǐng)導(dǎo)人員參加的相應(yīng)的管理協(xié)調(diào)小組，以核準(zhǔn)整個組織內(nèi)的信息安全策略、指派安

全角色以及協(xié)調(diào)安全的實施。若需要，要在組織范圍內(nèi)建立專家信息安全建議原始資料，并在組織內(nèi)可

利用該資料。要發(fā)展與外部安全專家的聯(lián)系，以便跟上行業(yè)趨勢、跟蹤標(biāo)準(zhǔn)和評估方法，并且當(dāng)涉及安

全事故時，提供相適應(yīng)的聯(lián)絡(luò)地點。應(yīng)鼓勵信息安全的多學(xué)科途徑，例如，涉及諸如保險和風(fēng)險管理等

領(lǐng)域內(nèi)的管理者、用戶、行政管理者、應(yīng)用設(shè)計者、審核員和安全職員以及專業(yè)技術(shù)熟練工人的合作和

協(xié)作。________________________________________________________________________________________

4.1.1管理信息安全協(xié)調(diào)小組

信息安全是管理團(tuán)隊所有成員所共同遵守的業(yè)務(wù)職責(zé)。因此，認(rèn)為管理協(xié)調(diào)小組能確保安全舉措

有清晰的方向和看得見的管理層支持。該協(xié)調(diào)小組要通過合適的承諾和足夠的資源來促進(jìn)組織范圍內(nèi)的

安全.該協(xié)調(diào)小組可以是現(xiàn)有管理團(tuán)體的一部分。一般，這種協(xié)調(diào)小組承擔(dān)下列事項：

a）評審和核準(zhǔn)信息安全策略和總體職責(zé)；

b）監(jiān)督暴露于主要威脅下的信息資產(chǎn)重大變更；

c）評審和監(jiān)督信息安全事故；

2

GB/Txxxx—xxxx

d）批準(zhǔn)增強(qiáng)信息安全的重大舉措。

由一名管理者負(fù)責(zé)與安全相關(guān)的所有活動。

4.1.2信息安全協(xié)調(diào)

在大型組織中，有必要成立一個由各相關(guān)部門的管理代表組成的跨部門的協(xié)調(diào)小組，以協(xié)調(diào)信息

安全控制措施的實施。一般地說，這樣的協(xié)調(diào)小組執(zhí)行以下方面的工作：

a）商定整個組織中信息安全的特定角色和職責(zé)；

b）商定信息安全的特定方法和過程，例如，風(fēng)險評估，安全分類體系；

c）商定和支持組織范圍的信息安全舉措，例如，安全意識教育計劃：

d）確保安全是信息規(guī)劃過程的一部分；

e）評估新系統(tǒng)或服務(wù)的特定信息安全控制的充分程度，并協(xié)調(diào)實施這些控制；

f）評審信息安全事故；

g）促進(jìn)整個組織信息安全的業(yè)務(wù)支持的可視性。

4.1.3信息安全職責(zé)的分配

保護(hù)各種資產(chǎn)以及進(jìn)行特定安全處理的職責(zé)應(yīng)予以清晰地定義.

信息安全策略（見第3章）應(yīng)對組織內(nèi)的安全角色和職責(zé)的分配提供全面指導(dǎo)。若需要，應(yīng)用特

定場地、系統(tǒng)或服務(wù)用的更詳細(xì)的指導(dǎo)予以補(bǔ)充。各個物理及信息資產(chǎn)和安全過程（諸如業(yè)務(wù)連續(xù)性規(guī)

劃）的局部職責(zé)應(yīng)予以清晰地定義。

在許多組織中，將任命一名信息安全管理者全面負(fù)責(zé)安全的開發(fā)和實施，并支持控制的標(biāo)識。

然而，提供控制資源并實施這些控制的職責(zé)通常歸于各個管理者。一種通常的做法是對每一信息

資產(chǎn)指定一名責(zé)任人，因此，他對該信息資產(chǎn)的日常安全負(fù)責(zé)。

信息資產(chǎn)的責(zé)任人可以將他們的安全職責(zé)委托給各個管理者或服務(wù)提供者。盡管如此，該責(zé)任人

仍然最終負(fù)責(zé)該資產(chǎn)的安全，并且他應(yīng)能確定任何被委托的職責(zé)是否已被正確地履行。

重要的是每個管理者負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定：特別是，應(yīng)進(jìn)行下列工作。

a）與每個獨(dú)立系統(tǒng)相關(guān)的各種資產(chǎn)和安全過程應(yīng)予以標(biāo)識并清晰地定義。

b）應(yīng)商定每一資產(chǎn)或安全過程的管理者職責(zé)，并且應(yīng)形成該職責(zé)的細(xì)節(jié)文檔。

c）授權(quán)級別應(yīng)清晰地予以定義，并形成文檔。

4.1.4信息處理設(shè)施的授權(quán)過程

應(yīng)建立新信息處理設(shè)施的管理授權(quán)過程。

理應(yīng)考慮下列控制：

a）新設(shè)施要有相應(yīng)用戶管理層的批準(zhǔn)，以授權(quán)設(shè)施的用途和使用。還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng)安

全環(huán)境的管理者批準(zhǔn)，以確保所有相關(guān)安全策略和要求得到滿足。

b）若需要，硬件和軟件應(yīng)進(jìn)行檢驗，以確保它們與其他系統(tǒng)部件兼容。

注：對某些連接可以要求型式批準(zhǔn)。

c）應(yīng)對處理業(yè)務(wù)信息和所有必要控制所使用的個人信息處理設(shè)施進(jìn)行授權(quán)。

d）使用工作場地內(nèi)的個人信息處理設(shè)施可能引起新的脆弱性，因此，要進(jìn)行評估和授權(quán)。

3

GB/Txxxx—xxxx

這些控制在已組成網(wǎng)絡(luò)的環(huán)境中特別重要。

4.1.5專家的信息安全建議

專家的安全建議可能是許多組織需要的。在概念上，一個有經(jīng)驗的內(nèi)部信息安全顧問要提供這種

建議。不是所有組織都希望聘用專家顧問。在這樣的情況下，建議確定專門人員協(xié)調(diào)內(nèi)部知識和經(jīng)驗,

以確保一致性，并且在作出安全判定時提供幫助。各個組織也應(yīng)訪問適合的外部顧問，顧問們可提供超

出各組織自身經(jīng)驗的專家建議。

應(yīng)對信息安全顧問或上述相應(yīng)人員分派提供建議的任務(wù)，即使用他們自己的或外部的建議來提供

關(guān)于信息安全各方面的建議。他們評定安全威脅的質(zhì)量和關(guān)于控制的建議將確定該組織的信息安全的有

效性。為了最高有效性和最好效果，要允許他們直接訪問整個組織中的管理層。

在懷疑發(fā)生安全事故或違規(guī)之后的最早可能階段，要咨詢信息安全顧問或合同中相應(yīng)的指定人，

以提供專門指導(dǎo)或調(diào)查資源的原始資料。雖然大多數(shù)內(nèi)部安全調(diào)查將通常在管理控制下進(jìn)行，但可以要

求信息安全顧問對調(diào)查提供建議、引導(dǎo)或進(jìn)行這種調(diào)查。

4.1.6組織之間的合作

要保持與法律執(zhí)行機(jī)構(gòu)、制訂法規(guī)的機(jī)構(gòu)、信息服務(wù)提供者和電信運(yùn)營商的相應(yīng)聯(lián)系，以確保萬

一出現(xiàn)安全事故時可以快速采取適當(dāng)行動并獲得建議。同樣，要考慮安全團(tuán)體和行業(yè)協(xié)調(diào)小組的成員。

安全信息的交換要受到限制，以確保不把該組織的保密信息傳遞給未授權(quán)的個人。

4.1.7信息安全的獨(dú)立評審

信息安全策略文檔（見3.1）提出信息安全策略和職責(zé)。其實施要獨(dú)立地予以評審，以提供保證，

即保證組織的實踐正確地反映了策略，并且保證該策略是可行的和有效的（見12.2）。

這樣的評審可以通過內(nèi)部審核職能、獨(dú)立的管理者或?qū)ｉT做這種評審的第三方組織來進(jìn)行，條件

是這些候選者具有相應(yīng)的技能和經(jīng)驗。

4.2第三方訪問的安全

目的：維護(hù)被第三方所訪問的組織的信息處理設(shè)施和信息資產(chǎn)的安全。

被第三方訪問的組織的信息處理設(shè)施應(yīng)予以控制。

若有一種業(yè)務(wù)需要這種第三方訪問，就要進(jìn)行風(fēng)險評估，以確定安全蘊(yùn)涵和控制要求。在與第三

方簽訂的合同中要商定和定義控制。

第三方訪問還可能包含其他參與者。給與第三方訪問的合同要包括指定其它合格參與者及其訪問

的條件的許可限度。

本標(biāo)準(zhǔn)可以用作這種合同的基礎(chǔ)以及考慮外包信息處理時的基礎(chǔ)。

4.2.1標(biāo)識第三方訪問的風(fēng)險

4.2.1.1訪問類型

給予第三方的訪問類型特別重要。例如，通過網(wǎng)絡(luò)連接的訪問風(fēng)險與由于物理訪問導(dǎo)致的風(fēng)險不

同。應(yīng)予以考慮的訪問類型有：

a）物理訪問，例如，訪問辦公室，計算機(jī)機(jī)房，檔案室；

b）邏輯訪問，例如，訪問組織的數(shù)據(jù)庫，信息系統(tǒng)。

4.2.1.2訪問的原因

4

GB/Txxxx—xxxx

有許多原因可以授予第三方訪問。例如，向組織提供服務(wù)卻不在現(xiàn)場的第三方，可以授予物理和

邏輯訪問權(quán)，諸如：

a）硬件和軟件支持人員，他們需要訪問系統(tǒng)級或低級別的應(yīng)用功能度；

b）貿(mào)易伙伴或聯(lián)合投資者，他們可以交換信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫。

在不充分的安全管理情況下，由于第三方訪問，可能把信息置于風(fēng)險中。若有業(yè)務(wù)需要連接到第

三方地址，那么應(yīng)進(jìn)行風(fēng)險評估，以標(biāo)識出特定控制的任何要求。要考慮到所要求的訪問類型、信息的

價值、第三方所利用的控制以及這種訪問牽連到該組織的信息安全。

4.2.1.3現(xiàn)場合同方

在其合同中所定義的一段時間內(nèi)位于現(xiàn)場的第三方也可能導(dǎo)致安全弱點。現(xiàn)場第三方的例子包括:

a）硬件和軟件維護(hù)與支持人員；

b）清潔、給養(yǎng)、安全保衛(wèi)和其他外包支持服務(wù)；

c）實習(xí)學(xué)生或其他短期臨時工作人員；

d）顧問。

重要的是要理解需要什么樣的控制來管理第三方對信息處理設(shè)施的訪問。一般來說，由第三方訪

問導(dǎo)致的所有安全要求或者內(nèi)部控制應(yīng)在第三方合同反映出來（也見4.2.2）。例如，如果對于信息的保

密性有特定的需要，可以使用不泄露協(xié)議（見6.1.3）。

只有在實施了適當(dāng)?shù)目刂拼胧┎⒑灦撕w連接和訪問條款的合同之后，第三方才可以訪問信息

和信息處理設(shè)施。

4.2.2第三方合同中的安全要求

涉及第三方訪問組織信息處理設(shè)施的協(xié)議要以包含或引用所有重要要求的正式合同為基礎(chǔ)，以確

保符合組織的安全策略和標(biāo)準(zhǔn)。該合同要確保在該組織和第三方之間不存在誤解。至于其供應(yīng)商的賠償

問題，各組織應(yīng)自行解決。合同中應(yīng)考慮下列條款：

a）信息安全的通用策略；

b）資產(chǎn)保護(hù)，包括：

1）保護(hù)組織資產(chǎn)（包括信息和軟件）的規(guī)程；

2）確定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的規(guī)程；

3）確保在合同截止時或在合同執(zhí)行期間雙方同意的某一時段對信息和資產(chǎn)的歸還或銷毀的

控制；

4）完整性和可用性；

5）對拷貝和泄露信息的限制；

c）要提供每項服務(wù)的描述；

d）服務(wù)的目標(biāo)級別和不可接受的服務(wù)級別；

e）若合適，人員轉(zhuǎn)職的規(guī)定；

f）協(xié)議雙方的相關(guān)義務(wù)；

g）關(guān)于法律事件（例如，數(shù)據(jù)保護(hù)法律）的責(zé)任。如果該合同涉及與其他國家的組織的合作，特

5

GB/Txxxx—xxxx

別要考慮到不同的國家法律體系（也見12.1）；

h）知識產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見12.1.2）以及任何協(xié)作性工作的保護(hù)（見6.1.3）；

i）訪問控制協(xié)議，包括：

1）允許的訪問方法，唯一標(biāo)識符（諸如用戶ID和口令）的控制和使用。

2）用戶訪問和特權(quán)的授權(quán)過程；

3）維護(hù)被授權(quán)使用正在提供的服務(wù)的個人清單的要求以及他們與這種使用相關(guān)的權(quán)利和特

權(quán)是哪些；

j）可驗證的性能要求的定義、監(jiān)督和報告；

k）監(jiān)督和撤銷用戶活動的權(quán)利；

1）審核合同職責(zé)的權(quán)利或擁有由第三方進(jìn)行這些審核的權(quán)利；

m）建立逐級解決問題的過程；在適合的情況下，也應(yīng)考慮意外事故安排；

n）關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；

o）一種清晰的報告結(jié)構(gòu)和商定的報告格式；

P）一種清晰規(guī)定的變更管理過程；

q）任何要求的物理保護(hù)控制和機(jī)制，以確保遵守這些控制；

r）對用戶和管理者在方法、規(guī)程和安全方面的培訓(xùn)；

s）確保防范惡意軟件的控制措施（見8.3）；

t）報告、通知和調(diào)查安全事故和安全違規(guī)的安排；

u）包括具有轉(zhuǎn)包商的第三方。

4.3外包

目的：信息處理的職責(zé)是在外包給其他組織時維護(hù)信息安全。

外包安排應(yīng)在雙方的合同中指出信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的風(fēng)險、安全控制和規(guī)程。

4.3.1外包合同中的安全要求

組織的信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的全部或某些部分的管理和控制進(jìn)行外包時，要在雙方所商

定的合同中指出安全要求。

例如，合同中要指出：

a）如何滿足法律要求，例如，數(shù)據(jù)保護(hù)法律；

b）有什么樣的安排，可確保外包所涉及的各方（包括轉(zhuǎn)包商）知道其安全職責(zé)；

c）如何維護(hù)和測試該組織的業(yè)務(wù)資產(chǎn)的完整性和保密性；

d）將使用什么樣的物理和邏輯控制來限制和限定已授權(quán)用戶訪問該組織的敏感的業(yè)務(wù)信息；

e）萬一有自然災(zāi)害，如何維護(hù)服務(wù)的可用性：

f）對外包設(shè)備要提供什么等級的物理安全；

g）審核的權(quán)利。

4.2.2的清單中所給出的條款也應(yīng)考慮作為該合同的一部分。該合同要允許在雙方待商定的安全管

6

GB/Txxxx—xxxx

理計劃中擴(kuò)充安全要求和規(guī)程。

雖然外包合同可能提出某些復(fù)雜的安全問題，但在本實用規(guī)則中所包括的控制可以用作商定安全

管理計劃的結(jié)構(gòu)和內(nèi)容的起點。

5資產(chǎn)分類和控制

5.1資產(chǎn)的可核查性

目的：維持對組織資產(chǎn)的相應(yīng)保護(hù)。

所有主要信息資產(chǎn)應(yīng)是可核查的，并且有指定的責(zé)任人。

資產(chǎn)的可核查性有助于確保維持相應(yīng)的保護(hù)。對于所有主要資產(chǎn)要標(biāo)識出責(zé)任人，并且要賦予維

護(hù)相應(yīng)控制的職責(zé)?？梢允谟鑼嵤┛刂频穆氊?zé)?？珊瞬樾詺w于資產(chǎn)的指定責(zé)任人。

5.1.1資產(chǎn)清單

資產(chǎn)清單有助于確保進(jìn)行有效的資產(chǎn)保護(hù)，并且對于其他業(yè)務(wù)目的，諸如健康與安全、保險或財

務(wù)（資產(chǎn)管理）的原因，也需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風(fēng)險管理的重要部分。一個組織需要

能標(biāo)識出資產(chǎn)和這些資產(chǎn)的相關(guān)價值和重要性。然后，根據(jù)該信息，一個組織可以提供與資產(chǎn)的價值和

重要性相稱的保護(hù)等級。每個信息系統(tǒng)相關(guān)的重要資產(chǎn)都應(yīng)編制清單并加以維持。每一資產(chǎn)應(yīng)清楚地標(biāo)

識，應(yīng)商定其所有權(quán)和安全分類（見5.2）以及其當(dāng)前位置（嘗試從丟失或損壞中恢復(fù)時是重要的）并

形成文檔。與信息系統(tǒng)相關(guān)的資產(chǎn)舉例：

a）信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文檔，用戶手冊，培訓(xùn)材料，操作或支持規(guī)程，連續(xù)性計

劃，后備運(yùn)行安排，歸檔的信息；

b）軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具和實用程序；

c）物理資產(chǎn)：計算機(jī)設(shè)備（處理器、監(jiān)視器、便攜式計算機(jī)、調(diào)制解調(diào)器），通信設(shè)備（路由器、

PABX、傳真機(jī)、應(yīng)答機(jī)），磁媒體（磁帶和磁盤），其他技術(shù)設(shè)備（電源、空調(diào)裝置），家具，

用具；

d）服務(wù)：計算和通信服務(wù)，一般公用事業(yè)，例如，供暖，照明，能源，空調(diào)。

5.2信息分類

目的：確保信息資產(chǎn)受到相應(yīng)等級的保護(hù)。

信息要分類，以指出保護(hù)的需求、優(yōu)先級和程度。

信息具有可變的敏感性和重要性。某些項可以要求附加等級的保護(hù)或特別的處理。信息分類體制

用來定義一組合適的保護(hù)等級和傳遞特別處理措施的需求。

5.2.1分類指南

信息的分類及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影

響，例如，對信息的未授權(quán)訪問或損壞。一般說，給予信息的分類是確定該信息如何予以處理和保護(hù)的

簡便方法。

信息和處理分類數(shù)據(jù)的系統(tǒng)的輸出要根據(jù)它對組織的價值和敏感性予以標(biāo)記。根據(jù)它對組織的重

要程度對信息進(jìn)行標(biāo)記也可能是合適的，例如根據(jù)它的完整性和可用性。在某一段時間之后，信息通常

7

GB/Txxxx—xxxx

不再是敏感的或重要的，例如，當(dāng)該信息已經(jīng)公開時。過多的分類可能導(dǎo)致不必要的附加業(yè)務(wù)費(fèi)用，上

述各方面應(yīng)予以考慮。分類指南要預(yù)先考慮并允許任何給定的信息項的分類在全部時間內(nèi)不必固定，并

且根據(jù)預(yù)先確定的策略加以變更（見9.1）。

對于分類種類的數(shù)目和從其使用中獲得的好處要予以考慮。過度復(fù)雜的方案可能對使用不方便和

不經(jīng)濟(jì)，或許是不實際的。在解釋其他組織文檔上的分類標(biāo)記應(yīng)小心，因為其他組織可能對于相同或類

似命名的標(biāo)記有不同的定義。

定義信息項（例如，對文檔，數(shù)據(jù)記錄，數(shù)據(jù)文件或軟件）的分類以及周期性評審該分類的職責(zé)

仍然屬于信息的始發(fā)者或指定的擁有者。

5.2.2信息標(biāo)記和處理

重要的是，按照組織所采納的分類方案對信息標(biāo)記和處理定義一組合適的規(guī)程。這些規(guī)程需要涵

蓋物理和電子格式的信息資產(chǎn)。對每種分類，要定義處理規(guī)程，以涵蓋下列信息處理活動類型：

a）拷貝；

b）存儲；

c）郵政、傳真和電子郵件的傳輸；

d）話音傳輸，包括移動電話、話音郵件、應(yīng)答機(jī)；

e）銷毀（數(shù)據(jù)結(jié)構(gòu)）；

系統(tǒng)的輸出含有了分類為敏感的或重要的信息應(yīng)在該輸出中攜帶合適的分類標(biāo)記。該標(biāo)記要根據(jù)

5.2.1中所建立的規(guī)則反映出分類。待考慮的項目包括打印報告、屏幕顯示、記錄媒體（磁帶、磁盤、

CD、盒式磁帶）、電子報文和文件傳送。

物理標(biāo)記一般是最合適的標(biāo)記形式。然而，某些信息資產(chǎn)（諸如電子形式的文檔等）在物理上不

能做標(biāo)記，而需要使用電子標(biāo)記手段。

6人員安全

6.1崗位設(shè)定和人力資源的安全

目的：減少人為差錯、盜竊、欺詐或濫用設(shè)施的風(fēng)險。

在招聘階段要指出安全職責(zé)，要包含在合同中并在個人聘用期間予以監(jiān)督。

要對可能的新成員進(jìn)行充分的篩選，特別對敏感性崗位的成員（見6.1.2）。所有雇員和信息處理設(shè)

施的第三方用戶要簽署保密（不泄密）協(xié)議。

6.1.1在崗位職責(zé)中要包含的安全

在合適情況下，在組織的信息安全策略中所列出的安全角色和職責(zé)（見3.1）,要形成文檔。它們

要包括實施或維護(hù)安全策略的總職責(zé)以及保護(hù)特定資產(chǎn)或執(zhí)行特定安全過程或活動的任何特定職責(zé)。

8

GB/Txxxx—xxxx

6.1.2人員篩選和策略

固定職員的鑒定核查要在職務(wù)申請時進(jìn)行.這包括下列控制：

a）獲得令人滿意的參考資料；

b）申請人履歷的核查（針對完整性和準(zhǔn)確性）；

c）聲稱的學(xué)術(shù)、專業(yè)資格的證實；

d）獨(dú)立的身份核查（身份證或護(hù)照）。

當(dāng)一個職務(wù)（原先任命的或提升的）涉及到對信息處理設(shè)施進(jìn)行訪問的人時，特別是，如果這些

設(shè)施正在處理敏感信息，例如，財務(wù)信息或高度保密的信息，那么，該組織還要進(jìn)行信用核查。對于占

據(jù)重要職權(quán)位置的職員而言，要周期性地重復(fù)這種核查。

對于合同商和臨時職員要進(jìn)行類似的篩選過程。若這些職員是通過代理提供的，那么，與代理的

合同要清晰地規(guī)定代理對篩選的職責(zé)，以及如果未完成篩選或結(jié)果引起懷疑或關(guān)注時，這些代理需要遵

守通知規(guī)程。

在新的和無經(jīng)驗的職員被授權(quán)訪問敏感系統(tǒng)時，管理層要評價對他們所要求的監(jiān)督。所有職員的

工作須經(jīng)此類職員中更資深成員周期性評審和批準(zhǔn)過程。

管理者要了解其職員的個人環(huán)境可能影響其工作。個人的或財務(wù)的問題、他們的行為或生活方式

的變化、經(jīng)常缺勤以及有壓力或壓抑的跡象都可能導(dǎo)致欺詐、盜竊、出錯或其他安全隱患。要按照相關(guān)

權(quán)限中的合適法律處理這些情況。

6.1.3保密性協(xié)議

保密性協(xié)議或不泄密協(xié)議用來告知信息是保密的或秘密的。雇員們一般要簽署這樣的協(xié)議，作為

聘用他們的最初條款和條件的一部分。

應(yīng)要求現(xiàn)有合同（包含保密協(xié)議）中沒有涉及的臨時職員和第三方用戶在給予訪問信息處理設(shè)施

之前簽署保密協(xié)議。

當(dāng)聘用或合同的期限有變化時，特別是，當(dāng)雇員預(yù)期離開該組織或合同到期終止時，要評審保密

協(xié)議。

6.1.4雇用條款和條件

雇用條款和條件要說明雇員的信息安全職責(zé)。若合適，這些職責(zé)應(yīng)在雇用結(jié)束后繼續(xù)規(guī)定的一段

時間。應(yīng)包括如果雇員漠視安全要求所要采取的行動。

雇員的合法職責(zé)和權(quán)利（例如，關(guān)于版權(quán)法或數(shù)據(jù)保護(hù)法）要予以闡明并包括在雇用的條款和條

件內(nèi)。也要包括雇主的數(shù)據(jù)分類和管理的職責(zé)。只要合適時，雇用的條款和條件要說明上述這些職責(zé)擴(kuò)

充到組織辦公地點之外以及正常工作時間之外，例如，在家里工作的情況（也見7.2.5和9.8.1）。

9

GB/Txxxx—xxxx

6.2用戶培訓(xùn)

目的：確保用戶知道信息安全威脅和利害關(guān)系，并準(zhǔn)備好在其正常工作過程中支持組織的安全策

略。

為了使可能的安全風(fēng)險減到最小，用戶應(yīng)接受安全規(guī)程和正確使用信息處理設(shè)施方面的培訓(xùn)。

6.2.1信息安全教育和培訓(xùn)

組織的所有雇員和（若相關(guān)的）第三方用戶要接受組織的策略和規(guī)程方面的適當(dāng)培訓(xùn)和定期更新

內(nèi)容。這包括安全要求、合法職責(zé)和業(yè)務(wù)控制以及在給予訪問信息和服務(wù)之前正確使用信息處理設(shè)施的

培訓(xùn)，例如登錄過程，使用軟件包等。

6.3對安全事故和故障的響應(yīng)

目的：使安全事故和故障的損害減到最小，并監(jiān)督這種事故以及從事故中學(xué)習(xí)。

影響安全的事故要盡可能快地通過合適的管理渠道予以報告。

要使所有雇員和合同商知道報告可能對組織的資產(chǎn)安全有影響的不同類型事故（安全違規(guī)、威脅、

弱點或故障）的規(guī)程，應(yīng)要求他們盡可能快地把任何觀察到的或預(yù)測到的事故報告給指明的聯(lián)系點。該

組織對涉及安全違規(guī)的雇員應(yīng)建立一個正式的紀(jì)律處理辦法。為了能正確地指出事故，在出現(xiàn)事故之后

盡可能快地收集證據(jù)可能是必要的（見12.1.7）。

6.3.1報告安全事故

安全事故要盡可能快地通過合適的管理渠道報告。

應(yīng)建立正式的報告規(guī)程以及事故響應(yīng)規(guī)程，以及在收到事故報告時提出要采取的動作。要讓所有

雇員和合同商知道報告安全事故的規(guī)程，并要求他們盡可能快地報告這樣的事故。相應(yīng)的反饋過程應(yīng)予

以實現(xiàn)，以確保在事故已經(jīng)處理和結(jié)束之后將結(jié)果通知報告事故的人們。在用戶安全意識培訓(xùn)時，這些

事故可用作可能發(fā)生什么，如何響應(yīng)這樣的事故，如何在將來避免這樣的事故（也見12.1.7）的例子。

6.3.2報告安全弱點

應(yīng)要求信息服務(wù)的用戶通知并報告任何觀察到的或預(yù)測到的系統(tǒng)或服務(wù)的安全弱點。他們要盡可

能快地向其管理層或直接向其服務(wù)提供者報告這些情況。要通知用戶在任何情況下，他們不要企圖證明

預(yù)測到的弱點。這是為了其自身的保護(hù)，因為可能將測試的弱點看作系統(tǒng)的潛在濫用。

6.3.3報告軟件故障

要建立報告軟件故障的規(guī)程。下列動作要予以考慮。

a）應(yīng)記錄下問題的征兆和任何顯示在屏幕上的消息。

b）如有可能，計算機(jī)要加以隔離，并且停止對其的使用?要立即向相應(yīng)的聯(lián)系點報警。如果設(shè)備

待檢查，在重新加電之前，設(shè)備要與任何組織的網(wǎng)絡(luò)斷開。磁盤不要轉(zhuǎn)移到其他計算機(jī)。

c）應(yīng)立即向信息安全管理者報告此情況。

用戶不要試圖移去可疑的軟件，除非被授權(quán)這樣做。要由已受過相當(dāng)培訓(xùn)的和有經(jīng)驗的人員進(jìn)行

恢復(fù)。

6.3.4從事故中學(xué)習(xí)

要有適當(dāng)?shù)臋C(jī)制，以使事故和故障的類型、數(shù)量和代價能被量化和監(jiān)督。該信息要用來標(biāo)識重復(fù)

10

GB/Txxxx—xxxx

發(fā)生的或影響很大的事故或故障。這樣做可以指出需要增強(qiáng)的或附加的控制，以限制未來出現(xiàn)事故的頻

度、損壞和代價，或者要將它們計入安全策略評審過程中（見3.1.2）。

6.3.5紀(jì)律處理

對于違反了組織安全策略和規(guī)程（見6.1.4,關(guān)于證據(jù)的保存，見12.1.7）的雇員，要具有正式的

紀(jì)律處理。對雇員來說，這樣一種辦法起威懾的作用，否則他可能傾向于不顧安全規(guī)程。此外，宜確保

正確、公正地對待牽涉重大違規(guī)或經(jīng)常違規(guī)的雇員。

7物理和環(huán)境的安全

7.1安全區(qū)域

目的：防止對業(yè)務(wù)辦公場所和信息未授權(quán)訪問、損壞和干擾。

關(guān)鍵和敏感的業(yè)務(wù)信息處理設(shè)施要放置在安全區(qū)域內(nèi)，并受到一種已定義的安全周邊和適合的安

全屏障和入口控制的保護(hù)。這些設(shè)施要在物理上避免未授權(quán)訪問、損壞和干擾。

所提供的保護(hù)要與所標(biāo)識的風(fēng)險相匹配。推薦用清理臺面和清空屏幕策略以減少未授權(quán)訪問或損

壞記錄紙、媒體和信息處理設(shè)施的風(fēng)險。

7.1.1物理安全周邊

物理保護(hù)可通過在業(yè)務(wù)辦公場所信息處理設(shè)施周圍建立若干物理屏障來達(dá)到。各個屏障建立一個

安全周邊,每個屏障都增強(qiáng)所提供的整體保護(hù)。組織要使用安全周邊來保護(hù)包含信息處理設(shè)施的區(qū)域（見

7.1.3）。安全周邊是指構(gòu)建屏障的某樣?xùn)|西，例如，墻、卡控制的入口門或有人管理的接待臺。各個屏

障的設(shè)置地點和強(qiáng)度取決于風(fēng)險評估的結(jié)果。

若合適，下列指南和控制應(yīng)予以考慮：

a）安全周邊應(yīng)清晰地予以定義。

b）包含有信息處理設(shè)施的建筑物或場地的周邊應(yīng)在物理上是安全的（即，在周邊或區(qū)域內(nèi)不應(yīng)存

在可能易于闖入的任何缺口）。場地的外墻應(yīng)是堅固結(jié)構(gòu)，所有外部門要有適當(dāng)保護(hù)以防止未

授權(quán)進(jìn)入，例如，控制機(jī)制、門問、報警器、鎖等等。

b）有人管理的接待區(qū)域或控制物理訪問場地或建筑物的其他手段要到位。進(jìn)入場地或建筑物應(yīng)僅

限于已授權(quán)人員。

c）如果需要，物理屏障應(yīng)從真正的地板擴(kuò)展到真正的天花板，以防止未授權(quán)進(jìn)入和由諸如火災(zāi)和

水災(zāi)所引起的環(huán)境污染。

d）安全周邊的所有防火門應(yīng)可發(fā)出報警信號，并應(yīng)緊閉。

7.1.2物理入口控制

安全區(qū)域要由適合的入口控制所保護(hù)，以確保只有已授權(quán)的人員才允許訪問。下列控制要予以考

慮。

a）對安全區(qū)域的訪問者要予以監(jiān)督或辦理進(jìn)入手續(xù)，并記錄他們進(jìn)入和離開的日期和時間。只能

允許他們訪問特定的、已授權(quán)的目標(biāo)，并要向他們宣布關(guān)于該區(qū)域安全要求和應(yīng)急規(guī)程的說明。

b）訪問敏感信息和信息處理設(shè)施要受到控制，并且僅限于已授權(quán)的人員。鑒別控制［例如，插卡

11

GB/Txxxx——xxxx

加個人識別號（PIN）］應(yīng)用于授權(quán)和確認(rèn)所有訪問。所有訪問的審核蹤跡要安全地加以維護(hù)。

c）要求所有人員佩帶某種形式的可視標(biāo)識，并且鼓勵他們詢問無人護(hù)送的陌生人和未佩帶可視標(biāo)

識的任何人。

d）對安全區(qū)域的訪問權(quán)利要定期地予以評審和更新。

7.1.3辦公室、房間和設(shè)施的安全保護(hù)

安全區(qū)域可以是在物理安全周邊內(nèi)側(cè)上鎖的辦公室或者幾個房間。這種辦公室可以是上鎖的并且

可以包含可鎖的鐵柜或保險柜。安全區(qū)域的選擇和設(shè)計要考慮到防止火災(zāi)、水災(zāi)、爆炸、國內(nèi)動蕩以及

其他形式的自然或人為災(zāi)難的損壞的可能性。還要考慮到相關(guān)健康和安全的規(guī)章和標(biāo)準(zhǔn)。對于由鄰接建

筑物所引起的任何安全威脅（例如，來自其他區(qū)域的水泄漏）也要予以考慮。

下列控制應(yīng)予以考慮。

a）使關(guān)鍵設(shè)施坐落在避免公眾進(jìn)行訪問的場地。

b）建筑物要不引人注目，并且在建筑物內(nèi)側(cè)或外側(cè)用不明顯標(biāo)記給出其用途的最少指示，以標(biāo)識

信息處理機(jī)構(gòu)的存在。

c）支持性功能件和設(shè)備（例如，影印機(jī)，傳真機(jī)）適宜坐落在安全區(qū)域內(nèi)，以避免可能泄露信息

的要求訪問。

d）無人值守時門窗要上鎖，外部保護(hù)時應(yīng)考慮對窗戶的保護(hù)，特別是對落地門窗。

e）按照專業(yè)標(biāo)準(zhǔn)所安裝的并定期測試的相應(yīng)的入侵檢測系統(tǒng)要裝在合適的位置，以便涵蓋所有外

部門和可接近的窗戶。對未占用的區(qū)域，在所有時刻也要予以監(jiān)視。對于其他區(qū)域（例如，計

算機(jī)機(jī)房或通信機(jī)房）也要提供掩蔽物。

f）組織所管理的信息處理設(shè)施在物理上要與第三方所管理的那些信息處理設(shè)施分開。

g）標(biāo)識敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不要輕易被公眾得到。

h）危險或易燃物品要安全地存儲在離安全區(qū)域有一定的安全距離的地方。成批的供應(yīng)品（諸如信

紙文具之類）除非必要都不應(yīng)存儲在安全區(qū)域內(nèi)。

i）基本維持運(yùn)行的設(shè)備和備份媒體要以一定的安全距離存放，以免受主要場地災(zāi)難的損壞。

7.1.4在安全區(qū)域工作

可以要求附加控制和指南，以增強(qiáng)安全區(qū)域的安全，這包括對在安全區(qū)域中工作的人員或第三方

以及在這里進(jìn)行第三方活動的控制。下列控制要予以考慮。

a）只在有必要知道的基礎(chǔ)上，人員才應(yīng)知道安全區(qū)域的存在或在其中的活動。

b）由于安全（safety）原因和防范惡意活動的可能，均應(yīng)避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作。

c）未用的安全區(qū)域在物理上要鎖上并周期地予以檢查。

d）僅在要求時，才同意第三方支持性服務(wù)人員對安全區(qū)域或敏感性信息處理設(shè)施進(jìn)行有限制的訪

問。該訪問要經(jīng)過授權(quán)和并受到監(jiān)督。在安全周邊內(nèi)側(cè)具有不同安全要求的區(qū)域之間