ISMS信息安全管理體系建立方法

ISMS信息安全管理體系建立方法

工程管理、業(yè)務(wù)連續(xù)性管理等每項管理的要點均有不一致。后續(xù)將全面介紹不一致部分的管

理。1信息安全管理體系概述

1.1什么是信息安全管理體系信息安全管理體系即工nformationSecurity

ManagementSystem（簡稱1sMS）是組織在整體或者特定

范圍內(nèi)建立的信息安全方針與目標(biāo)與完成這些目標(biāo)所用的方法與體系。它是直接管理活動的

結(jié)果

表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程與資源的集合。

BS77992是建立與維持信息安全管理體系的標(biāo)準(zhǔn)標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系

范圍

制定信息安全方針明確管理職責(zé)以風(fēng)險評估為基礎(chǔ)選擇操縱目標(biāo)與操縱措施等一系列活動

來建立信

息安全管理體系體系一旦建立組織應(yīng)按體系的規(guī)定要求進行運作保持體系運行的有效性

信息安

全管理體系應(yīng)形成一定的文件即組織應(yīng)建立并保持一個文件化的信息安全管理體系其中應(yīng)

闡述被保

護的資產(chǎn)、組織風(fēng)險管理方法、操縱目標(biāo)與操縱措施、信息資產(chǎn)需要保護的程度等內(nèi)容。

1.1SMS的范圍

工SMS的范圍能夠根據(jù)整個組織或者者組織的一部分進行定義包含有關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、

服務(wù)、網(wǎng)

絡(luò)與用于過程中的技術(shù)、存儲與通信的信息等ISMS的范圍能夠包含

組織所有的信息系統(tǒng)

組織的部分信息系統(tǒng)

特定的信息系統(tǒng)。

此外為了保證不一致的業(yè)務(wù)利益組織需要為業(yè)務(wù)的不一致方面定義不一致的ISMSo比如

能夠為組織

與其他公司之間特定的貿(mào)易關(guān)系定義工SMS也能夠為組織結(jié)構(gòu)定義ISMS不一致的情境能夠

由一個或者者

多個ISMS表述。

2.組織內(nèi)部成功實施信息安全管理的關(guān)鍵因素

反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)與活動

與組織文化一致的實施安全的方法

來自管理層的有形支持與承諾

對安全要求、風(fēng)險評估與風(fēng)險管理的良好懂得

向所有管理者及雇員推行安全意思

向所有雇員與承包商分發(fā)有關(guān)信息安全方針與準(zhǔn)則的導(dǎo)則

提供適當(dāng)?shù)呐嘤?xùn)與教育

用于評價信息安全管理績效及反饋改進建議并有利于綜合平衡的測量系統(tǒng)。

3.建立工SMS的步驟

不一致的組織在建立與完善信息安全管理體系時可根據(jù)自己的特點與具體的情況采取不一

致的步驟

與方法。但總體來說建立信息安全管理體系通常要通過下列四個基本步驟

c）信息安全管理體系的運行

d）信息安全管理體系的審核與評審。1.2信息安全管理體系的作用1.1SMS的特點

信息安全管理管理體系是一個系統(tǒng)化、程序化與文件化的管理體系。該體系具有下列特點

體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估表達以預(yù)防操縱為主的思想強調(diào)遵守

國

家有關(guān)信息安全的法律法規(guī)及其他合同方要求

強調(diào)全過程與動態(tài)操縱本著操縱費用與風(fēng)險平衡的原則合理選擇安全操縱方式

強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn)而不是全部信息資產(chǎn)確保信息的機密性、完整性

與

可用性保持組織的競爭優(yōu)勢與商務(wù)運作的持續(xù)性。

2.實施:[SMS的作用

組織建立、實施與保持信息安全管理體系將會產(chǎn)生如下作用

強化員工的信息安全意識規(guī)范組織信息安全行為

對組織的關(guān)鍵信息資產(chǎn)進行全面體統(tǒng)的保護維持競爭優(yōu)勢

在信息系統(tǒng)受到侵襲時確保業(yè)務(wù)持續(xù)開展并將缺失降到最低程度

使組織的生意伙伴與客戶對組織充滿信心

假如通過體系認證說明體系符合標(biāo)準(zhǔn)證明組織有能力保證重要信息提高組織的知名度與

信

任度

促使管理層貫徹信息安全保障體系

組織能夠參照信息安全管理模型按照先進的信息安全管理標(biāo)準(zhǔn)BS7799建立組織完整的信

息安

全管理體系并實施與保持達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安

全

管理方式用最低的成本達到可同意的信息安全水平從根本上保證業(yè)務(wù)的連續(xù)性。1.3信

息安全管理體系的準(zhǔn)備為在組織中順利建設(shè)信息安全管理體系需要建立有效信息安全機

構(gòu)對組織中的各類人員分配角色、

明確權(quán)限、落實責(zé)任并予以溝通。

1成立信息安全委員會

信息安全委員會由組織的最高管理層與信息安全管理有關(guān)的部門負責(zé)人、管理人員、技術(shù)人員

構(gòu)成

定期召開會議就下列重要信息安全議題進行討論并做出決策為組織信息安全管理提供導(dǎo)向

與支持。

評審與審批信息安全方針

分配信息安全管理職責(zé)

確認風(fēng)險評估的結(jié)果

對與信息安全管理有關(guān)的重大事項如組織機構(gòu)調(diào)整、關(guān)鍵人事變動、信息安全設(shè)施購置等

評審與監(jiān)督信息安全事故

審批與信息安全管理有關(guān)的其他重要事項。

2任命信息安全管理經(jīng)理

組織最高管理者在管理層中指定一名信息安全管理經(jīng)理分管組織的信息安全管理事宜具體

由下列

責(zé)任

確定信息安全管理標(biāo)準(zhǔn)建立、實施與保護信息安全管理體系

據(jù)

就信息安全管理的有關(guān)問題與外部各方面進行聯(lián)絡(luò)。

3組建信息安全管理推進小組

在信息安全委員會的批準(zhǔn)下由信息安全管理經(jīng)理組建信息安全管理推進小組并對其進行管

理。小

構(gòu)成員要懂信息安全技術(shù)知識有一定的信息安全管理技能同時有較強的分析能力及文字能

力小組

成員通常是企業(yè)各部門的骨干人員。

4保證有關(guān)人員的作用、職責(zé)與權(quán)限得到有效溝通

用適當(dāng)?shù)姆绞饺缤ㄟ^培訓(xùn)、制定文件等方式讓每位員工明白自己的作用、職責(zé)與權(quán)限與與

其

他部分的關(guān)系以保證全體員工各司其職相互配合有效地開展活動為信息安全管理體系的

建立做

出奉獻。

5組織機構(gòu)的設(shè)立原則

合適的操縱范圍

通常情況下一個經(jīng)理直接操縱的下屬管理人員很多于6人但不應(yīng)超過10人。在作業(yè)復(fù)雜的

部門

或者車間一個組長對15人保持操縱。在作業(yè)簡單的部門或者車間一個組長能操縱50個人

或者更多的人。

合適的管理層次

公司負責(zé)人與基層管理部門之間的管理層數(shù)應(yīng)保護最少程度最影響利潤的部門經(jīng)理應(yīng)該直接

向

公司負責(zé)人報告。

一個上級的原則

責(zé)、權(quán)、利一致的原則

既無重福又無空白的原則

執(zhí)行部門與監(jiān)督部門分離的原則

信息安全部門有一定的獨立性不應(yīng)成為生產(chǎn)部門的下屬單位。

6信息安全管理體系組織結(jié)構(gòu)建立及職責(zé)劃分的注意事項

假如現(xiàn)有的組織結(jié)構(gòu)合理則只需將信息安全標(biāo)準(zhǔn)的要求分配落實到現(xiàn)有的組織結(jié)構(gòu)中即可。

如

果現(xiàn)有的組織結(jié)構(gòu)不合理則按上面5中所述規(guī)則對組織結(jié)構(gòu)進行調(diào)整。

應(yīng)將組織內(nèi)的部門設(shè)置及各部門的信息安全職責(zé)、權(quán)限及相互關(guān)系以文件的形式加以規(guī)定。

應(yīng)將部門內(nèi)崗位設(shè)置及各崗位的職責(zé)、權(quán)限與相互關(guān)系以文件的形式加以規(guī)定。

日常的信息安全監(jiān)督檢查工作應(yīng)有專門的部門負責(zé)

關(guān)于大型企業(yè)來說能夠設(shè)置專門的安全部能夠把信息安全與職業(yè)健康與安全的職能劃歸

此部

門安全部設(shè)立首席安全執(zhí)行官首席安全執(zhí)行官直接向組織最高管理層負責(zé)有的也向首席

信

息官負責(zé)。美國''911"恐怖襲擊事件以后在美國的一些大型企業(yè)這種安全機構(gòu)的設(shè)置方式

逐步流行它強調(diào)對各類風(fēng)險的綜合管理與對威脅的快速反應(yīng)。

1S027001信息安全管理標(biāo)準(zhǔn)懂得及內(nèi)審員培訓(xùn)下載報名表內(nèi)訓(xùn)調(diào)查表

【課程描述】

ISO/IEC27001:2005信息技術(shù)安全管理體系要求用于組織的信息安全管理體系的建立與實

施保障組織的信息安全。

本課程將詳述工SO27001:2005/13027002:2005標(biāo)準(zhǔn)的每一個要求指導(dǎo)如何管理信息

安全風(fēng)險并附以大量的審核實戰(zhàn)

案例以作說明。內(nèi)部審核部分將以ISO19011:2002為基礎(chǔ)教授學(xué)員如何策劃與實施信息

安全管理體系內(nèi)部審核活動。掌

握該體系的具體執(zhí)行程序與標(biāo)準(zhǔn)并熟悉對該體系進行檢查與審核的方法與制作審核報告的技

巧。

【課程幫助】

假如你想對本課程有更深入的熟悉辭>>>彳贛SS027001嘀1■關(guān)資料手冊

【課程對象】

信息安全管理人員欲將工S027001導(dǎo)入組織的人員在工S027001實施過程中承擔(dān)內(nèi)部審核

工作的人員有志于從事1T

信息安全管理工作的人員。

【課程大綱】

第一部分IS027001

2005信息安全概述、標(biāo)準(zhǔn)條款講解

?信息安全概述信息及信息安全CIA目標(biāo)信息安全需求來源信息安全管理。

?風(fēng)險評估與管理風(fēng)險管理要素過程定量與定性風(fēng)險評估方法風(fēng)險消減。

?ISO/IEC27001簡介IS027001標(biāo)準(zhǔn)進展歷史、現(xiàn)狀與要緊內(nèi)容IS027001標(biāo)準(zhǔn)認證。

?信息安全管理實施細則從十個方面介紹工S027001的各項操縱目標(biāo)與操縱措施。

?信息安全管理體系規(guī)范ISO/1EC27001-2005標(biāo)準(zhǔn)要求內(nèi)容PDCA管理模型ISMS建設(shè)

方法與過程。

第二部分IS0270012005信息安全管理體系文件建立工S027001與IS09001、

IS014001管理體系如何整合

?IS027001與IS09001>IS014001的異同

?IS027001與1S09001、1S014001能夠共用的程序文件與三級文件

?如何將三體系整合降低公司的體系運行成本

?1S09001、IS014001,1S027001體系三合一整合案例分析

第三部分信息安全管理體系內(nèi)部審核技巧與認證應(yīng)對案例分析

?IS0270012005標(biāo)準(zhǔn)對內(nèi)審員的新要求

?信息安全管理體系認證現(xiàn)場審核的流程、技巧及溝通方法

?如何應(yīng)對認證公司的認證審核、監(jiān)督審核、案例分析

2.1PDCA原則PDCA循環(huán)的概念最早是由美國質(zhì)量管理專家戴明提出來的因此又稱之''戴

明環(huán)〃。在質(zhì)量管理中

應(yīng)用廣泛PDCA代表的含義如下

P(Plan)計劃確定方針與目標(biāo)確定活動計劃

D(Do)實施實際去做實現(xiàn)計劃中的內(nèi)容

C(Check)檢查總結(jié)執(zhí)行計劃的結(jié)果注意效果找出問題

A(Action)行動對總結(jié)檢查的結(jié)果進行處理成功的經(jīng)驗加以確信并適當(dāng)推廣、標(biāo)準(zhǔn)化失

敗的

教訓(xùn)加以總結(jié)以免重現(xiàn)未解決的問題放到下一個PDCA循環(huán)。

PDCA循環(huán)的四個階段具體內(nèi)容如下

(1)計劃階段制定具體工作計劃提出總的目標(biāo)。具體來講又分為下列4個步驟。

分析目前現(xiàn)狀找出存在的問題

分析產(chǎn)生問題的各類原因與影響因素

分析并找出管理中的要緊問題

制定管理計劃確定管理要點。

根據(jù)管理體制中出現(xiàn)的要緊問題制定管理的措施、方案明確管理的重點。制定管理方案時

要注

意整體的詳盡性、多選性、全面性。

(2)實施階段就是指按照制定的方案去執(zhí)行。

在管理工作中全面執(zhí)行制定的方案。制定的管理方案在管理工作中執(zhí)行的情況直接影響全過

程。

因此在實施階段要堅持按照制定的方案去執(zhí)行。

(3)檢查階段即檢查實施計劃的結(jié)果。

檢查工作這一階段是比較重要的一個階段它是對實施方案是否合理是否可行有何不妥的檢

查。

是為下一個階段工作提供條件是檢驗上一階段工作好壞的檢驗期。

(4)處理階段根據(jù)調(diào)查效果進行處理。

對已解決的問題加以標(biāo)準(zhǔn)化即把已成功的可行的條文進行標(biāo)準(zhǔn)化將這些納入制度、規(guī)定中

防止以后再發(fā)生類似問題

找出尚未解決的問題轉(zhuǎn)入下一個循環(huán)中去以便解決。

PDCA循環(huán)實際上是有效進行任何一項工作的合乎邏輯的工作程序。在質(zhì)量管理中PDCA循環(huán)

得到

了廣泛的應(yīng)用并取得了很好的效果有人也稱其為質(zhì)量管理的基本方法。之因此叫PDCA循

環(huán)是因

為這四個過程不是運行一次就完結(jié)而是周而復(fù)始地進行其特點是''大環(huán)套小環(huán)一環(huán)扣一環(huán)

小環(huán)

保大環(huán)推動大循環(huán)“每個循環(huán)系統(tǒng)包含PDCA四個階段曾螺旋式上升與進展每麗例尋

步。

建立與管理一個信息安全管理體系需要象其他任何管理體系一樣的方法。這里描述的過程模型

遵循

一個連續(xù)的活動循環(huán)計劃、實施、檢查、與處置。之因此能夠描述為一個有效的循環(huán)由于它

的目的是

為了保證您的組織的最好實踐文件化、加強并隨時間改進。信息安全管理體系的PDCA過程如

下圖12

1

圖12-1PDCA模型與信息安全管理體系過程

ISMS的PDCA具有下列內(nèi)容

1.計劃與實施

一個持續(xù)提高的過程通常要求最初的投資文件化實踐將風(fēng)險管理的過程正式化確定評審的

方

法與配置資源。這些活動通常作為循環(huán)的開始。這個階段在評審階段開始實施時結(jié)束。計劃階

段用來保

證為信息安全管理體系建立的內(nèi)容與范圍正確地建立評估信息安全風(fēng)險與建立適當(dāng)?shù)靥幚磉@

些風(fēng)險的

計劃。實施階段用來實施在計劃階段確定的決定與解決方案。

2.檢查與行動

檢查與處置評審階段用來加強、修改與改進已識別與實施的安全方案。評審能夠在任何時間、

以任

何頻率實施取決于如何做適合于考慮的具體情況。在一些體系中他們可能需要建立在計算機

化的過程

中以運行與立即回應(yīng)。其他過程可能只需在有信息安全事故時、被保護的信息資產(chǎn)變化時或者

需要增加時、

威脅與脆弱性變化時需要回應(yīng)。最后需要每一年或者其他周期性評審或者審核以保證整個管

理體系達成其

目標(biāo)。

3.操縱措施總結(jié)(SummaryofControls)

組織可能發(fā)現(xiàn)制作一份有關(guān)與應(yīng)用于組織的信息安全管理體系的操縱措施總結(jié)SoC的好處。

提供

一份操縱措施小結(jié)能夠使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。SoC可能包含敏感的信息因

此當(dāng)SoC

在外部與內(nèi)部同時應(yīng)用時應(yīng)考慮他們關(guān)于接收者是否合適。2.2文件化信息安全管理另

一個非常重要的原則就是文件化即所有計劃及操作過的情況都要有文件記錄這

樣可做到有章可循有據(jù)可查文件的類型通常有手冊、規(guī)范、指南、記錄等使用這些文件能

夠使組

織內(nèi)部溝通意圖統(tǒng)一行動并為事件提客觀證據(jù)同時也可用于學(xué)習(xí)與培訓(xùn)。假如有些組織曾

參與過

9000或者BS7799的認證會深刻體會到文件化的重要性。2.3領(lǐng)導(dǎo)重視組織建立信息安

全管理體系需要投入大量物力與人力這就需要得到領(lǐng)導(dǎo)的認可特別是最高領(lǐng)導(dǎo)

這樣才能確保這一項目不可能因缺少資源支持而中途廢棄。最高領(lǐng)導(dǎo)層在具體建立信息安全管

理體系時應(yīng)

括

a）建立信息安全方針

b）確保建立信息安全目標(biāo)與計劃

c）為信息安全確立職位與責(zé)任

d）向組織傳達達到信息安全目標(biāo)與符合信息安全方針的重要性、在法律條件下組織的責(zé)任

及持續(xù)

改進的需要

e）提供足夠的資源以開發(fā)、實施運行與保護信息安全管理體系

f）確定可同意風(fēng)險的水平

g）進行信息安全管理體系的評審。

（2）管理層為組織將確定與提供所需的資源以

a）建立、實施、運行與保護信息安全管理體系

b）確保信息安全程序支持業(yè)務(wù)要求

c）識別與強調(diào)法律與法規(guī)要求及合同的安全義務(wù)

d）正確地應(yīng)用所有實施的操縱措施保護足夠的安全

e）必要時進行評審并適當(dāng)回應(yīng)這些評審的結(jié)果

f）需要時改進信息安全管理體系的有效性。2.4全員參與僅有領(lǐng)導(dǎo)的支持沒有實際操

作的人員同樣信息安全管理體系不能很好地建立起來而組織內(nèi)由于普

通人員的誤操作與疏忽造成嚴重缺失的不止少數(shù)因此我們務(wù)必明確安全管理體系不是組織內(nèi)

IT部門的

組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。組織應(yīng)

a）確定從事影響信息安全管理體系的人員所必要的能力

b)提供能力培訓(xùn)與面寸耳雌緲

C）評價提供的培訓(xùn)與所采取行動的有效性

d）保持教育、培訓(xùn)、技能、經(jīng)驗與資格的紀(jì)錄。

組織應(yīng)確保所有有關(guān)的人員明白他們信息安全活動的適當(dāng)性與重要性與他們的奉獻如何達成信

息

安全管理目標(biāo)。3信息安全管理體系的建立

圖12-2ISMS流程圖

組織應(yīng)在整體業(yè)務(wù)活動與風(fēng)險的環(huán)境下建立、實施、保護與持續(xù)改進文件化的信息安全管理體

系。

為滿足該標(biāo)準(zhǔn)的目的使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。

組織應(yīng)做到如下幾點

a）應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)與技術(shù)確定信息安全管理體系的范圍。

b）應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)與技術(shù)確定信息安全管理體系的方針方針應(yīng)

1）

包含為其目標(biāo)建立一個框架并為信息安全活動建立整體的方向與原則。

2）考慮業(yè)務(wù)及法律或者法規(guī)的要求及合同的安全義務(wù)。

3）建立組織戰(zhàn)略與風(fēng)險管理的環(huán)境在這種環(huán)境下建立與保護信息安全管理體系。

4）建立風(fēng)險評價的標(biāo)準(zhǔn)與風(fēng)險評估定義的結(jié)構(gòu)。

5）經(jīng)管理層批準(zhǔn)。

c）確定風(fēng)險評估的系統(tǒng)化的方法

識別適用于信息安全管理體系及已識別的信息安全、法律與法規(guī)的要求的風(fēng)險評估的方法。為

信息

安全管理體系建立方針與目標(biāo)以降低風(fēng)險至可同意的水平。確定同意風(fēng)險的標(biāo)準(zhǔn)與識別可同意

風(fēng)險的水

平。

d）確定風(fēng)險

1）在信息安全管理體系的范圍內(nèi)識別資產(chǎn)及其責(zé)任人。

2）識別對這些資產(chǎn)的威脅。

3）識別可能被威脅利用的脆弱性。

4）別資產(chǎn)失去保密性、完整性與可用性的影響。

e）評價風(fēng)險制訂信息安全

方針

方針文檔

定義ISMS范圍

進行風(fēng)險評估

實施風(fēng)險管理

選擇操縱目標(biāo)

措施

準(zhǔn)備適用聲明第一步

第二步

第三步

第四步

第五步

第六步1sMs

范圍

評估報告文件

文件

文件

文件

文件

文件文檔化

文檔化

聲明文件

5）評估與這些資產(chǎn)有關(guān)的要緊威脅、脆弱點與影響造成此類事故發(fā)生的現(xiàn)實的可能性與現(xiàn)

存的操縱措

施

6）估計風(fēng)險的等級

7）確定介紹風(fēng)險或者使用在c中建立的標(biāo)準(zhǔn)進行衡量確定需要處理。

f）識別與評價供處理風(fēng)險的可選措施

可能的行動包含

1）應(yīng)用合適的操縱措施

2）明白并有目的地同意風(fēng)險同時這些措施能清晰地滿足組織方針與同意風(fēng)險的標(biāo)準(zhǔn)

3）避免風(fēng)險

4）轉(zhuǎn)移有關(guān)業(yè)務(wù)風(fēng)險到其他方面如保險業(yè)供應(yīng)商等。

g）選擇操縱目標(biāo)與操縱措施處理風(fēng)險

應(yīng)從2.6章節(jié)中操縱措施中選擇合適的操縱目標(biāo)與操縱措施應(yīng)該根據(jù)風(fēng)險評估與風(fēng)險處理過

程的結(jié)

果調(diào)整。

h）準(zhǔn)備一份適用性聲明。

從上面選擇的操縱目標(biāo)與操縱措施與被選擇的原因應(yīng)在適用性聲明中文件化。從2.6章節(jié)中

剪裁的

操縱措施也應(yīng)加以記錄

i）提議的殘余風(fēng)險應(yīng)獲得管理層批準(zhǔn)并授權(quán)實施與運作信息安全管理體系。3.2文件要求

信息安全管理體系文件應(yīng)包含

a）文件化的安全方針文件與操縱目標(biāo)

b）信息安全管理體系范圍與程序及支持信息安全管理體系的操縱措施

c）風(fēng)險評估報告

d）風(fēng)險處理計劃

e）組織需要的文件化的程序以確保有效地計劃運營與對信息安全過程的操縱

f）本標(biāo)準(zhǔn)要求的記錄

g）適用性聲明。3.3文件操縱信息安全管理體系所要求的文件應(yīng)予以保護與操縱。應(yīng)編

制文件化的程序以規(guī)定下列方面所需的

操縱

a）文件公布前得到批準(zhǔn)以確保文件的充分性

b）必要時對文件進行評審與更新并再次批準(zhǔn)

c）確保文件的更換與現(xiàn)行修訂狀態(tài)得到識別

d）確保在使用處可獲得適用文件的有關(guān)版本

e）確保文件保持清晰、易于識別

f）確保外來文件得到識別并操縱其分發(fā)

g）確保文件的發(fā)放在操縱狀態(tài)下

h）防止作廢文件的非預(yù)期使用

息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識別與檢索。應(yīng)編制形成

文件的程

序以規(guī)定記錄的標(biāo)識、儲存、保護、檢索、儲存期限與處置所需的操縱。需要一個管理過程

確定記錄

的程度。

應(yīng)保留上述過程績效記錄與所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。比如

簽名簿審核記錄與授權(quán)訪問記錄。4實施與運作信息安全管理體系組織應(yīng)按如下步聚實

施

a）識別合適的管理行動與確定管理信息安全風(fēng)險的優(yōu)先順序即風(fēng)險處理計劃

b）實施風(fēng)險處理計劃以達到識別的操縱目標(biāo)包含對資金的考慮與落實安全角色與責(zé)任

c）實施在上述章節(jié)里選擇的操縱目標(biāo)與操縱措施

d）培訓(xùn)與意識

e）管理運作過程

f）管理資源

g）實施程序與其他有能力隨時探測與回應(yīng)安全事故的操縱措施。5監(jiān)控與評審信息安全

管理體系

5.1監(jiān)控信息安全管理體系組織應(yīng)

a）執(zhí)行監(jiān)控程序與其他操縱措施以

1）實時探測處理結(jié)果中的錯誤

2）及時識別失敗與成功的安全破壞與事故

3）能夠使管理層確定分派給員工的或者通過信息技術(shù)實施的安全活動是否達到了預(yù)期的目

標(biāo)

4）確定解決安全破壞的行動是否反映了運營的優(yōu)先級。

b）進行常規(guī)的信息安全管理體系有效性的評審包含符合安全方針與目標(biāo)及安全操縱措施的

評

審考慮安全評審的結(jié)果、事故、來自所有利益有關(guān)方的建議與反饋

c）評審殘余風(fēng)險與可同意風(fēng)險的水平考慮下列方面的變化

1）組織

2）技術(shù)

3）業(yè)務(wù)目標(biāo)與過程

4）識別威脅及

5）外部事件如法律、法規(guī)的環(huán)境發(fā)生變化或者社會環(huán)境發(fā)生變化。

d）在計劃的時間段內(nèi)實施內(nèi)部信息安全管理體系審核。

e）經(jīng)常進行信息安全管理體系管理評審至少每年評審一次以保證信息安全管理體系的范圍

仍

然足夠在信息安全管理體系過程中的改進措施已被識別見信息安全管理體系的管理評審

a）實施已識別的關(guān)于信息安全管理體系的改進措施

b）采取合適的糾正與預(yù)防措施[見7.2與7.3].應(yīng)用從其他組織的安全經(jīng)驗與組織內(nèi)學(xué)

到的知識。

c）溝通結(jié)果與行動并得到所有參與的有關(guān)方的同意。

d）確保改進行動達到了預(yù)期的目標(biāo)。5.3信息安全管理體系的管理評審管理層應(yīng)按策

劃的時間間隔評審組織的信息安全管理體系以確保其持續(xù)的適宜性、充分性與有效

性。評審應(yīng)包含評價信息安全管理體系改進的機會與變更的需要包含安全方針與安全目標(biāo)。

評審的

結(jié)果應(yīng)清晰地文件化應(yīng)保持管理評審的紀(jì)錄。5.3.1評審輸入管理評審的輸入應(yīng)包含下

列方面的信息

a）信息安全管理體系審核與評審的結(jié)果

b）有關(guān)方的反饋

c）能夠用于組織改進其信息安全管理體系績效與有效性的技術(shù)產(chǎn)品或者程序

d）預(yù)防與糾正措施的狀況

e）往常風(fēng)險評估沒有足夠強調(diào)的脆弱性或者威脅

f）以往管理評審的跟蹤措施

g）任何可能影響信息安全管理體系的變更

h）改進的建議。5.3.2評審輸出管理評審的輸出應(yīng)包含下列方面有關(guān)的任何決定與措

施

a）對信息安全管理體系有效性的改進

b）修改影響信息安全的程序必要時回應(yīng)內(nèi)部或者外部可能影響信息安全管理體系的事件

包含

下列的變更

1業(yè)務(wù)要求

2安全要求

3業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求

4法規(guī)或者法律環(huán)境

5風(fēng)險的等級與/或者可同意風(fēng)險的水平

c）資源需求。5.3.3內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時間間隔進行內(nèi)部信

息安全管理體系審核以確定信息安全管理體系的操縱目標(biāo)、

操縱措施、過程與程序是否

c）被有效地實施與保護

d）達到預(yù)想的績效。

任何審核活動應(yīng)策劃策劃應(yīng)考慮過程的狀況與重要性審核的范圍與前次審核的結(jié)果。應(yīng)確

定

審核的標(biāo)準(zhǔn)范圍頻次與方法。選擇審核員及進行審核應(yīng)確保審核過程的客觀與公正。審核

員不應(yīng)審

核他們自己的工作。

應(yīng)在一個文件化的程序中確定策劃與實施審核報告結(jié)果與保護記錄［見4.3.3］的責(zé)任及要求。

負責(zé)被審核區(qū)域的管理者應(yīng)確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。

改

進措施應(yīng)包含驗證采取的措施與報告驗證的結(jié)果［見條款7］。6信息安全管理體系改進

6.1持續(xù)改進組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正與

預(yù)防措施與管理評審

的信息持續(xù)改進信息安全管理體系的有效性。6.2糾正措施組織應(yīng)確定措施以消除與實

施與運行信息安全管理體系有關(guān)的不合格的原因防止不合格的再發(fā)生。應(yīng)為糾正措施編制形

成文件的程序確定下列的要求

a）識別實施與/或者運行信息安全管理體系中的不合格

b）確定不合格的原因

c）評價確保不合格不再發(fā)生的措施的需求

d）確定與實施所需的糾正措施

e）記錄所采取措施的結(jié)果

f）評審所采取的糾正措施。6.3預(yù)防措施組織應(yīng)針對潛在的不合格確定措施以防止其發(fā)

生。預(yù)防措施應(yīng)于潛在問題的影響程度相習(xí)慣。應(yīng)為

預(yù)防措施編制形成文件的程序以規(guī)定下列方面的要求

a）識別潛在的不合格及引起不合格的原因

b）確定與實施所需的預(yù)防措施

c）記錄所采取措施的結(jié)果

d）評價所采取的預(yù)防措施

e）識別已變更的風(fēng)險與確保注意力關(guān)注在重大的已變更的風(fēng)險。

糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。

上述曾介紹過的需進行適用性聲明。下列將全面介紹十大領(lǐng)域的操縱措施。7.1安全方針

7.1.1信息安全方針1.信息安全方針文件方針文件應(yīng)得到管理者批準(zhǔn)并以適當(dāng)?shù)姆绞?/p>

公布、傳達到所有員工。該文件應(yīng)該闡明管理者對實

行信息安全的承諾并陳述組織管理信息安全的方法它至少應(yīng)該包含下列幾個部分

信息安全的定義其總體目標(biāo)與范圍與其作為信息共享的安全機制的重要性見引言

申明支持信息安全目標(biāo)與原則的管理意向

對組織有重大意義的安全方針、原則、標(biāo)準(zhǔn)與符合性要求的簡要說明比如陽蝴合同的要

求

安全教育的要求

對計算機病毒與其他惡意軟件的防范與檢測

可持續(xù)運營的管理

違反安全方針的后果

對信息安全管理的總體與具體責(zé)任的定義包含匯報安全事故

提及支持安全方針的文件如特定信息系統(tǒng)的更加全面的安全方針與程序或者用戶應(yīng)該遵守

的安

全規(guī)定。

本方針應(yīng)以恰當(dāng)、易得、易懂的方式向單位的預(yù)期使用者進行傳達。7.1.2評審與鑒定方

針應(yīng)有專人按照既定的評審程序負責(zé)它的保持與評審。該程序應(yīng)確保任何影響原始風(fēng)險評估根

據(jù)

的變化都會得到相應(yīng)的評審如重大的安全事故、新的脆弱性、組織基礎(chǔ)結(jié)構(gòu)或者技術(shù)基礎(chǔ)

設(shè)施的變化。

同樣應(yīng)對下列各項進行有計劃的、定期的評審

a方針的有效性可通過記錄在案的安全事故的性質(zhì)、數(shù)量與所造成的影響來論證

b對運營效率進行操縱的成本與效果

c技術(shù)變化所造成的影響

目標(biāo)為信息安全提供管理指導(dǎo)與支持。

管理者應(yīng)該制定一套清晰的指導(dǎo)方針并通過在組織內(nèi)對信息安全方針的公布與保持來證明對

信

目標(biāo)在組織內(nèi)部管理信息安全。

應(yīng)建立管理框架在組織內(nèi)部開展與操縱信息安全的實施。

應(yīng)該建立具有管理權(quán)的適當(dāng)?shù)男畔踩芾砦瘑T會來批準(zhǔn)信息安全方針、分配安全職責(zé)

并協(xié)調(diào)組織內(nèi)部信息安全的實施。如有必要應(yīng)在組織內(nèi)建立提供信息安全建議的專家

小組并使其有效。應(yīng)建立與組織外部安全專家的聯(lián)系以跟蹤行業(yè)趨勢監(jiān)督安全標(biāo)準(zhǔn)

與評估方法并在處理安全事故時提供適當(dāng)?shù)穆?lián)絡(luò)渠道。另外應(yīng)鼓勵多學(xué)科的信息安全

方法的進展如韁＜睬行E娟酮梭楮靜員于保安人員以

及行業(yè)專家如保險與風(fēng)險管理領(lǐng)域之間的協(xié)作。

1.信息安全管理委員會

信息安全是管理團隊中所有成員共同的職務(wù)責(zé)任。因此應(yīng)考慮建立信息安全委員會以確保為信

息安

全的啟動工作提供明確的指導(dǎo)與明顯的管理支持。該委員會應(yīng)該在組織內(nèi)部通過適當(dāng)?shù)某兄Z與

提供充足

的資源來促進安全工作。信息安全管理委員會能夠作為現(xiàn)有管理團體的一部分所承擔(dān)的職責(zé)

要緊有

評審與批準(zhǔn)信息安全方針與總體職責(zé)

監(jiān)督信息資產(chǎn)面臨重大威脅時所暴露出的重大變化

評審與監(jiān)督信息安全事故

批準(zhǔn)加強信息安全的主動行為。

應(yīng)有一名經(jīng)理負責(zé)與安全有關(guān)的所有行為。

2.信息安全的協(xié)作問題

在較大的組織內(nèi)部有必要成立由各有關(guān)部門的管理代表構(gòu)成的跨部門的信息安全委員會以

合作

實施信息安全的操縱措施。它的要緊功能有

批準(zhǔn)組織內(nèi)關(guān)于信息安全的具體任務(wù)與責(zé)任

批準(zhǔn)信息安全方面的具體方法與程序如風(fēng)險評估、安全分類系統(tǒng)

批準(zhǔn)與支持全組織范圍的信息安全問題的提議如安全意識培訓(xùn)

確保安全問題是信息設(shè)計過程的一部分

評估新系統(tǒng)或者服務(wù)在信息安全操縱實施方面的充分程度與協(xié)作情況

評審信息安全事故

提高全組織對信息安全的支持程度。

3.信息安全責(zé)任分配

保護單獨的資產(chǎn)與實施具體的安全過程的職責(zé)應(yīng)該給予明確定義。

信息安全方針見上述條款應(yīng)該為組織內(nèi)部信息安全任務(wù)與責(zé)任的分配提供總體的指導(dǎo)。必

要時

針對具體的地點、系統(tǒng)與服務(wù)應(yīng)對此方針作更全面的補充。對由各項有形資產(chǎn)與信息資產(chǎn)與

安全程

序所在方承擔(dān)的責(zé)任如可持續(xù)運營計劃應(yīng)清晰定義。

在許多組織中會任命一名信息安全經(jīng)理來負責(zé)信息安全工作的開展與實施并支持操縱措施

的鑒

別工作。

然而分配資源與實施操縱措施的責(zé)任通常由各部門經(jīng)理承擔(dān)。通常的做法是為每項信息資產(chǎn)

指定

專人來負責(zé)日常的安全工作。

的清晰描述是很重要的特別應(yīng)進行下列工作

與各個系統(tǒng)有關(guān)的各類資產(chǎn)與安全過程應(yīng)給予識別與明確的定義。

各項資產(chǎn)或者安全過程的管理者責(zé)任應(yīng)通過審批并以文件的形式全面記錄該職責(zé)。

授權(quán)級別應(yīng)清晰定義并記錄在案。

4.信息處理設(shè)備的授權(quán)程序

關(guān)于新的信息處理設(shè)備應(yīng)建立管理授權(quán)程序應(yīng)考慮下列操縱措施

新設(shè)備應(yīng)有適當(dāng)?shù)挠脩艄芾韺徟贫葘τ脩舻氖褂媚康呐c使用情況進行授權(quán)。同樣應(yīng)得到負

責(zé)維

護本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準(zhǔn)以確保滿足所有有關(guān)的安全方針與要求。如有必要

應(yīng)檢查硬

件與軟件以確保與其他系統(tǒng)部件兼容注關(guān)于有些連接類型兼容也是務(wù)必的。使用個人信

息處理

設(shè)備來處理商業(yè)信息與任何必要的操縱措施應(yīng)經(jīng)授權(quán)。在工作場所使用個人信息處理設(shè)備可能

導(dǎo)致新

的脆弱性因此應(yīng)經(jīng)評估與授權(quán)。上述操縱措施在聯(lián)網(wǎng)的環(huán)境中尤為重要。

5.信息安全專家建議

許多組織可能需要安全專家的建議這最好由組織內(nèi)富有經(jīng)驗的信息安全顧問來提供。并非所

有的

組織都愿意雇用專家顧問。因此建議組織專門指定一個人來協(xié)調(diào)組織中的知識與經(jīng)驗以確

保一致性

并幫助做出安全決議。同時他們還應(yīng)與合適的外部顧問保持聯(lián)系以提供自身經(jīng)驗之外的專家

建議。信

息安全顧問或者等同的聯(lián)絡(luò)人員的任務(wù)應(yīng)該是使用他們自己的與外部的建議為信息安全的所

有方面提供

咨詢。他們對安全威脅的評估質(zhì)量與對操縱措施的建議水平?jīng)Q定了組織的信息安全的有效性。

為使其建

議最大程度的發(fā)揮作用他們應(yīng)有權(quán)接觸組織管理層的各個方面。若懷疑出現(xiàn)安全事件或者破

壞應(yīng)盡早

的咨詢信息安全顧問與相應(yīng)的外部聯(lián)絡(luò)人員以獲得專業(yè)指導(dǎo)與調(diào)查資源。盡管多數(shù)的內(nèi)部安

全調(diào)查通

常是在管理層的操縱下進行的但仍能夠邀請安全顧問給出建議領(lǐng)導(dǎo)或者實施調(diào)查。

6.組織間的合作

為確保在發(fā)生安全事故時能最快的采取適當(dāng)措施與獲得指導(dǎo)建議各個組織應(yīng)與執(zhí)法機關(guān)、管

理機

構(gòu)、信息服務(wù)提供機構(gòu)與電信營運部門保持適當(dāng)?shù)穆?lián)系。同樣也應(yīng)考慮成為安全組織與行業(yè)論

壇的成

員。

安全信息的交流應(yīng)該加以限制以確保組織的秘密信息不可能泄漏到未經(jīng)授權(quán)的人員手中。

7.信息安全審核的獨立性

信息安全方針條例制定出了信息安全的方針與職能。實施情況的審核工作應(yīng)該獨立進行來確

保組

織規(guī)范能夠很好的反映安全方針同時是可行的與有效的。

審核工作應(yīng)由組織內(nèi)部的審核職能部門、獨立經(jīng)理人或者熟知于此種審核工作的第三方組織來

實施只要

審核人員掌握了相應(yīng)的技術(shù)與經(jīng)驗。7.2.2第三方訪問安全管理

目標(biāo)保證第三方訪問組織的信息處理設(shè)備與信息資產(chǎn)時的安全性。

第三方訪問組織內(nèi)部的信息處理設(shè)備的權(quán)限應(yīng)該受到操縱。

若有業(yè)務(wù)上需要第三方的訪問應(yīng)對此做出風(fēng)險評估來確定訪問可能帶來的安全后后

果與對訪問進行的操縱需求。操縱措施應(yīng)經(jīng)雙方同意并在合同中進行明確定義。

第三方訪問還會涉及其他參與者。授予第三方訪問權(quán)的合同應(yīng)該涵蓋對合法的參與

者任命與同意訪訪問的條件。

在考慮信息外包處理時此標(biāo)準(zhǔn)能夠作為簽訂此類合同的基礎(chǔ)。

給予第三方訪問的類型至關(guān)重要。比如通過網(wǎng)絡(luò)連接的訪問風(fēng)險與物理訪問的風(fēng)險有很大區(qū)

別。

需要考慮的訪問類型有

a物理訪問如訪問辦公室計算機房文件柜等

b邏輯訪問如訪問組織的數(shù)據(jù)庫信息系統(tǒng)等

(2)訪問原因

授權(quán)第三方訪問有若干原因。比如向朗!嬲歌雁麗融就的多被授予物理與邏

輯訪問權(quán)如

a硬件與軟件支持人員他們需要有權(quán)訪問系統(tǒng)級或者低級的應(yīng)用程序功能。

b貿(mào)易伙伴或者合資伙伴他們之間需要交流信息訪問信息系統(tǒng)或者共享數(shù)據(jù)庫。

若沒有充分的信息安全管理同意第三方訪問將給信息帶來風(fēng)險。因此在業(yè)務(wù)上有與第三方

接觸

的需求時則需進行風(fēng)險評估以確定具體的操縱措施的要求。還要考慮所要進行的訪問類型、

信息的

價值、第三方使用的操縱措施與訪問給組織信息的安全可能帶來的后果。

(3)現(xiàn)場承包方

按照合同規(guī)定能夠在現(xiàn)場滯留一段時間的第三方也有可能帶來安全隱患?，F(xiàn)場第三方的例子

有硬件與軟件保護與支持人員清潔人員、送餐人員、保安與其他的外包支持服務(wù)人

員學(xué)生與其他的短期臨時工作人員顧問

熟悉采取什么操縱措施來管理第三方對信息處理設(shè)備的訪問是至關(guān)重要的?？偟膩碚f在與第

三方

所簽的合同中應(yīng)反映出所有的由第三方訪問導(dǎo)致的安全需求或者內(nèi)部的操縱措施。比如

苕篇儺

性有特殊要求的時候就要使用保密協(xié)議。

只有在實施了適當(dāng)?shù)牟倏v措施并簽訂了涵蓋連接與訪問條件的合同之后第三方方可訪問信息

與信

息處理設(shè)備。

1.與第三方簽約時的安全要求

涉及到第三方訪問本組織信息處理設(shè)備的安排應(yīng)基于正式的合同。該合同應(yīng)包含或者提到安全

要求

以保證遵守本組織安全方針與安全標(biāo)準(zhǔn)。合同應(yīng)確保本組織與第三方之間沒有誤會。各個組織

應(yīng)確保供

應(yīng)商的可靠性。合同中應(yīng)該考慮如下條款

a)信息安全的總體方針

b）資產(chǎn)保護方面包含

1）保護組織資產(chǎn)包含信息與軟件在內(nèi)的程序

2）確定資產(chǎn)是否受到危害的程序如數(shù)據(jù)的丟失或者篡改

3）確保在合同截止時或者合同執(zhí)行期間某一雙方同意的時間歸還或者銷毀信息的操縱措施

4）完整性與可用性

5）對復(fù)制與泄漏信息的限制

c）對可用服務(wù)的描述

d）服務(wù)的目標(biāo)級與服務(wù)的不可同意級

e）人員調(diào)整的規(guī)定

法律體系的區(qū)別

h）知識產(chǎn)權(quán)與版權(quán)轉(zhuǎn)讓見操縱措施遵從性與合作成果保護

i）訪問操縱協(xié)議包含

1）所同意的操縱方法對特殊的標(biāo)識符如用戶ID密碼的操縱與使用

2）用戶訪問與特權(quán)的授權(quán)過程

3）要求保有一份名單用來記錄被授權(quán)使用可用服務(wù)的用戶與他們的使用權(quán)與特權(quán)

j）可驗證的行為標(biāo)準(zhǔn)的定義、監(jiān)督與匯報

k）監(jiān)督與廢止用戶行為的權(quán)力

1）審核合同的責(zé)任或者是委任第三方來執(zhí)行審核工作

m）建立解決問題的升級流程在適當(dāng)情況下還要考慮應(yīng)急安排

n）軟件與硬件安裝與保護責(zé)任

o）清晰的匯報結(jié)構(gòu)與業(yè)經(jīng)認同的匯報形式

P）清晰、全面的變更管理流程

q）確保操縱措施得以實施所需的物理保護操縱與機制

r）對用戶與管理者在方法、流程與安全方面的培訓(xùn)

s）確保防范惡意軟件的操縱措施

t）匯報、通知與調(diào)查安全事故與安全破壞的安排

u）包含第三方與次承包商7.2.3委外資源管理

目標(biāo)當(dāng)把信息處理的責(zé)任委托給其他組織時要確保委外信息的安全性

委外安排時應(yīng)該在簽約方的合同中說明信息系統(tǒng)、網(wǎng)絡(luò)與或者桌面環(huán)境方面的風(fēng)

險、安全操縱與流程。

1.委外合同中的安全要求

假如組織將其全部或者部分信息系統(tǒng)、網(wǎng)絡(luò)或者桌面環(huán)境的管理與操縱任務(wù)委托給其他組織

委外的安

全要求應(yīng)在合同中加以規(guī)定并要爭得雙方的同意。

比如合醐噓

a如何滿足法律方面的要求如數(shù)據(jù)保護法規(guī)

b做出什么安排來確保涉及委外的各方包含次分包商能意識到各自的責(zé)任

c如何保護與監(jiān)測組織的商業(yè)資產(chǎn)的完整性與保密性

d要采取什么物理與邏輯上的操縱措施來約束與限制業(yè)經(jīng)授權(quán)的用戶對商業(yè)信息的訪問

e在發(fā)生災(zāi)難的情況下如何維持服務(wù)的可用性

f對委外設(shè)備需要提供何種程度的物理安全

g審核權(quán)。

前面條款中的列表所給出的款項也應(yīng)作為合同的一部分考慮進去。在雙方同意的安全管理計劃

中

結(jié)構(gòu)與內(nèi)容的起始點。7.3資產(chǎn)分類與操縱7.3.1資產(chǎn)責(zé)任1.資產(chǎn)清單資產(chǎn)清單有

助于確保進行有效的資產(chǎn)保護其它商業(yè)目的如衛(wèi)生與安全、保險或者財務(wù)資產(chǎn)管理

原因同樣需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風(fēng)險評估的一個重要方面。組織需要識別其資

產(chǎn)及這些

資產(chǎn)的相對價值與重要性?；谶@些信息組織能夠繼而提供與資產(chǎn)的價值與重要性相符的保

護等級。

應(yīng)該編制并保持與每一信息系統(tǒng)有關(guān)的重要資產(chǎn)的清單。應(yīng)該清晰識別每項資產(chǎn)、其擁有權(quán)、

經(jīng)同意與

記錄為文件的安全分級見5.2與資產(chǎn)現(xiàn)在的位置當(dāng)試圖從丟失與損壞狀態(tài)恢復(fù)時是重要

的。與

信息系統(tǒng)有關(guān)的資產(chǎn)的例子

a信息資產(chǎn)數(shù)據(jù)庫與數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、操作與支持程序、持續(xù)

性計劃、

備用系統(tǒng)安排、存檔信息

b軟件資產(chǎn)應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具與有用程序

c有形資產(chǎn)計算機設(shè)備處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器通信設(shè)備路由器、

數(shù)字

程控交換機、傳真機、應(yīng)答機磁媒體磁帶與軟盤其他技術(shù)裝備電源空調(diào)設(shè)備家具

與住所

d服務(wù)計算與通信服務(wù)通用設(shè)備如供暖照明電力與空調(diào)等。7.3.2信息分類1.

分類原則

信息分類與相應(yīng)的保護操縱措施應(yīng)該考慮共享或者限制信息的商業(yè)要求與與這些要求有關(guān)的

商業(yè)

影響如對信息未經(jīng)授權(quán)的訪問或者損壞。通常而言對信息分類是決定如何處理與保護此信

息的一條捷

徑。

來自處理機密性數(shù)據(jù)之系統(tǒng)的信息與輸出應(yīng)該按照其對組織的價值與敏感性進行標(biāo)示。按照信

息對

目標(biāo)保持對組織資產(chǎn)的適當(dāng)保護。

應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。

資產(chǎn)責(zé)任有助于確保對資產(chǎn)保持適當(dāng)?shù)谋Ｗo。應(yīng)該為所有重要資產(chǎn)指定所有人并應(yīng)該分

配對其保持適當(dāng)操縱措施的責(zé)任。實施操縱措施的職責(zé)能夠委托。責(zé)任應(yīng)由指定的資產(chǎn)所有人

承擔(dān)。

目標(biāo)確保信息資產(chǎn)受到適當(dāng)級別的保護

應(yīng)該對信息進行分類以指明要求、優(yōu)先性與保護等級。

信息具有不一致程度的敏感性與重要性。一些項目可能需要額外級別的保護與特殊處理。應(yīng)

息已經(jīng)被公開時信息通常就不再是敏感的或者重要的。應(yīng)該考慮到這些方面由于過高的保

密級別能夠

導(dǎo)致不必要的額外的商業(yè)支出。分類原則應(yīng)該預(yù)見并顧及到一個事實及對任何特定信息的分

類都沒有

必要始終不變并能夠根據(jù)一些預(yù)定的方針變化。

應(yīng)該考慮劃分類別的數(shù)量與對其使用所帶來的益處。過于復(fù)雜的分類方案可能造成使用上的煩

惱

與不經(jīng)濟或者被證明為不切合實際。在解釋來自其他組織的文件上的分類標(biāo)簽時應(yīng)該小心他

們對相同或者

相似名字的標(biāo)簽可能有不一致的定義。

對一項信息如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或者磁盤的分類進行定義與對該分類定期評審的

責(zé)任

應(yīng)該保留給數(shù)據(jù)的創(chuàng)始者或者指定的信息所有人。

2.信息的標(biāo)示與處理

重要的是根據(jù)組織所使用的分類方案為信息的標(biāo)示與處理定義一套合適的程序。這些程序必

須包含以物理或者電子形式存在的信息資產(chǎn)。對每一信息類別應(yīng)該定義處理程序包含下列

種類的

信息處理活動

a復(fù)制

b存儲

c以郵件、傳真與電子郵件傳送

d以口頭方式包含移動電話、語音郵件、答錄機傳送

e銷毀。

含有被劃分為敏感或者重要信息之系統(tǒng)的輸出應(yīng)該使用適當(dāng)?shù)姆诸悩?biāo)示在輸出上。該標(biāo)示

應(yīng)該反映

根據(jù)上述分類原則建立的規(guī)則所做的分類。應(yīng)考慮的項目包含打印報告、屏幕顯示、記錄了信

息的媒體

磁帶、磁盤、光盤、盒式磁帶電子信息與文件傳送。

物理標(biāo)示通常是最合適的標(biāo)示形式。然而一些信息資產(chǎn)如電子形式的文件就不能進行物理

標(biāo)

示而需要使用電子方法標(biāo)示。7.4人員安全7.4.2崗位定義與資源分配的安全

目標(biāo)降低人為錯誤、盜竊、詐騙或者誤用設(shè)備的風(fēng)險。

應(yīng)該在新員工聘用階段就提出安全責(zé)任問題包含在聘用合同中同時在員工的雇傭期間進

行監(jiān)督。

應(yīng)該對可能的新員工進行充分的篩選特別是從事敏感工作的員工。所有雇員與信息處理

設(shè)施的第三方用戶都應(yīng)該簽署保密不泄密協(xié)議。

1.崗位責(zé)任中的安全

安全任務(wù)與責(zé)任如同在組織的信息安全方針中規(guī)定的見3.1應(yīng)該在適當(dāng)?shù)那闆r下形成文

件。

這些任務(wù)與責(zé)任既應(yīng)該包含實現(xiàn)或者保持安全方針的任何通常責(zé)任又應(yīng)該包含保護特定資產(chǎn)

或者執(zhí)行特定

的安全過程或者活動的任何具體責(zé)任。

a具有令人滿意的能力、人品推薦材料如針對工作或者針對個人的

b應(yīng)聘者有關(guān)閱歷的檢查針對完整性與準(zhǔn)確性

c聲稱的學(xué)術(shù)或者專業(yè)資格的確認

d獨立的身份檢查護照或者類似證件。

不管是初次任命還是提升當(dāng)一項工作涉及的人員具有訪問信息處理設(shè)備的機會特別是假如

這些

設(shè)備處理敏感信息如財務(wù)信息或者高度機密的信息時組織應(yīng)該同樣進行信用檢查。關(guān)于處

在有相當(dāng)權(quán)

力位置的人員這種檢查應(yīng)該定期重復(fù)。

關(guān)于合同方與臨時員工應(yīng)該執(zhí)行相似的篩選程序。若這些人員是由代理機構(gòu)推薦的則在與代

理機

構(gòu)簽訂的合同中應(yīng)該明確規(guī)定該代理機構(gòu)的篩選責(zé)任與假如沒有完成篩選工作或者者假如有

理由對篩選

結(jié)果懷疑或者擔(dān)心它們務(wù)必遵循的通知程序。

管理層應(yīng)該對有權(quán)訪問敏感系統(tǒng)的新員工與缺乏經(jīng)驗的員工的監(jiān)督工作進行評價。每一名員工

的工

作都應(yīng)該定期通過一名更高層職員的評審與批準(zhǔn)程序。

各經(jīng)理應(yīng)該意識到員工的個人環(huán)境能夠影響他們的工作。個人或者財政問題、行為或者生活方

式的改變、

重復(fù)的缺勤與壓力或者抑郁可能導(dǎo)致欺詐、偷竊、錯誤或者其他安全隱患。應(yīng)該根據(jù)相應(yīng)權(quán)限

范圍內(nèi)適當(dāng)

的規(guī)定來處理這類信息。

2.保密協(xié)議

保密或者不泄密協(xié)議用于告知信息是保密的或者秘密的。雇員通常應(yīng)該簽署此類協(xié)議作為他們

受雇的先

決條件。

應(yīng)該要求現(xiàn)存合同含保密協(xié)議尚未包含的臨時員工與第三方用戶在被給予信息處理設(shè)備訪

問權(quán)

之前簽署一個保密協(xié)議。

在雇用條款或者合同發(fā)生變化時特別是員工要離開組織或者合同將到期時應(yīng)該對保密協(xié)議

進行評審。

3.雇傭條款與條件

雇傭條款與條件應(yīng)該闡明雇員對信息安全的責(zé)任。適當(dāng)時在雇傭結(jié)束后這些責(zé)任應(yīng)該繼續(xù)

一定

的時間。應(yīng)該包含假如雇員無視安全要求時所采取的行動。

雇員的法律責(zé)任與權(quán)利如涉及到的版權(quán)法或者數(shù)據(jù)保護法應(yīng)該闡明并包含在雇傭條款與條

件中。

還應(yīng)該包含分類與管理雇主數(shù)據(jù)的責(zé)任。只要適當(dāng)雇傭條款與條件應(yīng)該說明這些責(zé)任是延伸

到組織范

圍以外與正常工作時間以外比如在家工作時。7.4.2用戶培訓(xùn)

1.信息安全教育與培訓(xùn)

組織中所用員工與有關(guān)的第三方用戶應(yīng)該同意適當(dāng)?shù)呐嘤?xùn)同時根據(jù)組織方針與程序的變化定

期

目標(biāo)確保用戶意識到信息安全的威脅與利害關(guān)系并具有在日常工作過程中支持組織安全方

針的能力。

息處理設(shè)備如登錄程序、軟件包的使用的培訓(xùn)。7.4.3安全事故與故障的響應(yīng)

目標(biāo)盡量減小安全事故與故障造成的缺失唱簿鐘殿圳

影響安全的事故應(yīng)該盡快通過適當(dāng)?shù)墓芾砬缊蟾妗?/p>

應(yīng)使所有雇員與簽約人明白可能影響組織資產(chǎn)安全的不一致種類事故安全事故、威

脅、弱點或者故障的各類報告程序。

應(yīng)該要求他們以最快的速度把任何看到的或者懷疑的事故報告給指定的聯(lián)絡(luò)人。組織

應(yīng)該建立正式的懲處程序以處理破壞安全的員工。為妥當(dāng)?shù)奶幚硎鹿视斜匾谑鹿拾l(fā)

生后盡快收集證據(jù)。

1.報告安全事故

安全事故應(yīng)該盡快通過適當(dāng)?shù)墓芾砬缊蟾妗?/p>

應(yīng)該建立正式的報告程序同時建立事故響應(yīng)程序闡明接到事故報告后所采取的行動。應(yīng)該

使所

有員工與簽約方明白報告安全事故的程序并應(yīng)該要求他們盡快報告此類事故。應(yīng)該在事故被

處理完并

關(guān)閉后執(zhí)行適當(dāng)?shù)姆答伋绦蛞源_保那些報告的事故被通告了結(jié)果。這些事故能夠用于用戶

安全意識

培訓(xùn)作為會發(fā)生什么事故、對此類事故如何響應(yīng)、與將來如何避免的例子。

2.報告安全弱點

應(yīng)該要求信息服務(wù)的用戶記錄并報告任何看到的或者懷疑的系統(tǒng)或者服務(wù)的安全弱點或者對它

們的威脅。

他們應(yīng)該盡快把這些問題向他們的管理層或者直接向服務(wù)提供者報告。應(yīng)該告知用戶在任何

情況下他

們都不應(yīng)該試圖驗證一個懷疑的弱點。這是為了保護他們自己由于測試弱點可能被認為是濫

用系統(tǒng)。

3.報告軟件故障

應(yīng)該建立報告軟件故障的程序應(yīng)該考慮下列行為。

a應(yīng)該記錄下問題的征兆與任何顯示在屏幕上的信息。

b假如可能計算機應(yīng)被隔離并停止對其的使用。應(yīng)該立即警告適當(dāng)?shù)穆?lián)絡(luò)人。假如要檢查

設(shè)備

應(yīng)在重新啟用前將其與組織的所有網(wǎng)絡(luò)斷開。軟盤不應(yīng)該用于其他計算機。

c該事故應(yīng)該立即報告給信息安全經(jīng)理。

除非被授權(quán)用戶不應(yīng)該試圖刪除有疑問的軟件。應(yīng)該由通過適當(dāng)培訓(xùn)并有經(jīng)驗的員工執(zhí)行恢

復(fù)工

作。

4.從事故中學(xué)習(xí)

應(yīng)該有在用的機制以使事故與故障的種類、數(shù)量與缺失能夠被量化與監(jiān)督。這類信息應(yīng)該用于

識別

重發(fā)或者有重大影響的事故與故障。這能夠說明增強或者增加操縱措施的必要性以限制將來

事故發(fā)生的頻

率、損壞程度與缺失或者者在安全方針評審過程見3.1.2中加以考慮。

5.懲處程序

針對違反組織安全方針與程序的雇員應(yīng)該有正式的懲處程序。此程序?qū)Σ蝗豢赡軣o視安全方針

的雇

關(guān)鍵或者敏感的商業(yè)信息處理設(shè)備應(yīng)該放置在安全區(qū)域由規(guī)定的安全防護帶適當(dāng)?shù)陌踩?/p>

屏障與入口操縱保護。這些設(shè)備應(yīng)該被物理保護防止未授權(quán)的訪問、破壞與干擾。

所提供的保護應(yīng)該與被確認的風(fēng)險相當(dāng)。建議使用清空桌面與清屏方針以降低對文件、媒

體與信息處理設(shè)備的未經(jīng)授權(quán)的訪問或者破壞的風(fēng)險。

1.物理安全防護帶

物理保護能夠通過在商業(yè)場所與信息處理設(shè)備周圍設(shè)置若干物理屏障達到。每個屏障形成一個

安全

防護帶每個防護帶都增強所提供的整體防護。組織應(yīng)該使用安全防護帶來保護放置信息處理

設(shè)備見

7.1.3的區(qū)域。安全防護帶是構(gòu)建屏障的東西如墻、進門的操縱卡或者有人職守的接待臺。

每個屏障的

位置與強度取決于風(fēng)險評估的結(jié)果。

適當(dāng)情況下應(yīng)該考慮下述原則與操縱措施

a安全防護帶應(yīng)該明確規(guī)定。

b放置信息處理設(shè)備的建筑物或者場所的防護帶在物理上應(yīng)該是的牢固的比如荏聲帶文者

安全區(qū)

域不應(yīng)該有能夠輕易闖入的缺口。場所的外墻應(yīng)該是牢固的建筑物所有的外門應(yīng)該被適當(dāng)

保護

防止未經(jīng)授權(quán)的訪問如操縱機制、柵欄、警鈴、鎖等。

c應(yīng)該設(shè)置有人職守的接待區(qū)或者其他方法對場所或者建筑物操縱物理訪問。對場所與建筑

物的訪問應(yīng)

該僅限于經(jīng)授權(quán)的人員。

d如有必要物理屏障應(yīng)從地板延伸到天花板以防止未經(jīng)授權(quán)的進入與由諸如火災(zāi)與水災(zāi)引

起的

環(huán)境污染。

e安全防護帶的所有防火門應(yīng)具報警功能并用力關(guān)緊。

2.物理進入操縱措施

安全區(qū)應(yīng)該通過適當(dāng)?shù)倪M入操縱措施保護以確保只有經(jīng)授權(quán)的人員能夠進入應(yīng)考慮下列的

操縱

措施

a安全區(qū)的訪問者應(yīng)該被監(jiān)督或者經(jīng)批準(zhǔn)同時應(yīng)該記錄他們進入與離開的日期與時間。他

們應(yīng)該僅

被同意訪問特定的、經(jīng)受權(quán)的目標(biāo)并應(yīng)該發(fā)給他們關(guān)于安全區(qū)域要求與應(yīng)急程序的說明。

b對敏感信息與信息處理設(shè)備的訪問應(yīng)被操縱并僅限于經(jīng)受權(quán)的人。鑒別操縱措施如帶個

人身份

號碼的掃描卡應(yīng)被用于所有訪問的授權(quán)與驗證。應(yīng)該安全的保持所有訪問的審計線索。

C應(yīng)該要求所有員工穿戴某種明顯的身份標(biāo)志并鼓勵向沒有陪伴的陌生人與沒有穿帶明顯

身份標(biāo)

志的任何人盤問。

d對安全區(qū)的訪問權(quán)應(yīng)該定期評審并更新。

3.保護辦公室、房間與設(shè)備的安全

安全區(qū)可能是上鎖的辦公室或者物理安全防護帶中的若干房間這些房間能夠被鎖住同時可能

存放有

何安全威脅如來自其他區(qū)域的水泄漏。

應(yīng)該考慮下列操縱措施

a關(guān)鍵設(shè)備的放置應(yīng)該避免被公眾訪問。

b建筑物應(yīng)該不引人注目并盡量少的顯示其用途建筑物內(nèi)外沒有說明存在信息處理活動的

明顯

標(biāo)志。

c輔助功能與設(shè)備如影印機、傳真機應(yīng)該被妥當(dāng)?shù)姆胖迷诎踩珔^(qū)內(nèi)以避免能夠危害信息安

全的

訪問需求。

d無人看管時門窗應(yīng)該上鎖應(yīng)該考慮對窗戶特別是地面層窗戶的外部保護。

e應(yīng)該在所有的外門與能夠出入的窗戶按專業(yè)標(biāo)準(zhǔn)安裝入侵監(jiān)測系統(tǒng)并定期測試。無人區(qū)應(yīng)

該時刻

保持警戒狀態(tài)。應(yīng)該同樣為其它區(qū)域提供保護如計算機房或者通信機房。

f由組織管理的信息處理設(shè)備應(yīng)該與第三方管理的信息處理設(shè)備從物理上隔離。

g顯示敏感信息處理設(shè)備位置的目錄與內(nèi)部電話本不應(yīng)該輕易地被公眾獲取。

h危險或者易燃物品應(yīng)該安全地儲存在與安全區(qū)保持安全距離的地方。大宗消耗品如文具除

非必要否

則不應(yīng)該存放在安全區(qū)。

i備用設(shè)備與備份媒體的放置應(yīng)該與主場地保持安全的距離以避免因主場地的災(zāi)害造成毀

壞。

4.在安全區(qū)內(nèi)工作

可能需要額外的操縱措施與指導(dǎo)原則來加強安全區(qū)域的安全性。這包含對在安全區(qū)內(nèi)工作的員

工與

第三方人員與發(fā)生在安全區(qū)的第三方活動的操縱措施。應(yīng)該考慮下列操縱措施

a只有在有必要明白的情況下員工才應(yīng)該明白安全區(qū)的存在或者其內(nèi)的活動。

b為安全原因與防止產(chǎn)生惡意活動的機會在安全區(qū)內(nèi)應(yīng)該避免無人監(jiān)督的工作。

c空閑的安全區(qū)應(yīng)該上鎖并定期檢查。

d第三方服務(wù)支持人員只有在必要時才應(yīng)該被同意有限制的訪問安全區(qū)或者敏感信息處理設(shè)

備。這種

訪問應(yīng)該通過授權(quán)并同意監(jiān)督。在安全防護帶內(nèi)具有不一致安全要求的區(qū)域之間可能需要操縱

物理

訪問的額外的屏障與防護帶。

e除非經(jīng)授權(quán)不應(yīng)該同意使用照相、錄像、錄音或者其他記錄設(shè)備。5.隔離交接區(qū)交

接區(qū)應(yīng)予以操縱女帝能嗡謔隔離以腐崎覲朔止螭安凄

求應(yīng)該由風(fēng)險評估決定。應(yīng)該考慮下列操縱措施

a從建筑物外對接貨區(qū)的訪問應(yīng)限于經(jīng)確認與授權(quán)的人。

b應(yīng)將接貨區(qū)設(shè)計成送貨員能夠卸貨卻無法得到訪問建筑物其它部分的權(quán)利。

c當(dāng)接待區(qū)的內(nèi)門打開時外門應(yīng)該是安全的。

d進入的物品在從接貨區(qū)轉(zhuǎn)移到使用地點之前應(yīng)該同意檢查以防止?jié)撛诘奈ｋU。

應(yīng)該在物理上保護設(shè)備免受安全威脅與環(huán)境危害。有必要保護設(shè)備包含場所外使用的

以降低對數(shù)據(jù)未經(jīng)受權(quán)訪問的風(fēng)險與防止丟失或者損壞。還應(yīng)該考慮設(shè)備的放置與布局。特殊

的操縱措施可能是必要的以防止危害或者未經(jīng)授權(quán)的訪問并保護輔助設(shè)施如電力與電纜設(shè)

施。

1.設(shè)備放置與保護

應(yīng)該放置或者保護設(shè)備以降低環(huán)境威脅與危害造成的風(fēng)險與未經(jīng)受權(quán)訪問的機會。應(yīng)該考慮

下列

操縱措施

a設(shè)備的放置應(yīng)盡量減少對工作區(qū)不必要的訪問。

b處理敏感數(shù)據(jù)的信息處理與存儲設(shè)備應(yīng)該被妥善放置以降低在使用中被忽視的風(fēng)險。

c需要特殊保護的物品應(yīng)隔離放置以降低所需的總體保護等級。

d應(yīng)該采取措施以盡量降低潛在威脅的風(fēng)險包含

1偷竊

2

火災(zāi)

3爆炸

4吸煙

5水或者供水故障

6灰塵

7震動

8化學(xué)反應(yīng)

9電源干擾

10電磁輻射。

e）組織應(yīng)該考慮在信息處理設(shè)備鄰近吃東西、飲水與吸煙的方針。

f）關(guān)于可能對信息處理設(shè)備的運行有負面影響的環(huán)境條件應(yīng)該進行監(jiān)控。

g）特殊的保護方法如鍵盤保護膜應(yīng)該考慮配備在工業(yè)環(huán)境下。

h）應(yīng)該考慮發(fā)生在臨近區(qū)域的災(zāi)害的影響如臨近建筑物著火天花板漏水低于地平面的

地面

滲水或者臨街爆炸。

2.電力供應(yīng)

應(yīng)該保護設(shè)備以防電力中斷與其他與電有關(guān)的異態(tài)。應(yīng)該根據(jù)設(shè)備制造商的說明提供合適的電

力。

實現(xiàn)不間斷電力的可選措施包含

a多條線路供電以避免單點故障

b不間斷電源UPS

c備用發(fā)電機。

關(guān)于支持關(guān)鍵商業(yè)業(yè)務(wù)的設(shè)備推薦使用不間斷電源UPS來保證設(shè)備的正常關(guān)機或者持續(xù)

運轉(zhuǎn)。

應(yīng)急計劃應(yīng)該包含在UPS失效時所采取的行動。UPS設(shè)備應(yīng)該定期檢查以確保其具有足夠的

電量并

按照制造商的建議測試。

另外緊急電源開關(guān)應(yīng)位于設(shè)備室的緊急出口鄰近以MB

生故障時應(yīng)該提供應(yīng)急照明。應(yīng)該對所有建筑物應(yīng)用雷電防護并在所有外部通信線路上安

裝雷電防

護過濾器。

3.電纜安全

應(yīng)該保護傳送數(shù)據(jù)或者支持信息服務(wù)的電力與通信電纜防止竊聽或者損壞。應(yīng)該考慮下列操

縱措施

a如有可能接入信息處理設(shè)備的電源與通信線路應(yīng)該鋪設(shè)在地下或者者采取足夠的可替代

的保護。

b應(yīng)該保護網(wǎng)絡(luò)電纜以防未經(jīng)授權(quán)的竊聽或者損壞比如通幽酗露j避免通過公共區(qū)域。

c電力電纜應(yīng)該與通信電纜隔離以防干擾。

d關(guān)于敏感或者關(guān)鍵系統(tǒng)另外考慮的操縱措施包含

1）在監(jiān)測點與端點處安裝裝甲管道與上鎖房間或者盒子

2）使用可替換的路由選擇或者傳輸媒體

3）使用光纖電纜

4）啟用對未經(jīng)授權(quán)而聯(lián)接在電纜上的設(shè)備的掃描

4.設(shè)備保護

應(yīng)該正確的保護保護以確保其持續(xù)的可用性與完整性。應(yīng)該考慮下列操縱措施。

a設(shè)備應(yīng)該按照提供商推薦的服務(wù)周期與規(guī)定來進行保護。

b只有經(jīng)授權(quán)的保護人員才能修理與保養(yǎng)設(shè)備。

C應(yīng)該保持所有懷疑的與確實的故障與所有預(yù)防與糾正措施的紀(jì)錄。

d在將設(shè)備送到組織外保護時應(yīng)該采取適當(dāng)?shù)牟倏v措施見7.2.6關(guān)于刪除、消磁與重寫

數(shù)據(jù)。

應(yīng)該遵守保險單規(guī)定的所有要求。

5.場所外設(shè)備的安全

不管所有權(quán)如何任何在組織場所外用于信息處理的設(shè)備應(yīng)該經(jīng)管理層授權(quán)?？紤]到在組織外

工作

的風(fēng)險所提供的保護應(yīng)該等同于組織內(nèi)相同用途的設(shè)備。信息處理設(shè)備包含用于家庭工作或

者從正常工

作地點帶出的所有形式的個人電腦、檔案夾、移動電話、文件或者其他的物品。應(yīng)該考慮下列

指導(dǎo)原則

a從組織帶出的設(shè)備與媒體不應(yīng)留在公共場所無人看管。在旅行時移動計算機應(yīng)該如同手

提袋一

樣加以攜帶并在可能時加以掩飾。

b應(yīng)該始終遵守生產(chǎn)商對設(shè)備保護的說明如保護設(shè)備不暴露于強電磁場。

c家庭工作的操縱措施應(yīng)該由風(fēng)險評估確定并應(yīng)該采取合適的操縱措施如可上鎖的文件柜、

清

空桌面方針與對計算機的訪問操縱。

d為保護場所外的設(shè)備應(yīng)該投保足值的保險。

如損壞、盜竊與竊聽的安全風(fēng)險在不一致地點變化很大應(yīng)該在決定最合適的操縱措施時加以

考慮。

關(guān)于保護移動設(shè)備的其他方面的更多信息可參見9.8.1

6.安全的處置或者再啟用設(shè)備

草率的處置或者再啟用設(shè)備能夠泄漏信息。存有敏感信息的存儲設(shè)備應(yīng)該從物理上被銷毀或者

安全地重

寫而不是使用標(biāo)準(zhǔn)的刪除功能。

帶有存儲媒體如固定硬盤的所有設(shè)備應(yīng)該被檢查以確保任何敏感數(shù)據(jù)與授權(quán)軟件在處置前

已被

7.5.3常規(guī)操縱措施目標(biāo)防止信息與信息處理設(shè)備的損壞或者被盜。

應(yīng)該保護信息與信息處理設(shè)備以防泄漏給未經(jīng)授權(quán)的人被其修改或者偷竊操縱措施應(yīng)該

到位以盡量減少缺失或者損壞。

在下章節(jié)中考慮了處理與存儲程序。

1.清空桌面與清屏方針

組織應(yīng)考慮對文件及可攜帶的儲存媒體采取清空桌面方針對信息處理設(shè)備采取清屏方針以

降低

在正常工作時間內(nèi)外信息未經(jīng)授權(quán)的訪問丟失與損壞的風(fēng)險。該方針應(yīng)考慮信息安全分類

見5.2

相應(yīng)的風(fēng)險與組織文化的各方面。

留在桌面上的信息也有可能被諸如火災(zāi)、水災(zāi)或者爆炸的災(zāi)害損壞或者銷毀。

應(yīng)考慮下述操縱措施

a適當(dāng)情況下文件與計算機媒體在不用時特別在工作時間之外應(yīng)存放在適當(dāng)?shù)纳湘i的柜

子與

/或者其他形式的安全設(shè)備中。

b敏感或者關(guān)鍵商業(yè)信息在不使用特別是辦公室無人時應(yīng)鎖起來最好是在防火保險柜或者

文件柜

中。

c個人計算機、計算機終端與打印機在無人看管時不應(yīng)處于登錄狀態(tài)。應(yīng)在不用時使用鍵

盤鎖、

□令或者其他的操縱措施加以保護。

d收發(fā)信件的地點與無人看管的傳真機與電傳機應(yīng)該加以保護。

e在正常工作時間之外應(yīng)將復(fù)印機加鎖或者者以其他方式防止未經(jīng)授權(quán)的使用。

f敏感或者機密信息打印完后應(yīng)該立即從打印機清除。

2.資產(chǎn)的遷移

設(shè)備、信息或者軟件未經(jīng)授權(quán)不應(yīng)帶離原場所。必要與合適的情況下設(shè)備應(yīng)注銷并在帶回時

再注冊。

應(yīng)進行抽查以檢查財產(chǎn)非經(jīng)受權(quán)的移動。應(yīng)使個人明白將抽樣檢查。7.6通信與操作管理

7.6.1操作程序與責(zé)任目標(biāo)確保對信息處理設(shè)備正確與安全的操作。

應(yīng)該建立所有信息處理設(shè)備管理與操作的責(zé)任與程序。包含制訂適當(dāng)?shù)牟僮髦改?/p>

與事故反應(yīng)程序。

適當(dāng)情況下應(yīng)實施責(zé)任劃分以降低疏忽或者有意濫用系統(tǒng)的風(fēng)險。

1.文件化操作程序

程序應(yīng)該規(guī)定每項工作全面的執(zhí)行指導(dǎo)包含

a信息的加工與處理

b日程要求包含與其他系統(tǒng)的依存關(guān)系最早的工作開始時間與最晚的工作完成時間

c對在工作執(zhí)行過程中出現(xiàn)的錯誤或者其他意外情況的處理指導(dǎo)包含對系統(tǒng)功能使用的限

制

d在發(fā)生意外的操作或者技術(shù)困難時的支持聯(lián)絡(luò)

e特殊輸出處理指導(dǎo)諸如特殊文具的使用或者保密輸出的管理包含失敗作業(yè)輸出的安全處

理程序

f在系統(tǒng)失效時使用的系統(tǒng)重啟與恢復(fù)程序

與信息處理與通信設(shè)備有關(guān)的系統(tǒng)日常管理活動也應(yīng)準(zhǔn)備文件化的程序。如計算機啟動與關(guān)機

程序、

備份、設(shè)備保護、計算機房與信件處理的管理與安全。

2.操作的變更操縱

應(yīng)該操縱信息處理設(shè)備與系統(tǒng)的改變。對信息處理設(shè)備與系統(tǒng)變化的操縱不夠是系統(tǒng)或者安全

故障的

通常原因。應(yīng)該制訂正式的管理責(zé)任與程序以確保滿足對設(shè)備、軟件或者程序的所有改變的操

縱。對操作

程序應(yīng)該進行嚴格的變更操縱。在程序變更時應(yīng)該保留包含所有有關(guān)信息的審計日志。操作

環(huán)境的變

化能夠影響到應(yīng)用程序?？尚械那闆r下應(yīng)把操作與應(yīng)用的變更操縱程序整合起來。特別應(yīng)考

慮下列控

制措施

a重大變更的識別與記錄

b評估此類變更的潛在影響

c所建議更換的正式審批程序

d變更細節(jié)通知給所有有關(guān)人員

e確定中止與恢復(fù)不成功變更的