《信息安全工程與管理》課件第6章

第6章信息安全管理控制規(guī)范6.1概述6.2信息安全方針6.3安全組織6.4資產(chǎn)管理6.5人員安全6.6物理和環(huán)境安全6.7通信與操作安全第6章信息安全管理控制規(guī)范6.8訪問控制6.9系統(tǒng)開發(fā)與維護6.10安全事件管理6.11業(yè)務持續(xù)性管理6.12符合性保證本章小結

BS7799標準已經(jīng)得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準，依據(jù)BS7799建立信息安全管理體系并獲得認證已成為世界潮流。6.1概述組織可以參照信息安全管理模型，按照BS7799標準建立完整的信息安全管理體系并進行實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的連續(xù)性，提高企業(yè)的社會形象和市場競爭力。

在建立信息安全管理體系過程中，為了對組織所面臨的信息安全風險實施有效的控制，需要針對具體的威脅和脆弱性采取適宜的控制措施，包括管理手段和技術方法等。本章根據(jù)BS7799-2:2002、ISO/IEC17799:2005和ISO/IEC27001:2005等標準，結合組織信息資產(chǎn)可能存在的威脅、脆弱性，詳細介紹了信息安全方針、安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信與操作安全、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務持續(xù)性管理、符合性保證等11大控制方面，39個控制目標，133項信息安全控制措施的規(guī)范內(nèi)容。

信息安全方針是根據(jù)業(yè)務要求和相關法律法規(guī)制定的，用來提供支持信息安全的管理指導方針。6.2信息安全方針6.2.1信息安全方針文件

(1)控制措施。信息安全方針文件應由管理層批準、發(fā)布并傳達給所有員工，同時需要確保信息安全方針文件能被員工們理解和執(zhí)行。

(2)實施指南。

信息安全方針文件需要說明管理的承諾，提出管理信息安全的方法，應包含以下內(nèi)容：

·信息安全、整體目標和范圍的定義，以及在允許信息共享機制下安全的重要性。

·管理者意圖的聲明，用以支持符合業(yè)務策略和目標的信息安全目標和原則。

·設置控制目標和控制措施的框架，包括風險評估和風險管理的結構。

·對組織特別重要的安全方針策略、原則、標準和符合性要求的簡要說明。

·信息安全管理(包括報告信息安全事件)的一般和特定職責的定義。

·對支持方針文件的引用，如更詳細的其他規(guī)程。6.2.2信息安全方針的評審

(1)控制措施。按照計劃的時間間隔或在發(fā)生重大變化時評審方針文件，以確保方針的適宜性。

(2)實施指南。

信息安全方針文件應由專人負責其制定、評審和評價。評審應包括評估組織信息安全方針改進的機會和管理信息安全適應組織環(huán)境、業(yè)務狀況、法律條件或技術環(huán)境變化的方法。評審過程要注意以下幾點：

·應定義管理評審的規(guī)程，包括時間表或評審周期。

·評審信息安全方針時，要考慮管理評估的結果。

·應維護好管理評審的記錄。

·對修訂的方針需要獲得管理者的批準。

6.3.1內(nèi)部組織

內(nèi)部組織管理的目標是確保組織范圍內(nèi)的信息安全。

1.信息安全的管理承諾

(1)控制措施。管理者應通過清晰的說明、可兌現(xiàn)的承諾、明確的信息安全職責分配及確認，來積極支持組織的安全管理。6.3安全組織

(2)實施指南。

根據(jù)組織規(guī)模的不同，可由一個專門的管理協(xié)調(diào)小組或一個已存在的機構(例如董事會)來承擔對信息安全管理承諾的職責。在管理承諾中，要做以下工作：

·檢查并批準信息安全方針和總的責任。

·評審和跟蹤驗證信息安全方針實施的效果。

·為信息安全提供所需的資源和其他支持。

·啟動計劃和程序來保持信息安全意識。

·確保整個組織內(nèi)部的信息安全控制措施的實施是相互協(xié)調(diào)的。

2.信息安全協(xié)調(diào)

(1)控制措施。信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行協(xié)調(diào)。

(2)實施指南。

通常，信息安全協(xié)調(diào)包括管理人員、用戶、行政人員、應用設計人員、審核員和安全專員，以及保險、法律、人力資源、IT或風險管理等領域的專家的協(xié)調(diào)和協(xié)作，其活動包括：

·確保安全活動的實施與信息安全方針相一致。

·批準組織內(nèi)的信息安全專門的角色和職責分配。

·核準信息安全的特殊方法和程序，如風險評估、安全分級系統(tǒng)。

·識別重大的威脅變更和暴露在威脅下的信息和信息處理設施。

·評估信息安全控制措施實施的充分性和協(xié)調(diào)性。

·加強整個組織內(nèi)的信息安全教育、培訓和意識。

·評價適當性并協(xié)調(diào)對新系統(tǒng)或服務的特殊安全管理措施的實施。

3.信息安全職責的分配

(1)控制措施。所有的信息安全職責都應當被明確界定。

(2)實施指南。

信息安全職責的分配要與信息安全方針相一致。各個資產(chǎn)的保護和執(zhí)行特定安全過程的全局或局部的職責都應能被明確。這些職責在必要時能夠加以補充，從而為特定的地點和信息處理設施提供更詳細的指南。

信息資產(chǎn)的所有權人可以把他們的安全責任委派給單獨的管理者或服務提供商，但所有權人對資產(chǎn)的安全仍負有最終責任，并且所有權人應能夠確定任何責任錯誤分配的情況。

對每一個職責相關的領域都要清晰地規(guī)定，特別是在下列情況發(fā)生時：

·對每個特殊系統(tǒng)相關的資產(chǎn)和安全過程都要進行識別并清楚地定義。

·要分配每一資產(chǎn)或安全過程的實體職責，并且該職責的細節(jié)要形成文件。

·清楚地劃分授權等級，并形成文件。

4.信息處理設施的授權過程

(1)控制措施。對新的信息處理設施應當定義和實施一個管理授權過程。

(2)實施指南。

授權過程應考慮以下要求：

·新的信息處理設施應當有相應的用戶管理授權，以批準其用途和使用，還要獲得負責維護本地系統(tǒng)安全環(huán)境的管理人員的授權，以確保滿足所有相關安全方針和需要。

·必要時，檢測硬件和軟件，以確保它們與系統(tǒng)的其他部分相兼容。

·使用個人或私有信息處理設施(例如便攜式電腦、手持設備等)處理業(yè)務信息，可能引入新的脆弱性，因此需要進行評估和授權。

5.保密性協(xié)議

(1)控制措施。應識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的要求。

(2)實施指南。

保密性或不泄露協(xié)議通過使用合法的可實施條款來解決保護保密信息的問題，并且保密性或不泄露協(xié)議的要求應進行周期性評審，當發(fā)生影響這些要求的變更時，也要進行評審。協(xié)議內(nèi)容應包括：

·定義要保護的信息。

·信息、商業(yè)秘密和知識產(chǎn)權(IPR，IntellectualPropertyRight)的所有權。

·協(xié)議期望持續(xù)的時間。

·簽署者的職責、權力和行為，以避免未授權信息的泄露。

·對涉及保密信息的活動的審核和監(jiān)視的權力。

·未授權泄露或保密信息破壞的通知和報告過程。

·違反協(xié)議和協(xié)議終止時所需要采取的條款或措施。

6.與政府部門的聯(lián)系

(1)控制措施。應保持與相關政府部門的適當聯(lián)系。

(2)實施指南。

要有規(guī)程指明什么時候與哪個部門(例如執(zhí)法部門、消防部門、監(jiān)管部門等)聯(lián)系，以及對已識別的信息安全事件懷疑可能觸犯了法律時，應如何及時報告。受到來自互聯(lián)網(wǎng)攻擊的組織可能需要外部第三方(例如互聯(lián)網(wǎng)服務提供商(ISP，InternetServiceProvider)或電信運營商)采取措施以應對攻擊源。保持這樣的聯(lián)系是支持信息安全事件管理或業(yè)務持續(xù)性管理的基本要求。與法規(guī)部門的聯(lián)系有助于組織預先知道必須遵守的法律法規(guī)方面的變化，并為應對這些變化做好準備；與其他部門的聯(lián)系包括公共設施、緊急服務和健康安全等部門，例如消防局(與業(yè)務持續(xù)性有關)、電信供應商(與路由和可用性有關)、供水部門(與設備的冷卻有關)。

7.與特定利益集團的聯(lián)系

(1)控制措施。應保持與特定利益集團、其他安全專家組和專業(yè)協(xié)會的適當聯(lián)系。

(2)實施指南。

考慮成為特定利益集團或安全專家組的成員，以便于：

·增進對最佳實踐和最新相關安全信息的了解，獲得信息安全專家的建議。

·確保全面了解當前的信息安全環(huán)境。

·盡早收到關于攻擊和脆弱性的預警、建議和補丁。

·分享和交換關于新的技術、產(chǎn)品、威脅和脆弱性信息。

·提供處理信息安全事件時適當?shù)穆?lián)絡點。

8.信息安全的獨立評審

(1)控制措施。應按計劃的時間間隔或當安全實施發(fā)生重大變化時，獨立評審組織管理信息安全的方法及其實施。

(2)實施指南。

獨立評審應包括評估安全方法改進的機會和變更的需要，包括方針和控制目標，這對于確保一個組織管理信息安全方法的持續(xù)的適宜性、充分性和有效性是必要的。

獨立評審應由管理者啟動，但要獨立于評審范圍的具備適當技能和經(jīng)驗的人員來執(zhí)行，例如內(nèi)部審核部門、獨立的管理人員或第三方組織。記錄評審結果并報告給啟動評審的管理者。如果獨立評審識別出組織管理信息安全的方法和實施不充分，或不符合信息安全方針，管理者應考慮糾正措施。6.3.2外部各方

外部各方管理的目標是保持組織被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全。

1.與外部各方相關風險的識別

(1)控制措施。應識別涉及外部各方業(yè)務過程中組織的信息和信息處理設施的風險，并在允許訪問前實施適當?shù)目刂拼胧?/p>

(2)實施指南。

在允許外部方訪問組織的信息處理設施或信息前，應進行風險評估以識別特定控制措施的要求，必要時可簽定合同規(guī)定外部方連接或訪問以及工作確保安全的條款和條件。關于外部方訪問的風險識別應考慮以下問題：

·外部方對信息和信息處理設施的訪問類型，例如是設備還是電子信息？是現(xiàn)場還是非現(xiàn)場？

·所涉及信息的價值和敏感性，及對業(yè)務運行的關鍵程度。

·為保護不希望被外部方訪問到的信息而采取的必要控制措施。

·能夠識別組織或人員如何被授權訪問、如何授權驗證、及需要確認的時間。

·外部方在存儲、處理、傳送、交換信息時使用的方法和控制措施。

·因外部方需要而無法訪問，以及由于外部方輸入或接收不正確或誤導信息產(chǎn)生的

影響。

·處理信息安全事件或潛在破壞的規(guī)程時，外部方持續(xù)訪問的條款和條件。

·需考慮與外部方有關的法律法規(guī)要求和其他合同責任。

·這些安排對其他利益相關人的利益可能造成怎樣的影響。

2.處理與顧客有關的安全問題

(1)控制措施。應在允許顧客訪問組織信息或資產(chǎn)前處理所有確定的安全要求。

(2)實施指南。

要在允許顧客訪問組織任何資產(chǎn)前解決安全問題，應考慮以下條款：

·保護組織資產(chǎn)，以及判定資產(chǎn)是否受到損害的規(guī)程。

·擬提供的產(chǎn)品或服務的描述。

·顧客訪問的不同原因、要求和利益。

·有相關的訪問控制策略。

·對信息錯誤(例如個人信息錯誤)、安全事件和安全違規(guī)進行報告、通知和調(diào)查的

安排。

·服務的目標級別和服務的不可接受級別。

·組織和顧客各自的權利和義務。

·相關法律問題和如何確保滿足法律要求，包括知識產(chǎn)權等相關問題。

3.處理第三方協(xié)議中的安全問題

(1)控制措施。涉及訪問、處理或管理組織的信息或信息處理設施以及與之通信的第三方協(xié)議，或在信息處理設施中增加產(chǎn)品或服務的第三方協(xié)議，應涵蓋所有相關的安全要求。

(2)實施指南。

應確保在組織和第三方之間不存在誤解，組織應使第三方的保證滿足自己的需要。為滿足對可能存在相關風險的識別要求，協(xié)議中應重點考慮以下條款：

·確保資產(chǎn)保護的控制措施(例如各種保護機制、控制規(guī)程與策略等)。

·關于硬件和軟件安裝與維護的責任。

·提供的每項產(chǎn)品或服務的描述，根據(jù)安全分類提供可獲得信息的描述。

·服務的目標級別和服務的不可接受級別。

·可驗證的性能準則的定義、監(jiān)視和報告。

·監(jiān)視和撤消與組織資產(chǎn)有關的任何活動的權利。

·審核協(xié)議中規(guī)定的責任、第三方實施的審核等權利。

·相關法律問題和如何確保滿足法律要求，包括知識產(chǎn)權相關問題。

·涉及具有次承包商的第三方，要對這些次承包商需要實施安全控制措施。

6.4.1對資產(chǎn)負責

資產(chǎn)是信息資源的重要內(nèi)容。對資產(chǎn)負責，就是要實現(xiàn)和保持對組織資產(chǎn)的適當保護。

1.資產(chǎn)清單

(1)控制措施。應清晰地識別所有資產(chǎn)，編制并維護所有重要資產(chǎn)的清單。6.4資產(chǎn)管理

(2)實施指南。

組織應識別所有資產(chǎn)并將資產(chǎn)的重要性形成文件。資產(chǎn)清單應包括所有為從災難中恢復而必要的信息，包括資產(chǎn)類型、格式、位置、備份信息、許可證、業(yè)務價值等，并且應該為每一項資產(chǎn)商定責任人、信息分類和保護級別等。

資產(chǎn)清單可幫助確保有效的資產(chǎn)保護，其他業(yè)務目的也可能需要資產(chǎn)清單，例如健康與安全、保險或財務等原因。

編制一份資產(chǎn)清單是風險管理的一個重要的先決條件。

2.資產(chǎn)負責人

(1)控制措施。與信息處理設施有關的所有信息和資產(chǎn)應由組織的指定部門或人員承擔責任。

(2)實施指南。

資產(chǎn)責任人應確保與信息處理設施相關的信息和資產(chǎn)已進行了適當?shù)姆诸?，并定期地評審訪問限制和類別，同時要考慮到可應用的訪問控制策略。

日常任務可以委派給其他人，例如委派給一個管理人員每天照看資產(chǎn)，但責任人仍保留職責。

3.資產(chǎn)的可接受使用

(1)控制措施。與信息處理設施有關的信息和資產(chǎn)可接受使用規(guī)則應被確定、形成文件并加以實施。

(2)實施指南。

具體規(guī)則由管理者提供。使用或擁有訪問組織資產(chǎn)權限的雇員、承包方和第三方人員應意識到他們使用信息處理設施相關的信息和資產(chǎn)以及資源時的限制條件，應遵循信息處理設施可接受的相關使用規(guī)則，并對他們職責下的使用負責。6.4.2信息資源分類

為了更好地保護資產(chǎn)等信息資源，需要對這些信息資源進行分類，從而能有針對性地對信息資源進行適當程度地保護。

1.分類指南

(1)控制措施。應按照信息資源對組織的價值、法律要求、敏感性和關鍵性進行信息資源分類。

(2)實施指南。

信息資源的分類及相關保護控制措施應考慮到共享或限制信息資源的業(yè)務需求，以及與這種需求相關的業(yè)務影響。分類指南應包括根據(jù)預先確定的訪問控制策略進行初始分類，以及一段時間后進行重新分類的慣例。

一般來說，給信息資源分類是確定該信息資源如何予以處理和保護的簡便方法。

應考慮分類類別的數(shù)目和使用中獲得的好處。過度復雜的分類可能使用起來不方便、不經(jīng)濟或不實際。在解釋從其他組織獲取的文件分類標記時更要小心，因為其他組織可能對于相同或類似命名的標記有不同的定義。

2.信息資源的標記和處理

(1)控制措施。

應按照組織所采用的分類機制來建立和實施一組合適的信息資源標記和處理規(guī)程。

(2)實施指南。

信息資源標記的規(guī)程需要涵蓋物理和電子格式的信息資產(chǎn)。

如果是包含分類為敏感或關鍵信息資源的系統(tǒng)輸出，應在該輸出中攜帶合適的分類標記，對每種分類級別，應定義包括安全處理、儲存、傳輸、刪除、銷毀的處理規(guī)程，還應包括一系列對安全相關事件的監(jiān)督和記錄規(guī)程。

涉及信息資源共享的與其他組織的協(xié)議應包括識別信息分類和解釋其他組織分類標記的規(guī)程。

6.5.1任用之前

在人員任用之前，要確保雇員、承包方人員和第三方人員承擔的角色是適合的，并理解其職責，以降低信息資源被竊、欺詐和誤用的風險。

1.角色和職責

(1)控制措施。應按照組織的信息安全方針對雇員、承包方人員和第三方人員的安全角色和職責進行定義，并形成文件。6.5人員安全

(2)實施指南。

要對安全角色和職責進行定義，并在任用前清晰地傳達給崗位候選者。

安全角色和職責要滿足以下要求：

·按照組織的信息安全方針實施和運行。

·保護資產(chǎn)免受未授權訪問、泄露、修改、銷毀和干擾。

·執(zhí)行特定的安全過程或活動。

·確保職責分配給可采取措施的個人。

·向組織報告安全事件或潛在事件或其他安全風險。

2.審查

(1)控制措施。關于所有任用的雇員、承包方人員和第三方人員的背景驗證核查，應按照相關法律法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行。

(2)實施指南。

驗證核查要考慮所有相關的隱私、個人數(shù)據(jù)庫、相關的法律，并在允許時考慮：

·個人資料的可用性。

·申請人履歷的核查。

·聲稱的學術、專業(yè)資質(zhì)的證實。

·個人身份的核查。

·其他細節(jié)核查，如信用卡核查、犯罪記錄核查。

3.任用條款和條件

(1)控制措施。作為合同義務的一部分，雇員、承包方人員和第三方人員應同意并簽署他們的任用合同條款和條件，這些條款和條件應聲明他們和組織的信息安全職責。

(2)實施指南。

任用條款和條件在反映組織安全方針的情況下，還要符合以下內(nèi)容：

·所有訪問敏感信息的雇員、承包方和第三方人員應在給予權限之前簽署保密協(xié)議。

·雇員、承包方和其他人員的法律責任和權利，例如版權法、數(shù)據(jù)保護法等。

·與雇員、承包方和第三方人員操作的信息系統(tǒng)和服務有關的信息分類和組織管理資產(chǎn)的職責。

·雇員、承包方和第三方人員操作來自其他公司或外部方的信息的職責。

·組織處理人員信息的職責，包括由于組織任用或在組織任用過程中產(chǎn)生的信息。

·擴展到組織場所以外和正常工作時間之外的職責，例如在家中工作的情形。

·如果雇員、承包方和第三方人員漠視組織的安全要求所要采取的措施。6.5.2任用之中

在人員任用之中，要確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作中支持組織的安全方針，以減少人為出錯的風險。

1.管理職責

(1)控制措施。管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對確保組織安全盡心盡力。

(2)實施指南。

如果雇員、承包方人員和第三方人員沒有意識到他們的安全職責，或者感覺被組織方低估，他們會對組織造成相當大的破壞，而被激勵的人員則更可靠并能減少信息安全事件的發(fā)生。因此，管理職責上應確保雇員、承包方人員和第三方人員：

·在被授權訪問敏感信息或信息系統(tǒng)前了解其信息安全角色和職責。

·獲得聲明他們在組織中角色的安全期望的指南。

·被激勵以實現(xiàn)組織的安全策略。

·對于他們在組織內(nèi)的角色和職責的相關安全問題的意識程度達到一定級別。

·遵守任用的條款和條件，包括組織的信息安全方針和工作的合適方法。

·持續(xù)擁有適當?shù)募寄芎唾Y質(zhì)。

2.信息安全意識、教育和培訓

(1)控制措施。組織的所有雇員，適當時，包括承包方人員和第三方人員，應受到與其工作職能相關的安全意識培訓和組織方針策略及規(guī)程的定期更新培訓。

(2)實施指南。

安全意識培訓應從一個正式的說明開始，這個過程用來在允許訪問信息或服務前說明組織的安全方針策略和期望。

持續(xù)地培訓應包括安全要求、法律職責和業(yè)務控制，還有正確使用信息處理設施的培訓，例如登錄規(guī)程、軟件包的使用和紀律處理過程等。

3.紀律處理過程

(1)控制措施。對于安全違規(guī)的雇員，應給予紀律處分。

(2)實施指南。

紀律處分之前應有一個安全違規(guī)的驗證過程。

紀律處分應確保正確和公平地對待被懷疑安全違規(guī)的雇員。無論違規(guī)是第一次還是已發(fā)生過，無論違規(guī)者是否經(jīng)過適當?shù)呐嘤?，紀律處分應規(guī)定一個分級的響應，要考慮例如違規(guī)的性質(zhì)、重要性及對業(yè)務的影響等因素。另外，相關法律、業(yè)務合同和其他因素也是需要考慮的。對嚴重的明知故犯的雇員，應立即免職、撤消訪問權和特殊權限，如果必要，直接遣送出現(xiàn)場。6.5.3任用的終止或變化

在人員任用終止或發(fā)生其他變化時，要確保所有的雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關系。

1.終止職責

(1)控制措施。應明確任用終止或任用變更的職責。

(2)實施指南。

終止職責的傳達應包括正在進行的安全要求和法律職責，必要時，還包括任何保密協(xié)議規(guī)定的職責，并且在雇員、承包方人員和第三方人員的雇傭結束后持續(xù)一段時間仍然有效的任用條款和條件。規(guī)定職責和義務在任用終止后仍然有效的內(nèi)容應包含在與雇員、承包方人員和第三方人員的合同中。

職責或任用的變更管理應與職責或任用的終止管理相似。

2.資產(chǎn)的歸還

(1)控制措施。所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，應向組織歸還他們使用的所有資產(chǎn)。

(2)實施指南。

終止過程應被正式化為包括所有先前發(fā)放的軟件、公司文件和設備的歸還。其他組織資產(chǎn)，例如移動計算設備、訪問卡、軟件、手冊和存儲于電子介質(zhì)中的信息也要歸還。

當雇員、承包方人員和第三方人員購買了組織的設備或使用他們自己的設備時，應遵循規(guī)程，確保所有相關的信息已轉移給組織，并且已從設備中安全地刪除。

3.撤消訪問權

(1)控制措施。所有雇員、承包方人員和第三方人員對信息和信息處理設施的訪問權應在任用、合同或協(xié)議終止時撤消，或在變化時調(diào)整。

(2)實施指南。

任用終止時，個人對與信息系統(tǒng)和服務有關的資產(chǎn)訪問權應被重新考慮。這將決定刪除訪問權是否必要。任用的變更應體現(xiàn)在不適用于新崗位的訪問權的撤消上。應撤消或改變的訪問權包括物理和邏輯訪問、密鑰、ID卡、信息處理設施、簽名，并要從標識其作為組織的現(xiàn)有成員的文件中刪除。如果一個已離開的雇員、承包方人員或第三方人員知道仍保持活動狀態(tài)的賬戶密碼，則應在任用、合同或協(xié)議終止或變更后改變口令。

6.6.1安全區(qū)域

設置安全區(qū)域是為了防止對組織場所和信息資源的未授權物理訪問、損壞和干擾。

1.物理安全周邊

(1)控制措施。應采用安全周邊(如墻、卡控制的入口或有人管理的接待臺等屏障)來保護包含信息和信息處理設施的區(qū)域。6.6物理和環(huán)境安全

(2)實施指南。

物理保護可以通過在組織邊界和信息處理設施周圍設置一個或多個物理屏障來實現(xiàn)，以防止未授權進行和環(huán)境污染。多重屏障的使用將提供附加保護，一個屏障的失效不意味著即刻危及安全。

一個安全區(qū)域可以是一個可上鎖的辦公室，或是被連續(xù)的內(nèi)部物理安全屏障包圍的幾個房間。在安全邊界內(nèi)具有不同安全要求的區(qū)域之間需要控制物理訪問的附加屏障和周邊。

具有多個組織的建筑物應考慮專門的物理訪問安全。

2.物理入口控制

(1)控制措施。安全區(qū)域應由合適的入口控制所保護，以確保只有授權人員才允許訪問。

(2)實施指南。

應考慮以下指南：

·記錄訪問者進入和離開的日期和時間，對所有的訪問者進行監(jiān)督，除非他們的訪問事前已經(jīng)過批準；只允許他們訪問特定的、已授權的目標，并向他們宣布有關安全要求。

·訪問處理敏感信息或儲存敏感信息的區(qū)域要受到控制，并且僅限于已授權人員；鑒別控制應用于授權和確認所有訪問；所有訪問的審核蹤跡要安全地加以保護。

·所有雇員、承包方人員和第三方人員以及所有訪問者要佩帶某種形式的可視標識，如果遇到無人護送的訪問者和未佩帶可視標識的任何人要立即通知保安人員。

·

第三方支持服務人員只在有需要的時候，才能有限制地訪問安全區(qū)域或敏感信息處理設施，這種訪問要被授權并受到監(jiān)視。

·對安全區(qū)域的訪問權要定期評審和更新，并在必要時廢除。

3.辦公室、房間和設施的安全保護

(1)控制措施。應為辦公室、房間和設施設計物理安全措施。

(2)實施指南。

為了保護辦公室、房間和設施。應考慮以下指南：

·相關的健康與安全法規(guī)和標準要考慮在內(nèi)。

·關鍵設施要坐落在避免公眾進行訪問的場地。

·如果可行，建筑物要不引人注目，并且在建筑物內(nèi)側或外側用不明顯的標記給出其用途的最少指示，以標識信息處理活動的存在。

·標識敏感信息處理設施位置的目錄和內(nèi)部電話簿不要輕易地被公眾得到。

4.外部和環(huán)境威脅的安全防護

(1)控制措施。為防止火災、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災難引起的破壞，應設計和采取物理保護措施。

(2)實施指南。

除了要考慮任何鄰近區(qū)域所帶來的安全威脅，例如鄰近建筑物的火災、屋頂漏水或地板滲水或街上爆炸等，還應考慮以下要求：

·危險或易燃材料要在離安全區(qū)域安全距離以外的地方存放，大批供應品(如文具)不要存放于安全區(qū)域內(nèi)。

·基本維持運行的設備和備份介質(zhì)的存放地點要與主要場所有一段安全的距離，以避免對主要場所產(chǎn)生破壞。

·要提供適當?shù)南涝O備，并放在合適的地點。

5.在安全區(qū)域工作

(1)控制措施。應設計并應用用于安全區(qū)域工作的物理保護和指南。

(2)實施指南。

為了安全區(qū)域工作的安全，應考慮以下要求：

·只在必要時，允許員工知道安全區(qū)域的存在或其中的活動。

·避免在安全區(qū)域內(nèi)進行不受監(jiān)督的活動，以減少惡意活動的機會。

·未使用的安全區(qū)域在物理上要上鎖，并定期核查。

·除非授權，否則不允許攜帶攝影、視頻、聲頻等記錄設備。

6.公共訪問、交接區(qū)安全

(1)控制措施。訪問點和未授權人員可進入辦公場所的其他點應加以控制，如果可能，應與信息處理設施隔離，以避免未授權訪問。

(2)實施指南。

為了公共訪問、交接區(qū)的安全，應考慮以下要求：

·由建筑物外進入交接區(qū)的訪問要局限于已標識的和已授權的人員。

·交接區(qū)要設計成在無需交貨人員獲得對本建筑物其他部分訪問權的情況下就能卸下物資。

·當內(nèi)部門打開時，交接區(qū)的外部門處于安全保護中。

·物資從交接區(qū)運到使用地點之前，要檢查是否存在潛在威脅。

·物資要按照資產(chǎn)管理規(guī)程在場所的入口處進行登記。6.6.2設備安全

對各種設備和相關支持性設施進行適當?shù)谋Ｗo，防止因丟失、損壞、失竊等原因而危及信息資源的安全，以及組織活動的中斷。

1.設備安置和保護

(1)控制措施。應安置和保護設備，以減少由環(huán)境威脅和危險造成的風險以及未授權訪問的機會。

(2)實施指南。

為了保護設備，應考慮以下要求：

·要把處理敏感數(shù)據(jù)的信息處理設施放在適當?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風險，還要保護存儲設施以防止未授權的訪問。

·對要求專門保護的部件予以隔離，以降低所要求的總體保護等級。

·采取控制措施以最小化潛在的物理威脅的風險，例如偷竊、火災、振動、電源干擾等。

·對于可能對信息處理設施運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件(例如濕度)予以監(jiān)視。

·所有建筑物要采用避雷保護，所有進入的電源和通信線路要裝雷電保護過濾器。

·對于某些環(huán)境中的設備，要考慮專門的保護方法，例如鍵盤保護膜。

2.支持性設施

(1)控制措施。應保護設備，防止由于支持性設施的失效而引起設備的電源故障或其他中斷。

(2)實施指南。

應有足夠的支持性設施(例如供電、供水、排污、加熱、通風等)來支持系統(tǒng)，并定期檢查并適當?shù)販y試以確保它們正常工作和減少因它們的故障或失效帶來的風險。

對于支持關鍵業(yè)務操作的設備，推薦使用支持有序關機或連續(xù)運行的不間斷電源(UPS)、備用發(fā)電機，甚至變電站等。應急電源開關應位于設備房間應急出口附近，以便緊急情況時快速切斷電源。

應有穩(wěn)定和足夠的供水以支持空調(diào)、加濕設備和滅火系統(tǒng)。

連接到設施提供商的通信設備應至少有兩條不同線路以防止在一條線路發(fā)生故障時語音服務失效，應有足夠的語音服務以滿足國家法律對于應急通信的要求。

必要時，評價和安裝報警系統(tǒng)來檢測支持設施的故障。

3.布纜安全

(1)控制措施。應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或

損壞。

(2)實施指南。

對于布纜安全，應考慮以下要求：

·進入信息處理設施的電源和通信線路應在地下，必要時提供足夠的可替換的保護。

·網(wǎng)絡布纜要免受未授權竊聽或損壞，例如利用電纜管道或使路由避開公共區(qū)域。

·為防止干擾，電源電纜要與通信電纜分開。

·要使用清晰的可識別的電纜和設備記號，以使處理差錯最小化。

·使用文件化配線列表減少出錯的可能性。

4.設備維護

(1)控制措施。設備應予以正確地維護，以確保其持續(xù)的可用性和完整性。

(2)實施指南。

對于設備維護，應考慮以下要求：

·要按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。

·只有已授權的維護人員才可對設備進行修理和服務。

·要保存所有可疑的或?qū)嶋H的故障以及所有預防和糾正維護的記錄。

·當對設備安排維護時，要實施適當?shù)目刂?，并考慮到維護是由場所內(nèi)部人員執(zhí)行還是由組織外部人員執(zhí)行，必要時敏感信息要從設備中刪除或維護人員要足夠可靠。

·要遵守由保險策略所施加的所有要求。

5.組織場所外的設備安全

(1)控制措施。應對組織場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險。

(2)實施指南。

無論責任人是誰，在組織場所外使用任何信息處理設備都應通過管理者授權。

對于離開場所的設備保護，應考慮以下要求：

·離開建筑物的設備和介質(zhì)在公共場所應有人看管。

·要始終遵守制造商的設備保護說明，例如防止暴露于強電磁場內(nèi)。

·家庭工作的控制措施要根據(jù)風險評估確定，并加以必要的控制措施，如上鎖。

·要有足夠的安全保障掩蔽物，以保護離開辦公場所的設備。

6.設備的安全處置或再利用

(1)控制措施。應對包含存儲介質(zhì)的設備的所有項目進行核查，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。

(2)實施指南。

包含敏感信息的設備在物理上應予以摧毀，或者采用使原始信息不可獲取的技術破壞、刪除或?qū)懜采w，而不能采用標準的刪除或格式化功能。

包含敏感信息的已損壞設備可能需要實施風險評估，以確定這些設備是否要進行銷毀，而不是送去修理或丟棄，因為信息可能通過對設備的草率處置或重用而被泄露。

7.資產(chǎn)的移動

(1)控制措施。設備、信息或軟件在授權之前不應帶出組織場所。

(2)實施指南。

應按照相關法律和規(guī)章執(zhí)行檢測未授權資產(chǎn)移動的抽查，以檢測未授權的記錄裝置、武器等等，防止他們進入辦公場所，同時要考慮以下要求：

·在未經(jīng)事先授權的情況下，不要讓設備、信息或軟件離開辦公場所。

·要明確識別有權允許資產(chǎn)移動和離開辦公場所的雇員、承包方人員和第三方人員。

·要設置設備移動的時間限制，并在返還時執(zhí)行符合性核查。

·必要時要對設備作移出記錄，返回時要作送回記錄。

6.7.1操作規(guī)程和職責

要按照一定的規(guī)程進行通信等相關操作，并明確相關職責，以確保正確、安全地操作信息處理設施。

1.文件化的操作規(guī)程

(1)控制措施。操作規(guī)程應形成文件，并保持對所有需要的用戶可用。6.7通信與操作安全

(2)實施指南。

與信息處理和通信設施相關的系統(tǒng)活動應形成文件的規(guī)程，如計算機啟動和關機規(guī)程、備份、介質(zhì)處理、機房、郵件處理等。

操作規(guī)程應詳細規(guī)定執(zhí)行每項工作的說明。

應將操作規(guī)程和系統(tǒng)活動的文件看做正式的文件，其變更由管理者授權。技術上可行時，信息系統(tǒng)應使用相同的規(guī)程、工具和實用程序進行一致的管理。

2.變更管理

(1)控制措施。對信息處理設施和系統(tǒng)的變更應加以控制。

(2)實施指南。

運行系統(tǒng)和應用軟件應有嚴格的變更管理控制。

管理者職責和規(guī)程應到位，以確保對設備、軟件或規(guī)程的所有變更有令人滿意的控制，當發(fā)生變更時，包含所有相關信息的審核日志應被保留。

對信息處理設施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失效的常見原因，例如對運行環(huán)境的變更，特別是當系統(tǒng)從開發(fā)階段向運行階段轉移時，可能影響應用的可靠性。

對運行系統(tǒng)的變更應只在一個有效的業(yè)務需求時進行，例如系統(tǒng)風險的增加。使用操作系統(tǒng)或應用程序的最新版本更新并不總是業(yè)務需求，因為這樣做可能會引入比現(xiàn)有版本更多的脆弱性和不穩(wěn)定性，尤其是在移植期間，還需要額外培訓、許可證費用、支持、維護和管理開支以及新的硬件等。

3.責任分割

(1)控制措施。各類責任及職責范圍應加以分割，以降低未授權或無意識地修改或者不當使用組織資產(chǎn)的機會。

(2)實施指南。

責任分割是一種減少意外或故意系統(tǒng)誤用的風險方法。應當注意，在無授權或未被檢測時，應使用個人不能訪問、修改或使用的資產(chǎn)。事件的啟動應與其授權分離。在設計控制措施時就應考慮到勾結的可能性。

小型組織可能感到難以實現(xiàn)這種責任分割，但只要具有可能性和可行性，應盡量使用該原則。如果難以分割，應考慮其他控制措施，例如對活動、審核蹤跡和管理監(jiān)督的監(jiān)視等。

4.開發(fā)、測試和運行設施分離

(1)控制措施。開發(fā)、測試和運行設施應分離，以減少未授權訪問或改變運行系統(tǒng)的風險。

(2)實施指南。

如果開發(fā)和測試人員訪問運行系統(tǒng)及信息，可能會造成對運行信息的威脅，可能會引入未授權和未測試的代碼或改變運行數(shù)據(jù)。因此，為防止運行問題，應識別運行、測試和開發(fā)環(huán)境之間的分離級別，實施適當?shù)目刂拼胧⒖紤]以下要求：

·規(guī)定從開發(fā)狀態(tài)到運行狀態(tài)的軟件傳遞規(guī)則并形成文件。

·開發(fā)和運行軟件要在不同的系統(tǒng)或計算機處理器上以及在不同的域或目錄內(nèi)運行。

·無必要時，編譯器、編輯器和其他開發(fā)工具或系統(tǒng)實用工具不要從運行系統(tǒng)上訪問。

·測試系統(tǒng)環(huán)境要盡可能地仿效運行系統(tǒng)環(huán)境。

·用戶要在運行和測試系統(tǒng)中使用不同的用戶輪廓，菜單要顯示合適的標識消息以減少出錯的風險。

·敏感數(shù)據(jù)不要拷貝到測試系統(tǒng)環(huán)境中。6.7.2第三方服務交付管理

如果存在第三方服務，那么就要實施和保持符合第三方服務交付協(xié)議的信息安全和服務交付的適當水準。

1.服務交付

(1)控制措施。應確保第三方實施、運行和保持包含在第三方服務交付協(xié)議中的安全控制措施、服務定義和交付水準。

(2)實施指南。

第三方服務交付應包括商定的安全安排、服務定義和服務管理的各方面。在外包安排的情況下，組織應策劃必要的過渡，并應確保安全在整個過渡期間得以保持。

組織應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務水平在主要服務故障或災難后繼續(xù)得以保持。

2.第三方服務的監(jiān)視和評審

(1)控制措施。應定期監(jiān)視和評審由第三方提供的服務、報告和記錄。審核也定期

執(zhí)行。

(2)實施指南。

管理與第三方關系的職責應分配給指定人員或服務管理組。另外，組織應確保第三方分配了核查符合性和執(zhí)行協(xié)議要求的職責，并獲得足夠的技能和資源來監(jiān)視滿足協(xié)議的要求，特別是信息安全的要求，當在服務交付中發(fā)現(xiàn)不足時，應采取適當?shù)拇胧?。第三方服務的監(jiān)視和評審應確保堅持協(xié)議的信息安全條款和條件，并且信息安全事件和問題得到適當?shù)墓芾?，這將涉及組織和第三方之間的服務管理關系和過程，包括：

·監(jiān)視服務執(zhí)行級別以核查對協(xié)議的符合程度。

·評審由第三方產(chǎn)生的服務報告，安排協(xié)議要求的定期進展會議。

·當協(xié)議和支持性指南及規(guī)程需要時，提供關于信息安全事件的信息，并共同評審。

·評審第三方的審核蹤跡以及關于交付服務的安全事件、運行問題、失效、故障追蹤和中斷的記錄。

·解決和管理所有已確定的問題。

3.第三方服務的變更管理

(1)控制措施。應管理服務提供的變更，包括保持和改進現(xiàn)在的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估。

(2)實施指南。

對第三方服務變更的管理過程要考慮到：

·組織要實施的變更包括對提供的現(xiàn)有服務的加強、任何新應用和系統(tǒng)的開發(fā)、組織策略和規(guī)程的更改或更新、解決信息安全事件和改進安全的新的控制措施。

·第三方服務實施的變速包括對網(wǎng)絡的變更和加強、新技術的使用、新技術或新版本的采用、新開發(fā)工具和環(huán)境、服務設施物理位置的變更、供應商的改變等。6.7.3系統(tǒng)規(guī)劃和驗收

對系統(tǒng)進行規(guī)劃和驗收，將系統(tǒng)失效的風險降至最小。

1.容量管理

(1)控制措施。資源的使用應加以監(jiān)視、調(diào)整，并做出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。

(2)實施指南。

對于每一個新的和正在進行的活動來說，應明確容量要求。應使用系統(tǒng)調(diào)整和監(jiān)視以確保和改進系統(tǒng)的可用性和效率。對未來容量要求的推測應考慮新業(yè)務、系統(tǒng)要求以及組織信息處理能力的當面和預計的趨勢。管理人員應監(jiān)視系統(tǒng)關鍵信息資源的使用情況，并利用該信息來識別和避免可能威脅到系統(tǒng)安全或服務的潛在瓶頸及對關鍵職工的依賴，并策劃適當?shù)拇胧?/p>

2.系統(tǒng)驗收

(1)控制措施。應建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對系統(tǒng)進行適當?shù)臏y試。

(2)實施指南。

管理人員應確保驗收新系統(tǒng)的要求和準則被明確地定義、商定、形成文件并經(jīng)過測試，新信息系統(tǒng)升級和新版本只有在獲得正式驗收后，才能進行生產(chǎn)環(huán)節(jié)。對于主要的新的開發(fā)，在開發(fā)過程的各階段應征詢運行職能部門和用戶的意見，以確保所建議的系統(tǒng)設計的運行效率，并進行適當?shù)臏y試，以證實完全滿足全部驗收標準。6.7.4防范惡意和移動代碼

對惡意代碼和移動代碼進行控制，保護軟件和信息的完整性。

1.控制惡意代碼

(1)控制措施。應實施惡意代碼的檢測、預防和恢復的控制措施，以及適當?shù)靥岣哂脩舭踩庾R的規(guī)程。

(2)實施指南。

防范惡意代碼是基于惡意代碼檢測和修復軟件、安全意識、適當?shù)南到y(tǒng)訪問和變更管理控制措施，應考慮以下措施：

·建立禁止使用未授權軟件的正式策略。

·建立防范風險的正式策略，該風險與來自外部網(wǎng)絡或其他介質(zhì)上的文件或軟件相關。

·對支持關鍵業(yè)務過程的系統(tǒng)中的軟件和數(shù)據(jù)內(nèi)容進行定期評審。

·安裝和定期更新惡意代碼檢測和修復軟件來掃描系統(tǒng)，以作為預防控制。

·定義關于系統(tǒng)惡意代碼防護、它們使用的培訓、惡意代碼攻擊報告和從中恢復的管理規(guī)則和職責。

·制定適當?shù)膹膼阂獯a攻擊中恢復的業(yè)務持續(xù)性計劃，包括數(shù)據(jù)備份和恢復安排。

·實施檢驗與惡意代碼相關信息的規(guī)程，并確保報警公告是準確情報，管理人員應使用合格的來源(如聲譽好的期刊、可靠的Internet網(wǎng)站)以區(qū)分虛假的和真實的惡意代碼。

2.控制移動代碼

(1)控制措施。當授權使用移動代碼時，其配置應確保授權的移動代碼按照清晰定義的安全策略運行，應阻止執(zhí)行未授權的移動代碼。

(2)實施指南。

移動代碼是一種軟件代碼，它能從一臺計算機傳遞到另一臺計算機，隨后自動執(zhí)行并在很少或沒有用戶干預的情況下完成特定功能。移動代碼與大量的中間件服務有關。

除確保移動代碼不包含惡意代碼外，控制移動代碼也是必要的，以避免系統(tǒng)、網(wǎng)絡或應用資源的未授權使用或破壞，以及其他信息安全違規(guī)。為防止移動代碼執(zhí)行未授權的活動，應考慮以下措施：

·在邏輯上隔離的環(huán)境中執(zhí)行移動代碼。

·阻斷移動代碼的所有使用。

·阻斷移動代碼的接收。

·使技術措施在一個特定系統(tǒng)中可用，以確保移動代碼受控。

·控制移動代碼訪問的可用資源。

·使用密碼控制，以唯一地鑒別移動代碼。6.7.5備份

對信息進行適當?shù)貍浞荩Ｗo信息和信息處理設施的完整性及可用性。

(1)控制措施。應按照已設定的備份策略，定期備份和測試信息和軟件。

(2)實施指南。

應提供足夠的備份設施，以確保所有必要的信息和軟件能在災難或介質(zhì)故障后進行恢復。各個系統(tǒng)的備份安排應定期測試以確保它們滿足業(yè)務持續(xù)性計劃的要求，對于關鍵的系統(tǒng)，備份安排應包括在發(fā)生災難時恢復整個系統(tǒng)所必要的所有系統(tǒng)信息、應用和數(shù)據(jù)。對于信息備份，應考慮以下要求：

·要定義備份的必要級別和確定備份的強度。

·要建立備份拷貝的準確完整記錄和文件化的恢復規(guī)程。

·備份要存儲在距離源信息足夠遠的地方，必要時要加密保存。

·若可行，要定期測試備份介質(zhì)和恢復規(guī)程，以確保它們有效。6.7.6網(wǎng)絡安全管理

對網(wǎng)絡和網(wǎng)絡服務進行管理和控制，確保網(wǎng)絡中信息的安全性并保護支持性的基礎

設施。

1.網(wǎng)絡控制

(1)控制措施。應充分管理和控制網(wǎng)絡，以防止威脅的發(fā)生，維護使用網(wǎng)絡的系統(tǒng)和應用程序的安全，包括傳輸中的信息。

(2)實施指南。網(wǎng)絡管理員應實施控制防止未授權訪問所連接的服務，并考慮以下要求：

·若合適，網(wǎng)絡的操作職責要與計算機操作分開。

·要建立遠程設備管理的職責和規(guī)程。

·要建立專門的規(guī)程，以防護在公用網(wǎng)絡上或無線網(wǎng)絡上傳遞數(shù)據(jù)的保密性和完整性。

·為記錄安全相關的活動，要使用適當?shù)娜罩居涗浐捅O(jiān)視措施。

2.網(wǎng)絡服務安全

(1)控制措施。安全特性、服務級別以及所有網(wǎng)絡服務的管理要求應予以確定并包括在所有的網(wǎng)絡服務協(xié)議中，無論這些服務是由內(nèi)部提供還是外包的。

(2)實施指南。

網(wǎng)絡服務提供商以安全方式管理商定服務的能力應予以確定并定期監(jiān)視，還應商定審核的權利，還應識別特殊服務的安全安排，例如安全特性(包括安全技術、技術參數(shù)等)、服務級別和管理要求。組織應確保網(wǎng)絡服務提供商實施了這些措施。6.7.7介質(zhì)處置

對信息存儲的介質(zhì)進行管理和控制，防止信息資源遭受未授權泄露、修改、移動或銷毀，以及業(yè)務活動的中斷。

1.可移動介質(zhì)的管理

(1)控制措施。應有適當?shù)目梢苿咏橘|(zhì)的管理規(guī)程。

(2)實施指南。

對于可移動介質(zhì)的管理，應考慮以下要求：

·對于從組織取走的任何可重復使用的介質(zhì)中的內(nèi)容，如果不再需要，要使其不可重現(xiàn)。

·如果必要且可行，對于從組織取走的所有介質(zhì)要求授權，記錄并保持審核跟蹤。

·要將所有的介質(zhì)存儲在符合制造商說明的安全、保密的環(huán)境中。

·

如果存儲在介質(zhì)中的信息使用時間比介質(zhì)生命期長，則還要將信息存儲在別的地方。

·只有在有業(yè)務要求時，才使用可移動介質(zhì)。

2.介質(zhì)的處置

(1)控制措施。不再需要的介質(zhì)，應使用正式的規(guī)程可靠并安全地處置。

(2)實施指南。

應建立安全處置介質(zhì)的正式規(guī)程，以使敏感信息泄露給未授權人員的風險降至最小。安全處置包含敏感信息介質(zhì)的規(guī)程應與信息的敏感性相一致，并考慮以下要求：

·包含有敏感信息的介質(zhì)應秘密和安全地存儲和處置。

·應有規(guī)程識別可能需要安全處置的項目。

·安排把所有介質(zhì)部件收集起來并進行安全處置，比試圖分離出敏感部件可能更容易。

·處置敏感部件應作記錄，以保持審核蹤跡。

3.信息處理規(guī)程

(1)控制措施。應建立信息的處理及存儲規(guī)程，以防止信息的未授權泄露或不當使用。

(2)實施指南。

應制定規(guī)程來處置、處理、存儲或傳達與分類一致的信息，并考慮以下要求：

·按照所顯示的分類級別，處置和標記所有介質(zhì)。

·確定防止未授權人員訪問的限制。

·維護數(shù)據(jù)的授權接收者的正式記錄。

·確保輸入數(shù)據(jù)完整，正確完成了處理并應用了輸出確認。

·按照與其敏感性一致的級別，保護等待輸出的脫機數(shù)據(jù)。

·根據(jù)制造商的規(guī)范存儲介質(zhì)。

·清晰地標記介質(zhì)的所有拷貝，以引起已授權接收者的關注。

·以固定的時間間隔評審分發(fā)列表和已授權接收者列表。

4.系統(tǒng)文件安全

(1)控制措施。應保護系統(tǒng)文件以防止未授權的訪問。

(2)實施指南。

對于系統(tǒng)文件安全，應考慮以下要求：

·安全地存儲系統(tǒng)文件。

·將系統(tǒng)文件的訪問人員列表保持在最小范圍，并且由系統(tǒng)責任人授權。

·要妥善地保護保存在公用網(wǎng)絡上的或經(jīng)由公用網(wǎng)絡提供的系統(tǒng)文件。6.7.8信息的交換

對信息的交換進行控制，保持組織內(nèi)，以及與組織外的信息和軟件交換的安全。

1.信息交換策略和規(guī)程

(1)控制措施。應有正式的交換策略、規(guī)程和控制措施，以保護通過使用各種通信設施的信息交換。

(2)實施指南。

使用電子通信設施進行信息交換的規(guī)程和控制應考慮以下要求：

·設計用來防止交換信息遭受截取、復制、修改、錯誤尋址和破壞的規(guī)程。

·檢測和防止可能通過使用電子通信傳輸?shù)膼阂獯a的規(guī)程。

·保護以附件形式傳輸?shù)拿舾须娮有畔⒌囊?guī)程。

·無線通信使用的規(guī)程，要考慮所涉及的特定風險。

·使用密碼技術保護信息的保密性、完整性和真實性。

·所有業(yè)務通信的保持和處理指南，要與相關法律法規(guī)一致。

·與通信設施轉發(fā)相關的控制措施和限制，例如郵件的自動轉發(fā)到外部地址。

·提醒工作人員相關的預防措施，例如保密會談或電話可能被人竊聽、應答機上可能有敏感信息、傳真機和復印機上可能有頁面緩沖等。

2.交換協(xié)議

(1)控制措施。應建立組織與外部各方交換信息和軟件的協(xié)議。

(2)實施指南。

交換協(xié)議應考慮以下要求：

·控制和通知傳輸、分派和接收的管理職責。

·通知傳輸、分派和接收的發(fā)送者的規(guī)程。

·確?？勺匪菪院筒豢傻仲囆缘囊?guī)程。

·打包和傳輸?shù)淖畹图夹g標準。

·有條件轉讓協(xié)議。

·如果發(fā)生信息安全事件(例如數(shù)據(jù)丟失)的職責和義務。

·商定標記敏感或關鍵信息的系統(tǒng)的使用，確保標記的含義能直接被理解。

·為保護敏感項，可能要求任何專門的控制措施，如密鑰。

3.運輸中的物理介質(zhì)

(1)控制措施。包含信息的介質(zhì)在組織的物理邊界外運送時，應防止未授權的訪問、不當使用或損壞。

(2)實施指南。

為保護不同地點間傳輸?shù)男畔⒔橘|(zhì)，應考慮以下要求：

·要使用可靠的運輸或送信人。

·授權的送信人列表要經(jīng)管理者批準。

·制定核查送信人識別的規(guī)程。

·包裝要足以保護信息免遭在運輸期間可能的物理損壞，并符合制造商的規(guī)范。

·必要時采取專門的控制(例如上鎖、手工交付、防篡改包裝等)，以保護敏感信息。

4.電子消息發(fā)送

(1)控制措施。包含在電子消息發(fā)送中的信息應予以保護。

(2)實施指南。

電子消息發(fā)送的安全考慮應包括以下方面：

·防止消息遭受未授權訪問、修改或拒絕服務攻擊。

·確保正確的尋址和消息傳輸。

·在使用外部公共服務(例如即時消息或文件共享)前獲得批準。

·更強的用以控制從公開可訪問網(wǎng)絡進行訪問的鑒別級別。

5.業(yè)務信息系統(tǒng)

(1)控制措施。應建立并實施策略和規(guī)程，以保護與業(yè)務信息系統(tǒng)互聯(lián)相關的信息。

(2)實施指南。

對于互聯(lián)的安全和業(yè)務應考慮：

·信息在組織的不同部門間共享時，要管理在會計系統(tǒng)中已知的脆弱性。

·業(yè)務通信系統(tǒng)中的信息脆弱性，例如會議呼叫記錄、呼叫的保密性、傳真的保存等。

·管理信息共享的策略和適當?shù)目刂拼胧?/p>

·限制訪問與特定人員(例如參與敏感項目的工作人員)相關的日志信息。

·允許使用系統(tǒng)的人員的類別，以及可以訪問該系統(tǒng)的位置。

·對特定類別的用戶限制于所選定的設施。

·系統(tǒng)上存放的信息的保留和備份。6.7.9電子商務服務

對電子商務進行管理和控制，確保電子商務服務的安全及其安全使用。

1.電子商務

(1)控制措施。包含在使用公共網(wǎng)絡的電子商務中的信息應受保護，以防止欺詐活動、合同爭議以及未授權的泄露和修改。

(2)實施指南。

電子商務的安全應考慮：

·在彼此聲稱的身份中，每一方要求的信任級別，例如通過鑒別。

·與誰設定價格、發(fā)布或簽署關鍵交易文件相關的授權過程。

·確保貿(mào)易伙伴完全接到他們的職責的授權通知。

·決定并滿足保密性、完整性和關鍵文件的分發(fā)和接收證明，以及不可抵賴性要求。

·任何訂單交易、支付信息、交付地址細節(jié)、接收確認等信息的保密性和完整性。

·適于核查用戶提供的支付信息的驗證程度。

·為防止欺詐，選擇最適合的支付解決形式。

·訂單信息的保護級別。

·保險要求。

2.在線交易

(1)控制措施。在線交易中的信息應受保護，以防止不完全傳輸、錯誤路由、未授權的消息篡改、未授權的泄露、未授權的消息復制或重放。

(2)實施指南。

在線交易的安全應考慮：

·交易中涉及的每一方的電子簽名的使用。

·確保各方用戶信任是有效的并經(jīng)過驗證的，交易及其中涉及的隱私是保密的。

·各方之間的通信協(xié)議是安全的。

·確保交易細節(jié)存儲于任何公開可訪問環(huán)境之外，如內(nèi)部網(wǎng)絡的存儲平臺。

·當使用一個可信權威時，安全可集成嵌入到整個端到端認證/簽名管理過程中。

3.公共可用信息

(1)控制措施。在公共可用系統(tǒng)中可用信息的完整性應受保護，以防止未授權的修改。

(2)實施指南。

應通過適當?shù)臋C制(例如數(shù)字簽名)保護需要高完整性級別、可在公共可用系統(tǒng)中得到的軟件、數(shù)據(jù)和其他信息。在信息可用之前，應測試公共可用系統(tǒng)，以防止弱點和故障。

在信息公開可用之前，應有正式的批準過程。另外，所有從外部對系統(tǒng)提供的輸入應經(jīng)過驗證和批準。應小心地控制電子發(fā)布系統(tǒng)，特別是允許反饋和直接錄入信息的那些電子發(fā)布系統(tǒng)。

在公共可用系統(tǒng)上的信息需要符合該系統(tǒng)所在的或貿(mào)易發(fā)生的責任人居住的管轄區(qū)域內(nèi)的法律法規(guī)。發(fā)布信息的未授權修改可能損害發(fā)布組織的聲望。6.7.10監(jiān)視

對系統(tǒng)進行適時的監(jiān)視，檢測未經(jīng)授權的信息處理活動。

1.審計記錄

(1)控制措施。應產(chǎn)生記錄用戶活動、異常情況和信息安全事件的日志，并要保持一個已設的周期以支持將來的調(diào)查和訪問控制監(jiān)視。

(2)實施指南。

審計日志包含入侵和保密人員的數(shù)據(jù)，應采取適當?shù)碾[私保護措施?？赡軙r，系統(tǒng)管理員不應有刪除或停用他們自己活動日志的權利。審計日志，應包括：

·用戶ID。

·日期、時間和關鍵事件的細節(jié)，如登錄和退出。

·成功的和被拒絕的對數(shù)據(jù)以及其他資源嘗試訪問的記錄。

·系統(tǒng)配置的變更。

·特殊權限的使用。

·系統(tǒng)實用工具和應用程序的使用。

·訪問的文件和訪問類型。

·網(wǎng)絡地址和協(xié)議。

·訪問控制系統(tǒng)引發(fā)的警報。

·防護系統(tǒng)的激活和停用，例如防病毒系統(tǒng)和入侵檢測系統(tǒng)。

2.監(jiān)視系統(tǒng)的使用

(1)控制措施。應建立信息處理設施的監(jiān)視使用規(guī)程，并經(jīng)常評審監(jiān)視活動的結果。

(2)實施指南。

各個設施的監(jiān)視器級別應由風險評估決定，一個組織應符合所有相關的適用于監(jiān)視活動的法律要求，應考慮的范圍包括：

·授權訪問，包括細節(jié)，如用戶ID、日期、時間、訪問的文件、使用的工具等。

·所有特殊權限操作，例如特殊賬戶的使用、系統(tǒng)啟動和停止、I/O設備的裝配/拆卸等。

·未授權的訪問嘗試，例如失敗的或被拒絕的用戶行為、各種危險的警報和通知等。

·改變或企圖改變系統(tǒng)的安全設置和控制措施。

3.日志信息的保護

(1)控制措施。記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問。

(2)實施指南。

系統(tǒng)日志通常包含大量的信息，其中許多與安全監(jiān)視無關。為幫助識別出對安全監(jiān)視目的有重要意義的事件，應考慮將相應的信息類型自動拷貝到第二份日志和/或使用適合的系統(tǒng)實用工具或?qū)徲嫻ぞ邎?zhí)行文件查詢及規(guī)范化。

應實施控制措施以防止日志設施被未授權更改和出現(xiàn)操作問題，包括：

·更改已記錄的消息類型。

·日志文件被編輯或刪除。

·超越日志文件介質(zhì)的存儲容量，導致不能記錄或過去記錄被覆蓋。

4.管理員和操作員日志

(1)控制措施。系統(tǒng)管理員和系統(tǒng)操作員活動應記入日志。

(2)實施指南。

系統(tǒng)管理員和操作員日志應包括：

·事件(成功的或失敗的)發(fā)生的時間。

·關于事件(例如處理的文件)或故障(例如發(fā)生的差錯和采取的糾正措施)的信息。

·涉及的賬號和管理員或操作員。

·涉及的過程。

5.故障日志

(1)控制措施。故障應被記錄、分析，并采取適當?shù)拇胧┡懦收稀?/p>

(2)實施指南。

與信息處理或通信系統(tǒng)的問題有關的用戶或系統(tǒng)程序所報告的故障應加以記錄。對于處置所報告的故障應有明確的規(guī)則，包括：

·評審故障日志，以確保故障已得到令人滿意的解決。

·評審糾正措施，以確保沒有損害控制措施，以及所采取的措施給予了充分授權。

6.時鐘同步

(1)控制措施。一個組織或安全域內(nèi)的所有相關信息處理設施的時鐘應使用已設的精確時間源來進行同步。

(2)實施指南。

正確設置計算機時鐘對確保審計記錄的準確性是必要的，審計日志可用于調(diào)查或作為法律、紀律處理的證據(jù)。若計算機或通信設備有能力運行實時時鐘，則時鐘應置為商定的標準，例如世界標準時間(UTC，UniversalTimeCoordinated)或本地標準時間。當已知某些時鐘隨時間漂移，應有一個核查和校準所有重大變化的規(guī)程。日期/時間格式的正確解釋對確保時間戳反映實時的日期/時間是重要的，還應考慮局部特殊性(如夏令時間)。

6.8.1訪問控制策略

訪問控制策略用來控制對信息資源的訪問。

(1)控制措施。訪問控制策略應建立、形成文件，并基于業(yè)務和訪問的安全要求進行評審。6.8訪問控制

(2)實施指南。

應在訪問控制策略中清晰地規(guī)定每個用戶或每組用戶的訪問控制規(guī)則和權利。訪問控制包括邏輯的和物理的，它們應一起被考慮，應給用戶和服務提供商提供一份清晰的滿足業(yè)務要求的說明。

訪問控制策略應有正式的規(guī)程支持，并考慮以下要求：

·每個業(yè)務應用的安全要求。

·與業(yè)務應用相關的所有信息的標識和信息面臨的風險。

·信息傳播和授權的策略，例如了解原則和安全等級以及信息分類的需要。

·不同系統(tǒng)和網(wǎng)絡的訪問控制策略和信息分類策略之間的一致性。

·關于保護訪問數(shù)據(jù)或服務的相關法律和合同義務。

·訪問控制角色的分割，例如訪問請求、訪問授權、訪問管理。

·訪問請求的正式授權要求。

·在“未經(jīng)明確允許，則一律禁止”的前提下，而不是“未經(jīng)明確禁止，則一律允許”的弱規(guī)則的基礎上建立規(guī)則。

·訪問控制的定期評審要求。

·訪問權的取消。6.8.2用戶訪問管理

對用戶的訪問進行管理和控制，確保授權用戶訪問信息系統(tǒng)，并防止未授權訪問。

1.用戶注冊

(1)控制措施。應有正式的用戶注冊及注銷規(guī)程，來授權和撤消對所有信息系統(tǒng)及服務的訪問。

(2)實施指南。

應考慮基于業(yè)務要求建立用戶訪問角色，將大量的訪問權歸結到典型的用戶訪問角色集中。在這種角色級別上對訪問請求和評審進行管理要比在特定的權限級別上容易些。

用戶注冊和注銷的訪問控制規(guī)程應包括：

·使用唯一用戶ID，使得用戶與其行為鏈接起來，并對其行為負責。必要時，應經(jīng)過批準允許使用組ID，且形成文件。

·核查使用信息系統(tǒng)或服務的用戶是否具有該系統(tǒng)擁有者的授權，取得管理者對訪問權的單獨批準也是可以的。

·核查所授予的訪問級別是否與業(yè)務目的相適合，是否與組織的安全方針保持一致，如沒有違背責任分割原則。

·確保直到已經(jīng)完成授權規(guī)程，服務提供者才提供訪問。

·維護一份注冊使用該服務的所有人員的正式記錄。

·立即取消或封鎖工作角色或崗位發(fā)生變更，或離開組織的用戶的訪問權。

·定期核查并取消或封鎖多余的用戶ID和賬號。

·確保多余的用戶ID不會發(fā)給其他用戶。

2.特殊權限管理

(1)控制措施。應限制和控制特殊權限的分配及使用。

(2)實施指南。

需要防范未授權訪問的多用戶系統(tǒng)。應通過正式的授權過程使特殊權限的分割受到控制，如系統(tǒng)管理特殊權限的不恰當使用，可能是一種導致系統(tǒng)故障或違規(guī)的主要因素，因此要考慮以下要求：

·要標識出與每個系統(tǒng)產(chǎn)品(例如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、每個應用程序等)相關的訪問特殊權限，并需要將其分配的用戶。

·特殊權限要按照訪問控制策略在“按需使用”和“一事一議”的基礎上分配。

·應維護所分配的各個特殊權限的授權過程和記錄。

·要促進開發(fā)和使用系統(tǒng)例行程序，以避免把特殊權限授予用戶的需要。

·特殊權限要分配給一個不同于正常業(yè)務用途的用戶ID。

3.用戶口令管理

(1)控制措施。應通過正式的管理過程控制口令的分配。

(2)實施指南。

口令是按照用戶授權賦予對信息系統(tǒng)或服務的訪問權之前，驗證用戶身份的一種常見手段。用戶標識和鑒別的其他技術，例如生物特征識別、簽名驗證和硬件標記的使用，這些技術均可用?？诹罟芾淼倪^程中，要考慮以下要求：

·要求用戶簽署一份聲明，以保證口令的保密性和組口令僅在該組成員范圍內(nèi)使用。

·若需要用戶維護自己的口令，要在初始時提供給他們一個安全的臨時口令，并強制其立即改變。

·要以安全的方式將臨時口令給予用戶，用戶要確認收到口令。

·口令不要以未保護的形式存儲在計算機系統(tǒng)中。

·要在系統(tǒng)或軟件安裝后改變提供商的默認口令。

4.用戶訪問權的復查

(1)控制措施。管理者應定期使用正式過程對用戶的訪問權進行復查。

(2)實施指南。

定期復查用戶訪問權對于保持對數(shù)據(jù)和信息服務的有效控制而言是必要的，并考慮：

·要定期(例如6個月)和在任何變更(例如升職、辭職等)后對用戶訪問權進行復查。

·當在一個組織中從一個崗位換到另一個崗位時，要復查和重新分配用戶訪問權。

·對于特殊權限的訪問權要在更頻繁的時間間隔(例如3個月)內(nèi)進行復查。

·要定期核查特殊權限的分配，以確保不能獲得未授權的特殊權限。

·具有特殊權限的賬戶的變更要在周期性復查時記入日志。6.8.3用戶職責

明確要求用戶履行相關的職責，防止未授權用戶對信息和信息處理設施的訪問、損害或竊取。

1.口令使用

(1)控制措施。應要求用戶在選擇及使用口令時，遵循良好的安全習慣。

(2)實施指南。

建議所有用戶應做到以下要求：

·對口令保密。

·避免保留口令到記錄(例如在紙上、軟件文件中)，除非可以對其進行安全地存儲。

·每當有跡象表明系統(tǒng)或口令受到損害時就要變更口令。

·選擇具有最小長度的優(yōu)質(zhì)口令。

·定期或以訪問次數(shù)為基礎變更口令，并避免使用舊的口令。

·在任何自動登錄過程中，不要包含口令。

·不在業(yè)務目的和非業(yè)務目的中使用相同的口令。

2.無人值守的用戶設備

(1)控制措施。用戶應確保無人值守的用戶設備有適當?shù)谋Ｗo。

(2)實施指南。

所有用戶應了解保護無人值守的設備的安全要求和規(guī)程，以及他們對實現(xiàn)這種保護所負有的職責。建議用戶做到以下要求：

·結束時終止活動的會話，除非采用合適的鎖定機制保證其安全，例如有口令的屏保。

·當對話結束時退出計算機、服務器和辦公PC。

·當不使用設備時，用帶鑰匙的鎖或相同效果的控制措施保護設備，例如口令訪問。

3.清空桌面和屏幕策略

(1)控制措施。應采取清空桌上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕的策略。

(2)實施指南。

清空桌面/清空屏幕降低了正常工作時間之中和之外對信息的未授權訪問、丟失、破壞的風險。清空策略應考慮信息分類、法律和合同要求、相應風險和組織文化方面，并考慮：

·當不用時，特別是離開辦公室時，要將敏感或關鍵業(yè)務信息鎖起來。

·當無人值守時，計算機和終端要注銷，或使用口令、令牌等機制控制屏幕和鍵盤。

·郵件進出點和無人值守的傳真機要受到保護。

·包含敏感或涉密信息的文件要立即從打印機中清除。6.8.4網(wǎng)絡訪問控制

對網(wǎng)絡訪問進行管理和控制，防止對網(wǎng)絡服務的未授權訪問。

1.使用網(wǎng)絡服務的策略

(1)控制措施。應使用戶僅能訪問已獲專們授權的服務。

(2)實施指南。

與網(wǎng)絡服務的未授權和不安全連接可以影響整個組織。對于與敏感或關鍵業(yè)務應用的網(wǎng)絡連接或與高風險位置(例如超出組織安全管理和控制的公共區(qū)域)的用戶網(wǎng)絡連接而言，這一控制措施特別重要。應制定關于使用網(wǎng)絡和網(wǎng)絡服務的策略，例如：

·允許被訪問的網(wǎng)絡和網(wǎng)絡服務。

·確定允許哪個人訪問哪些網(wǎng)絡和網(wǎng)絡服務的授權規(guī)程。

·保護訪問網(wǎng)絡連接和網(wǎng)絡服務的管理控制措施和規(guī)程。

·訪問網(wǎng)絡和網(wǎng)絡服務使用的手段(例如撥號訪問ISP的條件)。

2.外部連接的用戶鑒別

(1)控制措施。應使用適當?shù)蔫b別方法以控制遠程用戶的訪問。

(2)實施指南。

遠程用戶的鑒別可以使用例如密碼技術、硬件令牌或詢問/響應協(xié)議來實現(xiàn)。在各種VPN解決方案中可以發(fā)現(xiàn)這種技術的實施。專線也可用來提供連接來源的保證。

回撥規(guī)程和控制措施，例如使用回撥調(diào)制解調(diào)器，可以防范到組織信息處理設施的未