文秘120网    > 专题范文 > 公文范文 >

CISA资料-基础,信息安全管理实用规则

时间:2022-02-28 14:21:34  来源:网友投稿

目 次 前 言 III 引 言 IV 0.1 什么是信息安全? IV 0.2 为什么需要信息安全? IV 0.3 如何建立安全要求 IV 0.4 评估安全风险 V 0.5 选择控制措施 V 0.6 信息安全起点 V 0.7 关键的成功因素 VI 0.8 开发你自己的指南 VI 1 范围 1 2 术语和定义 1 3 本标准的结构 3 3.1 章节 3 3.2 主要安全类别 3 4 风险评估和处理 4 4.1 评估安全风险 4 4.2 处理安全风险 4 5 安全方针 5 5.1 信息安全方针 5 6 信息安全组织 6 6.1 内部组织 6 6.2 外部各方 11 7 资产管理 15 7.1 对资产负责 15 7.2 信息分类 17 8 人力资源安全 18 8.1 任用之前 18 8.2 任用中 21 8.3 任用的终止或变化 22 9 物理和环境安全 24 9.1 安全区域 24 9.2 设备安全 27 10 通信和操作管理 30 10.1 操作程序和职责 30 10.2 第三方服务交付管理 33 10.3 系统规划和验收 34 10.4 防范恶意和移动代码 35 10.5 备份 37 10.6 网络安全管理 38 10.7 介质处置 39 10.8 信息的交换 41 10.9 电子商务服务 45 10.10 监视 47 11 访问控制 51 11.1 访问控制的业务要求 51 11.2 用户访问管理 52 11.3 用户职责 54 11.4 网络访问控制 56 11.5 操作系统访问控制 60 11.6 应用和信息访问控制 63 11.7 移动计算和远程工作 64 12 信息系统获取、开发和维护 66 12.1 信息系统的安全要求 66 12.2 应用中的正确处理 67 12.3 密码控制 70 12.4 系统文件的安全 72 12.5 开发和支持过程中的安全 74 12.6 技术脆弱性管理 76 13 信息安全事件管理 78 13.1 报告信息安全事态和弱点 78 13.2 信息安全事件和改进的管理 79 14 业务连续性管理 82 14.1 业务连续性管理的信息安全方面 82 15 符合性 86 15.1 符合法律要求 86 15.2 符合安全策略和标准以及技术符合性 89 15.3 信息系统审核考虑 90 前 言 引 言 0.1  什么是信息安全? 象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。

信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。

信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。

信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。

0.2  为什么需要信息安全? 信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。

各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。

信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者,例如实现电子政务或电子商务,避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。

许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的,应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。

0.3  如何建立安全要求 组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
1、 一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。

2、 另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。

3、 第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。

0.4  评估安全风险 安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。

风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。

风险评估应定期进行,以应对可能影响风险评估结果的任何变化。

更多的关于安全风险评估的信息见第4.1节“评估安全风险”。

0.5  选择控制措施 一旦安全要求和风险已被识别并已作出风险处理决定,则应选择并实现合适的控制措施,以确保风险降低到可接受的级别。控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所作出的决定,该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法,同时还要遵守所有相关的国家和国际法律法规。

本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。下面在题为“信息安全起点”中将更详细的解释这些控制措施。

更多的关于选择控制措施和其他风险处理选项的信息见第4.2节“处理安全风险”。

0.6  信息安全起点 许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求,或者被认为是信息安全的常用惯例。

从法律的观点看,对某个组织重要的控制措施包括,根据适用的法律:
a) 数据保护和个人信息的隐私(见15.1.4);

b) 保护组织的记录(见15.1.3);

c) 知识产权(见15.1.2)。

被认为是信息安全的常用惯例的控制措施包括:
a) 信息安全方针文件(见5.1.1);

b) 信息安全职责的分配(见6.1.3);

c) 信息安全意识、教育和培训(见8.2.2);

d) 应用中的正确处理(见12.2);

e) 技术脆弱性管理(见12.6);

f) 业务连续性管理(见14);

g) 信息安全事件和改进管理(见13.2)。

这些控制措施适用于大多数组织和环境。

应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此,虽然上述方法被认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。

0.7  关键的成功因素 经验表明,下列因素通常对一个组织成功地实现信息安全来说,十分关键:
a) 反映业务目标的信息安全方针、目标以及活动;

b) 和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架;

c) 来自所有级别管理者的可视化的支持和承诺;

d) 正确理解信息安全要求、风险评估和风险管理;

e) 向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识;

f) 向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见;

g) 提供资金以支持信息安全管理活动;

h) 提供适当的意识、培训和教育;

i) 建立一个有效的信息安全事件管理过程;

j) 实现一个测量 注意信息安全测量不在本标准范围内。

系统,它可用来评价信息安全管理的执行情况和反馈的改进建议。

0.8  开发你自己的指南 本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。

信息技术 安全技术 信息安全管理实用规则 1  范围 本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。

本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。本标准可作为建立组织的安全准则和有效安全管理惯例的实用指南,并有利于在组织间的活动中建立信心。

2  术语和定义 下列术语和定义适用于本标准。

2.1 资产 asset 对组织有价值的任何东西[ISO/IEC 13335-1:2004]。

2.2 控制措施 control 管理风险的方法,包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。

注:控制措施也用于防护措施或对策的同义词。

2.3 指南 guideline 阐明应做什么和怎么做以达到方针策略中制定的目标的描述[ISO/IEC TR 13335-1:2004] 2.4 信息处理设施 information processing facilities 任何信息处理系统、服务或基础设施,或放置它们的场所 2.5 信息安全 information security 保持信息的保密性,完整性,可用性;
另外也可包括诸如真实性,可核查性,不可否认性和可靠性等 2.6 信息安全事态 information security event 信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044:2004] 2.7 信息安全事件 information security incident 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044:2004]。

2.8 方针 policy 管理者正式发布的总的宗旨和方向 2.9 风险 risk 事态的概率及其结果的组合[ISO Guide 73:2002] 2.10 风险分析 risk analysis 系统地使用信息来识别风险来源和估计风险[ISO Guide 73:2002] 2.11 风险评估 risk assessment 风险分析和风险评价的整个过程[ISO Guide 73:2002] 2.12 风险评价 risk evaluation 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO Guide 73:2002] 2.13 风险管理 risk management 指导和控制一个组织相关风险的协调活动 注:风险管理一般包括风险评估、风险处理、风险接受和风险沟通[ISO Guide 73:2002] 2.14 风险处理 risk treatment 选择并且执行措施来更改风险的过程[ISO Guide 73:2002] 2.15 第三方 third party 就所涉及的问题被公认为是独立于有关各方的个人或机构[ISO Guide 2:1996] 2.16 威胁 threat 可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IEC TR 13335-1:2004] 2.17 脆弱性 vulnerability 可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IEC TR 13335-1:2004] 3  本标准的结构 本标准包括11个安全控制措施的章节(共含有39个主要安全类别)和1个介绍风险评估和处理的章节。

3.1  章节 每一章包含多个主要安全类别。11个章节(连同每一章中所包含的主要安全类别的数量)是:
a) 安全方针(1);

b) 信息安全组织(2);

c) 资产管理(2);

d) 人力资源安全(3);

e) 物理和环境安全(2);

f) 通信和操作管理(10);

g) 访问控制(7);

h) 信息系统获取、开发和维护(6);

i) 信息安全事件管理(2);

j) 业务连续性管理(1);

k) 符合性(3)。

注:本标准中章节的顺序不表示其重要性。根据不同的环境,所有章节都可能是重要的,因此应用本标准的每一个组织应识别适用的章节及其重要性,以及它们对各个业务过程的适用性。另外,本标准的排列均没有优先顺序,除非另外注明。

3.2  主要安全类别 每一个主要安全类别包含:
a) 一个控制目标,声明要实现什么;

b) 一个或多个控制措施,可被用于实现该控制目标。

控制措施的描述结构如下:
控制措施 定义满足控制目标的特定的控制措施的陈述。

实施指南 为支持控制措施的实施和满足控制目标,提供更详细的信息。本指南的某些内容可能不适用于所有情况,所以其他实现控制措施的方法可能更为合适。

其它信息 提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的引用。

4  风险评估和处理 4.1  评估安全风险 风险评估应对照风险接受准则和组织相关目标,识别、量化并区分风险的优先次序。风险评估的结果应指导并确定适当的管理措施及其优先级,以管理信息安全风险和实施为防范这些风险而选择的控制措施。评估风险和选择控制措施的过程可能需要执行多次,以覆盖组织的不同部门或各个信息系统。

风险评估应包括估计风险大小的系统方法(风险分析),和将估计的风险与给定的风险准则加以比较,以确定风险严重性的过程(风险评价)。

风险评估还应定期进行,以应对安全要求和风险情形的变化,例如资产、威胁、脆弱性、影响,风险评价;
当发生重大变化时也应进行风险评估。风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。

为使信息安全风险评估有效,它应有一个清晰定义的范围。如果合适,应包括与其他领域风险评估的关系。

如果可行、实际和有帮助,风险评估的范围既可以是整个组织、组织的一部分、单个信息系统、特定的系统部件,也可以是服务。风险评估方法的例子在ISO/IEC TR 13335-3《IT安全管理指南:IT安全管理技术》中讨论。

4.2  处理安全风险 在考虑风险处理前,组织应确定风险是否能被接受的准则。如果经评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受。这些决定应加以记录。

对于风险评估所识别的每一个风险,必须作出风险处理决定。可能的风险处理选项包括:
a) 应用适当的控制措施以降低风险;

b) 只要它们满足组织的方针和风险接受准则,则要有意识的、客观的接受该风险;

c) 通过禁止可能导致风险发生的行为来避免风险;

d) 将相关风险转移到其他方,例如,保险或供应商。

对风险处理决定中要采用适当的控制措施的那些风险来说,应选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下,将风险降低到可接受级别:
a) 国家和国际法律法规的要求和约束;

b) 组织的目标;

c) 运行要求和约束;

d) 降低风险相关的实施和运行的成本,并使之与组织的要求和约束保持相称;

e) 平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要。

控制措施可以从本标准或其他控制集合中选择,或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用,并且不是对所有组织都可行,这一点非常重要。例如,10.1.3描述如何分割责任,以防止欺诈或错误。在较小的组织中分割所有责任是不太可能的,实现同一控制目标的其他方法可能是必要的。另外一个例子,10.10描述如何监视系统使用及如何收集证据。所描述的控制措施,例如事态日志,可能与适用的法律相冲突,诸如顾客或在工作场地内的隐私保护。

信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案,最坏的情况下可能达不到足够的安全。

应该牢记,没有一个控制措施集合能实现绝对的安全,为支持组织的目标,应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。

5  安全方针 5.1  信息安全方针 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。

管理者应根据业务目标制定清晰的方针指导,并通过在整个组织中颁布和维护信息安全方针来表明对信息安全的支持和承诺。

5.1.1  信息安全方针文件 控制措施 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。

实施指南 信息安全方针文件应说明管理承诺,并提出组织的管理信息安全的方法。方针文件应包括以下声明:
a) 信息安全、整体目标和范围的定义,以及在允许信息共享机制下安全的重要性(见引言);

b) 管理者意图的声明,以支持符合业务战略和目标的信息安全目标和原则;

c) 设置控制目标和控制措施的框架,包括风险评估和风险管理的结构;

d) 对组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明,包括:
1) 符合法律法规和合同要求;

2) 安全教育、培训和意识要求;

3) 业务连续性管理;

4) 违反信息安全方针的后果;

e) 信息安全管理(包括报告信息安全事件)的一般和特定职责的定义;

f) 对支持方针的文件的引用,例如,特定信息系统的更详细的安全方针策略和程序,或用户应遵守的安全规则。

应以预期读者适合的、可访问的和可理解的形式将本信息安全方针传达给整个组织的用户。

其它信息 信息安全方针可能是总体方针文件的一部分。如果信息安全方针在组织外进行分发,应注意不要泄露敏感信息。更多信息参见ISO/IEC 13335-1:2004。

5.1.2  信息安全方针的评审 控制措施 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。

实施指南 信息安全方针应有专人负责,他负有安全方针制定、评审和评价的管理职责。评审应包括评估组织信息安全方针改进的机会,和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。

信息安全方针评审应考虑管理评审的结果。要定义管理评审程序,包括时间表或评审周期。

管理评审的输入应包括以下信息:
a) 相关方的反馈;

b) 独立评审的结果(见6.1.8);

c) 预防和纠正措施的状态(见6.1.8和15.2.1);

d) 以往管理评审的结果;

e) 过程执行情况和信息安全方针符合性;

f) 可能影响组织管理信息安全的方法的变更,包括组织环境、业务状况、资源可用性、合同、规章,和法律条件或技术环境的变更。

g) 威胁和脆弱性的趋势;

h) 已报告的信息安全事件(见13.1);

i) 相关专家的建议(见6.1.6)。

管理评审的输出应包括与以下方面有关的任何决定和措施:
a) 组织管理信息安全的方法和它的过程的改进;

b) 控制目标和控制措施的改进 c) 资源和/或职责分配的改进。

管理评审的记录应被维护。

应获得管理者对修订的方针的批准。

6  信息安全组织 6.1  内部组织 目标:在组织内管理信息安全。

应建立管理框架,以启动和控制组织范围内的信息安全的实施。

管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。

若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。

6.1.1  信息安全的管理承诺 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。

实施指南 管理者应:
a) 确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;

b) 制定、评审、批准信息安全方针;

c) 评审信息安全方针实施的有效性;

d) 为安全启动提供明确的方向和管理者明显的支持;

e) 为信息安全提供所需的资源;

f) 批准整个组织内信息安全专门的角色和职责分配;

g) 启动计划和程序来保持信息安全意识;

h) 确保整个组织内的信息安全控制措施的实施是相互协调的(见6.1.2)。

管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。

根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担。

其它信息 更多内容可参考ISO/IEC 13335-1:2004。

6.1.2  信息安全协调 控制措施 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。

实施指南 典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及保险、法律、人力资源、IT或风险管理等领域专家的协调和协作。这些活动应:
a) 确保安全活动的实施与信息安全方针相一致;

b) 确定如何处理不符合项;

c) 核准信息安全的方法和过程,例如风险评估、信息分类;

d) 识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;

e) 评估信息安全控制措施实施的充分性和协调性;

f) 有效地促进整个组织内的信息安全教育、培训和意识;

g) 评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安全事件。

如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单独管理人员实施。

6.1.3  信息安全职责的分配 控制措施 所有的信息安全职责应予以清晰地定义。

实施指南 信息安全职责的分配应和信息安全方针(见第4 译者认为应该是第5章。

章)相一致。各个资产的保护和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特定安全过程(诸如业务连续性计划)的局部职责应予以清晰地定义。

分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执行。

个人负责的领域要予以清晰地规定;
特别是,应进行下列工作:
a) 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;

b) 应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见7.1.2);

c) 授权级别应清晰地予以定义,并形成文件。

其它信息 在许多组织中,将任命一名信息安全管理人员全面负责安全的开发和实施,并支持控制措施的识别。

然而,提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是对每一资产指定一名责任人,他也就对该信息资产的日常保护负责。

6.1.4  信息处理设施的授权过程 控制措施 新信息处理设施应定义和实施一个管理授权过程。

实施指南 授权过程应考虑下列指南:
a) 新设施要有适当的用户管理授权,以批准其用途和使用;
还要获得负责维护本地系统安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;

b) 若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;

c) 使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备)处理业务信息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。

6.1.5  保密性协议 控制措施 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。

实施指南 保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄露协议的要求,需考虑下列因素:
a) 定义要保护的信息(如机密信息);

b) 协议的期望持续时间,包括不确定的需要维持保密性的情形;

c) 协议终止时所需的措施;

d) 为避免未授权信息泄露的签署者的职责和行为 (即“需要知道的”)
e) 信息所有者、商业秘密和知识产权,以及他们如何与机密信息保护相关联;

f) 机密信息的许可使用,及签署者使用信息的权力;

g) 对涉及机密信息的活动的审核和监视权力;

h) 未授权泄露或机密信息破坏的通知和报告过程;

i) 关于协议终止时信息归档或销毁的条款;

j) 违反协议后期望采取的措施。

基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。

保密性和不泄露协议应针对它适用的管辖范围(也见15.1.1)遵循所有适用的法律法规。

保密性和不泄露协议的要求应进行周期性评审,当发生影响这些要求的变更时,也要进行评审。

其它信息 保密性和不泄密协议保护组织信息,并告知签署者他们的职责,以授权、负责的方式保护、使用和公开信息。

对于一个组织来说,可能需要在不同环境中使用保密性或不泄密协议的不同格式。

6.1.6  与政府部门的联系 控制措施 应保持与政府相关部门的适当联系。

实施指南 组织应有规程指明什么时候应当与哪个部门(例如,执法部门、消防局、监管部门)联系,以及怀疑已识别的信息安全事件可能触犯了法律时,应如何及时报告。

受到来自互联网攻击的组织可能需要外部第三方(例如互联网服务提供商或电信运营商)采取措施以应对攻击源。

其它信息 保持这样的联系可能是支持信息安全事件管理(第13.2节)或业务连续性和应急规划过程(第14章)的要求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做好准备。与其他部门的联系包括公共部门、紧急服务和健康安全部门,例如消防局(与14章的业务连续性有关)、电信提供商(与路由和可用性有关)、供水部门(与设备的冷却设施有关)。

6.1.7  与特定利益集团的联系 控制措施 应保持与特定利益集团、其他安全专家组和专业协会的适当联系。

实施指南 应考虑成为特定利益集团或安全专家组的成员,以便:
a) 增进对最佳实践和最新相关安全信息的了解;

b) 确保全面了解当前的信息安全环境;

c) 尽早收到关于攻击和脆弱性的预警、建议和补丁;

d) 获得信息安全专家的建议;

e) 分享和交换关于新的技术、产品、威胁或脆弱性的信息;

f) 提供处理信息安全事件时适当的联络点(见13.2.1)。

其它信息 建立信息共享协议来改进安全问题的协作和协调。这种协议应识别出保护敏感信息的要求。

6.1.8  信息安全的独立评审 控制措施 组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。

实施指南 独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要,包括方针和控制目标。

这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。

独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。

如果独立评审识别出组织管理信息安全的方法和实施不充分,或不符合信息安全方针文件(见5.1.1)中声明的信息安全的方向,管理者应考虑纠正措施。

其它信息 对于管理人员应定期评审(15.2.1)的范围也可以独立评审。评审方法包括会见管理者、检查记录或安全方针文件的评审。ISO 19011:2002,质量和/或环境管理体系审核指南,也提供实施独立评审的有帮助的指导信息,包括评审方案的建立和实施。15.3详细说明了与运行的信息系统独立评审相关的控制和系统审核工具的使用。

6.2  外部各方 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。

任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。

若有与外部方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务,或提供给外部方一个产品和服务,应进行风险评估,以确定涉及安全的方面和控制要求。在与外部方签订的协议中要商定和定义控制措施。

6.2.1  与外部各方相关风险的识别 控制措施 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。

实施指南 当需要允许外部方访问组织的信息处理设施或信息时,应实施风险评估(见第4章)以识别特定控制措施的要求。关于外部方访问的风险的识别应考虑以下问题:
a) 外部方需要访问的信息处理设施;

b) 外部方对信息和信息处理设施的访问类型,例如:
1) 物理访问,例如进入办公室,计算机机房,档案室;

2) 逻辑访问,例如访问组织的数据库,信息系统;

3) 组织和外部方之间的网络连接,例如,固定连接、远程访问;

4) 现场访问还是非现场访问;

c) 所涉及信息的价值和敏感性,及对业务运行的关键程度;

d) 为保护不希望被外部方访问到的信息所需的控制措施;

e) 与处理组织信息有关的外部方人员;

f) 能够识别组织或人员如何被授权访问、如何进行授权验证,以及多长时间需要再确认;

g) 外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施;

h) 外部方需要时无法访问,外部方输入或接收不正确的或误导的信息的影响;

i) 处理信息安全事件和潜在破坏的惯例和程序,和当发生信息安全事件时外部方持续访问的条款和条件;

j) 应考虑与外部方有关的法律法规要求和其他合同责任;

k) 这些安排对其他利益相关人的利益可能造成怎样的影响。

除非已实施了适当的控制措施,才可允许外部方访问组织信息,可行时,应签订合同规定外部方连接或访问以及工作安排的条款和条件,一般而言,与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来(见6.2.2和6.2.3)。

应确保外部方意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。

其它信息 安全管理不充分,可能使信息由于外部方介入而处于风险中。应确定和应用控制措施,以管理外部方对信息处理设施的访问。例如,如果对信息的保密性有特殊的要求,就需要使用不泄漏协议。

如果外包程度高,或涉及到几个外部方时,组织会面临与组织间的处理、管理和通信相关的风险。

6.2.2和6.2.3提出的控制措施涵盖了对不同外部方的安排,例如,包括:
a) 服务提供商(例如互联网服务提供商)、网络提供商、电话服务、维护和支持服务;

b) 受管理的安全服务;

c) 顾客;

d) 设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务;

e) 管理者,业务顾问和审核员;

f) 开发者和提供商,例如软件产品和IT系统的开发者和提供商;

g) 保洁、餐饮和其他外包支持服务;

h) 临时人员、实习学生和其他临时短期安排。

这些协议有助于减少与外部方相关的风险。

6.2.2  处理与顾客有关的安全问题 控制措施 应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。

实施指南 要在允许顾客访问组织任何资产(依据访问的类型和范围,并不需要应用所有的条款)前解决安全问题,应考虑下列条款:
a) 资产保护,包括:
1)
保护组织资产(包括信息和软件)的程序,以及对已知脆弱性的管理;

2)
判定资产是否受到损害(例如丢失数据或修改数据)的程序;

3)
完整性;

4)
对拷贝和公开信息的限制;

b) 拟提供的产品或服务的描述;

c) 顾客访问的不同原因、要求和利益;

d) 访问控制策略,包括:
1)
允许的访问方法,唯一标识符的控制和使用,例如用户ID和口令;

2)
用户访问和权限的授权过程;

3)
没有明确授权的访问均被禁止的声明;

4)
撤消访问权或中断系统间连接的处理;

e) 信息错误(例如个人信息的错误)、信息安全事件和安全违规的报告、通知和调查的安排;

f) 每项可用服务的描述;

g) 服务的目标级别和服务的不可接受级别;

h) 监视和撤销与组织资产有关的任何活动的权利;

i) 组织和顾客各自的义务;

j) 相关法律责任和如何确保满足法律要求(例如,数据保护法律)。如果协议涉及与其他国家顾客的合作,特别要考虑到不同国家的法律体系(也见15.1);

k) 知识产权(IPRs)和版权转让(见15.1.2)以及任何合著作品的保护(见6.1.5);

其它信息 与顾客访问组织资产有关的安全要求,可能随所访问的信息处理设施和信息的不同而有明显差异。这些安全要求应在顾客协议中加以明确,包括所有已确定的风险和安全要求(见6.2.1)。

与外部方的协议也可能涉及多方。允许外部各方访问的协议应包括允许指派其他合格者,并规定他们访问和访问有关的条件。

6.2.3  处理第三方协议中的安全问题 控制措施 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。

实施指南 协议应确保在组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。

为满足识别的安全要求(见6.2.1),应考虑将下列条款包含在协议中:
a) 信息安全方针;

b) 确保资产保护的控制措施,包括:
1) 保护组织资产(包括信息、软件和硬件)的程序;

2) 所有需要的物理保护控制措施和机制;

3) 确保防范恶意软件(见10.4.1)的控制措施;

4) 判定资产是否受到损害(例如信息、软件和硬件的丢失或修改)的程序;

5) 确保在协议终止时或在合同执行期间双方同意的某一时刻对信息和资产的返还或销毁的控制措施;

6) 保密性、完整性、可用性和任何其他相关的资产属性(见2.1.5);

7) 对拷贝和公开信息,以及保密性协议的使用的限制(见6.1.5);

c) 对用户和管理员在方法、程序和安全方面的培训;

d) 确保用户意识到信息安全职责和问题;

e) 若适宜,人员调动的规定;

f) 关于硬件和软件安装和维护的职责;

g) 一种清晰的报告结构和商定的报告格式;

h) 一种清晰规定的变更管理过程;

i) 访问控制策略,包括:
1) 导致必要的第三方访问的不同原因、要求和利益;

2) 允许的访问方法,唯一标识符(诸如用户ID和口令)的控制和使用;

3) 用户访问和权限的授权过程;

4) 维护被授权使用可用服务的个人清单以及他们与这种使用相关的权利和权限的要求;

5) 没有明确授权的所有访问都要禁止的声明;

6) 撤消访问权或中断系统间连接的处理;

j) 报告、通知和调查信息安全事件和安全违规以及违背协议中所声明的要求的安排;

k) 提供的每项产品和服务的描述,根据安全分类(见7.2.1)提供可获得信息的描述;

l) 服务的目标级别和服务的不可接受级别;

m) 可验证的性能准则的定义、监视和报告;

n) 监视和撤销与组织资产有关的任何活动的权利;

o) 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权利;

p) 建立逐级解决问题的过程;

q) 服务连续性要求,包括根据一个组织的业务优先级对可用性和可靠性的测度;

r) 协议各方的相关义务;

s) 有关法律的责任和如何确保满足法律要求(例如,数据保护法律)。如果该协议涉及与其他国家的组织的合作,特别要考虑到不同国家的法律体系(也见15.1);

t) 知识产权(IPRs)和版权转让(见15.1.2)以及任何合著作品的保护(见6.1.5);

u) 涉及具有次承包商的第三方,应对这些次承包商需要实施安全控制措施;

v) 重新协商/终止协议的条件:
1) 应提供应急计划以处理任一方机构在协议到期之前希望终止合作关系的情况;

2) 如果组织的安全要求发生变化,协议的重新协商;

3) 资产清单、许可证、协议或与它们相关的权利的当前文件。

其它信息 协议会随组织和第三方机构类型的不同发生很大的变化。因此,应注意要在协议中包括所有识别的风险和安全要求(见6.2.1)。需要时,在安全管理计划中扩展所需的控制措施和程序。

如果外包信息安全管理,协议应指出第三方将如何保证维持风险评估中定义的适当的安全,安全如何适于识别和处理风险的变化。

外包和其他形式第三方服务提供之间的区别包括责任问题、交付期的规划问题、在此期间潜在的运行中断问题、应急规划安排、约定的详细评审以及安全事件信息的收集和管理。因此,组织计划和管理外包安排的交付,并提供适当的过程管理变更和协议的重新协商/终止,这是十分重要的。

需要考虑当第三方不能提供其服务时的连续处理程序,以避免在安排替代服务时的任何延迟。

与外部方的协议也可能涉及多方。允许外部各方访问的协议应包括允许指派其他合格者,并规定他们访问以及与访问有关的条件。

与第三方的协议也可能涉及多方。允许第三方访问的协议应包括允许指派其他合格者,并规定他们访问及与访问有关的条件。

一般而言,协议主要由组织制定。在一些环境下,也可能有例外:协议由第三方制定并强加于一个组织。组织需要确保它本身的安全不会被没有必要的第三方在强制协议中规定的要求所影响。

7  资产管理 7.1  对资产负责 目标:实现和保持对组织资产的适当保护。

所有资产应是可核查的,并且有指定的责任人。

对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。

7.1.1  资产清单 控制措施 应清晰的识别所有资产,编制并维护所有重要资产的清单。

实施指南 一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。

另外,应商定每一资产的责任人(见7.1.2)和信息分类(见7.2),并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别(更多关于如何评价资产的重要性的内容可参考ISO/IEC TR 13335-3)。

其它信息 与信息系统相关的资产有很多类型,包括:
a)
信息资产:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排(fallback arrangement)、审核跟踪记录(audit trails)、归档信息;

b)
软件资产:应用软件、系统软件、开发工具和实用程序;

c)
物理资产:计算机设备、通信设备、可移动介质和其他设备;

d)
服务:计算和通信服务、公用设施,例如,供暖,照明,能源,空调;

e)
人员,他们的资格、技能和经验;

f)
无形资产,如组织的声誉和形象。

资产清单可帮助确保有效的资产保护,其他业务目的也可能需要资产清单,例如健康与安全、保险或财务(资产管理)等原因。编制一份资产清单的过程是风险管理的一个重要的先决条件(见第4章)。

7.1.2  资产责任人 控制措施 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任术语“责任人”是为控制生产、开发、保持、使用和保护资产而确定的赞同管理职责的个人或实体。术语“责任人”不指对资产有实际所有权的人员。

实施指南 资产责任人应负责:
a) 确保与信息处理设施相关的信息和资产进行了适当的分类;

b) 确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。

所有权可以分配给:
a) 业务过程;

b) 已定义的活动集;

c) 应用;

d) 已定义的数据集。

其它信息 日常任务可以委派给其他人,例如委派给一个管理人员每天照看资产,但责任人仍保留职责。

在复杂的信息系统中,将一组资产指派给一个责任人,可能是比较有用的,它们一起工作来提供特殊的“服务”功能。在这种情况下,服务责任人负责提供服务,包括资产本身提供的功能。

7.1.3  资产的合格使用 控制措施 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。

实施指南 所有雇员、承包方人员和和第三方人员应遵循信息处理设施相关信息和资产的可接受的使用规则,包括:
a) 电子邮件和互联网使用(见10.8)规则;

b) 移动设备,尤其是在组织外部使用设备(见11.7;1)的使用指南;

具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责下的使用负责。

7.2  信息分类 目标:确保信息受到适当级别的保护。

信息要分类,以在处理信息时指明保护的需求、优先级和期望程度。

信息具有可变的敏感性和关键性。某些项可能要求附加等级的保护或特殊处理。信息分类机制用来定义一组合适的保护等级并传达对特殊处理措施的需求。

7.2.1  分类指南 控制措施 信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。

实施指南 信息的分类及相关保护控制措施要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。

分类指南应包括根据预先确定的访问控制策略(见11.1.1)进行初始分类及一段时间后进行重新分类的惯例。

确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别,这些都应是资产责任人(见7.1.2)的职责。分类要考虑10.7.2提及的集合效应。

应考虑分类类别的数目和从其使用中获得的好处。过度复杂的方案可能对使用来说不方便,也不经济,或许是不实际的。在解释从其他组织获取的文件的分类标记时应小心,因为其他组织可能对于相同或类似命名的标记有不同的定义。

其它信息 保护级别可通过分析被考虑信息的保密性、完整性、可用性及其他要求进行评估。

在一段时间后,信息通常不再是敏感的或关键的,例如,当该信息已经公开时,这些方面应予以考虑,因为过多的分类致使实施不必要的控制措施,从而导致附加成本。

当分配分类级别时考虑具有类似安全要求的文件可简化分类的任务。

一般地说,给信息分类是确定该信息如何予以处理和保护的简便方法。

7.2.2  信息的标记和处理 控制措施 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。

实施指南 信息标记的程序需要涵盖物理和电子格式的信息资产。

包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记。该标记要根据7.2.1中所建立的规则反映出分类。待考虑的项目包括打印报告、屏幕显示、记录介质(例如磁带、磁盘、CD)、电子消息和文件传送。

对每种分类级别,要定义包括安全处理、储存、传输、删除、销毁的处理程序。还要包括一系列任何安全相关事态的监督和记录程序。

涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分类标记的程序。

其它信息 分类信息的标记和安全处理是信息共享的一个关键要求。物理标记是常用的标记形式。然而,某些信息资产(诸如电子形式的文件等)不能做物理标记,而需要使用电子标记手段。例如,通知标记可在屏幕上显示出来。当标记不适用时,可能需要应用信息分类指定的其他方式,例如通过程序或元数据。

8  人力资源安全 8.1  任用 解释:这里的“任用”意指以下不同的情形:人员任用(暂时的或长期的)、工作角色的指定、工作角色的变化、合同的分配及所有这些安排的终止。

之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。

安全职责应于任用前在适当的岗位描述、任用条款和条件中指出。

所有要任用、承包方人员和第三方人员的候选者应充分的审查,特别是对敏感岗位的成员。

使用信息处理设施的雇员、承包方人员和第三方人员应签署关于他们安全角色和职责的协议。

8.1.1  角色和职责 控制措施 雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。

实施指南 安全角色和职责应包括以下要求:
a) 按照组织的信息安全方针(见5.1)实施和运行;

b) 保护资产免受未授权访问、泄露、修改、销毁或干扰;

c) 执行特定的安全过程或活动;

d) 确保职责分配给可采取措施的个人;

e) 向组织报告安全事态或潜在事态或其他安全风险。

安全角色和职责应被定义并在任用前清晰地传达给岗位候选者。

其它信息 岗位描述能被用来将安全角色和职责形成文件。还应清晰的定义并传达没有在组织任用过程(例如通过第三方组织任用)中任用的个人的安全角色和职责。

8.1.2  审查 控制措施 关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。

实施指南 验证检查应考虑所有相关的隐私、个人数据保护和/或与任用相关的法律,并应包括以下内容(允许时):
a) 令人满意的个人资料的可用性(如,一项业务和一个个人);

b) 申请人履历的核查(针对完备性和准确性);

c) 声称的学术、专业资质的证实;

d) 独立的身份检查(护照或类似文件);

e) 更多细节的检查,例如信用卡检查或犯罪记录检查。

当一个职务(最初任命的或提升的)涉及到对信息处理设施进行访问的人时,特别是,如果这些设施正在处理敏感信息,例如,财务信息或高度机密的信息,那么,该组织还要考虑进一步的、更详细的检查。

应有程序确定验证检查的准则和限制,例如谁有资格审查人员,以及如何、何时、为什么执行验证检查。

对于承包方人员和第三方人员也要执行审查过程。若承包方人员是通过代理提供的,那么,与代理的合同要清晰地规定代理对审查的职责,以及如果未完成审查或结果引起怀疑或关注时,这些代理需要遵守的通知程序。同样,与第三方(也见6.2.3)的协议应清晰的指定审查的所有职责和通知程序。

被考虑在组织内录用的所有候选者的信息应按照相关管辖范围内存在的合适的法律来收集和处理。依据适用的法律,应将审查活动提前通知候选者。

8.1.3  任用条款和条件 控制措施 作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。

实施指南 任用的条款和条件除澄清和声明以下内容外,还应反映组织的安全方针:
a) 所有访问敏感信息的雇员、承包方人员和第三方人员要在给予访问信息处理设施权之前签署保密或不泄露协议;

b) 雇员、承包方人员和其他人员的法律职责和权利,例如关于版权法、数据保护法(见15.1.1和15.1.2);

c) 与雇员、承包方人员和第三方人员操作的信息系统和服务有关的信息分类和组织资产管理的职责(见7.2.1和10.7.3);

d) 雇员、承包方人员和第三方人员操作来自其他公司或外部方的信息的职责;

e) 组织处理人员信息的职责,包括由于组织任用或在组织任用过程中产生的信息(见15.1.4);

f) 扩展到组织场所之外和正常工作时间之外的职责,例如在家中工作的情形(见9.2.5和11.7.1);

g) 如果雇员、承包方人员和第三方人员漠视组织的安全要求所要采取的措施(见8.2.3)。

组织应确保雇员、承包方人员和第三方人员同意适用于他们将访问的与信息系统和服务有关的组织资产的性质和程度的信息安全条款和条件。

若适用,包含于任用条款和条件中的职责应在任用结束后持续一段规定的时间(见8.3)。

其它信息 一个行为细则可覆盖雇员、承包方人员和第三方人员关于保密性、数据保护、道德规范、组织设备和设施的适当使用以及组织期望的最佳实践的职责。承包方人员和第三方人员可能与一个外部组织有关,这个外部组织可能需要代表已签约的人遵守契约的安排。

8.2  任用中 目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。

应确定管理职责来确保安全措施应用于组织内个人的整个任用期。

为尽可能减小安全风险,应对所有雇员、承包方人员和第三方人员提供安全程序的适当程度的意识、教育和培训以及信息处理设施的正确使用方法。还应建立一个正式的处理安全违规的纪律处理过程。

8.2.1  管理职责 控制措施 管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。

实施指南 管理职责应包括确保雇员、承包方人员和第三方人员:
a) 在被授权访问敏感信息或信息系统前了解其信息安全角色和职责;

b) 获得声明他们在组织中角色的安全期望的指南;

c) 被激励以实现组织的安全策略;

d) 对于他们在组织内的角色和职责的相关安全问题的意识程度达到一定级别;

e) 遵守任用的条款和条件,包括组织的信息安全方针和工作的合适方法;

f) 持续拥有适当的技能和资质。

其它信息 如果雇员、承包方人员和第三方人员没有意识到他们的安全职责,他们会对组织造成相当大的破坏。被激励的人员更可靠并能减少信息安全事件的发生。

缺乏有效的管理会使员工感觉被低估,并由此导致对组织的负面安全影响。例如,缺乏有效的管理可能导致安全被忽视或组织资产的潜在误用。

8.2.2  信息安全意识、教育和培训 控制措施 组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。

实施指南 意识培训应从一个正式的介绍过程开始,这个过程用来在允许访问信息或服务前介绍组织的安全方针策略和期望。

正在进行的培训应包括安全要求、法律职责和业务控制,还有正确使用信息处理设施的培训,例如登录程序、软件包的使用和纪律处理过程(见8.2.3)的信息。

其它信息 安全意识、教育和培训活动应是适当的并与员工的角色、职责和技能相关,并应包括关于已知威胁的信息,向谁咨询进一步的安全建议以及合适的报告信息安全事件(见13.1)的渠道。

加强意识的培训旨在使个人认识到信息安全问题及事件,并按照他们岗位角色的需要对其响应。

8.2.3  纪律处理过程 控制措施 对于安全违规的雇员,应有一个正式的纪律处理过程。

实施指南 纪律处理过程之前应有一个安全违规的验证过程(见13.2.3的证据收集)。

正式的纪律处理过程应确保正确和公平的对待被怀疑安全违规的雇员。无论违规是第一次或是已发生过,无论违规者是否经过适当的培训,正式的纪律处理过程应规定一个分级的响应,要考虑诸如违规的性质、重要性及对于业务的影响等因素,相关法律、业务合同和其他因素也是需要考虑的。对于严重的明知故犯的情况,应立即免职、删除访问权和特殊权限,如果需要,直接护送出现场。

其它信息 纪律处理过程也可用于对雇员、承包方人员和第三方人员的一种威慑,防止他们违反组织的安全方针策略和程序及其他安全违规。

8.3  任用的终止或变化 目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。

应有合适的职责确保管理雇员、承包方人员和第三方人员从组织退出,并确保他们归还所有设备及删除他们的所有访问权。

组织内职责和任用的变化管理应符合本章内容,与职责或任用的终止管理相似,任何新的任用应遵循8.1节内容进行管理。

8.3.1  终止职责 控制措施 任用终止或任用变化的职责应清晰的定义和分配。

实施指南 终止职责的传达应包括正在进行的安全要求和法律职责,适当时,还包括任何保密协议规定的职责(见6.1.5),并且在雇员、承包方或第三方用户的雇佣结束后持续一段时间仍然有效的任用条款和条件(见8.1.3)。

规定职责和义务在任用终止后仍然有效的内容应包含在雇员、承包方人员或第三方人员的合同中。

职责或任用的变化管理应与职责或任用的终止管理相似,新的任用责任应遵循8.1节内容。

其它信息 人力资源的职能通常是与管理相关程序的安全方面的监督管理员一块负责总体的任用终止处理。在承包方人员的例子中,终止职责的处理可能由代表承包方人员的代理完成,其他情况下的用户可能由他们的组织来处理。

有必要通知雇员、顾客、承包方人员或第三方人员关于组织人员的变化和运营上的安排。

8.3.2  资产的归还 控制措施 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。

实施指南 终止过程应被正式化以包括所有先前发放的软件、公司文件和设备的归还。其他组织资产,例如移动计算设备、信用卡、访问卡、软件、手册和存储于电子介质中的信息也需要归还。

当雇员、承包方人员或第三方人员购买了组织的设备或使用他们自己的设备时,应遵循程序确保所有相关的信息已转移给组织,并且已从设备中安全的删除(见10.7.1)。

当一个雇员、承包方人员或第三方人员拥有的知识对正在进行的操作具有重要意义时,此信息应形成文件并传达给组织。

8.3.3  撤销访问权 控制措施 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。

实施指南 任用终止时,个人对与信息系统和服务有关的资产的访问权应被重新考虑。这将决定是否必须删除访问权。任用的变化应体现在不适用于新岗位的访问权的删除上。应删除或改变的访问权包括物理和逻辑访问、密钥、ID卡、信息处理设施(见11.2.4)、签名,并要从标识其作为组织的现有成员的文件中删除。如果一个已离开的雇员、承包方人员或第三方人员知道仍保持活动状态的帐户的密码,则应在任用、合同或协议终止或变化后改变密码。

对信息资产和信息处理设施的访问权在任用终止或变化前是否减少或删除,依赖于对风险因素的评价,例如:
a) 终止或变化是由雇员、承包方人员或第三方人员发起还是由管理者发起,以及终止的原因;

b) 雇员、承包方人员或任何其他用户的现有职责;

c) 当前可访问资产的价值。

其它信息 在某些情况下,访问权的分配基于对多人可用而不是只基于离开的雇员、承包方人员或第三方人员,例如群ID。在这种情况下,离开的人员应从群访问列表中删除,还应建议所有相关的其他雇员、承包方人员和第三方人员不应再与已离开的人员共享信息。

在管理者发起终止的情况中,不满的雇员、承包方人员或第三方人员可能故意破坏信息或破坏信息处理设施。在员工辞职的情况下,他们可能为将来的使用而收集必要的信息。

9  物理和环境安全 9.1  安全区域 目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。

关键或敏感的信息处理设施要放置在安全区域内,并受到确定的安全边界的保护,包括适当的安全屏障和入口控制。这些设施要在物理上避免未授权访问、损坏和干扰。

所提供的保护要与所识别的风险相匹配。

9.1.1  物理安全边界 控制措施 应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。

实施指南 对于物理安全边界,若合适,下列指南应予以考虑和实施:
a) 安全边界应清晰地予以定义,各个边界的设置地点和强度取决于边界内资产的安全要求和风险评估的结果;

b) 包含信息处理设施的建筑物或场地的边界应在物理上是安全的(即,在边界或区域内不应存在可能易于闯入的任何缺口);
场所的外墙应是坚固结构,所有外部的门要使用控制机制来适当保护,以防止未授权进入,例如,门闩、报警器、锁等;
无人看管的门和窗户应上锁,还要考虑窗户的外部保护,尤其是地面一层的窗户;

c) 对场所或建筑物的物理访问手段要到位(如有人管理的接待区域或其他控制);
进入场所或建筑物应仅限于已授权人员;

d) 如果可行,应建立物理屏障以防止未授权进入和环境污染;

e) 安全边界的所有防火门应可发出报警信号、被监视并经过检验,和墙一起按照合适的地方、国内和国际标准建立所需的防卫级别;
他们应使用故障保护方式按照当地防火规则来运行。

f) 应按照地方、国内和国际标准建立适当的入侵检测系统,并定期检测以覆盖所有的外部门窗;
要一直警惕空闲区域;
其他区域要提供掩护方法,例如计算机室或通信室;

g) 组织管理的信息处理设施应在物理上与第三方管理的设施分开。

其它信息 物理保护可以通过在组织边界和信息处理设施周围设置一个或多个物理屏障来实现。多重屏障的使用将提供附加保护,一个屏障的失效不意味着立即危及到安全。

一个安全区域可以是一个可上锁的办公室,或是被连续的内部物理安全屏障包围的几个房间。在安全边界内具有不同安全要求的区域之间需要控制物理访问的附加屏障和边界。

具有多个组织的建筑物应考虑专门的物理访问安全。

9.1.2  物理入口控制 控制措施 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。

实施指南 下列指南应予以考虑:
a) 记录访问者进入和离开的日期和时间,所有的访问者要予以监督,除非他们的访问事前已经经过批准;
只能允许他们访问特定的、已授权的目标,并要向他们宣布关于该区域的安全要求和应急程序的说明。

b) 访问处理敏感信息或储存敏感信息的区域要受到控制,并且仅限于已授权的人员;
认证控制(例如,访问控制卡加个人识别号)应用于授权和确认所有访问;
所有访问的审核踪迹要安全地加以维护。

c) 所有雇员、承包方人员和第三方人员以及所有访问者要佩带某种形式的可视标识,如果遇到无人护送的访问者和未佩带可视标识的任何人应立即通知保安人员。

d) 第三方支持服务人员只有在需要时才能有限制的访问安全区域或敏感信息处理设施;
这种访问应被授权并受监视;

e) 对安全区域的访问权要定期地予以评审和更新,并在需要时废除(见8.3.3)。

9.1.3  办公室、房间和设施的安全保护 控制措施 应为办公室、房间和设施设计并采取物理安全措施。

实施指南 应考虑下列指南以保护办公室、房间和设施:
a) 相关的健康和安全法规、标准要考虑在内;

b) 关键设施应坐落在可避免公众进行访问的场地;

c) 如果可行,建筑物要不引人注目,并且在建筑物内侧或外侧用不明显的标记给出其用途的最少指示,以标识信息处理活动的存在;

d) 标识敏感信息处理设施位置的目录和内部电话簿不要轻易被公众得到。

9.1.4  外部和环境威胁的安全防护 控制措施 为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。

实施指南 要考虑任何邻近区域所带来的安全威胁,例如,邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸。

要避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏,应考虑以下因素:
a) 危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具)不应存放于安全区域内;

b) 备份设备和备份介质的存放地点应与主要场所有一段安全的距离,以避免影响主要场所的灾难产生的破坏;

c) 应提供适当的灭火设备,并应放在合适的地点。

9.1.5  在安全区域工作 控制措施 应设计和运用用于安全区域工作的物理保护和指南。

实施指南 下列指南应予以考虑:
a)
只在有必要知道的基础上,员工才应知道安全区域的存在或其中的活动;

b)
为了安全原因和减少恶意活动的机会,均应避免在安全区域内进行不受监督的工作;

c)
未使用的安全区域在物理上要上锁并周期地予以检查;

d)
除非授权,不允许携带摄影、视频、声频或其他记录设备,例如移动设备中的照相机。

在安全区域工作的安排包括对工作在安全区域内的雇员、承包方人员和第三方人员的控制,以及对其他发生在安全区域的第三方活动的控制。

9.1.6  公共访问、交接区安全 控制措施 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。

实施指南 下列指南应予以考虑:
a)
由建筑物外进入交接区的访问应局限于已标识的和已授权的人员;

b)
交接区应设计成在无需交货人员获得对本建筑物其他部分的访问权的情况下就能卸下物资;

c)
当内部的门打开时,交接区的外部门应得到安全保护;

d)
在进来的物资从交接区运到使用地点之前,要检查是否存在潜在威胁(见9.2.1d));

e)
进来的物资应按照资产管理程序(见7.1.1)在场所的入口处进行登记;

f)
如果可能,进入和外出的货物应在物理上予以隔离。

9.2  设备安全 目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。

应保护设备免受物理的和环境的威胁。

对设备(包括离开组织使用和财产移动)的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的。这样做还要考虑设备安置和处置。可能需要专门的控制用来防止物理威胁以及保护支持性设施,诸如供电和电缆设施。

9.2.1  设备安置和保护 控制措施 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

实施指南 下列指南应予以考虑以保护设备:
a) 设备应进行适当安置,以尽量减少不必要的对工作区域的访问;

b) 应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;

c) 要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;

d) 应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;

e) 应建立在信息处理设施附近进食、喝饮料和抽烟的指南;

f) 对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;

g) 所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;

h) 对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;

i) 应保护处理敏感信息的设备,以最小化因辐射而导致信息泄露的风险;

9.2.2  支持性设施 控制措施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。

实施指南 应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。

对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(UPS)。电源应急计划要包括UPS故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。UPS设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。

另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。

连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。

其它信息 实现连续供电的选项包括多路供电,以避免供电的单一故障点。

9.2.3  布缆安全 控制措施 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。

实施指南 布缆安全的下列指南应予以考虑:
a) 进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护;

b) 网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;

c) 为了防止干扰,电源电缆要与通信电缆分开;

d) 使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;

e) 使用文件化配线列表减少失误的可能性;

f) 对于敏感的或关键的系统,更进一步的控制考虑应包括:
1)
在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;

2)
使用可替换的路由选择和/或传输介质,以提供适当的安全措施;

3)
使用纤维光缆;

4)
使用电磁防辐射装置保护电缆;

5)
对于电缆连接的未授权装置要主动实施技术清除、物理检查;

6)
控制对配线盘和电缆室的访问;

9.2.4  设备维护 控制措施 设备应予以正确地维护,以确保其持续的可用性和完整性。

实施指南 设备维护的下列指南应予以考虑:
a) 要按照供应商推荐的服务时间间隔和规范对设备进行维护;

b) 只有已授权的维护人员才可对设备进行修理和服务;

c) 要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录;

d) 当对设备安排维护时,应实施适当的控制,要考虑维护是由场所内部人员执行还是由外部人员执行;
当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;

e) 应遵守由保险策略所施加的所有要求。

9.2.5  组织场所外的设备安全 控制措施 应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。

实施指南 无论责任人是谁,在组织场所外使用任何信息处理设备都要通过管理者授权。

离开办公场所的设备的保护应考虑下列指南:
a)
离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;

b)
制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;

c)
家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信(见ISO/IEC 18028 网络安全);

d)
足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。

安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。

其它信息 用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。

关于保护移动设备的其他方面的更多信息在11.7.1中可以找到。

9.2.6  设备的安全处置和再利用 控制措施 包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。

实施指南 包含敏感信息的设备在物理上应予以摧毁,或者采用使原始信息不可获取的技术破坏、删除、覆盖信息,而不能采用标准的删除或格式化功能。

其它信息 包含敏感信息的已损坏的设备可能需要实施风险评估,以确定这些设备是否要进行销毁、而不是送去修理或丢弃。

信息可能通过对设备的草率处置或重用而被泄漏(见10.7.2)。

9.2.7  资产的移动 控制措施 设备、信息或软件在授权之前不应带出组织场所。

实施指南 下列指南应予以考虑:
a) 在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;

b) 应明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;

c) 应设置设备移动的时间限制,并在返还时执行符合性检查;

d) 若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。

其它信息 应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。

10  通信和操作管理 10.1  操作程序和职责 目标:确保正确、安全的操作信息处理设施。

应建立所有信息处理设施的管理和操作职责和程序。这包括制定合适的操作程序。

当合适时,应实施责任分割,以减少疏忽或故意误用系统的风险。

10.1.1  文件化的操作程序 控制措施 操作程序应形成文件、保持并对所有需要的用户可用。

实施指南 与信息处理和通信设施相关的系统活动应具备形成文件的程序,例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。

操作程序应详细规定执行每项工作的说明,其内容包括:
a)
信息处理和处置;

b)
备份(见10.5);

c)
时间安排要求,包括与其他系统的相互关系、最早工作开始时间和最后工作完成期限;

d)
对在工作执行期间可能出现的处理差错或其它异常情况的指导,包括对使用系统实用工具的限制(见11.5.4);

e)
出现不期望操作或技术困难事态时的支持性联络;

f)
特定输出及介质处理的指导,诸如使用特殊信纸或管理保密输出,包括任务失败时输出的安全处置程序(见10.7.2和10.7.3);

g)
供系统失效时使用的系统重启和恢复程序;

h)
审核跟踪和系统日志信息的管理(见10.10)。

要将操作程序和系统活动的文件化程序看作正式的文件,其变更由管理者授权。技术上可行时,信息系统应使用相同的程序、工具和实用程序进行一致的管理。

10.1.2  变更管理 控制措施 对信息处理设施和系统的变更应加以控制。

实施指南 操作系统和应用软件应有严格的变更管理控制。

特别是,下列条款应予以考虑。

a)
重大变更的标识和记录;

b)
变更的策划和测试;

c)
对这种变更的潜在影响的评估,包括安全影响;

d)
对建议变更的正式批准程序;

e)
向所有有关人员传达变更细节;

f)
返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。

正式的管理者职责和程序应到位,以确保对设备、软件或程序的所有变更有令人满意的控制。当发生变更时,包含所有相关信息的审核日志要予以保留。

其它信息 对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因。对操作环境的变更,特别是当系统从开发阶段向操作阶段转移时,可能影响应用的可靠性。(见12.5.1)。

对操作系统的变更只能在存在一个有效的业务需求时进行,例如系统风险的增加。使用操作系统或应用程序的最新版本进行系统更新并不总是业务需求,因为这样做可能会引入比现有版本更多的脆弱性和不稳定性。尤其是在移植期间,还需要额外培训、许可证费用、支持、维护和管理开支以及新的硬件等。

10.1.3  责任分割 控制措施 各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。

实施指南 责任分割是一种减少意外或故意系统误用的风险的方法。应注意,在无授权或未被监测时,应使个人不能访问、修改或使用资产。事态的启动要与其授权分离。勾结的可能性应在设计控制措施时予以考虑。

小型组织可能感到难以实现这种责任分割,但就可能性和可行性来说,该原则是适用的。如果难以分割,应考虑其他控制措施,例如对活动、审核踪迹和管理监督的监视等。重要的是安全审核仍保持独立。

10.1.4  开发、测试和运行设施分离 控制措施 开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。

实施指南 为防止操作问题,应识别运行、测试和开发环境之间的的分离级别,并实施适当的控制措施。

下列条款应加以考虑:
a) 要规定从开发状态到运行状态的软件传递规则并形成文件;

b) 开发和运行软件要在不同的系统或计算机处理器上或在不同的域或目录内运行;

c) 没有必要时,编译器、编辑器、其他开发工具或系统实用工具不应访问运行系统;

d) 测试系统环境应尽可能的仿效运行系统环境;

e) 用户应在运行和测试系统中使用不同的用户轮廓,菜单要显示合适的标识消息以减少出错的风险;

f) 敏感数据不应拷贝到测试系统环境中(见12.4.2)。

其它信息 开发和测试活动可能引起严重的问题,例如,文件或系统环境的不期望修改或者系统故障。在这种情况下,有必要保持一种已知的和稳定的环境,在此环境中可执行有意义的测试并防止不适当的开发者访问。

若开发和测试人员访问运行系统及其信息,那么他们可能会引入未授权和未测试的代码或改变运行数据。在某些系统中,这种能力可能被误用于实施欺诈,或引入未测试的、恶意的代码。从而导致严重的运行问题。

开发者和测试者还造成对运行信息保密性的威胁。如果开发和测试活动共享同一计算环境,那么可能引起非故意的软件和信息的变更。因此,为了减少意外变更或未授权访问运行软件和业务数据的风险,分离开发、测试和运行设施是有必要的(见12.4.2的测试数据保护)。

10.2  第三方服务交付管理 目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。

组织应检查协议的实施,监视协议执行的符合性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。

10.2.1  服务交付 控制措施 应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。

实施指南 第三方交付的服务应包括商定的安全安排、服务定义和服务管理各方面。在外包安排的情况下,组织应策划必要的过渡(信息、信息处理设施和其他需要移动的任何资产),并应确保安全在整个过渡期间得以保持。

组织应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难(见14.1)后继续得以保持。

10.2.2  第三方服务的监视和评审 控制措施 应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。

实施指南 第三方服务的监视和评审应确保坚持协议的信息安全条款和条件,并且信息安全事件和问题得到适当的管理。这将涉及组织和第三方之间的服务管理关系和过程,包括:
a) 监视服务执行级别以检查对协议的符合度;

b) 评审由第三方产生的服务报告,安排协议要求的定期进展会议;

c) 当协议和所有支持性指南及程序需要时,提供关于信息安全事件的信息并由第三方和组织实施评审;

d) 评审第三方的审核踪迹以及关于交付服务的安全事态、运行问题、失效、故障追踪和中断的记录;

e) 解决和管理所有已确定的问题。

管理与第三方关系的职责应分配给指定人员或服务管理组。另外,组织应确保第三方分配了检查符合性和执行协议要求的职责。应获得足够的技术技能和资源来监视满足协议的要求(见6.2.3),特别是信息安全要求。当在服务交付中发现不足时,应采取适当的措施。

组织应对第三方访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。组织应确保他们对安全活动留有可见度,例如变更管理、脆弱性识别和信息安全事件报告/响应,事件的报告/响应使用清晰定义的报告过程、格式及结构。

其它信息 外包时,组织必须知晓由外包方处理的信息的最终职责仍属于组织。

10.2.3  第三方服务的变更管理 控制措施 应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估。

实施指南 对第三方服务变更的管理过程需要考虑:
a) 组织要实施的变更:
1)
对提供的现有服务的加强;

2)
任何新应用和系统的开发;

3)
组织方针策略和程序的更改或更新;

4)
解决信息安全事件、改进安全的新的控制措施。

b) 第三方服务实施的变更:
1)
对网络的变更和加强;

2)
新技术的使用;

3)
新产品或新版本的采用;

4)
新的开发工具和环境;

5)
服务设施物理位置的变更;

6)
供应商的变更。

10.3  系统规划和验收 目标:将系统失效的风险降至最小。

为确保足够能力和资源的可用性以提供所需的系统性能,需要预先的规划和准备。

应作出对于未来容量需求的推测,以减少系统过载的风险。

新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。

10.3.1  容量管理 控制措施 资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以确保拥有所需的系统性能。

实施指南 对于每一个新的和正在进行的活动来说,应识别容量要求。应使用系统调整和监视以确保(需要时)改进系统的可用性和效率。应有检测控制措施以及时地指出问题。未来容量要求的推测应考虑新业务、系统要求以及组织信息处理能力的当前和预计的趋势。

需要特别关注与长订货交货周期或高成本相关的所有资源;
因此管理人员应监视关键系统资源的利用。他们应识别出使用的趋势,特别是与业务应用或管理信息系统工具相关的使用。

管理人员应使用该信息来识别和避免潜在的瓶颈及对关键员工的依赖,他们可能引起对系统安全或用户服务的威胁,同时管理人员还应策划适当的措施。

10.3.2  系统验收 控制措施 应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。

实施指南 管理人员要确保验收新系统的要求和准则被明确地定义、商定、形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后,才能作为产品。在验收之前,下列项目要加以考虑:
a)
性能和计算机容量要求;

b)
差错恢复和重启程序以及应急计划;

c)
按照已定义标准,准备和测试日常的运行程序;

d)
确定的一组安全控制措施应到位;

e)
有效的人工操作程序;

f)
按14.1所要求的业务连续性安排;

g)
新系统的安装对现有系统无负面影响的证据,特别是在高峰处理时间,例如月末;

h)
考虑新系统对组织总体安全影响的证据;

i)
新系统的操作和使用培训;

j)
易用性,这影响到用户使用,避免人员出错。

对于主要的新的开发,在开发过程的各阶段要征询运行职能部门和用户的意见,以确保所建议的系统设计的运行效率。要进行适当的测试,以证实完全满足全部验收标准。

其它信息 验收可能包括一个正式的认证和认可过程,以验证已经适当解决了安全要求。

10.4  防范恶意和移动代码 目标:保护软件和信息的完整性。

要求有预防措施,以防范和检测恶意代码和未授权的移动代码的引入。

软件和信息处理设施易感染恶意代码(例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹)。要让用户了解恶意代码的危险。若合适,管理人员要推行控制措施,以防范、检测并删除恶意代码,并控制移动代码。

10.4.1  控制恶意代码 控制措施 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。

实施指南 防范恶意代码要基于恶意代码监测、修复软件、安全意识、适当的系统访问和变更管理控制措施。下列指南要加以考虑:
a)
建立禁止使用未授权软件的正式策略(见15.1.2);

b)
建立防范风险的正式策略,该风险与来自或经由外部网络或在其他介质上获得的文件和软件相关,此策略指示应采取什么保护措施(见11.5,特别是11.5.4和11.5.5);

c)
对支持关键业务过程的系统中的软件和数据内容进行定期评审。应正式调查存在的任何未批准的文件或未授权的修正;

d)
安装和定期更新恶意代码检测和修复软件来扫描计算机和介质,以作为预防控制或作为例行程序的基础;
执行的检查应包括:
1)
针对恶意代码,使用前检查电子或光介质文件,以及从网络上收到的文件;

2)
针对恶意代码,使用前检查电子邮件附件和下载内容;
该检查可在不同位置进行,例如,在电子邮件服务器、台式计算机或进入组织的网络时;

3)
针对恶意代码,检查web页面;

e)
定义关于系统恶意代码防护、他们使用的培训、恶意代码攻击报告和从中恢复的管理程序和职责(见13.1和13.2);

f)
制定适当的从恶意代码攻击中恢复的业务连续性计划,包括所有必要数据和软件的备份以及恢复安排(见14章);

g)
实施程序定期收集信息,例如订阅邮件列表和/或检查提供新恶意代码的web站点;

h)
实施检验与恶意代码相关信息的程序,并确保报警公告是准确情报;
管理人员应确保使用合格的来源(例如,声誉好的期刊、可靠的Internet网站或防范恶意代码软件的供应商),以区分虚假的和实际的恶意代码;
要让所有用户了解欺骗问题,以及在收到它们时要做什么。

其它信息 在信息处理环境中使用来自不同供应商的防范恶意代码的两个或多个软件产品,能改进恶意代码防护的有效性。

可安装防恶意代码软件,提供定义文件和扫描引擎的自动更新,以确保防护措施是最新的。另外,也可在每一台台式机上安装该软件,以执行自动检查。

应注意防止在实施维护和紧急程序期间引入恶意代码,这将避开正常的恶意代码防护的控制措施。

10.4.2  控制移动代码 控制措施 当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。

实施指南 应考虑下列措施以防止移动代码执行未授权的活动:
a) 在逻辑上隔离的环境中执行移动代码;

b) 阻断移动代码的所有使用;

c) 阻断移动代码的接收;

d) 使技术测量措施在一个特定系统中可用,以确保移动代码受控;

e) 控制移动代码访问的可用资源;

f) 使用密码控制,以唯一的认证移动代码。

其它信息 移动代码是一种软件代码,它能从一台计算机传递到另一台计算机,随后自动执行并在很少或没有用户干预的情况下完成特定功能。移动代码与大量的中间件服务有关。

除确保移动代码不包含恶意代码外,必须控制移动代码,以避免系统、网络或应用资源的未授权使用或破坏,以及其他违反信息安全的活动。

10.5  备份 目标:保持信息和信息处理设施的完整性及可用性。

应为备份数据和演练及时恢复建立例行程序来实施已商定的策略和战略(见14.1)。

10.5.1  信息备份 控制措施 应按照已设的备份策略,定期备份和测试信息和软件。

实施指南 应提供足够的备份设施,以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。

信息备份的下列条款应加以考虑:
a)
应定义备份信息的必要级别;

b)
应建立备份拷贝的准确完整的记录和文件化的恢复程序;

c)
备份的程度(例如全部备份或部分备份)和频率应反映组织的业务要求、涉及信息的安全要求和信息对组织持续运作的关键度;

d)
备份要存储在一个远程地点,有足够距离,以避免主办公场所灾难时受到损坏;

e)
应给予备份信息一个与主办公场所应用标准相一致的适当的物理和环境保护等级(见第9章)。应扩充应用于主办公场所介质的控制,以涵盖备份场所;

f)
若可行,要定期测试备份介质,以确保当需要应急使用时可以依靠这些备份介质;

g)
恢复程序应定期检查和测试,以确保他们有效,并能在操作程序恢复所分配的时间内完成;

h)
在保密性十分重要的情况下,备份应通过加密方法进行保护。

各个系统的备份安排应定期测试以确保他们满足业务连续性计划(见14章)的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。

应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求(见15.1.3)。

其它信息 为使备份和恢复过程更容易,备份可安排为自动进行。这种自动化解决方案应在实施前进行充分的测试,还应做到定期测试。

10.6  网络安全管理 目标:确保网络中信息的安全性并保护支持性的基础设施。

可能跨越组织边界的网络安全管理,需要仔细考虑数据流、法律含义、监视和保护。

还可以要求另外的控制,以保护在公共网络上传输的敏感数据。

10.6.1  网络控制 控制措施 应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的应用程序的安全,包括传输中的信息。

实施指南 网络管理员应实施控制,以确保网络上的信息安全、防止未授权访问所连接的服务。特别是,下列条款应予以考虑:
a)
若合适,网络的操作职责要与计算机操作分开(见10.1.3);

b)
应建立远程设备(包括用户区域内的设备)管理的职责和程序;

c)
如有必要,应建立专门的控制,以保护在公用网络上或无线网络上传递数据的保密性和完整性,并且保护已连接的系统及应用(见11.4和12.3);
为维护所连接的网络服务和计算机的可用性,还可以要求专门的控制;

d)
为记录安全相关的活动,应使用适当的日志记录和监视措施;

e)
为优化对组织的服务和确保在信息处理基础设施上始终如一地应用若干控制措施,应紧密地协调管理活动。

其它信息 关于网络安全的另外信息见ISO/IEC 18028 网络安全。

10.6.2  网络服务安全 控制措施 安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。

实施指南 网络服务提供商以安全方式管理商定服务的能力应予以确定并定期监视,还应商定审核的权利。

应识别特殊服务的安全安排,例如安全特性、服务级别和管理要求。组织应确保网络服务提供商实施了这些措施。

其它信息 网络服务包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案,例如防火墙和入侵检测系统。这些服务既包括简单的未受控的带宽也包括复杂的增值的提供。

网络服务的安全特性可以是:
a) 为网络服务应用的安全技术,例如认证、加密和网络连接控制;

b) 按照安全和网络连接规则,网络服务的安全连接需要的技术参数;

c) 若需要,网络服务使用程序,以限制对网络服务或应用的访问。

10.7  介质处置 目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。

介质应受到控制和物理保护。

为使文件、计算机介质(如磁带、磁盘)、输入/输出数据和系统文件免遭未授权泄露、修改、删除和破坏,应建立适当的操作程序。

10.7.1  可移动介质的管理 控制措施 应有适当的可移动介质的管理程序。

实施指南 下列对于可移动介质的管理指南应加以考虑:
a)
对从组织取走的任何可重用的介质中的内容,如果不再需要,应使其不可重用;

b)
如果需要并可行,对于从组织取走的所有介质应要求授权,所有这种移动的记录应加以保持,以保持审核踪迹;

c)
要将所有介质存储在符合制造商说明的安全、保密的环境中;

d)
如果存储在介质中的信息使用时间比介质生命期长,则也要将信息存储在别的地方,以避免由于介质老化而导致信息丢失;

e)
应考虑可移动介质的登记,以减少数据丢失的机会;

f)
只应在有业务要求时,才使用可移动介质。

所有程序和授权级别要清晰地形成文件。

其它信息 可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。

10.7.2  介质的处置 控制措施 不再需要的介质,应使用正式的程序可靠并安全地处置。

实施指南 应建立安全处置介质的正式程序,以使敏感信息泄露给未授权人员的风险减至最小。安全处置包含敏感信息介质的程序应与信息的敏感性相一致。下列控制应予以考虑:
a) 包含有敏感信息的介质要秘密和安全地存储和处置,例如,利用焚化或切碎的方法,或者将数据删除供组织内其它应用使用;

b) 应有程序识别可能需要安全处置的项目;

c) 安排把所有介质部件收集起来并进行安全处置,比试图分离出敏感部件可能更容易;

d) 许多组织对纸、设备和介质提供收集和处置服务;
应注意选择具有足够控制措施和经验的合适的合同方;

e) 若有可能,处置敏感部件要做记录,以便保持审核踪迹。

当处置堆积的介质时,对集合效应应予以考虑,它可能使大量不敏感信息变成敏感信息。

其它信息 敏感信息可能由于粗心大意的介质处置而被泄露(见9.2.6有关设备处置的信息)。

10.7.3  信息处理程序 控制措施 应建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。

实施指南 应制定处置、处理、存储与分类一致的信息(见7.2)及与其通信的程序。下列条款应加以考虑:
a)
按照所显示的分类级别,处置和标记所有介质;

b)
确定防止未授权人员访问的限制;

c)
维护数据的授权接收者的正式记录;

d)
确保输入数据完整,正确完成了处理并应用了输出验证;

e)
按照与其敏感性一致的级别,保护等待输出的假脱机数据;

f)
根据制造商的规范存储介质;

g)
使分发的数据最少;

h)
清晰地标记数据的所有拷贝,以引起已授权接收者的关注;

i)
以固定的时间间隔评审分发列表和已授权接收者列表。

其它信息 这些程序应用于文件、计算系统、网络、移动计算、移动通信、邮件、话音邮件、通用话音通信、多媒体、邮政服务/设施、传真机的使用和任何其他敏感项目(例如,空白支票、发票)中的信息。

10.7.4  系统文件安全 控制措施 应保护系统文件以防止未授权的访问。

实施指南 对于系统文件安全,应考虑下列条款:
a)
要安全地存储系统文件;

b)
将系统文件的访问人员列表保持在最小范围,并且由应用责任人授权;

c)
应妥善地保护保存在公用网络上的或经由公用网络提供的系统文件。

其它信息 系统文件可以包含一系列敏感信息,例如,应用过程的描述、程序、数据结构、授权过程。

10.8  信息的交换 目标:保持组织内信息和软件交换及与外部组织信息和软件交换的安全。

组织间信息和软件的交换应基于一个正式的交换策略,按照交换协议执行,还应服从任何相关法律(见第15章)。

要建立程序和标准,以保护信息和在传输中包含信息的物理介质。

10.8.1  信息交换策略和程序 控制措施 应有正式的交换策略、程序和控制措施,以保护通过使用各种类型通信设施的信息交换。

实施指南 使用电子通信设施进行信息交换的程序和控制应考虑下列条款:
a) 设计用来防止交换信息遭受截取、复制、修改、错误寻址和破坏的程序;

b) 检测和防止可能通过使用电子通信传输的恶意代码的程序;

c) 保护以附件形式传输的敏感电子信息的程序;

d) 简述电子通信设施可接受使用的策略或指南(见7.1.3);

e) 无线通信使用的程序,要考虑所涉及的特定风险;

f) 雇员、承包方人员和所有第三方人员不危害组织的职责,例如诽谤、扰乱、扮演、连锁信寄送、未授权购买等;

g) 密码技术的使用,例如保护信息的保密性、完整性和真实性(见12.3);

h) 所有业务通信(包括消息)的保持和处理指南,要与相关国家和地方法律法规一致;

i) 不将敏感或关键信息留在打印设施上,例如复印机、打印机和传真机,因为这些设施可能被未授权人员访问;

j) 与通信设施转发相关的控制措施和限制,例如将电子邮件自动转发到外部邮件地址;

k) 提醒工作人员,他们应采取相应预防措施,例如,为不泄露敏感信息,避免打电话时被无意听到或窃听:
1)
当使用移动电话时,要特别注意在他们附近的人;

2)
搭线窃听、通过物理访问手持电话或电话线路以及受用扫描接收器的其他窃听方式;

3)
接收端的人;

l) 不要将包含敏感信息的消息留在应答机上,因为可能被未授权个人重放,也不能留在公用系统或者由于误拨号而被不正确地存储;

m) 提醒工作人员关于传真机的使用问题,即:
1)
未授权访问内置消息存储器,以检索消息;

2)
有意的或无意的对传真机编程,将消息发送给特定的电话号码;

3)
由于误拨号或使用错误存储的号码将文档和消息发送给错误的电话号码;

n) 提醒工作人员不要注册统计数据,例如任何软件中的电子邮件地址或其他人员信息,以避免未授权人员收集;

o) 提醒工作人员现代的传真机和影印机都有页面缓冲并在页面或传输故障时存储页面,一旦故障消除,这些将被打印。

另外,应提醒工作人员,不要在公共场所或开放办公室和薄围墙的会场进行保密会谈。

信息交换设施应符合所有相关的法律要求(见第15章)。

其它信息 可能通过使用很多不同类型的通信设施进行信息交换,例如电子邮件、声音、传真和视频。

可能通过很多不同类型的介质进行软件交换,包括从互联网下载和从出售现货的供应商处获得。

应考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全蕴涵。

由于在使用信息交换设施时缺乏意识、策略或程序,因此可能泄露信息,例如,在公开场所的移动电话被偷听、电子邮件消息的指示错误、应答机被偷听,未授权访问拨号语音邮件系统或使用传真设备意外地将传真发送到错误的传真设备上。

如果通信设施失灵、过载或中断,则可能中断业务运行并损坏信息(见10.3或第14章)。如果上述通信设施被未授权用户所访问,也可能损害信息(见第11章)。

10.8.2  交换协议 控制措施 应建立组织与外部团体交换信息和软件的协议。

实施指南 交换协议应考虑以下安全条款:
a) 控制和通知传输、分派和接收的管理职责;

b) 通知传输、分派和接收的发送者的程序;

c) 确保可追溯性和不可抵赖性的程序;

d) 打包和传输的最低技术标准;

e) 有条件转让契约;

f) 送信人标识标准;

g) 如果发生信息安全事件的职责和义务,例如数据丢失;

h) 商定的标记敏感或关键信息的系统的使用,确保标记的含义能直接理解,信息受到适当的保护;

i) 数据保护、版权、软件许可证符合性及类似考虑的责任和职责(见15.1.2和15.1.4);

j) 记录和阅读信息和软件的技术标准;

k) 为保护敏感项,可以要求任何专门的控制措施,例如密钥(见12.3)。

应建立和保持策略、程序和标准,以保护传输中的信息和物理介质(见10.8.3),这些还应在交换协议中进行引用。

任何协议的安全内容应反映涉及的业务信息的敏感度。

其它信息 协议可以是电子的或手写的,可能采取正式合同或任用条款的形式。对敏感信息而言,信息交换使用的特定机制对于所有组织和各种协议应是一致的。

10.8.3  运输中的物理介质 控制措施 包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。

实施指南 应考虑下列指南以保护不同地点间传输的信息介质:
a) 应使用可靠的运输或送信人;

b) 授权的送信人列表应经管理者批准;

c) 应开发检查送信人识别的程序;

d) 包装要足以保护信息免遭在运输期间可能出现的任何物理损坏,并且符合制造商的规范(例如软件),例如防止可能减少介质恢复效力的任何环境因素,例如暴露于过热、潮湿或电磁区域;

e) 若需要,应采取专门的控制,以保护敏感信息免遭未授权泄露或修改;
例子包括:
1)
使用可上锁的容器;

2)
手工交付;

3)
防篡改的包装(它可以揭示任何想获得访问的企图);

4)
在异常情况下,把托运货物分解成多次交付,并且通过不同的路线发送;

其它信息 信息在物理传输期间(例如通过邮政服务或送信人传送)易受未授权访问、不当使用或破坏。

10.8.4  电子消息发送 控制措施 包含在电子消息发送中的信息应给予适当的保护。

实施指南 电子消息发送的安全考虑应包括以下方面:
a) 防止消息遭受未授权访问、修改或拒绝服务攻击;

b) 确保正确的寻址和消息传输;

c) 服务的通用可靠性和可用性;

d) 法律方面的考虑,例如电子签名的要求;

e) 在使用外部公开服务(例如即时消息或文件共享)前获得批准;

f) 更强的用以控制从公开可访问网络进行访问的认证级别。

其它信息 电子消息(例如电子邮件、电子数据交换(EDI)、即时消息)在业务通信中充当一个日益重要的角色。电子消息与基于通信的纸面文件相比有不同的风险。

10.8.5  业务信息系统 控制措施 应建立并实施策略和程序,以保护与业务信息系统互联相关的信息。

实施指南 对于互连接(例如设施)的安全和业务蕴涵的考虑应包括:
a) 信息在组织的不同部门间共享时,在管理和会计系统中已知的脆弱性;

b) 业务通信系统中的信息的脆弱性,例如,记录电话呼叫或会议呼叫、呼叫的保密性、传真的存储,打开邮件,邮件分发;

c) 管理信息共享的策略和适当的控制;

d) 如果系统不提供适当级别的保护(见7.2),则没有考虑到敏感业务信息的类别和分类的文件;

e) 限制访问与特定人员(例如,参与敏感项目的工作人员)相关的日志信息;

f) 允许使用系统的工作人员、合同方或业务伙伴的类别以及可以访问该系统的位置;

g) 对特定的用户限制所选定的设施;

h) 识别出用户的身份,例如,组织的雇员,或者为其他用户利益的目录中的合同方;

i) 系统上存放的信息的保留和备份;

j) 基本维持运行的要求和安排(见第14章)。

其它信息 办公信息系统可通过结合使用文档、计算机、移动计算、移动通信、邮件、话音邮件、通用话音通信、多媒体、邮政服务/设施和传真机,来快速传播和共享业务信息。

10.9  电子商务服务 目标:确保电子商务服务的安全及其安全使用。

应考虑与使用电子商务服务相关的安全蕴涵,包括在线交易和控制要求。还应考虑通过公开可用系统以电子方式公布的信息的完整性和可用性。

10.9.1  电子商务 控制措施 包含在使用公共网络的电子商务中的信息应受保护,以防止欺诈活动、合同争议和未授权的泄露和修改。

实施指南 电子商务的安全考虑应包括:
a)
在彼此声称的身份中,每一方要求的信任级别,例如通过认证;

b)
与谁设定价格、发布或签署关键交易文件相关的授权;

c)
确保贸易伙伴完全接到他们的职责的通知;

d)
决定并满足保密性、完整性和关键文件的分发和接收的证明以及合同不可抵赖性方面的要求,例如关于提出和订约过程;

e)
公开价格表的完整性所需的可信级别;

f)
任何敏感数据或信息的保密性;

g)
任何订单交易、支付信息、交付地址细节和接收确认的保密性和完整性;

h)
适于检查用户提供的支付信息的验证程度;

i)
为防止欺诈,选择最适合的支付解决形式;

j)
为保持订单信息的保密性和完整性要求的保护级别;

k)
避免交易信息的丢失或复制;

l)
与所有欺诈交易相关的责任;

m)
保险要求。

上述许多考虑可以通过应用密码技术来实现(见12.3),还要考虑符合法律要求(见15.1,特别见15.1.6密码法规)。

应通过文件化的协议来支持贸易伙伴之间的电子商务安排,该协议使双方致力于商定的交易条款,包括授权细节(见上述b))。与信息服务部门和增值网络提供者的其他协议可能也是必要的。

公共交易系统应向顾客公布其业务项目。

对用于电子商务的主机受攻击的恢复能力以及其电子商务服务实现所要求的任何网络互连的安全所涉及的问题应予以考虑(见11.4.6)。

其它信息 电子商务易受到许多网络威胁,这些威胁可能导致欺诈活动、合同争端和信息的泄露或修改。

电子商务能充分利用安全认证方法(例如使用公开密钥系统和数字签名(见12.3))以减少风险。另外,当需要这些服务时,可使用可信第三方。

10.9.2  在线交易 控制措施 包含在在线交易中的信息应受保护,以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。

实施指南 在线交易的安全考虑应包括以下几点:
a) 交易中涉及的每一方的电子签名的使用;

b) 交易的所有方面,例如确保:
1)
各方的用户信任是有效的并经过验证的;

2)
交易是保密的;

3)
保留与涉及的各方相关的隐私;

c) 加密涉及的各方的通信路径;

d) 在涉及的各方之间通信的协议是安全的;

e) 确保交易细节存储于任何公开可用环境之外(例如,存储于组织内部互联网的存储平台),不留在或暴露于互联网可直接访问的存储介质上。

f) 当使用一个可信权威时(例如为了颁布及维护数字签名及/或数字认证),安全可集成嵌入到整个端到端认证/签名管理过程中。

其它信息 采用控制措施的程度要对应于在线交易的每个形式相关的风险级别。

交易需要符合交易产生、处理、完成或存储的管理区域的法律、规则和法规。

存在很多形式的交易可用在线的方式执行,例如契约的或财政的等等。

10.9.3  公共可用信息 控制措施 在公共可用系统中可用信息的完整性应受保护,以防止未授权的修改。

实施指南 应通过适当的机制(例如数据签名(见12.3))保护需要高完整性级别的,可在公共可用系统中得到的软件、数据和其它信息。在信息可用前,应测试公共可用系统,以防止弱点和故障。

在信息公开可用前,应有正式的授权过程。另外,所有从外部对系统提供的输入应经过验证和批准。

应小心地控制电子发布系统,特别是允许反馈和直接录入信息的那些电子发布系统,以便:
a)
按照任何数据保护法律获得信息(见15.1.4);

b)
对输入到发布系统并由发布系统处理的信息将以及时的方式完整而准确地予以处理;

c)
在收集信息过程期间和存储信息时,保护敏感信息;

d)
对发布系统的访问不允许无意识地访问与之连接的网络。

其它信息 在公共可用系统上的信息(例如,经由Internet可访问的Web服务器上的信息)需要符合该系统所在的或贸易发生的或责任人居住的管辖区域内的法律、规则和规章。发布信息的未授权修改可能损害发布组织的声望。

10.10  监视 目标:检测未经授权的信息处理活动。

应监视系统,记录信息安全事态。应使用操作员日志和故障日志以确保识别出信息系统的问题。

一个组织的监视和日志记录活动应遵守所有相关法律的要求。

应使用系统监视检查所采用控制措施的有效性,并验证与访问策略模型的一致性。

10.10.1  审计日志 控制措施 应产生记录用户活动、异常和信息安全事态的审计日志,并要保持一个已设的周期以支持将来的调查和访问控制监视。

实施指南 审计日志应在需要时包括:
a)
用户ID;

b)
日期、时间和关键事态的细节,例如登录和退出;

c)
若有可能,终端身份或位置;

d)
成功的和被拒绝的对系统尝试访问的记录;

e)
成功的和被拒绝的对数据以及其他资源尝试访问的记录;

f)
系统配置的变化;

g)
特殊权限的使用;

h)
系统实用工具和应用程序的使用;

i)
访问的文件和访问类型;

j)
网络地址和协议;

k)
访问控制系统引发的警报;

l)
防护系统的激活和停用,例如防病毒系统和入侵检测系统。

其它信息 审计日志包含闯入入侵和机密人员的数据,应采取适当的隐私保护措施(见15.1.4)。可能时,系统管理员不应有删除或停用他们自己活动日志的权利。

10.10.2  监视系统的使用 控制措施 应建立信息处理设施的监视使用程序,监视活动的结果要经常评审。

实施指南 各个设施的监视级别应由风险评估决定。一个组织应符合所有相关的适用于监视活动的法律要求。要考虑的范围包括:
a) 授权访问,包括细节,例如:
1)
用户ID;

2)
关键事态的日期和时间;

3)
事态类型;

4)
访问的文件;

5)
使用的程序/工具;

b) 所有特殊权限操作,例如:
1)
特殊权限帐户的使用,例如监督员、根用户、管理员;

2)
系统的启动和终止;

3)
I/O设备的装配/拆卸;

c) 未授权的访问尝试,例如:
1)
失败的或被拒绝的用户活动;

2)
失败的或被拒绝的涉及数据和其他资源的活动;

3)
违反访问策略或网关和防火墙的通知;

4)
私有入侵检测系统的警报;

d) 系统警报或故障,例如:
1)
控制台警报或消息;

2)
系统日志异常;

3)
网络管理警报;

4)
访问控制系统引发的警报;

e) 改变或企图改变系统的安全设置和控制措施。

监视活动的结果多长时间进行评审应依赖于涉及的风险。应考虑的风险因素包括:
a) 应用过程的关键程度;

b) 所涉及信息的价值、敏感度和关键程度;

c) 系统渗透和不当使用的经历,脆弱性被利用的频率;

d) 系统互连接的程度(尤其是公共网络);

e) 设备被停用的日志记录。

其它信息 必须使用监视程序以确保用户只执行被明确授权的活动。

日志评审包括系统所面临威胁的理解和可能出现的方式。更多关于事件的例子见信息安全事件的13.1.1。

10.10.3  日志信息的保护 控制措施 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。

实施指南 应实施控制措施以防止日志设施被未授权更改和出现操作问题,例如:
a) 更改已记录的消息类型;

b) 日志文件被编辑或删除;

c) 超越日志文件介质存储能力的界限,导致不能记录事态或过去记录事态被覆盖。

一些审计日志可能需要被存档,以作为记录保持策略的一部分或由于收集和保留证据的要求(也见13.2.3)。

其它信息 系统日志通常包含大量的信息,其中许多与安全监视无关。为帮助识别出对安全监视目的有重要意义的事态,应考虑将相应的消息类型自动地拷贝到第二份日志,和/或使用适合的系统实用工具或审计工具执行文件查询及规范化。

需要保护系统日志,因为如果其中的数据被修改或删除,可能导致一个错误的安全判断。

10.10.4  管理员和操作员日志 控制措施 系统管理员和系统操作员的活动应记入日志。

实施指南 日志要包括:
a)
事态(成功的或失败的)发生的时间;

b)
关于事态(例如处理的文件)或故障(发生的差错和采取的纠正措施)的信息;

c)
涉及的帐号和管理员或操作员;

d)
涉及的过程。

系统操作员和操作员日志应定期评审。

其它信息 对在系统和网络管理员控制之外进行管理的入侵检测系统可以用来监视系统和网络管理活动的符合性。

10.10.5  故障日志 控制措施 故障应被记录、分析,并采取适当的措施。

实施指南 与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录。对于处置所报告的故障要有明确的规则,包括:
a)
评审故障日志,以确保已满意地解决故障;

b)
评审纠正措施,以确保没有危及控制措施的安全,以及所采取的措施给予了充分授权。

如果具有错误记录的系统功能,应确保该功能处于开启状态。

其它信息 错误和故障日志记录能影响系统的性能。这些日志记录应由胜任的员工激活,对各个系统所需的日志记录的级别应由风险评估决定,要考虑性能的降低。

10.10.6  时钟同步 控制措施 一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。

实施指南 若计算机或通信设备有能力运行实时时钟,则时钟应置为商定的标准,例如,世界标准时间(UTC)或本地标准时间。当已知某些时钟随时间漂移,应有一个校验和校准所有重大变化的程序。

日期/时间格式的正确解释对确保时间戳反映实时的日期/时间是重要的。还应考虑局部特异性(例如夏令时间)。

其它信息 正确设置计算机时钟对确保审计记录的准确性是重要的,审计日志可用于调查或作为法律、法规案例的证据。不准确的审计日志可能妨碍调查,并损害这种证据的可信性。链接到国家原子钟无线电广播时间的时钟可用于记录系统的主时钟。可以用网络时间协议保持所有服务器与主时钟同步。

11  访问控制 11.1  访问控制的业务要求 目标:控制对信息的访问。

对信息、信息处理设施和业务过程的访问应在业务和安全要求的基础上予以控制。

访问控制规则应考虑到信息传播和授权的策略。

11.1.1  访问控制策略 控制措施 访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。

实施指南 应在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利。访问控制包括逻辑的和物理的(也见第9章),他们应一起考虑。应给用户和服务提供商提供一份清晰的应满足的业务要求的说明。

策略应考虑到下列内容:
a)
各个业务应用的安全要求;

b)
与业务应用相关的所有信息的标识和该信息面临的风险;

c)
信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需要(见7.2);

d)
不同系统和网络的访问控制策略和信息分类策略之间的一致性;

e)
关于保护访问数据或服务的相关法律和合同义务(见15.1);

f)
组织内常见工作角色的标准用户访问轮廓;

g)
在认可各种可用的连接类型的分布式和网络化环境中的访问权的管理;

h)
访问控制角色的分离,例如访问请求、访问授权、访问管理;

i)
访问请求的正式授权要求(见11.2.1);

j)
访问控制的定期评审要求(见11.2.4);

k)
访问权的取消(见8.3.3)。

其它信息 在规定访问控制规则时,应认真考虑下列内容:
a)
将强制性规则和可选的或有条件的指南加以区分;

b)
在“未经明确允许,则必须一律禁止”的前提下,而不是“未经明确禁止,一律允许”的规则的基础上建立规则;

c)
信息处理设施自动启动的信息标记(见7.2)和用户任意启动的信息标记的变更;

d)
信息系统自动启动的用户许可变更和由管理员启动的那些用户许可变更;

e)
在颁发之前,需要特别批准的规则以及无须批准的那些规则。

访问控制规则应有正式的程序支持,并清晰的定义职责(见,例如,6.1.3、11.3、10.4.1、11.6)
11.2  用户访问管理 目标:确保授权用户访问信息系统,并防止未授权的访问。

应有正式的程序来控制对信息系统和服务的访问权的分配。

这些程序应涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销。在适当的地方,应特别注意对有特殊权限的访问权的分配加以控制的需要,这种访问权可以使用户越过系统的控制措施。

11.2.1  用户注册 控制措施 应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。

实施指南 用户注册和撤销的访问控制程序应包括:
a)
使用唯一用户ID,使得用户与其行为链接起来,并对其行为负责;
在对于业务或操作而言必需的地方,才允许使用组ID,并应经过批准和形成文件;

b)
检查使用信息系统或服务的用户是否具有该系统拥有者的授权;
取得管理者对访问权的单独批准也是合适的;

c)
检查所授予的访问级别是否与业务目的(见11.1)相适合,是否与组织的安全方针保持一致,例如,它没有违背责任分割原则(见10.1.3);

d)
给用户一份关于访问权的书面声明;

e)
要求用户签署表示理解访问条件的声明;

f)
确保直到已经完成授权程序,服务提供者才提供访问;

g)
维护一份注册使用该服务的所有人员的正式记录;

h)
立即取消或封锁工作角色或岗位发生变更,或离开组织的用户的访问权;

i)
定期检查并取消或封锁多余的用户ID和帐号(见11.2.4);

j)
确保多余的用户ID不会发给其他用户。

其它信息 应考虑基于业务要求建立用户访问角色,它将大量的访问权归结到典型的用户访问轮廓中。在这种角色级别上对访问请求和评审(见11.2.4)进行管理要比在特定的权限级别上容易些。

应考虑在人员合同和服务合同中将在员工或服务代理试图进行未授权访问时的有关处罚措施的条款包括进去(也见6.1.5、8.1.3和8.2.3)。

11.2.2  特殊权限管理 控制措施 应限制和控制特殊权限的分配及使用。

实施指南 需要防范未授权访问的多用户系统应通过正式的授权过程使特殊权限的分配受到控制。应考虑下列步骤:
a)
应标识出与每个系统产品,例如,操作系统、数据库管理系统和每个应用程序,相关的访问特殊权限,以及必须将其分配的用户;

b)
特殊权限应按照访问控制策略(11.1.1)在“按需使用”和“一事一议”的基础上分配给用户,例如仅当需要时,才为其职能角色分配最低要求;

c)
应维护所分配的各个特殊权限的授权过程及其记录。在未完成授权过程之前,不应授予特殊权限;

d)
应促进开发和使用系统例行程序,以避免把特殊权限授予用户的需要;

e)
应促进开发和使用避免具有特殊权限才能运行的程序;

f)
特殊权限应被分配一个不同于正常业务用途所用的用户ID。

其它信息 系统管理特殊权限(使用户无视系统或应用控制措施的信息系统的任何特性或设施)的不恰当使用可能是一种导致系统故障或违规的主要因素。

11.2.3  用户口令管理 控制措施 应通过正式的管理过程控制口令的分配。

实施指南 此过程应包括下列要求:
a)
应要求用户签署一份声明,以保证个人口令的保密性和组口令仅在该组成员范围内使用;
签署的声明可包括在任用条款和条件中(见8.1.3);

b)
若需要用户维护自己的口令,应在初始时提供给他们一个安全的临时口令(见11.3.1),并强制其立即改变;

c)
在提供一个新的、代替的或临时的口令之前,要建立验证用户身份的程序;

d)
应以安全的方式将临时口令给予用户;
应避免使用第三方或未保护的(明文)电子邮件消息;

e)
临时口令对个人而言应是唯一的、不可猜测的;

f)
用户应确认收到口令;

g)
口令不应以未保护的形式存储在计算机系统内;

h)
应在系统或软件安装后改变提供商的默认口令。

其它信息 口令是按照用户授权赋予对信息系统或服务的访问权之前,验证用户身份的一种常用手段。用户标识和鉴别的其他技术,诸如生物特征识别,如指纹验证,签名验证,和硬件标记的使用,如智能卡,这些技术均可用,如果合适,应加以考虑。

11.2.4  用户访问权的复查 控制措施 管理者应定期使用正式过程对用户的访问权进行复查。

实施指南 访问权的复查应考虑下列指南:
a) 应定期(如,周期为6个月)和在任何变更之后(诸如提升、降级或雇用终止(见11.2.1)),对用户的访问权进行复查;

b) 当在同一个组织中从一个岗位换到另一个岗位时,应复查和重新分配用户的访问权;

c) 对于特定的特殊权限的访问权的授权(见11.2.2)应在更频繁的时间间隔内进行复查,如周期为3个月;

d) 应定期检查特殊权限的分配,以确保不能获得未授权的特殊权限;

e) 具有特殊权限的帐户的变更应在周期性复查时记入日志。

其它信息 定期复查用户的访问权对于保持对数据和信息服务的有效控制来说,是必要的。

11.3  用户职责 目标:防止未授权用户对信息和信息处理设施的访问、危害或窃取。

已授权用户的合作对实现有效的安全十分重要。

应使用户知悉其维护有效的访问控制的职责,特别是关于口令使用和用户设备的安全方面的职责。

应实施桌面清空和屏幕清空策略以降低未授权访问或破坏纸、介质和信息处理设施的风险。

11.3.1  口令使用 控制措施 应要求用户在选择及使用口令时,遵循良好的安全习惯。

实施指南 建议所有用户:
a)
保密口令;

b)
避免保留口令的记录(例如在纸上、软件文件中或手持设备中),除非可以对其进行安全地存储及存储方法得到批准;

c)
每当有任何迹象表明系统或口令受到损害时就变更口令;

d)
选择具有最小长度的优质口令,这些口令:
1)
要易于记忆;

2)
不能基于别人容易猜测或获得的与使用人相关的信息,例如,名字、电话号码和生日等等;

3)
不容易遭受字典攻击(例如不是由字典中的词所组成的);

4)
避免连续相同的,全数字的或全字母的字符。

e)
定期或以访问次数为基础变更口令(有特殊权限的账户的口令应比常规口令更频繁地予以变更),并且避免重新使用旧的口令或周期性使用旧的口令;

f)
在初次登录时更换临时口令;

g)
在任何自动登录过程(例如,以宏或功能键存储)中,不要包含口令;

h)
个人的用户口令不要共享;

i)
不在业务目的和非业务目的中使用相同的口令。

如果用户需要访问多服务、系统或平台,并且要求维护多个单独的口令,则应建议他们可以使用同一个优质的口令(见上述d))用于所有服务,但用户要确信在每一个服务、系统或平台内对口令的存储建立了合理级别的保护。

其它信息 要特别小心管理处理口令丢失或忘记的桌面帮助系统,因为这也可能是对口令系统的一种攻击手段。

11.3.2  无人值守的用户设备 控制措施 用户应确保无人值守的用户设备有适当的保护。

实施指南 所有用户应了解保护无人值守的设备的安全要求和程序,以及他们对实现这种保护所负有的职责。建议用户应:
a)
结束时终止活动的会话,除非采用一种合适的锁定机制保证其安全,例如,有口令保护的屏幕保护程序;

b)
当会话结束时退出主计算机、服务器和办公PC(即,不仅仅关掉PC屏幕或终端);

c)
当不使用设备时(也见11.3.3),用带钥匙的锁或与之效果等同的控制措施来保护PC或终端免遭未授权使用,例如,口令访问。

其它信息 在用户范围内安装的设备(例如工作站或文件服务器)在长期无人值守时可能需要专门的保护,以防未授权访问。

11.3.3  清空桌面和屏幕策略 控制措施 应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。

实施指南 清空桌面和清空屏幕策略应考虑信息分类(见7.2)、法律和合同要求(见15.1)、相应的风险和组织的文化方面。下列指南应予以考虑:
a)
当不用时,特别是当离开办公室时,应将敏感或关键业务信息,如在纸质或电子存储介质中的,锁起来(理想情况下,在保险柜或保险箱或其他形式的安全设备中);

b)
当无人值守时,计算机和终端应注销,或使用由口令、令牌或类似的用户鉴别机制控制的屏幕和键盘锁定机制进行保护;
当不使用时,应使用带钥匙的锁、口令或其他控制措施进行保护;

c)
进出的邮件点和无人值守的传真机应受到保护;

d)
应防止复印机或其他复制技术(例如扫描仪、数字照相机)的未授权使用;

d)
包含敏感或机密信息的文件应立即从打印机中清除。

其它信息 清空桌面/清空屏幕策略降低了正常工作时间之中和之外对信息的未授权访问、丢失、破坏的风险。保险箱或其他形式的安全存储设施也可保护存储于其中的信息免受灾难(例如火灾、地震、洪水或爆炸)的影响。

要考虑使用带有个人识别码功能的打印机,使得原始操作人员是能获得打印输出的唯一人员,和站在打印机边的唯一人员。

11.4  网络访问控制 目标:防止对网络服务的未授权访问。

对内部和外部网络服务的访问均应加以控制。

访问网络和网络服务的用户不应损害网络服务的安全,应确保:
a) 在本组织的网络和其他组织拥有的网络,以及公共网络之间有合适的接口;

b) 对用户和设备应用合适的鉴别机制;

c) 对用户访问信息服务的强制控制。

11.4.1  使用网络服务的策略 控制措施 用户应仅能访问已获专门授权使用的服务。

实施指南 应制定关于使用网络和网络服务的策略。这一策略应包括:
a)
允许被访问的网络和网络服务;

b)
确定允许哪个人访问哪些网络和网络服务的授权程序;

c)
保护访问网络连接和网络服务的管理控制措施和程序;

d)
访问网络和网络服务使用的手段(例如,拨号访问互联网服务提供商或远程系统的条件)。

网络服务使用策略应与业务访问控制策略相一致(见11.1)。

其它信息 与网络服务的未授权和不安全连接可以影响整个组织。对于到敏感或关键业务应用的网络连接或与高风险位置(例如,超出组织安全管理和控制的公共区域或外部区域)的用户的网络连接而言,这一控制措施特别重要。

11.4.2  外部连接的用户鉴别 控制措施 应使用适当的鉴别方法以控制远程用户的访问。

实施指南 远程用户的鉴别可以使用,例如,密码技术、硬件令牌或询问/响应协议,来实现。在各种各样的虚拟专用网络(VPN)解决方案中可以发现这种技术可能的实现。专线也可用来提供连接来源的保证。

回拨程序和控制措施,例如使用回拨调制解调器,可以提供防范到组织信息处理设施的未授权和不希望的连接。这种类型的控制措施可鉴别从远程地点试图与组织网络建立连接的用户。当使用这种控制措施时,组织应不要使用包括前向呼叫的网络服务,或者,如果使用了这种前向呼叫的网络服务,则应禁用这种特性,以避免与之相关的弱点。反向呼叫过程应确保组织发生了实际的连接断开。否则,远程用户可能保持线路开路,假装进行了反向呼叫验证。对于这种可能性,应充分地测试反向呼叫程序和控制措施。

若远程用户组被连接到一个安全的、共享的计算机设施,那么,结点鉴别可作为一种进行鉴别的替代手段。密码技术,例如,建立在机器证书基础上,可用于结点鉴别。这是一些VPN解决方案中的一部分。

应实施另外的鉴别控制措施以控制对无线网络的访问。尤其是,由于不可检测的截取和插入网络流的机会较大,在为无线网络选择控制措施时需要特别小心。

其它信息 外部连接为未授权访问业务信息提供了可能,例如,通过拨号方法的访问。有不同类型的鉴别方法,其中某些方法提供比其他方法更高级别的保护,例如,基于使用密码技术的方法可以提供强鉴别。重要的是根据风险评估确定需要的保护级别。这对于合适的选择一种鉴别方法是必需的。

与远程计算机自动连接的设施可能提供获得对业务应用的未授权访问的一种方式。如果该连接使用了组织安全管理控制之外的网络,这一点尤其重要。

11.4.3  网络上的设备标识 控制措施 应考虑自动设备标识,将其作为鉴别特定位置和设备连接的方法。

实施指南 如果通信只能从某特定位置或设备处开始,则可使用设备标识。设备内的或贴在设备上的标识符可用于表示此设备是否允许连接网络。如果存在多个网络,尤其是如果这些网络有不同的敏感度,这些标识符应清晰的指明设备允许连接到哪个网络。考虑设备的物理保护以维护设备标识符的安全可能是必要的。

其它信息 这一控制措施可补充其他技术以鉴别设备的用户(见11.4.2)。设备标识可用于用户鉴别。

11.4.4  远程诊断和配置端口的保护 控制措施 对于诊断和配置端口的物理和逻辑访问应加以控制。

实施指南 对于诊断和配置端口的访问可能采取的控制措施包括使用带钥匙的锁和支持程序,以控制对端口的物理访问。例如,这种支持程序是确保只有按照计算机服务管理人员和需要访问的硬件/软件支持人员之间的安排,才可访问诊断和配置端口。

如果没有特别的业务需要,那么安装在计算机或网络设施中的端口、服务和类似的设施, 应禁用或取消。

其它信息 许多计算机系统、网络系统和通信系统安装了远程诊断或配置工具,以便维护工程师使用。如果未加保护,则这些诊断端口提供了一种未授权访问的手段。

11.4.5  网络隔离 控制措施 应在网络中隔离信息服务、用户及信息系统。

实施指南 控制大型网络的安全的一种方法是将该网络分成独立的逻辑网络域,例如,组织的内部网络域和外部网络域,每个域受到已定义的安全周边的保护。不同等级的控制措施集可应用于不同的逻辑网络域,以进一步隔离网络安全环境,例如公共可访问系统、内部网络和关键资产。域的定义应基于风险评估和每个域内的不同安全要求。

这样的网络周边可以通过在互连的两个网络之间安装一个安全网关来实现,以控制这两个域之间的访问和信息流。这一网关应配置成能过滤这些域之间的通信量(见11.4.6和11.4.7),并且能按照组织的访问控制策略阻挡未授权访问(见11.1)。例如,这种类型的网关通常被称作防火墙。另外一个隔离独立的逻辑域的方法是通过为组织内的用户组使用虚拟专用网来限制网络访问。

网络隔离还可以使用网络设备的功能,例如IP转换。独立域可以通过使用路由/交换性能,诸如访问控制列表,控制网络数据流而实现。

将网络隔离成若干域的准则应基于访问控制策略和访问要求(见10.1),还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响(见11.4.6和11.4.7)。

另外,为减少服务破坏的总的影响,网络的隔离应基于网络中存储或处理信息的价值和分类、信任级别或业务线。

应考虑无线网络与内部和专用网络的隔离。因为无线网络的周边不好定义,在这种情况下,应执行风险评估以识别控制措施(例如,强鉴别、密码手段和频率选择),以维持网络隔离。

其它信息 正在日益扩充的网络超出了传统的组织边界,因为形成的业务伙伴可能需要信息处理和网络设施的互连或共享。这样的扩充可能增加对使用此网络的现有的信息系统进行未授权访问的风险,其中的某些系统由于其敏感性或关键性可能需要防范其他的网络用户。

11.4.6  网络连接控制 控制措施 对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见11.1)。

实施指南 应按照访问控制策略的要求,维护和更新用户的网络访问权(见11.1.1)。

用户的连接能力可通过网关来限制,该网关按照预先定义的表或规则过滤通信量。应运用限制的应用示例:
a)
消息传递,例如电子邮件;

b)
文件传送;

c)
交互式访问;

d)
应用访问。

应考虑将网络访问权与某天的特定时间或日期连接起来。

其它信息 共享网络,特别是扩充跨越组织边界的那些共享网络,的访问控制策略要求,可能需要引入限制用户连接能力的控制措施。

11.4.7  网络路由控制 控制措施 应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应用的访问控制策略。

实施指南 路由控制措施应基于确定的源地址和目的地址校验机制。

如果使用了代理和/或网络地址转换技术,则可使用安全网关在内部和外部网络控制点验证源地址和目的地址。实施者应了解所采用的机制的强度和缺点。网络路由控制的要求应基于访问控制策略(见11.1)。

其它信息 共享网络,特别是扩充跨越组织边界的那些共享网络,可能需要另外的路由控制措施。在与第三方(非组织)用户共享的网络中,这一控制措施特别适用。

11.5  操作系统访问控制 目标:防止对操作系统的未授权访问。

应使用安全设施以限制授权用户访问操作系统。这些设施应该包括下列内容:
a) 按照已定义的访问控制策略鉴别授权用户;

b) 记录成功和失败的系统鉴别企图;

c) 记录专用系统特殊权限的使用;

d) 当违背系统安全策略时发布警报;

e) 提供合适的鉴别手段;

f) 恰当时,限制用户的连接次数。

11.5.1  安全登录程序 控制措施 访问操作系统应通过安全登录程序加以控制。

实施指南 登录到操作系统的程序应设计成使未授权访问的机会减到最小。因此,登录程序应泄露最少有关系统的信息,以避免给未授权用户提供任何不必要的帮助。良好的登录程序应:
a)
不显示系统或应用标识符,直到登录过程已成功完成为止;

b)
显示只有已授权的用户才能访问计算机的一般性的告警通知;

c)
在登录过程中,不提供对未授权用户有帮助作用的帮助消息;

d)
仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;

e)
限制所允许的不成功登录尝试的次数(推荐3次)并考虑:
1)
记录不成功的尝试和成功的尝试;

2)
在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试;

3)
断开数据链路连接;

4)
如果达到登录的最大尝试次数,向系统控制台发送警报消息;

5)
结合口令的最小长度和被保护系统的价值,设置口令重试的次数;

f)
限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录;

g)
在成功登录完成时,显示下列信息:
1)
前一次成功登录的日期和时间;

2)
上次成功登录之后的任何不成功登录尝试的细节;

h)
不显示输入的口令或考虑通过符号隐藏口令字符;

i)
不在网络上以明文传输口令。

其它信息 在网络上登录会话期间,如果口令以明文传输,它们可能会被网络上的网络“嗅探器”程序捕获。

11.5.2  用户标识和鉴别 控制措施 所有用户应有唯一的、专供其个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户所宣称的身份。

实施指南 应将这一控制措施应用于所有类型的用户(包括技术支持人员,操作员,网络管理员、系统程序员和数据库管理员)。

应使用用户ID来将各个活动追踪到各个责任人。常规的用户活动不应使用有特殊权限的帐户执行。

在例外情况下,如存在明显的业务利益,可以采用一组用户或一项特定作业使用一个一个共享的用户ID的做法。对于这样的情况,应将管理者的批准形成文件。为保持可核查性,可以要求另外的控制措施。

应仅在下列情况下允许个人使用的普通ID,即该ID执行的可访问功能或行为不需要追踪(例如只读访问),或者具有其他控制措施(例如,普通ID的口令一次仅发给一个员工,并记录这种情况)。

需要强鉴别和身份验证时,应使用鉴别方法代替口令,例如密码手段、智能卡、令牌或生物特征识别手段。

其它信息 口令(见11.3.1和11.5.3)是一种非常通用的提供标识和鉴别的方法,这种标识和鉴别是建立在只有用户知悉的秘密的基础上的。使用密码手段和鉴别协议也可以获得同样的效果。用户标识和鉴别的强度应和所访问信息的敏感程度相适应。

用户拥有的对象(诸如记忆令牌或智能卡)也可以用于标识和鉴别。利用个人的唯一特征或属性的生物特征鉴别技术也可用来鉴别个人的身份。技术和机制的安全组合将产生更强的鉴别。

11.5.3  口令管理系统 控制措施 口令管理系统应是交互式的,并应确保优质的口令。

实施指南 一个口令管理系统应:
a)
强制使用个人用户ID和口令,以保持可核查性;

b)
允许用户选择和变更他们自己的口令,并且包括一个确认程序,以便考虑到输入出错的情况;

c)
强制选择优质口令(见11.3.1);

d)
强制口令变更(见11.3.1);

e)
在第一次登录时强制用户变更临时口令(见11.2.3);

f)
维护用户以前使用的口令的记录,并防止重复使用;

g)
在输入口令时,不在屏幕上显示;

h)
分开存储口令文件和应用系统数据;

i)
以保护的形式(例如加密或哈希)存储和传输口令。

其它信息 口令是确认用户具有访问计算机服务的授权的主要手段之一。

某些应用要求由某个独立授权机构来分配用户口令;
在这种情况下,上述指南b)、d)和e)不适用。在大多数情况下,口令由用户选择和维护。使用口令的指南参见11.3.1。

11.5.4  系统实用工具的使用 控制措施 可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制。

实施指南 应考虑使用系统实用工具的下列指南:
a)
对系统实用工具使用标识、鉴别和授权程序;

b)
将系统实用工具和应用软件分开;

c)
将使用系统实用工具的用户限制到可信的、已授权的最小实际用户数(也见11.2.2);

d)
特别系统实用工具的授权;

e)
限制系统实用工具的可用性,例如,在授权变更的时间内;

f)
记录系统实用工具的所有使用;

g)
对系统实用工具的授权级别进行定义并形成文件;

h)
移去或禁用基于实用工具和系统软件的所有不必要软件;

i)
当要求责任分割时,禁止访问系统中应用程序的用户使用系统实用工具。

其它信息 大多数计算机安装有一个或多个可能超越系统和应用控制措施的系统实用工具。

11.5.5  会话超时 控制措施 不活动会话应在一个设定的休止期后关闭。

实施指南 在一个设定的休止期后,超时设施应清空会话屏幕并且,也可能在超时更长时,关闭应用和网络会话。超时延迟应反映该范围的安全风险,被处理的信息和被使用的应用程序的类别,以及与设备的用户相关的风险。

对某些清空屏幕并防止未授权访问,但没有关闭应用或网络会话的系统可以提供一种受限制的超时设施形式。

其它信息 这一控制措施在高风险位置特别重要,包括那些在组织安全管理之外的公共或外部区域。会话应关闭以防止未授权人员访问和拒绝服务攻击。

11.5.6  联机时间的限定 控制措施 应使用联机时间的限制,为高风险应用程序提供额外的安全。

实施指南 应考虑对敏感的计算机应用程序,特别是安装在高风险位置(例如,超出组织安全管理的公共或外部区域)的应用程序,使用连机时间的控制措施。

这种限制的示例包括:
a)
使用预先定义的时隙,如对批文件传输,或定期的短期交互会话;

b)
如果没有超时或延时操作的要求,则将连机时间限于正常办公时间;

c)
考虑定时进行重新鉴别。

其它信息 限制与计算机服务连接的允许时间减少了未授权访问机会。限制活动会话的持续时间可防范用户保持会话打开而阻碍重新鉴别。

11.6  应用和信息访问控制 目标:防止对应用系统中信息的未授权访问。

应使用安全设施来限制对应用系统的访问和应用系统内的访问。

对应用软件和信息的逻辑访问应只限于已授权的用户。应用系统应:
a) 按照已确定的访问控制策略,控制用户访问信息和应用系统功能;

b) 提供防范能够超越或绕过系统或应用控制措施的任何实用工具、操作系统软件和恶意软件的未授权访问;

c) 不损坏与之共享信息资源的其他系统的安全。

11.6.1  信息访问限制 控制措施 用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。

实施指南 对访问的限制应基于各个业务应用要求。访问控制策略还应与组织的访问策略(见11.1)一致。

为支持访问限制要求,应考虑应用以下指南:
a)
提供控制访问应用系统功能的选择单;

b)
控制用户的访问权,如,读、写、删除和执行;

c)
控制其他应用的访问权;

d)
确保处理敏感信息的应用系统的输出仅包含与使用输出相关的信息,并且仅发送给已授权的终端和地点;
这应包括周期性评审这种输出,以确保去掉多余信息。

11.6.2  敏感系统隔离 控制措施 敏感系统应有专用的(隔离的)运算环境。

实施指南 对于敏感系统隔离,应考虑以下内容:
a)
应用程序的责任人应明确识别应用系统的敏感程度,并将其形成文件(见7.1.2)。

b)
当敏感应用程序在共享的环境中运行时,该敏感应用程序的责任人应识别并接受与其共享资源的应用系统及相关风险。

其它信息 某些应用系统对潜在的损失十分敏感,因此要求特别处理。敏感性可能表示该应用系统:
a) 应运行在专用的计算机上;

b) 应仅与可信的应用系统共享资源。

隔离可通过使用物理或逻辑手段实现(也见11.4.5)。

11.7  移动计算和远程工作 目标:确保使用移动计算和远程工作设施时的信息安全。

需要的保护措施应与这些特定工作方式引起的风险相称。

当使用移动计算时,应考虑在不受保护的环境中的工作风险,并应用合适的保护措施。在远程工作的情况下,组织应在远程工作地点应用保护措施,并确保对这种工作方式有合适的安排到位。

11.7.1  移动计算和通信 控制措施 应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。

实施指南 当使用移动计算和通信设施,如笔记本、掌上电脑、便携式电脑、智能卡和移动电话时,应特别小心确保业务信息不被损害。移动计算策略应考虑到在不受保护的环境下使用移动计算设备工作的风险。

移动计算策略应包括对物理保护、访问控制、密码技术、备份和病毒防护的要求。这一策略也应包括关于移动设施与网络连接的规则和建议,以及关于在公共场合使用这些设施的指南。

当在组织建筑物之外的公共场所、会议室和其他不受保护的区域使用移动计算设施时,应加以小心。为避免未授权访问或泄露这些设施所存储和处理的信息,应有到位的保护措施,例如,使用密码技术(见12.3)。

在公共场合使用移动计算设施的用户,应小心谨慎以避免未授权人员窥视的风险。防范恶意软件的程序应到位并且保持最新(见10.4)。

应定期对关键业务信息进行备份。应有可用的设备使信息得到快速、简便的备份。对这些备份应采取足够的防范措施,如,防范信息被偷窃或丢失。

对与网络连接的移动设施的使用应提供合适的保护。只有在成功标识和鉴别之后,且具有合适的访问控制机制的情况下,才可利用移动计算设施通过公共网络远程访问业务信息(见11.4)。

还应对移动计算设施进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的运输工具上、旅馆房间、会议中心和会议室。应为移动计算设施的被窃或丢失等情况建立一个符合组织的法律、保险和其他安全要求的特定程序。携带重要、敏感和/或关键业务信息的设备不应无人值守,若有可能,应以物理的方式锁起来,或使用专用锁来保护设备(见9.2.5)。

对于使用移动计算设施的人员应安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且应实施控制措施。

其它信息 移动网络无线连接类似于其他类型的网络连接,但在确定控制措施时,应考虑两者的重要区别。典型的区别有:
a)一些无线安全协议是不成熟的,并有已知的弱点;

b)在移动计算机上存储的信息可能不能备份,因为受限的网络带宽和/或因为移动设备在规定的备份时间不能进行连接。

11.7.2  远程工作 控制措施 应为远程工作活动开发和实施策略、操作计划和程序。

实施指南 组织应仅在有合适的安全部署和控制措施到位,且这些符合组织的安全方针的情况下,才授权远程工作活动。

应有对远程工作场地的合适保护措施,以防范设备和信息被窃、信息的未授权泄露、对组织内部系统的未授权远程访问或设施滥用等。远程工作活动应由管理者授权和控制,且应确保对这种工作方式有合适安排。

应考虑下列内容:
a) 远程工作场地的现有物理安全,要考虑到建筑物和本地环境的物理安全;

b) 推荐的物理的远程工作环境;

c) 通信安全要求,要考虑远程访问组织内部系统的需要、被访问的并且在通信链路上传递的信息的敏感性,以及内部系统的敏感性;

d) 住处的其他人员(例如,家人和朋友)未授权访问信息或资源的威胁;

e) 家庭网络的使用和无线网络服务配置的要求或限制;

f) 针对私有设备开发的预防知识产权争论的策略和程序;

g) 法律禁止的对私有设备的访问(检查机器安全或在调查期间);

h) 使组织对雇员、承包方人员和第三方人员等私人拥有的工作站上的客户端软件负有责任的软件许可协议;

i) 防病毒保护和防火墙要求。

要考虑的指南和安排应包括:
a) 当不允许使用不在组织控制下的私有设备时,对远程工作活动提供合适的设备和存储设施;

b) 确定允许的工作、工作小时数、可以保持的信息分类和授权远程工作者访问的内部系统和服务;

c) 提供适合的通信设备,包括使远程访问安全的方法;

d) 物理安全;

e) 有关家人和来宾访问设备和信息的规则和指南;

f) 硬件和软件支持和维护的规定;

g) 保险的规定;

h) 用于备份和业务连续性的程序;

i) 审核和安全监视;

j) 当远程工作活动终止时,撤销授权和访问权,并返回设备。

其它信息 远程工作是利用通信技术来使得人员可以在其组织之外的固定地点进行远程工作的。

12  信息系统获取、开发和维护 12.1  信息系统的安全要求 目标:确保安全是信息系统的一个有机组成部分。

信息系统包括操作系统、基础设施、业务应用、非定制产品、服务和用户开发的应用。支持业务过程的信息系统的设计和实现可能是安全的关键。在信息系统开发和/或实现之前,应识别并商定安全要求。

应在项目需求阶段识别所有安全要求,并证明这些安全要求的合理性,对这些安全要求加以商定,并且将这些安全要求形成文档作为信息系统整体业务情况的一部分。

12.1.1  安全要求分析和说明 控制措施 在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施的要求。

实施指南 控制措施要求的说明应考虑在信息系统中包含的自动控制措施,以及支持人工控制措施的需要。当评价业务应用(开发或购买)的软件包时,应进行类似的考虑。

安全要求和控制措施应反映出所涉及的信息资产的业务价值(参见7.2),和可能由于安全故障或安全措施不足引起的潜在的业务损害。

信息安全的系统要求与实施安全的过程应在信息系统项目的早期阶段被集成。在设计阶段引入控制措施要比在实现期间或实现后引入控制措施的实施和维护的费用低的多。

如果购买产品,则应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。如果推荐的产品的安全功能不能满足安全要求,那么在购买产品之前应重新考虑引入的风险和相关控制措施。如果产品提供的附加功能引起了安全风险,那么应禁用该功能,或者应评审所推荐的控制结构,以判定是否可以利用该增强功能。

其它信息 如果被认为适合,例如考虑成本因素,管理者可能希望使用经过独立评价和认证的产品。关于IT安全产品评估准则的更多信息可参见ISO/IEC 15408,或者其它评估和认证标准。

ISO/IEC TR 13335-3 提供了使用风险管理过程确定安全控制措施要求的指南。

12.2  应用中的正确处理 目标:防止应用系统中的信息的错误、遗失、未授权的修改及误用。

应用系统(包括用户开发的应用系统)内应设计合适的控制措施以确保正确处理。这些控制措施应包括对输入数据、内部处理和输出数据的验证。

对于处理敏感的、贵重的或关键的信息的系统或对这些信息有影响的系统,可以要求另外的控制措施。这样的控制措施应在安全要求和风险评估的基础上加以确定。

12.2.1  输入数据验证 控制措施 输入应用系统的数据应加以验证,以确保数据是正确且恰当的。

实施指南 应将校验应用于业务交易、常备数据(如,姓名和地址、信贷限值、顾客引用号码),和参数表(如,销售价、货币兑换率、税率)的输入。应考虑下列指南:
a) 双输入或其他输入校验,诸如边界校验或者限制特定输入数据范围的域,以检测下列错误:
1)
范围之外的值;

2)
数据字段中的无效字符;

3)
丢失或不完整的数据;

4)
超过数据的上下容量限制;

5)
未授权的或矛盾的控制数据;

b)
按期评审关键字段或数据文件的内容,以证实其有效性和完整性;

c)
检查硬拷贝输入文档是否有任何未授权的变更(输入文档的所有变更均应予以授权);

d)
响应验证错误的程序;

e)
测试输入数据合理性的程序;

f)
定义在数据输入过程中所涉及的全部人员的职责。

g)
创建在数据输入过程中所涉及的活动的日志。

其它信息 适用时,可以考虑对输入数据进行自动检查和验证,以减少出错的风险和预防包括缓冲区溢出和代码注入等普通的攻击。

12.2.2  内部处理的控制 控制措施 验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。

实施指南 应用系统的设计与实现应确保导致完整性损坏的处理故障的风险减至最小。要考虑的特定范围包括:
a) 使用添加、修改和删除功能,以实现数据变更;

b) 防止程序以错误次序运行或在前面的处理故障后运行的程序(也见10.1.1);

c) 使用适当的程序恢复故障,以确保数据的正确处理;

d) 防范利用缓冲区超出/溢出进行的攻击。

应准备适当的检查列表,将检查活动文档化,并应保证检查结果的安全。可被考虑的检查例子如下:
a) 会话或批控制措施,以便在交易更新之后调解数据文件平衡;

b) 平衡控制措施,对照先前的封闭平衡来检查开放平衡,即:
1)
运行到运行的控制措施;

2)
文件更新总数;

3)
程序到程序的控制措施;

c) 验证系统生成的输入数据(见12.2.1);

d) 检查在中央计算机和远程计算机之间所下载或上载的数据或软件的完整性、真实性或者其他任何安全特性;

e) 记录和文件的数位总和;

f) 检查以确保应用程序在正确时刻运行;

g) 检查以确保程序以正确的次序运行并且在发生故障时终止,以及在问题解决之前,停止进一步的处理;

h) 创建处理时所涉及的活动的日志(参见10.10.1)。

其它信息 正确输入的数据可能被硬件错误、处理错误和故意的行为所破坏。所需的验证检查取决于应用系统的性质和毁坏数据对业务的影响。

12.2.3  消息完整性 控制措施 应用中的确保真实性和保护消息完整性的要求应得到识别,适当的控制措施也应得到识别并实施。

实施指南 应进行安全风险的评估以判定是否需要消息完整性,并确定最合适的实施方法。

其它信息 密码技术(见12.3)可被用作一种合适的实现消息鉴别的手段。

12.2.4  输出数据验证 控制措施 从应用系统输出的数据应加以验证,以确保对所存储信息的处理是正确的且适于环境的。

实施指南 输出验证可以包括:
a) 合理性检查,以测试输出数据是否合理;

b) 调解控制措施的数量,以确保处理所有数据;

c) 为读者或后续的处理系统提供足够的信息,以确定信息的准确性、完备性、精确性和分类;

d) 响应输出验证测试的程序;

e) 定义在数据输出过程中所涉及的全部人员的职责。

f) 创建在数据输出验证过程中活动的日志。

其它信息 一般来说,系统和应用是在假设已经进行了适当的验证、确认和测试的条件下构建的,其输出总是正确的。然而,这种假设并不总是有效;
例如,已经过测试的系统仍可能在某些环境下产生不正确的输出。

12.3  密码控制 目标:通过密码方法保护信息的保密性、真实性或完整性。

应制定使用密码控制的策略。应有密钥管理以支持使用密码技术。

12.3.1  使用密码控制的策略 控制措施 应开发和实施使用密码控制措施来保护信息的策略。

实施指南 制定密码策略时,应考虑下列内容:
a) 组织间使用密码控制的管理方法,包括保护业务信息的一般原则(见5.1.1);

b) 基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;

c) 使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息;

d) 密钥管理方法,包括应对加密密钥保护的方法,和在密钥丢失、损坏或毁坏后加密信息的恢复方法;

e) 角色和职责,如,谁负责:
1)
策略的实施;

2)
密钥管理,包括密钥生成(参见12.3.2);

f) 为在整个组织内有效实施而采用的标准(哪种解决方案用于哪些业务过程);

g) 使用加密信息对控制措施的影响依赖于内容检查(例如病毒检测)。

当实施组织的密码策略时,应考虑世界不同地区应用密码技术的规定和国家限制,和加密信息跨越国界时的问题(见15.1.6)。

可以使用密码控制措施实现不同的安全目标,如:
a) 保密性:使用信息加密以保护存储或传输中的敏感或关键信息;

b) 完整性/真实性:使用数字签名和消息鉴别码以保护存储和传输中的敏感或关键信息的真实性和完整性;

c) 不可否认性:使用密码技术获得一个事态或行为发生或未发生的证据。

其它信息 有关一个密码解决方案是否合适的决策,应被看作一般的风险评估过程和选择控制措施的一部分。该评估可以用来判定一个密码控制措施是否合适,应运用什么类型的控制措施以及应用于什么目的和业务过程。

使用密码控制措施的策略对于使利益最大化,使利用密码技术的风险最小化,以及避免不合适或不正确的使用而言,十分必要。在使用数字签名时,应考虑任何相关的法律,特别是规定什么条件下数字签名被合法绑定的法律(参见15.1)。

应征求专家建议以识别适当的保护级别,确定用以提供所需的保护及支持安全密钥管理系统实施的合适的规范(见12.3.2)。

ISO/IEC JTC1 SC27 已经制定了几个与密码控制有关的标准。更多的信息可以从IEEE P1363和 OECD密码指南中获得。

12.3.2  密钥管理 控制措施 应有密钥管理以支持组织使用密码技术。

实施指南 应保护所有的密码密钥免遭修改、丢失和毁坏。另外,秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。

密钥管理系统应基于已商定的标准、程序和安全方法,以便:
a) 生成用于不同密码系统和不同应用的密钥;

b) 生成和获得公开密钥证书;

c) 分发密钥给预期用户,包括在收到密钥时应如何激活;

d) 存储密钥,包括已授权用户如何访问密钥;

e) 变更或更新密钥,包括应何时变更密钥和如何变更密钥的规则;

f) 处理已损害的密钥;

g) 撤销密钥,包括应如何撤消或解除激活的密钥,例如,当密钥已损害时或当用户离开组织时(在这种情况下,密钥也要归档);

h) 恢复已丢失或损坏的密钥,作为业务连续性管理的一部分,例如,加密信息的恢复;

i) 归档密钥,例如,对已归档的或备份的信息的密钥归档;

j) 销毁密钥;

k) 记录和审核与密钥管理相关的活动。

为了减少密钥损害的可能性,应规定密钥的激活日期和解除激活日期,以使它们只能用于有限的时间段。该时间段应根据所使用的密码控制的情况和察觉的风险而定。

除了安全地管理秘密和私有密钥外,还应考虑公开密钥的真实性。这一鉴别过程可以由证书认证机构正式颁发的公钥证书来完成,该认证机构应是一个具有合适的控制措施和程序以提供所需的信任度的公认组织。

与外部密码服务提供者(例如与认证机构)签订的服务级协议或合同的内容,应涵盖服务责任、服务可靠性和服务规定的响应次数等若干问题(见6.2.3)。

其它信息 密码密钥的管理对有效使用密码技术来说是必需的。ISO/IEC 11770 提供了更多密钥管理的信息。两种类型的密码技术有:
a) 秘密密钥技术,其中双方或更多方共享同一密钥,并且该密钥用来加密和解密信息;
这个密钥必须被秘密地保存,因为访问过它的任何人能使用该密钥来解密被加密的所有信息,或引入使用密钥的未授权信息;

b) 公开密钥技术,其中每个用户拥有一对密钥,一个公开密钥(它可以被展现给任何人)和一个私有密钥(它必须被秘密地保存);
公开密钥技术可用于加密,并可用来产生数字签名(见ISO/IEC 9796和ISO/IEC 14888)。

存在通过替换某用户的公开密钥来伪造数字签名的威胁。这一问题可以通过使用公开密钥证书来解决。

密码技术还可以用来保护密钥。可能必须考虑处理访问秘密密钥的法律请求,例如,加密的信息可能需要以未加密的形式提供,以作为法庭案例的证据。

12.4  系统文件的安全 目标:确保系统文件的安全。

应控制对系统文件和程序源代码的访问。应以安全的方式管理IT项目和支持活动。在测试环境中应小心谨慎以避免泄露敏感数据。

12.4.1  运行软件的控制 控制措施 应有程序来控制在运行系统上安装软件。

实施指南 为使运行系统被损坏的风险减到最小,应考虑下列指南以控制变更:
a) 应仅由受过培训的管理员,根据合适的管理授权,进行运行软件、应用和程序库的更新(见12.4.3);

b) 运行系统应仅安装经过批准的可执行代码,不安装开发代码和编译程序;

c) 应用和操作系统软件应在大范围的、成功的测试之后才能实施;
所谓测试应包括实用性、安全性、在其它系统上的有效性和用户友好性,且测试应在独立的系统上完成(见10.1.4);
应确保所有对应的程序源库已经更新;

d) 应使用配置控制系统对所有已开发的软件和系统文件进行控制;

e) 在变更实施之前应有反复考虑的战略;

f) 应维护对运行程序库的所有更新的审核日志;

g) 应保留应用软件的先前版本作为应急措施;

h) 软件的旧版本,连同所有需要的信息和参数、程序、配置细节,以及归档中保留有数据的支持软件,均应被归档。

在运行系统中所使用的由厂商供应的软件应在供应商支持的级别上加以维护。一段时间后,软件供应商停止支持旧版本的软件。组织应考虑依赖不支持软件的风险。

升级到新版的任何决策应考虑变更的业务要求,和新版的安全,即引入的新安全功能或影响该版本安全问题的数量和严重程度。当软件补丁有助于消除或减少安全弱点时,应使用软件补丁(见12.6.1)。

必要时在管理者批准的情况下,仅为了支持目的,才授予供应商物理或逻辑访问权。应监督供应商的活动。

计算机软件可能依赖于外部提供的软件和模块,应对这些产品进行监视和控制,以避免可能引入安全弱点的非授权的变更。

其它信息 操作系统应仅在需要升级的时候才进行升级,例如,在操作系统的当前版本不再支持业务要求的时候。只有在具有了可用的新版本的操作系统后才能进行升级。新版本的操作系统可能在安全、稳定和便于理解方面不如当前的系统。

12.4.2  系统测试数据的保护 控制措施 测试数据应认真地加以选择、保护和控制。

实施指南 应避免使用包含个人信息或其它敏感信息的运行数据库用于测试。如果测试使用了个人或其他敏感信息,那么在使用之前应去除或修改所有的敏感细节和内容。当用于测试时,应使用下列指南保护运行数据:
a) 应用于运行应用系统的访问控制程序,还应用于测试应用系统;

b) 运行信息每次被拷贝到测试应用系统时应有独立的授权;

c) 在测试完成之后,应立即从测试应用系统清除运行信息;

d) 应记录运行信息的拷贝和使用日志以提供审核踪迹。

其它信息 系统和验收测试常常要求相当多的尽可能接近运行数据的测试数据。

12.4.3  对程序源代码的访问控制 控制措施 应限制访问程序源代码。

实施指南 对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问应严格控制,以防引入非授权功能和避免无意识的变更。对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在源程序库中。为了控制对程序源码库的访问以减少潜在的计算机程序的破坏,应考虑下列指南:
a) 若有可能,在运行系统中不应保留源程序库;

b) 程序源代码和源程序库应根据制定的程序进行管理;

c) 应限制支持人员访问源程序库;

d) 更新源程序库和有关事项,向程序员发布程序源码应在获得适当的授权之后进行;

e) 程序列表应保存在安全的环境中(见10.7.4);

f) 应维护对源程序库所有访问的审核日志;

g) 维护和拷贝源程序库应受严格变更控制程序的制约(见12.5.1)。

其它信息 程序源代码是由程序员编写的代码,经编译(和链接)后产生可执行代码。特定程序语言不能正式区分源代码和可执行代码,这是因为可执行代码是在它们被激活时产生的。

标准ISO 10007 和ISO/IEC 12207提供了更多关于配置管理和软件生存周期过程的信息。

12.5  开发和支持过程中的安全 目标:维护应用系统软件和信息的安全。

应严格控制项目和支持环境。

负责应用系统的管理人员,也应负责项目或支持环境的安全。他们应确保评审所有推荐的系统变更,以检查这些变更不会损坏系统或操作环境的安全。

12.5.1  变更控制程序 控制措施 应使用正式的变更控制程序控制变更的实施。

实施指南 应将正式的变更控制程序文档化,并强制实施,以将信息系统的损坏减到最小。引入新系统和对已有系统进行大的变更应按照从文档、规范、测试、质量控制到实施管理这个正式的过程进行。

这个过程应包括风险评估、变更影响分析、所需的安全控制措施规范。这一过程还应确保不损坏现有的安全和控制程序,确保支持程序员仅能访问系统中其工作所需的那些部分,确保任何变更要获得正式商定和批准。

只要可行,应用和运行变更控制程序应集成起来(也见10.1.2)。该变更程序应包括:
a) 维护所商定授权级别的记录;

b) 确保由授权的用户提交变更;

c) 评审控制措施和完整性程序,以确保它们不因变更而损坏;

d) 识别需要修正的所有软件、信息、数据库实体和硬件;

e) 在工作开始之前,获得对详细建议的正式批准;

f) 确保已授权的用户在实施之前接受变更;

g) 确保在每个变更完成之后更新系统文档设置,并将旧文档归档或丢弃;

h) 维护所有软件更新的版本控制;

i) 维护所有变更请求的审核踪迹;

j) 当需要时,确保对操作文档(见10.1.1)和用户程序作合适的变更;

k) 确保变更的实施发生在正确的时刻,并且不干扰所涉及的业务过程。

其它信息 变更软件会影响运行环境。

良好的惯例包括在一个与生产与开发完全隔离的环境中测试新软件(见10.1.4)。这提供对新软件进行控制和允许对被用于测试目的的运行信息给予附加保护的手段。这应包括补丁、服务包和其它更新。不应在关键系统中使用自动更新,因为某些更新可能会导致关键应用程序的失败(见12.6)。

12.5.2  操作系统变更后应用的技术评审 控制措施 当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。

实施指南 这一过程应涵盖:
a) 评审应用控制和完整性程序,以确保它们不因操作系统变更而损坏;

b) 确保年度支持计划和预算将包括由于操作系统变更而引起的评审和系统测试;

c) 确保及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审;

d) 确保对业务连续性计划进行合适的变更(见第14章)。

应该指定专门的组织和个人负责监视脆弱性和供应商发布的补丁和修正(见12.6)。

12.5.3  软件包变更的限制 控制措施 应对软件包的修改进行劝阻,限制必要的变更,且对所有的变更加以严格控制。

实施指南 如果可能且可行,应使用厂商提供的软件包,而无需修改。在必须修改软件包时,应考虑下列各点:
a) 内置控制措施和完整性过程被损坏的风险;

b) 是否应获得厂商的同意;

c) 当标准程序更新时,从厂商获得所需要变更的可能性;

d) 作为变更的结果,组织要负责进一步维护此软件的影响。

如果变更是必要的,则原始软件应保留,并将变更应用于已明显确定的拷贝。应实施软件更新管理过程,以确保最新批准的补丁和应用更新已经安装在所有的授权软件中(见12.6)。应全部测试所有变更,并将其形成文档,以使它们可以重新应用于必要的进一步的软件升级。如果需要,所有的更新应由独立的评估机构进行测试和验证。

12.5.4  信息泄露 控制措施 应防止信息泄露的可能性。

实施指南 应考虑下列事项以限制信息泄露的风险,如通过使用和利用隐蔽通道:
a) 扫描隐藏信息的对外介质和通信;

b) 掩盖和调整系统和通信的行为,以减少第三方从这些行为中推断信息的可能性;

c) 使用被认为具有高完整性的系统和软件,如使用经过评价的产品(见ISO/IEC 15408);

d) 在现有法律或法规允许的情况下,定期监视个人和系统的活动;

e) 监视计算机系统的资源使用。

其它信息 隐蔽信道不是故意用来引导信息流的通道,但它毫无疑问存在于系统或网络中。例如,通信协议包中的隐藏比特可能被作为信号隐藏的方法。从本质上说,如果可能的话,防止所有可能的隐蔽通道的存在将是很困难的。然而,特洛伊木马经常利用这种隐蔽通道(见10.4.1)。因此,采取措施防范特洛伊木马能够减少隐蔽通道被利用的风险。

防止非授权的网络访问(11.4),和阻止人员对信息服务的误用的策略和程序,有助于防范隐蔽通道。

12.5.5  外包软件开发 控制措施 组织应管理和监视外包软件的开发。

实施指南 在外包软件开发时,应考虑下列各点:
a)
许可证安排、代码所有权和知识产权(见15.1.2);

b)
所完成工作的质量和准确性的认证;

c)
第三方发生故障时的契约安排;

d)
审核所完成的工作质量和准确性的访问权;

e)
代码质量和安全功能的合同要求;

f)
在安装前,测试恶意代码和特洛伊木马。

12.6  技术脆弱性管理 目标:降低利用公布的技术脆弱性导致的风险。

技术脆弱性管理应以一种有效的、系统的、可重复的方式实施,该方式带有确认自身有效性的措施。这些考虑事项应包括使用中的操作系统和任何其它的应用程序。

12.6.1  技术脆弱性的控制 控制措施 应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。

实施指南 当前的、完整的资产清单(见7.1)是进行有效技术脆弱性管理的先决条件。支持技术脆弱性管理所需的特定信息包括软件供应商、版本号、部署的当前状态(即在什么系统上安装什么软件),以及组织内负责软件的人员。

应采取适当的、及时的措施以响应潜在的技术脆弱性。建立有效的技术脆弱性管理过程应遵循下面的指南:
a) 组织应定义和建立与技术脆弱性管理相关的角色和职责,包括脆弱性监视、脆弱性风险评估、打补丁、资产追踪,和任意需要的协调责任;

b) 用于识别相关的技术脆弱性和维护有关这些脆弱性的认识的信息资源,应被识别用于软件和其他技术(基于资产清单,见7.1.1);
这些信息资源应根据清单的变更而更新,或当发现其它新的或有用的资源时,也应更新;

c) 应制定时间表对潜在的相关技术脆弱性的通知做出反映;

d) 一旦潜在的技术脆弱性被确定,组织应识别相关的风险并采取措施;
这些措施可能包括对脆弱的系统打补丁,或者应用其它控制措施;

e) 按照技术脆弱性需要解决的紧急程度,应根据变更管理相关的控制措施(见12.5.1),或者遵照信息安全事件响应程序(见13.2),采取措施;

f) 如果有可用的补丁,则应评估与安装该补丁相关的风险(脆弱性引起的风险应与安装补丁带来的风险进行比较);

g) 在安装补丁之前,应进行测试与评估,以确保它们是有效的,且不会导致不能容忍的负面影响;
如果没有可用的补丁,应考虑其它控制措施,如:
1)
关闭与脆弱性有关的服务和功能;

2)
采用或增加访问控制措施,如在网络边界上添加防火墙(见11.4.5);

3)
增加监视以检测或预防实际的攻击;

4)
提高脆弱性意识;

h) 应对所有执行的程序进行审核日志;

i) 应定期对技术脆弱性管理过程进行监视和评价,以确保其有效性和效果;

j) 处于高风险中的系统应首先解决。

其它信息 一个组织的技术脆弱性管理过程的正确实施对许多组织来说是非常重要的,因此应定期对其进行监视。一个准确的清单对于确保识别潜在的相关技术脆弱性而言,是必要的。

技术脆弱性管理可被看作是变更管理的一个子功能,因此可以利用变更管理的过程和程序(见10.1.2和12.5.1)。

供应商往往是在很大的压力下发布补丁。因此,补丁可能不足以解决该问题,并且可能存在负作用。而且,在某些情况下,一旦补丁被安装后,很难被卸载。

如果不能对补丁进行充分的测试,如由于成本或资源缺乏,那么可以根据其它用户报告的经验,考虑推迟打补丁,评价相关的风险。

13  信息安全事件管理 13.1  报告信息安全事态和弱点 目标:确保与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。

应有正式的事态报告和上报程序。所有雇员、承包方人员和第三方人员都应了解用来报告可能对组织的资产安全造成影响的不同类型的事态和弱点的程序。应要求他们尽可能快地将信息安全事态和弱点报告给指定的联系点。

13.1.1  报告信息安全事态 控制措施 信息安全事态应该尽可能快地通过适当的管理渠道进行报告。

实施指南 应建立正式的信息安全事态报告程序,和在收到信息安全事态报告后着手采取措施的事件响应和上报程序。应建立报告信息安全事态的联系点。应确保组织内的每个人都知道这个联系点,应确保该联系点保持可用并能提供充分且及时的响应。

所有雇员、承包方人员和第三方人员都应知道他们有责任尽可能快地报告任何信息安全事态。他们还应知道报告信息安全事态的程序和联系点。报告程序应包括:
a)
适当的反馈过程,以确保在信息安全事态处理完成后,能够将处理结果通知给事态报告人;

b)
信息安全事态报告单,以支持报告行为和帮助报告人员记下信息安全事态中的所有重要行为;

c)
信息安全事态发生后应采取正确的行为,即 1)
立即记录下所有重要的细节(如,不符合或违规的类型,事件故障,屏幕上显示的消息,异常行为);

2)
不要采取任何个人行为,但要立即向联系点报告;

d)
参考已制定的正式惩罚过程,来处理雇员、承包方人员和第三方人员的安全违规行为。

在高风险环境下,可以提供强制警报 强制警报是用来秘密地表明一个行为正在“强制”下发生的方法。

,借此在强制下的人员可以指出这种问题。对强制警报的响应程序应反映该警报所指明的高风险情况。

其它信息 信息安全事态和事件的示例如下:
a) 服务、设备或设施的丢失;

b) 系统故障或超载;

c) 人为错误;

d) 策略或指南的不符合;

e) 物理安全安排的违规;

f) 未加控制的系统变更;

g) 软件或硬件故障;

h) 非法访问。

在保密性方面要尤其谨慎,信息安全事件可以用于用户的意识培训(见8.2.2),例如,可能发生什么样的事件,如何对该事件进行响应,以及如何避免其再发生。为了完全解决信息安全事态和事件,在其发生后尽可能地收集证据是必要的(见13.2.3)。

故障或其它异常的系统行为可能是安全攻击和实际安全违规的显示,因此应将其当作信息安全事态进行报告。

关于信息安全事态的报告和信息安全事件的管理方面的更多信息可以参见ISO/IEC TR 18044。

13.1.2  报告安全弱点 控制措施 应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。

实施指南 为了预防信息安全事件,所有雇员、承包方人员和第三方人员应尽可能快地将这些事情报告给他们的管理者,或者直接报告给服务供应商。报告机制应尽可能容易、易理解和方便可用。应告知他们,在任何情况下,他们都不应试图去证明被怀疑的弱点。

其它信息 应通知雇员、承包方人员和第三方人员不要试图去证明被怀疑的安全弱点。测试弱点可能被看作是潜在的系统误用,还可能导致信息系统或服务的损害,和引起测试人员的法律责任。

13.2  信息安全事件和改进的管理 目标:确保采用一致和有效的方法对信息安全事件进行管理。

一旦信息安全事态和弱点报告上来,应有职责和程序,可以对其进行有效处理。应使用一个连续的改进过程对信息安全事件进行响应、监视、评价和整体管理。

如果需要证据的话,则应收集证据以满足法律的要求。

13.2.1  职责和程序 控制措施 应建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。

实施指南 除了对信息安全事态和弱点进行报告(见13.1)外,还应利用对系统、报警和脆弱性的监视(见10.10.2)来检测信息安全事件。信息安全事件管理程序应考虑下列指南:
a)
应建立程序以处理不同类型的信息安全事件,包括:
1)
信息系统故障和服务丢失;

2)
恶意代码(见10.4.1);

3)
拒绝服务;

4)
不完整或不准确的业务数据导致的错误;

5)
违背保密性和完整性;

6)
信息系统误用;

b)
除了正常的应急计划(见14.1.3),程序还应包括(也见13.2.2):
1)
事件原因的分析和确定;

2)
遏制事件再发生的策略;

3)
如果需要,计划和实施纠正措施以防止事件再发生;

4)
同受到事件影响或有关事件恢复的人进行沟通;

5)
向合适的机构报告发生的行为。

c)
合适时,应收集和保护审核踪迹和类似的证据,以用于:
1)
内部问题分析;

2)
用作有关可能违反合同或规章要求,或民事和刑事程序(如计算机误用或数据保护相关法律法规)的法律取证证据;

3)
同软件和服务供应商谈判赔偿事宜;

d)
恢复安全违规和纠正系统故障的措施应认真、正式地控制;
程序应确保:
1)
只有明确确定和授权的人才允许访问活动的系统和数据(见6.2的外部访问);

2)
所有采取的紧急措施应详细记录在文件中;

3)
所有紧急措施应向管理者报告,并依序进行评审;

4)
应以最小的延迟确保业务系统和控制措施的完整性。

应与管理者商定信息安全事件管理的目标,应确保负责信息安全事件管理的人员理解组织处理信息安全事件的优先顺序。

其它信息 信息安全事件可能超越组织边界和国家边界。为了对这样的事件做出响应,与适当的外部组织协同响应和共享这些事件的信息的需求日益增大。

13.2.2  对信息安全事件的总结 控制措施 应有一套机制量化和监视信息安全事件的类型、数量和代价。

实施指南 从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。

其它信息 对信息安全事件的评价可以指出需要增强的或另外的控制措施,以限制事件发生的频率、损害和将来再发生的费用,或者可以用在安全方针评审过程中(见5.1.2)。

13.2.3  证据的收集 控制措施 当一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。

实施指南 当为了在组织内应对惩罚措施而收集和提交证据时,应制定和遵循内部程序。

总的来说,证据规则包括:
a)
证据的可容许性:证据是否可在法庭上使用;

b)
证据的份量:证据的质量和完备性。

为了获得被容许的证据,组织应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据。

提供证据的份量应符合任何适用的要求。为了实现证据的份量,在该证据的存储和处理的整个时期内,对于用来正确地、一致地保护证据(即过程控制证据)的控制措施的质量和完备性,应通过一种强证据踪迹来论证。一般情况下,这种强踪迹可以在下面的条件下建立:
a)
对纸面文档:原物应被安全保存且带有下列信息的记录:谁发现了这个文档,文档是在哪儿被发现的,文档是什么时候被发现的,谁来证明这个发现;
任何调查应确保原物没有被篡改;

b)
对计算机介质上的信息:任何可移动介质的镜像或拷贝(依赖于适用的要求)、硬盘或内存中的信息都应确保其可用性;
拷贝过程中所有的行为日志都应保存下来,且应有证据证明该过程;
原始的介质和日志(如果这一点不可能的话,那么至少有一个镜像或拷贝)应安全保存且不能改变。

任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝应在可信赖人员的监督下进行,什么时候在什么地方执行的拷贝过程,谁执行的拷贝活动,以及使用了哪种工具和程序,这些信息都应记录作为日志。

其它信息 当一个信息安全事态首次被检测到时,这个事态是否会导致法律行为可能不是显而易见的。因此,在认识到事件的严重性之前,可能存在重要的证据被故意或意外毁坏的危险。明智的做法是在任何预期的法律行为中及早聘请一位律师或警察,以获取所需证据的建议。

证据可以超越组织边界和/或管辖权边界。在这样的情况下,应确保授权某组织去收集需要的信息作证据。还应考虑不同管辖权的要求,以使证据能在相关管辖区域内获得最大的可用机会。

14  业务连续性管理 14.1  业务连续性管理的信息安全方面 目标:防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。

为通过使用预防和恢复控制措施,将对组织的影响减少到最低,并从信息资产的损失中(例如,它们可能是自然灾害、意外事件、设备故障和故意行为的结果)恢复到可接受的程度,应实施业务连续性管理过程。这个过程应确定关键的业务过程,并应将业务连续性的信息安全管理要求同其它的连续性要求如运行、员工、材料、运输和设施等结合起来。

灾难、安全故障、服务丢失和服务可用性的后果应经受业务影响分析。应制定和实施业务连续性计划,以确保重要的运行能及时恢复。信息安全应是整体业务连续性过程和组织内其它管理过程的一个有机组成部分。

除了一般的风险评估过程之外,业务连续性管理应包括识别和减少风险的控制措施,以限制破坏性事件的后果,并确保业务过程需要的信息便于使用。

14.1.1  业务连续性管理过程中包含的信息安全 控制措施 应为贯穿于组织的业务连续性开发和保持一个管理过程,以解决组织的业务连续性所需的信息安全要求。

实施指南 这个过程应包含下列业务连续性管理的关键要素:
a) 根据风险的可能性及其影响,及时理解组织所面临的风险,包括关键业务过程的识别和优先顺序(见14.1.2);

b) 识别关键业务过程中涉及的所有资产(见7.1.1);

c) 理解由信息安全事件引起的中断可能对业务产生的影响(重要的是找到处理产生较小影响的事件,和可能威胁组织生存的严重事件的解决方案),并建立信息处理设施的业务目标;

d) 考虑购买合适的保险,该保险可以形成业务连续性过程的一部分,和运行风险管理的一部分;

e) 识别和考虑实施另外的预防和减轻控制措施;

f) 识别足够的财务的、组织的、技术的和环境的资源以处理已确定的信息安全要求;

g) 确保人员的安全及信息处理设备和组织财产的保护;

h) 按照已商定的业务连续性战略,制定应对信息安全要求的业务连续性计划,并将其形成文档(见14.1.3);

i) 定期测试和更新已有的计划和过程(见14.1.5);

j) 确保把业务连续性的管理包含在组织的过程和结构中;
业务连续性管理过程的职责应分配给组织范围内的适当级别(见6.1.1)。

14.1.2  业务连续性和风险评估 控制措施 应识别能引起业务过程中断的事态,这种中断发生的概率和影响,以及它们对信息安全所造成的后果。

实施指南 业务连续性的信息安全方面应从识别可能导致组织业务过程中断的事态(或一系列事态)开始,例如,设备故障、人为错误、盗窃、火灾、自然灾害和恐怖事态。随后应是风险评估,根据时间、损坏程度和恢复周期,确定这些中断发生的概率和影响。

业务连续性风险评估的执行应有业务资源和过程拥有者的全面参与。这种评估应考虑所有业务过程,并应不局限于信息处理设施,但应包括信息安全特有的结果。重要的是要将不同方面的风险链接起来,以获得一副完整的组织业务连续性要求的构图。该评估应按照组织的相关准则和目标,如关键资源,中断影响,允许中断时间,恢复的优先级,来识别、量化并列出风险的优先顺序。

根据风险评估的结果,应开发业务连续性战略,以确定整体的业务连续性方法。该战略一旦被制定,就应由管理者签署,并制定计划,签署实施该战略。

14.1.3  制定和实施包含信息安全的连续性计划 控制措施 应制定和实施计划来保持或恢复运行,以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。

实施指南 业务连续性计划过程应考虑下列内容:
a)
识别和商定所有职责和业务连续性程序;

b)
识别可接受的信息和服务的损失;

c)
实施程序以在所要求的时段内恢复和复原业务运行和信息的可用性;
特别注意对现有的内部和外部业务依赖部门和合同的评估;

d)
在恢复和复原完成之前遵循的运行程序;

e)
将已商定的程序和过程形成文档;

f)
在已商定的程序和过程中对员工进行适当的教育,包括危机管理;

g)
测试和更新计划。

规划过程应关注所要求的业务目标,例如,在可接受的时间内恢复到顾客的特定通信服务。应识别有利于这项工作的服务和资源,包括人员、非信息处理资源,以及信息处理设施的低效运行安排。这些低效运行的安排可以包括以互惠协议或者以商业捐助服务的形式与第三方的安排。

业务连续性计划应解决组织的脆弱性,因此可以包含需要适当保护的敏感信息。业务连续性计划的拷贝应存储在足够远的地方,以免遭主要站点的灾难损害。管理者应确保业务连续性计划的拷贝保持最新,且受到与主站点相同级别的安全保护。执行连续性计划需要的其它材料也应在远程存储。

如果使用了可替换的临时场所,则对临时场所实施的安全控制措施的级别应与主站点相同。

其它信息 应注意危机管理计划与活动可能与业务连续性管理不同;
例如,危机可能发生于正常管理程序能够解决的地方。

14.1.4  业务连续性计划框架 控制措施 应保持一个唯一的业务连续性计划框架,以确保所有计划是一致的,能够协调地解决信息安全要求,并为测试和维护确定优先级。

实施指南 每个业务连续性计划应说明实现连续性的方法,如确保信息或信息系统可用性和安全的方法。每个计划还应规定上报计划和激活该计划的条件,以及负责执行该计划每一部分的人员。当确定新的要求时,应相应地修正现有的应急程序,例如,撤离计划或低效运行的安排。这些程序应包括在组织的变更管理程序中,以确保业务连续性事宜总能够得到适当地解决。

每个计划应有一个特定的责任人。应急程序、人工低效运行计划,以及重新使用计划应属于相应业务资源或所涉及过程的责任人的职责范围。可替换技术服务,诸如信息处理和通信设施的低效运行安排通常应是服务提供者的职责。

业务连续性计划框架应提出已确定的信息安全要求,并考虑下列内容:
a) 启动计划的条件,它描述了在启动每个计划之前,要遵循的过程(如,如何评估这种情况,谁将参与等等);

b) 应急程序,它描述在一个危及业务运行的事件之后要采取的措施;

c) 低效运行程序,它描述转移重要的业务活动或支持服务到可替换的临时场所,以及在要求的时段内将业务过程带回到运行状态,需要采取的措施;

d) 在完成恢复和复原之前,要遵循的临时运行程序;

e) 重新使用程序,它描述返回到正常的业务运行需要采取的措施;

f) 维护计划,它规定如何及何时测试计划,以及维护该计划的过程;

g) 意识、教育和培训活动,它被用来创建理解业务连续性过程和确保该过程持续有效;

h) 各人员的职责,描述谁负责执行计划的哪个部分。若要求,应指定可替换的人;

i) 必须能够执行紧急的、低效运行和恢复程序的关键资产和资源。

14.1.5  测试、维护和再评估业务连续性计划 控制措施 业务连续性计划应定期测试和更新,以确保其及时性和有效性。

实施指南 业务连续性计划的测试应确保恢复小组中的所有成员和其它有关人员了解该计划和他们对于业务连续性和信息安全的职责,并知道在计划启动后他们的角色。

业务连续性计划的测试计划安排应指出如何和何时应测试该计划的每个部分。计划中的每个要素应经常测试。

应使用各种技术,为该计划在实际生存周期中的操作提供保障。这些应包括:
a) 各种场景的桌面测试(使用中断例子讨论业务恢复安排);

b) 模拟(特别是培训处于事件处理后/危机管理角色的人员);

c) 技术恢复测试(确保信息系统可以有效地予以恢复);

d) 在供替换场地测试恢复(远离主场地,在恢复操作同时运行业务过程);

e) 供应商设施和服务的测试(确保外部提供的服务和产品将满足合同的承诺);

f) 完整的演习(测试组织、人员、设备、设施和过程能够应付中断)。

任何组织都可以使用这些技术。应以一种与特定恢复计划相关的方式来使用这些技术。必要的话,应记录测试结果,并采取措施改进计划。

对于每个业务连续性计划的定期评审应分配职责。尚未反映在业务连续性计划中的业务安排变更的标识,应通过对计划的适当更新来实现。这一正式的变更控制过程应确保通过整个计划的定期评审来分发和补充已更新的计划。

应考虑更新业务连续性计划的变更示例包括新设备的获取,系统的升级和以下方面的变更:
a) 人员;

b) 地址或电话号码;

c) 业务战略;

d) 位置、设施和资源;

e) 法律;

f) 合同商、供应商和关键顾客;

g) 过程,或者新的/撤销的过程;

h) 风险(运行的和财务的)。

15  符合性 15.1  符合法律要求 目标:避免违反任何法律、法令、法规或合同义务,以及任何安全要求。

信息系统的设计、运行、使用和管理都要受法令、法规,以及合同安全要求的限制。

应从组织的法律顾问或者合格的法律从业人员处获得特定的法律要求建议。法律要求因国家而异,而且对于在一个国家所产生的信息发送到另一国家(即越境的数据流)的法律要求亦不同。

15.1.1  可用法律的识别 控制措施 对每一个信息系统和组织而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新。

实施指南 为满足这些要求的特定控制措施和人员的职责应同样加以定义并形成文件。

15.1.2  知识产权(IPR)
控制措施 应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。

实施指南 在保护被认为具有知识产权的材料时,应考虑下面的指南:
a) 发布一个知识产权符合性策略,该策略定义了软件和信息产品的合法使用;

b) 仅通过知名的和声誉好的渠道获得软件,以确保不侵犯版权;

c) 保持对保护知识产权的策略的了解,并通知对违规人员采取惩罚措施的意向;

d) 维护适当的资产登记簿,识别具有保护知识产权要求的所有资产;

e) 维护许可证、主盘、手册等所有权的证明和证据;

f) 实施控制措施,以确保不超过所允许的最大用户数目;

g) 进行检查,确保仅安装已授权的软件和具有许可证的产品;

h) 提供维护适当的许可证条件的策略;

i) 提供处理软件或转移软件给其他人的策略;

j) 使用合适的审核工具;

k) 符合从公共网络获得软件和信息的条款和条件;

l) 不对版权法不允许的商业录音带进行复制、格式转换或摘取内容;

m) 不对版权法不允许的书籍、文章、报告和其它文件中进行全部或部分地拷贝。

其它信息 知识产权包括软件或文档的版权、设计权、商标、专利权和源代码许可证。

通常具有所有权的软件产品的供应是根据许可协议进行的,该许可协议规定了许可条款和条件,例如,限制产品用于指定的机器或限制只能拷贝到创建的备份副本上。组织所开发的软件的知识产权情况需要跟员工阐述清楚。

法律、法规和合同的要求可以对具有所有权的材料的拷贝进行限制。特别是,这些限制可能要求只能使用组织自己开发的资料,或者开发者许可组织使用或提供给组织的资料。版权侵害可能导致法律行为,这可能涉及犯罪诉讼。

15.1.3  保护组织的记录 控制措施 应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。

实施指南 应将记录分为记录类型,例如,帐号记录、数据库记录、事务日志、审核日志等,和运行程序,每个程序都带有详细的保存周期和存储介质的类型,例如,纸质、缩微胶片、磁介质、光介质。还应保存与已加密的归档文件或数字签名(见12.3)相关的任何有关密码密钥材料,以使得记录在保存期限满后能够脱密。

应考虑存储记录的介质性能下降的可能性。应按照制造商的建议实施存储和处理程序。长期保存的话,应考虑使用纸文件和微缩胶片。

若选择了电子存储介质,应建立程序,以确保在整个保存周期内能够访问数据(介质和格式的可读性),以防范由于未来技术变化而造成的损失。

应选择数据存储系统,使得所需要的数据能根据要满足的要求,在可接受的时间内、以可接受的格式检索出来。

存储和处理系统应确保能按照国家或地区法律或法规的规定,清晰地标识出记录及其保存期限。该系统应允许在保存期后恰当地销毁记录,如果组织不需要这些记录的话。

为满足这些记录防护目标,应在组织范围内采取下列步骤:
a) 应颁发关于保存、存储、处理和处置记录和信息的指南;

b) 应起草一个保存时间计划,以标识记录及其应被保存的时间周期;

c) 应维护关键信息源的清单;

d) 应实施恰当的控制措施,以防止记录和信息丢失、损坏和篡改。

其它信息 某些记录可能需要安全地保存,以满足法令、法规或合同的要求,和支持必要的业务活动。举例来说,可以要求这些记录作为组织在法令或法规规则下运行的证据,以确保充分防御潜在的民事或刑事诉讼,或者和股份持有者、外部方和审核员确认组织的财务状况。可以根据国家法律或规章来设置信息保存的时间和数据内容。

关于管理组织记录的更多信息可以参见ISO 15489-1。

15.1.4  数据保护和个人信息的隐私 控制措施 应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。

实施指南 应制定和实施组织的数据保护和隐私策略。该策略应通知到涉及私人信息处理的所有人员。

符合该策略和所有相关的数据保护法律法规需要合适的管理结构和控制。通常,这一点最好通过任命一个负责人来实现,如数据保护官员,该数据保护官员应向管理人员、用户和服务提供商提供他们各自的职责以及应遵守的特定程序的指南。处理个人信息和确保了解数据保护原则的职责应根据相关法律法规来确定。应实施适当的技术和组织措施以保护个人信息。

其它信息 许多国家已经具有控制个人数据(一般是指可以从该信息确定活着的个体的信息)收集、处理和传输的法律。根据不同的国家法律,这种控制措施可以使那些收集、处理和传播个人信息的人承担责任,而且可以限制将该数据转移到其他国家的能力。

15.1.5  防止滥用信息处理设施 控制措施 应禁止用户使用信息处理设施用于未授权的目的。

实施指南 管理者应批准信息处理设施的使用。在没有管理者批准(见6.1.4)的情况下,任何出于非业务或未授权目的使用这些设施,均应看作不正确的使用设施。如果通过监视或其他手段确定了任何非授权的活动,应使该活动引起个别管理人员的注意,以考虑合适的惩罚和/或法律行为。

在实施监视程序之前,应征求法律意见。

所有用户应知道允许其访问的准确范围,和采取监视手段检测非授权使用的准确范围。这一点可以通过下列方式实现:给用户一份书面授权,该授权的副本应由用户签字,并由组织加以安全地保存。应通知组织的雇员、承包方人员和第三方人员,除所授权的访问外,不允许任何访问。

登录时,应出现警报消息,以表明正在进入的信息处理设施是组织所拥有的,并且不允许未授权访问。用户必须确认屏幕上的消息,并对其作出适当反应,以继续登录过程(见11.5.1)。

其它信息 组织的信息处理设施主要或只能用于业务目的。

入侵检测、内容检查和其它监视工具有助于预防和检测信息处理设施的滥用。

许多国家拥有防范计算机滥用的法律。未授权使用计算机是一种刑事犯罪。

监视的合法性因国家而异,可以要求管理者将这种监视通知给所有用户以获得他们同意。当进入的系统被用于公众访问(如公共网站服务器),且处于安全监控时,应显示消息说明这一情况。

15.1.6  密码控制措施的规则 控制措施 使用密码控制措施应遵从相关的协议、法律和法规。

实施指南 为符合相关的协议、法律和法规,应考虑下面的事项:
a) 限制执行密码功能的计算机硬件和软件的出入口;

b) 限制被设计用以增加密码功能的计算机硬件和软件的出入口;

c) 限制密码的使用;

d) 利用国家对硬件或软件加密的信息的授权的强制或任意的访问方法提供内容的保密性。

应征求法律建议,以确保符合国家法律法规。在将加密信息或密码控制措施转移到其他国家之前,也应获得法律建议。

15.2  符合安全策略和标准以及技术符合性 目标:确保系统符合组织的安全策略及标准。

应定期评审信息系统的安全。

这种评审应按照适当的安全策略进行,应审核技术平台和信息系统,看其是否符合适用的安全实施标准和文件化的安全控制措施。

15.2.1  符合安全策略和标准 控制措施 管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。

实施指南 管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。

如果评审结果发现任何不符合,管理人员应:
a) 确定不符合的原因;

b) 评价确保不符合不再发生的措施需要;

c) 确定并实施适当的纠正措施;

d) 评审所采取的纠正措施。

评审结果和管理人员采取的纠正措施应被记录,且这些记录应予以维护。当在管理人员的职责范围内进行独立评审时,管理人员应将结果报告给执行独立评审的人员(见6.1.8)。

其它信息 10.10中包括了系统使用的运行监视。

15.2.2  技术符合性检查 控制措施 信息系统应被定期检查是否符合安全实施标准。

实施指南 技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。

如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。

任何技术符合性检查应仅由有能力的、已授权的人员来完成,或在他们的监督下完成。

其它信息 技术符合性检查包括检查运行系统,以确保硬件和软件控制措施被正确实施。这种类型的符合性检查需要专业技术专家。

符合性检查还包括,例如渗透测试和脆弱性评估,该项工作可以由针对此目的而专门签约的独立专家来完成。符合性检查有助于检测系统的脆弱性,和检查为预防由于这些脆弱性引起的未授权访问而采取的控制措施的有效性。

渗透测试和脆弱性评估提供系统在特定时间特定状态的简单记录。这个简单记录只限制在渗透企图时实际测试系统的那些部分中。渗透测试和脆弱性评估不能代替风险评估。

15.3  信息系统审核考虑 目标:将信息系统审核过程的有效性最大化,干扰最小化。

在系统审核期间,应有控制措施防护运行系统和审核工具。

为保护审核工具的完整性和防止滥用审核工具,也要求有保护措施。

15.3.1  信息系统审核控制措施 控制措施 涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。

实施指南 应遵守下列指南:
a) 应与合适的管理者商定审核要求;

b) 应商定和控制检查范围;

c) 检查应限于对软件和数据的只读访问;

d) 非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护;

e) 应明确地识别和提供执行检查所需的资源;

f) 应识别和商定特定的或另外的处理要求;

g) 应监视和记录所有访问,以产生参照踪迹;
对关键数据或系统,应考虑使用时间戳参照踪迹;

h) 应将所有的程序、要求和职责形成文件;

i) 执行审核的人员应独立于审核活动。

15.3.2  信息系统审核工具的保护 控制措施 对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。

实施指南 信息系统审核工具,如软件或数据文件,应与开发和运行系统分开,并且不能保存在磁带库或用户区域内,除非给予合适级别的附加保护。

其它信息 如果审核涉及到第三方,则可能存在审核工具被这些第三方滥用,以及信息被第三方组织访问的风险。像6.2.1(评估风险)和9.1.2(限制物理访问)中的控制措施可以考虑用来解决这种风险,并应采取措施应对任何后果,如立即改变泄露给审核人员的口令。

推荐访问:3在承包的荒山上建房必须依法办理建设用 2步计算应用题 2金融机构的风险管理特点金融风险管理 3-3物理教案 3-6岁幼儿的心理发展特征及教育特点 3-6儿童心理发展

[CISA资料-基础,信息安全管理实用规则]相关文章
[CISA资料-基础,信息安全管...]头条范本