《信息技术信息安全管理实用规则(DOC 60).docx》由会员分享,可在线阅读,更多相关《信息技术信息安全管理实用规则(DOC 60).docx(61页珍藏版)》请在三一办公上搜索。
1、GB/T 国家质量监督检验检疫总局 发布-实施-发布信息技术 信息安全管理实用规则Information technology-Code of practicefor information security management(ISO/IEC 17799:2000,MOD)(报批稿)GB/T 中华人民共和国国家标准ICS 35.0401GB/T 目 次前言III引言IV1 范围12 术语和定义12.1 信息安全 12.2 风险评估 12.3 风险管理 13 安全策略13.1 信息安全策略14 组织的安全24.1 信息安全基础设施24.2 第三方访问的安全44.3 外包65 资产分类和控制7
2、5.1 资产的可核查性75.2 信息分类76 人员安全86.1 岗位设定和人力资源的安全86.2 用户培训106.3 对安全事故和故障的响应107 物理和环境的安全117.1 安全区域117.2 设备安全137.3 一般控制158 通信和操作管理168.1 操作规程和职责168.2 系统规划和验收198.3 防范恶意软件198.4 内务处理208.5 网络管理218.6 媒体处置和安全218.7 信息和软件的交换239 访问控制269.1 访问控制的业务要求279.2 用户访问管理279.3 用户职责299.4 网络访问控制309.5 操作系统访问控制329.6 应用访问控制359.7 对系统
3、访问和使用的监督359.8 移动计算和远程工作3710 系统开发和维护3810.1 系统的安全要求3810.2 应用系统的安全3910.3 密码控制4110.4 系统文件的安全4310.5 开发和支持过程的安全4411 业务连续性管理4611.1 业务连续性管理的各方面4612 符合性4812.1 符合法律要求4812.2 安全策略和技术符合性的评审5112.3 系统审核考虑52VII前 言GB/T XXXX-XXXX信息技术 信息安全管理实用规则。本标准修改采用ISO/IEC 17799-2000信息技术 信息安全管理实用规则,在12.1.6中增加了“a) 使用国家主管部门审批的密码算法和密
4、码产品”,作为修改内容。本标准中所有实线方框仅具有醒目的作用。本部分由中华人民共和国信息产业部提出。本部分由全国信息安全标准化技术委员会归口。本部分由中国电子技术标准化研究所、中国电子科技集团第30研究所、上海三零卫士信息安全有限公司、中国电子科技集团第15研究所、北京思乐信息技术有限公司负责起草。本部分主要起草人:黄家英、林望重、魏忠、林中、王新杰、罗锋盈、陈星。引 言什么是信息安全?象其他重要业务资产一样,信息也是一种资产。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务损害减至最小,使投资回报和业务机会最大。信息可能以各种形式存在。它
5、可以打印或写在纸上、以电子方式存储、用邮寄或电子手段发送、呈现在胶片上或用言语表达。无论信息采用什么形式或者用什么方法存储或共享,都应对它进行适当地保护。信息安全在此表现为保持下列特征:a)保密性:确保信息仅被已授权访问的人访问;b)完整性:保护信息及处理方法的准确性和完备性;c)可用性:确保已授权用户在需要时可以访问信息和相关资产。信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。为什么需要信息安全?信息和支持过程,系统和网络都是重要的业务资产。信息的保密性、完整性和可用性对维持竞争优势、现金流转、赢利、守
6、法和商业形象可能是必不可少的。各组织及其信息系统和网络日益面临来自各个方面的安全威胁。这些方面包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或水灾。诸如计算机病毒、计算机黑客捣乱和拒绝服务攻击,已经变得更普遍、更有野心和日益高科技。对信息系统和服务的依赖意味着组织对安全威胁更为脆弱。公共网络和专用网络的互连和信息资源的共享增加了实现访问控制的难度。分布式计算的趋势已削弱集中式控制的有效性。许多信息系统已不再单纯追求设计成安全的,因为通过技术手段可获得的安全性是有限的。应该用合适的管理和规程给予支持。标识哪些控制要到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还
7、可能还要求供应商、消费者或股票持有人的参与。外界组织的专家建议可能也是需要的。如果在制定要求规范和设计阶段把信息安全控制结合进去,那么,该信息安全控制就会更加经济和更加有效。如何建立安全要求最重要的是组织标识出它的安全要求。有三个主要来源。第一个来源是由评估该组织的风险所获得的。通过风险评估,标识出对资产的威胁,评价易受威胁的脆弱性和威胁出现的可能性和预测威胁潜在的影响。第二个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同的要求。第三个来源是组织开发支持其运行的信息处理的特定原则、目标和要求的特定集合。评估安全风险安全要求是通过安全风险的系统性评估予以标识。用于控制的
8、经费需要针对可能由安全故障导致的业务损害加以平衡。风险评估技术可适用于整个组织,或仅适用于组织的某些部门,若这样做切实可行、现实和有帮助,该技术也适用于各个信息系统、特定系统部件或服务。风险评估要系统地考虑以下内容:a)可能由安全故障导致的业务损害,要考虑到信息或其他资产的保密性、完整性或可用性丧失的潜在后果;b)从最常见的威胁和脆弱性以及当前所实现的控制来看,有出现这样一种故障的现实可能性。评估的结果将帮助指导和确定合适的管理行动,以及管理信息安全风险和实现所选择控制的优先级,以防范这些风险。评估风险和选择控制的过程可能需要进行许多次,以便涵盖组织的不同部门或各个信息系统。重要的是对安全风险
9、和已实现的控制进行周期性评审,以便:a)考虑业务要求和优先级的变更;b)考虑新的威胁和脆弱性;c)证实控制仍然维持有效和合适。根据先前评估的结果评审宜在不同深度级别进行,以及在管理层准备接受的更改风险级别进行。作为高风险区域优化资源的一种手段,风险评估通常首先在高级别进行,然后在更细的级别进行,以提出具体的风险。选择控制一旦安全要求已被标识,则应选择并实现控制,以确保风险减少到可接受的程度。控制可以从本标准或其他控制集合中选择,或者当合适时设计新的控制以满足特定需求。有许多不同的管理风险的方法,本标准提供常用方法的若干例子。然而,需要认识到有些控制不适用于每种信息系统或环境,并且不是对所有组织
10、都可行。作为一个例子,8.1.4描述如何分割责任,以防止欺诈或出错。在较小的组织中分割所有责任是不太可能的,获得相同控制目标的其他方法可能是必要的。作为另一个例子,9.7和12.1描述如何监督系统使用及如何收集证据。所描述的控制,例如事件记录可能与适用的法律相冲突,诸如消费者或在工作场地内的隐私保护。控制应根据与风险减少相关的实现成本和潜在损失(如果安全违规出现)予以选择。也应考虑诸如丧失信誉等非金钱因素。本标准中的某些控制可认为是信息安全管理的指导原则,并且可用于大多数组织。下面在题为“信息安全起点”中更详细解释这些控制。信息安全起点许多控制可认为是为实现信息安全提供良好起点的指导原则。它们
11、或者是基于重要的法律性要求,或者被认为是信息安全常用的最佳惯例。从法律的观点看,对某个组织重要的控制包括:a)个人信息的数据保护和隐私(见12.1.4);b)保护组织的记录(见12.1.3);c)知识产权(见12.1.2)。认为是信息安全常用最佳惯例的控制包括:a)信息安全策略文档(见3.1);b)信息安全职责的分配(见4.1.3);c)信息安全教育和培训(见6.2.1);d)报告安全事故(见6.3.1);e)业务连续性管理(见11.1)。这些控制适用于大多数组织和环境。应注意,虽然本标准中的所有控制都是重要的,但是从某个组织正面临的特定风险来看,应确定任一控制的贴切性。因此,虽然上述方法被认
12、为是一种良好的起点,但它并不取代选择基于风险评估的控制。关键的成功因素经验已经表明下列因素通常对某个组织能否成功实现信息安全是关键的:a)反映业务目标安全策略、目的以及活动;b)符合组织文化的实现安全的方法;c)来自管理层的可视支持和承诺;d)正确理解安全要求、风险评估和风险管理;e)向所有管理者和员工传达有效的安全需求;f)向所有员工和合同商分发关于信息安全策略和标准的指导;g)提供合适的培训和教育;h)有一个综合和平衡的度量系统,它可用来评估信息安全管理的执行情况以及反馈改进建议。 开发你自己的指南本实用规则可以认为是开发组织具体指导的起点。本实用规则中的指导和控制并不全都是可用的。而且,
13、可以要求本标准中未包括的附加控制。当发生这种情况时,保持交叉引用可能是有用的,该交叉引用便于审核员和业务方进行符合性检验。信息技术 信息安全管理实用规则1 范围本标准对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。本标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并提供组织间交往的信任。本标准的推荐内容应按照适用的我国法律和法规加以选择和使用。2 术语和定义下列定义适用于本标准。2.1 信息安全 Information security保持信息的保密性、完整性和可用性。 保密性确保信息仅被已授权访问的人访问。 完整性保护信息及处理方法的准确性和完备性。 可用性确
14、保已授权用户在需要时可以访问信息和相关资产。2.2 风险评估 Risk assessment对信息和信息处理设施的威胁、影响及信息和信息处理设施自身的脆弱性以及它们出现的可能性的评估。2.3 风险管理 Risk management相对可接受的费用而言,标识、控制和尽量减少(或消除)可能影响信息系统的安全风险的过程。3 安全策略3.1 信息安全策略目的:提供管理方向和支持信息安全。管理层应制定清晰的策略方向,并通过在整个组织中颁发和维护信息安全策略来表明对信息安全的支持和承诺。3.1.1 信息安全策略文档策略文件要由管理层批准,当合适时,将其发布并传递给所有员工。策略文档应说明管理承诺,并提出
15、组织的管理信息安全的途径。至少,应包括下列指南:a)信息安全定义、其总目标和范围以及在信息共享允许机制下安全的重要性(见引言);b)管理层意图的说明,以支持信息安全的目标和原则;c)对组织特别重要的安全策略、原则、标准和符合性要求的简要说明,例如:1) 服从法律和合同要求;2) 安全教育要求;3) 防范和检测病毒和其他恶意软件;4) 业务连续性管理;5) 安全策略违反的后果;d)安全信息管理(包括报告安全事故)的总职责和特定职责的定义;e)引用可以支持策略的文档,例如,特定信息系统的更详细的安全策略和规程,或用户应遵守的安全规则。应以预期的读者适合的、可访问的和可理解的形式将策略传递给整个组织
16、的用户。3.1.2 评审和评价该策略应有专人负责,他按照所定义的评审过程负责其维护和评审。该过程应确保:根据影响原始风险评估基础的任何变更(例如,重大的安全事故、新的脆弱性和随组织上或技术上的基础设施的变更)进行相应的评审。还要安排下列周期性评审:a)通过所记录安全事故的性质、数目和影响证明策略的有效性;b)控制对业务效率和成本的影响;c)技术变更的影响。4 组织的安全4.1 信息安全基础设施目的:管理组织范围内的信息安全。应建立管理框架,以启动和控制组织范围内的信息安全的实施。应建立有管理领导人员参加的相应的管理协调小组,以核准整个组织内的信息安全策略、指派安全角色以及协调安全的实施。若需要
17、,要在组织范围内建立专家信息安全建议原始资料,并在组织内可利用该资料。要发展与外部安全专家的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当涉及安全事故时,提供相适应的联络地点。应鼓励信息安全的多学科途径,例如,涉及诸如保险和风险管理等领域内的管理者、用户、行政管理者、应用设计者、审核员和安全职员以及专业技术熟练工人的合作和协作。4.1.1 管理信息安全协调小组信息安全是管理团队所有成员所共同遵守的业务职责。因此,认为管理协调小组能确保安全举措有清晰的方向和看得见的管理层支持。该协调小组要通过合适的承诺和足够的资源来促进组织范围内的安全。该协调小组可以是现有管理团体的一部分。一般,这种协调小
18、组承担下列事项:a)评审和核准信息安全策略和总体职责;b)监督暴露于主要威胁下的信息资产重大变更;c)评审和监督信息安全事故;d)批准增强信息安全的重大举措。由一名管理者负责与安全相关的所有活动。4.1.2 信息安全协调在大型组织中,有必要成立一个由各相关部门的管理代表组成的跨部门的协调小组,以协调信息安全控制措施的实施。一般地说,这样的协调小组执行以下方面的工作:a)商定整个组织中信息安全的特定角色和职责;b)商定信息安全的特定方法和过程,例如,风险评估,安全分类体系;c)商定和支持组织范围的信息安全举措,例如,安全意识教育计划;d)确保安全是信息规划过程的一部分;e)评估新系统或服务的特定
19、信息安全控制的充分程度,并协调实施这些控制;f)评审信息安全事故;g)促进整个组织信息安全的业务支持的可视性。4.1.3 信息安全职责的分配保护各种资产以及进行特定安全处理的职责应予以清晰地定义。信息安全策略(见第3章)应对组织内的安全角色和职责的分配提供全面指导。若需要,应用特定场地、系统或服务用的更详细的指导予以补充。各个物理及信息资产和安全过程(诸如业务连续性规划)的局部职责应予以清晰地定义。在许多组织中,将任命一名信息安全管理者全面负责安全的开发和实施,并支持控制的标识。然而,提供控制资源并实施这些控制的职责通常归于各个管理者。一种通常的做法是对每一信息资产指定一名责任人,因此,他对该
20、信息资产的日常安全负责。信息资产的责任人可以将他们的安全职责委托给各个管理者或服务提供者。尽管如此,该责任人仍然最终负责该资产的安全,并且他应能确定任何被委托的职责是否已被正确地履行。重要的是每个管理者负责的领域要予以清晰地规定;特别是,应进行下列工作。a)与每个独立系统相关的各种资产和安全过程应予以标识并清晰地定义。b)应商定每一资产或安全过程的管理者职责,并且应形成该职责的细节文档。c)授权级别应清晰地予以定义,并形成文档。4.1.4 信息处理设施的授权过程应建立新信息处理设施的管理授权过程。理应考虑下列控制:a)新设施要有相应用户管理层的批准,以授权设施的用途和使用。还要获得负责维护本地
21、系统安全环境的管理者批准,以确保所有相关安全策略和要求得到满足。b)若需要,硬件和软件应进行检验,以确保它们与其他系统部件兼容。注:对某些连接可以要求型式批准。c)应对处理业务信息和所有必要控制所使用的个人信息处理设施进行授权。d)使用工作场地内的个人信息处理设施可能引起新的脆弱性,因此,要进行评估和授权。这些控制在已组成网络的环境中特别重要。4.1.5 专家的信息安全建议专家的安全建议可能是许多组织需要的。在概念上,一个有经验的内部信息安全顾问要提供这种建议。不是所有组织都希望聘用专家顾问。在这样的情况下,建议确定专门人员协调内部知识和经验,以确保一致性,并且在作出安全判定时提供帮助。各个组
22、织也应访问适合的外部顾问,顾问们可提供超出各组织自身经验的专家建议。应对信息安全顾问或上述相应人员分派提供建议的任务,即使用他们自己的或外部的建议来提供关于信息安全各方面的建议。他们评定安全威胁的质量和关于控制的建议将确定该组织的信息安全的有效性。为了最高有效性和最好效果,要允许他们直接访问整个组织中的管理层。在怀疑发生安全事故或违规之后的最早可能阶段,要咨询信息安全顾问或合同中相应的指定人,以提供专门指导或调查资源的原始资料。虽然大多数内部安全调查将通常在管理控制下进行,但可以要求信息安全顾问对调查提供建议、引导或进行这种调查。4.1.6 组织之间的合作要保持与法律执行机构、制订法规的机构、
23、信息服务提供者和电信运营商的相应联系,以确保万一出现安全事故时可以快速采取适当行动并获得建议。同样,要考虑安全团体和行业协调小组的成员。安全信息的交换要受到限制,以确保不把该组织的保密信息传递给未授权的个人。4.1.7 信息安全的独立评审信息安全策略文档(见3.1)提出信息安全策略和职责。其实施要独立地予以评审,以提供保证,即保证组织的实践正确地反映了策略,并且保证该策略是可行的和有效的(见12.2)。这样的评审可以通过内部审核职能、独立的管理者或专门做这种评审的第三方组织来进行,条件是这些候选者具有相应的技能和经验。4.2 第三方访问的安全目的:维护被第三方所访问的组织的信息处理设施和信息资
24、产的安全。被第三方访问的组织的信息处理设施应予以控制。若有一种业务需要这种第三方访问,就要进行风险评估,以确定安全蕴涵和控制要求。在与第三方签订的合同中要商定和定义控制。第三方访问还可能包含其他参与者。给与第三方访问的合同要包括指定其它合格参与者及其访问的条件的许可限度。本标准可以用作这种合同的基础以及考虑外包信息处理时的基础。4.2.1 标识第三方访问的风险4.2.1.1 访问类型给予第三方的访问类型特别重要。例如,通过网络连接的访问风险与由于物理访问导致的风险不同。应予以考虑的访问类型有:a)物理访问,例如,访问办公室,计算机机房,档案室;b)逻辑访问,例如,访问组织的数据库,信息系统。4
25、.2.1.2 访问的原因有许多原因可以授予第三方访问。例如,向组织提供服务却不在现场的第三方,可以授予物理和逻辑访问权,诸如:a)硬件和软件支持人员,他们需要访问系统级或低级别的应用功能度;b)贸易伙伴或联合投资者,他们可以交换信息,访问信息系统或共享数据库。在不充分的安全管理情况下,由于第三方访问,可能把信息置于风险中。若有业务需要连接到第三方地址,那么应进行风险评估,以标识出特定控制的任何要求。要考虑到所要求的访问类型、信息的价值、第三方所利用的控制以及这种访问牵连到该组织的信息安全。4.2.1.3 现场合同方在其合同中所定义的一段时间内位于现场的第三方也可能导致安全弱点。现场第三方的例子
26、包括:a)硬件和软件维护与支持人员;b)清洁、给养、安全保卫和其他外包支持服务;c)实习学生或其他短期临时工作人员;d)顾问。重要的是要理解需要什么样的控制来管理第三方对信息处理设施的访问。一般来说,由第三方访问导致的所有安全要求或者内部控制应在第三方合同反映出来(也见4.2.2)。例如,如果对于信息的保密性有特定的需要,可以使用不泄露协议(见6.1.3)。只有在实施了适当的控制措施并签定了涵盖连接和访问条款的合同之后,第三方才可以访问信息和信息处理设施。4.2.2 第三方合同中的安全要求涉及第三方访问组织信息处理设施的协议要以包含或引用所有重要要求的正式合同为基础,以确保符合组织的安全策略和
27、标准。该合同要确保在该组织和第三方之间不存在误解。至于其供应商的赔偿问题,各组织应自行解决。合同中应考虑下列条款:a)信息安全的通用策略;b)资产保护,包括:1) 保护组织资产(包括信息和软件)的规程;2) 确定资产是否受到损害(例如丢失数据或修改数据)的规程;3) 确保在合同截止时或在合同执行期间双方同意的某一时段对信息和资产的归还或销毁的控制;4) 完整性和可用性;5) 对拷贝和泄露信息的限制;c)要提供每项服务的描述;d)服务的目标级别和不可接受的服务级别;e)若合适,人员转职的规定;f)协议双方的相关义务;g)关于法律事件(例如,数据保护法律)的责任。如果该合同涉及与其他国家的组织的合
28、作,特别要考虑到不同的国家法律体系(也见12.1);h)知识产权(IPRs)和版权转让(见12.1.2)以及任何协作性工作的保护(见6.1.3);i)访问控制协议,包括:1) 允许的访问方法,唯一标识符(诸如用户ID和口令)的控制和使用。2) 用户访问和特权的授权过程;3) 维护被授权使用正在提供的服务的个人清单的要求以及他们与这种使用相关的权利和特权是哪些;j)可验证的性能要求的定义、监督和报告;k)监督和撤销用户活动的权利;l)审核合同职责的权利或拥有由第三方进行这些审核的权利;m)建立逐级解决问题的过程;在适合的情况下,也应考虑意外事故安排;n)关于硬件和软件安装和维护的职责;o)一种清
29、晰的报告结构和商定的报告格式;p) 一种清晰规定的变更管理过程;q) 任何要求的物理保护控制和机制,以确保遵守这些控制;r) 对用户和管理者在方法、规程和安全方面的培训;s) 确保防范恶意软件的控制措施(见8.3);t) 报告、通知和调查安全事故和安全违规的安排;u) 包括具有转包商的第三方。4.3 外包目的:信息处理的职责是在外包给其他组织时维护信息安全。外包安排应在双方的合同中指出信息系统、网络和/或桌面环境的风险、安全控制和规程。4.3.1 外包合同中的安全要求组织的信息系统、网络和/或桌面环境的全部或某些部分的管理和控制进行外包时,要在双方所商定的合同中指出安全要求。例如,合同中要指出
30、:a) 如何满足法律要求,例如,数据保护法律;b) 有什么样的安排,可确保外包所涉及的各方(包括转包商)知道其安全职责;c) 如何维护和测试该组织的业务资产的完整性和保密性;d) 将使用什么样的物理和逻辑控制来限制和限定已授权用户访问该组织的敏感的业务信息;e) 万一有自然灾害,如何维护服务的可用性;f) 对外包设备要提供什么等级的物理安全;g) 审核的权利。4.2.2的清单中所给出的条款也应考虑作为该合同的一部分。该合同要允许在双方待商定的安全管理计划中扩充安全要求和规程。虽然外包合同可能提出某些复杂的安全问题,但在本实用规则中所包括的控制可以用作商定安全管理计划的结构和内容的起点。5 资产
31、分类和控制5.1 资产的可核查性目的:维持对组织资产的相应保护。所有主要信息资产应是可核查的,并且有指定的责任人。资产的可核查性有助于确保维持相应的保护。对于所有主要资产要标识出责任人,并且要赋予维护相应控制的职责。可以授予实施控制的职责。可核查性归于资产的指定责任人。5.1.1 资产清单资产清单有助于确保进行有效的资产保护,并且对于其他业务目的,诸如健康与安全、保险或财务(资产管理)的原因,也需要资产清单。编制资产清单的过程是风险管理的重要部分。一个组织需要能标识出资产和这些资产的相关价值和重要性。然后,根据该信息,一个组织可以提供与资产的价值和重要性相称的保护等级。每个信息系统相关的重要资
32、产都应编制清单并加以维持。每一资产应清楚地标识,应商定其所有权和安全分类(见5.2)以及其当前位置(尝试从丢失或损坏中恢复时是重要的)并形成文档。与信息系统相关的资产举例:a) 信息资产:数据库和数据文件,系统文档,用户手册,培训材料,操作或支持规程,连续性计划,后备运行安排,归档的信息;b) 软件资产:应用软件,系统软件,开发工具和实用程序;c) 物理资产:计算机设备(处理器、监视器、便携式计算机、调制解调器),通信设备(路由器、PABX、传真机、应答机),磁媒体(磁带和磁盘),其他技术设备(电源、空调装置),家具,用具;d) 服务:计算和通信服务,一般公用事业,例如,供暖,照明,能源,空调
33、。5.2 信息分类目的:确保信息资产受到相应等级的保护。信息要分类,以指出保护的需求、优先级和程度。信息具有可变的敏感性和重要性。某些项可以要求附加等级的保护或特别的处理。信息分类体制用来定义一组合适的保护等级和传递特别处理措施的需求。5.2.1 分类指南信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响,例如,对信息的未授权访问或损坏。一般说,给予信息的分类是确定该信息如何予以处理和保护的简便方法。信息和处理分类数据的系统的输出要根据它对组织的价值和敏感性予以标记。根据它对组织的重要程度对信息进行标记也可能是合适的,例如根据它的完整性和可用性。在某一段时间之
34、后,信息通常不再是敏感的或重要的,例如,当该信息已经公开时。过多的分类可能导致不必要的附加业务费用,上述各方面应予以考虑。分类指南要预先考虑并允许任何给定的信息项的分类在全部时间内不必固定,并且根据预先确定的策略加以变更(见9.1)。对于分类种类的数目和从其使用中获得的好处要予以考虑。过度复杂的方案可能对使用不方便和不经济,或许是不实际的。在解释其他组织文档上的分类标记应小心,因为其他组织可能对于相同或类似命名的标记有不同的定义。定义信息项(例如,对文档,数据记录,数据文件或软件)的分类以及周期性评审该分类的职责仍然属于信息的始发者或指定的拥有者。5.2.2 信息标记和处理重要的是,按照组织所
35、采纳的分类方案对信息标记和处理定义一组合适的规程。这些规程需要涵盖物理和电子格式的信息资产。对每种分类,要定义处理规程,以涵盖下列信息处理活动类型:a) 拷贝;b) 存储;c) 邮政、传真和电子邮件的传输;d) 话音传输,包括移动电话、话音邮件、应答机;e) 销毁(数据结构);系统的输出含有了分类为敏感的或重要的信息应在该输出中携带合适的分类标记。该标记要根据5.2.1中所建立的规则反映出分类。待考虑的项目包括打印报告、屏幕显示、记录媒体(磁带、磁盘、CD、盒式磁带)、电子报文和文件传送。物理标记一般是最合适的标记形式。然而,某些信息资产(诸如电子形式的文档等)在物理上不能做标记,而需要使用电
36、子标记手段。6 人员安全6.1 岗位设定和人力资源的安全目的:减少人为差错、盗窃、欺诈或滥用设施的风险。在招聘阶段要指出安全职责,要包含在合同中并在个人聘用期间予以监督。要对可能的新成员进行充分的筛选,特别对敏感性岗位的成员(见6.1.2)。所有雇员和信息处理设施的第三方用户要签署保密(不泄密)协议。6.1.1 在岗位职责中要包含的安全在合适情况下,在组织的信息安全策略中所列出的安全角色和职责(见3.1),要形成文档。它们要包括实施或维护安全策略的总职责以及保护特定资产或执行特定安全过程或活动的任何特定职责。6.1.2 人员筛选和策略固定职员的鉴定核查要在职务申请时进行。这包括下列控制:a)
37、获得令人满意的参考资料;b) 申请人履历的核查(针对完整性和准确性);c) 声称的学术、专业资格的证实;d) 独立的身份核查(身份证或护照)。当一个职务(原先任命的或提升的)涉及到对信息处理设施进行访问的人时,特别是,如果这些设施正在处理敏感信息,例如,财务信息或高度保密的信息,那么,该组织还要进行信用核查。对于占据重要职权位置的职员而言,要周期性地重复这种核查。对于合同商和临时职员要进行类似的筛选过程。若这些职员是通过代理提供的,那么,与代理的合同要清晰地规定代理对筛选的职责,以及如果未完成筛选或结果引起怀疑或关注时,这些代理需要遵守通知规程。在新的和无经验的职员被授权访问敏感系统时,管理层
38、要评价对他们所要求的监督。所有职员的工作须经此类职员中更资深成员周期性评审和批准过程。管理者要了解其职员的个人环境可能影响其工作。个人的或财务的问题、他们的行为或生活方式的变化、经常缺勤以及有压力或压抑的迹象都可能导致欺诈、盗窃、出错或其他安全隐患。要按照相关权限中的合适法律处理这些情况。6.1.3 保密性协议保密性协议或不泄密协议用来告知信息是保密的或秘密的。雇员们一般要签署这样的协议,作为聘用他们的最初条款和条件的一部分。应要求现有合同(包含保密协议)中没有涉及的临时职员和第三方用户在给予访问信息处理设施之前签署保密协议。当聘用或合同的期限有变化时,特别是,当雇员预期离开该组织或合同到期终
39、止时,要评审保密协议。6.1.4 雇用条款和条件雇用条款和条件要说明雇员的信息安全职责。若合适,这些职责应在雇用结束后继续规定的一段时间。应包括如果雇员漠视安全要求所要采取的行动。雇员的合法职责和权利(例如,关于版权法或数据保护法)要予以阐明并包括在雇用的条款和条件内。也要包括雇主的数据分类和管理的职责。只要合适时,雇用的条款和条件要说明上述这些职责扩充到组织办公地点之外以及正常工作时间之外,例如,在家里工作的情况(也见7.2.5和9.8.1)。6.2 用户培训目的:确保用户知道信息安全威胁和利害关系,并准备好在其正常工作过程中支持组织的安全策略。为了使可能的安全风险减到最小,用户应接受安全规
40、程和正确使用信息处理设施方面的培训。6.2.1 信息安全教育和培训组织的所有雇员和(若相关的)第三方用户要接受组织的策略和规程方面的适当培训和定期更新内容。这包括安全要求、合法职责和业务控制以及在给予访问信息和服务之前正确使用信息处理设施的培训,例如登录过程,使用软件包等。6.3 对安全事故和故障的响应目的:使安全事故和故障的损害减到最小,并监督这种事故以及从事故中学习。影响安全的事故要尽可能快地通过合适的管理渠道予以报告。要使所有雇员和合同商知道报告可能对组织的资产安全有影响的不同类型事故(安全违规、威胁、弱点或故障)的规程,应要求他们尽可能快地把任何观察到的或预测到的事故报告给指明的联系点
41、。该组织对涉及安全违规的雇员应建立一个正式的纪律处理办法。为了能正确地指出事故,在出现事故之后尽可能快地收集证据可能是必要的(见12.1.7)。6.3.1 报告安全事故安全事故要尽可能快地通过合适的管理渠道报告。应建立正式的报告规程以及事故响应规程,以及在收到事故报告时提出要采取的动作。要让所有雇员和合同商知道报告安全事故的规程,并要求他们尽可能快地报告这样的事故。相应的反馈过程应予以实现,以确保在事故已经处理和结束之后将结果通知报告事故的人们。在用户安全意识培训时,这些事故可用作可能发生什么,如何响应这样的事故,如何在将来避免这样的事故(也见12.1.7)的例子。6.3.2 报告安全弱点应要
42、求信息服务的用户通知并报告任何观察到的或预测到的系统或服务的安全弱点。他们要尽可能快地向其管理层或直接向其服务提供者报告这些情况。要通知用户在任何情况下,他们不要企图证明预测到的弱点。这是为了其自身的保护,因为可能将测试的弱点看作系统的潜在滥用。6.3.3 报告软件故障要建立报告软件故障的规程。下列动作要予以考虑。a) 应记录下问题的征兆和任何显示在屏幕上的消息。b) 如有可能,计算机要加以隔离,并且停止对其的使用。要立即向相应的联系点报警。如果设备 待检查,在重新加电之前,设备要与任何组织的网络断开。磁盘不要转移到其他计算机。c) 应立即向信息安全管理者报告此情况。用户不要试图移去可疑的软件
43、,除非被授权这样做。要由已受过相当培训的和有经验的人员进行恢复。6.3.4 从事故中学习要有适当的机制,以使事故和故障的类型、数量和代价能被量化和监督。该信息要用来标识重复发生的或影响很大的事故或故障。这样做可以指出需要增强的或附加的控制,以限制未来出现事故的频度、损坏和代价,或者要将它们计入安全策略评审过程中(见3.1.2)。6.3.5 纪律处理对于违反了组织安全策略和规程(见6.1.4,关于证据的保存,见12.1.7)的雇员,要具有正式的纪律处理。对雇员来说,这样一种办法起威慑的作用,否则他可能倾向于不顾安全规程。此外,宜确保正确、公正地对待牵涉重大违规或经常违规的雇员。7 物理和环境的安
44、全7.1 安全区域目的:防止对业务办公场所和信息未授权访问、损坏和干扰。关键和敏感的业务信息处理设施要放置在安全区域内,并受到一种已定义的安全周边和适合的安全屏障和入口控制的保护。这些设施要在物理上避免未授权访问、损坏和干扰。所提供的保护要与所标识的风险相匹配。推荐用清理台面和清空屏幕策略以减少未授权访问或损坏记录纸、媒体和信息处理设施的风险。7.1.1 物理安全周边物理保护可通过在业务办公场所信息处理设施周围建立若干物理屏障来达到。各个屏障建立一个安全周边,每个屏障都增强所提供的整体保护。组织要使用安全周边来保护包含信息处理设施的区域(见7.1.3)。安全周边是指构建屏障的某样东西,例如,墙
45、、卡控制的入口门或有人管理的接待台。各个屏障的设置地点和强度取决于风险评估的结果。若合适,下列指南和控制应予以考虑:a) 安全周边应清晰地予以定义。b) 包含有信息处理设施的建筑物或场地的周边应在物理上是安全的(即,在周边或区域内不应存在可能易于闯入的任何缺口)。场地的外墙应是坚固结构,所有外部门要有适当保护以防止未授权进入,例如,控制机制、门闩、报警器、锁等等。b) 有人管理的接待区域或控制物理访问场地或建筑物的其他手段要到位。进入场地或建筑物应仅限于已授权人员。c) 如果需要,物理屏障应从真正的地板扩展到真正的天花板,以防止未授权进入和由诸如火灾和水灾所引起的环境污染。d) 安全周边的所有
46、防火门应可发出报警信号,并应紧闭。7.1.2 物理入口控制安全区域要由适合的入口控制所保护,以确保只有已授权的人员才允许访问。下列控制要予以考虑。a) 对安全区域的访问者要予以监督或办理进入手续,并记录他们进入和离开的日期和时间。只能允许他们访问特定的、已授权的目标,并要向他们宣布关于该区域安全要求和应急规程的说明。b) 访问敏感信息和信息处理设施要受到控制,并且仅限于已授权的人员。鉴别控制例如,插卡加个人识别号(PIN)应用于授权和确认所有访问。所有访问的审核踪迹要安全地加以维护。c) 要求所有人员佩带某种形式的可视标识,并且鼓励他们询问无人护送的陌生人和未佩带可视标识的任何人。d) 对安全区域的访问权利要定期地予以评审和更新。7.1.3 办公室、房间和设施的安全保护安全区域可以是在物理安全周边内侧上锁的办公室或者几个房间。这种办公室可以是上锁的并且可以包含可锁的铁柜或保险柜。安全区域的选择和设计要考虑到防止火灾、水灾、爆炸、国内动荡以及其他形式的自然或人为灾难的损坏的可能
