信息安全管理體系規(guī)范與使用指引33

1、信息安全管理體系規(guī)范與使用指南目錄前言0 介紹0.1 總則0.2 過程方法0.3 與其他管理體系的兼容性1 范圍1.1 概要1.2 應(yīng)用2 標(biāo)準(zhǔn)參考3 名詞與定義4 信息安全管理體系要求4.1 總則4.2 建立和管理信息安全管理體系4.2.1 建立信息安全管理體系4.2.2 實(shí)施和運(yùn)作信息安全管理體系4.2.3 監(jiān)控和評審信息安全管理體系4.2.4 維護(hù)和改進(jìn)信息安全管理體系4.3 文件化要求4.3.1 總則4.3.2 文件控制4.3.3 記錄控制5 管理職責(zé)5.1 管理承諾5.2 資源管理5.2.1 資源提供5.2.2 培訓(xùn)、意識(shí)和能力6 信息安全管理體系管理評審6.1 總則6.2 評審輸入

2、6.3 評審輸出6.4 內(nèi)部信息安全管理體系審核7 信息安全管理體系改進(jìn)7.1 持續(xù)改進(jìn)7.2 糾正措施7.3 預(yù)防措施附件 A （有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施A1 介紹A2 最佳實(shí)踐指南A3 安全方針A4 組織安全A5 資產(chǎn)分級和控制A6 人事安全A7 實(shí)體和環(huán)境安全A8 通信與運(yùn)營安全A9 訪問控制A 10 系統(tǒng)開發(fā)和維護(hù)A 11 業(yè)務(wù)連續(xù)性管理A 12 符合附件B （情報(bào)性的）本標(biāo)準(zhǔn)使用指南B1 概況B.1.1PDCA 模型B.1.2 計(jì)劃與實(shí)施B.1.3 檢查與改進(jìn)B.1.4 控制措施小結(jié)B2 計(jì)劃階段B.2.1 介紹B.2.2 信息安全方針B.2.3 信息安全管理體系范圍B.2.4

3、 風(fēng)險(xiǎn)識(shí)別與評估B.2.5 風(fēng)險(xiǎn)處理計(jì)劃B3 實(shí)施階段B.3.1 介紹B.3.2 資源、培訓(xùn)和意識(shí)B.3.3 風(fēng)險(xiǎn)處理B4 檢查階段B.4.1 介紹B.4.2 常規(guī)檢查B.4.3 自我方針程序B.4.4 從其他處學(xué)習(xí)B.4.5 審核B.4.6 管理評審B.4.7 虛實(shí)分析B5 改進(jìn)階段B.5.1 介紹B.1.2 不符合項(xiàng)B.5.3 糾正和預(yù)防措施B.5.4OECD 原則和 BS 7799 2附件 C (情報(bào))ISO 9001:2000、ISO14001 與 BS7799-2:2002 條款對照0 介紹0.1 總則 本標(biāo)準(zhǔn)的目的是為業(yè)務(wù)經(jīng)理和他們的員工提供建立和管理一個(gè)有效的信息安全管理體系(

4、ISMS )的模型。 采用 ISMS 應(yīng)是一個(gè)組織的戰(zhàn)略決定。 一個(gè)組織的 ISMS 的設(shè)計(jì)和實(shí)施受 業(yè)務(wù)需要和目標(biāo)、產(chǎn)生的安全需求、采用的過程及組織的大小、結(jié)構(gòu)的影響。上述因素和他 們的支持過程預(yù)計(jì)會(huì)隨事件而變化。希望簡單的情況是用簡單的ISMS 解決方案。本標(biāo)準(zhǔn)可以又內(nèi)部、 外部包括認(rèn)證組織使用審核一個(gè)組織符合其本身的需要及客戶和法律的 要求的能力。ISMS的有效性。0.2過程方法本標(biāo)準(zhǔn)推薦采用過程的方法開發(fā)、實(shí)施和改進(jìn)一個(gè)組織的一個(gè)組織必須識(shí)別和管理許多活動(dòng)使其有效地運(yùn)行。一個(gè)活動(dòng)使用資源和在管理狀態(tài)下使其能夠把輸入轉(zhuǎn)換為輸出，這個(gè)過程可以被認(rèn)為是一個(gè)過程。經(jīng)常地，一個(gè)過程的輸出直接形成

5、了下一個(gè)過程的輸入。在一個(gè)組織用應(yīng)用一個(gè)過程的體系，并識(shí)別這些過程、 過程間的相互作用及過程的管理，可以叫做過程的方法。過程的方法鼓勵(lì)使用者強(qiáng)調(diào)一下重要性：a）理解業(yè)務(wù)信息安全需求和建立信息安全方針和目標(biāo)的需求；b）在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施也運(yùn)作控制措施；c）監(jiān)控和評審ISMS的有效性和績效；d）在客觀評價(jià)的基礎(chǔ)上持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用的，適用于 ISMS的模型，如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關(guān)方的細(xì)小安全需求和期望，通過必要的行動(dòng)產(chǎn)生信息安全結(jié)果（即：管理的信息安全），此結(jié)果滿足這些需要和期望。一個(gè)需求的例子可能是信息安全事故不要對組織引起財(cái)務(wù)損失和/或引高層主管的尷

6、尬。一個(gè)期望的例子可能是如果嚴(yán)重的事故發(fā)生也許足智多謀餓電子商務(wù)網(wǎng)站被黑客入侵一將有被培訓(xùn)過的員工通過使用的程序減小其影響。這顯示了本標(biāo)準(zhǔn)在第四至第七部分的聯(lián)系。被模型就是眾所周知的“ Plan-Do-Check-Act ”（ PECA）模型，本模型 可以用于所有的過程。 PDCA模型可以簡單地描述如下圖：PDCA模型應(yīng)用與信息安全管理體系過程計(jì)戈U PLAN建立ISMS相關(guān)單位實(shí)施DO開發(fā)、維護(hù)實(shí)施和 運(yùn)作ISMS和改進(jìn)循環(huán)維護(hù)和改進(jìn)ISMS改進(jìn)ACTION相關(guān)單位管理狀態(tài)下的信息信息 安全需求1范圍1.1概要本標(biāo)準(zhǔn)規(guī)范在組織整個(gè)業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和改進(jìn)一個(gè)文件化的 ISMS模

7、型。它規(guī)定了對定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)方的需求。（見附件B,提供了使用該規(guī)范的指南）。ISMS保證足夠的和成比例和安全控制措施以充分保護(hù)信息資產(chǎn)名給與客戶和其他利益相關(guān) 方信心。這將轉(zhuǎn)化為維護(hù)和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務(wù)形象。1.2應(yīng)用本標(biāo)準(zhǔn)提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務(wù)性質(zhì)。當(dāng)由于組織的性質(zhì)和業(yè)務(wù)本標(biāo)準(zhǔn)中的要求不能使用，要求可以考慮刪減。除非不能刪減不影響組織的能力，和/或責(zé)任提供符合由風(fēng)險(xiǎn)評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。任何能夠滿足風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險(xiǎn)被

8、負(fù)責(zé)人員正當(dāng)?shù)亟邮?。對于條款4,5,6和7的要求的刪減不能接受。2引用標(biāo)準(zhǔn)ISO 9001:2000質(zhì)量管理體系-要求ISO/IEC 17799:2000信息技術(shù)一信息安全管理實(shí)踐指南ISO指南73:2001風(fēng)險(xiǎn)管理指南-名詞3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。3.1可用性保證被授權(quán)的使用者需要時(shí)能夠訪問信息及相關(guān)資產(chǎn)。BS ISO/IEC 17799:20003.2保密性 保證信息只被授權(quán)的訪問。BS ISO/IEC 17799:20003.3信息安全安全保護(hù)信息的保密性、完整性和可用性3.4信息安全管理體系（ISMS）是整個(gè)管理體系的一部分，建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以開

9、發(fā)、實(shí)施完成、評審和維護(hù)信息安全。3.5 完整性 保護(hù)信息和處理過程的準(zhǔn)確和完整。 BS ISO/IEC 17799:20003.6 風(fēng)險(xiǎn)接受 接受一個(gè)風(fēng)險(xiǎn)的決定。 ISO Guide 733.7 風(fēng)險(xiǎn)分析 系統(tǒng)化地使用信息識(shí)別來源和估計(jì)風(fēng)險(xiǎn)。 ISO Guide 733.8 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的整個(gè)過程。 ISO Guide 733.9 風(fēng)險(xiǎn)評價(jià) 比較估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，確定風(fēng)險(xiǎn)嚴(yán)重性的過程。 ISO Guide 733.10 風(fēng)險(xiǎn)管理 指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)合行動(dòng)。3.11 風(fēng)險(xiǎn)處理 選擇和實(shí)施措施以更改風(fēng)險(xiǎn)處理過程。ISO Guide 733.12 適用性聲明 描述與使用

10、組織的 ISMS 范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是建立 在風(fēng)險(xiǎn)評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。4 信息安全管理體系要求4.1 總要求 組織應(yīng)在組織整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下開發(fā)、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的 ISMS 。 對于該標(biāo)準(zhǔn)的目的，使用的過程是建立在圖一說示的 PDCA 模型為基礎(chǔ)上。4.2 建立和管理 ISMS4.2.1 建立 ISMS組織應(yīng)：a）應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)定義SIMS的范圍。b）應(yīng)用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應(yīng)：1）包括為其目標(biāo)建立一個(gè)框架病危信息安全活動(dòng)建立整日的方向和原則。2）考慮業(yè)務(wù)及法律或

11、法規(guī)的要求，及合同的安全義務(wù)。3）建立組織戰(zhàn)略和風(fēng)險(xiǎn)的環(huán)境，在這種環(huán)境下， 建立和維護(hù)信息安全管理體系。4）建立風(fēng)險(xiǎn)評價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評估定義的結(jié)構(gòu)。見 4.2.1c5）經(jīng)管理層批準(zhǔn)c）定義風(fēng)險(xiǎn)評估的系統(tǒng)化的方法識(shí)別適用于 ISMS 及已識(shí)別的信息安全、 法律和法規(guī)的要求的風(fēng)險(xiǎn)評估的方法為ISMS 建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可接受的水平。 確定接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和識(shí)別 可接受分享的水平。 見 5.1fd）定義風(fēng)險(xiǎn)1）在 ISMS 的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人2）識(shí)別對這些資產(chǎn)的威脅3）識(shí)別可能被威脅利用的脆弱性4）識(shí)別資產(chǎn)失去保密性、完整性和可用性的影響e）評估風(fēng)險(xiǎn)1）評估由于安全故障帶來的業(yè)務(wù)損害

12、， 要考慮資產(chǎn)失去保密性、 完整性和可用性 的潛在后果2）評估與這些資產(chǎn)相關(guān)的主要威脅、 脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可 能性和現(xiàn)存的控制措施3）估計(jì)風(fēng)險(xiǎn)的等級4）確定介紹風(fēng)險(xiǎn)或使用在 c 中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理f）識(shí)別和評價(jià)供處理風(fēng)險(xiǎn)的可選措施1）應(yīng)用合適的控制措施2）知道并有目的的棘手風(fēng)險(xiǎn)， 同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的 標(biāo)準(zhǔn)。 見 4.2.13）避免風(fēng)險(xiǎn)4）轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)、供應(yīng)商等。g）選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)應(yīng)從本標(biāo)準(zhǔn)附件 A 中選擇合適的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評估 和風(fēng)險(xiǎn)處理過程的結(jié)果調(diào)整。注意：附件 A 中

13、列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所 有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h）準(zhǔn)備一份適用性聲明。從上面4.2.1（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A 中剪裁的控制措施也應(yīng)加以記錄i）提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和運(yùn)作ISMS。4.2.2 實(shí)施和運(yùn)作 ISMS組織應(yīng)：a）識(shí)別合適的管理行動(dòng)和確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序，（即：風(fēng)險(xiǎn)處理計(jì)劃） - 見條款 5b）實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo)，包括對資金的考慮和落實(shí)安全角色和責(zé)任c）實(shí)施在4.2.1（g）選擇的控制目標(biāo)和控制措施d）培訓(xùn)和意識(shí)見5.2.2e

14、）管理運(yùn)作過程f）管理資源見5.2g）實(shí)施程序和其他有能力隨時(shí)探測和回應(yīng)安全事故。4.2.3 監(jiān)控和評審 ISMS組織應(yīng)：a）執(zhí)行監(jiān)控程序和其他控制措施，以：1）是探測處理結(jié)果中的錯(cuò)誤2）及時(shí)識(shí)別失敗的和成功的安全破壞和事故3）能夠使管理層決定以分派給員工的或通過信息技術(shù)實(shí)施的安全活動(dòng) 是否達(dá)到了預(yù)期的目標(biāo)4）確定解決安全破壞的行動(dòng)是否反映了業(yè)務(wù)的優(yōu)先級b）進(jìn)行常規(guī)的ISMS有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措 施的評審） 考慮安全評審的結(jié)果、 事故、 來自所有利益相關(guān)方的建議和反饋c）評審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮一下變化1 ） 組織2）技術(shù)3 ） 業(yè)務(wù)目標(biāo)和過程4） 識(shí)

15、別威脅及5）外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化d）在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部ISMS審核e）經(jīng)常進(jìn)行ISMS管理評審（至少每年評審一個(gè)周期）以保證信息安全管理體 系的范圍仍然足夠，在 ISMS 過程中的改進(jìn)措施已被識(shí)別（見條款 6ISMS 的 管理評審）f）記錄所采取的行動(dòng)和能夠影響ISMS的有效性或績效的事件見4344.2.4 維護(hù)和改進(jìn) ISMS 組織應(yīng)經(jīng)常：a）實(shí)施以識(shí)別的對于ISMS改進(jìn)措施。b）采取合適的糾正和預(yù)防行動(dòng) 見7.2和7.3。應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組 織內(nèi)學(xué)到知識(shí)。c）溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)訪的同意。d）確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)4.

16、3 文件要求4.3.1 總則ISMS 文件應(yīng)包括：a）文件化的安全方針文件和控制目標(biāo)b）ISMS 范圍 見 4 . 2 .1和程序及支持 ISMS 的控制措施c）風(fēng)險(xiǎn)評估報(bào)告見421d）風(fēng)險(xiǎn)處理計(jì)劃見422e）組織需要的文件化的程序以確保有效計(jì)劃運(yùn)營和對信息安全過程的控 制見 6.1f）本標(biāo)準(zhǔn)要求的記錄 見 4.3.4g）適用性聲明注 1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件的程序” ，這意味著建立、文件化、實(shí)施和維護(hù)該程序。注 2：See ISO 9001注 3：文件和記錄可以用多種形式和不同媒體。4.3.2 文件控制ISMS 要求的文件應(yīng)保護(hù)和控制。應(yīng)建立文件化的程序確定管理所需文件：a）文件發(fā)布得到批準(zhǔn)

17、，以確保文件的充分性b）必要時(shí)對文件進(jìn)行審批與更新，并再次批準(zhǔn)c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別d）確保在使用處可獲得適用文件的有關(guān)版本e）確保文件保持清晰、易于識(shí)別f）確保外來文件得到識(shí)別，并控制起分發(fā)g）確保文件的發(fā)放在控制狀態(tài)下h）防止作廢文件的非預(yù)期使用i）若因任何原因而保留作廢文件時(shí)，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)4.3.3 記錄控制應(yīng)建立并保持紀(jì)錄， 以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控 制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別和檢索。應(yīng) 編制形成文件的程序，以規(guī)定記錄的標(biāo)儲(chǔ)存、保護(hù)檢索、保存期限和處置所需的控制。一個(gè) 管理過

18、程將確定記錄的程度。應(yīng)保留 4.2 概要的過程績效記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5 管理職責(zé)5.1 管理承諾管理層應(yīng)提供其承諾建立、 實(shí)施、運(yùn)行、監(jiān)控、 評審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)， 包括：a）建立信息安全方針：b）確保建立信息安全目標(biāo)和計(jì)劃：c）為信息安全確立角色和責(zé)任；d）向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e）提供足夠的資源以開發(fā)、 實(shí)施，運(yùn)行和維護(hù)信息安全管理體系 見521f）確定可接受風(fēng)險(xiǎn)的水平；g）進(jìn)行信息安全管理體系的評審見條款6

19、。5.2 資源管理5.2.1 提供資源組織將確定和提供所需的資源，以：a）建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同安全的義務(wù)；d）正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e）必要時(shí)，進(jìn)行評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f）需要時(shí)，改進(jìn)信息安全管理體系的有效性。5.2.2 培訓(xùn)、意識(shí)和能力 組織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。組織應(yīng)：a）確定從事影響信息安全管理體系的人員所必要的能力；b）提供能力培訓(xùn)和，必要時(shí)，聘用有能力的人員滿足這些需求；c）評價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性：d）保持

20、教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的紀(jì)錄見4. 3. 3組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣 達(dá)成信息安全管理目標(biāo)。6 信息安全管理體系的管理評審6 1 總則管理層應(yīng)按策劃的時(shí)間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、 充分性和有效性。 評審應(yīng)包括評價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。評審的結(jié)果因清楚地文件化，應(yīng)保持管理評審的紀(jì)錄見433162 評審輸入 管理評審的輸入應(yīng)包括以下方面的信息：a）信息安全管理體系審核和評審的結(jié)果；b）相關(guān)方的反饋；c）可以用于組織改進(jìn)其信息安全管理體系業(yè)績和有效性的技術(shù)，產(chǎn)品或程序；

21、d）預(yù)防和糾正措施的狀況；e）以前風(fēng)險(xiǎn)評估沒有足夠強(qiáng)調(diào)的脆弱性或威脅；f）以往管理評審的跟蹤措施：g）任何可能影響信息安全管理體系的變更；h）改進(jìn)的建議。63 評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a）信息安全管理體系有效性的改進(jìn)；b）修改影響信息安全的程序，必要時(shí)，以回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事 件，包括以下的變更：1）業(yè)務(wù)要求；2）安全要求；3）業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4）法規(guī)或法律環(huán)境；5）風(fēng)險(xiǎn)的等級和或可接受風(fēng)險(xiǎn)的水平；c）資源需求。64 內(nèi)部信息安全管理體系審核 組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)

22、?？刂拼胧?、過程和程序是否：a）符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合識(shí)別的信息安全要求；c）被有效地實(shí)施和維護(hù)；d）達(dá)到預(yù)想的業(yè)績.任何審核活動(dòng)應(yīng)策劃， 策劃應(yīng)考慮過程的狀況和重要性， 要審核的范圍以及前次審核的結(jié)果。 應(yīng)確定審核的標(biāo)準(zhǔn)， 范圍， 頻次和方法。 選擇審核員及進(jìn)行審核應(yīng)確保審核過程的客觀和公 正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)及維護(hù)記錄見43的責(zé)任及要求。負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保采取沒有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。改進(jìn)應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果見條款7。7 ISMS 改進(jìn)71 持續(xù) 改進(jìn) 組織應(yīng)

23、通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防行動(dòng)和管理i 審的信息持續(xù)改進(jìn) ISMS 的有效性。7. 2 糾正措施組織應(yīng)采取措施， 以消除不合格的與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因，防止不合格 的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a）識(shí)別實(shí)施和/或運(yùn)行信息安全管理體系的不合格；b）確定不合和的原因：c）評價(jià)確保不合格不再發(fā)生的措施的需求；d）確定和實(shí)施所需的糾正措施：e）記錄所采取措施的結(jié)果見4. 3. 3;f）評審所采取的糾正措施。7. 3預(yù)防措施 組織應(yīng)針對未來的不合格確定措施以防上其發(fā)生。預(yù)防措施應(yīng)于潛在問題的影響程度相適 應(yīng)。應(yīng)為預(yù)防措施

24、編制形成文件的程序，以確定以下方面的要求：a）識(shí)別潛在的不合格及其原因；b）確定和實(shí)施所需的預(yù)防措施：C）記錄所采取措施的結(jié)果見4. 3. 3:d）評審所采取的預(yù)防措施；識(shí)別以便更得風(fēng)險(xiǎn)和確保注意力關(guān)注在重大的以變更的風(fēng)險(xiǎn)。 糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。附錄A （引用）控制目標(biāo)和控制措施A 1 介紹從 A 3 到 A 12 列出的控制目標(biāo)和控制措施是直接引用并與BS ISO/IEC 17799 ： 2000 條款 3 到 12 一致。在表中的清單并不徹底，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措

25、施是條款4. 2*規(guī)定的信息安全管理體系過程的一部分。A 2實(shí)踐指南規(guī)范SS ISO/ IEC 17799 :2000條款3至12提供最佳實(shí)踐的實(shí)施建議和指南以支持A .3到A 12規(guī)范的控制措施。A .3安全方針BS ISO/IEO17799:2000編號A.3.1信息安全方針控制目標(biāo)：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應(yīng)提供一份方針文件，出版并溝 通，適當(dāng)時(shí)，給所有員工。3.1.1A.3.1.2評審和評價(jià)應(yīng)經(jīng)常評審方針文件，在發(fā)生決定性的 變化時(shí)，確保方針的適宜性3.1.2A. 4組織安全BS ISO/IEO17799:2000編號A.4.1信息安

26、全基礎(chǔ)設(shè)施控制目標(biāo)：在組織中管理信息安全4.1控制措施A.41.1管理信息安全委 員會(huì)信息安全管理委員會(huì)確保明確的目標(biāo) 和管理層對啟動(dòng)安全管理可見的支持。 管理委員會(huì)應(yīng)通過適當(dāng)?shù)某兄Z和種族 的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作在大的組織中，應(yīng)使用一個(gè)由從各組織 相關(guān)單位的管理者代表組成的跨功能 的委員會(huì)，協(xié)作實(shí)施信息安全控制措施4.1.2A.4.1.3落實(shí)信息安全責(zé)任應(yīng)明確疋義保護(hù)每種資產(chǎn)和負(fù)責(zé)特疋 安全過程的責(zé)任A.4.1.3A.4.1.4對信息處理設(shè)施 的授權(quán)過程應(yīng)建立對于新的信息處理設(shè)施的管理 授權(quán)A.4.1.4A.4.1.5專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全

27、建議并在組織內(nèi)部實(shí)施協(xié)作A.4.1.5A.4.1.6組織間的合作與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān)、信息服務(wù)提供者， 及通信業(yè)者應(yīng)維持適當(dāng)?shù)慕佑|A.4.1.6A.4.1.7獨(dú)立的信息安全審 查應(yīng)對信息安全方針的實(shí)施進(jìn)行獨(dú)立的審 查A.4.1.7A.4.2第三方訪問的安全控制目標(biāo)：維護(hù)組織的信息處理設(shè)施及細(xì)小資產(chǎn)被第三方訪問時(shí)的安全A.4.2控制措施A.4.2.1確認(rèn)第三方訪冋的風(fēng)險(xiǎn)應(yīng)對第三訪問組織的信息處理設(shè)施所帶 來的風(fēng)險(xiǎn)進(jìn)行評估， 并實(shí)施適當(dāng)?shù)陌踩?制A.4.2.1A.4.2.2與第三方的合約中 的安全要求涉及第三方訪問組織的信息設(shè)施的安排， 應(yīng)以包含必要的安全要求在內(nèi)的正式合 約為基礎(chǔ)A.4.2.2

28、A.4.3外包控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其它組織時(shí)，應(yīng)維護(hù)信息的安全A.4.3A.4.3.1夕卜包合約中的安全 要求當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)及/或桌上型計(jì)算機(jī)環(huán)境的管理及控制外包 時(shí)，在雙方同意的合約中應(yīng)載明安全的要 求A.4.3.1A. 5資產(chǎn)分類與控制BS ISO/IEO17799:2000編號A.5.資產(chǎn)的保管責(zé)任控制目標(biāo)：維持對于組織的資產(chǎn)的適切保護(hù)5.1控制措施A.5.1.1資產(chǎn)的清單應(yīng)列出并維持一份與每個(gè)信息系統(tǒng)有 關(guān)的所有重要的資產(chǎn)的清單A.5.2信息分類控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)5.2控制措施A.5.2.1分類原則信息的分類及相關(guān)的保護(hù)控制，應(yīng)適合

29、于企業(yè)營運(yùn)對于信息分享或限制的需 要，以及這些需要對企業(yè)營運(yùn)所帶來的 沖擊5.2.1A.5.2.2信息的標(biāo)識(shí)及處理應(yīng)制定信息標(biāo)識(shí)及處理的程序，以符合 組織所采行動(dòng)的分類法則5.2.2A. 6人事安全BS ISO/IEO17799:2000編號A.6.1工作說明及人力資源的安全控制目標(biāo)：降低因人員錯(cuò)誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險(xiǎn)6.1控制措施A.6.1.1將安全需求列入 工作職責(zé)中組織在信息安全方針中所規(guī)定的安全角色 及責(zé)任，應(yīng)適度地書面化于工作職責(zé)說明書 中6.1.1A6.1.2人員篩審及政策應(yīng)在招聘員工時(shí)執(zhí)行正式員工的驗(yàn)證查核6.1.2A6.1.3保密合約員工應(yīng)簽署保密協(xié)議作為其啟

30、始聘用合同 的一部分6.1.3A6.1.4聘用合同聘用合同中因陳述員工對信息安全的責(zé)任6.1.4A.6.2使用者培訓(xùn)控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力6.2控制措施A.6.2.1信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者， 對于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練6.2.1A.6.3安全及失效事件的響應(yīng)6.3A6.3.1安全事故報(bào)告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng) 的管理途徑進(jìn)行通報(bào)6.3.1A6.3.2安全弱點(diǎn)的報(bào)告應(yīng)要求信息服務(wù)的使用者記下并報(bào)告任何 觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的 安全弱點(diǎn)或威脅6

31、.3.2A6.3.3軟件失效事件的報(bào)告應(yīng)建立報(bào)告軟件失效事件的相關(guān)程序6.3.3A6.3.4從事件中學(xué)習(xí)應(yīng)有適當(dāng)機(jī)制以量化與監(jiān)督安全事故及失6.3.4效事件的種類、數(shù)量及成本A6.3.5懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來處理6.3.5A. 7實(shí)體及環(huán)境安全BS ISO/IEO17799:2000編號A .7.1安全區(qū)域控制目標(biāo)：防止對企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問、破壞及干擾7.1控制措施A.7.1.1實(shí)體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理 設(shè)施的區(qū)域7.1.1A7.1.2實(shí)體進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出

32、7.1.2A.7.1.3辦公處所及設(shè)備 的保護(hù)應(yīng)劃疋安全區(qū)域，以保護(hù)具有特殊安全需求 的辦公處所及設(shè)備7.1.3A.7.1.4在安全區(qū)域中的 作業(yè)應(yīng)對在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以堅(jiān)強(qiáng)安全區(qū)域的安全7.1.4A.7.1.5隔離遞送及裝載 區(qū)域遞送及裝載區(qū)域應(yīng)加以控制，如有可能與信 息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問7.1.5A .7.2設(shè)備安全控制目標(biāo)：預(yù)防資產(chǎn)遺失或損失和防止企業(yè)運(yùn)營活動(dòng)遭受干擾7.2控制措施A.7.2.1設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備， 以降低來自環(huán)境的 威脅與危險(xiǎn)所造成的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)的 訪問7.2.1A.7.2.1電源供應(yīng)應(yīng)保護(hù)設(shè)備免于電力

33、失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電 纜，應(yīng)予以保護(hù)免于被攔截或破壞7.2.3A.7.2.4設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用 性及完整性7.2.4A.7.2.5組織以外 的設(shè)備安 全任何在組織所在地以外使用的信息處理設(shè) 備應(yīng)要求管理層授權(quán)7.2.5A.7.2.6設(shè)備報(bào)廢或再利 用的安全防護(hù)設(shè)備在報(bào)廢或再利用前， 應(yīng)清除在設(shè)備中的 信息7.2.6A.7.3 一般控制控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及 計(jì)算機(jī)屏幕畫面 凈空策略組織應(yīng)具備辦公桌面凈空及計(jì)算機(jī)屏幕畫 面凈空的政

34、策，以降低因信息被未經(jīng)授權(quán)訪 問、遺失及所造成的風(fēng)險(xiǎn)7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件7.3.2A. 8通訊與操作管理BS ISO/IEO17799:2000編號A .8.1作業(yè)程序及責(zé)任控制目標(biāo)：確保正確、安全地操作信息處理設(shè)備8.1控制措施A.8.1.1文件化的作業(yè)程序由條款4.1.1.1所制定的信息安全政策所指 明的作業(yè)程序應(yīng)加以文件化及維護(hù)8.1.1A.8.1.2作業(yè)變更控制對信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制8.1.2A.8.1.3事故管理程序應(yīng)建立事故的管理責(zé)任及程序，以確保迅 速、有效及有序地反應(yīng)安全事件和米集事故8.1.3有關(guān)數(shù)據(jù)如審

35、核線索和日志A.8.1.4職務(wù)隔離職務(wù)及負(fù)責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當(dāng)使用信息或服務(wù)的機(jī)會(huì)8.1.4A.8.1.5開發(fā)與操作設(shè)備 的隔離開發(fā)及測試設(shè)備應(yīng)與操作設(shè)備分離。應(yīng)確定和文件化從開發(fā)狀態(tài)到運(yùn)行狀態(tài)移植軟件 的規(guī)定8.1.5A8.1.6外部設(shè)備的管理使用外部的設(shè)備管理服務(wù)之前，應(yīng)鑒別其風(fēng) 險(xiǎn)，并與承包尚協(xié)議適當(dāng)?shù)目刂品椒ǎ?并納 入合約內(nèi)容之中8.1.6A .8.2系統(tǒng)規(guī)劃及驗(yàn)收控制目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小8.2控制措施A.8.2.1容量規(guī)劃容量要求應(yīng)加以監(jiān)督，并應(yīng)作出對于未來容 量需求的推測，以確保擁有合適的運(yùn)算處理 能力及儲(chǔ)存空間8.2.1A.8.2.2系統(tǒng)驗(yàn)收

36、應(yīng)建立新信息系統(tǒng)、升級及 新版本的驗(yàn)收標(biāo)準(zhǔn)，并且在 允收前對系統(tǒng)進(jìn)行適當(dāng)?shù)臏y 試8.2.2A.8.3對具惡意的軟件的防范控制目標(biāo)：保護(hù)軟件及信息的完整性不受惡意軟件的損害8.3控制措施A.8.3.1對具惡意 的軟件的 控制應(yīng)有具偵測性及預(yù)防性的控制方法以防范 惡意的軟件，并且應(yīng)有適當(dāng)?shù)氖褂谜哳A(yù)警程 序的措施8.3.1A.8.4日常事務(wù)處理控制目標(biāo)：維持信息處理及通訊服務(wù)的完整性及可用性8.4控制措施A.8.4.1信息備份應(yīng)定期備份重要的企業(yè)營運(yùn)信息和軟件并 經(jīng)常測試8.4.1A.8.4.2操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動(dòng)的工 作日。操作日志應(yīng)受到經(jīng)常性的， 獨(dú)立的審 查8.4.2BS

37、 ISO/IEO17799:2000編號A.8.4.3錯(cuò)誤事件登錄應(yīng)通報(bào)錯(cuò)誤并采取改正行動(dòng)8.4.3A.8.5網(wǎng)絡(luò)管理控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施8.5控制措施A.8.5.1網(wǎng)絡(luò)控制應(yīng)實(shí)行一系列的控制方法以達(dá)成并維護(hù)網(wǎng) 絡(luò)的安全8.5.1A.8.6存儲(chǔ)媒體的處理與安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營運(yùn)活動(dòng)遭受干擾8.6控制措施A.8.6.1可移動(dòng)式計(jì)算機(jī) 存儲(chǔ)媒體的管理對于可移動(dòng)式計(jì)算機(jī)儲(chǔ)存媒體例如磁帶、磁盤以及打印出來的報(bào)告的管理應(yīng)加以控制8.6.1A.8.6.2存儲(chǔ)媒體的報(bào)廢不再需要的儲(chǔ)存媒體，應(yīng)可靠并安全地處置8.6.2A.8.6.3信息的處理程序應(yīng)建立信

38、息的處理及儲(chǔ)存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用8.6.3A.8.6.4系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問8.6.4A .8.7信息軟件的交換控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用8.7控制措施A.8.7.1信息及軟件交換 協(xié)議以電子化或人工方式在組織間交換信息及 軟件時(shí)，應(yīng)簽訂協(xié)議，其中有些可能是正式 的協(xié)議書8.7.1A.8.7.2存儲(chǔ)媒體的運(yùn)送安全運(yùn)送存儲(chǔ)媒體時(shí)應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)以及信息被泄漏、不當(dāng)使用或毀壞8.7.2A.8.7.3電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為，合約爭議以及信息被泄漏及修改8.7.3A.8.7.4電子郵件的安全應(yīng)開發(fā)一

39、份電子郵件的使用策略，并應(yīng)有降 低電子郵件所造成的安全風(fēng)險(xiǎn)的適當(dāng)控制方法8.7.4A.8.7.5電子化辦公室系 統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與 安全風(fēng)險(xiǎn)，各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定 并實(shí)施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán) 過程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng) 授權(quán)的修改8.7.6A.8.7.7其它形式的信息 交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法來保護(hù)經(jīng) 由傳真、語音及影像等同學(xué)設(shè)施進(jìn)行的信息 交換8.7.7A . 9訪問控制BS ISO/IEO17799:2000編號A.9.1企業(yè)營運(yùn)對訪問控制的要求 控制目標(biāo)：控制對于信息的訪問9.1

40、控制措施A.9.1.1訪問控制策略企業(yè)營運(yùn)對訪問控制的要求應(yīng)加以界定 并文件化，對于信息的訪問應(yīng)如訪問控制 政策中所界定的加以限制9.1.1A.9.2使用者訪問管理控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)9.2控制措施A.9.2.1使用者注冊應(yīng)有正式的使用者注冊及注銷的程序，以進(jìn)行所有的多分使用信息系統(tǒng)及服務(wù)的 訪問授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應(yīng)加以限制 及控制9.2.2A.9.2.3使用者密碼管理對于密碼的分配，應(yīng)通過正式的管理流程 加以控制9.2.3A.9.2.4使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實(shí)施

41、評審9.2.4A .9.3使用者責(zé)任控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪冋9.3控制措施A.9.3.1密碼的使用應(yīng)要求使用者在選擇及使用密碼時(shí)，遵循良好的安全慣例9.3.1A.9.3.2無人看管 的使用者 設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)9.3.2A.9.4網(wǎng)絡(luò)訪問控制控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)9.4控制措施A.9.4.1使用網(wǎng)絡(luò)服務(wù)的 政策使用者應(yīng)僅能直接訪問已獲特別授權(quán)使 用的服務(wù)9.4.1A.9.4.2強(qiáng)制性路徑由使用者的終端機(jī)至計(jì)算機(jī)服務(wù)器間的 路徑應(yīng)加以控制9.4.2A.9.4.3外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對遠(yuǎn)程使用者的訪問進(jìn)行使用者認(rèn)證9.4.3A.9.4.4節(jié)點(diǎn)認(rèn)證到

42、遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的、聯(lián)機(jī)應(yīng)被認(rèn)證9.4.4A.9.4.5遠(yuǎn)程診斷端口的 保護(hù)對于診斷端口的訪問應(yīng)可靠地加以控制9.4.5A.9.4.6網(wǎng)絡(luò)的隔離應(yīng)引進(jìn)可在網(wǎng)絡(luò)中以群組方式隔離信息 服務(wù)、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中使用者的聯(lián)機(jī)能力應(yīng) 依照訪問控制策略加以限制9.4.7A.9.4.8網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以 確保計(jì)算機(jī)聯(lián)機(jī)及信息流不違反所制定 的企業(yè)營運(yùn)應(yīng)用軟件的訪問控制政策9.4.8A.9.4.9網(wǎng)絡(luò)服務(wù)的安全對于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有 網(wǎng)絡(luò)服務(wù)的安全特性，應(yīng)提供清楚的說明9.4.9A.9.5操作系統(tǒng)訪問控制

43、控制目標(biāo)：防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問9.5控制措施A.9.5.1自動(dòng)化的終端機(jī) 識(shí)別應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別， 以認(rèn)證連接 到特定場所可移動(dòng)式設(shè)備的聯(lián)機(jī)9.5.1A.9.5.2終端機(jī)聯(lián)機(jī)程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程9.5.2A.9.5.3使用者識(shí)別及認(rèn)證所有使用者應(yīng)有唯一的識(shí)別碼< 使用者代碼 > 專供其個(gè)人的使用，以便各項(xiàng)活動(dòng)可 以追溯至應(yīng)負(fù)責(zé)的個(gè)人，應(yīng)使用一種適當(dāng) 的認(rèn)證技術(shù)以真實(shí)地識(shí)別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制9.5.5

44、A.9.5.6提供受脅迫警報(bào) 以保護(hù)使用者對于可能成為他人脅迫的目標(biāo)的使用者 應(yīng)提供受脅迫警報(bào)9.5.6A.9.5.7終端機(jī)逾時(shí)終止在高風(fēng)險(xiǎn)場所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端 機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間 后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行 訪問9.5.7A.9.5.8聯(lián)機(jī)時(shí)間的限制應(yīng)使用聯(lián)機(jī)時(shí)間的限制，以體統(tǒng)高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全9.5.8A.9.6應(yīng)用程序訪問控制控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪冋9.6控制措施A.9.6.1信息訪問限制對于信息及應(yīng)用系統(tǒng)的功能的訪問應(yīng)依 照訪問控制策略加以分析限制9.6.1A.9.6.2機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專署

45、的< 隔離的>運(yùn)算環(huán)境9.6.2A.9.7系統(tǒng)訪問及使用的監(jiān)控控制目標(biāo)：偵測未經(jīng)授權(quán)的活動(dòng)9.7控制措施A.9.7.1事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān) 的事件的審核日志， 并保存一定的期間以 協(xié)助未來的調(diào)查及訪冋控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程 序，并且應(yīng)敵情對監(jiān)控活動(dòng)的結(jié)果進(jìn)行審 查9.7.2A.9.7.3定時(shí)器同步計(jì)算機(jī)的定時(shí)器應(yīng)同步以便準(zhǔn)確地記錄9.7.3A.9.8可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工 作控制目標(biāo)：確保使用可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作的設(shè)施的 信息安全9.8控制措施A.9.8.1可移動(dòng)式計(jì)算

46、機(jī) 運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶颐子眠m當(dāng)?shù)目?制方法論，以防范使用可移動(dòng)式計(jì)算機(jī)運(yùn) 算設(shè)施進(jìn)行工作時(shí)所造成的風(fēng)險(xiǎn)，特別是在未被保護(hù)的環(huán)境中工作時(shí)9.8.1A.9.8.2計(jì)算機(jī)通訊遠(yuǎn)距 工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制 計(jì)算機(jī)通訊遠(yuǎn)距工作的活動(dòng)9.8.2A . 10系統(tǒng)開發(fā)及維護(hù)BS ISO/IEO17799:2000編號A.10.1系統(tǒng)的安全要求控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標(biāo)準(zhǔn)對于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企 業(yè)營運(yùn)要求，應(yīng)將對控制方法的要求制 定于其中10.1.1A.10.2應(yīng)用系統(tǒng)中的安全控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺

47、失、修改及不當(dāng)使用10.2控制措施A.10.2.1輸入資料的驗(yàn)證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證，以確 保資料是正確且適當(dāng)?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部分，以偵 測出所處理的資料是否損毀10.2.2A.10.2.3消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性的安全要求時(shí)，應(yīng)針對應(yīng)用程序進(jìn)行消息的認(rèn)證10.2.3A.10.2.4輸出資料的驗(yàn)證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證，以 確保對所儲(chǔ)存的資料的處理流程是正 確的，且就其情況而言是適當(dāng)?shù)?0.2.4A.10.3密碼學(xué)的控制方法控制目標(biāo)：保護(hù)信息的機(jī)密性、真實(shí)性或完整性10.3控制措施A.10.3.1運(yùn)用密碼學(xué)控制方 法的政

48、策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來達(dá) 成保護(hù)信息目的的政策10.3.1A.10.3.2資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信 息的機(jī)密性10.3.2A.10.3.3數(shù)字簽章應(yīng)使用數(shù)字簽章，以保護(hù)電子化信息的 真實(shí)性及完整性10.3.3A.10.3.4不可否認(rèn)性的服務(wù)應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事 件或行動(dòng)是否有發(fā)生爭議10.3.4A.10.3.5密鑰管理應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ) 的密鑰管理系統(tǒng)，以支持密碼學(xué)技術(shù)的 運(yùn)用10.3.5A.10.4系統(tǒng)檔案的安全控制目標(biāo)：確保信息科技的項(xiàng)目及支持性活動(dòng)以安全的方式來進(jìn)行10.4控制措施A.10.4.1控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)

49、上的軟件執(zhí) 行10.4.1A.10.4.2系統(tǒng)測試資料的保 護(hù)測試資料應(yīng)加以保護(hù)及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問應(yīng)維持嚴(yán)格的 控制10.4.3A.10.5開發(fā)及支持流程的安全控制目標(biāo)：維持應(yīng)用系統(tǒng)的軟件及信息的安全10.5控制措施A.10.5.1變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控 制變更的實(shí)行，以將信息系統(tǒng)的損毀降 至最小10.5.1A.10.5.2操作系統(tǒng)變更的技 術(shù)審查當(dāng)發(fā)生變更時(shí)，應(yīng)對應(yīng)用系統(tǒng)進(jìn)行身材 及得失10.5.2A.10.5.3軟件包修改的限制應(yīng)阻止對于軟件包的修改，對于變更應(yīng) 嚴(yán)格控制10.5.3A.10.5.4秘密信道及特

50、洛伊木馬應(yīng)控制并檢查軟件的采購、使用及修改 以防范可能的秘密信道及特洛伊木馬 程序10.5.4A.10.5.5委外的軟件開發(fā)應(yīng)使用控制方法以防護(hù)委外的軟件開 發(fā)10.5.5A . 11業(yè)務(wù)持續(xù)運(yùn)作管理BS ISO/IEO17799:2000編號A .11.1業(yè)務(wù)持續(xù)運(yùn)作管理考慮控制目標(biāo)：防止企業(yè)運(yùn)營中斷并且保護(hù)企業(yè)營運(yùn)的關(guān)鍵流程免于重大失效 或?yàn)?zāi)難的影響11.1控制措施A.11.1.1業(yè)務(wù)持續(xù)運(yùn)作的 管理流程為發(fā)展及維持企業(yè)的持續(xù)運(yùn)作性，應(yīng)有遍及整個(gè)組織的管理流程11.1.1A.11.1.2業(yè)務(wù)持續(xù)運(yùn)作及 沖擊分析應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險(xiǎn)評估為基礎(chǔ)的策略性 計(jì)劃，以為業(yè)務(wù)持續(xù)運(yùn)作的方法11.1.2A

51、.11.1.3持續(xù)運(yùn)作計(jì)劃的 撰寫及執(zhí)行應(yīng)發(fā)展計(jì)劃確保在重要的業(yè)務(wù)流程中斷或 失效后可及時(shí)維持或恢復(fù)業(yè)務(wù)運(yùn)作11.1.3A.11.1.4業(yè)務(wù)持續(xù)運(yùn)作規(guī) 劃的架構(gòu)應(yīng)維持一個(gè)單一的業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃架構(gòu)， 以確保所有計(jì)劃的一致性， 且鑒別其先后次 序以進(jìn)行測試與維護(hù)11.1.4A.11.1.5業(yè)務(wù)持續(xù)運(yùn)作計(jì) 劃的測試、維護(hù)與 再評估業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃應(yīng)定期測試，怯、且透過定期身材予以維護(hù)，以確保及時(shí)性及有效性11.1.5A . 12符合性BS ISO/IEO17799:2000編號A.12.1法規(guī)要求的符合性控制目標(biāo)：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約 內(nèi)容所規(guī)定的義務(wù)、以及違反任

52、何要求安全的要求12.1控制措施A12.1.1鑒別適用的法律規(guī)疋對每一個(gè)信息系統(tǒng)而言，法律條文、行 政法規(guī)及契約內(nèi)容所規(guī)定的所有相關(guān) 要求，應(yīng)加以明白地界定及文件化12.1.1A12.1.2知識(shí)產(chǎn)權(quán)應(yīng)事項(xiàng)適當(dāng)?shù)某绦颍源_保在只用智能 財(cái)產(chǎn)權(quán)方面的物品及他人專署的軟件 產(chǎn)品時(shí)，能符合法律的限制12.1.2A12.1.3組織紀(jì)錄的保護(hù)應(yīng)防止屬于組織的重要紀(jì)錄遺失、被破 壞及篡改12.1.3A12.1.4個(gè)人信息的隱私及 數(shù)據(jù)保護(hù)應(yīng)使用控制方法，以依照相關(guān)的法律保 護(hù)個(gè)人信息12.1.4A12.1.5信息處理設(shè)施不當(dāng) 使用的預(yù)防使用信息處理設(shè)備應(yīng)經(jīng)管理者授權(quán)，并 且應(yīng)使用控制方法，以防止這些設(shè)施遭 受不當(dāng)使用12.1.5A12.1.6有關(guān)密碼學(xué)控