信息安全管理體系規(guī)范與使用指南(DOC 33頁)

1、英國標(biāo)準(zhǔn)BS 7799-2:2002信息安全管理體系規(guī)范與使用指南目錄前言0 介紹0.1總則0.2過程方法0.3與其他管理體系的兼容性1 范圍1.1概要1.2應(yīng)用2 標(biāo)準(zhǔn)參考3 名詞與定義4 信息安全管理體系要求4.1總則4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.2實(shí)施和運(yùn)作信息安全管理體系4.2.3監(jiān)控和評審信息安全管理體系4.2.4維護(hù)和改進(jìn)信息安全管理體系4.3文件化要求4.3.1總則4.3.2文件控制4.3.3記錄控制5 管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識和能力6 信息安全管理體系管理評審6.1總則6.2評審輸入6.3

2、評審輸出6.4內(nèi)部信息安全管理體系審核7 信息安全管理體系改進(jìn)7.1持續(xù)改進(jìn)7.2糾正措施7.3預(yù)防措施附件A（有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施A1介紹A2最佳實(shí)踐指南A3安全方針A4組織安全A5資產(chǎn)分級和控制A6人事安全A7實(shí)體和環(huán)境安全A8通信與運(yùn)營安全A9訪問控制A10系統(tǒng)開發(fā)和維護(hù)A11業(yè)務(wù)連續(xù)性管理A12符合附件B（情報性的）本標(biāo)準(zhǔn)使用指南B1概況B.1.1PDCA模型B.1.2計劃與實(shí)施B.1.3檢查與改進(jìn)B.1.4控制措施小結(jié)B2計劃階段B.2.1介紹B.2.2信息安全方針B.2.3信息安全管理體系范圍B.2.4風(fēng)險識別與評估B.2.5風(fēng)險處理計劃B3實(shí)施階段B.3.1介紹B.3.

3、2資源、培訓(xùn)和意識B.3.3風(fēng)險處理B4檢查階段B.4.1介紹B.4.2常規(guī)檢查B.4.3自我方針程序B.4.4從其他處學(xué)習(xí)B.4.5審核B.4.6管理評審B.4.7虛實(shí)分析B5改進(jìn)階段B.5.1介紹B.1.2不符合項(xiàng)B.5.3糾正和預(yù)防措施B.5.4OECD原則和BS 7799 2附件C（情報）ISO 9001:2000、ISO14001與BS7799-2:2002條款對照0介紹0.1總則本標(biāo)準(zhǔn)的目的是為業(yè)務(wù)經(jīng)理和他們的員工提供建立和管理一個有效的信息安全管理體系（ISMS）的模型。采用ISMS應(yīng)是一個組織的戰(zhàn)略決定。一個組織的ISMS的設(shè)計和實(shí)施受業(yè)務(wù)需要和目標(biāo)、產(chǎn)生的安全需求、采用的過程

4、及組織的大小、結(jié)構(gòu)的影響。上述因素和他們的支持過程預(yù)計會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。本標(biāo)準(zhǔn)可以又內(nèi)部、外部包括認(rèn)證組織使用審核一個組織符合其本身的需要及客戶和法律的要求的能力。0.2過程方法本標(biāo)準(zhǔn)推薦采用過程的方法開發(fā)、實(shí)施和改進(jìn)一個組織的ISMS的有效性。一個組織必須識別和管理許多活動使其有效地運(yùn)行。一個活動使用資源和在管理狀態(tài)下使其能夠把輸入轉(zhuǎn)換為輸出，這個過程可以被認(rèn)為是一個過程。經(jīng)常地，一個過程的輸出直接形成了下一個過程的輸入。在一個組織用應(yīng)用一個過程的體系，并識別這些過程、過程間的相互作用及過程的管理，可以叫做過程的方法。過程的方法鼓勵使用者強(qiáng)調(diào)一下重要性

5、：a)理解業(yè)務(wù)信息安全需求和建立信息安全方針和目標(biāo)的需求；b)在全面管理組織業(yè)務(wù)風(fēng)險的環(huán)境下實(shí)施也運(yùn)作控制措施；c)監(jiān)控和評審ISMS的有效性和績效；d)在客觀評價的基礎(chǔ)上持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用的，適用于ISMS的模型，如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關(guān)方的細(xì)小安全需求和期望，通過必要的行動產(chǎn)生信息安全結(jié)果（即：管理的信息安全），此結(jié)果滿足這些需要和期望。一個需求的例子可能是信息安全事故不要對組織引起財務(wù)損失和/或引高層主管的尷尬。一個期望的例子可能是如果嚴(yán)重的事故發(fā)生也許足智多謀餓電子商務(wù)網(wǎng)站被黑客入侵將有被培訓(xùn)過的員工通過使用的程序減小其影響。這顯示了本標(biāo)準(zhǔn)在第四至第七部分的聯(lián)

6、系。被模型就是眾所周知的“Plan-Do-Check-Act”（PECA）模型，本模型可以用于所有的過程。PDCA模型可以簡單地描述如下圖：PDCA模型應(yīng)用與信息安全管理體系過程計劃PLAN相關(guān)單位信息安全需求和期望相關(guān)單位管理狀態(tài)下的信息安全建立ISMS維護(hù)和改進(jìn)ISMS實(shí)施和運(yùn)作ISMS 實(shí)施 開發(fā)、維護(hù) 改進(jìn) DO 和改進(jìn)循環(huán) ACTION監(jiān)控和評審ISMS1范圍1.1概要本標(biāo)準(zhǔn)規(guī)范在組織整個業(yè)務(wù)風(fēng)險的環(huán)境下建立、實(shí)施、維護(hù)和改進(jìn)一個文件化的ISMS模型。它規(guī)定了對定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)方的需求。（見附件B，提供了使用該規(guī)范的指南）。ISMS保證足夠的和成比例和安全控制

7、措施以充分保護(hù)信息資產(chǎn)名給與客戶和其他利益相關(guān)方信心。這將轉(zhuǎn)化為維護(hù)和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務(wù)形象。1.2應(yīng)用本標(biāo)準(zhǔn)提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務(wù)性質(zhì)。當(dāng)由于組織的性質(zhì)和業(yè)務(wù)本標(biāo)準(zhǔn)中的要求不能使用，要求可以考慮刪減。除非不能刪減不影響組織的能力，和/或責(zé)任提供符合由風(fēng)險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。任何能夠滿足風(fēng)險接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險被負(fù)責(zé)人員正當(dāng)?shù)亟邮?。對于條款4,5,6和7的要求的刪減不能接受。2引用標(biāo)準(zhǔn)ISO 9001:2000質(zhì)量管理體系-要求ISO/IEC 177

8、99:2000信息技術(shù)信息安全管理實(shí)踐指南ISO 指南73:2001風(fēng)險管理指南-名詞3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。3.1可用性保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)資產(chǎn)。BS ISO/IEC 17799:20003.2保密性保證信息只被授權(quán)的訪問。BS ISO/IEC 17799:20003.3信息安全安全保護(hù)信息的保密性、完整性和可用性3.4信息安全管理體系（ISMS）是整個管理體系的一部分，建立在業(yè)務(wù)風(fēng)險的方法上，以開發(fā)、實(shí)施完成、評審和維護(hù)信息安全。3.5完整性保護(hù)信息和處理過程的準(zhǔn)確和完整。BS ISO/IEC 17799:20003.6風(fēng)險接受接受一個

9、風(fēng)險的決定。ISO Guide 733.7風(fēng)險分析系統(tǒng)化地使用信息識別來源和估計風(fēng)險。ISO Guide 733.8風(fēng)險評估風(fēng)險分析和風(fēng)險評價的整個過程。ISO Guide 733.9風(fēng)險評價比較估計風(fēng)險與給出的風(fēng)險標(biāo)準(zhǔn)，確定風(fēng)險嚴(yán)重性的過程。ISO Guide 733.10風(fēng)險管理指導(dǎo)和控制組織風(fēng)險的聯(lián)合行動。3.11風(fēng)險處理選擇和實(shí)施措施以更改風(fēng)險處理過程。ISO Guide 733.12適用性聲明描述與使用組織的ISMS范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是建立在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。4信息安全管理體系要求4.1總要求組織應(yīng)在組織整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下開發(fā)

10、、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的ISMS。對于該標(biāo)準(zhǔn)的目的，使用的過程是建立在圖一說示的PDCA模型為基礎(chǔ)上。4.2建立和管理ISMS4.2.1建立ISMS組織應(yīng)：a)應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)定義SIMS的范圍。b)應(yīng)用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應(yīng)：1)包括為其目標(biāo)建立一個框架病危信息安全活動建立整日的方向和原則。2)考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。3)建立組織戰(zhàn)略和風(fēng)險的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。4)建立風(fēng)險評價的標(biāo)準(zhǔn)和風(fēng)險評估定義的結(jié)構(gòu)。見4.2.1c5)經(jīng)管理層批準(zhǔn)c)定義風(fēng)險評估的系統(tǒng)化的方法識別適用

11、于ISMS及已識別的信息安全、法律和法規(guī)的要求的風(fēng)險評估的方法為ISMS 建立方針和目標(biāo)以降低風(fēng)險至可接受的水平。確定接受風(fēng)險的標(biāo)準(zhǔn)和識別可接受分享的水平。見5.1fd)定義風(fēng)險1)在ISMS的范圍內(nèi)，識別資產(chǎn)及其責(zé)任人2)識別對這些資產(chǎn)的威脅3)識別可能被威脅利用的脆弱性4)識別資產(chǎn)失去保密性、完整性和可用性的影響e)評估風(fēng)險1)評估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果2)評估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施3)估計風(fēng)險的等級4)確定介紹風(fēng)險或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理f)識別和評價供處理

12、風(fēng)險的可選措施1)應(yīng)用合適的控制措施2)知道并有目的的棘手風(fēng)險，同時這些措施能清楚地滿足組織方針和接受風(fēng)險的標(biāo)準(zhǔn)。見4.2.13)避免風(fēng)險4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面如：保險業(yè)、供應(yīng)商等。g)選擇控制目標(biāo)和控制措施處理風(fēng)險應(yīng)從本標(biāo)準(zhǔn)附件A中選擇合適的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險評估和風(fēng)險處理過程的結(jié)果調(diào)整。注意：附件A中列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h)準(zhǔn)備一份適用性聲明。從上面4.2.1(g)選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄i)提議的殘余風(fēng)險應(yīng)

13、獲得管理層批準(zhǔn)并授權(quán)實(shí)施和運(yùn)作ISMS。4.2.2實(shí)施和運(yùn)作ISMS組織應(yīng)：a)識別合適的管理行動和確定管理信息安全風(fēng)險的優(yōu)先順序，（即：風(fēng)險處理計劃）-見條款5b)實(shí)施風(fēng)險處理計劃以達(dá)到識別的控制目標(biāo)，包括對資金的考慮和落實(shí)安全角色和責(zé)任c)實(shí)施在4.2.1(g)選擇的控制目標(biāo)和控制措施d)培訓(xùn)和意識見5.2.2e)管理運(yùn)作過程f)管理資源見5.2g)實(shí)施程序和其他有能力隨時探測和回應(yīng)安全事故。4.2.3監(jiān)控和評審ISMS組織應(yīng)：a) 執(zhí)行監(jiān)控程序和其他控制措施，以：1) 是探測處理結(jié)果中的錯誤2) 及時識別失敗的和成功的安全破壞和事故3) 能夠使管理層決定以分派給員工的或通過信息技術(shù)實(shí)施的

14、安全活動是否達(dá)到了預(yù)期的目標(biāo)4) 確定解決安全破壞的行動是否反映了業(yè)務(wù)的優(yōu)先級b)進(jìn)行常規(guī)的ISMS 有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋c)評審殘余風(fēng)險和可接受風(fēng)險的水平，考慮一下變化1） 組織2） 技術(shù)3） 業(yè)務(wù)目標(biāo)和過程4） 識別威脅及5） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化d)在計劃的時間段內(nèi)實(shí)施內(nèi)部ISMS審核e)經(jīng)常進(jìn)行ISMS管理評審（至少每年評審一個周期）以保證信息安全管理體系的范圍仍然足夠，在ISMS過程中的改進(jìn)措施已被識別（見條款6ISMS的管理評審）f)記錄所采取的行動和

15、能夠影響ISMS的有效性或績效的事件見4.3.44.2.4維護(hù)和改進(jìn)ISMS組織應(yīng)經(jīng)常：a)實(shí)施以識別的對于ISMS改進(jìn)措施。b)采取合適的糾正和預(yù)防行動見7.2和7.3。應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到知識。c)溝通結(jié)果和行動并得到所有參與的相關(guān)訪的同意。d)確保改進(jìn)行動達(dá)到了預(yù)期的目標(biāo)4.3文件要求4.3.1總則ISMS文件應(yīng)包括：a)文件化的安全方針文件和控制目標(biāo)b)ISMS范圍見4.2.1和程序及支持ISMS的控制措施c)風(fēng)險評估報告見4.2.1d)風(fēng)險處理計劃見4.2.2e)組織需要的文件化的程序以確保有效計劃運(yùn)營和對信息安全過程的控制見6.1f)本標(biāo)準(zhǔn)要求的記錄見4.3.4g)

16、適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。注2：See ISO 9001注3：文件和記錄可以用多種形式和不同媒體。4.3.2文件控制ISMS要求的文件應(yīng)保護(hù)和控制。應(yīng)建立文件化的程序確定管理所需文件：a)文件發(fā)布得到批準(zhǔn)，以確保文件的充分性b)必要時對文件進(jìn)行審批與更新，并再次批準(zhǔn)c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別d)確保在使用處可獲得適用文件的有關(guān)版本e)確保文件保持清晰、易于識別f)確保外來文件得到識別，并控制起分發(fā)g)確保文件的發(fā)放在控制狀態(tài)下h)防止作廢文件的非預(yù)期使用i)若因任何原因而保留作廢文件時，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識4.3.3

17、記錄控制應(yīng)建立并保持紀(jì)錄，以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)儲存、保護(hù)檢索、保存期限和處置所需的控制。一個管理過程將確定記錄的程度。應(yīng)保留4.2概要的過程績效記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5管理職責(zé)5.1管理承諾管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a)建立信息安全方針：b)確保建立信息安全目標(biāo)和計劃：c)為信息安全確立角色

18、和責(zé)任；d)向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e)提供足夠的資源以開發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系見5.2.1 f)確定可接受風(fēng)險的水平；g)進(jìn)行信息安全管理體系的評審見條款6 。5.2資源管理5.2.1提供資源組織將確定和提供所需的資源，以：a)建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b)確保信息安全程序支持業(yè)務(wù)要求；c)識別和強(qiáng)調(diào)法律和法規(guī)要求及合同安全的義務(wù)；d)正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e)必要時，進(jìn)行評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f)需要時，改進(jìn)信息安全管理體系的有效性。5.2.2培訓(xùn)、意識和能力組

19、織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。組織應(yīng)：a)確定從事影響信息安全管理體系的人員所必要的能力；b)提供能力培訓(xùn)和，必要時，聘用有能力的人員滿足這些需求；c)評價提供的培訓(xùn)和所采取行動的有效性：d)保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的紀(jì)錄 見433 組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo)。6信息安全管理體系的管理評審61總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價信息安全管理體系改進(jìn)的機(jī)會和變更的需要，包括安全方針和安全目標(biāo)。評審的結(jié)果因清

20、楚地文件化，應(yīng)保持管理評審的紀(jì)錄見433162評審輸入管理評審的輸入應(yīng)包括以下方面的信息：a）信息安全管理體系審核和評審的結(jié)果；b）相關(guān)方的反饋；c）可以用于組織改進(jìn)其信息安全管理體系業(yè)績和有效性的技術(shù)，產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）以前風(fēng)險評估沒有足夠強(qiáng)調(diào)的脆弱性或威脅；f) 以往管理評審的跟蹤措施：g）任何可能影響信息安全管理體系的變更；h）改進(jìn)的建議。63評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b）修改影響信息安全的程序，必要時，以回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更： 1）業(yè)務(wù)要求； 2）安全要求

21、； 3）業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求； 4）法規(guī)或法律環(huán)境； 5）風(fēng)險的等級和或可接受風(fēng)險的水平；c）資源需求。64 內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)?？刂拼胧?、過程和程序是否：a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合識別的信息安全要求；c）被有效地實(shí)施和維護(hù)；d）達(dá)到預(yù)想的業(yè)績?nèi)魏螌徍嘶顒討?yīng)策劃，策劃應(yīng)考慮過程的狀況和重要性，要審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確保審核過程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個文件化的程序中確定策劃和實(shí)施審核，報

22、告結(jié)果和維護(hù)及維護(hù)記錄見43的責(zé)任及要求。負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保采取沒有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。改進(jìn)應(yīng)包括驗(yàn)證采取的措施和報告驗(yàn)證的結(jié)果見條款7。7 ISMS改進(jìn)71持續(xù) 改進(jìn) 組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防行動和管理i審的信息持續(xù)改進(jìn)ISMS的有效性。7. 2 糾正措施組織應(yīng)采取措施，以消除不合格的與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a）識別實(shí)施和或運(yùn)行信息安全管理體系的不合格；b）確定不合和的原因：c）評價確保不合格不再發(fā)生的措施的需求；d) 確定和實(shí)施所

23、需的糾正措施：e）記錄所采取措施的結(jié)果 見433 ；f) 評審所采取的糾正措施。7. 3預(yù)防措施組織應(yīng)針對未來的不合格確定措施以防上其發(fā)生。預(yù)防措施應(yīng)于潛在問題的影響程度相適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以確定以下方面的要求：a）識別潛在的不合格及其原因；b) 確定和實(shí)施所需的預(yù)防措施：C）記錄所采取措施的結(jié)果見433：d）評審所采取的預(yù)防措施；識別以便更得風(fēng)險和確保注意力關(guān)注在重大的以變更的風(fēng)險。糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。附錄A（引用）控制目標(biāo)和控制措施A1介紹從A3到A12列出的控制目標(biāo)和控制措施是直接引用并與BS I

24、SO/IEC 17799：2000條款3到12一致。在表中的清單并不徹底，一個組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款42規(guī)定的信息安全管理體系過程的一部分。A2實(shí)踐指南規(guī)范SS ISOIEC 17799：2000條款3至 12提供最佳實(shí)踐的實(shí)施建議和指南以支持A3到A12規(guī)范的控制措施。A 3安全方針BS ISO/IEO17799:2000編號A.3.1信息安全方針控制目標(biāo)：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應(yīng)提供一份方針文件，出版并溝通，適當(dāng)時，給所有員工。3.1.1A.3.1.2評審和評價應(yīng)經(jīng)常評審方針文件

25、，在發(fā)生決定性的變化時，確保方針的適宜性3.1.2A4組織安全BS ISO/IEO17799:2000編號A.4.1信息安全基礎(chǔ)設(shè)施控制目標(biāo)：在組織中管理信息安全4.1控制措施A.41.1管理信息安全委員會信息安全管理委員會確保明確的目標(biāo)和管理層對啟動安全管理可見的支持。管理委員會應(yīng)通過適當(dāng)?shù)某兄Z和種族的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作在大的組織中，應(yīng)使用一個由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會，協(xié)作實(shí)施信息安全控制措施4.1.2A.4.1.3落實(shí)信息安全責(zé)任應(yīng)明確定義保護(hù)每種資產(chǎn)和負(fù)責(zé)特定安全過程的責(zé)任A.4.1.3A.4.1.4對信息處理設(shè)施的授權(quán)過程應(yīng)建立對

26、于新的信息處理設(shè)施的管理授權(quán)A.4.1.4A.4.1.5專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實(shí)施協(xié)作A.4.1.5A.4.1.6組織間的合作與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān)、信息服務(wù)提供者，及通信業(yè)者應(yīng)維持適當(dāng)?shù)慕佑|A.4.1.6A.4.1.7獨(dú)立的信息安全審查應(yīng)對信息安全方針的實(shí)施進(jìn)行獨(dú)立的審查A.4.1.7A.4.2第三方訪問的安全控制目標(biāo)：維護(hù)組織的信息處理設(shè)施及細(xì)小資產(chǎn)被第三方訪問時的安全A.4.2控制措施A.4.2.1確認(rèn)第三方訪問的風(fēng)險應(yīng)對第三訪問組織的信息處理設(shè)施所帶來的風(fēng)險進(jìn)行評估，并實(shí)施適當(dāng)?shù)陌踩刂艫.4.2.1A.4.2.2與第三方的合約中的安全要求涉及第

27、三方訪問組織的信息設(shè)施的安排，應(yīng)以包含必要的安全要求在內(nèi)的正式合約為基礎(chǔ)A.4.2.2A.4.3外包控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其它組織時，應(yīng)維護(hù)信息的安全A.4.3A.4.3.1外包合約中的安全要求當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)及/或桌上型計算機(jī)環(huán)境的管理及控制外包時，在雙方同意的合約中應(yīng)載明安全的要求A.4.3.1A5資產(chǎn)分類與控制BS ISO/IEO17799:2000編號A.5.資產(chǎn)的保管責(zé)任控制目標(biāo)：維持對于組織的資產(chǎn)的適切保護(hù)5.1控制措施A.5.1.1資產(chǎn)的清單應(yīng)列出并維持一份與每個信息系統(tǒng)有關(guān)的所有重要的資產(chǎn)的清單A.5.2信息分類控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)

28、5.2控制措施A.5.2.1分類原則信息的分類及相關(guān)的保護(hù)控制，應(yīng)適合于企業(yè)營運(yùn)對于信息分享或限制的需要，以及這些需要對企業(yè)營運(yùn)所帶來的沖擊5.2.1A.5.2.2信息的標(biāo)識及處理應(yīng)制定信息標(biāo)識及處理的程序，以符合組織所采行動的分類法則5.2.2A6人事安全BS ISO/IEO17799:2000編號A.6.1工作說明及人力資源的安全控制目標(biāo)：降低因人員錯誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險6.1控制措施A.6.1.1將安全需求列入工作職責(zé)中組織在信息安全方針中所規(guī)定的安全角色及責(zé)任，應(yīng)適度地書面化于工作職責(zé)說明書中6.1.1A6.1.2人員篩審及政策應(yīng)在招聘員工時執(zhí)行正式員工的驗(yàn)證查核6

29、.1.2A6.1.3保密合約員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分6.1.3A6.1.4聘用合同聘用合同中因陳述員工對信息安全的責(zé)任6.1.4A.6.2使用者培訓(xùn)控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力6.2控制措施A.6.2.1信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者，對于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練6.2.1A.6.3安全及失效事件的響應(yīng)6.3A6.3.1安全事故報告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M(jìn)行通報6.3.1A6.3.2安全弱點(diǎn)的報告應(yīng)要求信息服務(wù)的使用者記下并報告任何觀察到的

30、或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點(diǎn)或威脅6.3.2A6.3.3軟件失效事件的報告應(yīng)建立報告軟件失效事件的相關(guān)程序6.3.3A6.3.4從事件中學(xué)習(xí)應(yīng)有適當(dāng)機(jī)制以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量及成本6.3.4A6.3.5懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來處理6.3.5A7實(shí)體及環(huán)境安全BS ISO/IEO17799:2000編號A.7.1安全區(qū)域控制目標(biāo)：防止對企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問、破壞及干擾7.1控制措施A.7.1.1實(shí)體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理設(shè)施的區(qū)域7.1.1A7.1.2實(shí)體進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以

31、保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出7.1.2A.7.1.3辦公處所及設(shè)備的保護(hù)應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備7.1.3A.7.1.4在安全區(qū)域中的作業(yè)應(yīng)對在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以堅強(qiáng)安全區(qū)域的安全7.1.4A.7.1.5隔離遞送及裝載區(qū)域遞送及裝載區(qū)域應(yīng)加以控制，如有可能與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問7.1.5A.7.2 設(shè)備安全控制目標(biāo)：預(yù)防資產(chǎn)遺失或損失和防止企業(yè)運(yùn)營活動遭受干擾7.2控制措施A.7.2.1設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備，以降低來自環(huán)境的威脅與危險所造成的風(fēng)險以及未經(jīng)授權(quán)的訪問7.2.1A.7.2.1電源供

32、應(yīng)應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護(hù)免于被攔截或破壞7.2.3A.7.2.4設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性7.2.4A.7.2.5組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)7.2.5A.7.2.6設(shè)備報廢或再利用的安全防護(hù)設(shè)備在報廢或再利用前，應(yīng)清除在設(shè)備中的信息7.2.6A.7.3一般控制控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計算機(jī)屏幕畫面凈空策略組織應(yīng)具備辦公桌面凈空及計算機(jī)屏幕畫面凈空的政策，

33、以降低因信息被未經(jīng)授權(quán)訪問、遺失及所造成的風(fēng)險7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件7.3.2A8通訊與操作管理BS ISO/IEO17799:2000編號A.8.1 作業(yè)程序及責(zé)任控制目標(biāo)：確保正確、安全地操作信息處理設(shè)備8.1控制措施A.8.1.1文件化的作業(yè)程序由條款4.1.1.1所制定的信息安全政策所指明的作業(yè)程序應(yīng)加以文件化及維護(hù)8.1.1A.8.1.2作業(yè)變更控制對信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制8.1.2A.8.1.3事故管理程序應(yīng)建立事故的管理責(zé)任及程序，以確保迅速、有效及有序地反應(yīng)安全事件和采集事故有關(guān)數(shù)據(jù)如審核線索和日志8.1.3A

34、.8.1.4職務(wù)隔離職務(wù)及負(fù)責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當(dāng)使用信息或服務(wù)的機(jī)會8.1.4A.8.1.5開發(fā)與操作設(shè)備的隔離開發(fā)及測試設(shè)備應(yīng)與操作設(shè)備分離。應(yīng)確定和文件化從開發(fā)狀態(tài)到運(yùn)行狀態(tài)移植軟件的規(guī)定8.1.5A8.1.6外部設(shè)備的管理使用外部的設(shè)備管理服務(wù)之前，應(yīng)鑒別其風(fēng)險，并與承包尚協(xié)議適當(dāng)?shù)目刂品椒?，并納入合約內(nèi)容之中8.1.6A.8.2 系統(tǒng)規(guī)劃及驗(yàn)收控制目標(biāo)：將系統(tǒng)失效的風(fēng)險降至最小8.2控制措施A.8.2.1容量規(guī)劃容量要求應(yīng)加以監(jiān)督，并應(yīng)作出對于未來容量需求的推測，以確保擁有合適的運(yùn)算處理能力及儲存空間8.2.1A.8.2.2系統(tǒng)驗(yàn)收應(yīng)建立新信息系統(tǒng)、升級及新版

35、本的驗(yàn)收標(biāo)準(zhǔn)，并且在允收前對系統(tǒng)進(jìn)行適當(dāng)?shù)臏y試8.2.2A.8.3對具惡意的軟件的防范控制目標(biāo)：保護(hù)軟件及信息的完整性不受惡意軟件的損害8.3控制措施A.8.3.1對具惡意的軟件的控制應(yīng)有具偵測性及預(yù)防性的控制方法以防范惡意的軟件，并且應(yīng)有適當(dāng)?shù)氖褂谜哳A(yù)警程序的措施8.3.1A.8.4日常事務(wù)處理控制目標(biāo)：維持信息處理及通訊服務(wù)的完整性及可用性8.4控制措施A.8.4.1信息備份應(yīng)定期備份重要的企業(yè)營運(yùn)信息和軟件并經(jīng)常測試8.4.1A.8.4.2操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動的工作日。操作日志應(yīng)受到經(jīng)常性的，獨(dú)立的審查8.4.2BS ISO/IEO17799:2000編號A.8.4

36、.3 錯誤事件登錄應(yīng)通報錯誤并采取改正行動8.4.3A.8.5網(wǎng)絡(luò)管理控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施8.5控制措施A.8.5.1網(wǎng)絡(luò)控制應(yīng)實(shí)行一系列的控制方法以達(dá)成并維護(hù)網(wǎng)絡(luò)的安全8.5.1A.8.6存儲媒體的處理與安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營運(yùn)活動遭受干擾8.6控制措施A.8.6.1可移動式計算機(jī)存儲媒體的管理對于可移動式計算機(jī)儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應(yīng)加以控制8.6.1A.8.6.2存儲媒體的報廢不再需要的儲存媒體，應(yīng)可靠并安全地處置8.6.2A.8.6.3信息的處理程序應(yīng)建立信息的處理及儲存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不

37、當(dāng)使用8.6.3A.8.6.4系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問8.6.4A.8.7信息軟件的交換控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書8.7.1A.8.7.2存儲媒體的運(yùn)送安全運(yùn)送存儲媒體時應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)以及信息被泄漏、不當(dāng)使用或毀壞8.7.2A.8.7.3電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為，合約爭議以及信息被泄漏及修改8.7.3A.8.7.4電子郵件的安全應(yīng)開發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險的適

38、當(dāng)控制方法8.7.4A.8.7.5電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與安全風(fēng)險，各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定并實(shí)施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改8.7.6A.8.7.7其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法來保護(hù)經(jīng)由傳真、語音及影像等同學(xué)設(shè)施進(jìn)行的信息交換8.7.7A9訪問控制BS ISO/IEO17799:2000編號A.9.1企業(yè)營運(yùn)對訪問控制的要求控制目標(biāo)：控制對于信息的訪問9.1控制措施A.9.1.1訪問控制策略企業(yè)營運(yùn)對訪問控制的要求應(yīng)加以界定并文件化，對于信息

39、的訪問應(yīng)如訪問控制政策中所界定的加以限制9.1.1A.9.2 使用者訪問管理控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)9.2控制措施A.9.2.1使用者注冊應(yīng)有正式的使用者注冊及注銷的程序，以進(jìn)行所有的多分使用信息系統(tǒng)及服務(wù)的訪問授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制9.2.2A.9.2.3使用者密碼管理對于密碼的分配，應(yīng)通過正式的管理流程加以控制9.2.3A.9.2.4使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實(shí)施評審9.2.4A.9.3使用者責(zé)任控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問9.3控制措施A.9.3.

40、1密碼的使用應(yīng)要求使用者在選擇及使用密碼時，遵循良好的安全慣例9.3.1A.9.3.2無人看管的使用者設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)9.3.2A.9.4網(wǎng)絡(luò)訪問控制控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)9.4控制措施A.9.4.1使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問已獲特別授權(quán)使用的服務(wù)9.4.1A.9.4.2強(qiáng)制性路徑由使用者的終端機(jī)至計算機(jī)服務(wù)器間的路徑應(yīng)加以控制9.4.2A.9.4.3外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對遠(yuǎn)程使用者的訪問進(jìn)行使用者認(rèn)證9.4.3A.9.4.4節(jié)點(diǎn)認(rèn)證到遠(yuǎn)程計算機(jī)系統(tǒng)的、聯(lián)機(jī)應(yīng)被認(rèn)證9.4.4A.9.4.5遠(yuǎn)程診斷端口的保護(hù)對于診斷端口的訪問應(yīng)可靠地加以控制

41、9.4.5A.9.4.6網(wǎng)絡(luò)的隔離應(yīng)引進(jìn)可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中使用者的聯(lián)機(jī)能力應(yīng)依照訪問控制策略加以限制9.4.7A.9.4.8網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計算機(jī)聯(lián)機(jī)及信息流不違反所制定的企業(yè)營運(yùn)應(yīng)用軟件的訪問控制政策9.4.8A.9.4.9網(wǎng)絡(luò)服務(wù)的安全對于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性，應(yīng)提供清楚的說明9.4.9A.9.5操作系統(tǒng)訪問控制控制目標(biāo)：防止未經(jīng)授權(quán)的計算機(jī)訪問9.5控制措施A.9.5.1自動化的終端機(jī)識別應(yīng)使用自動化的終端機(jī)識別，以認(rèn)證連接到特

42、定場所可移動式設(shè)備的聯(lián)機(jī)9.5.1A.9.5.2終端機(jī)聯(lián)機(jī)程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程9.5.2A.9.5.3使用者識別及認(rèn)證所有使用者應(yīng)有唯一的識別碼專供其個人的使用，以便各項(xiàng)活動可以追溯至應(yīng)負(fù)責(zé)的個人，應(yīng)使用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以真實(shí)地識別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制9.5.5A.9.5.6提供受脅迫警報以保護(hù)使用者對于可能成為他人脅迫的目標(biāo)的使用者應(yīng)提供受脅迫警報9.5.6A.9.5.7終端機(jī)逾時終止在高風(fēng)險場所或?yàn)楦唢L(fēng)險系統(tǒng)服務(wù)終端

43、機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問9.5.7A.9.5.8聯(lián)機(jī)時間的限制應(yīng)使用聯(lián)機(jī)時間的限制，以體統(tǒng)高風(fēng)險的應(yīng)用程序額外的安全9.5.8A.9.6應(yīng)用程序訪問控制控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問9.6控制措施A.9.6.1信息訪問限制對于信息及應(yīng)用系統(tǒng)的功能的訪問應(yīng)依照訪問控制策略加以分析限制9.6.1A.9.6.2機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專署的運(yùn)算環(huán)境9.6.2A.9.7系統(tǒng)訪問及使用的監(jiān)控控制目標(biāo)：偵測未經(jīng)授權(quán)的活動9.7控制措施A.9.7.1事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)的事件的審核日志，并保存一

44、定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程序，并且應(yīng)敵情對監(jiān)控活動的結(jié)果進(jìn)行審查9.7.2A.9.7.3定時器同步計算機(jī)的定時器應(yīng)同步以便準(zhǔn)確地記錄9.7.3A.9.8可移動式計算機(jī)運(yùn)算及計算機(jī)通訊遠(yuǎn)距工作控制目標(biāo)：確保使用可移動式計算機(jī)運(yùn)算及計算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全9.8控制措施A.9.8.1可移動式計算機(jī)運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒ㄕ?，以防范使用可移動式計算機(jī)運(yùn)算設(shè)施進(jìn)行工作時所造成的風(fēng)險，特別是在未被保護(hù)的環(huán)境中工作時9.8.1A.9.8.2計算機(jī)通訊遠(yuǎn)距工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控

45、制計算機(jī)通訊遠(yuǎn)距工作的活動9.8.2A10系統(tǒng)開發(fā)及維護(hù)BS ISO/IEO17799:2000編號A.10.1系統(tǒng)的安全要求控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標(biāo)準(zhǔn)對于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營運(yùn)要求，應(yīng)將對控制方法的要求制定于其中10.1.1A.10.2應(yīng)用系統(tǒng)中的安全控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用10.2控制措施A.10.2.1輸入資料的驗(yàn)證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證，以確保資料是正確且適當(dāng)?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部分，以偵測出所處理的資料是否損毀10.2.2A.

46、10.2.3消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性 的安全要求時，應(yīng)針對應(yīng)用程序進(jìn)行消息的認(rèn)證10.2.3A.10.2.4輸出資料的驗(yàn)證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當(dāng)?shù)?0.2.4A.10.3密碼學(xué)的控制方法控制目標(biāo)：保護(hù)信息的機(jī)密性、真實(shí)性或完整性10.3控制措施A.10.3.1運(yùn)用密碼學(xué)控制方法的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來達(dá)成保護(hù)信息目的的政策10.3.1A.10.3.2資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性10.3.2A.10.3.3數(shù)字簽章應(yīng)使用數(shù)字簽章，以保護(hù)電子化信息的真實(shí)性及完整性10.3.3A.10.

47、3.4不可否認(rèn)性的服務(wù)應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動是否有發(fā)生爭議10.3.4A.10.3.5密鑰管理應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)，以支持密碼學(xué)技術(shù)的運(yùn)用10.3.5A.10.4系統(tǒng)檔案的安全控制目標(biāo)：確保信息科技的項(xiàng)目及支持性活動以安全的方式來進(jìn)行10.4控制措施A.10.4.1控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測試資料的保護(hù)測試資料應(yīng)加以保護(hù)及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問應(yīng)維持嚴(yán)格的控制10.4.3A.10.5開發(fā)及支持流程的安全控制目標(biāo)：維持應(yīng)用系統(tǒng)的軟件及信息的安全1

48、0.5控制措施A.10.5.1變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控制變更的實(shí)行，以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變更的技術(shù)審查當(dāng)發(fā)生變更時，應(yīng)對應(yīng)用系統(tǒng)進(jìn)行身材及得失10.5.2A.10.5.3軟件包修改的限制應(yīng)阻止對于軟件包的修改，對于變更應(yīng)嚴(yán)格控制10.5.3A.10.5.4秘密信道及特洛伊木馬應(yīng)控制并檢查軟件的采購、使用及修改以防范可能的秘密信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開發(fā)應(yīng)使用控制方法以防護(hù)委外的軟件開發(fā)10.5.5A11業(yè)務(wù)持續(xù)運(yùn)作管理BS ISO/IEO17799:2000編號A.11.1業(yè)務(wù)持續(xù)運(yùn)作管理考慮控制

49、目標(biāo)：防止企業(yè)運(yùn)營中斷并且保護(hù)企業(yè)營運(yùn)的關(guān)鍵流程免于重大失效或?yàn)?zāi)難的影響11.1控制措施A.11.1.1業(yè)務(wù)持續(xù)運(yùn)作的管理流程為發(fā)展及維持企業(yè)的持續(xù)運(yùn)作性，應(yīng)有遍及整個組織的管理流程11.1.1A.11.1.2業(yè)務(wù)持續(xù)運(yùn)作及沖擊分析應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險評估為基礎(chǔ)的策略性計劃，以為業(yè)務(wù)持續(xù)運(yùn)作的方法11.1.2A.11.1.3持續(xù)運(yùn)作計劃的撰寫及執(zhí)行應(yīng)發(fā)展計劃確保在重要的業(yè)務(wù)流程中斷或失效后可及時維持或恢復(fù)業(yè)務(wù)運(yùn)作11.1.3A.11.1.4業(yè)務(wù)持續(xù)運(yùn)作規(guī)劃的架構(gòu)應(yīng)維持一個單一的業(yè)務(wù)持續(xù)運(yùn)作計劃架構(gòu)，以確保所有計劃的一致性，且鑒別其先后次序以進(jìn)行測試與維護(hù)11.1.4A.11.1.5業(yè)務(wù)持續(xù)運(yùn)作計

50、劃的測試、維護(hù)與再評估業(yè)務(wù)持續(xù)運(yùn)作計劃應(yīng)定期測試，怯、且透過定期身材予以維護(hù)，以確保及時性及有效性11.1.5A12符合性BS ISO/IEO17799:2000編號A.12.1法規(guī)要求的符合性控制目標(biāo)：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務(wù)、以及違反任何要求安全的要求12.1控制措施A12.1.1鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言，法律條文、行政法規(guī)及契約內(nèi)容所規(guī)定的所有相關(guān)要求，應(yīng)加以明白地界定及文件化12.1.1A12.1.2知識產(chǎn)權(quán)應(yīng)事項(xiàng)適當(dāng)?shù)某绦?，以確保在只用智能財產(chǎn)權(quán)方面的物品及他人專署的軟件產(chǎn)品時，能符合法律的限制12.1.2A12.1.3組織

51、紀(jì)錄的保護(hù)應(yīng)防止屬于組織的重要紀(jì)錄遺失、被破壞及篡改12.1.3A12.1.4個人信息的隱私及數(shù)據(jù)保護(hù)應(yīng)使用控制方法，以依照相關(guān)的法律保護(hù)個人信息12.1.4A12.1.5信息處理設(shè)施不當(dāng)使用的預(yù)防使用信息處理設(shè)備應(yīng)經(jīng)管理者授權(quán)，并且應(yīng)使用控制方法，以防止這些設(shè)施遭受不當(dāng)使用12.1.5A12.1.6有關(guān)密碼學(xué)控制方法的政府規(guī)定應(yīng)有適當(dāng)?shù)目刂品椒ǎ源_保使用或訪問密碼學(xué)控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其它正式法律文件的要求12.1.6A1.2.1.7證據(jù)的收集當(dāng)對某個人或某組織所采取的行動涉及法律，不論是民法或刑法，所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍτ谧C據(jù)所作的規(guī)定，并應(yīng)包羅萬象符合任何有關(guān)可采納證據(jù)的產(chǎn)生的已發(fā)行標(biāo)準(zhǔn)或最佳慣例在內(nèi)1.2.1.7A.12.2安全政策符合性及技術(shù)符合性的審查控制目標(biāo)：確保系統(tǒng)符合組織的安全政策及標(biāo)準(zhǔn)12.2控制措施A.12.2.1安全方針的符合性管理者應(yīng)確保在其責(zé)任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應(yīng)定期加以審查，以確保符合安全政策及標(biāo)準(zhǔn)12.2.1A.12.2.2技術(shù)符合性的檢查信息系統(tǒng)應(yīng)被定期檢查是否符合安全實(shí)施標(biāo)準(zhǔn)12.2.2A.12.3系統(tǒng)審核的考慮控制目標(biāo)：將有效性提升至最大，并將對來自及作用在系統(tǒng)審核流程的干擾降至最小12.3控制措施A.12.