版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、英國標準BS 7799-2:2002信息安全管理體系規(guī)范與使用指南目錄前言0 介紹0.1總則0.2過程方法0.3與其他管理體系的兼容性1 范圍1.1概要1.2應用2 標準參考3 名詞與定義4 信息安全管理體系要求4.1總則4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.2實施和運作信息安全管理體系4.2.3監(jiān)控和評審信息安全管理體系4.2.4維護和改進信息安全管理體系4.3文件化要求4.3.1總則4.3.2文件控制4.3.3記錄控制5 管理職責5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓、意識和能力6 信息安全管理體系管理評審6.1總則6.2評審輸入6.3
2、評審輸出6.4內部信息安全管理體系審核7 信息安全管理體系改進7.1持續(xù)改進7.2糾正措施7.3預防措施附件A(有關標準的)控制目標和控制措施A1介紹A2最佳實踐指南A3安全方針A4組織安全A5資產分級和控制A6人事安全A7實體和環(huán)境安全A8通信與運營安全A9訪問控制A10系統(tǒng)開發(fā)和維護A11業(yè)務連續(xù)性管理A12符合附件B(情報性的)本標準使用指南B1概況B.1.1PDCA模型B.1.2計劃與實施B.1.3檢查與改進B.1.4控制措施小結B2計劃階段B.2.1介紹B.2.2信息安全方針B.2.3信息安全管理體系范圍B.2.4風險識別與評估B.2.5風險處理計劃B3實施階段B.3.1介紹B.3.
3、2資源、培訓和意識B.3.3風險處理B4檢查階段B.4.1介紹B.4.2常規(guī)檢查B.4.3自我方針程序B.4.4從其他處學習B.4.5審核B.4.6管理評審B.4.7虛實分析B5改進階段B.5.1介紹B.1.2不符合項B.5.3糾正和預防措施B.5.4OECD原則和BS 7799 2附件C(情報)ISO 9001:2000、ISO14001與BS7799-2:2002條款對照0介紹0.1總則本標準的目的是為業(yè)務經理和他們的員工提供建立和管理一個有效的信息安全管理體系(ISMS)的模型。采用ISMS應是一個組織的戰(zhàn)略決定。一個組織的ISMS的設計和實施受業(yè)務需要和目標、產生的安全需求、采用的過程
4、及組織的大小、結構的影響。上述因素和他們的支持過程預計會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。本標準可以又內部、外部包括認證組織使用審核一個組織符合其本身的需要及客戶和法律的要求的能力。0.2過程方法本標準推薦采用過程的方法開發(fā)、實施和改進一個組織的ISMS的有效性。一個組織必須識別和管理許多活動使其有效地運行。一個活動使用資源和在管理狀態(tài)下使其能夠把輸入轉換為輸出,這個過程可以被認為是一個過程。經常地,一個過程的輸出直接形成了下一個過程的輸入。在一個組織用應用一個過程的體系,并識別這些過程、過程間的相互作用及過程的管理,可以叫做過程的方法。過程的方法鼓勵使用者強調一下重要性
5、:a)理解業(yè)務信息安全需求和建立信息安全方針和目標的需求;b)在全面管理組織業(yè)務風險的環(huán)境下實施也運作控制措施;c)監(jiān)控和評審ISMS的有效性和績效;d)在客觀評價的基礎上持續(xù)改進。本標準采用的,適用于ISMS的模型,如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關方的細小安全需求和期望,通過必要的行動產生信息安全結果(即:管理的信息安全),此結果滿足這些需要和期望。一個需求的例子可能是信息安全事故不要對組織引起財務損失和/或引高層主管的尷尬。一個期望的例子可能是如果嚴重的事故發(fā)生也許足智多謀餓電子商務網站被黑客入侵將有被培訓過的員工通過使用的程序減小其影響。這顯示了本標準在第四至第七部分的聯(lián)
6、系。被模型就是眾所周知的“Plan-Do-Check-Act”(PECA)模型,本模型可以用于所有的過程。PDCA模型可以簡單地描述如下圖:PDCA模型應用與信息安全管理體系過程計劃PLAN相關單位信息安全需求和期望相關單位管理狀態(tài)下的信息安全建立ISMS維護和改進ISMS實施和運作ISMS 實施 開發(fā)、維護 改進 DO 和改進循環(huán) ACTION監(jiān)控和評審ISMS1范圍1.1概要本標準規(guī)范在組織整個業(yè)務風險的環(huán)境下建立、實施、維護和改進一個文件化的ISMS模型。它規(guī)定了對定制實施安全控制措施以適應不同組織或相關方的需求。(見附件B,提供了使用該規(guī)范的指南)。ISMS保證足夠的和成比例和安全控制
7、措施以充分保護信息資產名給與客戶和其他利益相關方信心。這將轉化為維護和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務形象。1.2應用本標準提出的要求使一般性的并試圖用于所有的組織,不管其類型、大小和業(yè)務性質。當由于組織的性質和業(yè)務本標準中的要求不能使用,要求可以考慮刪減。除非不能刪減不影響組織的能力,和/或責任提供符合由風險評估和適用的法律確定的信息安全要求,否則不能聲稱符合本標準。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)牟⑿枰峁┳C據(jù)證明相關風險被負責人員正當?shù)亟邮?。對于條款4,5,6和7的要求的刪減不能接受。2引用標準ISO 9001:2000質量管理體系-要求ISO/IEC 177
8、99:2000信息技術信息安全管理實踐指南ISO 指南73:2001風險管理指南-名詞3名詞和定義從本英國標準的目的出發(fā),以下名詞和定義適用。3.1可用性保證被授權的使用者需要時能夠訪問信息及相關資產。BS ISO/IEC 17799:20003.2保密性保證信息只被授權的訪問。BS ISO/IEC 17799:20003.3信息安全安全保護信息的保密性、完整性和可用性3.4信息安全管理體系(ISMS)是整個管理體系的一部分,建立在業(yè)務風險的方法上,以開發(fā)、實施完成、評審和維護信息安全。3.5完整性保護信息和處理過程的準確和完整。BS ISO/IEC 17799:20003.6風險接受接受一個
9、風險的決定。ISO Guide 733.7風險分析系統(tǒng)化地使用信息識別來源和估計風險。ISO Guide 733.8風險評估風險分析和風險評價的整個過程。ISO Guide 733.9風險評價比較估計風險與給出的風險標準,確定風險嚴重性的過程。ISO Guide 733.10風險管理指導和控制組織風險的聯(lián)合行動。3.11風險處理選擇和實施措施以更改風險處理過程。ISO Guide 733.12適用性聲明描述與使用組織的ISMS范圍的控制目標和控制措施。這些控制目標和控制措施是建立在風險評估和處理過程的結論和結果基礎上。4信息安全管理體系要求4.1總要求組織應在組織整體業(yè)務活動和風險的環(huán)境下開發(fā)
10、、實施、維護和持續(xù)改進文件化的ISMS。對于該標準的目的,使用的過程是建立在圖一說示的PDCA模型為基礎上。4.2建立和管理ISMS4.2.1建立ISMS組織應:a)應用業(yè)務的性質、組織、其方位、資產和技術定義SIMS的范圍。b)應用組織的業(yè)務性質、自主、方位、資產和技術定義ISMS的方針,方針應:1)包括為其目標建立一個框架病危信息安全活動建立整日的方向和原則。2)考慮業(yè)務及法律或法規(guī)的要求,及合同的安全義務。3)建立組織戰(zhàn)略和風險的環(huán)境,在這種環(huán)境下,建立和維護信息安全管理體系。4)建立風險評價的標準和風險評估定義的結構。見4.2.1c5)經管理層批準c)定義風險評估的系統(tǒng)化的方法識別適用
11、于ISMS及已識別的信息安全、法律和法規(guī)的要求的風險評估的方法為ISMS 建立方針和目標以降低風險至可接受的水平。確定接受風險的標準和識別可接受分享的水平。見5.1fd)定義風險1)在ISMS的范圍內,識別資產及其責任人2)識別對這些資產的威脅3)識別可能被威脅利用的脆弱性4)識別資產失去保密性、完整性和可用性的影響e)評估風險1)評估由于安全故障帶來的業(yè)務損害,要考慮資產失去保密性、完整性和可用性的潛在后果2)評估與這些資產相關的主要威脅、脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可能性和現(xiàn)存的控制措施3)估計風險的等級4)確定介紹風險或使用在c中建立的標準進行衡量確定需要處理f)識別和評價供處理
12、風險的可選措施1)應用合適的控制措施2)知道并有目的的棘手風險,同時這些措施能清楚地滿足組織方針和接受風險的標準。見4.2.13)避免風險4)轉移相關業(yè)務風險到其他方面如:保險業(yè)、供應商等。g)選擇控制目標和控制措施處理風險應從本標準附件A中選擇合適的控制目標和控制措施,選擇應該根據(jù)風險評估和風險處理過程的結果調整。注意:附件A中列出的控制目標和控制措施,作為本標準的一部分,并不是所有的控制目標和措施,組織可能選擇另加的控制措施。h)準備一份適用性聲明。從上面4.2.1(g)選擇的控制目標和控制措施以及被選擇的原因應在適用性聲明中文件化。從附件A中剪裁的控制措施也應加以記錄i)提議的殘余風險應
13、獲得管理層批準并授權實施和運作ISMS。4.2.2實施和運作ISMS組織應:a)識別合適的管理行動和確定管理信息安全風險的優(yōu)先順序,(即:風險處理計劃)-見條款5b)實施風險處理計劃以達到識別的控制目標,包括對資金的考慮和落實安全角色和責任c)實施在4.2.1(g)選擇的控制目標和控制措施d)培訓和意識見5.2.2e)管理運作過程f)管理資源見5.2g)實施程序和其他有能力隨時探測和回應安全事故。4.2.3監(jiān)控和評審ISMS組織應:a) 執(zhí)行監(jiān)控程序和其他控制措施,以:1) 是探測處理結果中的錯誤2) 及時識別失敗的和成功的安全破壞和事故3) 能夠使管理層決定以分派給員工的或通過信息技術實施的
14、安全活動是否達到了預期的目標4) 確定解決安全破壞的行動是否反映了業(yè)務的優(yōu)先級b)進行常規(guī)的ISMS 有效性的評審(包括符合安全方針和目標,及安全控制措施的評審)考慮安全評審的結果、事故、來自所有利益相關方的建議和反饋c)評審殘余風險和可接受風險的水平,考慮一下變化1) 組織2) 技術3) 業(yè)務目標和過程4) 識別威脅及5) 外部事件,如:法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化d)在計劃的時間段內實施內部ISMS審核e)經常進行ISMS管理評審(至少每年評審一個周期)以保證信息安全管理體系的范圍仍然足夠,在ISMS過程中的改進措施已被識別(見條款6ISMS的管理評審)f)記錄所采取的行動和
15、能夠影響ISMS的有效性或績效的事件見4.3.44.2.4維護和改進ISMS組織應經常:a)實施以識別的對于ISMS改進措施。b)采取合適的糾正和預防行動見7.2和7.3。應用從其他組織的安全經驗和組織內學到知識。c)溝通結果和行動并得到所有參與的相關訪的同意。d)確保改進行動達到了預期的目標4.3文件要求4.3.1總則ISMS文件應包括:a)文件化的安全方針文件和控制目標b)ISMS范圍見4.2.1和程序及支持ISMS的控制措施c)風險評估報告見4.2.1d)風險處理計劃見4.2.2e)組織需要的文件化的程序以確保有效計劃運營和對信息安全過程的控制見6.1f)本標準要求的記錄見4.3.4g)
16、適用性聲明注1:當本標準中出現(xiàn)“文件的程序”,這意味著建立、文件化、實施和維護該程序。注2:See ISO 9001注3:文件和記錄可以用多種形式和不同媒體。4.3.2文件控制ISMS要求的文件應保護和控制。應建立文件化的程序確定管理所需文件:a)文件發(fā)布得到批準,以確保文件的充分性b)必要時對文件進行審批與更新,并再次批準c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別d)確保在使用處可獲得適用文件的有關版本e)確保文件保持清晰、易于識別f)確保外來文件得到識別,并控制起分發(fā)g)確保文件的發(fā)放在控制狀態(tài)下h)防止作廢文件的非預期使用i)若因任何原因而保留作廢文件時,對這些文件進行適當?shù)臉俗R4.3.3
17、記錄控制應建立并保持紀錄,以提供符合要求和信息安全管理體系的有效運行的證據(jù)。記錄應當被控制。信息安全管理體系應考慮任何有關的法律要求。記錄應保持清晰、易于識別和檢索。應編制形成文件的程序,以規(guī)定記錄的標儲存、保護檢索、保存期限和處置所需的控制。一個管理過程將確定記錄的程度。應保留4.2概要的過程績效記錄和所有與信息安全管理體系有關的安全事故發(fā)生的紀錄。舉例記錄的例子如:訪問者的簽名簿,審核記錄和授權訪問記錄。5管理職責5.1管理承諾管理層應提供其承諾建立、實施、運行、監(jiān)控、評審、維護和改進信息安全管理體系的證據(jù),包括:a)建立信息安全方針:b)確保建立信息安全目標和計劃:c)為信息安全確立角色
18、和責任;d)向組織傳達達到信息安全目標和符合信息安全方針的重要性、在法律條件下組織的責任及持續(xù)改進的需要。e)提供足夠的資源以開發(fā)、實施,運行和維護信息安全管理體系見5.2.1 f)確定可接受風險的水平;g)進行信息安全管理體系的評審見條款6 。5.2資源管理5.2.1提供資源組織將確定和提供所需的資源,以:a)建立、實施、運行和維護信息安全管理體系;b)確保信息安全程序支持業(yè)務要求;c)識別和強調法律和法規(guī)要求及合同安全的義務;d)正確地應用所有實施的控制措施維護足夠的安全;e)必要時,進行評審,并適當回應這些評審的結果;f)需要時,改進信息安全管理體系的有效性。5.2.2培訓、意識和能力組
19、織應確保所有的被分配信息安全管理體系職責的人員具有能力履行要求的任務。組織應:a)確定從事影響信息安全管理體系的人員所必要的能力;b)提供能力培訓和,必要時,聘用有能力的人員滿足這些需求;c)評價提供的培訓和所采取行動的有效性:d)保持教育、培訓、技能、經驗和資格的紀錄 見433 組織應確保所有相關的人員知道他們信息安全活動的適當性和重要性以及他們的貢獻怎樣達成信息安全管理目標。6信息安全管理體系的管理評審61總則管理層應按策劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價信息安全管理體系改進的機會和變更的需要,包括安全方針和安全目標。評審的結果因清
20、楚地文件化,應保持管理評審的紀錄見433162評審輸入管理評審的輸入應包括以下方面的信息:a)信息安全管理體系審核和評審的結果;b)相關方的反饋;c)可以用于組織改進其信息安全管理體系業(yè)績和有效性的技術,產品或程序;d)預防和糾正措施的狀況;e)以前風險評估沒有足夠強調的脆弱性或威脅;f) 以往管理評審的跟蹤措施:g)任何可能影響信息安全管理體系的變更;h)改進的建議。63評審輸出管理評審的輸出應包括以下方面有關的任何決定和措施:a) 信息安全管理體系有效性的改進;b)修改影響信息安全的程序,必要時,以回應內部或外部可能影響信息安全管理體系的事件,包括以下的變更: 1)業(yè)務要求; 2)安全要求
21、; 3)業(yè)務過程影響現(xiàn)存的業(yè)務要求; 4)法規(guī)或法律環(huán)境; 5)風險的等級和或可接受風險的水平;c)資源需求。64 內部信息安全管理體系審核組織應按策化的時間間隔進行內部信息安全管理體系審核,以確定信息安全管理體系的控制目標??刂拼胧⑦^程和程序是否:a) 符合本標準和相關法律法規(guī)的要求;b)符合識別的信息安全要求;c)被有效地實施和維護;d)達到預想的業(yè)績任何審核活動應策劃,策劃應考慮過程的狀況和重要性,要審核的范圍以及前次審核的結果。應確定審核的標準,范圍,頻次和方法。選擇審核員及進行審核應確保審核過程的客觀和公正。審核員不應審核他們自己的工作。應在一個文件化的程序中確定策劃和實施審核,報
22、告結果和維護及維護記錄見43的責任及要求。負責被審核區(qū)域的管理者應確保采取沒有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。改進應包括驗證采取的措施和報告驗證的結果見條款7。7 ISMS改進71持續(xù) 改進 組織應通過使用安全方針、安全目標、審核結果、對監(jiān)控事件的分析、糾正和預防行動和管理i審的信息持續(xù)改進ISMS的有效性。7. 2 糾正措施組織應采取措施,以消除不合格的與實施和運行信息安全管理體系有關的原因,防止不合格的再發(fā)生。應為糾正措施編制形成文件的程序,確定以下的要求:a)識別實施和或運行信息安全管理體系的不合格;b)確定不合和的原因:c)評價確保不合格不再發(fā)生的措施的需求;d) 確定和實施所
23、需的糾正措施:e)記錄所采取措施的結果 見433 ;f) 評審所采取的糾正措施。7. 3預防措施組織應針對未來的不合格確定措施以防上其發(fā)生。預防措施應于潛在問題的影響程度相適應。應為預防措施編制形成文件的程序,以確定以下方面的要求:a)識別潛在的不合格及其原因;b) 確定和實施所需的預防措施:C)記錄所采取措施的結果見433:d)評審所采取的預防措施;識別以便更得風險和確保注意力關注在重大的以變更的風險。糾正措施的優(yōu)先權應以風險評估的結果為基礎確定。注:預防不合格的措施總是比糾正措施更節(jié)約成本。附錄A(引用)控制目標和控制措施A1介紹從A3到A12列出的控制目標和控制措施是直接引用并與BS I
24、SO/IEC 17799:2000條款3到12一致。在表中的清單并不徹底,一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和控制措施是條款42規(guī)定的信息安全管理體系過程的一部分。A2實踐指南規(guī)范SS ISOIEC 17799:2000條款3至 12提供最佳實踐的實施建議和指南以支持A3到A12規(guī)范的控制措施。A 3安全方針BS ISO/IEO17799:2000編號A.3.1信息安全方針控制目標:提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應提供一份方針文件,出版并溝通,適當時,給所有員工。3.1.1A.3.1.2評審和評價應經常評審方針文件
25、,在發(fā)生決定性的變化時,確保方針的適宜性3.1.2A4組織安全BS ISO/IEO17799:2000編號A.4.1信息安全基礎設施控制目標:在組織中管理信息安全4.1控制措施A.41.1管理信息安全委員會信息安全管理委員會確保明確的目標和管理層對啟動安全管理可見的支持。管理委員會應通過適當?shù)某兄Z和種族的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作在大的組織中,應使用一個由從各組織相關單位的管理者代表組成的跨功能的委員會,協(xié)作實施信息安全控制措施4.1.2A.4.1.3落實信息安全責任應明確定義保護每種資產和負責特定安全過程的責任A.4.1.3A.4.1.4對信息處理設施的授權過程應建立對
26、于新的信息處理設施的管理授權A.4.1.4A.4.1.5專家信息安全建議應從內部或外部搜集專家的信息安全建議并在組織內部實施協(xié)作A.4.1.5A.4.1.6組織間的合作與執(zhí)法機關、主管機關、信息服務提供者,及通信業(yè)者應維持適當?shù)慕佑|A.4.1.6A.4.1.7獨立的信息安全審查應對信息安全方針的實施進行獨立的審查A.4.1.7A.4.2第三方訪問的安全控制目標:維護組織的信息處理設施及細小資產被第三方訪問時的安全A.4.2控制措施A.4.2.1確認第三方訪問的風險應對第三訪問組織的信息處理設施所帶來的風險進行評估,并實施適當?shù)陌踩刂艫.4.2.1A.4.2.2與第三方的合約中的安全要求涉及第
27、三方訪問組織的信息設施的安排,應以包含必要的安全要求在內的正式合約為基礎A.4.2.2A.4.3外包控制目標:當信息處理的責任委托其它組織時,應維護信息的安全A.4.3A.4.3.1外包合約中的安全要求當組織將全部或部分的信息系統(tǒng)、網絡及/或桌上型計算機環(huán)境的管理及控制外包時,在雙方同意的合約中應載明安全的要求A.4.3.1A5資產分類與控制BS ISO/IEO17799:2000編號A.5.資產的保管責任控制目標:維持對于組織的資產的適切保護5.1控制措施A.5.1.1資產的清單應列出并維持一份與每個信息系統(tǒng)有關的所有重要的資產的清單A.5.2信息分類控制目標:確保信息資產受到適當程度的保護
28、5.2控制措施A.5.2.1分類原則信息的分類及相關的保護控制,應適合于企業(yè)營運對于信息分享或限制的需要,以及這些需要對企業(yè)營運所帶來的沖擊5.2.1A.5.2.2信息的標識及處理應制定信息標識及處理的程序,以符合組織所采行動的分類法則5.2.2A6人事安全BS ISO/IEO17799:2000編號A.6.1工作說明及人力資源的安全控制目標:降低因人員錯誤、偷竊、詐欺或不當使用設施所造成的風險6.1控制措施A.6.1.1將安全需求列入工作職責中組織在信息安全方針中所規(guī)定的安全角色及責任,應適度地書面化于工作職責說明書中6.1.1A6.1.2人員篩審及政策應在招聘員工時執(zhí)行正式員工的驗證查核6
29、.1.2A6.1.3保密合約員工應簽署保密協(xié)議作為其啟始聘用合同的一部分6.1.3A6.1.4聘用合同聘用合同中因陳述員工對信息安全的責任6.1.4A.6.2使用者培訓控制目標:確保員工了解信息安全的威脅及考慮,并且具備在其日常工作過程中支持組織的信息安全方針的能力6.2控制措施A.6.2.1信息安全的教育與培訓組織的所有員工以及相關的第三方使用者,對于組織方針及程序應接受適當、定期更新的訓練6.2.1A.6.3安全及失效事件的響應6.3A6.3.1安全事故報告安全事件應在事件被發(fā)現(xiàn)之后盡快由適當?shù)墓芾硗緩竭M行通報6.3.1A6.3.2安全弱點的報告應要求信息服務的使用者記下并報告任何觀察到的
30、或可疑的有關系統(tǒng)或服務方面的安全弱點或威脅6.3.2A6.3.3軟件失效事件的報告應建立報告軟件失效事件的相關程序6.3.3A6.3.4從事件中學習應有適當機制以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量及成本6.3.4A6.3.5懲處的流程員工違反組織安全方針及程序,應由正式的懲處流程來處理6.3.5A7實體及環(huán)境安全BS ISO/IEO17799:2000編號A.7.1安全區(qū)域控制目標:防止對企業(yè)運行所在地及信息未經授權的進入、訪問、破壞及干擾7.1控制措施A.7.1.1實體安全邊界組織應有安全的邊界以保護包含信息處理設施的區(qū)域7.1.1A7.1.2實體進出控制安全區(qū)域應有適當?shù)倪M出控制加以
31、保護,以確保只有經授權的人員可以進出7.1.2A.7.1.3辦公處所及設備的保護應劃定安全區(qū)域,以保護具有特殊安全需求的辦公處所及設備7.1.3A.7.1.4在安全區(qū)域中的作業(yè)應對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導原則以堅強安全區(qū)域的安全7.1.4A.7.1.5隔離遞送及裝載區(qū)域遞送及裝載區(qū)域應加以控制,如有可能與信息處理設施隔離,以避免未經授權的訪問7.1.5A.7.2 設備安全控制目標:預防資產遺失或損失和防止企業(yè)運營活動遭受干擾7.2控制措施A.7.2.1設備的安置及保護應妥善安置及保護設備,以降低來自環(huán)境的威脅與危險所造成的風險以及未經授權的訪問7.2.1A.7.2.1電源供
32、應應保護設備免于電力失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務的電力及通訊電纜,應予以保護免于被攔截或破壞7.2.3A.7.2.4設備維護設備應進行正確維護,以確保其持續(xù)的可用性及完整性7.2.4A.7.2.5組織以外的設備安全任何在組織所在地以外使用的信息處理設備應要求管理層授權7.2.5A.7.2.6設備報廢或再利用的安全防護設備在報廢或再利用前,應清除在設備中的信息7.2.6A.7.3一般控制控制目標:防止信息及信息處理設備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計算機屏幕畫面凈空策略組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策,
33、以降低因信息被未經授權訪問、遺失及所造成的風險7.3.1A.7.3.2資產的移出未經授權不得移出組織所擁有的設備、信息及軟件7.3.2A8通訊與操作管理BS ISO/IEO17799:2000編號A.8.1 作業(yè)程序及責任控制目標:確保正確、安全地操作信息處理設備8.1控制措施A.8.1.1文件化的作業(yè)程序由條款4.1.1.1所制定的信息安全政策所指明的作業(yè)程序應加以文件化及維護8.1.1A.8.1.2作業(yè)變更控制對信息處理設施及系統(tǒng)的變更應加以控制8.1.2A.8.1.3事故管理程序應建立事故的管理責任及程序,以確保迅速、有效及有序地反應安全事件和采集事故有關數(shù)據(jù)如審核線索和日志8.1.3A
34、.8.1.4職務隔離職務及負責范圍應加以隔離,以降低未經授權的修改或者不當使用信息或服務的機會8.1.4A.8.1.5開發(fā)與操作設備的隔離開發(fā)及測試設備應與操作設備分離。應確定和文件化從開發(fā)狀態(tài)到運行狀態(tài)移植軟件的規(guī)定8.1.5A8.1.6外部設備的管理使用外部的設備管理服務之前,應鑒別其風險,并與承包尚協(xié)議適當?shù)目刂品椒?,并納入合約內容之中8.1.6A.8.2 系統(tǒng)規(guī)劃及驗收控制目標:將系統(tǒng)失效的風險降至最小8.2控制措施A.8.2.1容量規(guī)劃容量要求應加以監(jiān)督,并應作出對于未來容量需求的推測,以確保擁有合適的運算處理能力及儲存空間8.2.1A.8.2.2系統(tǒng)驗收應建立新信息系統(tǒng)、升級及新版
35、本的驗收標準,并且在允收前對系統(tǒng)進行適當?shù)臏y試8.2.2A.8.3對具惡意的軟件的防范控制目標:保護軟件及信息的完整性不受惡意軟件的損害8.3控制措施A.8.3.1對具惡意的軟件的控制應有具偵測性及預防性的控制方法以防范惡意的軟件,并且應有適當?shù)氖褂谜哳A警程序的措施8.3.1A.8.4日常事務處理控制目標:維持信息處理及通訊服務的完整性及可用性8.4控制措施A.8.4.1信息備份應定期備份重要的企業(yè)營運信息和軟件并經常測試8.4.1A.8.4.2操作員日志作業(yè)人員應維持一份記錄其作業(yè)活動的工作日。操作日志應受到經常性的,獨立的審查8.4.2BS ISO/IEO17799:2000編號A.8.4
36、.3 錯誤事件登錄應通報錯誤并采取改正行動8.4.3A.8.5網絡管理控制目標:確保網絡中信息的安全性以及保護支持性的基礎設施8.5控制措施A.8.5.1網絡控制應實行一系列的控制方法以達成并維護網絡的安全8.5.1A.8.6存儲媒體的處理與安全控制目標:防止資產遭受損害以及企業(yè)營運活動遭受干擾8.6控制措施A.8.6.1可移動式計算機存儲媒體的管理對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應加以控制8.6.1A.8.6.2存儲媒體的報廢不再需要的儲存媒體,應可靠并安全地處置8.6.2A.8.6.3信息的處理程序應建立信息的處理及儲存程序,以保護信息不被未經授權的泄漏或不
37、當使用8.6.3A.8.6.4系統(tǒng)文件的安全應保護系統(tǒng)文件以防未經授權的訪問8.6.4A.8.7信息軟件的交換控制目標:防止在組織間交換的信息遭受遺失、修改及不當使用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時,應簽訂協(xié)議,其中有些可能是正式的協(xié)議書8.7.1A.8.7.2存儲媒體的運送安全運送存儲媒體時應保護其不遭受未經授權以及信息被泄漏、不當使用或毀壞8.7.2A.8.7.3電子商務安全應保護電子商務免于詐欺行為,合約爭議以及信息被泄漏及修改8.7.3A.8.7.4電子郵件的安全應開發(fā)一份電子郵件的使用策略,并應有降低電子郵件所造成的安全風險的適
38、當控制方法8.7.4A.8.7.5電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務與安全風險,各項政策與指導原則應加以擬定并實施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應有正式的授權過程,應保護這類信息的完整性以防止未經授權的修改8.7.6A.8.7.7其它形式的信息交換應有適當?shù)牟呗?、程序及控制方法來保護經由傳真、語音及影像等同學設施進行的信息交換8.7.7A9訪問控制BS ISO/IEO17799:2000編號A.9.1企業(yè)營運對訪問控制的要求控制目標:控制對于信息的訪問9.1控制措施A.9.1.1訪問控制策略企業(yè)營運對訪問控制的要求應加以界定并文件化,對于信息
39、的訪問應如訪問控制政策中所界定的加以限制9.1.1A.9.2 使用者訪問管理控制目標:確保訪問信息系統(tǒng)的權限被適當?shù)厥跈?、落實和維護9.2控制措施A.9.2.1使用者注冊應有正式的使用者注冊及注銷的程序,以進行所有的多分使用信息系統(tǒng)及服務的訪問授權9.2.1A.9.2.2特殊權限的管理對于特殊權限的分配及使用,應加以限制及控制9.2.2A.9.2.3使用者密碼管理對于密碼的分配,應通過正式的管理流程加以控制9.2.3A.9.2.4使用者訪問權限的審查管理層應定期執(zhí)行正式審查過程對于使用者的訪問權限實施評審9.2.4A.9.3使用者責任控制目標:防止未經授權的使用者訪問9.3控制措施A.9.3.
40、1密碼的使用應要求使用者在選擇及使用密碼時,遵循良好的安全慣例9.3.1A.9.3.2無人看管的使用者設備應要求使用者確保無人看管的使用者設備有適當?shù)谋Wo9.3.2A.9.4網絡訪問控制控制目標:保護網絡化的服務9.4控制措施A.9.4.1使用網絡服務的政策使用者應僅能直接訪問已獲特別授權使用的服務9.4.1A.9.4.2強制性路徑由使用者的終端機至計算機服務器間的路徑應加以控制9.4.2A.9.4.3外部聯(lián)機的使用者認證應對遠程使用者的訪問進行使用者認證9.4.3A.9.4.4節(jié)點認證到遠程計算機系統(tǒng)的、聯(lián)機應被認證9.4.4A.9.4.5遠程診斷端口的保護對于診斷端口的訪問應可靠地加以控制
41、9.4.5A.9.4.6網絡的隔離應引進可在網絡中以群組方式隔離信息服務、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網絡聯(lián)機的控制在分享式的網絡中使用者的聯(lián)機能力應依照訪問控制策略加以限制9.4.7A.9.4.8網絡路由的控制在分享式的網絡中,應有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應用軟件的訪問控制政策9.4.8A.9.4.9網絡服務的安全對于組織使用網絡服務業(yè)者提供的所有網絡服務的安全特性,應提供清楚的說明9.4.9A.9.5操作系統(tǒng)訪問控制控制目標:防止未經授權的計算機訪問9.5控制措施A.9.5.1自動化的終端機識別應使用自動化的終端機識別,以認證連接到特
42、定場所可移動式設備的聯(lián)機9.5.1A.9.5.2終端機聯(lián)機程序訪問信息服務應有安全的聯(lián)機流程9.5.2A.9.5.3使用者識別及認證所有使用者應有唯一的識別碼專供其個人的使用,以便各項活動可以追溯至應負責的個人,應使用一種適當?shù)恼J證技術以真實地識別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應提供有效的、交互式的設施以確保使用優(yōu)質的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應加以限制并嚴格控制9.5.5A.9.5.6提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標的使用者應提供受脅迫警報9.5.6A.9.5.7終端機逾時終止在高風險場所或為高風險系統(tǒng)服務終端
43、機,在進入休止狀態(tài)達到規(guī)定的一段時間后,應加以關閉以防止未經授權的人進行訪問9.5.7A.9.5.8聯(lián)機時間的限制應使用聯(lián)機時間的限制,以體統(tǒng)高風險的應用程序額外的安全9.5.8A.9.6應用程序訪問控制控制目標:防止對于保持在信息系統(tǒng)中的信息進行未經授權的訪問9.6控制措施A.9.6.1信息訪問限制對于信息及應用系統(tǒng)的功能的訪問應依照訪問控制策略加以分析限制9.6.1A.9.6.2機密性系統(tǒng)的隔離具機密性質的系統(tǒng)應有專署的運算環(huán)境9.6.2A.9.7系統(tǒng)訪問及使用的監(jiān)控控制目標:偵測未經授權的活動9.7控制措施A.9.7.1事件登錄應產生記載著異常狀況及其它安全相關的事件的審核日志,并保存一
44、定的期間以協(xié)助未來的調查及訪問控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應建立監(jiān)控信息處理設施使用情況的程序,并且應敵情對監(jiān)控活動的結果進行審查9.7.2A.9.7.3定時器同步計算機的定時器應同步以便準確地記錄9.7.3A.9.8可移動式計算機運算及計算機通訊遠距工作控制目標:確保使用可移動式計算機運算及計算機通訊遠距工作的設施的信息安全9.8控制措施A.9.8.1可移動式計算機運算應有適當?shù)恼秸卟⑶也捎眠m當?shù)目刂品椒ㄕ摚苑婪妒褂每梢苿邮接嬎銠C運算設施進行工作時所造成的風險,特別是在未被保護的環(huán)境中工作時9.8.1A.9.8.2計算機通訊遠距工作應開發(fā)策略、程序和標準以便授權及控
45、制計算機通訊遠距工作的活動9.8.2A10系統(tǒng)開發(fā)及維護BS ISO/IEO17799:2000編號A.10.1系統(tǒng)的安全要求控制目標:確保安全機制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標準對于使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求,應將對控制方法的要求制定于其中10.1.1A.10.2應用系統(tǒng)中的安全控制目標:防止應用系統(tǒng)中的使用者資料遺失、修改及不當使用10.2控制措施A.10.2.1輸入資料的驗證輸入應用系統(tǒng)的資料應加以驗證,以確保資料是正確且適當?shù)?0.2.1A.10.2.2內部處理控制驗證的檢查應成為系統(tǒng)的一部分,以偵測出所處理的資料是否損毀10.2.2A.
46、10.2.3消息的認證當有保護消息內容完整性 的安全要求時,應針對應用程序進行消息的認證10.2.3A.10.2.4輸出資料的驗證從應用系統(tǒng)輸出的資料應加以驗證,以確保對所儲存的資料的處理流程是正確的,且就其情況而言是適當?shù)?0.2.4A.10.3密碼學的控制方法控制目標:保護信息的機密性、真實性或完整性10.3控制措施A.10.3.1運用密碼學控制方法的政策應發(fā)展且遵循以密碼學控制方法來達成保護信息目的的政策10.3.1A.10.3.2資料加密應使用資料加密,以保護機密或關鍵信息的機密性10.3.2A.10.3.3數(shù)字簽章應使用數(shù)字簽章,以保護電子化信息的真實性及完整性10.3.3A.10.
47、3.4不可否認性的服務應使用不可否認性的服務,以解決某事件或行動是否有發(fā)生爭議10.3.4A.10.3.5密鑰管理應使用既定的標準、程序及方法為基礎的密鑰管理系統(tǒng),以支持密碼學技術的運用10.3.5A.10.4系統(tǒng)檔案的安全控制目標:確保信息科技的項目及支持性活動以安全的方式來進行10.4控制措施A.10.4.1控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測試資料的保護測試資料應加以保護及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問應維持嚴格的控制10.4.3A.10.5開發(fā)及支持流程的安全控制目標:維持應用系統(tǒng)的軟件及信息的安全1
48、0.5控制措施A.10.5.1變更控制的程序應使用正式的變更控制程序嚴格地控制變更的實行,以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變更的技術審查當發(fā)生變更時,應對應用系統(tǒng)進行身材及得失10.5.2A.10.5.3軟件包修改的限制應阻止對于軟件包的修改,對于變更應嚴格控制10.5.3A.10.5.4秘密信道及特洛伊木馬應控制并檢查軟件的采購、使用及修改以防范可能的秘密信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開發(fā)應使用控制方法以防護委外的軟件開發(fā)10.5.5A11業(yè)務持續(xù)運作管理BS ISO/IEO17799:2000編號A.11.1業(yè)務持續(xù)運作管理考慮控制
49、目標:防止企業(yè)運營中斷并且保護企業(yè)營運的關鍵流程免于重大失效或災難的影響11.1控制措施A.11.1.1業(yè)務持續(xù)運作的管理流程為發(fā)展及維持企業(yè)的持續(xù)運作性,應有遍及整個組織的管理流程11.1.1A.11.1.2業(yè)務持續(xù)運作及沖擊分析應發(fā)展以適當?shù)娘L險評估為基礎的策略性計劃,以為業(yè)務持續(xù)運作的方法11.1.2A.11.1.3持續(xù)運作計劃的撰寫及執(zhí)行應發(fā)展計劃確保在重要的業(yè)務流程中斷或失效后可及時維持或恢復業(yè)務運作11.1.3A.11.1.4業(yè)務持續(xù)運作規(guī)劃的架構應維持一個單一的業(yè)務持續(xù)運作計劃架構,以確保所有計劃的一致性,且鑒別其先后次序以進行測試與維護11.1.4A.11.1.5業(yè)務持續(xù)運作計
50、劃的測試、維護與再評估業(yè)務持續(xù)運作計劃應定期測試,怯、且透過定期身材予以維護,以確保及時性及有效性11.1.5A12符合性BS ISO/IEO17799:2000編號A.12.1法規(guī)要求的符合性控制目標:避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內容所規(guī)定的義務、以及違反任何要求安全的要求12.1控制措施A12.1.1鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言,法律條文、行政法規(guī)及契約內容所規(guī)定的所有相關要求,應加以明白地界定及文件化12.1.1A12.1.2知識產權應事項適當?shù)某绦颍源_保在只用智能財產權方面的物品及他人專署的軟件產品時,能符合法律的限制12.1.2A12.1.3組織
51、紀錄的保護應防止屬于組織的重要紀錄遺失、被破壞及篡改12.1.3A12.1.4個人信息的隱私及數(shù)據(jù)保護應使用控制方法,以依照相關的法律保護個人信息12.1.4A12.1.5信息處理設施不當使用的預防使用信息處理設備應經管理者授權,并且應使用控制方法,以防止這些設施遭受不當使用12.1.5A12.1.6有關密碼學控制方法的政府規(guī)定應有適當?shù)目刂品椒?,以確保使用或訪問密碼學控制方法,符合國家所制定的協(xié)議書、法律、行政規(guī)定或其它正式法律文件的要求12.1.6A1.2.1.7證據(jù)的收集當對某個人或某組織所采取的行動涉及法律,不論是民法或刑法,所提供的證據(jù)應符合相關法律或審理該案件的法庭對于證據(jù)所作的規(guī)定,并應包羅萬象符合任何有關可采納證據(jù)的產生的已發(fā)行標準或最佳慣例在內1.2.1.7A.12.2安全政策符合性及技術符合性的審查控制目標:確保系統(tǒng)符合組織的安全政策及標準12.2控制措施A.12.2.1安全方針的符合性管理者應確保在其責任范圍內的所有安全程序被正確地執(zhí)行,并且組織內的所有范圍應定期加以審查,以確保符合安全政策及標準12.2.1A.12.2.2技術符合性的檢查信息系統(tǒng)應被定期檢查是否符合安全實施標準12.2.2A.12.3系統(tǒng)審核的考慮控制目標:將有效性提升至最大,并將對來自及作用在系統(tǒng)審核流程的干擾降至最小12.3控制措施A.12.
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 胎記的臨床護理
- 兒童學習能力障礙的健康宣教
- 《機械制造基礎》課件-05篇 第八單元 超精密加工
- 《機械設計基礎》課件-第5章
- 《計算機表格處理》課件
- 【培訓課件】青果園 萬名大學生創(chuàng)意創(chuàng)業(yè)園區(qū)項目介紹
- 《認識HS商品分類》課件
- 社區(qū)戶外旅游組織計劃
- 生物學課程的擴展與拓展計劃
- 提升師生互動頻率的計劃
- 人力資源的降本增效操作
- 村級財務課件教學課件
- 干股股份合作簡單協(xié)議書范本(35篇)
- 中央2024年中國合格評定國家認可中心招聘筆試歷年參考題庫解題思路附帶答案詳解
- 2022年《數(shù)據(jù)結構(本)》形考任務實踐活動3
- 2024年貴州專業(yè)技術繼續(xù)教育公需科目考試部分試題(含答案)
- 英語聽力技巧與應用(山東聯(lián)盟)智慧樹知到答案2024年山東航空學院
- 高級中學語文教師資格考試學科知識與教學能力2024年下半年測試試題及解答
- 初中語文八年級上冊 20《人民英雄永垂不朽》公開課一等獎創(chuàng)新教學設計
- 生豬屠宰獸醫(yī)衛(wèi)生檢驗人員理論考試題庫及答案
- 互聯(lián)網文案寫作智慧樹知到期末考試答案章節(jié)答案2024年山東管理學院
評論
0/150
提交評論