ISMS信息安全管理體系建立方法

ISMS信息安全管理體系建立方法

工程管理、業(yè)務(wù)連續(xù)性管理等每項(xiàng)管理的要點(diǎn)均有不一致。后續(xù)將全面介紹不一致部分的管

理。1信息安全管理體系概述

1.1什么是信息安全管理體系信息安全管理體系即工nformationSecurity

ManagementSystem（簡(jiǎn)稱1sMS）是組織在整體或者特定

范圍內(nèi)建立的信息安全方針與目標(biāo)與完成這些目標(biāo)所用的方法與體系。它是直接管理活動(dòng)的

結(jié)果

表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程與資源的集合。

BS77992是建立與維持信息安全管理體系的標(biāo)準(zhǔn)標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系

范圍

制定信息安全方針明確管理職責(zé)以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇操縱目標(biāo)與操縱措施等一系列活動(dòng)

來(lái)建立信

息安全管理體系體系一旦建立組織應(yīng)按體系的規(guī)定要求進(jìn)行運(yùn)作保持體系運(yùn)行的有效性

信息安

全管理體系應(yīng)形成一定的文件即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系其中應(yīng)

闡述被保

護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理方法、操縱目標(biāo)與操縱措施、信息資產(chǎn)需要保護(hù)的程度等內(nèi)容。

1.1SMS的范圍

工SMS的范圍能夠根據(jù)整個(gè)組織或者者組織的一部分進(jìn)行定義包含有關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、

服務(wù)、網(wǎng)

絡(luò)與用于過(guò)程中的技術(shù)、存儲(chǔ)與通信的信息等ISMS的范圍能夠包含

組織所有的信息系統(tǒng)

組織的部分信息系統(tǒng)

特定的信息系統(tǒng)。

此外為了保證不一致的業(yè)務(wù)利益組織需要為業(yè)務(wù)的不一致方面定義不一致的ISMSo比如

能夠?yàn)榻M織

與其他公司之間特定的貿(mào)易關(guān)系定義工SMS也能夠?yàn)榻M織結(jié)構(gòu)定義ISMS不一致的情境能夠

由一個(gè)或者者

多個(gè)ISMS表述。

2.組織內(nèi)部成功實(shí)施信息安全管理的關(guān)鍵因素

反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)與活動(dòng)

與組織文化一致的實(shí)施安全的方法

來(lái)自管理層的有形支持與承諾

對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的良好懂得

向所有管理者及雇員推行安全意思

向所有雇員與承包商分發(fā)有關(guān)信息安全方針與準(zhǔn)則的導(dǎo)則

提供適當(dāng)?shù)呐嘤?xùn)與教育

用于評(píng)價(jià)信息安全管理績(jī)效及反饋改進(jìn)建議并有利于綜合平衡的測(cè)量系統(tǒng)。

3.建立工SMS的步驟

不一致的組織在建立與完善信息安全管理體系時(shí)可根據(jù)自己的特點(diǎn)與具體的情況采取不一

致的步驟

與方法。但總體來(lái)說(shuō)建立信息安全管理體系通常要通過(guò)下列四個(gè)基本步驟

c）信息安全管理體系的運(yùn)行

d）信息安全管理體系的審核與評(píng)審。1.2信息安全管理體系的作用1.1SMS的特點(diǎn)

信息安全管理管理體系是一個(gè)系統(tǒng)化、程序化與文件化的管理體系。該體系具有下列特點(diǎn)

體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估表達(dá)以預(yù)防操縱為主的思想強(qiáng)調(diào)遵守

國(guó)

家有關(guān)信息安全的法律法規(guī)及其他合同方要求

強(qiáng)調(diào)全過(guò)程與動(dòng)態(tài)操縱本著操縱費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全操縱方式

強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)而不是全部信息資產(chǎn)確保信息的機(jī)密性、完整性

與

可用性保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)與商務(wù)運(yùn)作的持續(xù)性。

2.實(shí)施:[SMS的作用

組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用

強(qiáng)化員工的信息安全意識(shí)規(guī)范組織信息安全行為

對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面體統(tǒng)的保護(hù)維持競(jìng)爭(zhēng)優(yōu)勢(shì)

在信息系統(tǒng)受到侵襲時(shí)確保業(yè)務(wù)持續(xù)開(kāi)展并將缺失降到最低程度

使組織的生意伙伴與客戶對(duì)組織充滿信心

假如通過(guò)體系認(rèn)證說(shuō)明體系符合標(biāo)準(zhǔn)證明組織有能力保證重要信息提高組織的知名度與

信

任度

促使管理層貫徹信息安全保障體系

組織能夠參照信息安全管理模型按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)BS7799建立組織完整的信

息安

全管理體系并實(shí)施與保持達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安

全

管理方式用最低的成本達(dá)到可同意的信息安全水平從根本上保證業(yè)務(wù)的連續(xù)性。1.3信

息安全管理體系的準(zhǔn)備為在組織中順利建設(shè)信息安全管理體系需要建立有效信息安全機(jī)

構(gòu)對(duì)組織中的各類人員分配角色、

明確權(quán)限、落實(shí)責(zé)任并予以溝通。

1成立信息安全委員會(huì)

信息安全委員會(huì)由組織的最高管理層與信息安全管理有關(guān)的部門負(fù)責(zé)人、管理人員、技術(shù)人員

構(gòu)成

定期召開(kāi)會(huì)議就下列重要信息安全議題進(jìn)行討論并做出決策為組織信息安全管理提供導(dǎo)向

與支持。

評(píng)審與審批信息安全方針

分配信息安全管理職責(zé)

確認(rèn)風(fēng)險(xiǎn)評(píng)估的結(jié)果

對(duì)與信息安全管理有關(guān)的重大事項(xiàng)如組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息安全設(shè)施購(gòu)置等

評(píng)審與監(jiān)督信息安全事故

審批與信息安全管理有關(guān)的其他重要事項(xiàng)。

2任命信息安全管理經(jīng)理

組織最高管理者在管理層中指定一名信息安全管理經(jīng)理分管組織的信息安全管理事宜具體

由下列

責(zé)任

確定信息安全管理標(biāo)準(zhǔn)建立、實(shí)施與保護(hù)信息安全管理體系

據(jù)

就信息安全管理的有關(guān)問(wèn)題與外部各方面進(jìn)行聯(lián)絡(luò)。

3組建信息安全管理推進(jìn)小組

在信息安全委員會(huì)的批準(zhǔn)下由信息安全管理經(jīng)理組建信息安全管理推進(jìn)小組并對(duì)其進(jìn)行管

理。小

構(gòu)成員要懂信息安全技術(shù)知識(shí)有一定的信息安全管理技能同時(shí)有較強(qiáng)的分析能力及文字能

力小組

成員通常是企業(yè)各部門的骨干人員。

4保證有關(guān)人員的作用、職責(zé)與權(quán)限得到有效溝通

用適當(dāng)?shù)姆绞饺缤ㄟ^(guò)培訓(xùn)、制定文件等方式讓每位員工明白自己的作用、職責(zé)與權(quán)限與與

其

他部分的關(guān)系以保證全體員工各司其職相互配合有效地開(kāi)展活動(dòng)為信息安全管理體系的

建立做

出奉獻(xiàn)。

5組織機(jī)構(gòu)的設(shè)立原則

合適的操縱范圍

通常情況下一個(gè)經(jīng)理直接操縱的下屬管理人員很多于6人但不應(yīng)超過(guò)10人。在作業(yè)復(fù)雜的

部門

或者車間一個(gè)組長(zhǎng)對(duì)15人保持操縱。在作業(yè)簡(jiǎn)單的部門或者車間一個(gè)組長(zhǎng)能操縱50個(gè)人

或者更多的人。

合適的管理層次

公司負(fù)責(zé)人與基層管理部門之間的管理層數(shù)應(yīng)保護(hù)最少程度最影響利潤(rùn)的部門經(jīng)理應(yīng)該直接

向

公司負(fù)責(zé)人報(bào)告。

一個(gè)上級(jí)的原則

責(zé)、權(quán)、利一致的原則

既無(wú)重福又無(wú)空白的原則

執(zhí)行部門與監(jiān)督部門分離的原則

信息安全部門有一定的獨(dú)立性不應(yīng)成為生產(chǎn)部門的下屬單位。

6信息安全管理體系組織結(jié)構(gòu)建立及職責(zé)劃分的注意事項(xiàng)

假如現(xiàn)有的組織結(jié)構(gòu)合理則只需將信息安全標(biāo)準(zhǔn)的要求分配落實(shí)到現(xiàn)有的組織結(jié)構(gòu)中即可。

如

果現(xiàn)有的組織結(jié)構(gòu)不合理則按上面5中所述規(guī)則對(duì)組織結(jié)構(gòu)進(jìn)行調(diào)整。

應(yīng)將組織內(nèi)的部門設(shè)置及各部門的信息安全職責(zé)、權(quán)限及相互關(guān)系以文件的形式加以規(guī)定。

應(yīng)將部門內(nèi)崗位設(shè)置及各崗位的職責(zé)、權(quán)限與相互關(guān)系以文件的形式加以規(guī)定。

日常的信息安全監(jiān)督檢查工作應(yīng)有專門的部門負(fù)責(zé)

關(guān)于大型企業(yè)來(lái)說(shuō)能夠設(shè)置專門的安全部能夠把信息安全與職業(yè)健康與安全的職能劃歸

此部

門安全部設(shè)立首席安全執(zhí)行官首席安全執(zhí)行官直接向組織最高管理層負(fù)責(zé)有的也向首席

信

息官負(fù)責(zé)。美國(guó)''911"恐怖襲擊事件以后在美國(guó)的一些大型企業(yè)這種安全機(jī)構(gòu)的設(shè)置方式

逐步流行它強(qiáng)調(diào)對(duì)各類風(fēng)險(xiǎn)的綜合管理與對(duì)威脅的快速反應(yīng)。

1S027001信息安全管理標(biāo)準(zhǔn)懂得及內(nèi)審員培訓(xùn)下載報(bào)名表內(nèi)訓(xùn)調(diào)查表

【課程描述】

ISO/IEC27001:2005信息技術(shù)安全管理體系要求用于組織的信息安全管理體系的建立與實(shí)

施保障組織的信息安全。

本課程將詳述工SO27001:2005/13027002:2005標(biāo)準(zhǔn)的每一個(gè)要求指導(dǎo)如何管理信息

安全風(fēng)險(xiǎn)并附以大量的審核實(shí)戰(zhàn)

案例以作說(shuō)明。內(nèi)部審核部分將以ISO19011:2002為基礎(chǔ)教授學(xué)員如何策劃與實(shí)施信息

安全管理體系內(nèi)部審核活動(dòng)。掌

握該體系的具體執(zhí)行程序與標(biāo)準(zhǔn)并熟悉對(duì)該體系進(jìn)行檢查與審核的方法與制作審核報(bào)告的技

巧。

【課程幫助】

假如你想對(duì)本課程有更深入的熟悉辭>>>彳贛SS027001嘀1■關(guān)資料手冊(cè)

【課程對(duì)象】

信息安全管理人員欲將工S027001導(dǎo)入組織的人員在工S027001實(shí)施過(guò)程中承擔(dān)內(nèi)部審核

工作的人員有志于從事1T

信息安全管理工作的人員。

【課程大綱】

第一部分IS027001

2005信息安全概述、標(biāo)準(zhǔn)條款講解

?信息安全概述信息及信息安全CIA目標(biāo)信息安全需求來(lái)源信息安全管理。

?風(fēng)險(xiǎn)評(píng)估與管理風(fēng)險(xiǎn)管理要素過(guò)程定量與定性風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)消減。

?ISO/IEC27001簡(jiǎn)介IS027001標(biāo)準(zhǔn)進(jìn)展歷史、現(xiàn)狀與要緊內(nèi)容IS027001標(biāo)準(zhǔn)認(rèn)證。

?信息安全管理實(shí)施細(xì)則從十個(gè)方面介紹工S027001的各項(xiàng)操縱目標(biāo)與操縱措施。

?信息安全管理體系規(guī)范ISO/1EC27001-2005標(biāo)準(zhǔn)要求內(nèi)容PDCA管理模型ISMS建設(shè)

方法與過(guò)程。

第二部分IS0270012005信息安全管理體系文件建立工S027001與IS09001、

IS014001管理體系如何整合

?IS027001與IS09001>IS014001的異同

?IS027001與1S09001、1S014001能夠共用的程序文件與三級(jí)文件

?如何將三體系整合降低公司的體系運(yùn)行成本

?1S09001、IS014001,1S027001體系三合一整合案例分析

第三部分信息安全管理體系內(nèi)部審核技巧與認(rèn)證應(yīng)對(duì)案例分析

?IS0270012005標(biāo)準(zhǔn)對(duì)內(nèi)審員的新要求

?信息安全管理體系認(rèn)證現(xiàn)場(chǎng)審核的流程、技巧及溝通方法

?如何應(yīng)對(duì)認(rèn)證公司的認(rèn)證審核、監(jiān)督審核、案例分析

2.1PDCA原則PDCA循環(huán)的概念最早是由美國(guó)質(zhì)量管理專家戴明提出來(lái)的因此又稱之''戴

明環(huán)〃。在質(zhì)量管理中

應(yīng)用廣泛PDCA代表的含義如下

P(Plan)計(jì)劃確定方針與目標(biāo)確定活動(dòng)計(jì)劃

D(Do)實(shí)施實(shí)際去做實(shí)現(xiàn)計(jì)劃中的內(nèi)容

C(Check)檢查總結(jié)執(zhí)行計(jì)劃的結(jié)果注意效果找出問(wèn)題

A(Action)行動(dòng)對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理成功的經(jīng)驗(yàn)加以確信并適當(dāng)推廣、標(biāo)準(zhǔn)化失

敗的

教訓(xùn)加以總結(jié)以免重現(xiàn)未解決的問(wèn)題放到下一個(gè)PDCA循環(huán)。

PDCA循環(huán)的四個(gè)階段具體內(nèi)容如下

(1)計(jì)劃階段制定具體工作計(jì)劃提出總的目標(biāo)。具體來(lái)講又分為下列4個(gè)步驟。

分析目前現(xiàn)狀找出存在的問(wèn)題

分析產(chǎn)生問(wèn)題的各類原因與影響因素

分析并找出管理中的要緊問(wèn)題

制定管理計(jì)劃確定管理要點(diǎn)。

根據(jù)管理體制中出現(xiàn)的要緊問(wèn)題制定管理的措施、方案明確管理的重點(diǎn)。制定管理方案時(shí)

要注

意整體的詳盡性、多選性、全面性。

(2)實(shí)施階段就是指按照制定的方案去執(zhí)行。

在管理工作中全面執(zhí)行制定的方案。制定的管理方案在管理工作中執(zhí)行的情況直接影響全過(guò)

程。

因此在實(shí)施階段要堅(jiān)持按照制定的方案去執(zhí)行。

(3)檢查階段即檢查實(shí)施計(jì)劃的結(jié)果。

檢查工作這一階段是比較重要的一個(gè)階段它是對(duì)實(shí)施方案是否合理是否可行有何不妥的檢

查。

是為下一個(gè)階段工作提供條件是檢驗(yàn)上一階段工作好壞的檢驗(yàn)期。

(4)處理階段根據(jù)調(diào)查效果進(jìn)行處理。

對(duì)已解決的問(wèn)題加以標(biāo)準(zhǔn)化即把已成功的可行的條文進(jìn)行標(biāo)準(zhǔn)化將這些納入制度、規(guī)定中

防止以后再發(fā)生類似問(wèn)題

找出尚未解決的問(wèn)題轉(zhuǎn)入下一個(gè)循環(huán)中去以便解決。

PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。在質(zhì)量管理中PDCA循環(huán)

得到

了廣泛的應(yīng)用并取得了很好的效果有人也稱其為質(zhì)量管理的基本方法。之因此叫PDCA循

環(huán)是因

為這四個(gè)過(guò)程不是運(yùn)行一次就完結(jié)而是周而復(fù)始地進(jìn)行其特點(diǎn)是''大環(huán)套小環(huán)一環(huán)扣一環(huán)

小環(huán)

保大環(huán)推動(dòng)大循環(huán)“每個(gè)循環(huán)系統(tǒng)包含PDCA四個(gè)階段曾螺旋式上升與進(jìn)展每麗例尋

步。

建立與管理一個(gè)信息安全管理體系需要象其他任何管理體系一樣的方法。這里描述的過(guò)程模型

遵循

一個(gè)連續(xù)的活動(dòng)循環(huán)計(jì)劃、實(shí)施、檢查、與處置。之因此能夠描述為一個(gè)有效的循環(huán)由于它

的目的是

為了保證您的組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)間改進(jìn)。信息安全管理體系的PDCA過(guò)程如

下圖12

1

圖12-1PDCA模型與信息安全管理體系過(guò)程

ISMS的PDCA具有下列內(nèi)容

1.計(jì)劃與實(shí)施

一個(gè)持續(xù)提高的過(guò)程通常要求最初的投資文件化實(shí)踐將風(fēng)險(xiǎn)管理的過(guò)程正式化確定評(píng)審的

方

法與配置資源。這些活動(dòng)通常作為循環(huán)的開(kāi)始。這個(gè)階段在評(píng)審階段開(kāi)始實(shí)施時(shí)結(jié)束。計(jì)劃階

段用來(lái)保

證為信息安全管理體系建立的內(nèi)容與范圍正確地建立評(píng)估信息安全風(fēng)險(xiǎn)與建立適當(dāng)?shù)靥幚磉@

些風(fēng)險(xiǎn)的

計(jì)劃。實(shí)施階段用來(lái)實(shí)施在計(jì)劃階段確定的決定與解決方案。

2.檢查與行動(dòng)

檢查與處置評(píng)審階段用來(lái)加強(qiáng)、修改與改進(jìn)已識(shí)別與實(shí)施的安全方案。評(píng)審能夠在任何時(shí)間、

以任

何頻率實(shí)施取決于如何做適合于考慮的具體情況。在一些體系中他們可能需要建立在計(jì)算機(jī)

化的過(guò)程

中以運(yùn)行與立即回應(yīng)。其他過(guò)程可能只需在有信息安全事故時(shí)、被保護(hù)的信息資產(chǎn)變化時(shí)或者

需要增加時(shí)、

威脅與脆弱性變化時(shí)需要回應(yīng)。最后需要每一年或者其他周期性評(píng)審或者審核以保證整個(gè)管

理體系達(dá)成其

目標(biāo)。

3.操縱措施總結(jié)(SummaryofControls)

組織可能發(fā)現(xiàn)制作一份有關(guān)與應(yīng)用于組織的信息安全管理體系的操縱措施總結(jié)SoC的好處。

提供

一份操縱措施小結(jié)能夠使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。SoC可能包含敏感的信息因

此當(dāng)SoC

在外部與內(nèi)部同時(shí)應(yīng)用時(shí)應(yīng)考慮他們關(guān)于接收者是否合適。2.2文件化信息安全管理另

一個(gè)非常重要的原則就是文件化即所有計(jì)劃及操作過(guò)的情況都要有文件記錄這

樣可做到有章可循有據(jù)可查文件的類型通常有手冊(cè)、規(guī)范、指南、記錄等使用這些文件能

夠使組

織內(nèi)部溝通意圖統(tǒng)一行動(dòng)并為事件提客觀證據(jù)同時(shí)也可用于學(xué)習(xí)與培訓(xùn)。假如有些組織曾

參與過(guò)

9000或者BS7799的認(rèn)證會(huì)深刻體會(huì)到文件化的重要性。2.3領(lǐng)導(dǎo)重視組織建立信息安

全管理體系需要投入大量物力與人力這就需要得到領(lǐng)導(dǎo)的認(rèn)可特別是最高領(lǐng)導(dǎo)

這樣才能確保這一項(xiàng)目不可能因缺少資源支持而中途廢棄。最高領(lǐng)導(dǎo)層在具體建立信息安全管

理體系時(shí)應(yīng)

括

a）建立信息安全方針

b）確保建立信息安全目標(biāo)與計(jì)劃

c）為信息安全確立職位與責(zé)任

d）向組織傳達(dá)達(dá)到信息安全目標(biāo)與符合信息安全方針的重要性、在法律條件下組織的責(zé)任

及持續(xù)

改進(jìn)的需要

e）提供足夠的資源以開(kāi)發(fā)、實(shí)施運(yùn)行與保護(hù)信息安全管理體系

f）確定可同意風(fēng)險(xiǎn)的水平

g）進(jìn)行信息安全管理體系的評(píng)審。

（2）管理層為組織將確定與提供所需的資源以

a）建立、實(shí)施、運(yùn)行與保護(hù)信息安全管理體系

b）確保信息安全程序支持業(yè)務(wù)要求

c）識(shí)別與強(qiáng)調(diào)法律與法規(guī)要求及合同的安全義務(wù)

d）正確地應(yīng)用所有實(shí)施的操縱措施保護(hù)足夠的安全

e）必要時(shí)進(jìn)行評(píng)審并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果

f）需要時(shí)改進(jìn)信息安全管理體系的有效性。2.4全員參與僅有領(lǐng)導(dǎo)的支持沒(méi)有實(shí)際操

作的人員同樣信息安全管理體系不能很好地建立起來(lái)而組織內(nèi)由于普

通人員的誤操作與疏忽造成嚴(yán)重缺失的不止少數(shù)因此我們務(wù)必明確安全管理體系不是組織內(nèi)

IT部門的

組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。組織應(yīng)

a）確定從事影響信息安全管理體系的人員所必要的能力

b)提供能力培訓(xùn)與面寸耳雌緲

C）評(píng)價(jià)提供的培訓(xùn)與所采取行動(dòng)的有效性

d）保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)與資格的紀(jì)錄。

組織應(yīng)確保所有有關(guān)的人員明白他們信息安全活動(dòng)的適當(dāng)性與重要性與他們的奉獻(xiàn)如何達(dá)成信

息

安全管理目標(biāo)。3信息安全管理體系的建立

圖12-2ISMS流程圖

組織應(yīng)在整體業(yè)務(wù)活動(dòng)與風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、保護(hù)與持續(xù)改進(jìn)文件化的信息安全管理體

系。

為滿足該標(biāo)準(zhǔn)的目的使用的過(guò)程建立在圖一所示的PDCA模型基礎(chǔ)上。

組織應(yīng)做到如下幾點(diǎn)

a）應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)與技術(shù)確定信息安全管理體系的范圍。

b）應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)與技術(shù)確定信息安全管理體系的方針?lè)结槕?yīng)

1）

包含為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向與原則。

2）考慮業(yè)務(wù)及法律或者法規(guī)的要求及合同的安全義務(wù)。

3）建立組織戰(zhàn)略與風(fēng)險(xiǎn)管理的環(huán)境在這種環(huán)境下建立與保護(hù)信息安全管理體系。

4）建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)與風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。

5）經(jīng)管理層批準(zhǔn)。

c）確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法

識(shí)別適用于信息安全管理體系及已識(shí)別的信息安全、法律與法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。為

信息

安全管理體系建立方針與目標(biāo)以降低風(fēng)險(xiǎn)至可同意的水平。確定同意風(fēng)險(xiǎn)的標(biāo)準(zhǔn)與識(shí)別可同意

風(fēng)險(xiǎn)的水

平。

d）確定風(fēng)險(xiǎn)

1）在信息安全管理體系的范圍內(nèi)識(shí)別資產(chǎn)及其責(zé)任人。

2）識(shí)別對(duì)這些資產(chǎn)的威脅。

3）識(shí)別可能被威脅利用的脆弱性。

4）別資產(chǎn)失去保密性、完整性與可用性的影響。

e）評(píng)價(jià)風(fēng)險(xiǎn)制訂信息安全

方針

方針文檔

定義ISMS范圍

進(jìn)行風(fēng)險(xiǎn)評(píng)估

實(shí)施風(fēng)險(xiǎn)管理

選擇操縱目標(biāo)

措施

準(zhǔn)備適用聲明第一步

第二步

第三步

第四步

第五步

第六步1sMs

范圍

評(píng)估報(bào)告文件

文件

文件

文件

文件

文件文檔化

文檔化

聲明文件

5）評(píng)估與這些資產(chǎn)有關(guān)的要緊威脅、脆弱點(diǎn)與影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性與現(xiàn)

存的操縱措

施

6）估計(jì)風(fēng)險(xiǎn)的等級(jí)

7）確定介紹風(fēng)險(xiǎn)或者使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理。

f）識(shí)別與評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施

可能的行動(dòng)包含

1）應(yīng)用合適的操縱措施

2）明白并有目的地同意風(fēng)險(xiǎn)同時(shí)這些措施能清晰地滿足組織方針與同意風(fēng)險(xiǎn)的標(biāo)準(zhǔn)

3）避免風(fēng)險(xiǎn)

4）轉(zhuǎn)移有關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如保險(xiǎn)業(yè)供應(yīng)商等。

g）選擇操縱目標(biāo)與操縱措施處理風(fēng)險(xiǎn)

應(yīng)從2.6章節(jié)中操縱措施中選擇合適的操縱目標(biāo)與操縱措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處理過(guò)

程的結(jié)

果調(diào)整。

h）準(zhǔn)備一份適用性聲明。

從上面選擇的操縱目標(biāo)與操縱措施與被選擇的原因應(yīng)在適用性聲明中文件化。從2.6章節(jié)中

剪裁的

操縱措施也應(yīng)加以記錄

i）提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施與運(yùn)作信息安全管理體系。3.2文件要求

信息安全管理體系文件應(yīng)包含

a）文件化的安全方針文件與操縱目標(biāo)

b）信息安全管理體系范圍與程序及支持信息安全管理體系的操縱措施

c）風(fēng)險(xiǎn)評(píng)估報(bào)告

d）風(fēng)險(xiǎn)處理計(jì)劃

e）組織需要的文件化的程序以確保有效地計(jì)劃運(yùn)營(yíng)與對(duì)信息安全過(guò)程的操縱

f）本標(biāo)準(zhǔn)要求的記錄

g）適用性聲明。3.3文件操縱信息安全管理體系所要求的文件應(yīng)予以保護(hù)與操縱。應(yīng)編

制文件化的程序以規(guī)定下列方面所需的

操縱

a）文件公布前得到批準(zhǔn)以確保文件的充分性

b）必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新并再次批準(zhǔn)

c）確保文件的更換與現(xiàn)行修訂狀態(tài)得到識(shí)別

d）確保在使用處可獲得適用文件的有關(guān)版本

e）確保文件保持清晰、易于識(shí)別

f）確保外來(lái)文件得到識(shí)別并操縱其分發(fā)

g）確保文件的發(fā)放在操縱狀態(tài)下

h）防止作廢文件的非預(yù)期使用

息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別與檢索。應(yīng)編制形成

文件的程

序以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、儲(chǔ)存期限與處置所需的操縱。需要一個(gè)管理過(guò)程

確定記錄

的程度。

應(yīng)保留上述過(guò)程績(jī)效記錄與所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。比如

簽名簿審核記錄與授權(quán)訪問(wèn)記錄。4實(shí)施與運(yùn)作信息安全管理體系組織應(yīng)按如下步聚實(shí)

施

a）識(shí)別合適的管理行動(dòng)與確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序即風(fēng)險(xiǎn)處理計(jì)劃

b）實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的操縱目標(biāo)包含對(duì)資金的考慮與落實(shí)安全角色與責(zé)任

c）實(shí)施在上述章節(jié)里選擇的操縱目標(biāo)與操縱措施

d）培訓(xùn)與意識(shí)

e）管理運(yùn)作過(guò)程

f）管理資源

g）實(shí)施程序與其他有能力隨時(shí)探測(cè)與回應(yīng)安全事故的操縱措施。5監(jiān)控與評(píng)審信息安全

管理體系

5.1監(jiān)控信息安全管理體系組織應(yīng)

a）執(zhí)行監(jiān)控程序與其他操縱措施以

1）實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤

2）及時(shí)識(shí)別失敗與成功的安全破壞與事故

3）能夠使管理層確定分派給員工的或者通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目

標(biāo)

4）確定解決安全破壞的行動(dòng)是否反映了運(yùn)營(yíng)的優(yōu)先級(jí)。

b）進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審包含符合安全方針與目標(biāo)及安全操縱措施的

評(píng)

審考慮安全評(píng)審的結(jié)果、事故、來(lái)自所有利益有關(guān)方的建議與反饋

c）評(píng)審殘余風(fēng)險(xiǎn)與可同意風(fēng)險(xiǎn)的水平考慮下列方面的變化

1）組織

2）技術(shù)

3）業(yè)務(wù)目標(biāo)與過(guò)程

4）識(shí)別威脅及

5）外部事件如法律、法規(guī)的環(huán)境發(fā)生變化或者社會(huì)環(huán)境發(fā)生變化。

d）在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。

e）經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審至少每年評(píng)審一次以保證信息安全管理體系的范圍

仍

然足夠在信息安全管理體系過(guò)程中的改進(jìn)措施已被識(shí)別見(jiàn)信息安全管理體系的管理評(píng)審

a）實(shí)施已識(shí)別的關(guān)于信息安全管理體系的改進(jìn)措施

b）采取合適的糾正與預(yù)防措施[見(jiàn)7.2與7.3].應(yīng)用從其他組織的安全經(jīng)驗(yàn)與組織內(nèi)學(xué)

到的知識(shí)。

c）溝通結(jié)果與行動(dòng)并得到所有參與的有關(guān)方的同意。

d）確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。5.3信息安全管理體系的管理評(píng)審管理層應(yīng)按策

劃的時(shí)間間隔評(píng)審組織的信息安全管理體系以確保其持續(xù)的適宜性、充分性與有效

性。評(píng)審應(yīng)包含評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)與變更的需要包含安全方針與安全目標(biāo)。

評(píng)審的

結(jié)果應(yīng)清晰地文件化應(yīng)保持管理評(píng)審的紀(jì)錄。5.3.1評(píng)審輸入管理評(píng)審的輸入應(yīng)包含下

列方面的信息

a）信息安全管理體系審核與評(píng)審的結(jié)果

b）有關(guān)方的反饋

c）能夠用于組織改進(jìn)其信息安全管理體系績(jī)效與有效性的技術(shù)產(chǎn)品或者程序

d）預(yù)防與糾正措施的狀況

e）往常風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或者威脅

f）以往管理評(píng)審的跟蹤措施

g）任何可能影響信息安全管理體系的變更

h）改進(jìn)的建議。5.3.2評(píng)審輸出管理評(píng)審的輸出應(yīng)包含下列方面有關(guān)的任何決定與措

施

a）對(duì)信息安全管理體系有效性的改進(jìn)

b）修改影響信息安全的程序必要時(shí)回應(yīng)內(nèi)部或者外部可能影響信息安全管理體系的事件

包含

下列的變更

1業(yè)務(wù)要求

2安全要求

3業(yè)務(wù)過(guò)程影響現(xiàn)存的業(yè)務(wù)要求

4法規(guī)或者法律環(huán)境

5風(fēng)險(xiǎn)的等級(jí)與/或者可同意風(fēng)險(xiǎn)的水平

c）資源需求。5.3.3內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信

息安全管理體系審核以確定信息安全管理體系的操縱目標(biāo)、

操縱措施、過(guò)程與程序是否

c）被有效地實(shí)施與保護(hù)

d）達(dá)到預(yù)想的績(jī)效。

任何審核活動(dòng)應(yīng)策劃策劃應(yīng)考慮過(guò)程的狀況與重要性審核的范圍與前次審核的結(jié)果。應(yīng)確

定

審核的標(biāo)準(zhǔn)范圍頻次與方法。選擇審核員及進(jìn)行審核應(yīng)確保審核過(guò)程的客觀與公正。審核

員不應(yīng)審

核他們自己的工作。

應(yīng)在一個(gè)文件化的程序中確定策劃與實(shí)施審核報(bào)告結(jié)果與保護(hù)記錄［見(jiàn)4.3.3］的責(zé)任及要求。

負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒(méi)有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。

改

進(jìn)措施應(yīng)包含驗(yàn)證采取的措施與報(bào)告驗(yàn)證的結(jié)果［見(jiàn)條款7］。6信息安全管理體系改進(jìn)

6.1持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正與

預(yù)防措施與管理評(píng)審

的信息持續(xù)改進(jìn)信息安全管理體系的有效性。6.2糾正措施組織應(yīng)確定措施以消除與實(shí)

施與運(yùn)行信息安全管理體系有關(guān)的不合格的原因防止不合格的再發(fā)生。應(yīng)為糾正措施編制形

成文件的程序確定下列的要求

a）識(shí)別實(shí)施與/或者運(yùn)行信息安全管理體系中的不合格

b）確定不合格的原因

c）評(píng)價(jià)確保不合格不再發(fā)生的措施的需求

d）確定與實(shí)施所需的糾正措施

e）記錄所采取措施的結(jié)果

f）評(píng)審所采取的糾正措施。6.3預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)

生。預(yù)防措施應(yīng)于潛在問(wèn)題的影響程度相習(xí)慣。應(yīng)為

預(yù)防措施編制形成文件的程序以規(guī)定下列方面的要求

a）識(shí)別潛在的不合格及引起不合格的原因

b）確定與實(shí)施所需的預(yù)防措施

c）記錄所采取措施的結(jié)果

d）評(píng)價(jià)所采取的預(yù)防措施

e）識(shí)別已變更的風(fēng)險(xiǎn)與確保注意力關(guān)注在重大的已變更的風(fēng)險(xiǎn)。

糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。

上述曾介紹過(guò)的需進(jìn)行適用性聲明。下列將全面介紹十大領(lǐng)域的操縱措施。7.1安全方針

7.1.1信息安全方針1.信息安全方針文件方針文件應(yīng)得到管理者批準(zhǔn)并以適當(dāng)?shù)姆绞?/p>

公布、傳達(dá)到所有員工。該文件應(yīng)該闡明管理者對(duì)實(shí)

行信息安全的承諾并陳述組織管理信息安全的方法它至少應(yīng)該包含下列幾個(gè)部分

信息安全的定義其總體目標(biāo)與范圍與其作為信息共享的安全機(jī)制的重要性見(jiàn)引言

申明支持信息安全目標(biāo)與原則的管理意向

對(duì)組織有重大意義的安全方針、原則、標(biāo)準(zhǔn)與符合性要求的簡(jiǎn)要說(shuō)明比如陽(yáng)蝴合同的要

求

安全教育的要求

對(duì)計(jì)算機(jī)病毒與其他惡意軟件的防范與檢測(cè)

可持續(xù)運(yùn)營(yíng)的管理

違反安全方針的后果

對(duì)信息安全管理的總體與具體責(zé)任的定義包含匯報(bào)安全事故

提及支持安全方針的文件如特定信息系統(tǒng)的更加全面的安全方針與程序或者用戶應(yīng)該遵守

的安

全規(guī)定。

本方針應(yīng)以恰當(dāng)、易得、易懂的方式向單位的預(yù)期使用者進(jìn)行傳達(dá)。7.1.2評(píng)審與鑒定方

針應(yīng)有專人按照既定的評(píng)審程序負(fù)責(zé)它的保持與評(píng)審。該程序應(yīng)確保任何影響原始風(fēng)險(xiǎn)評(píng)估根

據(jù)

的變化都會(huì)得到相應(yīng)的評(píng)審如重大的安全事故、新的脆弱性、組織基礎(chǔ)結(jié)構(gòu)或者技術(shù)基礎(chǔ)

設(shè)施的變化。

同樣應(yīng)對(duì)下列各項(xiàng)進(jìn)行有計(jì)劃的、定期的評(píng)審

a方針的有效性可通過(guò)記錄在案的安全事故的性質(zhì)、數(shù)量與所造成的影響來(lái)論證

b對(duì)運(yùn)營(yíng)效率進(jìn)行操縱的成本與效果

c技術(shù)變化所造成的影響

目標(biāo)為信息安全提供管理指導(dǎo)與支持。

管理者應(yīng)該制定一套清晰的指導(dǎo)方針并通過(guò)在組織內(nèi)對(duì)信息安全方針的公布與保持來(lái)證明對(duì)

信

目標(biāo)在組織內(nèi)部管理信息安全。

應(yīng)建立管理框架在組織內(nèi)部開(kāi)展與操縱信息安全的實(shí)施。

應(yīng)該建立具有管理權(quán)的適當(dāng)?shù)男畔踩芾砦瘑T會(huì)來(lái)批準(zhǔn)信息安全方針、分配安全職責(zé)

并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。如有必要應(yīng)在組織內(nèi)建立提供信息安全建議的專家

小組并使其有效。應(yīng)建立與組織外部安全專家的聯(lián)系以跟蹤行業(yè)趨勢(shì)監(jiān)督安全標(biāo)準(zhǔn)

與評(píng)估方法并在處理安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)渠道。另外應(yīng)鼓勵(lì)多學(xué)科的信息安全

方法的進(jìn)展如韁＜睬行E娟酮梭楮靜員于保安人員以

及行業(yè)專家如保險(xiǎn)與風(fēng)險(xiǎn)管理領(lǐng)域之間的協(xié)作。

1.信息安全管理委員會(huì)

信息安全是管理團(tuán)隊(duì)中所有成員共同的職務(wù)責(zé)任。因此應(yīng)考慮建立信息安全委員會(huì)以確保為信

息安

全的啟動(dòng)工作提供明確的指導(dǎo)與明顯的管理支持。該委員會(huì)應(yīng)該在組織內(nèi)部通過(guò)適當(dāng)?shù)某兄Z與

提供充足

的資源來(lái)促進(jìn)安全工作。信息安全管理委員會(huì)能夠作為現(xiàn)有管理團(tuán)體的一部分所承擔(dān)的職責(zé)

要緊有

評(píng)審與批準(zhǔn)信息安全方針與總體職責(zé)

監(jiān)督信息資產(chǎn)面臨重大威脅時(shí)所暴露出的重大變化

評(píng)審與監(jiān)督信息安全事故

批準(zhǔn)加強(qiáng)信息安全的主動(dòng)行為。

應(yīng)有一名經(jīng)理負(fù)責(zé)與安全有關(guān)的所有行為。

2.信息安全的協(xié)作問(wèn)題

在較大的組織內(nèi)部有必要成立由各有關(guān)部門的管理代表構(gòu)成的跨部門的信息安全委員會(huì)以

合作

實(shí)施信息安全的操縱措施。它的要緊功能有

批準(zhǔn)組織內(nèi)關(guān)于信息安全的具體任務(wù)與責(zé)任

批準(zhǔn)信息安全方面的具體方法與程序如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng)

批準(zhǔn)與支持全組織范圍的信息安全問(wèn)題的提議如安全意識(shí)培訓(xùn)

確保安全問(wèn)題是信息設(shè)計(jì)過(guò)程的一部分

評(píng)估新系統(tǒng)或者服務(wù)在信息安全操縱實(shí)施方面的充分程度與協(xié)作情況

評(píng)審信息安全事故

提高全組織對(duì)信息安全的支持程度。

3.信息安全責(zé)任分配

保護(hù)單獨(dú)的資產(chǎn)與實(shí)施具體的安全過(guò)程的職責(zé)應(yīng)該給予明確定義。

信息安全方針見(jiàn)上述條款應(yīng)該為組織內(nèi)部信息安全任務(wù)與責(zé)任的分配提供總體的指導(dǎo)。必

要時(shí)

針對(duì)具體的地點(diǎn)、系統(tǒng)與服務(wù)應(yīng)對(duì)此方針作更全面的補(bǔ)充。對(duì)由各項(xiàng)有形資產(chǎn)與信息資產(chǎn)與

安全程

序所在方承擔(dān)的責(zé)任如可持續(xù)運(yùn)營(yíng)計(jì)劃應(yīng)清晰定義。

在許多組織中會(huì)任命一名信息安全經(jīng)理來(lái)負(fù)責(zé)信息安全工作的開(kāi)展與實(shí)施并支持操縱措施

的鑒

別工作。

然而分配資源與實(shí)施操縱措施的責(zé)任通常由各部門經(jīng)理承擔(dān)。通常的做法是為每項(xiàng)信息資產(chǎn)

指定

專人來(lái)負(fù)責(zé)日常的安全工作。

的清晰描述是很重要的特別應(yīng)進(jìn)行下列工作

與各個(gè)系統(tǒng)有關(guān)的各類資產(chǎn)與安全過(guò)程應(yīng)給予識(shí)別與明確的定義。

各項(xiàng)資產(chǎn)或者安全過(guò)程的管理者責(zé)任應(yīng)通過(guò)審批并以文件的形式全面記錄該職責(zé)。

授權(quán)級(jí)別應(yīng)清晰定義并記錄在案。

4.信息處理設(shè)備的授權(quán)程序

關(guān)于新的信息處理設(shè)備應(yīng)建立管理授權(quán)程序應(yīng)考慮下列操縱措施

新設(shè)備應(yīng)有適當(dāng)?shù)挠脩艄芾韺徟贫葘?duì)用戶的使用目的與使用情況進(jìn)行授權(quán)。同樣應(yīng)得到負(fù)

責(zé)維

護(hù)本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準(zhǔn)以確保滿足所有有關(guān)的安全方針與要求。如有必要

應(yīng)檢查硬

件與軟件以確保與其他系統(tǒng)部件兼容注關(guān)于有些連接類型兼容也是務(wù)必的。使用個(gè)人信

息處理

設(shè)備來(lái)處理商業(yè)信息與任何必要的操縱措施應(yīng)經(jīng)授權(quán)。在工作場(chǎng)所使用個(gè)人信息處理設(shè)備可能

導(dǎo)致新

的脆弱性因此應(yīng)經(jīng)評(píng)估與授權(quán)。上述操縱措施在聯(lián)網(wǎng)的環(huán)境中尤為重要。

5.信息安全專家建議

許多組織可能需要安全專家的建議這最好由組織內(nèi)富有經(jīng)驗(yàn)的信息安全顧問(wèn)來(lái)提供。并非所

有的

組織都愿意雇用專家顧問(wèn)。因此建議組織專門指定一個(gè)人來(lái)協(xié)調(diào)組織中的知識(shí)與經(jīng)驗(yàn)以確

保一致性

并幫助做出安全決議。同時(shí)他們還應(yīng)與合適的外部顧問(wèn)保持聯(lián)系以提供自身經(jīng)驗(yàn)之外的專家

建議。信

息安全顧問(wèn)或者等同的聯(lián)絡(luò)人員的任務(wù)應(yīng)該是使用他們自己的與外部的建議為信息安全的所

有方面提供

咨詢。他們對(duì)安全威脅的評(píng)估質(zhì)量與對(duì)操縱措施的建議水平?jīng)Q定了組織的信息安全的有效性。

為使其建

議最大程度的發(fā)揮作用他們應(yīng)有權(quán)接觸組織管理層的各個(gè)方面。若懷疑出現(xiàn)安全事件或者破

壞應(yīng)盡早

的咨詢信息安全顧問(wèn)與相應(yīng)的外部聯(lián)絡(luò)人員以獲得專業(yè)指導(dǎo)與調(diào)查資源。盡管多數(shù)的內(nèi)部安

全調(diào)查通

常是在管理層的操縱下進(jìn)行的但仍能夠邀請(qǐng)安全顧問(wèn)給出建議領(lǐng)導(dǎo)或者實(shí)施調(diào)查。

6.組織間的合作

為確保在發(fā)生安全事故時(shí)能最快的采取適當(dāng)措施與獲得指導(dǎo)建議各個(gè)組織應(yīng)與執(zhí)法機(jī)關(guān)、管

理機(jī)

構(gòu)、信息服務(wù)提供機(jī)構(gòu)與電信營(yíng)運(yùn)部門保持適當(dāng)?shù)穆?lián)系。同樣也應(yīng)考慮成為安全組織與行業(yè)論

壇的成

員。

安全信息的交流應(yīng)該加以限制以確保組織的秘密信息不可能泄漏到未經(jīng)授權(quán)的人員手中。

7.信息安全審核的獨(dú)立性

信息安全方針條例制定出了信息安全的方針與職能。實(shí)施情況的審核工作應(yīng)該獨(dú)立進(jìn)行來(lái)確

保組

織規(guī)范能夠很好的反映安全方針同時(shí)是可行的與有效的。

審核工作應(yīng)由組織內(nèi)部的審核職能部門、獨(dú)立經(jīng)理人或者熟知于此種審核工作的第三方組織來(lái)

實(shí)施只要

審核人員掌握了相應(yīng)的技術(shù)與經(jīng)驗(yàn)。7.2.2第三方訪問(wèn)安全管理

目標(biāo)保證第三方訪問(wèn)組織的信息處理設(shè)備與信息資產(chǎn)時(shí)的安全性。

第三方訪問(wèn)組織內(nèi)部的信息處理設(shè)備的權(quán)限應(yīng)該受到操縱。

若有業(yè)務(wù)上需要第三方的訪問(wèn)應(yīng)對(duì)此做出風(fēng)險(xiǎn)評(píng)估來(lái)確定訪問(wèn)可能帶來(lái)的安全后后

果與對(duì)訪問(wèn)進(jìn)行的操縱需求。操縱措施應(yīng)經(jīng)雙方同意并在合同中進(jìn)行明確定義。

第三方訪問(wèn)還會(huì)涉及其他參與者。授予第三方訪問(wèn)權(quán)的合同應(yīng)該涵蓋對(duì)合法的參與

者任命與同意訪訪問(wèn)的條件。

在考慮信息外包處理時(shí)此標(biāo)準(zhǔn)能夠作為簽訂此類合同的基礎(chǔ)。

給予第三方訪問(wèn)的類型至關(guān)重要。比如通過(guò)網(wǎng)絡(luò)連接的訪問(wèn)風(fēng)險(xiǎn)與物理訪問(wèn)的風(fēng)險(xiǎn)有很大區(qū)

別。

需要考慮的訪問(wèn)類型有

a物理訪問(wèn)如訪問(wèn)辦公室計(jì)算機(jī)房文件柜等

b邏輯訪問(wèn)如訪問(wèn)組織的數(shù)據(jù)庫(kù)信息系統(tǒng)等

(2)訪問(wèn)原因

授權(quán)第三方訪問(wèn)有若干原因。比如向朗!嬲歌雁麗融就的多被授予物理與邏

輯訪問(wèn)權(quán)如

a硬件與軟件支持人員他們需要有權(quán)訪問(wèn)系統(tǒng)級(jí)或者低級(jí)的應(yīng)用程序功能。

b貿(mào)易伙伴或者合資伙伴他們之間需要交流信息訪問(wèn)信息系統(tǒng)或者共享數(shù)據(jù)庫(kù)。

若沒(méi)有充分的信息安全管理同意第三方訪問(wèn)將給信息帶來(lái)風(fēng)險(xiǎn)。因此在業(yè)務(wù)上有與第三方

接觸

的需求時(shí)則需進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定具體的操縱措施的要求。還要考慮所要進(jìn)行的訪問(wèn)類型、

信息的

價(jià)值、第三方使用的操縱措施與訪問(wèn)給組織信息的安全可能帶來(lái)的后果。

(3)現(xiàn)場(chǎng)承包方

按照合同規(guī)定能夠在現(xiàn)場(chǎng)滯留一段時(shí)間的第三方也有可能帶來(lái)安全隱患。現(xiàn)場(chǎng)第三方的例子

有硬件與軟件保護(hù)與支持人員清潔人員、送餐人員、保安與其他的外包支持服務(wù)人

員學(xué)生與其他的短期臨時(shí)工作人員顧問(wèn)

熟悉采取什么操縱措施來(lái)管理第三方對(duì)信息處理設(shè)備的訪問(wèn)是至關(guān)重要的。總的來(lái)說(shuō)在與第

三方

所簽的合同中應(yīng)反映出所有的由第三方訪問(wèn)導(dǎo)致的安全需求或者內(nèi)部的操縱措施。比如

苕篇儺

性有特殊要求的時(shí)候就要使用保密協(xié)議。

只有在實(shí)施了適當(dāng)?shù)牟倏v措施并簽訂了涵蓋連接與訪問(wèn)條件的合同之后第三方方可訪問(wèn)信息

與信

息處理設(shè)備。

1.與第三方簽約時(shí)的安全要求

涉及到第三方訪問(wèn)本組織信息處理設(shè)備的安排應(yīng)基于正式的合同。該合同應(yīng)包含或者提到安全

要求

以保證遵守本組織安全方針與安全標(biāo)準(zhǔn)。合同應(yīng)確保本組織與第三方之間沒(méi)有誤會(huì)。各個(gè)組織

應(yīng)確保供

應(yīng)商的可靠性。合同中應(yīng)該考慮如下條款

a)信息安全的總體方針

b）資產(chǎn)保護(hù)方面包含

1）保護(hù)組織資產(chǎn)包含信息與軟件在內(nèi)的程序

2）確定資產(chǎn)是否受到危害的程序如數(shù)據(jù)的丟失或者篡改

3）確保在合同截止時(shí)或者合同執(zhí)行期間某一雙方同意的時(shí)間歸還或者銷毀信息的操縱措施

4）完整性與可用性

5）對(duì)復(fù)制與泄漏信息的限制

c）對(duì)可用服務(wù)的描述

d）服務(wù)的目標(biāo)級(jí)與服務(wù)的不可同意級(jí)

e）人員調(diào)整的規(guī)定

法律體系的區(qū)別

h）知識(shí)產(chǎn)權(quán)與版權(quán)轉(zhuǎn)讓見(jiàn)操縱措施遵從性與合作成果保護(hù)

i）訪問(wèn)操縱協(xié)議包含

1）所同意的操縱方法對(duì)特殊的標(biāo)識(shí)符如用戶ID密碼的操縱與使用

2）用戶訪問(wèn)與特權(quán)的授權(quán)過(guò)程

3）要求保有一份名單用來(lái)記錄被授權(quán)使用可用服務(wù)的用戶與他們的使用權(quán)與特權(quán)

j）可驗(yàn)證的行為標(biāo)準(zhǔn)的定義、監(jiān)督與匯報(bào)

k）監(jiān)督與廢止用戶行為的權(quán)力

1）審核合同的責(zé)任或者是委任第三方來(lái)執(zhí)行審核工作

m）建立解決問(wèn)題的升級(jí)流程在適當(dāng)情況下還要考慮應(yīng)急安排

n）軟件與硬件安裝與保護(hù)責(zé)任

o）清晰的匯報(bào)結(jié)構(gòu)與業(yè)經(jīng)認(rèn)同的匯報(bào)形式

P）清晰、全面的變更管理流程

q）確保操縱措施得以實(shí)施所需的物理保護(hù)操縱與機(jī)制

r）對(duì)用戶與管理者在方法、流程與安全方面的培訓(xùn)

s）確保防范惡意軟件的操縱措施

t）匯報(bào)、通知與調(diào)查安全事故與安全破壞的安排

u）包含第三方與次承包商7.2.3委外資源管理

目標(biāo)當(dāng)把信息處理的責(zé)任委托給其他組織時(shí)要確保委外信息的安全性

委外安排時(shí)應(yīng)該在簽約方的合同中說(shuō)明信息系統(tǒng)、網(wǎng)絡(luò)與或者桌面環(huán)境方面的風(fēng)

險(xiǎn)、安全操縱與流程。

1.委外合同中的安全要求

假如組織將其全部或者部分信息系統(tǒng)、網(wǎng)絡(luò)或者桌面環(huán)境的管理與操縱任務(wù)委托給其他組織

委外的安

全要求應(yīng)在合同中加以規(guī)定并要爭(zhēng)得雙方的同意。

比如合醐噓

a如何滿足法律方面的要求如數(shù)據(jù)保護(hù)法規(guī)

b做出什么安排來(lái)確保涉及委外的各方包含次分包商能意識(shí)到各自的責(zé)任

c如何保護(hù)與監(jiān)測(cè)組織的商業(yè)資產(chǎn)的完整性與保密性

d要采取什么物理與邏輯上的操縱措施來(lái)約束與限制業(yè)經(jīng)授權(quán)的用戶對(duì)商業(yè)信息的訪問(wèn)

e在發(fā)生災(zāi)難的情況下如何維持服務(wù)的可用性

f對(duì)委外設(shè)備需要提供何種程度的物理安全

g審核權(quán)。

前面條款中的列表所給出的款項(xiàng)也應(yīng)作為合同的一部分考慮進(jìn)去。在雙方同意的安全管理計(jì)劃

中

結(jié)構(gòu)與內(nèi)容的起始點(diǎn)。7.3資產(chǎn)分類與操縱7.3.1資產(chǎn)責(zé)任1.資產(chǎn)清單資產(chǎn)清單有

助于確保進(jìn)行有效的資產(chǎn)保護(hù)其它商業(yè)目的如衛(wèi)生與安全、保險(xiǎn)或者財(cái)務(wù)資產(chǎn)管理

原因同樣需要資產(chǎn)清單。編制資產(chǎn)清單的過(guò)程是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要方面。組織需要識(shí)別其資

產(chǎn)及這些

資產(chǎn)的相對(duì)價(jià)值與重要性?；谶@些信息組織能夠繼而提供與資產(chǎn)的價(jià)值與重要性相符的保

護(hù)等級(jí)。

應(yīng)該編制并保持與每一信息系統(tǒng)有關(guān)的重要資產(chǎn)的清單。應(yīng)該清晰識(shí)別每項(xiàng)資產(chǎn)、其擁有權(quán)、

經(jīng)同意與

記錄為文件的安全分級(jí)見(jiàn)5.2與資產(chǎn)現(xiàn)在的位置當(dāng)試圖從丟失與損壞狀態(tài)恢復(fù)時(shí)是重要

的。與

信息系統(tǒng)有關(guān)的資產(chǎn)的例子

a信息資產(chǎn)數(shù)據(jù)庫(kù)與數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作與支持程序、持續(xù)

性計(jì)劃、

備用系統(tǒng)安排、存檔信息

b軟件資產(chǎn)應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具與有用程序

c有形資產(chǎn)計(jì)算機(jī)設(shè)備處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器通信設(shè)備路由器、

數(shù)字

程控交換機(jī)、傳真機(jī)、應(yīng)答機(jī)磁媒體磁帶與軟盤其他技術(shù)裝備電源空調(diào)設(shè)備家具

與住所

d服務(wù)計(jì)算與通信服務(wù)通用設(shè)備如供暖照明電力與空調(diào)等。7.3.2信息分類1.

分類原則

信息分類與相應(yīng)的保護(hù)操縱措施應(yīng)該考慮共享或者限制信息的商業(yè)要求與與這些要求有關(guān)的

商業(yè)

影響如對(duì)信息未經(jīng)授權(quán)的訪問(wèn)或者損壞。通常而言對(duì)信息分類是決定如何處理與保護(hù)此信

息的一條捷

徑。

來(lái)自處理機(jī)密性數(shù)據(jù)之系統(tǒng)的信息與輸出應(yīng)該按照其對(duì)組織的價(jià)值與敏感性進(jìn)行標(biāo)示。按照信

息對(duì)

目標(biāo)保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。

應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。

資產(chǎn)責(zé)任有助于確保對(duì)資產(chǎn)保持適當(dāng)?shù)谋Ｗo(hù)。應(yīng)該為所有重要資產(chǎn)指定所有人并應(yīng)該分

配對(duì)其保持適當(dāng)操縱措施的責(zé)任。實(shí)施操縱措施的職責(zé)能夠委托。責(zé)任應(yīng)由指定的資產(chǎn)所有人

承擔(dān)。

目標(biāo)確保信息資產(chǎn)受到適當(dāng)級(jí)別的保護(hù)

應(yīng)該對(duì)信息進(jìn)行分類以指明要求、優(yōu)先性與保護(hù)等級(jí)。

信息具有不一致程度的敏感性與重要性。一些項(xiàng)目可能需要額外級(jí)別的保護(hù)與特殊處理。應(yīng)

息已經(jīng)被公開(kāi)時(shí)信息通常就不再是敏感的或者重要的。應(yīng)該考慮到這些方面由于過(guò)高的保

密級(jí)別能夠

導(dǎo)致不必要的額外的商業(yè)支出。分類原則應(yīng)該預(yù)見(jiàn)并顧及到一個(gè)事實(shí)及對(duì)任何特定信息的分

類都沒(méi)有

必要始終不變并能夠根據(jù)一些預(yù)定的方針變化。

應(yīng)該考慮劃分類別的數(shù)量與對(duì)其使用所帶來(lái)的益處。過(guò)于復(fù)雜的分類方案可能造成使用上的煩

惱

與不經(jīng)濟(jì)或者被證明為不切合實(shí)際。在解釋來(lái)自其他組織的文件上的分類標(biāo)簽時(shí)應(yīng)該小心他

們對(duì)相同或者

相似名字的標(biāo)簽可能有不一致的定義。

對(duì)一項(xiàng)信息如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或者磁盤的分類進(jìn)行定義與對(duì)該分類定期評(píng)審的

責(zé)任

應(yīng)該保留給數(shù)據(jù)的創(chuàng)始者或者指定的信息所有人。

2.信息的標(biāo)示與處理

重要的是根據(jù)組織所使用的分類方案為信息的標(biāo)示與處理定義一套合適的程序。這些程序必

須包含以物理或者電子形式存在的信息資產(chǎn)。對(duì)每一信息類別應(yīng)該定義處理程序包含下列

種類的

信息處理活動(dòng)

a復(fù)制

b存儲(chǔ)

c以郵件、傳真與電子郵件傳送

d以口頭方式包含移動(dòng)電話、語(yǔ)音郵件、答錄機(jī)傳送

e銷毀。

含有被劃分為敏感或者重要信息之系統(tǒng)的輸出應(yīng)該使用適當(dāng)?shù)姆诸悩?biāo)示在輸出上。該標(biāo)示

應(yīng)該反映

根據(jù)上述分類原則建立的規(guī)則所做的分類。應(yīng)考慮的項(xiàng)目包含打印報(bào)告、屏幕顯示、記錄了信

息的媒體

磁帶、磁盤、光盤、盒式磁帶電子信息與文件傳送。

物理標(biāo)示通常是最合適的標(biāo)示形式。然而一些信息資產(chǎn)如電子形式的文件就不能進(jìn)行物理

標(biāo)

示而需要使用電子方法標(biāo)示。7.4人員安全7.4.2崗位定義與資源分配的安全

目標(biāo)降低人為錯(cuò)誤、盜竊、詐騙或者誤用設(shè)備的風(fēng)險(xiǎn)。

應(yīng)該在新員工聘用階段就提出安全責(zé)任問(wèn)題包含在聘用合同中同時(shí)在員工的雇傭期間進(jìn)

行監(jiān)督。

應(yīng)該對(duì)可能的新員工進(jìn)行充分的篩選特別是從事敏感工作的員工。所有雇員與信息處理

設(shè)施的第三方用戶都應(yīng)該簽署保密不泄密協(xié)議。

1.崗位責(zé)任中的安全

安全任務(wù)與責(zé)任如同在組織的信息安全方針中規(guī)定的見(jiàn)3.1應(yīng)該在適當(dāng)?shù)那闆r下形成文

件。

這些任務(wù)與責(zé)任既應(yīng)該包含實(shí)現(xiàn)或者保持安全方針的任何通常責(zé)任又應(yīng)該包含保護(hù)特定資產(chǎn)

或者執(zhí)行特定

的安全過(guò)程或者活動(dòng)的任何具體責(zé)任。

a具有令人滿意的能力、人品推薦材料如針對(duì)工作或者針對(duì)個(gè)人的

b應(yīng)聘者有關(guān)閱歷的檢查針對(duì)完整性與準(zhǔn)確性

c聲稱的學(xué)術(shù)或者專業(yè)資格的確認(rèn)

d獨(dú)立的身份檢查護(hù)照或者類似證件。

不管是初次任命還是提升當(dāng)一項(xiàng)工作涉及的人員具有訪問(wèn)信息處理設(shè)備的機(jī)會(huì)特別是假如

這些

設(shè)備處理敏感信息如財(cái)務(wù)信息或者高度機(jī)密的信息時(shí)組織應(yīng)該同樣進(jìn)行信用檢查。關(guān)于處

在有相當(dāng)權(quán)

力位置的人員這種檢查應(yīng)該定期重復(fù)。

關(guān)于合同方與臨時(shí)員工應(yīng)該執(zhí)行相似的篩選程序。若這些人員是由代理機(jī)構(gòu)推薦的則在與代

理機(jī)

構(gòu)簽訂的合同中應(yīng)該明確規(guī)定該代理機(jī)構(gòu)的篩選責(zé)任與假如沒(méi)有完成篩選工作或者者假如有

理由對(duì)篩選

結(jié)果懷疑或者擔(dān)心它們務(wù)必遵循的通知程序。

管理層應(yīng)該對(duì)有權(quán)訪問(wèn)敏感系統(tǒng)的新員工與缺乏經(jīng)驗(yàn)的員工的監(jiān)督工作進(jìn)行評(píng)價(jià)。每一名員工

的工

作都應(yīng)該定期通過(guò)一名更高層職員的評(píng)審與批準(zhǔn)程序。

各經(jīng)理應(yīng)該意識(shí)到員工的個(gè)人環(huán)境能夠影響他們的工作。個(gè)人或者財(cái)政問(wèn)題、行為或者生活方

式的改變、

重復(fù)的缺勤與壓力或者抑郁可能導(dǎo)致欺詐、偷竊、錯(cuò)誤或者其他安全隱患。應(yīng)該根據(jù)相應(yīng)權(quán)限

范圍內(nèi)適當(dāng)

的規(guī)定來(lái)處理這類信息。

2.保密協(xié)議

保密或者不泄密協(xié)議用于告知信息是保密的或者秘密的。雇員通常應(yīng)該簽署此類協(xié)議作為他們

受雇的先

決條件。

應(yīng)該要求現(xiàn)存合同含保密協(xié)議尚未包含的臨時(shí)員工與第三方用戶在被給予信息處理設(shè)備訪

問(wèn)權(quán)

之前簽署一個(gè)保密協(xié)議。

在雇用條款或者合同發(fā)生變化時(shí)特別是員工要離開(kāi)組織或者合同將到期時(shí)應(yīng)該對(duì)保密協(xié)議

進(jìn)行評(píng)審。

3.雇傭條款與條件

雇傭條款與條件應(yīng)該闡明雇員對(duì)信息安全的責(zé)任。適當(dāng)時(shí)在雇傭結(jié)束后這些責(zé)任應(yīng)該繼續(xù)

一定

的時(shí)間。應(yīng)該包含假如雇員無(wú)視安全要求時(shí)所采取的行動(dòng)。

雇員的法律責(zé)任與權(quán)利如涉及到的版權(quán)法或者數(shù)據(jù)保護(hù)法應(yīng)該闡明并包含在雇傭條款與條

件中。

還應(yīng)該包含分類與管理雇主數(shù)據(jù)的責(zé)任。只要適當(dāng)雇傭條款與條件應(yīng)該說(shuō)明這些責(zé)任是延伸

到組織范

圍以外與正常工作時(shí)間以外比如在家工作時(shí)。7.4.2用戶培訓(xùn)

1.信息安全教育與培訓(xùn)

組織中所用員工與有關(guān)的第三方用戶應(yīng)該同意適當(dāng)?shù)呐嘤?xùn)同時(shí)根據(jù)組織方針與程序的變化定

期

目標(biāo)確保用戶意識(shí)到信息安全的威脅與利害關(guān)系并具有在日常工作過(guò)程中支持組織安全方

針的能力。

息處理設(shè)備如登錄程序、軟件包的使用的培訓(xùn)。7.4.3安全事故與故障的響應(yīng)

目標(biāo)盡量減小安全事故與故障造成的缺失唱簿鐘殿圳

影響安全的事故應(yīng)該盡快通過(guò)適當(dāng)?shù)墓芾砬缊?bào)告。

應(yīng)使所有雇員與簽約人明白可能影響組織資產(chǎn)安全的不一致種類事故安全事故、威

脅、弱點(diǎn)或者故障的各類報(bào)告程序。

應(yīng)該要求他們以最快的速度把任何看到的或者懷疑的事故報(bào)告給指定的聯(lián)絡(luò)人。組織

應(yīng)該建立正式的懲處程序以處理破壞安全的員工。為妥當(dāng)?shù)奶幚硎鹿视斜匾谑鹿拾l(fā)

生后盡快收集證據(jù)。

1.報(bào)告安全事故

安全事故應(yīng)該盡快通過(guò)適當(dāng)?shù)墓芾砬缊?bào)告。

應(yīng)該建立正式的報(bào)告程序同時(shí)建立事故響應(yīng)程序闡明接到事故報(bào)告后所采取的行動(dòng)。應(yīng)該

使所

有員工與簽約方明白報(bào)告安全事故的程序并應(yīng)該要求他們盡快報(bào)告此類事故。應(yīng)該在事故被

處理完并

關(guān)閉后執(zhí)行適當(dāng)?shù)姆答伋绦蛞源_保那些報(bào)告的事故被通告了結(jié)果。這些事故能夠用于用戶

安全意識(shí)

培訓(xùn)作為會(huì)發(fā)生什么事故、對(duì)此類事故如何響應(yīng)、與將來(lái)如何避免的例子。

2.報(bào)告安全弱點(diǎn)

應(yīng)該要求信息服務(wù)的用戶記錄并報(bào)告任何看到的或者懷疑的系統(tǒng)或者服務(wù)的安全弱點(diǎn)或者對(duì)它

們的威脅。

他們應(yīng)該盡快把這些問(wèn)題向他們的管理層或者直接向服務(wù)提供者報(bào)告。應(yīng)該告知用戶在任何

情況下他

們都不應(yīng)該試圖驗(yàn)證一個(gè)懷疑的弱點(diǎn)。這是為了保護(hù)他們自己由于測(cè)試弱點(diǎn)可能被認(rèn)為是濫

用系統(tǒng)。

3.報(bào)告軟件故障

應(yīng)該建立報(bào)告軟件故障的程序應(yīng)該考慮下列行為。

a應(yīng)該記錄下問(wèn)題的征兆與任何顯示在屏幕上的信息。

b假如可能計(jì)算機(jī)應(yīng)被隔離并停止對(duì)其的使用。應(yīng)該立即警告適當(dāng)?shù)穆?lián)絡(luò)人。假如要檢查

設(shè)備

應(yīng)在重新啟用前將其與組織的所有網(wǎng)絡(luò)斷開(kāi)。軟盤不應(yīng)該用于其他計(jì)算機(jī)。

c該事故應(yīng)該立即報(bào)告給信息安全經(jīng)理。

除非被授權(quán)用戶不應(yīng)該試圖刪除有疑問(wèn)的軟件。應(yīng)該由通過(guò)適當(dāng)培訓(xùn)并有經(jīng)驗(yàn)的員工執(zhí)行恢

復(fù)工

作。

4.從事故中學(xué)習(xí)

應(yīng)該有在用的機(jī)制以使事故與故障的種類、數(shù)量與缺失能夠被量化與監(jiān)督。這類信息應(yīng)該用于

識(shí)別

重發(fā)或者有重大影響的事故與故障。這能夠說(shuō)明增強(qiáng)或者增加操縱措施的必要性以限制將來(lái)

事故發(fā)生的頻

率、損壞程度與缺失或者者在安全方針評(píng)審過(guò)程見(jiàn)3.1.2中加以考慮。

5.懲處程序

針對(duì)違反組織安全方針與程序的雇員應(yīng)該有正式的懲處程序。此程序?qū)Σ蝗豢赡軣o(wú)視安全方針

的雇

關(guān)鍵或者敏感的商業(yè)信息處理設(shè)備應(yīng)該放置在安全區(qū)域由規(guī)定的安全防護(hù)帶適當(dāng)?shù)陌踩?/p>

屏障與入口操縱保護(hù)。這些設(shè)備應(yīng)該被物理保護(hù)防止未授權(quán)的訪問(wèn)、破壞與干擾。

所提供的保護(hù)應(yīng)該與被確認(rèn)的風(fēng)險(xiǎn)相當(dāng)。建議使用清空桌面與清屏方針以降低對(duì)文件、媒

體與信息處理設(shè)備的未經(jīng)授權(quán)的訪問(wèn)或者破壞的風(fēng)險(xiǎn)。

1.物理安全防護(hù)帶

物理保護(hù)能夠通過(guò)在商業(yè)場(chǎng)所與信息處理設(shè)備周圍設(shè)置若干物理屏障達(dá)到。每個(gè)屏障形成一個(gè)

安全

防護(hù)帶每個(gè)防護(hù)帶都增強(qiáng)所提供的整體防護(hù)。組織應(yīng)該使用安全防護(hù)帶來(lái)保護(hù)放置信息處理

設(shè)備見(jiàn)

7.1.3的區(qū)域。安全防護(hù)帶是構(gòu)建屏障的東西如墻、進(jìn)門的操縱卡或者有人職守的接待臺(tái)。

每個(gè)屏障的

位置與強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。

適當(dāng)情況下應(yīng)該考慮下述原則與操縱措施

a安全防護(hù)帶應(yīng)該明確規(guī)定。

b放置信息處理設(shè)備的建筑物或者場(chǎng)所的防護(hù)帶在物理上應(yīng)該是的牢固的比如荏聲帶文者

安全區(qū)

域不應(yīng)該有能夠輕易闖入的缺口。場(chǎng)所的外墻應(yīng)該是牢固的建筑物所有的外門應(yīng)該被適當(dāng)

保護(hù)

防止未經(jīng)授權(quán)的訪問(wèn)如操縱機(jī)制、柵欄、警鈴、鎖等。

c應(yīng)該設(shè)置有人職守的接待區(qū)或者其他方法對(duì)場(chǎng)所或者建筑物操縱物理訪問(wèn)。對(duì)場(chǎng)所與建筑

物的訪問(wèn)應(yīng)

該僅限于經(jīng)授權(quán)的人員。

d如有必要物理屏障應(yīng)從地板延伸到天花板以防止未經(jīng)授權(quán)的進(jìn)入與由諸如火災(zāi)與水災(zāi)引

起的

環(huán)境污染。

e安全防護(hù)帶的所有防火門應(yīng)具報(bào)警功能并用力關(guān)緊。

2.物理進(jìn)入操縱措施

安全區(qū)應(yīng)該通過(guò)適當(dāng)?shù)倪M(jìn)入操縱措施保護(hù)以確保只有經(jīng)授權(quán)的人員能夠進(jìn)入應(yīng)考慮下列的

操縱

措施

a安全區(qū)的訪問(wèn)者應(yīng)該被監(jiān)督或者經(jīng)批準(zhǔn)同時(shí)應(yīng)該記錄他們進(jìn)入與離開(kāi)的日期與時(shí)間。他

們應(yīng)該僅

被同意訪問(wèn)特定的、經(jīng)受權(quán)的目標(biāo)并應(yīng)該發(fā)給他們關(guān)于安全區(qū)域要求與應(yīng)急程序的說(shuō)明。

b對(duì)敏感信息與信息處理設(shè)備的訪問(wèn)應(yīng)被操縱并僅限于經(jīng)受權(quán)的人。鑒別操縱措施如帶個(gè)

人身份

號(hào)碼的掃描卡應(yīng)被用于所有訪問(wèn)的授權(quán)與驗(yàn)證。應(yīng)該安全的保持所有訪問(wèn)的審計(jì)線索。

C應(yīng)該要求所有員工穿戴某種明顯的身份標(biāo)志并鼓勵(lì)向沒(méi)有陪伴的陌生人與沒(méi)有穿帶明顯

身份標(biāo)

志的任何人盤問(wèn)。

d對(duì)安全區(qū)的訪問(wèn)權(quán)應(yīng)該定期評(píng)審并更新。

3.保護(hù)辦公室、房間與設(shè)備的安全

安全區(qū)可能是上鎖的辦公室或者物理安全防護(hù)帶中的若干房間這些房間能夠被鎖住同時(shí)可能

存放有

何安全威脅如來(lái)自其他區(qū)域的水泄漏。

應(yīng)該考慮下列操縱措施

a關(guān)鍵設(shè)備的放置應(yīng)該避免被公眾訪問(wèn)。

b建筑物應(yīng)該不引人注目并盡量少的顯示其用途建筑物內(nèi)外沒(méi)有說(shuō)明存在信息處理活動(dòng)的

明顯

標(biāo)志。

c輔助功能與設(shè)備如影印機(jī)、傳真機(jī)應(yīng)該被妥當(dāng)?shù)姆胖迷诎踩珔^(qū)內(nèi)以避免能夠危害信息安

全的

訪問(wèn)需求。

d無(wú)人看管時(shí)門窗應(yīng)該上鎖應(yīng)該考慮對(duì)窗戶特別是地面層窗戶的外部保護(hù)。

e應(yīng)該在所有的外門與能夠出入的窗戶按專業(yè)標(biāo)準(zhǔn)安裝入侵監(jiān)測(cè)系統(tǒng)并定期測(cè)試。無(wú)人區(qū)應(yīng)

該時(shí)刻

保持警戒狀態(tài)。應(yīng)該同樣為其它區(qū)域提供保護(hù)如計(jì)算機(jī)房或者通信機(jī)房。

f由組織管理的信息處理設(shè)備應(yīng)該與第三方管理的信息處理設(shè)備從物理上隔離。

g顯示敏感信息處理設(shè)備位置的目錄與內(nèi)部電話本不應(yīng)該輕易地被公眾獲取。

h危險(xiǎn)或者易燃物品應(yīng)該安全地儲(chǔ)存在與安全區(qū)保持安全距離的地方。大宗消耗品如文具除

非必要否

則不應(yīng)該存放在安全區(qū)。

i備用設(shè)備與備份媒體的放置應(yīng)該與主場(chǎng)地保持安全的距離以避免因主場(chǎng)地的災(zāi)害造成毀

壞。

4.在安全區(qū)內(nèi)工作

可能需要額外的操縱措施與指導(dǎo)原則來(lái)加強(qiáng)安全區(qū)域的安全性。這包含對(duì)在安全區(qū)內(nèi)工作的員

工與

第三方人員與發(fā)生在安全區(qū)的第三方活動(dòng)的操縱措施。應(yīng)該考慮下列操縱措施

a只有在有必要明白的情況下員工才應(yīng)該明白安全區(qū)的存在或者其內(nèi)的活動(dòng)。

b為安全原因與防止產(chǎn)生惡意活動(dòng)的機(jī)會(huì)在安全區(qū)內(nèi)應(yīng)該避免無(wú)人監(jiān)督的工作。

c空閑的安全區(qū)應(yīng)該上鎖并定期檢查。

d第三方服務(wù)支持人員只有在必要時(shí)才應(yīng)該被同意有限制的訪問(wèn)安全區(qū)或者敏感信息處理設(shè)

備。這種

訪問(wèn)應(yīng)該通過(guò)授權(quán)并同意監(jiān)督。在安全防護(hù)帶內(nèi)具有不一致安全要求的區(qū)域之間可能需要操縱

物理

訪問(wèn)的額外的屏障與防護(hù)帶。

e除非經(jīng)授權(quán)不應(yīng)該同意使用照相、錄像、錄音或者其他記錄設(shè)備。5.隔離交接區(qū)交

接區(qū)應(yīng)予以操縱女帝能嗡謔隔離以腐崎覲朔止螭安凄

求應(yīng)該由風(fēng)險(xiǎn)評(píng)估決定。應(yīng)該考慮下列操縱措施

a從建筑物外對(duì)接貨區(qū)的訪問(wèn)應(yīng)限于經(jīng)確認(rèn)與授權(quán)的人。

b應(yīng)將接貨區(qū)設(shè)計(jì)成送貨員能夠卸貨卻無(wú)法得到訪問(wèn)建筑物其它部分的權(quán)利。

c當(dāng)接待區(qū)的內(nèi)門打開(kāi)時(shí)外門應(yīng)該是安全的。

d進(jìn)入的物品在從接貨區(qū)轉(zhuǎn)移到使用地點(diǎn)之前應(yīng)該同意檢查以防止?jié)撛诘奈ｋU(xiǎn)。

應(yīng)該在物理上保護(hù)設(shè)備免受安全威脅與環(huán)境危害。有必要保護(hù)設(shè)備包含場(chǎng)所外使用的

以降低對(duì)數(shù)據(jù)未經(jīng)受權(quán)訪問(wèn)的風(fēng)險(xiǎn)與防止丟失或者損壞。還應(yīng)該考慮設(shè)備的放置與布局。特殊

的操縱措施可能是必要的以防止危害或者未經(jīng)授權(quán)的訪問(wèn)并保護(hù)輔助設(shè)施如電力與電纜設(shè)

施。

1.設(shè)備放置與保護(hù)

應(yīng)該放置或者保護(hù)設(shè)備以降低環(huán)境威脅與危害造成的風(fēng)險(xiǎn)與未經(jīng)受權(quán)訪問(wèn)的機(jī)會(huì)。應(yīng)該考慮

下列

操縱措施

a設(shè)備的放置應(yīng)盡量減少對(duì)工作區(qū)不必要的訪問(wèn)。

b處理敏感數(shù)據(jù)的信息處理與存儲(chǔ)設(shè)備應(yīng)該被妥善放置以降低在使用中被忽視的風(fēng)險(xiǎn)。

c需要特殊保護(hù)的物品應(yīng)隔離放置以降低所需的總體保護(hù)等級(jí)。

d應(yīng)該采取措施以盡量降低潛在威脅的風(fēng)險(xiǎn)包含

1偷竊

2

火災(zāi)

3爆炸

4吸煙

5水或者供水故障

6灰塵

7震動(dòng)

8化學(xué)反應(yīng)

9電源干擾

10電磁輻射。

e）組織應(yīng)該考慮在信息處理設(shè)備鄰近吃東西、飲水與吸煙的方針。

f）關(guān)于可能對(duì)信息處理設(shè)備的運(yùn)行有負(fù)面影響的環(huán)境條件應(yīng)該進(jìn)行監(jiān)控。

g）特殊的保護(hù)方法如鍵盤保護(hù)膜應(yīng)該考慮配備在工業(yè)環(huán)境下。

h）應(yīng)該考慮發(fā)生在臨近區(qū)域的災(zāi)害的影響如臨近建筑物著火天花板漏水低于地平面的

地面

滲水或者臨街爆炸。

2.電力供應(yīng)

應(yīng)該保護(hù)設(shè)備以防電力中斷與其他與電有關(guān)的異態(tài)。應(yīng)該根據(jù)設(shè)備制造商的說(shuō)明提供合適的電

力。

實(shí)現(xiàn)不間斷電力的可選措施包含

a多條線路供電以避免單點(diǎn)故障

b不間斷電源UPS

c備用發(fā)電機(jī)。

關(guān)于支持關(guān)鍵商業(yè)業(yè)務(wù)的設(shè)備推薦使用不間斷電源UPS來(lái)保證設(shè)備的正常關(guān)機(jī)或者持續(xù)

運(yùn)轉(zhuǎn)。

應(yīng)急計(jì)劃應(yīng)該包含在UPS失效時(shí)所采取的行動(dòng)。UPS設(shè)備應(yīng)該定期檢查以確保其具有足夠的

電量并

按照制造商的建議測(cè)試。

另外緊急電源開(kāi)關(guān)應(yīng)位于設(shè)備室的緊急出口鄰近以MB

生故障時(shí)應(yīng)該提供應(yīng)急照明。應(yīng)該對(duì)所有建筑物應(yīng)用雷電防護(hù)并在所有外部通信線路上安

裝雷電防

護(hù)過(guò)濾器。

3.電纜安全

應(yīng)該保護(hù)傳送數(shù)據(jù)或者支持信息服務(wù)的電力與通信電纜防止竊聽(tīng)或者損壞。應(yīng)該考慮下列操

縱措施

a如有可能接入信息處理設(shè)備的電源與通信線路應(yīng)該鋪設(shè)在地下或者者采取足夠的可替代

的保護(hù)。

b應(yīng)該保護(hù)網(wǎng)絡(luò)電纜以防未經(jīng)授權(quán)的竊聽(tīng)或者損壞比如通幽酗露j避免通過(guò)公共區(qū)域。

c電力電纜應(yīng)該與通信電纜隔離以防干擾。

d關(guān)于敏感或者關(guān)鍵系統(tǒng)另外考慮的操縱措施包含

1）在監(jiān)測(cè)點(diǎn)與端點(diǎn)處安裝裝甲管道與上鎖房間或者盒子

2）使用可替換的路由選擇或者傳輸媒體

3）使用光纖電纜

4）啟用對(duì)未經(jīng)授權(quán)而聯(lián)接在電纜上的設(shè)備的掃描

4.設(shè)備保護(hù)

應(yīng)該正確的保護(hù)保護(hù)以確保其持續(xù)的可用性與完整性。應(yīng)該考慮下列操縱措施。

a設(shè)備應(yīng)該按照提供商推薦的服務(wù)周期與規(guī)定來(lái)進(jìn)行保護(hù)。

b只有經(jīng)授權(quán)的保護(hù)人員才能修理與保養(yǎng)設(shè)備。

C應(yīng)該保持所有懷疑的與確實(shí)的故障與所有預(yù)防與糾正措施的紀(jì)錄。

d在將設(shè)備送到組織外保護(hù)時(shí)應(yīng)該采取適當(dāng)?shù)牟倏v措施見(jiàn)7.2.6關(guān)于刪除、消磁與重寫

數(shù)據(jù)。

應(yīng)該遵守保險(xiǎn)單規(guī)定的所有要求。

5.場(chǎng)所外設(shè)備的安全

不管所有權(quán)如何任何在組織場(chǎng)所外用于信息處理的設(shè)備應(yīng)該經(jīng)管理層授權(quán)。考慮到在組織外

工作

的風(fēng)險(xiǎn)所提供的保護(hù)應(yīng)該等同于組織內(nèi)相同用途的設(shè)備。信息處理設(shè)備包含用于家庭工作或

者從正常工

作地點(diǎn)帶出的所有形式的個(gè)人電腦、檔案夾、移動(dòng)電話、文件或者其他的物品。應(yīng)該考慮下列

指導(dǎo)原則

a從組織帶出的設(shè)備與媒體不應(yīng)留在公共場(chǎng)所無(wú)人看管。在旅行時(shí)移動(dòng)計(jì)算機(jī)應(yīng)該如同手

提袋一

樣加以攜帶并在可能時(shí)加以掩飾。

b應(yīng)該始終遵守生產(chǎn)商對(duì)設(shè)備保護(hù)的說(shuō)明如保護(hù)設(shè)備不暴露于強(qiáng)電磁場(chǎng)。

c家庭工作的操縱措施應(yīng)該由風(fēng)險(xiǎn)評(píng)估確定并應(yīng)該采取合適的操縱措施如可上鎖的文件柜、

清

空桌面方針與對(duì)計(jì)算機(jī)的訪問(wèn)操縱。

d為保護(hù)場(chǎng)所外的設(shè)備應(yīng)該投保足值的保險(xiǎn)。

如損壞、盜竊與竊聽(tīng)的安全風(fēng)險(xiǎn)在不一致地點(diǎn)變化很大應(yīng)該在決定最合適的操縱措施時(shí)加以

考慮。

關(guān)于保護(hù)移動(dòng)設(shè)備的其他方面的更多信息可參見(jiàn)9.8.1

6.安全的處置或者再啟用設(shè)備

草率的處置或者再啟用設(shè)備能夠泄漏信息。存有敏感信息的存儲(chǔ)設(shè)備應(yīng)該從物理上被銷毀或者

安全地重

寫而不是使用標(biāo)準(zhǔn)的刪除功能。

帶有存儲(chǔ)媒體如固定硬盤的所有設(shè)備應(yīng)該被檢查以確保任何敏感數(shù)據(jù)與授權(quán)軟件在處置前

已被

7.5.3常規(guī)操縱措施目標(biāo)防止信息與信息處理設(shè)備的損壞或者被盜。

應(yīng)該保護(hù)信息與信息處理設(shè)備以防泄漏給未經(jīng)授權(quán)的人被其修改或者偷竊操縱措施應(yīng)該

到位以盡量減少缺失或者損壞。

在下章節(jié)中考慮了處理與存儲(chǔ)程序。

1.清空桌面與清屏方針

組織應(yīng)考慮對(duì)文件及可攜帶的儲(chǔ)存媒體采取清空桌面方針對(duì)信息處理設(shè)備采取清屏方針以

降低

在正常工作時(shí)間內(nèi)外信息未經(jīng)授權(quán)的訪問(wèn)丟失與損壞的風(fēng)險(xiǎn)。該方針應(yīng)考慮信息安全分類

見(jiàn)5.2

相應(yīng)的風(fēng)險(xiǎn)與組織文化的各方面。

留在桌面上的信息也有可能被諸如火災(zāi)、水災(zāi)或者爆炸的災(zāi)害損壞或者銷毀。

應(yīng)考慮下述操縱措施

a適當(dāng)情況下文件與計(jì)算機(jī)媒體在不用時(shí)特別在工作時(shí)間之外應(yīng)存放在適當(dāng)?shù)纳湘i的柜

子與

/或者其他形式的安全設(shè)備中。

b敏感或者關(guān)鍵商業(yè)信息在不使用特別是辦公室無(wú)人時(shí)應(yīng)鎖起來(lái)最好是在防火保險(xiǎn)柜或者

文件柜

中。

c個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端與打印機(jī)在無(wú)人看管時(shí)不應(yīng)處于登錄狀態(tài)。應(yīng)在不用時(shí)使用鍵

盤鎖、

□令或者其他的操縱措施加以保護(hù)。

d收發(fā)信件的地點(diǎn)與無(wú)人看管的傳真機(jī)與電傳機(jī)應(yīng)該加以保護(hù)。

e在正常工作時(shí)間之外應(yīng)將復(fù)印機(jī)加鎖或者者以其他方式防止未經(jīng)授權(quán)的使用。

f敏感或者機(jī)密信息打印完后應(yīng)該立即從打印機(jī)清除。

2.資產(chǎn)的遷移

設(shè)備、信息或者軟件未經(jīng)授權(quán)不應(yīng)帶離原場(chǎng)所。必要與合適的情況下設(shè)備應(yīng)注銷并在帶回時(shí)

再注冊(cè)。

應(yīng)進(jìn)行抽查以檢查財(cái)產(chǎn)非經(jīng)受權(quán)的移動(dòng)。應(yīng)使個(gè)人明白將抽樣檢查。7.6通信與操作管理

7.6.1操作程序與責(zé)任目標(biāo)確保對(duì)信息處理設(shè)備正確與安全的操作。

應(yīng)該建立所有信息處理設(shè)備管理與操作的責(zé)任與程序。包含制訂適當(dāng)?shù)牟僮髦改?/p>

與事故反應(yīng)程序。

適當(dāng)情況下應(yīng)實(shí)施責(zé)任劃分以降低疏忽或者有意濫用系統(tǒng)的風(fēng)險(xiǎn)。

1.文件化操作程序

程序應(yīng)該規(guī)定每項(xiàng)工作全面的執(zhí)行指導(dǎo)包含

a信息的加工與處理

b日程要求包含與其他系統(tǒng)的依存關(guān)系最早的工作開(kāi)始時(shí)間與最晚的工作完成時(shí)間

c對(duì)在工作執(zhí)行過(guò)程中出現(xiàn)的錯(cuò)誤或者其他意外情況的處理指導(dǎo)包含對(duì)系統(tǒng)功能使用的限

制

d在發(fā)生意外的操作或者技術(shù)困難時(shí)的支持聯(lián)絡(luò)

e特殊輸出處理指導(dǎo)諸如特殊文具的使用或者保密輸出的管理包含失敗作業(yè)輸出的安全處

理程序

f在系統(tǒng)失效時(shí)使用的系統(tǒng)重啟與恢復(fù)程序

與信息處理與通信設(shè)備有關(guān)的系統(tǒng)日常管理活動(dòng)也應(yīng)準(zhǔn)備文件化的程序。如計(jì)算機(jī)啟動(dòng)與關(guān)機(jī)

程序、

備份、設(shè)備保護(hù)、計(jì)算機(jī)房與信件處理的管理與安全。

2.操作的變更操縱

應(yīng)該操縱信息處理設(shè)備與系統(tǒng)的改變。對(duì)信息處理設(shè)備與系統(tǒng)變化的操縱不夠是系統(tǒng)或者安全

故障的

通常原因。應(yīng)該制訂正式的管理責(zé)任與程序以確保滿足對(duì)設(shè)備、軟件或者程序的所有改變的操

縱。對(duì)操作

程序應(yīng)該進(jìn)行嚴(yán)格的變更操縱。在程序變更時(shí)應(yīng)該保留包含所有有關(guān)信息的審計(jì)日志。操作

環(huán)境的變

化能夠影響到應(yīng)用程序。可行的情況下應(yīng)把操作與應(yīng)用的變更操縱程序整合起來(lái)。特別應(yīng)考

慮下列控

制措施

a重大變更的識(shí)別與記錄

b評(píng)估此類變更的潛在影響

c所建議更換的正式審批程序

d變更細(xì)節(jié)通知給所有有關(guān)人員

e確定中止與恢復(fù)不成功變更的