ISO中文版资料下载.pdf

1、通过技术手段可获得的安全性是有限的，宜通过适当的管理和规程给予支持。确定哪些控制措施宜实施到位需要仔细规划并注意细节。成功的信息安全管理体系需要组织所有员工的参与，还要求利益相关者、供应商或其他外部方的参与。外部方的专家建议也是需要的。就一般意义而言，有效的信息安全还可以向管理者和其他利益相关者保证，组织的资产是适当安全的，并能防范损害。因此，信息安全可承担业务使能者的角色。0.2 信息安全要求 组织识别出其安全要求是非常重要的，安全要求有三个主要来源：a）对组织的风险进行评估，考虑组织的整体业务策略与目标。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在

2、的影响；b）组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境；c）组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。实施控制措施所用资源需要根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡。风险评估的结果将帮助指导和确定适当的管理措施、管理信息安全风险以及实现所选择的用以防范这些风险的控制措施的优先级。ISO/IEC 27005 提供了信息安全风险管理的指南，包括风险评估、风险处置、风险接受、风险沟通、风险监视和风险评审的建议。0.3 选择控制措施 控制措施可以从本标准或其他控制措施集合中选择，或者当合适

3、时设计新的控制措施以满足特定需求。控制措施的选择依赖于组织基于风险接受准则、风险处置选项以及所应用的通用风险管理方法做出的决策，同时还宜遵守所有相关的国家和国际法律法规。控制措施的选择还依赖于控制措施为提供深度防御而相互作用的方式。本标准中的某些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组织。在下面的实施指南中，将更详细的解释这些控制措施。更多的关于选择控制措施和其他风险处置选项的信息见ISO/IEC 27005。0.4 编制组织的指南 本标准可作为是组织开发其详细指南的起点。对一个组织来说，本标准中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和

4、指南。为便于审核员和业务伙伴进行符合性核查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的引用可能是有用的。0.5 生命周期的考虑 信息具有自然的生命周期，从创建和产生，经存储、处理、使用和传输，到最后的销毁或衰退。资产的价值和风险可能在其生命期中是变化的（例如公司财务报表财务报表的泄露或被盗在他们被正式公布后就不那么重要了），但在某种程度上信息安全对于所有阶段而言都是非常重要的。信息系统也具有生命周期，他们被构想、指定、设计、开发、测试、实施、使用、维护，并最终退出服务进行处置。在每一个阶段最好都要考虑信息安全。新系统的开发和现有系统的变更为组织更新和改进安全控制带来了机会，可将现

5、实事件、当前和预计的信息安全风险考虑在内。0.6 相关标准 虽然本标准提供了通常适用于不同组织的大范围信息安全控制措施的指南，ISO/IEC 27000 标准族的其他部分提供了信息安全管理全过程其他方面的补充建议或要求。ISO/IEC 27000 作为信息安全管理体系和标准族的总体介绍，提供了一个词汇表，正式定义了整个ISO/IEC 27000 标准族中的大部分术语，并描述了族中每个成员的范围和目标。信息技术-安全技术-信息安全控制实用规则 1 范围 本标准为组织的信息安全标准和信息安全管理实践提供了指南，包括考虑组织信息安全风险环境前提下控制措施的选择、实施和管理。本标准可被组织用于下列目的

6、：a）在基于ISO/IEC 27001实施信息安全管理体系过程中选择控制措施；b）实施通用信息安全控制措施；c）开发组织自身的信息安全管理指南。2 规范性引用文件 下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。ISO/IEC 27000，信息技术安全技术信息安全管理体系概述和词汇 3 术语和定义 ISO/IEC 27000 中的术语和定义适用于本标准。4 本标准的结构 本标准包括 14 个安全控制措施的章节，共含有 35 个主要安全类别和 113 项安全控制措施。4.1 章节 定义安全

7、控制的每个章节含一个或多个主要安全类别。本标准中章节的顺序不表示其重要性。根据不同的环境，任何或所有章节的安全控制措施都可能是重要的，因此使用本标准的每一个组织宜识别适用的控制措施及其重要性，以及它们对各个业务过程的适用性。另外，本标准的排列没有优先顺序。4.2 控制类别 每一个主要安全控制类别包含：a）一个控制目标，声明要实现什么；b）一个或多个控制措施，可被用于实现该控制目标。控制措施的描述结构如下：控制措施 定义满足控制目标的特定的控制措施的陈述。实施指南 为支持控制措施的实施和满足控制目标，提供更详细的信息。本指南可能不能全部适用或满足所有情况，也可能不满足组织的特定控制要求。提供需要

8、考虑的进一步的信息，例如法律方面的考虑和对其他标准的引用。如果没有其他信息需要提供，将不显示本部分。其他信息 5 信息安全策略 5.1 信息安全的管理方向 目标：依据业务要求和相关法律法规提供管理方向并支持信息安全。5.1.1 信息安全策略 控制措施 信息安全策略集宜由管理者定义、批准、发布并传达给员工和相关外部方。a）业务战略；实施指南 在最高级别上，组织宜定义“信息安全方针”，由管理者批准，制定组织管理其信息安全目标的方法。信息安全方针宜解决下列方面创建的要求：b）规章、法规和合同；c）当前和预期的信息安全威胁环境。信息安全方针宜包括以下声明：a）指导所有信息安全相关活动的信息安全、目标和

9、原则的定义；b）已定义角色信息安全管理一般和特定职责的分配；c）处理偏差和意外的过程。在较低级别，信息安全方针宜由特定主题的策略加以支持，这些策略进一步强化了信息安全控制措施的执行，并且在组织内通常以结构化的形式处理某些目标群体的需求或涵盖某些主题。这些细化的策略主题包括：a）访问控制（见 9）；b）信息分类（和处理）（见 8.2）；c）物理和环境安全（见 11）；d）面向终端用户的主题，例如：1）资产的可接受使用（见 8.1.3）；2）清空桌面和清空屏幕（见 11.2.9）；3）信息传递（见 13.2.1）；4）移动设备和远程工作（见 6.2）；5）软件安装和使用的限制（见 12.6.2）；

10、e）备份（见 12.3）；f）信息传递（见 13.2）；g）恶意软件防范（见 12.2）；h）技术脆弱性管理（见 12.6.1）；i）密码控制（见 10）；j）通信安全（见 13）；k）隐私和个人可识别信息的保护（见 18.1.4）；l）供应商关系（见 15）。这些策略宜采用预期读者适合的、可访问的和可理解的形式传达给员工和相关外部方，例如在“信息安全意识、教育和培训方案”（见 7.2.2）的情况下。5.1.2 信息安全策略的评审 其他信息 信息安全内部策略的需求因组织而异。内部策略对于大型和复杂的组织而言更加有用，这些组织中，定义和批准控制预期水平的人员与实施控制措施的人员或策略应用于组织中

11、不同人员或职能的情境是隔离的。信息安全策略可以以单一 信息安全方针 文件的形式发布，或作为各不相同但相互关联的一套文件。如果任何信息安全策略要分发至组织外部，宜注意不要泄露保密信息。一些组织使用其他术语定义这些策略文件，例如“标准”、“导则”或“规则”。控制措施 信息安全策略宜按计划的时间间隔或当重大变化发生时进行评审，以确保其持续的适宜性、充分性和有效性。实施指南 每个策略宜有专人负责，他负有授权的策略开发、评审和评价的管理职责。评审宜包括评估组织策略改进的机会和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。信息安全策略评审宜考虑管理评审的结果。宜获得管理者对修订的策略的

12、批准。6 信息安全组织 6.1 内部组织 目标：建立管理框架，以启动和控制组织范围内的信息安全的实施和运行。6.1.1 信息安全角色和职责 控制措施 所有的信息安全职责宜予以定义和分配。a）宜识别和定义资产和信息安全过程；实施指南 信息安全职责的分配宜与信息安全策略（见 5.1.1）相一致。宜识别各个资产的保护和执行特定信息安全过程的职责。宜定义信息安全风险管理活动，特别是残余风险接受的职责。这些职责宜在必要时加以补充，来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特定安全过程的局部职责宜予以定义。分配有信息安全职责的人员可以将安全任务委托给其他人员。尽管如此，他们仍然负有责任，并

13、且他们宜能够确定任何被委托的任务是否已被正确地执行。个人负责的领域宜予以规定；特别是，宜进行下列工作：b）宜分配每一资产或信息安全过程的实体职责，并且该职责的细节宜形成文件（见8.1.2）；c）宜定义授权级别，并形成文件；d）能够履行信息安全领域的职责，领域内被任命的人员宜有能力，并给予他们机会，使其能够紧跟发展的潮流；e）宜识别供应商关系信息安全方面的协调和监督措施，并形成文件。6.1.2 职责分离 其他信息 在许多组织中，将任命一名信息安全管理人员全面负责信息安全的开发和实施，并支持控制措施的识别。然而，提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是为每一项

14、资产指定一名责任人负责该项资产的日常保护。控制措施 宜分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用组织资产的机会。实施指南 宜注意，在无授权或监测时，个人不能访问、修改或使用资产。事件的启动宜与其授权分离。勾结的可能性宜在设计控制措施时予以考虑。小型组织可能感到难以实现这种职责分离，但只要具有可能性和可行性，宜尽量应用该原则。如果难以分离，宜考虑其他控制措施，例如对活动、审核踪迹和管理监督的监视等。6.1.3 与政府部门的联系 其他信息 职责分离是一种减少意外或故意组织资产误用的风险的方法。控制措施 宜保持与政府相关部门的适当联系。实施指南 组织宜有规程指明什么时候与哪个

15、部门（例如，执法部门、监管机构、监督部门）联系、已识别的信息安全事件如何及时报告（例如，如果怀疑可能触犯了法律时）6.1.4 与特定利益集团的联系 其他信息 受到来自互联网攻击的组织可能需要政府部门采取措施以应对攻击源。保持这样的联系可能是支持信息安全事件管理（见 16）或业务连续性和应急计划过程（见 17）的要求。与监管机构的联系还有助于预先知道组织必须遵循的法律法规方面即将出现的变化，并为这些变化做好准备。与其他部门的联系包括公共设施、紧急服务、电力供应和健康安全（safety）部门，例如消防局（与业务连续性有关）、电信提供商（与路由和可用性有关）、供水部门（与设备的冷却设施有关）。控制措

16、施 宜保持与特定利益集团、其他安全论坛和专业协会的适当联系。a）增进关于最佳实践的知识，保持对最新相关安全信息的了解；实施指南 宜考虑成为特定利益集团或论坛的成员，以便：b）确保全面了解当前的信息安全环境；c）尽早收到关于攻击和脆弱性的预警、建议和补丁；d）获得信息安全专家的建议；e）分享和交换关于新的技术、产品、威胁或脆弱性的信息；f）提供处理信息安全事件时适当的联络点（见 16）。6.1.5 项目管理中的信息安全 其他信息 建立信息共享协议来改进安全问题的协作和协调。这种协议宜识别出保护保密信息的要求。控制措施 无论项目是什么类型，在项目管理中都宜处理信息安全问题。a）信息安全目标纳入项目

17、目标；实施指南 信息安全宜整合到组织的项目管理方法中，以确保将识别并处理信息安全风险作为项目的一部分。这通常可应用于所有项目，无论其特性是什么，例如核心业务过程、IT、设施管理和其他支持过程等方面的项目。在用的项目管理方法宜要求：b）在项目的早期阶段进行信息安全风险评估，以识别必要的控制措施；c）对于适用的项目方法论而言，信息安全是其每个阶段的组成部分。在所有项目中，宜定期处理和评审信息安全影响。信息安全职责宜加以定义，并分配给项目管理方法中定义的指定角色。6.2 移动设备和远程工作 目标：确保远程工作和使用移动设备时的安全。6.2.1 移动设备策略 控制措施 宜采用策略和支持性安全措施来管理

18、由于使用移动设备带来的风险。a）移动设备的注册；实施指南 当使用移动设备时，宜特别小心确保业务信息不被损害。移动设备策略宜考虑到在不受保护的环境下使用移动设备工作的风险。移动设备策略宜考虑：b）物理保护的要求；c）软件安装的限制；d）移动设备软件版本和补丁应用的要求；e）连接信息服务的限制；f）访问控制；g）密码技术；h）恶意软件防范；i）远程关闭、擦除或锁定；j）备份；k）web 服务和 web 应用的用法。当在公共场所、会议室和其他不受保护的区域使用移动设备时，宜加以小心。为避免未授权访问或泄露这些设备所存储和处理的信息，宜有适当的保护措施，例如，使用密码技术（见 10）、强制使用秘密鉴别

19、信息（见 9.2.3）。还宜对移动设备进行物理保护，以防被偷窃，例如，特别是遗留在汽车和其他形式的运输工具上、旅馆房间、会议中心和会议室。宜为移动设备的被窃或丢失等情况建立一个符合法律、保险和组织的其他安全要求的特定规程。携带重要、敏感或关键业务信息的设备不宜无人值守，若有可能，宜以物理的方式锁起来，或使用专用锁来保护设备。对于使用移动设备的人员宜安排培训，以提高他们对这种工作方式导致的附加风险的意识，并且宜实施控制措施。当移动设备策略允许使用私人移动设备时，策略及相关安全措施宜考虑：a）分离设备的私人使用和业务使用，包括使用软件来支持这种分离，保护私人设备上的业务数据；b）只有当用户签署了终

20、端用户协议，确认其职责（物理保护、软件更新等）后，方可提供对业务信息的访问，一旦设备被盗或丢失，或当不再授权使用服务时，组织放弃业务数据的所有权、允许远程的数据擦除。这个策略需要考虑隐私方面的法律。a）一些无线安全协议是不成熟的，并有已知的弱点；其他信息 移动设别无线连接类似于其他类型的网络连接，但在识别控制措施时，宜考虑两者的重要区别。典型的区别有：b）在移动设备上存储的信息因受限的网络带宽可能不能备份，或因为移动设备在规定的备份时间不能进行连接。移动设备通常与固定使用的设备分享其常用功能，例如联网、互联网访问、电子邮件和文件处理。移动设备的信息安全控制措施通常包含在固定使用的设备中所用的控

21、制措施，以及处理由于其在组织场所外使用所引发威胁的控制措施。6.2.2 远程工作 控制措施 宜实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。实施指南 组织宜在定义使用远程工作的条件及限制的策略发布后，才允许远程工作活动。当认为适用，法律允许的情况下，宜考虑下列事项：a）远程工作场地的现有物理安全，要考虑到建筑物和本地环境的物理安全；b）推荐的物理的远程工作环境；c）通信安全要求，要考虑远程访问组织内部系统的需要、被访问的并在通信链路上传递的信息的敏感性以及内部系统的敏感性；d）虚拟桌面访问的规定，防止在私有设备处理或存储信息；e）住处的其他人员（例如，家人和朋友）未授权访

22、问信息或资源的威胁；f）家庭网络的使用和无线网络服务配置的要求或限制；g）针对私有设备开发的预防知识产权争论的策略和规程；h）法律禁止的对私有设备的访问（核查机器安全或在调查期间）；i）使组织对雇员或外部方人员等私人拥有的工作站上的客户端软件负责的软件许可协议；j）防病毒保护和防火墙要求。要考虑的指南和安排宜包括：a）当不允许使用不在组织控制下的私有设备时，对远程工作活动提供合适的设备和存储设施；b）定义允许的工作、工作小时数、可以保持的信息分类和授权远程工作者访问的内部系统和服务；c）提供适合的通信设备，包括使远程访问安全的方法；d）物理安全；e）有关家人和来宾访问设备和信息的规则和指南；f

23、）硬件和软件支持和维护的规定；g）保险的规定；h）用于备份和业务连续性的规程；i）审核和安全监视；j）当远程工作活动终止时，撤销授权和访问权限，并归还设备。其他信息 远程工作是利用通信技术来使得人员可以在其组织之外的固定地点进行远程工作的。远程工作是指在办公场所外工作的所有形式，包括非传统的工作环境，例如被称为“远程办公”、“弹性工作点”、“远程工作”和“虚拟工作”等的环境。7 人力资源安全 7.1 任用之前 目标：确保雇员和承包方人员理解其职责、适于考虑让其承担的角色。7.1.1 审查 控制措施 关于所有任用候选者的背景验证核查宜按照相关法律、法规、道德规范和对应的业务要求、被访问信息的类别

24、和察觉的风险来执行。a）令人满意的个人资料的可用性（例如，一项业务和一个个人）；实施指南 验证宜考虑所有相关的隐私、个人可识别信息的保护以及与任用相关的法律，并宜包括以下内容（允许时）：b）申请人履历的核查（针对完备性和准确性）；c）声称的学术、专业资质的证实；d）个人身份核查（护照或类似文件）；e）更多细节的核查，例如信用卡核查或犯罪记录核查。当人员聘用为特定的信息安全角色时，组织宜弄清楚候选者：a）有执行安全角色所必需的能力；b）可被信任从事该角色，特别是当该角色对组织来说是十分关键时。当一个职务（最初任命的或提升的）涉及到对信息处理设施进行访问的人时，特别是，如果这些设施正在处理保密信息

25、，例如，财务信息或高度保密的信息，那么，该组织还宜考虑进一步的、更详细的核查。宜有规程确定验证核查的准则和限制，例如谁有资格审查人员，以及如何、何时、为什么执行验证核查。对于承包方人员也宜执行审查过程。在这样的情况下，组织与承包方人员的协议宜指定进行审查的职责以及如果审查没有完成或结果给出需要怀疑或关注的理由时需遵循的通告规程。被考虑在组织内录用的所有候选者的信息宜按照相关管辖范围内存在的合适的法律来收集和处理。依据适用的法律，宜将审查活动提前通知候选者。7.1.2 任用条款和条件 控制措施 与雇员和承包方人员的合同协议宜声明他们和组织的信息安全职责。a）所有访问保密信息的雇员和承包方人员宜在

26、给予访问信息处理设施权限之前签署保密或不泄露协议；实施指南 雇员或承包方人员的合同义务除澄清和声明以下内容外，还宜反映组织的信息安全策略：b）雇员和承包方人员的法律责任和权利，例如关于版权法、数据保护法（见 18.1.4）；c）与雇员和承包方人员处理的信息、信息处理设施和信息服务有关的信息分类和组织资产管理的职责（见 8）；d）雇员和承包方人员处理来自其他公司或外部方的信息的职责；e）如果雇员和承包方人员漠视组织的安全要求所要采取的措施（见 7.2.3）。信息安全角色和职责宜在任用前的过程中传达给职务的候选者。组织宜确保雇员和承包方人员同意适用于他们将访问的与信息系统和服务有关的组织资产的性质和程度的信息安全条款和条件。若适用，包含于任用条款和条件中的职责宜在任用结束后持续一段规定的时间（见 7.3）。7.2 任用中 其他信息 一个行为细则可声明雇员和承包方人员关