《信息安全管理实用规则》草案060327sgxl.docx
《《信息安全管理实用规则》草案060327sgxl.docx》由会员分享,可在线阅读,更多相关《《信息安全管理实用规则》草案060327sgxl.docx(138页珍藏版)》请在冰点文库上搜索。
《信息安全管理实用规则》草案060327sgxl
信息技术安全技术
信息安全管理实用规则
Informationtechnology-Securitytechniques
-Codeofpracticeforinformationsecuritymanagement
(IDTISO/IEC17799:
2005)
(征求意见稿,2006年3月27日)
目次
前言
引言
11.1 什么是信息安全?
象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。
在业务环境互连日益增加的情况下这一点显得尤为重要。
这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。
信息可以以多种形式存在。
它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。
无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。
信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。
信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。
在需要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。
这个过程应与其他业务管理过程联合进行。
11.2 为什么需要信息安全?
信息及其支持过程、系统和网络都是重要的业务资产。
定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。
各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。
诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。
信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。
在这两部分中信息安全都将作为一个使动者,例如实现电子政务或电子商务,避免或减少相关风险。
公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。
分布式计算的趋势也削弱了集中的、专门控制的有效性。
许多信息系统并没有被设计成是安全的。
通过技术手段可获得的安全性是有限的,应该通过适当的管理和规程给予支持。
确定哪些控制措施要实施到位需要仔细规划并注意细节。
信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。
外部组织的专家建议可能也是需要的。
11.3 如何建立安全要求
组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
1、一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。
通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。
2、另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。
3、第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。
11.4 评估安全风险
安全要求是通过对安全风险的系统评估予以识别的。
用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。
风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。
风险评估应定期进行,以应对可能影响风险评估结果的任何变化。
更多的关于安全风险评估的信息见第4.1节“评估安全风险”。
11.5 选择控制措施
一旦安全要求和风险已被识别并已作出风险处理决定,则应选择并实现合适的控制措施,以确保风险降低到可接受的级别。
控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。
安全控制措施的选择依赖于组织所作出的决定,该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法,同时还要遵守所有相关的国家和国际法律法规。
本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。
下面在题为“信息安全起点”中将更详细的解释这些控制措施。
更多的关于选择控制措施和其他风险处理选项的信息见第4.2节“处理安全风险”。
11.6 信息安全起点
许多控制措施被认为是实现信息安全的良好起点。
它们或者是基于重要的法律要求,或者被认为是信息安全的常用惯例。
从法律的观点看,对某个组织重要的控制措施包括,根据适用的法律:
a)数据保护和个人信息的隐私(见15.1.4);
b)保护组织的记录(见15.1.3);
c)知识产权(见15.1.2)。
被认为是信息安全的常用惯例的控制措施包括:
a)信息安全方针文件(见5.1.1);
b)信息安全职责的分配(见6.1.3);
c)信息安全意识、教育和培训(见8.2.2);
d)应用中的正确处理(见12.2);
e)技术脆弱性管理(见12.6);
f)业务连续性管理(见14);
g)信息安全事故和改进管理(见13.2)。
这些控制措施适用于大多数组织和环境。
应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。
因此,虽然上述方法被认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。
11.7 关键的成功因素
经验表明,下列因素通常对一个组织成功地实现信息安全来说,十分关键:
a)反映业务目标的信息安全方针、目标以及活动;
b)和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架;
c)来自所有级别管理者的可视化的支持和承诺;
d)正确理解信息安全要求、风险评估和风险管理;
e)向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识;
f)向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见;
g)提供资金以支持信息安全管理活动;
h)提供适当的意识、培训和教育;
i)建立一个有效的信息安全事故管理过程;
j)实现一个测量系统,它可用来评价信息安全管理的执行情况和反馈的改进建议。
11.8 开发你自己的指南
本实用规则可认为是组织开发其详细指南的起点。
对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。
为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。
信息技术安全技术信息安全管理实用规则
12 范围
本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。
本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。
本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。
本标准可作为建立组织的安全准则和有效安全管理惯例的实用指南,并有利于在组织间的活动中建立信心。
13 术语和定义
下列术语和定义适用于本标准。
2.1
资产asset
对组织有价值的任何东西[ISO/IEC13335-1:
2004]。
2.2
控制措施control
管理风险的方法,包括策略、规程、指南、惯例或组织结构。
它们可以是行政、技术、管理、法律等方面的。
注:
控制措施也用于防护措施或对策的同义词。
2.3
指南guideline
阐明应做什么和怎么做以达到方针策略中制定的目标的描述[ISO/IECTR13335-1:
2004]
2.4
信息处理设施informationprocessingfacilities
任何信息处理系统、服务或基础设施,或放置它们的场所
2.5
信息安全informationsecurity
保持信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等
2.6
信息安全事件informationsecurityevent
信息安全事件是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IECTR18044:
2004]
2.7
信息安全事故informationsecurityincident
一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IECTR18044:
2004]
2.8
方针policy
管理者正式发布的总的宗旨和方向
2.9
风险risk
事件的概率及其结果的组合[ISOGuide73:
2002]
2.10
风险分析riskanalysis
系统地使用信息来识别风险来源和估计风险[ISOGuide73:
2002]
2.11
风险评估riskassessment
风险分析和风险评价的整个过程[ISOGuide73:
2002]
2.12
风险评价riskevaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISOGuide73:
2002]
2.13
风险管理riskmanagement
指导和控制一个组织相关风险的协调活动
注:
风险管理一般包括风险评估、风险处理、风险接受和风险沟通[ISOGuide73:
2002]
2.14
风险处理risktreatment
选择并且执行措施来更改风险的过程[ISOGuide73:
2002]
2.15
第三方thirdparty
就所涉及的问题被公认为是独立于有关各方的个人或机构[ISOGuide2:
1996]
2.16
威胁threat
可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IECTR13335-1:
2004]
2.17
脆弱性vulnerability
可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IECTR13335-1:
2004]
14 本标准的结构
本标准包括11个安全控制措施的章节(共含有39个主要安全类别)和1个介绍风险评估和处理的章节。
14.1 章节
每一章包含多个主要安全类别。
11个章节(连同每一章中所包含的主要安全类别的数量)是:
a)安全方针
(1);
b)信息安全组织
(2);
c)资产管理
(2);
d)人力资源安全(3);
e)物理和环境安全
(2);
f)通信和操作管理(10);
g)访问控制(7);
h)信息系统获取、开发和维护(6);
i)信息安全事故管理
(2);
j)业务连续性管理
(1);
k)符合性(3)。
注:
本标准中章节的顺序不表示其重要性。
根据不同的环境,所有章节都可能是重要的,因此应用本标准的每一个组织应识别适用的章节及其重要性,以及它们对各个业务过程的适用性。
另外,本标准的排列均没有优先顺序,除非另外注明。
14.2 主要安全类别
每一个主要安全类别包含:
a)一个控制目标,声明要实现什么;
b)一个或多个控制措施,可被用于实现该控制目标。
控制措施的描述结构如下:
控制措施
定义满足控制目标的特定的控制措施的陈述。
实施指南
为支持控制措施的实施和满足控制目标,提供更详细的信息。
本指南的某些内容可能不适用于所有情况,所以其他实现控制措施的方法可能更为合适。
其它信息
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的引用。
15 风险评估和处理
15.1 评估安全风险
风险评估应对照风险接受准则和组织相关目标,识别、量化并区分风险的优先次序。
风险评估的结果应指导并确定适当的管理措施及其优先级,以管理信息安全风险和实施为防范这些风险而选择的控制措施。
评估风险和选择控制措施的过程可能需要执行多次,以覆盖组织的不同部门或各个信息系统。
风险评估应包括估计风险大小的系统方法(风险分析),和将估计的风险与给定的风险准则加以比较,以确定风险严重性的过程(风险评价)。
风险评估还应定期进行,以应对安全要求和风险情形的变化,例如资产、威胁、脆弱性、影响,风险评价;当发生重大变化时也应进行风险评估。
风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。
为使信息安全风险评估有效,它应有一个清晰定义的范围。
如果合适,应包括与其他领域风险评估的关系。
如果可行、实际和有帮助,风险评估的范围既可以是整个组织、组织的一部分、单个信息系统、特定的系统部件,也可以是服务。
风险评估方法的例子在ISO/IECTR13335-3《IT安全管理指南:
IT安全管理技术》中讨论。
15.2 处理安全风险
在考虑风险处理前,组织应确定风险是否能被接受的准则。
如果经评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受。
这些决定应加以记录。
对于风险评估所识别的每一个风险,必须作出风险处理决定。
可能的风险处理选项包括:
a)应用适当的控制措施以降低风险;
b)只要它们满足组织的方针和风险接受准则,则要有意识的、客观的接受该风险;
c)通过禁止可能导致风险发生的行为来避免风险;
d)将相关风险转移到其他方,例如,保险或供应商。
对风险处理决定中要采用适当的控制措施的那些风险来说,应选择和实施这些控制措施以满足风险评估所识别的要求。
控制措施应确保在考虑以下因素的情况下,将风险降低到可接受级别:
a)国家和国际法律法规的要求和约束;
b)组织的目标;
c)运行要求和约束;
d)降低风险相关的实施和运行的成本,并使之与组织的要求和约束保持相称;
e)平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要。
控制措施可以从本标准或其他控制集合中选择,或者设计新的控制措施以满足组织的特定需求。
认识到有些控制措施并不是对每一种信息系统或环境都适用,并且不是对所有组织都可行,这一点非常重要。
例如,10.1.3描述如何分割责任,以防止欺诈或错误。
在较小的组织中分割所有责任是不太可能的,实现同一控制目标的其他方法可能是必要的。
另外一个例子,10.10描述如何监视系统使用及如何收集证据。
所描述的控制措施,例如事件日志,可能与适用的法律相冲突,诸如顾客或在工作场地内的隐私保护。
信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。
做不到这一点可能导致额外的成本和低效率的解决方案,最坏的情况下可能达不到足够的安全。
应该牢记,没有一个控制措施集合能实现绝对的安全,为支持组织的目标,应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。
16 安全方针
16.1 信息安全方针
目标:
依据业务要求和相关法律法规提供管理指导并支持信息安全。
管理者应根据业务目标制定清晰的方针指导,并通过在整个组织中颁布和维护信息安全方针来表明对信息安全的支持和承诺。
信息安全方针文件
控制措施
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
实施指南
信息安全方针文件应说明管理承诺,并提出组织的管理信息安全的方法。
方针文件应包括以下声明:
a)信息安全、整体目标和范围的定义,以及在允许信息共享机制下安全的重要性(见引言);
b)管理者意图的声明,以支持符合业务战略和目标的信息安全目标和原则;
c)设置控制目标和控制措施的框架,包括风险评估和风险管理的结构;
d)对组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明,包括:
1)符合法律法规和合同要求;
2)安全教育、培训和意识要求;
3)业务连续性管理;
4)违反信息安全方针的后果;
e)信息安全管理(包括报告信息安全事故)的一般和特定职责的定义;
f)对支持方针的文件的引用,例如,特定信息系统的更详细的安全方针策略和程序,或用户应遵守的安全规则。
应以预期读者适合的、可访问的和可理解的形式将本信息安全方针传达给整个组织的用户。
其它信息
信息安全方针可能是总体方针文件的一部分。
如果信息安全方针在组织外进行分发,应注意不要泄露敏感信息。
更多信息参见ISO/IEC13335-1:
2004。
信息安全方针的评审
控制措施
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。
实施指南
信息安全方针应有专人负责,他负有安全方针制定、评审和评价的管理职责。
评审应包括评估组织信息安全方针改进的机会,和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。
信息安全方针评审应考虑管理评审的结果。
要定义管理评审程序,包括时间表或评审周期。
管理评审的输入应包括以下信息:
a)相关方的反馈;
b)独立评审的结果(见6.1.8);
c)预防和纠正措施的状态(见6.1.8和15.2.1);
d)以往管理评审的结果;
e)过程执行情况和信息安全方针符合性;
f)可能影响组织管理信息安全的方法的变更,包括组织环境、业务状况、资源可用性、合同、规章,和法律条件或技术环境的变更。
g)威胁和脆弱性的趋势;
h)已报告的信息安全事故(见13.1);
i)相关专家的建议(见6.1.6)。
管理评审的输出应包括与以下方面有关的任何决定和措施:
a)组织管理信息安全的方法和它的过程的改进;
b)控制目标和控制措施的改进
c)资源和/或职责分配的改进。
管理评审的记录应被维护。
应获得管理者对修订的方针的批准。
17 信息安全组织
17.1 内部组织
目标:
在组织内管理信息安全。
应建立管理框架,以启动和控制组织范围内的信息安全的实施。
管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。
若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。
要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事故时,提供合适的联络点。
应鼓励采用多学科方法,解决信息安全问题。
信息安全的管理承诺
控制措施
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。
实施指南
管理者应:
a)确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;
b)制定、评审、批准信息安全方针;
c)评审信息安全方针实施的有效性;
d)为安全启动提供明确的方向和管理者明显的支持;
e)为信息安全提供所需的资源;
f)批准整个组织内信息安全专门的角色和职责分配;
g)启动计划和程序来保持信息安全意识;
h)确保整个组织内的信息安全控制措施的实施是相互协调的(见6.1.2)。
管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。
根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担。
其它信息
更多内容可参考ISO/IEC13335-1:
2004。
信息安全协调
控制措施
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。
实施指南
典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及保险、法律、人力资源、IT或风险管理等领域专家的协调和协作。
这些活动应:
a)确保安全活动的实施与信息安全方针相一致;
b)确定如何处理不符合项;
c)核准信息安全的方法和过程,例如风险评估、信息分类;
d)识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;
e)评估信息安全控制措施实施的充分性和协调性;
f)有效地促进整个组织内的信息安全教育、培训和意识;
g)评价在信息安全事故的监视和评审中获得的信息,推荐适当的措施响应识别的信息安全事故。
如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单独管理人员实施。
信息安全职责的分配
控制措施
所有的信息安全职责应予以清晰地定义。
实施指南
信息安全职责的分配应和信息安全方针(见第4章)相一致。
各个资产的保护和执行特定安全过程的职责应被清晰的识别。
这些职责应在必要时加以补充,来为特定地点和信息处理设施提供更详细的指南。
资产保护和执行特定安全过程(诸如业务连续性计划)的局部职责应予以清晰地定义。
分配有安全职责的人员可以将安全任务委托给其他人员。
尽管如此,他们仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执行。
个人负责的领域要予以清晰地规定;特别是,应进行下列工作:
a)与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;
b)应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见7.1.2);
c)授权级别应清晰地予以定义,并形成文件。
其它信息
在许多组织中,将任命一名信息安全管理人员全面负责安全的开发和实施,并支持控制措施的识别。
然而,提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。
一种通常的做法是对每一资产指定一名责任人,他也就对该信息资产的日常保护负责。
信息处理设施的授权过程
控制措施
新信息处理设施应定义和实施一个管理授权过程。
实施指南
授权过程应考虑下列指南:
a)新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;
b)若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;
c)使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备)处理业务信息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。
保密性协议
控制措施
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。
实施指南
保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。
要识别保密或不泄露协议的要求,需考虑下列因素:
a)定义要保护的信息(如机密信息);
b)协议的期望持续时间,包括不确定的需要维持保密性的情形;
c)协议终止时所需的措施;
d)为避免未授权信息泄露的签署者的职责和行为(即“需要知道的”)
e)信息所有者、商业秘密和知识产权,以及他们如何与机密信息保护相关联;
f)机密信息的许可使用,及签署者使用信息的权力;
g)对涉及机密信息的活动的审核和监视权力;
h)未授权泄露或机密信息破坏的通知和报告过程;
i)关于协议终止时信息归档或销毁的条款;
j)违反协议后期望采取的措施。
基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。
保密性和不泄露协议应针对它适用的管辖范围(也见15.1.1)遵循所有适用的法律法规。
保密性和不泄露协议的要求应进行周期性评审,当发生影响这些要求的变更时,也要进行评审。
其它信息
保密性和不泄密协议保护组织信息,并告知签署者他们的职责,以授权、负责的方式保护、使用和公开信息。
对于一个组织来说,可能需要在不同环境中使用保密性或不泄密协议的不同格式。
与政府部门的联系
控制措施
应保持与政府相关部门的适当联系。
实施指南
组织应有规程指明什么时候应当与哪个部门(例如,执法部门、消防局、监管部门)联系,以及怀疑已识别的信息安全事故可能触犯了法律时,应如何及时报告。
受到来自互联网攻击的组织可能需要外部第三方(例如互联网服务提供商或电信运营商)采取措施以应对攻击源