ISO 27002-2013 -信息技术-安全技术-信息安全控制实用- 中文版.pdf
《ISO 27002-2013 -信息技术-安全技术-信息安全控制实用- 中文版.pdf》由会员分享,可在线阅读,更多相关《ISO 27002-2013 -信息技术-安全技术-信息安全控制实用- 中文版.pdf(86页珍藏版)》请在冰点文库上搜索。
ISO/IEC27002信息技术-安全技术-信息安全控制实用规则Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritycontrols目次前言.I引言.II0简介.II0.1背景和环境.II0.2信息安全要求.II0.3选择控制措施.III0.4编制组织的指南.III0.5生命周期的考虑.III0.6相关标准.III1范围.12规范性引用文件.13术语和定义.14本标准的结构.14.1章节.14.2控制类别.15信息安全策略.25.1信息安全的管理方向.26信息安全组织.46.1内部组织.46.2移动设备和远程工作.67人力资源安全.97.1任用之前.97.2任用中.107.3任用的终止或变更.138资产管理.138.1对资产负责.138.2信息分类.158.3介质处置.179访问控制.199.1访问控制的业务要求.199.2用户访问管理.219.3用户职责.249.4系统和应用访问控制.2510密码学.2810.1密码控制.2811物理和环境安全.3011.1安全区域.3011.2设备.3312操作安全.3812.1操作规程和职责.3812.2恶意软件防护.4112.3备份.4212.4日志和监视.4312.5运行软件的控制.4512.6技术脆弱性管理.4612.7信息系统审计考虑.4813通信安全.4913.1网络安全管理.4913.2信息传递.5014系统获取、开发和维护.5414.1信息系统的安全要求.5414.2开发和支持过程中的安全.5714.3测试数据.6215供应商关系.6215.1供应商关系的信息安全.6215.2供应商服务交付管理.6616信息安全事件管理.6716.1信息安全事件和改进的管理.6717业务连续性管理的信息安全方面.7117.1信息安全连续性.7117.2冗余.7318符合性.7418.1符合法律和合同要求.7418.2信息安全评审.77参考文献.79前言ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
国家机构是ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。
ISO和IEC技术委员会在共同感兴趣的领域合作。
其他国际组织、政府和非政府等机构,通过联络ISO和IEC参与这项工作。
国际标准的制定遵循ISO/IEC导则第2部分的规则。
ISO和IEC已经在信息技术领域建立了一个联合技术委员会ISO/IECJTC1。
ISO/IEC27002由联合技术委员会ISO/IECJTC1(信息技术)分委员会SC27(安全技术)起草。
ISO/IEC27002中的某些内容有可能涉及一些专利权问题,这一点应该引起注意。
ISO和IEC不负责识别任何这样的专利权问题。
第二版进行了技术上的修订,并取消和替代第一版(ISO/IEC27002:
2005)。
引言0简介0.1背景和环境本标准可作为组织基于ISO/IEC27001实施信息安全管理体系(ISMS)的过程中选择控制措施时的参考,或作为组织实施通用信息安全控制措施时的指南文件。
本标准还可以用于开发行业和组织特定的信息安全管理指南,考虑其特定信息安全风险环境。
所有类型和规模的组织(包括公共和私营部门、商业和非盈利组织)都要采用不同方式(包括电子方式、物理方式、会谈和陈述等口头方式)收集、处理、存储和传输信息。
信息的价值超越了文字、数字和图像:
无形的信息可能包括知识、概念、观念和品牌等。
在互联的世界里,信息和相关过程、系统、网络及其操作、处理和保护的过程中所涉及的人员都是资产,与其它重要的业务资产一样,对组织的业务至关重要,因此需要防护各种危害。
因相关过程、系统、网络和人员具有固有的脆弱性,资产易受到故意或意外的威胁。
对业务过程和系统的变更或其他外部变更(例如新的法律和规章)可能产生新的信息安全风险。
因此,考虑到威胁利用脆弱性损害组织会有大量方式,信息安全风险是一直存在的。
有效的信息安全可以通过保护组织免受威胁和脆弱性,从而减少这些风险,进一步降低对组织资产的影响。
信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。
在必要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。
为在一个一致的管理体系总体框架下实施一套全面的信息安全控制措施,信息安全管理体系(例如ISO/IEC27001所指定的)从整体、协调的角度看待组织的信息安全风险。
从ISO/IEC27001和本标准的意义上说,许多信息系统并没有被设计成是安全的。
通过技术手段可获得的安全性是有限的,宜通过适当的管理和规程给予支持。
确定哪些控制措施宜实施到位需要仔细规划并注意细节。
成功的信息安全管理体系需要组织所有员工的参与,还要求利益相关者、供应商或其他外部方的参与。
外部方的专家建议也是需要的。
就一般意义而言,有效的信息安全还可以向管理者和其他利益相关者保证,组织的资产是适当安全的,并能防范损害。
因此,信息安全可承担业务使能者的角色。
0.2信息安全要求组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
a)对组织的风险进行评估,考虑组织的整体业务策略与目标。
通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;b)组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境;c)组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。
实施控制措施所用资源需要根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡。
风险评估的结果将帮助指导和确定适当的管理措施、管理信息安全风险以及实现所选择的用以防范这些风险的控制措施的优先级。
ISO/IEC27005提供了信息安全风险管理的指南,包括风险评估、风险处置、风险接受、风险沟通、风险监视和风险评审的建议。
0.3选择控制措施控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。
控制措施的选择依赖于组织基于风险接受准则、风险处置选项以及所应用的通用风险管理方法做出的决策,同时还宜遵守所有相关的国家和国际法律法规。
控制措施的选择还依赖于控制措施为提供深度防御而相互作用的方式。
本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。
在下面的实施指南中,将更详细的解释这些控制措施。
更多的关于选择控制措施和其他风险处置选项的信息见ISO/IEC27005。
0.4编制组织的指南本标准可作为是组织开发其详细指南的起点。
对一个组织来说,本标准中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。
为便于审核员和业务伙伴进行符合性核查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的引用可能是有用的。
0.5生命周期的考虑信息具有自然的生命周期,从创建和产生,经存储、处理、使用和传输,到最后的销毁或衰退。
资产的价值和风险可能在其生命期中是变化的(例如公司财务报表财务报表的泄露或被盗在他们被正式公布后就不那么重要了),但在某种程度上信息安全对于所有阶段而言都是非常重要的。
信息系统也具有生命周期,他们被构想、指定、设计、开发、测试、实施、使用、维护,并最终退出服务进行处置。
在每一个阶段最好都要考虑信息安全。
新系统的开发和现有系统的变更为组织更新和改进安全控制带来了机会,可将现实事件、当前和预计的信息安全风险考虑在内。
0.6相关标准虽然本标准提供了通常适用于不同组织的大范围信息安全控制措施的指南,ISO/IEC27000标准族的其他部分提供了信息安全管理全过程其他方面的补充建议或要求。
ISO/IEC27000作为信息安全管理体系和标准族的总体介绍,提供了一个词汇表,正式定义了整个ISO/IEC27000标准族中的大部分术语,并描述了族中每个成员的范围和目标。
信息技术-安全技术-信息安全控制实用规则1范围本标准为组织的信息安全标准和信息安全管理实践提供了指南,包括考虑组织信息安全风险环境前提下控制措施的选择、实施和管理。
本标准可被组织用于下列目的:
a)在基于ISO/IEC27001实施信息安全管理体系过程中选择控制措施;b)实施通用信息安全控制措施;c)开发组织自身的信息安全管理指南。
2规范性引用文件下列参考文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC27000,信息技术安全技术信息安全管理体系概述和词汇3术语和定义ISO/IEC27000中的术语和定义适用于本标准。
4本标准的结构本标准包括14个安全控制措施的章节,共含有35个主要安全类别和113项安全控制措施。
4.1章节定义安全控制的每个章节含一个或多个主要安全类别。
本标准中章节的顺序不表示其重要性。
根据不同的环境,任何或所有章节的安全控制措施都可能是重要的,因此使用本标准的每一个组织宜识别适用的控制措施及其重要性,以及它们对各个业务过程的适用性。
另外,本标准的排列没有优先顺序。
4.2控制类别每一个主要安全控制类别包含:
a)一个控制目标,声明要实现什么;b)一个或多个控制措施,可被用于实现该控制目标。
控制措施的描述结构如下:
控制措施定义满足控制目标的特定的控制措施的陈述。
实施指南为支持控制措施的实施和满足控制目标,提供更详细的信息。
本指南可能不能全部适用或满足所有情况,也可能不满足组织的特定控制要求。
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的引用。
如果没有其他信息需要提供,将不显示本部分。
其他信息5信息安全策略5.1信息安全的管理方向目标:
依据业务要求和相关法律法规提供管理方向并支持信息安全。
5.1.1信息安全策略控制措施信息安全策略集宜由管理者定义、批准、发布并传达给员工和相关外部方。
a)业务战略;实施指南在最高级别上,组织宜定义“信息安全方针”,由管理者批准,制定组织管理其信息安全目标的方法。
信息安全方针宜解决下列方面创建的要求:
b)规章、法规和合同;c)当前和预期的信息安全威胁环境。
信息安全方针宜包括以下声明:
a)指导所有信息安全相关活动的信息安全、目标和原则的定义;b)已定义角色信息安全管理一般和特定职责的分配;c)处理偏差和意外的过程。
在较低级别,信息安全方针宜由特定主题的策略加以支持,这些策略进一步强化了信息安全控制措施的执行,并且在组织内通常以结构化的形式处理某些目标群体的需求或涵盖某些主题。
这些细化的策略主题包括:
a)访问控制(见9);b)信息分类(和处理)(见8.2);c)物理和环境安全(见11);d)面向终端用户的主题,例如:
1)资产的可接受使用(见8.1.3);2)清空桌面和清空屏幕(见11.2.9);3)信息传递(见13.2.1);4)移动设备和远程工作(见6.2);5)软件安装和使用的限制(见12.6.2);e)备份(见12.3);f)信息传递(见13.2);g)恶意软件防范(见12.2);h)技术脆弱性管理(见12.6.1);i)密码控制(见10);j)通信安全(见13);k)隐私和个人可识别信息的保护(见18.1.4);l)供应商关系(见15)。
这些策略宜采用预期读者适合的、可访问的和可理解的形式传达给员工和相关外部方,例如在“信息安全意识、教育和培训方案”(见7.2.2)的情况下。
5.1.2信息安全策略的评审其他信息信息安全内部策略的需求因组织而异。
内部策略对于大型和复杂的组织而言更加有用,这些组织中,定义和批准控制预期水平的人员与实施控制措施的人员或策略应用于组织中不同人员或职能的情境是隔离的。
信息安全策略可以以单一信息安全方针文件的形式发布,或作为各不相同但相互关联的一套文件。
如果任何信息安全策略要分发至组织外部,宜注意不要泄露保密信息。
一些组织使用其他术语定义这些策略文件,例如“标准”、“导则”或“规则”。
控制措施信息安全策略宜按计划的时间间隔或当重大变化发生时进行评审,以确保其持续的适宜性、充分性和有效性。
实施指南每个策略宜有专人负责,他负有授权的策略开发、评审和评价的管理职责。
评审宜包括评估组织策略改进的机会和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。
信息安全策略评审宜考虑管理评审的结果。
宜获得管理者对修订的策略的批准。
6信息安全组织6.1内部组织目标:
建立管理框架,以启动和控制组织范围内的信息安全的实施和运行。
6.1.1信息安全角色和职责控制措施所有的信息安全职责宜予以定义和分配。
a)宜识别和定义资产和信息安全过程;实施指南信息安全职责的分配宜与信息安全策略(见5.1.1)相一致。
宜识别各个资产的保护和执行特定信息安全过程的职责。
宜定义信息安全风险管理活动,特别是残余风险接受的职责。
这些职责宜在必要时加以补充,来为特定地点和信息处理设施提供更详细的指南。
资产保护和执行特定安全过程的局部职责宜予以定义。
分配有信息安全职责的人员可以将安全任务委托给其他人员。
尽管如此,他们仍然负有责任,并且他们宜能够确定任何被委托的任务是否已被正确地执行。
个人负责的领域宜予以规定;特别是,宜进行下列工作:
b)宜分配每一资产或信息安全过程的实体职责,并且该职责的细节宜形成文件(见8.1.2);c)宜定义授权级别,并形成文件;d)能够履行信息安全领域的职责,领域内被任命的人员宜有能力,并给予他们机会,使其能够紧跟发展的潮流;e)宜识别供应商关系信息安全方面的协调和监督措施,并形成文件。
6.1.2职责分离其他信息在许多组织中,将任命一名信息安全管理人员全面负责信息安全的开发和实施,并支持控制措施的识别。
然而,提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。
一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。
控制措施宜分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。
实施指南宜注意,在无授权或监测时,个人不能访问、修改或使用资产。
事件的启动宜与其授权分离。
勾结的可能性宜在设计控制措施时予以考虑。
小型组织可能感到难以实现这种职责分离,但只要具有可能性和可行性,宜尽量应用该原则。
如果难以分离,宜考虑其他控制措施,例如对活动、审核踪迹和管理监督的监视等。
6.1.3与政府部门的联系其他信息职责分离是一种减少意外或故意组织资产误用的风险的方法。
控制措施宜保持与政府相关部门的适当联系。
实施指南组织宜有规程指明什么时候与哪个部门(例如,执法部门、监管机构、监督部门)联系、已识别的信息安全事件如何及时报告(例如,如果怀疑可能触犯了法律时)6.1.4与特定利益集团的联系其他信息受到来自互联网攻击的组织可能需要政府部门采取措施以应对攻击源。
保持这样的联系可能是支持信息安全事件管理(见16)或业务连续性和应急计划过程(见17)的要求。
与监管机构的联系还有助于预先知道组织必须遵循的法律法规方面即将出现的变化,并为这些变化做好准备。
与其他部门的联系包括公共设施、紧急服务、电力供应和健康安全(safety)部门,例如消防局(与业务连续性有关)、电信提供商(与路由和可用性有关)、供水部门(与设备的冷却设施有关)。
控制措施宜保持与特定利益集团、其他安全论坛和专业协会的适当联系。
a)增进关于最佳实践的知识,保持对最新相关安全信息的了解;实施指南宜考虑成为特定利益集团或论坛的成员,以便:
b)确保全面了解当前的信息安全环境;c)尽早收到关于攻击和脆弱性的预警、建议和补丁;d)获得信息安全专家的建议;e)分享和交换关于新的技术、产品、威胁或脆弱性的信息;f)提供处理信息安全事件时适当的联络点(见16)。
6.1.5项目管理中的信息安全其他信息建立信息共享协议来改进安全问题的协作和协调。
这种协议宜识别出保护保密信息的要求。
控制措施无论项目是什么类型,在项目管理中都宜处理信息安全问题。
a)信息安全目标纳入项目目标;实施指南信息安全宜整合到组织的项目管理方法中,以确保将识别并处理信息安全风险作为项目的一部分。
这通常可应用于所有项目,无论其特性是什么,例如核心业务过程、IT、设施管理和其他支持过程等方面的项目。
在用的项目管理方法宜要求:
b)在项目的早期阶段进行信息安全风险评估,以识别必要的控制措施;c)对于适用的项目方法论而言,信息安全是其每个阶段的组成部分。
在所有项目中,宜定期处理和评审信息安全影响。
信息安全职责宜加以定义,并分配给项目管理方法中定义的指定角色。
6.2移动设备和远程工作目标:
确保远程工作和使用移动设备时的安全。
6.2.1移动设备策略控制措施宜采用策略和支持性安全措施来管理由于使用移动设备带来的风险。
a)移动设备的注册;实施指南当使用移动设备时,宜特别小心确保业务信息不被损害。
移动设备策略宜考虑到在不受保护的环境下使用移动设备工作的风险。
移动设备策略宜考虑:
b)物理保护的要求;c)软件安装的限制;d)移动设备软件版本和补丁应用的要求;e)连接信息服务的限制;f)访问控制;g)密码技术;h)恶意软件防范;i)远程关闭、擦除或锁定;j)备份;k)web服务和web应用的用法。
当在公共场所、会议室和其他不受保护的区域使用移动设备时,宜加以小心。
为避免未授权访问或泄露这些设备所存储和处理的信息,宜有适当的保护措施,例如,使用密码技术(见10)、强制使用秘密鉴别信息(见9.2.3)。
还宜对移动设备进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的运输工具上、旅馆房间、会议中心和会议室。
宜为移动设备的被窃或丢失等情况建立一个符合法律、保险和组织的其他安全要求的特定规程。
携带重要、敏感或关键业务信息的设备不宜无人值守,若有可能,宜以物理的方式锁起来,或使用专用锁来保护设备。
对于使用移动设备的人员宜安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且宜实施控制措施。
当移动设备策略允许使用私人移动设备时,策略及相关安全措施宜考虑:
a)分离设备的私人使用和业务使用,包括使用软件来支持这种分离,保护私人设备上的业务数据;b)只有当用户签署了终端用户协议,确认其职责(物理保护、软件更新等)后,方可提供对业务信息的访问,一旦设备被盗或丢失,或当不再授权使用服务时,组织放弃业务数据的所有权、允许远程的数据擦除。
这个策略需要考虑隐私方面的法律。
a)一些无线安全协议是不成熟的,并有已知的弱点;其他信息移动设别无线连接类似于其他类型的网络连接,但在识别控制措施时,宜考虑两者的重要区别。
典型的区别有:
b)在移动设备上存储的信息因受限的网络带宽可能不能备份,或因为移动设备在规定的备份时间不能进行连接。
移动设备通常与固定使用的设备分享其常用功能,例如联网、互联网访问、电子邮件和文件处理。
移动设备的信息安全控制措施通常包含在固定使用的设备中所用的控制措施,以及处理由于其在组织场所外使用所引发威胁的控制措施。
6.2.2远程工作控制措施宜实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。
实施指南组织宜在定义使用远程工作的条件及限制的策略发布后,才允许远程工作活动。
当认为适用,法律允许的情况下,宜考虑下列事项:
a)远程工作场地的现有物理安全,要考虑到建筑物和本地环境的物理安全;b)推荐的物理的远程工作环境;c)通信安全要求,要考虑远程访问组织内部系统的需要、被访问的并在通信链路上传递的信息的敏感性以及内部系统的敏感性;d)虚拟桌面访问的规定,防止在私有设备处理或存储信息;e)住处的其他人员(例如,家人和朋友)未授权访问信息或资源的威胁;f)家庭网络的使用和无线网络服务配置的要求或限制;g)针对私有设备开发的预防知识产权争论的策略和规程;h)法律禁止的对私有设备的访问(核查机器安全或在调查期间);i)使组织对雇员或外部方人员等私人拥有的工作站上的客户端软件负责的软件许可协议;j)防病毒保护和防火墙要求。
要考虑的指南和安排宜包括:
a)当不允许使用不在组织控制下的私有设备时,对远程工作活动提供合适的设备和存储设施;b)定义允许的工作、工作小时数、可以保持的信息分类和授权远程工作者访问的内部系统和服务;c)提供适合的通信设备,包括使远程访问安全的方法;d)物理安全;e)有关家人和来宾访问设备和信息的规则和指南;f)硬件和软件支持和维护的规定;g)保险的规定;h)用于备份和业务连续性的规程;i)审核和安全监视;j)当远程工作活动终止时,撤销授权和访问权限,并归还设备。
其他信息远程工作是利用通信技术来使得人员可以在其组织之外的固定地点进行远程工作的。
远程工作是指在办公场所外工作的所有形式,包括非传统的工作环境,例如被称为“远程办公”、“弹性工作点”、“远程工作”和“虚拟工作”等的环境。
7人力资源安全7.1任用之前目标:
确保雇员和承包方人员理解其职责、适于考虑让其承担的角色。
7.1.1审查控制措施关于所有任用候选者的背景验证核查宜按照相关法律、法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。
a)令人满意的个人资料的可用性(例如,一项业务和一个个人);实施指南验证宜考虑所有相关的隐私、个人可识别信息的保护以及与任用相关的法律,并宜包括以下内容(允许时):
b)申请人履历的核查(针对完备性和准确性);c)声称的学术、专业资质的证实;d)个人身份核查(护照或类似文件);e)更多细节的核查,例如信用卡核查或犯罪记录核查。
当人员聘用为特定的信息安全角色时,组织宜弄清楚候选者:
a)有执行安全角色所必需的能力;b)可被信任从事该角色,特别是当该角色对组织来说是十分关键时。
当一个职务(最初任命的或提升的)涉及到对信息处理设施进行访问的人时,特别是,如果这些设施正在处理保密信息,例如,财务信息或高度保密的信息,那么,该组织还宜考虑进一步的、更详细的核查。
宜有规程确定验证核查的准则和限制,例如谁有资格审查人员,以及如何、何时、为什么执行验证核查。
对于承包方人员也宜执行审查过程。
在这样的情况下,组织与承包方人员的协议宜指定进行审查的职责以及如果审查没有完成或结果给出需要怀疑或关注的理由时需遵循的通告规程。
被考虑在组织内录用的所有候选者的信息宜按照相关管辖范围内存在的合适的法律来收集和处理。
依据适用的法律,宜将审查活动提前通知候选者。
7.1.2任用条款和条件控制措施与雇员和承包方人员的合同协议宜声明他们和组织的信息安全职责。
a)所有访问保密信息的雇员和承包方人员宜在给予访问信息处理设施权限之前签署保密或不泄露协议;实施指南雇员或承包方人员的合同义务除澄清和声明以下内容外,还宜反映组织的信息安全策略:
b)雇员和承包方人员的法律责任和权利,例如关于版权法、数据保护法(见18.1.4);c)与雇员和承包方人员处理的信息、信息处理设施和信息服务有关的信息分类和组织资产管理的职责(见8);d)雇员和承包方人员处理来自其他公司或外部方的信息的职责;e)如果雇员和承包方人员漠视组织的安全要求所要采取的措施(见7.2.3)。
信息安全角色和职责宜在任用前的过程中传达给职务的候选者。
组织宜确保雇员和承包方人员同意适用于他们将访问的与信息系统和服务有关的组织资产的性质和程度的信息安全条款和条件。
若适用,包含于任用条款和条件中的职责宜在任用结束后持续一段规定的时间(见7.3)。
7.2任用中其他信息一个行为细则可声明雇员和承包方人员关
升级会员 