信息技术安全技术.docx

信息技术安全技术.docx

《信息技术安全技术.docx》由会员分享，可在线阅读，更多相关《信息技术安全技术.docx（62页珍藏版）》请在冰点文库上搜索。

信息技术安全技术

信息技术安全技术

信息安全管理体系要求

Informationtechnology-Securitytechniques

-Informationsecuritymanagementsystems-requirements

（IDTISO/IEC27001:

2005）

（征求意见稿，2006年3月27日）

目

次

前

引

言.............................................................................II

言............................................................................III

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4信息安全管理体系（ISMS）............................................................3

5管理职责............................................................................6

6内部ISMS审核......................................................................7

7ISMS的管理评审......................................................................7

8ISMS改进...........................................................................8

附录

附录

附录

A（规范性附录）控制目标和控制措施...........................................9

B（资料性附录）OECD原则和本标准..........................................20

C（资料性附录）ISO9001:

2000,ISO14001:

2004和本标准之间的对照...............21

I

前

言

II

引

言

0.1总则

本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurity

ManagementSystem，简称ISMS）提供模型。

采用ISMS应当是一个组织的一项战略性决策。

一个组织

的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述

因素及其支持系统会不断发生变化。

按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情

况可采用简单的ISMS解决方案。

本标准可被内部和外部相关方用于一致性评估。

0.2过程方法

本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。

一个组织必须识别和管理众多活动使之有效运作。

通过使用资源和管理，将输入转化为输出的任意

活动，可以视为一个过程。

通常，一个过程的输出可直接构成下一过程的输入。

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。

本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：

a）理解组织的信息安全要求和建立信息安全方针与目标的需要；

b）从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；

c）监视和评审ISMS的执行情况和有效性；

d）基于客观测量的持续改进。

本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型，该模型

可应用于所有的ISMS过程。

图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过

必要的行动和过程，产生满足这些要求和期望的信息安全结果。

图1也描述了4、5、6、7和8章所提

出的过程间的联系。

采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）1中所设置的原则。

本

标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强

健的模型。

例1：

某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要

求。

例2：

如果发生了严重的事故——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员

工按照适当的程序，将事件的影响降至最小。

这可能是一种期望。

1

OECD信息系统和网络安全指南——面向安全文化。

巴黎：

OECD，2002年7月。

www.oecd.org

III

规划Plan

建立ISMS

相关方

相关方

实施

实施和

保持和

处置

Do运行ISMS

改进ISMS

Act

受控的

信息安全

要求和期望

监视和

评审ISMS

信息安全

检查Check

图1应用于ISMS过程的PDCA模型

0.3与其它管理体系的兼容性

本标准与GB/T19001-2000及GB/T24001-1996相结合，以支持与相关管理标准一致的、整合的实

施和运行。

因此，一个设计恰当的管理体系可以满足所有这些标准的要求。

表C.1说明了本标准、GB/T

19001-2000（ISO9001:

2000）和GB/T24001-1996（ISO14001:

2004）的各条款之间的关系。

本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。

IV

规划（建立ISMS）

建立与管理风险和改进信息安全有关的ISMS方针、目

标、过程和程序，以提供与组织整体方针和目标相一致

的结果。

实施（实施和运行ISMS）

实施和运行ISMS方针、控制措施、过程和程序。

检查（监视和评审ISMS）

对照ISMS方针、目标和实践经验，评估并在适当时，

测量过程的执行情况，并将结果报告管理者以供评审。

处置（保持和改进ISMS）

基于ISMS内部审核和管理评审的结果或者其他相关信

息，采取纠正和预防措施，以持续改进ISMS。

信息技术安全技术信息安全管理体系要求

重点：

本出版物不声称包括一个合同所有必要的规定。

用户负责对其进行正确的应用。

符合标准本身并

不获得法律义务的豁免。

1

1.1

范围

总则

本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。

本标准从组织的整体

业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。

它规定

了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。

注1：

本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。

注2：

ISO/IEC17799提供了设计控制措施时可使用的实施指南。

1.2应用

本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。

组织声称符合本标准时，对于

4、5、6、7和8章的要求不能删减。

为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证

明相关风险已被负责人员接受。

除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全

要求的能力和/或责任，否则不能声称符合本标准。

注：

如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO9001或者ISO14001相

关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。

2

规范性引用文件

下列参考文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，只有引用的版本适用于本

标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。

ISO/IEC17799:

2005，信息技术—安全技术—信息安全管理实用规则。

3

术语和定义

本标准采用以下术语和定义。

3.1

资产asset

任何对组织有价值的东西[ISO/IEC13335-1:

2004]。

3.2

可用性availability

根据授权实体的要求可访问和利用的特性[ISO/IEC13335-1:

2004]。

3.3

保密性confidentiality

信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC13335-1:

2004]。

1

3.4

信息安全informationsecurity

保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性

等特性[ISO/IEC17799：

2005]。

3.5

信息安全事件informationsecurityevent

信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反

或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IECTR18044：

2004]。

3.6

信息安全事故informationsecurityincident

一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成，它们具有损害业务运作和威

胁信息安全的极大的可能性[ISO/IECTR18044：

2004]。

3.7

信息安全管理体系（ISMS）informationsecuritymanagementsystem（ISMS）

是整个管理体系的一部分。

它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改

进信息安全的。

注：

管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。

3.8

完整性integrity

保护资产的准确和完整的特性[ISO/IEC13335-1:

2004]。

3.9

残余风险residualrisk

经过风险处理后遗留的风险[ISO/IECGuide73:

2002]。

3.10

风险接受riskacceptance

接受风险的决定[ISO/IECGuide73：

2002]。

3.11

风险分析riskanalysis

系统地使用信息来识别风险来源和估计风险[ISO/IECGuide73：

2002]。

3.12

风险评估riskassessment

风险分析和风险评价的整个过程[ISO/IECGuide73：

2002]。

3.13

风险评价riskevaluation

将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IECGuide73：

2002]。

3.14

风险管理riskmanagement

指导和控制一个组织相关风险的协调活动[ISO/IECGuide73：

2002]。

3.15

风险处理risktreatment

选择并且执行措施来更改风险的过程[ISO/IECGuide73：

2002]。

注：

在本标准中，术语“控制措施”被用作“措施”的同义词。

3.16

2

适用性声明statementofapplicability

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。

注：

控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于

信息安全的业务要求。

4

4.1

信息安全管理体系（ISMS）

总要求

一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进

文件化的ISMS。

就本标准而言，使用的过程基于图1所示的PDCA模型。

4.2建立和管理ISMS

4.2.1建立ISMS

组织应：

a）根据业务特点、组织结构、位置、资产和技术，确定ISMS的范围和边界，包括对例外于此范

围的对象作出详情和合理性的说明（见1.2）。

b）根据业务特点、组织结构、位置、资产和技术，确定ISMS方针，应：

1）

2）

3）

4）

5）

为其目标建立一个框架并为信息安全行动建立整体的方向和原则；

考虑业务和法律法规的要求，及合同中的安全义务；

在组织的战略性风险管理环境下，建立和保持ISMS；

建立风险评价的准则[见4.2.1c]]；

获得管理者批准。

注：

就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。

这些方针可以在

一个文件中进行描述。

c）确定组织的风险评估方法

1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。

2）制定接受风险的准则，识别可接受的风险级别（见5.1f）。

选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。

注：

风险评估具有不同的方法。

在ISO/IECTR13335-3《信息技术IT安全管理指南：

IT安全

管理技术》中描述了风险评估方法的例子。

d）识别风险

1）

2）

3）

4）

识别ISMS范围内的资产及其责任人2；

识别资产所面临的威胁；

识别可能被威胁利用的脆弱点；

识别丧失保密性、完整性和可用性可能对资产造成的影响。

e）分析和评价风险

1）

2）

3）

4）

在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造

成的对组织的影响。

评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控

制措施。

估计风险的级别。

确定风险是否可接受，或者是否需要使用在4.2.1c）2）中所建立的接受风险的准则进行处

2

术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。

术语

“责任人”不是指该人员实际上对资产拥有所有权。

3

理。

f）识别和评价风险处理的可选措施

可能的措施包括：

1）

2）

3）

4）

采用适当的控制措施；

在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见4.2.1

c）2）]；

避免风险；

将相关业务风险转移到其他方，如：

保险，供应商等。

g）为处理风险选择控制目标和控制措施

应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。

这种选择

应考虑接受风险的准则（见4.2.1c）2））以及法律法规和合同要求。

从附录A中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的

要求。

附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另

外的控制目标和控制措施。

注：

附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。

本标准用户可将附录A作为选择

控制措施的出发点，以确保不会遗漏重要的可选控制措施。

h）获得管理者对建议的残余风险的批准

i）获得管理者对实施和运行ISMS的授权

j）准备适用性声明（SoA）

应从以下几方面准备适用性声明：

1）从4.2.1g）选择的控制目标和控制措施，以及选择的理由；

2）当前实施的控制目标和控制措施（见4.2.1e）2））；

3）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。

注：

适用性声明提供了一份关于风险处理决定的综述。

删减的合理性说明提供交叉检查，以证明不会因疏忽而遗

漏控制措施。

4.2.2

实施和运行ISMS

组织应：

a）为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，即：

制定风险处理计划（见

第5章）。

b）实施风险处理计划以达到已识别的控制目标，包括资金安排、角色和职责的分配。

c）实施4.2.1g）中所选择的控制措施，以满足控制目标。

d）确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用来评估控制措施的有效

性，以产生可比较的和可再现的结果（见4.2.3c））。

注：

测量控制措施的有效性可使管理者和员工确定控制措施达到计划的控制目标的程度。

e）

f）

g）

h）

4.2.3

实施培训和意识教育计划（见5.2.2）。

管理ISMS的运行。

管理ISMS的资源（见5.2）。

实施能够迅速检测安全事件和响应安全事故的程序和其他控制措施（见4.2.3）a））。

监视和评审ISMS

组织应：

4

a）执行监视和评审程序和其它控制措施，以：

1）

2）

3）

4）

5）

迅速检测过程运行结果中的错误；

迅速识别试图的和得逞的安全违规和事故；

使管理者确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行；

通过使用指标，帮助检测安全事件并预防安全事故；

确定解决安全违规的措施是否有效。

b）在考虑安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMS

有效性的定期评审（包括满足ISMS方针和目标，以及安全控制措施的评审）。

c）测量控制措施的有效性以验证安全要求是否被满足。

d）按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行

评审，应考虑以下方面的变化：

1）

2）

3）

4）

5）

6）

组织结构；

技术；

业务目标和过程；

已识别的威胁；

已实施控制措施的有效性；

外部事件，如法律法规环境的变更、合同义务的变更和社会环境的变更。

e）按计划的时间间隔，对ISMS进行内部审核（见第6章）。

注：

内部审核，有时称为第一方审核，是用于内部目的，由组织自己或以组织的名义所进行的审核。

f）定期对ISMS进行管理评审，以确保ISMS范围保持充分，ISMS过程的改进得到识别（见7.1）。

g）考虑监视和评审活动的结果，以更新安全计划。

h）记录可能影响ISMS的有效性或执行情况的措施和事件（见4.3.3）。

4.2.4保持和改进ISMS

组织应经常：

a）实施已识别的ISMS改进措施。

b）依照8.2和8.3采取合适的纠正和预防措施。

从其它组织和组织自身的安全经验中吸取教训。

c）向所有相关方沟通措施和改进措施，其详细程度应与环境相适应，需要时，商定如何进行。

d）确保改进达到了预期目标。

4.3文件要求

4.3.1总则

文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结

果是可重复产生的。

至关重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯

到ISMS方针和目标之间的关系。

ISMS文件应包括：

a）形成文件的ISMS方针[见4.2.1b）]和目标；

b）ISMS的范围[见4.2.la）]；

c）支持ISMS的程序和控制措施；

d）风险评估方法的描述[见4.2.1c）]；

e）风险评估报告[见4.2.1c）到4.2.1g）]；

f）风险处理计划[见4.2.2b）]；

g）组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需

的形成文件的程序（见4.2.3c））；

h）本标准所要求的记录（见4.3.3）；

5

i）适用性声明。

注1：

本标准出现“形成文件的程序”之处，即要求建立该程序，形成文件，并加以实施和保持。

注2：

不同组织的ISMS文件的详略程度取决于：

−

−

组织的规模和活动的类型；

安全要求和被管理系统的范围及复杂程度；

注3：

文件和记录可以采用任何形式或类型的介质。

4.3.2

文件控制

ISMS所要求的文件应予以保护和控制。

应编制形成文件的程序，以规定以下方面所需的管理措施：

a）文件发布前得到批准，以确保文件是适当的；

b）必要时对文件进行评审、更新并再次批准；

c）确保文件的更改和现行修订状态得到标识；

d）确保在使用处可获得适用文件的相关版本；

e）确保文件保持清晰、易于识别；

f）确保文件对需要的人员可用，并依照文件适用的类别程序进行传输、贮存和最终销毁；

g）确保外来文件得到标识；

h）确保文件的分发得到控制；

i）防止作废文件的非预期使用；

j）若因任何原因而保留作废文件时，对这些文件进行适当的标识。

4.3.3记录控制

记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。

记录应加以保护和控制。

ISMS

的记录应考虑相关法律法规要求和合同义务。

记录应保持清晰、易于识别和检索。

记录的标识、贮存、

保护、检索、保存期限和处置所需的控制措施应形成文件并实施。

记录的详略程度应通过管理过程确定。

应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的安全事故的记录。

例如：

记录包括访客登记薄、审核报告和已完成的访问授权单。

5

管理职责

5.1

管理承诺

管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据：

a）制定ISMS方针；

b）确保ISMS目标和计划得以制定；

c）建立信息安全的角色和职责；

d）向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；

e）提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；

f）决定接受风险的准则和风险的可接受级别；

g）确保ISMS内部审核的执行（见第6章）；

h）实施ISMS的管理评审（见第7章）。

5.2资源管理

5.2.1资源提供

组织应确定并提供所需的资源，以：

a）建立、实施、运行、监视、评审、保持和改进ISMS；

b）确保信息安全程序支持业务要求；

c）识别和满足法律法规要求、以及合同中的安全义务；

d）通过正确实施所有的控制措施保持适当的安全；

e）必要时，进行评审