信息技术信息技术信息安全管理实用规则.docx
《信息技术信息技术信息安全管理实用规则.docx》由会员分享,可在线阅读,更多相关《信息技术信息技术信息安全管理实用规则.docx(69页珍藏版)》请在冰点文库上搜索。
信息技术信息技术信息安全管理实用规则
(信息技术)信息技术信息安全管理实用规则
目次
前言III
引言IV
1范围1
2术语和定义1
2.1信息安全1
2.2风险评估1
2.3风险管理1
3安全策略1
3.1信息安全策略1
4组织的安全2
4.1信息安全基础设施2
4.2第三方访问的安全4
4.3外包6
5资产分类和控制7
5.1资产的可核查性7
5.2信息分类7
6人员安全8
6.1岗位设定和人力资源的安全8
6.2用户培训10
6.3对安全事故和故障的响应10
7物理和环境的安全11
7.1安全区域11
7.2设备安全13
7.3一般控制15
8通信和操作管理16
8.1操作规程和职责16
8.2系统规划和验收19
8.3防范恶意软件19
8.4内务处理20
8.5网络管理21
8.6媒体处置和安全21
8.7信息和软件的交换23
9访问控制26
9.1访问控制的业务要求27
9.2用户访问管理27
9.3用户职责29
9.4网络访问控制30
9.5操作系统访问控制32
9.6应用访问控制35
9.7对系统访问和使用的监督35
9.8移动计算和远程工作37
10系统开发和维护38
10.1系统的安全要求38
10.2应用系统的安全39
10.3密码控制41
10.4系统文件的安全43
10.5开发和支持过程的安全44
11业务连续性管理46
11.1业务连续性管理的各方面46
12符合性48
12.1符合法律要求48
12.2安全策略和技术符合性的评审51
12.3系统审核考虑52
1前言
GB/TXXXX-XXXX《信息技术信息安全管理实用规则》。
本标准修改采用ISO/IEC17799-2000《信息技术信息安全管理实用规则》,在12.1.6中增加了“a)使用国家主管部门审批的密码算法和密码产品”,作为修改内容。
本标准中所有实线方框仅具有醒目的作用。
本部分由中华人民共和国信息产业部提出。
本部分由全国信息安全标准化技术委员会归口。
本部分由中国电子技术标准化研究所、中国电子科技集团第30研究所、上海三零卫士信息安全有限公司、中国电子科技集团第15研究所、北京思乐信息技术有限公司负责起草。
本部分主要起草人:
黄家英、林望重、魏忠、林中、王新杰、罗锋盈、陈星。
2引言
什么是信息安全?
象其他重要业务资产一样,信息也是一种资产。
它对一个组织具有价值,因此需要加以合适地保护。
信息安全防止信息受到的各种威胁,以确保业务连续性,使业务损害减至最小,使投资回报和业务机会最大。
信息可能以各种形式存在。
它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段发送、呈现在胶片上或用言语表达。
无论信息采用什么形式或者用什么方法存储或共享,都应对它进行适当地保护。
信息安全在此表现为保持下列特征:
a)保密性:
确保信息仅被已授权访问的人访问;
b)完整性:
保护信息及处理方法的准确性和完备性;
c)可用性:
确保已授权用户在需要时可以访问信息和相关资产。
信息安全是通过实现一组合适控制获得的。
控制可以是策略、惯例、规程、组织结构和软件功能。
需要建立这些控制,以确保满足该组织的特定安全目标。
为什么需要信息安全?
信息和支持过程,系统和网络都是重要的业务资产。
信息的保密性、完整性和可用性对维持竞争优势、现金流转、赢利、守法和商业形象可能是必不可少的。
各组织及其信息系统和网络日益面临来自各个方面的安全威胁。
这些方面包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或水灾。
诸如计算机病毒、计算机黑客捣乱和拒绝服务攻击,已经变得更普遍、更有野心和日益高科技。
对信息系统和服务的依赖意味着组织对安全威胁更为脆弱。
公共网络和专用网络的互连和信息资源的共享增加了实现访问控制的难度。
分布式计算的趋势已削弱集中式控制的有效性。
许多信息系统已不再单纯追求设计成安全的,因为通过技术手段可获得的安全性是有限的。
应该用合适的管理和规程给予支持。
标识哪些控制要到位需要仔细规划并注意细节。
信息安全管理至少需要该组织内的所有员工参与,还可能还要求供应商、消费者或股票持有人的参与。
外界组织的专家建议可能也是需要的。
如果在制定要求规范和设计阶段把信息安全控制结合进去,那么,该信息安全控制就会更加经济和更加有效。
如何建立安全要求
最重要的是组织标识出它的安全要求。
有三个主要来源。
第一个来源是由评估该组织的风险所获得的。
通过风险评估,标识出对资产的威胁,评价易受威胁的脆弱性和威胁出现的可能性和预测威胁潜在的影响。
第二个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同的要求。
第三个来源是组织开发支持其运行的信息处理的特定原则、目标和要求的特定集合。
评估安全风险
安全要求是通过安全风险的系统性评估予以标识。
用于控制的经费需要针对可能由安全故障导致的业务损害加以平衡。
风险评估技术可适用于整个组织,或仅适用于组织的某些部门,若这样做切实可行、现实和有帮助,该技术也适用于各个信息系统、特定系统部件或服务。
风险评估要系统地考虑以下内容:
a)可能由安全故障导致的业务损害,要考虑到信息或其他资产的保密性、完整性或可用性丧失的潜在后果;
b)从最常见的威胁和脆弱性以及当前所实现的控制来看,有出现这样一种故障的现实可能性。
评估的结果将帮助指导和确定合适的管理行动,以及管理信息安全风险和实现所选择控制的优先级,以防范这些风险。
评估风险和选择控制的过程可能需要进行许多次,以便涵盖组织的不同部门或各个信息系统。
重要的是对安全风险和已实现的控制进行周期性评审,以便:
a)考虑业务要求和优先级的变更;
b)考虑新的威胁和脆弱性;
c)证实控制仍然维持有效和合适。
根据先前评估的结果评审宜在不同深度级别进行,以及在管理层准备接受的更改风险级别进行。
作为高风险区域优化资源的一种手段,风险评估通常首先在高级别进行,然后在更细的级别进行,以提出具体的风险。
选择控制
一旦安全要求已被标识,则应选择并实现控制,以确保风险减少到可接受的程度。
控制可以从本标准或其他控制集合中选择,或者当合适时设计新的控制以满足特定需求。
有许多不同的管理风险的方法,本标准提供常用方法的若干例子。
然而,需要认识到有些控制不适用于每种信息系统或环境,并且不是对所有组织都可行。
作为一个例子,8.1.4描述如何分割责任,以防止欺诈或出错。
在较小的组织中分割所有责任是不太可能的,获得相同控制目标的其他方法可能是必要的。
作为另一个例子,9.7和12.1描述如何监督系统使用及如何收集证据。
所描述的控制,例如事件记录可能与适用的法律相冲突,诸如消费者或在工作场地内的隐私保护。
控制应根据与风险减少相关的实现成本和潜在损失(如果安全违规出现)予以选择。
也应考虑诸如丧失信誉等非金钱因素。
本标准中的某些控制可认为是信息安全管理的指导原则,并且可用于大多数组织。
下面在题为“信息安全起点”中更详细解释这些控制。
信息安全起点
许多控制可认为是为实现信息安全提供良好起点的指导原则。
它们或者是基于重要的法律性要求,或者被认为是信息安全常用的最佳惯例。
从法律的观点看,对某个组织重要的控制包括:
a)个人信息的数据保护和隐私(见12.1.4);
b)保护组织的记录(见12.1.3);
c)知识产权(见12.1.2)。
认为是信息安全常用最佳惯例的控制包括:
a)信息安全策略文档(见3.1);
b)信息安全职责的分配(见4.1.3);
c)信息安全教育和培训(见6.2.1);
d)报告安全事故(见6.3.1);
e)业务连续性管理(见11.1)。
这些控制适用于大多数组织和环境。
应注意,虽然本标准中的所有控制都是重要的,但是从某个组织正面临的特定风险来看,应确定任一控制的贴切性。
因此,虽然上述方法被认为是一种良好的起点,但它并不取代选择基于风险评估的控制。
关键的成功因素
经验已经表明下列因素通常对某个组织能否成功实现信息安全是关键的:
a)反映业务目标安全策略、目的以及活动;
b)符合组织文化的实现安全的方法;
c)来自管理层的可视支持和承诺;
d)正确理解安全要求、风险评估和风险管理;
e)向所有管理者和员工传达有效的安全需求;
f)向所有员工和合同商分发关于信息安全策略和标准的指导;
g)提供合适的培训和教育;
h)有一个综合和平衡的度量系统,它可用来评估信息安全管理的执行情况以及反馈改进建议。
开发你自己的指南
本实用规则可以认为是开发组织具体指导的起点。
本实用规则中的指导和控制并不全都是可用的。
而且,可以要求本标准中未包括的附加控制。
当发生这种情况时,保持交叉引用可能是有用的,该交叉引用便于审核员和业务方进行符合性检验。
信息技术信息安全管理实用规则
21 范围
本标准对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。
本标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并提供组织间交往的信任。
本标准的推荐内容应按照适用的我国法律和法规加以选择和使用。
22 术语和定义
下列定义适用于本标准。
22.1 信息安全Informationsecurity
保持信息的保密性、完整性和可用性。
—保密性
确保信息仅被已授权访问的人访问。
—完整性
保护信息及处理方法的准确性和完备性。
—可用性
确保已授权用户在需要时可以访问信息和相关资产。
22.2 风险评估Riskassessment
对信息和信息处理设施的威胁、影响及信息和信息处理设施自身的脆弱性以及它们出现的可能性的评估。
22.3 风险管理Riskmanagement
相对可接受的费用而言,标识、控制和尽量减少(或消除)可能影响信息系统的安全风险的过程。
23 安全策略
23.1 信息安全策略
目的:
提供管理方向和支持信息安全。
管理层应制定清晰的策略方向,并通过在整个组织中颁发和维护信息安全策略来表明对信息安全的支持和承诺。
23.1.1 信息安全策略文档
策略文件要由管理层批准,当合适时,将其发布并传递给所有员工。
策略文档应说明管理承诺,并提出组织的管理信息安全的途径。
至少,应包括下列指南:
a)信息安全定义、其总目标和范围以及在信息共享允许机制下安全的重要性(见引言);
b)管理层意图的说明,以支持信息安全的目标和原则;
c)对组织特别重要的安全策略、原则、标准和符合性要求的简要说明,例如:
1)服从法律和合同要求;
2)安全教育要求;
3)防范和检测病毒和其他恶意软件;
4)业务连续性管理;
5)安全策略违反的后果;
d)安全信息管理(包括报告安全事故)的总职责和特定职责的定义;
e)引用可以支持策略的文档,例如,特定信息系统的更详细的安全策略和规程,或用户应遵守的安全规则。
应以预期的读者适合的、可访问的和可理解的形式将策略传递给整个组织的用户。
23.1.2 评审和评价
该策略应有专人负责,他按照所定义的评审过程负责其维护和评审。
该过程应确保:
根据影响原始风险评估基础的任何变更(例如,重大的安全事故、新的脆弱性和随组织上或技术上的基础设施的变更)进行相应的评审。
还要安排下列周期性评审:
a)通过所记录安全事故的性质、数目和影响证明策略的有效性;
b)控制对业务效率和成本的影响;
c)技术变更的影响。
24 组织的安全
24.1 信息安全基础设施
目的:
管理组织范围内的信息安全。
应建立管理框架,以启动和控制组织范围内的信息安全的实施。
应建立有管理领导人员参加的相应的管理协调小组,以核准整个组织内的信息安全策略、指派安全角色以及协调安全的实施。
若需要,要在组织范围内建立专家信息安全建议原始资料,并在组织内可利用该资料。
要发展与外部安全专家的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当涉及安全事故时,提供相适应的联络地点。
应鼓励信息安全的多学科途径,例如,涉及诸如保险和风险管理等领域内的管理者、用户、行政管理者、应用设计者、审核员和安全职员以及专业技术熟练工人的合作和协作。
24.1.1 管理信息安全协调小组
信息安全是管理团队所有成员所共同遵守的业务职责。
因此,认为管理协调小组能确保安全举措有清晰的方向和看得见的管理层支持。
该协调小组要通过合适的承诺和足够的资源来促进组织范围内的安全。
该协调小组可以是现有管理团体的一部分。
一般,这种协调小组承担下列事项:
a)评审和核准信息安全策略和总体职责;
b)监督暴露于主要威胁下的信息资产重大变更;
c)评审和监督信息安全事故;
d)批准增强信息安全的重大举措。
由一名管理者负责与安全相关的所有活动。
24.1.2 信息安全协调
在大型组织中,有必要成立一个由各相关部门的管理代表组成的跨部门的协调小组,以协调信息安全控制措施的实施。
一般地说,这样的协调小组执行以下方面的工作:
a)商定整个组织中信息安全的特定角色和职责;
b)商定信息安全的特定方法和过程,例如,风险评估,安全分类体系;
c)商定和支持组织范围的信息安全举措,例如,安全意识教育计划;
d)确保安全是信息规划过程的一部分;
e)评估新系统或服务的特定信息安全控制的充分程度,并协调实施这些控制;
f)评审信息安全事故;
g)促进整个组织信息安全的业务支持的可视性。
24.1.3 信息安全职责的分配
保护各种资产以及进行特定安全处理的职责应予以清晰地定义。
信息安全策略(见第3章)应对组织内的安全角色和职责的分配提供全面指导。
若需要,应用特定场地、系统或服务用的更详细的指导予以补充。
各个物理及信息资产和安全过程(诸如业务连续性规划)的局部职责应予以清晰地定义。
在许多组织中,将任命一名信息安全管理者全面负责安全的开发和实施,并支持控制的标识。
然而,提供控制资源并实施这些控制的职责通常归于各个管理者。
一种通常的做法是对每一信息资产指定一名责任人,因此,他对该信息资产的日常安全负责。
信息资产的责任人可以将他们的安全职责委托给各个管理者或服务提供者。
尽管如此,该责任人仍然最终负责该资产的安全,并且他应能确定任何被委托的职责是否已被正确地履行。
重要的是每个管理者负责的领域要予以清晰地规定;特别是,应进行下列工作。
a)与每个独立系统相关的各种资产和安全过程应予以标识并清晰地定义。
b)应商定每一资产或安全过程的管理者职责,并且应形成该职责的细节文档。
c)授权级别应清晰地予以定义,并形成文档。
24.1.4 信息处理设施的授权过程
应建立新信息处理设施的管理授权过程。
理应考虑下列控制:
a)新设施要有相应用户管理层的批准,以授权设施的用途和使用。
还要获得负责维护本地系统安全环境的管理者批准,以确保所有相关安全策略和要求得到满足。
b)若需要,硬件和软件应进行检验,以确保它们与其他系统部件兼容。
注:
对某些连接可以要求型式批准。
c)应对处理业务信息和所有必要控制所使用的个人信息处理设施进行授权。
d)使用工作场地内的个人信息处理设施可能引起新的脆弱性,因此,要进行评估和授权。
这些控制在已组成网络的环境中特别重要。
24.1.5 专家的信息安全建议
专家的安全建议可能是许多组织需要的。
在概念上,一个有经验的内部信息安全顾问要提供这种建议。
不是所有组织都希望聘用专家顾问。
在这样的情况下,建议确定专门人员协调内部知识和经验,以确保一致性,并且在作出安全判定时提供帮助。
各个组织也应访问适合的外部顾问,顾问们可提供超出各组织自身经验的专家建议。
应对信息安全顾问或上述相应人员分派提供建议的任务,即使用他们自己的或外部的建议来提供关于信息安全各方面的建议。
他们评定安全威胁的质量和关于控制的建议将确定该组织的信息安全的有效性。
为了最高有效性和最好效果,要允许他们直接访问整个组织中的管理层。
在怀疑发生安全事故或违规之后的最早可能阶段,要咨询信息安全顾问或合同中相应的指定人,以提供专门指导或调查资源的原始资料。
虽然大多数内部安全调查将通常在管理控制下进行,但可以要求信息安全顾问对调查提供建议、引导或进行这种调查。
24.1.6 组织之间的合作
要保持与法律执行机构、制订法规的机构、信息服务提供者和电信运营商的相应联系,以确保万一出现安全事故时可以快速采取适当行动并获得建议。
同样,要考虑安全团体和行业协调小组的成员。
安全信息的交换要受到限制,以确保不把该组织的保密信息传递给未授权的个人。
24.1.7 信息安全的独立评审
信息安全策略文档(见3.1)提出信息安全策略和职责。
其实施要独立地予以评审,以提供保证,即保证组织的实践正确地反映了策略,并且保证该策略是可行的和有效的(见12.2)。
这样的评审可以通过内部审核职能、独立的管理者或专门做这种评审的第三方组织来进行,条件是这些候选者具有相应的技能和经验。
24.2 第三方访问的安全
目的:
维护被第三方所访问的组织的信息处理设施和信息资产的安全。
被第三方访问的组织的信息处理设施应予以控制。
若有一种业务需要这种第三方访问,就要进行风险评估,以确定安全蕴涵和控制要求。
在与第三方签订的合同中要商定和定义控制。
第三方访问还可能包含其他参与者。
给与第三方访问的合同要包括指定其它合格参与者及其访问的条件的许可限度。
本标准可以用作这种合同的基础以及考虑外包信息处理时的基础。
24.2.1 标识第三方访问的风险
24.2.1.1 访问类型
给予第三方的访问类型特别重要。
例如,通过网络连接的访问风险与由于物理访问导致的风险不同。
应予以考虑的访问类型有:
a)物理访问,例如,访问办公室,计算机机房,档案室;
b)逻辑访问,例如,访问组织的数据库,信息系统。
24.2.1.2 访问的原因
有许多原因可以授予第三方访问。
例如,向组织提供服务却不在现场的第三方,可以授予物理和逻辑访问权,诸如:
a)硬件和软件支持人员,他们需要访问系统级或低级别的应用功能度;
b)贸易伙伴或联合投资者,他们可以交换信息,访问信息系统或共享数据库。
在不充分的安全管理情况下,由于第三方访问,可能把信息置于风险中。
若有业务需要连接到第三方地址,那么应进行风险评估,以标识出特定控制的任何要求。
要考虑到所要求的访问类型、信息的价值、第三方所利用的控制以及这种访问牵连到该组织的信息安全。
24.2.1.3 现场合同方
在其合同中所定义的一段时间内位于现场的第三方也可能导致安全弱点。
现场第三方的例子包括:
a)硬件和软件维护与支持人员;
b)清洁、给养、安全保卫和其他外包支持服务;
c)实习学生或其他短期临时工作人员;
d)顾问。
重要的是要理解需要什么样的控制来管理第三方对信息处理设施的访问。
一般来说,由第三方访问导致的所有安全要求或者内部控制应在第三方合同反映出来(也见4.2.2)。
例如,如果对于信息的保密性有特定的需要,可以使用不泄露协议(见6.1.3)。
只有在实施了适当的控制措施并签定了涵盖连接和访问条款的合同之后,第三方才可以访问信息和信息处理设施。
24.2.2 第三方合同中的安全要求
涉及第三方访问组织信息处理设施的协议要以包含或引用所有重要要求的正式合同为基础,以确保符合组织的安全策略和标准。
该合同要确保在该组织和第三方之间不存在误解。
至于其供应商的赔偿问题,各组织应自行解决。
合同中应考虑下列条款:
a)信息安全的通用策略;
b)资产保护,包括:
1)保护组织资产(包括信息和软件)的规程;
2)确定资产是否受到损害(例如丢失数据或修改数据)的规程;
3)确保在合同截止时或在合同执行期间双方同意的某一时段对信息和资产的归还或销毁的控制;
4)完整性和可用性;
5)对拷贝和泄露信息的限制;
c)要提供每项服务的描述;
d)服务的目标级别和不可接受的服务级别;
e)若合适,人员转职的规定;
f)协议双方的相关义务;
g)关于法律事件(例如,数据保护法律)的责任。
如果该合同涉及与其他国家的组织的合作,特别要考虑到不同的国家法律体系(也见12.1);
h)知识产权(IPRs)和版权转让(见12.1.2)以及任何协作性工作的保护(见6.1.3);
i)访问控制协议,包括:
1)允许的访问方法,唯一标识符(诸如用户ID和口令)的控制和使用。
2)用户访问和特权的授权过程;
3)维护被授权使用正在提供的服务的个人清单的要求以及他们与这种使用相关的权利和特权是哪些;
j)可验证的性能要求的定义、监督和报告;
k)监督和撤销用户活动的权利;
l)审核合同职责的权利或拥有由第三方进行这些审核的权利;
m)建立逐级解决问题的过程;在适合的情况下,也应考虑意外事故安排;
n)关于硬件和软件安装和维护的职责;
o)一种清晰的报告结构和商定的报告格式;
p)一种清晰规定的变更管理过程;
q)任何要求的物理保护控制和机制,以确保遵守这些控制;
r)对用户和管理者在方法、规程和安全方面的培训;
s)确保防范恶意软件的控制措施(见8.3);
t)报告、通知和调查安全事故和安全违规的安排;
u)包括具有转包商的第三方。
24.3 外包
目的:
信息处理的职责是在外包给其他组织时维护信息安全。
外包安排应在双方的合同中指出信息系统、网络和/或桌面环境的风险、安全控制和规程。
24.3.1 外包合同中的安全要求
组织的信息系统、网络和/或桌面环境的全部或某些部分的管理和控制进行外包时,要在双方所商定的合同中指出安全要求。
例如,合同中要指出:
a)如何满足法律要求,例如,数据保护法律;
b)有什么样的安排,可确保外包所涉及的各方(包括转包商)知道其安全职责;
c)如何维护和测试该组织的业务资产的完整性和保密性;
d)将使用什么样的物理和逻辑控制来限制和限定已授权用户访问该组织的敏感的业务信息;
e)万一有自然灾害,如何维护服务的可用性;
f)对外包设备要提供什么等级的物理安全;
g)审核的权利。
4.2.2的清单中所给出的条款也应考虑作为该合同的一部分。
该合同要允许在双方待商定的安全管理计划中扩充安全要求和规程。
虽然外包合同可能提出某些复杂的安全问题,但在本实用规则中所包括的控制可以用作商定安全管理计划的结构和内容的起点。
25 资产分类和控制
25.1 资产的可核查性
目的:
维持对组织资产的相应保护。
所有主要信息资产应是可核查的,并且有指定的责任人。
资产的可核查性有助于确保维持相应的保护。
对于所有主要资产要标识出责任人,并且要赋予维护相应控制的职责。
可以授予实施控制的职责。
可核查性归于资产的指定责任人。
25.1.1 资产清单
资产清单有助于确保进行有效的资产保护,并且对于其他业务目的,诸如健康与安全、保险或财务(资产管理)的原因,也需要资产清单。
编制资产清单的过程是风险管理的重要部分。
一个组织需要能标识出资产和这些资产的相关价值和重要性。
然后,根据该信息,一个组织可以提供与资产的价值和重要性相称的保护等级。
每个信息系统相关的重要资产都应编制清单并加以维持。
每一资产应清楚地标识,应商定其所有权和安全分类(见5.2)以及其当前位置(尝试从丢失或损坏中恢复时是重要的)并形成文档。
与信息系统相关的资产举例:
a)信息资产:
数据库和数据文件,系统文档,用户
升级会员 