2020（安全生产）2020年信息安全管理

《2020（安全生产）2020年信息安全管理》由会员分享，可在线阅读，更多相关《2020（安全生产）2020年信息安全管理（105页珍藏版）》请在金锄头文库上搜索。

1、信息安全 管理 BS 7799 1 1999 第一部分 信息安全管理 业务手则 前言 BS 7799 本部分内容 即信息安全管理 是在 BSI DISC 委员会 BDD 2 指导 下完成的 它取代了已经停止使用的 BS 7799 1995 BS 7799 由两个部分组成 第一部分 信息安全管理业务守则 第二部分 信息安全管理系统规范 BS 7799 1 首发于 1995 年 它为信息安全提供了一套全面综合最佳实践经验 的控制措施 其目的是将信息系统用于工业和商业用途时为确定实施控制措施 的范围提供一个参考依据 并且能够让各种规模的组织所采用 本标准使用组织这一术语 既包括赢利性组织 也包括诸如

2、公共部门等非赢利 性组织 1999 年的修订版考虑到最新的信息处理技术应用 特别是网络和通讯的发展 情况 它也更加强调了信息安全所涉及的商业问题和责任问题 本文档所说明的控制措施不可能完全适用于所有情况 它没有考虑到本地系统 环境或技术上的制约因素 并且在形式上也不可能完全适合组织的所有潜在用 户 因此 本文档还需要有进一步的指导说明作为补充 例如 在制定公司策 略或公司间贸易协定时 可以使用本文档作为一个基石 British Standard 作为一个业务守则 在形式上采用指导和建议结合的方式 在使用时 不应该有任何条条框框 尤其特别注意 不要因为要求遵守守则而 因噎废食 本标准在起草时就已

3、经假定一个前提条件 即标准的执行对象是具有相应资格 的 富有经验的有关人士 附件 A 的信息非常丰富 其中包含一张表 说明了 1995 年版各部分与 1999 年版各条款间的关系 British Standard 无意包容合 约的所有必要条款 British Standards 的用户对他们正确使用本标准自负责任 符合 British Standard 不代表其本身豁免法律义务 什么是信息安全 信息是一种资产 就象其它重要的商业资产一样 它对一个组织来说是有价值 的 因此需要妥善进行保护 信息安全保护信息免受多种威胁的攻击 保证业 务连续性 将业务损失降至最少 同时最大限度地获得投资回报和利用

4、商业机 遇 信息存在的形式多种多样 它可以打印或写在纸上 以电子文档形式储存 通过邮寄或电子手段传播 以胶片形式显示或在交谈中表达出来 不管信息的 形式如何 或通过什么手段进行共享或存储 都应加以妥善保护 信息安全具有以下特征 a 保密性 确保只有经过授权的人才能访问信息 b 完整性 保护信息和信息的处理方法准确而完整 c 可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资 产 信息安全是通过实施一整套适当的控制措施实现的 控制措施包括策略 实践 步骤 组织结构和软件功能 必须建立起一整套的控制措施 确保满足组织特 定的安全目标 为什么需要信息安全 信息和支持进程 系统以及网络都是

5、重要的业务资产 为保证组织富有竞争力 保持现金流顺畅和组织赢利 以及遵纪守法和维护组织的良好商业形象 信息 的保密性 完整性和可用性是至关重要的 各个组织及其信息系统和网络所面临的安全威胁与日俱增 来源也日益广泛 包括利用计算机欺诈 窃取机密 恶意诋毁破坏等行为以及火灾或水灾 危害 的来源多种多样 如计算机病毒 计算机黑客行为 拒绝服务攻击等等 这些 行为呈蔓延之势遍 用意更加险恶 而且手段更加复杂 组织对信息系统和服 务的依赖意味着自身更容易受到安全威胁的攻击 公共网络与专用网络的互联 以及对信息资源的共享 增大了对访问进行控制的难度 分布式计算尽管十分 流行 但降低了集中式专家级控制措施的

6、有效性 很多信息系统在设计时 没 有考虑到安全问题 通过技术手段获得安全保障十分有限 必须辅之以相应的 管理手段和操作程序才能得到真正的安全保障 确定需要使用什么控制措施需 要周密计划 并对细节问题加以注意 作为信息安全管理的最基本要求 组织内所有的雇员都应参与信息安全管理 信息安全管理还需要供应商 客户或股东的参与 也需要参考来自组织之外的 专家的建议 如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施 那么 信息安全控制的成本会很低 并更有效率 如何制定安全要求 组织确定自己的安全要求 这是安全保护的起点 安全要求有三个主要来源 第一个来源是对组织面临的风险进行评估的结果 通过

7、风险评估 确定风险和 安全漏洞对资产的威胁 并评价风险发生的可能性以及潜在的影响 第二个来源是组织 其商业伙伴 承包商和服务提供商必须满足的法律 法令 规章以及合约方面的要求 第三个来源是一组专门的信息处理的原则 目标和要求 它们是组织为了进行 信息处理必须制定的 评估安全风险 安全要求是通过对安全风险的系统评估确定的 应该将实施控制措施的支出与 安全故障可能造成的商业损失进行权衡考虑 风险评估技术适用于整个组织 或者组织的某一部分以及独立的信息系统 特定系统组件或服务等 在这些地 方 风险评估技术不仅切合实际 而且也颇有助益 进行风险评估需要系统地考虑以下问题 a 安全故障可能造成的业务损失

8、 包含由于信息和其它资产的保密性 完整性 或可用性损失可能造成的后果 b 当前主要的威胁和漏洞带来的现实安全问题 以及目前实施的控制措施 评估的结果有助于指导用户确定适宜的管理手段 以及管理信息安全风险的优 先顺序 并实施所选的控制措施来防范这些风险 必须多次重复执行评估风险 和选择控制措施的过程 以涵盖组织的不同部分或各个独立的信息系统 对安全风险和实施的控制措施进行定期审查非常重要 目的是 a 考虑业务要求和优先顺序的变更 b 考虑新出现的安全威胁和漏洞 c 确认控制措施方法是否适当和有效 应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行 不同程度的审查 通常先在一个较

9、高的层次上对风险进行评估 这是一种优先 处理高风险区域中的资源的方法 然后在一个具体层次上处理特定的风险 选择控制措施 一旦确定了安全要求 就应选择并实施适宜的控制措施 确保将风险降低到一 个可接受的程度 可以从本文档或其它控制措施集合选择适合的控制措施 也 可以设计新的控制措施 以满足特定的需求 管理风险有许多方法 本文档提 供了常用方法的示例 但是 请务必注意 其中一些方法并不适用于所有信息 系统或环境 而且可能不适用于所有组织 例如 8 1 4 说明了如何划分责任 来防止欺诈行为和错误行为 在较小的组织中很难将所有责任划分清楚 因此 需要使用其它方法以达到同样的控制目的 在降低风险和违反

10、安全造成的潜在损失时 应该根据实施控制措施的成本选择 控制措施 还应该考虑声誉受损等非货币因素 本文档中的一些控制措施可以 作为信息安全管理的指导性原则 这些方法适用于大多数组织 在下文的 信 息安全起点 标题下 对此做了较为详细的解释 信息安全起点 很多控制措施都可以作为指导性原则 它们为实施信息安全提供了一个很好的 起点 这些方法可以是根据基本的法律要求制定的 也可以从信息安全的最佳 实践经验中获得 从规律规定的角度来看 对组织至关重要的控制措施包括 a 知识产权 参阅 12 1 2 b 组织记录的保护 参阅 12 1 3 c 对数据的保护和个人信息的隐私权保护 参阅 12 1 4 在保护

11、信息安全的实践中 非常好的常用控制措施包括 a 信息安全策略文档 参阅 3 1 1 b 信息安全责任的分配 参阅 4 1 3 c 信息安全教育和培训 参阅 6 2 1 d 报告安全事故 参阅 6 3 1 e 业务连续性管理 参阅 11 1 这些控制措施适用于大多数组织 并可在大多数环境中使用 请注意 尽管本文档中的所有文 档都很重要 但一种方法是否适用 还是取决于一个组织所面临的特定安全风险 因此 尽管 采用上述措施可以作为一个很好的安全保护起点 但不能取代根据风险评估结果选择控制措施 的要求 成功的关键因素 以往的经验表明 在组织中成功地实施信息安全保护 以下因素是非常关键的 a 反映组织目

12、标的安全策略 目标以及活动 b 与组织文化一致的实施安全保护的方法 c 来自管理层的实际支持和承诺 d 对安全要求 风险评估以及风险管理的深入理解 e 向全体管理人员和雇员有效地推销安全的理念 f 向所有雇员和承包商宣传信息安全策略的指导原则和标准 g 提供适当的培训和教育 h 一个综合平衡的测量系统 用来评估信息安全管理的执行情况和反馈意 见和建议 以便进一步改进 制定自己的指导方针 业务规则可以作为制定组织专用的指导原则的起点 本业务规则中的指导原则 和控制措施并非全部适用 因此 还可能需要本文档未包括的其它控制措施 出现上述情况时 各控制措施之间相互参照很有用 有利于审计人员和业务伙 伴

13、检查是否符合安全指导原则 目录 1 12 2术语和定义 13 2 1信息安全 13 2 2风险评估 13 2 3风险管理 13 3安全策略 14 3 1信息安全策略 14 3 1 1信息安全策略文档 14 3 1 2审查评估 14 4组织的安全 15 4 1信息安全基础设施 15 4 1 1管理信息安全论坛 15 4 1 2信息安全的协调 15 4 1 3信息安全责任的划分 15 4 1 4信息处理设施的授权程序 16 4 1 5专家信息安全建议 16 4 1 6组织间的合作 16 4 1 7信息安全的独立评审 17 4 2第三方访问的安全性 17 4 2 1确定第三方访问的风险 17 4 2

14、 2第三方合同的安全要求 18 4 3外包 19 4 3 1外包合同的安全要求 19 5资产分类管理 20 5 1资产责任 20 5 1 1资产目录 20 5 2信息分类 20 5 2 1分类原则 20 5 2 2信息标识和处理 21 6人员安全 22 6 1责任定义与资源管理的安全性 22 6 1 1考虑工作责任中的安全因素 22 6 1 2人员选拔策略 22 6 1 3保密协议 22 6 1 4雇佣条款和条件 22 6 2用户培训 23 6 2 1信息安全的教育与培训 23 6 3对安全事故和故障的处理 23 6 3 1安全事故报告 23 6 3 2安全漏洞报告 23 6 3 3软件故障报

15、告 24 6 3 4从事故中吸取教训 24 6 3 5纪律检查程序 24 7实际和环境的安全 25 7 1安全区 25 7 1 1实际安全隔离带 25 7 1 2安全区出入控制措施 25 7 1 3办公场所 房屋和设施的安全保障 26 7 1 4在安全区中工作 26 7 1 5与其它区域隔离的交货和装载区域 26 7 2设备的安全 27 7 2 1设备选址与保护 27 7 2 2电源 28 7 2 3电缆安全 28 7 2 4设备维护 28 7 2 5场外设备的安全 28 7 2 6设备的安全处置与重用 29 7 3常规控制措施 29 7 3 1桌面与屏幕管理策略 29 7 3 2资产处置 3

16、0 8通信与操作管理 31 8 1操作程序和责任 31 8 1 1明确的操作程序 31 8 1 2操作变更控制 31 8 1 3事故管理程序 31 8 1 4责任划分 32 8 1 5开发设施与运营设施分离 32 8 1 6外部设施管理 33 8 2系统规划与验收 33 8 2 1容量规划 34 8 2 2系统验收 34 8 3防止恶意软件 35 8 3 1恶意软件的控制措施 35 8 4内务处理 36 8 4 1信息备份 36 8 4 2操作人员日志 36 8 4 3错误日志记录 36 8 5网络管理 36 8 5 1网络控制措施 37 8 6介质处理与安全 37 8 6 1计算机活动介质的管理 37 8 6 2介质处置 37 8 6 3信息处理程序 38 8 6 4系统文档的安全 38 8 7信息和软件交换 38 8 7 1信息和软件交换协议 38 8 7 2传输中介质的安全 39 8 7 3电子商务安全 39 8 7 4电子邮件安全 40 8 7 5电子办公系统安全 40 8 7 6信息公布系统 41 8 7 7其它的信息交换形式 41 9访问控制 43 9 1访问控制的业务要求