《信息安全管理实用规则.要点》由会员分享,可在线阅读,更多相关《信息安全管理实用规则.要点(98页珍藏版)》请在金锄头文库上搜索。
1、信息技术 安全技术信息安全管理实用规则Information technology-Security techniques-Code of practice for information security management(ISO/IEC 17799:2005)35目 次引 言III0.1 什么是信息安全?III0.2 为什么需要信息安全?III0.3 如何建立安全要求III0.4 评估安全风险IV0.5 选择控制措施IV0.6 信息安全起点IV0.7 关键的成功因素V0.8 开发你自己的指南V1 范围12 术语和定义13 本标准的结构23.1 章节23.2 主要安全类别34 风险评估和
2、处理34.1 评估安全风险34.2 处理安全风险45 安全方针45.1 信息安全方针46 信息安全组织66.1 内部组织66.2 外部各方107 资产管理157.1 对资产负责157.2 信息分类168 人力资源安全188.1 任用之前188.2 任用中208.3 任用的终止或变化219 物理和环境安全239.1 安全区域239.2 设备安全2610 通信和操作管理2910.1 操作程序和职责2910.2 第三方服务交付管理3210.3 系统规划和验收3310.4 防范恶意和移动代码3410.5 备份3610.6 网络安全管理3710.7 介质处置3810.8 信息的交换4010.9 电子商务
3、服务4410.10 监视4611 访问控制5011.1 访问控制的业务要求5011.2 用户访问管理5111.3 用户职责5311.4 网络访问控制5511.5 操作系统访问控制5811.6 应用和信息访问控制6211.7 移动计算和远程工作6312 信息系统获取、开发和维护6512.1 信息系统的安全要求6512.2 应用中的正确处理6612.3 密码控制6812.4 系统文件的安全7012.5 开发和支持过程中的安全7212.6 技术脆弱性管理7513 信息安全事件管理7613.1 报告信息安全事态和弱点7613.2 信息安全事件和改进的管理7814 业务连续性管理8014.1 业务连续性
4、管理的信息安全方面8015 符合性8415.1 符合法律要求8415.2 符合安全策略和标准以及技术符合性8715.3 信息系统审核考虑88 引 言0.1 什么是信息安全?象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行
5、适当地保护。信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。0.2 为什么需要信息安全?信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏
6、行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者,例如实现电子政务或电子商务,避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的,应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能
7、要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。0.3 如何建立安全要求组织识别出其安全要求是非常重要的,安全要求有三个主要来源:1、 一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。2、 另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。3、 第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。0.4 评估安全风险安全要求是通过对安全风险的系统评估予
8、以识别的。用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。风险评估应定期进行,以应对可能影响风险评估结果的任何变化。更多的关于安全风险评估的信息见第4.1节“评估安全风险”。0.5 选择控制措施一旦安全要求和风险已被识别并已作出风险处理决定,则应选择并实现合适的控制措施,以确保风险降低到可接受的级别。控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所作出的决定,该决定是基于组织所应用的风险接受准则
9、、风险处理选项和通用的风险管理方法,同时还要遵守所有相关的国家和国际法律法规。本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。下面在题为“信息安全起点”中将更详细的解释这些控制措施。更多的关于选择控制措施和其他风险处理选项的信息见第4.2节“处理安全风险”。0.6 信息安全起点许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求,或者被认为是信息安全的常用惯例。从法律的观点看,对某个组织重要的控制措施包括,根据适用的法律:a) 数据保护和个人信息的隐私(见15.1.4);b) 保护组织的记录(见15.1.3);c) 知识产权(见15.1.2)。被
10、认为是信息安全的常用惯例的控制措施包括: a) 信息安全方针文件(见5.1.1);b) 信息安全职责的分配(见6.1.3);c) 信息安全意识、教育和培训(见8.2.2);d) 应用中的正确处理(见12.2);e) 技术脆弱性管理(见12.6);f) 业务连续性管理(见14);g) 信息安全事件和改进管理(见13.2)。这些控制措施适用于大多数组织和环境。应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此,虽然上述方法被认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。0.7 关键的成功因素经
11、验表明,下列因素通常对一个组织成功地实现信息安全来说,十分关键: a) 反映业务目标的信息安全方针、目标以及活动;b) 和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架;c) 来自所有级别管理者的可视化的支持和承诺; d) 正确理解信息安全要求、风险评估和风险管理;e) 向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识;f) 向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见;g) 提供资金以支持信息安全管理活动;h) 提供适当的意识、培训和教育;i) 建立一个有效的信息安全事件管理过程;j) 实现一个测量 注意信息安全测量不在本标准范围内。系
12、统,它可用来评价信息安全管理的执行情况和反馈的改进建议。0.8 开发你自己的指南本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。信息技术 安全技术 信息安全管理实用规则1 范围本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。本标
13、准可作为建立组织的安全准则和有效安全管理惯例的实用指南,并有利于在组织间的活动中建立信心。2 术语和定义下列术语和定义适用于本标准。2.1 资产 asset对组织有价值的任何东西ISO/IEC 13335-1:2004。2.2 控制措施 control管理风险的方法,包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。注:控制措施也用于防护措施或对策的同义词。2.3 指南 guideline阐明应做什么和怎么做以达到方针策略中制定的目标的描述ISO/IEC TR 13335-1:20042.4 信息处理设施 information processing facili
14、ties任何信息处理系统、服务或基础设施,或放置它们的场所2.5 信息安全 information security保持信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等2.6 信息安全事态 information security event信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态ISO/IEC TR 18044:20042.7 信息安全事件 information security incident一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,
15、它们具有损害业务运作和威胁信息安全的极大的可能性ISO/IEC TR 18044:20042.8 方针 policy管理者正式发布的总的宗旨和方向2.9 风险 risk事件的概率及其结果的组合ISO/IEC Guide 73:20022.10 风险分析 risk analysis系统地使用信息来识别风险来源和估计风险ISO/IEC Guide 73:20022.11 风险评估 risk assessment风险分析和风险评价的整个过程ISO/IEC Guide 73:20022.12 风险评价 risk evaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程ISO/IEC Guide 73:200
