信息安全管理

信息安全管理治理BS7799-1:1999第一部分:信息安全治理业务手则前言BS7799本部分内容,即信息安全治理,是在BSI/DISC委员会BDD/2指导下完成的。它取代了差不多停止使用的BS7799:1995。BS7799由两个部分组成:第一部分:信息安全治理业务守则;第二部分:信息安全治理系统规范。BS7799-1首发于1995年,它为信息安全提供了一套全面综合最佳实践体会的操纵措施。其目的是将信息系统用于エ业和商业用途时为确定实施操纵措施的范畴提供ー个参考依据,同时能够让各种规模的组织所釆纳。本标准使用组织这ー术语,既包括赢利性组织,也包括诸如公共部门等非赢利性组织。1999年的修订版考虑到最新的信息处理技术应用，专门是网络和通讯的进展情形。它也更加大调了信息安全所涉及的商业咨询题和责任咨询题。本文档所讲明的操纵措施不可能完全适用于所有情形。它没有考虑到本地系统、环境或技术上的制约因素。同时在形式上也不可能完全适合组织的所有潜在用户。因此,本文档还需要有进ー步的指导讲明作为补充。例如,在制定公司策略或公司间贸易协定时,能够使用本文档作为ー个基石。BritishStandard作为ー个业务守则,在形式上釆纳指导和建议结合的方式。在使用时，不应该有任何条条框框,专门专门注意,不要因为要求遵守守则而因噎废食。本标准在起草时就差不多假定一个前提条件，即标准的执行对象是具有相应资格的、富有体会的有关人士。附件A的信息专门丰富,其中包含ー张表,讲明了1995年版各部分与1999年版各条款间的关系。BritishStandard无意包容合约的所有必要条款。BritishStandards的用户对他们正确使用本标准自负责任。符合BritishStandard不代表其本身豁免法律义务。什么是信息安全?信息是一种资产,就象其它重要的商业资产ー样,它对ー个组织来讲是有价值的,因此需要妥善进行爱护。信息安全爱护信息免受多种威逼的攻击,保证业务连续性,将业务缺失降至最少,同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它能够打印或写在纸上，以电子文档形式储存,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不管信息的形式如何,或通过什么手段进行共享或储备,都应加以妥善爱护。信息安全具有以下特点:保密性:确保只有通过授权的人才能访咨询信息;完整性:爱护信息和信息的处理方法准确而完整;可用性:确保通过授权的用户在需要时能够访咨询信息并使用有关信息资产。信息安全是通过实施一整套适当的操纵措施实现的。操纵措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的操纵措施,确保满足组织特定的安全目标。什么缘故需要信息安全信息和支持进程、系统以及网络差不多上重要的业务资产。为保证组织富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和爱护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。作为信息安全治理的最差不多要求,组织内所有的雇员都应参与信息安全治理。信息安全治理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。如果在制定安全需求规范和设计时期时就考虑到了信息安全的操纵措施,那么信息安全操纵的成本会专门低,并更有效率。如何制定安全要求组织确定自己的安全要求,这是安全爱护的起点。安全要求有三个要紧来源。第一个来源是对组织面临的风险进行评估的结果。通过风险评估,确定风险和安全漏洞对资产的威逼,并评判风险发生的可能性以及潜在的阻碍。第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。第三个来源是ー组专门的信息处理的原则、目标和要求,它们是组织为了进行信息处理必须制定的。评估安全风险安全要求是通过对安全风险的系统评估确定的。应该将实施操纵措施的支出与安全故障可能造成的商业缺失进行权衡考虑。风险评估技术适用于整个组织，或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地点，风险评估技术不仅切合实际,而且也颇有助益。进行风险评估需要系统地考虑以下咨询题:安全故障可能造成的业务缺失，包含由于信息和其它资产的保密性、完整性或可用性缺失可能造成的后果;当前要紧的威逼和漏洞带来的现实安全咨询题,以及目前实施的操纵措施。评估的结果有助于指导用户确定适宜的治理手段,以及治理信息安全风险的优先顺序,并实施所选的操纵措施来防范这些风险。必须多次重复执行评估风险和选择操纵措施的过程,以涵盖组织的不同部分或各个独立的信息系统。对安全风险和实施的操纵措施进行定期审查专门重要,目的是:考虑业务要求和优先顺序的变更;考虑新显现的安全威逼和漏洞;确认操纵措施方法是否适当和有效。应该按照往常的评估结果以及治理层能够同意的风险程度变化对系统安全执行不同程度的审查。通常先在ー个较高的层次上对风险进行评估（这是ー种优先处理高风险区域中的资源的方法）,然后在ー个具体层次上处理特定的风险。选择操纵措施一旦确定了安全要求,就应选择并实施适宜的操纵措施,确保将风险降低到ー个可同意的程度。能够从本文档或其它操纵措施集合选择适合的操纵措施,也能够设计新的操纵措施,以满足特定的需求。治理风险有许多方法，本文档提供了常用方法的示例。然而，请务必注意,其中一些方法并不适用于所有信息系统或环境，而且可能不适用于所有组织。例如,8.1.4讲明了如何划分责任来防止欺诈行为和错误行为。在较小的组织中专门难将所有责任划分清晰,因此需要使用其它方法以达到同样的操纵目的。在降低风险和违反安全造成的潜在缺失时，应该按照实施操纵措施的成本选择操纵措施。还应该考虑声誉受损等非货币因素。本文档中的ー些操纵措施能够作为信息安全治理的指导性原则,这些方法适用于大多数组织。在下文的“信息安全起点”标题下,对此做了较为详细的讲明。信息安全起点专门多操纵措施都能够作为指导性原则,它们为实施信息安全提供了ー个专门好的起点。这些方法能够是按照差不多的法律要求制定的，也能够从信息安全的最佳实践体会中获得。从规律规定的角度来看,对组织至关重要的操纵措施包括:知识产权（参阅12.1.2）；组织记录的爱护（参阅12.1.3）；对数据的爱护和个人信息的隐私权爱护（参阅12.1.4）〇在爱护信息安全的实践中,专门好的常用操纵措施包括:信息安全策略文档（参阅3.1.1）；信息安全责任的分配（参阅4.1.3）；信息安全教育和培训（参阅6.2.1）；报告安全事故（参阅6.3.1）；业务连续性治理（参阅!1.Do这些操纵措施适用于大多数组织,并可在大多数环境中使用。请注意,尽管本文档中的所有文档都专门重要,但ー种方法是否适用,依旧取决于ー个组织所面临的特定安全风险。因此,尽管采纳上述措施能够作为ー个专门好的安全爱护起点,但不能取代按照风险评估结果选择操纵措施的要求。成功的关键因素以往的体会表明,在组织中成功地实施信息安全爱护,以下因素是专门关键的:反映组织目标的安全策略、目标以及活动;与组织文化一致的实施安全爱护的方法;来自治理层的实际支持和承诺;对安全要求、风险评估以及风险治理的深入明白得;向全体治理人员和雇员有效地推销安全的理念;向所有雇员和承包商宣传信息安全策略的指导原则和标准;提供适当的培训和教育;ー个综合平稳的测量系统,用来评估信息安全治理的执行情形和反馈意见和建议,以便进ー步改进。制定自己的指导方针业务规则能够作为制定组织专用的指导原则的起点。本业务规则中的指导原则和操纵措施并非全部适用。因此,还可能需要本文档未包括的其它操纵措施。显现上述情形时,各操纵措施之间相互参照专门有用,有利于审计人员和业务伙伴检查是否符合安全指导原则。名目1162术语和定义16TOC\o"1-5"\h\z信息安全 16风险评估 16风险治理 163安全策略17信息安全策略17信息安全策略文档 !7审查评估174组织的安全18信息安全基础设施 18治理信息安全论坛 !8信息安全的和谐19信息安全责任的划分 19信息处理设施的授权程序 20专家信息安全建议 20组织间的合作21信息安全的独立评审 21第三方访咨询的安全性22确定第三方访咨询的风险 22第三方合同的安全要求23外包25外包合同的安全要求 255资产分类治理 26资产责任 26资产名目 26信息分类 27分类原则 27信息标识和处理276人员安全29责任定义与资源治理的安全性 29考虑工作责任中的安全因素29人员选拔策略29保密协议29雇佣条款和条件30用户培训30信息安全的教育与培训30TOC\o"1-5"\h\z对安全事故和故障的处理 31安全事故报告 31安全漏洞报告 31软件故障报告 31从事故中吸取教训 32纪律检查程序 327实际和环境的安全32安全区32实际安全隔离带32安全区出入操纵措施 33办公场所、房屋和设施的安全保证34在安全区中工作35与其它区域隔离的交货和装载区域35设备的安全35设备选址与爱护36电源37电缆安全37设备爱护38场外设备的安全38设备的安全处置与重用39常规操纵措施 39桌面与屏幕治理策略 39资产处置408通信与操作治理40操作程序和责任40明确的操作程序41TOC\o"1-5"\h\z操作变更操纵 41事故治理程序 42责任划分 43开发设施与运营设施分离 43外部设施治理 44系统规划与验收45容量规划 45系统验收 45防止恶意软件 46恶意软件的操纵措施46内务处理47信息备份47操作人员日志 48错误日志记录 48网络治理49网络操纵措施 49介质处理与安全49运算机活动介质的治理49介质处置50信息处理程序 51系统文档的安全51信息和软件交换51信息和软件交换协议52TOC\o"1-5"\h\z传输中介质的安全 52电子商务安全 53电子邮件安全 54电子办公系统安全 55信息公布系统 55其它的信息交换形式 569访咨询操纵57访咨询操纵的业务要求57访咨询操纵策略57用户访咨询治理58用户注册59权限治理59TOC\o"1-5"\h\z用户ロ令治理 60用户访咨询权限检查 60用户责任61口令的使用61无人值守的用户设备 62网络访咨询操纵62网络服务的使用策略 63实施操纵的路径63外部连接的用户身份验证64节点验证64远程诊断端口的爱护 65网络划分65网络连接操纵 65网络路由操纵 66网络服务安全 66操作系统访咨询操纵 66终端自动识不功能 67终端登录程序67TOC\o"1-5"\h\z用户身份识不和验证 68ロ令治理系统68系统有用程序的使用 69爱护用户的威逼报警 69终端超时70连接时刻限制70应用程序访咨询操纵 70信息访咨询限制71敏锐系统的隔离71监控系统的访咨询和使用 72事件日志记录72监控系统的使用72时钟同步 74移动运算和远程工作 74移动运算 75远程工作 7510系统开发与爱护77系统的安全要求77安全要求分析和讲明77应用系统中的安全 77输入数据验证78内部处理的操纵78消息验证79输出数据验证 80加密操纵措施 80加密操纵措施的使用策略80加密81数字签名81不否认服务82密钥治理82系统文件的安全84操作软件的操纵84系统测试数据的爱护85对程序源代码库的访咨询操纵85开发和支持过程中的安全86TOC\o"1-5"\h\z变更操纵程序 86操作系统变更的技术评审 87对软件包变更的限制 87隐藏通道和特洛伊代码88外包的软件开发8811业务连续性治理88业务连续性治理的特点88TOC\o"1-5"\h\z业务连续性治理程序 89业务连续性和阻碍分析89编写和实施连续性打算90业务连续性打算框架90业务连续性打算的检查、爱护和重新分析 9112符合性92符合法律要求 92确定适用法律 93知识产权（IPR） 93组织记录的安全保证94个人信息的数据爱护和安全95防止信息处理设施的滥用95加密操纵措施的调整 96证据收集 96安全策略和技术符合性的评审97TOC\o"1-5"\h\z符合安全策略 98技术符合性检查98系统审计因素 98系统审计操纵措施99系统审计工具的爱护 99范畴BS7799本部分内容为那些负责执行或爱护组织安全的人员提供使用信息安全治理的建议。目的是为制定组织安全标准和有效安全治理提供共同基础,并提升组织间相互和谐的信心。术语和定义在讲明本文档用途中应用了以下定义。信息安全信息保密性、完整性和可用性的爱护注意保密性的定义是确保只有获得授权的人才能访咨询信息。完整性的定义是爱护信息和处理方法的准确和完整。可用性的定义是确保获得授权的用户在需要时能够访咨询信息并使用有关信息资产。风险评估评估信息安全漏洞对信息处理设备带来的威逼和阻碍及其发生的可能性风险治理以能够同意的成本,确认、操纵、排除可能阻碍信息系统的安全风险或将其带来的危害最小化的过程安全策略信息安全策略目标:提供治理指导,保证信息安全。治理层应制定一个明确的安全策略方向,并通过在整个组织中公布和爱护信息安全策略,表明自己对信息安全的支持和爱护责任。信息安全策略文档策略文档应该由治理层批准,按照情形向所有职员公布传达。文档应讲明治理人员承担的义务和责任,并制定组织的治理信息安全的步骤。至少应包括以下指导原则:信息安全的定义、其总体目标及范畴以及安全作为保证信息共享的机制所具有的重要性（参阅简介）；陈述信息安全的治理意图、支持目标以及指导原则;简要讲明安全策略、原则、标准以及需要遵守的各项规定。这对组织专门重要，例如:1）符合法律和合约的要求;2）安全教育的要求;3）防止并检测病毒和其它恶意软件;4）业务连续性治理；5）违反安全策略的后果;确定信息安全治理的一样责任和具体责任,包括报告安全事故；参考支持安全策略的有关文献,例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。安全策略应该向组织用户传达,形式上是针对目标读者,并为读者同意和明白得。审查评估每个策略应该有一个负责人,他按照明确规定的审查程序计策略进行爱护和审查。审查过程应该确保在发生阻碍最初风险评估的基础的变化（如发生重大安全事故、显现新的漏洞以及组织或技术基础结构发生变更）时,计策略进行相应的审查。还应该进行以下预定的、时期性的审查:检查策略的有效性，通过所记录的安全事故的性质、数量以及阻碍反映出来;操纵措施的成本及其业务效率的阻碍;技术变化带来的阻碍。组织的安全信息安全基础设施目标:治理组织内部的信息安全。应该建立治理框架,在组织内部开展和操纵信息安全的治理实施。应该建立有治理领导层参加的治理论坛，以批准信息安全策略、分配安全责任并和谐组织范畴的安全策略实施。按照需要,应该建立专家提出信息安全建议的渠道,并供整个组织使用。建立与公司外部的安全专家的联系，保持与业界的潮流、监视标准和评估方法同步，并在处理安全事故时吸取他们的观点。应该鼓舞采纳跨学科跨范畴的信息安全方法,例如，让治理人员、用户、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作,让他们参与保险和风险治理的工作。治理信息安全论坛信息安全是ー种由治理团队所有成员共同承担的业务责任。应该建立ー个治理论坛,确保对安全措施有一个明确的方向并得到治理层的实际支持。论坛应通过合理的责任分配和有效的资源治理促进组织内部安全。该论坛能够作为目前治理机构的ー个组成部分。通常,论坛有以下作用:审查和核准信息安全策略以及总体责任;当信息资产暴露受到严峻威逼时,监视重大变化;审查和监控安全事故;审核加大信息安全的重要活动。ー个治理人员应负责所有与安全有关的活动。信息安全的和谐在大型组织中,需要建立一个与组织规模适宜的跨部门治理论坛,由组织有关部门的治理代表参与,通过论坛和谐信息安全操纵措施的实施情形。通常,这类论坛:就整个公司的信息安全的作用和责任达成一致;就信息安全的特定方法和处理过程达成一致,如风险评估、安全分类系统;就整个公司的信息安全活动达成一致并提供支持,例如安全警报程序;确保将安全作为制定信息打算的一个部分;对操纵措施是否完善进行评估，并和谐新系统或新服务的特定信息安全操纵措施的实施情形；审查信息安全事故；g）在整个组织中增加对信息安全工作支持的カ度。信息安全责任的划分应该明确爱护个人资产和执行具体安全程序步骤的责任。信息安全策略（请参阅条款3）应提供在组织内分配安全任务和责任的一样指导原则。如果需要,能够为特定的站点、系统或服务补充更加详细的指导原则。应明确讲明对各个实际资产和信息资产以及安全进程（如业务连续性规划）的爱护责任。在专门多组织中,指定信息安全治理员负责开展和实施安全爱护,并关心确定操纵措施。然而,资源治理以及实施操纵措施仍由各个治理人员负责。ー种常用的方法是为每项信息资产指定ー个所有者,并由他负责该资产的日常安全咨询题。信息资产的所有者将其所承担的安全责任托付给各个治理人员或服务提供商。尽管所有者仍对该资产的安全负有最终责任,但能够确定被托付的人是否正确履行了责任。一定要明确讲明各个治理人员所负责的范畴;专门是要明确以下范畴。必须确定并明确讲明由谁负责各种资产和与每个系统有关的安全进程。应该确定负责各个资产和安全进程的治理人员,并记录责任的具体落实情形。应明确规定授权级不并进行备案。信息处理设施的授权程序关于新的信息处理设施,应该制定治理授权程序。应考虑以下咨询题。新设施应获得适当的用户治理审核,授权新设施的范畴和使用。应获得负责爱护本地信息系统安全环境的治理人员的批准,以确保符合所有有关安全策略和要求。如果需要,应检查硬件和软件以确保它们与其它系统组件兼容。请注意,某些连接可能需要对类型进行核实。使用个人信息处理工具处理业务信息和其它必要的操纵措施应得到授权。在工作场所使用个人信息处理工具会带来新的漏洞,因此需要进行评估和授权。在联网的环境中,这些操纵措施专门重要。专家信息安全建议专门多组织都需要专家级的信息安全建议。理想情形下,一位资深的全职信息安全顾咨询应该提出以下建议。并不是所有组织都期望雇佣专家顾咨询。在这种情形下,我们建议专家负责和谐公司内部的知识和体会资源,以确保和谐一致,并在安全决策方面提供关心。各个组织应该与公司以外的顾咨询保持联系,在自己不了解的领域,倾听他们的专门建议。信息安全顾咨询或其它专家应负责为信息安全的各种咨询题提供建议,这些意见既能够来自他们本人，也能够来自外界。组织的信息安全エ作的效率如何,取决于他们对安全威逼评估的质量和建议使用的操纵措施。为得到最高的效率和最好的成效,信息安全顾咨询能够直截了当与治理层联系。在发生可疑的安全事故或破坏行为时,应尽早向信息安全顾咨询或其它专家进行咨询,以得到专家的指导或可供研究的资源。尽管多数内部安全调查是在治理层的操纵下进行的,但仍旧应该邀请安全顾咨询,倾听他们的建议,或由他们领导、实施这ー调研活动。组织间的合作与执法机关、治理部门、信息服务提供商和通信运营商签署的合同应保证:在发生安全事故时,能迅速采取行动并获得建议。同样的,也应该考虑加入安全组织和业界论坛。应严格限制对安全信息的交换,以确保组织的保密信息没有传播给未经授权的人。信息安全的独立评审信息安全策略文档（参见3.1.1）制定了信息安全的策略和责任。必须对该文档的实施情形进行独立审查,确保组织的安全实践活动不仅符合策略的要求,而且是灵活高效的。（参见12.2）。审查工作应该由组织内部的审计职能部门、独立治理人员或专门提供此类服务的第三方组织负责执行,而且这些人员必须具备相应的技能和体会。第三方访咨询的安全性目标:爱护第三方访咨询的组织信息处理设施和信息资产的安全性。要严格操纵第三方对组织的信息处理设备的使用。如果存在对第三方访咨询的业务需求,必须进行风险评估,以确定所涉及的安全咨询题和操纵要求。必须与第三方就操纵措施达成一致,并在合同中规定。第三方的访咨询可能涉及到其它人员。授予第三方访咨询权限的合约应该包括承诺指定其它符合条件的人员进行访咨询和有关条件的规定条款。在制定这类合约或考虑信息处理外包时,能够将本标准作为一个基础。确定第三方访咨询的风险访咨询类型承诺第三方使用的访咨询类型专门重要。例如，通过网络连接进行访咨询所带来的风险与实际访咨询所带来的风险截然不同。应考虑的访咨询类型有:实际访咨询,如对办公室、运算机房、档案室的访咨询;逻辑访咨询,如对组织的数据库、信息系统的访咨询。访咨询理由承诺第三方访咨询有以下理由。例如,某些向组织提供服务的第三方不在工作现场,但能够授予他们物理和逻辑访咨询的权限,诸如:硬件和软件支持人员,他们需要访咨询系统级不或低级不的应用程序功能;贸易伙伴或该组织创办的合资企业,他们与组织交换信息、访咨询信息系统或共享数据库。如果不进行充分的安全治理就承诺第三方访咨询数据,则信息被置于专门危险的境地。凡有业务需要与第三方连接时,就需要进行风险评估,以确定具体的操纵措施要求。还需要考虑以下因素:所需的访咨询类型、信息的价值、第三方所使用的操纵措施以及该访咨询对该组织信息的安全性可能带来的阻碍。现场承包商按照合约的规定,第三方在现场工作一段时刻后也会留下导致安全隐患。第三方在现场的情形有:硬件和软件的支持爱护人员;清洁人员、送餐人员、保安以及其它外包的支持服务人员;为学生提供的职位和其它临时性的短期职位;咨询人员。要对第三方使用信息处理设备进行治理,了解要使用什么操纵措施是至关重要的。通常,第三方访咨询会带来新的安全要求或内部操纵措施,这些都应该在与第三方的合同中体现出来（另请参见4.2.2）〇例如,如果对信息的保密性有专门的要求,应签署保密协议（参见6.1.3）〇只有实施了相应的操纵措施,并在合同中明确规定了连接或访咨询的条款,才能承诺第三方访咨询信息和使用信息处理设备。第三方合同的安全要求第三方对组织信息处理设施的访咨询，应该按照包含所有必要安全要求的正式合同进行,确保符合组织的安全策略和标准。应确保组织和第三方之间对合同内容不存在任何歧义。为满足供应商,组织应第一满足自己。在合约中应考虑以下条款：信息安全的常规策略;对资产的爱护，包括:爱护包括信息和软件在内的组织资产的步骤;确认资产的安全是否受到威逼的步骤,如数据丢失或被修改;相应的操纵措施,以保证在合同终止时,或在合同执行期间某个双方认可的时刻点,将信息和资产归还或销毁;完整性和可用性;严格限制复制信息和泄露信息;讲明每个可提供的服务;期望的服务水平和不可同意的服务水平;在适当的时候撤换职员的规定；达成各方义务的协议；与法律事务有关的责任（例如,数据爱护法规）。如果合同涉及到与其它国家的组织进行合作,应考虑到各个国家法律系统之间的差异（另请参见12.1）；知识产权（IPRs）和版权转让（参见12.1.2）以及对合著的爱护（另请参见6.1.3）；访咨询操纵协议，包括:承诺使用的访咨询方法,以及操纵措施和对唯独标识符的使用，如用户1D和口令;用户访咨询和权限的授权程序；保留得到有权使用服务的人员清单,以及他们具体享有那些权限和权限；确定可核实的执行标准、监视及报告功能；监视、撤消用户活动的权限；审计合同责任或将审计工作交由第三方执行的权限;建立一种解决咨询题的渐进过程；在需要时应要考虑如何执行应急措施;与硬件和软件安装爱护有关的责任;明晰的报告结构和双方认可的报告格式;变更治理的明确制定过程;所需的物理爱护操纵措施和机制,以确保所有操作都符合操纵措施的要求；对用户和治理员进行的方法、步骤和安全方面的培训；保证免受恶意软件攻击的操纵措施（参见8.3）；规定如何报告、通知和调查安全事故以及安全违反行为；第三方与分包商之间的参与关系。外包目标:在将信息处理责任外包给另ー组织时保证信息安全。在双方的合同中,外包协议应阐明信息系统、网络和/或桌面环境中存在的风险、安全操纵措施以及方法步骤。外包合同的安全要求如果将所有或部分信息系统、网络和/或桌面环境的治理和操纵进行外包,则应在双方签定的合同中反映组织的安全要求。例如，合同中应阐明:如何符合法律要求,如数据爱护法规;应该如何规定保证外包合同中的参与方（包括转包商）都了解各自的安全责任;如何爱护并检测组织的业务资产的完整性和保密性;应该使用何种物理和逻辑操纵措施,限制授权用户对组织的敏锐业务信息的访咨询;在发生灾难事故时,如何爱护服务的可用性;为外包出去的设备提供何种级不的物理安全爱护；审计人员的权限。合同中应该包括422中的列表列出的条款。合同应承诺在安全治理打算详细讲明安全要求和程序步骤移植,使合同双方就此达成一致。尽管外包合同会带来一些复杂的安全咨询题,本业务规则中的操纵措施能够作为ー个认可安全治理打算的结构和内容的起点。资产分类治理资产责任目标:对组织资产进行适当的爱护。所有要紧的信息资产应进行登记,并指定资产的所有人。确定资产的责任关心确保能够提供适当的爱护。应确定所有要紧资产的所有者,并分配爱护该资产的责任。能够托付负责实施操纵措施的责任。资产的责任由资产的指定所有责负责。资产名目资产清单能关心您确保对资产实施有效的爱护，也能够用于其它商业目的,如保健、金融保险等（资产评估）。编辑资产清单的过程是资产评估的ー个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息,组织能够按照资产的重要性和价值提供相应级不的爱护。应该为每个信息系统的关联资产草拟并储存一份清单。应该明确确认每项资产及其所有权和安全分类。（参见5.2）各方就此达成一致并将其当前状况进行备案（这一点在资产发生损坏,进行索赔时专门重要）。与信息系统有关联的资产示例有:信息资产:数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性打算、退守打算、归档信息;软件资产:应用程序软件、系统软件、开发工具以及有用程序;物质资产:运算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、家具、机房；服务:运算和通讯服务、常用设备,如加热器、照明设备'电源、空调。信息分类目标:保证信息资产得到适当的爱护。应该对信息分类,指明其需要、优先顺序和爱护级不。信息的敏锐程度和关键程度各不相同。有些信息需要加大爱护或进行专门对待。能够使用信息分类系统定义合适的爱护级不,并讲明对专门处理手段的需要。分类原则在对信息进行分类并制定有关的爱护性操纵措施时,应该考虑以下咨询题:对共享信息或限制信息共享的业务需求,以及与这种需求有关的业务阻碍,如对信息未经授权的访咨询或损害。通常,对信息的分类是确定如何处理和爱护信息的简略方法。应按照信息的价值和关于组织的敏锐程度,对信息和系统处理分类数据的结果进行分类。也能够按信息对组织的关键程度分类,如按照其可用性和完整性分类。通过一段时刻后，例如该信息已被公之于众,信息就变得不那么敏锐和重要了。必须将这些咨询题考虑在内,分类过粗会导致不必要的额外业务开销。分类指导原则估量到并同意如此ー个事实:信息的分类不是固定不变的,能够按照预定策略进行更换（参见9.1）。也应该考虑到信息类不的数量和进行分类的优点。过于复杂的分类会使人感受专门苦恼,使用起来专门不合算或没有有用价值。在讲明其它组织文档中的分类标记时也应该注意,因为相同或相似的标记的定义可能不同。对信息进行分类，如对文档、数据记录、数据文件或磁盘进行分类,以及对分类定期审查等，仍由该信息的最初所有者或指定所有者负责执行。信息标识和处理按照组织采纳的分类方法,明确标记和处理信息的妥善步骤,是专门重要的。这些步骤应包括实际存在的信息和电子形式的信息的标记和处理步骤。关于每个类不,应明确讲明,处理步骤包括以下类不的信息处理活动:复制;储备;通过邮寄、传真和电子邮件进行传输;通过移动电话、语音邮件、应答机等交谈方式进行传输;破坏。系统输出结果包含敏锐或关键信息,应带有相应的分类标记（输出结果中）。标记应能反映按照5.2.1中创建的规则进行分类的结果。需要考虑的咨询题包括:打印出的报告、屏幕显示结果、记录信息的介质（磁带、磁盘、CD、磁盘）、电子消息和文件的传输咨询题。最合适的标记形式确实是贴上ー张看的见、摸的着的标签。然而,有些信息资产（如电子格式的文档）不能贴上实际的标签,需要使用电子方式的标记方法。人员安全责任定义与资源治理的安全性目标:降低设施误操作、偷窃、诈骗或滥用等方面的人为风险。在聘请时期,就应该讲明安全责任,将其写入合同,并在雇用期间进行监督。对候选新职员应充分进行选择（参见6.1.2）,专门是关于从事敏锐エ作的职员更是如此。所有职员和使用信息处理设施的第三方用户都应签署保密（不公布）协议。考虑工作责任中的安全因素在组织的信息安全策略中应该阐明安全任务和职责（参见3.1）,并进行备案。还应包括实施和爱护安全策略的总体责任,以及爱护专门资产、执行专门专门安全程序或活动的责任。人员选拔策略在考虑就业申请时应该对固定职员进行审查。审查应包括以下内容:是否有令中意的个人介绍信，能够由某个组织或个人出具;对申请人简历的完整性和准确性进行检查;对申请人声明的学术和专业资格进行证实;进行独立的身份检查（护照或类似文件）。治理层应有权访咨询敏锐系统，以评估对新和体会不足的职员的调查结果。所有职员的工作都应由高级职员进行定期审查和审核。治理人员应该明白,职员的个人情形会对他们的工作产生阻碍。个人或财务上的咨询题、行为或生活方式上的变化、经常旷エ以及在压カ或痛楚的心情下工作,都会导致欺诈、盗窃、工作出错或其它安全咨询题。应在自己的权限范畴内,按照相应的规定,妥善处理这些咨询题。保密协议签署保密协议的目的是提醒签约人注意,这些信息是保密的。职员应该签定保密协议并将其作为初步雇佣的条款和条件。现有的合同（包括保密协议）中没有涉及临时性职员和第三方用户的咨询题,在承诺他们访咨询信息处理设备之前,应要求他们签署一份协议。如果雇佣条款或合同发生了变化，专门在是雇员要离开组织或合同要到期时，要对保密协议进行进行重新批阅。雇佣条款和条件雇佣条款和条件应该规定职员的信息安全责任。如有需要,该责任在终止雇用关系后的一段特定的时刻内仍旧有效。条款中还应该包括如果雇员无视安全要求,那么可对其釆取措施。雇用条款和条件中也应该包括雇员的法律责任和权限方面的条款,如关于版权法或数据爱护法规方面的内容。条款中还应该注明对雇员有关数据进行分类和治理方面的责任。如果有必要的话，雇佣条款和条件中应讲明职员在组织办公地点以外和正常工作时刻以外（如在家工作时）应该承担的责任（另请参见7.2.5和9.8.1）〇用户培训目标:保证用户了解信息安全存在的威逼和咨询题,在正常工作中切实遵守组织安全策略。应对用户进行安全步骤和正确使用信息处理设备的培训,将可能的安全风险降到最低。信息安全的教育与培训组织所有职员以及有关的第三方用户应该就组织策略和程序同意适当的培训并定期了解最新变化。这包括安全要求、法律责任和业务操纵措施方面的内容,以及如何使用信息处理设备方面的培训,如登录的步骤、软件包的使用方法等等。因此在此之前,必须授予其访咨询信息或服务的权限。对安全事故和故障的处理目标:最大限度降低由于事故和故障而遭受的缺失,对此类事故进行监控并吸取教训。将阻碍安全的事故通过适当的治理渠道尽快汇报。安全事故报告将阻碍安全的事故通过适当的治理渠道尽快汇报。应该建立一套正式的报告安全事故的步骤以及ー套安全事故的响应步骤,后者应规定在收到安全事故报告后,应该采取的行动。所有雇员和承包商都应该了解报告安全事故的程序步骤,并按照要求,尽快报告安全事故。应该建立适当的反馈渠道,以保证安全事故处理完毕后，报告人能明白该事件的处理结果。在进行用户警报培训时（参见6.2）,能够将这些事件作为示例,向用户讲解可能发生什么事件、如何对这些事件进行处理以及今后如何幸免这类事件发生（另请参见12.1.7）〇安全漏洞报告应该要求信息服务用户在发觉或怀疑系统或服务显现安全漏洞或受到威逼时,赶忙进行记录并汇报。他们应该将这些事件尽快报告给治理层，或直截了当报告给服务提供商。应该告诉用户，在任何情形下，也不要试图证明一个可疑安全漏洞。这也是为了爱护他们自己,这是因为在您测试某个漏洞时,专门可能会导致对系统的错误使用。软件故障报告应建立报告软件故障的程序步骤。应考虑采取以下措施。将咨询题的征兆和屏幕上显示的消息记录下来。赶忙将咨询题报告给信息安全治理人员。除非得到授权,用户不要试图删除可疑的软件。应由通过培训富有体会职员执行复原工作。从事故中吸取教训应该采纳ー种机制,将事故和故障的类型、规模和缺失进行量化和监控。用这些信息来确定重复发生的或阻碍专门大的事故或故障。这需要使用功能更强的或其它的操纵措施,以降低事故发生的频率、缺失,或在修订安全策略的过程中,将这一因素考虑在内（参见3.1.2）。纪律检查程序应该建立正式的处分流程,处罚那些违反组织安全策略和规定的雇员（参见6.1.4,有关保留证据的咨询题,参见12.1.7）。对那些无视安全エ作步骤的雇员来讲,这种方法确实是ー种威慑。另外,如果怀疑某些职员有严峻或长期违反组织安全的行为，这一方法能保证对他们的处罚是正确和公平的。实际和环境的安全安全区目标:防止对公司工作场所和信息的非法访咨询、破坏和干扰。应该将关键或敏锐的商业信息处理设备放在安全的地点，使用相应的安全防护设备和准入操纵手段以及有明确标志的安全隔离带进行爱护。应使这些设备免受未经授权的访咨询、损害或干扰。按照所确定的风险的具体情形,提供相应的爱护。对纸张、介质和信息处理设备建议采取桌面清空和屏幕清空策略,降低对纸张、介质和信息处理设备进行未经授权访咨询所带来的风险和损害。实际安全隔离带能够在组织办公区域和信息处理设备周围建立几个实际的防护设备,提供物理爱护。每个防护设备都划分出ー个安全区,这都提升了整体的爱护成效。各个组织应使用安全区域爱护信息处理设备等资产（参见7.1.3）〇安全区域是用防护设备隔开的ー块区域,例如通过ー堵墙、刷卡才能进入的操纵门或人工值守的前台。防护设备的位置和强度取决于风险评估的结果。在需要时,能够考虑并实施以下指导原则和操纵措施。应明确划分安全区域。建筑物或某个地点中存放信息处理设备的安全区的位置应该专门合理（例如,安全区和易发生闯入行为的区域不应隔开）。安全区四周应有牢固的围墙,所有能够进出安全区的大门应能防止未经授权的访咨询，如使用操纵装置、栅栏、报警装备、锁等等。设置ー个人工值守的接待区域或使用其它方法，将对现场或建筑物的实际访咨询限制在适当的区域中。只有通过授权的人才能进入现场或建筑物。如有必要,可进行全方位的防护,以防止有人未经授权进入安全区，以及由火灾和水灾引起的环境咨询题的阻碍。安全区的所有防火门应报警并关闭。安全区出入操纵措施安全区应该使用适当的出入操纵措施予以爱护。不经批准,任何人员不得出入。应考虑以下操纵措施。必须调查并弄清安全区域的来访者的身份,并将他们进入和离开安全区域的日期和时刻记录在案。只有来访者有特定的、通过授权的目的时,才能进入安全区,而且还要告诉他们该区域的安全要求和紧急情形下的行动步骤。只有严格限定,通过授权的人才能访咨询敏锐信息,使用信息处理设备。在对所有访咨询行为进行授权和验证时,应采纳ー些强制性的操纵措施，如使用带PIN的卡进行刷卡。应对所有访咨询严格执行审计流程。要求所有人员佩带易于辨认的标识,并鼓舞他们询咨询无人陪同的生疏人以及未佩带标识的人。应经常审查并更新有关安全区域访咨询权限的规定。办公场所、房屋和设施的安全保证安全区域可能是安全隔离带中的一间加锁的办公室或几个房间,安全隔离带本身也可能是加锁的并包括几个可加锁的小房间或保险箱。在选择和设计安全区域时,应将以下各种咨询题带来的损害考虑在内:火灾、水灾、爆炸、社会动荡以及其它形式的自然或人为的灾难。也应该将各种有关的健康和安全方面的规定和标准考虑在内。还应该考虑到临近的隔离带可能带来的安全威逼,如其它安全区域发生泄露事件。应考虑以下操纵措施。关键设备应放在公众无法进入的地点。建筑物应该不专门显眼,使人无法察觉该建筑物的用途，在建筑物的内外都没有明显标志表明建筑物内进行者信息处理活动。安全区域内各种设备（如影印机、传真机）齐全,并放在相应的地点，以防止未经授权的人员使用，否则会泄露信息。在没人的时候,将门窗关闭,还要注意防止有人从窗户,专门是只有一层的窗户就能够进入安全区域。按照专业标准安装入侵检测系统并经常检查,以对可进入安全区域的门和窗户进行检查。对无人区域进行24小时的报警监视。对其它区域也应该提供相应的爱护,如运算机房或通讯室。由组织自己治理的信息处理设备应与由第三方治理的信息处理设备分开。通过有些名目和内部人员电话号码本,能确定敏锐信息处理设备的位置，不能让公众得到这些资料。应将危险或易燃材料储备在安全的地点,与安全区保持安全距离。除非有专门要求,否则不要把大量的物品,如文具,储备在安全区域内。使应急设备和备份介质的储备位置与主安全区域保持一个安全距离,以防止主安全区域发生的灾难事件殃及这些设备。在安全区中工作要加大安全区域的安全性,还应该采纳其它操纵措施和指导原则。者包括如何操纵在安全区内工作的个人和第三方人员,以及如何操纵第三方人员在安全区以内的活动。应考虑以下咨询题。只有在有必要的前提下,才能让某个个人明白有一个安全区或安全区内所进行的活动。出于安全缘故和排除恶意行为发生的机会两方面考虑,不承诺在安全区域内进行未经调查的工作。关闭无人使用的安全区域,每隔一段时刻,进行ー次检查。只有在需要时,才能承诺第三方的支持服务人员进入安全区域或使用敏锐信息处理设备。必须对其访咨询行为进行授权和监视。在不同的范畴之间还需要隔离区操纵实际访咨询,在安全区域内有不同的安全要求。除非通过授权,不承诺使用图象、视频、音频和其它记录设备。与其它区域隔离的交货和装载区域应该对装运区进行操纵,而且应按照情形将其与信息处理设施隔离开来,幸免非法访咨询。这类区域的安全要求由风险评估的情形决定。应考虑以下指导原则。只有通过确认并授权的人在能从不处进入存放物品的区域。设计存放物品区域时,要达到如下成效:负责交货的人员不需要进入建筑物的其它部分,就能够将物资卸下。当存放物品的区域内部的门打开时,一定要保证外部的门是安全的。在将已收下的材料从存货区移到使用地点前,必须对其进行检查,以防止潜在的危险［参见7.2.1d）］。如果能够（参见5.1）,在入口处对收下的材料进行登记。设备的安全目标:防止资产流失、受损或毁坏以及业务活动中断。应保证设备免受安全方面的威逼和环境的危害。要降低对数据进行未经授权访咨询的风险并免受缺失或损坏,必须对设备（包括不在现场使用的设备）进行爱护。还需要考虑设备的位置和选址咨询题。可能需要专门的操纵措施来爱护免遭危险或非法访咨询,并爱护辅助设施,例如电源和电缆等基础设施。设备选址与爱护应该注重设备的选址与爱护，减少来自环境威逼和危险以及降低非法访咨询的风险。应考虑以下咨询题。将设备安装在合适的位置,不到必要时,尽量幸免进入工作区。确定处理敏锐数据的信息处理和储备设备的位置时,应注意选择合适的位置,降低使用过程中因疏忽造成的风险。应该将需要专门爱护的设备隔离,以降低所需的爱护级不。应采纳相应的操纵措施,尽可能降低潜在威逼的风险,包括:盗窃;火灾;爆炸;烟尘;供水咨询题（或停水）；灰尘；振动;化学制品的阻碍;供电干扰；电磁辐射。组织在考虑其策略时,应将在信息处理设备邻近就餐、饮水和吸烟的情形考虑到里面去。有些环境条件会对信息处理设备的运行产生负面阻碍,应认真监视这些条件。关于在エ业环境下运行的设备,应考虑使用专门的爱护方法,如在键盘表面加一层膜。应考虑临近办公区域发生灾难事件的阻碍,如临近建筑物发生火灾、天花板漏水或地板渗水或大街上发生爆炸事件。电源应该防止设备显现电源故障,防止其它供电不正常的现象。应提供稳固的电カ供应,符合设备生产商讲明书的规定。保证连续供电的方法有:多回路供电,以防止某个回路显现咨询题,造成断电事故;不间断电源(UPS)；备用发电机。关于为重要商业业务提供电カ支持的设备,需要使用UPS以保证设备能够依次关闭或连续运行。应急打算中应包括UPS发生故障如何应对的内容。应经常检查UPS设备,以保证其功率足够大并按照生产商举荐的方法进行测试。在发生较长时刻的断电事故时,而业务必须进许进行,则能够考虑使用后备发电机。如果差不多安装了发电机,应按照生产商的指示,对发电机进行定期测试。应保证燃料供应充足,使发电机能运行更长一段时刻。另外,在紧急出口处的设备间中应安装紧急电カ开关,以便在紧急情形下迅速切断电源。万一主回路发生故障,应提供应急照明。所有建筑物都应采纳照明爱护设备,所有露天的通讯线都应配备照明爱护滤光器。电缆安全电源线缆与通信电缆承载数据或支持性的信息服务,不应被截断或受损。应考虑以下操纵措施。如果可能,接入信息处理设备的电源线路和通信线路应使用地下暗线,或为其提供多种爱护方法。防止未经授权就损坏或切断网络线缆的现象,如将线缆埋入管道,或幸免通过公共区域。电カ线缆应与通讯线缆隔离,以幸免相互的干扰。对敏锐或重要的系统,应考虑采纳进一步的操纵措施:在探伤位置和端点，安装铠装管道或带锁的箱体;使用其它路由或传输介质;使用光纤电缆;去除线缆上附着的未经授权的设备。设备爱护应对设备进行妥善地爱护,以保证其连续地可用并保持完整。应考虑以下指导原则。按照供应商举荐的服务间隔时刻和规范,对设备进行爱护。只有通过授权的爱护人员才能对设备进行修理和爱护。将所有可能的或实际存在的故障以及预防性和休整性的爱护手段进行备案。在将设备送修时，应采取适当的操纵手段（有关如何删除和重写数据，请参见7.2.6）。应遵守所有保险条例中提出的要求。场外设备的安全不管其所有权如何,在公司办公区域以外使用信息处理设备通过由治理层授权。为办公区域以外设备提供的安全爱护,应与为办公区内同类设备提供的安全爱护相同,并将在办公区以外使用设备的因素考虑在内。信息处理设备包括各种形式的个人运算机、组织者、移动电话、纸张或表格,能够由在家工作的职员持有,或从正常工作位置移开。应考虑以下指导原则。从办公区域将设备和介质取走时,不要在公共场所引起大伙儿的注意。旅行时,应将便携运算机放在手提皮箱内并假装起来。应随时注意制造商关于爱护设备的指导,如防止接触强电磁场。如何操纵在家的工作由风险评估的结果决定,如有需要,应使用适当的操纵措施,如可封闭的档案室、下班后桌面不承诺留有物品的策略,以及对运算机使用的操纵。应采纳充分的保险手段爱护办公区域以外的设备。安全风险,如损坏、偷窃以及窃听行为随地点的不同会有专门大的不同，在确定最合适的操纵措施时,应将这些因素考虑在内。有关如何爱护移动设备的详细信息,请参阅9.8.1。设备的安全处置与重用如果在处理或重新使用设备时,不加以注意的话,会危及信息的安全（另请参见8.6.4）。关于储备敏锐信息的储备设备,应将其销毁,或重写数据,而不能只使用标准的删除功能。应检查所有设备的储备介质,如固定硬盘,移确保对介质进行处理前,所有敏锐数据和授权软件以被删除或覆盖。关于已毁坏的包含敏锐数据的储备设备,应对其进行风险评估,以确定是应销毁、修理或弃置该设备。常规操纵措施目标:防止信息或信息处理设施受损或被盗。应防止将信息和信息处理设备暴露给未经授权的人,或被未经授权的人修改或偷窃,并应采取操纵措施，将缺失或损害最小化。8.6.3中考虑了处理和储备的步骤。桌面与屏幕治理策略在组织中,关于纸张和可移动的储备介质，应釆取桌面清空策略;关于信息处理设备,应采取屏幕清空策略,以降低在工作时刻内外，对信息进行未经授权访咨询所带来的风险、缺失和损害。策略应将以下因素考虑在内:信息安全分类（参见5.2）、相应的风险以及组织文化方面的咨询题。发生灾难事件,留在桌面上的信息专门容易损坏或销毁,如火灾、水灾或爆炸。应考虑以下指导原则。在需要时,在纸张和运算机介质临时不用时,专门是在外工作时,将其储备在合适的加锁的柜子和/或其它形式的安全设备中。在不使用敏锐或关键的商业信息时,专门时办公室腾空时,将其锁起来（最好是在防火的保险箱或柜子中）。在无人使用时,应将个人运算机和运算机终端和打印机保持注销状态，并用键盘锁、口令或其它操纵措施爱护起来。应将往来信件的地址和无人使用的传真机和电传机爱护起来。在工作时刻以外,将影印机锁起来（或用其它方法防止未经授权的使用）。在打印敏锐或分类信息后,应赶忙从打印机中清除。资产处置未经授权,不承诺将设备、信息或软件带离工作场所。如有必要,应使设备处于注销状态，在归还设备后在重新登录。现场检查是否有未经授权就移动财产的行为。每个人都应明白,随时会进行现场检查。通信与操作治理操作程序和责任目标:保证信息处理设施的操作安全无误。应该建立所有信息处理设施的治理和操作的责任和程序。其中包括制定适当的操作指令和事故事件的响应程序。在适当的情形下进行职责划分，降低无意或有意造成的系统滥用风明确的操作程序应对安全策略确定的操作程序进行备案并爱护。操作程序应作为正式文档来处理,对它进行改动需要得到治理层授权。这些程序步骤应指明具体执行每个作业的指令,包括:处理和使用信息;编制需求打算,包括与其它系统的相互依靠性、最先开始的和最后完成的工作的时刻;处理错误或其它专门情形的指令,这些专门情形可能是在作业执行期间产生的,包括对使用系统有用程序的限制（参阅9.5.5）在显现意外的操作或技术咨询题时的支持联络专门的输出处理指令,例如使用专门文具或治理隐秘输出，包括安全处置失败作业产生的输出的方法;在系统显现故障时使用的系统重新启动和复原的措施应该将备案的方法步骤随时用于处理与信息处理和通信设施有关的系统内务治理活动,例如运算机的启动和关闭程序、备份、设备爱护、运算机房和邮件处理治理和安全。操作变更操纵应该操纵对信息处理设施和系统的变动。对信息处理设施和系统操纵不カ是导致系统或安全故障的常见缘故。应落实正式的治理责任和措施,确保对设备、软件或程序的所有变更得到中意的操纵。操作程序应严格操纵变动。更换程序时,应保留包含所有有关信息的审计日志。改变操作环境可能会对应用程序造成阻碍。在适当的时候,应结合操作步骤和应用更换操纵步骤（另请参阅10.5.1）o专门,应考虑以下各项:识不并记录重大变更评估这类变更的潜在阻碍；提议变更的正式批准程序；向所有有关人员通报变更细节确定中止变更并从失败变更中复原的责任的方法事故治理程序应该明确事故治理责任,制定有关程序,保证对安全事故反应迅速、有效且有条不紊（另请参阅6.3.1）。应考虑以下指导方针。制定针对各种可能存在的安全事故的措施,这些事故包括:信息系统故障和服务丢失;拒绝服务;业务数据不完整或不准确产生错误;违反保密性。除ー样用于尽快复原系统或服务的应急打算外,这些措施还应包括（另请参见6.3.4）：分析和鉴定事故产生的缘故;按照需要,制定防止再次发生的补救打算并执行这ー打算;收集审查记录和类似证据;与那些受意外事件阻碍或参加从意外事件中复原工作的人员交流;向上级汇报有关措施。适当地收集和获得审查记录和类似证据（参见12.1.7）。内部咨询题分析；用作与可能违反契约、违反规章制度的证据,或者触犯民事或刑事诉讼（例如运算机误用或数据爱护立法）的证据；与软件和服务供应商协商赔偿。严格认真地操纵安全违例复原和纠正系统故障的措施。这些措施应确只有明确确定身份和获得授权的人员オ承诺访咨询正在使用的系统和数据（有关第三方访咨询,另请参见4.2.2）详细记录采取的所有紧急措施;向治理层汇报紧急措施,并进行有序的审查;以最小的延误代价确认业务系统和操纵的完整性。责任划分责任划分是降低偶然或有意的系统滥用风险。为减少非法篡改或滥用信息或服务,应考虑对某些治理或执行责任或者责任范畴进行划分。小型组织可能认为这种操纵措施难以实现,但应该尽可能地有效应用这一原则。当难以划分责任时,应该考虑使用其它操纵措施,例如活动监控、审计追踪和治理监督等。安全审计保持独立是专门重要的。应该注意的是,没有人在其责任范畴内所犯的错误能够逃脱检查。应该将事件执行同事件执行的授权分开。应考虑以下情形。识不哪些是为达到欺诈目的的共谋串通活动（例如伪造发出采购订单然后证明物资差不多收到）专门重要。如果存在串通的危险,那么需要制定操纵措施，让更多的人参与,降低显现共谋的机会。开发设施与运营设施分离开发设施、测试设施与操作设施分离对实现划分职责的目的专门重要。应制定软件从开发向操作使用转移的规则,并进行备案。开发和测试活动可能会产生严峻的咨询题,例如对文件或系统环境进行不必要的改动或者产生系统故障。应该考虑在操作、测试和开发环境之间进行ー定程度的分离,防止显现操作咨询题。在开发和测试部门之间也应该进行类似的分离。在这种情形下,需要爱护ー个已知的稳固环境,在那个环境里执行有效的测试并防止不适宜的开发人员访咨询。如果开发和测试与软件和信息同在ー个运算环境里,那么开发和测试活动可能会对软件和信息造成意想不到的变动。因此,需要将开发设施、测试设施与操作设施分离,降低意外改动或非法访咨询操作软件和业务数据的风险。应考虑以下操纵措施。开发和操作软件尽可能在不同的运算机处理器上运行,或者在不同的域或名目中。开发和测试活动应尽可能分开进行。如果没有必要，不承诺从操作系统访咨询编译程序、编辑程序和其它系统有用程序。操作系统和测试系统应该使用不同的登录程序,降低出错的风险。关于这些系统应鼓舞用户使用不同的口令,同时菜单应该显示适当的标识消息。在操纵措施得到落实后,开发人员才能够获得操作口令。公布操作系统支持的口令。操纵措施应该确保这些口令在使用后及时更换。外部设施治理使用外部合同商治理信息处理设施可能会造成潜在的安全暴露,例如在承包商的办公地点可能危害、破坏数据安全或丢失数据。这些风险应事先得到确认，与承包商达成适当的操纵措施并写入合同中（有关涉及访咨询组织设施的第三方合约和外包合约的指导原则,另请参阅4.2.2和4.3）〇专门需要解决的咨询题包括:确定内部保留的敏锐或关键应用程序获得业务应用程序所有者的认可;业务连续性打算的含义;待指定的安全标准和检查符合性的方法;有效监控所有有关安全活动的具体职责的分配和程序步骤;报告和处理安全事故的责任和程序步骤（参见8.1.3）。系统规划与验收目标:最大限度降低系统故障的风险。预先规划和预备是必不可少,如此能够确保有足够的容量和资源。应该制定以后容量要求的预算规划,从而降低系统超载的风险。在验收和使用新的系统前,应该建立系统的操作要求，并对这些要求进行备案和检测。容量规划容量需求需要进行监视,同时还应该制定以后的容量要求的规划,确保系统有足够的处理能力和储备空间。这些预算规划不仅应考虑到新的业务和系统的要求,还应该考虑到组织在信息处理技术的现状和规划趋势。大型运算机专门需要注意,因为增加大型机的新容量成本会更加高昂同时交付周期也更长。大型机的治理员应监视要紧系统资源的使用情形,包括处理器、主储备器、文件储备器、打印机和其它输出设备以及通信系统。他们应该判不资源的使用趋势,专门是与业务应用程序或治理信息系统工具的关系。治理员应使用这一信息来识不和幸免可能显现的威逼系统安全或用户服务的瓶颈,同时制定适当的补救措施。系统验收建立新的信息系统、系统升级和新版本的验收标准,并在验收前履行适当的系统测试。治理员应确保明确制定新系统的验收要求和标准,同时这些标准和要求得到认可、记录和通过检验。应考虑以下因素:性能和运算机容量要求;错误复原和重新启动的步骤,以及应急打算;预备和检验常规的操作程序,使之成为确定标准;认可的安全操纵投入使用；有效的人工方法;业务连续性布置（按11.1要求）安装新系统可不能对现有系统产生负面阻碍的事实,专门在高峰处理时刻（例如月末）；新系统给组织的整体安全带来阻碍的事实;操作或使用新系统的培训。关于重要的新技术进展,运营部门和用户应关注进展过程的每个时期,确保被提议的系统设计具有专门高的操作效率。执行适当的检验测试能够确认所有验收标准是否完全达到。防止恶意软件目标:爱护软件和信息的完整性。防范措施能够防止和检测到恶意软件的入侵,因此不可缺少。软件和信息处理设施易受恶意软件的攻击,例如运算机病毒、网络蠕虫、特洛伊木马（另请参见10.5.4）和逻辑炸弹。应提醒用户警觉未授权软件或恶意软件的危险，同时治理员应适当地引入专门的操纵手段检测或防范这些软件的侵袭。专门是,采取防范措施检查和预防个人运算机上的运算机病毒是必不可少的。恶意软件的操纵措施应执行防范恶意软件的检测和预防操纵措施以及适当的通知用户的方法。恶意软件的防范措施应按照安全意识、适当的系统访咨询和变更治理操纵来制定。应考虑以下操纵措施:ー个正式策略,要求遵守软件许可,禁止使用未授权的软件（参见12.1.2.2）；ー个正式策略,防范与从外部网络或经外部网络,或者在其它介质上猎取文件和软件有关的风险,指明应采取什么防范措施（另请参阅10.5,专门是10.5.4和!0.5.5）o安装并定期更新抗病毒的检测和修复软件来检查运算机和其它介质,将它作为ー种预防操纵手段或者常规手段;定期检查支持关键业务进程的系统的软件和数据内容;正式调查未许可文件或未授权修改的显现情形；在使用前检查电子媒介上的所有文件是否有未确定的或未授权的来源,或者检查通过非置信网络接收的文件是否有病毒；在使用前检查所有电子邮件附件和下载内容是否有恶意软件；检查能够在不同的地点进行,例如电子邮件服务器、台式运算机或者在进入组织的网络的时候；执行系统病毒防护的治理步骤和责任,使用防范措施的培训，报告病毒攻击并从攻击中复原（参阅6.3和8.1.3）。适当的从病毒攻击中复原的业务连续性打算,包括所有需要的数据和软件备份和复原安排（参阅条款11）;检验与恶意软件有关的所有信息并确保警告公告准确和详细的方法。治理员应确保使用合格来源（例如，闻名杂志、可信Internet站点或反病毒软件供应商）来识不哪些是恶作剧而哪些是真正的病毒。应让职员了解恶作剧的咨询题,并告诉他们在收到这类软件时如何处理；在网络文件服务器支持大量的工作站时,这些操纵措施尤为重要。内务处理目标:爱护信息处理和通信服务的完整性和可用性。建立常规的步骤执行统ー的备份策略（参阅11.1）,备份多个数据副本并练习及时复原数据、记录事件和错误,同时在适当的时候监视设备环境。信息备份应定期备份数个核心业务信息和软件的副本。拥有足够的备份设备能够确保在发生灾难或介质故障后能够复原所有关键业务信息和软件。应定期检测各个系统的备份安排,确保他们符合业务连续性打算的要求（参见条款ll）o应考虑以下指导方针。最差不多的备份信息以及完整准确的备份副本记录和文档化的复原步骤应储存在一个专门远的位置,那个位置足能够幸免受主站点的灾难波及。关于重要的业务应用程序应保留至少三代或三个周期的备份信息。备份信息应给予适当级不的物理和环境爱护（参见条款7）,那个级不和主站点应用的标准一致。对主站点应用的操纵应扩展到覆盖备份站点。定期测试备份介质,在确实可行的情形下确保在需要紧急使用时能够依靠它们。定期检查和测试复原步骤,确保它们不仅有效，而且能够在复原操作步骤分配的时刻内完成。决定关键业务信息的保留时刻,同时确定永久保留的归档副本的要求（参阅!2.1.3）〇操作人员日志操作人员应保留他们活动的日志记录。按照需要,日志记录应包括:系统启动和终止时刻;系统错误和采取的纠正措施;确认正确处理数据文件和运算机输出;建立日志条目的人员姓名。应按照操作步骤对操作人员的日志记录定期进行独立的检查。错误日志记录应报告错误并采取措施予以纠正。应记录用户报告的关于信息处理或通信系统故障的错误。应有一个明确的处理报告的错误的规则,包括:a）审查错误日志,确保错误差不多得到中意的解决;b）审查纠正措施,确保没有违反操纵措施,同时采取的行动都得到充分的授权。网络治理目标:保证网络信息安全,爱护支持性的体系结构。可能跨过组织边界的网络安全治理需要专门的关注。而且可能还需要其它补充操纵措施来爱护通过公共网络传送的敏锐数据。网络操纵措施获得并爱护网络安全需要一系列操纵措施。网络治理员应执行操纵措施确保网络中的数据安全，并爱护连接的服务幸免非法访咨询。专门,应考虑以下各项。按照需要,应将网络的操作职责和运算机的操作职责分离。应制定远程设备（包括用户区域的设备）的治理职责和程序。治理活动应紧密和谐,优化为业务提供的服务,确保操纵措施在整个信息处理基础结构中应用一致。介质处理与安全目标:防止资产受损以及业务活动中断。应操纵介质并对其进行物理爱护。应制定适当的操作步骤来爱护文档、运算机介质（磁带、磁盘和盒式磁带）、输入/输出数据和系统文档幸免损坏、盗窃和非法访咨询。运算机活动介质的治理应该制定对运算机活动介质（如磁带、磁盘、盒式磁带以及打印报告）的治理的方法。应考虑以下指导方针。如果不再需要,应该清除再可重复使用的介质上要删除的内容。删除介质中的组织内容需要得到批准，同时为爱护审计追踪应该保留所有这类删除的记录。所有介质应储存在ー个安全保险的环境里,并符合制造商的要求。应明确记录所有的步骤和授权级不。介质处置介质不再需要使用时应对其进行安全可靠的处置。介质处置不认真可能会将敏锐信息泄露给外人。为减少风险,应建立安全处置介质的正式步骤。应考虑以下指导方针。储存敏锐信息的介质应该进行安全保险的储存和处置,例如烧毁或粉碎,或者在组织内的其它应用使用前清空数据。以下列表确定可能需要安全处置的项:书面文档;声音或其它记录;复写纸;输出报告;一次性使用打印色带;磁带;活动磁盘或盒式磁带;光储备介质（各种形式并包括所有制造商软件分发介质）；程序清单;测试数据;系统文档。安排安全收集和处置所有介质项比试图分离敏锐项要容易得多。许多组织提供收集和处置纸张、设备和介质的服务。慎重选择把握大量操纵措施并具有体会的合格合同商。应尽可能记录对敏锐项的处置,保留审计追踪。在积存处置的介质时，应考虑集合效应可能导致大量未分类信息比少量分类信息变得更加操纵。信息处理程序为了爱护此类信息免遭受非法公布或滥用,应该制定信息处理和储备程序。应制定处理信息的方法步骤,同时与以下分类（参见5.2）一致:文档、运算系统、网络、移动运算、移动通信、邮件、语音邮件、ー样语音通信、多媒体、邮寄服务/设施、传真机使用和其他任何敏锐项（例如空白支票、发票等）。应考虑以下各项（另请参见5.2和8.7.2）：处理和标记所有介质（另请参见8.7.2a）；访咨询限制,以确定未授权人员的身份;爱护授权人员接收数据的正式记录;确保输入数据完整,妥善完成处理和应用输出验证;爱护正在等待输出的假脱机数据与其敏锐度一致；在符合生产商要求的环境中储存介质;保持数据分布的最低水平;清晰标记所有数据副本,提醒合法接收者注意；定期检查分布列表和合法接收人员的列表。系统文档的安全系统文档能够包含一系列的敏锐信息，例如对应用程序进程、过程、数据结构和授权程序的讲明（另请参见9.1）应考虑以下操纵措施来爱护系统文档不受非法访咨询。应安全储存系统文档。系统文档的访咨询列表应让少数明白,使用需通过应用程序所有者授权。保留在公共网络上或通过公共网络提供的系统文档应妥善爱护。信息和软件交换目标:防止组织间交换信息时信息受损、修改或滥用。应操纵组织间的信息和软件的交换,同时交换应符合有关立法（参见条款12）。执行交换应在双方意见一致的情形下进行。应制定爱护信息和传输介质的方法和标准。应考虑与电子数据交换、电子商务和电子邮件有关的业务和安全以及对操纵措施的要求。信息和软件交换协议为了便于组织间以电子方式或手工方式交换信息和软件,应该签署协议,有些协议能够为正式协议,适当的时候还包括软件第三方协议。这些协议的内容应反映有关业务信息的敏锐度。应考虑有关安全条件的协议:操纵和通知传播、发送和接收的治理责任;通知发送方、传输、发送和接收的步骤程序;打包和传输的最低技术标准;投递者标识标准;丢失数据的责任和偿还;为敏锐或关键信息使用认可的标记方法,确保标记方式易于明白得同时信息得到妥善爱护;信息和软件的所有权以及数据爱护的责任、软件版权规定和类似因素（参见12.1.2和!2.1.4）〇记录和阅读信息和软件的技术标准；爱护敏锐数据需要的专门操纵措施,例如加密密钥（参见10.3.5）。传输中介质的安全在实际传输过程中,信息容易受到非法访咨询、滥用或破坏，例如在通过邮局服务或速递公司发送介质的时候。应使用以下操纵措施来爱护在站点之间传送的运算机介质。使用可靠的传输工具或投递人。授权的投递人应同意治理并进行投递人身份检查。包装应该专门结实，能够爱护里面内容不受运输过程中可能发生的事故造成损坏，并符合生产商的讲明。需要的时候采取专门的操纵措施爱护敏锐数据免遭非法公布或修改。示例包括:使用加锁容器;手工运送;加固包装（暴露任何访咨询的妄图）；在专门情形下,能够将运输分几次完成并选择不同的发送路线。电子商务安全电子商务包括使用电子数据交换（EDI）、电子邮件和通过公共网络如Internet在线交易。电子商务易受网络威逼的攻击,可能会导致欺诈活动、合同纠纷以及泄露或修改信息。应使用操纵措施爱护电子商务不受这类威逼。电子商务的安全考虑应包括以下:验证。顾客和商家在互相确定身份上应该要求什么样的保密程度?授权。向谁授权制定价格、发出或签署关键的交易文件?交易伙伴如何了解?合同和投标程序。在发送和接收关键文档和认可合同的保密性、完整性和证据有什么要求?定单交易。如何提供定单的保密性和完整性,付款和运输地址信息和收货确认书?检查。检查顾客提供的付款信息的适宜度如何?结算。最适合防止欺诈的付款形式是什么?责任。谁承担欺诈交易的风险?通过应用10.3总结的加密技术就能够解决以上许多咨询题,而且还考虑到符合法律要求（参见12.1,专门是关于加密立法的12.1.6）。交易伙伴之间的电子商务协议还应该需要规定各方同意的交易条款的文档协议来支持,包括授权［参见上述b）］。可能还需要与信息服务提供商和增值网络运营商的协议。公共交易系统应向顾客公布经营条件。还应该考虑化解对用于电子商务的主机的攻击,以及实施网络互连需要的安全（参见9.4.7）。电子邮件安全安全风险电子邮件正在用于业务通信交流,正在取代传统的交流形式例如电传和信函。电子邮件和传统的业务通信方式的区不在于它的速度、信息结构、信息详细程度和抗击非法使用的脆弱性。应考虑采取操纵措施来减少电子邮件带来的安全风险。安全风险包括:存在非法访咨询或变更或拒绝服务的漏洞;无カ防止错误显现,例如错误的地址或方向,以及ー样的服务可靠性和可用性;在业务流程中通信介质变化的阻碍,例如增加发送的成效或从个人到个人与公司到公司发送正式消息的成效不同;法律因素,例如可能需要原始证明,和发送、运输和同意的证明。向外公布可访咨询人员名单的阻碍；操纵远程用户访咨询电子邮件帐户。电子邮件策略公司应制定关于使用电子邮件的策略,包括:对电子邮件的攻击,例如病毒、拦截;电子邮局附件爱护；何时不使用电子邮件的规定；雇员不违反公司规定的责任,例如发送诽谤电子邮件、进行扰乱或非法采购;保留消息,如果储存起来,一旦显现诉讼能够找到。检查消息是否通过验证的其他操纵措施。电子办公系统安全应该制定并实施策略和指导原则,操纵与电子办公系统有关的业务和安全风险。通过结合以下各项,这些方法提供了快速传播和共享业务信息的机会:文档、运算系统、网络、移动运算、移动通信、邮件、语音邮件、一样语音通信、多媒体、邮寄服务/设施、传真机。这些设施互连的安全和业务含义需要考虑的因素包括办公系统的信息漏洞,例如电话记录或电话会议保密电话、传真储存,打开邮件,公布邮件;治理信息共享的策略和适当的操纵措施。例如使用公司电子公告板（参见9.1）〇如果没有提供适当的爱护级不,则将排除敏锐业务信息