英国标准——BS7799-2:2002
信息安全管理体系——
规范与使用指南
目录
前言
0 介绍
0.1总则
0.2过程方法
0. 0. 3其他管理体系的兼容性
1 范围
1.1概要
1.2应用
2标准参考
3名词与定义
4信息安全管理体系要求
4.1总则
4.2建立和管理信息安全管理体系
4.2.1建立信息安全管理体系
4.2.2实施和运营(对照中文ISO9001确认)?信息安全管理体系
4.2.3监控和评审信息安全管理体系
4.2.4维护和改进信息安全管理体系
4.3文件化要求
4.3.1总则
4.3.2文件控制
4.3.3记录控制
5管理职责
5.1管理承诺?(对照中文ISO9001确认)
5.2资源管理
5.2.1资源提供
5.2.2培训、意识和能力
6信息安全管理体系管理评审
6.1总则
6.2评审输入?(对照中文ISO9001确认)
6.3评审输出?(对照中文IS9001确认)
7信息安全管理体系改进
7.1持续改进
7.2纠正措施
7.3预防措施
附件A(有关标准的)控制目标和控制措施
A.1介绍
A.2最佳实践指南
A.3安全方针
A.4组织安全
A.5资产分级和控制
A.6人事安全
A.7实体和环境安全
A.8通信与运营安全
A.9访问控制
A.10系统开发和维护
A.11业务连续性管理
A.12符合
附件B(情报性的)本标准使用指南
B1概况
B.1.1PDCA模型
B.1.2计划与实施
B.1.3检查与改进
B.1.4控制措施小结
B2计划阶段
B.2.1介绍
B.2.2信息安全方针
B.2.3信息安全管理体系范围
B.2.4风险识别与评估
B2.5风险处理计划
B3实施阶段
B.3.1介绍
B.3.2资源、培训和意识
B.3.3风险处理
B4实施阶段
B.4.1介绍
B.4.2常规检查
B.4.3自我监督程序
B.4.4从其它事件中学习
B.4.5审核
B.4.6管理评审
B.4.7趋势分析
B5改进阶段
B.5.1介绍
B.5.2不符合项
B.5.3纠正和预防措施
B.5.4OECD原则和BS7799-2
附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对照
0 介绍
0.1 总则
本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系(信息安全管理体系)有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方
案。
本标准能用于内部、外部包括认证组织使用,评定一个组织符合其本身的需要及客户和法律的要求的能力。
0.2过程方法
本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。
为使组织有效动作,必须识别和管理众多相互关联的活动。通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成了下一个过程的输入。
组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其惯例,课程只为:“过程方法”。
过程的方法鼓励使用者强调以下方面的重要性:
a) a) 理解业务动作对信息安全的需求和建立信息安全方针和目标的需要;
b) b) 在全面管理组织业务风险的环境下实施和动作控制措施;
c) c) 监控和评审信息安全管理体系的有效性和绩效;
d) d) 在客观的测量,持续改进过程。
本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”(PDCA)模型,适用于所有信息安全管理体系的过程。图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望,通过必要的行动措施和过程,产生信息安全结果(即:管理状态下的信息安全),满足那些需要和期望。图一同时展示了4、5、6和7章中所提出的过程联系。
例1
一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。
例2
一个期望可以是如果严重的事故发生-如:组织的电子商务网站被黑客入侵—将有被培训过的员工通过适用的程序减少其影响。
注:名词“程序”,从传统来讲,用在信息安全方面意味着员工工作的过程,而不是计算机或其它电子概念。
PDCA模型应用与信息安全管理体系过程
计划PLAN
实施 改进
用 DO ACTION
检查CHECK
计划(建立信息安全管理体系) 建立与管理风险和改进信息安全有关的安全方针、目
标、目的、过程和程序,以达到与组织整体方针和
目标相适应的结果。
实施(实施和动作信息安全管理体系 实施和动作信息安全方针、控制措施、过程和程序。
检查(监控和评审信息安全管理体系) 针对安全方针、目标和实践经验等评审和(如果适用)
职测量过程的绩效并向管理层报告结果供评审使用。
改进(维护和改进信息安全管理体系) 在管理评审的结果的基础上,采取纠正和预防措施以
持续改进信息安全管理体系。
0.3与其他管理体系标准的兼容性
本标准与ISO9001:2000与ISO16949:1996相结合以支持实施和动作安全体系的一致性和整合。
在附件C中以表格显示BS7799,ISO14001各部分不同条款间的对应关系,本标准使组织能够联合或整合其信息安全管理体系及相关管理体系的要求。
1 范围
1.1概要
本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改进一个文件化的信息安全管理体系的模型。它规范了对定制实施安全控制措施以适应不同组织或相关部分的需求。(附录B提供使用规范的指南)。
信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。
1.2应用
本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。
当本标准的任何要求因组织及其产品的特点而不适用时,可以考虑对其进行删减。
除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,
否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据
证明相关风险被负责人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。
2引用标准
ISO9001:2000质量管理体系-要求
ISO/IEC17799:2000信息技术—信息安全管理实践指南
ISO指南73:2001风险管理指南-名词
3名词和定义
从本英国标准的目的出发,以下名词和定义适用。
3.1可用性
保证被授权的使用者需要时能够访问信息及相关资产。[BS ISO/IEC17799:2000]
3.2保密性
保证信息只被授权的人访问。[BS ISO/IEC17799:2000]
3.3信息安全
安全保护信息的保密性、完整性和可用性
3.4信息安全管理体系(信息安全管理体系)
是整个管理体系的一部分,建立在运营风险的方法上,以建立、实施、动作、监控、评审、
维护和改进信息安全。
注:管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。
3.5完整性
保护信息和处理方法的准确和完整。[BS ISO/IEC17799:2000]
3.6风险接受
接受一个风险的决定[ISO Guide 73]
3.7风险分析
系统地使用信息识别来源和估计风险[ISO Guide 73]
3.8风险评估
风险分析和风险评价的整个过程[ISO Guide 73]
3.9风险评价
把估计风险与给出的风险标准相比较,确定风险严重性的过程。[ISO Guide 73]
3.10风险管理
指导和控制组织风险的联合行动
3.11风险处理
选择和实施措施以更改风险的处理过程[ISO Guide 73]
3.12适用性声明
描述适用于组织的信息安全管理体系范围的控制目标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。
4.信息安全管理体系要求
4.1总要求
组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。
为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。
4.2建立和管理信息安全管理体系
4.2.1建立信息安全管理体系
组织应:
a) a) 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。
b) b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针,
方针应:
1) 1) 包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2) 2) 考虑业务及法律或法规的要求,及合同的安全义务。
3) 3) 建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理体系。
4) 4) 建立风险评价的标准和风险评估定义的结构。
5) 5) 经管理层批准
c) c) 确定风险评估的系统化的方法
识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估
的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。
确定接受风险的标准和识别可接受风险的水平[见5.1f]
d) d) 确定风险:
1) 1) 在信息安全管理体系的范围内,识别资产及其责任人
2) 2) 识别对这些资产的威胁
3) 3) 识别可能被威胁利用的脆弱性
4) 4) 别资产失去保密性、完整性和可用性的影响
e) e) 评价风险
1) 1) 评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果;
2) 2) 评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施;
3) 3) 估计风险的等级
4) 4) 确定介绍风险或使用在c中建立的标准进行衡量确定需要处理;
f) f) 识别和评价供处理风险的可选措施:
可能的行动包括:
1) 1) 应用合适的控制措施
2) 2) 知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的标准
3) 3) 避免风险;
4) 4) 转移相关业务风险到其他方面如:保险业,供应商等。
g) g) 选择控制目标和控制措施处理风险:
应从本标准附件A中列出的控制目标和控制措施,选择应该根据风险评估和风险处理过程的结果调整。
注意:附件A中列出的控制目标和控制措施,作为本标准的一部分,并不是所有的控制目标和措施,组织可能选择另加的控制措施。
h) h) 准备一份适用性声明。从上面4.2.1(g)选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从附件A中剪裁的控制措施也应加以记录;
i) i) 提议的残余风险应获得管理层批准并授权实施和动作信息安全管理体系。
4.2.2实施和运作信息安全管理体系
组织应:
a) a) 识别合适的管理行动和确定管理信息安全风险的优先顺序(即:风险处理计划)
-[见条款5];
b) b) 实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安全角色和责
任。
c) c) 实施在4.2.1(g)选择的控制目标和措施
d) d) 培训和意识[见5.2.2];
e) e) 管理动作过程;
f) f) 管理资源[见5.2];
g) g) 实施程序和其他有能力随时探测和回应安全事故的控制措施。
4.2.3监控和评审信息安全管理体系
组织应:
a) a) 执行监控程序和其他控制措施,以:
1) 1) 实时探测处理结果中的错误;
2) 2) 及时识别失败和成功的安全破坏和事故;
3) 3) 能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标;
4) 4) 确定解决安全破坏的行动是否反映了运营的优先级。
b) b) 进行常规的信息安全管理体系有效性的评审(包括符合安全方针和目标,及安全控制措施的评审)考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈;
c) c) 评审残余风险和可接受风险的水平,考虑以下方面的变化:
1) 1) 组织
2) 2) 技术
3) 3) 业务目标和过程
4) 4) 识别威胁
5) 5) 外部事件,如:法律、法规的环境发生变化或社会环境发生变化。
d) d) 在计划的时间段内实施内部信息安全管理体系审核。
e) e) 经常进行信息安全管理体系管理评审(至少每年评审一次)以保证信息安全管理体系的范围仍然足够,在信息安全检查管理体系过程中的改进措施已被识别(见条款6信息安全管理体系的管理评审);
f) f) 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效性的事件[见4.3.4]。
4.2.4维护和改进信息安全管理体系
组织应经常:
a) a) 实施已识别的对于信息安全管理体系的改进措施
b) b) 采取合适的纠正和预防措施应用从其他组织的安全经验和组织内学到的知识。
c) c) 沟通结果和行动并得到所有参与的相关方的同意。
d) d) 确保改进行动达到了预期的目标。
4.3文件要求
4.3.1总则
信息安全管理体系文件应包括:
a) a) 文件化的安全方针文件和控制目标;
b) b) 信息安全管理体系范围[见4.2.1]和程序及支持信息安全管理体系的控制措施
c) c) 风险评估报告[见4.2.1];
d) d) 风险处理计划;
e) e) 组织需要的文件化的程序以确保存有效地计划运营和对信息安全过程的控制[见6.1]
f) f) 本标准要求的记录[见4.3.4];
g) g) 适用性声明
注1:当本标准中出现“文件化的程序”,这意味着建立、文件化、实施和维护该程序。
注2:SeeISO9001
注3:文件和记录可以用多形式和不同媒体。
4.3.2文件控制
信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序,以规定以下方面所需的控制:
a) a) 文件发布前得到批准,以确保文件的充分性;
b) b) 必要时对文件进行评审与更新,并再次批准;
c) c) 确保文件的更改和现行修订状态得到识别;
d) d) 确保在使用处可获得适用文件夹的有关版本;
e) e) 确保文件夹保持清晰、易于识别;
f) f) 确保外来文件的发放在控制状态下;
g) g) 确保文件的发放在控制状态下;
h) h) 防止作废文件的非预期使用;
i) i) 若因任何原因而保留作废文件时,对这些文件进行适当的标识。
4.3.3记录控制
应建立并保持记录,以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。
信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。
应保留4.2概要的过程绩效记录和所有与信息安全管理体系有关的安全事故发生的记录。
举例
记录的例子如:访问者的签名簿,审核记录和授权访问记录。
5管理职责
5.1管理承诺
管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:
a) a) 建立信息安全方针;
b) b) 确保建立信息安全目标和计划;
c) c) 为信息安全确立职位和责任;
d) d) 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要。
e) e) 提供足够的资源以开发、实施,运行和维护信息安全管理体系[见5.2.1];
f) f) 确定可接受风险的水平;
g) g) 进行信息安全管理体系的评审[见条款6]。
5.2资源管理
5.2.1提供资源
组织将确定和提供所需的资源,以:
a) a) 建立、实施、运行和维护信息安全管理体系;
b) b) 确保信息安全程序支持业务要求;
c) c) 识别和强调法律和法规要求及合同的安全义务;
d) d) 正确地应用所有实施的控制措施维护足够的安全;
e) e) 必要时,进行评审,并适当回应这些评审的结果;
f) f) 需要时,改进信息安全管理体系的有效性。
5.2.2培训,意识和能力
组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应:
a) a) 确定从事影响信息安全管理体系的人员所必要的能力;
b) b) 提供能力培训和必要时,聘用有能力的人员满足这些需求;
c) c) 评价提供的培训和所采取行动的有效性;
d) d) 保持教育、培训、技能、经验和资格的记录[见4.3.3]
组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标.
6 信息安全管理体系的管理评审
6.1总则
管理层应按策划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。评审的结果应清楚地文件化,应保持管理评审的记录[见4.3.3]
6.2评审输入
管理评审的输入应包括以下方面的信息:
a) a) 信息安全管理体系审核和评审的结果;
b) b) 相关方的反馈;
c) c) 可以用于组织改进其信息安全管理体系绩效和有效性的技术,产品或程序;
d) d) 预防和纠正措施的状况;
e) e) 以前风险评估没有足够强调的脆弱性或威胁;
f) f) 以往管理评审的跟踪措施;
g) g) 任何可能影响信息安全管理体系的变更;
h) h) 改进的建议。
6.3评审输出
管理评审的输出应包括以下方面有关的任何决定和措施:
a) a) 对信息安全管理体系有效性的改进;
b) b) 修改影响信息安全的程序,必要时,回应内部或外部可能影响信息安全管理体系的事件,包括以下的变更:
1) 1) 业务要求;
2) 2) 安全要求;
3) 3) 业务过程影响现存的业务要求;
4) 4) 法规或法律环境;
5) 5) 风险的等级和/或可接受风险的水平;
c) c) 资源需求。
6.4内部信息安全管理体系审核
组织应按策划的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否:
a) a) 符合本标准和相关法律法规的要求;
b) b) 符合识别的信息安全的要求;
c) c) 被有效地实施和维护;
d) d) 达到预想的绩效。
任何审核活动应策划,策划应考虑过程的状况和重要性,审核的范围以及前次审核的结果。应确定审核的标准,范围,频次和方法。选择审核员及进行审核应确认审核过程的客观和公正。审核员不应审核他们自己的工作。
应在一个文件化的程序中确定策划和实施审核,报告结果和维护记录[见4.3.3]的责任及要求.
负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。
改进措施应包括验证采取的措施和报告验证的结果[见条款7]。
7信息安全管理体系改进
7.1持续改进
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性。
7.2纠正措施
组织应确定措施,以消除与实施和运行信息安全管理体系有关的不合格的原因,防止不合格的再发生。应为纠正措施编制形成文件的程序,确定以下的要求:
a) a) 识别实施或运行信息安全管理体系中的不合格;
b) b) 确定不合格的原因;
c) c) 评价确保不合格不再发生的措施的需求;
d) d) 确定和实施所需的纠正措施;
e) e) 记录所采取措施的结果[见4.3.3];
f) f) 评审所采取的纠正措施。
7.3预防措施
组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程序适应。应为预防措施编制形成文件的程序,以规定以下方面的要求:
a) a) 识别潜在的不合格及引起不合格的原因;
b) b) 确定和实施所需的预防措施;
c) c) 记录所采取措施的结果[见4.3.3];
d) d) 评价所采取的预防措施;
纠正措施的优先权应以风险评估的结果为基础确定。
注:预防不合格的措施总是比纠正措施更节约成本。
附录A(引用)
控制目标和控制措施
A.1介绍
从A.3到A.12列出的控制目标和控制措施是直接引用并与BS ISO/IEC 17799:2000条款3到12一致。一表中的清单并不彻底,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的信息安全管理体系过程的一部分。
A.2实践指南规范
BSISO/IEC 17799:2000条款3至12提供最佳实践的实施建议和指南以支持A.3到A.12规范的控制措施。
A.3安全方针
| BSISO/IEC 17799:2000编号 |
A.3.1信息安全方针 控制目标:提供管理方向和支持信息安全 | 3.1 |
控制措施 |
A.3.1.1 | 信息安全方针文件 | 管理层应提供一份方针方件,出版并在适当时,沟通给所有员工。 | 3.1.1 |
A.3.1.2 | 评审和评价 | 应经常评审方针文件,尤其在发生决定性的变化时,确保方针的适宜性 | 3.1.2 |
A.4组织安全
| BSISO/IEC 17799:2000编号 |
A.4.1信息安全基础设施 控制目标:在组织中管理信息安全 | 4.1 |
控制措施 |
A.4.1.1 | 信息安全管理委员会 | 信息安全管理委员会确保明确的目标和管理层对启动安全管理可见的支持。管理委员会应通过适当的承诺和充足的资源推广安全 | 4.1.1 |
A.4.1.2 | 信息安全协作 | 在大的组织中,应使用一个由从各组织相关单位的管理者代表组成的跨功能的委员会,协作实施信息安全控制措施。 | 4.1.2 |
A.4.1.3 | 落实信息安全责任 | 应明确定保护每种资产和负责特定安全过程的责任 | 4.1.3 |
A.4.1.5 | 对信息处理设施的授权过程 | 应建立对于新的信息处理设施的管理授权过程 | 4.1.4 |
A.4.1.5 | 专家信息安全建议 | 应从内部或外部搜集专家的信息安全建议并在组织内部实施协作 | 4.1.5 |
A.4.1.6 | 组织间的合作 | 应与执法机关、主管机关、信息服务提供者,及通信业者维持适当的接触 | 4.1.6 |
A.4.1.7 | 独立的信息安全审查 | 应对信息安全方针的实施进行独立的审查 | 4.1.7 |
A.4.2第三方访问的安全 控制目标:维护组织的信息处理设施及信息资产被第三方访问时的安全 | 4.2 |
控制措施 |
A.4.2.1 | 确认第三方访问的风险 | 应对第三方访问组织的信息处理设施所带来的风险进行评估,并实施适当的安全控制 | 4.2.1 |
A.4.2.2 | 与第三方合约中的安全要求 | 涉及第三方访问组织的信息处理设施的安排,应以包含必要的安全要求在内的正式合约为基础。 | 4.2.2 |
A.4.3外包 控制目标:当信息处理的责任委托其他组织时,应维护信息的安全 | 4.3 |
A.4.3.1 | 外包合约中的安全要求` | 当组织将全部或部分的信息系统、网络,及/或桌面计算机环境的管理及控制外包时,在双方同意的合约中应载明安全的要求。 | .4.3.1 |
A.5资产分类与控制
| BSISO/IEC 17799:2000编号 |
A.5.1资产的保管责任 控制目标:维持对于组织的资产的适切保护 | 5.1 |
控制措施 |
A.5.1.1 | 资产的清单 | 应列出并维护一份与每个信息系统有关的所有重要资产的清单 | 5.1.1 |
A.5.2信息分类 控制目标:确保信息资产受到适当程度的保护 |
控制措施 |
A.5.2.1 | 分类原则 | 信息的分类及相关的保护控制,应适合于企业运营对于信息分享或限制的需要,以及这些需要对企业运营所带来的冲击 | 5.2.1 |
A.5.2.2 | 信息的标识及处理 | 应制定信息标识及处理的程序,以符合组织所采行的分类法则 | 5.2.2 |
A.6人事安全
| BSISO/IEC 17799:2000编号 |
A.6.1工作说明及人力资源的安全 控制目标:降低因人员错误、偷窃、诈欺或不当使用设施所造成的风险 | 6.1 |
控制措施 |
A.6.1.1 | 将安全需求列入工作职责中 | 组织在信息安全方针中所规定的安全职责及责任,应适度地书面化于工作职责说明书中 | 6.1.1 |
A.6.1.2 | 人员筛审及政策 | 应在招聘员工时执行正式员工的验证查核 | 6.1.2 |
A.6.1.3 | 保密合约 | 员工应签署保密协议作为其启始聘用合同的一部分 | 6.1.3 |
A.6.1.4 | 聘用合同 | 聘用合同中的应陈述员工对信息安全的责任 | 6.1.4 |
A.6.2使用者培训 控制目标:确保员工了解信息安全的威胁及考虑,并且具备在其日常工作过程中支持组织的信息安全方针的能力 | 6.2 |
控制措施 |
A.6.2.1 | 信息安全的教育与培训 | 组织的所有员工以及相关的第三方使用者,对于组织方针及程序应接受适当、定期更新的训练 | 6.2.1 |
A.6.3安全及失效事件的响应 控制目标:将安全及失效事件所造成的损害降到最小,并监督此类事件,从中学习 | 6.3 |
A.6.3.1 | 安全事故报告 | 安全事件应在事件被发现之后尽快由适当的管理途径进行通报 | 6.3.1 |
A.6.3.2 | 安全弱点的报告 | 应要求信息服务的使用者记下并报告任何观察到的或可疑的有关系统或服务方面的安全弱点或威胁 | 6.3.2 |
A.6.3.3 | 软件失效事件的报告 | 应建立报告软件失效事件的相关程序 | 6.3.3 |
A.6.3.4 | 从事件中学习 | 应有适当机制的以量化与监督安全事故及失效事件的种类、数量、及成本 | 6.3.4 |
A.6.3.5 | 惩处的流程 | 员工违反组织安全方针及程序,应由正式的惩处流程来处理 | 6.3.5 |
A.7实体及环境安全
| BSISO/IEC 17799:2000编号 |
A.7.1安全区域 控制目标:防止对企业运行所在地及信息未经授权的进入、访问、破坏及干扰 | 7.1 |
控制措施 |
A.7.1.1 | 实体安全边界 | 组织应有安全的边界以保护包含信息处理设施的区域 | 7.1.1 |
A.7.1.2 | 实体进出控制 | 安全区域应有适当的进出控制加以保护,以确保只有经授权的人员可以进出 | 7.1.2 |
A.7.1.3 | | 应划定安全区域,以保护具有特殊安全需求的办公处所及设备 | 7.1.3 |
A.7.1.4 | | 应对在安全区域中进行的作业有额外的控制方法及指导原则以加强安全区域的安全 | 7.1.4 |
A.7.1.5 | | 递送及装载区域应加以控制,如有可能应与信息处理设施隔离,以避免未经授权的访问 | 7.1.5 |
A.7.2设备安全 控制目标:预防资产遗产、破坏或损失和防止企业运营活动遭受干扰 | 7.2 |
控制措施 |
A.7.2.1 | 设备的安置及保护 | 应妥善安置及保护设备,以降低来自环境的威胁与危险所造成的风险以及未经授权的访问 | 7.2.1 |
A.7.2.2 | 电源供应 | 应保护设备免于电力失效及其它电力异常的影响 | 7.2.2 |
A.7.2.3 | 电缆传输安全 | 传输资料或支持信息服务的电力及通讯电缆,应予以保护免于被拦截或破坏 | 7.2.3 |
A.7.2.4 | 设备维护 | 设备应进行正确维护,以确保其持续的可用性及完整性 | 7.2.4 |
A.7.2.5 | 组织以外的设备安全 | 任何在组织所在地以外使用的信息处理设备应要求管理层授权 | 7.2.5 |
A.7.2.6 | 设备报废或再利用的安全防护 | 设备在报废或再利用前,应清除在设备中的信息 | 7.2.6 |
A.7.3一般控制 控制目标:防止信息及信息处理设备的损毁或失窃 | 7.3 |
控制措施 |
A.7.3.1 | 办公桌面净空及计算机屏幕画面净空策略 | 组织应具备办公桌面净空及计算机屏幕画面净空的政策,以降低因信息被未经授权访问、遗失及损害所造成的风险 | 7.3.1 |
A.7.3.2 | 资产的移出 | 未经授权不得移出组织所拥有的设备、信息及软件 | 7.3.2 |
A.8通讯与操作管理
| BSISO/IEC 17799:2000编号 |
A.8.4.2 | 操作员日志 | 作业人员应维持一份记录其作业活动的工作日。操作日志应受到经常性的,独立的审查。 | 8.4.2 |
A.8.4.3 | 错误事件登录 | 应通报错误并采取改正行动 | 8.4.3 |
A.8.5网络管理 控制目标:确保网络中信息的安全性以及保护支持性的基础设施 | 8.5 |
控制措施 |
A.8.5.1 | 网络控制 | 应实行一系列的控制方法以达成并维护网络的安全 | 8.5.1 |
A.8.6存储媒体的处理与安全 控制目标:防止资产遭受损害以及企业营运活动遭受干扰 | |
控制措施 |
A.8.6.1 | 可移动式计算机存储媒体的管理 | 对于可移动式计算机储存媒体例如磁带、磁盘以及打印出来的报告的管理应回以控制 | 8.6.1 |
A.8.6.2 | 存储媒体的报废 | 不再需要的储存媒体,应可靠并安全地处置 | 8.6.2 |
A.8.6.3 | 信息的处理程序 | 应建立信息的处理及储存程序,以保护信息不被未经授权的泄漏或不当使用 | 8.6.3 |
A.8.6.4 | 系统文件的安全 | 应保护系统文件以防未经授权的访问 | 8.6.4 |
A.8.7信息及软件的交换 控制目标:防止在组织间交换的信息遭受遗失、修改及不当使用 | 8.7 |
控制措施 |
A.8.7.1 | 信息及软件交换协议 | 以电子化或人工方式在组织间交换信息及软件时,应签订协议,其中有些可能是正式的协议书 | 8.7.1 |
A.8.7.2 | 存储媒体的运送安全 | 运送存储媒体时应保护其不遭受未经授权的泄漏、不当使用或毁坏 | 8.7.2 |
A.8.7.3 | 电子商务安全 | 应保护电子商务免于诈欺行为、合约争议以及信息被泄漏及修改 | 8.7.2 |
A.8.7.4 | 电子邮件的安全 | 应开发一份电子邮件的使用策略,并应有降低电子邮件所造成的安全风险的适当控制方法 | 8.7.3 |
A.8.7.5 | 电子化办公室系统的安全 | 为控制电子化办公室系统所带来的业务与安全风险,各项政策与指导原则应加以拟定并实施 | 8.7.5 |
A.8.7.6 | 开放的公用系统 | 信息在成为公众可取用前应有正式的授权过程,应保护这类信息的完整性以防止未经授权的修改 | 8.7.6 |
A.8.7.7 | 其它形式的信息交换 | 应有适当的策略、程序及控制方法来保护经由传真、语音及影像等通讯设施进行的信息交换 | 8.7.7 |
A.9访问控制
| BSISO/IEC 17799:2000编号 |
A.9.1企业营运对访问控制的要求 控制目标:控制对于信息的访问 | 9.1 |
控制措施 |
A.9.1.1 | 访问控制策略 | 企业营运对访问控制的要求应加以界定并文件化,对于信息的访问应如访问控制政策中所界定的加以限制 | 9.1.1 |
A.9.2使用者访问管理 控制目标:确保访问信息系统的权限被适当地授权、落实和维护 | 9.2 |
控制措施 |
A.9.2.1 | 使用者注册 | 应有正式的使用者注册及注销的程序,以进行所有的多人使用信息系统及服务的访问授权 | 9.2.1 |
A.9.2.2 | 特殊权限的管理 | 对于特殊权限的分配及使用,应加以限制及控制 | 9.2.2 |
A.9.2.3 | 使用者密码管理 | 对密码的分配,应通过正式的管理流程加以控制 | 9.2.3 |
A.9.2.4 | 使用者访问权限的审查 | 管理层应定期执行正式审查过程对于使用者的访问权限实施评审 | 9.2.4 |
A..9.3使用者责任 控制目标:防止未经授权的使用者访问 | 9.3 |
控制措施 |
A.9.3.1 | 密码的使用 | 应要求使用者在选择及使用密码时,遵循良好的安全惯例 | 9.3.1 |
A.9.3.2 | 无人看管的使用者设备 | 应要求使用者确保无人看管的使用者设备有适当的保护 | 9.3.2 |
A.9.4网络访问控制 控制目标:保护网络化的服务 | 9.4 |
控制措施 |
A.9.4.1 | 使用网络服务的政策 | 使用者应仅能直接访问已获得特别授权使用的服务 | 9.4.1 |
A.9.4.2 | 强制性的路径 | 由使用者的终端机至计算机服务器羊的路径应加以控制 | 9.4.2 |
A.9.4.3 | 外部联机的使用者认证 | 应对远程使用者的访问进行使用者认证 | 9.4.3 |
A.9.4.4 | 节点认证 | 到远程计算机系统的联机应被认证 | 9.4.4 |
A.9.4.5 | 远程诊断端口的保护 | 对于诊断断口的访问应可靠地加以控制 | 9.4.5 |
A.9.4.6 | 网络的隔离 | 应引起可在网络中以群组方式隔离信息服务、使用者及信息系统的控制方法 | 9.4.6 |
A.9.4.7 | 网络联机的控制 | 在分享式的网络中,使用者的联机能力应依照访问控制策略加以限制 | 9.4.7 |
A.9.4.8 | 网络路由的控制 | 在分享式的网络中,应有路由控制方法以确保计算机联机及信息流不违反所制定的企业营运应用软件的访问控制政策 | 9.4.8 |
| | | | |
A.9(继续)
| BSISO/IEC 17799:2000编号 |
A.9.4.9 | 网络服务的安全 | 对于组织使用网络服务业者提供的所有网络服务的安全特性,应提供清楚的说明 | 9.4.9 |
A.9.5操作系统访问控制 控制目标:防止未经授权的计算机访问 | 9.5 |
控制措施 |
A.9.5.1 | 自动化的终端机识别 | 应使用自动化的终端机识别,以认证连接到特定场所及可移动式设备的联机 | 9.5.1 |
A.9.5.2 | 终端机联机程序 | 访问信息服务应有安全的联机流程 | 9.5.2 |
A.9.5.3 | 使用者识别及认证 | 所有使用者应有唯一的识别码(使用者代号)专供其个人的使用,以便各项活动可以追溯至应负责的个人.使用一种适当的认证技术以真实地识别使用者的身份 | 9.5.3 |
A.9.5.4 | 口令字管理系统 | 密码管理系统应提供有效的、交互式的设施以确保使用优质的密码 | 9.5.4 |
A.9.5.5 | 系统工具的使用 | 系统工具的使用应加以限制并严格控制 | 9.5.5 |
A.9.5.6 | 提供受胁迫警报以保护使用者 | 对于可能成为他人胁迫的目标的使用者,应提供胁迫警报 | 9.5.6 |
A.9.5.7 | 终端机逾时终止 | 在高风险场所或为高风险系统服务终端机,在进入休止状态达到规定的一段时间后,应加以关闭以防止未经授权的人进行访问 | 9.5.7 |
A.9.5.8 | 联机时间的限制 | 应使用联机时间的限制,以提供高风险的应用程序额外的安全 | 9.5.8 |
A.9.6应用程序访问控制 控制目标:防止对于保持在信息系统中的信息进行未经授权的访问 | 9.6 |
控制措施 |
A.9.6.1 | 信息访问限制 | 对于信息及应有系统的功能的访问应依照访问控制策略加以限制 | 9.6.1 |
A.9.6.2 | 机密性系统的隔离 | 具机密性质的系统应有专属的〈隔离的〉运算环境 | 9.6.2 |
A.9.7系统访问及使用的监控 控制目标:侦探未经授权的活动 | 9.7 |
控制措施 |
A.9.7.1 | 事件登录 | 应产生记载着异常状况及其它安全相关事件的审核日志,并保存一定的期间以协助未来的调查及访问控制的监控 | 9.7.1 |
A.9.7.2 | 系统使用的监控 | 应建立监控信息设施使用情况的程序,并且应定期对监活动的结果进行审查 | 9.7.2 |
A.9.7.3 | 定时器同步 | 计算机的定时器应同步以便能准确地记录 | 9.7.3 |
A.9(继续)
| BSISO/IEC 17799:2000编号 |
A.9.8可移动式计算机运算及计算机通讯远距工作 控制目标:确保使用可移动式计算机运算及计算机通讯远距工作的设施的信息安全 | 9.8 |
控制措施 |
A.9.8.1 | 可移动式计算机运算 | 应有适当的正式政策并且采用适当的控制方法,以防范使用可移动式计算机远算设施进行工作时所造成的风险,特别是在未被保护的环境中工作时 | 9.8.1 |
A.9.8.2 | 计算机通讯远距工作 | 应开发策略、程序和标准以便授权及控制计算机通讯远距工作的活动 | 9.8.2 |
A.10系统开发及维护
| BSISO/IEC 17799:2000编号 |
A.10.1系统的安全要求 控制目标:确保安全机制建于信息系统之中 | 10.1 |
控制措施 |
A.10.1.1 | 安全要求的分析及标准 | 对于使用新系统或改进既有系统的企业营运要求,应将对控制方法的要求制定于其中 | 10.1.1 |
A.10.2应用系统中的安全 控制目标:防止应用系统中的使用者资料遗失、修改及不当使用 | 10.2 |
控制措施 |
A.10.2.1 | 输入资料的验证 | 输入应用系统的资料应加以验证,以确保资料是正确且适当的 | 10.2.1 |
A.10.2.2 | 内部处理控制 | 验证的检查应成为系统的一部份,以侦测出所处理的资料是否损毁 | 10.2.2 |
A.10.2.3 | 消息的认证 | 当有保护消息内容完整性的安全要求时,应针对应用程序进行消息的认证 | 10.2.3 |
A.10.2.4 | 输出资料的验证 | 从应用系统输出的资料应加以验证,以确保对所储存的资料的处理流程是正确的,且就其情况而言是适当的 | 10.2.4 |
A.10.3密码学的控制方法 控制目标:保护信息的机密性、真实性或完整性 | 10.3 |
控制措施 |
A.10.3.1 | 运用密码学控制方法时的政策 | 应发展且遵循以密码学控制方法来达成保护信息目的政策 | 10.3.1 |
A.10.3.2 | 资料加密 | 应使用资料加密,以保护机密或关键信息的机密性 | 10.3.2 |
A.10.3.3 | 数字签章 | 应使用不可否认性的服务,以解决某事件或行动是否有发生的争议 | 10.3.3 |
A.10.3.4 | 不可否认性的服务 | 应使用既定的标准、程序及方法为基础的密钥管理系统以支持密码学技术的运用 | 10.3.4 |
A.10.3.5 | 密钥管理 | | 10.3.5 |
A.10(继续)
| BSISO/IEC 17799:2000编号 |
A.10.4系统档案的安全 控制目标:确保信息科技的项目及支持特性活动以安全的方式来进行 | 10.4 |
控制措施 |
A.10.4.1 | 控制执行软件 | 应建立程序控制操作系统上的软件执行 | 10.4.1 |
A.10.4.2 | 系统测试资料的保护 | 测试资料应加以保护及控制 | 10.4.2 |
A.10.4.3 | 原始链接库的访问控制 | 对于原始链接库的访问维护严格的控制 | 10.4.3 |
A.10.5开发及支持流程中的安全 控制目标:维护应用系统的软件及信息的安全 | 10.5 |
控制措施 |
A.10.5.1 | 变更控制的程序 | 应使用正式的变更控制程序严格地控制变更的实行,以将信息系统的损毁降至最小 | 10.5.1 |
A.10.5.2 | 操作系统变更的技术审查 | 当发生变更时,应对应用系统进行审查及测试 | 10.5.2 |
A.10.5.3 | 软件包修改的限制 | 应阻止对于软件包的修改,对于变更应严格控制 | 10.5.3 |
A.10.5.4 | 秘密信道及特洛伊木马 | 应控制并检查软件的采购、使用及修改以防范可能密秘信道及特洛伊木马程序 | 10.5.4 |
A.10.5.5 | 委外的软件开发 | 应使用控制方法防护委外的软件开发 | 10.5.5 |
A.11业务持续动作管理
| BSISO/IEC 17799:2000编号 |
A.11.1业务持续动作管理考虑 控制目标:防止企业运营中断并且保护企业营运的关键流程免于重大失效或灾难的影响 | 11.1 |
控制措施 |
A.11.1.1 | 业务持续动作的管理流程 | 为发展及维护企业的持续动作性,应有遍及整个组织的管理流程 | 11.1.1 |
A.11.1.2 | 业务持续动作及冲击分析 | 应发展以适当的风险评估为基础的策略性计划,以为业务持续动作的方法 | 11.1.2 |
A.11.1.3 | 持续动作计划的撰写及执行 | 应发展计划确保在重要的业务流程中断或失效后可及时维护或恢复业务动作 | 11.1.3 |
A.11.1.4 | 业务持续动作规划的架构 | 应维持一个单一的业务持续动作计划架构,以确保所有计划的一致性,且鉴别其先后次序以进行测试与维护 | 11.1.4 |
A.11.1.5 | 业务持续动作计划的测试、维护与再评估 | 业务持续运作计划应定期测试,且透过定期审查予以维护,以确保及时性及有效性 | 11.1.5 |
A.12符合性
| BSISO/IEC 17799:2000编号 |
A.12.1法规要求的符合性 控制目标:避免违反任何刑事、民事法律以及法律条文、行政法规或合约内容所规定的义务、以及违反任何安全的要求 | 12.1 |
控制措施 |
A.12.1.1 | 鉴别适用的法律规定 | 对每一个信息系统而言,法律条文、行政法律及契约内容所规定的所有相关要求,应加以明白地界定及文件化 | 12.1.1 |
A.12.1.2 | 知识产权 | 应实行适当的程序,以确保在使用智能财产权方面的物品及他人专属的软件产品时,能符合法律的限制 | 12.1.2 |
A.12.1.3 | 组织记录的保护 | 应防止属于组织的重要记录遗失、被破坏及篡改 | 12.1.3 |
A.12.1.4 | 个人信息的隐私及数据保护 | 应使用控制方法,以依照相关的法律保护个人信息 | 12.1.4 |
A.12.1.5 | 信息处理设施不当使用的预防 | 使用信息处理设备应经营管理者授权,并且在应使用控制方法,以防止这些设施遭受不当使用 | 12.1.5 |
A.12.1.6 | 有关密码学控制方法的政府规定 | 应有适当的控制方法,以确保使用或访问密码学控制方法,符合国家所制定的协议书、法律、行政规定或其他正式法律文件的要求 | 12.1.6 |
A.12.1.7 | 证据的收集 | 当对某个人或某组织所采取的行动涉及法律,不论是民法或刑法,所提供的证据应符合相关法律或审理该案件的法庭对于证据所作的规定,并应包括符合任何有关可采购证据的产生的已发行标准或最佳惯例在内 | 12.1.7 |
A.12.2安全政策符合性及技术符合性的审查 控制目标:确保系统符合组织的安全政策及标准 | 12.2 |
控制措施 |
A.12.2.1 | 安全方针的符合性 | 管理者应确保在其责任范围内的所有安全程序被正确地执行,并且组织内的所有范围应定期加以审查,以确保符合安全政策及标准 | 12.2.1 |
A.12.2.2 | 技术符合性的检查 | | 12.2.2 |
A.12.3系统审核的考虑 控制目标:将有效性提升至最大,并将对来自及作用在系统审核,流程的干扰降至最小 | 12.3 |
控制措施 |
A.12.3.1 | 系统审核的控制 | 对于操作系统的审核,应加以策划并取得同意,以将对企业营运的流程造成中断的风险降至最小 | 12.3.1 |
A.12.3.2 | 系统审核工具的保护 | 对于系统审核工具的访问应加以保护,以防止可能的不当使用或遭侵入而损坏 | 12.3.2 |
| | | | | |
附录 B (情报性的)标准使用指南
B.1总则
B.1.1PDCA 模型
建立和管理一个信息安全管理体系需要像其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环计划、实施、检查、和处置。之所以可以描述为一个有效的循环国为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。
B.1.2计划和实施
一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的进程正式化,确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立,评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。
B.1.3检查和处置
检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。
B.1.4控制措施总结(Summary ofControls)
组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结(SoC)的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息,因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。
注:SoC不是(Statementof Applicability)[见4.2.1]的替代品。SoA是认证必须的要求。
B.2 计划阶段
B.2.1介绍
PDCA循环的计划活动是为保证正确地建立信息安全管理体系的内容和范围,识别和评估所有的信息安全风险,建立合适的处理风险计划而设计的。计划活动所有阶段必须文件化作为管理变化的追溯,这一点非常重要。
B.2.2信息安全方针
4.2.1b)要求组织和其管理层确定包含建立其目标和目的框架、并建立总的方向、信息安全行动原则的信息安全方针。该方针的内容的指南在BS ISO/IEC17799:2000中给出。
B.2.3信息安全管理体系的范围
信息安全管理体系可能覆盖组织所有部分。应清楚识别的从属、界面和对于一个环境的边界的假设。这对于只有组织的部分单位包括在信息安全管理体系范围内时尤其重要。范围的界定可能分为几种方式,例如,分为领域,使后续的风险管理任务变得容易。信息安全管理体系范围文件应覆盖:
a) a) 建立范围和信息安全管理体系的环境所使用的过程;
b) b) 战略及组织环境;
c) c) 组织使用的信息安全风险管理的方法;
d) d) 信息安全风险评价的标准和所需的确保的程度的要求;
e) e) 在信息安全管理体系的范围内信息资产和识别
信息安全管理体系的范围可能在质量管理体系控制的范围、另一个管理体系或另一个信息安全管理体系(相同的或一个第三方的组织)之内,在这种情况下,只有那些信息安全管理体系具有的管理控制可以考虑为在信息安全管理体系的范围内。
B.2.4风险识别和评估
风险评估文件应解释选择哪一种风险方法,为什么此方法适合安全要求,业务环境,组织的规模和面临的风险等。采用的方法应致力于安全的努力和有效利用资源。文件也应覆盖选择的工具和技术,解释为什么它们适用于信息安全管理体系的范围和风险,怎样正确地使用这些工具和技术以产生有效的结果。
以下风险评估的详细内容应文件化:
a) a) 信息安全管理体系范围内的资产的评价,包括在不能以钱来衡量时,估价量度的使用的信息;
b) b) 识别威胁和弱点;
c) c) 对威胁利用脆弱点的评估,及当此类事故发生时的影响;
d) d) 在评估结果的基础上计算风险,识别残余风险。
B.2.5风险处理计划
组织应建立一个详细的日程,或风险处理计划,对于每一个识别的风险确定:
a) a) 选择的处理风险的方法;
b) b) 已有的控制措施;
c) c) 建议的新添的控制措施;
d) d) 实施新提议的控制措施的时间架构。
应识别一个可接受风险的水平,对于每一个不在可接受水平内的风险应从下列方面选择合适的措施:
a) a) 决定接受风险,如,因为不能采取其他措施或太贵;
b) b) 转移风险;或
c) c) 降低风险到可接受的风险。
风险治理计划是一个调和的文件,确定降低不可接受的水平,因此应对是否增加更多的控制措施或接受更高的风险作出一个决定。当设立一个可接受的风险的水平,力度和控制措施的成本应与潜在的事故造成的代价相比较。
适用性声明[见4.2.1h]记录控制目标和从附录A选择的控制措施。这份文件是信息安全管理体系认证要求的一份工作文件。BSISO/IEC17799:2000提供相关实施这些控制措施的附加信息,当识别的风险超过这些控制措施可以控制的水平时,可能需要设计附加的控制措施并加以实施。
设计用来阻止、侦测、限制、保护和恢复安全侵害(与信息安全管理体系一致)的控制措施对实施PDCA模型非常重要并应在早期与提供预防、侦测、限制和恢复的管理控制措施一起加以实施,这样才能更有效。
应准备一份提供日程、排列优先次序、一个详细的工作计划和责任的计划,实施控制措施。
B.3实施阶段
B.3.1介绍
在PDCA循环中的实施阶段是设计用来实施选择的控制措施和推进必要的策划阶段所做出的决定一致的管理信息安全风险措施。
B.3.2资源,培训和意识
应落实充足的运行信息安全管理体系和所有安全控制措施的资源,包括实施所有控制措施的文件,和维护信息安全管理体系文件的活动。另外,应提高安全意识和实施培训项目,这项活动应与实施安全控制措施并行。
意识项目的目的是产生一种有很好基础的风险管理和安全的文化。应监控安全意识项目的进展以保证其持续有效性和时事性。特别的安全培训应适用于是否支持意识项目,使所有相关方在需要时完成他们的任务。
B.3.3风险处理
对于经过评估可接受的风险,不需要进一步的措施。
如果决定转移风险,应采取进一步行动,如:使用合同,保险安排和组织结构如合作伙伴和合资等。在这种情况下,应保证风险转移到的组织理解那些风险的性质和能够有效地管理他们。
当决定降低风险,应实施已选择的控制措施。这些实施应与在策划活动中准备的风险处理计划一致。成功实施该计划要求有效的管理体系,管理体系确定选择的方法,指派责任和个人对措施以及监控这些措施的特别的标准的职责。当一个组织决定接受高于呆接受水平的风险时,应获得管理层的批准。
在不可接受风险被降低或转移之后,还会有残余风险。控制措施应保证不希望发生的影响或破坏及时被识别并适当管理。
B.4检查阶段
B.4.1介绍
检查活动是设计用来保证控制措施有效运行,与预期一致,信息安全管理体系持续有效。另外,任何有关风险评估范围或假设的变化应予以考虑。如果发现控制措施不够充足,应决定采取必要的纠正措施。此类活动的实行应在PDCA循环的处置阶段。意识到纠正措施只有在必要时采用非常重要:
a) a) 维护信息安全管理体系文件内部的一致性:并
b) b) 如果不做改变其效果会使组织暴露与不可接受的风险之下。
检查活动也应包括一份为管理和运行信息安全管理体系的控制措施的程序的描述及不断评审风险及在不断变化的技术、威胁或功能下处理风险的过程。
在可能确定目前的安全状态是令人满意的同时,应注意技术的变化和业务的需求及新威胁和脆弱点的发生,以预测信息安全管理体系未来的变化并确保其在未来持续有效。
在检查阶段采集的信息提供可以用来决定和测量信息安全管理体系在符合文件化的组织安全方针和目标有效性的测量的有价值的数据资源。这些信息应同时用于一种识别无效的过程和程序的资源。
检查活动的性质依赖于PDCA循环有关的特性,以下是一些例子。
例一
入侵检测技术的自动响应。一个网络入侵监测员会监测其他部件的安全是否被渗透。
例二
安全事故响应行动。在安全破坏事件中采取行动的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。
在B.4.2到B.4.7中给出了其他的例子
B.4.2日常检查
这些程序应作为正式的业务过程经常进行并设计用来侦测处理结果的错误。他们可能包括:调整银行账户、资产清点、及解决客户抱怨。很明确,此类的检查需要设计的体系里以进行足够的次数来限制任何发生的错误造成的损害(及后续责任)。
a) a) 检查有没有无意的和未授权的对管理软件活动参数的改变;
b) b) 确定数据在“虚拟公司”的不同网络部分间传输的准确性和完整性。
B.4.3自治程序
自治程序是一个为任何错误或失败在发生时能被及时发现而建立的控制措施。例如,一个监控网络(如:设备故障或错误)的设备并鸣响警铃。警铃能够提醒负责的员工问题的所在,使他们能查清事故原因并修复它。但在一段时间内如果总是不能被纠正,另外的警铃会对更高层的管理者鸣响,因此自动升级问题。
B.4.4从其它处学习
一种确定组织的程序不够好的方法是识别其他组织处理问题是否更有效。这种学习适用于技术软件和管理活动。有很多来源识别在技术和软件中的脆弱性。组织应经常参考这些并对他们的软件进行适当的更新。
管理技巧的信息会经常在很多管理论坛上交流和讨论,包括会议,执业协会,和使用者小组,并有很多文件发布在技术和管理杂志上。此类交流使组织能够学习怎样处理类似的问题。
B.4.5内部信息安全管理体系审核
总的目标是通过在一个特定常规审核时间段进行检查(时间不应该超过一年)信息安全管理体系所有的方面是否达到预想的效果。应计划足够的审核次数使审核任务均匀散布在整个的选择周期。管理层应保证有证据确认:
a) a) 信息安全方针仍能够准确地反映业务需求;
b) b) 使用一个合适的风险评估方法;
c) c) 遵循了文件化的管理程序(即:在信息安全管理体系的范围内),并达到了他们向往的目标;
d) d) 实施了技术控制措施(如:防火墙,物理访问控制)等,并正确地配置和像预期的一样工作;
e) e) 正确地评估了残余风险而且组织有的管理层仍能接受残余风险;
f) f) 实施了前一次审核和评审达成一致意见的措施;
g) g) 信息安全管理体系与本标准一致。
审核需要目前文件和记录的样本及管理层和员工参与会见谈话。
B.4.6管理评审
总目标是检查信息安全管理体系的有效性,至少每年一次,以识别需要的改进和要采取的行动。在确定目前的安全状态是令人满意的同时,应注意技术的变化和业务需求的变化及新威胁和脆弱点的发生,以预测信息安全管理体系未来的变化并确保其在未来持续有效。
B.4.7趋势分析
经常进行趋势分析将帮助组织识别需要改进的领域,并应建立一个持续改进循环的基本部分。
B.5改进阶段
B.5.1介绍
为使信息安全管理体系保持有效,应以在检查阶段采集和信息为基础经常改进。
改进活动的目的是采取作为检查活动的结果的措施。行动将就不符合项或采取其他的纠正措施如在B.5.2和B.5.3中解释的。措施可能进一步立刻进入策划和实施活动。一个前面的例子是当一个新的威胁被识别,策划活动应更新风险评估。一个后面的例子是把现存的业务连续性计划付诸行动,如果检查活动识别出需要这样做。注意作为改进的结果改变信息安全管理体系或下一步策划行动,关键是所有的相关方被子及时告知所作的改变,并提相应的附加的培训。
B.5.2不符合项
一个不符合项是:(从ISO/IEC指南62条款应用使用指南)
a) a) 缺少,或缺乏有效实施和维护一个或多个信息安全管理体系的要求;或
b) b) 一种情况是,在有客观证据的基础上,引起对信息安全管理体系完成信息安全方针和组织安全目标的能力的重大的怀疑。
非常重要的,在检查阶段的评审强调不符合项的区域,应采取进一步的调查以识别事故的原因,识别采取不仅解决问题而且减少和防止其再发生。纠正措施应与不符合项的严重程度对于信息安全管理体系符合特定的要求的风险一致。
B.5.3纠正和预防措施
应采取纠正(或反应式的)措施以消除不符合项的原因或其他不合需要的情况以防止再次发生。应采取预防(或预先)措施消除潜在不符合项的发生的原因或其他不合需要的潜在情况。
永远不可能全部消除孤立的不符合项。另一方面,可能出现的情况是一个孤立的事件可能事实上是一个弱点的征兆,如果不加以处理可能会对整个组织发生影响。当识别和实施任何纠正措施应从这种观点考虑孤立事件。如果不加以立即的纠正措施外,考虑中、长期观点非常重要,确保补救工作不仅考虑在考虑之下的问题而且预防和减少类似事件在发生的可能性。
B.5.4OECD原则和BS7799-2002-12-19
在OECD指南中给出的信息系统和网络安全原则适用于所有的方针和管理信息系统和网络安全运行层面。本英国标准为实施一些OECD原则提供一个使用PDCA模型的信息安全管理体系框架,在条款4,5,6和7中描述的过程,在表B.1.中显示。
表B.1-OECD 原则和PDCA模型
OECD原则 | 对应的信息安全管理体系过程和PDCA阶段 |
意识 参与者应知道信息系统和网络安全的需要和他们能够做什么来加强安全 | 这个活动是实施过程的一部分(见4.2.2和5.2.2) |
责任 所有参与者负责信息系统和网络的安全 | 这个活动是实施进程的一部分(见4.2.2和5.1) |
回应 参与者应及时并采取协作的方式以预防、侦测和回应安全事件 | 这是监控活动的一部分,检查阶段(见4.2.3和6.1至6.4)和一个回应活动,纠正阶段(见4.2.4和7.1至7.3)。这还可以被一些策划和检查阶段方面覆盖 |
风险评估 参与者应执行风险评估 | 这项活动是策划阶段的一部分(见4.2.1)并且风险在评估是检查阶段的一部分(见4.2.3和6.1至6.4) |
安全设计和实施 参与者应把安全作为信息系统和网络基本的元素 | 一旦完成风险评估,选择控制措施处理风险是策划阶段的一部分(见4.2.1)。实施阶段(见4.2.2和5.2)覆盖这些控制措施的实施和运行。 |
安全管理 参与者应采取一套完整的方法进行安全管理 | 风险管理实施一个包括预防,侦测和回应事故,不断维护,评审和审核的过程。所有这方面包含在策划,实施,检查和改进阶段 |
重新评估 参与者应评审和重新评估信息系统和网络的安全,并进行适当的修改安全方针,实践,测量和程序 | 信息安全的重新评估是检查阶段的一部分(见4.2.3和6.1至6.4),应进行经常性的评估以检查信息安全管理体系的有效性及改进安全是纠正阶段的一部分(见4.2.4和7.1至7.3) |
附录C(情报性的)
BS EN ISO9001:2000,BS ENISO14001:1996与BS7799-2:2002对照
表C.1显示BS ENISO9001:2000,BS ENISO14001:1996与BS7799-2:2002间的对照关系
BS7799-2:20002 | BS ENISO9001:2000 | BS EN ISO14001:1996 |
0介绍 0.1介绍 0.2过程方法 0.3与其他管理体系的兼容性 | 0介绍 0.1总则 0.2过程方法 0.3与ISO9004的关系 0. 0. 4与其他管理体系的兼容性 | 介绍 |
1范围 1.1总则 1.2应用 | 1范围 1.1总则 1.2应用 | 1范围 |
2标准参考 | 2标准参考 | 2标准参考 |
3名词和定义 | 3名词和定义 | 3名词和定义 |
4信息安全管理体系要求 4.1总要求 4.2建立和管理信息安全管理体系 4.2.1建立信息安全管理体系 4.2.2实施和运行信息安全管理体系 4.2.3监控和评审信息安全管理体系 4.2.4维护和改进住处安全管理体系 4.3文件要求 4.3.1总则 4.3.2文件控制 4.3.3记录控制 | 4QMS要求 4.1总要求 4.2文件要求 4.2.1总则 4.2.2文件控制 4.2.3文件控制 4.2.4记录控制 | 4EMS要求 4.1总要求 4.4实施和运行 4.5.1监控和测量 4.5.2不符合纠正预防措施 4.4.5文件控制 4.5.3记录 |
5管理责任 5.1管理承诺 | 5管理责任 5.1管理承诺 5.2以客户为关注焦点 5.3质量方针 5.4策划 5.5责任、授权和沟通 | 4.2环境方针 4.3策划 |
表C.1显示BS ENISO9001:2000,BS ENISO14001:1996与BS7799-2:2002间的对照关系
(继续)
BS7799-2:2002 | BS ENISO9001:2000 | BS ENISO14001:1996 |
5.2资源管理 5.2.1资源提供 5.2.2培训、意识和能力 | 6资源管理 6.1资源提供 6.2人力资源 6.2.2能力,意识和培训 6.3基础设施 6.4工作环境 | 4.2.2培训,意识和能力 |
6信息安全管理体系管理评审 6.1总则 6.2评审输入 6.3评审输出 6.4信息安全管理体系 内部审核 | 5.6管理评审 5.6.1总则 5.6.2评审输入 5.6.3评审输出 8.2.2内部审核 | 4.6管理评审 4.5.4EMS审核 |
7信息安全管理体系改进 7.1持续改进 7.2纠正措施 7.3预防措施 | 8改进 8.5.1持续改进 8.5.2纠正措施 8.5.3预防措施 | 4.5.2不符合与纠正预防措施 |
附录A控制目标和控制措施 附录B标准使用指南 附录C不同管理标准体系标准间的对应关系 | 附录AISO14001与ISO9001间的联系 | 附录A规范使用指南 附录BISO14001和ISO9001间的联系 |