信息技術(shù)安全技術(shù)

《信息技術(shù)安全技術(shù)》由會員分享，可在線閱讀，更多相關《信息技術(shù)安全技術(shù)（49頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息技術(shù)安全技術(shù)信息安全管理體系要求（）（征求意見稿，年月日）1 / 44目次前言 .引言 .范圍 .規(guī)范性引用文件.術(shù)語和定義.信息安全管理體系（）.管理職責.內(nèi)部審核 .的管理評審.改進 .附 錄（規(guī)范性附錄）控制目標和控制措施.附 錄（資料性附錄）原則和本標準.附 錄（資料性附錄）,和本標準之間的對照.2 / 44前言3 / 44引言總則本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（，簡稱）提供模型。采用應當是一個組織的一項戰(zhàn)略性決策。一個組織的的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組

2、織的需要實施，是本標準所期望的，例如，簡單的情況可采用簡單的解決方案。本標準可被內(nèi)部和外部相關方用于一致性評估。過程方法本標準采用一種過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進一個組織的。一個組織必須識別和管理眾多活動使之有效運作。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的任意活動，可以視為一個過程。通常，一個過程的輸出可直接構(gòu)成下一過程的輸入。一個組織內(nèi)諸過程的系統(tǒng)的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法 ”。本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調(diào)以下方面的重要性：)理解組織的信息安全要求和建立信息安全方針與目標的需要；)從組織整體業(yè)務風險的角度，

3、實施和運行控制措施，以管理組織的信息安全風險；)監(jiān)視和評審的執(zhí)行情況和有效性；)基于客觀測量的持續(xù)改進。本標準采用了“規(guī)劃（）實施（）檢查（）處置（）”（）模型，該模型可應用于所有的過程。圖說明了如何把相關方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖也描述了、和章所提出的過程間的聯(lián)系。采用模型還反映了治理信息系統(tǒng)和網(wǎng)絡安全的指南（版）中所設置的原則。本標準為實施指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強健的模型。例 ：某些信息安全缺陷不至于給組織造成嚴重的財務損失和或使組織陷入困境，這可能是一種要求。例 ：如果發(fā)

4、生了嚴重的事故 可能是組織的電子商務網(wǎng)站被黑客入侵 應有經(jīng)充分培訓的員工按照適當?shù)某绦?，將事件的影響降至最小。這可能是一種期望。信息系統(tǒng)和網(wǎng)絡安全指南面向安全文化。巴黎：，年月。4 / 44規(guī)劃建立相關方相關方實施實施和保持和處置運行改進受控的信息安全監(jiān)視和信息安全要求和期望評審檢查圖應用于過程的模型與其它管理體系的兼容性本標準與及相結(jié)合，以支持與相關管理標準一致的、整合的實施和運行。因此，一個設計恰當?shù)墓芾眢w系可以滿足所有這些標準的要求。表說明了本標準、（ ）和（）的各條款之間的關系。本標準的設計能夠使一個組織將其與其它相關的管理體系要求結(jié)合或整合起來。5 / 44規(guī)劃（建立 ）建立與管理風

5、險和改進信息安全有關的方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結(jié)果。實施（實施和運行）實施和運行方針、控制措施、過程和程序。檢查（監(jiān)視和評審）對照 方針、目標和實踐經(jīng)驗，評估并在適當時，測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。處置（保持和改進）基于 內(nèi)部審核和管理評審的結(jié)果或者其他相關信息，采取糾正和預防措施，以持續(xù)改進。6 / 44信息技術(shù)安全技術(shù)信息安全管理體系要求重點：本出版物不聲稱包括一個合同所有必要的規(guī)定。用戶負責對其進行正確的應用。符合標準本身并不獲得法律義務的豁免。范圍總則本標準適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機構(gòu)、非贏利組織）。本標準從組織的

6、整體業(yè)務風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的 規(guī)定了要求。它規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。的設計應確保選擇適當和相宜的安全控制措施，以充分保護信息資產(chǎn)并給予相關方信心。注：本標準中的“業(yè)務 ”一詞應廣義的解釋為關系一個組織生存的核心活動。注：提供了設計控制措施時可使用的實施指南。應用本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標準時，對于、和章的要求不能刪減。為了滿足風險接受準則所必須進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證明相關風險已被負責人員接受。除非刪減不影響組織滿足由風險評估

7、和適用法律法規(guī)要求所確定的安全要求的能力和或責任，否則不能聲稱符合本標準。注：如果一個組織已經(jīng)有一個運轉(zhuǎn)著的業(yè)務過程管理體系（例如，與 或者 相關的），那么在大多數(shù)情況下，更可取的是在這個現(xiàn)有的管理體系內(nèi)滿足本標準的要求。規(guī)范性引用文件下列參考文件對于本文件的應用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。，信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則。術(shù)語和定義本標準采用以下術(shù)語和定義。資產(chǎn)任何對組織有價值的東西 。可用性根據(jù)授權(quán)實體的要求可訪問和利用的特性 。保密性信息不能被未授權(quán)的個人，實體或者過程利用或知悉

8、的特性 。7 / 44信息安全保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性 ： 。信息安全事件信息安全事件是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)： 。信息安全事故一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務運作和威脅信息安全的極大的可能性 ： 。信息安全管理體系（）（）是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責、實踐、程

9、序、過程和資源。完整性保護資產(chǎn)的準確和完整的特性 。殘余風險經(jīng)過風險處理后遺留的風險。風險接受接受風險的決定： 。風險分析系統(tǒng)地使用信息來識別風險來源和估計風險： 。風險評估風險分析和風險評價的整個過程： 。風險評價將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程： 。風險管理指導和控制一個組織相關風險的協(xié)調(diào)活動： 。風險處理選擇并且執(zhí)行措施來更改風險的過程： 。注：在本標準中，術(shù)語“控制措施 ”被用作 “措施 ”的同義詞。8 / 44適用性聲明描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔。注： 控制目標和控制措施基于風險評估和風險處理過程的結(jié)果和結(jié)論、法律法規(guī)

10、的要求、合同義務以及組織對于信息安全的業(yè)務要求。信息安全管理體系（）總要求一個組織應在其整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的。就本標準而言，使用的過程基于圖所示的模型。建立和管理建立組織應：)根據(jù)業(yè)務特點、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定的范圍和邊界，包括對例外于此范圍的對象作出詳情和合理性的說明（見）。)根據(jù)業(yè)務特點、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定方針，應：)為其目標建立一個框架并為信息安全行動建立整體的方向和原則；)考慮業(yè)務和法律法規(guī)的要求，及合同中的安全義務；)在組織的戰(zhàn)略性風險管理環(huán)境下，建立和保持；)建立風險評價的準則見 ；)獲得管理者批

11、準。注：就本標準的目的而言，方針被認為是信息安全方針的一個擴展集。這些方針可以在一個文件中進行描述。)確定組織的風險評估方法）識別適合、已識別的業(yè)務信息安全和法律法規(guī)要求的風險評估方法。）制定接受風險的準則，識別可接受的風險級別（見）。選擇的風險評估方法應確保風險評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。注：風險評估具有不同的方法。在信息技術(shù)安全管理指南：安全管理技術(shù)中描述了風險評估方法的例子。)識別風險)識別 范圍內(nèi)的資產(chǎn)及其責任人；)識別資產(chǎn)所面臨的威脅；)識別可能被威脅利用的脆弱點；)識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。)分析和評價風險)在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成

12、的后果的情況下，評估安全失誤可能造成的對組織的影響。)評估由主要威脅和脆弱點導致安全失誤的現(xiàn)實可能性、對資產(chǎn)的影響以及當前所實施的控制措施。)估計風險的級別。)確定風險是否可接受，或者是否需要使用在) 中所建立的接受風險的準則進行處術(shù)語“責任人”標識了已經(jīng)獲得管理者的批準，負責產(chǎn)生、開發(fā)、維護、使用和保證資產(chǎn)的安全的個人或?qū)嶓w。術(shù)語“責任人”不是指該人員實際上對資產(chǎn)擁有所有權(quán)。9 / 44理。)識別和評價風險處理的可選措施可能的措施包括：)采用適當?shù)目刂拼胧?在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險 見) ；)避免風險；)將相關業(yè)務風險轉(zhuǎn)移到其他方，如：保險，

13、供應商等。)為處理風險選擇控制目標和控制措施應選擇和實施控制目標和控制措施以滿足風險評估和風險處理過程中所識別的要求。這種選擇應考慮接受風險的準則（見）以及法律法規(guī)和合同要求。從附錄中選擇控制目標和控制措施應成為此過程的一部分，該過程適合于滿足這些已識別的要求。附錄 所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要選擇另外的控制目標和控制措施。注： 附錄包含了組織內(nèi)一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄作為選擇控制措施的出發(fā)點，以確保不會遺漏重要的可選控制措施。)獲得管理者對建議的殘余風險的批準)獲得管理者對實施和運行的授權(quán))準備適用性聲明（）應從

14、以下幾方面準備適用性聲明：）從）選擇的控制目標和控制措施，以及選擇的理由；）當前實施的控制目標和控制措施（見）；）對附錄中任何控制目標和控制措施的刪減，以及刪減的合理性說明。注： 適用性聲明提供了一份關于風險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺漏控制措施。實施和運行組織應：)為管理信息安全風險識別適當?shù)墓芾泶胧①Y源、職責和優(yōu)先順序，即：制定風險處理計劃（見第章）。)實施風險處理計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配。)實施）中所選擇的控制措施，以滿足控制目標。)確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效

15、)性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見)）。注： 測量控制措施的有效性可使管理者和員工確定控制措施達到計劃的控制目標的程度。實施培訓和意識教育計劃（見）。管理的運行。管理的資源（見）。實施能夠迅速檢測安全事件和響應安全事故的程序和其他控制措施（見）。監(jiān)視和評審組織應：10 / 44)執(zhí)行監(jiān)視和評審程序和其它控制措施，以：)迅速檢測過程運行結(jié)果中的錯誤；)迅速識別試圖的和得逞的安全違規(guī)和事故；)使管理者確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否被如期執(zhí)行；)通過使用指標，幫助檢測安全事件并預防安全事故；)確定解決安全違規(guī)的措施是否有效。)在考慮安全審核結(jié)果、事故、有效性測量結(jié)果、所

16、有相關方的建議和反饋的基礎上，進行有效性的定期評審（包括滿足方針和目標，以及安全控制措施的評審）。)測量控制措施的有效性以驗證安全要求是否被滿足。)按照計劃的時間間隔進行風險評估的評審，以及對殘余風險和已確定的可接受的風險級別進行評審，應考慮以下方面的變化：)組織結(jié)構(gòu)；)技術(shù)；)業(yè)務目標和過程；)已識別的威脅；)已實施控制措施的有效性；)外部事件，如法律法規(guī)環(huán)境的變更、合同義務的變更和社會環(huán)境的變更。)按計劃的時間間隔，對進行內(nèi)部審核（見第章）。注： 內(nèi)部審核，有時稱為第一方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進行的審核。)定期對進行管理評審，以確保范圍保持充分，過程的改進得到識別

17、（見）。)考慮監(jiān)視和評審活動的結(jié)果，以更新安全計劃。)記錄可能影響的有效性或執(zhí)行情況的措施和事件（見）。保持和改進組織應經(jīng)常：)實施已識別的改進措施。)依照和 采取合適的糾正和預防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓。)向所有相關方溝通措施和改進措施，其詳細程度應與環(huán)境相適應，需要時，商定如何進行。)確保改進達到了預期目標。文件要求總則文件應包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應確保所記錄的結(jié)果是可重復產(chǎn)生的。至關重要的是，能夠顯示出所選擇的控制措施回溯到風險評估和風險處理過程的結(jié)果、并進而回溯到 方針和目標之間的關系。文件應包括：)形成文件的方針 見 ）

18、 和目標；)的范圍 見 ） ；)支持 的程序和控制措施；)風險評估方法的描述 見 ） ；)風險評估報告見 ）到 ） ；) 風險處理計劃 見 ） ；)組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需的形成文件的程序（見）；)本標準所要求的記錄（見）；11 / 44)適用性聲明。注 ：本標準出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。注：不同組織的文件的詳略程度取決于：- 組織的規(guī)模和活動的類型；- 安全要求和被管理系統(tǒng)的范圍及復雜程度；注：文件和記錄可以采用任何形式或類型的介質(zhì)。文件控制所要求的文件應予以保護和控制。應編制形成文件的

19、程序，以規(guī)定以下方面所需的管理措施：)文件發(fā)布前得到批準，以確保文件是適當?shù)模?必要時對文件進行評審、更新并再次批準；)確保文件的更改和現(xiàn)行修訂狀態(tài)得到標識；)確保在使用處可獲得適用文件的相關版本；)確保文件保持清晰、易于識別；)確保文件對需要的人員可用，并依照文件適用的類別程序進行傳輸、貯存和最終銷毀；)確保外來文件得到標識；)確保文件的分發(fā)得到控制；)防止作廢文件的非預期使用；)若因任何原因而保留作廢文件時，對這些文件進行適當?shù)臉俗R。記錄控制記錄應建立并加以保持，以提供符合要求和有效運行的證據(jù)。記錄應加以保護和控制。的記錄應考慮相關法律法規(guī)要求和合同義務。記錄應保持清晰、易于識別和檢索。記

20、錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。記錄的詳略程度應通過管理過程確定。應保留中列出的過程執(zhí)行記錄和所有發(fā)生的與有關的安全事故的記錄。例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權(quán)單。管理職責管理承諾管理者應通過以下活動，對建立、實施、運行、監(jiān)視、評審、保持和改進的承諾提供證據(jù)：)制定方針；)確保目標和計劃得以制定；)建立信息安全的角色和職責；)向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；)提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進（見 ）；)決定接受風險的準則和風險的可接受級別；)確保內(nèi)部審核的執(zhí)行（見

21、第章）；)實施的管理評審（見第章）。資源管理資源提供組織應確定并提供所需的資源，以：)建立、實施、運行、監(jiān)視、評審、保持和改進；)確保信息安全程序支持業(yè)務要求；)識別和滿足法律法規(guī)要求、以及合同中的安全義務；)通過正確實施所有的控制措施保持適當?shù)陌踩?必要時，進行評審，并適當響應評審的結(jié)果；12 / 44)在需要時，改進的有效性。培訓、意識和能力組織應通過以下方式，確保所有分配有職責的人員具有執(zhí)行所要求任務的能力：)確定從事影響工作的人員所必要的能力；)提供能力培訓，必要時，聘用有能力的人員以滿足這些需求；)評價所提供的培訓和所采取的措施的有效性；)保持教育、培訓、技能、經(jīng)歷和資格的記錄（見

22、）。組織也要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到目標做出貢獻。內(nèi)部審核組織應按照計劃的時間間隔進行內(nèi)部審核，以確定其的控制目標、控制措施、過程和程序是否：)符合本標準和相關法律法規(guī)的要求；)符合已確定的信息安全要求；)得到有效地實施和保持；)按預期執(zhí)行。應在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案應規(guī)定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。審核員不應審核自己的工作。策劃和實施審核以及報告結(jié)果和保持記錄（見）的職責和要求應在形成文件的程序中做出規(guī)定。負責受審區(qū)域的管理者應確保

23、及時采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動應包括對所采取措施的驗證和驗證結(jié)果的報告（見第章）。注：給出了管理體系審核的基本指南，也可作為認證機構(gòu)的指南。的管理評審總則管理者應按計劃的時間間隔（至少每年次）評審組織的，以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評估改進的機會和變更的需要，包括信息安全方針和信息安全目標。評審的結(jié)果應清晰地形成文件，記錄應加以保持（見）。評審輸入管理評審的輸入應包括：)審核和評審的結(jié)果；)相關方的反饋；)組織用于改進執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；)預防和糾正措施的狀況；)以往風險評估沒有充分強調(diào)的脆弱點或威脅；)有效性測量的結(jié)果；)以往管

24、理評審的跟蹤措施；13 / 44)可能影響的任何變更；)改進的建議。評審輸出管理評審的輸出應包括與以下方面有關的任何決定和措施：)有效性的改進；)風險評估和風險處理計劃的更新；)必要時修改影響信息安全的程序，以響應內(nèi)部或外部可能影響的事件，包括以下的變更：)業(yè)務要求；)安全要求；)影響現(xiàn)有業(yè)務要求的業(yè)務過程；)法律法規(guī)環(huán)境；)合同義務；)風險級別和或接受風險的準則。)資源需求；)正在被測量的控制措施的有效性的改進。改進持續(xù)改進組織應通過使用信息安全方針、安全目標、審核結(jié)果、監(jiān)視事件的分析、糾正和預防措施以及管理評審（見第章），持續(xù)改進的有效性。糾正措施組織應采取措施，以消除與要求不符合的原因，

25、以防止再發(fā)生。形成文件的糾正措施程序，應規(guī)定以下方面的要求：)識別不符合；)確定不符合的原因；)評價確保不符合不再發(fā)生的措施需求；)確定和實施所需要的糾正措施；)記錄所采取措施的結(jié)果（見）；)評審所采取的糾正措施。預防措施組織應確定措施，以消除潛在不符合的原因，防止其發(fā)生。預防措施應與潛在問題的影響程度相適應。形成文件的預防措施程序，應規(guī)定以下方面的要求：)識別潛在的不符合及其原因；)評價防止不符合發(fā)生的措施需求；)確定和實施所需要的預防措施；)記錄所采取措施的結(jié)果（見）；)評審所采取的預防措施。組織應識別變化的風險，并識別針對重大變化的風險的預防措施的要求。預防措施的優(yōu)先級要根據(jù)風險評估的結(jié)

26、果確定。注：預防不符合的措施通常比糾正措施更節(jié)約成本。14 / 44附錄（規(guī)范性附錄）控制目標和控制措施表所列的控制目標和控制措施是直接引用并與第到章一致。表中的清單并不完備，一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和控制措施是條款規(guī)定的過程的一部分。第至章提供了最佳實踐的實施建議和指南，以支持到列出的控制措施。表控制目標和控制措施15 / 44安全方針信息安全方針目標：依據(jù)業(yè)務要求和相關法律法規(guī)提供管理指導并支持信息安全。信息安全方針控制措施文件信息安全方針文件應由管理者批準、發(fā)布并傳達給所有員工和外部相關方。信息安全方針控制措施的評審應按計劃的時間間隔或當重大變

27、化發(fā)生時進行信息安全方針評審，以確保它持續(xù)的適宜性、充分性和有效性。信息安全組織內(nèi)部組織目標：在組織內(nèi)管理信息安全。信息安全的管控制措施理承諾管理者應通過清晰的說明、可證實的承諾、明確的信息安全職責分配及確認，來積極支持組織內(nèi)的安全。信息安全協(xié)調(diào)控制措施信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行協(xié)調(diào)。信息安全職責控制措施的分配所有的信息安全職責應予以清晰地定義。信息處理設施控制措施的授權(quán)過程新信息處理設施應定義和實施一個管理授權(quán)過程。保密性協(xié)議控制措施應識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的要求。與政府部門的控制措施聯(lián)系應保持與政府相關部門的適當聯(lián)系。

28、與特定權(quán)益團控制措施體的聯(lián)系應保持與特定權(quán)益團體、其他安全專家組和專業(yè)協(xié)會的適當聯(lián)系。信息安全的獨控制措施立評審組織管理信息安全的方法及其實施（例如信息安全的控制目標、控制措施、策略、過程和程序）應按計劃的時間間隔進行獨立評審，當安全實施發(fā)生重大變化時，也要進行獨立評審。16 / 44解釋：術(shù)語“責任人”是被認可，具有控制生產(chǎn)、開發(fā)、保持、使用和資產(chǎn)安全的個人或?qū)嶓w。術(shù)語“責任人”不指實際上對資產(chǎn)具有財產(chǎn)權(quán)的人。解釋：這里的“任用”意指以下不同的情形：人員任用（暫時的或長期的）、工作角色的指定、工作角色的變化、合同的分配及所有這些安排的終止。17 / 44外部各方目標：保持組織的被外部各方訪問

29、、處理、管理或與外部進行通信的信息和信息處理設施的安全。與外部各方相控制措施關風險的識別應識別涉及外部各方業(yè)務過程中組織的信息和信息處理設施的風險，并在允許訪問前實施適當?shù)目刂拼胧Ｌ幚砼c顧客有控制措施關的安全問題應在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求。處理第三方協(xié)控制措施議中的安全問涉及訪問、處理或管理組織的信息或信息處理設施以及與之通信的第題三方協(xié)議，或在信息處理設施中增加產(chǎn)品或服務的第三方協(xié)議，應涵蓋所有相關的安全要求。資產(chǎn)管理對資產(chǎn)負責目標：實現(xiàn)和保持對組織資產(chǎn)的適當保護。資產(chǎn)清單控制措施應清晰的識別所有資產(chǎn)，編制并維護所有重要資產(chǎn)的清單。資產(chǎn)責任人控制措施與信息處理

30、設施有關的所有信息和資產(chǎn)應由組織的指定部門或人員承擔責任。資產(chǎn)的合格使控制措施用與信息處理設施有關的信息和資產(chǎn)使用允許規(guī)則應被確定、形成文件并加以實施。信息分類目標：確保信息受到適當級別的保護。分類指南控制措施信息應按照它對組織的價值、法律要求、敏感性和關鍵性予以分類。信息的標記和控制措施處理應按照組織所采納的分類機制建立和實施一組合適的信息標記和處理程序。人力資源安全任用之前目標：確保雇員、承包方人員和第三方人員理解其職責、考慮對其承擔的角色是適合的，以降低設施被竊、欺詐和誤用的風險。角色和職責控制措施雇員、承包方人員和第三方人員的安全角色和職責應按照組織的信息安全方針定義并形成文件。審查控

31、制措施關于所有任用的候選者、承包方人員和第三方人員的背景驗證檢查應按照相關法律法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行。18 / 4419 / 44任用條款和條控制措施件作為他們合同義務的一部分，雇員、承包方人員和第三方人員應同意并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他們和組織的信息安全職責。任用中目標：確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。管理職責控制措施管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和程序?qū)Π踩M心盡力

32、。信息安全意識、控制措施教育和培訓組織的所有雇員，適當時，包括承包方人員和第三方人員，應受到與其工作職能相關的適當?shù)囊庾R培訓和組織方針策略及程序的定期更新培訓。紀律處理過程控制措施對于安全違規(guī)的雇員，應有一個正式的紀律處理過程。任用的終止或變化目標：確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關系。終止職責控制措施任用終止或任用變化的職責應清晰的定義和分配。資產(chǎn)的歸還控制措施所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產(chǎn)。撤銷訪問權(quán)控制措施所有雇員、承包方人員和第三方人員對信息和信息處理設施的訪問權(quán)應在任用、合同或協(xié)議終止時

33、刪除，或在變化時調(diào)整。物理和環(huán)境安全安全區(qū)域目標：防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。物理安全邊界控制措施應使用安全邊界（諸如墻、卡控制的入口或有人管理的接待臺等屏障）來保護包含信息和信息處理設施的區(qū)域。物理入口控制控制措施安全區(qū)域應由適合的入口控制所保護，以確保只有授權(quán)的人員才允許訪問。辦公室、房間和控制措施設施的安全保應為辦公室、房間和設施設計并采取物理安全措施。護外部和環(huán)境威控制措施脅的安全防護為防止火災、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災難引起的破壞，應設計和采取物理保護措施。在安全區(qū)域工控制措施作應設計和運用用于安全區(qū)域工作的物理保護和指南。20 / 4

34、421 / 44公共訪問、交接控制措施區(qū)安全訪問點（例如交接區(qū)）和未授權(quán)人員可進入辦公場所的其他點應加以控制，如果可能，要與信息處理設施隔離，以避免未授權(quán)訪問。設備安全目標：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷。設備安置和保控制措施護應安置或保護設備，以減少由環(huán)境威脅和危險所造成的各種風險以及未授權(quán)訪問的機會。支持性設施控制措施應保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷。布纜安全控制措施應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。設備維護控制措施設備應予以正確地維護，以確保其持續(xù)的可用性和完整性。組織場所外的控制措施設備安全應對組織

35、場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險。設備的安全處控制措施置或再利用包含儲存介質(zhì)的設備的所有項目應進行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫。資產(chǎn)的移動控制措施設備、信息或軟件在授權(quán)之前不應帶出組織場所。通信和操作管理操作程序和職責目標：確保正確、安全的操作信息處理設施。文件化的操作控制措施程序操作程序應形成文件、保持并對所有需要的用戶可用。變更管理控制措施對信息處理設施和系統(tǒng)的變更應加以控制。責任分割控制措施各類責任及職責范圍應加以分割，以降低未授權(quán)或無意識的修改或者不當使用組織資產(chǎn)的機會。開發(fā)、測試和運控制措施行設施分離開發(fā)、測試和運行設施應

36、分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風險。第三方服務交付管理目標：實施和保持符合第三方服務交付協(xié)議的信息安全和服務交付的適當水準。服務交付控制措施應確保第三方實施、運行和保持包含在第三方服務交付協(xié)議中的安全控制措施、服務定義和交付水準。第三方服務的控制措施監(jiān)視和評審應定期監(jiān)視和評審由第三方提供的服務、報告和記錄，審核也應定期22 / 4423 / 44執(zhí)行。第三方服務的控制措施變更管理應管理服務提供的變更，包括保持和改進現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估。系統(tǒng)規(guī)劃和驗收目標：將系統(tǒng)失效的風險降至最小。容量管理控制措施資源的使用應加以監(jiān)視、

37、調(diào)整，并應作出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。系統(tǒng)驗收控制措施應建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對系統(tǒng)進行適當?shù)臏y試。防范惡意和移動代碼目標：保護軟件和信息的完整性?？刂茞阂獯a控制措施應實施惡意代碼的監(jiān)測、預防和恢復的控制措施，以及適當?shù)奶岣哂脩舭踩庾R的程序?？刂埔苿哟a控制措施當授權(quán)使用移動代碼時，其配置應確保授權(quán)的移動代碼按照清晰定義的安全策略運行，應阻止執(zhí)行未授權(quán)的移動代碼。備份目標：保持信息和信息處理設施的完整性和可用性。信息備份控制措施應按照已設的備份策略，定期備份和測試信息和軟件。網(wǎng)絡安全管理目標：確保網(wǎng)絡中信息的安全性并保護支持

38、性的基礎設施。網(wǎng)絡控制控制措施應充分管理和控制網(wǎng)絡，以防止威脅的發(fā)生，維護系統(tǒng)和使用網(wǎng)絡的應用程序的安全，包括傳輸中的信息。網(wǎng)絡服務的安控制措施全安全特性、服務級別以及所有網(wǎng)絡服務的管理要求應予以確定并包括在所有網(wǎng)絡服務協(xié)議中，無論這些服務是由內(nèi)部提供的還是外包的。介質(zhì)處置目標：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動或銷毀以及業(yè)務活動的中斷。可移動介質(zhì)的控制措施管理應有適當?shù)目梢苿咏橘|(zhì)的管理程序。介質(zhì)的處置控制措施不再需要的介質(zhì)，應使用正式的程序可靠并安全地處置。信息處理程序控制措施應建立信息的處理及存儲程序，以防止信息的未授權(quán)的泄漏或不當使用。系統(tǒng)文件安全控制措施應保護系統(tǒng)文件以防止未授權(quán)的訪問

39、。24 / 4425 / 44信息的交換目標：保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全。信息交換策略控制措施和程序應有正式的交換策略、程序和控制措施，以保護通過使用各種類型通信設施的信息交換。交換協(xié)議控制措施應建立組織與外部團體交換信息和軟件的協(xié)議。運輸中的物理控制措施介質(zhì)包含信息的介質(zhì)在組織的物理邊界以外運送時，應防止未授權(quán)的訪問、不當使用或毀壞。電子消息發(fā)送控制措施包含在電子消息發(fā)送中的信息應給予適當?shù)谋Ｗo。業(yè)務信息系統(tǒng)控制措施應建立和實施策略和程序以保護與業(yè)務信息系統(tǒng)互聯(lián)的信息。電子商務服務目標：確保電子商務服務的安全及其安全使用。電子商務控制措施包含在使用公共網(wǎng)絡的電子

40、商務中的信息應受保護，以防止欺詐活動、合同爭議和未授權(quán)的泄露和修改。在線交易控制措施包含在在線交易中的信息應受保護，以防止不完全傳輸、錯誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復制或重放。公共可用信息控制措施在公共可用系統(tǒng)中可用信息的完整性應受保護，以防止未授權(quán)的修改。監(jiān)視目標：檢測未授權(quán)的信息處理活動。審核日志控制措施應產(chǎn)生記錄用戶活動、異常和信息安全事件的審核日志，并要保持一個已設的周期以支持將來的調(diào)查和訪問控制監(jiān)視。監(jiān)視系統(tǒng)的使控制措施用應建立信息處理設施的監(jiān)視使用程序，監(jiān)視活動的結(jié)果要經(jīng)常評審日志信息的?？刂拼胧┳o記錄日志的設施和日志信息應加以保護，以防止篡改和未授權(quán)的訪問

41、。管理員和操作控制措施員日志系統(tǒng)管理員和系統(tǒng)操作員活動應記入日志。故障日志控制措施故障應被記錄、分析，并采取適當?shù)拇胧r鐘同步控制措施一個組織或安全域內(nèi)的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步。訪問控制訪問控制的業(yè)務要求26 / 4427 / 44目標：控制對信息的訪問。訪問控制策略控制措施訪問控制策略應建立、形成文件，并基于業(yè)務和訪問的安全要求進行評審。用戶訪問管理目標：確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問。用戶注冊控制措施應有正式的用戶注冊及注銷程序，來授權(quán)和撤銷對所有信息系統(tǒng)及服務的訪問。特權(quán)管理控制措施應限制和控制特殊權(quán)限的分配及使用。用戶口令管理控制措施應通過正式的管理過程控制口令的分配。用戶訪問權(quán)的控制措施復查管理者應定期使用正式過程對用戶的訪問權(quán)進行復查。用戶職責目標：防止未授權(quán)用戶對信息和信息處理設施的訪問、危害或竊取?？诹钍褂每刂拼胧笥脩粼谶x擇及使用口令時，遵循良好的安全習慣。無人值守的用控制措施戶設備用戶應確保無人值守的用戶設備有適當?shù)谋Ｗo。清空桌面和屏控制措施幕策略應采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕的策略。網(wǎng)絡訪問控制目標：防止對網(wǎng)絡服務的未授權(quán)訪問。使用網(wǎng)絡服務控制措施的策略用戶應僅能訪問已獲專門授權(quán)使用的服務。外部連接的用控制措施戶鑒別應使用適當?shù)蔫b別方法以控制遠程用戶的訪