信息安全管理体系规范与使用指南.docx

编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第41页 共41页英国标准BS 7799-2:2002信息安全管理体系规范与使用指南目录前言0 介绍0.1总则0.2过程方法0.3与其他管理体系的兼容性1 范围1.1概要1.2应用2 标准参考3 名词与定义4 信息安全管理体系要求4.1总则4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.2实施和运作信息安全管理体系4.2.3监控和评审信息安全管理体系4.2.4维护和改进信息安全管理体系4.3文件化要求4.3.1总则4.3.2文件控制4.3.3记录控制5 管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6 信息安全管理体系管理评审6.1总则6.2评审输入6.3评审输出6.4内部信息安全管理体系审核7 信息安全管理体系改进7.1持续改进7.2纠正措施7.3预防措施附件A（有关标准的）控制目标和控制措施A1介绍A2最佳实践指南A3安全方针A4组织安全A5资产分级和控制A6人事安全A7实体和环境安全A8通信与运营安全A9访问控制A10系统开发和维护A11业务连续性管理A12符合附件B（情报性的）本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B.2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4检查阶段B.4.1介绍B.4.2常规检查B.4.3自我方针程序B.4.4从其他处学习B.4.5审核B.4.6管理评审B.4.7虚实分析B5改进阶段B.5.1介绍B.1.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS 7799 2附件C（情报）ISO 9001:2000、ISO14001与BS7799-2:2002条款对照0介绍0.1总则本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程及组织的大小、结构的影响。上述因素和他们的支持过程预计会随事件而变化。希望简单的情况是用简单的ISMS解决方案。本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。0.2过程方法本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出，这个过程可以被认为是一个过程。经常地，一个过程的输出直接形成了下一个过程的输入。在一个组织用应用一个过程的体系，并识别这些过程、过程间的相互作用及过程的管理，可以叫做过程的方法。过程的方法鼓励使用者强调一下重要性：a)理解业务信息安全需求和建立信息安全方针和目标的需求；b)在全面管理组织业务风险的环境下实施也运作控制措施；c)监控和评审ISMS的有效性和绩效；d)在客观评价的基础上持续改进。本标准采用的，适用于ISMS的模型，如图一所示。图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望，通过必要的行动产生信息安全结果（即：管理的信息安全），此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许足智多谋饿电子商务网站被黑客入侵将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四至第七部分的联系。被模型就是众所周知的“Plan-Do-Check-Act”（PECA）模型，本模型可以用于所有的过程。PDCA模型可以简单地描述如下图：PDCA模型应用与信息安全管理体系过程计划PLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS 实施 开发、维护 改进 DO 和改进循环 ACTION监控和评审ISMS1范围1.1概要本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。它规定了对定制实施安全控制措施以适应不同组织或相关方的需求。（见附件B，提供了使用该规范的指南）。ISMS保证足够的和成比例和安全控制措施以充分保护信息资产名给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象。1.2应用本标准提出的要求使一般性的并试图用于所有的组织，不管其类型、大小和业务性质。当由于组织的性质和业务本标准中的要求不能使用，要求可以考虑删减。除非不能删减不影响组织的能力，和/或责任提供符合由风险评估和适用的法律确定的信息安全要求，否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。2引用标准ISO 9001:2000质量管理体系-要求ISO/IEC 17799:2000信息技术信息安全管理实践指南ISO 指南73:2001风险管理指南-名词3名词和定义从本英国标准的目的出发，以下名词和定义适用。3.1可用性保证被授权的使用者需要时能够访问信息及相关资产。BS ISO/IEC 17799:20003.2保密性保证信息只被授权的访问。BS ISO/IEC 17799:20003.3信息安全安全保护信息的保密性、完整性和可用性3.4信息安全管理体系（ISMS）是整个管理体系的一部分，建立在业务风险的方法上，以开发、实施完成、评审和维护信息安全。3.5完整性保护信息和处理过程的准确和完整。BS ISO/IEC 17799:20003.6风险接受接受一个风险的决定。ISO Guide 733.7风险分析系统化地使用信息识别来源和估计风险。ISO Guide 733.8风险评估风险分析和风险评价的整个过程。ISO Guide 733.9风险评价比较估计风险与给出的风险标准，确定风险严重性的过程。ISO Guide 733.10风险管理指导和控制组织风险的联合行动。3.11风险处理选择和实施措施以更改风险处理过程。ISO Guide 733.12适用性声明描述与使用组织的ISMS范围的控制目标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。4信息安全管理体系要求4.1总要求组织应在组织整体业务活动和风险的环境下开发、实施、维护和持续改进文件化的ISMS。对于该标准的目的，使用的过程是建立在图一说示的PDCA模型为基础上。4.2建立和管理ISMS4.2.1建立ISMS组织应：a)应用业务的性质、组织、其方位、资产和技术定义SIMS的范围。b)应用组织的业务性质、自主、方位、资产和技术定义ISMS的方针，方针应：1)包括为其目标建立一个框架病危信息安全活动建立整日的方向和原则。2)考虑业务及法律或法规的要求，及合同的安全义务。3)建立组织战略和风险的环境，在这种环境下，建立和维护信息安全管理体系。4)建立风险评价的标准和风险评估定义的结构。见4.2.1c5)经管理层批准c)定义风险评估的系统化的方法识别适用于ISMS及已识别的信息安全、法律和法规的要求的风险评估的方法为ISMS 建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受分享的水平。见5.1fd)定义风险1)在ISMS的范围内，识别资产及其责任人2)识别对这些资产的威胁3)识别可能被威胁利用的脆弱性4)识别资产失去保密性、完整性和可用性的影响e)评估风险1)评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施3)估计风险的等级4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理f)识别和评价供处理风险的可选措施1)应用合适的控制措施2)知道并有目的的棘手风险，同时这些措施能清楚地满足组织方针和接受风险的标准。见4.2.13)避免风险4)转移相关业务风险到其他方面如：保险业、供应商等。g)选择控制目标和控制措施处理风险应从本标准附件A中选择合适的控制目标和控制措施，选择应该根据风险评估和风险处理过程的结果调整。注意：附件A中列出的控制目标和控制措施，作为本标准的一部分，并不是所有的控制目标和措施，组织可能选择另加的控制措施。h)准备一份适用性声明。从上面4.2.1(g)选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从附件A中剪裁的控制措施也应加以记录i)提议的残余风险应获得管理层批准并授权实施和运作ISMS。4.2.2实施和运作ISMS组织应：a)识别合适的管理行动和确定管理信息安全风险的优先顺序，（即：风险处理计划）-见条款5b)实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安全角色和责任c)实施在4.2.1(g)选择的控制目标和控制措施d)培训和意识见5.2.2e)管理运作过程f)管理资源见5.2g)实施程序和其他有能力随时探测和回应安全事故。4.2.3监控和评审ISMS组织应：a) 执行监控程序和其他控制措施，以：1) 是探测处理结果中的错误2) 及时识别失败的和成功的安全破坏和事故3) 能够使管理层决定以分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标4) 确定解决安全破坏的行动是否反映了业务的优先级b)进行常规的ISMS 有效性的评审（包括符合安全方针和目标，及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈c)评审残余风险和可接受风险的水平，考虑一下变化1） 组织2） 技术3） 业务目标和过程4） 识别威胁及5） 外部事件，如：法律、法规的环境发生变化或社会环境发生变化d)在计划的时间段内实施内部ISMS审核e)经常进行ISMS管理评审（至少每年评审一个周期）以保证信息安全管理体系的范围仍然足够，在ISMS过程中的改进措施已被识别（见条款6ISMS的管理评审）f)记录所采取的行动和能够影响ISMS的有效性或绩效的事件见4.3.44.2.4维护和改进ISMS组织应经常：a)实施以识别的对于ISMS改进措施。b)采取合适的纠正和预防行动见7.2和7.3。应用从其他组织的安全经验和组织内学到知识。c)沟通结果和行动并得到所有参与的相关访的同意。d)确保改进行动达到了预期的目标4.3文件要求4.3.1总则ISMS文件应包括：a)文件化的安全方针文件和控制目标b)ISMS范围见4.2.1和程序及支持ISMS的控制措施c)风险评估报告见4.2.1d)风险处理计划见4.2.2e)组织需要的文件化的程序以确保有效计划运营和对信息安全过程的控制见6.1f)本标准要求的记录见4.3.4g)适用性声明注1：当本标准中出现“文件的程序”，这意味着建立、文件化、实施和维护该程序。注2：See ISO 9001注3：文件和记录可以用多种形式和不同媒体。4.3.2文件控制ISMS要求的文件应保护和控制。应建立文件化的程序确定管理所需文件：a)文件发布得到批准，以确保文件的充分性b)必要时对文件进行审批与更新，并再次批准c)确保文件的更改和现行修订状态得到识别d)确保在使用处可获得适用文件的有关版本e)确保文件保持清晰、易于识别f)确保外来文件得到识别，并控制起分发g)确保文件的发放在控制状态下h)防止作废文件的非预期使用i)若因任何原因而保留作废文件时，对这些文件进行适当的标识4.3.3记录控制应建立并保持纪录，以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序，以规定记录的标储存、保护检索、保存期限和处置所需的控制。一个管理过程将确定记录的程度。应保留4.2概要的过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。举例记录的例子如：访问者的签名簿，审核记录和授权访问记录。5管理职责5.1管理承诺管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据，包括：a)建立信息安全方针：b)确保建立信息安全目标和计划：c)为信息安全确立角色和责任；d)向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要。e)提供足够的资源以开发、实施，运行和维护信息安全管理体系见5.2.1 f)确定可接受风险的水平；g)进行信息安全管理体系的评审见条款6 。5.2资源管理5.2.1提供资源组织将确定和提供所需的资源，以：a)建立、实施、运行和维护信息安全管理体系；b)确保信息安全程序支持业务要求；c)识别和强调法律和法规要求及合同安全的义务；d)正确地应用所有实施的控制措施维护足够的安全；e)必要时，进行评审，并适当回应这些评审的结果；f)需要时，改进信息安全管理体系的有效性。5.2.2培训、意识和能力组织应确保所有的被分配信息安全管理体系职责的人员具有能力履行要求的任务。组织应：a)确定从事影响信息安全管理体系的人员所必要的能力；b)提供能力培训和，必要时，聘用有能力的人员满足这些需求；c)评价提供的培训和所采取行动的有效性：d)保持教育、培训、技能、经验和资格的纪录 见433 组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标。6信息安全管理体系的管理评审61总则管理层应按策划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。评审的结果因清楚地文件化，应保持管理评审的纪录见433162评审输入管理评审的输入应包括以下方面的信息：a）信息安全管理体系审核和评审的结果；b）相关方的反馈；c）可以用于组织改进其信息安全管理体系业绩和有效性的技术，产品或程序；d）预防和纠正措施的状况；e）以前风险评估没有足够强调的脆弱性或威胁；f) 以往管理评审的跟踪措施：g）任何可能影响信息安全管理体系的变更；h）改进的建议。63评审输出管理评审的输出应包括以下方面有关的任何决定和措施：a) 信息安全管理体系有效性的改进；b）修改影响信息安全的程序，必要时，以回应内部或外部可能影响信息安全管理体系的事件，包括以下的变更： 1）业务要求； 2）安全要求； 3）业务过程影响现存的业务要求； 4）法规或法律环境； 5）风险的等级和或可接受风险的水平；c）资源需求。64 内部信息安全管理体系审核组织应按策化的时间间隔进行内部信息安全管理体系审核，以确定信息安全管理体系的控制目标。控制措施、过程和程序是否：a) 符合本标准和相关法律法规的要求；b）符合识别的信息安全要求；c）被有效地实施和维护；d）达到预想的业绩任何审核活动应策划，策划应考虑过程的状况和重要性，要审核的范围以及前次审核的结果。应确定审核的标准，范围，频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作。应在一个文件化的程序中确定策划和实施审核，报告结果和维护及维护记录见43的责任及要求。负责被审核区域的管理者应确保采取没有延迟措施减少被发现的不符合及引起的原因。改进应包括验证采取的措施和报告验证的结果见条款7。7 ISMS改进71持续 改进 组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防行动和管理i审的信息持续改进ISMS的有效性。7. 2 纠正措施组织应采取措施，以消除不合格的与实施和运行信息安全管理体系有关的原因，防止不合格的再发生。应为纠正措施编制形成文件的程序，确定以下的要求：a）识别实施和或运行信息安全管理体系的不合格；b）确定不合和的原因：c）评价确保不合格不再发生的措施的需求；d) 确定和实施所需的纠正措施：e）记录所采取措施的结果 见433 ；f) 评审所采取的纠正措施。7. 3预防措施组织应针对未来的不合格确定措施以防上其发生。预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序，以确定以下方面的要求：a）识别潜在的不合格及其原因；b) 确定和实施所需的预防措施：C）记录所采取措施的结果见433：d）评审所采取的预防措施；识别以便更得风险和确保注意力关注在重大的以变更的风险。纠正措施的优先权应以风险评估的结果为基础确定。注：预防不合格的措施总是比纠正措施更节约成本。附录A（引用）控制目标和控制措施A1介绍从A3到A12列出的控制目标和控制措施是直接引用并与BS ISO/IEC 17799：2000条款3到12一致。在表中的清单并不彻底，一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款42规定的信息安全管理体系过程的一部分。A2实践指南规范SS ISOIEC 17799：2000条款3至 12提供最佳实践的实施建议和指南以支持A3到A12规范的控制措施。A 3安全方针BS ISO/IEO17799:2000编号A.3.1信息安全方针控制目标：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方针文件管理层应提供一份方针文件，出版并沟通，适当时，给所有员工。3.1.1A.3.1.2评审和评价应经常评审方针文件，在发生决定性的变化时，确保方针的适宜性3.1.2A4组织安全BS ISO/IEO17799:2000编号A.4.1信息安全基础设施控制目标：在组织中管理信息安全4.1控制措施A.41.1管理信息安全委员会信息安全管理委员会确保明确的目标和管理层对启动安全管理可见的支持。管理委员会应通过适当的承诺和种族的资源推广安全4.1.1A.4.1.2信息安全协作在大的组织中，应使用一个由从各组织相关单位的管理者代表组成的跨功能的委员会，协作实施信息安全控制措施4.1.2A.4.1.3落实信息安全责任应明确定义保护每种资产和负责特定安全过程的责任A.4.1.3A.4.1.4对信息处理设施的授权过程应建立对于新的信息处理设施的管理授权A.4.1.4A.4.1.5专家信息安全建议应从内部或外部搜集专家的信息安全建议并在组织内部实施协作A.4.1.5A.4.1.6组织间的合作与执法机关、主管机关、信息服务提供者，及通信业者应维持适当的接触A.4.1.6A.4.1.7独立的信息安全审查应对信息安全方针的实施进行独立的审查A.4.1.7A.4.2第三方访问的安全控制目标：维护组织的信息处理设施及细小资产被第三方访问时的安全A.4.2控制措施A.4.2.1确认第三方访问的风险应对第三访问组织的信息处理设施所带来的风险进行评估，并实施适当的安全控制A.4.2.1A.4.2.2与第三方的合约中的安全要求涉及第三方访问组织的信息设施的安排，应以包含必要的安全要求在内的正式合约为基础A.4.2.2A.4.3外包控制目标：当信息处理的责任委托其它组织时，应维护信息的安全A.4.3A.4.3.1外包合约中的安全要求当组织将全部或部分的信息系统、网络及/或桌上型计算机环境的管理及控制外包时，在双方同意的合约中应载明安全的要求A.4.3.1A5资产分类与控制BS ISO/IEO17799:2000编号A.5.资产的保管责任控制目标：维持对于组织的资产的适切保护5.1控制措施A.5.1.1资产的清单应列出并维持一份与每个信息系统有关的所有重要的资产的清单A.5.2信息分类控制目标：确保信息资产受到适当程度的保护5.2控制措施A.5.2.1分类原则信息的分类及相关的保护控制，应适合于企业营运对于信息分享或限制的需要，以及这些需要对企业营运所带来的冲击5.2.1A.5.2.2信息的标识及处理应制定信息标识及处理的程序，以符合组织所采行动的分类法则5.2.2A6人事安全BS ISO/IEO17799:2000编号A.6.1工作说明及人力资源的安全控制目标：降低因人员错误、偷窃、诈欺或不当使用设施所造成的风险6.1控制措施A.6.1.1将安全需求列入工作职责中组织在信息安全方针中所规定的安全角色及责任，应适度地书面化于工作职责说明书中6.1.1A6.1.2人员筛审及政策应在招聘员工时执行正式员工的验证查核6.1.2A6.1.3保密合约员工应签署保密协议作为其启始聘用合同的一部分6.1.3A6.1.4聘用合同聘用合同中因陈述员工对信息安全的责任6.1.4A.6.2使用者培训控制目标：确保员工了解信息安全的威胁及考虑，并且具备在其日常工作过程中支持组织的信息安全方针的能力6.2控制措施A.6.2.1信息安全的教育与培训组织的所有员工以及相关的第三方使用者，对于组织方针及程序应接受适当、定期更新的训练6.2.1A.6.3安全及失效事件的响应6.3A6.3.1安全事故报告安全事件应在事件被发现之后尽快由适当的管理途径进行通报6.3.1A6.3.2安全弱点的报告应要求信息服务的使用者记下并报告任何观察到的或可疑的有关系统或服务方面的安全弱点或威胁6.3.2A6.3.3软件失效事件的报告应建立报告软件失效事件的相关程序6.3.3A6.3.4从事件中学习应有适当机制以量化与监督安全事故及失效事件的种类、数量及成本6.3.4A6.3.5惩处的流程员工违反组织安全方针及程序，应由正式的惩处流程来处理6.3.5A7实体及环境安全BS ISO/IEO17799:2000编号A.7.1安全区域控制目标：防止对企业运行所在地及信息未经授权的进入、访问、破坏及干扰7.1控制措施A.7.1.1实体安全边界组织应有安全的边界以保护包含信息处理设施的区域7.1.1A7.1.2实体进出控制安全区域应有适当的进出控制加以保护，以确保只有经授权的人员可以进出7.1.2A.7.1.3办公处所及设备的保护应划定安全区域，以保护具有特殊安全需求的办公处所及设备7.1.3A.7.1.4在安全区域中的作业应对在安全区域中进行的作业有额外的控制方法及指导原则以坚强安全区域的安全7.1.4A.7.1.5隔离递送及装载区域递送及装载区域应加以控制，如有可能与信息处理设施隔离，以避免未经授权的访问7.1.5A.7.2 设备安全控制目标：预防资产遗失或损失和防止企业运营活动遭受干扰7.2控制措施A.7.2.1设备的安置及保护应妥善安置及保护设备，以降低来自环境的威胁与危险所造成的风险以及未经授权的访问7.2.1A.7.2.1电源供应应保护设备免于电力失效及其它电力异常的影响7.2.2A.7.2.3电缆传输安全传输资料或支持信息服务的电力及通讯电缆，应予以保护免于被拦截或破坏7.2.3A.7.2.4设备维护设备应进行正确维护，以确保其持续的可用性及完整性7.2.4A.7.2.5组织以外的设备安全任何在组织所在地以外使用的信息处理设备应要求管理层授权7.2.5A.7.2.6设备报废或再利用的安全防护设备在报废或再利用前，应清除在设备中的信息7.2.6A.7.3一般控制控制目标：防止信息及信息处理设备的损毁或失窃7.3控制措施A.7.3.1办公桌面净空及计算机屏幕画面净空策略组织应具备办公桌面净空及计算机屏幕画面净空的政策，以降低因信息被未经授权访问、遗失及所造成的风险7.3.1A.7.3.2资产的移出未经授权不得移出组织所拥有的设备、信息及软件7.3.2A8通讯与操作管理BS ISO/IEO17799:2000编号A.8.1 作业程序及责任控制目标：确保正确、安全地操作信息处理设备8.1控制措施A.8.1.1文件化的作业程序由条款4.1.1.1所制定的信息安全政策所指明的作业程序应加以文件化及维护8.1.1A.8.1.2作业变更控制对信息处理设施及系统的变更应加以控制8.1.2A.8.1.3事故管理程序应建立事故的管理责任及程序，以确保迅速、有效及有序地反应安全事件和采集事故有关数据如审核线索和日志8.1.3A.8.1.4职务隔离职务及负责范围应加以隔离，以降低未经授权的修改或者不当使用信息或服务的机会8.1.4A.8.1.5开发与操作设备的隔离开发及测试设备应与操作设备分离。应确定和文件化从开发状态到运行状态移植软件的规定8.1.5A8.1.6外部设备的管理使用外部的设备管理服务之前，应鉴别其风险，并与承包尚协议适当的控制方法，并纳入合约内容之中8.1.6A.8.2 系统规划及验收控制目标：将系统失效的风险降至最小8.2控制措施A.8.2.1容量规划容量要求应加以监督，并应作出对于未来容量需求的推测，以确保拥有合适的运算处理能力及储存空间8.2.1A.8.2.2系统验收应建立新信息系统、升级及新版本的验收标准，并且在允收前对系统进行适当的测试8.2.2A.8.3对具恶意的软件的防范控制目标：保护软件及信息的完整性不受恶意软件的损害8.3控制措施A.8.3.1对具恶意的软件的控制应有具侦测性及预防性的控制方法以防范恶意的软件，并且应有适当的使用者预警程序的措施8.3.1A.8.4日常事务处理控制目标：维持信息处理及通讯服务的完整性及可用性8.4控制措施A.8.4.1信息备份应定期备份重要的企业营运信息和软件并经常测试8.4.1A.8.4.2操作员日志作业人员应维持一份记录其作业活动的工作日。操作日志应受到经常性的，独立的审查8.4.2BS ISO/IEO17799:2000编号A.8.4.3 错误事件登录应通报错误并采取改正行动8.4.3A.8.5网络管理控制目标：确保网络中信息的安全性以及保护支持性的基础设施8.5控制措施A.8.5.1网络控制应实行一系列的控制方法以达成并维护网络的安全8.5.1A.8.6存储媒体的处理与安全控制目标：防止资产遭受损害以及企业营运活动遭受干扰8.6控制措施A.8.6.1可移动式计算机存储媒体的管理对于可移动式计算机储存媒体例如磁带、磁盘以及打印出来的报告的管理应加以控制8.6.1A.8.6.2存储媒体的报废不再需要的储存媒体，应可靠并安全地处置8.6.2A.8.6.3信息的处理程序应建立信息的处理及储存程序，以保护信息不被未经授权的泄漏或不当使用8.6.3A.8.6.4系统文件的安全应保护系统文件以防未经授权的访问8.6.4A.8.7信息软件的交换控制目标：防止在组织间交换的信息遭受遗失、修改及不当使用8.7控制措施A.8.7.1信息及软件交换协议以电子化或人工方式在组织间交换信息及软件时，应签订协议，其中有些可能是正式的协议书8.7.1A.8.7.2存储媒体的运送安全运送存储媒体时应保护其不遭受未经授权以及信息被泄漏、不当使用或毁坏8.7.2A.8.7.3电子商务安全应保护电子商务免于诈欺行为，合约争议以及信息被泄漏及修改8.7.3A.8.7.4电子邮件的安全应开发一份电子邮件的使用策略，并应有降低电子邮件所造成的安全风险的适当控制方法8.7.4A.8.7.5电子化办公室系统的安全为控制电子化办公室系统所带来的业务与安全风险，各项政策与指导原则应加以拟定并实施8.7.5A.8.7.6开放的公用系统信息在成为公众可取用前应有正式的授权过程，应保护这类信息的完整性以防止未经授权的修改8.7.6A.8.7.7其它形式的信息交换应有适当的策略、程序及控制方法来保护经由传真、语音及影像等同学设施进行的信息交换8.7.7A9访问控制BS ISO/IEO17799:2000编号A.9.1企业营运对访问控制的要求控制目标：控制对于信息的访问9.1控制措施A.9.1.1访问控制策略企业营运对访问控制的要求应加以界定并文件化，对于信息的访问应如访问控制政策中所界定的加以限制9.1.1A.9.2 使用者访问管理控制目标：确保访问信息系统的权限被适当地授权、落实和维护9.2控制措施A.9.2.1使用者注册应有正式的使用者注册及注销的程序，以进行所有的多分使用信息系统及服务的访问授权9.2.1A.9.2.2特殊权限的管理对于特殊权限的分配及使用，应加以限制及控制9.2.2A.9.2.3使用者密码管理对于密码的分配，应通过正式的管理流程加以控制9.2.3A.9.2.4使用者访问权限的审查管理层应定期执行正式审查过程对于使用者的访问权限实施评审9.2.4A.9.3使用者责任控制目标：防止未经授权的使用者访问9.3控制措施A.9.3.1密码的使用应要求使用者在选择及使用密码时，遵循良好的安全惯例9.3.1A.9.3.2无人看管的使用者设备应要求使用者确保无人看管的使用者设备有适当的保护9.3.2A.9.4网络访问控制控制目标：保护网络化的服务9.4控制措施A.9.4.1使用网络服务的政策使用者应仅能直接访问已获特别授权使用的服务9.4.1A.9.4.2强制性路径由使用者的终端机至计算机服务器间的路径应加以控制9.4.2A.9.4.3外部联机的使用者认证应对远程使用者的访问进行使用者认证9.4.3A.9.4.4节点认证到远程计算机系统的、联机应被认证9.4.4A.9.4.5远程诊断端口的保护对于诊断端口的访问应可靠地加以控制9.4.5A.9.4.6网络的隔离应引进可在网络中以群组方式隔离信息服务、使用者及信息系统的控制方法9.4.6A.9.4.7网络联机的控制在分享式的网络中使用者的联机能力应依照访问控制策略加以限制9.4.7A.9.4.8网络路由的控制在分享式的网络中，应有路由控制方法以确保计算机联机及信息流不违反所制定的企业营运应用软件的访问控制政策9.4.8A.9.4.9网络服务的安全对于组织使用网络服务业者提供的所有网络服务的安全特性，应提供清楚的说明9.4.9A.9.5操作系统访问控制控制目标：防止未经授权的计算机访问9.5控制措施A.9.5.1自动化的终端机识别应使用自动化的终端机识别，以认证连接到特定场所可移动式设备的联机9.5.1A.9.5.2终端机联机程序访问信息服务应有安全的联机流程9.5.2A.9.5.3使用者识别及认证所有使用者应有唯一的识别码<使用者代码>专供其个人的使用，以便各项活动可以追溯至应负责的个人，应使用一种适当的认证技术以真实地识别使用者的身份9.5.3A.9.5.4口令字管理系统密码管理系统应提供有效的、交互式的设施以确保使用优质的密码9.5.4A.9.5.5系统工具的使用系统工具的使用应加以限制并严格控制9.5.5A.9.5.6提供受胁迫警报以保护使用者对于可能成为他人胁迫的目标的使用者应提供受胁迫警报9.5.6A.9.5.7终端机逾时终止在高风险场所或为高风险系统服务终端机，在进入休止状态达到规定的一段时间后，应加以关闭以防止未经授权的人进行访问9.5.7A.9.5.8联机时间的限制应使用联机时间的限制，以体统高风险的应用程序额外的安全9.5.8A.9.6应用程序访问控制控制目标：防止对于保持在信息系统中的信息进行未经授权的访问9.6控制措施A.9.6.1信息访问限制对于信息及应用系统的功能的访问应依照访问控制策略加以分析限制9.6.1A.9.6.2机密性系统的隔离具机密性质的系统应有专署的<隔离的>运