信息安全BS7799-1(ISO)(1)48382.docx

信息安全管理BS 77999-1:19999第一部分：信息息安全管理业务手则前言 BS 77999 本部分分内容，即信信息安全管理理，是在 BBSI/DIISC 委委员会 BDDD/2 指指导下完成的的。它取代了了已经停止使使用的 BSS 77999:19955。BS 77999 由两个部部分组成：l 第一部分：信息息安全管理业业务守则；l 第二部分：信息息安全管理系系统规范。BS 77999-1 首发发于 19995 年，它它为信息安全全提供了一套套全面综合最最佳实践经验验的控制措施施。其目的是是将信息系统统用于工业和和商业用途时时为确定实施施控制措施的的范围提供一一个参考依据据，并且能够够让各种规模模的组织所采采用。 本标准使用组织织这一术语，既既包括赢利性性组织，也包包括诸如公共共部门等非赢赢利性组织。1999 年的的修订版考虑虑到最新的信信息处理技术术应用，特别别是网络和通通讯的发展情情况。它也更更加强调了信信息安全所涉涉及的商业问问题和责任问问题。本文档所说明的的控制措施不不可能完全适适用于所有情情况。它没有考虑到到本地系统、环环境或技术上上的制约因素素。并且在形式上上也不可能完完全适合组织织的所有潜在在用户。因此此，本文档还还需要有进一一步的指导说说明作为补充充。例如，在在制定公司策策略或公司间间贸易协定时时，可以使用用本文档作为为一个基石。Britishh Stanndard 作为一个业业务守则，在在形式上采用用指导和建议议结合的方式式。在使用时时，不应该有有任何条条框框框，尤其特特别注意，不不要因为要求求遵守守则而而因噎废食。本标准在起草时时就已经假定定一个前提条条件，即标准准的执行对象象是具有相应应资格的、富富有经验的有有关人士。附附件 A 的信息息非常丰富，其其中包含一张张表，说明了了 19955 年版各部部分与 19999 年版版各条款间的的关系。Brritishh Stanndard 无意包容合合约的所有必必要条款。BBritissh Staandardds 的用户户对他们正确确使用本标准准自负责任。符合 Brittish SStandaard 不代代表其本身豁豁免法律义务务。什么是信息安全全？信息是一种资产产，就象其它它重要的商业业资产一样，它它对一个组织织来说是有价价值的，因此此需要妥善进进行保护。信信息安全保护护信息免受多多种威胁的攻攻击，保证业业务连续性，将将业务损失降降至最少，同同时最大限度度地获得投资资回报和利用用商业机遇。信信息存在的形形式多种多样样。它可以打打印或写在纸纸上，以电子子文档形式储储存，通过邮邮寄或电子手手段传播，以以胶片形式显显示或在交谈谈中表达出来来。不管信息的的形式如何，或或通过什么手手段进行共享享或存储，都都应加以妥善善保护。信息安全具有以以下特征：a) 保密性：确保只只有经过授权权的人才能访访问信息；b) 完整性：保护信信息和信息的的处理方法准准确而完整；c) 可用性：确保经经过授权的用用户在需要时时可以访问信信息并使用相相关信息资产产。信息安全是通过过实施一整套套适当的控制制措施实现的的。控制措施施包括策略、实实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施，确保满足组织特定的安全目标。为什么需要信息息安全信息和支持进程程、系统以及及网络都是重重要的业务资资产。为保证证组织富有竞竞争力，保持持现金流顺畅畅和组织赢利利，以及遵纪纪守法和维护护组织的良好好商业形象，信信息的保密性性、完整性和和可用性是至至关重要的。各个组织及其信信息系统和网网络所面临的的安全威胁与与日俱增，来来源也日益广广泛，包括利利用计算机欺欺诈、窃取机机密、恶意诋诋毁破坏等行行为以及火灾灾或水灾。危危害的来源多多种多样，如如计算机病毒毒、计算机黑黑客行为、拒拒绝服务攻击击等等，这些些行为呈蔓延延之势遍、用用意更加险恶恶，而且手段段更加复杂。组组织对信息系系统和服务的的依赖意味着着自身更容易易受到安全威威胁的攻击。公共网络与与专用网络的的互联以及对对信息资源的的共享，增大大了对访问进进行控制的难难度。分布式式计算尽管十十分流行，但但降低了集中中式专家级控控制措施的有有效性。很多多信息系统在在设计时，没没有考虑到安安全问题。通过技术手手段获得安全全保障十分有有限，必须辅辅之以相应的的管理手段和和操作程序才才能得到真正正的安全保障障。确定需要使使用什么控制制措施需要周周密计划，并并对细节问题题加以注意。作为信息安全管管理的最基本本要求，组织织内所有的雇雇员都应参与与信息安全管管理。信息安全管管理还需要供供应商、客户户或股东的参参与。也需要要参考来自组组织之外的专专家的建议。如果在制定安全全需求规范和和设计阶段时时就考虑到了了信息安全的的控制措施，那那么信息安全全控制的成本本会很低，并并更有效率。如何制定安全要要求组织确定自己的的安全要求，这这是安全保护护的起点。安全要求有有三个主要来来源。第一个来源源是对组织面面临的风险进进行评估的结结果。通过风险评评估，确定风风险和安全漏漏洞对资产的的威胁，并评评价风险发生生的可能性以以及潜在的影影响。第二个来源是组组织、其商业业伙伴、承包包商和服务提提供商必须满满足的法律、法法令、规章以以及合约方面面的要求。第三个来源是一一组专门的信信息处理的原原则、目标和和要求，它们们是组织为了了进行信息处处理必须制定定的。评估安全风险安全要求是通过过对安全风险险的系统评估估确定的。应应该将实施控控制措施的支支出与安全故故障可能造成成的商业损失失进行权衡考考虑。风险评评估技术适用用于整个组织织，或者组织织的某一部分分以及独立的的信息系统、特特定系统组件件或服务等。在在这些地方，风险评估技技术不仅切合合实际，而且且也颇有助益益。进行风险评估需需要系统地考考虑以下问题题：a) 安全故障可能造造成的业务损损失，包含由由于信息和其其它资产的保保密性、完整整性或可用性性损失可能造造成的后果；b) 当前主要的威胁胁和漏洞带来来的现实安全全问题，以及及目前实施的的控制措施。评估的结果有助助于指导用户户确定适宜的的管理手段，以以及管理信息息安全风险的的优先顺序，并并实施所选的的控制措施来来防范这些风风险。必须多多次重复执行行评估风险和和选择控制措措施的过程，以以涵盖组织的的不同部分或或各个独立的的信息系统。对安全风险和实实施的控制措措施进行定期期审查非常重重要，目的是是：a) 考虑业务要求和和优先顺序的的变更；b) 考虑新出现的安安全威胁和漏漏洞；c) 确认控制措施方方法是否适当当和有效。应该根据以前的的评估结果以以及管理层可可以接受的风风险程度变化化对系统安全全执行不同程程度的审查。通通常先在一个个较高的层次次上对风险进进行评估（这这是一种优先先处理高风险险区域中的资资源的方法），然然后在一个具具体层次上处处理特定的风风险。选择控制措施一旦确定了安全全要求，就应应选择并实施施适宜的控制制措施，确保保将风险降低低到一个可接接受的程度。可以从本文文档或其它控控制措施集合合选择适合的的控制措施，也也可以设计新新的控制措施施，以满足特特定的需求。管理风险有有许多方法，本本文档提供了了常用方法的的示例。但是，请务务必注意，其其中一些方法法并不适用于于所有信息系系统或环境，而而且可能不适适用于所有组组织。例如，8.11.4 说明明了如何划分分责任来防止止欺诈行为和和错误行为。在在较小的组织织中很难将所所有责任划分分清楚，因此此需要使用其其它方法以达达到同样的控控制目的。在降低风险和违违反安全造成成的潜在损失失时，应该根根据实施控制制措施的成本本选择控制措措施。还应该考虑虑声誉受损等等非货币因素素。本文档中的的一些控制措措施可以作为为信息安全管管理的指导性性原则，这些些方法适用于于大多数组织织。在下文的的“信息安全起起点”标题下，对对此做了较为为详细的解释释。信息安全起点很多控制措施都都可以作为指指导性原则，它它们为实施信信息安全提供供了一个很好好的起点。这些方法可可以是根据基基本的法律要要求制定的，也也可以从信息息安全的最佳佳实践经验中中获得。从规律规定的角角度来看，对对组织至关重重要的控制措措施包括：a) 知识产权（参阅阅 12.1.2）；b) 组织记录的保护护（参阅 12.1.3）；c) 对数据的保护和和个人信息的的隐私权保护护（参阅 12.1.4）。在保护信息安全全的实践中，非非常好的常用用控制措施包包括：a) 信息安全策略文文档（参阅 3.1.11）；b) 信息安全责任的的分配（参阅阅 4.1.33）；c) 信息安全教育和和培训（参阅阅 6.2.11）；d) 报告安全事故（参参阅 6.3.11）；e) 业务连续性管理理（参阅 11.1）。这些控制措施适适用于大多数数组织，并可可在大多数环环境中使用。请注意，尽管本文档中的所有文档都很重要，但一种方法是否适用，还是取决于一个组织所面临的特定安全风险。因此，尽管采用上述措施可以作为一个很好的安全保护起点，但不能取代根据风险评估结果选择控制措施的要求。成功的关键因素素以往的经验表明明，在组织中中成功地实施施信息安全保保护，以下因因素是非常关关键的：a) 反映组织目标的的安全策略、目目标以及活动动；b) 与组织文化一致致的实施安全全保护的方法法；c) 来自管理层的实实际支持和承承诺；d) 对安全要求、风风险评估以及及风险管理的的深入理解；e) 向全体管理人员员和雇员有效效地推销安全全的理念；f) 向所有雇员和承承包商宣传信信息安全策略略的指导原则则和标准；g) 提供适当的培训训和教育；h) 一个综合平衡的的测量系统，用用来评估信息息安全管理的的执行情况和和反馈意见和和建议，以便便进一步改进进。制定自己的指导导方针业务规则可以作作为制定组织织专用的指导导原则的起点点。本业务规则则中的指导原原则和控制措措施并非全部部适用。因此，还可可能需要本文文档未包括的的其它控制措措施。出现上述情情况时，各控控制措施之间间相互参照很很有用，有利利于审计人员员和业务伙伴伴检查是否符符合安全指导导原则。目录1122术语和定义义132.1信息安安全132.2风险评评估132.3风险管管理133安全策略143.1信息安安全策略143.1.1信信息安全策略略文档143.1.2审审查评估144组织的安全全154.1信息安安全基础设施施154.1.1管管理信息安全全论坛154.1.2信信息安全的协协调154.1.3信信息安全责任任的划分154.1.4信信息处理设施施的授权程序序164.1.5专专家信息安全全建议164.1.6组组织间的合作作164.1.7信信息安全的独独立评审174.2第三方方访问的安全全性174.2.1确确定第三方访访问的风险174.2.2第第三方合同的的安全要求184.3外包194.3.1外外包合同的安安全要求195资产分类管管理205.1资产责责任205.1.1资资产目录205.2信息分分类205.2.1分分类原则205.2.2信信息标识和处处理216人员安全226.1责任定定义与资源管管理的安全性性226.1.1考考虑工作责任任中的安全因因素226.1.2人人员选拔策略略226.1.3保保密协议226.1.4雇雇佣条款和条条件226.2用户培培训236.2.1信信息安全的教教育与培训236.3对安全全事故和故障障的处理236.3.1安安全事故报告告236.3.2安安全漏洞报告告236.3.3软软件故障报告告246.3.4从从事故中吸取取教训246.3.5纪纪律检查程序序247实际和环境境的安全257.1安全区区257.1.1实实际安全隔离离带257.1.2安安全区出入控控制措施257.1.3办办公场所、房房屋和设施的的安全保障267.1.4在在安全区中工工作267.1.5与与其它区域隔隔离的交货和和装载区域267.2设备的的安全277.2.1设设备选址与保保护277.2.2电电源287.2.3电电缆安全287.2.4设设备维护287.2.5场场外设备的安安全287.2.6设设备的安全处处置与重用297.3常规控控制措施297.3.1桌桌面与屏幕管管理策略297.3.2资资产处置308通信与操作作管理318.1操作程程序和责任318.1.1明明确的操作程程序318.1.2操操作变更控制制318.1.3事事故管理程序序318.1.4责责任划分328.1.5开开发设施与运运营设施分离离328.1.6外外部设施管理理338.2系统规规划与验收338.2.1容容量规划348.2.2系系统验收348.3防止恶恶意软件358.3.1恶恶意软件的控控制措施358.4内务处处理368.4.1信信息备份368.4.2操操作人员日志志368.4.3错错误日志记录录368.5网络管管理368.5.1网网络控制措施施378.6介质处处理与安全378.6.1计计算机活动介介质的管理378.6.2介介质处置378.6.3信信息处理程序序388.6.4系系统文档的安安全388.7信息和和软件交换388.7.1信信息和软件交交换协议388.7.2传传输中介质的的安全398.7.3电电子商务安全全398.7.4电电子邮件安全全408.7.5电电子办公系统统安全408.7.6信信息公布系统统418.7.7其其它的信息交交换形式419访问控制439.1访问控控制的业务要要求439.1.1访访问控制策略略439.2用户访访问管理449.2.1用用户注册449.2.2权权限管理449.2.3用用户口令管理理459.2.4用用户访问权限限检查459.3用户责责任469.3.1口口令的使用469.3.2无无人值守的用用户设备469.4网络访访问控制469.4.1网网络服务的使使用策略479.4.2实实施控制的路路径479.4.3外外部连接的用用户身份验证证479.4.4节节点验证489.4.5远远程诊断端口口的保护489.4.6网网络划分489.4.7网网络连接控制制489.4.8网网络路由控制制499.4.9网网络服务安全全499.5操作系系统访问控制制509.5.1终终端自动识别别功能509.5.2终终端登录程序序509.5.3用用户身份识别别和验证509.5.4口口令管理系统统519.5.5系系统实用程序序的使用519.5.6保保护用户的威威胁报警529.5.7终终端超时529.5.8连连接时间限制制529.6应用程程序访问控制制539.6.1信信息访问限制制539.6.2敏敏感系统的隔隔离539.7监控系系统的访问和和使用549.7.1事事件日志记录录549.7.2监监控系统的使使用549.7.3时时钟同步559.8移动计计算和远程工工作569.8.1移移动计算569.8.2远远程工作5610系统开发发与维护5810.1系统统的安全要求求5810.1.1安全要求分分析和说明5810.2应用用系统中的安安全5810.2.1输入数据验验证5810.2.2内部处理的的控制5910.2.3消息验证5910.2.4输出数据验验证6010.3加密密控制措施6010.3.1加密控制措措施的使用策策略6010.3.2加密6010.3.3数字签名6110.3.4不否认服务务6110.3.5密钥管理6110.4系统统文件的安全全6210.4.1操作软件的的控制6210.4.2系统测试数数据的保护6310.4.3对程序源代代码库的访问问控制6310.5开发发和支持过程程中的安全6310.5.1变更控制程程序6310.5.2操作系统变变更的技术评评审6410.5.3对软件包变变更的限制6410.5.4隐蔽通道和和特洛伊代码码6410.5.5外包的软件件开发6511业务连续续性管理6611.1业务务连续性管理理的特点6611.1.1业务连续性性管理程序6611.1.2业务连续性性和影响分析析6611.1.3编写和实施施连续性计划划6611.1.4业务连续性性计划框架6711.1.5业务连续性性计划的检查查、维护和重重新分析6712符合性6912.1符合合法律要求6912.1.1确定适用法法律6912.1.2知识产权 (IPR)6912.1.3组织记录的的安全保障6912.1.4个人信息的的数据保护和和安全7012.1.5防止信息处处理设施的滥滥用7012.1.6加密控制措措施的调整7112.1.7证据收集7112.2安全全策略和技术术符合性的评评审7212.2.1符合安全策策略7212.2.2技术符合性性检查7212.3系统统审计因素7212.3.1系统审计控控制措施7212.3.2系统审计工工具的保护73范围1BS 77999 本部分内内容为那些负负责执行或维维护组织安全全的人员提供供使用信息安安全管理的建建议。目的是是为制定组织织安全标准和和有效安全管管理提供共同同基础，并提提高组织间相相互协调的信信心。2 术语和定义在说明本文档用用途中应用了了以下定义。2.1 信息安全信息保密性、完完整性和可用用性的保护注意保密性的定义是是确保只有获获得授权的人人才能访问信信息。 完整性的定义是是保护信息和和处理方法的的准确和完整整。可用性的定义是是确保获得授授权的用户在在需要时可以以访问信息并并使用相关信信息资产。2.2 风险评估评估信息安全漏漏洞对信息处处理设备带来来的威胁和影影响及其发生生的可能性2.3 风险管理以可以接受的成成本，确认、控控制、排除可可能影响信息息系统的安全全风险或将其其带来的危害害最小化的过过程3 安全策略3.1 信息安全策略目标：提供管理理指导，保证证信息安全。管理层应制定一一个明确的安安全策略方向向，并通过在在整个组织中中发布和维护护信息安全策策略，表明自自己对信息安安全的支持和和保护责任。3.1.1 信息安全策略文文档策略文档应该由由管理层批准准，根据情况况向所有员工工公布传达。文档应说明管理人员承担的义务和责任，并制定组织的管理信息安全的步骤。至少应包括以下指导原则： a) 信息安全的定义义、其总体目目标及范围以以及安全作为为保障信息共共享的机制所所具有的重要要性（参阅简简介）；b) 陈述信息安全的的管理意图、支支持目标以及及指导原则；c) 简要说明安全策策略、原则、标标准以及需要要遵守的各项项规定。这对对组织非常重重要，例如：1) 符合法律律和合约的要要求；2) 安全教育育的要求；3) 防止并检检测病毒和其其它恶意软件件；4)业务连续性性管理；5) 违反安全全策略的后果果；d) 确定信息安全管管理的一般责责任和具体责责任，包括报报告安全事故故；e) 参考支持安全策策略的有关文文献，例如针针对特定信息息系统的更为为详尽的安全全策略和方法法以及用户应应该遵守的安安全规则。安全策略应应该向组织用用户传达，形形式上是针对对目标读者，并并为读者接受受和理解。3.1.2 审查评估每个策略应该有有一个负责人人，他根据明明确规定的审审查程序对策策略进行维护护和审查。审查过程应应该确保在发发生影响最初初风险评估的的基础的变化化（如发生重重大安全事故故、出现新的的漏洞以及组组织或技术基基础结构发生生变更）时，对对策略进行相相应的审查。还应该进行行以下预定的的、阶段性的的审查：a) 检查策略的有效效性，通过所所记录的安全全事故的性质质、数量以及及影响反映出出来；b) 控制措施的成本本及其业务效效率的影响；c) 技术变化带来的的影响。4 组织的安全4.1 信息安全基础设设施目标：管理组织织内部的信息息安全。应该建立管理框框架，在组织织内部开展和和控制信息安安全的管理实实施。应该建建立有管理领领导层参加的的管理论坛，以以批准信息安安全策略、分分配安全责任任并协调组织织范围的安全全策略实施。根据需要，应应该建立专家家提出信息安安全建议的渠渠道，并供整整个组织使用用。建立与公司司外部的安全全专家的联系系，保持与业业界的潮流、监监视标准和评评估方法同步步，并在处理理安全事故时时吸收他们的的观点。应该该鼓励采用跨跨学科跨范围围的信息安全全方法，例如如，让管理人人员、用户、行行政人员、应应用程序设计计人员、审计计人员以及安安全人员和专专家协同工作作，让他们参参与保险和风风险管理的工工作。4.1.1 管理信息安全论论坛信息安全是一种种由管理团队队所有成员共共同承担的业业务责任。应该建立一一个管理论坛坛，确保对安安全措施有一一个明确的方方向并得到管管理层的实际际支持。论坛坛应通过合理理的责任分配配和有效的资资源管理促进进组织内部安安全。该论坛可以以作为目前管管理机构的一一个组成部分分。通常，论坛坛有以下作用用：a) 审查和核准信息息安全策略以以及总体责任任；b) 当信息资产暴露露受到严重威威胁时，监视视重大变化；c) 审查和监控安全全事故；d) 审核加强信息安安全的重要活活动。一个管理人员应应负责所有与与安全相关的的活动。4.1.2 信息安全的协调调在大型组织中，需需要建立一个个与组织规模模相宜的跨部部门管理论坛坛，由组织有有关部门的管管理代表参与与，通过论坛坛协调信息安安全控制措施施的实施情况况。通常，这类论坛坛：a) 就整个公司的信信息安全的作作用和责任达达成一致；b) 就信息安全的特特定方法和处处理过程达成成一致，如风风险评估、安安全分类系统统；c) 就整个公司的信信息安全活动动达成一致并并提供支持，例例如安全警报报程序；d) 确保将安全作为为制定信息计计划的一个部部分；e) 对控制措施是否否完善进行评评估，并协调调新系统或新新服务的特定定信息安全控控制措施的实实施情况；f) 审查信息安全事事故；g) 在整个组织织中增加对信信息安全工作作支持的力度度。4.1.3 信息安全责任的的划分应该明确保护个个人资产和执执行具体安全全程序步骤的的责任。信息息安全策略（请请参阅条款 3）应提供在在组织内分配配安全任务和和责任的一般般指导原则。如如果需要，可可以为特定的的站点、系统统或服务补充充更加详细的的指导原则。应明确说明明对各个实际际资产和信息息资产以及安安全进程（如如业务连续性性规划）的保保护责任。在很多组织中，指指定信息安全全管理员负责责开展和实施施安全保护，并并帮助确定控控制措施。但但是，资源管管理以及实施施控制措施仍仍由各个管理理人员负责。一种常用的的方法是为每每项信息资产产指定一个所所有者，并由由他负责该资资产的日常安安全问题。信息资产的所有有者将其所承承担的安全责责任委托给各各个管理人员员或服务提供供商。尽管所有者者仍对该资产产的安全负有有最终责任，但但可以确定被被委托的人是是否正确履行行了责任。一定要明确确说明各个管管理人员所负负责的范围；特别是要明明确以下范围围。a) 必须确定并明确确说明由谁负负责各种资产产和与每个系系统相关的安安全进程。b) 应该确定负责各各个资产和安安全进程的管管理人员，并并记录责任的的具体落实情情况。c) 应明确规定授权权级别并进行行备案。4.1.4 信息处理设施的的授权程序对于新的信息处处理设施，应应该制定管理理授权程序。应考虑以下问题题。a) 新设施应获得适适当的用户管管理审核，授授权新设施的的范围和使用用。应获得负负责维护本地地信息系统安安全环境的管管理人员的批批准，以确保保符合所有相相关安全策略略和要求。b) 如果需要，应检检查硬件和软软件以确保它它们与其它系系统组件兼容容。c) 请注意，某些连连接可能需要要对类型进行行核实。d) 使用个人信息处处理工具处理理业务信息和和其它必要的的控制措施应应得到授权。e) 在工作场所使用用个人信息处处理工具会带带来新的漏洞洞，因此需要要进行评估和和授权。在联网的环境中中，这些控制制措施特别重重要。4.1.5 专家信息安全建建议很多组织都需要要专家级的信信息安全建议议。理想情况况下，一位资资深的全职信信息安全顾问问应该提出以以下建议。并不是所有有组织都希望望雇佣专家顾顾问。在这种情况况下，我们建建议专家负责责协调公司内内部的知识和和经验资源，以以确保协调一一致，并在安安全决策方面面提供帮助。各各个组织应该该与公司以外外的顾问保持持联系，在自自己不了解的的领域，倾听听他们的专门门建议。信息安全顾问或或其它专家应应负责为信息息安全的各种种问题提供建建议，这些意意见既可以来来自他们本人人，也可以来来自外界。组组织的信息安安全工作的效效率如何，取取决于他们对对安全威胁评评估的质量和和建议使用的的控制措施。为为得到最高的的效率和最好好的效果，信信息安全顾问问可以直接与与管理层联系系。在发生可疑的安安全事故或破破坏行为时，应应尽早向信息息安全顾问或或其它专家进进行咨询，以以得到专家的的指导或可供供研究的资源源。尽管多数内内部安全调查查是在管理层层的控制下进进行的，但仍仍然应该邀请请安全顾问，倾倾听他们的建建议，或由他他们领导、实实施这一调研研活动。4.1.6 组织间的合作与执法机关、管管理部门、信信息服务提供供商和通信运运营商签署的的合同应保证证：在发生安安全事故时，能能迅速采取行行动并获得建建议。同样的的，也应该考考虑加入安全全组织和业界界论坛。应严格限制对安安全信息的交交换，以确保保组织的保密密信息没有传传播给未经授授权的人。4.1.7 信息安全的独立立评审信息安全策略文文档（参见 3.1.1）制定了了信息安全的的策略和责任任。必须对该该文档的实施施情况进行独独立审查，确确保组织的安安全实践活动动不仅符合策策略的要求，而而且是灵活高高效的。（参参见 12.2）。审查工作作应该由组织织内部的审计计职能部门、独独立管理人员员或专门提供供此类服务的的第三方组织织负责执行，而而且这些人员员必须具备相相应的技能和和经验。4.2 第三方访问的安安全性目标：维护第三三方访问的组组织信息处理理设施和信息息资产的安全全性。 要严格控制第三三方对组织的的信息处理设设备的使用。 如果存在对第三三方访问的业业务需求，必必须进行风险险评估，以确确定所涉及的的安全问题和和控制要求。必须与第三方就控制措施达成一致，并在合同中规定。 第三方的访问可可能涉及到其其它人员。授授予第三方访访问权限的合合约应该包括括允许指定其其它符合条件件的人员进行行访问和有关关条件的规定定条款。 在制定这类合约约或考虑信息息处理外包时时，可以将本本标准作为一一个基础。4.2.1 确定第三方访问问的风险4.2.1.1 访问类型允许第三方使用用的访问类型型非常重要。例如，通过网络连接进行访问所带来的风险与实际访问所带来的风险截然不同。应考虑的访问类型有：a) 实际访问，如对对办公室、计计算机房、档档案室的访问问；b) 逻辑访问，如对对组织的数据据库、信息系系统的访问。4.2.1.2 访问理由允许第三方访问问有以下理由由。例如，某些些向组织提供供服务的第三三方不在工作作现场，但可可以授予他们们物理和逻辑辑访问的权限限，诸如：a) 硬件和软件支持持人员，他们们需要访问系系统级别或低低级别的应用用程序功能；b) 贸易伙伴或该组组织创办的合合资企业,他们与组织织交换信息、访访问信息系统统或共享数据据库。如果不进行充分分的安全管理理就允许第三三方访问数据据，则信息被被置于很危险险的境地。凡有业务需需要与第三方方连接时，就就需要进行风风险评估，以以确定具体的的控制措施要要求。还需要要考虑以下因因素：所需的的访问类型、信信息的价值、第第三方所使用用的控制措施施以及该访问问对该组织信信息的安全性性可能带来的的影响。4.2.1.3 现场承包商按照合约的规定定，第三方在在现场工作一一段时间后也也会留下导致致安全隐患。第三方在现场的情况有：a) 硬件和软件的支支持维护人员员；b) 清洁人员、送餐餐人员、保安安以及其它外外包的支持服服务人员；c) 为学生提供的职职位和其它临临时性的短期期职位；d) 咨询人员。要对第三方使用用信息处理设设备进行管理理，了解要使使用什么控制制措施是至关关重要的。通通常，第三方方访问会带来来新的安全要要求或内部控控制措施，这这些都应该在在与第三方的的合同中体现现出来（另请请参见 4.2.2）。例如如，如果对信信息的保密性性有特殊的要要求，应签署署保密协议（参参见 6.1.3）。只有实施了相应应的控制措施施，并在合同同中明确规定定了连接或访访问的条款，才才能允许第三三方访问信息息和使用信息息处理设备。4.2.2 第三方合同的安安全要求第三方对组织信信息处理设施施的访问，应应该根据包含含所有必要安安全要求的正正式合同进行行，确保符合合组织的安全全策略和标准准。应确保组织织和第三方之之间对合同内内容不存在任任何歧义。为为满足供应商商，组织应首首先满足自己己。在合约中中应考虑以下下条款：a) 信息安全的常规规策略；b) 对资产的保护，包包括：1) 保护包括信息和和软件在内的的组织资产的的步骤；2) 确认资产的安全全是否受到威威胁的步骤，如如数据丢失或或被修改；3) 相应的控制措施施，以保证在在合同终止时时，或在合同同执行期间某某个双方认可可的时间点，将将信息和资产产归还或销毁毁；4) 完整性和可用性性；5) 严格限制复制信信息和泄露信信息；c) 说明每个可提供供的服务；d) 期望的服务水平平和不可接受受的服务水平平；e) 在适当的时候撤撤换员工的规规定；f) 达成各方义务的的协议；g) 与法律事务相关关的责任（例例如，数据保保护法规）。如如果合同涉及及到与其它国国家的组织进进行合作，应应考虑到各个个国家法律系系统之间的差差异（另请参参见 12.1）；h) 知识产权 (IIPRs) 和版权转让让（参见 12.1.2）以及对对合著的保护护（另请参见见 6.1.3）；i) 访问控制协议，包包括：1) 允许使用的访问问方法，以及及控制措施和和对唯一标识识符的使用，如如用户 IDD 和口令；2) 用户访问和权限限的授权程序序；3) 保留得到有权使使用服务的人人员清单，以以及他们具体体享有那些权权限和权限；j) 确定可核实的执执行标准、监监视及报告功功能；k) 监视、撤消用户户活动的权限限；l) 审计合同责任或或将审计工作作交由第三方方执行的权限限；m) 建立一种解决问问题的渐进过过程；在需要要时应要考虑虑如何执行应应急措施；n) 与硬件和软件安安装维护相关关的责任；o) 明晰的报告结构构和双方认可可的报告格式式；p) 变更管理的明确确制定过程；q) 所需的物理保护护控制措施和和机制，以确确保所有操作作都符合控制制措施的要求求；r) 对用户和管理员员进行的方法法、步骤和安安全方面的培培训；s) 保证免受恶意软软件攻击的控控制措施（参参见 8.3）；t) 规定如何报告、通通知和调查安安全事故以及及安全违反行行为；u) 第三方与分包商商之间的参与与关系。4.3 外包目标：在将信息息处理责任外外包给另一组组织时保障信信息安全。 在双方的合同中中，外包协议议应阐明信息息系统、网络络和/或桌面环境境中存在的风风险、安全控控制措施以及及方法步骤。4.3.1 外包合同的安全全要求如果将所有或部部分信息系统统、网络和/或桌面环境境的管理和控控制进行外包包，则应在双双方签定的合合同中反映组组织的安全要要求。例如，合同中应应阐明：a) 如何符合法律要要求，如数据据保护法规；b) 应该如何规定保保证外包合同同中的参与方方（包括转包包商）都了解解各自的安全全责任；c) 如何维护并检测测组织的业务务资产的完整整性和保密性性；d) 应该使用何种物物理和逻辑控控制措施，限限制授权用户户对组织的敏敏感业务信息息的访问；e) 在发生灾难事故故时，如何维维护服务的可可用性；f) 为外包出去的设设备提供何种种级别的物理理安全保护；g) 审计人员的权限限。合同中应该包括括 4.2.2 中的列列表列出的条条款。合同应应允许在安全全管理计划详详细说明安全全要求和程序序步骤移植，使使合同双方就就此达成一致致。尽管外包合同会会带来一些复复杂的安全问问题，本业务务规则中的控控制措施可以以作为一个认认可安全管理理计划的结构构和内容的起起点。5 资产分类管理5.1 资产责任目标：对组织资资产进行适当当的保护。所有主要的信息息资产应进行行登记，并指指定资产的所所有人。 确定资产的责任任帮助确保能能够提供适当当的保护。 应确定所有主要要资产的所有有者，并分配配维护该资产产的责任。可以委托负责实实施控制措施施的责任。资资产的责任由由资产的指定定所有责负责责。5.1.1 资产目录资产清单能帮助助您确保对资资产实施有效效的保护，也也可以用于其其它商业目的的，如保健、金金融保险等（资资产评估）。编辑资产清单的过程是资产评估的一个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息，组织可以根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。应该明确确认每项资产及其所有权和安全分类。（参见 5.2）各方就此达成一致并将其当前状况进行备案（这一点在资产发生损坏，进行索赔时非常重要）。与信息系统相关联的资产示例有：a) 信息资产：数据据库和数据文文件、系统文文档、用户