CISA资料-基础,信息安全管理实用规则.docx

《CISA资料-基础,信息安全管理实用规则.docx》由会员分享，可在线阅读，更多相关《CISA资料-基础,信息安全管理实用规则.docx（144页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CISA资料-基础,信息安全管理实用规则目 次 前 言 III 引 言 IV 0.1 什么是信息平安？ IV 0.2 为什么须要信息平安？ IV 0.3 如何建立平安要求 IV 0.4 评估平安风险 V 0.5 选择限制措施 V 0.6 信息平安起点 V 0.7 关键的胜利因素 VI 0.8 开发你自己的指南 VI 1 范围 1 2 术语和定义 1 3 本标准的结构 3 3.1 章节 3 3.2 主要平安类别 3 4 风险评估和处理 4 4.1 评估平安风险 4 4.2 处理平安风险 4 5 平安方针 5 5.1 信息平安方针 5 6 信息平安组织 6 6.1 内部组织 6 6.2 外部各方

2、11 7 资产管理 15 7.1 对资产负责 15 7.2 信息分类 17 8 人力资源平安 18 8.1 任用之前 18 8.2 任用中 21 8.3 任用的终止或改变 22 9 物理和环境平安 24 9.1 平安区域 24 9.2 设备平安 27 10 通信和操作管理 30 10.1 操作程序和职责 30 10.2 第三方服务交付管理 33 10.3 系统规划和验收 34 10.4 防范恶意和移动代码 35 10.5 备份 37 10.6 网络平安管理 38 10.7 介质处置 39 10.8 信息的交换 41 10.9 电子商务服务 45 10.10 监视 47 11 访问限制 51 1

3、1.1 访问限制的业务要求 51 11.2 用户访问管理 52 11.3 用户职责 54 11.4 网络访问限制 56 11.5 操作系统访问限制 60 11.6 应用和信息访问限制 63 11.7 移动计算和远程工作 64 12 信息系统获得、开发和维护 66 12.1 信息系统的平安要求 66 12.2 应用中的正确处理 67 12.3 密码限制 70 12.4 系统文件的平安 72 12.5 开发和支持过程中的平安 74 12.6 技术脆弱性管理 76 13 信息平安事务管理 78 13.1 报告信息平安事态和弱点 78 13.2 信息平安事务和改进的管理 79 14 业务连续性管理 8

4、2 14.1 业务连续性管理的信息平安方面 82 15 符合性 86 15.1 符合法律要求 86 15.2 符合平安策略和标准以及技术符合性 89 15.3 信息系统审核考虑 90 前 言 引 言 0.1 什么是信息平安？ 象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此须要加以适当地爱护。在业务环境互连日益增加的状况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威逼和脆弱性当中（也可参考关于信息系统和网络的平安的OECD指南）。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论

5、信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地爱护。信息平安是爱护信息免受各种威逼的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。信息平安是通过实施一组合适的限制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在须要时需建立、实施、监视、评审和改进这些限制措施，以确保满意该组织的特定平安和业务目标。这个过程应与其他业务管理过程联合进行。0.2 为什么须要信息平安？ 信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息平安对保持竞争优势、现金周转、赢利、遵守法律和商业形象可能是至关重要的。各组织及其信息系统和网络面临来自各个

6、方面的平安威逼，包括计算机协助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的平安威逼，已经变得更加普遍、更有野心和日益困难。信息平安对于公共和专用两部分的业务以及爱护关键基础设施是特别重要的。在这两部分中信息平安都将作为一个使动者，例照实现电子政务或电子商务，避开或削减相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问限制的难度。分布式计算的趋势也减弱了集中的、特地限制的有效性。很多信息系统并没有被设计成是平安的。通过技术手段可获得的平安性是有限的，应当通过适当的管理和规程赐予支持。确定哪些限制措施要实施到位须要细致规划并

7、留意细微环节。信息平安管理至少须要该组织内的全部员工参加，还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参加。外部组织的专家建议可能也是须要的。0.3 如何建立平安要求 组织识别出其平安要求是特别重要的，平安要求有三个主要来源： 1、 一个来源是在考虑组织整体业务战略和目标的状况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威逼，评价易受威逼利用的脆弱性和威逼发生的可能性，估计潜在的影响。2、 另一个来源是组织、贸易伙伴、合同方和服务供应者必需满意的法律、法规、规章和合同要求，以及他们的社会文化环境。3、 第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求

8、的特定集合。0.4 评估平安风险 平安要求是通过对平安风险的系统评估予以识别的。用于限制措施的支出须要针对可能由平安故障导致的业务损害加以平衡。风险评估的结果将帮助指导和确定适当的管理行动、管理信息平安风险的优先级以及实现所选择的用以防范这些风险的限制措施。风险评估应定期进行，以应对可能影响风险评估结果的任何改变。更多的关于平安风险评估的信息见第4.1节“评估平安风险”。0.5 选择限制措施 一旦平安要求和风险已被识别并已作出风险处理确定，则应选择并实现合适的限制措施，以确保风险降低到可接受的级别。限制措施可以从本标准或其他限制措施集合中选择，或者当合适时设计新的限制措施以满意特定需求。平安限

9、制措施的选择依靠于组织所作出的确定，该确定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法，同时还要遵守全部相关的国家和国际法律法规。本标准中的某些限制措施可被当作信息平安管理的指导原则，并且可用于大多数组织。下面在题为“信息平安起点”中将更具体的说明这些限制措施。更多的关于选择限制措施和其他风险处理选项的信息见第4.2节“处理平安风险”。0.6 信息平安起点 很多限制措施被认为是实现信息平安的良好起点。它们或者是基于重要的法律要求，或者被认为是信息平安的常用惯例。从法律的观点看，对某个组织重要的限制措施包括，依据适用的法律： a) 数据爱护和个人信息的隐私（见15.1.4）；

10、 b) 爱护组织的记录（见15.1.3）； c) 学问产权（见15.1.2）。被认为是信息平安的常用惯例的限制措施包括： a) 信息平安方针文件（见5.1.1）； b) 信息平安职责的安排（见6.1.3）； c) 信息平安意识、教化和培训（见8.2.2）； d) 应用中的正确处理（见12.2）； e) 技术脆弱性管理（见12.6）； f) 业务连续性管理（见14）； g) 信息平安事务和改进管理（见13.2）。这些限制措施适用于大多数组织和环境。应留意，虽然本标准中的全部限制措施都是重要的并且是应被考虑的，但是应依据某个组织所面临的特定风险来确定任何一种限制措施是否是合适的。因此，虽然上述方法

11、被认为是一种良好的起点，但它并不能取代基于风险评估而选择的限制措施。0.7 关键的胜利因素 阅历表明，下列因素通常对一个组织胜利地实现信息平安来说，非常关键： a) 反映业务目标的信息平安方针、目标以及活动； b) 和组织文化保持一样的实现、保持、监视和改进信息平安的方法和框架； c) 来自全部级别管理者的可视化的支持和承诺； d) 正确理解信息平安要求、风险评估和风险管理； e) 向全部管理人员、员工和其它方传达有效的信息平安学问以使他们具备平安意识； f) 向全部管理人员、员工和其它方分发关于信息平安方针和标准的指导看法； g) 供应资金以支持信息平安管理活动； h) 供应适当的意识、培训

12、和教化； i) 建立一个有效的信息平安事务管理过程； j) 实现一个测量 留意信息平安测量不在本标准范围内。系统，它可用来评价信息平安管理的执行状况和反馈的改进建议。0.8 开发你自己的指南 本好用规则可认为是组织开发其具体指南的起点。对一个组织来说，本好用规则中的限制措施和指南并非全部适用，此外，很可能还须要本标准中未包括的另外的限制措施和指南。为便于审核员和业务伙伴进行符合性检查，当开发包含另外的指南或限制措施的文件时，对本标准中条款的相互参考可能是有用的。 信息技术 平安技术 信息平安管理好用规则 1 范围 本标准给出了一个组织启动、实施、保持和改进信息平安管理的指南和一般原则。本标准列

13、出的目标为通常所接受的信息平安管理的目的供应了指导。 本标准的限制目标和限制措施的实施旨在满意风险评估所识别的要求。本标准可作为建立组织的平安准则和有效平安管理惯例的好用指南，并有利于在组织间的活动中建立信念。2 术语和定义 下列术语和定义适用于本标准。2.1 资产 asset 对组织有价值的任何东西ISO/IEC 13335-1:2004。2.2 限制措施 control 管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。注：限制措施也用于防护措施或对策的同义词。2.3 指南 guideline 阐明应做什么和怎么做以达到方针策略中制定的目标的描

14、述ISO/IEC TR 13335-1：2004 2.4 信息处理设施 information processing facilities 任何信息处理系统、服务或基础设施，或放置它们的场所 2.5 信息平安 information security 保持信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不行否认性和牢靠性等 2.6 信息平安事态 information security event 信息平安事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息平安策略的违反或防护措施的失效，或是和平安关联的一个从前未知的状态ISO/IEC TR 18044：2004

15、2.7 信息平安事务 information security incident 一个信息平安事务由单个的或一系列的有害或意外信息平安事态组成，它们具有损害业务运作和威逼信息平安的极大的可能性ISO/IEC TR 18044：2004。2.8 方针 policy 管理者正式发布的总的宗旨和方向 2.9 风险 risk 事态的概率及其结果的组合ISO Guide 73：2002 2.10 风险分析 risk analysis 系统地运用信息来识别风险来源和估计风险ISO Guide 73：2002 2.11 风险评估 risk assessment 风险分析和风险评价的整个过程ISO Guide

16、 73：2002 2.12 风险评价 risk evaluation 将估计的风险与给定的风险准则加以比较以确定风险严峻性的过程ISO Guide 73：2002 2.13 风险管理 risk management 指导和限制一个组织相关风险的协调活动 注：风险管理一般包括风险评估、风险处理、风险接受和风险沟通ISO Guide 73：2002 2.14 风险处理 risk treatment 选择并且执行措施来更改风险的过程ISO Guide 73：2002 2.15 第三方 third party 就所涉及的问题被公认为是独立于有关各方的个人或机构ISO Guide 2：1996 2.16

17、 威逼 threat 可能导致对系统或组织的损害的不期望事务发生的潜在缘由ISO/IEC TR 13335-1：2004 2.17 脆弱性 vulnerability 可能会被一个或多个威逼所利用的资产或一组资产的弱点ISO/IEC TR 13335-1：2004 3 本标准的结构 本标准包括11个平安限制措施的章节（共含有39个主要平安类别）和1个介绍风险评估和处理的章节。3.1 章节 每一章包含多个主要平安类别。11个章节（连同每一章中所包含的主要平安类别的数量）是： a) 平安方针（1）； b) 信息平安组织（2）； c) 资产管理（2）； d) 人力资源平安（3）； e) 物理和环境平

18、安（2）； f) 通信和操作管理（10）； g) 访问限制（7）； h) 信息系统获得、开发和维护（6）； i) 信息平安事务管理（2）； j) 业务连续性管理（1）； k) 符合性（3）。注：本标准中章节的依次不表示其重要性。依据不同的环境，全部章节都可能是重要的，因此应用本标准的每一个组织应识别适用的章节及其重要性，以及它们对各个业务过程的适用性。另外，本标准的排列均没有优先依次，除非另外注明。3.2 主要平安类别 每一个主要平安类别包含： a) 一个限制目标，声明要实现什么； b) 一个或多个限制措施，可被用于实现该限制目标。限制措施的描述结构如下： 限制措施 定义满意限制目标的特定的限

19、制措施的陈述。实施指南 为支持限制措施的实施和满意限制目标，供应更具体的信息。本指南的某些内容可能不适用于全部状况，所以其他实现限制措施的方法可能更为合适。其它信息 供应须要考虑的进一步的信息，例如法律方面的考虑和对其他标准的引用。4 风险评估和处理 4.1 评估平安风险 风险评估应比照风险接受准则和组织相关目标，识别、量化并区分风险的优先次序。风险评估的结果应指导并确定适当的管理措施及其优先级，以管理信息平安风险和实施为防范这些风险而选择的限制措施。评估风险和选择限制措施的过程可能须要执行多次，以覆盖组织的不同部门或各个信息系统。风险评估应包括估计风险大小的系统方法（风险分析），和将估计的风

20、险与给定的风险准则加以比较，以确定风险严峻性的过程（风险评价）。风险评估还应定期进行，以应对平安要求和风险情形的改变，例如资产、威逼、脆弱性、影响，风险评价；当发生重大改变时也应进行风险评估。风险评估应运用一种能够产生可比较和可再现结果的系统化的方式。为使信息平安风险评估有效，它应有一个清楚定义的范围。假如合适，应包括与其他领域风险评估的关系。假如可行、实际和有帮助，风险评估的范围既可以是整个组织、组织的一部分、单个信息系统、特定的系统部件，也可以是服务。风险评估方法的例子在ISO/IEC TR 13335-3IT平安管理指南：IT平安管理技术中探讨。4.2 处理平安风险 在考虑风险处理前，组

21、织应确定风险是否能被接受的准则。假如经评估显示，风险较低或处理成本对于组织来说不划算，则风险可被接受。这些确定应加以记录。对于风险评估所识别的每一个风险，必需作出风险处理确定。可能的风险处理选项包括： a) 应用适当的限制措施以降低风险； b) 只要它们满意组织的方针和风险接受准则，则要有意识的、客观的接受该风险； c) 通过禁止可能导致风险发生的行为来避开风险； d) 将相关风险转移到其他方，例如，保险或供应商。对风险处理确定中要采纳适当的限制措施的那些风险来说，应选择和实施这些限制措施以满意风险评估所识别的要求。限制措施应确保在考虑以下因素的状况下，将风险降低到可接受级别： a) 国家和国

22、际法律法规的要求和约束； b) 组织的目标； c) 运行要求和约束； d) 降低风险相关的实施和运行的成本，并使之与组织的要求和约束保持相称； e) 平衡限制措施实施和运行的投资与平安失误可能导致的损害的须要。限制措施可以从本标准或其他限制集合中选择，或者设计新的限制措施以满意组织的特定需求。相识到有些限制措施并不是对每一种信息系统或环境都适用，并且不是对全部组织都可行，这一点特别重要。例如，10.1.3描述如何分割责任，以防止欺诈或错误。在较小的组织中分割全部责任是不太可能的，实现同一限制目标的其他方法可能是必要的。另外一个例子，10.10描述如何监视系统运用及如何收集证据。所描述的限制措施

23、，例如事态日志，可能与适用的法律相冲突，诸如顾客或在工作场地内的隐私爱护。信息平安限制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案，最坏的状况下可能达不到足够的平安。应当牢记，没有一个限制措施集合能实现肯定的平安，为支持组织的目标，应实施额外的管理措施来监视、评价和改进平安限制措施的效率和有效性。5 平安方针 5.1 信息平安方针 目标：依据业务要求和相关法律法规供应管理指导并支持信息平安。管理者应依据业务目标制定清楚的方针指导，并通过在整个组织中颁布和维护信息平安方针来表明对信息平安的支持和承诺。5.1.1 信息平安方针文件 限制措施 信息

24、平安方针文件应由管理者批准、发布并传达给全部员工和外部相关方。实施指南 信息平安方针文件应说明管理承诺，并提出组织的管理信息平安的方法。方针文件应包括以下声明： a) 信息平安、整体目标和范围的定义，以及在允许信息共享机制下平安的重要性（见引言）； b) 管理者意图的声明，以支持符合业务战略和目标的信息平安目标和原则； c) 设置限制目标和限制措施的框架，包括风险评估和风险管理的结构； d) 对组织特殊重要的平安方针策略、原则、标准和符合性要求的简要说明，包括： 1) 符合法律法规和合同要求； 2) 平安教化、培训和意识要求； 3) 业务连续性管理； 4) 违反信息平安方针的后果； e) 信息

25、平安管理（包括报告信息平安事务）的一般和特定职责的定义； f) 对支持方针的文件的引用，例如，特定信息系统的更具体的平安方针策略和程序，或用户应遵守的平安规则。应以预期读者适合的、可访问的和可理解的形式将本信息平安方针传达给整个组织的用户。其它信息 信息平安方针可能是总体方针文件的一部分。假如信息平安方针在组织外进行分发，应留意不要泄露敏感信息。更多信息参见ISO/IEC 13335-1：2004。5.1.2 信息平安方针的评审 限制措施 应按安排的时间间隔或当重大改变发生时进行信息平安方针评审，以确保它持续的相宜性、充分性和有效性。实施指南 信息平安方针应有专人负责，他负有平安方针制定、评审

26、和评价的管理职责。评审应包括评估组织信息平安方针改进的机会，和管理信息平安适应组织环境、业务状况、法律条件或技术环境改变的方法。信息平安方针评审应考虑管理评审的结果。要定义管理评审程序，包括时辰表或评审周期。管理评审的输入应包括以下信息： a) 相关方的反馈； b) 独立评审的结果（见6.1.8）； c) 预防和订正措施的状态（见6.1.8和15.2.1）； d) 以往管理评审的结果； e) 过程执行状况和信息平安方针符合性； f) 可能影响组织管理信息平安的方法的变更，包括组织环境、业务状况、资源可用性、合同、规章，和法律条件或技术环境的变更。g) 威逼和脆弱性的趋势； h) 已报告的信息平

27、安事务（见13.1）； i) 相关专家的建议（见6.1.6）。管理评审的输出应包括与以下方面有关的任何确定和措施： a) 组织管理信息平安的方法和它的过程的改进； b) 限制目标和限制措施的改进 c) 资源和/或职责安排的改进。管理评审的记录应被维护。应获得管理者对修订的方针的批准。6 信息平安组织 6.1 内部组织 目标：在组织内管理信息平安。应建立管理框架，以启动和限制组织范围内的信息平安的实施。管理者应批准信息平安方针、指派平安角色以及协调和评审整个组织平安的实施。若须要，要在组织范围内建立专家信息平安建议库，并在组织内可用。要发展与外部平安专家或组织（包括相关权威人士）的联系，以便跟上

28、行业趋势、跟踪标准和评估方法，并且当处理信息平安事务时，供应合适的联络点。应激励采纳多学科方法，解决信息平安问题。6.1.1 信息平安的管理承诺 限制措施 管理者应通过清楚的说明、可证明的承诺、明确的信息平安职责安排及确认，来主动支持组织内的平安。实施指南 管理者应： a) 确保信息平安目标得以识别，满意组织要求，并已被整合到相关过程中； b) 制定、评审、批准信息平安方针； c) 评审信息平安方针实施的有效性； d) 为平安启动供应明确的方向和管理者明显的支持； e) 为信息平安供应所需的资源； f) 批准整个组织内信息平安特地的角色和职责安排； g) 启动安排和程序来保持信息平安意识； h

29、) 确保整个组织内的信息平安限制措施的实施是相互协调的（见6.1.2）。管理者应识别对内外部专家的信息平安建议的需求，并在整个组织内评审和协调专家建议结果。依据组织的规模不同，这些职责可以由一个特地的管理协调小组或由一个已存在的机构（例如董事会）担当。其它信息 更多内容可参考ISO/IEC 13335-1：2004。6.1.2 信息平安协调 限制措施 信息平安活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。实施指南 典型的，信息平安协调应包括管理人员、用户、行政人员、应用设计人员、审核员和平安专员，以及保险、法律、人力资源、IT或风险管理等领域专家的协调和协作。这些活动应： a

30、) 确保平安活动的实施与信息平安方针相一样； b) 确定如何处理不符合项； c) 核准信息平安的方法和过程，例如风险评估、信息分类； d) 识别重大的威逼变更和暴露于威逼下的信息和信息处理设施； e) 评估信息平安限制措施实施的充分性和协调性； f) 有效地促进整个组织内的信息平安教化、培训和意识； g) 评价在信息平安事务的监视和评审中获得的信息，举荐适当的措施响应识别的信息平安事务。假如组织没有运用一个独立的跨部门的小组，例如因为这样的小组对组织规模来说是不适当的，那么上面描述的措施应由其它合适的管理机构或单独管理人员实施。6.1.3 信息平安职责的安排 限制措施 全部的信息平安职责应予以

31、清楚地定义。实施指南 信息平安职责的安排应和信息平安方针（见第4 译者认为应当是第5章。章）相一样。各个资产的爱护和执行特定平安过程的职责应被清楚的识别。这些职责应在必要时加以补充，来为特定地点和信息处理设施供应更具体的指南。资产爱护和执行特定平安过程（诸如业务连续性安排）的局部职责应予以清楚地定义。安排有平安职责的人员可以将平安任务托付给其他人员。尽管如此，他们仍旧负有责任，并且他们应能够确定任何被托付的任务是否已被正确地执行。个人负责的领域要予以清楚地规定；特殊是，应进行下列工作： a) 与每个特别系统相关的资产和平安过程应予以识别并清楚地定义； b) 应安排每一资产或平安过程的实体职责，

32、并且该职责的细微环节应形成文件（见7.1.2）； c) 授权级别应清楚地予以定义，并形成文件。其它信息 在很多组织中，将任命一名信息平安管理人员全面负责平安的开发和实施，并支持限制措施的识别。然而，供应限制措施资源并实施这些限制措施的职责通常归于各个管理人员。一种通常的做法是对每一资产指定一名责任人，他也就对该信息资产的日常爱护负责。6.1.4 信息处理设施的授权过程 限制措施 新信息处理设施应定义和实施一个管理授权过程。实施指南 授权过程应考虑下列指南： a) 新设施要有适当的用户管理授权，以批准其用途和运用；还要获得负责维护本地系统平安环境的管理人员授权，以确保全部相关的平安方针策略和要求

33、得到满意； b) 若须要，硬件和软件应进行检查，以确保它们与其他系统组件兼容； c) 运用个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备）处理业务信息，可能引起新的脆弱性，因此应识别和实施必要的限制措施。6.1.5 保密性协议 限制措施 应识别并定期评审反映组织信息爱护须要的保密性或不泄露协议的要求。实施指南 保密或不泄露协议应运用合法可实施条款来解决爱护机密信息的要求。要识别保密或不泄露协议的要求，需考虑下列因素： a) 定义要爱护的信息（如机密信息）； b) 协议的期望持续时间，包括不确定的须要维持保密性的情形； c) 协议终止时所需的措施； d) 为避开未授权信息泄露的签署者

34、的职责和行为 （即“须要知道的”） e) 信息全部者、商业隐私和学问产权，以及他们如何与机密信息爱护相关联； f) 机密信息的许可运用，及签署者运用信息的权力； g) 对涉及机密信息的活动的审核和监视权力； h) 未授权泄露或机密信息破坏的通知和报告过程； i) 关于协议终止时信息归档或销毁的条款； j) 违反协议后期望实行的措施。基于一个组织的平安要求，在保密性或不泄露协议中可能须要其他因素。保密性和不泄露协议应针对它适用的管辖范围（也见15.1.1）遵循全部适用的法律法规。保密性和不泄露协议的要求应进行周期性评审，当发生影响这些要求的变更时，也要进行评审。其它信息 保密性和不泄密协议爱护组

35、织信息，并告知签署者他们的职责，以授权、负责的方式爱护、运用和公开信息。对于一个组织来说，可能须要在不同环境中运用保密性或不泄密协议的不同格式。6.1.6 与政府部门的联系 限制措施 应保持与政府相关部门的适当联系。实施指南 组织应有规程指明什么时候应当与哪个部门（例如，执法部门、消防局、监管部门）联系，以及怀疑已识别的信息平安事务可能触犯了法律时，应如何刚好报告。受到来自互联网攻击的组织可能须要外部第三方（例如互联网服务供应商或电信运营商）实行措施以应对攻击源。其它信息 保持这样的联系可能是支持信息平安事务管理（第13.2节）或业务连续性和应急规划过程（第14章）的要求。与法规部门的联系有助

36、于预先知道组织必需遵循的法律法规方面预期的改变，并为这些改变做好打算。与其他部门的联系包括公共部门、紧急服务和健康平安部门，例如消防局（与14章的业务连续性有关）、电信供应商（与路由和可用性有关）、供水部门（与设备的冷却设施有关）。6.1.7 与特定利益集团的联系 限制措施 应保持与特定利益集团、其他平安专家组和专业协会的适当联系。实施指南 应考虑成为特定利益集团或平安专家组的成员，以便： a) 增进对最佳实践和最新相关平安信息的了解； b) 确保全面了解当前的信息平安环境； c) 尽早收到关于攻击和脆弱性的预警、建议和补丁； d) 获得信息平安专家的建议； e) 共享和交换关于新的技术、产品

37、、威逼或脆弱性的信息； f) 供应处理信息平安事务时适当的联络点（见13.2.1）。其它信息 建立信息共享协议来改进平安问题的协作和协调。这种协议应识别出爱护敏感信息的要求。6.1.8 信息平安的独立评审 限制措施 组织管理信息平安的方法及其实施（例如信息平安的限制目标、限制措施、策略、过程和程序）应按安排的时间间隔进行独立评审，当平安实施发生重大改变时，也要进行独立评审。实施指南 独立评审应由管理者启动。对于确保一个组织管理信息平安方法的持续的相宜性、充分性和有效性，这种独立评审是必需的。评审应包括评估平安方法改进的机会和变更的须要，包括方针和限制目标。这样的评审应由独立于被评审范围的人员执

38、行，例如内部审核部门、独立的管理人员或特地进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和阅历。独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。假如独立评审识别出组织管理信息平安的方法和实施不充分，或不符合信息平安方针文件（见5.1.1）中声明的信息平安的方向，管理者应考虑订正措施。其它信息 对于管理人员应定期评审（15.2.1）的范围也可以独立评审。评审方法包括会见管理者、检查记录或平安方针文件的评审。ISO 19011：2002，质量和/或环境管理体系审核指南，也供应实施独立评审的有帮助的指导信息，包括评审方案的建立和实施。15.3具体说明白与运行的信息系

39、统独立评审相关的限制和系统审核工具的运用。6.2 外部各方 目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的平安。组织的信息处理设施和信息资产的平安不应由于引入外部方的产品或服务而降低。任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以限制。若有与外部方一起工作的业务须要，它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务，或供应给外部方一个产品和服务，应进行风险评估，以确定涉及平安的方面和限制要求。在与外部方签订的协议中要商定和定义限制措施。6.2.1 与外部各方相关风险的识别 限制措施 应识别涉及外部各方业务过程中组织的信息和

40、信息处理设施的风险，并在允许访问前实施适当的限制措施。实施指南 当须要允许外部方访问组织的信息处理设施或信息时，应实施风险评估（见第4章）以识别特定限制措施的要求。关于外部方访问的风险的识别应考虑以下问题： a) 外部方须要访问的信息处理设施； b) 外部方对信息和信息处理设施的访问类型，例如： 1) 物理访问，例如进入办公室，计算机机房，档案室； 2) 逻辑访问，例如访问组织的数据库，信息系统； 3) 组织和外部方之间的网络连接，例如，固定连接、远程访问； 4) 现场访问还是非现场访问； c) 所涉及信息的价值和敏感性，及对业务运行的关键程度； d) 为爱护不希望被外部方访问到的信息所需的限

41、制措施； e) 与处理组织信息有关的外部方人员； f) 能够识别组织或人员如何被授权访问、如何进行授权验证，以及多长时间须要再确认； g) 外部方在存储、处理、传送、共享和交换信息过程中所运用的不同的方法和限制措施； h) 外部方须要时无法访问，外部方输入或接收不正确的或误导的信息的影响； i) 处理信息平安事务和潜在破坏的惯例和程序，和当发生信息平安事务时外部方持续访问的条款和条件； j) 应考虑与外部方有关的法律法规要求和其他合同责任； k) 这些支配对其他利益相关人的利益可能造成怎样的影响。除非已实施了适当的限制措施，才可允许外部方访问组织信息，可行时，应签订合同规定外部方连接或访问以及

42、工作支配的条款和条件，一般而言，与外部方合作引起的平安要求或内部限制措施应通过与外部方的协议反映出来（见6.2.2和6.2.3）。应确保外部方意识到他们的责任，并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。其它信息 平安管理不充分，可能使信息由于外部方介入而处于风险中。应确定和应用限制措施，以管理外部方对信息处理设施的访问。例如，假如对信息的保密性有特别的要求，就须要运用不泄漏协议。假如外包程度高，或涉及到几个外部方时，组织会面临与组织间的处理、管理和通信相关的风险。6.2.2和6.2.3提出的限制措施涵盖了对不同外部方的支配，例如，包括： a) 服务供应商（例如

43、互联网服务供应商）、网络供应商、电话服务、维护和支持服务； b) 受管理的平安服务； c) 顾客； d) 设施和运行的外包，例如，IT系统、数据收集服务、中心呼叫业务； e) 管理者，业务顾问和审核员； f) 开发者和供应商，例如软件产品和IT系统的开发者和供应商； g) 保洁、餐饮和其他外包支持服务； h) 临时人员、实习学生和其他临时短期支配。这些协议有助于削减与外部方相关的风险。6.2.2 处理与顾客有关的平安问题 限制措施 应在允许顾客访问组织信息或资产之前处理全部确定的平安要求。实施指南 要在允许顾客访问组织任何资产（依据访问的类型和范围，并不须要应用全部的条款）前解决平安问题，应考

44、虑下列条款： a) 资产爱护，包括： 1） 爱护组织资产（包括信息和软件）的程序，以及对已知脆弱性的管理； 2） 判定资产是否受到损害（例如丢失数据或修改数据）的程序； 3） 完整性； 4） 对拷贝和公开信息的限制； b) 拟供应的产品或服务的描述； c) 顾客访问的不同缘由、要求和利益； d) 访问限制策略，包括： 1） 允许的访问方法，唯一标识符的限制和运用，例如用户ID和口令； 2） 用户访问和权限的授权过程； 3） 没有明确授权的访问均被禁止的声明； 4） 撤消访问权或中断系统间连接的处理； e) 信息错误（例如个人信息的错误）、信息平安事务和平安违规的报告、通知和调查的支配； f)

45、每项可用服务的描述； g) 服务的目标级别和服务的不行接受级别； h) 监视和撤销与组织资产有关的任何活动的权利； i) 组织和顾客各自的义务； j) 相关法律责任和如何确保满意法律要求（例如，数据爱护法律）。假如协议涉及与其他国家顾客的合作，特殊要考虑到不同国家的法律体系（也见15.1）； k) 学问产权（IPRs）和版权转让（见15.1.2）以及任何合著作品的爱护（见6.1.5）； 其它信息 与顾客访问组织资产有关的平安要求，可能随所访问的信息处理设施和信息的不同而有明显差异。这些平安要求应在顾客协议中加以明确，包括全部已确定的风险和平安要求（见6.2.1）。与外部方的协议也可能涉及多方。

46、允许外部各方访问的协议应包括允许指派其他合格者，并规定他们访问和访问有关的条件。6.2.3 处理第三方协议中的平安问题 限制措施 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖全部相关的平安要求。实施指南 协议应确保在组织和第三方之间不存在误会。组织应使第三方的保证满意自己的须要。为满意识别的平安要求（见6.2.1），应考虑将下列条款包含在协议中： a) 信息平安方针； b) 确保资产爱护的限制措施，包括： 1) 爱护组织资产（包括信息、软件和硬件）的程序； 2) 全部须要的物理爱护限制措施和机制； 3) 确保防范恶意

47、软件（见10.4.1）的限制措施； 4) 判定资产是否受到损害（例如信息、软件和硬件的丢失或修改）的程序； 5) 确保在协议终止时或在合同执行期间双方同意的某一时刻对信息和资产的返还或销毁的限制措施； 6) 保密性、完整性、可用性和任何其他相关的资产属性（见2.1.5）； 7) 对拷贝和公开信息，以及保密性协议的运用的限制（见6.1.5）； c) 对用户和管理员在方法、程序和平安方面的培训； d) 确保用户意识到信息平安职责和问题； e) 若相宜，人员调动的规定； f) 关于硬件和软件安装和维护的职责； g) 一种清楚的报告结构和商定的报告格式； h) 一种清楚规定的变更管理过程； i) 访问

48、限制策略，包括： 1) 导致必要的第三方访问的不同缘由、要求和利益； 2) 允许的访问方法，唯一标识符（诸如用户ID和口令）的限制和运用； 3) 用户访问和权限的授权过程； 4) 维护被授权运用可用服务的个人清单以及他们与这种运用相关的权利和权限的要求； 5) 没有明确授权的全部访问都要禁止的声明； 6) 撤消访问权或中断系统间连接的处理； j) 报告、通知和调查信息平安事务和平安违规以及违反协议中所声明的要求的支配； k) 供应的每项产品和服务的描述，依据平安分类（见7.2.1）供应可获得信息的描述； l) 服务的目标级别和服务的不行接受级别； m) 可验证的性能准则的定义、监视和报告； n) 监视和撤销与组织资产有关的任何活动的权利； o) 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权利； p) 建立逐级解决问题的过程； q) 服务连续性要求，包括依据一个组织的业务优先级对可用性和牢靠性的测度； r) 协议各方的相关义务； s) 有关法律的责任和如何确保满意法律要求（例如，数据爱护法律）。假如该协议涉及与其他国家的组织的合作，特殊要考虑到不同国家的法律体系（也见15.1）； t) 学问产权（IPRs）和版权转让（见15.1.2）以及任何合著作品的爱护（见6.1.5）； u) 涉及具有