信息安全管理标准.pdf

《信息安全管理标准.pdf》由会员分享，可在线阅读，更多相关《信息安全管理标准.pdf（121页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理标准Worldwide StandardsHaving trouble locating an overseas standard?BSI has the solutionWITH BSI,YOUR SEARCH IS OVER BEFORE IT S EVEN BEGUNWorldwide Standards Direct is the fast,cost-effective standards servicContact us on:Information security management一Part 1:Code of practice for information s

2、ecurity management信息安全治理标准第一部分：信息安全治理惯例名目Worldwide Standards 2Having trouble locating an overseas standard?BSI has the solution2WITH BSI,YOUR SEARCH IS OVER BEFORE IT S EVEN BEGUN2第一部分：信息安全治理惯例 4序 18简 介 19什么是信息安全？19什么缘故需要信息安全 19如何制定安全需求20评估信息风险20安全操纵的选择 21信息安全的动身点22重要的成功因素 22开发你自己的指导方针 231.范畴 232.术语

3、与定义 232.1 信息安全 232.2 风险评估 232.3 风险治理 233.安全策略243.1 信息安全策略243.1.1 信息安全策略文件 243.1.2 复审及评估 244.安全组织254.1 息安全架构254.1.1 治理信息安全论坛 254.1.2 信息安全的和谐254.1.3 信息安全责任的分配264.1.4 息处理设备的授权步骤274.1.5 信息安全专家的意见274.1.6 组织之间的合作274.1.7 信息安全的独立复审284.2 第三方访咨询的安全284.2.1 确认第三方访咨询的风险 294.2.1.1 访咨询的种类294 2 1.2访咨询的缘故294.2.1.3现场

4、合同方294 2 2第三方合同的安全要求304.3外包服务 314.3.1 外包合同的安全要求315.资产分类与操纵325.1 资产的使用讲明 325.1.1 资产清单325.2 信息分类 335.2.1 分类的指南 335.2.2 信息标注及处理336.人员安全346.1 岗位定义及资源分配的安全346.1.1 岗位责任的安全346.1.2 人事过滤及策略356.1.3 保密协议356.1.4 雇佣条款366.2 用户培训 366.2.1 信息安全教育及培训366.3 安全事件及失常的反应措施366.3.1 报告安全事件376.3.2 报告安全的弱点376.3.3 报告系统的故障376.3.

5、4 吸取教训386.3.5 处罚程序387.物理与环境的安全 387.1 安全区域 387.1.1 物理安全地带387.1.2 物理入口的操纵397.1.3 爱护办公室、房间及设备 397.1.4 在安全地带工作407.1.5 隔离的交付及装载地点417.2 设备的安全417.2.1 设备的放置及爱护 427.2.2 电力的供应 427.2.3 电缆线路的安全437.2.4 设备的爱护 437.2.5 设备离开大厦的安全447.2.6 设备的安全清除或重用447.3 一样操纵 457.3.1 收拾桌子及清除屏幕的策略457.3.2 财物的搬迁 468.通讯与操作的治理 468.1 操作步骤及责

6、任 468.1.1 文档化操作程序468.1.2 操作变动的操纵478.1.3 安全事件治理程序 478.1.4 责任分开制 488.1.5 开发及正式使用设备的分开488.1.6 外部设备的治理498.2 系统规划及接收 508.2.1 储存量的打算508 2 2系统接收508.3 应付恶意软件518.3.1 操纵恶意软件518.4 备份及复原性常务治理 528.4.1 信息备份538.4.2 操作员日志 538 4 3对错误进行记录538.5 网络治理 548.5.1 网络操纵548.6 介质的处理与安全548.6.1 可移动运算机介质的治理 558.6.2 介质的清除 558.6.3 信

7、息处理的程序568.6.4 系统讲明文档的安全568.7 信息与软件的交换578.7.1 信息及软件交换协议578.7.2 传递中介质的安全 578.7.3 电子商务的安全588.7.4 电子邮件的安全598.7.4.1 安全风险 598.7.4.2电子邮件的策略 598.7.5 电子办公室系统的安全608.7.6 可公用的系统608.7.7 其它形式的信息交换619.访咨询操纵 629.1 访咨询操纵的业务需求 629.1.1 访咨询操纵策略629.1.1.1 策略及业务需求 629.1.1.2 访咨询操纵规定 639.2 用户访咨询的治理639 2 1 用户登记639.2.2 特权治理64

8、9.2.3 用户口令的治理659 2 4 用户访咨询权限的检查659.3 用户责任 659.3.1 口令的使用 669 3 2 无人看管的用户设备669.4 网络访咨询操纵 679.4.1 网络服务的使用策略679.4.2 强制式路径 679.4.3 外部连接的用户认证689.4.4 网点认证699.4.5 远程诊断端口的爱护699.4.6 网络的隔离 699.4.7 网络连接操纵709.4.8 网络路由的操纵709.4.9 网络服务的安全719.5 操作系统的访咨询操纵 719.5.1 自动认证终端719.5.2 终端的登录程序729 5 3 用户标识及认证729.5.4 口令治理系统739

9、.5.5 系统工具的使用749.5.6 为保证安全的人员配备强迫警钟 749.5.7 终端超时749.5.8 连接时刻的限制759.6 应用系统的访咨询操纵 759.6.1 信息访咨询的限制 759.6.2 敏锐系统的隔离769.7 系统访咨询和使用的监控769.7.1 事件记录769 7 2 监控系统的使用779.7.2.1风险的程序及区域779.722风险因素 779.723对事件进行日志记录和审查789.7.3 时钟的同步 789.8 移动操作及远程办公789.8.1 移动操作799.8.2 远程工作8010.系统开发与爱护8210.1 系统的安全要求8210.1.1 安全要求分析及规格

10、 8210.2 应用系统中的安全 8210.2.1 输入数据的核实8310.2.2 内部处理的操纵8310.2.2.1 有风险的地点8310.2.2.2 检查及操纵 831023消息认证841 0 2 4输出数据的核实8410.3 密 码 操 纵8510.3.1 密码操纵的使用策略 8510.3.2 加密 8510.3.3 数字签名8610.3.4 不可抵赖服务 8710.3.5 密钥治理8710.3.5.1 密钥的爱护 8710.3.5.2 标准，程序及方法 8710.4 系统文件的安全8810.4.1 运行软件的操纵891 0 4 2系统测试数据的爱护 8910.4.3 源程序库的访咨询操

11、纵8910.5 开发及支持程序的安全9010.5.1 改动操纵程序 901 0 5 2操作系统改动的技术检查911 0 5 3更换软件包的限制9110.5.4 隐藏通道及特洛伊代码9210.5.5 外包软件的开发9211.业务连续性治理9311.1.关于业务连续性治理9311.1.1 业务连续性治理的过程9311.1.2 业务连续性及阻碍的分析9411.1.3 撰写及实施连续性打算9411.1.4 业务连续性打算的框架9411.1.5 测试、爱护及重新评估业务连续性打算9511.1.5.1 测试该打算9511.1.5.2 爱护及重新评估该打算9612.遵循性 9712.1 是否遵守法律9712

12、.1.1 确定适用的法律9712.1.2 知识产权9712.1.2.1 版权 9712.1.2.2 软件版权 9712.1.3 保证机构的记录9812.1.4 数据爱护及个人信息的隐私 9912.1.5 防止信息处理设备被滥用9912.1.6 密码操纵的规定10012.1.7 证据的收集10012.1.7.1 证据的规则 10012.1.7.2 证据的适用性10112.1.7.3 证据的质量和完备性10112.2 核对安全策略及技术合格性10112.2.1 与安全策略一致10212.2.2 技术依从性的检查10212.3 系统审计的考虑10312.3.1 系统审计操纵 10312.3.2 对系

13、统审计工具的爱护103第二部分：信息安全治理系统的规范 1051.范畴 1052.术语与定义 1053.信息安全治理系统的要求1053.1 概 要 1053.2 建立一个治理架构1053.3 实 施 1053.4 文 档 1053.5 文档操纵 1063.6 记 录 1064.详细监控1074.1 安全策略 1074.1.1 信息安全策略 1074.1.1.1 信息安全策略文档1074.1.1.2 检查和评判1074.2 安全组织 1074.2.1 信息安全基础设施 1074.2.1.1 治理层信息安全论坛1074.2.1.2 信息安全的和谐 1074.2.1.3 信息安全职责的分配1074.

14、2.1.4 信息处理设施的授权过程1074.2.1.5 专家信息安全建议1084.2.1.6 各机构之间的协作1084.2.1.7 信息安全的独立检查1084.2.2 第三方访咨询的安全 1084.2.2.1 第三方访咨询的风险的识不1084.2 2 2 在第三方合同中的安全要求1084.2.3 外部采购1084.2.3.1 在外购合同中的安全要求1084.3 资产分类与操纵 1084.3.1 资产的可讲明性1084.3.1.1 资产的盘点1084.3.2 信息 分 类 1084.3.2.1 分类方针 1094.3.2.2 信息标签和处理 1094.4 人员安全 1094.4.1 工作定义和资

15、源中的安全 1094.4.1.1 工作责任的安全 109441.2职员选择和策略 1094.4.1.3 保密协议 1094.4.1.4 雇佣的条款和条件1094.4.2 用户培训1094.4.2.1 信息安全教育和培训1094.4.3 安全事故与故障的处理1094.4.3.1 报告突发安全事故1104.4.3.2 报告安全弱点1104.4.3 3报 告软件故障1104.4.3.4 从事故中吸取教训1104.4.3.5 纠正过程 1104.5 物理与环境的安全1104.5.1 安全地区1104.5.1.1 物理安全边界1104.5.1.2 物理接口操纵1104.5.1.3 爱护办公室、房间和设施

16、1104.5.1.4 在安全地区工作 1104.5.1.5 隔离的运输和装载地区1104.5.2 设备安全1104.5.2.1 设备放置地点的选择与爱护1114.5.2.2 电源供应 1114.5.2.3 电缆安全 1114.5.2.4 设备爱护 1114.5 2 5在机构外部使用设备时应注意的安全性1114.5.2.6 设备应该被安全地处理掉和再使用1114.5.3 一样操纵1114.5.3.1 清洁桌面与清洁屏幕策略1114.5.3.2 资产的删除1114.6 通讯与操作的治理1114.6.1 操作过程与职责1114.6.1.1 记录操作过程1114.6.1.2 针对操作变化的操纵1124

17、.6.1.3 事件治理程序1124.6.1.4 职责分离 1124.6.1.5 开发设施与操作设施的分离1124.6.1.6 外部设施治理1124.6.2 系统打算与验收1124.6.2.1 容量打算 1124.6.2.2 系统验收 1124.6.3 针对恶意软件的防护 1124.6.3.1 采取操纵来防范恶意软件1124.6.4 内务处理1124.6.4.1 信息备份 1134.6.4.2 操作员日志1134.6.4.3 出错日志 1134.6.5 网络治理1134.6.5.1 网络操纵 1134.6.6 介质处理和安全1134.6.6.1 运算机可移动介质的治理1134.6.6.2 介质处

18、理 1134.6.6.3 信息处理程序1134.6.6.4 系统文档的安全 1134.6.7 信息及软件的交换1134 6 7.1 信息 和软件的交流协议1134.6.7.2 传输过程中的介质安全 1144.6.73电 子商务安全1144.6.7.4 电子邮件安全1144.6.7.5 电子办公系统的安全1144.6.7.6 信息公布系统的安全1144.6.7.7其它方式的信息交换1144.7访咨询操纵1144.7.1访 咨询操纵的商业需求1144.7.1.1 访咨询操纵策略 1144.7.2 用户访咨询治理1144.7.2.1 用户注册 1144.7.2.2 特权治理 1154.7.2.3 用

19、户口令治理1154.7.2.4 用户访咨询权限审查1154.7.3 用户职责1154.7.3.1 口令的使用1154.7.3.2 易被忽略的用户设备1154.7.4 网络访咨询操纵1154.7.4.1 网络服务的使用策略1154.7.4.2 增强的路径1154.7.4.3 外部连接的用户认证1154.7.4.4 节点认证 1154.7.4.5 对远程诊断端口的爱护 1154.7.4.6 网络隔离 1154.7.4.7 网络连接操纵1164.7.4.8 网络路由操纵1164.7.4.9 网络服务的安全性1164.7.5 操作系统访咨询操纵 1164.7.5.1 自动终端认证1164.7.5.2

20、终端登录过程1164.7.5 3用 户标识和认证 1164.7.5.4 口令治理系统1164.7.5.5 系统工具的使用 1164.7.5.6 用警告信息爱护用户1164.7.5.7 终端超时 1164.7.5.8 连接时刻的限制 1174.7.6 应用系统的访咨询操纵1174.7.6.1 信息访咨询限制 1174.7.6.2 敏锐系统的隔离1174.7.7 监控对系统的访咨询和使用 1174.7.7.1 事件日志 1174.7.7.2 监控对系统的使用情形 1174.7.7.3 时钟同步 1174.7.8 移动运算与远程工作 1174.7.8.1 移动运算 1174.7.8.2 远程工作 1

21、174.8系统开发与爱护1184.8.1 系统的安全需求1184.8.1.1 安全需求分析与描述1184.8.2 应用系统的安全1184.8.2.1 对输入数据进行有效性确认1184.8.2.2 对内部处理的操纵1184.8.2.3 消息认证 1184.8.2.4 对输出数据进行有效性确认1184.8.3 密码操纵1184.8.3.1 密码操纵的使用策略1184.8.3.2 加密 1184.8.3.3 数字签名 1184.8.3.4 不可否认服务1184.8.3.5 密钥治理 1184.8.4 系统文件的安全性1194.8.4.1 对业务软件的操纵1194.8.4.2 对系统测试数据的爱护 1

22、194.8.4.3对程序源代码库的访咨询操纵 1194.8.5在软件开发与支持过程中的安全性 1194.8.5.1 变化操纵程序1194.8.5.2 针对操作系统变化的技术审查 1194.8.5.3 限制对软件包的修改1194.8.5.4 隐藏信道和特洛依木马代码1194.8.5.5 外包软件开发1194.9 业务连续性治理 1194.9.1 业务连续性治理的各个方面 1194.9.1.1 业务连续性治理的进程 1204.9.1.2 业务连续性与阻碍分析 1204.9.1.3 连续性打算的撰写与实施1204.9.1.4 业务连续性打算的框架 1204.9.1.5 测试、爱护与重新评估业务连续性

23、打算1204.10 遵循性1204.10.1 与法律要求的一致性1204.10.1.1 识不适用的立法1204.10.1.2 知 识 产 权1204.10.1.3 爱护机构的文档记录1204.10.1.4 数据爱护与个人信息隐私1204.10.1.5 防止信息处理设备的误用 1204.10.1.6 密码操纵制度1214.10.1.7 证 据 收 集1214.10.2 安全策略与技术遵循性的复审 1214.10.2.1 与安全策略的一致性1214.10.2.2 技术遵循性检查1214.10.3 系统审计的考虑 1214.10.3.1 系统审计操纵1214.10.3.2 系统审计工具的爱护121序

24、BS7799的那个部分是在BSI/DISC委员会BDD/2-信息安全治理部监督下完成的，用来代替BS7799:1995.BS7799分两部分公布：-第一部分：信息安全治理惯例-第二部分：信息安全治理规范简介什么是信息安全？信息是一家机构的资产，与其它资产一样，应受到爱护。信息安全的作用是爱护信息不受大范畴威逼所干扰，使机构业务能够畅顺，减少缺失及提供最大的投资回报和商机。信息能够有多种存在方式，能够写在纸上、储存在电子文档里，也能够用邮递或电子手段发送，能够在电影上放映或者讲话中提到。不管信息以何种方式表示、共享和储备，都应当适当地爱护起来。因此信息安全的特点是保留信息的如下特性：保密性(co

25、nfidentiality)：保证信息只让合法用户访咨询；完整性(integrity)：保证信息及其处理方法的准确性(accuracy)、完全性(completeness)；可用性(availability)：保证合法用户在需要时能够访咨询到信息及有关资产。实现信息安全要有一套合适的操纵(controls),如策略(policies)、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)o这些操纵需要被建立以保证机构的安全目标能够最终实现。什么缘故需要信息安全信息及其支持进程

26、、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威逼，如运算机辅助的诈骗、间谍、破坏、火灾及水灾等。缺失的来源如运算机病毒、运算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。机构对信息系统及服务的依靠意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访咨询操纵的难度。分布式运算的趋势差不多削弱了集中治理的成效。专门多信息系统没有设计得专门安全。利用技术手段获得的安全是受限制的，因而还应该得到相应治理和程序的支持。选择使用那些安全操纵需要事前小心周密打算和对细节

27、的关注。信息安全治理至少需要机构全体职员的参与，同时也应让供应商、客户或股东参与，如果有必要，能够向外界寻求专家的建议。对信息安全的操纵如果融合到需求分析和系统设计时期，则成效会更好，成本也更廉价。如何制定安全需求识不出一个机构的安全需求是专门重要的。安全需求有三个要紧来源。第一个来源是对机构面临的风险的评估。通过评估风险后，便能够找出对机构资产安全的威逼，对漏洞及其显现的可能性以及造成多大缺失有个估量。第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。第三个来源是机构为业务正常运作所专门制定的原则、目标及信息处理的规定。评估安全风险安全需求通过系统地评

28、估安全风险而得到确认。实现安全操纵的费用应该与由于安全失败所导致的业务缺失之间取得平稳。风险评估能够在整个机构或机构的一部分、单个信息系统、某个系统部件或服务上实行，只要是可行的、现实的和有益的就能够了。风险评估是系统地考虑下列内容的结果：a）安全措施失效后所造成的业务缺失，要考虑到信息和其它资产失去保密性、完整性和可用性后的潜在后果；b）最常见的威逼、漏洞以及最近实施的安全操纵失败的现实可能性。评估结果会有助于指导和确定合适的治理行动和治理信息安全风险的优先次序，以及实施选择的来抵御这些风险的合适的安全操纵。风险评估及安全操纵的选择的进程可能要重复几次，以便覆盖机构不同部门或个不信息系统。重

29、要的是要定期复审安全风险和实施的安全操纵，以便：a）考虑业务需求和优先级的变化；b）考虑新显现的威逼与漏洞；c）确认安全操纵仍旧有效同时合适。复审应该在不同深度上被执行，这依靠于往常的复审结果和治理层预备同意的风险的变化水平。风险评估一样是第一从高层开始，目的是提升位于高风险区的资源的优先级，然后在一个更详细的层次上来讲明特定的风险。选择操纵一旦找出了安全需求，下一步应是选择及实施安全操纵来保证把风险降低到可同意的水平。安全操纵能够从那个标准或其它有关标准选择，也能够自己设计满足特定要求的操纵。有专门多治理风险的方法，该文档只提供一样方法。然而，应了解到一些安全操纵并不适用于每个信息系统或环境

30、，同时并不是对所有的机构都可行。安全操纵的选择应该基于实施该安全操纵的费用和由此减少的有关风险，以及发生安全事件后所造成的缺失，也要考虑非金钞票上的缺失，如公司声誉的降低等。这份文档所提供的一些安全操纵能够作为信息安全治理的指导原则，同时对大部分机构差不多上适用的。信息安全的动身点有一些安全操纵能够被看作指导性原则，能够为实施信息安全提供一个好的动身点。这些操纵要么是基于法律的规定，要么被认为是信息安全的常用的最佳实践和体会。从立法的观点动身，机构必不可少的安全操纵有：知识产权（参看1 2.1.2）；对机构文档记录的爱护（参看1 2.1.3）；数据爱护及个人信息的隐私（参看1 2.1.4）。被

31、认为是信息安全的最佳实践的操纵包括：信息安全策略文档（参看3.1.1）；信息安全责任的分配（参看4.1.3）；信息安全的教育与培训（参看6.2.1）；报告安全事件（参看631）；业务连续性治理（参看1 1.1）0这些安全操纵在大部分机构及环境都适用。尽管那个地点所提到的安全操纵都专门重要，但选出合适的安全操纵应考虑机构要面对的风险。因此，尽管上面所提出的方法是一个专门好的动身点，但不能代替在风险评估基础上选择出的合适的安全操纵。关键的成功因素体会表明：以下的因素对在一个机构内成功实施信息安全通常是关键的：反映业务目标的安全策略、安全目标和活动；与机构的文化保持一致性的安全实施方法；来自治理层的

32、可见的支持与承诺；对安全需求、安全评估及安全治理有良好的明白得；关于安全的对所有经理及职员的有效宣传；向所有职员和合作伙伴公布关于信息安全策略和标准的指南；提供合适的培训与教育；一套全面而均衡的用来评估信息安全治理的性能和有关改进安全治理的反馈建议的测量系统。开发你自己的指导方针那个安全实践惯例能够作为开发特定机构安全指南的动身点。并不是该指南的所有方面和操纵差不多上适用的。进一步讲，该指南不包含的操纵也可能成为必须的。当这种情形发生时，保留交叉引用是有所助益的，这有利于审计人员和业务伙伴进行一致性检查。1.范畴BS7799的这部分内容为信息安全治理提供了举荐建议，那些负责起动、实现或爱护机构

33、安全的人员能够使用这些建议。目的是为开发安全标准和有效的安全治理惯例提供一个公共基础，并提供在机构之间进行交易的信心。2.术语与定义该文档有下列术语和定义：2.1 信息安全完整性定义为爱护信息和处理方法的准确性和完备性。可用性定义为保证被授权用户在需要时能够访咨询到信息和有关资产。2.2 风险评估对信息和信息处理设施所面临的威逼及其阻碍以及信息系统脆弱性及其发生的可能性的评估。2.3 风险治理以能够同意的代价识不、操纵、最小化或者排除阻碍信息系统安全的风险的程序。3.安全策略3.1 信息安全策略目的：提供信息安全的治理方向及支持。治理层应该指定清晰的策略方向及大力支持信息安全，并在全机构推行及

34、爱护信息安全策略。3.1.1 信息安全策略文件一个策略文件应由治理层批准、印制及向职员公布。策略应声明治理层的承诺，及机构治理信息安全的方法。策略至少要包括以下内容：a）信息安全的定义、整体目标和范畴以及安全对信息共享的重要性（参看简介）；b）对治理层的意图的声明及支持，以及信息安全的原则；c）安全策略、原则、标准的简介，也包括对机构有专门重要性的法律的要求，例如：1）要符合法律及合同要求；2）安全教育的要求；3）防止及检测病毒及其它恶意代码；4）业务连续性治理；5）违反安全策略的后果。d）信息安全治理的一样和特定责任的定义，包括报告安全事件；e）支持策略的文档的参考讲明，例如专门信息系统或安

35、全规定用户应遵守的更详尽的安全策略及程序。该策略应在全机构公布，让有关人员访咨询和明白得透彻。3.1.2 复审及评估策略应有一个拥有者，负责按复审程序爱护及复审该策略。该复审程序应确保在阻碍原风险评估基础的任何改动发生后会赶忙进行复审，例如发生重要的安全事件、显现新漏洞、机构或技术架构的改变。还应该定期安排审查以下内容：a）系统所记录的安全事件的本质、次数及阻碍所表明的策略的有效性;b）操纵对业务效率的阻碍和成本；c）技术改变的成效。4.安全组织4.1 信息安全架构目的：治理机构内的信息安全。应建立一个机构治理架构，在全机构内推行及治理信息的安全。应由治理层牵头、组织治理论坛来讨论及批准信息安

36、全策略、指派安全角式及和谐全机构安全的实施。如有需要，应在机构内建立一个信息安全资源库。应开始与不处的安全专家保持联系，最终最新的行业动态、留意业内标准及评估方法，以及发生安全事件时提供适当的联系方法。应从多方面考虑信息安全，例如，调动部门经理、用户、治理员、应用系统设计者、审计及安全职员及保险和风险治理专家共同制定策略。4.1.1 治理信息安全论坛信息安全是所有治理层成员所共有的责任。一个治理论坛应确保有明确的安全目标，及治理层的大力支持。论坛的目是在治理层的承诺及足够资源的情形下，在全机构内推广安全。论坛也能够是治理层的一部分，一样要承担的工作有：检查及批准信息安全策略及整体责任监控对暴露

37、于严峻威逼面前的信息资产所作的重大改动检查及监控安全事件审批极大提升信息安全的重要举措应有一个经理负责所有有关安全的活动。4.1.2 信息安全的和谐在大的机构中，有关部门的治理人员应组成跨过职能部门的安全论坛,来和谐信息安全治理的实施，论坛一样会是：统一指派机构内信息安全的角色和责任统一制定信息安全的方法和步骤，例如风险评估、安全分类系统等统一及支持机构的信息安全行动，例如举办安全意识培训确保安全是信息打算的一部分有新系统或服务时，评估个不信息安全操纵的准确性，以及和谐信息安全操纵的实施检查信息安全事件在全机构内提升业务方面对信息安全的支持4.1.3信息安全责任的分配应明确定义爱护个人资产及执

38、行某指定安全程序的责任。信息安全策略（参见条款3）应提供如何分配机构安全角式及责任的一样指引。如有需要，应附加某个不网址、系统或服务更详细的指引，也要明确确定物理资产、信息资产及安全进程的本地责任，例如业务连续性打算。专门多机构的信息安全经理负责整个安全和操纵的开发及实施，然而,查找及实施操纵的责任，则是个不经理负责。一个普遍的做法是定出每种信息安全资产的拥有者，然后这角色负责这资产的日常安全。信息资产的拥有者应把安全责任委派到个不经理或服务提供者。尽管如此，拥有者最终负责资产的安全，并能确定任何委派的责任会被正确舍弃。应明确讲明每位经理所负的责任范畴，专门是：明确定义每个系统所关联的资产及安

39、全程序统一那经理负责那资产或安全程序，并讲明责任的详情明确定义及讲明授权级不4.1.4 信息处理设备的授权步骤应为新的信息处理设备建立治理授权步骤，要考虑的有：新设备要有适当的用户治理批准手续，授权设备的使用及目的，也要有负责爱护本地信息系统安全环境的经理的批准，以保证按有关安全策略及要求执行。在任何需要的情形下，检查清晰软、硬件是否与其它系统部件兼容。注意：有些连接需要批准使用个人信息处理设备处理业务信息的任何授权操纵在工作地点使用个人信息处理设备会导致新漏洞的显现，因此应通过评估及授权这些操纵对互联环境专门重要。4.1.5 信息安全专家的意见专门多机构可能都需要信息安全专家的意见，最好是内

40、部有如此体会丰富的安全专家，但不是每个机构都想要专家的意见。如果是如此，建议确定一位职员负责和谐机构内部的安全情况，及提供安全意见。机构也应找外部的专家，为自己没有体会的安全情况提供意见。信息安全顾咨询应负责提供信息安全方方面面的意见，他们对安全威逼的评估及对操纵的意见会确定机构信息安全的有效性。为了发挥最大效益，应让顾咨询能够直截了当与整个机构的所有治理层接触。在怀疑发生安全事件时，应在第一时刻把信息安全顾咨询请来，以便第一手明白事件的真相，提供最专业的意见。尽管大部分内部安全调查在治理层的操纵下正常执行，但依旧需要信息安全顾咨询的意见、领导及进行调查。4.1.6 组织之间的合作应与执法机构

41、、立法机关、信息服务提供者及电信运行商保持联系，以保证安全事件发生后，赶忙采取行动及取得有关意见。同样理由，也考虑与安全组及行业论坛的成员保持联系。有关安全的信息的交换应被禁止，以保证机构的隐秘信息可不能传到非法人员。4.1.7信息安全的独立复审信息安全策略文档（参看3.1.1）讲明信息安全的策略及责任，策略的实施应受到独立的检查，以保证机构的惯例如实反映策略，同时是可行的及有效的。如此的检查能够由内部审计部门、某经理或第三方有关这方面的机构去执行，因为他们有方面的技术及体会。4.2第三方访咨询的安全目的：爱护被第三方访咨询的机构信息处理设备及信息资产的安全。应操纵来自第三方的对机构信息处理设

42、备的访咨询。如有业务需要让第三方访咨询，应先评估风险以确定安全内容及对操纵的需求。应该统一要执行的操纵并与第三方定义如此的合同。第三方访咨询也包括其他参与者。准许第三方访咨询的合同应包括其它能够访咨询的参与人员的名称及条件。那个标准应该被用作订立如此的合同的基础，也作为考虑需要外包信息处理时的基础。4.2.1 确认第三方访咨询的风险4.2.1.1 访咨询的种类给于第三方访咨询的访咨询类型是专门专门重要的，例如通过网络连接访咨询的风险与物理访咨询的风险不同。要考虑的访咨询类型有：物理访咨询，例如进入办公室、运算机房、文件柜等；逻辑访咨询，例如存取某机构的数据库、信息系统等。4.2.1.2 访咨询

43、的缘故让第三方访咨询能够有专门多缘故，举例，第三方为机构提供服务，但不能现场找到，只能通过物理及逻辑访咨询，例如硬件及软件技术支持人员，需要访咨询到系统级不或应用系统的最底层贸易伙伴或合资伙伴，需要交换信息、访咨询信息系统或共享数据库没有足够爱护的安全治理，让第三方访咨询会把信息处于危险的地步。但凡有业务需求需要连接到第三方的地点，应先进行风险评估，确定要操纵的任何要求。要考虑的有访咨询方法、信息的价值、第三方所采纳的操纵，以及如此的访咨询对机构信息安全的阻碍。4.2.1.3 现场合同方现场的第三方通过合同所定的一段时刻后，也会减弱机构的安全，如此的第三方的例子有：硬件及软件爱护及技术支持人员

44、清洁服务、膳食服务、保卫服务及其它外包的支持服务学生临时短工及其它短期职务的人员顾咨询要清晰了解需要那些操纵来治理第三方对信息处理设备的访咨询。通常，所有因第三方访咨询而引致的访咨询或内部操纵，应反映在第三方的合同中（参看422）举例，如果有专门需要要保密信息，应考虑签定 保密协议（参看6.1.3）不应提供第三方访咨询信息及信息处理设备的能力，除非差不多实施适当的操纵及签定有关合同并定出连接或访咨询的条款。422第三方合同的安全要求涉及第三方访咨询机构信息处理设备的安排，应该基于正式签定的合同，包括或参考所有符合机构安全策略及标准的安全要求。合同应没有机构和第三方之间模糊的地点。机构应满足供应

45、商的赔偿。合同条款能够考虑以下：信息安全的总策略；资产的爱护，包括：爱护机构资产的程序，包括信息及软件；确定是否发生破坏资产安全事件的程序，例如数据的丢失或更换；确保在合同期满或有效期间归还或毁灭信息及资产；完整性及可用性；限制拷贝及公布信息；每种可供使用的服务的讲明；服务的预期目标及不可同意的服务；适时调动职员的服务；各方对协议所负的责任；法律责任，例如：数据爱护的法律，专门是合同涉及与其它国家的机构合作时所牵涉的不同的国家法律系统（参看1 2.1）；知识产权及版权（参看1 2.1.2）,以及任何合作成果的爱护（参见6.1.3）；访咨询操纵协定，包括：1.可容许的访咨询方法，以及唯独标识符如

46、用户ID及口令的使用及治理操纵；2.用户访咨询及权限的授权过程；3.储存一份合法使用可用服务的个人的名单，以及他们的使用权限；可核查的性能指标的定义、监控及报告方法；用于监控、注销用户活动的权限；审计合同责任的权限，或让第三方执行如此的审计；越级申请解决咨询题的手续；应急安排；关于硬件及软件安装及爱护的责任；一个专门清晰的报告架构及统一的报告格式；清晰明白的更换治理程序；任何需要的物理爱护操纵以及确保按照操纵治理的机制；对用户及治理员的在方法、程序及安全方面的培训；应付恶意软件（参看8.3）的操纵；报告、通知及调查安全事件及安全违规的安排；第三方和转包商之间的关系。4.3外包服务目的：当信息处

47、理外包到另一家机构时爱护信息的安全。外包的安排中应该在合同中讲明风险、安全操纵、信息系统的处理过程、网络、桌面环境。4.3.1 外包合同的安全要求合同应包括机构把全部或部分信息系统、网络及/或桌面环境外包的安全要求。举例来讲，合同应包括：合同的要求如何被满足，例如：数据爱护的法律；有什么安全来保证所有参于外包的合同方，包括转包商，明白他们的安全责任；如何爱护及测试机构业务资产的完整性及保密性；有什么物理及逻辑操纵能够用，来限制只让合法用户访咨询机构的敏锐业务信息；当发生灾难时如何爱护服务还能够使用;有什么级不的物理安全来爱护外包设备;审计的权限。应考虑4 2 2所列的，作为合同的条款。合同应让

48、安全要求及程序能够在合同双方所用意的安全治理打算内连续补充。尽管外包合同会带来一些复杂的安全咨询题，但那个地点所包括的操纵能够作为起点，统一安全治理打算的结构及内容。5.资产分类与操纵5.1 资产的使用讲明目的：坚持适当的爱护措施爱护机构的资产。所有重要的信息资产应有负责人，并有选定的所有者。资产的责任制保证实施了适当的爱护措施。所有重要的资产都要确定所有者，并制订爱护适当操纵的责任。实施操纵的责任能够委派。责任应只由所选定的拥有者负责。5.1.1 资产清单资产清单关心了解已实施有效的爱护措施，也能够是为其它业务目的而实施，例如卫生及安全、保险或财务（资产治理）的缘故。运算资产预备清单是风险治

49、理的一项重要事务。机构需要确定自己的资产、有多大价值及资产的重要性。机构按这些信息便能够按资产的价值及重要性提供那样的爱护措施。每一个信息系统都要有如此的一份清单，列明重要的资产。应清晰确定每种资产及拥有权和安全分类（参看5.2）、当前位置（当丢失或损坏后要复原时，是专门重要明白在哪儿）。与信息系统有关的资产的例子有：信息资产：数据库及数据文件、系统讲明文档、用户手册、培训手册、操作或支持程序、应急打算、后备安排、归档信息）；软件资产：应用软件、系统软件、开发及系统工具；物理资产：运算机设备（处理器、显示器、笔记本、调制解调器），通讯 设 备（路由器、P A B X、传真机、应答机）、磁带磁盘

50、、其它技术设备（电源、空调）、家具、房子；服务：运算及通讯服务、一样公用事务，例如、供热、灯光、电、空调等。5.2信息分类目的：保证信息资产有适当程度的爱护。信息应被分类来确认爱护的需求、优先及程度。信息有不同程度的敏锐度及重要性。有些需要额外的爱护或专门处理。因此，应使用信息分类系统来定义适当的爱护级不，并看看是否需要专门处理。5.2.1 分类的指南要考虑的有类不的数目，以及分类后有什么好处。过于复杂的方法日后可能变得繁琐、使用不经济或显得不实际。应小心如何讲明其它机构的文件上的分类标签，有可能同一种或类似的标签有不同的定义。定义某信息的每个项目的责任，例如文件、数据记录、数据文件或磁盘，以