2023信息安全技术 信息安全控制.docx

《2023信息安全技术 信息安全控制.docx》由会员分享，可在线阅读，更多相关《2023信息安全技术 信息安全控制.docx（134页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息安全控制目次前言V引言VI1 范围12 规范性引用文件13 术语、定义和缩略语1术语和定义1缩略语54 文件结构6章条设置6主题和属性7控制的设计75 组织控制8信息安全策略8信息安全角色和责任9职责分离10管理责任11与职能机构的联系12与特定相关方的联系13威胁情报13项目管理中的信息安全15信息及其他相关资产的清单16信息及其他相关资产的可接受使用17资产归还18信息分级19信息标记20信息传输21访问控制23身份管理24鉴别信息25访问权27供应商关系中的信息安全28在供应商协议中强调信息安全30管理信息通信技术供应链中的信息安全31供应商服务的监视、评审和变更管理33

2、云服务使用的信息安全34信息安全事件管理规划和准备36信息安全事态的评估和决策37信息安全事件的响应38从信息安全事件中学习38I证据收集39中断期间的信息安全40业务连续性的信息通信技术就绪41法律、法规、规章和合同要求42知识产权43记录的保护44隐私和个人可识别信息保护45信息安全的独立评审46符合信息安全的策略、规则和标准47文件化的操作规程486 人员控制49审查49任用条款和条件50信息安全意识、教育和培训51违规处理过程52任用终止或变更后的责任53保密或不泄露协议54远程工作54信息安全事态的报告567 物理控制57物理安全边界57物理入口58办公室、房间和设施的安全保护59物

3、理安全监视60物理和环境威胁防范61在安全区域工作62清理桌面和屏幕62设备安置和保护63组织场所外的资产安全64存储媒体65支持性设施66布缆安全67设备维护68设备的安全处置或重复使用688 技术控制69用户终端设备69特许访问权71信息访问限制72源代码的访问74安全鉴别75容量管理76恶意软件防范77技术脆弱性管理78配置管理81II信息删除82数据脱敏83数据防泄露85信息备份86信息处理设施的冗余87日志88监视活动90时钟同步91特权实用程序的使用92运行系统软件的安装93网络安全94网络服务的安全95网络隔离96网页过滤97密码技术的使用97安全开发生存周期99应用程序安全要求

4、100安全体系架构和工程原则102安全编码103开发和验收中的安全测试105外包开发106开发、测试和生产环境的隔离107变更管理108测试信息109在审计测试中保护信息系统110附录 A（资料性）属性的使用112A.1 概述112A.2 组织视图121附录 B（资料性）本文件与 GB/T 220812016 的对应关系122参考文献130III信息安全技术信息安全控制1 范围本文件提供了一套通用信息安全控制参考集，包括实施指南。本文件适用于：a) 组织基于 GB/T 22080 实施信息安全管理体系（ISMS）；b) 组织基于国际公认最佳实践实施信息安全控制；c) 组织编制其自身的信息安全管

5、理指南。2 规范性引用文件本文件没有规范性引用文件。3 术语、定义和缩略语术语和定义下列术语和定义适用于本文件。3.1.1访问控制access control确保对资产（3.1.2）的物理和逻辑访问是基于业务和信息安全要求进行授权和限制的手段。3.1.2资产asset对组织有价值的任何事物。注： 在信息安全的语境下，可分为两类资产。主要资产： 信息； 业务过程（3.1.27）和活动。所有类型的支撑性资产（主要资产所依赖的资产），例如： 硬件； 软件； 网络； 人员（3.1.20）； 场所； 组织结构。3.1.3攻击attack未经授权企图销毁、更改、禁用、访问资产（3.1.2）的行为（无论成功

6、或失败），或者企图泄露、窃取或未经授权使用资产的任何行为。13.1.4鉴别authentication确保实体所声称其特征是正确的一种措施。3.1.5真实性authenticity一个实体（3.1.11）是其所声称实体的性质。3.1.6保管链chain of custody可证明的对材料从一个时间点到另一个时间点上的持有、移动、处理和定位。注： 材料包括GB/T 22081语境下的信息及其他相关资产（3.1.2）。来源：ISO/IEC 27050-1:2019，3.1，有修改：添加注3.1.7保密信息confidential information不向未经授权的个人、实体（3.1.11）或过程

7、（3.1.27）提供或披露的信息。3.1.8控制control保持和/或改变风险的措施。注1：控制包括但不限于保持和/或改变风险的任何过程（3.1.27）、方针（3.1.24）、设备、实践或其他条件和/或行动。注2：控制并非总能取得预期的改变效果。来源：GB/T 243532022，3.8，有修改3.1.9中断disruption在按照组织的目标进行产品和服务的预期交付时导致出现计划外的负面偏差的事件，无论是预期的还是未预期的。来源：GB/T 30146XXXX，3.103.1.10终端设备endpoint device联网的信息通信技术（ICT）硬件设备。注： 终端设备包括台式电脑、笔记本电

8、脑、智能手机、平板电脑、瘦客户端、打印机或其他包括智能仪表和物联网（IoT） 设备的专用硬件等。3.1.11实体entity明显确实存在并与某一领域运行目的相关的事物。注： 实体可能是物理的或逻辑的。示例：个人、组织、设备、事物类组、电信服务用户、SIM 卡、护照、网卡、软件应用程序、服务或网站。来源：ISO/IEC 24760-1:2019, 3.1.13.1.12信息处理设施information processing facility任何信息处理系统、服务或基础设施，或者安置其的物理场所。来源：GB/T 29246XXXX，3.2723.1.13信息安全违规information sec

9、urity breach信息安全性的受损，导致传输、存储或以其他方式处理的受保护信息遭到意外破坏、丢失、篡改、泄露或非授权访问等。3.1.14信息安全事态information security event表明一次可能的信息安全违规（3.1.13）或某些控制（3.1.8）失效的发生。来源：GB/T 20985.12017，3.33.1.15信息安全事件information security incident与可能危害组织资产（3.1.2）或损害其运行相关的、单个或多个被识别的信息安全事态（3.1.14）。来源：GB/T 20985.12017，3.43.1.16信息安全事件管理informa

10、tion security incident management采用一致和有效方法处理信息安全事件(3.1.15)的行为。来源：GB/T 20985.12017，3.53.1.17信息系统information system应用程序、服务、信息技术资产或其他信息处理组件的组合。来源：GB/T 29246XXXX，3.353.1.18相关方interested party可能对一项决策或活动产生影响，或被其影响，或自认为受到其影响的个人或组织。来源：GB/T 29246XXXX，3.373.1.19抗抵赖性non-repudiation证明所声称事态或行动的发生及其起源实体（3.1.11）的能

11、力。来源：GB/T 29246XXXX，3.483.1.20工作人员personnel在组织指导下开展工作的人。注： 工作人员的概念包括组织的成员，诸如治理层、最高管理层、员工、临时工、合同工和志愿者。3.1.21个人可识别信息personally identifiable information；PII能建立信息和该信息有关的自然人的链接，或者能直接或间接链接到自然人的任何信息。注： 定义中的“自然人”是指PII主体（3.1.22）。确定PII主体是否可识别，宜考虑建立PII集与自然人联系的所有方式， 这些方式可以被持有数据的隐私利益相关方或其他方合理利用。来源：ISO/IEC 29100:

12、2011/Amd.1:2018，2.93.1.22PII 主体PII principal涉及个人可识别信息（PII）（3.1.21）的自然人。注： 根据管辖区域和特定的数据保护和隐私法规，也可使用“数据主体”代替术语“PII主体”。来源：ISO/IEC 29100:2011，2.1133.1.23PII 处理者PII processor代表并根据PII（3.1.21）控制者指示处理个人可识别信息（PII）的隐私利益相关者。来源：ISO/IEC 29100:2011，2.123.1.24方针policy由其最高管理层正式表达的组织的意图和方向。来源：GB/T 29246XXXX，3.533.1.

13、25隐私影响评估privacy impact assessment；PIA在组织更广泛的风险管理框架内，识别、分析、评价、咨询、沟通和策划处置与个人可识别信息（PII）（3.1.21）处理相关的潜在隐私影响的整体过程（3.1.27）。来源：ISO/IEC 29134:2017，3.7，有修改：删除注3.1.26规程procedure执行某项活动或某个过程（3.1.27）的指定方法。来源：ISO 30000:2009，3.123.1.27过程process利用输入实现预期结果的相互关联或相互作用的一组活动。来源：GB/T 190002016，3.4.1，有修改：删除注3.1.28记录record

14、组织或个人为履行法律义务或进行业务交易而创建、接收和保持的作为证据和资产（3.1.2）的信息。注： 本文件中，法律义务包括所有法律、法规、监管和合同要求。来源：ISO 15489-1：2016，3.14，有修改：增加注3.1.29恢复点目标 recovery point objective；RPO 中断（3.1.9）发生后数据得以恢复的时间点。来源：ISO/IEC 27031:2011，3.12，有修改3.1.30恢复时间目标recovery time objective；RTO中断（3.1.9）发生后，恢复最低限度的服务和/或产品以及支持系统、应用程序或功能的时间段。来源：ISO/IEC 2

15、7031:2011，3.13，有修改3.1.31可靠性reliability与预期行为和结果一致的性质。 来源：GB/T 29246XXXX，3.553.1.32规则rule组织所接受的，表明其期望要做什么、允许什么或禁止什么的原则或指令。注： 可在特定主题策略（3.1.35）以及其他类型文档中正式表述规则。43.1.33敏感信息sensitive information一旦不可用、未经授权访问、篡改、泄露，可能对个人、组织、国家安全或公共安全带来潜在不利影响而需保护的信息。3.1.34威胁threat可能对系统或组织造成危害的不希望事件的潜在因素。来源：GB/T 29246XXXX，3.74

16、3.1.35特定主题策略topic-specific policy适当层级管理者正式提出的对某一特定主题的意图和指导。注1：特定主题策略能正式表达规则（3.1.32）或组织标准。注2：一些组织会为特定主题策略使用其他术语。注3：本文件所提及的特定主题策略与信息安全有关。示例：访问控制（3.1.1）的特定主题策略，清理桌面和屏幕的特定主题策略。3.1.36用户user有权访问组织信息系统（3.1.17）的相关方（3.1.18）。示例：工作人员（3.1.20）、客户、供应商。3.1.37用户终端设备user endpoint device供用户用于访问信息处理服务的终端设备（3.1.10）。注：

17、用户终端设备可以指台式电脑、笔记本电脑、智能手机、平板电脑、瘦客户端等。3.1.38脆弱性vulnerability可能被一个或多个威胁（3.1.34）利用的资产（3.1.2）或控制（3.1.8）的弱点。来源：GB/T 29246XXXX，3.77缩略语下列缩略语适用于本文件。ABAC：基于属性的访问控制（attribute-based access control） ACL：访问控制列表（access control list）BIA：业务影响分析（business impact analysis） BYOD：自携设备（bring your own device）CAPTCHA：验证码（co

18、mpletely automated public turing test to tell computers and humans apart） CPU：中央处理器（central processing unit）DAC：自主访问控制（discretionary access control） DNS：域名系统（domain name system）GNSS：全球导航卫星系统（global navigation satellite system） IAM：身份与访问管理（identity and access management）ICT：信息通信技术（information and com

19、munication technology） ID：标识符（identifier）IDE：集成开发环境（integrated development environment）5IDS：入侵检测系统（intrusion detection system） IoT：物联网（internet of things）IP：互联网协议（internet protocol）IPS：入侵防御系统（intrusion prevention system） IT：信息技术（information technology）ISMS：信息安全管理体系（information security management sy

20、stem） MAC：强制访问控制（mandatory access control）NTP：网络时间协议（network time protocol） PIA：隐私影响评估（privacy impact assessment）PII：个人可识别信息（personally identifiable information） PIN：个人识别码（personal identification number）PKI：公钥基础设施（public key infrastructure） PTP：高精度时间同步协议（precision time protocol）RBAC：基于角色的访问控制（role-b

21、ased access control） RPO：恢复点目标（recovery point objective）RTO：恢复时间目标（recovery time objective）SAST：静态应用安全测试（static application security testing） SD：安全数字（secure digital）SDN：软件定义网络（software-defined networking）SD-WAN：软件定义广域网络（software-defined wide area networking） SIEM：安全信息和事件管理（security information and e

22、vent management） SMS：短信服务（short message service）SQL：结构化查询语言（structured query language） SSO：单点登录（single sign on）SWID：软件识别（software identification）UEBA：用户和实体行为分析（user and entity behaviour analytics） UPS：不间断电源（uninterruptible power supply）URL：统一资源定位符（uniform resource locator） USB：通用串行总线（universal seria

23、l bus） VM：虚拟机（virtual machine）VPN：虚拟专用网（virtual private network） WLAN：无线局域网（wireless local area network）4 文件结构章条设置本文件结构如下：a) 组织控制（第 5 章）；b) 人员控制（第 6 章）；c) 物理控制（第 7 章）；d) 技术控制（第 8 章）。本文件含有2个资料性附录：附录 A 属性的使用；6附录 B 本文件与 GB/T220812016 的对应关系。附录A解释了组织如何使用属性（见4.2）创建自己的视图，可以使用基于本文件所定义的控制属性或组织自行创建的控制属性。附录B展示

24、了本文件与GB/T 220812016版本中各项控制的对应关系。主题和属性第5章至第8章中提供的控制分类统称为主题。控制类别为：a) 人员，如果涉及到单独的个人；b) 物理，如果涉及到物理对象；c) 技术，如果涉及到技术；d) 其他均归类为组织。组织可使用属性来创建不同的视图，这些视图从主题的不同视角进行控制分类。属性可用于不同使用者在不同视图中进行控制的筛选、分类或展示。附录A解释了实现过程并提供了视图示例。本文件给出了示例，将每一项控制关联到以下五种属性的相应属性值（前缀#方便搜索）：a) 控制类型控制类型是从控制何时和如何改变信息安全事件发生风险的视角来看控制的一种属性。属性值包含预防（

25、旨在防止信息安全事件发生的控制）、检测（作用于信息安全事件发生时的控制）和纠正（作用于信息安全事件发生后的控制）。b) 信息安全属性信息安全属性是从控制有助于保护哪些信息特征的视角来看控制的一种属性。属性值包含保密性、完整性和可用性。c) 网络空间安全概念网络空间安全概念是从控制与网络空间安全概念关联的视角来看控制的一种属性，ISO/IEC TS 27110 描述的网络空间安全框架定义了网络空间安全概念。属性值包含识别、防护、发现、响应和恢复。d) 运行能力运行能力是从从业者信息安全能力的视角来看控制的一种属性。属性值包含治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安

26、全、安全配置、身份和访问管理、威胁和脆弱性管理、连续性、供应商关系安全、合规性、信息安全事件管理和信息安全保障。e) 安全领域安全领域是从四个信息安全领域的视角来看控制的一种属性。四个信息安全领域为：“治理和生态体 系”，包括“信息系统安全治理和风险管理”和“生态系统网络空间安全管理”（包括内外部相关方）； “保护”，包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”及“物理 和环境安全”；“防御”，包括“检测”和“计算机安全事件管理”；“弹性”，包括“运行的连续 性”和“危机管理”。属性值包含治理和生态体系、防护、防御和弹性。本文件给出的属性是基于其在各类组织中应用

27、的通用性考量而选择。组织可选择不考虑本文件所给出的一种或多种属性。组织也可创建自有属性（具有相应的属性值），形成组织自己的视图。A.2中包含了这种属性的示例。控制的设计每项控制的设计包含以下内容：控制名称：控制的简称；属性表：显示既定控制各项属性值的表格；控制：控制的说明；7目的：为何实施控制；指南：如何实施控制；其他信息：解释性文本或对其他相关文件的参考引用。对于某些控制的指南文本较长且涉及多个主题，使用子标题（即三级条）提高其可读性。此类子标题不一定在所有指南文本中使用。5 组织控制 信息安全策略5.1.1 属性表信息安全策略的属性表见表1。表1 信息安全策略属性表控制类型信息安全属性网络

28、空间安全概念运行能力安全领域#预防#保密性#完整性#可用性#识别#治理#治理和生态体系#弹性5.1.2 控制宜定义信息安全方针和特定主题策略，由管理层批准后发布，传达并让相关工作人员和相关方知悉，按计划的时间间隔以及在发生重大变更时对其进行评审。5.1.3 目的根据业务、法律、法规、规章和合同要求，确保信息安全的管理方向以及相应支持的持续适宜性、充分性、有效性。5.1.4 指南组织在最高层上宜定义“信息安全方针”，该方针由最高管理层批准，并规定了组织管理其信息安全的方法。信息安全方针宜考虑以下方面产生的要求：a) 业务战略和需求；b) 法律、法规和合同；c) 当前和预期的信息安全风险和威胁。信

29、息安全方针宜包括以下内容的陈述：a) 信息安全的定义；b) 信息安全目标或设定信息安全目标的框架；c) 指导所有信息安全相关活动的原则；d) 满足信息安全相关适用要求的承诺；e) 持续改进信息安全管理体系的承诺；f) 对既定角色分配的信息安全管理责任；g) 处理豁免和例外的规程。对信息安全方针的任何变更宜由最高管理层进行审批。8在较低层面，信息安全方针宜根据需要由特定主题策略予以支持，以进一步强制实施信息安全控制。特定主题策略通常被构建为解决组织内某些目标群体的需求或涵盖某些安全领域。特定主题策略宜与组织的信息安全方针保持一致并与之互补。这样的主题包括但不限于：a) 访问控制；b) 物理和环境

30、安全；c) 资产管理；d) 信息传输；e) 用户终端设备的安全配置和处理；f) 网络安全；g) 信息安全事件管理；h) 备份；i) 密码技术和密钥管理；j) 信息分级和处理；k) 技术脆弱性管理；l) 安全开发。开发、评审和批准特定主题策略的责任宜根据相关工作人员的职权等级和技术能力进行分派。评审宜包括评估组织信息安全方针和特定主题策略的改进机会，并管理信息安全以应对下列变化：a) 组织的业务战略；b) 组织的技术环境；c) 法律、法规、规章和合同；d) 信息安全风险；e) 当前和预期的信息安全威胁环境；f) 从信息安全事态和事件中总结的经验教训。信息安全方针和特定主题策略的评审宜考虑管理评审

31、和审计的结果。某个策略发生变化时宜考虑其他相关策略的评审和更新以保持一致性。信息安全方针和特定主题策略宜以意向读者适合的、可访问的和可理解的形式传达给相关工作人员及相关方。宜要求策略的接收者确认已理解并同意遵守适用的策略。组织可自行决定满足组织需求的这些策略文件的格式和名称。一些组织的信息安全方针和特定主题策略可列入单独的文件。组织可以将这些特定主题策略命名为标准、导则、策略或其他。如果信息安全方针或任何特定主题策略在组织外进行分发，宜注意不要不当披露保密信息。表2展示了信息安全方针与特定主题策略之间的差异。表2 信息安全方针与特定主题策略之间的差异信息安全方针特定主题策略详略程度一般的或高层

32、级的具体且详细的文件化并被正式批准最高管理层适当级别的管理层5.1.5 其他信息各组织的特定主题策略可有所不同。 信息安全角色和责任5.2.1 属性表信息安全角色和责任的属性表见表3。9表3 信息安全角色和责任属性表控制类型信息安全属性网络空间安全概念运行能力安全领域#预防#保密性#完整性#可用性#识别#治理#治理和生态体系#防护#弹性5.2.2 控制信息安全角色和责任宜根据组织需求进行定义和分配。5.2.3 目的建立一个定义明确、获得批准和各方理解的架构以利于组织内信息安全的实现、运行和管理。5.2.4 指南信息安全角色和责任的分配宜根据信息安全方针和特定主题策略（见5.1）来完成。组织宜定

33、义并管理下列责任：a) 信息及其他相关资产的保护；b) 落实具体信息安全过程；c) 信息安全风险管理活动，尤其是对残余风险的接受（如风险责任人）；d) 使用组织信息及其他相关资产的所有工作人员。必要时，宜针对特定的地点和信息处理设施的责任补充更详细的指南。分配到信息安全责任的个人可以将安全任务委托给其他人员。然而，他们仍需负责，并确定任何被委托的任务是否已被正确地执行。宜明确定义、记录并传达个人负责的每个安全区域。权限等级宜有明确定义并形成文件。承担特定信息安全角色的个人宜具备该角色所要求的知识和技能，同时宜支持他们跟进该角色以及角色需求的最新变化，以满足该角色的履责需要。5.2.5 其他信息

34、许多组织会任命一名信息安全管理人员来全面负责信息安全的开发和实现，并为识别风险和缓解风险的控制提供支持。然而，提供分配资源并实现这些控制的责任通常仍归于各个管理人员。一种通常的做法是为每一项资产指定一名责任人负责该资产的日常保护。根据组织的规模和资源，可通过在原有角色基础上增加专门的角色或职责来涵盖信息安全工作。 职责分离5.3.1 属性表职责分离的属性表见表4。表4 职责分离属性表控制类型信息安全属性网络空间安全概念运行能力安全领域#预防#保密性#完整性#可用性#防护#治理#身份和访问管理#治理和生态体系105.3.2 控制宜分离相互冲突的职责和责任范围。5.3.3 目的降低欺诈、错误和绕过

35、信息安全控制的风险。5.3.4 指南职责及其责任范围的分离旨在分离不同个体之间存在冲突的职责，以防止个人独立履行可能存在冲突的职责。组织宜确定哪些职责及其责任范围需进行分离。可能需要进行职责分离的活动包括但不限于：a) 变更的发起、审批和执行；b) 访问权的请求、审批和授权；c) 代码的设计、实现和审查；d) 软件的开发和生产系统的管理；e) 应用程序的使用和管理；f) 数据库的使用和管理；g) 信息安全控制的设计、审核和保证。在设计职责分离控制时，宜考虑相互串通的可能性。小型组织可能感到难以实现这种职责分离，但只要具有可能性和可行性，宜尽量应用该原则。如果难以分离，宜考虑其他控制，例如对活动

36、的监视、审核跟踪和管理监督等。当使用基于角色的访问控制系统时，宜注意确保人员未被授予相互冲突的角色。存在大量角色时，组织宜考虑使用自动化工具来识别冲突并加快冲突的消除。宜仔细定义和配置角色，确保在角色被删除或重新分配时最大程度减少访问问题。5.3.5 其他信息无其他信息。 管理责任5.4.1 属性表管理责任的属性表见表5。表5 管理责任属性表控制类型信息安全属性网络空间安全概念运行能力安全领域#预防#保密性#完整性#可用性#识别#治理#治理和生态体系5.4.2 控制管理层宜要求所有工作人员根据组织已建立的信息安全方针、特定主题策略和规程，履行信息安全责任。115.4.3 目的确保管理层理解自己

37、在信息安全中的角色并采取措施确保所有工作人员都清楚了解并履行自己的信息安全责任。5.4.4 指南管理层宜表现出对信息安全方针、特定主题策略、规程以及信息安全控制的支持。管理责任宜包括确保人员：a) 在获得组织信息及其他相关资产的访问授权前，正确了解其信息安全角色和责任；b) 获得相关的指南，其中明确指出该角色在组织内部的信息安全预期；c) 被强制性要求执行组织的信息安全方针和特定主题策略；d) 达到与其在组织内角色和责任相关的信息安全意识水平（见 6.3）；e) 遵守任用、合同或协议中的条款和条件，包括组织的信息安全方针和适当的工作方法；f) 通过持续的专业教育保持具备适当的信息安全技能和资质

38、；g) 在切实可行的情况下，可通过保密渠道报告违反信息安全方针、特定主题策略或信息安全规程的行为（“检举”）。该渠道允许匿名报告，或者确保仅需要处理此类报告的人员可掌握报告人的身份信息；h) 有足够的资源和充分的项目计划时间来实现组织的安全相关过程和控制。5.4.5 其他信息无其他信息。与职能机构的联系5.5.1 属性表与职能机构的联系的属性表见表6。表6 与职能机构的联系属性表控制类型信息安全属性网络空间安全概念运行能力安全领域#预防#纠正#保密性#完整性#可用性#识别#防护#响应#恢复#治理#防御#弹性5.5.2 控制组织宜建立并维护与相关职能机构的联系。5.5.3 目的确保组织就信息安全

39、事宜与相关执法部门、监管机构和监督部门之间进行适当的信息交流。5.5.4 指南组织宜明确规定什么时候与哪个职能机构（例如执法部门、监管机构、监督部门）进行联系，以及如何及时报告已识别的信息安全事件。与职能机构的联系还可用于促进了解这些机构当前和今后的预期（例如适用的信息安全法规）。125.5.5 其他信息遭受攻击的组织可请求职能机构对攻击源采取行动。维护这样的联系，可能是支持信息安全事件管理的要求（见5.245.28），或者是应急计划和业务连续性过程的要求（见5.29、5.30）。与法规部门的联系还有助于对可能影响到组织的相关法律或法规变化进行预测， 并预先做好准备。与其他职能机构的联系包括公

40、共事业、紧急服务、电力供应、健康和安全部门，例如消防局（与业务连续性有关）、电信提供者（与线路的布置和可用性有关）、供水部门（与设备的冷却设施有关）。 与特定相关方的联系5.6.1 属性表与特定相关方的联系的属性表见表7。表7 与特定相关方的联系属性表控制类型信息安全属性网络空间安全概念运行能力安全领域#预防#纠正#保密性#完整性#可用性#防护#响应#恢复#治理#防御5.6.2 控制组织宜建立并维护与特定相关方或其他专业安全论坛和专业协会的联系。5.6.3 目的确保在信息安全方面进行适当的信息交流。5.6.4 指南宜成为特定相关方或论坛的成员，以实现下述目的：a) 增进最佳实践的知识，掌握最新

41、相关安全信息；b) 确保了解最新的信息安全环境；c) 获取与攻击和脆弱性有关的警报、公告和补丁的预警；d) 获得专业的信息安全建议；e) 共享和交换关于新的技术、产品、服务、威胁或脆弱性的信息；f) 在处置信息安全事件时，提供适当的联络点（见 5.245.28）。5.6.5 其他信息无其他信息。威胁情报5.7.1 属性表威胁情报的属性表见表8。13表8 威胁情报属性表控制类型信息安全属性网络空间安全概念运行能力安全领域#预防#检测#纠正#保密性#完整性#可用性#识别#发现#响应#威胁和脆弱性管理#防御#弹性5.7.2 控制宜收集并分析信息安全威胁相关的信息，以生成威胁情报。5.7.3 目的了解

42、组织的威胁环境，以便采取适当的缓解措施。5.7.4 指南对已有或新出现的威胁进行信息收集和分析，以便：a) 采取知情的行动，防止威胁对组织造成损害；b) 减轻此类威胁的影响。威胁情报可分为三个层级，宜全部考虑在内：a) 战略级的威胁情报：关于不断变化的威胁形势的高层信息交换（例如攻击者类型或攻击类型）；b) 战术级的威胁情报：关于攻击者所用方法、工具和所涉技术的信息；c) 运营级的威胁情报：关于特定攻击的详细信息，包括技术指标。威胁情报宜：a) 具有相关性（即与组织的保护相关）；b) 具有洞察力（即能够让组织准确而详细地理解威胁形势）；c) 具有情境性，可提供态势感知（即根据事件的时间、发生的

43、地点、既往经验和类似组织中的普遍性等来增加信息的上下联系）；d) 具有可行动性（即组织可根据信息做出快速而有效的行动）。威胁情报活动宜包括：a) 建立威胁情报生成的目标；b) 识别、审查并选择必要且适当的内外部信息源，以提供生成威胁情报所需的信息；c) 从选定的来源中收集信息，可以是内部和外部的来源；d) 对收集到的信息进行处理，为分析做好准备（例如对信息的翻译、格式化或证实）；e) 分析信息以理解其与组织的关系及其对组织的意义；f) 以可理解的方式与相关人员沟通和分享信息。威胁情报宜予以分析并留待后续使用：a) 通过实施过程将从威胁情报来源中收集到的信息纳入组织的信息安全风险管理过程；b) 作为防火墙、入侵检测系统或反恶意软件解决方案等技术预防和检测控制的附加输入信息；c) 作为信息安全测试过程和技术的输入信息。组织宜与其他组织相互分享威胁情报，以改进总体的威胁情报。5.7.5 其他信息组织可利用威胁情报来预防、检测或响应威胁。组织可以生成威胁情报，但更常见的是接收并利用其他来源所