信息技术--信息安全管理实用规则(doc60)-工艺技术(编辑修改稿)

信息技术--信息安全管理实用规则(doc60)-工艺技术(编辑修改稿)内容摘要：

度。 本标准可以用作这种合同的基础以及考虑外包信息处理时的基础。 标识第三方访问的 风险 访问类型 给予第三方的访问类型特别重要。 例如，通过网络连接的访问风险与由于物理访问导致的风险不同。 应予以考虑的访问类型有： a） 物理访问，例如，访问办公室，计算机机房，档案室； b）逻辑访问，例如，访问组织的数据库，信息系统。 访问的原因 GB/T — 5 有许多原因可以授予第三方访问。 例如，向组织提供服务却不在现场的第三方，可以授予物理和逻辑访问权，诸如： a） 硬件和软件支持人员，他们需要访问系统级或低级别的应用功能度； b）贸易伙伴或联合投资者，他们可以交换信息，访问信息系统或共享数据库。 在不充分的安全管理情 况下，由于第三方访问，可能把信息置于风险中。 若有业务需要连接到第三方地址，那么应进行风险评估，以标识出特定控制的任何要求。 要考虑到所要求的访问类型、信息的价值、第三方所利用的控制以及这种访问牵连到该组织的信息安全。 现场合同方 在其合同中所定义的一段时间内位于现场的第三方也可能导致安全弱点。 现场第三方的例子包括： a） 硬件和软件维护与支持人员； b）清洁、给养、安全保卫和其他外包支持服务； c） 实习学生或其他短期临时工作人员； d）顾问。 重要的是要理解需要什么样的控制来管理第三方对信息处理设施的访问。 一般来说，由第三方访问导致的所有安全要求或者内部控制应在第三方合同反映出来（也见 ）。 例如，如果对于信息的保密性有特定的需要，可以使用不泄露协议（见 ）。 只有在实施了适当的控制措施并签定了涵盖连接和访问条款的合同之后，第三方才可以访问信息和信息处理设施。 第三方合同中的安全要求 涉及第三方访问组织信息处理设施的协议要以包含或引用所有重要要求的正式合同为基础，以确保符合组织的安全策略和标准。 该合同要确保在该组织和第三方之间不存在误解。 至于其供应商的赔偿问题，各组织应自行解决。 合同中应考虑下列 条款： a） 信息安全的通用策略； b）资产保护，包括： 1） 保护组织资产（包括信息和软件）的规程； 2） 确定资产是否受到损害（例如丢失数据或修改数据）的规程； 3） 确保在合同截止时或在合同执行期间双方同意的某一时段对信息和资产的归还或销毁的控制； 4） 完整性和可用性； 5） 对拷贝和泄露信息的限制； c） 要提供每项服务的描述； d）服务的目标级别和不可接受的服务级别； e） 若合适，人员转职的规定； f） 协议双方的相关义务； g）关于法律事件（例如，数据保护法律）的责任。 如果该合同涉及与其他国家的组织的合作，特GB/T — 6 别要考虑到不 同的国家法律体系（也见 ）； h）知识产权（ IPRs）和版权转让（见 ）以及任何协作性工作的保护（见 ）； i） 访问控制协议，包括： 1） 允许的访问方法，唯一标识符（诸如用户 ID 和口令）的控制和使用。 2） 用户访问和特权的授权过程； 3） 维护被授权使用正在提供的服务的个人清单的要求以及他们与这种使用相关的权利和特权是哪些； j） 可验证的性能要求的定义、监督和报告； k）监督和撤销用户活动的权利； l） 审核合同职责的权利或拥有由第三方进行这些审核的权利； m）建立逐级解决问题的过程；在适合的 情况下，也应考虑意外事故安排； n）关于硬件和软件安装和维护的职责； o）一种清晰的报告结构和商定的报告格式； p） 一种清晰规定的变更管理过程； q） 任何要求的物理保护控制和机制，以确保遵守这些控制； r） 对用户和管理者在方法、规程和安全方面的培训； s） 确保防范恶意软件的控制措施（见 ）； t） 报告、通知和调查安全事故和安全违规的安排； u） 包括具有转包商的第三方。 外包 目的：信息处理的职责是在外包给其他组织时维护信息安全。 外包安排应在双方的合同中指出信息系统、网络和 /或桌面环境的风险、安全控制和规程。 外包合同中的安全 要求 组织的信息系统、网络和 /或桌面环境的全部或某些部分的管理和控制进行外包时，要在双方所商定的合同中指出安全要求。 例如，合同中要指出： a） 如何满足法律要求，例如，数据保护法律； b） 有什么样的安排，可确保外包所涉及的各方（包括转包商）知道其安全职责； c） 如何维护和测试该组织的业务资产的完整性和保密性； d） 将使用什么样的物理和逻辑控制来限制和限定已授权用户访问该组织的敏感的业务信息； e） 万一有自然灾害，如何维护服务的可用性； f） 对外包设备要提供什么等级的物理安全； g） 审核的权利。 的清单中所给出的条款也应考虑作 为该合同的一部分。 该合同要允许在双方待商定的安全管GB/T — 7 理计划中扩充安全要求和规程。 虽然外包合同可能提出某些复杂的安全问题，但在本实用规则中所包括的控制可以用作商定安全管理计划的结构和内容的起点。 5 资产分类和控制 资产的可核查性 目的：维持对组织资产的相应保护。 所有主要信息资产应是可核查的，并且有指定的责任人。 资产的可核查性有助于确保维持相应的保护。 对于所有主要资产要标识出责任人，并且要赋予维护相应控制的职责。 可以授予实施控制的职责。 可核查性归于资产的指定责任人。 资产清单 资产清单有助于确保进行有效的资产 保护，并且对于其他业务目的，诸如健康与安全、保险或财务（资产管理）的原因，也需要资产清单。 编制资产清单的过程是风险管理的重要部分。 一个组织需要能标识出资产和这些资产的相关价值和重要性。 然后，根据该信息，一个组织可以提供与资产的价值和重要性相称的保护等级。 每个信息系统相关的重要资产都应编制清单并加以维持。 每一资产应清楚地标识，应商定其所有权和安全分类（见 ）以及其当前位置（尝试从丢失或损坏中恢复时是重要的）并形成文档。 与信息系统相关的资产举例： a） 信息资产：数据库和数据文件，系统文档，用户手册，培训材料，操 作或支持规程，连续性计划，后备运行安排，归档的信息； b） 软件资产：应用软件，系统软件，开发工具和实用程序； c） 物理资产：计算机设备（处理器、监视器、便携式计算机、调制解调器），通信设备（路由器、PABX、传真机、应答机），磁媒体（磁带和磁盘），其他技术设备（电源、空调装置），家具，用具； d） 服务：计算和通信服务，一般公用事业，例如，供暖，照明，能源，空调。 信息分类 目的：确保信息资产受到相应等级的保护。 信息要分类，以指出保护的需求、优先级和程度。 信息具有可变的敏感性和重要性。 某些项可以要求附加等级的保护或特 别的处理。 信息分类体制用来定义一组合适的保护等级和传递特别处理措施的需求。 分类指南 信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响，例如，对信息的未授权访问或损坏。 一般说，给予信息的分类是确定该信息如何予以处理和保护的简便方法。 信息和处理分类数据的系统的输出要根据它对组织的价值和敏感性予以标记。 根据它对组织的重要程度对信息进行标记也可能是合适的，例如根据它的完整性和可用性。 在某一段时间之后，信息通常GB/T — 8 不再是敏感的或重要的，例如，当该信息已经公开时。 过多的分类可能导致不 必要的附加业务费用，上述各方面应予以考虑。 分类指南要预先考虑并允许任何给定的信息项的分类在全部时间内不必固定，并且根据预先确定的策略加以变更（见 ）。 对于分类种类的数目和从其使用中获得的好处要予以考虑。 过度复杂的方案可能对使用不方便和不经济，或许是不实际的。 在解释其他组织文档上的分类标记应小心，因为其他组织可能对于相同或类似命名的标记有不同的定义。 定义信息项（例如，对文档，数据记录，数据文件或软件）的分类以及周期性评审该分类的职责仍然属于信息的始发者或指定的拥有者。 信息标记和处理 重要的是，按照组 织所采纳的分类方案对信息标记和处理定义一组合适的规程。 这些规程需要涵盖物理和电子格式的信息资产。 对每种分类，要定义处理规程，以涵盖下列信息处理活动类型： a） 拷贝； b） 存储； c） 邮政、传真和电子邮件的传输； d） 话音传输，包括移动电话、话音邮件、应答机； e） 销毁（数据结构）； 系统的输出含有了分类为敏感的或重要的信息应在该输出中携带合适的分类标记。 该标记要根据 中所建立的规则反映出分类。 待考虑的项目包括打印报告、屏幕显示、记录媒体（磁带、磁盘、CD、盒式磁带）、电子报文和文件传送。 物理标记一般是最合适的标记形式。 然而，某些信息资产（诸如电子形式的文档等）在物理上不能做标记，而需要使用电子标记手段。 6 人员安全 岗位设定和人力资源的安全 目的：减少人为差错、盗窃、欺诈或滥用设施的风险。 在招聘阶段要指出安全职责，要包含在合同中并在个人聘用期间予以监督。 要对可能的新成员进行充分的筛选，特别对敏感性岗位的成员（见 ）。 所有雇员和信息处理设施的第三方用户要签署保密（不泄密）协议。 在岗位职责中要包含的安全 在合适情况下，在组织的信息安全策略中所列出的安全角色和职责（见 ），要形成文档。 它们要包括实施或维护安全 策略的总职责以及保护特定资产或执行特定安全过程或活动的任何特定职责。 GB/T — 9 人员筛选和策略 固定职员的鉴定核查要在职务申请时进行。 这包括下列控制： a） 获得令人满意的参考资料； b） 申请人履历的核查（针对完整性和准确性）； c） 声称的学术、专业资格的证实； d） 独立的身份核查（身份证或护照）。 当一个职务（原先任命的或提升的）涉及到对信息处理设施进行访问的人时，特别是，如果这些设施正在处理敏感信息，例如，财务信息或高度保密的信息，那么，该组织还要进行信用核查。 对于占据重要职权位置的职员而言，要周期性地重复这种核查。 对于合同商 和临时职员要进行类似的筛选过程。 若这些职员是通过代理提供的，那么，与代理的合同要清晰地规定代理对筛选的职责，以及如果未完成筛选或结果引起怀疑或关注时，这些代理需要遵守通知规程。 在新的和无经验的职员被授权访问敏感系统时，管理层要评价对他们所要求的监督。 所有职员的工作须经此类职员中更资深成员周期性评审和批准过程。 管理者要了解其职员的个人环境可能影响其工作。 个人的或财务的问题、他们的行为或生活方式的变化、经常缺勤以及有压力或压抑的迹象都可能导致欺诈、盗窃、出错或其他安全隐患。 要按照相关权限中的合适法律处理这些 情况。 保密性协议 保密性协议或不泄密协议用来告知信息是保密的或秘密的。 雇员们一般要签署这样的协议，作为聘用他们的最初条款和条件的一部分。 应要求现有合同（包含保密协议）中没有涉及的临时职员和第三方用户在给予访问信息处理设施之前签署保密协议。 当聘用或合同的期限有变化时，特别是，当雇员预期离开该组织或合同到期终止时，要评审保密协议。 雇用条款和条件 雇用条款和条件要说明雇员的信息安全职责。 若合适，这些职责应在雇用结束后继续规定的一段时间。 应包括如果雇员漠视安全要求所要采取的行动。 雇员的合法职责和权利（例如 ，关于版权法或数据保护法）要予以阐明并包括在雇用的条款和条件内。 也要包括雇主的数据分类和管理的职责。 只要合适时，雇用的条款和条件要说明上述这些职责扩充到组织办公地点之外以及正常工作时间之外，例如，在家里工作的情况（也见 和 ）。 GB/T — 10 用户培训 目的：确保用户知道信息安全威胁和利害关系，并准备好在其正常工作过程中支持组织的安全策略。 为了使可能的安全风险减到最小，用户应接受安全规程和正确使用信息处理设施方面的培训。 信息安全教育和培训 组织的所有雇员和（若相关的）第三方用户要接受组织的策略和规程 方面的适当培训和定期更新内容。 这包括安全要求、合法职责和业务控制以及在给予访问信息和服务之前正确使用信息处理设施的培训，例如登录过程，使用软件包等。 对安全事故和故障的响应 目的：使安全事故和故障的损害减到最小，并监督这种事故以及从事故中学习。 影响安全的事故要尽可能快地通过合适的管理渠道予以报告。 要使所有雇员和合同商知道报告可能对组织的资产安全有影响的不同类型事故（安全违规、威胁、弱点或故障）的规程，应要求他们尽可能快地把任何观察到的或预测到的事故报告给指明的联系点。 该组织对涉及安全违规的雇员应建立一个 正式的纪律处理办法。 为了能正确地指出事故，在出现事故之后尽可能快地收集证据可能是必要的（见 ）。 报告安全事故 安全事故要尽可能快地通过合适的管理渠道报告。 应建立正式的报告规程以及事故响应规程，以及在收到事故报告时提出要采取的动作。 要让所有雇员和合同商知道报告安全事故的规程，并要求他们尽可能快地报告这样的事故。 相应的反馈过程应予以实现，以确保在事故已经处理和结束之后将结果通知报告事故的人们。 在用户安全意识培训时，这些事故可用作可能发生什么，如何响应这样的事故，如何在将来避免这样的事故（也见 ）的例子。 报告安全弱点 应要求信息服务的用户通知并报告任何观察到的或预测到的系统或服务的安全弱。