iso_iec_17799：信息安全管理体系规范打印版

iso_iec_17799：信息安全管理体系规范打印版内容摘要：

求是一个组织、它的贸易伙伴、立约人和服务提供商都要满足的。 第三个来源是一个组织已经制订的特殊原则、目标和需要，它们是用来支持信息处理操作的。 评估安全风险 安全需要是由一个有系统的安全风险评估确定的。 在安全管理上的花费要同安全故障可能造成的商业利益损失相平衡。 风险评估方法可以用于整个组织，也可以只是用于它的某些部分，还可以用在独立的信息系统、特殊系统部件或 者服务上。 在此范围内进行风险评估是具有可操作性的、实际的和有帮助的。 风险评估是对下面因素的系统考虑： a) 安全事故可能造成的商业损失。 要把信息和其它资产的保密性、完整性和安全性的损失的潜在后果也考虑进去。 b) 在极为普遍的危害和采取的相应管理措施的共同作用下，这样的故障实际发生的可能性。 评估的结果能够帮助指导和确定适当的管理行为， 并有助于确定管理信息安全风险的优先权和执行抵御这些风险的安全措施的优先级。 风险评估和管理措施的选择可能需要重复进行多次，以便保护组织或者独立信息系统的不同部分。 对安全风险和实 行的管理措施进行定期复查，是非常重要的。 这样就可以： a) 考虑到商务需求和优先级的变化； b) 考虑到新的威胁和危害； c) 确认所采取的管制仍然有效、适合。 应当根据以前评估，在不同的深度层次进行复查。 而且，还要根据管理所要承受风险的不同，在变化了的层次上做考查。 风险评估常常是先在一个较高的水平进行的，这是一种在高风险领域确定优先级的方式，从而能够在更细致的水平上确定特殊的风险。 选择控制措施 安全需要一旦确定了，就应当选择并实施控制措施，来确保风险降低到可以接受的程度。 控制措施可以从本文件或其它控制措施的资料中选 择，或者从那些制订出的用来满足特殊需要的新控制措施中间选择。 有很多不同的风险管理方式，本文件给出了一些常用方式的例子。 然而，有一些方法并不能够适用于每一个信息系统或者环境，并且也可能对所有组织都不合适。 注意到这点是十分重要的。 例如， 生。 对于比较小组织就不太可能把所有的责任都做明确划分，必须通过其它途径来达到相同的控制目标。 再比如， 和 据。 其中所提到的控制措施，例如事件记录，可能与现行规范相抵触，比如要对客 户或者工作间的私密性进行保护。 管理措施的选择应当根据实施成本与所减少风险的关系和执行成本与出现一个安全漏洞时可能造成损失的关系进行。 非资金损失因素，比如声誉损失，也应当考虑进去。 本文件中的一些安全管理措施可以当作信息安全管理的指导性原则，并且适用于大多数组织。 下面标题为“信息安全起点”一节中会更加详细地解释这些措施。 信息安全起点 有一些管理措施可以看作是指导性的原则，它们为实施信息安全提供了一个出发点。 这些原则要么基于根本性的立法要求，要么被认为是应对信息安全的常用的好办法。 从法律角度看，对一 个组织具有根本性的管理措施包括： a) 数据保护和个人信息的保密性（见 ） b) 组织的档案资料的保护； c) 知识产权。 （见 ） 被认为对信息安全是常用的好方法的管理措施有： a) 信息安全策略文件（见 ）。 b) 信息安全责任的划分（见 ）。 c) 信息安全教育和培训（见 ）； d) 安全事故报告（见 ）； e) 业务连续性管理（见 ） . 这些管理措施可以用在大多数的组织和多数环境之中。 应当注意的是，尽管本文件中的所有管理措施都重要，还是应当根据一个组织所面临的特殊风险来确定任何相关的管理措施。 因此，尽管上述途径被认为是一个很好的起点，它并不能替代根据风险评估所做出的管理措施的选择。 关键的成功因素 经验表明，要在一个组织内部成功的实现信息安全，下面一些因素常常是非常关键的： a） 反映业务目标的安全策略、目的和活动； b） 实现与组织文化相协调的安全的途径； c） 管理方面明显的支持和承诺； d） 对安全需要、风险评估和风险管理的清晰理解； e） 向所有的管理者和雇员有效地传播安全知识； f） 向所有的雇员和立约人发布信息安全策略和标准的指导； g） 进行适当的培训和教育； h） 综合的、平衡的测量系统。 该系统要用于评价在信息安全管理和反馈 改进意见中的表现。 制订自己的准则 这个实施规则可以看成是制订组织专门准则的一个起点。 并不是所有在该实施准则中的指导和管理措施都可行。 而且，还可能需要其它不包括在该文件中的管理措施。 这种情况一旦发生，保持交叉引用很有用处，这将有助于审计人员和业务伙伴进行符合性审计。 信息技术－信息安全管理的业务规范 1 范围 该标准为那些在组织内的负责建立、实现或者维护安全保密性的工作人员提供推行信息安全管理的建议。 其目的是为制订组织的安全标准和进行有效的安全管理实践提供公共的基础，并且为组织间的交易建立必要的信任。 应当根 据适用的法律法规选择使用该标准推荐的内容。 2 名词和定义 本文中使用以下定义： 信息安全 对信息保密性、完整性和有效性的保护。 保密性：确保信息只能由那些被授权的人访问。 完整性：保护信息的正确性和完整性以及信息的处理方法。 有效性：保证经授权的用户可以访问到信息。 在需要时，还能够访问其它相关资产。 风险评估 评估对信息和信息处理程序的威胁、冲击和危害，以及这些情况发生的可能性。 风险管理 在可以接受的成本范围内，识别、控制并减少或者消除可能影响信息系统的安全风险。 3 安全策略 信息安全策略 目标：为信息安全提供管理指导和支持。 管理层应当提出一套清晰的策略指导，并且通过在组织内发布和维护信息安全策略来表明对信息安全的支持和承诺。 信息安全策略文档 一部策略文档经管理层批准后被公开发布并以适当的方式传达给所有雇员。 它应当声明管理承诺，并且阐明该组织实现信息安全的途径。 该策略文档至少应当包括以下指导性内容： a) 信息安全的定义，它的总体目标和范围以及安全保密性作为信息共享的许可机制的重要性（参加介绍） b) 对管理意图、总体信息安全的目标和原理的简单说明。 c) 简短的说明安全策略 、原理、标准和对该组织具有特殊重要意义的符合性要求，例如： 1) 符合法律规定和合同要求； 2) 安全教育的需求； 3) 病毒和其它恶意软件的阻止及检测； 4) 业务连续性管理； 5) 违反安全管理策略的后果。 d) 定义信息安全管理包括报告安全事故的一般性责任和特殊性责任。 e) 参考可能支持该策略的文献资料，例如针对特殊的信息系统或者用户应当遵守的安全规则的更为详尽的安全策略和程序。 在整个组织中以一种相关的、容易理解的和易于接受的方式，把这一策略方针传达给有意的读者。 复查和评价 应当有一个所有者负责该策略的维护，并根据已经确定的程序对其进行检查。 该程序应当确保在影响原始风险评估基础发生任何改变时，都会进行检测。 例如，出现了重大安全事故、发现了新的易损性或者有新的组织或技术的基本结构的变更。 还应当经常安排有以下内容的定期检查： a) 策略的效率，由所记录的安全事故的性质、次数和影响来表示； b) 对业务效率的管理的成本和影响； c) 技术变革的影响； 4 组织的安全 信息安全的基本架构 目标：在一个组织内管理信息的安全。 应当建立适当管理架构，在组织内部启动和控制信息安全的实施。 管理层领导应当建立适当的管理问题论坛，以便确认信息安全策略、 指派安全角色并在组织中协调安全措施的实施。 如果需要的话，应当建立一个信息安全专家建议的资料来源并使其在组织内部是可以利用的。 应当加强与外部的信息安全专家的联系，以跟上工业发展趋势、监控安全标准和测评方法并在处理意外安全事故时提供适当的联络点。 应当鼓励发展那些综合了各学科知识的信息安全解决方案，例如此综合解决方案可能涉及经理、用户、管理员、应用程序设计人员、审计人员和安全人员的协调和合作，以及在一些领域的专门技术，比如保险和风险管理。 管理信息安全论坛 信息安全是一项由所有管理层成员共同承担的运 营责任。 因此应当考虑建立一个管理论坛，以确保从管理上对安全能动性进行明显地支持，而且这种支持有一个清晰的方向。 该论坛应当通过适当的承诺责任和足够的资源配置来提高组织内部的安全性。 此论坛可以是现有管理机构的一部分。 在通常情况下，这样的论坛承担以下责任： a） 检查并批准信息安全策略和总的责任； b） 当信息资产暴露在大多数威胁之下时，检测所发生的重要变动； c） 复查并监测信息安全事故； d） 支持重要的创新，以加强信息安全。 应当有一个经理负责所有相关活动的安全。 信息安全协作 在一个大型组织中，一个管理层代表们的多功 能论坛对于协调处理信息安全策略的执行是十分必要的。 这些管理层的代表都来自于组织的相关部门。 一般而言，这样的论坛： a） 批准在整个组织内安全管理的特殊角色和责任。 b） 批准信息安全的特殊方法和程序，例如：风险评估，安全分级系统； c） 批准并支持整个组织范围内的信息安全能动性，例如安全意识计划。 d） 确保安全性是信息规划过程的一部分。 e） 评价适当性并协调对新系统或者服务的特殊安全管理措施的实施； f） 检查信息安全事故； g） 提高在整个组织内对信息安全业务支持的可见性； 信息安全责任的分配 应当清楚地定义保护个人资产的责任和执 行特殊安全程序的责任。 信息安全策略（见第 3句）应当提供在组织中确定安全角色和分配安全责任的一般性指导。 如果需要的话，这些指导还应当针对特殊的地点、系统或者范围补充上更为详细的指导。 应当清晰界定对个人生命财产和信息资产所承担的局部责任， 也应当明确定义对安全程序比如业务连续性规划所承担的局部责任。 很多的组织会指定一个信息安全负责人，由其总体负责信息安全的发展和实现并管理措施的确定。 然而，资源配置和实现管理措施的责任常常留给单独的管理者。 通常的做法是为每项信息资产指派一个所有权人来负责其日常安全。 信息资产的所有权人可以把他们的安全责任委派给单独的管理者或者服务提供商。 尽管如此，所有权人仍然对此资产的安全负有最终的责任，并且所有权人应当能够确定任何错误分配责任的情况。 要清晰地阐明每一个管理者所负责的领域，这一点非常重要。 特别是在下述情况发生时： a） 对于不同种类资产的安全程序和与各自系统相关的安全程序，都应当进行识别并清楚地定义。 b） 负责每项资产或者安全过程的管理者都应当得到批准，而且应当把此项责任的细节记录在案。 c） 应当清楚地定义并记录授权等级； 信息处理方法的授权过程。 应当建立对新的信 息处理方法的管理授权过程。 应当考虑以下的措施： a） 新的信息处理方法应当有相应的客户授权，赞同其目的和用途。 还应当获得负责维护当地信息系统安全环境的管理人员的同意，以确保满足所有相关策略和需要。 b） 在需要的时候，应当检测硬件和软件以确保它们和系统的其它组成部分互相兼容。 注意：某些连接可能需要定型。 c） 对处理业务信息的个人信息处理程序的使用和任何必需的控制手段都应当经过授权。 d） 在工作场所中使用个人信息处理程序可能导致新的危险，因此应当进行评估和授权。 这些管理措施在网络化的环境中尤其重要。 专家信息安 全建议 许多组织可能都需要专家安全建议。 理想的状况是，一位有经验的内部信息安全专家可以提供这些建议。 并不是所有的组织都愿意雇用一个咨询专家。 这种情况下，建议确定一个专门人员来协调内部安全知识和安全经验，以确保处理问题时的连续性并协助做出安全决策。 他们还应当能够找到适当的外部咨询专家来提供超出他们经验范围的专业建议。 信息安全建议者或者具有相同作用的接触点应当担负就信息安全的所有方面提供建议的任务。 他们要么自己提出建议，要么利用来自外部的建议。 他们对安全威胁所做评估的质量和对管理措施的意见决定了该组织的信息 安全的效果。 为了达到最大的效用、产生最好影响，应当允许他们直接接触整个组织的管理。 应当在预测到可能的安全事故或者漏洞的最早阶段就向信息安全建议者或者具有相同作用的接触点咨询，以便获得专家指导原则和调查资源。 尽管正常情况下大多数内部安全调查要按照管理措施执行，仍然可以召集信息安全咨询专家来提出建议、主持或指导此类调查。 组织间的合作 应当保持与执法部门、管理机构、信息服务提供商和电信运营商的适当联络，以确保在发生安全事故时能够及时采取适当措施并能够及时通知。 类似的，也应当考虑到与安全组成员和行 业协会进行合作。 安全信息的交换应当限制在确保组织的保密信息不会发送给未经授权的个人。 信息安全的独立检查 信息安全策略文献（参见 ）宣布了信息安全策略和责任。 应当独立地检查其执行情况，以确保组织的实践恰当地反映了这一策略，而且该策略是可行的和有效的。 （见） 可以由内部的审查功能执行这样的检查。 此外，独立的经理或者在此种检测方面有特殊。