信息安全管理规范.docx
《信息安全管理规范.docx》由会员分享,可在线阅读,更多相关《信息安全管理规范.docx(44页珍藏版)》请在冰豆网上搜索。
信息安全管理规范
信息安全管理体系规范(PartI)
(信息安全管理实施细则)
目录
前言
一、信息安全范围
二、术语与定义
三、安全政策
3.1信息安全政策
四、安全组织
4.1信息安全基础架构
4.2外部存取的安全管理
4.3委外资源管理
五、资产分类与管理
5.1资产管理权责
5.2信息分类
六、个人信息安全守则
6.1工作执掌及资源的安全管理
6.2教育培训
6.3易发事件及故障处理
七、使用环境的信息安全管理
7.1信息安全区
7.2设备安全
7.3日常管制
八、通讯和操作过程管理
8.1操作程序书及权责
8.2系统规划及可行性
8.3侵略性软件防护
8.4储存管理
8.5网络管理
8.6媒体存取及安全性
8.7信息及软件交换
九、存取管理
9.1存取管制的工作要求
9.2使用者存取管理
9.3使用者权责
9.4网络存取管制
9.5操作系统存取管理
9.6应用软件存取管理
9.7监控系统的存取及使用
9.8移动计算机及拨接服务管理
十、信息系统的开发和维护
10.1信息系统的安全要求
10.2应用软件的安全要求
10.3资料加密技术管制
10.4系统档案的安全性
10.5开发和支持系统的安全性
十一、维持运营管理
11.1持续运营的方面
十二、合法性
12.1合乎法律要求
12.2对信息安全政策和技术应用的审查
12.3系统稽核的考虑
前言
何谓信息安全?
对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。
信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。
无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其
-保密性:
确保只有那些经过授权的人员可以接触信息
-完整性:
保护信息和信息处理办法的准确性和完整性
-可得性:
确保在需要时,经过授权的使用者可接触信息和相关的资产
信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。
必须建立此类管制手段来确保各单位的具体安全目标得以实现。
为何需要信息安全?
信息和信息支持程序、系统及网络是重要的经营资产。
信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。
单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。
破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。
对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。
公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。
分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。
许多信息系统本身的设计就很不安全。
通过技术手段达到的安全很有限,因此要通过恰当的管理和流程加以支持。
确认采取的管制措施时需要详细审慎的计划和构思。
信息安全管理至少要求单位所有员工的参与。
同时,也要求供货商、客户和股东的参与。
单位外部的专家建议有时也很必要。
如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。
如何设置安全要求?
单位能够确认其安全方面的要求至关重要。
在这方面,主要有三个来源:
第一个来源是对单位面临的风险进行评估。
通过风险评估,可以确认单位的资产所面临的威胁,评估其弱项和危险发生的可能性,并对其潜在的冲击加以估计。
第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、规章或契约方面的要求。
第三个来源是单位为支持其运营而开发出的一套针对信息处理的原则、目标和要求。
评估安全风险
安全要求是通过对安全风险的系统评估而确认的。
管制方面的支出需要和安全失控时产生的危害进行平衡和比较。
风险评估技巧可运用到整个组织或局部,也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。
风险评估要求对如下因素进行系统考虑:
-安全失误所造成的经营性破坏,要求考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果
-现行威胁和弱点导致安全失误的现实可能性,及目前实施的管制手段
在管理信息安全风险和实施管制手段防范风险时,上述评估结果有助于指导和决定采取适当的管理行动及其优先程度。
评估风险和选择管制手段的过程可能需要重复几次,以便涵盖单位的不同部分或单个的信息系统。
对安全风险和实施的管制要进行定期回顾,以便
-考虑运营要求和优先性方面所发生的变化
-考虑新的威胁和薄弱环节
-确认所采取的管制手段仍然有效恰当
根据以前评估的结果和管理层能够接受的风险程度,上述回顾应当按不同程度开展。
风险评估一般先在较高层次上开展,以便对高风险领域的资源进行优先分类,然后从细节开展,目的是对付具体风险。
选择管制手段
安全要求一旦确定之后,就应选择并实施管制手段以确保风险被降到一个可接受的水平。
管制手段可从本文件或别的管控手册中选择;还可以设计新管控办法来满足具体的需求。
管理风险有许多不同的办法,本文件列出了一些常用的手段。
然而,需要认识的是有些手段并不是适用与所有信息系统或环境,也不一定适合所有的单位或组织。
比如,本文件8.1.4描述了如何对权责进行分类以便防止诈骗或失误。
对许多小的单位或组织来说,这种办法就不一定适合,而另外的办法可能更好一些。
管制的选择应当基于相对风险而言执行管制时的成本。
也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。
本文件中的某些管制手段可以用作多数单位的信息安全管理的指导原则。
其细节在下述的“信息安全起始点”中将加以详细描述。
信息安全起始点
几条管制手段作为指导原则提供了信息安全执行方面的起始点。
它们或者基于重大的立法要求,或者被认为是信息安全领域内的最佳实施手法。
从立法角度审视,对单位十分重要的管制手段主要包括:
甲、知识产权(详见12.1.2)
乙、保护单位记录(详见12.1.3)
丙、数据保护和个人隐私(详见12.1.4)
对信息安全来说被认为是最佳实施手段的管制手段包括:
甲、信息安全政策文件(详见3.1.1)
乙、信息安全权责的分配(详见4.1.3)
丙、信息安全教育和培训(详见6.2.1)
丁、安全事故的回报(详见6.3.1)
戊、持续运营管理(详见11.1)
这些管制手段适用于多数单位和多数情形。
应当注意的是,尽管本文件所述的管制手段很重要,但所有手段的适用性仍然取决于具体的当事情形。
因此,上述的步骤虽然是很好的起点,它并不取代基于具体风险评估而导出的管制手段。
重大成功因素
以往经验证实各单位要确保执行信息安全管理的成功需考虑如下重大因素:
-安全政策,目标和反应单位运营目标的活动
-符合单位文化的安全防卫模式
-管理层明显的支持和承诺
-对安全要求、风险评估和风险管理的充分理解
-向所有管理人员和员工推行安全概念的有效途径
-向所有员工和承包方发放有关本单位信息安全政策和标准的指导纲要
-提供恰当的培训和教育
-一整套用于评估信息安全管理表现及反馈改进意见的测量系统
制定本单位的大纲
本指导条例可用作各单位依据本身具体情况制定自己内部信息安全指导大纲的基础。
本条例所描述的指导原则和管制手段也并不一定适合所有单位的情况。
因此,有必要适时加以调整。
一、信息安全范围
此部分针对各单位内部从事安全工作的人员提出了信息安全管理方面的建议。
其目的是提供一个公共平台以各单位制定各自的安全标准和有效的安全管理手段,并增强各单位就此进行交流时的信心。
二、术语与定义
在本文件中,下列术语其定义如下:
2.1信息安全
对信息保密性、完整性和可得性的保护。
保密性被定义为确保唯有经过授权的人员方可存取信息。
完整性被定义为保护信息和信息加工方法的准确和完全。
可得性被定义为确保经授权的人员在必要时能存取信息和相关资产。
2.2风险评估
对信息和信息处理设施的弱点、其所受威胁、后果及其发生概率的评估。
2.3风险管理
以可以接受的成本,对影响信息系统的安全风险进行辨认、控制、减少或消除的过程
三、安全政策
3.1信息安全政策
目标:
为信息安全提供管理指导和支持。
管理层应制定一套清晰的指导原则,并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。
3.1.1信息安全政策文件
信息安全政策文件在经管理层批准后,要印行并颁发给单位的所有员工。
该文件要阐明管理层对信息安全的承诺,并提出单位信息安全的管理方法。
它至少要包括如下部分:
-对信息安全的定义,其总体目标和范围,安全作为信息分享确保机制的重要性
-支持信息安全目标和原则的管理意向声明
-对安全政策、原则、标准和应达到要求的简要解释,比如:
1)符合立法和契约的规定;2)安全教育方面的要求;3)对病毒和其它有害软件的预防和检测;4)持续运营管理;5)违反安全政策的后果等;
-信息安全管理的总体和具体权责的定义,包括安全事故回报等;
-用以支持政策的文献援引;例如,适用于具体信息系统的更详细的安全政策和流程,或使用者应当遵守的安全条例等;
本政策应以恰当、易得、易懂的方式向单位的标的使用者进行传达。
3.1.2审核与评估
本政策要求有专人按既定程序对其进行定期检讨和审订。
检讨和审订的过程要能够反应风险评估方面所发生的新变化,譬如重大安全事故、组织或技术基础设施上出现的新漏洞,等等。
为此,要求对下列事项进行定期、有计划的审订:
-政策的有效性,可通过记录在案的安全事故的性质、数目和影响来论证
-对运营效率进行管制的成本及影响
-技术变化的影响
四、安全组织
4.1信息安全基础架构
目标:
管理单位内部的信息安全。
建立管理框架,以展开并管制单位内部信息安全的实施。
同时,应建立适当的信息安全管理委员会对信息安全政策进行审批,对安全权责进行分配,并协调单位内部安全的实施。
如有必要,在单位内部设立特别信息安全顾问并指定相应人选。
同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段,并在发生安全事故时建立恰当的联络渠道。
在此方面,应鼓励跨学科的信息安全安排,比如,在经理人、用户、程序管理员、应用软件设计师、审计人员和保安人员间开展合作和协调,或在保险和风险管理两个学科领域间进行专业交流等。
4.1.1信息安全管理委员会
信息安全是管理团队各成员共同承担的责任。
因此,有必要建立一个信息安全管理委员会来确保信息安全方面的工作指导得力,管理有方。
该委员会旨在通过适当的承诺和合理的资源分配提携单位内部的安全。
其可为现有管理机构的一部分,主要行使如下职能:
-审订并批准信息安全政策和总体权责
-监督信息资产所面临威胁方面出现的重大变化
-审订并监督安全事故
-批准加强信息安全的重大举措
所有有关的安全活动都应由一位经理负责。
4.1.2部门间协调
在较大的单位内,有必要建立一个由各个部门管理代表组成的跨功能信息安全委员会来协调信息安全的实施。
这样一个机构的功能包括:
-批准单位内信息安全方面的人事安排和权责分配
-批准信息安全的具体方法和流程,如风险评估、安全分类体系等
-批准并支持单位内信息安全方面的提议,如安全意识课程等
-确保安全成为信息计划程序的一部分
-针对新系统或服务,评估其在信息安全方面的充足程度并协调其实施
-评定信息安全事故
-在全单位范围内以显要之方式提携对信息安全的支持
4.1.3权责分配
保护各项资产及实施具体安全流程的权责应有明确定义。
信息安全政策应当提供单位内安全人事和权责分配方面的具体指导原则。
针对具体的地点、系统或服务的不同,可对此政策酌情进行补充。
对各项有形、信息资产及安全程序所在方应承担的责任,如持续运营计划,也要加以明确定义。
在某些单位内,需任命一名信息安全经理负责发展实施安全、支持指定管制手段方面的有关事宜。
但是,涉及资源分派和实施管制的事务仍应交由各部经理负责。
通常的做法是为每项信息资产都指定一个负责人,由他来时时负责资产的日常安全。
信息资产的负责人可将其安全权责代理给各部经理或服务提供方,但他对资产的安全仍负有最终的责任,并要求能确认代理权没有被滥用或误用。
对各经理所负责的各安全领域进行定义十分重要;特别是要做到如下几点:
-和各系统有关的资产和安全程序要加以清楚辨别和定义
-负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案
-授权级别要清晰定义并记录在案
4.1.4信息处理设备的授权流程
要建立起针对新信息处理设施的管理授权流程。
要考虑如下要素:
-新设施要有适当的使用者管理审批制度,以此对使用目的和使用情况进行审批。
批准由负责当地信息系统安全环境的经理发给,并做到符合相关安全政策和要求。
-如必要,对软件和硬件进行检查,确保其和其它系统部件向匹配。
-使用个人信息处理设备处理公务信息及其相关必要之管制手段皆需经过批准。
-在公务场合使用个人信息处理设备本身可导致安全漏洞,因此要经过评估和批准。
以上管制在联网的环境中尤其重要。
4.1.5专业信息安全顾问
许多单位可能需要专业信息安全顾问。
此职位最好由单位内部某位资深信息安全顾问担当。
但不是所有单位都想聘用专业信息安全顾问。
因此,特建议单位指定一位具体个人来协调单位内部信息安全知识与经验方面的一致,及辅助该方面的决策。
担此职务的人要和外部专家保持联系,能提出自己经验以外的建议。
信息安全顾问或相应的外部联络人员的任务是根据自己的或外部的经验,就信息安全的所有方面提出建议。
他们对安全威胁评估及提出管制建议的质量决定了单位信息安全的有效性。
为使其建议的有效性最大化,应允许他们接触全单位管理的各个方面。
如怀疑出现安全事故或漏洞,应尽早向信息安全顾问咨询,以获得专家指导或调查资源。
尽管多数内部安全调查通常是在管理管制下进行,但仍可以委托信息安全顾问提出建议,领导或实施调查。
4.1.6组织间合作
和有关执法、监管、信息服务和电讯运营部门保持良好的联系,确保在安全事故时能或得其建议以便迅速采取行动。
同样,也应考虑参加安全组织和行业论坛并成为其成员。
安全信息的交换要加以严格限制,确保单位的保密信息不被传给没有经过授权的人员。
4.1.7信息安全审核的独立性
信息安全政策文件规定了信息安全的政策和权责。
对其实施的审核应独立开展,确保单位的做法恰当地反应了政策的要求,并确保实施方面的可行性和有效性。
此类审核可由单位内部审计部门开展,也可由独立经理人或专门从事审核的第三方组织开展,只要这些人员具有适当的技能和经验。
4.2外部存取的安全管理
目标:
外来单位存取单位内部信息及信息处理设施时的安全管理。
第三方接触本单位的信息处理设备要对其进行管制。
如业务需求第三方必须接触本单位的信息处理设备,则应对此行为的安全后果和管制要求进行风险评估。
管制内容经双方同意,要在合同中加以定义。
外方存取可能还会涉及到别的参与方。
为此,和第三方签订的合同中还应涵盖对此授权的指定及其存取的条件。
本标准可用作制定此类合同或考虑委外信息加工时的基础。
4.2.1第三方存取的风险鉴别
4.2.1.1存取的类别
允许第三方存取的类别至关重要。
比如,跨网络存取的风险和物理存取的风险是完全不同的。
应考虑的存取类别包括:
-物理存取,如办公室、电脑房、档案柜等
-逻辑存取,如单位的数据库、信息系统等
4.2.1.2存取的原因
允许第三方存取可能有若干原因。
例如,这个第三方可能是在向单位提供服务,但又不在现场,只能给其一定物理和逻辑存取途径,比方:
-需要系统级别或低级别应用功能的硬件和软件支持人员
-和本单位交换信息、存取信息系统或分享数据库的贸易伙伴或合资公司
如没有充足的安全管理,允许第三方存取会给信息带来风险。
因此,在有需求接触其它方信息时,要进行风险评估,确定管制的要求。
同时,要考虑存取的类别、信息的价值、第三方使用的管制手段,以及让他方接触本单位信息的可能后果。
4.2.1.3现场承包方
按合同规定可在现场滞留的第三方也可导致安全隐患。
例如,在现场的第三方可以包括:
-硬件和软件维护和支持人员
-清洁、料理、保安和其它委外的支持服务人员
-学生员工及其它短期临时工作人员
-顾问
知道需采取哪些管制手段管理第三方对信息处理设备的存取至关重要。
总体而言,和第三方签订的合同中要反应所有有关的安全要求和内部管制手段。
例如,如有特殊要求保守信息秘密,就要和第三方签订保密协议(见6.1.3)
在相应管制手段布置周备或和第三方合同签订之前,不得允许第三方存取本单位信息或接触信息处理设备。
4.2.2与第三方存取单位签约时的安全要求
涉及第三方接触本单位信息处理设备的安排应当基于正式的合同,该合同中要包括或提到所有的安全要求,以便确保符合单位的安全政策和标准。
合同还要确保单位和第三方之间没有任何误会。
单位在证实第三方的可靠性方面要做到完全放心。
合同中可考虑包括如下要素:
-信息安全的总体政策
-资产保护,包括1)保护单位资产的流程,包括信息和软件;2)诊断资产是否受到破坏的流程,包括数据的损失或修改;3)确保在合同期末或合同期间任意时间点归还或销毁信息的管制手段;4)完整性和可得性;5)限制信息的复制和泄漏
-所提供的所有服务的描述
-标的服务水准和不可接受的服务水准
-人员调动的规定
-合同双方各自的相关责任
-法律方面的责任,比如,数据保护方面的法规,要特别考虑到在合同牵涉到多国组织件合作时各国法律体系的不同(见12.1)
-知识产权和版权的分配(见12.1.2)及合作成果的保护(见6.1.3)
-存取管制合同,包括1)允许的存取办法和管制手段,以及特别标记的运用如使用者身份证和密码;2)对使用者存取和权限的授权过程;3)要求准备一份批准使用服务的个人使用者的名单并载明他们的使用权限
-定义有效的表现评判标准并对其进行监督和回报
-监督、撤销使用者活动的权力
-对合同权责进行审计或指定别人对其审计的权力
-建立解决问题的升级流程;在适当的情况下还要考虑应急安排
-硬件和软件安装和维护方面的责任
-清晰的回报结构和业经同意的回报格式
-清晰具体的变化管理流程
-确保管制手段得以实施的物理保护管制手段和机制
-对使用者和管理者进行培训的方法、流程和安全
-确保防范病毒软件的管制手段(见8.3)
-用于回报、通知和调查安全事故和安全违规的安排
-第三方涉及合同的分包
4.3委外资源管理
目标:
委外加工处理时相关信息的安全管理。
在各方签订的合同中,委外方面的安排要规定信息系统、网络和/或桌面系统环境方面的风险、安全管制和流程。
4.3.1委外加工处理合约内的安全需求
如单位需将其信息系统、网络和/或桌面操作环境系统的管理和管理任务部分或全部地委托给他方实施,此方面的安全要求在有关各方签订的合同中加以规定。
例如,合同应当规定:
-如何满足诸如数据保护等方面的法律要求
-进行哪些安排去确保委外的各方(包括分包方)能意识到其担负的安全责任
-如何维持并检验单位资产的完整性和保密性
-采取哪些物理和逻辑管制手段来限制使用者接触单位的敏感商业信息
-在发生灾难的情况下如何继续或得服务
-对委外设备采取何种水准的物理安全保护
-审计权
4.2.2条款中所述的条件也可作为此合同考虑的要素。
本合同应当允许双方在安全管理计划中对安全要求和流程进行扩展。
尽管委外合同可导致一些复杂的安全问题,其准则中包括的管制手段可被用作安全管理计划的结构和内容的起点。
五、资产分类与管理
5.1资产管理权责
目标:
确保信息资产得以适当保护。
所有重大的信息资产都要有记录和主管人员。
对资产的负责制度将确保对其进行有效的保护。
其主管人员在经指定后要分配其在此方面的主要职责和管制办法。
实施管制的任务可委托给他人,但最后的责任要由资产的主管人员承担。
5..1.1资产的盘点
对资产的盘点可帮助确保有效的资产保护,也可用于其它经营目的,如健康和安全、保险或财务方面的原因。
编制资产盘点的流程是风险管理的重要方面。
单位要能辨明其资产和这些资产的相对价值和重要性。
基于这些信息,单位就可以提供和资产价值及重要性相应的保护级别。
对各个信息系统的重要资产都要编制资产清单并加以保存。
每个资产都要清楚辨明,其主管人员及安全类别(见5.2)、现在的位置等都要确认并登记。
与信息系统有关的资产举些例子可能包括:
-信息资产:
数据库和数据文件、系统文件、使用手册、培训材料、操作和支持流程、持续经营计划、存档信息等
-软件资产:
应用软件、系统软件、开发工具和用具等
-物理资产:
电脑设备(包括处理器、显示器、笔记本电脑、调制解调器等),通讯设备(路由器、PBAX、传真机、答录机等),磁力媒体(录音带、光盘等),其它技术仪器(电源、空调设备等),家具及辅助设施
-服务:
计算和通讯服务,通用设备,如供暖、照明、电、空调等
5.2信息分类
目标:
确保信息资产得到恰当的保护。
对信息进行分类,显示其用途、优先程度和保护级别。
信息具有不同的敏感度和重要性。
有些信息需要额外的保护和处置。
信息分类系统就是确认信息的保护级别,并采取恰当的特殊处置手段。
5.2.1分类原则
信息分类及相关的保护管理办法应符合分享信息或限制信息的要求,符合此类需要所带来的相关后果,例如,对信息的未经批准的使用和毁坏。
总而言之,对信息进行分类是决定如何处理和保护该信息的一个捷径。
要对数据分类系统的信息和输出进行标示,以决定此类信息对单位而言其价值和敏感度的级别。
同样也可按照此类信息对单位的重要程度进行分类标示,例如,按照其完整性和可得性。
经过一段时间之后,信息经常不再敏感或重要,例如,在信息变成公开信息之后。
因此,要考虑这些方面,因为过细的分类会增加额外的费用。
分类知道大纲应当预测并承认信息分类有时间性并岁政策变化而变化这一事实(见9.1)。
还要考虑分类范畴的标号及其益处。
太复杂的标号系统用起来很费劲,即不经济也不实用。
在接触和使用别单位的标号系统时要注意,因为他们的标号虽然和本单位的相同但含义可能完全不同。
对信息类事务(包括文件、数据记录、数据文件或软盘)分类进行定义并进行周期性审订的任务应由信息原来的的制造者或指定的主管人员来完成。
5.2.2信息标示及携带
根据单位制定的分类原则,制定一整套信息标识和操作流程是非常重要的。
这些流程要涵括以物理和电子形式存在的信息资产。
针对每个类别,所定义的操作流程要包括如下类型的信息处理活动:
-复制
-存储
-以邮件、传真、电子邮件方式进行的传送
-以声音,包括移动电话、语音邮件、答录机等方式进行的传送
-销毁
含有敏感重要信息的系统其输出应加以恰当的分类标示。
此标示要求能够反应根据5.2.1条款进行分类的类别。
需要考虑进行标示的物品包括打印出的报告、屏幕显示、被记录的媒体(包括磁带、软盘、光盘、录音带等)、电子消息和传送等。
升级会员 