信息安全管理业务守则.docx
《信息安全管理业务守则.docx》由会员分享,可在线阅读,更多相关《信息安全管理业务守则.docx(109页珍藏版)》请在冰豆网上搜索。
信息安全管理业务守则
信息安全管理业务手则
前言
BS7799本部分内容,即信息安全管理,是在BSI/DISC委员会BDD/2指导下完成的。
它取代了已经停止使用的BS7799:
1995。
BS7799由两个部分组成:
a)第一部分:
信息安全管理业务守则;
b)第二部分:
信息安全管理系统规范。
BS7799-1首发于1995年,它为信息安全提供了一套全面综合最佳实践经验的控制措施。
其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据,并且能够让各种规模的组织所采用。
本标准使用组织这一术语,既包括赢利性组织,也包括诸如公共部门等非赢利性组织。
1999年的修订版考虑到最新的信息处理技术应用,特别是网络和通讯的发展情况。
它也更加强调了信息安全所涉及的商业问题和责任问题。
本文档所说明的控制措施不可能完全适用于所有情况。
它没有考虑到本地系统、环境或技术上的制约因素。
并且在形式上也不可能完全适合组织的所有潜在用户。
因此,本文档还需要有进一步的指导说明作为补充。
例如,在制定公司策略或公司间贸易协定时,可以使用本文档作为一个基石。
BritishStandard作为一个业务守则,在形式上采用指导和建议结合的方式。
在使用时,不应该有任何条条框框,尤其特别注意,不要因为要求遵守守则而因噎废食。
本标准在起草时就已经假定一个前提条件,即标准的执行对象是具有相应资格的、富有经验的有关人士。
附件A的信息非常丰富,其中包含一张表,说明了1995年版各部分与1999年版各条款间的关系。
BritishStandard无意包容合约的所有必要条款。
BritishStandards的用户对他们正确使用本标准自负责任。
符合BritishStandard不代表其本身豁免法律义务。
什么是信息安全?
信息是一种资产,就象其它重要的商业资产一样,它对一个组织来说是有价值的,因此需要妥善进行保护。
信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商业机遇。
信息存在的形式多种多样。
它可以打印或写在纸上,以电子文档形式储存,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。
不管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善保护。
信息安全具有以下特征:
a)保密性:
确保只有经过授权的人才能访问信息;
b)完整性:
保护信息和信息的处理方法准确而完整;
c)可用性:
确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
信息安全是通过实施一整套适当的控制措施实现的。
控制措施包括策略、实践、步骤、组织结构和软件功能。
必须建立起一整套的控制措施,确保满足组织特定的安全目标。
为什么需要信息安全
信息和支持进程、系统以及网络都是重要的业务资产。
为保证组织富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和维护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。
各个组织及其信息系统和网络所面临的安全威胁与日俱增,来源也日益广泛,包括利用计算机欺诈、窃取机密、恶意诋毁破坏等行为以及火灾或水灾。
危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝服务攻击等等,这些行为呈蔓延之势遍、用意更加险恶,而且手段更加复杂。
组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。
公共网络与专用网络的互联以及对信息资源的共享,增大了对访问进行控制的难度。
分布式计算尽管十分流行,但降低了集中式专家级控制措施的有效性。
很多信息系统在设计时,没有考虑到安全问题。
通过技术手段获得安全保障十分有限,必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。
确定需要使用什么控制措施需要周密计划,并对细节问题加以注意。
作为信息安全管理的最基本要求,组织内所有的雇员都应参与信息安全管理。
信息安全管理还需要供应商、客户或股东的参与。
也需要参考来自组织之外的专家的建议。
如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施,那么信息安全控制的成本会很低,并更有效率。
如何制定安全要求
组织确定自己的安全要求,这是安全保护的起点。
安全要求有三个主要来源。
第一个来源是对组织面临的风险进行评估的结果。
通过风险评估,确定风险和安全漏洞对资产的威胁,并评价风险发生的可能性以及潜在的影响。
第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。
第三个来源是一组专门的信息处理的原则、目标和要求,它们是组织为了进行信息处理必须制定的。
评估安全风险
安全要求是通过对安全风险的系统评估确定的。
应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。
风险评估技术适用于整个组织,或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。
在这些地方,风险评估技术不仅切合实际,而且也颇有助益。
进行风险评估需要系统地考虑以下问题:
a)安全故障可能造成的业务损失,包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果;
b)当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施。
评估的结果有助于指导用户确定适宜的管理手段,以及管理信息安全风险的优先顺序,并实施所选的控制措施来防范这些风险。
必须多次重复执行评估风险和选择控制措施的过程,以涵盖组织的不同部分或各个独立的信息系统。
对安全风险和实施的控制措施进行定期审查非常重要,目的是:
a)考虑业务要求和优先顺序的变更;
b)考虑新出现的安全威胁和漏洞;
c)确认控制措施方法是否适当和有效。
应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不同程度的审查。
通常先在一个较高的层次上对风险进行评估(这是一种优先处理高风险区域中的资源的方法),然后在一个具体层次上处理特定的风险。
选择控制措施
一旦确定了安全要求,就应选择并实施适宜的控制措施,确保将风险降低到一个可接受的程度。
可以从本文档或其它控制措施集合选择适合的控制措施,也可以设计新的控制措施,以满足特定的需求。
管理风险有许多方法,本文档提供了常用方法的示例。
但是,请务必注意,其中一些方法并不适用于所有信息系统或环境,而且可能不适用于所有组织。
例如,8.1.4说明了如何划分责任来防止欺诈行为和错误行为。
在较小的组织中很难将所有责任划分清楚,因此需要使用其它方法以达到同样的控制目的。
在降低风险和违反安全造成的潜在损失时,应该根据实施控制措施的成本选择控制措施。
还应该考虑声誉受损等非货币因素。
本文档中的一些控制措施可以作为信息安全管理的指导性原则,这些方法适用于大多数组织。
在下文的“信息安全起点”标题下,对此做了较为详细的解释。
信息安全起点
很多控制措施都可以作为指导性原则,它们为实施信息安全提供了一个很好的起点。
这些方法可以是根据基本的法律要求制定的,也可以从信息安全的最佳实践经验中获得。
从规律规定的角度来看,对组织至关重要的控制措施包括:
a)知识产权(参阅12.1.2);
b)组织记录的保护(参阅12.1.3);
c)对数据的保护和个人信息的隐私权保护(参阅12.1.4)。
在保护信息安全的实践中,非常好的常用控制措施包括:
a)信息安全策略文档(参阅3.1.1);
b)信息安全责任的分配(参阅4.1.3);
c)信息安全教育和培训(参阅6.2.1);
d)报告安全事故(参阅6.3.1);
e)业务连续性管理(参阅11.1)。
这些控制措施适用于大多数组织,并可在大多数环境中使用。
请注意,尽管本文档中的所有文档都很重要,但一种方法是否适用,还是取决于一个组织所面临的特定安全风险。
因此,尽管采用上述措施可以作为一个很好的安全保护起点,但不能取代根据风险评估结果选择控制措施的要求。
成功的关键因素
以往的经验表明,在组织中成功地实施信息安全保护,以下因素是非常关键的:
a)反映组织目标的安全策略、目标以及活动;
b)与组织文化一致的实施安全保护的方法;
c)来自管理层的实际支持和承诺;
d)对安全要求、风险评估以及风险管理的深入理解;
e)向全体管理人员和雇员有效地推销安全的理念;
f)向所有雇员和承包商宣传信息安全策略的指导原则和标准;
g)提供适当的培训和教育;
h)一个综合平衡的测量系统,用来评估信息安全管理的执行情况和反馈意见和建议,以便进一步改进。
制定自己的指导方针
业务规则可以作为制定组织专用的指导原则的起点。
本业务规则中的指导原则和控制措施并非全部适用。
因此,还可能需要本文档未包括的其它控制措施。
出现上述情况时,各控制措施之间相互参照很有用,有利于审计人员和业务伙伴检查是否符合安全指导原则。
112
2术语和定义13
2.1信息安全13
2.2风险评估13
2.3风险管理13
3安全策略14
3.1信息安全策略14
3.1.1信息安全策略文档14
3.1.2审查评估14
4组织的安全15
4.1信息安全基础设施15
4.1.1管理信息安全论坛15
4.1.2信息安全的协调15
4.1.3信息安全责任的划分15
4.1.4信息处理设施的授权程序16
4.1.5专家信息安全建议16
4.1.6组织间的合作16
4.1.7信息安全的独立评审17
4.2第三方访问的安全性17
4.2.1确定第三方访问的风险17
4.2.2第三方合同的安全要求18
4.3外包19
4.3.1外包合同的安全要求19
5资产分类管理20
5.1资产责任20
5.1.1资产目录20
5.2信息分类20
5.2.1分类原则20
5.2.2信息标识和处理21
6人员安全22
6.1责任定义与资源管理的安全性22
6.1.1考虑工作责任中的安全因素22
6.1.2人员选拔策略22
6.1.3保密协议22
6.1.4雇佣条款和条件22
6.2用户培训23
6.2.1信息安全的教育与培训23
6.3对安全事故和故障的处理23
6.3.1安全事故报告23
6.3.2安全漏洞报告23
6.3.3软件故障报告24
6.3.4从事故中吸取教训24
6.3.5纪律检查程序24
7实际和环境的安全25
7.1安全区25
7.1.1实际安全隔离带25
7.1.2安全区出入控制措施25
7.1.3办公场所、房屋和设施的安全保障26
7.1.4在安全区中工作26
7.1.5与其它区域隔离的交货和装载区域26
7.2设备的安全27
7.2.1设备选址与保护27
7.2.2电源28
7.2.3电缆安全28
7.2.4设备维护28
7.2.5场外设备的安全28
7.2.6设备的安全处置与重用29
7.3常规控制措施29
7.3.1桌面与屏幕管理策略29
7.3.2资产处置30
8通信与操作管理31
8.1操作程序和责任31
8.1.1明确的操作程序31
8.1.2操作变更控制31
8.1.3事故管理程序31
8.1.4责任划分32
8.1.5开发设施与运营设施分离32
8.1.6外部设施管理33
8.2系统规划与验收33
8.2.1容量规划34
8.2.2系统验收34
8.3防止恶意软件35
8.3.1恶意软件的控制措施35
8.4内务处理36
8.4.1信息备份36
8.4.2操作人员日志36
8.4.3错误日志记录36
8.5网络管理36
8.5.1网络控制措施37
8.6介质处理与安全37
8.6.1计算机活动介质的管理37
8.6.2介质处置37
8.6.3信息处理程序38
8.6.4系统文档的安全38
8.7信息和软件交换38
8.7.1信息和软件交换协议38
8.7.2传输中介质的安全39
8.7.3电子商务安全39
8.7.4电子邮件安全40
8.7.5电子办公系统安全40
8.7.6信息公布系统41
8.7.7其它的信息交换形式41
9访问控制43
9.1访问控制的业务要求43
9.1.1访问控制策略43
9.2用户访问管理44
9.2.1用户注册44
9.2.2权限管理44
9.2.3用户口令管理45
9.2.4用户访问权限检查45
9.3用户责任46
9.3.1口令的使用46
9.3.2无人值守的用户设备46
9.4网络访问控制46
9.4.1网络服务的使用策略47
9.4.2实施控制的路径47
9.4.3外部连接的用户身份验证47
9.4.4节点验证48
9.4.5远程诊断端口的保护48
9.4.6网络划分48
9.4.7网络连接控制48
9.4.8网络路由控制49
9.4.9网络服务安全49
9.5操作系统访问控制50
9.5.1终端自动识别功能50
9.5.2终端登录程序50
9.5.3用户身份识别和验证50
9.5.4口令管理系统51
9.5.5系统实用程序的使用51
9.5.6保护用户的威胁报警52
9.5.7终端超时52
9.5.8连接时间限制52
9.6应用程序访问控制53
9.6.1信息访问限制53
9.6.2敏感系统的隔离53
9.7监控系统的访问和使用54
9.7.1事件日志记录54
9.7.2监控系统的使用54
9.7.3时钟同步55
9.8移动计算和远程工作56
9.8.1移动计算56
9.8.2远程工作56
10系统开发与维护58
10.1系统的安全要求58
10.1.1安全要求分析和说明58
10.2应用系统中的安全58
10.2.1输入数据验证58
10.2.2内部处理的控制59
10.2.3消息验证59
10.2.4输出数据验证60
10.3加密控制措施60
10.3.1加密控制措施的使用策略60
10.3.2加密60
10.3.3数字签名61
10.3.4不否认服务61
10.3.5密钥管理61
10.4系统文件的安全62
10.4.1操作软件的控制62
10.4.2系统测试数据的保护63
10.4.3对程序源代码库的访问控制63
10.5开发和支持过程中的安全63
10.5.1变更控制程序63
10.5.2操作系统变更的技术评审64
10.5.3对软件包变更的限制64
10.5.4隐蔽通道和特洛伊代码64
10.5.5外包的软件开发65
11业务连续性管理66
11.1业务连续性管理的特点66
11.1.1业务连续性管理程序66
11.1.2业务连续性和影响分析66
11.1.3编写和实施连续性计划66
11.1.4业务连续性计划框架67
11.1.5业务连续性计划的检查、维护和重新分析67
12符合性69
12.1符合法律要求69
12.1.1确定适用法律69
12.1.2知识产权(IPR)69
12.1.3组织记录的安全保障69
12.1.4个人信息的数据保护和安全70
12.1.5防止信息处理设施的滥用70
12.1.6加密控制措施的调整71
12.1.7证据收集71
12.2安全策略和技术符合性的评审72
12.2.1符合安全策略72
12.2.2技术符合性检查72
12.3系统审计因素72
12.3.1系统审计控制措施72
12.3.2系统审计工具的保护73
范围
BS7799本部分内容为那些负责执行或维护组织安全的人员提供使用信息安全管理的建议。
目的是为制定组织安全标准和有效安全管理提供共同基础,并提高组织间相互协调的信心。
术语和定义
在说明本文档用途中应用了以下定义。
信息安全
信息保密性、完整性和可用性的保护
注意
保密性的定义是确保只有获得授权的人才能访问信息。
完整性的定义是保护信息和处理方法的准确和完整。
可用性的定义是确保获得授权的用户在需要时可以访问信息并使用相关信息资产。
风险评估
评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性
风险管理
以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程
安全策略
信息安全策略
目标:
提供管理指导,保证信息安全。
管理层应制定一个明确的安全策略方向,并通过在整个组织中发布和维护信息安全策略,表明自己对信息安全的支持和保护责任。
信息安全策略文档
策略文档应该由管理层批准,根据情况向所有员工公布传达。
文档应说明管理人员承担的义务和责任,并制定组织的管理信息安全的步骤。
至少应包括以下指导原则:
a)信息安全的定义、其总体目标及范围以及安全作为保障信息共享的机制所具有的重要性(参阅简介);
b)陈述信息安全的管理意图、支持目标以及指导原则;
c)简要说明安全策略、原则、标准以及需要遵守的各项规定。
这对组织非常重要,例如:
1)符合法律和合约的要求;
2)安全教育的要求;
3)防止并检测病毒和其它恶意软件;
4)业务连续性管理;
5)违反安全策略的后果;
d)确定信息安全管理的一般责任和具体责任,包括报告安全事故;
e)参考支持安全策略的有关文献,例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。
安全策略应该向组织用户传达,形式上是针对目标读者,并为读者接受和理解。
审查评估
每个策略应该有一个负责人,他根据明确规定的审查程序对策略进行维护和审查。
审查过程应该确保在发生影响最初风险评估的基础的变化(如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更)时,对策略进行相应的审查。
还应该进行以下预定的、阶段性的审查:
a)检查策略的有效性,通过所记录的安全事故的性质、数量以及影响反映出来;
b)控制措施的成本及其业务效率的影响;
c)技术变化带来的影响。
组织的安全
信息安全基础设施
目标:
管理组织内部的信息安全。
应该建立管理框架,在组织内部开展和控制信息安全的管理实施。
应该建立有管理领导层参加的管理论坛,以批准信息安全策略、分配安全责任并协调组织范围的安全策略实施。
根据需要,应该建立专家提出信息安全建议的渠道,并供整个组织使用。
建立与公司外部的安全专家的联系,保持与业界的潮流、监视标准和评估方法同步,并在处理安全事故时吸收他们的观点。
应该鼓励采用跨学科跨范围的信息安全方法,例如,让管理人员、用户、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作,让他们参与保险和风险管理的工作。
管理信息安全论坛
信息安全是一种由管理团队所有成员共同承担的业务责任。
应该建立一个管理论坛,确保对安全措施有一个明确的方向并得到管理层的实际支持。
论坛应通过合理的责任分配和有效的资源管理促进组织内部安全。
该论坛可以作为目前管理机构的一个组成部分。
通常,论坛有以下作用:
a)审查和核准信息安全策略以及总体责任;
b)当信息资产暴露受到严重威胁时,监视重大变化;
c)审查和监控安全事故;
d)审核加强信息安全的重要活动。
一个管理人员应负责所有与安全相关的活动。
信息安全的协调
在大型组织中,需要建立一个与组织规模相宜的跨部门管理论坛,由组织有关部门的管理代表参与,通过论坛协调信息安全控制措施的实施情况。
通常,这类论坛:
a)就整个公司的信息安全的作用和责任达成一致;
b)就信息安全的特定方法和处理过程达成一致,如风险评估、安全分类系统;
c)就整个公司的信息安全活动达成一致并提供支持,例如安全警报程序;
d)确保将安全作为制定信息计划的一个部分;
e)对控制措施是否完善进行评估,并协调新系统或新服务的特定信息安全控制措施的实施情况;
f)审查信息安全事故;g)在整个组织中增加对信息安全工作支持的力度。
信息安全责任的划分
应该明确保护个人资产和执行具体安全程序步骤的责任。
信息安全策略(请参阅条款3)应提供在组织内分配安全任务和责任的一般指导原则。
如果需要,可以为特定的站点、系统或服务补充更加详细的指导原则。
应明确说明对各个实际资产和信息资产以及安全进程(如业务连续性规划)的保护责任。
在很多组织中,指定信息安全管理员负责开展和实施安全保护,并帮助确定控制措施。
但是,资源管理以及实施控制措施仍由各个管理人员负责。
一种常用的方法是为每项信息资产指定一个所有者,并由他负责该资产的日常安全问题。
信息资产的所有者将其所承担的安全责任委托给各个管理人员或服务提供商。
尽管所有者仍对该资产的安全负有最终责任,但可以确定被委托的人是否正确履行了责任。
一定要明确说明各个管理人员所负责的范围;特别是要明确以下范围。
a)必须确定并明确说明由谁负责各种资产和与每个系统相关的安全进程。
b)应该确定负责各个资产和安全进程的管理人员,并记录责任的具体落实情况。
c)应明确规定授权级别并进行备案。
信息处理设施的授权程序
对于新的信息处理设施,应该制定管理授权程序。
应考虑以下问题。
a)新设施应获得适当的用户管理审核,授权新设施的范围和使用。
应获得负责维护本地信息系统安全环境的管理人员的批准,以确保符合所有相关安全策略和要求。
b)如果需要,应检查硬件和软件以确保它们与其它系统组件兼容。
c)请注意,某些连接可能需要对类型进行核实。
d)使用个人信息处理工具处理业务信息和其它必要的控制措施应得到授权。
e)在工作场所使用个人信息处理工具会带来新的漏洞,因此需要进行评估和授权。
在联网的环境中,这些控制措施特别重要。
专家信息安全建议
很多组织都需要专家级的信息安全建议。
理想情况下,一位资深的全职信息安全顾问应该提出以下建议。
并不是所有组织都希望雇佣专家顾问。
在这种情况下,我们建议专家负责协调公司内部的知识和经验资源,以确保协调一致,并在安全决策方面提供帮助。
各个组织应该与公司以外的顾问保持联系,在自己不了解的领域,倾听他们的专门建议。
信息安全顾问或其它专家应负责为信息安全的各种问题提供建议,这些意见既可以来自他们本人,也可以来自外界。
组织的信息安全工作的效率如何,取决于他们对安全威胁评估的质量和建议使用的控制措施。
为得到最高的效率和最好的效果,信息安全顾问可以直接与管理层联系。
在发生可疑的安全事故或破坏行为时,应尽早向信息安全顾问或其它专家进行咨询,以得到专家的指导或可供研究的资源。
尽管多数内部安全调查是在管理层的控制下进行的,但仍然应该邀请安全顾问,倾听他们的建议,或由他们领导、实施这一调研活动。
组织间的合作
与执法机关、管理部门、信息服务提供商和通信运营商签署的合同应保证:
在发生安全事故时,能迅速采取行动并获得建议。
同样的,也应该考虑加入安全组织和业界论坛。
应严格限制对安全信息的交换,以确保组织的保密信息没有传播给XX的人。
信息安全的独立评审
信息安全策略文档(参见3.1.1)制定了信息安全的策略和责任。
必须对该文档的实施情
升级会员 