11信息技术安全技术信息安全管理实用规则doc.docx
《11信息技术安全技术信息安全管理实用规则doc.docx》由会员分享,可在线阅读,更多相关《11信息技术安全技术信息安全管理实用规则doc.docx(115页珍藏版)》请在冰豆网上搜索。
11信息技术安全技术信息安全管理实用规则doc
信息技术安全技术
信息安全管理实用规则
Informationtechnology-Securitytechniques
-Codeofpracticeforinformationsecuritymanagement
(ISO/IEC17799:
2005)
目次
引言...................................................................III
0.1什么是信息安全?
.....................................................III
0.2为什么需要信息安全?
.................................................III
0.3如何建立安全要求.....................................................III
0.4评估安全风险..........................................................IV
0.5选择控制措施..........................................................IV
0.6信息安全起点..........................................................IV
0.7关键的成功因素.........................................................V
0.8开发你自己的指南.......................................................V
1范围.......................................................................1
2术语和定义.................................................................1
3本标准的结构...............................................................2
3.1章节...................................................................2
3.2主要安全类别...........................................................3
4风险评估和处理.............................................................3
4.1评估安全风险...........................................................3
4.2处理安全风险...........................................................4
5安全方针...................................................................4
5.1信息安全方针...........................................................4
6信息安全组织...............................................................6
6.1内部组织...............................................................6
6.2外部各方..............................................................10
7资产管理..................................................................15
7.1对资产负责............................................................15
7.2信息分类..............................................................16
8人力资源安全..............................................................18
8.1任用之前..............................................................18
8.2任用中................................................................20
8.3任用的终止或变化......................................................21
9物理和环境安全............................................................23
9.1安全区域..............................................................23
9.2设备安全..............................................................26
10通信和操作管理...........................................................29
10.1操作程序和职责.......................................................29
10.2第三方服务交付管理...................................................32
10.3系统规划和验收.......................................................33
10.4防范恶意和移动代码...................................................34
10.5备份.................................................................36
10.6网络安全管理.........................................................37
10.7介质处置.............................................................38
10.8信息的交换...........................................................40
I
10.9电子商务服务.........................................................44
10.10监视................................................................46
11访问控制.................................................................50
11.1访问控制的业务要求...................................................50
11.2用户访问管理.........................................................51
11.3用户职责.............................................................53
11.4网络访问控制.........................................................55
11.5操作系统访问控制.....................................................58
11.6应用和信息访问控制...................................................62
11.7移动计算和远程工作...................................................63
12信息系统获取、开发和维护.................................................65
12.1信息系统的安全要求...................................................65
12.2应用中的正确处理.....................................................66
12.3密码控制.............................................................68
12.4系统文件的安全.......................................................70
12.5开发和支持过程中的安全...............................................72
12.6技术脆弱性管理.......................................................75
13信息安全事件管理.........................................................76
13.1报告信息安全事态和弱点...............................................76
13.2信息安全事件和改进的管理.............................................78
14业务连续性管理...........................................................80
14.1业务连续性管理的信息安全方面.........................................80
15符合性...................................................................84
15.1符合法律要求.........................................................84
15.2符合安全策略和标准以及技术符合性.....................................87
15.3信息系统审核考虑.....................................................88
II
引言
0.1什么是信息安全?
象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。
在业务环境互连日益增加的情况下这一点显得尤为重要。
这种互连性的增加
导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。
信息可以以多种形式存在。
它可以打印或写在纸上、以电子方式存储、用邮寄或电子
手段传送、呈现在胶片上或用语言表达。
无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。
信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投
资回报和商业机遇最大化。
信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结
构以及软件和硬件功能。
在需要时需建立、实施、监视、评审和改进这些控制措施,以确
保满足该组织的特定安全和业务目标。
这个过程应与其他业务管理过程联合进行。
0.2为什么需要信息安全?
信息及其支持过程、系统和网络都是重要的业务资产。
定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。
各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间
谍活动、恶意破坏、毁坏行为、火灾或洪水。
诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。
信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。
在这两
部分中信息安全都将作为一个使动者,例如实现电子政务或电子商务,避免或减少相关风险。
公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。
分布式
计算的趋势也削弱了集中的、专门控制的有效性。
许多信息系统并没有被设计成是安全的。
通过技术手段可获得的安全性是有限的,应该通过适当的管理和规程给予支持。
确定哪些控制措施要实施到位需要仔细规划并注意细
节。
信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关人、供应商、
第三方、顾客或其他外部团体的参与。
外部组织的专家建议可能也是需要的。
0.3如何建立安全要求
组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
1、一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。
通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性
和威胁发生的可能性,估计潜在的影响。
III
2、另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。
3、第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的
特定集合。
0.4评估安全风险
安全要求是通过对安全风险的系统评估予以识别的。
用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。
风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及
实现所选择的用以防范这些风险的控制措施。
风险评估应定期进行,以应对可能影响风险评估结果的任何变化。
更多的关于安全风险评估的信息见第4.1节“评估安全风险”。
0.5选择控制措施
一旦安全要求和风险已被识别并已作出风险处理决定,则应选择并实现合适的控制措施,以确保风险降低到可接受的级别。
控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。
安全控制措施的选择依赖于组织所作出的决定,该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法,同时还要遵守所有相关的国家和国际法律法规。
本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。
下面在题为“信息安全起点”中将更详细的解释这些控制措施。
更多的关于选择控制措施和其他风险处理选项的信息见第4.2节“处理安全风险”。
0.6信息安全起点
许多控制措施被认为是实现信息安全的良好起点。
它们或者是基于重要的法律要求,或者被认为是信息安全的常用惯例。
从法律的观点看,对某个组织重要的控制措施包括,根据适用的法律:
a)数据保护和个人信息的隐私(见15.1.4);
b)保护组织的记录(见15.1.3);
c)知识产权(见15.1.2)。
被认为是信息安全的常用惯例的控制措施包括:
a)信息安全方针文件(见5.1.1);
b)信息安全职责的分配(见6.1.3);
c)信息安全意识、教育和培训(见8.2.2);
d)应用中的正确处理(见12.2);
e)技术脆弱性管理(见12.6);
f)业务连续性管理(见14);
g)信息安全事件和改进管理(见13.2)。
IV
这些控制措施适用于大多数组织和环境。
应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据某
个组织所面临的特定风险来确定任何一种控制措施是否是合适的。
因此,虽然上述方法被
认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。
0.7关键的成功因素
经验表明,下列因素通常对一个组织成功地实现信息安全来说,十分关键:
a)反映业务目标的信息安全方针、目标以及活动;
b)和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架;
c)来自所有级别管理者的可视化的支持和承诺;
d)正确理解信息安全要求、风险评估和风险管理;
e)向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识;
f)向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见;
g)提供资金以支持信息安全管理活动;
h)提供适当的意识、培训和教育;
i)建立一个有效的信息安全事件管理过程;
j)实现一个测量1系统,它可用来评价信息安全管理的执行情况和反馈的改进建议。
0.8开发你自己的指南
本实用规则可认为是组织开发其详细指南的起点。
对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和
指南。
为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文
件时,对本标准中条款的相互参考可能是有用的。
1注意信息安全测量不在本标准范围内。
V
信息技术安全技术信息安全管理实用规则
1范围
本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。
本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。
本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。
本标准可作为
建立组织的安全准则和有效安全管理惯例的实用指南,并有利于在组织间的活动中建立信心。
2术语和定义
下列术语和定义适用于本标准。
2.1资产asset
对组织有价值的任何东西[ISO/IEC13335-1:
2004]。
2.2控制措施control
管理风险的方法,包括策略、规程、指南、惯例或组织结构。
它们可以是行政、技术、管理、法律等方面的。
注:
控制措施也用于防护措施或对策的同义词。
2.3指南guideline
阐明应做什么和怎么做以达到方针策略中制定的目标的描述[ISO/IECTR13335-1:
2004]
2.4信息处理设施informationprocessingfacilities
任何信息处理系统、服务或基础设施,或放置它们的场所
2.5信息安全informationsecurity
保持信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等
2.6信息安全事态informationsecurityevent
信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IECTR
18044:
2004]
2.7信息安全事件informationsecurityincident
一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IECTR18044:
2004]
2.8方针policy
管理者正式发布的总的宗旨和方向
1
2.9风险risk
事件的概率及其结果的组合[ISO/IECGuide73:
2002]
2.10风险分析riskanalysis
系统地使用信息来识别风险来源和估计风险[ISO/IECGuide73:
2002]
2.11风险评估riskassessment
风险分析和风险评价的整个过程[ISO/IECGuide73:
2002]
2.12风险评价riskevaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IECGuide
73:
2002]
2.13风险管理riskmanagement
指导和控制一个组织相关风险的协调活动注:
风险管理一般包括风险评估、风险处理、风险接受和风险传递[ISO/IECGuide73:
2002]
2.14风险处理risktreatment
选择并且执行措施来更改风险的过程[ISO/IECGuide73:
2002]
2.15第三方thirdparty
就所涉及的问题被公认为是独立于有关各方的个人或机构[ISOGuide2:
1996]
2.16威胁threat
可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IECTR13335-1:
2004]
2.17脆弱性vulnerability
可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IECTR13335-1:
2004]
3本标准的结构
本标准包括11个安全控制措施的章节(共含有39个主要安全类别)和1个介绍风险评估和处理的章节。
3.1章节
每一章包含多个主要安全类别。
11个章节(连同每一章中所包含的主要安全类别的数量)是:
a)安全方针
(1);
b)信息安全组织
(2);
c)资产管理
(2);
d)人力资源安全(3);
e)物理和环境安全
(2);
2
f)通信和操作管理(10);
g)访问控制(7);
h)信息系统获取、开发和维护(6);
i)信息安全事件管理
(2);
j)业务连续性管理
(1);
k)符合性(3)。
注:
本标准中章节的顺序不表示其重要性。
根据不同的环境,所有章节都可能是重要
的,因此应用本标准的每一个组织应识别适用的章节及其重要性,以及它们对各个业务过程的适用性。
另外,本标准的排列均没有优先顺序,除非另外注明。
3.2主要安全类别
每一个主要安全类别包含:
a)一个控制目标,声明要实现什么;
b)一个或多个控制措施,可被用于实现该控制目标。
控制措施的描述结构如下:
控制措施
定义满足控制目标的特定的控制措施的陈述。
实施指南
为支持控制措施的实施和满足控制目标,提供更详细的信息。
本指南的某些内容可能
不适用于所有情况,所以其他实现控制