信息安全管理标准.doc

BS7799信息安全管理标准Worldwide StandardsHaving trouble locating an overseas standard? BSI has the solutionWITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUNWorldwide Standards Direct is the fast, cost-effective standards service.Contact us on:e-mail:Tel +44(0)20 8996 9001Fax +44(0)20 8996 7001Information security managementPart 1: Code of practice for information security management信息安全管理标准第一部分：信息安全管理惯例目录Worldwide Standards2Having trouble locating an overseas standard? BSI has the solution2WITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUN2第一部分：信息安全管理惯例3序14简介15什么是信息安全？15为什么需要信息安全15如何制定安全需求16评估信息风险16安全控制的选择16信息安全的出发点17重要的成功因素17开发你自己的指导方针171.范围192.术语与定义202.1信息安全202.2风险评估202.3风险管理203.安全策略213.1信息安全策略213.1.1信息安全策略文件213.1.2复审及评估214.安全组织224.1息安全架构224.1.1管理信息安全论坛224.1.2信息安全的协调224.1.3信息安全责任的分配224.1.4息处理设备的授权步骤234.1.5信息安全专家的意见234.1.6组织之间的合作244.1.7信息安全的独立复审244.2第三方访问的安全244.2.1确认第三方访问的风险访问的种类访问的原因现场合同方254.2.2第三方合同的安全要求254.3外包服务264.3.1外包合同的安全要求265.资产分类与控制285.1资产的使用说明285.1.1资产清单285.2信息分类285.2.1分类的指南295.2.2信息标注及处理296.人员安全306.1岗位定义及资源分配的安全306.1.1岗位责任的安全306.1.2人事过滤及策略306.1.3保密协议316.1.4雇佣条款316.2用户培训316.2.1信息安全教育及培训316.3安全事件及失常的反应措施316.3.1报告安全事件326.3.2报告安全的弱点326.3.3报告系统的故障326.3.4吸取教训326.3.5处罚程序327.物理与环境的安全337.1安全区域337.1.1物理安全地带337.1.2物理入口的控制337.1.3保护办公室、房间及设备347.1.4在安全地带工作347.1.5隔离的交付及装载地方347.2设备的安全357.2.1设备的放置及保护357.2.2电力的供应367.2.3电缆线路的安全367.2.4设备的维护367.2.5设备离开大厦的安全377.2.6设备的安全清除或重用377.3一般控制377.3.1收拾桌子及清除屏幕的策略377.3.2财物的搬迁388.通讯与操作的管理398.1操作步骤及责任398.1.1文档化操作程序398.1.2操作变动的控制398.1.3安全事件管理程序408.1.4责任分开制408.1.5开发及正式使用设备的分开418.1.6外部设备的管理418.2系统规划及接收418.2.1储存量的计划428.2.2系统接收428.3对付恶意软件428.3.1控制恶意软件438.4备份及恢复性常务管理438.4.1信息备份438.4.2操作员日志448.4.3对错误进行记录448.5网络管理448.5.1网络控制448.6介质的处理与安全458.6.1可移动计算机介质的管理458.6.2介质的清除458.6.3信息处理的程序468.6.4系统说明文档的安全468.7信息与软件的交换468.7.1信息及软件交换协议468.7.2传递中介质的安全478.7.3电子商务的安全478.7.4电子邮件的安全4安全风险4电子邮件的策略488.7.5电子办公室系统的安全488.7.6可公用的系统498.7.7其它形式的信息交换499.访问控制509.1访问控制的业务需求509.1.1访问控制策略50策略及业务需求50访问控制规定509.2用户访问的管理519.2.1用户登记519.2.2特权管理519.2.3用户口令的管理529.2.4用户访问权限的检查529.3用户责任529.3.1口令的使用529.3.2无人看管的用户设备539.4网络访问控制539.4.1网络服务的使用策略539.4.2强制式路径549.4.3外部连接的用户认证549.4.4网点认证549.4.5远程诊断端口的保护559.4.6网络的隔离559.4.7网络连接控制559.4.8网络路由的控制559.4.9网络服务的安全569.5操作系统的访问控制569.5.1自动认证终端569.5.2终端的登录程序569.5.3用户标识及认证579.5.4口令管理系统579.5.5系统工具的使用589.5.6为保障安全的人员配备强迫警钟589.5.7终端超时589.5.8连接时间的限制589.6应用系统的访问控制589.6.1信息访问的限制599.6.2敏感系统的隔离599.7系统访问和使用的监控599.7.1事件记录599.7.2监控系统的使用60风险的程序及区域60风险因素60对事件进行日志记录和审查609.7.3时钟的同步619.8移动操作及远程办公619.8.1移动操作619.8.2远程工作6210.系统开发与维护6310.1系统的安全要求6310.1.1安全要求分析及规格6310.2应用系统中的安全6310.2.1输入数据的核实6310.2.2内部处理的控制64有风险的地方64检查及控制6410.2.3消息认证6410.2.4输出数据的核实6510.3密码控制6510.3.1密码控制的使用策略6510.3.2加密6610.3.3数字签名6610.3.4不可抵赖服务6610.3.5密钥管理67密钥的保护67标准，程序及方法6710.4系统文件的安全6810.4.1运行软件的控制6810.4.2系统测试数据的保护6810.4.3源程序库的访问控制6810.5开发及支持程序的安全6910.5.1改动控制程序6910.5.2操作系统改动的技术检查7010.5.3更改软件包的限制7010.5.4隐蔽通道及特洛伊代码7010.5.5外包软件的开发7011.业务连续性管理7111.1.关于业务连续性管理7111.1.1业务连续性管理的过程7111.1.2业务连续性及影响的分析7111.1.3撰写及实施连续性计划7111.1.4业务连续性计划的框架7211.1.5测试、维护及重新评估业务连续性计划7测试该计划7维护及重新评估该计划7312.遵循性7412.1是否遵守法律7412.1.1确定适用的法律7412.1.2知识产权74版权74软件版权7412.1.3保障机构的记录7512.1.4数据保护及个人信息的隐私7512.1.5防止信息处理设备被滥用7612.1.6密码控制的规定7612.1.7证据的收集76证据的规则76证据的适用性77证据的质量和完备性7712.2核对安全策略及技术合格性7712.2.1与安全策略一致7712.2.2技术依从性的检查7712.3系统审计的考虑7912.3.1系统审计控制7912.3.2对系统审计工具的保护79第二部分：信息安全管理系统的规范811.范围812.术语与定义813.信息安全管理系统的要求813.1概要813.2建立一个管理架构813.3实施813.4文档823.5文档控制823.6记录834.详细监控854.1安全策略854.1.1 信息安全策略8信息安全策略文档8检查和评价854.2安全组织854.2.1信息安全基础设施8 管理层信息安全论坛8 信息安全的协调8 信息安全职责的分配8 信息处理设施的授权过程8 专家信息安全建议8 各机构之间的协作8 信息安全的独立检查864.2.2 第三方访问的安全8第三方访问的风险的识别8 在第三方合同中的安全要求864.2.3 外部采购8 在外购合同中的安全要求864.3资产分类与控制874.3.1资产的可说明性8资产的盘点874.3.2信息分类8分类方针8信息标签和处理874.4人员安全874.4.1工作定义和资源中的安全8工作责任的安全8员工筛选和策略8保密协议8雇佣的条款和条件884.4.2 用户培训8 信息安全教育和培训884.4.3 安全事故与故障的处理8 报告突发安全事故8 报告安全弱点8 报告软件故障8 从事故中吸取教训8 纠正过程894.5物理与环境的安全894.5.1 安全地区8 物理安全边界8 物理接口控制8 保护办公室、房间和设施8 在安全地区工作8 隔离的运输和装载地区894.5.2 设备安全8 设备放置地点的选择与保护8 电源供应90 电缆安全90 设备维护90 在机构外部使用设备时应注意的安全性90 设备应该被安全地处理掉和再使用904.5.3 一般控制90 清洁桌面与清洁屏幕策略90 资产的删除904.6通讯与操作的管理904.6.1 操作过程与职责90 记录操作过程9 针对操作变化的控制9 事件管理程序9 职责分离9 开发设施与操作设施的分离9 外部设施管理914.6.2 系统计划与验收9 容量计划9 系统验收914.6.3 针对恶意软件的防护9 采取控制来防范恶意软件924.6.4 内务处理9 信息备份9 操作员日志9 出错日志924.6.5 网络管理9 网络控制924.6.6 介质处理和安全9 计算机可移动介质的管理9 介质处理9 信息处理程序9 系统文档的安全934.6.7 信息及软件的交换9 信息和软件的交流协议9 传输过程中的介质安全9 电子商务安全9 电子邮件安全9 电子办公系统的安全9 信息发布系统的安全9 其它方式的信息交换944.7 访问控制944.7.1 访问控制的商业需求9 访问控制策略944.7.2 用户访问管理9 用户注册9 特权管理9 用户口令管理9 用户访问权限审查954.7.3 用户职责9 口令的使用9 易被忽略的用户设备954.7.4 网络访问控制9 网络服务的使用策略9 增强的路径9 外部连接的用户认证9 节点认证9 对远程诊断端口的保护9 网络隔离9 网络连接控制9 网络路由控制9 网络服务的安全性964.7.5 操作系统访问控制9 自动终端认证9 终端登录过程9 用户标识和认证9 口令管理系统9 系统工具的使用9 用警告信息保护用户9 终端超时9 连接时间的限制974.7.6 应用系统的访问控制9 信息访问限制9 敏感系统的隔离974.7.7 监控对系统的访问和使用9 事件日志9 监控对系统的使用情况9 时钟同步984.7.8 移动计算与远程工作9 移动计算9 远程工作984.8 系统开发与维护984.8.1 系统的安全需求9 安全需求分析与描述984.8.2 应用系统的安全9 对输入数据进行有效性确认9 对内部处理的控制9 消息认证9 对输出数据进行有效性确认994.8.3 密码控制9 密码控制的使用策略9 加密9 数字签名9 不可否认服务9 密钥管理994.8.4 系统文件的安全性100 对业务软件的控制100 对系统测试数据的保护100 对程序源代码库的访问控制1004.8.5 在软件开发与支持过程中的安全性100 变化控制程序100 针对操作系统变化的技术审查100 限制对软件包的修改100 隐蔽信道和特洛依木马代码100 外包软件开发1014.9 业务连续性管理1014.9.1 业务连续性管理的各个方面10 业务连续性管理的进程10 业务连续性与影响分析10 连续性计划的撰写与实施10 业务连续性计划的框架10 测试、维护与重新评估业务连续性计划1014.10遵循性1014.10.1 与法律要求的一致性10 识别适用的立法10 知识产权10 保护机构的文档记录10 数据保护与个人信息隐私10 防止信息处理设备的误用10 密码控制制度10 证据收集1024.10.2 安全策略与技术遵循性的复审10 与安全策略的一致性10 技术遵循性检查1034.10.3 系统审计的考虑10 系统审计控制10 系统审计工具的保护103序BS7799的这个部分是在BSI/DISC委员会BDD/2-信息安全管理部监督下完成的，用来代替BS7799:1995.BS7799分两部分发布：-第一部分：信息安全管理惯例-第二部分：信息安全管理规范简介什么是信息安全？信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。因此信息安全的特征是保留信息的如下特性：1） 保密性(confidentiality)：保证信息只让合法用户访问；2） 完整性(integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completeness）；3） 可用性(availability)：保证合法用户在需要时可以访问到信息及相关资产。实现信息安全要有一套合适的控制（controls），如策略（policies）、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。为什么需要信息安全信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。如何制定安全需求识别出一个机构的安全需求是很重要的。安全需求有三个主要来源。第一个来源是对机构面临的风险的评估。经过评估风险后，便可以找出对机构资产安全的威胁，对漏洞及其出现的可能性以及造成多大损失有个估计。第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处理的规定。评估安全风险安全需求经过系统地评估安全风险而得到确认。实现安全控制的费用应该与由于安全失败所导致的业务损失之间取得平衡。风险评估可以在整个机构或机构的一部分、单个信息系统、某个系统部件或服务上实行，只要是可行的、现实的和有益的就可以了。 风险评估是系统地考虑下列内容的结果：a) 安全措施失效后所造成的业务损失，要考虑到信息和其它资产失去保密性、完整性和可用性后的潜在后果；b) 最常见的威胁、漏洞以及最近实施的安全控制失败的现实可能性。评估结果会有助于指导和确定合适的管理行动和管理信息安全风险的优先次序，以及实施选择的来抵御这些风险的合适的安全控制。风险评估及安全控制的选择的进程可能要重复几次，以便覆盖机构不同部门或个别信息系统。重要的是要定期复审安全风险和实施的安全控制，以便：a) 考虑业务需求和优先级的变化；b) 考虑新出现的威胁与漏洞；c) 确认安全控制仍然有效并且合适。复审应该在不同深度上被执行，这依赖于以前的复审结果和管理层准备接受的风险的变化水平。风险评估一般是首先从高层开始，目的是提高位于高风险区的资源的优先级，然后在一个更详细的层次上来说明特定的风险。选择控制一旦找出了安全需求，下一步应是选择及实施安全控制来保证把风险降低到可接受的水平。安全控制可以从这个标准或其它有关标准选择，也可以自己设计满足特定要求的控制。有很多管理风险的方法，该文档只提供一般方法。但是，应了解到一些安全控制并不适用于每个信息系统或环境，并且并不是对所有的机构都可行。安全控制的选择应该基于实施该安全控制的费用和由此减少的有关风险，以及发生安全事件后所造成的损失，也要考虑非金钱上的损失，如公司声誉的降低等。这份文档所提供的一些安全控制可以作为信息安全管理的指导原则，并且对大部分机构都是适用的。信息安全的出发点有一些安全控制可以被看作指导性原则，可以为实施信息安全提供一个好的出发点。这些控制要么是基于法律的规定，要么被认为是信息安全的常用的最佳实践和经验。从立法的观点出发，机构必不可少的安全控制有：1） 知识产权（参看12.1.2）；2） 对机构文档记录的保护（参看12.1.3）；3） 数据保护及个人信息的隐私（参看12.1.4）。被认为是信息安全的最佳实践的控制包括：1） 信息安全策略文档（参看3.1.1）；2） 信息安全责任的分配（参看4.1.3）；3） 信息安全的教育与培训（参看6.2.1）；4） 报告安全事件（参看6.3.1）；5） 业务连续性管理（参看11.1）。这些安全控制在大部分机构及环境都适用。 虽然这里所提到的安全控制都很重要，但选出合适的安全控制应考虑机构要面对的风险。所以，虽然上面所提出的方法是一个很好的出发点，但不能代替在风险评估基础上选择出的合适的安全控制。关键的成功因素经验表明：以下的因素对在一个机构内成功实施信息安全通常是关键的：1） 反映业务目标的安全策略、安全目标和活动；2） 与机构的文化保持一致性的安全实施方法；3） 来自管理层的可见的支持与承诺；4） 对安全需求、安全评估及安全管理有良好的理解；5） 关于安全的对所有经理及员工的有效宣传；6） 向所有员工和合作伙伴发布关于信息安全策略和标准的指南；7） 提供合适的培训与教育；8） 一套全面而均衡的用来评估信息安全管理的性能和有关改进安全管理的反馈建议的测量系统。开发你自己的指导方针这个安全实践惯例可以作为开发特定机构安全指南的出发点。并不是该指南的所有方面和控制都是适用的。进一步说，该指南不包含的控制也可能成为必须的。当这种情况发生时，保留交叉引用是有所助益的，这有利于审计人员和业务伙伴进行一致性检查。1.范围BS7799的这部分内容为信息安全管理提供了推荐建议，那些负责起动、实现或维护机构安全的人员可以使用这些建议。目的是为开发安全标准和有效的安全管理惯例提供一个公共基础，并提供在机构之间进行交易的信心。2.术语与定义该文档有下列术语和定义：2.1信息安全信息的机密性、完整性和可用性的保存。注释：机密性定义为确保信息仅仅被那些被授权了人员访问。完整性定义为保护信息和处理方法的准确性和完备性。可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。2.2风险评估对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生的可能性的评估。2.3风险管理以可以接受的代价识别、控制、最小化或者消除影响信息系统安全的风险的程序。3.安全策略3.1信息安全策略目的：提供信息安全的管理方向及支持。管理层应该指定清晰的策略方向及大力支持信息安全，并在全机构推行及维护信息安全策略。3.1.1信息安全策略文件一个策略文件应由管理层批准、印制及向员工公布。策略应声明管理层的承诺，及机构管理信息安全的方法。策略至少要包括以下内容：a)信息安全的定义、整体目标和范围以及安全对信息共享的重要性（参看简介）；b)对管理层的意图的声明及支持，以及信息安全的原则；c)安全策略、原则、标准的简介，也包括对机构有特别重要性的法律的要求，例如：1)要符合法律及合同要求；2)安全教育的要求；3)防止及检测病毒及其它恶意代码；4)业务连续性管理；5)违反安全策略的后果。d)信息安全管理的一般和特定责任的定义，包括报告安全事件；e)支持策略的文档的参考说明，例如特别信息系统或安全规定用户应遵守的更详尽的安全策略及程序。该策略应在全机构公布，让有关人员访问和理解透彻。3.1.2复审及评估策略应有一个拥有者，负责按复审程序维护及复审该策略。该复审程序应确保在影响原风险评估基础的任何改动发生后会马上进行复审，例如发生重要的安全事件、出现新漏洞、机构或技术架构的改变。还应该定期安排审查以下内容：a)系统所记录的安全事件的本质、次数及影响所表明的策略的有效性；b)控制对业务效率的影响和成本；c)技术改变的效果。4.安全组织4.1信息安全架构目的：管理机构内的信息安全。应建立一个机构管理架构，在全机构内推行及管理信息的安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角式及协调全机构安全的实施。如有需要，应在机构内建立一个信息安全资源库。应开始与外面的安全专家保持联系，最终最新的行业动态、留意业内标准及评估方法，以及发生安全事件时提供适当的联系方法。应从多方面考虑信息安全，例如，调动部门经理、用户、管理员、应用系统设计者、审计及安全员工及保险和风险管理专家共同制定策略。4.1.1管理信息安全论坛信息安全是所有管理层成员所共有的责任。一个管理论坛应确保有明确的安全目标，及管理层的大力支持。论坛的目是在管理层的承诺及足够资源的情况下，在全机构内推广安全。论坛也可以是管理层的一部分，一般要承担的工作有：1） 检查及批准信息安全策略及整体责任2） 监控对暴露于严重威胁面前的信息资产所作的重大改动3） 检查及监控安全事件4） 审批极大提高信息安全的重要举措应有一个经理负责所有有关安全的活动。4.1.2信息安全的协调在大的机构中，有关部门的管理人员应组成跨越职能部门的安全论坛，来协调信息安全管理的实施，论坛一般会是：1） 统一指派机构内信息安全的角色和责任2） 统一制定信息安全的方法和步骤，例如风险评估、安全分类系统等3） 统一及支持机构的信息安全行动，例如举办安全意识培训4） 确保安全是信息计划的一部分5） 有新系统或服务时，评估个别信息安全控制的准确性，以及协调信息安全控制的实施6） 检查信息安全事件7） 在全机构内提高业务方面对信息安全的支持4.1.3信息安全责任的分配应明确定义保护个人资产及执行某指定安全程序的责任。信息安全策略（参见条款3）应提供如何分配机构安全角式及责任的一般指引。如有需要，应附加某个别网址、系统或服务更详细的指引，也要明确确定物理资产、信息资产及安全进程的本地责任，例如业务连续性计划。很多机构的信息安全经理负责整个安全和控制的开发及实施，但是，寻找及实施控制的责任，则是个别经理负责。一个普遍的做法是定出每种信息安全资产的拥有者，然后这角色负责这资产的日常安全。信息资产的拥有者应把安全责任委派到个别经理或服务提供者。尽管如此，拥有者最终负责资产的安全，并能确定任何委派的责任会被正确放弃。应明确说明每位经理所负的责任范围，特别是：1） 明确定义每个系统所关联的资产及安全程序2） 统一那经理负责那资产或安全程序，并说明责任的详情3） 明确定义及说明授权级别4.1.4信息处理设备的授权步骤应为新的信息处理设备建立管理授权步骤，要考虑的有：1） 新设备要有适当的用户管理批准手续，授权设备的使用及目的，也要有负责维护本地信息系统安全环境的经理的批准，以保证按有关安全策略及要求执行。2） 在任何需要的情况下，检查清楚软、硬件是否与其它系统部件兼容。注意：有些连接需要批准3） 使用个人信息处理设备处理业务信息的任何授权控制4） 在工作地方使用个人信息处理设备会导致新漏洞的出现，所以应经过评估及授权这些控制对互联环境特别重要。4.1.5信息安全专家的意见很多机构可能都需要信息安全专家的意见，最好是内部有这样经验丰富的安全专家，但不是每个机构都想要专家的意见。如果是这样，建议确定一位员工负责协调机构内部的安全事情，及提供安全意见。机构也应找外部的专家，为自己没有经验的安全事情提供意见。信息安全顾问应负责提供信息安全方方面面的意见，他们对安全威胁的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大效益，应让顾问可以直接与整个机构的所有管理层接触。在怀疑发生安全事件时，应在第一时间把信息安全顾问请来，以便第一手知道事件的真相，提供最专业的意见。虽然大部分内部安全调查在管理层的控制下正常执行，但还是需要信息安全顾问的意见、领导及进行调查。4.1.6组织之间的合作应与执法机构、立法机关、信息服务提供者及电信运行商保持联系，以保证安全事件发生后，马上采取行动及取得有关意见。同样理由，也考虑与安全组及行业论坛的成员保持联系。有关安全的信息的交换应被禁止，以保证机构的秘密信息不会传到非法人员。4.1.7信息安全的独立复审信息安全策略文档（参看3.1.1）说明信息安全的策略及责任，策略的实施应受到独立的检查，以保证机构的惯例如实反映策略，并且是可行的及有效的。这样的检查可以由内部审计部门、某经理或第三方有关这方面的机构去执行，因为他们有方面的技术及经验。4.2第三方访问的安全目的：维护被第三方访问的机构信息处理设备及信息资产的安全。应控制来自第三方的对机构信息处理设备的访问。如有业务需要让第三方访问，应先评估风险以确定安全内容及对控制的需求。应该统一要执行的控制并与第三方定义这样的合同。第三方访问也包括其他参与者。准许第三方访问的合同应包括其它可以访问的参与人员的名称及条件。这个标准应该被用作订立这样的合同的基础，也作为考虑需要外包信息处理时的基础。4.2.1确认第三方访问的风险访问的种类给于第三方访问的访问类型是很特别重要的，例如通过网络连接访问的风险与物理访问的风险不同。要考虑的访问类型有：1） 物理访问，例如进入办公室、计算机房、文件柜等；2） 逻辑访问，例如存取某机构的数据库、信息系统等。访问的原因让第三方访问可以有很多原因，举例，第三方为机构提供服务，但不能现场找到，只能通过物理及逻辑访问，例如1） 硬件及软件技术支持人员，需要访问到系统级别或应用系统的最底层2） 贸易伙伴或合资伙伴，需要交换信息、访问信息系统或共享数据库没有足够保护的安全管理，让第三方访问会把信息处于危险的地步。但凡有业务需求需要连接到第三方的地点，应先进行风险评估，确定要控制的任何要求。要考虑的有访问方法、信息的价值、第三方所采用的控制，以及这样的访问对机构信息安全的影响。现场合同方现场的第三方经过合同所定的一段时间后，也会减弱机构的安全，这样的第三方的例子有：1） 硬件及软件维护及技术支持人员2） 清洁服务、膳食服务、保卫服务及其它外包的支持服务3） 学生临时短工及其它短期职务的人员4） 顾问要清楚了解需要那些控制来管理第三方对信息处理设备的访问。通常，所有因第三方访问而引致的访问或内部控制，应反映在第三方的合同中（参看4.2.2）举例，如果有特别需要要保密信息，应考虑签定保密协议（参看6.1.3）不应提供第三方访问信息及信息处理设备的能力，除非已经实施适当的控制及签定有关合同并定出连接或访问的条款。4.2.2第三方合同的安全要求涉及第三方访问机构信息处理设备的安排，应该基于正式签定的合同，包括或参考所有符合机构安全策略及标准的安全要求。合同应没有机构和第三方之间含糊的地方。机构应满足供应商的赔偿。合同条款可以考虑以下：1） 信息安全的总策略；2） 资产的保护，包括：2.1 保护机构资产的程序，包括信息及软件；2.2 确定是否发生破坏资产安全事件的程序，例如数据的丢失或更改；2.3 确保在合同期满或有效期间归还或毁灭信息及资产；2.4 完整性及可用性；2.5 限制拷贝及公开信息；3） 每种可供使用的服务的说明；4） 服务的预期目标及不可接受的服务；5） 适时调动员工的服务；6） 各方对协议所负的责任；7） 法律责任，例如：数据保护的法律，特别是合同涉及与其它国家的机构合作时所牵涉的不同的国家法律系统（参看12.1）；8） 知识产权及版权（参看12.1.2），以及任何合作成果的保护（参见6.1.3）；9） 访问控制协定，包括：1.可容许的访问方法，以及唯一标识符如用户ID及口令的使用及管理控制；2.用户访问及权限的授权过程；3.保存一份合法使用可用服务的个人的名单，以及他们的使用权限；10） 可核查的性能指标的定义、监控及报告方法；11） 用于监控、注销用户活动的权限；12） 审计合同责任的权限，或让第三方执行这样的审计；13） 越级申请解决问题的手续；应急安排；14） 关于硬件及软件安装及维护的责任；15） 一个很清楚的报告架构及统一的报告格式；16） 清楚明白的更改管理程序；17） 任何需要的物理保护控制以及确保按照控制管理的机制； 18） 对用户及管理员的在方法、程序及安全方面的培训；19） 对付恶意软件（参看8.3）的控制；20） 报告、通知及调查安全事件及安全违规的安排；21） 第三方和转包商之间的关系。4.3外包服务目的： 当信息处理外包到另一家机构时维护信息的安全。外包的安排中应该在合同中说明风险、安全控制、信息系统的处理过程、网络、桌面环境。4.3.1外包合同的安全要求合同应包括机构把全部或部分信息系统、网络及/或桌面环境外包的安全要求。举例来说，合同应包括：1） 合同的要求如何被满足，例如：数据保护的法律；2） 有什么安全来保证所有参于外包的合同方，包括转包商，知道他们的安全责任；3） 如何维护及测试机构业务资产的完整性及保密性；4） 有什么物理及逻辑控制可以用，来限制只让合法用户访问机构的敏感业务信息；5） 当发生灾难时如何维护服务还可以使用；6） 有什么级别的物理安全来保护外包设备；7） 审计的权限。应考虑4.2.2所列的，作为合同的条款。合同应让安全要求及程序可以在合同双方所用意的安全管理计划内继续补充。虽然外包合同会带来一些复杂的安全问题，但这里所包括的控制可以作为起点，统一安全管理计划的结构及内容。5.资产分类与控制5.1资产的使用说明目的：维持适当的保护措施保护机构的资产。所有重要的信息资产应有负责人，并有选定的所有者。资产的责任制保证实施了适当的保护措施。所有重要的资产都要确定所有者，并制订维护适当控制的责任。实施控制的责任可以委派。责任应只由所选定的拥有者负责。5.1.1资产清单资产清单帮助了解已实施有效的保护措施，也可以是为其它业务目的而实施，例如卫生及安全、保险或财务（资产管理）的原因。计算资产准备清单是风险管理的一项重要事务。机构需要确定自己的资产、有多大价值及资产的重要性。机构按这些信息便可以按资产的价值及重要性提供那样的保护措施。 每一个信息系统都要有这样的一份清单，列明重要的资产。应清楚确定每种资产及拥有权和安全分类（参看5.2）、当前位置（当丢失或损坏后要恢复时，是非常重要知道在哪儿）。与信息系统有关的资产的例子有：1） 信息资产： 数据库及数据文件、系统说明文档、用户手册、培训手册、操作或支持程序、应急计划、后备安排、归档信息）；2） 软件资产：应用软件、系统软件、开发及系统工具；3） 物理资产：计算机设备（处理器、显示器、笔记本、调制解调器），通讯设备（路由器、PABX、传真机、应答机）、磁带磁盘、其它技术设备（电源、空调）、家具、房子；4） 服务：计算及通讯服务、一般公用事务，例如、供热、灯光、电、空调等。5.2信息分类目的： 保证信息资产有适当程度的保护。信息应被分类来确认保护的需求、优先及程度。 信息有不同程度的敏感度及重要性。有些需要额外的保护或特别处理。所以，应使用信息分类系统来定义适当的保护级别，并看看是否需要特别处理。5.2.1分类的指南信息的分类及相关保护控制的制订，应按业务共享及限制信息的需求，和这些需求所关联的业务冲击，例如， 非法进入或损坏信息。一般情况是，信息的分类是确定如何处理及保护这些信息的简单方法。处理机密数据的系统的信息及输出，应标明信息对于机构的价值及机密程度，也可以按对机构的重要性而分类，例如完整性及可用性。信息通常在过一段时间后不再机密或重要，举例，当信息被公开后。这也要考虑进去，因为过多的分类可能导致不必要的额外业务开支。分类的指引应明白，或者事实已证明任何一个信息的分类不应是定死，应按某些已制订的策略（参看9.1）作更改。要考虑的有类别的数目，以及分类后有什么好处。过于复杂的方法日后可能变得繁琐、使用不经济或显得不实际。应小心如何解释其它机构的文件上的分类标签，有可能同一种或类似的标签有不同的定义。定义某信息的每个项目的责任，例如文件、数据记录、数据文件或磁盘，以及定期检查这些分类的责任，应该是有信息的被选所有者，或原来作者负责。5.2.2信息标注及处理按机构所采用的分类方法，制订合适的程序来标注及处理信息是很重要的。这些程序应包括物理及电子形式的信息资产。每一类都有指定的处理程序来定义以下各类的信息处理活动：1） 拷贝；2） 储存；3） 邮递、传真及电子邮件方式的传输；4） 口头传输，包括移动电话、语音邮件，应答机；5） 销毁。系统带有被分类为敏感或重要信息的输出，应（再输出）有适当的分类标签注明。 标签应按5.2.1的分类规定注明。 要考虑分类标签的物件有：打印报表、屏幕显示、记录介体（磁带、磁盘、CD等）、电子消息及文件转移。物理标签一般是适当的标签形式，但是，某些信息资产，例如电子形式的文档，不能物理标注，应使用电子标注。6.人员安全6.1岗位定义及资源分配的安全目的：减少人为错误、或设备被偷取、假冒或滥用的风险。 应在招聘时说明安全的责任，包括合同中写明，以及在员工雇佣期间检查。招聘员工时应小心考虑（参看6.1.2），特别是敏感的岗位。所有员工及第三方用户在使用信息处理设备时，要求签一份保密协议。6.1.1岗位责任的安全机构信息安全策略（参看3.1）所规定的安全角色及责任，应被记录下来，责任应包括实施或维护安全策略的任何一般责任，和任何保护某资产的特别责任，或为执行某安全进程或活动的责任。6.1.2人事过滤及策略固定员工的检查应在申请职位时进行，包括：1） 要有满意的推荐人，举例，一个推荐业务上的行为，一个推荐关于个人品德；2） 检查申请人的简历（是否完整及准确）；3） 确认有没有考取所称述的学历及职业资格；4） 独立的身份检查（护照或其它文件）；如果某岗位（第一次职位分派或升职）需要某人进入信息处理设备，特别是要处理敏感信息（例如财务信息或特别机要信息），机构应检查这名员工的信誉。至于有相当授权权限的员工，应定期检查。合约及临时人员也要经过同样的过滤过程。当这些员工是经过外面的人事公司提供，与人事公司签定的合同应清楚指明人事公司的过滤责任，以及如果过滤不完整、或结果有可疑时所要进行的通知程序。管理层应该评估新的和没有经验的员工访问敏感系统所需的授权，是否需要监督。 所有员工的工作应有更高级的员工定期查核。部门经理应知道员工的个人情况会影响他们的工作。个人及财务问题、行为或生活习惯发生变动、时常缺席及明显精神压抑，会进行假冒、偷盗、出错或其他破坏安全行为。这些信息应按当地有关法律作适当的