版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、.:.;英国规范BS7799-2:2002信息平安管理体系规范与运用指南 目 录前言0 引见01总那么02过程方法0 3其他管理体系的兼容性1 范围11概要12运用2规范参考3名词与定义4信息平安管理体系要求 41总那么 42建立和管理信息平安管理体系421建立信息平安管理体系422实施和运营(对照中文ISO9001确认)?信息平安管理体系423监控和评审信息平安管理体系424维护和改良信息平安管理体系 43文件化要求431总那么432文件控制433记录控制5管理职责51管理承诺?对照中文ISO9001确认52资源管理521资源提供 522培训、认识和才干6信息平安管理体系管理评审 61总那么
2、 62评审输入?对照中文ISO9001确认 63评审输出?对照中文IS9001确认7信息平安管理体系改良 71继续改良 72纠正措施 73预防措施附件A有关规范的控制目的和控制措施 A1引见 A2最正确实际指南 A3平安方针 A4组织平安 A5资产分级和控制 A6人事平安 A7实体和环境平安 A8通讯与运营平安 A9访问控制A10系统开发和维护 A11业务延续性管理 A12符合附件B情报性的本规范运用指南B1概略 B.1.1PDCA模型 B.1.2方案与实施 B.1.3检查与改良 B.1.4控制措施小结B2方案阶段 B.2.1引见 B.2.2信息平安方针 B.2.3信息平安管理体系范围 B.2
3、.4风险识别与评价 B2.5风险处置方案B3实施阶段 B.3.1引见 B.3.2资源、培训和认识 B.3.3风险处置B4实施阶段 B.4.1引见 B.4.2常规检查 B.4.3自我监视程序 B.4.4从其它事件中学习 B.4.5审核 B.4.6管理评审 B.4.7趋势分析B5改良阶段 B.5.1引见 B.5.2不符合项 B.5.3纠正和预防措施 B.5.4OECD原那么和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对照0 引见01 总那么本规范的目的是为管理者和他们的员工们提供建立和管理一个有效的信息平安管理体系信息平安管理体系有模型
4、。采用信息平安管理体系该当是一项组织的战略决策。一个组织信息平安管理体系的设计和实施受运营需求、详细目的、平安需求、所采用的过程及该组织的规模和构造的影响。上述要素和他们的支持过程会不断发生变化。希望简单的情况运用简单的信息平安处理方案。本规范能用于内部、外部包括认证组织运用,评定一个组织符合其本身的需求及客户和法律的要求的才干。02过程方法本规范鼓励采用过程的方法建立、实施、和改良组织的信息平安管理体系的有效性。为使组织有效动作,必需识别和管理众多相互关联的活动。经过运用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接构成了下一个过程的输入。组织内诸过程的系统的运用,连
5、同这些过程的识别和相互作用及其惯例,课程只为:“过程方法。过程的方法鼓励运用者强调以下方面的重要性:a 了解业务动作对信息平安的需求和建立信息平安方针和目的的需求;b 在全面管理组织业务风险的环境下实施和动作控制措施;c 监控和评审信息平安管理体系的有效性和绩效;d 在客观的丈量,继续改良过程。本规范采用的模型就是说众所周知的“Plan谋划-Do实施-Check检查-Act处置PDCA模型,适用于一切信息平安管理体系的过程。图一展现信息平安管理体系怎样思索输入利益相关方的住处平安需求和期望,经过必要的行动措施和过程,产生信息平安结果即:管理形状下的信息平安,满足那些需求和期望。图一同时展现了4
6、、5、6和7章中所提出的过程联络。例1一个需求是信息平安事故不要引起组织的财务损失和/或引起高层主管的为难。例2一个期望可以是假设严重的事故发生-如:组织的电子商务网站被黑客入侵将有被培训过的员工经过适用的程序减少其影响。注:名词“程序,从传统来讲,用在信息平安方面意味着员工任务的过程,而不是计算机或其它电子概念。PDCA模型运用与信息平安管理体系过程 方案PLAN 建立ISMS 相关单位管理形状下的信息平安相关单位 信息平安需求和期望 实施和运作ISMS维护和改良ISMS实施 改良 监控和评审ISMS用 DO ACTION检查CHECK方案建立信息平安管理体系 建立与管理风险和改良信息平安有
7、关的平安方针、目标、目的、过程和程序,以到达与组织整体方针和 目的相顺应的结果。 实施实施和动作信息平安管理体系 实施和动作信息平安方针、控制措施、过程和程序。 检查监控和评审信息平安管理体系 针对平安方针、目的和实际阅历等评审和假设适用 职丈量过程的绩效并向管理层报告结果供评审运用。 改良维护和改良信息平安管理体系 在管理评审的结果的根底上,采取纠正和预防措施以 继续改良信息平安管理体系。 03与其他管理体系规范的兼容性本规范与ISO9001:2000与ISO16949:1996相结合以支持实施和动作平安体系的一致性和整合。在附件C中以表格显示BS7799,ISO14001各部分不同条款间的
8、对应关系,本规范使组织可以结合或整合其信息平安管理体系及相关管理体系的要求。 1 范围11概要本规范提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改良一个文件化的信息平安管理体系的模型。它规范了对定制实施平安控制措施以顺应不同组织或相关部分的需求。附录B提供运用规范的指南。信息平安管理体系保证足够的和成比例的平安控制措施以充分维护信息资产并给与客户和其他利益相关方自信心。这将转化为维护和提高竞争优势、现金流、羸利才干、法律符合和商务笼统。12运用本规范规定的一切要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。当本规范的任何要求因组织及其产品的特点而不适用时,
9、可以思索对其进展删减。除非删减不影响组织的才干、和/或责任提供符合由风险评价和适用的法律确定的信息平安要求,否那么不能声称符合本规范。任何可以满足风险接受规范的删减必需证明是正当的并需求提供证据证明相关风险被担任人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。2援用规范 ISO9001:2000质量管理体系-要求 ISO/IEC17799:2000信息技术信息平安管理实际指南 ISO指南73:2001风险管理指南-名词3名词和定义从本英国规范的目的出发,以下名词和定义适用。31可用性 保证被授权的运用者需求时可以访问信息及相关资产。BS ISO/IEC17799:200032严密性
10、保证信息只被授权的人访问。BS ISO/IEC17799:200033信息平安平安维护信息的严密性、完好性和可用性34信息平安管理体系信息平安管理体系是整个管理体系的一部分,建立在运营风险的方法上,以建立、实施、动作、监控、评审、维护和改良信息平安。注:管理体系包括组织的架构、方针、谋划活动、职责、实际、程序、过程和资源。35完好性维护信息和处置方法的准确和完好。BS ISO/IEC17799:200036风险接受接受一个风险的决议ISO Guide 7337风险分析系统地运用信息识别来源和估计风险ISO Guide 7338风险评价风险分析和风险评价的整个过程ISO Guide 7339风险
11、评价把估计风险与给出的风险规范相比较,确定风险严重性的过程。ISO Guide 73310风险管理指点和控制组织风险的结合行动311风险处置选择和实施措施以更改风险的处置过程ISO Guide 73312适用性声明描画适用于组织的信息平安管理体系范围的控制目的和控制措施。这些控制目的和控制措施是建立在风险评价和处置过程的结论和结果根底上。4信息平安管理体系要求41总要求组织应在整体业务活动和风险的环境下建立、实施、维护和继续改良文件化的信息平安管理体系。为满足该规范的目的,运用的过程建立在图一所示的PDCA模型根底上。42建立和管理信息平安管理体系421建立信息平安管理体系组织应:a 运用业务
12、的性质、组织、其方位、资产和技术确定信息平安管理体系的范围。b 运用组织的业务性质、组织、方位、资产和技术确定信息平安管理体系的方针,方针应:1 包括为其目的建立一个框架并为信息平安活动建立整体的方向和原那么。2 思索业务及法律或法规的要求,及合同的平安义务。3 建立组织战略和风险管理的环境,在这种环境下,建立和维护信息平安管理体系。4 建立风险评价的规范和风险评价定义的构造。5 经管理层同意c 确定风险评价的系统化的方法识别适用于信息平安管理体系及已识别的信息平安、法律和法规的要求的风险评价的方法。为信息平安管理体系建立方针和目的以降低风险至可接受的程度。确定接受风险的规范和识别可接受风险的
13、程度见5.1fd 确定风险:1 在信息平安管理体系的范围内,识别资产及其责任人2 识别对这些资产的要挟3 识别能够被要挟利用的脆弱性4 别资产失去严密性、完好性和可用性的影响e 评价风险1 评价由于平安缺点带来的业务损害,要思索资产失去严密性、完好性和可用性的潜在后果;2 评价与这些资产相关的主要要挟、脆弱点和影响呵斥此类事故发生的现实的能够性和现存的控制措施;3 估计风险的等级4 确定引见风险或运用在c中建立的规范进展衡量确定需求处置;f 识别和评价供处置风险的可选措施:能够的行动包括:1 运用适宜的控制措施2 知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的规范3 防止
14、风险;4 转移相关业务风险到其他方面如:保险业,供应商等。g 选择控制目的和控制措施处置风险: 应从本规范附件A中列出的控制目的和控制措施,选择应该根据风险评价和风险处置过程的结果调整。留意:附件A中列出的控制目的和控制措施,作为本规范的一部分,并不是一切的控制目的和措施,组织能够选择另加的控制措施。h 预备一份适用性声明。从上面4.2.1g选择的控制目的和控制措施以及被选择的缘由应在适用性声明中文件化。从附件A中剪裁的控制措施也应加以记录;i 提议的剩余风险应获得管理层同意并授权实施和动作信息平安管理体系。422实施和运作信息平安管理体系组织应:a 识别适宜的管理行动和确定管理信息平安风险的
15、优先顺序即:风险处置方案-见条款5;b 实施风险处置方案以到达识别的控制目的,包括对资金的思索和落实平安角色和责任。c 实施在4.2.1g选择的控制目的和措施d 培训和认识见5.2.2;e 管理动作过程;f 管理资源见5.2;g 实施程序和其他有才干随时探测和回应平安事故的控制措施。423监控和评审信息平安管理体系组织应:a 执行监控程序和其他控制措施,以:1 实时探测处置结果中的错误;2 及时识别失败和胜利的平安破坏和事故;3 可以使管理层确定分派给员工的或经过信息技术实施的平安活动能否到达了预期的目的;4 确定处理平安破坏的行动能否反映了运营的优先级。b 进展常规的信息平安管理体系有效性的
16、评审包括符合平安方针和目的,及平安控制措施的评审思索平安评审的结果、事故、一切利益相关方的建议和反响;c 评审剩余风险和可接受风险的程度,思索以下方面的变化:1 组织2 技术3 业务目的和过程4 识别要挟5 外部事件,如:法律、法规的环境发生变化或社会环境发生变化。d 在方案的时间段内实施内部信息平安管理体系审核。e 经常进展信息平安管理体系管理评审至少每年评审一次以保证信息平安管理体系的范围依然足够,在信息平安检查管理体系过程中的改良措施已被识别见条款6信息平安管理体系的管理评审;f 记录所采取的行动和可以影响信息平安管理体系的有效性或绩效性的事件见4.3.4。424维护和改良信息平安管理体
17、系组织应经常:a 实施已识别的对于信息平安管理体系的改良措施b 采取适宜的纠正和预防措施运用从其他组织的平安阅历和组织内学到的知识。c 沟通结果和行动并得到一切参与的相关方的赞同。d 确保改良展动到达了预期的目的。43文件要求431总那么信息平安管理体系文件应包括:a 文件化的平安方针文件和控制目的;b 信息平安管理体系范围见4.2.1和程序及支持信息平安管理体系的控制措施c 风险评价报告见4.2.1;d 风险处置方案;e 组织需求的文件化的程序以确保管有效地方案运营和对信息平安过程的控制见6.1f 本规范要求的记录见4.3.4;g 适用性声明注1:当本规范中出现“文件化的程序,这意味着建立、
18、文件化、实施和维护该程序。注2:SeeISO9001注3:文件和记录可以用多方式和不同媒体。432文件控制信息平安管理体系所要求的文件应予以维护和控制。应编制文件化的程序,以规定以下方面所需的控制:a 文件发布前得到同意,以确保文件的充分性;b 必要时对文件进展评审与更新,并再次同意;c 确保文件的更改和现行修订形状得到识别;d 确保在运用途可获得适用文件夹的有关版本;e 确保文件夹坚持明晰、易于识别;f 确保外来文件的发放在控制形状下;g 确保文件的发放在控制形状下;h 防止作废文件的非预期运用;i 假设因任何缘由而保管作废文件时,对这些文件进展适当的标识。433记录控制应建立并坚持记录,以
19、提供符合要求和信息平安管理体系的有效运转的证据。记录该当被控制。信息平安管理体系应思索任何有关的法律要求。记录应坚持明晰、易于识别和检索。应编制构成文件的程序,以规定记录的标识、储存、维护、检索、保管期限和处置所需的控制。需求一个管理过程确定记录的程度。应保管4.2概要的过程绩效记录和一切与信息平安管理体系有关的平安事故发生的记录。举例记录的例子如:访问者的签名簿,审核记录和授权访问记录。5管理职责51管理承诺管理层应提供其承诺建立、实施、运转、监控、评审、维护和改良信息平安管理体系的证据,包括:a 建立信息平安方针;b 确保建立信息平安目的和方案;c 为信息平安确立职位和责任;d 向组织传到
20、达达信息平安目的和符合信息平安方针的重要性、在法律条件下组织的责任及继续改良的需求。e 提供足够的资源以开发、实施,运转和维护信息平安管理体系见5.2.1;f 确定可接受风险的程度;g 进展信息平安管理体系的评审见条款6。52资源管理521提供资源组织将确定和提供所需的资源,以:a 建立、实施、运转和维护信息平安管理体系;b 确保信息平安程序支持业务要求;c 识别和强调法律和法规要求及合同的平安义务;d 正确地运用一切实施的控制措施维护足够的平安;e 必要时,进展评审,并适当回应这些评审的结果;f 需求时,改良信息平安管理体系的有效性。522培训,认识和才干 组织应确保一切被分配信息平安管理体
21、系职责的人员具有才干履行指派的义务。组织应:a 确定从事影响信息平安管理体系的人员所必要的才干;b 提供才干培训和必要时,聘用有才干的人员满足这些需求;c 评价提供的培训和所采取行动的有效性;d 坚持教育、培训、技艺、阅历和资历的记录见4.3.3组织应确保一切相关的人员知道他们信息平安活动的适当性和重要性以及他们的奉献怎样达成信息平安管理目的.6 信息平安管理体系的管理评审61总那么管理层应按谋划的时间间隔评审组织的信息平安管理体系,以确保其继续的适宜性、充分性和有效性。评审应包括评价信息平安管理体系改良的时机和变卦的需求,包括平安方针和平安目的。评审的结果应清楚地文件化,应坚持管理评审的记录
22、见4.3.362评审输入管理评审的输入应包括以下方面的信息:a 信息平安管理体系审核和评审的结果;b 相关方的反响;c 可以用于组织改良其信息平安管理体系绩效和有效性的技术,产品或程序;d 预防和纠正措施的情况;e 以前风险评价没有足够强调的脆弱性或要挟;f 以往管理评审的跟踪措施;g 任何能够影响信息平安管理体系的变卦;h 改良的建议。63评审输出管理评审的输出应包括以下方面有关的任何决议和措施:a 对信息平安管理体系有效性的改良;b 修正影响信息平安的程序,必要时,回应内部或外部能够影响信息平安管理体系的事件,包括以下的变卦:1 业务要求;2 平安要求;3 业务过程影响现存的业务要求;4
23、法规或法律环境;5 风险的等级和/或可接受风险的程度;c 资源需求。64内部信息平安管理体系审核组织应按谋划的时间间隔进展内部信息平安管理体系审核,以确定信息平安管理体系的控制目的、控制措施、过程和程序能否:a 符合本规范和相关法律法规的要求;b 符合识别的信息平安的要求;c 被有效地实施和维护;d 到达料想的绩效。任何审核活动应谋划,谋划应思索过程的情况和重要性,审核的范围以及前次审核的结果。应确定审核的规范,范围,频次和方法。选择审核员及进展审核应确认审核过程的客观和公正。审核员不应审核他们本人的任务。应在一个文件化的程序中确定谋划和实施审核,报告结果和维护记录见4.3.3的责任及要求.担
24、任被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的缘由。改良措施应包括验证采取的措施和报告验证的结果见条款7。7信息平安管理体系改良71继续改良组织应经过运用平安方针、平安目的、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息继续改良信息平安管理体系的有效性。72纠正措施组织应确定措施,以消除与实施和运转信息平安管理体系有关的不合格的缘由,防止不合格的再发生。应为纠正措施编制构成文件的程序,确定以下的要求:a 识别实施或运转信息平安管理体系中的不合格;b 确定不合格的缘由;c 评价确保不合格不再发生的措施的需求;d 确定和实施所需的纠正措施;e 记录所采取措
25、施的结果见4.3.3;f 评审所采取的纠正措施。73预防措施组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程序顺应。应为预防措施编制构成文件的程序,以规定以下方面的要求:a 识别潜在的不合格及引起不合格的缘由;b 确定和实施所需的预防措施;c 记录所采取措施的结果见4.3.3;d 评价所采取的预防措施;纠正措施的优先权应以风险评价的结果为根底确定。注:预防不合格的措施总是比纠正措施更节约本钱。附录A援用控制目的和控制措施A1引见从A.3到A.12列出的控制目的和控制措施是直接援用并与BS ISO/IEC 17799:2000条款3到12一致。一表中的清单并不彻底,一个组
26、织能够思索另外必要的控制目的和控制措施。在这些表中选择控制目的和控制措施是条款4.2.1规定的信息平安管理体系过程的一部分。A2实际指南规范BS ISO/IEC 17799:2000条款3至12提供最正确实际的实施建议和指南以支持A.3到A.12规范的控制措施。A.3平安方针BS ISO/IEC 17799:2000编号A.3.1信息平安方针控制目的:提供管理方向和支持信息平安3.1控制措施A.3.1.1信息平安方针文件管理层应提供一份方针方件,出版并在适当时,沟通给一切员工。3.1.1A.3.1.2评审和评价应经常评审方针文件,尤其在发生决议性的变化时,确保方针的适宜性3.1.2A.4组织平
27、安BS ISO/IEC 17799:2000编号A.4.1信息平安根底设备控制目的:在组织中管理信息平安4.1控制措施A.4.1.1信息平安管理委员会信息平安管理委员会确保明确的目的和管理层对启动平安管理可见的支持。管理委员会应经过适当的承诺和充足的资源推行平安4.1.1A.4.1.2信息平安协作在大的组织中,应运用一个由从各组织相关单位的管理者代表组成的跨功能的委员会,协作实施信息平安控制措施。4.1.2A.4.1.3落实信息平安责任应明确定维护每种资产和担任特定平安过程的责任4.1.3A.4.1.5对信息处置设备的授权过程应建立对于新的信息处置设备的管理授权过程4.1.4A.4.1.5专家
28、信息平安建议应从内部或外部搜集专家的信息平安建议并在组织内部实施协作4.1.5A.4.1.6组织间的协作应与执法机关、主管机关、信息效力提供者,及通讯业者维持适当的接触4.1.6A.4.1.7独立的信息平安审查应对信息平安方针的实施进展独立的审查4.1.7A.4.2第三方访问的平安控制目的:维护组织的信息处置设备及信息资产被第三方访问时的平安4.2控制措施A.4.2.1确认第三方访问的风险应对第三方访问组织的信息处置设备所带来的风险进展评价,并实施适当的平安控制4.2.1A.4.2.2与第三方合约中的平安要求涉及第三方访问组织的信息处置设备的安排,应以包含必要的平安要求在内的正式合约为根底。4
29、.2.2A.4.3外包控制目的:当信息处置的责任委托其他组织时,应维护信息的平安4.3A.4.3.1外包合约中的平安要求当组织将全部或部分的信息系统、网络,及/或桌面计算机环境的管理及控制外包时,在双方赞同的合约中应载明平安的要求。.4.3.1A5资产分类与控制BS ISO/IEC 17799:2000编号A.5.1资产的保管责任控制目的:维持对于组织的资产的适切维护5.1控制措施A.5.1.1资产的清单应列出并维护一份与每个信息系统有关的一切重要资产的清单5.1.1A.5.2信息分类控制目的:确保信息资产遭到适当程度的维护控制措施A.5.2.1分类原那么信息的分类及相关的维护控制,应适宜于企
30、业运营对于信息分享或限制的需求,以及这些需求对企业运营所带来的冲击5.2.1A.5.2.2信息的标识及处置应制定信息标识及处置的程序,以符合组织所采行的分类法那么5.2.2A.6人事平安BS ISO/IEC 17799:2000编号A.6.1任务阐明及人力资源的平安控制目的:降低因人员错误、偷窃、诈欺或不当运用设备所呵斥的风险6.1控制措施A.6.1.1将平安需求列入任务职责中组织在信息平安方针中所规定的平安职责及责任,应适度地书面化于任务职责阐明书中6.1.1A.6.1.2人员筛审及政策应在招聘员工时执行正式员工的验证查核6.1.2A.6.1.3严密合约员工应签署严密协议作为其启始聘用合同的
31、一部分6.1.3A.6.1.4聘用合同聘用合同中的应陈说员工对信息平安的责任6.1.4A.6.2运用者培训控制目的:确保员工了解信息平安的要挟及思索,并且具备在其日常任务过程中支持组织的信息平安方针的才干6.2控制措施A.6.2.1信息平安的教育与培训组织的一切员工以及相关的第三方运用者,对于组织方针及程序应接受适当、定期更新的训练6.2.1A.6.3平安及失效事件的呼应控制目的:将平安及失效事件所呵斥的损害降到最小,并监视此类事件,从中学习6.3A.6.3.1平安事故报告平安事件应在事件被发现之后尽快由适当的管理途径进展通报6.3.1A.6.3.2平安弱点的报告应要求信息效力的运用者记下并报
32、告任何察看到的或可疑的有关系统或效力方面的平安弱点或要挟6.3.2A.6.3.3软件失效事件的报告应建立报告软件失效事件的相关程序6.3.3A.6.3.4从事件中学习应有适当机制的以量化与监视平安事故及失效事件的种类、数量、及本钱6.3.4A.6.3.5惩罚的流程员工违反组织平安方针及程序,应由正式的惩罚流程来处置6.3.5A.7实体及环境平安BS ISO/IEC 17799:2000编号A.7.1平安区域控制目的:防止对企业运转所在地及信息未经授权的进入、访问、破坏及干扰7.1控制措施A.7.1.1实体平安边境组织应有平安的边境以维护包含信息处置设备的区域7.1.1A.7.1.2实体进出控制
33、平安区域应有适当的进出控制加以维护,以确保只需经授权的人员可以进出7.1.2A.7.1.3应划定平安区域,以维护具有特殊平安需求的办公处所及设备7.1.3A.7.1.4应对在平安区域中进展的作业有额外的控制方法及指点原那么以加强平安区域的平安7.1.4A.7.1.5递送及装载区域应加以控制,如有能够应与信息处置设备隔离,以防止未经授权的访问7.1.5A.7.2设备平安控制目的:预防资产遗产、破坏或损失和防止企业运营活动蒙受干扰7.2控制措施A.7.2.1设备的安顿及维护应妥善安顿及维护设备,以降低环境的要挟与危险所呵斥的风险以及未经授权的访问7.2.1A.7.2.2电源供应应维护设备免于电力失
34、效及其它电力异常的影响7.2.2A.7.2.3电缆传输平安传输资料或支持信息效力的电力及通讯电缆,应予以维护免于被拦截或破坏7.2.3A.7.2.4设备维护设备应进展正确维护,以确保其继续的可用性及完好性7.2.4A.7.2.5组织以外的设备平安任何在组织所在地以外运用的信息处置设备应要求管理层授权7.2.5A.7.2.6设备报废或再利用的平安防护设备在报废或再利用前,应去除在设备中的信息7.2.6A.7.3普通控制控制目的:防止信息及信息处置设备的损毁或失窃7.3控制措施A.7.3.1办公桌面净空及计算机屏幕画面净空战略组织应具备办公桌面净空及计算机屏幕画面净空的政策,以降低因信息被未经授权
35、访问、遗失及损害所呵斥的风险7.3.1A.7.3.2资产的移出未经授权不得移出组织所拥有的设备、信息及软件7.3.2A.8通讯与操作管理BS ISO/IEC 17799:2000编号A.8.4.2操作员日志作业人员应维持一份记录其作业活动的任务日。操作日志应遭到经常性的,独立的审查。8.4.2A.8.4.3错误事件登录应通报错误并采取矫正行动8.4.3A.8.5网络管理控制目的:确保网络中信息的平安性以及维护支持性的根底设备8.5控制措施A.8.5.1网络控制应实行一系列的控制方法以达成并维护网络的平安8.5.1A.8.6存储媒体的处置与平安控制目的:防止资产蒙受损害以及企业营运活动蒙受干扰控
36、制措施A.8.6.1可挪动式计算机存储媒体的管理对于可挪动式计算机储存媒体例如磁带、磁盘以及打印出来的报告的管理应回以控制8.6.1A.8.6.2存储媒体的报废不再需求的储存媒体,应可靠并平安地处置8.6.2A.8.6.3信息的处置程序应建立信息的处置及储存程序,以维护信息不被未经授权的走漏或不当运用8.6.3A.8.6.4系统文件的平安应维护系统文件以防未经授权的访问8.6.4A.8.7信息及软件的交换控制目的:防止在组织间交换的信息蒙受遗失、修正及不当运用8.7控制措施A.8.7.1信息及软件交换协议以电子化或人工方式在组织间交换信息及软件时,应签署协议,其中有些能够是正式的协议书8.7.
37、1A.8.7.2存储媒体的运送平安运送存储媒体时应维护其不蒙受未经授权的走漏、不当运用或毁坏8.7.2A.8.7.3电子商务平安应维护电子商务免于诈欺行为、合约争议以及信息被走漏及修正8.7.2A.8.7.4电子邮件的平安应开发一份电子邮件的运用战略,并应有降低电子邮件所呵斥的平安风险的适当控制方法8.7.3A.8.7.5电子化办公室系统的平安为控制电子化办公室系统所带来的业务与平安风险,各项政策与指点原那么应加以拟定并实施8.7.5A.8.7.6开放的公用系统信息在成为公众可取用前应有正式的授权过程,应维护这类信息的完好性以防止未经授权的修正8.7.6A.8.7.7其它方式的信息交换应有适当
38、的战略、程序及控制方法来维护经由、语音及影像等通讯设备进展的信息交换8.7.7A.9访问控制BS ISO/IEC 17799:2000编号A.9.1企业营运对访问控制的要求控制目的:控制对于信息的访问9.1控制措施A.9.1.1访问控制战略企业营运对访问控制的要求应加以界定并文件化,对于信息的访问应如访问控制政策中所界定的加以限制9.1.1A.9.2运用者访问管理控制目的:确保访问信息系统的权限被适当地授权、落实和维护9.2控制措施A.9.2.1运用者注册应有正式的运用者注册及注销的程序,以进展一切的多人运用信息系统及效力的访问授权9.2.1A.9.2.2特殊权限的管理对于特殊权限的分配及运用
39、,应加以限制及控制9.2.2A.9.2.3运用者密码管理对密码的分配,应经过正式的管理流程加以控制9.2.3A.9.2.4运用者访问权限的审查管理层应定期执行正式审查过程对于运用者的访问权限实施评审9.2.4A.9.3运用者责任控制目的:防止未经授权的运用者访问9.3控制措施A.9.3.1密码的运用应要求运用者在选择及运用密码时,遵照良好的平安惯例9.3.1A.9.3.2无人看管的运用者设备应要求运用者确保无人看管的运用者设备有适当的维护9.3.2A.9.4网络访问控制控制目的:维护网络化的效力9.4控制措施A.9.4.1运用网络效力的政策运用者应仅能直接访问已获得特别授权运用的效力9.4.1
40、A.9.4.2强迫性的途径由运用者的终端机至计算机效力器羊的途径应加以控制9.4.2A.9.4.3外部联机的运用者认证应对远程运用者的访问进展运用者认证9.4.3A.9.4.4节点认证到远程计算机系统的联机应被认证9.4.4A.9.4.5远程诊断端口的维护对于诊断断口的访问应可靠地加以控制9.4.5A.9.4.6网络的隔离应引起可在网络中以群组方式隔离信息效力、运用者及信息系统的控制方法9.4.6A.9.4.7网络联机的控制在分享式的网络中,运用者的联机才干应按照访问控制战略加以限制9.4.7A.9.4.8网络路由的控制在分享式的网络中,应有路由控制方法以确保计算机联机及信息流不违反所制定的企
41、业营运运用软件的访问控制政策9.4.8A.9继续BS ISO/IEC 17799:2000编号A.9.4.9网络效力的平安对于组织运用网络效力业者提供的一切网络效力的平安特性,应提供清楚的阐明9.4.9A.9.5操作系统访问控制控制目的:防止未经授权的计算机访问9.5控制措施A.9.5.1自动化的终端机识别应运用自动化的终端机识别,以认证衔接到特定场所及可挪动式设备的联机9.5.1A.9.5.2终端机联机程序访问信息效力应有平安的联机流程9.5.2A.9.5.3运用者识别及认证一切运用者应有独一的识别码(运用者代号)专供其个人的运用,以便各项活动可以追溯至应担任的个人.运用一种适当的认证技术以
42、真实地识别运用者的身份9.5.3A.9.5.4口令字管理系统密码管理系统应提供有效的、交互式的设备以确保运用优质的密码9.5.4A.9.5.5系统工具的运用系统工具的运用应加以限制并严厉控制9.5.5A.9.5.6提供受胁迫警报以维护运用者对于能够成为他人胁迫的目的的运用者,应提供胁迫警报9.5.6A.9.5.7终端机逾时终止在高风险场所或为高风险系统效力终端机,在进入休止形状到达规定的一段时间后,应加以封锁以防止未经授权的人进展访问9.5.7A.9.5.8联机时间的限制应运用联机时间的限制,以提供高风险的运用程序额外的平安9.5.8A.9.6运用程序访问控制控制目的:防止对于坚持在信息系统中
43、的信息进展未经授权的访问9.6控制措施A.9.6.1信息访问限制对于信息及应有系统的功能的访问应按照访问控制战略加以限制9.6.1A.9.6.2性系统的隔离具性质的系统应有专属的隔离的运算环境9.6.2A.9.7系统访问及运用的监控控制目的:侦探未经授权的活动9.7控制措施A.9.7.1事件登录应产生记载着异常情况及其它平安相关事件的审核日志,并保管一定的期间以协助未来的调查及访问控制的监控9.7.1A.9.7.2系统运用的监控应建立监控信息设备运用情况的程序,并且应定期对监活动的结果进展审查9.7.2A.9.7.3定时器同步计算机的定时器应同步以便能准确地记录9.7.3A.9继续BS ISO
44、/IEC 17799:2000编号A.9.8可挪动式计算机运算及计算机通讯远距任务控制目的:确保运用可挪动式计算机运算及计算机通讯远距任务的设备的信息平安9.8控制措施A.9.8.1可挪动式计算机运算应有适当的正式政策并且采用适当的控制方法,以防备运用可挪动式计算机远算设备进展任务时所呵斥的风险,特别是在未被维护的环境中任务时9.8.1A.9.8.2计算机通讯远距任务应开发战略、程序和规范以便授权及控制计算机通讯远距任务的活动9.8.2A.10系统开发及维护BS ISO/IEC 17799:2000编号A.10.1系统的平安要求控制目的:确保平安机制建于信息系统之中10.1控制措施A.10.1
45、.1平安要求的分析及规范对于运用新系统或改良既有系统的企业营运要求,应将对控制方法的要求制定于其中10.1.1A.10.2运用系统中的平安控制目的:防止运用系统中的运用者资料遗失、修正及不当运用10.2控制措施A.10.2.1输入资料的验证输入运用系统的资料应加以验证,以确保资料是正确且适当的10.2.1A.10.2.2内部处置控制验证的检查应成为系统的一部份,以侦测出所处置的资料能否损毁10.2.2A.10.2.3音讯的认证当有维护音讯内容完好性的平安要求时,应针对运用程序进展音讯的认证10.2.3A.10.2.4输出资料的验证从运用系统输出的资料应加以验证,以确保对所储存的资料的处置流程是
46、正确的,且就其情况而言是适当的10.2.4A.10.3密码学的控制方法控制目的:维护信息的性、真实性或完好性10.3控制措施A.10.3.1运用密码学控制方法时的政策应开展且遵照以密码学控制方法来达成维护信息目的政策10.3.1A.10.3.2资料加密应运用资料加密,以维护或关键信息的性10.3.2A.10.3.3数字签章应运用不可否认性的效力,以处理某事件或行动能否有发生的争议10.3.3A.10.3.4不可否认性的效力应运用既定的规范、程序及方法为根底的密钥管理系统以支持密码学技术的运用10.3.4A.10.3.5密钥管理10.3.5A.10继续BS ISO/IEC 17799:2000编
47、号A.10.4系统档案的平安控制目的:确保信息科技的工程及支持特性活动以平安的方式来进展10.4控制措施A.10.4.1控制执行软件应建立程序控制操作系统上的软件执行10.4.1A.10.4.2系统测试资料的维护测试资料应加以维护及控制10.4.2A.10.4.3原始链接库的访问控制对于原始链接库的访问维护严厉的控制10.4.3A.10.5开发及支持流程中的平安控制目的:维护运用系统的软件及信息的平安10.5控制措施A.10.5.1变卦控制的程序应运用正式的变卦控制程序严厉地控制变卦的实行,以将信息系统的损毁降至最小10.5.1A.10.5.2操作系统变卦的技术审查当发生变卦时,应对运用系统进
48、展审查及测试10.5.2A.10.5.3软件包修正的限制应阻止对于软件包的修正,对于变卦应严厉控制10.5.3A.10.5.4信道及特洛伊木马应控制并检查软件的采购、运用及修正以防备能够密秘信道及特洛伊木马程序10.5.4A.10.5.5委外的软件开发应运用控制方法防护委外的软件开发10.5.5A.11业务继续动作管理BS ISO/IEC 17799:2000编号A.11.1业务继续动作管理思索控制目的:防止企业运营中断并且维护企业营运的关键流程免于艰苦失效或灾难的影响11.1控制措施A.11.1.1业务继续动作的管理流程为开展及维护企业的继续动作性,应有普及整个组织的管理流程11.1.1A.
49、11.1.2业务继续动作及冲击分析应开展以适当的风险评价为根底的战略性方案,以为业务继续动作的方法11.1.2A.11.1.3继续动作方案的撰写及执行应开展方案确保在重要的业务流程中断或失效后可及时维护或恢复业务动作11.1.3A.11.1.4业务继续动作规划的架构应维持一个单一的业务继续动作方案架构,以确保一切方案的一致性,且鉴别其先后次序以进展测试与维护11.1.4A.11.1.5业务继续动作方案的测试、维护与再评价业务继续运作方案应定期测试,且透过定期审查予以维护,以确保及时性及有效性11.1.5A.12符合性BS ISO/IEC 17799:2000编号A.12.1法规要求的符合性控制
50、目的:防止违反任何刑事、民事法律以及法律条文、行政法规或合约内容所规定的义务、以及违反任何平安的要求12.1控制措施A.12.1.1鉴别适用的法律规定对每一个信息系统而言,法律条文、行政法律及契约内容所规定的一切相关要求,应加以明白地界定及文件化12.1.1A.12.1.2知识产权应实行适当的程序,以确保在运用智能财富权方面的物品及他人专属的软件产品时,能符合法律的限制12.1.2A.12.1.3组织记录的维护应防止属于组织的重要记录遗失、被破坏及篡改12.1.3A.12.1.4个人信息的隐私及数据维护应运用控制方法,以按照相关的法律维护个人信息12.1.4A.12.1.5信息处置设备不当运用
51、的预防运用信息处置设备应运营管理者授权,并且在应运用控制方法,以防止这些设备蒙受不当运用12.1.5A.12.1.6有关密码学控制方法的政府规定应有适当的控制方法,以确保运用或访问密码学控制方法,符合国家所制定的协议书、法律、行政规定或其他正式法律文件的要求12.1.6A.12.1.7证据的搜集当对某个人或某组织所采取的行动涉及法律,不论是民法或刑法,所提供的证据应符合相关法律或审理该案件的法庭对于证据所作的规定,并应包括符合任何有关可采购证据的产生的已发行规范或最正确惯例在内12.1.7A.12.2平安政策符合性及技术符合性的审查控制目的:确保系统符合组织的平安政策及规范12.2控制措施A.
52、12.2.1平安方针的符合性管理者应确保在其责任范围内的一切平安程序被正确地执行,并且组织内的一切范围应定期加以审查,以确保符合平安政策及规范12.2.1A.12.2.2技术符合性的检查12.2.2A.12.3系统审核的思索控制目的:将有效性提升至最大,并将对及作用在系统审核,流程的干扰降至最小12.3控制措施A.12.3.1系统审核的控制对于操作系统的审核,应加以谋划并获得赞同,以将对企业营运的流程呵斥中断的风险降至最小12.3.1A.12.3.2系统审核工具的维护对于系统审核工具的访问应加以维护,以防止能够的不当运用或遭侵入而损坏12.3.2附录 B 情报性的规范运用指南B.1总那么B.1
53、.1PDCA 模型建立和管理一个信息平安管理体系需求像其他任何管理体系一样的方法。这里描画的过程模型遵照一个延续的活动循环方案、实施、检查、和处置。之所以可以描画为一个有效的循环国为它的目的是为了保证您的组织的最好实际文件化、加强并随时间改良。B.1.2方案和实施一个继续提高的过程通常要求最初的投资:文件化实际,将风险管理的进程正式化,确定评审的方法和配置资源。这些活动通常作为循环的开场。这个阶段在评审阶段开场实施时终了。方案阶段用来保证为信息平安管理体系建立的内容和范围正确地建立,评价信息平安风险和建立适当地处置这些风险的方案。实施阶段用来实施在方案阶段确定的决议和处理方案。B.1.3检查和
54、处置检查和处置评审阶段用来加强、修正和改良已识别和实施的平安方案。评审可以在任何时间、以任何频率实施,取决于怎样做适宜于思索的详细情况。在一些体系中他们能够需求建立在计算机化的过程中以运转和立刻回应。其他过程能够只需在有信息平安事故时、被维护的信息资产变化时或需求添加时、要挟和脆弱性变化时需求回应。最后,需求每一年或其他周期性评审或审核以保证整个管理体系达成其目的。B.1.4控制措施总结Summary of Controls组织能够发现制造一份相关和运用于组织的信息平安管理体系的控制措施总结SoC的益处。提供一份控制措施小结可以使处置业务关系变得容易如供电外包等。SoC能够包含敏感的信息,因此
55、当SoC在外部和内部同时运用时,应思索他们对于接纳者能否适宜。注:SoC不是(Statement of Applicability)见4.2.1的替代品。SoA是认证必需的要求。B.2 方案阶段B.2.1引见PDCA循环的方案活动是为保证正确地建立信息平安管理体系的内容和范围,识别和评价一切的信息平安风险,建立适宜的处置风险方案而设计的。方案活动一切阶段必需文件化作为管理变化的追溯,这一点非常重要。B.2.2信息平安方针421b要求组织和其管理层确定包含建立其目的和目的框架、并建立总的方向、信息平安行动原那么的信息平安方针。该方针的内容的指南在BS ISO/IEC 17799:2000中给出。
56、B.2.3信息平安管理体系的范围信息平安管理体系能够覆盖组织一切部分。应清楚识别的从属、界面和对于一个环境的边境的假设。这对于只需组织的部分单位包括在信息平安管理体系范围内时尤其重要。范围的界定能够分为几种方式,例如,分为领域,使后续的风险管理义务变得容易。信息平安管理体系范围文件应覆盖:a 建立范围和信息平安管理体系的环境所运用的过程;b 战略及组织环境;c 组织运用的信息平安风险管理的方法;d 信息平安风险评价的规范和所需确实保的程度的要求;e 在信息平安管理体系的范围内信息资产和识别信息平安管理体系的范围能够在质量管理体系控制的范围、另一个管理体系或另一个信息平安管理体系一样的或一个第三
57、方的组织之内,在这种情况下,只需那些信息平安管理体系具有的管理控制可以思索为在信息平安管理体系的范围内。B.2.4风险识别和评价风险评价文件应解释选择哪一种风险方法,为什么此方法适宜平安要求,业务环境,组织的规模和面临的风险等。采用的方法应努力于平安的努力和有效利用资源。文件也应覆盖选择的工具和技术,解释为什么它们适用于信息平安管理体系的范围和风险,怎样正确地运用这些工具和技术以产生有效的结果。以下风险评价的详细内容应文件化:a 信息平安管理体系范围内的资产的评价,包括在不能以钱来衡量时,估价量度的运用的信息;b 识别要挟和弱点;c 对要挟利用脆弱点的评价,及当此类事故发生时的影响;d 在评价
58、结果的根底上计算风险,识别剩余风险。B.2.5风险处置方案组织应建立一个详细的日程,或风险处置方案,对于每一个识别的风险确定:a 选择的处置风险的方法;b 已有的控制措施;c 建议的新添的控制措施;d 实施新提议的控制措施的时间架构。应识别一个可接受风险的程度,对于每一个不在可接受程度内的风险应从以下方面选择适宜的措施:a 决议接受风险,如,由于不能采取其他措施或太贵;b 转移风险;或c 降低风险到可接受的风险。风险治理方案是一个调和的文件,确定降低不可接受的程度,因此应对能否添加更多的控制措施或接受更高的风险作出一个决议。当设立一个可接受的风险的程度,力度和控制措施的本钱应与潜在的事故呵斥的
59、代价相比较。适用性声明见4.2.1h记录控制目的和从附录A选择的控制措施。这份文件是信息平安管理体系认证要求的一份任务文件。BS ISO/IEC17799:2000提供相关实施这些控制措施的附加信息,当识别的风险超越这些控制措施可以控制的程度时,能够需求设计附加的控制措施并加以实施。设计用来阻止、侦测、限制、维护和恢复平安损害与信息平安管理体系一致的控制措施对实施PDCA模型非常重要并应在早期与提供预防、侦测、限制和恢复的管理控制措施一同加以实施,这样才干更有效。应预备一份提供日程、陈列优先次序、一个详细的任务方案和责任的方案,实施控制措施。B.3实施阶段B.3.1引见在PDCA循环中的实施阶
60、段是设计用来实施选择的控制措施和推进必要的谋划阶段所做出的决议一致的管理信息平安风险措施。B.3.2资源,培训和认识应落实充足的运转信息平安管理体系和一切平安控制措施的资源,包括实施一切控制措施的文件,和维护信息平安管理体系文件的活动。另外,应提高平安认识和实施培训工程,这项活动应与实施平安控制措施并行。认识工程的目的是产生一种有很好根底的风险管理和平安的文化。应监控平安认识工程的进展以保证其继续有效性和时事性。特别的平安培训应适用于能否支持认识工程,使一切相关方在需求时完成他们的义务。B.3.3风险处置对于经过评价可接受的风险,不需求进一步的措施。假设断定转移风险,应采取进一步行动,如:运用
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026-2030中国在线旅行社IT支出行业市场发展趋势与前景展望战略分析研究报告
- 酒店管理服务合同协议(2026年高端酒店)
- 2026浙江宁波市镇海区交通运输管理中心中控工作人员招聘1人笔试题库(基础题)附答案详解
- 小学语文语音识字教学设计方案
- 2026云南地矿工程勘察集团有限公司第一次招聘13人模拟试卷【典优】附答案详解
- 北京市昌平区清悦幼儿园诚聘英才参考题库【综合题】附答案详解
- 2026年新疆大学药学院(药物研究所)招聘科研助理工作人员(2人)备考题库及答案详解(考点梳理)
- 2026吉林大学白求恩第一医院门诊部(特需门诊)分导诊招聘模拟试卷及参考答案详解【巩固】
- 面点技能大赛细则
- 工业带式输送机节能改造方案
- 甘肃2025年甘肃省农业科学院招聘14人笔试历年参考题库附带答案详解
- 耕地流出图斑整改合同协议
- 2024北京海淀区五年级(下)期末语文试题及答案
- 黑龙江哈尔滨历年中考作文题与审题指导(2001-2024)
- 射频电路元件与工作原理解析
- 2025《医药企业防范商业贿赂风险合规指引》解读课件
- 常州强基计划数学试卷
- 经国济民学习通超星期末考试答案章节答案2024年
- vte的预防与护理
- 电子元器件来料检验规范指导书
- 牛头刨床(机械原理课程设计)完整版
评论
0/150
提交评论