11-信息技术安全技术信息安全管理实用规则

1、信息技术安全全技术信息安全管理实实用规则InoraatonechnoogyecurtyechnqesCode oofpactce or noratonsecrty aaeet（ISO/IEEC177999：2005）目次引言. III0.1 什么么信息安？. III0.2 为什什需要信安全？. III0.3 如何何立安全求. III0.4 评估估全风险. IV0.5 选择择制措施. IV0.6 信息息全起点. IV0.7 关键键成功因素. V0.8 开发发自己的南. V1 范围. 12 术语和定义. 13 本标准的结构. 23.1 章节节. 23.2 主要要全类别. 34 风险评估和处理. 3

2、4.1 评估估全风险. 34.2 处理理全风险. 45 安全方针针. 45.1 信息息全方针. 46 信息安全组织. 66.1 内部部织. 66.2 外部部方. 107 资产管理理. 157.1 对资资负责. 157.2 信息息类. 168 人力资源安全. 188.1 任用用前. 188.2 任用用中. 208.3 任用用终止或化. 219 物理和环境安全. 239.1 安全全域. 239.2 设备备全. 2610 通信和和作管理. 2910.1 操操作序和职责. 2910.2 第第三服务交管理. 3210.3 系系统划和验收. 3310.4 防防范意和移代码. 3410.5 备备份. 361

3、0.6 网网络全管理. 3710.7 介介质置. 3810.8 信信息交换. 40I10.9 电电子务服务. 4410.10 监视. 4611 访问控控制. 5011.1 访访问制的业要求. 5011.2 用用户问管理. 5111.3 用用户责. 5311.4 网网络问控制. 5511.5 操操作统访问制. 5811.6 应应用信息访控制. 6211.7 移移动算和远工作. 6312 信息系系获取、发和维护. 6512.1 信信息统的安要求. 6512.2 应应用的正确理. 6612.3 密密码制. 6812.4 系系统件的安全. 7012.5 开开发支持过中的安全. 7212.6 技技术弱性

4、管理. 7513 信息安安事件管理. 7613.1 报报告息安全态和弱点. 7613.2 信信息全事件改进的理. 7814 业务连连性管理. 8014.1 业业务续性管的信息全方面. 8015 符合性性. 8415.1 符符合律要求. 8415.2 符符合全策略标准以技术符性. 8715.3 信信息统审核虑. 88I引言0.1什么是是信息安全？象其他重要业务务资产一样信息也是对组组织业务至关重要的一种种资产因此需要加加以 适当地保护在业务环境互连日益增加的的情况下这一点显得尤为重要这种互连性的增加导致信息暴露于于日益增多的的范围越来越广的威胁和脆弱性当（也可参考关于信息系统 和网络的安全的OE

5、D指南。信息可以以多种种形式存在它可以打印印或写在纸上以电子方式存储用邮寄或电子手段传送呈现现在胶片上或用语言表达无信息以什么么形式存在用哪种方法法存储或共 享，都应对它进行适当地保护。信息安全是保护护信息免受各各种威胁的损害以确保业务连连续性业务风险最小小化投资回报和商业机机遇最大化。 信息安全是是通过实施一组合适的控制措施而达到的包括策略过程规程组织结构以及软件和硬硬件功能在需要时需建立实施监视评审和改进这些控制措措施以确保满足该组织的的特定安全和和业务目标。这个过程应与其他业务管理过程联合进行。0.2为什么么需要信息安安全？信息及其支持过过程系统和网络都是重要的的业务资产定义实现保持和改

6、进信息 安全对保持竞争优势、现金周转、赢利、守法和和商业形象可能是是至关重要的。各组织及其信息息系统和网络面临来自各个方面的安全全威胁包括计算机辅助欺诈间谍活动恶意破破坏毁坏行为火灾或洪水诸如恶意代码计算机黑客捣乱乱和拒绝服务 攻击等导致破坏的安安全威胁，已经变得更加普普遍、更有野野心和日益复复杂。信息安全对于公公共和专用两部分的业务以及保护关键键基础设施是非常常重要的在这两部分中信息安全全都将作为一个使动者例如实现电子政务或电子商务避免或减少相关风 险公共网络和专用网络的互连信息资源共享都增加加了实现访问问控制的难度分布式计算的趋势也削削弱了集中的的、专门控制的有有效性。许多信息系统并并没有

7、被设计成是安全全的通过技术手段可获得的安全性性是有限的应 该通过适当的管理和规程给予支持确定哪些控控制措施要实实施到位需要要仔细规划并注意意细节。信息安全管管理至少需要要该组织内的所所有员工参与，还可能要求利利益相关人、供应商、第三方、顾客或或其他外部团团体的参与。外部组织织的专家建议可能也是需需要的。0.3如何建建立安全要求求组织识别出其安安全要求是非非常重要的，安安全要求有三三个主要来源：1、一个来源源是在考虑组织整体业务战略和目标的情况下，评估该组织的风险所 获得的。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可可能性，估计计潜在的影响。I2、另一个来来源是组织

8、贸易伙伴合同方和服服务提供者必须满满足的法律法规、 规章和合同要要求，以及他他们的社会文化环境。3、第三个来来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。0.4评估安安全风险安全要求是通过过对安全风险的系统评估予以识别的用于控制措措施的支出需需要针对可 能由安全故故障导致的业务损害加以以平衡。风险评估的结果果将帮助指导和决定适当的管理行动管理信息安安全风险的优先级以及实现所选择的用用以防范这些风险的控制措措施。 风险评估应定期进行，以应对可能影响风险险评估结果的任何变化。更多的关于安全全风险评估的信信息见第4.1节“评估安全风险。0.5选择控控制措施一旦安全要求和和风险

9、已被识别并已作出出风险处理决定则应选择并实现合适的控控制措 施以确保风险降低到可可接受的级别控制措施可可以从本标准或其他控控制措施集合中中选择， 或者当合适时设计新的控控制措施以满足特定需求求安全控制措措施的选择依赖于组织所作出 的决定该决定是基于于组织所应用的风险接受准则风险处理选项和通用的的风险管理方法法， 同时还要遵守所所有相关的国家和国际法律法规。本标准中的某些些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组 织。下面在题为为“信息安全起起点”中将更详细的解释这些控制措施。更多的关于选择择控制措施和和其他风险处处理选项的信息见第4.2节“处理安全风险。0.6信息安安全起点许

10、多控制措施被被认为是实现信息安全全的良好起点点。它们或者是基于于重要的法律律要求， 或者被认为是信息安安全的常用惯惯例。从法律的观点看看，对某个组织重要的的控制措施包包括，根据适适用的法律：) 数据保保护和个人信息的隐私（见15.1.4；) 保护组组织的记录（见15.1.3；) 知识产产权（见15.1.2。 被认为是信息安安全的常用惯惯例的控制措措施包括：) 信息安安全方针文件（见5.1.1；) 信息安安全职责的分配（见6.1.3；) 信息安安全意识、教育和培培训（见8.2.2；d) 应用中中的正确处理（见12.2；) 技术脆脆弱性管理（见12.6；) 业务务连续性管理理（见14；g) 信息安

11、安全事件和改改进管理（见13.2。V这些控制措施适适用于大多数数组织和环境。 应注意虽然本标准中的所有有控制措施都是重重要的并且是是应被考虑的但是应根据某个组织所面临的的特定风险来来确定任何一一种控制措施施是否是合适适的因此虽然上述方法法被认为是一种良好好的起点，但它并不不能取代基于于风险评估而选择的控制措措施。0.7关键的的成功因素经验表明，下列列因素通常对对一个组织成功地地实现信息安全全来说，十分关键：) 反映业业务目标的信息安全方针、目标以及活动；) 和组织织文化保持一一致的实现、保持、监视视和改进信息安全的的方法和框架架；) 来自所所有级别管理者的的可视化的支持和和承诺；d) 正确理理

12、解信息安全全要求、风险险评估和风险管理；) 向所有有管理人员员工和其它方方传达有效的息安全知识以使他们具备安全意识；) 向所所有管理人员员、员工和其它方方分发关于信息安安全方针和标准的指导意见；g) 提供资资金以支持信信息安全管理理活动；) 提供适适当的意识、培训和教育；) 建立立一个有效的信息息安全事件管管理过程；) 实现现一个测量1系统，它可用来评评价信息安全全管理的执行情况和反馈的改进建议。0.8开发你你自己的指南南本实用规则可认认为是组织开发其详细指南的起起点对一个组织来说说本实用规则中的 控制措施和和指南并非全全部适用此外很可还需要本标准中未包括括的另外的控控制措施和指南为便于审审核

13、员和业务伙伴进行符合性检查当开发包含另另外的指南或或控制措施的的文件时，对本标准准中条款的相互参考可能是有有用的。1 注信信安测不本准围。V信息技术安全技术 信安全理实用则1范围本标准给出了一一个组织启动动实施保持和进信息安全管管理的指南和和一般原则本 标准列出的目目标为通常所接接受的信息安安全管理的目目的提供了指指导。本标准的控制目目标和控制措施的实施旨在满足风险评估所识别的要求本标准可作为建立组织的安全全准则和有效安全全管理惯例的实用指南并有利于在在组织间的活动中建立信 心。2术语和定义义下列术语和定义义适用于本标准。2.1 资产产 at对组织有价值的的任何东西ISO/EC 133355-

14、1:204。2.2 控制制措施 ontol管理风险的方法法包括策略规程指南惯或组织结构它们可以是行政政技术、 管理、法律律等方面的。注：控制措施也也用于防护措施或对策的同义词。2.3 指南南 guidine阐明应做什么和和怎么做以达达到方针策略中制定的目标的描述ISO/IEC TR 133355-1：20042.4 信息息处理设施 noation poeing ailitis任何信息处理系系统、服务或基础设施，或放放置它们的场所2.5 信息息安全 inoation uity保持信息的保密密性完整性可用性另外也可包包括诸如真实性可核查性不可否 认性和可靠性性等2.6 信息息安全事态 noatio

15、n uity vnt信息安全事态是是指系统服务或网络的一种识别的状态的发生它可能是对信息安 全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态ISO/IEC TR18044：220042.7 信息息安全事件 noation uity inidt一个信息安全事事件由单个的或一系系列的有害或或意外信息安全事事态组成它们具有损害 业务运作和威威胁信息安全的的极大的可能能性ISOIECTR 804：20042.8 方针针 poiy管理者正式发布布的总的宗旨和方方向12.9 风险险 ik事件的概率及其其结果的组合ISO/EC Gude 73：20022.10 风风险分析 iskanayis

16、系统地使用信息息来识别风险险来源和估计风险IO/IEC Gude 7：20022.1 风风险评估 ikassnt风险分析和风险险评价的整个过程ISO/EC Gude 7：20022.12 风风险评价 iskvauation将估计的风险与与给定的风险准则加以比较以确定风险严重性的过程ISO/IEC Gude73：200222.13 风风险管理 iskanagent指导和控制一个个组织相关风险的协调活动 注风险管理一般般包括风险评评估风险处理风险接受和风险传传递ISO/EC Gude 7：20022.14 风风险处理 isktatnt选择并且执行措措施来更改风险的过程ISO/ECGude 7：20

17、022.15 第第三方 thid paty就所涉及的问题题被公认为是独立于有关各方的个人或机构ISO Gude ：19962.16 威威胁 hat可能导致对系统统或组织的损害的不期望事件发生的潜在原因ISO/IEC TR 13335-1：20042.17 脆脆弱性 vunabiity可能会被一个或或多个威胁所利用的资产或一组资产的弱点SO/IEC TR 1333-1：20043本标准的结结构本标准包括11个安全控制措措施的章（共含有39个主要安全类别别和1个介绍风险 评估和处理的章节。3.1章节每一章包含多个个主要安全类别别。1 个章节（连同每一章中中所包含的主主要安全类别别的 数量）是：)安

18、全方针针（1；)信息安全全组织（2；)资产管理理（2；d)人力资源源安全（3；)物理和环环境安全（2；2)通信和操操作管理（110；g)访问控制制（7；)信息系统统获取、开发和维护（6；)信息安全全事件管理（2；)业务连续续性管理（1；k)符合性（3。 注其根据不同的环境所有章节都可能是重重要的因此应用本本标准的每一个组组织应识别适适的章节及其重要性性以及它们对各个业务过 程的适用性性。另外，本本标准的排列均均没有优先顺序，除非另另外注明。3.2主要安安全类别每一个主要安全全类别包含：)一个控制制目标，声明要实现什么；)一个或多多个控制措施，可可被用于实现现该控制目标。 控制措施的的描述结构如

19、下：控制措施定义满足控制目目标的特定的控控制措施的陈陈述。 实施指南为支持控制措施施的实施和满足控制目标提更详细的信息本指南的某某些内容可能不适用于所有情情况，所以其他他实现控制措施施的方法可能能更为合适。 其它信息提供需要考虑的的进一步的信息，例如法律律方面的考虑虑和对其他标准的引用。4风险评估和和处理4.1评估安安全风险风险评估应对照照风险接受准则和组织相关目标，识别、量化并并区分风险的优先次次序。 风险评估的结果应指导并确定适当的管理措施施及其优先级级以管理信息息安全风险和实施为防范这些风险而而选择的控制措措施评估风险选择控制措施施的过程可能需要要执行多次以 覆盖组织的不同同部门或各个信

20、息系统。风险评估应包括括估计风险大小的的系统方法（风险分析，和将估计的风险与给定的风险准则加以比较较，以确定风险险严重性的过程（风险评价。 风险评估还应定期进行以应对安全要求求和风险情形的变化例如资产威胁脆弱性影响风险险评价当发生重大变化时也进行风险评估风险评估应使用一种能能够产生可比较和可再再现结果的系统化的方式。 为使信息安全全风险评估有效它应有一个清晰定义的范围如果合适应包括与其他他领域风险评估的的关系。3如果可行实际际和有帮助风险评估的范范围可以是整个组组织组织的一部分分单个信息系统、特定定的系统部件，也可可以是服务。风险评估方法法的例子在IISO/IEEC TR 133355-3IT

21、安全管理理指南：ITT安全管理技技术中讨论。4.2处理安安全风险在考虑风险处理理前组织应确定风险是否能被被接受的准则则如果经评估显示风险较 低或处理成本对于组织来说不划划算，则风险可被接接受。这些决定应加以记录。对于风险评估所所识别的每一个风险必须作风险处理决定可能的风险处处理选项包括：a) 应用用适当的控制措施施以降低风险；b) 只要要它们满足组织的方针和风险接受准则，则要有意识的、客观的接受该风险险；c) 通过过禁止可能导致风险发生的行行为来避免风险；d) 将相相关风险转移到到其他方，例如，保保险或供应商。 对风险处理决定中要采用用适当的控制措施施的那些风险险来说应选择和实施这些控制措施以

22、满足风险评评估所识别的要求控制措施确保在考虑以下因素的的情况下将风险降低 到可接受级别别：a) 国家家和国际法律法规的要求和约束；b) 组织织的目标；c) 运行行要求和约束；d) 降低低风险相关的实施和运行的成本，并使之与与组织的要求和和约束保持相称；e) 平衡衡控制措施实实施和运行的投资与安全失误可能导致的损害的需要。 控制措施可可以从本标准或其他控控制集合中选选择或者设计新的控制制措施以满足组织的特定需求认识识到有些控制制措施并不是是对每种信息系统或环境都适用并且不是对所有组织都可行这这一点非常重要例如10.1.3描述如何何分割责任以防止欺诈或错误在 较小的组织中分割所所有责任是不太可可能

23、的，实现同一控制制目标的其他方法法可能是必要要的。 另外一个例子，10.10描述如如何监视系统使用及如何何收集证据。所描述的的控制措施，例例如 事件日志，可可能与适用的的法律相冲突，诸如顾客或在工作作场地内的隐私保护。信息安全控制措措施应在系统和项目需求说明书和设计阶段予以以考虑做不到这一点可 能导致额外的成本和和低效率的解解决方案，最坏的情情况下可能达不到足够的安全。应该牢记没有有一个控制措施集集合能实现绝绝对的安全为支持组织的目标应实施额 外的管理措措施来监视、评价和改进安全控制措措施的效率和和有效性。5安全方针5.1信息安安全方针目标：依据业务务要求和相关法律法规提供管理指导并支持信息息

24、安全。管理者应根据业业务目标制定清晰的的方针指导并通过在整个组织中颁布和维护信息安全全方4针来表明对信息息安全的支持持和承诺。5.1.1信信息安全方针针文件控制措施信息安全方针文文件应由管理者批批准、发布并传达给所有员工和外部相相关方。 实施指南信息安全方针文文件应说明管理承承诺并提出织的管理信息息安全的方法法方针文件应包括以下声明：)信息安全全整体目标和范围的定义以及在允许信息共享机机制下安全的的重要（见 引言；)管理者意意图的声明，以支持持符合业务战战略和目标的信息安全全目标和原则；)设置控制制目标和控制措施施的框架，包括风险评评估和风险管理的结构；d)对组织特特别重要的安全全方针策略、原

25、则、标准和符合性性要求的简要说明，包括：1)符合法律律法规和合同要求；2)安全教育育、培训和意识要求；3)业务连续续性管理；4)违反信息息安全方针的后果；)信息安全全管理（包括括报告信息安全全事件）的一一般和特定职职责的定义；)对支持方方针的文件的引引用例如特定信息统的更详细的安全方方针策略和程序， 或用户应遵守的安安全规则。应以预期读者适适合的可访问的和可理理解的形式将将本信息安全全方针传达给给整个组织的用户。 其它信信息信息安全方针可可能是总体方针文件的一部部分。如果信息息安全方针在组织外进行分发，应注意不要泄露露敏感信息。更多信息息参见ISO/EC 133355-1：2004。5.1.2

26、信信息安全方针针的评审控制措施应按计划的时间间间隔或当重大变化发生时进行信息安安全方针评审以确保它持持续的适 宜性、充分分性和有效性性。实施指南信息安全方针应应有专人负责他负有安全方针制定评审和评价的管理职责责评审应 包括评估组织信息安全全方针改进的机会和管理信息息安全适应组组织环境业务状况法律条件或技术环境境变化的方法。信息安全方针评评审应考虑管理评审的结果定义管理评审程序包括时间表或评审 周期。管理评审的输入入应包括以下信信息：5)相关方的的反馈；)独立评审审的结果（见6.1.8；)预防和纠纠正措施的状态态（见6.1.8和15.2.1；d)以往管理理评审的结果；)过程执行行情况和信息安全全

27、方针符合性；)可能影响响组织管理信信息安全的方法的变更，包括组织织环境、业务状况况、资源可用 性、合同、规规章，和法律律条件或技术环境的变更。g)威胁和脆脆弱性的趋势势；)已报告的的信息安全事事件（见13.1；)相关专家家的建议（见6.1.6。 管理评审的输出应包括与以下下方面有关的任何决定和措施：)组织管理理信息安全的的方法和它的的过程的改进；)控制目标标和控制措施施的改进)资源和/或职责分配的改改进。 管理评审的记录应被维护。 应获得管理者者对修订的方针的批准。6信息安全组组织6.1内部组组织目标：在组织内内管理信息安安全。应建立管理框架架，以启动和控制组织范围内的信息安安全的实施。 管理

28、者应批准信息安安全方针、指派安全全角色以及协协调和评审整个组织安全的的实施。 若需要要在组织范围内建立专家信息安全全建议库并在组织内可用要发展与外部安安全 专家或组（包括相关权权威人士的联系以便跟上行行业趋势跟踪标准和评估方法并 且当处理信息安安全事件时提供合适的的联络点应鼓励采用多学科方法解决信息安全问 题。6.1.1信信息安全的管管理承诺控制措施管理者应通过清清晰的说明可证实的承诺确的信息安安全职责分配及确确认来积极 支持组织内的安全全。实施指南管理者应：)确保信息息安全目标得以识别，满足组织要求，并并已被整合到到相关过程中；)制定、评评审、批准信信息安全方针针；)评审信息息安全方针实实施

29、的有效性；6d)为安全启启动提供明确确的方向和管管理者明显的支持；)为信息安安全提供所需需的资源；)批准整个个组织内信息息安全专门的角色和和职责分配；g)启动计划划和程序来保持信息安安全意识；)确保整个个组织内的信信息安全控制制措施的实施是相互协调调的（见6.1.2。 管理者应识别别对内外部专家的信息安安全建议的需求并在整个组织织内评审和协调专家建议结果。根据组织的规模模不同这些职责可以由一一个专门的管理理协调小组或由一个已存在的机机 构（例如董董事会）承担。其它信息更多内容可参考考ISO/IEC 133355-1：2004。6.1.2信信息安全协调调控制措施信息安全活动应应由来自组织不同部门

30、并具备相关角色和工作作职责的代表进行协调。 实施指南典型的信息安安全协调应包括管管理人员用户行政人员应用设计人员审核员和安全专员，以及及保险、法律、人人力资源、IT 或风险管理等领域专家的协调和协作。这些 活动应：)确保安全全活动的实施与信息安安全方针相一致；)确定如何何处理不符合项；)核准信息息安全的方法法和过程，例如风险评评估、信息分分类；d)识别重大大的威胁变更和暴露露于威胁下的信息和和信息处理设施；)评估信息息安全控制措措施实施的充分性和协调调性；)有效地促促进整个组织内的信信息安全教育育、培训和意识；g)评价在信信息安全事件件的监视和评审中获得的信息推荐适当的措施响应识识别的信 息安

31、全事件件。如果组织没有使使用一个独立的跨部部门的小组例如因为这样样的小组对组织织规模来说是不适当的，那么么上面描述的的措施应由其它合适适的管理机构构或单独管理人员实施。6.1.3信信息安全职责责的分配控制措施所有的信息安全全职责应予以清清晰地定义。 实施指南信息安全职责的的分配应和信息安全全方（见第 42章相一致各个资产的保护和执行特定安全过程的的职责应被清晰晰的识别这些责应在必要时加以补充来为特定地点和信2 译认认应是第5。7息处理设施提供供更详细的指南资产保护和执行特定安全全过（诸如业务连续性计划的局部职责应予以以清晰地定义义。 分配有安全全职责的人员可以将安全任务委托给其他人员尽管如此他

32、们仍然负有责任，并且他们应应能够确定任何被被委托的任务务是否已被正正确地执行。个人负责的领域域要予以清晰晰地规定；特别是，应进行下列工工作：)与每个特特殊系统相关的资产和安全过程应予以识别并清晰地地定义；)应分配每每一资产或安全过程的实体职责，并且该职责的细节应形成文文件（见7.1.2；)授权级别别应清晰地予予以定义，并形成文文件。 其它信息在许多组织中将任命一名信信息安全管理理人全面负责安全的开发和实施并支持控 制措施的识别别。然而提供控制制措施资源并实施这些控制措的职责通常归于各个管理人员一种通常的做法是对每每一资产指定一名名责任人，他也就对该该信息资产的日常保保护负责。6.1.4信信息处

33、理设施的授权过程控制措施新信息处理设施施应定义和实施一个管理授权过程。 实施指南授权过程应考虑虑下列指南：)新设施要要有适当的用户管理授权以批准其用用途和使用；还要获得负责维护本地地 系统安全环境的管理人员授权，以确保所有相关的安全方针策略和要求得到满 足；)若需要，硬硬件和软件应进行检查，以确保保它们与其他系统组组件兼容；)使用个人人或私有信息息处理设（例如便携式电脑家用电脑或手持设备处理业 务信息，可能能引起新的脆脆弱性，因此此应识别和实施必要的控控制措施。6.1.5保保密性协议控制措施应识别并定期评评审反映组织信息保护需要的保密密性或不泄露露协议的要求。 实施指南保密或不泄露协协议应使用

34、合合法可实施条款来解决保护机密信息的的要求要识别保密或不泄露协议的要要求，需考虑虑下列因素：)定义要保保护的信息（如如机密信息；)协议的期期望持续时间间，包括不确确定的需要维维持保密性的的情形；)协议终止止时所需的措施施；d)为避免未未授权信息泄露的的签署者的职责和行为 （即“需要知道的的）8)信息所有有者、商业秘密和知识产产权，以及他他们如何与机密密信息保护相关联；)机密信息息的许可使用，及及签署者使用信信息的权力；g)对涉及机机密信息的活活动的审核和监视权力；)未授权泄泄露或机密信信息破坏的通通知和报告过程；)关于协议议终止时信息归档或销毁的条款；)违反协议议后期望采取取的措施。 基于一个

35、组织织的安全要求，在保密性性或不泄露协协议中可能需需要其他因素素。保密性和不泄露露协议应针对对它适用的管管辖范（也见15.1.1遵循所有适适用的法律法法规。保密性和不泄露露协议的要求应进行周期性性评审当发生影响这些要求的的变更时也要进行评审。 其其它信息保密性和不泄密密协议保护组织信息并告知签署者他们的职责以授权负责的方式保护、使用和公公开信息。 对于一个组织来来说，可能需需要在不同环环境中使用保保密性或不泄泄密协议的不同格格式。6.1.6与与政府部门的联系控制措施应保持与政府相相关部门的适当联系。 实施指南组织应有规程指指明什么时候应当与哪个部门（例如，执法部门、消防局、监监管部门） 联系，

36、以及怀怀疑已识别的信息安安全事件可能能触犯了法律律时，应如何及时报告。受到来自互联网网攻击的组织可能需要要外部第三方（例如互联网服务提供商或电信运营商）采取措施以以应对攻击源。 其它信息保持这样的联系系可能是支持持信息安全事事件管理（第第 13.2 节）或业务连续续性和应急规划过程（第 114 章）的要求求。与法规部门的系有助于预先知道组织必须遵循的法律律法规 方面预期的变化并为这些变化做好准备其他部门的联系包括公共共部门紧急服务和 健康安全部部门例如消防（与14章的业务连续续性有关电信提供（与路由和和可用性 有关、供水部门（与设备的冷却设施有关。6.1.7与与特定利益集集团的联系控制措施应保

37、持与特定利利益集团、其他安全全专家组和专业协会的适适当联系。 实施指南应考虑成为特定定利益集团或安全专家组的成员，以便：)增进对最最佳实践和最新相相关安全信息的的了解；9)确保全面面了解当前的信息安安全环境；)尽早收到到关于攻击和脆弱性的的预警、建议和补丁；d)获得信息息安全专家的建议；)分享和交交换关于新的技技术、产品、威胁或脆弱性的的信息；)提供处理理信息安全事事件时适当的联络点（见13.2.1。 其它信息建立信息共享协协议来改进安全问题的协作和协调这种协议应识别别出保护敏感信息的的要求。6.1.8信信息安全的独独立评审控制措施组织管理信息安安全的方法及及其实（例如信息息安全的控制制目标控

38、制措施策略过 程和程序应按计划的时间间隔进行独立评审当安全实施发生重大变化时也要进行独 立评审。实施指南独立评审应由管管理者启动对于确保一个组组管理信息安安全方法的持持续的适宜性充 分性和有效效性这种独立评审是必须的评应包括评估安全方法法改进的机会和变更的需要，包括方针和和控制目标。 这样的评审应由独立于被评审范围的人员执行例如内部审核部门独立的管理人人员或专门进行这种种评审的第三方方组织。从事这些评审的人员应具备适当的技能和经验。独立评审的结果果应被记录并报告给启动评审审的管理者。这些记录应加以保保持。 如果独立评审识别出组织管理信息息安全的方法法和实施不充分或不符合信信息安全方针针文件（见

39、5.1.1）中声明的信息安安全的方向，理者应考虑纠正措施。其它信息对于管理人员应应定期评审（15.2.1）的范围可以独立评审。评审方法包括括会见管理 者检查记录或安全方方针文件的评审ISO192002质量和/或环境管理体系系审核指南也提供实施施独立评审的有帮助的指导信息包括评审方案的建建立和实施15.3详细说 明了与运行的信息系系统独立评审相关的控制和系系统审核工具的的使用。6.2外部各各方目标保持组织织的被外部各各方访问处理理或与外部部进行通信的信信息和信息处处理设施的安全。 组织织的信息处理设施和信息资产产的安全不应由于引入外外部方的产品或服务而降低。任何外部方对组组织信息处理设施的访问、

40、对信息资产的处理和通信都都应予以控制。若有与外部方一一起工作的业业务需要它可能求访问组织的信信息和信息处处理设施从外部 方获得一个产品和服务或提供给外部方一个产产品和服务应进行风险评估以确定涉及及安全的方面和控控制要求。在在与外部方签签订的合同中中要商定和定定义控制措施。106.2.1与与外部各方相相关风险的识别控制措施应识别涉及外部部各方业务过过程中组织的信息和和信息处理设施的风险并在允许访问问前 实施适当的控制措施施。实施指南当需要允许外部部方访问组织织的信息处理设施或信息时，应实施风险评估（见第4章） 以识别特定控制制措施的要求求。关于外部方访问问的风险的识别应考虑以下问题：)外部方需需

41、要访问的信息处理设施；)外部方对对信息和信息息处理设施的访问类型，例如：1)物理访问问，例如进入办公室，计算机机房，档档案室；2)逻辑访问问，例如访问组组织的数据库，信息系统；3)组织和外外部方之间的网络连接，例如如，固定连接、远程访问；4)现场访问问还是非现场访问；)所涉及信信息的价值和和敏感性，及对业务运运行的关键程度；d)为保护不不希望被外部部方访问到的信息息所需的控制制措施；)与处理组组织信息有关的外部方人人员；)能够识别别组织或人员如何被授权访访问、如何进行授权验证，以及及多长时间需要再再 确认；g)外部方在在存储、处理、传送、共享和和交换信息过程中所使用用的不同的方方法和控制措施；

42、)外部方需需要时无法访问，外部方方输入或接收不不正确的或误误导的信息的的影响；)处理信息息安全事件和和潜在破坏的惯例和程序，和和当发生信息安安全事件时外部方持 续访问的条款和条件；)应考虑与与外部方有关关的法律法规要求和其他他合同责任；k)这些安排排对其他利益相相关人的利益可可能造成怎样样的影响。 除非已实施了适当的控制措施施才可允许外部方访问组组织信息可行时应签订合同规定外部方连接接或访问以及工作作安排的条款和条件一般而言与外部方合合作引起的安安全要求或内部控制制措施应通过与外部方的的协议反映出来（见6.2.2和6.2.3。 应确保外部方方意识到他们的责任并且接受在在访问处理通信或管理理组织

43、的信息和和信息处理设施所所涉及的职责责和责任。其它信息安全管理不充分分可能使信息息由于外部方方介入而处于风险中应确定和应用控制措施施， 以管理外部部方对信息处理设施的访问例如如果对信息的保密密性有特殊的的要求就需要 使用不泄漏漏协议。如果外包程度高高或涉及到几几个外部方时织会面临与组织间的处理管理和通信信1相关的风险。6.2.2和和6.2.3提出的控制制措施涵盖了对不同部方的安排排，例如，包包括：)服务提供供（例如互联网服务提供商网络供商电话服务维护和支持服服务；)受管理的的安全服务；)顾客；d)设施和运运行的外包，例例如，IT 系统、数据收集服务、中心呼叫叫业务；)管理者，业务务顾问和审核员

44、；)开发者和和提供商，例例如软件产品和IT 系统的开发者和提供供商；g)保洁、餐餐饮和其他外包包支持服务；)临时人员员、实习学生和其其他临时短期安排排。 这些协议有助于减少与外部方方相关的风险。6.2.2处处理与顾客有关的安全问题控制措施应在允许顾客访访问组织信息息或资产之前处理所有确定的安全全要求。 实施指南要在允许顾客访访问组织任何何资（依据访问的类型和范围并不需要应用所有的条款）前解决安全问题题，应考虑下列条款：)资产保护护，包括：1）保护组织资资产（包括信信息和软件）的程序序，以及对已知脆弱性性的管理；2）判定资产是是否受到损害（例如丢失数据或修改数据）的程序；3）完整性；4）对拷贝和

45、公公开信息的限制制；)拟提供的的产品或服务的描述；)顾客访问问的不同原因因、要求和利利益；d)访问控制制策略，包括括：1）允许的访问问方法，唯一一标识符的控制制和使用，例例如用户ID和口令；2）用户访问和和权限的授权过程；3）没有明确授授权的访问均被禁止止的声明；4）撤消访问权权或中断系统间连接的处理；)信息错误（例如个人信息的错误误信息安全件和安全违规规的报告通知和调查 的安排；)每项可用用服务的描述；g)服务的目目标级别和服务的不可接受受级别；)监视和撤撤销与组织资产有关的任何活动的权利；)组织和顾顾客各自的义务务；12)相关法律律责任和如何确确保满足法律要（例如数据保护法律如果协议涉及与

46、其他国家顾客的的合作，特别别要考虑到不同国家的法律体体系（也见15.1；k)知识产权权（IP）和版权转让让（见15.1.2）以及任何何合著作品的的保护（见6.1.5； 其它信息与顾客访问组织织资产有关的安全要求可能随所访问的信息处理设施和信息的的不同而 有明显差异这些安全要求求应在顾客协议中以明确包括所有已已确定的风险险和安全要求求（见6.2.1。与外部方的协议议也可能涉及及多方允许外部各方访问问的协议应包括允允许指派其他合格 者，并规定他们访问和访问有关的条件。6.2.3处处理第三方协议议中的安全问题题控制措施涉及访问处理理或管理组织织的信息或信信息处设施以及与之通通信的第三方方协议或在 信

47、息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求求。实施指南协议应确保在组组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。为满足识别的安安全要求（见见6.2.1，应考虑下列条款包含在协议议中：)信息安全全方针；)确保资产产保护的控制措施施，包括：1)保护组织织资产（包括括信息、软件和硬件）的的程序；2)所有需要要的物理保护护控制措施和机制制；3)确保防范范恶意软件（见10.4.1）的控制措措施；4)判定资产产是否受到损害（例如信信息、软件和硬件的的丢失或修改）的程序；5)确保在协协议终止时或在合同执行期间双方同意的某一时刻对信息和资产的返 还或销毁的控制措措施；

48、6)保密性、完完整性、可用用性和任何其其他相关的资产属性（见2.1.5；7)对拷贝和和公开信息，以及及保密性协议议的使用的限限制（见6.1.5；)对用户和和管理员在方法、程程序和安全方方面的培训；d)确保用户户意识到信息安全全职责和问题；)若适宜，人人员调动的规定；)关于硬件件和软件安装和维护的职责；g)一种清晰晰的报告结构和商定的的报告格式；)一种清晰晰规定的变更管理过程；)访问控制制策略，包括括：1)导致必要要的第三方访访问的不同原原因、要求和和利益；132)允许的访访问方法，唯唯一标识符（诸如用户ID 和口令）的的控制和使用用；3)用户访问问和权限的授权过程；4)维护被授授权使用可用服务

49、的个人清单以及他们与这种使用相关的权利和权限 的要求；5)没有明确确授权的所有访问都要禁止止的声明；6)撤消访问问权或中断系统间连接的处理；)报告通通知和调查信息安全全事件和安全全违规以及违背协议中所声明的要求的的安排；k)提供的每每项产品和服务的描述根据安全分分（见7.2.1提供可获得信息的描描述；)服务的目目标级别和服务的不可接受受级别；) 可验验证的性能准准则的定义、监视和报告；)监视和撤撤销与组织资产有关的任何活动的权利；o)审核协议议中规定的责任、第三方方实施的审核、列举审核员的法定权限等方面的的权 利；p)建立逐级级解决问题的过程；q)服务连续续性要求，包包括根据一个个组织的业务优

50、先级对可用性和和可靠性的测测度；r)协议各方方的相关义务务；)有关法律律的责任和如何确确保满足法律要（例如数据保护法律如果该协议涉 及与其他国家的组织的合作，特别要考虑到不同国家的法律体体系（也见15.1；t)知识产权权（IP）和版权转让让（见15.1.2）以及任何何合著作品的的保护（见6.1.5；u)涉及具有有次承包商的的第三方，应应对这些次承承包商需要实实施安全控制制措施；)重新协商商/终止协议的条件：1)应提供应应急计划以处理任一方机机构在协议到期之前前希望终止合作关系的情 况；2)如果组织织的安全要求求发生变化，协议的重新协商；3)资产清单单、许可证、协议或与它们相关的权利的当前文件。

51、 其它信息协议会随组织和和第三方机构构类型的不同发生很大的变化因此应注意要在协议议中包括所有识别的风风险和安全要要（见6.2.1要时在安全管理理计划中扩展所需的控控制措 施和程序。如果外包信息安安全管理协议应指出第第三方将如何保证维持风险评估中定定义的适当的安全，安全如何何适于识别和处理风险的变化。 外包和其他他形式第三方方服务提供之间的区别包括责任问题交付期的规划问题在此期间潜在的运行行中断问题应急规划安排定的详细评审审以及安全事事故信息的收收集和管理因此组织织计划和管理理外包安排的的交付并提供适当的过程管理变更和协议的重新协 商/终止，这是十分重要要的。14需要考虑当第三三方不能提供供其服

52、务时的连续处理程序以避免在安安排替代服务务时的任何延迟。 与第第三方的协议也可能涉及多方。允许第三方访问的协议应包括允许指派其他合格者，并规定他们们访问及与访问有关的条件。一般而言协议议主要由组织制定在一些环下也可能有例例外协议由第三方方制定 并强加于一个组织织组织需要确保保它本身的安安全不会被没有必要的第第三方在强制协议中规 定的要求所所影响。7资产管理7.1对资产产负责目标：实现和保保持对组织资资产的适当保护。所有资产应是可可核查的，并并且有指定的的责任人。 对于所有资产要指定责任人并且要赋予保相应控制措施的的职责特定控制措措施的实施 可以由责任人适当地委派别人承担，但责任人仍有对资资产提

53、供适当保护的责任。7.1.1资资产清单控制措施应清晰的识别所所有资产，编制并维护所有重要要资产的清单。 实施指南一个组织应识别别所有资产并将资产的重要要性形成文件件资产清单应包括所有有为从灾难 中恢复而需需要的信息，包包括资产类型、格格式、位置、备份信息、许可证信息和业务价值。 该清单不应复制其他不必要的清单，但它应确保内容是相关联的。另外，应商定每每一资产的责任人（见 7.1.2）信息分类（见 7.2，并形成文文件。基 于资产的重要性性其业务价值和安安全级别识别与资产重要性对应的保护级（更多关 于如何评价资产的重要性性的内容可参考ISO/ICTR 1333-3。其它信息与信息系统相关关的资产

54、有很多类型，包括：） 信息资产产：数据库和数据文件、合合同和协议、系统文件、研究究信息、用户户手册、 培训材料、操作作或支持程序序、业务连续续性计、应变安排（albk rrgeet、审核跟踪记录（udt tr、归档信息；） 软件资产产：应用软件、系统软件、开发工具和实用程序；） 物理资产产：计算机设备、通信设备、可移动介质和其他设备；d） 服务：计计算和通信服服务、公用设施，例如，供供暖，照明，能能源，空调；） 人员，他他们的资格、技能和和经验；） 无形资资产，如组织的声誉和形象。 资产清单可帮助确保有效效的资产保护其他务目的也可能能需要资产清单例如健康15与安全保险或或财（资产管理等原因制一

55、份资产清单的过程是风险管理的一一个重要的先决条件（见第4章。7.1.2资资产责任人控制措施与信息处理设施施有关的所有信息息和资产应由组织的指定部部门或人员承担责任3。 实施指南资产责任人应负负责：)确保与信信息处理设施相关的信息和资产产进行了适当的分类；)确定并周周期性评审访访问限制和分分类，要考虑到可应用的访问控制策略。 所有权可以分配给：)业务过程程；)已定义的的活动集；)应用；d)已定义的的数据集。 其它信息日常任务可以委委派给其他人例如委派给一管理人员每天照看资产但责任人仍保留职责。 在复复杂的信息系统中将一组资产指派给一个责任人可能是比较有用的它们一起工作来提供特殊殊“服务功能在这种

56、情况下服务责任人负责提供服务包括资产本身提供的功能。7.1.3资资产的允许使用控制措施与信息处理设施施有关的信息和资产产使用允许规则则应被确定、形形成文件并加加以实施。 实施指南所有雇员承包包方人员和和第三方方人员应遵循信息息处理设施相关信息和资产的允许的使用规则，包括括：)电子邮件件和互联网使用（见10.8）规则；)移动设备备，尤其是在在组织外部使用用设备（见1.7.1）的使用指指南； 具体规则或指南应由相关管理者提供使用拥有访问组织资资产权的雇员承包方人员和第三方人员员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使使用信息处理资源以及在他他们职责下的使使用负责

57、。7.2信息分分类目标：确保信息息受到适当级级别的保护。术“任人”为制产开、持使和护而定赞管职的人实。语责人” 不对产实所权人。16信息要分类，以以在处理信息时指明保护的需求、优先级和期望程度度。信息具有可变的的敏感性和关关键性某些项可要求附加等等级的保护或特殊处理信息分类 机制用来定义一组合适的保护等级并传达对特殊处理措施的需需求。7.2.1分分类指南控制措施信息应按照它对对组织的价值、法律要求求、敏感性和和关键性予以分分类。 实施指南信息的分类及相相关保护控制措施要考虑到共享或限制信信息的业务需求以及与这种需求相关的业务影影响。分类指南应包括括根据预先确定的访问问控制策（见1.1.1进行初

58、始分类及一段时间 后进行重新分类的惯例。确定资产的类别别对其周期性评审审确保其上时代并处于适当的级别这些都应是 资产责任人（见7.1.2）的职责。分类要考虑10.7.2提及的集合合效应。应考虑分类类别别的数目和从其使用中获得的好处过度复杂的方案可能能对使用来说不方便，也不经济济，或许是不实际的。在解解释从其他组织获取的文文件的分类标标记时应小心， 因为其他组织可能对于相同或类似命名的标记记有不同的定定义。其它信息保护级别可通过过分析被考虑信息的保密性、完整整性、可用性性及其他要求求进行评估。 在一段时间后信息通常不不再是敏感的的或关键的例如当该信息已经公开时这些方面应予以考虑虑，因为过多的分类

59、致使实施不必要的的控制措施，从而导致附加成本本。当分配分类级别别时考虑具有类似安全要求求的文件可简简化分类的任务。 一般地说，给信息分类是确定该信息如何予予以处理和保护的简便方法。7.2.2信信息的标记和处理控制措施应按照组织所采采纳的分类机制建立和和实施一组合适的信息息标记和处理程序。 实施指南信息标记的程序序需要涵盖物理和电子格式的信信息资产。 包含分类为敏感或关键信息的系系统输出应在该输出中携带合适的分分类标记该标记要根据 7.2.1 中所建立的的规则反映出分分类。待虑的项目包括打印印报告、屏幕显示、记录介质（例如磁带、磁磁盘、电子消息和文文件传送。 对每种分类级别别要定义包括安全处理储

60、存传输删除销毁的处理程序还要包括一系列任何何安全相关事件的监督和记录程序。涉及信息共享的的与其他组织的协议应包括识别信息分类和解释其他组织分类标记的 程序。其它信息17分类信息的标记记和安全处理是信息共享的一个关键要求。物理标记是常用的标记形式然而某些些信息资（诸如电子形式的文文件等不能做物理理标记而需要使用用电子标 记手段例如通知标记可在屏幕幕上显示出当标记不适用用时可能需要应用信息分类 指定的其他他方式，例如如通过程序或元数据。8人力资源安安全8.1任用44之前目标：确保雇员员、承包方人人员和第三方人人员理解其职责、考虑对其承担的角色是适适合的，以降低设施被窃窃、欺诈和误用的风险。 安全职