目 次
前 言 III
引 言 IV
01 什信息安全? IV
02 什需信息安全? IV
03 建立安全求 IV
04 评估安全风险 V
05 选择控制措施 V
06 信息安全起点 V
07 关键成功素 VI
08 开发指南 VI
1 范围 1
2 术语定义 1
3 标准结构 3
31 章节 3
32 安全类 3
4 风险评估处理 4
41 评估安全风险 4
42 处理安全风险 4
5 安全方针 5
51 信息安全方针 5
6 信息安全组织 6
61 部组织 6
62 外部方 11
7 资产理 15
71 资产负责 15
72 信息分类 17
8 力资源安全 18
81 前 18
82 中 21
83 终止变化 22
9 物理环境安全 24
91 安全区域 24
92 设备安全 27
10 通信操作理 30
101 操作程序职责 30
102 第三方服务交付理 33
103 系统规划验收 34
104 防范恶意移动代码 35
105 备份 37
106 网络安全理 38
107 介质处置 39
108 信息交换 41
109 电子商务服务 45
1010 监视 47
11 访问控制 51
111 访问控制业务求 51
112 户访问理 52
113 户职责 54
114 网络访问控制 56
115 操作系统访问控制 60
116 应信息访问控制 63
117 移动计算远程工作 64
12 信息系统获取开发维护 66
121 信息系统安全求 66
122 应中正确处理 67
123 密码控制 70
124 系统文件安全 72
125 开发支持程中安全 74
126 技术脆弱性理 76
13 信息安全事件理 78
131 报告信息安全事态弱点 78
132 信息安全事件改进理 79
14 业务连续性理 82
141 业务连续性理信息安全方面 82
15 符合性 86
151 符合法律求 86
152 符合安全策略标准技术符合性 89
153 信息系统审核考虑 90
前 言
引 言
01 什信息安全?
象重业务资产样信息组织业务关重种资产需加适保护业务环境互连日益增加情况点显尤重种互连性增加导致信息暴露日益增范围越越广威胁脆弱性中(参考关信息系统网络安全OECD指南)
信息种形式存印写纸电子方式存储邮寄电子手段传送呈现胶片语言表达信息什形式存种方法存储享应进行适保护
信息安全保护信息免受种威胁损害确保业务连续性业务风险化投资回报商业机遇化
信息安全通实施组合适控制措施达包括策略程规程组织结构软件硬件功需时需建立实施监视评审改进控制措施确保满足该组织特定安全业务目标程应业务理程联合进行
02 什需信息安全?
信息支持程系统网络重业务资产定义实现保持改进信息安全保持竞争优势现金周转赢利守法商业形象关重
组织信息系统网络面方面安全威胁包括计算机辅助欺诈间谍活动恶意破坏毁坏行火灾洪水诸恶意代码计算机黑客捣乱拒绝服务攻击等导致破坏安全威胁已变更加普遍更野心日益复杂
信息安全公专两部分业务保护关键基础设施非常重两部分中信息安全作动者例实现电子政务电子商务避免减少相关风险公网络专网络互连信息资源享增加实现访问控制难度分布式计算趋势削弱集中专门控制效性
许信息系统没设计成安全通技术手段获安全性限应该通适理规程予支持确定控制措施实施位需仔细规划注意细节信息安全理少需该组织员工参求利益相关供应商第三方顾客外部团体参外部组织专家建议需
03 建立安全求
组织识出安全求非常重安全求三源:
1 源考虑组织整体业务战略目标情况评估该组织风险获通风险评估识资产受威胁评价易受威胁利脆弱性威胁发生性估计潜影响
2 源组织贸易伙伴合方服务提供者必须满足法律法规规章合求社会文化环境
3 第三源组织开发支持运行信息处理原目标业务求特定集合
04 评估安全风险
安全求通安全风险系统评估予识控制措施支出需针安全障导致业务损害加衡
风险评估结果帮助指导决定适理行动理信息安全风险优先级实现选择防范风险控制措施
风险评估应定期进行应影响风险评估结果变化
更关安全风险评估信息见第41节评估安全风险
05 选择控制措施
旦安全求风险已识已作出风险处理决定应选择实现合适控制措施确保风险降低接受级控制措施标准控制措施集合中选择者合适时设计新控制措施满足特定需求安全控制措施选择赖组织作出决定该决定基组织应风险接受准风险处理选项通风险理方法时遵守相关国家国际法律法规
标准中某控制措施作信息安全理指导原数组织面题信息安全起点中更详细解释控制措施
更关选择控制措施风险处理选项信息见第42节处理安全风险
06 信息安全起点
许控制措施认实现信息安全良起点者基重法律求者认信息安全常惯例
法律观点某组织重控制措施包括根适法律:
a) 数保护信息隐私(见1514)
b) 保护组织记录(见1513)
c) 知识产权(见1512)
认信息安全常惯例控制措施包括:
a) 信息安全方针文件(见511)
b) 信息安全职责分配(见613)
c) 信息安全意识教育培训(见822)
d) 应中正确处理(见122)
e) 技术脆弱性理(见126)
f) 业务连续性理(见14)
g) 信息安全事件改进理(见132)
控制措施适数组织环境
应注意然标准中控制措施重应考虑应根某组织面特定风险确定种控制措施否合适然述方法认种良起点取代基风险评估选择控制措施
07 关键成功素
验表明列素通常组织成功实现信息安全说十分关键:
a) 反映业务目标信息安全方针目标活动
b) 组织文化保持致实现保持监视改进信息安全方法框架
c) 级理者视化支持承诺
d) 正确理解信息安全求风险评估风险理
e) 理员员工方传达效信息安全知识具备安全意识
f) 理员员工方分发关信息安全方针标准指导意见
g) 提供资金支持信息安全理活动
h) 提供适意识培训教育
i) 建立效信息安全事件理程
j) 实现测量 注意信息安全测量标准范围
系统评价信息安全理执行情况反馈改进建议
08 开发指南
实规认组织开发详细指南起点组织说实规中控制措施指南非全部适外需标准中未包括外控制措施指南便审核员业务伙伴进行符合性检查开发包含外指南控制措施文件时标准中条款相互参考
信息技术 安全技术 信息安全理实规
1 范围
标准出组织启动实施保持改进信息安全理指南般原标准列出目标通常接受信息安全理目提供指导
标准控制目标控制措施实施旨满足风险评估识求标准作建立组织安全准效安全理惯例实指南利组织间活动中建立信心
2 术语定义
列术语定义适标准
21
资产 asset
组织价值东西[ISOIEC 1333512004]
22
控制措施 control
理风险方法包括策略规程指南惯例组织结构行政技术理法律等方面
注:控制措施防护措施策义词
23
指南 guideline
阐明应做什做达方针策略中制定目标描述[ISOIEC TR 133351:2004]
24
信息处理设施 information processing facilities
信息处理系统服务基础设施放置场
25
信息安全 information security
保持信息保密性完整性性外包括诸真实性核查性否认性性等
26
信息安全事态 information security event
信息安全事态指系统服务网络种识状态发生信息安全策略违反防护措施失效安全关联先前未知状态[ISOIEC TR 18044:2004]
27
信息安全事件 information security incident
信息安全事件单系列害意外信息安全事态组成具损害业务运作威胁信息安全极性[ISOIEC TR 18044:2004]
28
方针 policy
理者正式发布总宗旨方
29
风险 risk
事态概率结果组合[ISO Guide 73:2002]
210
风险分析 risk analysis
系统信息识风险源估计风险[ISO Guide 73:2002]
211
风险评估 risk assessment
风险分析风险评价整程[ISO Guide 73:2002]
212
风险评价 risk evaluation
估计风险定风险准加较确定风险严重性程[ISO Guide 73:2002]
213
风险理 risk management
指导控制组织相关风险协调活动
注:风险理般包括风险评估风险处理风险接受风险沟通[ISO Guide 73:2002]
214
风险处理 risk treatment
选择执行措施更改风险程[ISO Guide 73:2002]
215
第三方 third party
涉问题公认独立关方机构[ISO Guide 2:1996]
216
威胁 threat
导致系统组织损害期事件发生潜原[ISOIEC TR 133351:2004]
217
脆弱性 vulnerability
会威胁利资产组资产弱点[ISOIEC TR 133351:2004]
3 标准结构
标准包括11安全控制措施章节(含39安全类)1介绍风险评估处理章节
31 章节
章包含安全类11章节(连章中包含安全类数量):
a) 安全方针(1)
b) 信息安全组织(2)
c) 资产理(2)
d) 力资源安全(3)
e) 物理环境安全(2)
f) 通信操作理(10)
g) 访问控制(7)
h) 信息系统获取开发维护(6)
i) 信息安全事件理(2)
j) 业务连续性理(1)
k) 符合性(3)
注:标准中章节序表示重性根环境章节重应标准组织应识适章节重性业务程适性外标准排列均没优先序非外注明
32 安全类
安全类包含:
a) 控制目标声明实现什
b) 控制措施实现该控制目标
控制措施描述结构:
控制措施
定义满足控制目标特定控制措施陈述
实施指南
支持控制措施实施满足控制目标提供更详细信息指南某容适情况实现控制措施方法更合适
信息
提供需考虑进步信息例法律方面考虑标准引
4 风险评估处理
41 评估安全风险
风险评估应风险接受准组织相关目标识量化区分风险优先次序风险评估结果应指导确定适理措施优先级理信息安全风险实施防范风险选择控制措施评估风险选择控制措施程需执行次覆盖组织部门信息系统
风险评估应包括估计风险系统方法(风险分析)估计风险定风险准加较确定风险严重性程(风险评价)
风险评估应定期进行应安全求风险情形变化例资产威胁脆弱性影响风险评价发生重变化时应进行风险评估风险评估应种够产生较现结果系统化方式
信息安全风险评估效应清晰定义范围果合适应包括领域风险评估关系
果行实际帮助风险评估范围整组织组织部分单信息系统特定系统部件服务风险评估方法例子ISOIEC TR 133353IT安全理指南:IT安全理技术中讨
42 处理安全风险
考虑风险处理前组织应确定风险否接受准果评估显示风险较低处理成组织说划算风险接受决定应加记录
风险评估识风险必须作出风险处理决定风险处理选项包括:
a) 应适控制措施降低风险
b) 满足组织方针风险接受准意识客观接受该风险
c) 通禁止导致风险发生行避免风险
d) 相关风险转移方例保险供应商
风险处理决定中采适控制措施风险说应选择实施控制措施满足风险评估识求控制措施应确保考虑素情况风险降低接受级:
a) 国家国际法律法规求约束
b) 组织目标
c) 运行求约束
d) 降低风险相关实施运行成组织求约束保持相称
e) 衡控制措施实施运行投资安全失误导致损害需
控制措施标准控制集合中选择者设计新控制措施满足组织特定需求认识控制措施种信息系统环境适组织行点非常重例1013描述分割责防止欺诈错误较组织中分割责太实现控制目标方法必外例子1010描述监视系统收集证描述控制措施例事态日志适法律相突诸顾客工作场隐私保护
信息安全控制措施应系统项目需求说明书设计阶段予考虑做点导致额外成低效率解决方案坏情况达足够安全
应该牢记没控制措施集合实现绝安全支持组织目标应实施额外理措施监视评价改进安全控制措施效率效性
5 安全方针
51 信息安全方针
目标:业务求相关法律法规提供理指导支持信息安全
理者应根业务目标制定清晰方针指导通整组织中颁布维护信息安全方针表明信息安全支持承诺
511 信息安全方针文件
控制措施
信息安全方针文件应理者批准发布传达员工外部相关方
实施指南
信息安全方针文件应说明理承诺提出组织理信息安全方法方针文件应包括声明:
a) 信息安全整体目标范围定义允许信息享机制安全重性(见引言)
b) 理者意图声明支持符合业务战略目标信息安全目标原
c) 设置控制目标控制措施框架包括风险评估风险理结构
d) 组织特重安全方针策略原标准符合性求简说明包括:
1) 符合法律法规合求
2) 安全教育培训意识求
3) 业务连续性理
4) 违反信息安全方针果
e) 信息安全理(包括报告信息安全事件)般特定职责定义
f) 支持方针文件引例特定信息系统更详细安全方针策略程序户应遵守安全规
应预期读者适合访问理解形式信息安全方针传达整组织户
信息
信息安全方针总体方针文件部分果信息安全方针组织外进行分发应注意泄露敏感信息更信息参见ISOIEC 133351:2004
512 信息安全方针评审
控制措施
应计划时间间隔重变化发生时进行信息安全方针评审确保持续适宜性充分性效性
实施指南
信息安全方针应专负责负安全方针制定评审评价理职责评审应包括评估组织信息安全方针改进机会理信息安全适应组织环境业务状况法律条件技术环境变化方法
信息安全方针评审应考虑理评审结果定义理评审程序包括时间表评审周期
理评审输入应包括信息:
a) 相关方反馈
b) 独立评审结果(见618)
c) 预防纠正措施状态(见6181521)
d) 理评审结果
e) 程执行情况信息安全方针符合性
f) 影响组织理信息安全方法变更包括组织环境业务状况资源性合规章法律条件技术环境变更
g) 威胁脆弱性趋势
h) 已报告信息安全事件(见131)
i) 相关专家建议(见616)
理评审输出应包括方面关决定措施:
a) 组织理信息安全方法程改进
b) 控制目标控制措施改进
c) 资源职责分配改进
理评审记录应维护
应获理者修订方针批准
6 信息安全组织
61 部组织
目标:组织理信息安全
应建立理框架启动控制组织范围信息安全实施
理者应批准信息安全方针指派安全角色协调评审整组织安全实施
需组织范围建立专家信息安全建议库组织发展外部安全专家组织(包括相关权威士)联系便行业趋势踪标准评估方法处理信息安全事件时提供合适联络点应鼓励采学科方法解决信息安全问题
611 信息安全理承诺
控制措施
理者应通清晰说明证实承诺明确信息安全职责分配确认积极支持组织安全
实施指南
理者应:
a) 确保信息安全目标识满足组织求已整合相关程中
b) 制定评审批准信息安全方针
c) 评审信息安全方针实施效性
d) 安全启动提供明确方理者明显支持
e) 信息安全提供需资源
f) 批准整组织信息安全专门角色职责分配
g) 启动计划程序保持信息安全意识
h) 确保整组织信息安全控制措施实施相互协调(见612)
理者应识外部专家信息安全建议需求整组织评审协调专家建议结果
根组织规模职责专门理协调组已存机构(例董事会)承担
信息
更容参考ISOIEC 133351:2004
612 信息安全协调
控制措施
信息安全活动应组织部门具备相关角色工作职责代表进行协调
实施指南
典型信息安全协调应包括理员户行政员应设计员审核员安全专员保险法律力资源IT风险理等领域专家协调协作活动应:
a) 确保安全活动实施信息安全方针相致
b) 确定处理符合项
c) 核准信息安全方法程例风险评估信息分类
d) 识重威胁变更暴露威胁信息信息处理设施
e) 评估信息安全控制措施实施充分性协调性
f) 效促进整组织信息安全教育培训意识
g) 评价信息安全事件监视评审中获信息推荐适措施响应识信息安全事件
果组织没独立跨部门组例样组组织规模说适面描述措施应合适理机构单独理员实施
613 信息安全职责分配
控制措施
信息安全职责应予清晰定义
实施指南
信息安全职责分配应信息安全方针(见第4 译者认应该第5章
章)相致资产保护执行特定安全程职责应清晰识职责应必时加补充特定点信息处理设施提供更详细指南资产保护执行特定安全程(诸业务连续性计划)局部职责应予清晰定义
分配安全职责员安全务委托员然负责应够确定委托务否已正确执行
负责领域予清晰规定特应进行列工作:
a) 特殊系统相关资产安全程应予识清晰定义
b) 应分配资产安全程实体职责该职责细节应形成文件(见712)
c) 授权级应清晰予定义形成文件
信息
许组织中命名信息安全理员全面负责安全开发实施支持控制措施识
然提供控制措施资源实施控制措施职责通常理员种通常做法资产指定名责该信息资产日常保护负责
614 信息处理设施授权程
控制措施
新信息处理设施应定义实施理授权程
实施指南
授权程应考虑列指南:
a) 新设施适户理授权批准途获负责维护系统安全环境理员授权确保相关安全方针策略求满足
b) 需硬件软件应进行检查确保系统组件兼容
c) 私信息处理设施(例便携式电脑家电脑手持设备)处理业务信息引起新脆弱性应识实施必控制措施
615 保密性协议
控制措施
应识定期评审反映组织信息保护需保密性泄露协议求
实施指南
保密泄露协议应合法实施条款解决保护机密信息求识保密泄露协议求需考虑列素:
a) 定义保护信息(机密信息)
b) 协议期持续时间包括确定需维持保密性情形
c) 协议终止时需措施
d) 避免未授权信息泄露签署者职责行 (需知道)
e) 信息者商业秘密知识产权机密信息保护相关联
f) 机密信息许签署者信息权力
g) 涉机密信息活动审核监视权力
h) 未授权泄露机密信息破坏通知报告程
i) 关协议终止时信息档销毁条款
j) 违反协议期采取措施
基组织安全求保密性泄露协议中需素
保密性泄露协议应针适辖范围(见1511)遵循适法律法规
保密性泄露协议求应进行周期性评审发生影响求变更时进行评审
信息
保密性泄密协议保护组织信息告知签署者职责授权负责方式保护公开信息
组织说需环境中保密性泄密协议格式
616 政府部门联系
控制措施
应保持政府相关部门适联系
实施指南
组织应规程指明什时候应部门(例执法部门消防局监部门)联系怀疑已识信息安全事件触犯法律时应时报告
受互联网攻击组织需外部第三方(例互联网服务提供商电信运营商)采取措施应攻击源
信息
保持样联系支持信息安全事件理(第132节)业务连续性应急规划程(第14章)求法规部门联系助预先知道组织必须遵循法律法规方面预期变化变化做准备部门联系包括公部门紧急服务健康安全部门例消防局(14章业务连续性关)电信提供商(路性关)供水部门(设备冷设施关)
617 特定利益集团联系
控制措施
应保持特定利益集团安全专家组专业协会适联系
实施指南
应考虑成特定利益集团安全专家组成员便:
a) 增进佳实践新相关安全信息解
b) 确保全面解前信息安全环境
c) 早收关攻击脆弱性预警建议补丁
d) 获信息安全专家建议
e) 分享交换关新技术产品威胁脆弱性信息
f) 提供处理信息安全事件时适联络点(见1321)
信息
建立信息享协议改进安全问题协作协调种协议应识出保护敏感信息求
618 信息安全独立评审
控制措施
组织理信息安全方法实施(例信息安全控制目标控制措施策略程程序)应计划时间间隔进行独立评审安全实施发生重变化时进行独立评审
实施指南
独立评审应理者启动确保组织理信息安全方法持续适宜性充分性效性种独立评审必须评审应包括评估安全方法改进机会变更需包括方针控制目标
样评审应独立评审范围员执行例部审核部门独立理员专门进行种评审第三方组织事评审员应具备适技验
独立评审结果应记录报告启动评审理者记录应加保持
果独立评审识出组织理信息安全方法实施充分符合信息安全方针文件(见511)中声明信息安全方理者应考虑纠正措施
信息
理员应定期评审(1521)范围独立评审评审方法包括会见理者检查记录安全方针文件评审ISO 19011:2002质量环境理体系审核指南提供实施独立评审帮助指导信息包括评审方案建立实施153详细说明运行信息系统独立评审相关控制系统审核工具
62 外部方
目标:保持组织外部方访问处理理外部进行通信信息信息处理设施安全
组织信息处理设施信息资产安全应引入外部方产品服务降低
外部方组织信息处理设施访问信息资产处理通信应予控制
外部方起工作业务需求访问组织信息信息处理设施外部方获产品服务提供外部方产品服务应进行风险评估确定涉安全方面控制求外部方签订协议中商定定义控制措施
621 外部方相关风险识
控制措施
应识涉外部方业务程中组织信息信息处理设施风险允许访问前实施适控制措施
实施指南
需允许外部方访问组织信息处理设施信息时应实施风险评估(见第4章)识特定控制措施求关外部方访问风险识应考虑问题:
a) 外部方需访问信息处理设施
b) 外部方信息信息处理设施访问类型例:
1) 物理访问例进入办公室计算机机房档案室
2) 逻辑访问例访问组织数库信息系统
3) 组织外部方间网络连接例固定连接远程访问
4) 现场访问非现场访问
c) 涉信息价值敏感性业务运行关键程度
d) 保护希外部方访问信息需控制措施
e) 处理组织信息关外部方员
f) 够识组织员授权访问进行授权验证长时间需确认
g) 外部方存储处理传送享交换信息程中方法控制措施
h) 外部方需时法访问外部方输入接收正确误导信息影响
i) 处理信息安全事件潜破坏惯例程序发生信息安全事件时外部方持续访问条款条件
j) 应考虑外部方关法律法规求合责
k) 安排利益相关利益造成样影响
非已实施适控制措施允许外部方访问组织信息行时应签订合规定外部方连接访问工作安排条款条件般言外部方合作引起安全求部控制措施应通外部方协议反映出(见622623)
应确保外部方意识责接受访问处理通信理组织信息信息处理设施涉职责责
信息
安全理充分信息外部方介入处风险中应确定应控制措施理外部方信息处理设施访问例果信息保密性特殊求需泄漏协议
果外包程度高涉外部方时组织会面组织间处理理通信相关风险
622623提出控制措施涵盖外部方安排例包括:
a) 服务提供商(例互联网服务提供商)网络提供商电话服务维护支持服务
b) 受理安全服务
c) 顾客
d) 设施运行外包例IT系统数收集服务中心呼业务
e) 理者业务顾问审核员
f) 开发者提供商例软件产品IT系统开发者提供商
g) 保洁餐饮外包支持服务
h) 时员实学生时短期安排
协议助减少外部方相关风险
622 处理顾客关安全问题
控制措施
应允许顾客访问组织信息资产前处理确定安全求
实施指南
允许顾客访问组织资产(访问类型范围需应条款)前解决安全问题应考虑列条款:
a) 资产保护包括:
1) 保护组织资产(包括信息软件)程序已知脆弱性理
2) 判定资产否受损害(例丢失数修改数)程序
3) 完整性
4) 拷贝公开信息限制
b) 拟提供产品服务描述
c) 顾客访问原求利益
d) 访问控制策略包括:
1) 允许访问方法唯标识符控制例户ID口令
2) 户访问权限授权程
3) 没明确授权访问均禁止声明
4) 撤消访问权中断系统间连接处理
e) 信息错误(例信息错误)信息安全事件安全违规报告通知调查安排
f) 项服务描述
g) 服务目标级服务接受级
h) 监视撤销组织资产关活动权利
i) 组织顾客义务
j) 相关法律责确保满足法律求(例数保护法律)果协议涉国家顾客合作特考虑国家法律体系(见151)
k) 知识产权(IPRs)版权转(见1512)合著作品保护(见615)
信息
顾客访问组织资产关安全求访问信息处理设施信息明显差异安全求应顾客协议中加明确包括已确定风险安全求(见621)
外部方协议涉方允许外部方访问协议应包括允许指派合格者规定访问访问关条件
623 处理第三方协议中安全问题
控制措施
涉访问处理理组织信息信息处理设施通信第三方协议信息处理设施中增加产品服务第三方协议应涵盖相关安全求
实施指南
协议应确保组织第三方间存误解组织应第三方保证满足需
满足识安全求(见621)应考虑列条款包含协议中:
a) 信息安全方针
b) 确保资产保护控制措施包括:
1) 保护组织资产(包括信息软件硬件)程序
2) 需物理保护控制措施机制
3) 确保防范恶意软件(见1041)控制措施
4) 判定资产否受损害(例信息软件硬件丢失修改)程序
5) 确保协议终止时合执行期间双方意某时刻信息资产返销毁控制措施
6) 保密性完整性性相关资产属性(见215)
7) 拷贝公开信息保密性协议限制(见615)
c) 户理员方法程序安全方面培训
d) 确保户意识信息安全职责问题
e) 适宜员调动规定
f) 关硬件软件安装维护职责
g) 种清晰报告结构商定报告格式
h) 种清晰规定变更理程
i) 访问控制策略包括:
1) 导致必第三方访问原求利益
2) 允许访问方法唯标识符(诸户ID口令)控制
3) 户访问权限授权程
4) 维护授权服务清单种相关权利权限求
5) 没明确授权访问禁止声明
6) 撤消访问权中断系统间连接处理
j) 报告通知调查信息安全事件安全违规违背协议中声明求安排
k) 提供项产品服务描述根安全分类(见721)提供获信息描述
l) 服务目标级服务接受级
m) 验证性准定义监视报告
n) 监视撤销组织资产关活动权利
o) 审核协议中规定责第三方实施审核列举审核员法定权限等方面权利
p) 建立逐级解决问题程
q) 服务连续性求包括根组织业务优先级性性测度
r) 协议方相关义务
s) 关法律责确保满足法律求(例数保护法律)果该协议涉国家组织合作特考虑国家法律体系(见151)
t) 知识产权(IPRs)版权转(见1512)合著作品保护(见615)
u) 涉具次承包商第三方应次承包商需实施安全控制措施
v) 重新协商终止协议条件:
1) 应提供应急计划处理方机构协议期前希终止合作关系情况
2) 果组织安全求发生变化协议重新协商
3) 资产清单许证协议相关权利前文件
信息
协议会组织第三方机构类型发生变化应注意协议中包括识风险安全求(见621)需时安全理计划中扩展需控制措施程序
果外包信息安全理协议应指出第三方保证维持风险评估中定义适安全安全适识处理风险变化
外包形式第三方服务提供间区包括责问题交付期规划问题期间潜运行中断问题应急规划安排约定详细评审安全事件信息收集理组织计划理外包安排交付提供适程理变更协议重新协商终止十分重
需考虑第三方提供服务时连续处理程序避免安排代服务时延迟
外部方协议涉方允许外部方访问协议应包括允许指派合格者规定访问访问关条件
第三方协议涉方允许第三方访问协议应包括允许指派合格者规定访问访问关条件
般言协议组织制定环境例外:协议第三方制定强加组织组织需确保身安全会没必第三方强制协议中规定求影响
7 资产理
71 资产负责
目标:实现保持组织资产适保护
资产应核查指定责
资产指定责赋予保持相应控制措施职责特定控制措施实施责适委派承担责资产提供适保护责
711 资产清单
控制措施
应清晰识资产编制维护重资产清单
实施指南
组织应识资产资产重性形成文件资产清单应包括灾难中恢复需信息包括资产类型格式位置备份信息许证信息业务价值该清单应复制必清单应确保容相关联
外应商定资产责(见712)信息分类(见72)形成文件基资产重性业务价值安全级应识资产重性应保护级(更关评价资产重性容参考ISOIEC TR 133353)
信息
信息系统相关资产类型包括:
a) 信息资产:数库数文件合协议系统文件研究信息户手册培训材料操作支持程序业务连续性计划应变安排(fallback arrangement)审核踪记录(audit trails)档信息
b) 软件资产:应软件系统软件开发工具实程序
c) 物理资产:计算机设备通信设备移动介质设备
d) 服务:计算通信服务公设施例供暖明源空调
e) 员资格技验
f) 形资产组织声誉形象
资产清单帮助确保效资产保护业务目需资产清单例健康安全保险财务(资产理)等原编制份资产清单程风险理重先决条件(见第4章)
712 资产责
控制措施
信息处理设施关信息资产应组织指定部门员承担责术语责控制生产开发保持保护资产确定赞理职责实体术语责指资产实际权员
实施指南
资产责应负责:
a) 确保信息处理设施相关信息资产进行适分类
b) 确定周期性评审访问限制分类考虑应访问控制策略
权分配:
a) 业务程
b) 已定义活动集
c) 应
d) 已定义数集
信息
日常务委派例委派理员天资产责保留职责
复杂信息系统中组资产指派责较起工作提供特殊服务功种情况服务责负责提供服务包括资产身提供功
713 资产合格
控制措施
信息处理设施关信息资产允许规应确定形成文件加实施
实施指南
雇员承包方员第三方员应遵循信息处理设施相关信息资产接受规包括:
a) 电子邮件互联网(见108)规
b) 移动设备尤组织外部设备(见1171)指南
具体规指南应相关理者提供拥访问组织资产权雇员承包方员第三方员应意识信息处理设施相关信息资产资源时限制条件应信息处理资源职责负责
72 信息分类
目标:确保信息受适级保护
信息分类处理信息时指明保护需求优先级期程度
信息具变敏感性关键性某项求附加等级保护特殊处理信息分类机制定义组合适保护等级传达特殊处理措施需求
721 分类指南
控制措施
信息应组织价值法律求敏感性关键性予分类
实施指南
信息分类相关保护控制措施考虑享限制信息业务需求种需求相关业务影响
分类指南应包括根预先确定访问控制策略(见1111)进行初始分类段时间进行重新分类惯例
确定资产类周期性评审确保时代处适级应资产责(见712)职责分类考虑1072提集合效应
应考虑分类类数目中获处度复杂方案说方便济许实际解释组织获取文件分类标记时应心组织相类似命名标记定义
信息
保护级通分析考虑信息保密性完整性性求进行评估
段时间信息通常敏感关键例该信息已公开时方面应予考虑分类致实施必控制措施导致附加成
分配分类级时考虑具类似安全求文件简化分类务
般说信息分类确定该信息予处理保护简便方法
722 信息标记处理
控制措施
应组织采纳分类机制建立实施组合适信息标记处理程序
实施指南
信息标记程序需涵盖物理电子格式信息资产
包含分类敏感关键信息系统输出应该输出中携带合适分类标记该标记根721中建立规反映出分类考虑项目包括印报告屏幕显示记录介质(例磁带磁盘CD)电子消息文件传送
种分类级定义包括安全处理储存传输删销毁处理程序包括系列安全相关事态监督记录程序
涉信息享组织协议应包括识信息分类解释组织分类标记程序
信息
分类信息标记安全处理信息享关键求物理标记常标记形式然某信息资产(诸电子形式文件等)做物理标记需电子标记手段例通知标记屏幕显示出标记适时需应信息分类指定方式例通程序元数
8 力资源安全
81 解释:里意指情形:员(暂时长期)工作角色指定工作角色变化合分配安排终止
前
目标:确保雇员承包方员第三方员理解职责考虑承担角色适合降低设施窃欺诈误风险
安全职责应前适岗位描述条款条件中指出
承包方员第三方员候选者应充分审查特敏感岗位成员
信息处理设施雇员承包方员第三方员应签署关安全角色职责协议
811 角色职责
控制措施
雇员承包方员第三方员安全角色职责应组织信息安全方针定义形成文件
实施指南
安全角色职责应包括求:
a) 组织信息安全方针(见51)实施运行
b) 保护资产免受未授权访问泄露修改销毁干扰
c) 执行特定安全程活动
d) 确保职责分配采取措施
e) 组织报告安全事态潜事态安全风险
安全角色职责应定义前清晰传达岗位候选者
信息
岗位描述安全角色职责形成文件应清晰定义传达没组织程(例通第三方组织)中安全角色职责
812 审查
控制措施
关候选者承包方员第三方员背景验证检查应相关法律法规道德规范应业务求访问信息类察觉风险执行
实施指南
验证检查应考虑相关隐私数保护相关法律应包括容(允许时):
a) 令满意资料性(项业务)
b) 申请履历核查(针完备性准确性)
c) 声称学术专业资质证实
d) 独立身份检查(护类似文件)
e) 更细节检查例信卡检查犯罪记录检查
职务(初命提升)涉信息处理设施进行访问时特果设施正处理敏感信息例财务信息高度机密信息该组织考虑进步更详细检查
应程序确定验证检查准限制例谁资格审查员时什执行验证检查
承包方员第三方员执行审查程承包方员通代理提供代理合清晰规定代理审查职责果未完成审查结果引起怀疑关注时代理需遵守通知程序样第三方(见623)协议应清晰指定审查职责通知程序
考虑组织录候选者信息应相关辖范围存合适法律收集处理适法律应审查活动提前通知候选者
813 条款条件
控制措施
作合义务部分雇员承包方员第三方员应意签署合条款条件条款条件声明组织信息安全职责
实施指南
条款条件澄清声明容外应反映组织安全方针:
a) 访问敏感信息雇员承包方员第三方员予访问信息处理设施权前签署保密泄露协议
b) 雇员承包方员员法律职责权利例关版权法数保护法(见15111512)
c) 雇员承包方员第三方员操作信息系统服务关信息分类组织资产理职责(见7211073)
d) 雇员承包方员第三方员操作公司外部方信息职责
e) 组织处理员信息职责包括组织组织程中产生信息(见1514)
f) 扩展组织场外正常工作时间外职责例家中工作情形(见9251171)
g) 果雇员承包方员第三方员漠视组织安全求采取措施(见823)
组织应确保雇员承包方员第三方员意适访问信息系统服务关组织资产性质程度信息安全条款条件
适包含条款条件中职责应结束持续段规定时间(见83)
信息
行细覆盖雇员承包方员第三方员关保密性数保护道德规范组织设备设施适组织期佳实践职责承包方员第三方员外部组织关外部组织需代表已签约遵守契约安排
82 中
目标:确保雇员承包方员第三方员知悉信息安全威胁利害关系职责义务准备正常工作程中支持组织安全方针减少失风险
应确定理职责确保安全措施应组织整期
减安全风险应雇员承包方员第三方员提供安全程序适程度意识教育培训信息处理设施正确方法应建立正式处理安全违规纪律处理程
821 理职责
控制措施
理者应求雇员承包方员第三方员组织已建立方针策略程序安全心力
实施指南
理职责应包括确保雇员承包方员第三方员:
a) 授权访问敏感信息信息系统前解信息安全角色职责
b) 获声明组织中角色安全期指南
c) 激励实现组织安全策略
d) 组织角色职责相关安全问题意识程度达定级
e) 遵守条款条件包括组织信息安全方针工作合适方法
f) 持续拥适技资质
信息
果雇员承包方员第三方员没意识安全职责会组织造成相破坏激励员更减少信息安全事件发生
缺乏效理会员工感觉低估导致组织负面安全影响例缺乏效理导致安全忽视组织资产潜误
822 信息安全意识教育培训
控制措施
组织雇员适时包括承包方员第三方员应受工作职相关适意识培训组织方针策略程序定期更新培训
实施指南
意识培训应正式介绍程开始程允许访问信息服务前介绍组织安全方针策略期
正进行培训应包括安全求法律职责业务控制正确信息处理设施培训例登录程序软件包纪律处理程(见823)信息
信息
安全意识教育培训活动应适员工角色职责技相关应包括关已知威胁信息谁咨询进步安全建议合适报告信息安全事件(见131)渠道
加强意识培训旨认识信息安全问题事件岗位角色需响应
823 纪律处理程
控制措施
安全违规雇员应正式纪律处理程
实施指南
纪律处理程前应安全违规验证程(见1323证收集)
正式纪律处理程应确保正确公怀疑安全违规雇员违规第次已发生违规者否适培训正式纪律处理程应规定分级响应考虑诸违规性质重性业务影响等素相关法律业务合素需考虑严重明知犯情况应立免职删访问权特殊权限果需直接护送出现场
信息
纪律处理程雇员承包方员第三方员种威慑防止违反组织安全方针策略程序安全违规
83 终止变化
目标:确保雇员承包方员第三方员规范方式退出组织改变关系
应合适职责确保理雇员承包方员第三方员组织退出确保设备删访问权
组织职责变化理应符合章容职责终止理相似新应遵循81节容进行理
831 终止职责
控制措施
终止变化职责应清晰定义分配
实施指南
终止职责传达应包括正进行安全求法律职责适时包括保密协议规定职责(见615)雇员承包方第三方户雇佣结束持续段时间然效条款条件(见813)
规定职责义务终止然效容应包含雇员承包方员第三方员合中
职责变化理应职责终止理相似新责应遵循81节容
信息
力资源职通常理相关程序安全方面监督理员块负责总体终止处理承包方员例子中终止职责处理代表承包方员代理完成情况户组织处理
必通知雇员顾客承包方员第三方员关组织员变化运营安排
832 资产
控制措施
雇员承包方员第三方员终止合协议时应组织资产
实施指南
终止程应正式化包括先前发放软件公司文件设备组织资产例移动计算设备信卡访问卡软件手册存储电子介质中信息需
雇员承包方员第三方员购买组织设备设备时应遵循程序确保相关信息已转移组织已设备中安全删(见1071)
雇员承包方员第三方员拥知识正进行操作具重意义时信息应形成文件传达组织
833 撤销访问权
控制措施
雇员承包方员第三方员信息信息处理设施访问权应合协议终止时删变化时调整
实施指南
终止时信息系统服务关资产访问权应重新考虑决定否必须删访问权变化应体现适新岗位访问权删应删改变访问权包括物理逻辑访问密钥ID卡信息处理设施(见1124)签名标识作组织现成员文件中删果已离开雇员承包方员第三方员知道保持活动状态帐户密码应合协议终止变化改变密码
信息资产信息处理设施访问权终止变化前否减少删赖风险素评价例:
a) 终止变化雇员承包方员第三方员发起理者发起终止原
b) 雇员承包方员户现职责
c) 前访问资产价值
信息
某情况访问权分配基基离开雇员承包方员第三方员例群ID种情况离开员应群访问列表中删应建议相关雇员承包方员第三方员应已离开员享信息
理者发起终止情况中满雇员承包方员第三方员意破坏信息破坏信息处理设施员工辞职情况收集必信息
9 物理环境安全
91 安全区域
目标:防止组织场信息未授权物理访问损坏干扰
关键敏感信息处理设施放置安全区域受确定安全边界保护包括适安全屏障入口控制设施物理避免未授权访问损坏干扰
提供保护识风险相匹配
911 物理安全边界
控制措施
应安全边界(诸墙卡控制入口理接台等屏障)保护包含信息信息处理设施区域
实施指南
物理安全边界合适列指南应予考虑实施:
a) 安全边界应清晰予定义边界设置点强度取决边界资产安全求风险评估结果
b) 包含信息处理设施建筑物场边界应物理安全(边界区域应存易闯入缺口)场外墙应坚固结构外部门控制机制适保护防止未授权进入例门闩报警器锁等门窗户应锁考虑窗户外部保护尤面层窗户
c) 场建筑物物理访问手段位(理接区域控制)进入场建筑物应仅限已授权员
d) 果行应建立物理屏障防止未授权进入环境污染
e) 安全边界防火门应发出报警信号监视检验墙起合适方国国际标准建立需防卫级应障保护方式防火规运行
f) 应方国国际标准建立适入侵检测系统定期检测覆盖外部门窗直警惕空闲区域区域提供掩护方法例计算机室通信室
g) 组织理信息处理设施应物理第三方理设施分开
信息
物理保护通组织边界信息处理设施周围设置物理屏障实现重屏障提供附加保护屏障失效意味着立危安全
安全区域锁办公室连续部物理安全屏障包围房间安全边界具安全求区域间需控制物理访问附加屏障边界
具组织建筑物应考虑专门物理访问安全
912 物理入口控制
控制措施
安全区域应适合入口控制保护确保授权员允许访问
实施指南
列指南应予考虑:
a) 记录访问者进入离开日期时间访问者予监督非访问事前已批准允许访问特定已授权目标宣布关该区域安全求应急程序说明
b) 访问处理敏感信息储存敏感信息区域受控制仅限已授权员认证控制(例访问控制卡加识号)应授权确认访问访问审核踪迹安全加维护
c) 雇员承包方员第三方员访问者佩带某种形式视标识果遇护送访问者未佩带视标识应立通知保安员
d) 第三方支持服务员需时限制访问安全区域敏感信息处理设施种访问应授权受监视
e) 安全区域访问权定期予评审更新需时废(见833)
913 办公室房间设施安全保护
控制措施
应办公室房间设施设计采取物理安全措施
实施指南
应考虑列指南保护办公室房间设施:
a) 相关健康安全法规标准考虑
b) 关键设施应坐落避免公众进行访问场
c) 果行建筑物引注目建筑物侧外侧明显标记出途少指示标识信息处理活动存
d) 标识敏感信息处理设施位置目录部电话簿轻易公众
914 外部环境威胁安全防护
控制措施
防止火灾洪水震爆炸社会动荡形式然灾难引起破坏应设计采取物理保护措施
实施指南
考虑邻区域带安全威胁例邻建筑物火灾屋顶漏水室板渗水者街爆炸
避免火灾洪水震爆炸社会动荡形式然灾难灾难破坏应考虑素:
a) 危险易燃材料应离安全区域安全距离外方存放批供应品(例文具)应存放安全区域
b) 备份设备备份介质存放点应场段安全距离避免影响场灾难产生破坏
c) 应提供适灭火设备应放合适点
915 安全区域工作
控制措施
应设计运安全区域工作物理保护指南
实施指南
列指南应予考虑:
a) 必知道基础员工应知道安全区域存中活动
b) 安全原减少恶意活动机会均应避免安全区域进行受监督工作
c) 未安全区域物理锁周期予检查
d) 非授权允许携带摄影视频声频记录设备例移动设备中相机
安全区域工作安排包括工作安全区域雇员承包方员第三方员控制发生安全区域第三方活动控制
916 公访问交接区安全
控制措施
访问点(例交接区)未授权员进入办公场点应加控制果信息处理设施隔离避免未授权访问
实施指南
列指南应予考虑:
a) 建筑物外进入交接区访问应局限已标识已授权员
b) 交接区应设计成需交货员获建筑物部分访问权情况卸物资
c) 部门开时交接区外部门应安全保护
d) 进物资交接区运点前检查否存潜威胁(见921d))
e) 进物资应资产理程序(见711)场入口处进行登记
f) 果进入外出货物应物理予隔离
92 设备安全
目标:防止资产丢失损坏失窃危资产安全组织活动中断
应保护设备免受物理环境威胁
设备(包括离开组织财产移动)保护减少未授权访问信息风险防止丢失损坏必需样做考虑设备安置处置需专门控制防止物理威胁保护支持性设施诸供电电缆设施
921 设备安置保护
控制措施
应安置保护设备减少环境威胁危险造成种风险未授权访问机会
实施指南
列指南应予考虑保护设备:
a) 设备应进行适安置量减少必工作区域访问
b) 应处理敏感数信息处理设施放适限制观测位置减少期间信息窥视风险应保护储存设施防止未授权访问
c) 求专门保护部件予隔离降低求总体保护等级
d) 应采取控制措施减潜物理威胁风险例偷窃火灾爆炸烟雾水(供水障)尘埃振动化学影响电源干扰通信干扰电磁辐射意破坏
e) 应建立信息处理设施附进食喝饮料抽烟指南
f) 信息处理设施运行状态产生负面影响环境条件(例温度湿度)予监视
g) 建筑物应采避雷保护进入电源通信线路应装配雷电保护滤器
h) 工业环境中设备考虑专门保护方法例键盘保护膜
i) 应保护处理敏感信息设备化辐射导致信息泄露风险
922 支持性设施
控制措施
应保护设备免支持性设施失效引起电源障中断
实施指南
应足够支持性设施(例电供水排污加热通风空调)支持系统支持性设施应定期检查适测试确保功减少障失效带风险应设备制造商说明提供合适供电
支持关键业务操作设备推荐支持序关机连续运行间断电源(UPS)电源应急计划包括UPS障时采取措施果电源障延长处理继续进行考虑备份发电机应提供足够燃料供确保延长时间发电机进行工作UPS设备发电机定期检查确保拥足够力制造商建议予测试外果办公场应考虑源电源单独变电站
外应急电源开关应位设备房间应急出口附便紧急情况时快速切断电源万电源出现障时提供应急明
稳定足够供水支持空调加湿设备灭火系统(时)供水系统障破坏设备阻止效灭火果需应告警系统指示水压降低
连接公提供商通信设备应少两条线路防止条连接路径发生障时语音服务失效足够语音服务满足方法规应急通信求
信息
实现连续供电选项包括路供电避免供电单障点
923 布缆安全
控制措施
应保证传输数支持信息服务电源布缆通信布缆免受窃听损坏
实施指南
布缆安全列指南应予考虑:
a) 进入信息处理设施电源通信线路宜提供足够换保护
b) 网络布缆免受未授权窃听损坏例利电缆道路避开公众区域
c) 防止干扰电源电缆通信电缆分开
d) 清晰识电缆设备记号处理失误化例错误网络电缆意外配线
e) 文件化配线列表减少失误性
f) 敏感关键系统更进步控制考虑应包括:
1) 检查点终接点处安装铠装电缆道锁房间盒子
2) 换路选择传输介质提供适安全措施
3) 纤维光缆
4) 电磁防辐射装置保护电缆
5) 电缆连接未授权装置动实施技术清物理检查
6) 控制配线盘电缆室访问
924 设备维护
控制措施
设备应予正确维护确保持续性完整性
实施指南
设备维护列指南应予考虑:
a) 供应商推荐服务时间间隔规范设备进行维护
b) 已授权维护员设备进行修理服务
c) 保存疑实际障预防纠正维护记录
d) 设备安排维护时应实施适控制考虑维护场部员执行外部员执行需时敏感信息需设备中删者维护员应该足够
e) 应遵守保险策略施加求
925 组织场外设备安全
控制措施
应组织场设备采取安全措施考虑工作组织场外风险
实施指南
责谁组织场外信息处理设备通理者授权
离开办公场设备保护应考虑列指南:
a) 离开建筑物设备介质公场应旅行时便携式计算机作手提行李携带宜伪装起
b) 制造商设备保护说明始终加遵守例防止暴露强电磁场
c) 家庭工作控制措施应根风险评估确定适合时施加合适控制措施例锁存档柜清理桌面策略计算机访问控制办公室安全通信(见ISOIEC 18028 网络安全)
d) 足够安全保障掩蔽物宜位保护离开办公场设备
安全风险场显著例损坏盗窃截取考虑确定合适控制措施
信息
家庭工作正常工作点运走信息存储处理设备包括形式计算机理设备移动电话智卡纸张形式设备
关保护移动设备方面更信息1171中找
926 设备安全处置利
控制措施
包含储存介质设备项目应进行检查确保销毁前敏感信息注册软件已删安全重写
实施指南
包含敏感信息设备物理应予摧毁者采原始信息获取技术破坏删覆盖信息采标准删格式化功
信息
包含敏感信息已损坏设备需实施风险评估确定设备否进行销毁送修理丢弃
信息通设备草率处置重泄漏(见1072)
927 资产移动
控制措施
设备信息软件授权前应带出组织场
实施指南
列指南应予考虑:
a) 未事先授权情况应设备信息软件离开办公场
b) 应明确识权允许资产移动离开办公场雇员承包方员第三方员
c) 应设置设备移动时间限制返时执行符合性检查
d) 需合适设备作出移出记录返回时作出送回记录
信息
应执行检测未授权资产移动抽查检测未授权记录装置武器等等防止进入办公场样抽查应相关规章制度执行应知道进行抽查法律法规求适授权执行检查
10 通信操作理
101 操作程序职责
目标:确保正确安全操作信息处理设施
应建立信息处理设施理操作职责程序包括制定合适操作程序
合适时应实施责分割减少疏忽意误系统风险
1011 文件化操作程序
控制措施
操作程序应形成文件保持需户
实施指南
信息处理通信设施相关系统活动应具备形成文件程序例计算机启动关机程序备份设备维护介质处理计算机机房邮件处置理物理安全等
操作程序应详细规定执行项工作说明容包括:
a) 信息处理处置
b) 备份(见105)
c) 时间安排求包括系统相互关系早工作开始时间工作完成期限
d) 工作执行期间出现处理差错异常情况指导包括系统实工具限制(见1154)
e) 出现期操作技术困难事态时支持性联络
f) 特定输出介质处理指导诸特殊信纸理保密输出包括务失败时输出安全处置程序(见10721073)
g) 供系统失效时系统重启恢复程序
h) 审核踪系统日志信息理(见1010)
操作程序系统活动文件化程序作正式文件变更理者授权技术行时信息系统应相程序工具实程序进行致理
1012 变更理
控制措施
信息处理设施系统变更应加控制
实施指南
操作系统应软件应严格变更理控制
特列条款应予考虑
a) 重变更标识记录
b) 变更策划测试
c) 种变更潜影响评估包括安全影响
d) 建议变更正式批准程序
e) 关员传达变更细节
f) 返回程序包括成功变更未预料事态中退出恢复程序职责
正式理者职责程序应位确保设备软件程序变更令满意控制发生变更时包含相关信息审核日志予保留
信息
信息处理设施系统变更缺乏控制系统障安全失误常见原操作环境变更特系统开发阶段操作阶段转移时影响应性(见1251)
操作系统变更存效业务需求时进行例系统风险增加操作系统应程序新版进行系统更新总业务需求样做会引入现版更脆弱性稳定性尤移植期间需额外培训许证费支持维护理开支新硬件等
1013 责分割
控制措施
类责职责范围应加分割降低未授权意识修改者组织资产机会
实施指南
责分割种减少意外意系统误风险方法应注意授权未监测时应访问修改资产事态启动授权分离勾结性应设计控制措施时予考虑
型组织感难实现种责分割性行性说该原适果难分割应考虑控制措施例活动审核踪迹理监督监视等重安全审核保持独立
1014 开发测试运行设施分离
控制措施
开发测试运行设施应分离减少未授权访问改变运行系统风险
实施指南
防止操作问题应识运行测试开发环境间分离级实施适控制措施
列条款应加考虑:
a) 规定开发状态运行状态软件传递规形成文件
b) 开发运行软件系统计算机处理器域目录运行
c) 没必时编译器编辑器开发工具系统实工具应访问运行系统
d) 测试系统环境应仿效运行系统环境
e) 户应运行测试系统中户轮廓菜单显示合适标识消息减少出错风险
f) 敏感数应拷贝测试系统环境中(见1242)
信息
开发测试活动引起严重问题例文件系统环境期修改者系统障种情况必保持种已知稳定环境环境中执行意义测试防止适开发者访问
开发测试员访问运行系统信息会引入未授权未测试代码改变运行数某系统中种力误实施欺诈引入未测试恶意代码导致严重运行问题
开发者测试者造成运行信息保密性威胁果开发测试活动享计算环境引起非意软件信息变更减少意外变更未授权访问运行软件业务数风险分离开发测试运行设施必(见1242测试数保护)
102 第三方服务交付理
目标:实施保持符合第三方服务交付协议信息安全服务交付适水准
组织应检查协议实施监视协议执行符合性理变更确保交付服务满足第三方商定求
1021 服务交付
控制措施
应确保第三方实施运行保持包含第三方服务交付协议中安全控制措施服务定义交付水准
实施指南
第三方交付服务应包括商定安全安排服务定义服务理方面外包安排情况组织应策划必渡(信息信息处理设施需移动资产)应确保安全整渡期间保持
组织应确保第三方保持足够服务力计划确保商定服务服务障灾难(见141)继续保持
1022 第三方服务监视评审
控制措施
应定期监视评审第三方提供服务报告记录审核应定期执行
实施指南
第三方服务监视评审应确保坚持协议信息安全条款条件信息安全事件问题适理涉组织第三方间服务理关系程包括:
a) 监视服务执行级检查协议符合度
b) 评审第三方产生服务报告安排协议求定期进展会议
c) 协议支持性指南程序需时提供关信息安全事件信息第三方组织实施评审
d) 评审第三方审核踪迹关交付服务安全事态运行问题失效障追踪中断记录
e) 解决理已确定问题
理第三方关系职责应分配指定员服务理组外组织应确保第三方分配检查符合性执行协议求职责应获足够技术技资源监视满足协议求(见623)特信息安全求服务交付中发现足时应采取适措施
组织应第三方访问处理理敏感关键信息信息处理设施安全方面保持充分全面控制见度组织应确保安全活动留见度例变更理脆弱性识信息安全事件报告响应事件报告响应清晰定义报告程格式结构
信息
外包时组织必须知晓外包方处理信息终职责属组织
1023 第三方服务变更理
控制措施
应理服务提供变更包括保持改进现信息安全方针策略程序控制措施考虑业务系统涉程关键程度风险评估
实施指南
第三方服务变更理程需考虑:
a) 组织实施变更:
1) 提供现服务加强
2) 新应系统开发
3) 组织方针策略程序更改更新
4) 解决信息安全事件改进安全新控制措施
b) 第三方服务实施变更:
1) 网络变更加强
2) 新技术
3) 新产品新版采
4) 新开发工具环境
5) 服务设施物理位置变更
6) 供应商变更
103 系统规划验收
目标:系统失效风险降
确保足够力资源性提供需系统性需预先规划准备
应作出未容量需求推测减少系统载风险
新系统运行求应验收前建立形成文件进行测试
1031 容量理
控制措施
资源应加监视调整应作出未容量求预测确保拥需系统性
实施指南
新正进行活动说应识容量求应系统调整监视确保(需时)改进系统性效率应检测控制措施时指出问题未容量求推测应考虑新业务系统求组织信息处理力前预计趋势
需特关注长订货交货周期高成相关资源理员应监视关键系统资源利应识出趋势特业务应理信息系统工具相关
理员应该信息识避免潜瓶颈关键员工赖引起系统安全户服务威胁时理员应策划适措施
1032 系统验收
控制措施
应建立新信息系统升级新版验收准开发中验收前系统进行适测试
实施指南
理员确保验收新系统求准明确定义商定形成文件测试新信息系统升级新版获正式验收作产品验收前列项目加考虑:
a) 性计算机容量求
b) 差错恢复重启程序应急计划
c) 已定义标准准备测试日常运行程序
d) 确定组安全控制措施应位
e) 效工操作程序
f) 141求业务连续性安排
g) 新系统安装现系统负面影响证特高峰处理时间例月末
h) 考虑新系统组织总体安全影响证
i) 新系统操作培训
j) 易性影响户避免员出错
新开发开发程阶段征询运行职部门户意见确保建议系统设计运行效率进行适测试证实完全满足全部验收标准
信息
验收包括正式认证认程验证已适解决安全求
104 防范恶意移动代码
目标:保护软件信息完整性
求预防措施防范检测恶意代码未授权移动代码引入
软件信息处理设施易感染恶意代码(例计算机病毒网络蠕虫特洛伊木马逻辑炸弹)户解恶意代码危险合适理员推行控制措施防范检测删恶意代码控制移动代码
1041 控制恶意代码
控制措施
应实施恶意代码监测预防恢复控制措施适提高户安全意识程序
实施指南
防范恶意代码基恶意代码监测修复软件安全意识适系统访问变更理控制措施列指南加考虑:
a) 建立禁止未授权软件正式策略(见1512)
b) 建立防范风险正式策略该风险外部网络介质获文件软件相关策略指示应采取什保护措施(见115特11541155)
c) 支持关键业务程系统中软件数容进行定期评审应正式调查存未批准文件未授权修正
d) 安装定期更新恶意代码检测修复软件扫描计算机介质作预防控制作例行程序基础执行检查应包括:
1) 针恶意代码前检查电子光介质文件网络收文件
2) 针恶意代码前检查电子邮件附件载容该检查位置进行例电子邮件服务器台式计算机进入组织网络时
3) 针恶意代码检查web页面
e) 定义关系统恶意代码防护培训恶意代码攻击报告中恢复理程序职责(见131132)
f) 制定适恶意代码攻击中恢复业务连续性计划包括必数软件备份恢复安排(见14章)
g) 实施程序定期收集信息例订阅邮件列表检查提供新恶意代码web站点
h) 实施检验恶意代码相关信息程序确保报警公告准确情报理员应确保合格源(例声誉期刊Internet网站防范恶意代码软件供应商)区分虚假实际恶意代码户解欺骗问题收时做什
信息
信息处理环境中供应商防范恶意代码两软件产品改进恶意代码防护效性
安装防恶意代码软件提供定义文件扫描引擎动更新确保防护措施新外台台式机安装该软件执行动检查
应注意防止实施维护紧急程序期间引入恶意代码避开正常恶意代码防护控制措施
1042 控制移动代码
控制措施
授权移动代码时配置应确保授权移动代码清晰定义安全策略运行应阻止执行未授权移动代码
实施指南
应考虑列措施防止移动代码执行未授权活动:
a) 逻辑隔离环境中执行移动代码
b) 阻断移动代码
c) 阻断移动代码接收
d) 技术测量措施特定系统中确保移动代码受控
e) 控制移动代码访问资源
f) 密码控制唯认证移动代码
信息
移动代码种软件代码台计算机传递台计算机动执行少没户干预情况完成特定功移动代码量中间件服务关
确保移动代码包含恶意代码外必须控制移动代码避免系统网络应资源未授权破坏违反信息安全活动
105 备份
目标:保持信息信息处理设施完整性性
应备份数演练时恢复建立例行程序实施已商定策略战略(见141)
1051 信息备份
控制措施
应已设备份策略定期备份测试信息软件
实施指南
应提供足够备份设施确保必信息软件灾难介质障进行恢复
信息备份列条款应加考虑:
a) 应定义备份信息必级
b) 应建立备份拷贝准确完整记录文件化恢复程序
c) 备份程度(例全部备份部分备份)频率应反映组织业务求涉信息安全求信息组织持续运作关键度
d) 备份存储远程点足够距离避免办公场灾难时受损坏
e) 应予备份信息办公场应标准相致适物理环境保护等级(见第9章)应扩充应办公场介质控制涵盖备份场
f) 行定期测试备份介质确保需应急时备份介质
g) 恢复程序应定期检查测试确保效操作程序恢复分配时间完成
h) 保密性十分重情况备份应通加密方法进行保护
系统备份安排应定期测试确保满足业务连续性计划(见14章)求重系统备份安排应包括发生灾难时恢复整系统必需系统信息应数
应确定重业务信息保存周期永久保存档案拷贝求(见1513)
信息
备份恢复程更容易备份安排动进行种动化解决方案应实施前进行充分测试应做定期测试
106 网络安全理
目标:确保网络中信息安全性保护支持性基础设施
跨越组织边界网络安全理需仔细考虑数流法律含义监视保护
求外控制保护公网络传输敏感数
1061 网络控制
控制措施
应充分理控制网络防止威胁发生维护系统网络应程序安全包括传输中信息
实施指南
网络理员应实施控制确保网络信息安全防止未授权访问连接服务特列条款应予考虑:
a) 合适网络操作职责计算机操作分开(见1013)
b) 应建立远程设备(包括户区域设备)理职责程序
c) 必应建立专门控制保护公网络线网络传递数保密性完整性保护已连接系统应(见114123)维护连接网络服务计算机性求专门控制
d) 记录安全相关活动应适日志记录监视措施
e) 优化组织服务确保信息处理基础设施始终应干控制措施应紧密协调理活动
信息
关网络安全外信息见ISOIEC 18028 网络安全
1062 网络服务安全
控制措施
安全特性服务级网络服务理求应予确定包括网络服务协议中服务部提供外包
实施指南
网络服务提供商安全方式理商定服务力应予确定定期监视应商定审核权利
应识特殊服务安全安排例安全特性服务级理求组织应确保网络服务提供商实施措施
信息
网络服务包括接入服务私网络服务增值网络受控网络安全解决方案例防火墙入侵检测系统服务包括简单未受控带宽包括复杂增值提供
网络服务安全特性:
a) 网络服务应安全技术例认证加密网络连接控制
b) 安全网络连接规网络服务安全连接需技术参数
c) 需网络服务程序限制网络服务应访问
107 介质处置
目标:防止资产遭受未授权泄露修改移动销毁业务活动中断
介质应受控制物理保护
文件计算机介质(磁带磁盘)输入输出数系统文件免遭未授权泄露修改删破坏应建立适操作程序
1071 移动介质理
控制措施
应适移动介质理程序
实施指南
列移动介质理指南应加考虑:
a) 组织取走重介质中容果需应重
b) 果需行组织取走介质应求授权种移动记录应加保持保持审核踪迹
c) 介质存储符合制造商说明安全保密环境中
d) 果存储介质中信息时间介质生命期长信息存储方避免介质老化导致信息丢失
e) 应考虑移动介质登记减少数丢失机会
f) 应业务求时移动介质
程序授权级清晰形成文件
信息
移动介质包括磁带磁盘闪盘移动硬件驱动器CDDVD印介质
1072 介质处置
控制措施
需介质应正式程序安全处置
实施指南
应建立安全处置介质正式程序敏感信息泄露未授权员风险减安全处置包含敏感信息介质程序应信息敏感性相致列控制应予考虑:
a) 包含敏感信息介质秘密安全存储处置例利焚化切碎方法者数删供组织应
b) 应程序识需安全处置项目
c) 安排介质部件收集起进行安全处置试图分离出敏感部件更容易
d) 许组织纸设备介质提供收集处置服务应注意选择具足够控制措施验合适合方
e) 处置敏感部件做记录便保持审核踪迹
处置堆积介质时集合效应应予考虑量敏感信息变成敏感信息
信息
敏感信息粗心意介质处置泄露(见926关设备处置信息)
1073 信息处理程序
控制措施
应建立信息处理存储程序防止信息未授权泄漏
实施指南
应制定处置处理存储分类致信息(见72)通信程序列条款应加考虑:
a) 显示分类级处置标记介质
b) 确定防止未授权员访问限制
c) 维护数授权接收者正式记录
d) 确保输入数完整正确完成处理应输出验证
e) 敏感性致级保护等输出假脱机数
f) 根制造商规范存储介质
g) 分发数少
h) 清晰标记数拷贝引起已授权接收者关注
i) 固定时间间隔评审分发列表已授权接收者列表
信息
程序应文件计算系统网络移动计算移动通信邮件话音邮件通话音通信媒体邮政服务设施传真机敏感项目(例空白支票发票)中信息
1074 系统文件安全
控制措施
应保护系统文件防止未授权访问
实施指南
系统文件安全应考虑列条款:
a) 安全存储系统文件
b) 系统文件访问员列表保持范围应责授权
c) 应妥善保护保存公网络公网络提供系统文件
信息
系统文件包含系列敏感信息例应程描述程序数结构授权程
108 信息交换
目标:保持组织信息软件交换外部组织信息软件交换安全
组织间信息软件交换应基正式交换策略交换协议执行应服相关法律(见第15章)
建立程序标准保护信息传输中包含信息物理介质
1081 信息交换策略程序
控制措施
应正式交换策略程序控制措施保护通种类型通信设施信息交换
实施指南
电子通信设施进行信息交换程序控制应考虑列条款:
a) 设计防止交换信息遭受截取复制修改错误寻址破坏程序
b) 检测防止通电子通信传输恶意代码程序
c) 保护附件形式传输敏感电子信息程序
d) 简述电子通信设施接受策略指南(见713)
e) 线通信程序考虑涉特定风险
f) 雇员承包方员第三方员危害组织职责例诽谤扰乱扮演连锁信寄送未授权购买等
g) 密码技术例保护信息保密性完整性真实性(见123)
h) 业务通信(包括消息)保持处理指南相关国家方法律法规致
i) 敏感关键信息留印设施例复印机印机传真机设施未授权员访问
j) 通信设施转发相关控制措施限制例电子邮件动转发外部邮件址
k) 提醒工作员应采取相应预防措施例泄露敏感信息避免电话时意听窃听:
1) 移动电话时特注意附
2) 搭线窃听通物理访问手持电话电话线路受扫描接收器窃听方式
3) 接收端
l) 包含敏感信息消息留应答机未授权重放留公系统者误拨号正确存储
m) 提醒工作员关传真机问题:
1) 未授权访问置消息存储器检索消息
2) 意意传真机编程消息发送特定电话号码
3) 误拨号错误存储号码文档消息发送错误电话号码
n) 提醒工作员注册统计数例软件中电子邮件址员信息避免未授权员收集
o) 提醒工作员现代传真机影印机页面缓页面传输障时存储页面旦障消印
外应提醒工作员公场开放办公室薄围墙会场进行保密会谈
信息交换设施应符合相关法律求(见第15章)
信息
通类型通信设施进行信息交换例电子邮件声音传真视频
通类型介质进行软件交换包括互联网载出售现货供应商处获
应考虑电子数交换电子商务电子通信控制求相关业务法律安全蕴涵
信息交换设施时缺乏意识策略程序泄露信息例公开场移动电话偷听电子邮件消息指示错误应答机偷听未授权访问拨号语音邮件系统传真设备意外传真发送错误传真设备
果通信设施失灵载中断中断业务运行损坏信息(见103第14章)果述通信设施未授权户访问损害信息(见第11章)
1082 交换协议
控制措施
应建立组织外部团体交换信息软件协议
实施指南
交换协议应考虑安全条款:
a) 控制通知传输分派接收理职责
b) 通知传输分派接收发送者程序
c) 确保追溯性抵赖性程序
d) 包传输低技术标准
e) 条件转契约
f) 送信标识标准
g) 果发生信息安全事件职责义务例数丢失
h) 商定标记敏感关键信息系统确保标记含义直接理解信息受适保护
i) 数保护版权软件许证符合性类似考虑责职责(见15121514)
j) 记录阅读信息软件技术标准
k) 保护敏感项求专门控制措施例密钥(见123)
应建立保持策略程序标准保护传输中信息物理介质(见1083)应交换协议中进行引
协议安全容应反映涉业务信息敏感度
信息
协议电子手写采取正式合条款形式敏感信息言信息交换特定机制组织种协议应致
1083 运输中物理介质
控制措施
包含信息介质组织物理边界外运送时应防止未授权访问毁坏
实施指南
应考虑列指南保护点间传输信息介质:
a) 应运输送信
b) 授权送信列表应理者批准
c) 应开发检查送信识程序
d) 包装足保护信息免遭运输期间出现物理损坏符合制造商规范(例软件)例防止减少介质恢复效力环境素例暴露热潮湿电磁区域
e) 需应采取专门控制保护敏感信息免遭未授权泄露修改例子包括:
1) 锁容器
2) 手工交付
3) 防篡改包装(揭示想获访问企图)
4) 异常情况托运货物分解成次交付通路线发送
信息
信息物理传输期间(例通邮政服务送信传送)易受未授权访问破坏
1084 电子消息发送
控制措施
包含电子消息发送中信息应予适保护
实施指南
电子消息发送安全考虑应包括方面:
a) 防止消息遭受未授权访问修改拒绝服务攻击
b) 确保正确寻址消息传输
c) 服务通性性
d) 法律方面考虑例电子签名求
e) 外部公开服务(例时消息文件享)前获批准
f) 更强控制公开访问网络进行访问认证级
信息
电子消息(例电子邮件电子数交换(EDI)时消息)业务通信中充日益重角色电子消息基通信纸面文件相风险
1085 业务信息系统
控制措施
应建立实施策略程序保护业务信息系统互联相关信息
实施指南
互连接(例设施)安全业务蕴涵考虑应包括:
a) 信息组织部门间享时理会计系统中已知脆弱性
b) 业务通信系统中信息脆弱性例记录电话呼会议呼呼保密性传真存储开邮件邮件分发
c) 理信息享策略适控制
d) 果系统提供适级保护(见72)没考虑敏感业务信息类分类文件
e) 限制访问特定员(例参敏感项目工作员)相关日志信息
f) 允许系统工作员合方业务伙伴类访问该系统位置
g) 特定户限制选定设施
h) 识出户身份例组织雇员者户利益目录中合方
i) 系统存放信息保留备份
j) 基维持运行求安排(见第14章)
信息
办公信息系统通结合文档计算机移动计算移动通信邮件话音邮件通话音通信媒体邮政服务设施传真机快速传播享业务信息
109 电子商务服务
目标:确保电子商务服务安全安全
应考虑电子商务服务相关安全蕴涵包括线交易控制求应考虑通公开系统电子方式公布信息完整性性
1091 电子商务
控制措施
包含公网络电子商务中信息应受保护防止欺诈活动合争议未授权泄露修改
实施指南
电子商务安全考虑应包括:
a) 彼声称身份中方求信级例通认证
b) 谁设定价格发布签署关键交易文件相关授权
c) 确保贸易伙伴完全接职责通知
d) 决定满足保密性完整性关键文件分发接收证明合抵赖性方面求例关提出订约程
e) 公开价格表完整性需信级
f) 敏感数信息保密性
g) 订单交易支付信息交付址细节接收确认保密性完整性
h) 适检查户提供支付信息验证程度
i) 防止欺诈选择适合支付解决形式
j) 保持订单信息保密性完整性求保护级
k) 避免交易信息丢失复制
l) 欺诈交易相关责
m) 保险求
述许考虑通应密码技术实现(见123)考虑符合法律求(见151特见1516密码法规)
应通文件化协议支持贸易伙伴间电子商务安排该协议双方致力商定交易条款包括授权细节(见述b))信息服务部门增值网络提供者协议必
公交易系统应顾客公布业务项目
电子商务机受攻击恢复力电子商务服务实现求网络互连安全涉问题应予考虑(见1146)
信息
电子商务易受许网络威胁威胁导致欺诈活动合争端信息泄露修改
电子商务充分利安全认证方法(例公开密钥系统数字签名(见123))减少风险外需服务时信第三方
1092 线交易
控制措施
包含线交易中信息应受保护防止完全传输错误路未授权消息篡改未授权泄露未授权消息复制重放
实施指南
线交易安全考虑应包括点:
a) 交易中涉方电子签名
b) 交易方面例确保:
1) 方户信效验证
2) 交易保密
3) 保留涉方相关隐私
c) 加密涉方通信路径
d) 涉方间通信协议安全
e) 确保交易细节存储公开环境外(例存储组织部互联网存储台)留暴露互联网直接访问存储介质
f) 信权威时(例颁布维护数字签名数字认证)安全集成嵌入整端端认证签名理程中
信息
采控制措施程度应线交易形式相关风险级
交易需符合交易产生处理完成存储理区域法律规法规
存形式交易线方式执行例契约财政等等
1093 公信息
控制措施
公系统中信息完整性应受保护防止未授权修改
实施指南
应通适机制(例数签名(见123))保护需高完整性级公系统中软件数信息信息前应测试公系统防止弱点障
信息公开前应正式授权程外外部系统提供输入应验证批准
应心控制电子发布系统特允许反馈直接录入信息电子发布系统便:
a) 数保护法律获信息(见1514)
b) 输入发布系统发布系统处理信息时方式完整准确予处理
c) 收集信息程期间存储信息时保护敏感信息
d) 发布系统访问允许意识访问连接网络
信息
公系统信息(例Internet访问Web服务器信息)需符合该系统贸易发生责居住辖区域法律规规章发布信息未授权修改损害发布组织声
1010 监视
目标:检测未授权信息处理活动
应监视系统记录信息安全事态应操作员日志障日志确保识出信息系统问题
组织监视日志记录活动应遵守相关法律求
应系统监视检查采控制措施效性验证访问策略模型致性
10101 审计日志
控制措施
应产生记录户活动异常信息安全事态审计日志保持已设周期支持调查访问控制监视
实施指南
审计日志应需时包括:
a) 户ID
b) 日期时间关键事态细节例登录退出
c) 终端身份位置
d) 成功拒绝系统尝试访问记录
e) 成功拒绝数资源尝试访问记录
f) 系统配置变化
g) 特殊权限
h) 系统实工具应程序
i) 访问文件访问类型
j) 网络址协议
k) 访问控制系统引发警报
l) 防护系统激活停例防病毒系统入侵检测系统
信息
审计日志包含闯入入侵机密员数应采取适隐私保护措施(见1514)时系统理员应删停活动日志权利
10102 监视系统
控制措施
应建立信息处理设施监视程序监视活动结果常评审
实施指南
设施监视级应风险评估决定组织应符合相关适监视活动法律求考虑范围包括:
a) 授权访问包括细节例:
1) 户ID
2) 关键事态日期时间
3) 事态类型
4) 访问文件
5) 程序工具
b) 特殊权限操作例:
1) 特殊权限帐户例监督员根户理员
2) 系统启动终止
3) IO设备装配拆卸
c) 未授权访问尝试例:
1) 失败拒绝户活动
2) 失败拒绝涉数资源活动
3) 违反访问策略网关防火墙通知
4) 私入侵检测系统警报
d) 系统警报障例:
1) 控制台警报消息
2) 系统日志异常
3) 网络理警报
4) 访问控制系统引发警报
e) 改变企图改变系统安全设置控制措施
监视活动结果长时间进行评审应赖涉风险应考虑风险素包括:
a) 应程关键程度
b) 涉信息价值敏感度关键程度
c) 系统渗透历脆弱性利频率
d) 系统互连接程度(尤公网络)
e) 设备停日志记录
信息
必须监视程序确保户执行明确授权活动
日志评审包括系统面威胁理解出现方式更关事件例子见信息安全事件1311
10103 日志信息保护
控制措施
记录日志设施日志信息应加保护防止篡改未授权访问
实施指南
应实施控制措施防止日志设施未授权更改出现操作问题例:
a) 更改已记录消息类型
b) 日志文件编辑删
c) 超越日志文件介质存储力界限导致记录事态记录事态覆盖
审计日志需存档作记录保持策略部分收集保留证求(见1323)
信息
系统日志通常包含量信息中许安全监视关帮助识出安全监视目重意义事态应考虑相应消息类型动拷贝第二份日志适合系统实工具审计工具执行文件查询规范化
需保护系统日志果中数修改删导致错误安全判断
10104 理员操作员日志
控制措施
系统理员系统操作员活动应记入日志
实施指南
日志包括:
a) 事态(成功失败)发生时间
b) 关事态(例处理文件)障(发生差错采取纠正措施)信息
c) 涉帐号理员操作员
d) 涉程
系统操作员操作员日志应定期评审
信息
系统网络理员控制外进行理入侵检测系统监视系统网络理活动符合性
10105 障日志
控制措施
障应记录分析采取适措施
实施指南
信息处理通信系统问题关户系统程序报告障加记录处置报告障明确规包括:
a) 评审障日志确保已满意解决障
b) 评审纠正措施确保没危控制措施安全采取措施予充分授权
果具错误记录系统功应确保该功处开启状态
信息
错误障日志记录影响系统性日志记录应胜员工激活系统需日志记录级应风险评估决定考虑性降低
10106 时钟步
控制措施
组织安全域相关信息处理设施时钟应已设精确时间源进行步
实施指南
计算机通信设备力运行实时时钟时钟应置商定标准例世界标准时间(UTC)标准时间已知某时钟时间漂移应校验校准重变化程序
日期时间格式正确解释确保时间戳反映实时日期时间重应考虑局部特异性(例夏令时间)
信息
正确设置计算机时钟确保审计记录准确性重审计日志调查作法律法规案例证准确审计日志妨碍调查损害种证信性链接国家原子钟线电广播时间时钟记录系统时钟网络时间协议保持服务器时钟步
11 访问控制
111 访问控制业务求
目标:控制信息访问
信息信息处理设施业务程访问应业务安全求基础予控制
访问控制规应考虑信息传播授权策略
1111 访问控制策略
控制措施
访问控制策略应建立形成文件基业务访问安全求进行评审
实施指南
应访问控制策略中清晰规定户组户访问控制规权利访问控制包括逻辑物理(见第9章)应起考虑应户服务提供商提供份清晰应满足业务求说明
策略应考虑列容:
a) 业务应安全求
b) 业务应相关信息标识该信息面风险
c) 信息传播授权策略例解原安全等级信息分类需(见72)
d) 系统网络访问控制策略信息分类策略间致性
e) 关保护访问数服务相关法律合义务(见151)
f) 组织常见工作角色标准户访问轮廓
g) 认种连接类型分布式网络化环境中访问权理
h) 访问控制角色分离例访问请求访问授权访问理
i) 访问请求正式授权求(见1121)
j) 访问控制定期评审求(见1124)
k) 访问权取消(见833)
信息
规定访问控制规时应认真考虑列容:
a) 强制性规选条件指南加区分
b) 未明确允许必须律禁止前提未明确禁止律允许规基础建立规
c) 信息处理设施动启动信息标记(见72)户意启动信息标记变更
d) 信息系统动启动户许变更理员启动户许变更
e) 颁发前需特批准规须批准规
访问控制规应正式程序支持清晰定义职责(见例6131131041116)
112 户访问理
目标:确保授权户访问信息系统防止未授权访问
应正式程序控制信息系统服务访问权分配
程序应涵盖户访问生存周期阶段新户初始注册需访问信息系统服务户终撤销适方应特注意特殊权限访问权分配加控制需种访问权户越系统控制措施
1121 户注册
控制措施
应正式户注册注销程序授权撤销信息系统服务访问
实施指南
户注册撤销访问控制程序应包括:
a) 唯户ID户行链接起行负责业务操作言必需方允许组ID应批准形成文件
b) 检查信息系统服务户否具该系统拥者授权取理者访问权单独批准合适
c) 检查授予访问级否业务目(见111)相适合否组织安全方针保持致例没违背责分割原(见1013)
d) 户份关访问权书面声明
e) 求户签署表示理解访问条件声明
f) 确保直已完成授权程序服务提供者提供访问
g) 维护份注册该服务员正式记录
h) 立取消封锁工作角色岗位发生变更离开组织户访问权
i) 定期检查取消封锁余户ID帐号(见1124)
j) 确保余户ID会发户
信息
应考虑基业务求建立户访问角色量访问权结典型户访问轮廓中种角色级访问请求评审(见1124)进行理特定权限级容易
应考虑员合服务合中员工服务代理试图进行未授权访问时关处罚措施条款包括进(见615813823)
1122 特殊权限理
控制措施
应限制控制特殊权限分配
实施指南
需防范未授权访问户系统应通正式授权程特殊权限分配受控制应考虑列步骤:
a) 应标识出系统产品例操作系统数库理系统应程序相关访问特殊权限必须分配户
b) 特殊权限应访问控制策略(1111)需事议基础分配户例仅需时职角色分配低求
c) 应维护分配特殊权限授权程记录未完成授权程前应授予特殊权限
d) 应促进开发系统例行程序避免特殊权限授予户需
e) 应促进开发避免具特殊权限运行程序
f) 特殊权限应分配正常业务途户ID
信息
系统理特殊权限(户视系统应控制措施信息系统特性设施)恰种导致系统障违规素
1123 户口令理
控制措施
应通正式理程控制口令分配
实施指南
程应包括列求:
a) 应求户签署份声明保证口令保密性组口令仅该组成员范围签署声明包括条款条件中(见813)
b) 需户维护口令应初始时提供安全时口令(见1131)强制立改变
c) 提供新代时口令前建立验证户身份程序
d) 应安全方式时口令予户应避免第三方未保护(明文)电子邮件消息
e) 时口令言应唯猜测
f) 户应确认收口令
g) 口令应未保护形式存储计算机系统
h) 应系统软件安装改变提供商默认口令
信息
口令户授权赋予信息系统服务访问权前验证户身份种常手段户标识鉴技术诸生物特征识指纹验证签名验证硬件标记智卡技术均果合适应加考虑
1124 户访问权复查
控制措施
理者应定期正式程户访问权进行复查
实施指南
访问权复查应考虑列指南:
a) 应定期(周期6月)变更(诸提升降级雇终止(见1121))户访问权进行复查
b) 组织中岗位换岗位时应复查重新分配户访问权
c) 特定特殊权限访问权授权(见1122)应更频繁时间间隔进行复查周期3月
d) 应定期检查特殊权限分配确保获未授权特殊权限
e) 具特殊权限帐户变更应周期性复查时记入日志
信息
定期复查户访问权保持数信息服务效控制说必
113 户职责
目标:防止未授权户信息信息处理设施访问危害窃取
已授权户合作实现效安全十分重
应户知悉维护效访问控制职责特关口令户设备安全方面职责
应实施桌面清空屏幕清空策略降低未授权访问破坏纸介质信息处理设施风险
1131 口令
控制措施
应求户选择口令时遵循良安全惯
实施指南
建议户:
a) 保密口令
b) 避免保留口令记录(例纸软件文件中手持设备中)非进行安全存储存储方法批准
c) 迹象表明系统口令受损害时变更口令
d) 选择具长度优质口令口令:
1) 易记忆
2) 基容易猜测获相关信息例名字电话号码生日等等
3) 容易遭受字典攻击(例字典中词组成)
4) 避免连续相全数字全字母字符
e) 定期访问次数基础变更口令(特殊权限账户口令应常规口令更频繁予变更)避免重新旧口令周期性旧口令
f) 初次登录时更换时口令
g) 动登录程(例宏功键存储)中包含口令
h) 户口令享
i) 业务目非业务目中相口令
果户需访问服务系统台求维护单独口令应建议优质口令(见述d))服务户确信服务系统台口令存储建立合理级保护
信息
特心理处理口令丢失忘记桌面帮助系统口令系统种攻击手段
1132 值守户设备
控制措施
户应确保值守户设备适保护
实施指南
户应解保护值守设备安全求程序实现种保护负职责建议户应:
a) 结束时终止活动会话非采种合适锁定机制保证安全例口令保护屏幕保护程序
b) 会话结束时退出计算机服务器办公PC(仅仅关掉PC屏幕终端)
c) 设备时(见1133)带钥匙锁效果等控制措施保护PC终端免遭未授权例口令访问
信息
户范围安装设备(例工作站文件服务器)长期值守时需专门保护防未授权访问
1133 清空桌面屏幕策略
控制措施
应采取清空桌面文件移动存储介质策略清空信息处理设施屏幕策略
实施指南
清空桌面清空屏幕策略应考虑信息分类(见72)法律合求(见151)相应风险组织文化方面列指南应予考虑:
a) 时特离开办公室时应敏感关键业务信息纸质电子存储介质中锁起(理想情况保险柜保险箱形式安全设备中)
b) 值守时计算机终端应注销口令令牌类似户鉴机制控制屏幕键盘锁定机制进行保护时应带钥匙锁口令控制措施进行保护
c) 进出邮件点值守传真机应受保护
d) 应防止复印机复制技术(例扫描仪数字相机)未授权
d) 包含敏感机密信息文件应立印机中清
信息
清空桌面清空屏幕策略降低正常工作时间中外信息未授权访问丢失破坏风险保险箱形式安全存储设施保护存储中信息免受灾难(例火灾震洪水爆炸)影响
考虑带识码功印机原始操作员获印输出唯员站印机边唯员
114 网络访问控制
目标:防止网络服务未授权访问
部外部网络服务访问均应加控制
访问网络网络服务户应损害网络服务安全应确保:
a) 组织网络组织拥网络公网络间合适接口
b) 户设备应合适鉴机制
c) 户访问信息服务强制控制
1141 网络服务策略
控制措施
户应仅访问已获专门授权服务
实施指南
应制定关网络网络服务策略策略应包括:
a) 允许访问网络网络服务
b) 确定允许访问网络网络服务授权程序
c) 保护访问网络连接网络服务理控制措施程序
d) 访问网络网络服务手段(例拨号访问互联网服务提供商远程系统条件)
网络服务策略应业务访问控制策略相致(见111)
信息
网络服务未授权安全连接影响整组织敏感关键业务应网络连接高风险位置(例超出组织安全理控制公区域外部区域)户网络连接言控制措施特重
1142 外部连接户鉴
控制措施
应适鉴方法控制远程户访问
实施指南
远程户鉴例密码技术硬件令牌询问响应协议实现种样虚拟专网络(VPN)解决方案中发现种技术实现专线提供连接源保证
回拨程序控制措施例回拨调制解调器提供防范组织信息处理设施未授权希连接种类型控制措施鉴远程点试图组织网络建立连接户种控制措施时组织应包括前呼网络服务者果种前呼网络服务应禁种特性避免相关弱点反呼程应确保组织发生实际连接断开否远程户保持线路开路假装进行反呼验证种性应充分测试反呼程序控制措施
远程户组连接安全享计算机设施结点鉴作种进行鉴代手段密码技术例建立机器证书基础结点鉴VPN解决方案中部分
应实施外鉴控制措施控制线网络访问尤检测截取插入网络流机会较线网络选择控制措施时需特心
信息
外部连接未授权访问业务信息提供例通拨号方法访问类型鉴方法中某方法提供方法更高级保护例基密码技术方法提供强鉴重根风险评估确定需保护级合适选择种鉴方法必需
远程计算机动连接设施提供获业务应未授权访问种方式果该连接组织安全理控制外网络点尤重
1143 网络设备标识
控制措施
应考虑动设备标识作鉴特定位置设备连接方法
实施指南
果通信某特定位置设备处开始设备标识设备贴设备标识符表示设备否允许连接网络果存网络尤果网络敏感度标识符应清晰指明设备允许连接网络考虑设备物理保护维护设备标识符安全必
信息
控制措施补充技术鉴设备户(见1142)设备标识户鉴
1144 远程诊断配置端口保护
控制措施
诊断配置端口物理逻辑访问应加控制
实施指南
诊断配置端口访问采取控制措施包括带钥匙锁支持程序控制端口物理访问例种支持程序确保计算机服务理员需访问硬件软件支持员间安排访问诊断配置端口
果没特业务需安装计算机网络设施中端口服务类似设施 应禁取消
信息
许计算机系统网络系统通信系统安装远程诊断配置工具便维护工程师果未加保护诊断端口提供种未授权访问手段
1145 网络隔离
控制措施
应网络中隔离信息服务户信息系统
实施指南
控制型网络安全种方法该网络分成独立逻辑网络域例组织部网络域外部网络域域受已定义安全周边保护等级控制措施集应逻辑网络域进步隔离网络安全环境例公访问系统部网络关键资产域定义应基风险评估域安全求
样网络周边通互连两网络间安装安全网关实现控制两域间访问信息流网关应配置成滤域间通信量(见11461147)组织访问控制策略阻挡未授权访问(见111)例种类型网关通常称作防火墙外隔离独立逻辑域方法通组织户组虚拟专网限制网络访问
网络隔离网络设备功例IP转换独立域通路交换性诸访问控制列表控制网络数流实现
网络隔离成干域准应基访问控制策略访问求(见101)考虑相关成加入适合网络路网关技术性影响(见11461147)
外减少服务破坏总影响网络隔离应基网络中存储处理信息价值分类信级业务线
应考虑线网络部专网络隔离线网络周边定义种情况应执行风险评估识控制措施(例强鉴密码手段频率选择)维持网络隔离
信息
正日益扩充网络超出传统组织边界形成业务伙伴需信息处理网络设施互连享样扩充增加网络现信息系统进行未授权访问风险中某系统敏感性关键性需防范网络户
1146 网络连接控制
控制措施
享网络特越组织边界网络户联网力应访问控制策略业务应求加限制(见111)
实施指南
应访问控制策略求维护更新户网络访问权(见1111)
户连接力通网关限制该网关预先定义表规滤通信量应运限制应示例:
a) 消息传递例电子邮件
b) 文件传送
c) 交互式访问
d) 应访问
应考虑网络访问权某天特定时间日期连接起
信息
享网络特扩充跨越组织边界享网络访问控制策略求需引入限制户连接力控制措施
1147 网络路控制
控制措施
应网络中实施路控制确保计算机连接信息流违反业务应访问控制策略
实施指南
路控制措施应基确定源址目址校验机制
果代理网络址转换技术安全网关部外部网络控制点验证源址目址实施者应解采机制强度缺点网络路控制求应基访问控制策略(见111)
信息
享网络特扩充跨越组织边界享网络需外路控制措施第三方(非组织)户享网络中控制措施特适
115 操作系统访问控制
目标:防止操作系统未授权访问
应安全设施限制授权户访问操作系统设施应该包括列容:
a) 已定义访问控制策略鉴授权户
b) 记录成功失败系统鉴企图
c) 记录专系统特殊权限
d) 违背系统安全策略时发布警报
e) 提供合适鉴手段
f) 恰时限制户连接次数
1151 安全登录程序
控制措施
访问操作系统应通安全登录程序加控制
实施指南
登录操作系统程序应设计成未授权访问机会减登录程序应泄露少关系统信息避免未授权户提供必帮助良登录程序应:
a) 显示系统应标识符直登录程已成功完成止
b) 显示已授权户访问计算机般性告警通知
c) 登录程中提供未授权户帮助作帮助消息
d) 仅输入数完成时验证登录信息果出现差错情况系统应指出数部分正确正确
e) 限制允许成功登录尝试次数(推荐3次)考虑:
1) 记录成功尝试成功尝试
2) 允许进步登录尝试前强加次延迟没特定授权情况拒绝进步尝试
3) 断开数链路连接
4) 果达登录尝试次数系统控制台发送警报消息
5) 结合口令长度保护系统价值设置口令重试次数
f) 限制登录程序允许次数果超时系统应终止登录
g) 成功登录完成时显示列信息:
1) 前次成功登录日期时间
2) 次成功登录成功登录尝试细节
h) 显示输入口令考虑通符号隐藏口令字符
i) 网络明文传输口令
信息
网络登录会话期间果口令明文传输会网络网络嗅探器程序捕获
1152 户标识鉴
控制措施
户应唯专供标识符(户ID)应选择种适鉴技术证实户宣称身份
实施指南
应控制措施应类型户(包括技术支持员操作员网络理员系统程序员数库理员)
应户ID活动追踪责常规户活动应特殊权限帐户执行
例外情况存明显业务利益采组户项特定作业享户ID做法样情况应理者批准形成文件保持核查性求外控制措施
应仅列情况允许普通ID该ID执行访问功行需追踪(例读访问)者具控制措施(例普通ID口令次仅发员工记录种情况)
需强鉴身份验证时应鉴方法代口令例密码手段智卡令牌生物特征识手段
信息
口令(见11311153)种非常通提供标识鉴方法种标识鉴建立户知悉秘密基础密码手段鉴协议获样效果户标识鉴强度应访问信息敏感程度相适应
户拥象(诸记忆令牌智卡)标识鉴利唯特征属性生物特征鉴技术鉴身份技术机制安全组合产生更强鉴
1153 口令理系统
控制措施
口令理系统应交互式应确保优质口令
实施指南
口令理系统应:
a) 强制户ID口令保持核查性
b) 允许户选择变更口令包括确认程序便考虑输入出错情况
c) 强制选择优质口令(见1131)
d) 强制口令变更(见1131)
e) 第次登录时强制户变更时口令(见1123)
f) 维护户前口令记录防止重复
g) 输入口令时屏幕显示
h) 分开存储口令文件应系统数
i) 保护形式(例加密哈希)存储传输口令
信息
口令确认户具访问计算机服务授权手段
某应求某独立授权机构分配户口令种情况述指南b)d)e)适数情况口令户选择维护口令指南参见1131
1154 系统实工具
控制措施
超越系统应程序控制措施实工具应加限制严格控制
实施指南
应考虑系统实工具列指南:
a) 系统实工具标识鉴授权程序
b) 系统实工具应软件分开
c) 系统实工具户限制信已授权实际户数(见1122)
d) 特系统实工具授权
e) 限制系统实工具性例授权变更时间
f) 记录系统实工具
g) 系统实工具授权级进行定义形成文件
h) 移禁基实工具系统软件必软件
i) 求责分割时禁止访问系统中应程序户系统实工具
信息
数计算机安装超越系统应控制措施系统实工具
1155 会话超时
控制措施
活动会话应设定休止期关闭
实施指南
设定休止期超时设施应清空会话屏幕超时更长时关闭应网络会话超时延迟应反映该范围安全风险处理信息应程序类设备户相关风险
某清空屏幕防止未授权访问没关闭应网络会话系统提供种受限制超时设施形式
信息
控制措施高风险位置特重包括组织安全理外公外部区域会话应关闭防止未授权员访问拒绝服务攻击
1156 联机时间限定
控制措施
应联机时间限制高风险应程序提供额外安全
实施指南
应考虑敏感计算机应程序特安装高风险位置(例超出组织安全理公外部区域)应程序连机时间控制措施
种限制示例包括:
a) 预先定义时隙批文件传输定期短期交互会话
b) 果没超时延时操作求连机时间限正常办公时间
c) 考虑定时进行重新鉴
信息
限制计算机服务连接允许时间减少未授权访问机会限制活动会话持续时间防范户保持会话开阻碍重新鉴
116 应信息访问控制
目标:防止应系统中信息未授权访问
应安全设施限制应系统访问应系统访问
应软件信息逻辑访问应限已授权户应系统应:
a) 已确定访问控制策略控制户访问信息应系统功
b) 提供防范够超越绕系统应控制措施实工具操作系统软件恶意软件未授权访问
c) 损坏享信息资源系统安全
1161 信息访问限制
控制措施
户支持员信息应系统功访问应已确定访问控制策略加限制
实施指南
访问限制应基业务应求访问控制策略应组织访问策略(见111)致
支持访问限制求应考虑应指南:
a) 提供控制访问应系统功选择单
b) 控制户访问权读写删执行
c) 控制应访问权
d) 确保处理敏感信息应系统输出仅包含输出相关信息仅发送已授权终端点应包括周期性评审种输出确保掉余信息
1162 敏感系统隔离
控制措施
敏感系统应专(隔离)运算环境
实施指南
敏感系统隔离应考虑容:
a) 应程序责应明确识应系统敏感程度形成文件(见712)
b) 敏感应程序享环境中运行时该敏感应程序责应识接受享资源应系统相关风险
信息
某应系统潜损失十分敏感求特处理敏感性表示该应系统:
a) 应运行专计算机
b) 应仅信应系统享资源
隔离通物理逻辑手段实现(见1145)
117 移动计算远程工作
目标:确保移动计算远程工作设施时信息安全
需保护措施应特定工作方式引起风险相称
移动计算时应考虑受保护环境中工作风险应合适保护措施远程工作情况组织应远程工作点应保护措施确保种工作方式合适安排位
1171 移动计算通信
控制措施
应正式策略采适安全措施防范移动计算通信设施时造成风险
实施指南
移动计算通信设施笔记掌电脑便携式电脑智卡移动电话时应特心确保业务信息损害移动计算策略应考虑受保护环境移动计算设备工作风险
移动计算策略应包括物理保护访问控制密码技术备份病毒防护求策略应包括关移动设施网络连接规建议关公场合设施指南
组织建筑物外公场会议室受保护区域移动计算设施时应加心避免未授权访问泄露设施存储处理信息应位保护措施例密码技术(见123)
公场合移动计算设施户应心谨慎避免未授权员窥视风险防范恶意软件程序应位保持新(见104)
应定期关键业务信息进行备份应设备信息快速简便备份备份应采取足够防范措施防范信息偷窃丢失
网络连接移动设施应提供合适保护成功标识鉴具合适访问控制机制情况利移动计算设施通公网络远程访问业务信息(见114)
应移动计算设施进行物理保护防偷窃例特遗留汽车形式运输工具旅馆房间会议中心会议室应移动计算设施窃丢失等情况建立符合组织法律保险安全求特定程序携带重敏感关键业务信息设备应值守应物理方式锁起专锁保护设备(见925)
移动计算设施员应安排培训提高种工作方式导致附加风险意识应实施控制措施
信息
移动网络线连接类似类型网络连接确定控制措施时应考虑两者重区典型区:
a)线安全协议成熟已知弱点
b)移动计算机存储信息备份受限网络带宽移动设备规定备份时间进行连接
1172 远程工作
控制措施
应远程工作活动开发实施策略操作计划程序
实施指南
组织应仅合适安全部署控制措施位符合组织安全方针情况授权远程工作活动
应远程工作场合适保护措施防范设备信息窃信息未授权泄露组织部系统未授权远程访问设施滥等远程工作活动应理者授权控制应确保种工作方式合适安排
应考虑列容:
a) 远程工作场现物理安全考虑建筑物环境物理安全
b) 推荐物理远程工作环境
c) 通信安全求考虑远程访问组织部系统需访问通信链路传递信息敏感性部系统敏感性
d) 住处员(例家朋友)未授权访问信息资源威胁
e) 家庭网络线网络服务配置求限制
f) 针私设备开发预防知识产权争策略程序
g) 法律禁止私设备访问(检查机器安全调查期间)
h) 组织雇员承包方员第三方员等私拥工作站客户端软件负责软件许协议
i) 防病毒保护防火墙求
考虑指南安排应包括:
a) 允许组织控制私设备时远程工作活动提供合适设备存储设施
b) 确定允许工作工作时数保持信息分类授权远程工作者访问部系统服务
c) 提供适合通信设备包括远程访问安全方法
d) 物理安全
e) 关家宾访问设备信息规指南
f) 硬件软件支持维护规定
g) 保险规定
h) 备份业务连续性程序
i) 审核安全监视
j) 远程工作活动终止时撤销授权访问权返回设备
信息
远程工作利通信技术员组织外固定点进行远程工作
12 信息系统获取开发维护
121 信息系统安全求
目标:确保安全信息系统机组成部分
信息系统包括操作系统基础设施业务应非定制产品服务户开发应支持业务程信息系统设计实现安全关键信息系统开发实现前应识商定安全求
应项目需求阶段识安全求证明安全求合理性安全求加商定安全求形成文档作信息系统整体业务情况部分
1211 安全求分析说明
控制措施
新信息系统增强已信息系统业务求陈述中应规定安全控制措施求
实施指南
控制措施求说明应考虑信息系统中包含动控制措施支持工控制措施需评价业务应(开发购买)软件包时应进行类似考虑
安全求控制措施应反映出涉信息资产业务价值(参见72)安全障安全措施足引起潜业务损害
信息安全系统求实施安全程应信息系统项目早期阶段集成设计阶段引入控制措施实现期间实现引入控制措施实施维护费低
果购买产品应遵循正式测试获取程供货商签合应提出已确定安全求果推荐产品安全功满足安全求购买产品前应重新考虑引入风险相关控制措施果产品提供附加功引起安全风险应禁该功者应评审推荐控制结构判定否利该增强功
信息
果认适合例考虑成素理者希独立评价认证产品关IT安全产品评估准更信息参见ISOIEC 15408者评估认证标准
ISOIEC TR 133353 提供风险理程确定安全控制措施求指南
122 应中正确处理
目标:防止应系统中信息错误遗失未授权修改误
应系统(包括户开发应系统)应设计合适控制措施确保正确处理控制措施应包括输入数部处理输出数验证
处理敏感贵重关键信息系统信息影响系统求外控制措施样控制措施应安全求风险评估基础加确定
1221 输入数验证
控制措施
输入应系统数应加验证确保数正确恰
实施指南
应校验应业务交易常备数(姓名址信贷限值顾客引号码)参数表(销售价货币兑换率税率)输入应考虑列指南:
a) 双输入输入校验诸边界校验者限制特定输入数范围域检测列错误:
1) 范围外值
2) 数字段中效字符
3) 丢失完整数
4) 超数容量限制
5) 未授权矛盾控制数
b) 期评审关键字段数文件容证实效性完整性
c) 检查硬拷贝输入文档否未授权变更(输入文档变更均应予授权)
d) 响应验证错误程序
e) 测试输入数合理性程序
f) 定义数输入程中涉全部员职责
g) 创建数输入程中涉活动日志
信息
适时考虑输入数进行动检查验证减少出错风险预防包括缓区溢出代码注入等普通攻击
1222 部处理控制
控制措施
验证检查应整合应中检查处理错误意行造成信息讹误
实施指南
应系统设计实现应确保导致完整性损坏处理障风险减考虑特定范围包括:
a) 添加修改删功实现数变更
b) 防止程序错误次序运行前面处理障运行程序(见1011)
c) 适程序恢复障确保数正确处理
d) 防范利缓区超出溢出进行攻击
应准备适检查列表检查活动文档化应保证检查结果安全考虑检查例子:
a) 会话批控制措施便交易更新调解数文件衡
b) 衡控制措施先前封闭衡检查开放衡:
1) 运行运行控制措施
2) 文件更新总数
3) 程序程序控制措施
c) 验证系统生成输入数(见1221)
d) 检查中央计算机远程计算机间载载数软件完整性真实性者安全特性
e) 记录文件数位总
f) 检查确保应程序正确时刻运行
g) 检查确保程序正确次序运行发生障时终止问题解决前停止进步处理
h) 创建处理时涉活动日志(参见10101)
信息
正确输入数硬件错误处理错误意行破坏需验证检查取决应系统性质毁坏数业务影响
1223 消息完整性
控制措施
应中确保真实性保护消息完整性求应识适控制措施应识实施
实施指南
应进行安全风险评估判定否需消息完整性确定合适实施方法
信息
密码技术(见123)作种合适实现消息鉴手段
1224 输出数验证
控制措施
应系统输出数应加验证确保存储信息处理正确适环境
实施指南
输出验证包括:
a) 合理性检查测试输出数否合理
b) 调解控制措施数量确保处理数
c) 读者续处理系统提供足够信息确定信息准确性完备性精确性分类
d) 响应输出验证测试程序
e) 定义数输出程中涉全部员职责
f) 创建数输出验证程中活动日志
信息
般说系统应假设已进行适验证确认测试条件构建输出总正确然种假设总效例已测试系统某环境产生正确输出
123 密码控制
目标:通密码方法保护信息保密性真实性完整性
应制定密码控制策略应密钥理支持密码技术
1231 密码控制策略
控制措施
应开发实施密码控制措施保护信息策略
实施指南
制定密码策略时应考虑列容:
a) 组织间密码控制理方法包括保护业务信息般原(见511)
b) 基风险评估应确定需保护级考虑需加密算法类型强度质量
c) 密码保护通移动电话移动介质设备者通通信线路传输敏感信息
d) 密钥理方法包括应加密密钥保护方法密钥丢失损坏毁坏加密信息恢复方法
e) 角色职责谁负责:
1) 策略实施
2) 密钥理包括密钥生成(参见1232)
f) 整组织效实施采标准(种解决方案业务程)
g) 加密信息控制措施影响赖容检查(例病毒检测)
实施组织密码策略时应考虑世界区应密码技术规定国家限制加密信息跨越国界时问题(见1516)
密码控制措施实现安全目标:
a) 保密性:信息加密保护存储传输中敏感关键信息
b) 完整性真实性:数字签名消息鉴码保护存储传输中敏感关键信息真实性完整性
c) 否认性:密码技术获事态行发生未发生证
信息
关密码解决方案否合适决策应作般风险评估程选择控制措施部分该评估判定密码控制措施否合适应运什类型控制措施应什目业务程
密码控制措施策略利益化利密码技术风险化避免合适正确言十分必数字签名时应考虑相关法律特规定什条件数字签名合法绑定法律(参见151)
应征求专家建议识适保护级确定提供需保护支持安全密钥理系统实施合适规范(见1232)
ISOIEC JTC1 SC27 已制定密码控制关标准更信息IEEE P1363 OECD密码指南中获
1232 密钥理
控制措施
应密钥理支持组织密码技术
实施指南
应保护密码密钥免遭修改丢失毁坏外秘密私密钥需防范非授权泄露生成存储档密钥设备应进行物理保护
密钥理系统应基已商定标准程序安全方法便:
a) 生成密码系统应密钥
b) 生成获公开密钥证书
c) 分发密钥预期户包括收密钥时应激活
d) 存储密钥包括已授权户访问密钥
e) 变更更新密钥包括应时变更密钥变更密钥规
f) 处理已损害密钥
g) 撤销密钥包括应撤消解激活密钥例密钥已损害时户离开组织时(种情况密钥档)
h) 恢复已丢失损坏密钥作业务连续性理部分例加密信息恢复
i) 档密钥例已档备份信息密钥档
j) 销毁密钥
k) 记录审核密钥理相关活动
减少密钥损害性应规定密钥激活日期解激活日期限时间段该时间段应根密码控制情况察觉风险定
安全理秘密私密钥外应考虑公开密钥真实性鉴程证书认证机构正式颁发公钥证书完成该认证机构应具合适控制措施程序提供需信度公认组织
外部密码服务提供者(例认证机构)签订服务级协议合容应涵盖服务责服务性服务规定响应次数等干问题(见623)
信息
密码密钥理效密码技术说必需ISOIEC 11770 提供更密钥理信息两种类型密码技术:
a) 秘密密钥技术中双方更方享密钥该密钥加密解密信息密钥必须秘密保存访问该密钥解密加密信息引入密钥未授权信息
b) 公开密钥技术中户拥密钥公开密钥(展现)私密钥(必须秘密保存)公开密钥技术加密产生数字签名(见ISOIEC 9796ISOIEC 14888)
存通换某户公开密钥伪造数字签名威胁问题通公开密钥证书解决
密码技术保护密钥必须考虑处理访问秘密密钥法律请求例加密信息需未加密形式提供作法庭案例证
124 系统文件安全
目标:确保系统文件安全
应控制系统文件程序源代码访问应安全方式理IT项目支持活动测试环境中应心谨慎避免泄露敏感数
1241 运行软件控制
控制措施
应程序控制运行系统安装软件
实施指南
运行系统损坏风险减应考虑列指南控制变更:
a) 应仅受培训理员根合适理授权进行运行软件应程序库更新(见1243)
b) 运行系统应仅安装批准执行代码安装开发代码编译程序
c) 应操作系统软件应范围成功测试实施谓测试应包括实性安全性系统效性户友性测试应独立系统完成(见1014)应确保应程序源库已更新
d) 应配置控制系统已开发软件系统文件进行控制
e) 变更实施前应反复考虑战略
f) 应维护运行程序库更新审核日志
g) 应保留应软件先前版作应急措施
h) 软件旧版连需信息参数程序配置细节档中保留数支持软件均应档
运行系统中厂商供应软件应供应商支持级加维护段时间软件供应商停止支持旧版软件组织应考虑赖支持软件风险
升级新版决策应考虑变更业务求新版安全引入新安全功影响该版安全问题数量严重程度软件补丁助消减少安全弱点时应软件补丁(见1261)
必时理者批准情况仅支持目授予供应商物理逻辑访问权应监督供应商活动
计算机软件赖外部提供软件模块应产品进行监视控制避免引入安全弱点非授权变更
信息
操作系统应仅需升级时候进行升级例操作系统前版支持业务求时候具新版操作系统进行升级新版操作系统安全稳定便理解方面前系统
1242 系统测试数保护
控制措施
测试数应认真加选择保护控制
实施指南
应避免包含信息敏感信息运行数库测试果测试敏感信息前应修改敏感细节容测试时应列指南保护运行数:
a) 应运行应系统访问控制程序应测试应系统
b) 运行信息次拷贝测试应系统时应独立授权
c) 测试完成应立测试应系统清运行信息
d) 应记录运行信息拷贝日志提供审核踪迹
信息
系统验收测试常常求相接运行数测试数
1243 程序源代码访问控制
控制措施
应限制访问程序源代码
实施指南
程序源代码相关事项(诸设计说明书确认计划验证计划)访问应严格控制防引入非授权功避免意识变更程序源代码保存通种代码中央存储控制实现更放源程序库中控制程序源码库访问减少潜计算机程序破坏应考虑列指南:
a) 运行系统中应保留源程序库
b) 程序源代码源程序库应根制定程序进行理
c) 应限制支持员访问源程序库
d) 更新源程序库关事项程序员发布程序源码应获适授权进行
e) 程序列表应保存安全环境中(见1074)
f) 应维护源程序库访问审核日志
g) 维护拷贝源程序库应受严格变更控制程序制约(见1251)
信息
程序源代码程序员编写代码编译(链接)产生执行代码特定程序语言正式区分源代码执行代码执行代码激活时产生
标准ISO 10007 ISOIEC 12207提供更关配置理软件生存周期程信息
125 开发支持程中安全
目标:维护应系统软件信息安全
应严格控制项目支持环境
负责应系统理员应负责项目支持环境安全应确保评审推荐系统变更检查变更会损坏系统操作环境安全
1251 变更控制程序
控制措施
应正式变更控制程序控制变更实施
实施指南
应正式变更控制程序文档化强制实施信息系统损坏减引入新系统已系统进行变更应文档规范测试质量控制实施理正式程进行
程应包括风险评估变更影响分析需安全控制措施规范程应确保损坏现安全控制程序确保支持程序员仅访问系统中工作需部分确保变更获正式商定批准
行应运行变更控制程序应集成起(见1012)该变更程序应包括:
a) 维护商定授权级记录
b) 确保授权户提交变更
c) 评审控制措施完整性程序确保变更损坏
d) 识需修正软件信息数库实体硬件
e) 工作开始前获详细建议正式批准
f) 确保已授权户实施前接受变更
g) 确保变更完成更新系统文档设置旧文档档丢弃
h) 维护软件更新版控制
i) 维护变更请求审核踪迹
j) 需时确保操作文档(见1011)户程序作合适变更
k) 确保变更实施发生正确时刻干扰涉业务程
信息
变更软件会影响运行环境
良惯例包括生产开发完全隔离环境中测试新软件(见1014)提供新软件进行控制允许测试目运行信息予附加保护手段应包括补丁服务包更新应关键系统中动更新某更新会导致关键应程序失败(见126)
1252 操作系统变更应技术评审
控制措施
操作系统发生变更应业务关键应进行评审测试确保组织运行安全没负面影响
实施指南
程应涵盖:
a) 评审应控制完整性程序确保操作系统变更损坏
b) 确保年度支持计划预算包括操作系统变更引起评审系统测试
c) 确保时提供操作系统变更通知便实施前进行合适测试评审
d) 确保业务连续性计划进行合适变更(见第14章)
应该指定专门组织负责监视脆弱性供应商发布补丁修正(见126)
1253 软件包变更限制
控制措施
应软件包修改进行劝阻限制必变更变更加严格控制
实施指南
果行应厂商提供软件包需修改必须修改软件包时应考虑列点:
a) 置控制措施完整性程损坏风险
b) 否应获厂商意
c) 标准程序更新时厂商获需变更性
d) 作变更结果组织负责进步维护软件影响
果变更必原始软件应保留变更应已明显确定拷贝应实施软件更新理程确保新批准补丁应更新已安装授权软件中(见126)应全部测试变更形成文档重新应必进步软件升级果需更新应独立评估机构进行测试验证
1254 信息泄露
控制措施
应防止信息泄露性
实施指南
应考虑列事项限制信息泄露风险通利隐蔽通道:
a) 扫描隐藏信息外介质通信
b) 掩盖调整系统通信行减少第三方行中推断信息性
c) 认具高完整性系统软件评价产品(见ISOIEC 15408)
d) 现法律法规允许情况定期监视系统活动
e) 监视计算机系统资源
信息
隐蔽信道意引导信息流通道毫疑问存系统网络中例通信协议包中隐藏特作信号隐藏方法质说果话防止隐蔽通道存困难然特洛伊木马常利种隐蔽通道(见1041)采取措施防范特洛伊木马够减少隐蔽通道利风险
防止非授权网络访问(114)阻止员信息服务误策略程序助防范隐蔽通道
1255 外包软件开发
控制措施
组织应理监视外包软件开发
实施指南
外包软件开发时应考虑列点:
a) 许证安排代码权知识产权(见1512)
b) 完成工作质量准确性认证
c) 第三方发生障时契约安排
d) 审核完成工作质量准确性访问权
e) 代码质量安全功合求
f) 安装前测试恶意代码特洛伊木马
126 技术脆弱性理
目标:降低利公布技术脆弱性导致风险
技术脆弱性理应种效系统重复方式实施该方式带确认身效性措施考虑事项应包括中操作系统应程序
1261 技术脆弱性控制
控制措施
应时现信息系统技术脆弱性信息评价组织脆弱性暴露程度采取适措施处理相关风险
实施指南
前完整资产清单(见71)进行效技术脆弱性理先决条件支持技术脆弱性理需特定信息包括软件供应商版号部署前状态(什系统安装什软件)组织负责软件员
应采取适时措施响应潜技术脆弱性建立效技术脆弱性理程应遵循面指南:
a) 组织应定义建立技术脆弱性理相关角色职责包括脆弱性监视脆弱性风险评估补丁资产追踪意需协调责
b) 识相关技术脆弱性维护关脆弱性认识信息资源应识软件技术(基资产清单见711)信息资源应根清单变更更新发现新资源时应更新
c) 应制定时间表潜相关技术脆弱性通知做出反映
d) 旦潜技术脆弱性确定组织应识相关风险采取措施措施包括脆弱系统补丁者应控制措施
e) 技术脆弱性需解决紧急程度应根变更理相关控制措施(见1251)者遵信息安全事件响应程序(见132)采取措施
f) 果补丁应评估安装该补丁相关风险(脆弱性引起风险应安装补丁带风险进行较)
g) 安装补丁前应进行测试评估确保效会导致容忍负面影响果没补丁应考虑控制措施:
1) 关闭脆弱性关服务功
2) 采增加访问控制措施网络边界添加防火墙(见1145)
3) 增加监视检测预防实际攻击
4) 提高脆弱性意识
h) 应执行程序进行审核日志
i) 应定期技术脆弱性理程进行监视评价确保效性效果
j) 处高风险中系统应首先解决
信息
组织技术脆弱性理程正确实施许组织说非常重应定期进行监视准确清单确保识潜相关技术脆弱性言必
技术脆弱性理作变更理子功利变更理程程序(见10121251)
供应商压力发布补丁补丁足解决该问题存负作某情况旦补丁安装难卸载
果补丁进行充分测试成资源缺乏根户报告验考虑推迟补丁评价相关风险
13 信息安全事件理
131 报告信息安全事态弱点
目标:确保信息系统关信息安全事态弱点够某种方式传达便时采取纠正措施
应正式事态报告报程序雇员承包方员第三方员应解报告组织资产安全造成影响类型事态弱点程序应求快信息安全事态弱点报告指定联系点
1311 报告信息安全事态
控制措施
信息安全事态应该快通适理渠道进行报告
实施指南
应建立正式信息安全事态报告程序收信息安全事态报告着手采取措施事件响应报程序应建立报告信息安全事态联系点应确保组织知道联系点应确保该联系点保持提供充分时响应
雇员承包方员第三方员应知道责快报告信息安全事态应知道报告信息安全事态程序联系点报告程序应包括:
a) 适反馈程确保信息安全事态处理完成够处理结果通知事态报告
b) 信息安全事态报告单支持报告行帮助报告员记信息安全事态中重行
c) 信息安全事态发生应采取正确行
1) 立记录重细节(符合违规类型事件障屏幕显示消息异常行)
2) 采取行立联系点报告
d) 参考已制定正式惩罚程处理雇员承包方员第三方员安全违规行
高风险环境提供强制警报 强制警报秘密表明行正强制发生方法
强制员指出种问题强制警报响应程序应反映该警报指明高风险情况
信息
信息安全事态事件示例:
a) 服务设备设施丢失
b) 系统障超载
c) 错误
d) 策略指南符合
e) 物理安全安排违规
f) 未加控制系统变更
g) 软件硬件障
h) 非法访问
保密性方面尤谨慎信息安全事件户意识培训(见822)例发生什样事件该事件进行响应避免发生完全解决信息安全事态事件发生收集证必(见1323)
障异常系统行安全攻击实际安全违规显示应作信息安全事态进行报告
关信息安全事态报告信息安全事件理方面更信息参见ISOIEC TR 18044
1312 报告安全弱点
控制措施
应求信息系统服务雇员承包方员第三方员记录报告观察怀疑系统服务安全弱点
实施指南
预防信息安全事件雇员承包方员第三方员应快事情报告理者者直接报告服务供应商报告机制应容易易理解方便应告知情况应试图证明怀疑弱点
信息
应通知雇员承包方员第三方员试图证明怀疑安全弱点测试弱点作潜系统误导致信息系统服务损害引起测试员法律责
132 信息安全事件改进理
目标:确保采致效方法信息安全事件进行理
旦信息安全事态弱点报告应职责程序进行效处理应连续改进程信息安全事件进行响应监视评价整体理
果需证话应收集证满足法律求
1321 职责程序
控制措施
应建立理职责程序确保信息安全事件做出快速效序响应
实施指南
信息安全事态弱点进行报告(见131)外应利系统报警脆弱性监视(见10102)检测信息安全事件信息安全事件理程序应考虑列指南:
a) 应建立程序处理类型信息安全事件包括:
1) 信息系统障服务丢失
2) 恶意代码(见1041)
3) 拒绝服务
4) 完整准确业务数导致错误
5) 违背保密性完整性
6) 信息系统误
b) 正常应急计划(见1413)程序应包括(见1322):
1) 事件原分析确定
2) 遏制事件发生策略
3) 果需计划实施纠正措施防止事件发生
4) 受事件影响关事件恢复进行沟通
5) 合适机构报告发生行
c) 合适时应收集保护审核踪迹类似证:
1) 部问题分析
2) 作关违反合规章求民事刑事程序(计算机误数保护相关法律法规)法律取证证
3) 软件服务供应商谈判赔偿事宜
d) 恢复安全违规纠正系统障措施应认真正式控制程序应确保:
1) 明确确定授权允许访问活动系统数(见62外部访问)
2) 采取紧急措施应详细记录文件中
3) 紧急措施应理者报告序进行评审
4) 应延迟确保业务系统控制措施完整性
应理者商定信息安全事件理目标应确保负责信息安全事件理员理解组织处理信息安全事件优先序
信息
信息安全事件超越组织边界国家边界样事件做出响应适外部组织协响应享事件信息需求日益增
1322 信息安全事件总结
控制措施
应套机制量化监视信息安全事件类型数量代价
实施指南
信息安全事件评价中获取信息应识发生事件高影响事件
信息
信息安全事件评价指出需增强外控制措施限制事件发生频率损害发生费者安全方针评审程中(见512)
1323 证收集
控制措施
信息安全事件涉诉讼(民事刑事)需进步组织进行起诉时应收集保留呈递证证符合相关诉讼辖权
实施指南
组织应惩罚措施收集提交证时应制定遵循部程序
总说证规包括:
a) 证容许性:证否法庭
b) 证份量:证质量完备性
获容许证组织应确保信息系统符合公布标准实规产生容许证
提供证份量应符合适求实现证份量该证存储处理整时期正确致保护证(程控制证)控制措施质量完备性应通种强证踪迹证般情况种强踪迹面条件建立:
a) 纸面文档:原物应安全保存带列信息记录:谁发现文档文档发现文档什时候发现谁证明发现调查应确保原物没篡改
b) 计算机介质信息:移动介质镜拷贝(赖适求)硬盘存中信息应确保性拷贝程中行日志应保存应证证明该程原始介质日志(果点话少镜拷贝)应安全保存改变
法律取证工作应仅证材料拷贝进行证材料完整性应保护证材料拷贝应信赖员监督进行什时候什方执行拷贝程谁执行拷贝活动种工具程序信息应记录作日志
信息
信息安全事态首次检测时事态否会导致法律行显易见认识事件严重性前存重证意意外毁坏危险明智做法预期法律行中早聘请位律师警察获取需证建议
证超越组织边界辖权边界样情况应确保授权某组织收集需信息作证应考虑辖权求证相关辖区域获机会
14 业务连续性理
141 业务连续性理信息安全方面
目标:防止业务活动中断保护关键业务程免受信息系统重失误灾难影响确保时恢复
通预防恢复控制措施组织影响减少低信息资产损失中(例然灾害意外事件设备障意行结果)恢复接受程度应实施业务连续性理程程应确定关键业务程应业务连续性信息安全理求连续性求运行员工材料运输设施等结合起
灾难安全障服务丢失服务性果应受业务影响分析应制定实施业务连续性计划确保重运行时恢复信息安全应整体业务连续性程组织理程机组成部分
般风险评估程外业务连续性理应包括识减少风险控制措施限制破坏性事件果确保业务程需信息便
1411 业务连续性理程中包含信息安全
控制措施
应贯穿组织业务连续性开发保持理程解决组织业务连续性需信息安全求
实施指南
程应包含列业务连续性理关键素:
a) 根风险性影响时理解组织面风险包括关键业务程识优先序(见1412)
b) 识关键业务程中涉资产(见711)
c) 理解信息安全事件引起中断业务产生影响(重找处理产生较影响事件威胁组织生存严重事件解决方案)建立信息处理设施业务目标
d) 考虑购买合适保险该保险形成业务连续性程部分运行风险理部分
e) 识考虑实施外预防减轻控制措施
f) 识足够财务组织技术环境资源处理已确定信息安全求
g) 确保员安全信息处理设备组织财产保护
h) 已商定业务连续性战略制定应信息安全求业务连续性计划形成文档(见1413)
i) 定期测试更新已计划程(见1415)
j) 确保业务连续性理包含组织程结构中业务连续性理程职责应分配组织范围适级(见611)
1412 业务连续性风险评估
控制措施
应识引起业务程中断事态种中断发生概率影响信息安全造成果
实施指南
业务连续性信息安全方面应识导致组织业务程中断事态(系列事态)开始例设备障错误盗窃火灾然灾害恐怖事态应风险评估根时间损坏程度恢复周期确定中断发生概率影响
业务连续性风险评估执行应业务资源程拥者全面参种评估应考虑业务程应局限信息处理设施应包括信息安全特结果重方面风险链接起获副完整组织业务连续性求构图该评估应组织相关准目标关键资源中断影响允许中断时间恢复优先级识量化列出风险优先序
根风险评估结果应开发业务连续性战略确定整体业务连续性方法该战略旦制定应理者签署制定计划签署实施该战略
1413 制定实施包含信息安全连续性计划
控制措施
应制定实施计划保持恢复运行关键业务程中断失败够求水时间确保信息性
实施指南
业务连续性计划程应考虑列容:
a) 识商定职责业务连续性程序
b) 识接受信息服务损失
c) 实施程序求时段恢复复原业务运行信息性特注意现部外部业务赖部门合评估
d) 恢复复原完成前遵循运行程序
e) 已商定程序程形成文档
f) 已商定程序程中员工进行适教育包括危机理
g) 测试更新计划
规划程应关注求业务目标例接受时间恢复顾客特定通信服务应识利项工作服务资源包括员非信息处理资源信息处理设施低效运行安排低效运行安排包括互惠协议者商业捐助服务形式第三方安排
业务连续性计划应解决组织脆弱性包含需适保护敏感信息业务连续性计划拷贝应存储足够远方免遭站点灾难损害理者应确保业务连续性计划拷贝保持新受站点相级安全保护执行连续性计划需材料应远程存储
果换时场时场实施安全控制措施级应站点相
信息
应注意危机理计划活动业务连续性理例危机发生正常理程序够解决方
1414 业务连续性计划框架
控制措施
应保持唯业务连续性计划框架确保计划致够协调解决信息安全求测试维护确定优先级
实施指南
业务连续性计划应说明实现连续性方法确保信息信息系统性安全方法计划应规定报计划激活该计划条件负责执行该计划部分员确定新求时应相应修正现应急程序例撤离计划低效运行安排程序应包括组织变更理程序中确保业务连续性事宜总够适解决
计划应特定责应急程序工低效运行计划重新计划应属相应业务资源涉程责职责范围换技术服务诸信息处理通信设施低效运行安排通常应服务提供者职责
业务连续性计划框架应提出已确定信息安全求考虑列容:
a) 启动计划条件描述启动计划前遵循程(评估种情况谁参等等)
b) 应急程序描述危业务运行事件采取措施
c) 低效运行程序描述转移重业务活动支持服务换时场求时段业务程带回运行状态需采取措施
d) 完成恢复复原前遵循时运行程序
e) 重新程序描述返回正常业务运行需采取措施
f) 维护计划规定时测试计划维护该计划程
g) 意识教育培训活动创建理解业务连续性程确保该程持续效
h) 员职责描述谁负责执行计划部分求应指定换
i) 必须够执行紧急低效运行恢复程序关键资产资源
1415 测试维护评估业务连续性计划
控制措施
业务连续性计划应定期测试更新确保时性效性
实施指南
业务连续性计划测试应确保恢复组中成员关员解该计划业务连续性信息安全职责知道计划启动角色
业务连续性计划测试计划安排应指出时应测试该计划部分计划中素应常测试
应种技术该计划实际生存周期中操作提供保障应包括:
a) 种场景桌面测试(中断例子讨业务恢复安排)
b) 模拟(特培训处事件处理危机理角色员)
c) 技术恢复测试(确保信息系统效予恢复)
d) 供换场测试恢复(远离场恢复操作时运行业务程)
e) 供应商设施服务测试(确保外部提供服务产品满足合承诺)
f) 完整演(测试组织员设备设施程够应付中断)
组织技术应种特定恢复计划相关方式技术必话应记录测试结果采取措施改进计划
业务连续性计划定期评审应分配职责尚未反映业务连续性计划中业务安排变更标识应通计划适更新实现正式变更控制程应确保通整计划定期评审分发补充已更新计划
应考虑更新业务连续性计划变更示例包括新设备获取系统升级方面变更:
a) 员
b) 址电话号码
c) 业务战略
d) 位置设施资源
e) 法律
f) 合商供应商关键顾客
g) 程者新撤销程
h) 风险(运行财务)
15 符合性
151 符合法律求
目标:避免违反法律法令法规合义务安全求
信息系统设计运行理受法令法规合安全求限制
应组织法律顾问者合格法律业员处获特定法律求建议法律求国家异国家产生信息发送国家(越境数流)法律求
1511 法律识
控制措施
信息系统组织言相关法令法规合求满足求组织采方法应加明确定义形成文件保持更新
实施指南
满足求特定控制措施员职责应样加定义形成文件
1512 知识产权(IPR)
控制措施
应实施适程序确保具知识产权材料具权软件产品时符合法律法规合求
实施指南
保护认具知识产权材料时应考虑面指南:
a) 发布知识产权符合性策略该策略定义软件信息产品合法
b) 仅通知名声誉渠道获软件确保侵犯版权
c) 保持保护知识产权策略解通知违规员采取惩罚措施意
d) 维护适资产登记簿识具保护知识产权求资产
e) 维护许证盘手册等权证明证
f) 实施控制措施确保超允许户数目
g) 进行检查确保仅安装已授权软件具许证产品
h) 提供维护适许证条件策略
i) 提供处理软件转移软件策略
j) 合适审核工具
k) 符合公网络获软件信息条款条件
l) 版权法允许商业录音带进行复制格式转换摘取容
m) 版权法允许书籍文章报告文件中进行全部部分拷贝
信息
知识产权包括软件文档版权设计权商标专利权源代码许证
通常具权软件产品供应根许协议进行该许协议规定许条款条件例限制产品指定机器限制拷贝创建备份副组织开发软件知识产权情况需员工阐述清楚
法律法规合求具权材料拷贝进行限制特限制求组织开发资料者开发者许组织提供组织资料版权侵害导致法律行涉犯罪诉讼
1513 保护组织记录
控制措施
应防止重记录遗失毁坏伪造满足法令法规合业务求
实施指南
应记录分记录类型例帐号记录数库记录事务日志审核日志等运行程序程序带详细保存周期存储介质类型例纸质缩微胶片磁介质光介质应保存已加密档文件数字签名(见123)相关关密码密钥材料记录保存期限满够脱密
应考虑存储记录介质性降性应制造商建议实施存储处理程序长期保存话应考虑纸文件微缩胶片
选择电子存储介质应建立程序确保整保存周期够访问数(介质格式读性)防范未技术变化造成损失
应选择数存储系统需数根满足求接受时间接受格式检索出
存储处理系统应确保国家区法律法规规定清晰标识出记录保存期限该系统应允许保存期恰销毁记录果组织需记录话
满足记录防护目标应组织范围采取列步骤:
a) 应颁发关保存存储处理处置记录信息指南
b) 应起草保存时间计划标识记录应保存时间周期
c) 应维护关键信息源清单
d) 应实施恰控制措施防止记录信息丢失损坏篡改
信息
某记录需安全保存满足法令法规合求支持必业务活动举例说求记录作组织法令法规规运行证确保充分防御潜民事刑事诉讼者股份持者外部方审核员确认组织财务状况根国家法律规章设置信息保存时间数容
关理组织记录更信息参见ISO 154891
1514 数保护信息隐私
控制措施
应相关法律法规合条款求确保数保护隐私
实施指南
应制定实施组织数保护隐私策略该策略应通知涉私信息处理员
符合该策略相关数保护法律法规需合适理结构控制通常点通命负责实现数保护官员该数保护官员应理员户服务提供商提供职责应遵守特定程序指南处理信息确保解数保护原职责应根相关法律法规确定应实施适技术组织措施保护信息
信息
许国家已具控制数(般指该信息确定活着体信息)收集处理传输法律根国家法律种控制措施收集处理传播信息承担责限制该数转移国家力
1515 防止滥信息处理设施
控制措施
应禁止户信息处理设施未授权目
实施指南
理者应批准信息处理设施没理者批准(见614)情况出非业务未授权目设施均应作正确设施果通监视手段确定非授权活动应该活动引起理员注意考虑合适惩罚法律行
实施监视程序前应征求法律意见
户应知道允许访问准确范围采取监视手段检测非授权准确范围点通列方式实现:户份书面授权该授权副应户签字组织加安全保存应通知组织雇员承包方员第三方员授权访问外允许访问
登录时应出现警报消息表明正进入信息处理设施组织拥允许未授权访问户必须确认屏幕消息作出适反应继续登录程(见1151)
信息
组织信息处理设施业务目
入侵检测容检查监视工具助预防检测信息处理设施滥
许国家拥防范计算机滥法律未授权计算机种刑事犯罪
监视合法性国家异求理者种监视通知户获意进入系统公众访问(公网站服务器)处安全监控时应显示消息说明情况
1516 密码控制措施规
控制措施
密码控制措施应遵相关协议法律法规
实施指南
符合相关协议法律法规应考虑面事项:
a) 限制执行密码功计算机硬件软件出入口
b) 限制设计增加密码功计算机硬件软件出入口
c) 限制密码
d) 利国家硬件软件加密信息授权强制意访问方法提供容保密性
应征求法律建议确保符合国家法律法规加密信息密码控制措施转移国家前应获法律建议
152 符合安全策略标准技术符合性
目标:确保系统符合组织安全策略标准
应定期评审信息系统安全
种评审应适安全策略进行应审核技术台信息系统否符合适安全实施标准文件化安全控制措施
1521 符合安全策略标准
控制措施
理员应确保职责范围安全程序正确执行确保符合安全策略标准
实施指南
理员应职责范围信息处理否符合合适安全策略标准安全求进行定期评审
果评审结果发现符合理员应:
a) 确定符合原
b) 评价确保符合发生措施需
c) 确定实施适纠正措施
d) 评审采取纠正措施
评审结果理员采取纠正措施应记录记录应予维护理员职责范围进行独立评审时理员应结果报告执行独立评审员(见618)
信息
1010中包括系统运行监视
1522 技术符合性检查
控制措施
信息系统应定期检查否符合安全实施标准
实施指南
技术符合性检查应验系统工程师手动执行(需利合适软件工具支持)者技术专家动工具执行工具生成供续解释技术报告
果渗透测试脆弱性评估应格外心活动导致系统安全损害样测试应预先计划形成文件重复执行
技术符合性检查应仅力已授权员完成监督完成
信息
技术符合性检查包括检查运行系统确保硬件软件控制措施正确实施种类型符合性检查需专业技术专家
符合性检查包括例渗透测试脆弱性评估该项工作针目专门签约独立专家完成符合性检查助检测系统脆弱性检查预防脆弱性引起未授权访问采取控制措施效性
渗透测试脆弱性评估提供系统特定时间特定状态简单记录简单记录限制渗透企图时实际测试系统部分中渗透测试脆弱性评估代风险评估
153 信息系统审核考虑
目标:信息系统审核程效性化干扰化
系统审核期间应控制措施防护运行系统审核工具
保护审核工具完整性防止滥审核工具求保护措施
1531 信息系统审核控制措施
控制措施
涉运行系统检查审核求活动应谨慎加规划取批准便化造成业务程中断风险
实施指南
应遵守列指南:
a) 应合适理者商定审核求
b) 应商定控制检查范围
c) 检查应限软件数读访问
d) 非读访问应仅系统文件单独拷贝审核完成时应擦拷贝者审核文件求具保留文件义务予适保护
e) 应明确识提供执行检查需资源
f) 应识商定特定外处理求
g) 应监视记录访问产生参踪迹关键数系统应考虑时间戳参踪迹
h) 应程序求职责形成文件
i) 执行审核员应独立审核活动
1532 信息系统审核工具保护
控制措施
信息系统审核工具访问应加保护防止滥损害
实施指南
信息系统审核工具软件数文件应开发运行系统分开保存磁带库户区域非予合适级附加保护
信息
果审核涉第三方存审核工具第三方滥信息第三方组织访问风险621(评估风险)912(限制物理访问)中控制措施考虑解决种风险应采取措施应果立改变泄露审核员口令
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
前 言 III
引 言 IV
01 什信息安全? IV
02 什需信息安全? IV
03 建立安全求 IV
04 评估安全风险 V
05 选择控制措施 V
06 信息安全起点 V
07 关键成功素 VI
08 开发指南 VI
1 范围 1
2 术语定义 1
3 标准结构 3
31 章节 3
32 安全类 3
4 风险评估处理 4
41 评估安全风险 4
42 处理安全风险 4
5 安全方针 5
51 信息安全方针 5
6 信息安全组织 6
61 部组织 6
62 外部方 11
7 资产理 15
71 资产负责 15
72 信息分类 17
8 力资源安全 18
81 前 18
82 中 21
83 终止变化 22
9 物理环境安全 24
91 安全区域 24
92 设备安全 27
10 通信操作理 30
101 操作程序职责 30
102 第三方服务交付理 33
103 系统规划验收 34
104 防范恶意移动代码 35
105 备份 37
106 网络安全理 38
107 介质处置 39
108 信息交换 41
109 电子商务服务 45
1010 监视 47
11 访问控制 51
111 访问控制业务求 51
112 户访问理 52
113 户职责 54
114 网络访问控制 56
115 操作系统访问控制 60
116 应信息访问控制 63
117 移动计算远程工作 64
12 信息系统获取开发维护 66
121 信息系统安全求 66
122 应中正确处理 67
123 密码控制 70
124 系统文件安全 72
125 开发支持程中安全 74
126 技术脆弱性理 76
13 信息安全事件理 78
131 报告信息安全事态弱点 78
132 信息安全事件改进理 79
14 业务连续性理 82
141 业务连续性理信息安全方面 82
15 符合性 86
151 符合法律求 86
152 符合安全策略标准技术符合性 89
153 信息系统审核考虑 90
前 言
引 言
01 什信息安全?
象重业务资产样信息组织业务关重种资产需加适保护业务环境互连日益增加情况点显尤重种互连性增加导致信息暴露日益增范围越越广威胁脆弱性中(参考关信息系统网络安全OECD指南)
信息种形式存印写纸电子方式存储邮寄电子手段传送呈现胶片语言表达信息什形式存种方法存储享应进行适保护
信息安全保护信息免受种威胁损害确保业务连续性业务风险化投资回报商业机遇化
信息安全通实施组合适控制措施达包括策略程规程组织结构软件硬件功需时需建立实施监视评审改进控制措施确保满足该组织特定安全业务目标程应业务理程联合进行
02 什需信息安全?
信息支持程系统网络重业务资产定义实现保持改进信息安全保持竞争优势现金周转赢利守法商业形象关重
组织信息系统网络面方面安全威胁包括计算机辅助欺诈间谍活动恶意破坏毁坏行火灾洪水诸恶意代码计算机黑客捣乱拒绝服务攻击等导致破坏安全威胁已变更加普遍更野心日益复杂
信息安全公专两部分业务保护关键基础设施非常重两部分中信息安全作动者例实现电子政务电子商务避免减少相关风险公网络专网络互连信息资源享增加实现访问控制难度分布式计算趋势削弱集中专门控制效性
许信息系统没设计成安全通技术手段获安全性限应该通适理规程予支持确定控制措施实施位需仔细规划注意细节信息安全理少需该组织员工参求利益相关供应商第三方顾客外部团体参外部组织专家建议需
03 建立安全求
组织识出安全求非常重安全求三源:
1 源考虑组织整体业务战略目标情况评估该组织风险获通风险评估识资产受威胁评价易受威胁利脆弱性威胁发生性估计潜影响
2 源组织贸易伙伴合方服务提供者必须满足法律法规规章合求社会文化环境
3 第三源组织开发支持运行信息处理原目标业务求特定集合
04 评估安全风险
安全求通安全风险系统评估予识控制措施支出需针安全障导致业务损害加衡
风险评估结果帮助指导决定适理行动理信息安全风险优先级实现选择防范风险控制措施
风险评估应定期进行应影响风险评估结果变化
更关安全风险评估信息见第41节评估安全风险
05 选择控制措施
旦安全求风险已识已作出风险处理决定应选择实现合适控制措施确保风险降低接受级控制措施标准控制措施集合中选择者合适时设计新控制措施满足特定需求安全控制措施选择赖组织作出决定该决定基组织应风险接受准风险处理选项通风险理方法时遵守相关国家国际法律法规
标准中某控制措施作信息安全理指导原数组织面题信息安全起点中更详细解释控制措施
更关选择控制措施风险处理选项信息见第42节处理安全风险
06 信息安全起点
许控制措施认实现信息安全良起点者基重法律求者认信息安全常惯例
法律观点某组织重控制措施包括根适法律:
a) 数保护信息隐私(见1514)
b) 保护组织记录(见1513)
c) 知识产权(见1512)
认信息安全常惯例控制措施包括:
a) 信息安全方针文件(见511)
b) 信息安全职责分配(见613)
c) 信息安全意识教育培训(见822)
d) 应中正确处理(见122)
e) 技术脆弱性理(见126)
f) 业务连续性理(见14)
g) 信息安全事件改进理(见132)
控制措施适数组织环境
应注意然标准中控制措施重应考虑应根某组织面特定风险确定种控制措施否合适然述方法认种良起点取代基风险评估选择控制措施
07 关键成功素
验表明列素通常组织成功实现信息安全说十分关键:
a) 反映业务目标信息安全方针目标活动
b) 组织文化保持致实现保持监视改进信息安全方法框架
c) 级理者视化支持承诺
d) 正确理解信息安全求风险评估风险理
e) 理员员工方传达效信息安全知识具备安全意识
f) 理员员工方分发关信息安全方针标准指导意见
g) 提供资金支持信息安全理活动
h) 提供适意识培训教育
i) 建立效信息安全事件理程
j) 实现测量 注意信息安全测量标准范围
系统评价信息安全理执行情况反馈改进建议
08 开发指南
实规认组织开发详细指南起点组织说实规中控制措施指南非全部适外需标准中未包括外控制措施指南便审核员业务伙伴进行符合性检查开发包含外指南控制措施文件时标准中条款相互参考
信息技术 安全技术 信息安全理实规
1 范围
标准出组织启动实施保持改进信息安全理指南般原标准列出目标通常接受信息安全理目提供指导
标准控制目标控制措施实施旨满足风险评估识求标准作建立组织安全准效安全理惯例实指南利组织间活动中建立信心
2 术语定义
列术语定义适标准
21
资产 asset
组织价值东西[ISOIEC 1333512004]
22
控制措施 control
理风险方法包括策略规程指南惯例组织结构行政技术理法律等方面
注:控制措施防护措施策义词
23
指南 guideline
阐明应做什做达方针策略中制定目标描述[ISOIEC TR 133351:2004]
24
信息处理设施 information processing facilities
信息处理系统服务基础设施放置场
25
信息安全 information security
保持信息保密性完整性性外包括诸真实性核查性否认性性等
26
信息安全事态 information security event
信息安全事态指系统服务网络种识状态发生信息安全策略违反防护措施失效安全关联先前未知状态[ISOIEC TR 18044:2004]
27
信息安全事件 information security incident
信息安全事件单系列害意外信息安全事态组成具损害业务运作威胁信息安全极性[ISOIEC TR 18044:2004]
28
方针 policy
理者正式发布总宗旨方
29
风险 risk
事态概率结果组合[ISO Guide 73:2002]
210
风险分析 risk analysis
系统信息识风险源估计风险[ISO Guide 73:2002]
211
风险评估 risk assessment
风险分析风险评价整程[ISO Guide 73:2002]
212
风险评价 risk evaluation
估计风险定风险准加较确定风险严重性程[ISO Guide 73:2002]
213
风险理 risk management
指导控制组织相关风险协调活动
注:风险理般包括风险评估风险处理风险接受风险沟通[ISO Guide 73:2002]
214
风险处理 risk treatment
选择执行措施更改风险程[ISO Guide 73:2002]
215
第三方 third party
涉问题公认独立关方机构[ISO Guide 2:1996]
216
威胁 threat
导致系统组织损害期事件发生潜原[ISOIEC TR 133351:2004]
217
脆弱性 vulnerability
会威胁利资产组资产弱点[ISOIEC TR 133351:2004]
3 标准结构
标准包括11安全控制措施章节(含39安全类)1介绍风险评估处理章节
31 章节
章包含安全类11章节(连章中包含安全类数量):
a) 安全方针(1)
b) 信息安全组织(2)
c) 资产理(2)
d) 力资源安全(3)
e) 物理环境安全(2)
f) 通信操作理(10)
g) 访问控制(7)
h) 信息系统获取开发维护(6)
i) 信息安全事件理(2)
j) 业务连续性理(1)
k) 符合性(3)
注:标准中章节序表示重性根环境章节重应标准组织应识适章节重性业务程适性外标准排列均没优先序非外注明
32 安全类
安全类包含:
a) 控制目标声明实现什
b) 控制措施实现该控制目标
控制措施描述结构:
控制措施
定义满足控制目标特定控制措施陈述
实施指南
支持控制措施实施满足控制目标提供更详细信息指南某容适情况实现控制措施方法更合适
信息
提供需考虑进步信息例法律方面考虑标准引
4 风险评估处理
41 评估安全风险
风险评估应风险接受准组织相关目标识量化区分风险优先次序风险评估结果应指导确定适理措施优先级理信息安全风险实施防范风险选择控制措施评估风险选择控制措施程需执行次覆盖组织部门信息系统
风险评估应包括估计风险系统方法(风险分析)估计风险定风险准加较确定风险严重性程(风险评价)
风险评估应定期进行应安全求风险情形变化例资产威胁脆弱性影响风险评价发生重变化时应进行风险评估风险评估应种够产生较现结果系统化方式
信息安全风险评估效应清晰定义范围果合适应包括领域风险评估关系
果行实际帮助风险评估范围整组织组织部分单信息系统特定系统部件服务风险评估方法例子ISOIEC TR 133353IT安全理指南:IT安全理技术中讨
42 处理安全风险
考虑风险处理前组织应确定风险否接受准果评估显示风险较低处理成组织说划算风险接受决定应加记录
风险评估识风险必须作出风险处理决定风险处理选项包括:
a) 应适控制措施降低风险
b) 满足组织方针风险接受准意识客观接受该风险
c) 通禁止导致风险发生行避免风险
d) 相关风险转移方例保险供应商
风险处理决定中采适控制措施风险说应选择实施控制措施满足风险评估识求控制措施应确保考虑素情况风险降低接受级:
a) 国家国际法律法规求约束
b) 组织目标
c) 运行求约束
d) 降低风险相关实施运行成组织求约束保持相称
e) 衡控制措施实施运行投资安全失误导致损害需
控制措施标准控制集合中选择者设计新控制措施满足组织特定需求认识控制措施种信息系统环境适组织行点非常重例1013描述分割责防止欺诈错误较组织中分割责太实现控制目标方法必外例子1010描述监视系统收集证描述控制措施例事态日志适法律相突诸顾客工作场隐私保护
信息安全控制措施应系统项目需求说明书设计阶段予考虑做点导致额外成低效率解决方案坏情况达足够安全
应该牢记没控制措施集合实现绝安全支持组织目标应实施额外理措施监视评价改进安全控制措施效率效性
5 安全方针
51 信息安全方针
目标:业务求相关法律法规提供理指导支持信息安全
理者应根业务目标制定清晰方针指导通整组织中颁布维护信息安全方针表明信息安全支持承诺
511 信息安全方针文件
控制措施
信息安全方针文件应理者批准发布传达员工外部相关方
实施指南
信息安全方针文件应说明理承诺提出组织理信息安全方法方针文件应包括声明:
a) 信息安全整体目标范围定义允许信息享机制安全重性(见引言)
b) 理者意图声明支持符合业务战略目标信息安全目标原
c) 设置控制目标控制措施框架包括风险评估风险理结构
d) 组织特重安全方针策略原标准符合性求简说明包括:
1) 符合法律法规合求
2) 安全教育培训意识求
3) 业务连续性理
4) 违反信息安全方针果
e) 信息安全理(包括报告信息安全事件)般特定职责定义
f) 支持方针文件引例特定信息系统更详细安全方针策略程序户应遵守安全规
应预期读者适合访问理解形式信息安全方针传达整组织户
信息
信息安全方针总体方针文件部分果信息安全方针组织外进行分发应注意泄露敏感信息更信息参见ISOIEC 133351:2004
512 信息安全方针评审
控制措施
应计划时间间隔重变化发生时进行信息安全方针评审确保持续适宜性充分性效性
实施指南
信息安全方针应专负责负安全方针制定评审评价理职责评审应包括评估组织信息安全方针改进机会理信息安全适应组织环境业务状况法律条件技术环境变化方法
信息安全方针评审应考虑理评审结果定义理评审程序包括时间表评审周期
理评审输入应包括信息:
a) 相关方反馈
b) 独立评审结果(见618)
c) 预防纠正措施状态(见6181521)
d) 理评审结果
e) 程执行情况信息安全方针符合性
f) 影响组织理信息安全方法变更包括组织环境业务状况资源性合规章法律条件技术环境变更
g) 威胁脆弱性趋势
h) 已报告信息安全事件(见131)
i) 相关专家建议(见616)
理评审输出应包括方面关决定措施:
a) 组织理信息安全方法程改进
b) 控制目标控制措施改进
c) 资源职责分配改进
理评审记录应维护
应获理者修订方针批准
6 信息安全组织
61 部组织
目标:组织理信息安全
应建立理框架启动控制组织范围信息安全实施
理者应批准信息安全方针指派安全角色协调评审整组织安全实施
需组织范围建立专家信息安全建议库组织发展外部安全专家组织(包括相关权威士)联系便行业趋势踪标准评估方法处理信息安全事件时提供合适联络点应鼓励采学科方法解决信息安全问题
611 信息安全理承诺
控制措施
理者应通清晰说明证实承诺明确信息安全职责分配确认积极支持组织安全
实施指南
理者应:
a) 确保信息安全目标识满足组织求已整合相关程中
b) 制定评审批准信息安全方针
c) 评审信息安全方针实施效性
d) 安全启动提供明确方理者明显支持
e) 信息安全提供需资源
f) 批准整组织信息安全专门角色职责分配
g) 启动计划程序保持信息安全意识
h) 确保整组织信息安全控制措施实施相互协调(见612)
理者应识外部专家信息安全建议需求整组织评审协调专家建议结果
根组织规模职责专门理协调组已存机构(例董事会)承担
信息
更容参考ISOIEC 133351:2004
612 信息安全协调
控制措施
信息安全活动应组织部门具备相关角色工作职责代表进行协调
实施指南
典型信息安全协调应包括理员户行政员应设计员审核员安全专员保险法律力资源IT风险理等领域专家协调协作活动应:
a) 确保安全活动实施信息安全方针相致
b) 确定处理符合项
c) 核准信息安全方法程例风险评估信息分类
d) 识重威胁变更暴露威胁信息信息处理设施
e) 评估信息安全控制措施实施充分性协调性
f) 效促进整组织信息安全教育培训意识
g) 评价信息安全事件监视评审中获信息推荐适措施响应识信息安全事件
果组织没独立跨部门组例样组组织规模说适面描述措施应合适理机构单独理员实施
613 信息安全职责分配
控制措施
信息安全职责应予清晰定义
实施指南
信息安全职责分配应信息安全方针(见第4 译者认应该第5章
章)相致资产保护执行特定安全程职责应清晰识职责应必时加补充特定点信息处理设施提供更详细指南资产保护执行特定安全程(诸业务连续性计划)局部职责应予清晰定义
分配安全职责员安全务委托员然负责应够确定委托务否已正确执行
负责领域予清晰规定特应进行列工作:
a) 特殊系统相关资产安全程应予识清晰定义
b) 应分配资产安全程实体职责该职责细节应形成文件(见712)
c) 授权级应清晰予定义形成文件
信息
许组织中命名信息安全理员全面负责安全开发实施支持控制措施识
然提供控制措施资源实施控制措施职责通常理员种通常做法资产指定名责该信息资产日常保护负责
614 信息处理设施授权程
控制措施
新信息处理设施应定义实施理授权程
实施指南
授权程应考虑列指南:
a) 新设施适户理授权批准途获负责维护系统安全环境理员授权确保相关安全方针策略求满足
b) 需硬件软件应进行检查确保系统组件兼容
c) 私信息处理设施(例便携式电脑家电脑手持设备)处理业务信息引起新脆弱性应识实施必控制措施
615 保密性协议
控制措施
应识定期评审反映组织信息保护需保密性泄露协议求
实施指南
保密泄露协议应合法实施条款解决保护机密信息求识保密泄露协议求需考虑列素:
a) 定义保护信息(机密信息)
b) 协议期持续时间包括确定需维持保密性情形
c) 协议终止时需措施
d) 避免未授权信息泄露签署者职责行 (需知道)
e) 信息者商业秘密知识产权机密信息保护相关联
f) 机密信息许签署者信息权力
g) 涉机密信息活动审核监视权力
h) 未授权泄露机密信息破坏通知报告程
i) 关协议终止时信息档销毁条款
j) 违反协议期采取措施
基组织安全求保密性泄露协议中需素
保密性泄露协议应针适辖范围(见1511)遵循适法律法规
保密性泄露协议求应进行周期性评审发生影响求变更时进行评审
信息
保密性泄密协议保护组织信息告知签署者职责授权负责方式保护公开信息
组织说需环境中保密性泄密协议格式
616 政府部门联系
控制措施
应保持政府相关部门适联系
实施指南
组织应规程指明什时候应部门(例执法部门消防局监部门)联系怀疑已识信息安全事件触犯法律时应时报告
受互联网攻击组织需外部第三方(例互联网服务提供商电信运营商)采取措施应攻击源
信息
保持样联系支持信息安全事件理(第132节)业务连续性应急规划程(第14章)求法规部门联系助预先知道组织必须遵循法律法规方面预期变化变化做准备部门联系包括公部门紧急服务健康安全部门例消防局(14章业务连续性关)电信提供商(路性关)供水部门(设备冷设施关)
617 特定利益集团联系
控制措施
应保持特定利益集团安全专家组专业协会适联系
实施指南
应考虑成特定利益集团安全专家组成员便:
a) 增进佳实践新相关安全信息解
b) 确保全面解前信息安全环境
c) 早收关攻击脆弱性预警建议补丁
d) 获信息安全专家建议
e) 分享交换关新技术产品威胁脆弱性信息
f) 提供处理信息安全事件时适联络点(见1321)
信息
建立信息享协议改进安全问题协作协调种协议应识出保护敏感信息求
618 信息安全独立评审
控制措施
组织理信息安全方法实施(例信息安全控制目标控制措施策略程程序)应计划时间间隔进行独立评审安全实施发生重变化时进行独立评审
实施指南
独立评审应理者启动确保组织理信息安全方法持续适宜性充分性效性种独立评审必须评审应包括评估安全方法改进机会变更需包括方针控制目标
样评审应独立评审范围员执行例部审核部门独立理员专门进行种评审第三方组织事评审员应具备适技验
独立评审结果应记录报告启动评审理者记录应加保持
果独立评审识出组织理信息安全方法实施充分符合信息安全方针文件(见511)中声明信息安全方理者应考虑纠正措施
信息
理员应定期评审(1521)范围独立评审评审方法包括会见理者检查记录安全方针文件评审ISO 19011:2002质量环境理体系审核指南提供实施独立评审帮助指导信息包括评审方案建立实施153详细说明运行信息系统独立评审相关控制系统审核工具
62 外部方
目标:保持组织外部方访问处理理外部进行通信信息信息处理设施安全
组织信息处理设施信息资产安全应引入外部方产品服务降低
外部方组织信息处理设施访问信息资产处理通信应予控制
外部方起工作业务需求访问组织信息信息处理设施外部方获产品服务提供外部方产品服务应进行风险评估确定涉安全方面控制求外部方签订协议中商定定义控制措施
621 外部方相关风险识
控制措施
应识涉外部方业务程中组织信息信息处理设施风险允许访问前实施适控制措施
实施指南
需允许外部方访问组织信息处理设施信息时应实施风险评估(见第4章)识特定控制措施求关外部方访问风险识应考虑问题:
a) 外部方需访问信息处理设施
b) 外部方信息信息处理设施访问类型例:
1) 物理访问例进入办公室计算机机房档案室
2) 逻辑访问例访问组织数库信息系统
3) 组织外部方间网络连接例固定连接远程访问
4) 现场访问非现场访问
c) 涉信息价值敏感性业务运行关键程度
d) 保护希外部方访问信息需控制措施
e) 处理组织信息关外部方员
f) 够识组织员授权访问进行授权验证长时间需确认
g) 外部方存储处理传送享交换信息程中方法控制措施
h) 外部方需时法访问外部方输入接收正确误导信息影响
i) 处理信息安全事件潜破坏惯例程序发生信息安全事件时外部方持续访问条款条件
j) 应考虑外部方关法律法规求合责
k) 安排利益相关利益造成样影响
非已实施适控制措施允许外部方访问组织信息行时应签订合规定外部方连接访问工作安排条款条件般言外部方合作引起安全求部控制措施应通外部方协议反映出(见622623)
应确保外部方意识责接受访问处理通信理组织信息信息处理设施涉职责责
信息
安全理充分信息外部方介入处风险中应确定应控制措施理外部方信息处理设施访问例果信息保密性特殊求需泄漏协议
果外包程度高涉外部方时组织会面组织间处理理通信相关风险
622623提出控制措施涵盖外部方安排例包括:
a) 服务提供商(例互联网服务提供商)网络提供商电话服务维护支持服务
b) 受理安全服务
c) 顾客
d) 设施运行外包例IT系统数收集服务中心呼业务
e) 理者业务顾问审核员
f) 开发者提供商例软件产品IT系统开发者提供商
g) 保洁餐饮外包支持服务
h) 时员实学生时短期安排
协议助减少外部方相关风险
622 处理顾客关安全问题
控制措施
应允许顾客访问组织信息资产前处理确定安全求
实施指南
允许顾客访问组织资产(访问类型范围需应条款)前解决安全问题应考虑列条款:
a) 资产保护包括:
1) 保护组织资产(包括信息软件)程序已知脆弱性理
2) 判定资产否受损害(例丢失数修改数)程序
3) 完整性
4) 拷贝公开信息限制
b) 拟提供产品服务描述
c) 顾客访问原求利益
d) 访问控制策略包括:
1) 允许访问方法唯标识符控制例户ID口令
2) 户访问权限授权程
3) 没明确授权访问均禁止声明
4) 撤消访问权中断系统间连接处理
e) 信息错误(例信息错误)信息安全事件安全违规报告通知调查安排
f) 项服务描述
g) 服务目标级服务接受级
h) 监视撤销组织资产关活动权利
i) 组织顾客义务
j) 相关法律责确保满足法律求(例数保护法律)果协议涉国家顾客合作特考虑国家法律体系(见151)
k) 知识产权(IPRs)版权转(见1512)合著作品保护(见615)
信息
顾客访问组织资产关安全求访问信息处理设施信息明显差异安全求应顾客协议中加明确包括已确定风险安全求(见621)
外部方协议涉方允许外部方访问协议应包括允许指派合格者规定访问访问关条件
623 处理第三方协议中安全问题
控制措施
涉访问处理理组织信息信息处理设施通信第三方协议信息处理设施中增加产品服务第三方协议应涵盖相关安全求
实施指南
协议应确保组织第三方间存误解组织应第三方保证满足需
满足识安全求(见621)应考虑列条款包含协议中:
a) 信息安全方针
b) 确保资产保护控制措施包括:
1) 保护组织资产(包括信息软件硬件)程序
2) 需物理保护控制措施机制
3) 确保防范恶意软件(见1041)控制措施
4) 判定资产否受损害(例信息软件硬件丢失修改)程序
5) 确保协议终止时合执行期间双方意某时刻信息资产返销毁控制措施
6) 保密性完整性性相关资产属性(见215)
7) 拷贝公开信息保密性协议限制(见615)
c) 户理员方法程序安全方面培训
d) 确保户意识信息安全职责问题
e) 适宜员调动规定
f) 关硬件软件安装维护职责
g) 种清晰报告结构商定报告格式
h) 种清晰规定变更理程
i) 访问控制策略包括:
1) 导致必第三方访问原求利益
2) 允许访问方法唯标识符(诸户ID口令)控制
3) 户访问权限授权程
4) 维护授权服务清单种相关权利权限求
5) 没明确授权访问禁止声明
6) 撤消访问权中断系统间连接处理
j) 报告通知调查信息安全事件安全违规违背协议中声明求安排
k) 提供项产品服务描述根安全分类(见721)提供获信息描述
l) 服务目标级服务接受级
m) 验证性准定义监视报告
n) 监视撤销组织资产关活动权利
o) 审核协议中规定责第三方实施审核列举审核员法定权限等方面权利
p) 建立逐级解决问题程
q) 服务连续性求包括根组织业务优先级性性测度
r) 协议方相关义务
s) 关法律责确保满足法律求(例数保护法律)果该协议涉国家组织合作特考虑国家法律体系(见151)
t) 知识产权(IPRs)版权转(见1512)合著作品保护(见615)
u) 涉具次承包商第三方应次承包商需实施安全控制措施
v) 重新协商终止协议条件:
1) 应提供应急计划处理方机构协议期前希终止合作关系情况
2) 果组织安全求发生变化协议重新协商
3) 资产清单许证协议相关权利前文件
信息
协议会组织第三方机构类型发生变化应注意协议中包括识风险安全求(见621)需时安全理计划中扩展需控制措施程序
果外包信息安全理协议应指出第三方保证维持风险评估中定义适安全安全适识处理风险变化
外包形式第三方服务提供间区包括责问题交付期规划问题期间潜运行中断问题应急规划安排约定详细评审安全事件信息收集理组织计划理外包安排交付提供适程理变更协议重新协商终止十分重
需考虑第三方提供服务时连续处理程序避免安排代服务时延迟
外部方协议涉方允许外部方访问协议应包括允许指派合格者规定访问访问关条件
第三方协议涉方允许第三方访问协议应包括允许指派合格者规定访问访问关条件
般言协议组织制定环境例外:协议第三方制定强加组织组织需确保身安全会没必第三方强制协议中规定求影响
7 资产理
71 资产负责
目标:实现保持组织资产适保护
资产应核查指定责
资产指定责赋予保持相应控制措施职责特定控制措施实施责适委派承担责资产提供适保护责
711 资产清单
控制措施
应清晰识资产编制维护重资产清单
实施指南
组织应识资产资产重性形成文件资产清单应包括灾难中恢复需信息包括资产类型格式位置备份信息许证信息业务价值该清单应复制必清单应确保容相关联
外应商定资产责(见712)信息分类(见72)形成文件基资产重性业务价值安全级应识资产重性应保护级(更关评价资产重性容参考ISOIEC TR 133353)
信息
信息系统相关资产类型包括:
a) 信息资产:数库数文件合协议系统文件研究信息户手册培训材料操作支持程序业务连续性计划应变安排(fallback arrangement)审核踪记录(audit trails)档信息
b) 软件资产:应软件系统软件开发工具实程序
c) 物理资产:计算机设备通信设备移动介质设备
d) 服务:计算通信服务公设施例供暖明源空调
e) 员资格技验
f) 形资产组织声誉形象
资产清单帮助确保效资产保护业务目需资产清单例健康安全保险财务(资产理)等原编制份资产清单程风险理重先决条件(见第4章)
712 资产责
控制措施
信息处理设施关信息资产应组织指定部门员承担责术语责控制生产开发保持保护资产确定赞理职责实体术语责指资产实际权员
实施指南
资产责应负责:
a) 确保信息处理设施相关信息资产进行适分类
b) 确定周期性评审访问限制分类考虑应访问控制策略
权分配:
a) 业务程
b) 已定义活动集
c) 应
d) 已定义数集
信息
日常务委派例委派理员天资产责保留职责
复杂信息系统中组资产指派责较起工作提供特殊服务功种情况服务责负责提供服务包括资产身提供功
713 资产合格
控制措施
信息处理设施关信息资产允许规应确定形成文件加实施
实施指南
雇员承包方员第三方员应遵循信息处理设施相关信息资产接受规包括:
a) 电子邮件互联网(见108)规
b) 移动设备尤组织外部设备(见1171)指南
具体规指南应相关理者提供拥访问组织资产权雇员承包方员第三方员应意识信息处理设施相关信息资产资源时限制条件应信息处理资源职责负责
72 信息分类
目标:确保信息受适级保护
信息分类处理信息时指明保护需求优先级期程度
信息具变敏感性关键性某项求附加等级保护特殊处理信息分类机制定义组合适保护等级传达特殊处理措施需求
721 分类指南
控制措施
信息应组织价值法律求敏感性关键性予分类
实施指南
信息分类相关保护控制措施考虑享限制信息业务需求种需求相关业务影响
分类指南应包括根预先确定访问控制策略(见1111)进行初始分类段时间进行重新分类惯例
确定资产类周期性评审确保时代处适级应资产责(见712)职责分类考虑1072提集合效应
应考虑分类类数目中获处度复杂方案说方便济许实际解释组织获取文件分类标记时应心组织相类似命名标记定义
信息
保护级通分析考虑信息保密性完整性性求进行评估
段时间信息通常敏感关键例该信息已公开时方面应予考虑分类致实施必控制措施导致附加成
分配分类级时考虑具类似安全求文件简化分类务
般说信息分类确定该信息予处理保护简便方法
722 信息标记处理
控制措施
应组织采纳分类机制建立实施组合适信息标记处理程序
实施指南
信息标记程序需涵盖物理电子格式信息资产
包含分类敏感关键信息系统输出应该输出中携带合适分类标记该标记根721中建立规反映出分类考虑项目包括印报告屏幕显示记录介质(例磁带磁盘CD)电子消息文件传送
种分类级定义包括安全处理储存传输删销毁处理程序包括系列安全相关事态监督记录程序
涉信息享组织协议应包括识信息分类解释组织分类标记程序
信息
分类信息标记安全处理信息享关键求物理标记常标记形式然某信息资产(诸电子形式文件等)做物理标记需电子标记手段例通知标记屏幕显示出标记适时需应信息分类指定方式例通程序元数
8 力资源安全
81 解释:里意指情形:员(暂时长期)工作角色指定工作角色变化合分配安排终止
前
目标:确保雇员承包方员第三方员理解职责考虑承担角色适合降低设施窃欺诈误风险
安全职责应前适岗位描述条款条件中指出
承包方员第三方员候选者应充分审查特敏感岗位成员
信息处理设施雇员承包方员第三方员应签署关安全角色职责协议
811 角色职责
控制措施
雇员承包方员第三方员安全角色职责应组织信息安全方针定义形成文件
实施指南
安全角色职责应包括求:
a) 组织信息安全方针(见51)实施运行
b) 保护资产免受未授权访问泄露修改销毁干扰
c) 执行特定安全程活动
d) 确保职责分配采取措施
e) 组织报告安全事态潜事态安全风险
安全角色职责应定义前清晰传达岗位候选者
信息
岗位描述安全角色职责形成文件应清晰定义传达没组织程(例通第三方组织)中安全角色职责
812 审查
控制措施
关候选者承包方员第三方员背景验证检查应相关法律法规道德规范应业务求访问信息类察觉风险执行
实施指南
验证检查应考虑相关隐私数保护相关法律应包括容(允许时):
a) 令满意资料性(项业务)
b) 申请履历核查(针完备性准确性)
c) 声称学术专业资质证实
d) 独立身份检查(护类似文件)
e) 更细节检查例信卡检查犯罪记录检查
职务(初命提升)涉信息处理设施进行访问时特果设施正处理敏感信息例财务信息高度机密信息该组织考虑进步更详细检查
应程序确定验证检查准限制例谁资格审查员时什执行验证检查
承包方员第三方员执行审查程承包方员通代理提供代理合清晰规定代理审查职责果未完成审查结果引起怀疑关注时代理需遵守通知程序样第三方(见623)协议应清晰指定审查职责通知程序
考虑组织录候选者信息应相关辖范围存合适法律收集处理适法律应审查活动提前通知候选者
813 条款条件
控制措施
作合义务部分雇员承包方员第三方员应意签署合条款条件条款条件声明组织信息安全职责
实施指南
条款条件澄清声明容外应反映组织安全方针:
a) 访问敏感信息雇员承包方员第三方员予访问信息处理设施权前签署保密泄露协议
b) 雇员承包方员员法律职责权利例关版权法数保护法(见15111512)
c) 雇员承包方员第三方员操作信息系统服务关信息分类组织资产理职责(见7211073)
d) 雇员承包方员第三方员操作公司外部方信息职责
e) 组织处理员信息职责包括组织组织程中产生信息(见1514)
f) 扩展组织场外正常工作时间外职责例家中工作情形(见9251171)
g) 果雇员承包方员第三方员漠视组织安全求采取措施(见823)
组织应确保雇员承包方员第三方员意适访问信息系统服务关组织资产性质程度信息安全条款条件
适包含条款条件中职责应结束持续段规定时间(见83)
信息
行细覆盖雇员承包方员第三方员关保密性数保护道德规范组织设备设施适组织期佳实践职责承包方员第三方员外部组织关外部组织需代表已签约遵守契约安排
82 中
目标:确保雇员承包方员第三方员知悉信息安全威胁利害关系职责义务准备正常工作程中支持组织安全方针减少失风险
应确定理职责确保安全措施应组织整期
减安全风险应雇员承包方员第三方员提供安全程序适程度意识教育培训信息处理设施正确方法应建立正式处理安全违规纪律处理程
821 理职责
控制措施
理者应求雇员承包方员第三方员组织已建立方针策略程序安全心力
实施指南
理职责应包括确保雇员承包方员第三方员:
a) 授权访问敏感信息信息系统前解信息安全角色职责
b) 获声明组织中角色安全期指南
c) 激励实现组织安全策略
d) 组织角色职责相关安全问题意识程度达定级
e) 遵守条款条件包括组织信息安全方针工作合适方法
f) 持续拥适技资质
信息
果雇员承包方员第三方员没意识安全职责会组织造成相破坏激励员更减少信息安全事件发生
缺乏效理会员工感觉低估导致组织负面安全影响例缺乏效理导致安全忽视组织资产潜误
822 信息安全意识教育培训
控制措施
组织雇员适时包括承包方员第三方员应受工作职相关适意识培训组织方针策略程序定期更新培训
实施指南
意识培训应正式介绍程开始程允许访问信息服务前介绍组织安全方针策略期
正进行培训应包括安全求法律职责业务控制正确信息处理设施培训例登录程序软件包纪律处理程(见823)信息
信息
安全意识教育培训活动应适员工角色职责技相关应包括关已知威胁信息谁咨询进步安全建议合适报告信息安全事件(见131)渠道
加强意识培训旨认识信息安全问题事件岗位角色需响应
823 纪律处理程
控制措施
安全违规雇员应正式纪律处理程
实施指南
纪律处理程前应安全违规验证程(见1323证收集)
正式纪律处理程应确保正确公怀疑安全违规雇员违规第次已发生违规者否适培训正式纪律处理程应规定分级响应考虑诸违规性质重性业务影响等素相关法律业务合素需考虑严重明知犯情况应立免职删访问权特殊权限果需直接护送出现场
信息
纪律处理程雇员承包方员第三方员种威慑防止违反组织安全方针策略程序安全违规
83 终止变化
目标:确保雇员承包方员第三方员规范方式退出组织改变关系
应合适职责确保理雇员承包方员第三方员组织退出确保设备删访问权
组织职责变化理应符合章容职责终止理相似新应遵循81节容进行理
831 终止职责
控制措施
终止变化职责应清晰定义分配
实施指南
终止职责传达应包括正进行安全求法律职责适时包括保密协议规定职责(见615)雇员承包方第三方户雇佣结束持续段时间然效条款条件(见813)
规定职责义务终止然效容应包含雇员承包方员第三方员合中
职责变化理应职责终止理相似新责应遵循81节容
信息
力资源职通常理相关程序安全方面监督理员块负责总体终止处理承包方员例子中终止职责处理代表承包方员代理完成情况户组织处理
必通知雇员顾客承包方员第三方员关组织员变化运营安排
832 资产
控制措施
雇员承包方员第三方员终止合协议时应组织资产
实施指南
终止程应正式化包括先前发放软件公司文件设备组织资产例移动计算设备信卡访问卡软件手册存储电子介质中信息需
雇员承包方员第三方员购买组织设备设备时应遵循程序确保相关信息已转移组织已设备中安全删(见1071)
雇员承包方员第三方员拥知识正进行操作具重意义时信息应形成文件传达组织
833 撤销访问权
控制措施
雇员承包方员第三方员信息信息处理设施访问权应合协议终止时删变化时调整
实施指南
终止时信息系统服务关资产访问权应重新考虑决定否必须删访问权变化应体现适新岗位访问权删应删改变访问权包括物理逻辑访问密钥ID卡信息处理设施(见1124)签名标识作组织现成员文件中删果已离开雇员承包方员第三方员知道保持活动状态帐户密码应合协议终止变化改变密码
信息资产信息处理设施访问权终止变化前否减少删赖风险素评价例:
a) 终止变化雇员承包方员第三方员发起理者发起终止原
b) 雇员承包方员户现职责
c) 前访问资产价值
信息
某情况访问权分配基基离开雇员承包方员第三方员例群ID种情况离开员应群访问列表中删应建议相关雇员承包方员第三方员应已离开员享信息
理者发起终止情况中满雇员承包方员第三方员意破坏信息破坏信息处理设施员工辞职情况收集必信息
9 物理环境安全
91 安全区域
目标:防止组织场信息未授权物理访问损坏干扰
关键敏感信息处理设施放置安全区域受确定安全边界保护包括适安全屏障入口控制设施物理避免未授权访问损坏干扰
提供保护识风险相匹配
911 物理安全边界
控制措施
应安全边界(诸墙卡控制入口理接台等屏障)保护包含信息信息处理设施区域
实施指南
物理安全边界合适列指南应予考虑实施:
a) 安全边界应清晰予定义边界设置点强度取决边界资产安全求风险评估结果
b) 包含信息处理设施建筑物场边界应物理安全(边界区域应存易闯入缺口)场外墙应坚固结构外部门控制机制适保护防止未授权进入例门闩报警器锁等门窗户应锁考虑窗户外部保护尤面层窗户
c) 场建筑物物理访问手段位(理接区域控制)进入场建筑物应仅限已授权员
d) 果行应建立物理屏障防止未授权进入环境污染
e) 安全边界防火门应发出报警信号监视检验墙起合适方国国际标准建立需防卫级应障保护方式防火规运行
f) 应方国国际标准建立适入侵检测系统定期检测覆盖外部门窗直警惕空闲区域区域提供掩护方法例计算机室通信室
g) 组织理信息处理设施应物理第三方理设施分开
信息
物理保护通组织边界信息处理设施周围设置物理屏障实现重屏障提供附加保护屏障失效意味着立危安全
安全区域锁办公室连续部物理安全屏障包围房间安全边界具安全求区域间需控制物理访问附加屏障边界
具组织建筑物应考虑专门物理访问安全
912 物理入口控制
控制措施
安全区域应适合入口控制保护确保授权员允许访问
实施指南
列指南应予考虑:
a) 记录访问者进入离开日期时间访问者予监督非访问事前已批准允许访问特定已授权目标宣布关该区域安全求应急程序说明
b) 访问处理敏感信息储存敏感信息区域受控制仅限已授权员认证控制(例访问控制卡加识号)应授权确认访问访问审核踪迹安全加维护
c) 雇员承包方员第三方员访问者佩带某种形式视标识果遇护送访问者未佩带视标识应立通知保安员
d) 第三方支持服务员需时限制访问安全区域敏感信息处理设施种访问应授权受监视
e) 安全区域访问权定期予评审更新需时废(见833)
913 办公室房间设施安全保护
控制措施
应办公室房间设施设计采取物理安全措施
实施指南
应考虑列指南保护办公室房间设施:
a) 相关健康安全法规标准考虑
b) 关键设施应坐落避免公众进行访问场
c) 果行建筑物引注目建筑物侧外侧明显标记出途少指示标识信息处理活动存
d) 标识敏感信息处理设施位置目录部电话簿轻易公众
914 外部环境威胁安全防护
控制措施
防止火灾洪水震爆炸社会动荡形式然灾难引起破坏应设计采取物理保护措施
实施指南
考虑邻区域带安全威胁例邻建筑物火灾屋顶漏水室板渗水者街爆炸
避免火灾洪水震爆炸社会动荡形式然灾难灾难破坏应考虑素:
a) 危险易燃材料应离安全区域安全距离外方存放批供应品(例文具)应存放安全区域
b) 备份设备备份介质存放点应场段安全距离避免影响场灾难产生破坏
c) 应提供适灭火设备应放合适点
915 安全区域工作
控制措施
应设计运安全区域工作物理保护指南
实施指南
列指南应予考虑:
a) 必知道基础员工应知道安全区域存中活动
b) 安全原减少恶意活动机会均应避免安全区域进行受监督工作
c) 未安全区域物理锁周期予检查
d) 非授权允许携带摄影视频声频记录设备例移动设备中相机
安全区域工作安排包括工作安全区域雇员承包方员第三方员控制发生安全区域第三方活动控制
916 公访问交接区安全
控制措施
访问点(例交接区)未授权员进入办公场点应加控制果信息处理设施隔离避免未授权访问
实施指南
列指南应予考虑:
a) 建筑物外进入交接区访问应局限已标识已授权员
b) 交接区应设计成需交货员获建筑物部分访问权情况卸物资
c) 部门开时交接区外部门应安全保护
d) 进物资交接区运点前检查否存潜威胁(见921d))
e) 进物资应资产理程序(见711)场入口处进行登记
f) 果进入外出货物应物理予隔离
92 设备安全
目标:防止资产丢失损坏失窃危资产安全组织活动中断
应保护设备免受物理环境威胁
设备(包括离开组织财产移动)保护减少未授权访问信息风险防止丢失损坏必需样做考虑设备安置处置需专门控制防止物理威胁保护支持性设施诸供电电缆设施
921 设备安置保护
控制措施
应安置保护设备减少环境威胁危险造成种风险未授权访问机会
实施指南
列指南应予考虑保护设备:
a) 设备应进行适安置量减少必工作区域访问
b) 应处理敏感数信息处理设施放适限制观测位置减少期间信息窥视风险应保护储存设施防止未授权访问
c) 求专门保护部件予隔离降低求总体保护等级
d) 应采取控制措施减潜物理威胁风险例偷窃火灾爆炸烟雾水(供水障)尘埃振动化学影响电源干扰通信干扰电磁辐射意破坏
e) 应建立信息处理设施附进食喝饮料抽烟指南
f) 信息处理设施运行状态产生负面影响环境条件(例温度湿度)予监视
g) 建筑物应采避雷保护进入电源通信线路应装配雷电保护滤器
h) 工业环境中设备考虑专门保护方法例键盘保护膜
i) 应保护处理敏感信息设备化辐射导致信息泄露风险
922 支持性设施
控制措施
应保护设备免支持性设施失效引起电源障中断
实施指南
应足够支持性设施(例电供水排污加热通风空调)支持系统支持性设施应定期检查适测试确保功减少障失效带风险应设备制造商说明提供合适供电
支持关键业务操作设备推荐支持序关机连续运行间断电源(UPS)电源应急计划包括UPS障时采取措施果电源障延长处理继续进行考虑备份发电机应提供足够燃料供确保延长时间发电机进行工作UPS设备发电机定期检查确保拥足够力制造商建议予测试外果办公场应考虑源电源单独变电站
外应急电源开关应位设备房间应急出口附便紧急情况时快速切断电源万电源出现障时提供应急明
稳定足够供水支持空调加湿设备灭火系统(时)供水系统障破坏设备阻止效灭火果需应告警系统指示水压降低
连接公提供商通信设备应少两条线路防止条连接路径发生障时语音服务失效足够语音服务满足方法规应急通信求
信息
实现连续供电选项包括路供电避免供电单障点
923 布缆安全
控制措施
应保证传输数支持信息服务电源布缆通信布缆免受窃听损坏
实施指南
布缆安全列指南应予考虑:
a) 进入信息处理设施电源通信线路宜提供足够换保护
b) 网络布缆免受未授权窃听损坏例利电缆道路避开公众区域
c) 防止干扰电源电缆通信电缆分开
d) 清晰识电缆设备记号处理失误化例错误网络电缆意外配线
e) 文件化配线列表减少失误性
f) 敏感关键系统更进步控制考虑应包括:
1) 检查点终接点处安装铠装电缆道锁房间盒子
2) 换路选择传输介质提供适安全措施
3) 纤维光缆
4) 电磁防辐射装置保护电缆
5) 电缆连接未授权装置动实施技术清物理检查
6) 控制配线盘电缆室访问
924 设备维护
控制措施
设备应予正确维护确保持续性完整性
实施指南
设备维护列指南应予考虑:
a) 供应商推荐服务时间间隔规范设备进行维护
b) 已授权维护员设备进行修理服务
c) 保存疑实际障预防纠正维护记录
d) 设备安排维护时应实施适控制考虑维护场部员执行外部员执行需时敏感信息需设备中删者维护员应该足够
e) 应遵守保险策略施加求
925 组织场外设备安全
控制措施
应组织场设备采取安全措施考虑工作组织场外风险
实施指南
责谁组织场外信息处理设备通理者授权
离开办公场设备保护应考虑列指南:
a) 离开建筑物设备介质公场应旅行时便携式计算机作手提行李携带宜伪装起
b) 制造商设备保护说明始终加遵守例防止暴露强电磁场
c) 家庭工作控制措施应根风险评估确定适合时施加合适控制措施例锁存档柜清理桌面策略计算机访问控制办公室安全通信(见ISOIEC 18028 网络安全)
d) 足够安全保障掩蔽物宜位保护离开办公场设备
安全风险场显著例损坏盗窃截取考虑确定合适控制措施
信息
家庭工作正常工作点运走信息存储处理设备包括形式计算机理设备移动电话智卡纸张形式设备
关保护移动设备方面更信息1171中找
926 设备安全处置利
控制措施
包含储存介质设备项目应进行检查确保销毁前敏感信息注册软件已删安全重写
实施指南
包含敏感信息设备物理应予摧毁者采原始信息获取技术破坏删覆盖信息采标准删格式化功
信息
包含敏感信息已损坏设备需实施风险评估确定设备否进行销毁送修理丢弃
信息通设备草率处置重泄漏(见1072)
927 资产移动
控制措施
设备信息软件授权前应带出组织场
实施指南
列指南应予考虑:
a) 未事先授权情况应设备信息软件离开办公场
b) 应明确识权允许资产移动离开办公场雇员承包方员第三方员
c) 应设置设备移动时间限制返时执行符合性检查
d) 需合适设备作出移出记录返回时作出送回记录
信息
应执行检测未授权资产移动抽查检测未授权记录装置武器等等防止进入办公场样抽查应相关规章制度执行应知道进行抽查法律法规求适授权执行检查
10 通信操作理
101 操作程序职责
目标:确保正确安全操作信息处理设施
应建立信息处理设施理操作职责程序包括制定合适操作程序
合适时应实施责分割减少疏忽意误系统风险
1011 文件化操作程序
控制措施
操作程序应形成文件保持需户
实施指南
信息处理通信设施相关系统活动应具备形成文件程序例计算机启动关机程序备份设备维护介质处理计算机机房邮件处置理物理安全等
操作程序应详细规定执行项工作说明容包括:
a) 信息处理处置
b) 备份(见105)
c) 时间安排求包括系统相互关系早工作开始时间工作完成期限
d) 工作执行期间出现处理差错异常情况指导包括系统实工具限制(见1154)
e) 出现期操作技术困难事态时支持性联络
f) 特定输出介质处理指导诸特殊信纸理保密输出包括务失败时输出安全处置程序(见10721073)
g) 供系统失效时系统重启恢复程序
h) 审核踪系统日志信息理(见1010)
操作程序系统活动文件化程序作正式文件变更理者授权技术行时信息系统应相程序工具实程序进行致理
1012 变更理
控制措施
信息处理设施系统变更应加控制
实施指南
操作系统应软件应严格变更理控制
特列条款应予考虑
a) 重变更标识记录
b) 变更策划测试
c) 种变更潜影响评估包括安全影响
d) 建议变更正式批准程序
e) 关员传达变更细节
f) 返回程序包括成功变更未预料事态中退出恢复程序职责
正式理者职责程序应位确保设备软件程序变更令满意控制发生变更时包含相关信息审核日志予保留
信息
信息处理设施系统变更缺乏控制系统障安全失误常见原操作环境变更特系统开发阶段操作阶段转移时影响应性(见1251)
操作系统变更存效业务需求时进行例系统风险增加操作系统应程序新版进行系统更新总业务需求样做会引入现版更脆弱性稳定性尤移植期间需额外培训许证费支持维护理开支新硬件等
1013 责分割
控制措施
类责职责范围应加分割降低未授权意识修改者组织资产机会
实施指南
责分割种减少意外意系统误风险方法应注意授权未监测时应访问修改资产事态启动授权分离勾结性应设计控制措施时予考虑
型组织感难实现种责分割性行性说该原适果难分割应考虑控制措施例活动审核踪迹理监督监视等重安全审核保持独立
1014 开发测试运行设施分离
控制措施
开发测试运行设施应分离减少未授权访问改变运行系统风险
实施指南
防止操作问题应识运行测试开发环境间分离级实施适控制措施
列条款应加考虑:
a) 规定开发状态运行状态软件传递规形成文件
b) 开发运行软件系统计算机处理器域目录运行
c) 没必时编译器编辑器开发工具系统实工具应访问运行系统
d) 测试系统环境应仿效运行系统环境
e) 户应运行测试系统中户轮廓菜单显示合适标识消息减少出错风险
f) 敏感数应拷贝测试系统环境中(见1242)
信息
开发测试活动引起严重问题例文件系统环境期修改者系统障种情况必保持种已知稳定环境环境中执行意义测试防止适开发者访问
开发测试员访问运行系统信息会引入未授权未测试代码改变运行数某系统中种力误实施欺诈引入未测试恶意代码导致严重运行问题
开发者测试者造成运行信息保密性威胁果开发测试活动享计算环境引起非意软件信息变更减少意外变更未授权访问运行软件业务数风险分离开发测试运行设施必(见1242测试数保护)
102 第三方服务交付理
目标:实施保持符合第三方服务交付协议信息安全服务交付适水准
组织应检查协议实施监视协议执行符合性理变更确保交付服务满足第三方商定求
1021 服务交付
控制措施
应确保第三方实施运行保持包含第三方服务交付协议中安全控制措施服务定义交付水准
实施指南
第三方交付服务应包括商定安全安排服务定义服务理方面外包安排情况组织应策划必渡(信息信息处理设施需移动资产)应确保安全整渡期间保持
组织应确保第三方保持足够服务力计划确保商定服务服务障灾难(见141)继续保持
1022 第三方服务监视评审
控制措施
应定期监视评审第三方提供服务报告记录审核应定期执行
实施指南
第三方服务监视评审应确保坚持协议信息安全条款条件信息安全事件问题适理涉组织第三方间服务理关系程包括:
a) 监视服务执行级检查协议符合度
b) 评审第三方产生服务报告安排协议求定期进展会议
c) 协议支持性指南程序需时提供关信息安全事件信息第三方组织实施评审
d) 评审第三方审核踪迹关交付服务安全事态运行问题失效障追踪中断记录
e) 解决理已确定问题
理第三方关系职责应分配指定员服务理组外组织应确保第三方分配检查符合性执行协议求职责应获足够技术技资源监视满足协议求(见623)特信息安全求服务交付中发现足时应采取适措施
组织应第三方访问处理理敏感关键信息信息处理设施安全方面保持充分全面控制见度组织应确保安全活动留见度例变更理脆弱性识信息安全事件报告响应事件报告响应清晰定义报告程格式结构
信息
外包时组织必须知晓外包方处理信息终职责属组织
1023 第三方服务变更理
控制措施
应理服务提供变更包括保持改进现信息安全方针策略程序控制措施考虑业务系统涉程关键程度风险评估
实施指南
第三方服务变更理程需考虑:
a) 组织实施变更:
1) 提供现服务加强
2) 新应系统开发
3) 组织方针策略程序更改更新
4) 解决信息安全事件改进安全新控制措施
b) 第三方服务实施变更:
1) 网络变更加强
2) 新技术
3) 新产品新版采
4) 新开发工具环境
5) 服务设施物理位置变更
6) 供应商变更
103 系统规划验收
目标:系统失效风险降
确保足够力资源性提供需系统性需预先规划准备
应作出未容量需求推测减少系统载风险
新系统运行求应验收前建立形成文件进行测试
1031 容量理
控制措施
资源应加监视调整应作出未容量求预测确保拥需系统性
实施指南
新正进行活动说应识容量求应系统调整监视确保(需时)改进系统性效率应检测控制措施时指出问题未容量求推测应考虑新业务系统求组织信息处理力前预计趋势
需特关注长订货交货周期高成相关资源理员应监视关键系统资源利应识出趋势特业务应理信息系统工具相关
理员应该信息识避免潜瓶颈关键员工赖引起系统安全户服务威胁时理员应策划适措施
1032 系统验收
控制措施
应建立新信息系统升级新版验收准开发中验收前系统进行适测试
实施指南
理员确保验收新系统求准明确定义商定形成文件测试新信息系统升级新版获正式验收作产品验收前列项目加考虑:
a) 性计算机容量求
b) 差错恢复重启程序应急计划
c) 已定义标准准备测试日常运行程序
d) 确定组安全控制措施应位
e) 效工操作程序
f) 141求业务连续性安排
g) 新系统安装现系统负面影响证特高峰处理时间例月末
h) 考虑新系统组织总体安全影响证
i) 新系统操作培训
j) 易性影响户避免员出错
新开发开发程阶段征询运行职部门户意见确保建议系统设计运行效率进行适测试证实完全满足全部验收标准
信息
验收包括正式认证认程验证已适解决安全求
104 防范恶意移动代码
目标:保护软件信息完整性
求预防措施防范检测恶意代码未授权移动代码引入
软件信息处理设施易感染恶意代码(例计算机病毒网络蠕虫特洛伊木马逻辑炸弹)户解恶意代码危险合适理员推行控制措施防范检测删恶意代码控制移动代码
1041 控制恶意代码
控制措施
应实施恶意代码监测预防恢复控制措施适提高户安全意识程序
实施指南
防范恶意代码基恶意代码监测修复软件安全意识适系统访问变更理控制措施列指南加考虑:
a) 建立禁止未授权软件正式策略(见1512)
b) 建立防范风险正式策略该风险外部网络介质获文件软件相关策略指示应采取什保护措施(见115特11541155)
c) 支持关键业务程系统中软件数容进行定期评审应正式调查存未批准文件未授权修正
d) 安装定期更新恶意代码检测修复软件扫描计算机介质作预防控制作例行程序基础执行检查应包括:
1) 针恶意代码前检查电子光介质文件网络收文件
2) 针恶意代码前检查电子邮件附件载容该检查位置进行例电子邮件服务器台式计算机进入组织网络时
3) 针恶意代码检查web页面
e) 定义关系统恶意代码防护培训恶意代码攻击报告中恢复理程序职责(见131132)
f) 制定适恶意代码攻击中恢复业务连续性计划包括必数软件备份恢复安排(见14章)
g) 实施程序定期收集信息例订阅邮件列表检查提供新恶意代码web站点
h) 实施检验恶意代码相关信息程序确保报警公告准确情报理员应确保合格源(例声誉期刊Internet网站防范恶意代码软件供应商)区分虚假实际恶意代码户解欺骗问题收时做什
信息
信息处理环境中供应商防范恶意代码两软件产品改进恶意代码防护效性
安装防恶意代码软件提供定义文件扫描引擎动更新确保防护措施新外台台式机安装该软件执行动检查
应注意防止实施维护紧急程序期间引入恶意代码避开正常恶意代码防护控制措施
1042 控制移动代码
控制措施
授权移动代码时配置应确保授权移动代码清晰定义安全策略运行应阻止执行未授权移动代码
实施指南
应考虑列措施防止移动代码执行未授权活动:
a) 逻辑隔离环境中执行移动代码
b) 阻断移动代码
c) 阻断移动代码接收
d) 技术测量措施特定系统中确保移动代码受控
e) 控制移动代码访问资源
f) 密码控制唯认证移动代码
信息
移动代码种软件代码台计算机传递台计算机动执行少没户干预情况完成特定功移动代码量中间件服务关
确保移动代码包含恶意代码外必须控制移动代码避免系统网络应资源未授权破坏违反信息安全活动
105 备份
目标:保持信息信息处理设施完整性性
应备份数演练时恢复建立例行程序实施已商定策略战略(见141)
1051 信息备份
控制措施
应已设备份策略定期备份测试信息软件
实施指南
应提供足够备份设施确保必信息软件灾难介质障进行恢复
信息备份列条款应加考虑:
a) 应定义备份信息必级
b) 应建立备份拷贝准确完整记录文件化恢复程序
c) 备份程度(例全部备份部分备份)频率应反映组织业务求涉信息安全求信息组织持续运作关键度
d) 备份存储远程点足够距离避免办公场灾难时受损坏
e) 应予备份信息办公场应标准相致适物理环境保护等级(见第9章)应扩充应办公场介质控制涵盖备份场
f) 行定期测试备份介质确保需应急时备份介质
g) 恢复程序应定期检查测试确保效操作程序恢复分配时间完成
h) 保密性十分重情况备份应通加密方法进行保护
系统备份安排应定期测试确保满足业务连续性计划(见14章)求重系统备份安排应包括发生灾难时恢复整系统必需系统信息应数
应确定重业务信息保存周期永久保存档案拷贝求(见1513)
信息
备份恢复程更容易备份安排动进行种动化解决方案应实施前进行充分测试应做定期测试
106 网络安全理
目标:确保网络中信息安全性保护支持性基础设施
跨越组织边界网络安全理需仔细考虑数流法律含义监视保护
求外控制保护公网络传输敏感数
1061 网络控制
控制措施
应充分理控制网络防止威胁发生维护系统网络应程序安全包括传输中信息
实施指南
网络理员应实施控制确保网络信息安全防止未授权访问连接服务特列条款应予考虑:
a) 合适网络操作职责计算机操作分开(见1013)
b) 应建立远程设备(包括户区域设备)理职责程序
c) 必应建立专门控制保护公网络线网络传递数保密性完整性保护已连接系统应(见114123)维护连接网络服务计算机性求专门控制
d) 记录安全相关活动应适日志记录监视措施
e) 优化组织服务确保信息处理基础设施始终应干控制措施应紧密协调理活动
信息
关网络安全外信息见ISOIEC 18028 网络安全
1062 网络服务安全
控制措施
安全特性服务级网络服务理求应予确定包括网络服务协议中服务部提供外包
实施指南
网络服务提供商安全方式理商定服务力应予确定定期监视应商定审核权利
应识特殊服务安全安排例安全特性服务级理求组织应确保网络服务提供商实施措施
信息
网络服务包括接入服务私网络服务增值网络受控网络安全解决方案例防火墙入侵检测系统服务包括简单未受控带宽包括复杂增值提供
网络服务安全特性:
a) 网络服务应安全技术例认证加密网络连接控制
b) 安全网络连接规网络服务安全连接需技术参数
c) 需网络服务程序限制网络服务应访问
107 介质处置
目标:防止资产遭受未授权泄露修改移动销毁业务活动中断
介质应受控制物理保护
文件计算机介质(磁带磁盘)输入输出数系统文件免遭未授权泄露修改删破坏应建立适操作程序
1071 移动介质理
控制措施
应适移动介质理程序
实施指南
列移动介质理指南应加考虑:
a) 组织取走重介质中容果需应重
b) 果需行组织取走介质应求授权种移动记录应加保持保持审核踪迹
c) 介质存储符合制造商说明安全保密环境中
d) 果存储介质中信息时间介质生命期长信息存储方避免介质老化导致信息丢失
e) 应考虑移动介质登记减少数丢失机会
f) 应业务求时移动介质
程序授权级清晰形成文件
信息
移动介质包括磁带磁盘闪盘移动硬件驱动器CDDVD印介质
1072 介质处置
控制措施
需介质应正式程序安全处置
实施指南
应建立安全处置介质正式程序敏感信息泄露未授权员风险减安全处置包含敏感信息介质程序应信息敏感性相致列控制应予考虑:
a) 包含敏感信息介质秘密安全存储处置例利焚化切碎方法者数删供组织应
b) 应程序识需安全处置项目
c) 安排介质部件收集起进行安全处置试图分离出敏感部件更容易
d) 许组织纸设备介质提供收集处置服务应注意选择具足够控制措施验合适合方
e) 处置敏感部件做记录便保持审核踪迹
处置堆积介质时集合效应应予考虑量敏感信息变成敏感信息
信息
敏感信息粗心意介质处置泄露(见926关设备处置信息)
1073 信息处理程序
控制措施
应建立信息处理存储程序防止信息未授权泄漏
实施指南
应制定处置处理存储分类致信息(见72)通信程序列条款应加考虑:
a) 显示分类级处置标记介质
b) 确定防止未授权员访问限制
c) 维护数授权接收者正式记录
d) 确保输入数完整正确完成处理应输出验证
e) 敏感性致级保护等输出假脱机数
f) 根制造商规范存储介质
g) 分发数少
h) 清晰标记数拷贝引起已授权接收者关注
i) 固定时间间隔评审分发列表已授权接收者列表
信息
程序应文件计算系统网络移动计算移动通信邮件话音邮件通话音通信媒体邮政服务设施传真机敏感项目(例空白支票发票)中信息
1074 系统文件安全
控制措施
应保护系统文件防止未授权访问
实施指南
系统文件安全应考虑列条款:
a) 安全存储系统文件
b) 系统文件访问员列表保持范围应责授权
c) 应妥善保护保存公网络公网络提供系统文件
信息
系统文件包含系列敏感信息例应程描述程序数结构授权程
108 信息交换
目标:保持组织信息软件交换外部组织信息软件交换安全
组织间信息软件交换应基正式交换策略交换协议执行应服相关法律(见第15章)
建立程序标准保护信息传输中包含信息物理介质
1081 信息交换策略程序
控制措施
应正式交换策略程序控制措施保护通种类型通信设施信息交换
实施指南
电子通信设施进行信息交换程序控制应考虑列条款:
a) 设计防止交换信息遭受截取复制修改错误寻址破坏程序
b) 检测防止通电子通信传输恶意代码程序
c) 保护附件形式传输敏感电子信息程序
d) 简述电子通信设施接受策略指南(见713)
e) 线通信程序考虑涉特定风险
f) 雇员承包方员第三方员危害组织职责例诽谤扰乱扮演连锁信寄送未授权购买等
g) 密码技术例保护信息保密性完整性真实性(见123)
h) 业务通信(包括消息)保持处理指南相关国家方法律法规致
i) 敏感关键信息留印设施例复印机印机传真机设施未授权员访问
j) 通信设施转发相关控制措施限制例电子邮件动转发外部邮件址
k) 提醒工作员应采取相应预防措施例泄露敏感信息避免电话时意听窃听:
1) 移动电话时特注意附
2) 搭线窃听通物理访问手持电话电话线路受扫描接收器窃听方式
3) 接收端
l) 包含敏感信息消息留应答机未授权重放留公系统者误拨号正确存储
m) 提醒工作员关传真机问题:
1) 未授权访问置消息存储器检索消息
2) 意意传真机编程消息发送特定电话号码
3) 误拨号错误存储号码文档消息发送错误电话号码
n) 提醒工作员注册统计数例软件中电子邮件址员信息避免未授权员收集
o) 提醒工作员现代传真机影印机页面缓页面传输障时存储页面旦障消印
外应提醒工作员公场开放办公室薄围墙会场进行保密会谈
信息交换设施应符合相关法律求(见第15章)
信息
通类型通信设施进行信息交换例电子邮件声音传真视频
通类型介质进行软件交换包括互联网载出售现货供应商处获
应考虑电子数交换电子商务电子通信控制求相关业务法律安全蕴涵
信息交换设施时缺乏意识策略程序泄露信息例公开场移动电话偷听电子邮件消息指示错误应答机偷听未授权访问拨号语音邮件系统传真设备意外传真发送错误传真设备
果通信设施失灵载中断中断业务运行损坏信息(见103第14章)果述通信设施未授权户访问损害信息(见第11章)
1082 交换协议
控制措施
应建立组织外部团体交换信息软件协议
实施指南
交换协议应考虑安全条款:
a) 控制通知传输分派接收理职责
b) 通知传输分派接收发送者程序
c) 确保追溯性抵赖性程序
d) 包传输低技术标准
e) 条件转契约
f) 送信标识标准
g) 果发生信息安全事件职责义务例数丢失
h) 商定标记敏感关键信息系统确保标记含义直接理解信息受适保护
i) 数保护版权软件许证符合性类似考虑责职责(见15121514)
j) 记录阅读信息软件技术标准
k) 保护敏感项求专门控制措施例密钥(见123)
应建立保持策略程序标准保护传输中信息物理介质(见1083)应交换协议中进行引
协议安全容应反映涉业务信息敏感度
信息
协议电子手写采取正式合条款形式敏感信息言信息交换特定机制组织种协议应致
1083 运输中物理介质
控制措施
包含信息介质组织物理边界外运送时应防止未授权访问毁坏
实施指南
应考虑列指南保护点间传输信息介质:
a) 应运输送信
b) 授权送信列表应理者批准
c) 应开发检查送信识程序
d) 包装足保护信息免遭运输期间出现物理损坏符合制造商规范(例软件)例防止减少介质恢复效力环境素例暴露热潮湿电磁区域
e) 需应采取专门控制保护敏感信息免遭未授权泄露修改例子包括:
1) 锁容器
2) 手工交付
3) 防篡改包装(揭示想获访问企图)
4) 异常情况托运货物分解成次交付通路线发送
信息
信息物理传输期间(例通邮政服务送信传送)易受未授权访问破坏
1084 电子消息发送
控制措施
包含电子消息发送中信息应予适保护
实施指南
电子消息发送安全考虑应包括方面:
a) 防止消息遭受未授权访问修改拒绝服务攻击
b) 确保正确寻址消息传输
c) 服务通性性
d) 法律方面考虑例电子签名求
e) 外部公开服务(例时消息文件享)前获批准
f) 更强控制公开访问网络进行访问认证级
信息
电子消息(例电子邮件电子数交换(EDI)时消息)业务通信中充日益重角色电子消息基通信纸面文件相风险
1085 业务信息系统
控制措施
应建立实施策略程序保护业务信息系统互联相关信息
实施指南
互连接(例设施)安全业务蕴涵考虑应包括:
a) 信息组织部门间享时理会计系统中已知脆弱性
b) 业务通信系统中信息脆弱性例记录电话呼会议呼呼保密性传真存储开邮件邮件分发
c) 理信息享策略适控制
d) 果系统提供适级保护(见72)没考虑敏感业务信息类分类文件
e) 限制访问特定员(例参敏感项目工作员)相关日志信息
f) 允许系统工作员合方业务伙伴类访问该系统位置
g) 特定户限制选定设施
h) 识出户身份例组织雇员者户利益目录中合方
i) 系统存放信息保留备份
j) 基维持运行求安排(见第14章)
信息
办公信息系统通结合文档计算机移动计算移动通信邮件话音邮件通话音通信媒体邮政服务设施传真机快速传播享业务信息
109 电子商务服务
目标:确保电子商务服务安全安全
应考虑电子商务服务相关安全蕴涵包括线交易控制求应考虑通公开系统电子方式公布信息完整性性
1091 电子商务
控制措施
包含公网络电子商务中信息应受保护防止欺诈活动合争议未授权泄露修改
实施指南
电子商务安全考虑应包括:
a) 彼声称身份中方求信级例通认证
b) 谁设定价格发布签署关键交易文件相关授权
c) 确保贸易伙伴完全接职责通知
d) 决定满足保密性完整性关键文件分发接收证明合抵赖性方面求例关提出订约程
e) 公开价格表完整性需信级
f) 敏感数信息保密性
g) 订单交易支付信息交付址细节接收确认保密性完整性
h) 适检查户提供支付信息验证程度
i) 防止欺诈选择适合支付解决形式
j) 保持订单信息保密性完整性求保护级
k) 避免交易信息丢失复制
l) 欺诈交易相关责
m) 保险求
述许考虑通应密码技术实现(见123)考虑符合法律求(见151特见1516密码法规)
应通文件化协议支持贸易伙伴间电子商务安排该协议双方致力商定交易条款包括授权细节(见述b))信息服务部门增值网络提供者协议必
公交易系统应顾客公布业务项目
电子商务机受攻击恢复力电子商务服务实现求网络互连安全涉问题应予考虑(见1146)
信息
电子商务易受许网络威胁威胁导致欺诈活动合争端信息泄露修改
电子商务充分利安全认证方法(例公开密钥系统数字签名(见123))减少风险外需服务时信第三方
1092 线交易
控制措施
包含线交易中信息应受保护防止完全传输错误路未授权消息篡改未授权泄露未授权消息复制重放
实施指南
线交易安全考虑应包括点:
a) 交易中涉方电子签名
b) 交易方面例确保:
1) 方户信效验证
2) 交易保密
3) 保留涉方相关隐私
c) 加密涉方通信路径
d) 涉方间通信协议安全
e) 确保交易细节存储公开环境外(例存储组织部互联网存储台)留暴露互联网直接访问存储介质
f) 信权威时(例颁布维护数字签名数字认证)安全集成嵌入整端端认证签名理程中
信息
采控制措施程度应线交易形式相关风险级
交易需符合交易产生处理完成存储理区域法律规法规
存形式交易线方式执行例契约财政等等
1093 公信息
控制措施
公系统中信息完整性应受保护防止未授权修改
实施指南
应通适机制(例数签名(见123))保护需高完整性级公系统中软件数信息信息前应测试公系统防止弱点障
信息公开前应正式授权程外外部系统提供输入应验证批准
应心控制电子发布系统特允许反馈直接录入信息电子发布系统便:
a) 数保护法律获信息(见1514)
b) 输入发布系统发布系统处理信息时方式完整准确予处理
c) 收集信息程期间存储信息时保护敏感信息
d) 发布系统访问允许意识访问连接网络
信息
公系统信息(例Internet访问Web服务器信息)需符合该系统贸易发生责居住辖区域法律规规章发布信息未授权修改损害发布组织声
1010 监视
目标:检测未授权信息处理活动
应监视系统记录信息安全事态应操作员日志障日志确保识出信息系统问题
组织监视日志记录活动应遵守相关法律求
应系统监视检查采控制措施效性验证访问策略模型致性
10101 审计日志
控制措施
应产生记录户活动异常信息安全事态审计日志保持已设周期支持调查访问控制监视
实施指南
审计日志应需时包括:
a) 户ID
b) 日期时间关键事态细节例登录退出
c) 终端身份位置
d) 成功拒绝系统尝试访问记录
e) 成功拒绝数资源尝试访问记录
f) 系统配置变化
g) 特殊权限
h) 系统实工具应程序
i) 访问文件访问类型
j) 网络址协议
k) 访问控制系统引发警报
l) 防护系统激活停例防病毒系统入侵检测系统
信息
审计日志包含闯入入侵机密员数应采取适隐私保护措施(见1514)时系统理员应删停活动日志权利
10102 监视系统
控制措施
应建立信息处理设施监视程序监视活动结果常评审
实施指南
设施监视级应风险评估决定组织应符合相关适监视活动法律求考虑范围包括:
a) 授权访问包括细节例:
1) 户ID
2) 关键事态日期时间
3) 事态类型
4) 访问文件
5) 程序工具
b) 特殊权限操作例:
1) 特殊权限帐户例监督员根户理员
2) 系统启动终止
3) IO设备装配拆卸
c) 未授权访问尝试例:
1) 失败拒绝户活动
2) 失败拒绝涉数资源活动
3) 违反访问策略网关防火墙通知
4) 私入侵检测系统警报
d) 系统警报障例:
1) 控制台警报消息
2) 系统日志异常
3) 网络理警报
4) 访问控制系统引发警报
e) 改变企图改变系统安全设置控制措施
监视活动结果长时间进行评审应赖涉风险应考虑风险素包括:
a) 应程关键程度
b) 涉信息价值敏感度关键程度
c) 系统渗透历脆弱性利频率
d) 系统互连接程度(尤公网络)
e) 设备停日志记录
信息
必须监视程序确保户执行明确授权活动
日志评审包括系统面威胁理解出现方式更关事件例子见信息安全事件1311
10103 日志信息保护
控制措施
记录日志设施日志信息应加保护防止篡改未授权访问
实施指南
应实施控制措施防止日志设施未授权更改出现操作问题例:
a) 更改已记录消息类型
b) 日志文件编辑删
c) 超越日志文件介质存储力界限导致记录事态记录事态覆盖
审计日志需存档作记录保持策略部分收集保留证求(见1323)
信息
系统日志通常包含量信息中许安全监视关帮助识出安全监视目重意义事态应考虑相应消息类型动拷贝第二份日志适合系统实工具审计工具执行文件查询规范化
需保护系统日志果中数修改删导致错误安全判断
10104 理员操作员日志
控制措施
系统理员系统操作员活动应记入日志
实施指南
日志包括:
a) 事态(成功失败)发生时间
b) 关事态(例处理文件)障(发生差错采取纠正措施)信息
c) 涉帐号理员操作员
d) 涉程
系统操作员操作员日志应定期评审
信息
系统网络理员控制外进行理入侵检测系统监视系统网络理活动符合性
10105 障日志
控制措施
障应记录分析采取适措施
实施指南
信息处理通信系统问题关户系统程序报告障加记录处置报告障明确规包括:
a) 评审障日志确保已满意解决障
b) 评审纠正措施确保没危控制措施安全采取措施予充分授权
果具错误记录系统功应确保该功处开启状态
信息
错误障日志记录影响系统性日志记录应胜员工激活系统需日志记录级应风险评估决定考虑性降低
10106 时钟步
控制措施
组织安全域相关信息处理设施时钟应已设精确时间源进行步
实施指南
计算机通信设备力运行实时时钟时钟应置商定标准例世界标准时间(UTC)标准时间已知某时钟时间漂移应校验校准重变化程序
日期时间格式正确解释确保时间戳反映实时日期时间重应考虑局部特异性(例夏令时间)
信息
正确设置计算机时钟确保审计记录准确性重审计日志调查作法律法规案例证准确审计日志妨碍调查损害种证信性链接国家原子钟线电广播时间时钟记录系统时钟网络时间协议保持服务器时钟步
11 访问控制
111 访问控制业务求
目标:控制信息访问
信息信息处理设施业务程访问应业务安全求基础予控制
访问控制规应考虑信息传播授权策略
1111 访问控制策略
控制措施
访问控制策略应建立形成文件基业务访问安全求进行评审
实施指南
应访问控制策略中清晰规定户组户访问控制规权利访问控制包括逻辑物理(见第9章)应起考虑应户服务提供商提供份清晰应满足业务求说明
策略应考虑列容:
a) 业务应安全求
b) 业务应相关信息标识该信息面风险
c) 信息传播授权策略例解原安全等级信息分类需(见72)
d) 系统网络访问控制策略信息分类策略间致性
e) 关保护访问数服务相关法律合义务(见151)
f) 组织常见工作角色标准户访问轮廓
g) 认种连接类型分布式网络化环境中访问权理
h) 访问控制角色分离例访问请求访问授权访问理
i) 访问请求正式授权求(见1121)
j) 访问控制定期评审求(见1124)
k) 访问权取消(见833)
信息
规定访问控制规时应认真考虑列容:
a) 强制性规选条件指南加区分
b) 未明确允许必须律禁止前提未明确禁止律允许规基础建立规
c) 信息处理设施动启动信息标记(见72)户意启动信息标记变更
d) 信息系统动启动户许变更理员启动户许变更
e) 颁发前需特批准规须批准规
访问控制规应正式程序支持清晰定义职责(见例6131131041116)
112 户访问理
目标:确保授权户访问信息系统防止未授权访问
应正式程序控制信息系统服务访问权分配
程序应涵盖户访问生存周期阶段新户初始注册需访问信息系统服务户终撤销适方应特注意特殊权限访问权分配加控制需种访问权户越系统控制措施
1121 户注册
控制措施
应正式户注册注销程序授权撤销信息系统服务访问
实施指南
户注册撤销访问控制程序应包括:
a) 唯户ID户行链接起行负责业务操作言必需方允许组ID应批准形成文件
b) 检查信息系统服务户否具该系统拥者授权取理者访问权单独批准合适
c) 检查授予访问级否业务目(见111)相适合否组织安全方针保持致例没违背责分割原(见1013)
d) 户份关访问权书面声明
e) 求户签署表示理解访问条件声明
f) 确保直已完成授权程序服务提供者提供访问
g) 维护份注册该服务员正式记录
h) 立取消封锁工作角色岗位发生变更离开组织户访问权
i) 定期检查取消封锁余户ID帐号(见1124)
j) 确保余户ID会发户
信息
应考虑基业务求建立户访问角色量访问权结典型户访问轮廓中种角色级访问请求评审(见1124)进行理特定权限级容易
应考虑员合服务合中员工服务代理试图进行未授权访问时关处罚措施条款包括进(见615813823)
1122 特殊权限理
控制措施
应限制控制特殊权限分配
实施指南
需防范未授权访问户系统应通正式授权程特殊权限分配受控制应考虑列步骤:
a) 应标识出系统产品例操作系统数库理系统应程序相关访问特殊权限必须分配户
b) 特殊权限应访问控制策略(1111)需事议基础分配户例仅需时职角色分配低求
c) 应维护分配特殊权限授权程记录未完成授权程前应授予特殊权限
d) 应促进开发系统例行程序避免特殊权限授予户需
e) 应促进开发避免具特殊权限运行程序
f) 特殊权限应分配正常业务途户ID
信息
系统理特殊权限(户视系统应控制措施信息系统特性设施)恰种导致系统障违规素
1123 户口令理
控制措施
应通正式理程控制口令分配
实施指南
程应包括列求:
a) 应求户签署份声明保证口令保密性组口令仅该组成员范围签署声明包括条款条件中(见813)
b) 需户维护口令应初始时提供安全时口令(见1131)强制立改变
c) 提供新代时口令前建立验证户身份程序
d) 应安全方式时口令予户应避免第三方未保护(明文)电子邮件消息
e) 时口令言应唯猜测
f) 户应确认收口令
g) 口令应未保护形式存储计算机系统
h) 应系统软件安装改变提供商默认口令
信息
口令户授权赋予信息系统服务访问权前验证户身份种常手段户标识鉴技术诸生物特征识指纹验证签名验证硬件标记智卡技术均果合适应加考虑
1124 户访问权复查
控制措施
理者应定期正式程户访问权进行复查
实施指南
访问权复查应考虑列指南:
a) 应定期(周期6月)变更(诸提升降级雇终止(见1121))户访问权进行复查
b) 组织中岗位换岗位时应复查重新分配户访问权
c) 特定特殊权限访问权授权(见1122)应更频繁时间间隔进行复查周期3月
d) 应定期检查特殊权限分配确保获未授权特殊权限
e) 具特殊权限帐户变更应周期性复查时记入日志
信息
定期复查户访问权保持数信息服务效控制说必
113 户职责
目标:防止未授权户信息信息处理设施访问危害窃取
已授权户合作实现效安全十分重
应户知悉维护效访问控制职责特关口令户设备安全方面职责
应实施桌面清空屏幕清空策略降低未授权访问破坏纸介质信息处理设施风险
1131 口令
控制措施
应求户选择口令时遵循良安全惯
实施指南
建议户:
a) 保密口令
b) 避免保留口令记录(例纸软件文件中手持设备中)非进行安全存储存储方法批准
c) 迹象表明系统口令受损害时变更口令
d) 选择具长度优质口令口令:
1) 易记忆
2) 基容易猜测获相关信息例名字电话号码生日等等
3) 容易遭受字典攻击(例字典中词组成)
4) 避免连续相全数字全字母字符
e) 定期访问次数基础变更口令(特殊权限账户口令应常规口令更频繁予变更)避免重新旧口令周期性旧口令
f) 初次登录时更换时口令
g) 动登录程(例宏功键存储)中包含口令
h) 户口令享
i) 业务目非业务目中相口令
果户需访问服务系统台求维护单独口令应建议优质口令(见述d))服务户确信服务系统台口令存储建立合理级保护
信息
特心理处理口令丢失忘记桌面帮助系统口令系统种攻击手段
1132 值守户设备
控制措施
户应确保值守户设备适保护
实施指南
户应解保护值守设备安全求程序实现种保护负职责建议户应:
a) 结束时终止活动会话非采种合适锁定机制保证安全例口令保护屏幕保护程序
b) 会话结束时退出计算机服务器办公PC(仅仅关掉PC屏幕终端)
c) 设备时(见1133)带钥匙锁效果等控制措施保护PC终端免遭未授权例口令访问
信息
户范围安装设备(例工作站文件服务器)长期值守时需专门保护防未授权访问
1133 清空桌面屏幕策略
控制措施
应采取清空桌面文件移动存储介质策略清空信息处理设施屏幕策略
实施指南
清空桌面清空屏幕策略应考虑信息分类(见72)法律合求(见151)相应风险组织文化方面列指南应予考虑:
a) 时特离开办公室时应敏感关键业务信息纸质电子存储介质中锁起(理想情况保险柜保险箱形式安全设备中)
b) 值守时计算机终端应注销口令令牌类似户鉴机制控制屏幕键盘锁定机制进行保护时应带钥匙锁口令控制措施进行保护
c) 进出邮件点值守传真机应受保护
d) 应防止复印机复制技术(例扫描仪数字相机)未授权
d) 包含敏感机密信息文件应立印机中清
信息
清空桌面清空屏幕策略降低正常工作时间中外信息未授权访问丢失破坏风险保险箱形式安全存储设施保护存储中信息免受灾难(例火灾震洪水爆炸)影响
考虑带识码功印机原始操作员获印输出唯员站印机边唯员
114 网络访问控制
目标:防止网络服务未授权访问
部外部网络服务访问均应加控制
访问网络网络服务户应损害网络服务安全应确保:
a) 组织网络组织拥网络公网络间合适接口
b) 户设备应合适鉴机制
c) 户访问信息服务强制控制
1141 网络服务策略
控制措施
户应仅访问已获专门授权服务
实施指南
应制定关网络网络服务策略策略应包括:
a) 允许访问网络网络服务
b) 确定允许访问网络网络服务授权程序
c) 保护访问网络连接网络服务理控制措施程序
d) 访问网络网络服务手段(例拨号访问互联网服务提供商远程系统条件)
网络服务策略应业务访问控制策略相致(见111)
信息
网络服务未授权安全连接影响整组织敏感关键业务应网络连接高风险位置(例超出组织安全理控制公区域外部区域)户网络连接言控制措施特重
1142 外部连接户鉴
控制措施
应适鉴方法控制远程户访问
实施指南
远程户鉴例密码技术硬件令牌询问响应协议实现种样虚拟专网络(VPN)解决方案中发现种技术实现专线提供连接源保证
回拨程序控制措施例回拨调制解调器提供防范组织信息处理设施未授权希连接种类型控制措施鉴远程点试图组织网络建立连接户种控制措施时组织应包括前呼网络服务者果种前呼网络服务应禁种特性避免相关弱点反呼程应确保组织发生实际连接断开否远程户保持线路开路假装进行反呼验证种性应充分测试反呼程序控制措施
远程户组连接安全享计算机设施结点鉴作种进行鉴代手段密码技术例建立机器证书基础结点鉴VPN解决方案中部分
应实施外鉴控制措施控制线网络访问尤检测截取插入网络流机会较线网络选择控制措施时需特心
信息
外部连接未授权访问业务信息提供例通拨号方法访问类型鉴方法中某方法提供方法更高级保护例基密码技术方法提供强鉴重根风险评估确定需保护级合适选择种鉴方法必需
远程计算机动连接设施提供获业务应未授权访问种方式果该连接组织安全理控制外网络点尤重
1143 网络设备标识
控制措施
应考虑动设备标识作鉴特定位置设备连接方法
实施指南
果通信某特定位置设备处开始设备标识设备贴设备标识符表示设备否允许连接网络果存网络尤果网络敏感度标识符应清晰指明设备允许连接网络考虑设备物理保护维护设备标识符安全必
信息
控制措施补充技术鉴设备户(见1142)设备标识户鉴
1144 远程诊断配置端口保护
控制措施
诊断配置端口物理逻辑访问应加控制
实施指南
诊断配置端口访问采取控制措施包括带钥匙锁支持程序控制端口物理访问例种支持程序确保计算机服务理员需访问硬件软件支持员间安排访问诊断配置端口
果没特业务需安装计算机网络设施中端口服务类似设施 应禁取消
信息
许计算机系统网络系统通信系统安装远程诊断配置工具便维护工程师果未加保护诊断端口提供种未授权访问手段
1145 网络隔离
控制措施
应网络中隔离信息服务户信息系统
实施指南
控制型网络安全种方法该网络分成独立逻辑网络域例组织部网络域外部网络域域受已定义安全周边保护等级控制措施集应逻辑网络域进步隔离网络安全环境例公访问系统部网络关键资产域定义应基风险评估域安全求
样网络周边通互连两网络间安装安全网关实现控制两域间访问信息流网关应配置成滤域间通信量(见11461147)组织访问控制策略阻挡未授权访问(见111)例种类型网关通常称作防火墙外隔离独立逻辑域方法通组织户组虚拟专网限制网络访问
网络隔离网络设备功例IP转换独立域通路交换性诸访问控制列表控制网络数流实现
网络隔离成干域准应基访问控制策略访问求(见101)考虑相关成加入适合网络路网关技术性影响(见11461147)
外减少服务破坏总影响网络隔离应基网络中存储处理信息价值分类信级业务线
应考虑线网络部专网络隔离线网络周边定义种情况应执行风险评估识控制措施(例强鉴密码手段频率选择)维持网络隔离
信息
正日益扩充网络超出传统组织边界形成业务伙伴需信息处理网络设施互连享样扩充增加网络现信息系统进行未授权访问风险中某系统敏感性关键性需防范网络户
1146 网络连接控制
控制措施
享网络特越组织边界网络户联网力应访问控制策略业务应求加限制(见111)
实施指南
应访问控制策略求维护更新户网络访问权(见1111)
户连接力通网关限制该网关预先定义表规滤通信量应运限制应示例:
a) 消息传递例电子邮件
b) 文件传送
c) 交互式访问
d) 应访问
应考虑网络访问权某天特定时间日期连接起
信息
享网络特扩充跨越组织边界享网络访问控制策略求需引入限制户连接力控制措施
1147 网络路控制
控制措施
应网络中实施路控制确保计算机连接信息流违反业务应访问控制策略
实施指南
路控制措施应基确定源址目址校验机制
果代理网络址转换技术安全网关部外部网络控制点验证源址目址实施者应解采机制强度缺点网络路控制求应基访问控制策略(见111)
信息
享网络特扩充跨越组织边界享网络需外路控制措施第三方(非组织)户享网络中控制措施特适
115 操作系统访问控制
目标:防止操作系统未授权访问
应安全设施限制授权户访问操作系统设施应该包括列容:
a) 已定义访问控制策略鉴授权户
b) 记录成功失败系统鉴企图
c) 记录专系统特殊权限
d) 违背系统安全策略时发布警报
e) 提供合适鉴手段
f) 恰时限制户连接次数
1151 安全登录程序
控制措施
访问操作系统应通安全登录程序加控制
实施指南
登录操作系统程序应设计成未授权访问机会减登录程序应泄露少关系统信息避免未授权户提供必帮助良登录程序应:
a) 显示系统应标识符直登录程已成功完成止
b) 显示已授权户访问计算机般性告警通知
c) 登录程中提供未授权户帮助作帮助消息
d) 仅输入数完成时验证登录信息果出现差错情况系统应指出数部分正确正确
e) 限制允许成功登录尝试次数(推荐3次)考虑:
1) 记录成功尝试成功尝试
2) 允许进步登录尝试前强加次延迟没特定授权情况拒绝进步尝试
3) 断开数链路连接
4) 果达登录尝试次数系统控制台发送警报消息
5) 结合口令长度保护系统价值设置口令重试次数
f) 限制登录程序允许次数果超时系统应终止登录
g) 成功登录完成时显示列信息:
1) 前次成功登录日期时间
2) 次成功登录成功登录尝试细节
h) 显示输入口令考虑通符号隐藏口令字符
i) 网络明文传输口令
信息
网络登录会话期间果口令明文传输会网络网络嗅探器程序捕获
1152 户标识鉴
控制措施
户应唯专供标识符(户ID)应选择种适鉴技术证实户宣称身份
实施指南
应控制措施应类型户(包括技术支持员操作员网络理员系统程序员数库理员)
应户ID活动追踪责常规户活动应特殊权限帐户执行
例外情况存明显业务利益采组户项特定作业享户ID做法样情况应理者批准形成文件保持核查性求外控制措施
应仅列情况允许普通ID该ID执行访问功行需追踪(例读访问)者具控制措施(例普通ID口令次仅发员工记录种情况)
需强鉴身份验证时应鉴方法代口令例密码手段智卡令牌生物特征识手段
信息
口令(见11311153)种非常通提供标识鉴方法种标识鉴建立户知悉秘密基础密码手段鉴协议获样效果户标识鉴强度应访问信息敏感程度相适应
户拥象(诸记忆令牌智卡)标识鉴利唯特征属性生物特征鉴技术鉴身份技术机制安全组合产生更强鉴
1153 口令理系统
控制措施
口令理系统应交互式应确保优质口令
实施指南
口令理系统应:
a) 强制户ID口令保持核查性
b) 允许户选择变更口令包括确认程序便考虑输入出错情况
c) 强制选择优质口令(见1131)
d) 强制口令变更(见1131)
e) 第次登录时强制户变更时口令(见1123)
f) 维护户前口令记录防止重复
g) 输入口令时屏幕显示
h) 分开存储口令文件应系统数
i) 保护形式(例加密哈希)存储传输口令
信息
口令确认户具访问计算机服务授权手段
某应求某独立授权机构分配户口令种情况述指南b)d)e)适数情况口令户选择维护口令指南参见1131
1154 系统实工具
控制措施
超越系统应程序控制措施实工具应加限制严格控制
实施指南
应考虑系统实工具列指南:
a) 系统实工具标识鉴授权程序
b) 系统实工具应软件分开
c) 系统实工具户限制信已授权实际户数(见1122)
d) 特系统实工具授权
e) 限制系统实工具性例授权变更时间
f) 记录系统实工具
g) 系统实工具授权级进行定义形成文件
h) 移禁基实工具系统软件必软件
i) 求责分割时禁止访问系统中应程序户系统实工具
信息
数计算机安装超越系统应控制措施系统实工具
1155 会话超时
控制措施
活动会话应设定休止期关闭
实施指南
设定休止期超时设施应清空会话屏幕超时更长时关闭应网络会话超时延迟应反映该范围安全风险处理信息应程序类设备户相关风险
某清空屏幕防止未授权访问没关闭应网络会话系统提供种受限制超时设施形式
信息
控制措施高风险位置特重包括组织安全理外公外部区域会话应关闭防止未授权员访问拒绝服务攻击
1156 联机时间限定
控制措施
应联机时间限制高风险应程序提供额外安全
实施指南
应考虑敏感计算机应程序特安装高风险位置(例超出组织安全理公外部区域)应程序连机时间控制措施
种限制示例包括:
a) 预先定义时隙批文件传输定期短期交互会话
b) 果没超时延时操作求连机时间限正常办公时间
c) 考虑定时进行重新鉴
信息
限制计算机服务连接允许时间减少未授权访问机会限制活动会话持续时间防范户保持会话开阻碍重新鉴
116 应信息访问控制
目标:防止应系统中信息未授权访问
应安全设施限制应系统访问应系统访问
应软件信息逻辑访问应限已授权户应系统应:
a) 已确定访问控制策略控制户访问信息应系统功
b) 提供防范够超越绕系统应控制措施实工具操作系统软件恶意软件未授权访问
c) 损坏享信息资源系统安全
1161 信息访问限制
控制措施
户支持员信息应系统功访问应已确定访问控制策略加限制
实施指南
访问限制应基业务应求访问控制策略应组织访问策略(见111)致
支持访问限制求应考虑应指南:
a) 提供控制访问应系统功选择单
b) 控制户访问权读写删执行
c) 控制应访问权
d) 确保处理敏感信息应系统输出仅包含输出相关信息仅发送已授权终端点应包括周期性评审种输出确保掉余信息
1162 敏感系统隔离
控制措施
敏感系统应专(隔离)运算环境
实施指南
敏感系统隔离应考虑容:
a) 应程序责应明确识应系统敏感程度形成文件(见712)
b) 敏感应程序享环境中运行时该敏感应程序责应识接受享资源应系统相关风险
信息
某应系统潜损失十分敏感求特处理敏感性表示该应系统:
a) 应运行专计算机
b) 应仅信应系统享资源
隔离通物理逻辑手段实现(见1145)
117 移动计算远程工作
目标:确保移动计算远程工作设施时信息安全
需保护措施应特定工作方式引起风险相称
移动计算时应考虑受保护环境中工作风险应合适保护措施远程工作情况组织应远程工作点应保护措施确保种工作方式合适安排位
1171 移动计算通信
控制措施
应正式策略采适安全措施防范移动计算通信设施时造成风险
实施指南
移动计算通信设施笔记掌电脑便携式电脑智卡移动电话时应特心确保业务信息损害移动计算策略应考虑受保护环境移动计算设备工作风险
移动计算策略应包括物理保护访问控制密码技术备份病毒防护求策略应包括关移动设施网络连接规建议关公场合设施指南
组织建筑物外公场会议室受保护区域移动计算设施时应加心避免未授权访问泄露设施存储处理信息应位保护措施例密码技术(见123)
公场合移动计算设施户应心谨慎避免未授权员窥视风险防范恶意软件程序应位保持新(见104)
应定期关键业务信息进行备份应设备信息快速简便备份备份应采取足够防范措施防范信息偷窃丢失
网络连接移动设施应提供合适保护成功标识鉴具合适访问控制机制情况利移动计算设施通公网络远程访问业务信息(见114)
应移动计算设施进行物理保护防偷窃例特遗留汽车形式运输工具旅馆房间会议中心会议室应移动计算设施窃丢失等情况建立符合组织法律保险安全求特定程序携带重敏感关键业务信息设备应值守应物理方式锁起专锁保护设备(见925)
移动计算设施员应安排培训提高种工作方式导致附加风险意识应实施控制措施
信息
移动网络线连接类似类型网络连接确定控制措施时应考虑两者重区典型区:
a)线安全协议成熟已知弱点
b)移动计算机存储信息备份受限网络带宽移动设备规定备份时间进行连接
1172 远程工作
控制措施
应远程工作活动开发实施策略操作计划程序
实施指南
组织应仅合适安全部署控制措施位符合组织安全方针情况授权远程工作活动
应远程工作场合适保护措施防范设备信息窃信息未授权泄露组织部系统未授权远程访问设施滥等远程工作活动应理者授权控制应确保种工作方式合适安排
应考虑列容:
a) 远程工作场现物理安全考虑建筑物环境物理安全
b) 推荐物理远程工作环境
c) 通信安全求考虑远程访问组织部系统需访问通信链路传递信息敏感性部系统敏感性
d) 住处员(例家朋友)未授权访问信息资源威胁
e) 家庭网络线网络服务配置求限制
f) 针私设备开发预防知识产权争策略程序
g) 法律禁止私设备访问(检查机器安全调查期间)
h) 组织雇员承包方员第三方员等私拥工作站客户端软件负责软件许协议
i) 防病毒保护防火墙求
考虑指南安排应包括:
a) 允许组织控制私设备时远程工作活动提供合适设备存储设施
b) 确定允许工作工作时数保持信息分类授权远程工作者访问部系统服务
c) 提供适合通信设备包括远程访问安全方法
d) 物理安全
e) 关家宾访问设备信息规指南
f) 硬件软件支持维护规定
g) 保险规定
h) 备份业务连续性程序
i) 审核安全监视
j) 远程工作活动终止时撤销授权访问权返回设备
信息
远程工作利通信技术员组织外固定点进行远程工作
12 信息系统获取开发维护
121 信息系统安全求
目标:确保安全信息系统机组成部分
信息系统包括操作系统基础设施业务应非定制产品服务户开发应支持业务程信息系统设计实现安全关键信息系统开发实现前应识商定安全求
应项目需求阶段识安全求证明安全求合理性安全求加商定安全求形成文档作信息系统整体业务情况部分
1211 安全求分析说明
控制措施
新信息系统增强已信息系统业务求陈述中应规定安全控制措施求
实施指南
控制措施求说明应考虑信息系统中包含动控制措施支持工控制措施需评价业务应(开发购买)软件包时应进行类似考虑
安全求控制措施应反映出涉信息资产业务价值(参见72)安全障安全措施足引起潜业务损害
信息安全系统求实施安全程应信息系统项目早期阶段集成设计阶段引入控制措施实现期间实现引入控制措施实施维护费低
果购买产品应遵循正式测试获取程供货商签合应提出已确定安全求果推荐产品安全功满足安全求购买产品前应重新考虑引入风险相关控制措施果产品提供附加功引起安全风险应禁该功者应评审推荐控制结构判定否利该增强功
信息
果认适合例考虑成素理者希独立评价认证产品关IT安全产品评估准更信息参见ISOIEC 15408者评估认证标准
ISOIEC TR 133353 提供风险理程确定安全控制措施求指南
122 应中正确处理
目标:防止应系统中信息错误遗失未授权修改误
应系统(包括户开发应系统)应设计合适控制措施确保正确处理控制措施应包括输入数部处理输出数验证
处理敏感贵重关键信息系统信息影响系统求外控制措施样控制措施应安全求风险评估基础加确定
1221 输入数验证
控制措施
输入应系统数应加验证确保数正确恰
实施指南
应校验应业务交易常备数(姓名址信贷限值顾客引号码)参数表(销售价货币兑换率税率)输入应考虑列指南:
a) 双输入输入校验诸边界校验者限制特定输入数范围域检测列错误:
1) 范围外值
2) 数字段中效字符
3) 丢失完整数
4) 超数容量限制
5) 未授权矛盾控制数
b) 期评审关键字段数文件容证实效性完整性
c) 检查硬拷贝输入文档否未授权变更(输入文档变更均应予授权)
d) 响应验证错误程序
e) 测试输入数合理性程序
f) 定义数输入程中涉全部员职责
g) 创建数输入程中涉活动日志
信息
适时考虑输入数进行动检查验证减少出错风险预防包括缓区溢出代码注入等普通攻击
1222 部处理控制
控制措施
验证检查应整合应中检查处理错误意行造成信息讹误
实施指南
应系统设计实现应确保导致完整性损坏处理障风险减考虑特定范围包括:
a) 添加修改删功实现数变更
b) 防止程序错误次序运行前面处理障运行程序(见1011)
c) 适程序恢复障确保数正确处理
d) 防范利缓区超出溢出进行攻击
应准备适检查列表检查活动文档化应保证检查结果安全考虑检查例子:
a) 会话批控制措施便交易更新调解数文件衡
b) 衡控制措施先前封闭衡检查开放衡:
1) 运行运行控制措施
2) 文件更新总数
3) 程序程序控制措施
c) 验证系统生成输入数(见1221)
d) 检查中央计算机远程计算机间载载数软件完整性真实性者安全特性
e) 记录文件数位总
f) 检查确保应程序正确时刻运行
g) 检查确保程序正确次序运行发生障时终止问题解决前停止进步处理
h) 创建处理时涉活动日志(参见10101)
信息
正确输入数硬件错误处理错误意行破坏需验证检查取决应系统性质毁坏数业务影响
1223 消息完整性
控制措施
应中确保真实性保护消息完整性求应识适控制措施应识实施
实施指南
应进行安全风险评估判定否需消息完整性确定合适实施方法
信息
密码技术(见123)作种合适实现消息鉴手段
1224 输出数验证
控制措施
应系统输出数应加验证确保存储信息处理正确适环境
实施指南
输出验证包括:
a) 合理性检查测试输出数否合理
b) 调解控制措施数量确保处理数
c) 读者续处理系统提供足够信息确定信息准确性完备性精确性分类
d) 响应输出验证测试程序
e) 定义数输出程中涉全部员职责
f) 创建数输出验证程中活动日志
信息
般说系统应假设已进行适验证确认测试条件构建输出总正确然种假设总效例已测试系统某环境产生正确输出
123 密码控制
目标:通密码方法保护信息保密性真实性完整性
应制定密码控制策略应密钥理支持密码技术
1231 密码控制策略
控制措施
应开发实施密码控制措施保护信息策略
实施指南
制定密码策略时应考虑列容:
a) 组织间密码控制理方法包括保护业务信息般原(见511)
b) 基风险评估应确定需保护级考虑需加密算法类型强度质量
c) 密码保护通移动电话移动介质设备者通通信线路传输敏感信息
d) 密钥理方法包括应加密密钥保护方法密钥丢失损坏毁坏加密信息恢复方法
e) 角色职责谁负责:
1) 策略实施
2) 密钥理包括密钥生成(参见1232)
f) 整组织效实施采标准(种解决方案业务程)
g) 加密信息控制措施影响赖容检查(例病毒检测)
实施组织密码策略时应考虑世界区应密码技术规定国家限制加密信息跨越国界时问题(见1516)
密码控制措施实现安全目标:
a) 保密性:信息加密保护存储传输中敏感关键信息
b) 完整性真实性:数字签名消息鉴码保护存储传输中敏感关键信息真实性完整性
c) 否认性:密码技术获事态行发生未发生证
信息
关密码解决方案否合适决策应作般风险评估程选择控制措施部分该评估判定密码控制措施否合适应运什类型控制措施应什目业务程
密码控制措施策略利益化利密码技术风险化避免合适正确言十分必数字签名时应考虑相关法律特规定什条件数字签名合法绑定法律(参见151)
应征求专家建议识适保护级确定提供需保护支持安全密钥理系统实施合适规范(见1232)
ISOIEC JTC1 SC27 已制定密码控制关标准更信息IEEE P1363 OECD密码指南中获
1232 密钥理
控制措施
应密钥理支持组织密码技术
实施指南
应保护密码密钥免遭修改丢失毁坏外秘密私密钥需防范非授权泄露生成存储档密钥设备应进行物理保护
密钥理系统应基已商定标准程序安全方法便:
a) 生成密码系统应密钥
b) 生成获公开密钥证书
c) 分发密钥预期户包括收密钥时应激活
d) 存储密钥包括已授权户访问密钥
e) 变更更新密钥包括应时变更密钥变更密钥规
f) 处理已损害密钥
g) 撤销密钥包括应撤消解激活密钥例密钥已损害时户离开组织时(种情况密钥档)
h) 恢复已丢失损坏密钥作业务连续性理部分例加密信息恢复
i) 档密钥例已档备份信息密钥档
j) 销毁密钥
k) 记录审核密钥理相关活动
减少密钥损害性应规定密钥激活日期解激活日期限时间段该时间段应根密码控制情况察觉风险定
安全理秘密私密钥外应考虑公开密钥真实性鉴程证书认证机构正式颁发公钥证书完成该认证机构应具合适控制措施程序提供需信度公认组织
外部密码服务提供者(例认证机构)签订服务级协议合容应涵盖服务责服务性服务规定响应次数等干问题(见623)
信息
密码密钥理效密码技术说必需ISOIEC 11770 提供更密钥理信息两种类型密码技术:
a) 秘密密钥技术中双方更方享密钥该密钥加密解密信息密钥必须秘密保存访问该密钥解密加密信息引入密钥未授权信息
b) 公开密钥技术中户拥密钥公开密钥(展现)私密钥(必须秘密保存)公开密钥技术加密产生数字签名(见ISOIEC 9796ISOIEC 14888)
存通换某户公开密钥伪造数字签名威胁问题通公开密钥证书解决
密码技术保护密钥必须考虑处理访问秘密密钥法律请求例加密信息需未加密形式提供作法庭案例证
124 系统文件安全
目标:确保系统文件安全
应控制系统文件程序源代码访问应安全方式理IT项目支持活动测试环境中应心谨慎避免泄露敏感数
1241 运行软件控制
控制措施
应程序控制运行系统安装软件
实施指南
运行系统损坏风险减应考虑列指南控制变更:
a) 应仅受培训理员根合适理授权进行运行软件应程序库更新(见1243)
b) 运行系统应仅安装批准执行代码安装开发代码编译程序
c) 应操作系统软件应范围成功测试实施谓测试应包括实性安全性系统效性户友性测试应独立系统完成(见1014)应确保应程序源库已更新
d) 应配置控制系统已开发软件系统文件进行控制
e) 变更实施前应反复考虑战略
f) 应维护运行程序库更新审核日志
g) 应保留应软件先前版作应急措施
h) 软件旧版连需信息参数程序配置细节档中保留数支持软件均应档
运行系统中厂商供应软件应供应商支持级加维护段时间软件供应商停止支持旧版软件组织应考虑赖支持软件风险
升级新版决策应考虑变更业务求新版安全引入新安全功影响该版安全问题数量严重程度软件补丁助消减少安全弱点时应软件补丁(见1261)
必时理者批准情况仅支持目授予供应商物理逻辑访问权应监督供应商活动
计算机软件赖外部提供软件模块应产品进行监视控制避免引入安全弱点非授权变更
信息
操作系统应仅需升级时候进行升级例操作系统前版支持业务求时候具新版操作系统进行升级新版操作系统安全稳定便理解方面前系统
1242 系统测试数保护
控制措施
测试数应认真加选择保护控制
实施指南
应避免包含信息敏感信息运行数库测试果测试敏感信息前应修改敏感细节容测试时应列指南保护运行数:
a) 应运行应系统访问控制程序应测试应系统
b) 运行信息次拷贝测试应系统时应独立授权
c) 测试完成应立测试应系统清运行信息
d) 应记录运行信息拷贝日志提供审核踪迹
信息
系统验收测试常常求相接运行数测试数
1243 程序源代码访问控制
控制措施
应限制访问程序源代码
实施指南
程序源代码相关事项(诸设计说明书确认计划验证计划)访问应严格控制防引入非授权功避免意识变更程序源代码保存通种代码中央存储控制实现更放源程序库中控制程序源码库访问减少潜计算机程序破坏应考虑列指南:
a) 运行系统中应保留源程序库
b) 程序源代码源程序库应根制定程序进行理
c) 应限制支持员访问源程序库
d) 更新源程序库关事项程序员发布程序源码应获适授权进行
e) 程序列表应保存安全环境中(见1074)
f) 应维护源程序库访问审核日志
g) 维护拷贝源程序库应受严格变更控制程序制约(见1251)
信息
程序源代码程序员编写代码编译(链接)产生执行代码特定程序语言正式区分源代码执行代码执行代码激活时产生
标准ISO 10007 ISOIEC 12207提供更关配置理软件生存周期程信息
125 开发支持程中安全
目标:维护应系统软件信息安全
应严格控制项目支持环境
负责应系统理员应负责项目支持环境安全应确保评审推荐系统变更检查变更会损坏系统操作环境安全
1251 变更控制程序
控制措施
应正式变更控制程序控制变更实施
实施指南
应正式变更控制程序文档化强制实施信息系统损坏减引入新系统已系统进行变更应文档规范测试质量控制实施理正式程进行
程应包括风险评估变更影响分析需安全控制措施规范程应确保损坏现安全控制程序确保支持程序员仅访问系统中工作需部分确保变更获正式商定批准
行应运行变更控制程序应集成起(见1012)该变更程序应包括:
a) 维护商定授权级记录
b) 确保授权户提交变更
c) 评审控制措施完整性程序确保变更损坏
d) 识需修正软件信息数库实体硬件
e) 工作开始前获详细建议正式批准
f) 确保已授权户实施前接受变更
g) 确保变更完成更新系统文档设置旧文档档丢弃
h) 维护软件更新版控制
i) 维护变更请求审核踪迹
j) 需时确保操作文档(见1011)户程序作合适变更
k) 确保变更实施发生正确时刻干扰涉业务程
信息
变更软件会影响运行环境
良惯例包括生产开发完全隔离环境中测试新软件(见1014)提供新软件进行控制允许测试目运行信息予附加保护手段应包括补丁服务包更新应关键系统中动更新某更新会导致关键应程序失败(见126)
1252 操作系统变更应技术评审
控制措施
操作系统发生变更应业务关键应进行评审测试确保组织运行安全没负面影响
实施指南
程应涵盖:
a) 评审应控制完整性程序确保操作系统变更损坏
b) 确保年度支持计划预算包括操作系统变更引起评审系统测试
c) 确保时提供操作系统变更通知便实施前进行合适测试评审
d) 确保业务连续性计划进行合适变更(见第14章)
应该指定专门组织负责监视脆弱性供应商发布补丁修正(见126)
1253 软件包变更限制
控制措施
应软件包修改进行劝阻限制必变更变更加严格控制
实施指南
果行应厂商提供软件包需修改必须修改软件包时应考虑列点:
a) 置控制措施完整性程损坏风险
b) 否应获厂商意
c) 标准程序更新时厂商获需变更性
d) 作变更结果组织负责进步维护软件影响
果变更必原始软件应保留变更应已明显确定拷贝应实施软件更新理程确保新批准补丁应更新已安装授权软件中(见126)应全部测试变更形成文档重新应必进步软件升级果需更新应独立评估机构进行测试验证
1254 信息泄露
控制措施
应防止信息泄露性
实施指南
应考虑列事项限制信息泄露风险通利隐蔽通道:
a) 扫描隐藏信息外介质通信
b) 掩盖调整系统通信行减少第三方行中推断信息性
c) 认具高完整性系统软件评价产品(见ISOIEC 15408)
d) 现法律法规允许情况定期监视系统活动
e) 监视计算机系统资源
信息
隐蔽信道意引导信息流通道毫疑问存系统网络中例通信协议包中隐藏特作信号隐藏方法质说果话防止隐蔽通道存困难然特洛伊木马常利种隐蔽通道(见1041)采取措施防范特洛伊木马够减少隐蔽通道利风险
防止非授权网络访问(114)阻止员信息服务误策略程序助防范隐蔽通道
1255 外包软件开发
控制措施
组织应理监视外包软件开发
实施指南
外包软件开发时应考虑列点:
a) 许证安排代码权知识产权(见1512)
b) 完成工作质量准确性认证
c) 第三方发生障时契约安排
d) 审核完成工作质量准确性访问权
e) 代码质量安全功合求
f) 安装前测试恶意代码特洛伊木马
126 技术脆弱性理
目标:降低利公布技术脆弱性导致风险
技术脆弱性理应种效系统重复方式实施该方式带确认身效性措施考虑事项应包括中操作系统应程序
1261 技术脆弱性控制
控制措施
应时现信息系统技术脆弱性信息评价组织脆弱性暴露程度采取适措施处理相关风险
实施指南
前完整资产清单(见71)进行效技术脆弱性理先决条件支持技术脆弱性理需特定信息包括软件供应商版号部署前状态(什系统安装什软件)组织负责软件员
应采取适时措施响应潜技术脆弱性建立效技术脆弱性理程应遵循面指南:
a) 组织应定义建立技术脆弱性理相关角色职责包括脆弱性监视脆弱性风险评估补丁资产追踪意需协调责
b) 识相关技术脆弱性维护关脆弱性认识信息资源应识软件技术(基资产清单见711)信息资源应根清单变更更新发现新资源时应更新
c) 应制定时间表潜相关技术脆弱性通知做出反映
d) 旦潜技术脆弱性确定组织应识相关风险采取措施措施包括脆弱系统补丁者应控制措施
e) 技术脆弱性需解决紧急程度应根变更理相关控制措施(见1251)者遵信息安全事件响应程序(见132)采取措施
f) 果补丁应评估安装该补丁相关风险(脆弱性引起风险应安装补丁带风险进行较)
g) 安装补丁前应进行测试评估确保效会导致容忍负面影响果没补丁应考虑控制措施:
1) 关闭脆弱性关服务功
2) 采增加访问控制措施网络边界添加防火墙(见1145)
3) 增加监视检测预防实际攻击
4) 提高脆弱性意识
h) 应执行程序进行审核日志
i) 应定期技术脆弱性理程进行监视评价确保效性效果
j) 处高风险中系统应首先解决
信息
组织技术脆弱性理程正确实施许组织说非常重应定期进行监视准确清单确保识潜相关技术脆弱性言必
技术脆弱性理作变更理子功利变更理程程序(见10121251)
供应商压力发布补丁补丁足解决该问题存负作某情况旦补丁安装难卸载
果补丁进行充分测试成资源缺乏根户报告验考虑推迟补丁评价相关风险
13 信息安全事件理
131 报告信息安全事态弱点
目标:确保信息系统关信息安全事态弱点够某种方式传达便时采取纠正措施
应正式事态报告报程序雇员承包方员第三方员应解报告组织资产安全造成影响类型事态弱点程序应求快信息安全事态弱点报告指定联系点
1311 报告信息安全事态
控制措施
信息安全事态应该快通适理渠道进行报告
实施指南
应建立正式信息安全事态报告程序收信息安全事态报告着手采取措施事件响应报程序应建立报告信息安全事态联系点应确保组织知道联系点应确保该联系点保持提供充分时响应
雇员承包方员第三方员应知道责快报告信息安全事态应知道报告信息安全事态程序联系点报告程序应包括:
a) 适反馈程确保信息安全事态处理完成够处理结果通知事态报告
b) 信息安全事态报告单支持报告行帮助报告员记信息安全事态中重行
c) 信息安全事态发生应采取正确行
1) 立记录重细节(符合违规类型事件障屏幕显示消息异常行)
2) 采取行立联系点报告
d) 参考已制定正式惩罚程处理雇员承包方员第三方员安全违规行
高风险环境提供强制警报 强制警报秘密表明行正强制发生方法
强制员指出种问题强制警报响应程序应反映该警报指明高风险情况
信息
信息安全事态事件示例:
a) 服务设备设施丢失
b) 系统障超载
c) 错误
d) 策略指南符合
e) 物理安全安排违规
f) 未加控制系统变更
g) 软件硬件障
h) 非法访问
保密性方面尤谨慎信息安全事件户意识培训(见822)例发生什样事件该事件进行响应避免发生完全解决信息安全事态事件发生收集证必(见1323)
障异常系统行安全攻击实际安全违规显示应作信息安全事态进行报告
关信息安全事态报告信息安全事件理方面更信息参见ISOIEC TR 18044
1312 报告安全弱点
控制措施
应求信息系统服务雇员承包方员第三方员记录报告观察怀疑系统服务安全弱点
实施指南
预防信息安全事件雇员承包方员第三方员应快事情报告理者者直接报告服务供应商报告机制应容易易理解方便应告知情况应试图证明怀疑弱点
信息
应通知雇员承包方员第三方员试图证明怀疑安全弱点测试弱点作潜系统误导致信息系统服务损害引起测试员法律责
132 信息安全事件改进理
目标:确保采致效方法信息安全事件进行理
旦信息安全事态弱点报告应职责程序进行效处理应连续改进程信息安全事件进行响应监视评价整体理
果需证话应收集证满足法律求
1321 职责程序
控制措施
应建立理职责程序确保信息安全事件做出快速效序响应
实施指南
信息安全事态弱点进行报告(见131)外应利系统报警脆弱性监视(见10102)检测信息安全事件信息安全事件理程序应考虑列指南:
a) 应建立程序处理类型信息安全事件包括:
1) 信息系统障服务丢失
2) 恶意代码(见1041)
3) 拒绝服务
4) 完整准确业务数导致错误
5) 违背保密性完整性
6) 信息系统误
b) 正常应急计划(见1413)程序应包括(见1322):
1) 事件原分析确定
2) 遏制事件发生策略
3) 果需计划实施纠正措施防止事件发生
4) 受事件影响关事件恢复进行沟通
5) 合适机构报告发生行
c) 合适时应收集保护审核踪迹类似证:
1) 部问题分析
2) 作关违反合规章求民事刑事程序(计算机误数保护相关法律法规)法律取证证
3) 软件服务供应商谈判赔偿事宜
d) 恢复安全违规纠正系统障措施应认真正式控制程序应确保:
1) 明确确定授权允许访问活动系统数(见62外部访问)
2) 采取紧急措施应详细记录文件中
3) 紧急措施应理者报告序进行评审
4) 应延迟确保业务系统控制措施完整性
应理者商定信息安全事件理目标应确保负责信息安全事件理员理解组织处理信息安全事件优先序
信息
信息安全事件超越组织边界国家边界样事件做出响应适外部组织协响应享事件信息需求日益增
1322 信息安全事件总结
控制措施
应套机制量化监视信息安全事件类型数量代价
实施指南
信息安全事件评价中获取信息应识发生事件高影响事件
信息
信息安全事件评价指出需增强外控制措施限制事件发生频率损害发生费者安全方针评审程中(见512)
1323 证收集
控制措施
信息安全事件涉诉讼(民事刑事)需进步组织进行起诉时应收集保留呈递证证符合相关诉讼辖权
实施指南
组织应惩罚措施收集提交证时应制定遵循部程序
总说证规包括:
a) 证容许性:证否法庭
b) 证份量:证质量完备性
获容许证组织应确保信息系统符合公布标准实规产生容许证
提供证份量应符合适求实现证份量该证存储处理整时期正确致保护证(程控制证)控制措施质量完备性应通种强证踪迹证般情况种强踪迹面条件建立:
a) 纸面文档:原物应安全保存带列信息记录:谁发现文档文档发现文档什时候发现谁证明发现调查应确保原物没篡改
b) 计算机介质信息:移动介质镜拷贝(赖适求)硬盘存中信息应确保性拷贝程中行日志应保存应证证明该程原始介质日志(果点话少镜拷贝)应安全保存改变
法律取证工作应仅证材料拷贝进行证材料完整性应保护证材料拷贝应信赖员监督进行什时候什方执行拷贝程谁执行拷贝活动种工具程序信息应记录作日志
信息
信息安全事态首次检测时事态否会导致法律行显易见认识事件严重性前存重证意意外毁坏危险明智做法预期法律行中早聘请位律师警察获取需证建议
证超越组织边界辖权边界样情况应确保授权某组织收集需信息作证应考虑辖权求证相关辖区域获机会
14 业务连续性理
141 业务连续性理信息安全方面
目标:防止业务活动中断保护关键业务程免受信息系统重失误灾难影响确保时恢复
通预防恢复控制措施组织影响减少低信息资产损失中(例然灾害意外事件设备障意行结果)恢复接受程度应实施业务连续性理程程应确定关键业务程应业务连续性信息安全理求连续性求运行员工材料运输设施等结合起
灾难安全障服务丢失服务性果应受业务影响分析应制定实施业务连续性计划确保重运行时恢复信息安全应整体业务连续性程组织理程机组成部分
般风险评估程外业务连续性理应包括识减少风险控制措施限制破坏性事件果确保业务程需信息便
1411 业务连续性理程中包含信息安全
控制措施
应贯穿组织业务连续性开发保持理程解决组织业务连续性需信息安全求
实施指南
程应包含列业务连续性理关键素:
a) 根风险性影响时理解组织面风险包括关键业务程识优先序(见1412)
b) 识关键业务程中涉资产(见711)
c) 理解信息安全事件引起中断业务产生影响(重找处理产生较影响事件威胁组织生存严重事件解决方案)建立信息处理设施业务目标
d) 考虑购买合适保险该保险形成业务连续性程部分运行风险理部分
e) 识考虑实施外预防减轻控制措施
f) 识足够财务组织技术环境资源处理已确定信息安全求
g) 确保员安全信息处理设备组织财产保护
h) 已商定业务连续性战略制定应信息安全求业务连续性计划形成文档(见1413)
i) 定期测试更新已计划程(见1415)
j) 确保业务连续性理包含组织程结构中业务连续性理程职责应分配组织范围适级(见611)
1412 业务连续性风险评估
控制措施
应识引起业务程中断事态种中断发生概率影响信息安全造成果
实施指南
业务连续性信息安全方面应识导致组织业务程中断事态(系列事态)开始例设备障错误盗窃火灾然灾害恐怖事态应风险评估根时间损坏程度恢复周期确定中断发生概率影响
业务连续性风险评估执行应业务资源程拥者全面参种评估应考虑业务程应局限信息处理设施应包括信息安全特结果重方面风险链接起获副完整组织业务连续性求构图该评估应组织相关准目标关键资源中断影响允许中断时间恢复优先级识量化列出风险优先序
根风险评估结果应开发业务连续性战略确定整体业务连续性方法该战略旦制定应理者签署制定计划签署实施该战略
1413 制定实施包含信息安全连续性计划
控制措施
应制定实施计划保持恢复运行关键业务程中断失败够求水时间确保信息性
实施指南
业务连续性计划程应考虑列容:
a) 识商定职责业务连续性程序
b) 识接受信息服务损失
c) 实施程序求时段恢复复原业务运行信息性特注意现部外部业务赖部门合评估
d) 恢复复原完成前遵循运行程序
e) 已商定程序程形成文档
f) 已商定程序程中员工进行适教育包括危机理
g) 测试更新计划
规划程应关注求业务目标例接受时间恢复顾客特定通信服务应识利项工作服务资源包括员非信息处理资源信息处理设施低效运行安排低效运行安排包括互惠协议者商业捐助服务形式第三方安排
业务连续性计划应解决组织脆弱性包含需适保护敏感信息业务连续性计划拷贝应存储足够远方免遭站点灾难损害理者应确保业务连续性计划拷贝保持新受站点相级安全保护执行连续性计划需材料应远程存储
果换时场时场实施安全控制措施级应站点相
信息
应注意危机理计划活动业务连续性理例危机发生正常理程序够解决方
1414 业务连续性计划框架
控制措施
应保持唯业务连续性计划框架确保计划致够协调解决信息安全求测试维护确定优先级
实施指南
业务连续性计划应说明实现连续性方法确保信息信息系统性安全方法计划应规定报计划激活该计划条件负责执行该计划部分员确定新求时应相应修正现应急程序例撤离计划低效运行安排程序应包括组织变更理程序中确保业务连续性事宜总够适解决
计划应特定责应急程序工低效运行计划重新计划应属相应业务资源涉程责职责范围换技术服务诸信息处理通信设施低效运行安排通常应服务提供者职责
业务连续性计划框架应提出已确定信息安全求考虑列容:
a) 启动计划条件描述启动计划前遵循程(评估种情况谁参等等)
b) 应急程序描述危业务运行事件采取措施
c) 低效运行程序描述转移重业务活动支持服务换时场求时段业务程带回运行状态需采取措施
d) 完成恢复复原前遵循时运行程序
e) 重新程序描述返回正常业务运行需采取措施
f) 维护计划规定时测试计划维护该计划程
g) 意识教育培训活动创建理解业务连续性程确保该程持续效
h) 员职责描述谁负责执行计划部分求应指定换
i) 必须够执行紧急低效运行恢复程序关键资产资源
1415 测试维护评估业务连续性计划
控制措施
业务连续性计划应定期测试更新确保时性效性
实施指南
业务连续性计划测试应确保恢复组中成员关员解该计划业务连续性信息安全职责知道计划启动角色
业务连续性计划测试计划安排应指出时应测试该计划部分计划中素应常测试
应种技术该计划实际生存周期中操作提供保障应包括:
a) 种场景桌面测试(中断例子讨业务恢复安排)
b) 模拟(特培训处事件处理危机理角色员)
c) 技术恢复测试(确保信息系统效予恢复)
d) 供换场测试恢复(远离场恢复操作时运行业务程)
e) 供应商设施服务测试(确保外部提供服务产品满足合承诺)
f) 完整演(测试组织员设备设施程够应付中断)
组织技术应种特定恢复计划相关方式技术必话应记录测试结果采取措施改进计划
业务连续性计划定期评审应分配职责尚未反映业务连续性计划中业务安排变更标识应通计划适更新实现正式变更控制程应确保通整计划定期评审分发补充已更新计划
应考虑更新业务连续性计划变更示例包括新设备获取系统升级方面变更:
a) 员
b) 址电话号码
c) 业务战略
d) 位置设施资源
e) 法律
f) 合商供应商关键顾客
g) 程者新撤销程
h) 风险(运行财务)
15 符合性
151 符合法律求
目标:避免违反法律法令法规合义务安全求
信息系统设计运行理受法令法规合安全求限制
应组织法律顾问者合格法律业员处获特定法律求建议法律求国家异国家产生信息发送国家(越境数流)法律求
1511 法律识
控制措施
信息系统组织言相关法令法规合求满足求组织采方法应加明确定义形成文件保持更新
实施指南
满足求特定控制措施员职责应样加定义形成文件
1512 知识产权(IPR)
控制措施
应实施适程序确保具知识产权材料具权软件产品时符合法律法规合求
实施指南
保护认具知识产权材料时应考虑面指南:
a) 发布知识产权符合性策略该策略定义软件信息产品合法
b) 仅通知名声誉渠道获软件确保侵犯版权
c) 保持保护知识产权策略解通知违规员采取惩罚措施意
d) 维护适资产登记簿识具保护知识产权求资产
e) 维护许证盘手册等权证明证
f) 实施控制措施确保超允许户数目
g) 进行检查确保仅安装已授权软件具许证产品
h) 提供维护适许证条件策略
i) 提供处理软件转移软件策略
j) 合适审核工具
k) 符合公网络获软件信息条款条件
l) 版权法允许商业录音带进行复制格式转换摘取容
m) 版权法允许书籍文章报告文件中进行全部部分拷贝
信息
知识产权包括软件文档版权设计权商标专利权源代码许证
通常具权软件产品供应根许协议进行该许协议规定许条款条件例限制产品指定机器限制拷贝创建备份副组织开发软件知识产权情况需员工阐述清楚
法律法规合求具权材料拷贝进行限制特限制求组织开发资料者开发者许组织提供组织资料版权侵害导致法律行涉犯罪诉讼
1513 保护组织记录
控制措施
应防止重记录遗失毁坏伪造满足法令法规合业务求
实施指南
应记录分记录类型例帐号记录数库记录事务日志审核日志等运行程序程序带详细保存周期存储介质类型例纸质缩微胶片磁介质光介质应保存已加密档文件数字签名(见123)相关关密码密钥材料记录保存期限满够脱密
应考虑存储记录介质性降性应制造商建议实施存储处理程序长期保存话应考虑纸文件微缩胶片
选择电子存储介质应建立程序确保整保存周期够访问数(介质格式读性)防范未技术变化造成损失
应选择数存储系统需数根满足求接受时间接受格式检索出
存储处理系统应确保国家区法律法规规定清晰标识出记录保存期限该系统应允许保存期恰销毁记录果组织需记录话
满足记录防护目标应组织范围采取列步骤:
a) 应颁发关保存存储处理处置记录信息指南
b) 应起草保存时间计划标识记录应保存时间周期
c) 应维护关键信息源清单
d) 应实施恰控制措施防止记录信息丢失损坏篡改
信息
某记录需安全保存满足法令法规合求支持必业务活动举例说求记录作组织法令法规规运行证确保充分防御潜民事刑事诉讼者股份持者外部方审核员确认组织财务状况根国家法律规章设置信息保存时间数容
关理组织记录更信息参见ISO 154891
1514 数保护信息隐私
控制措施
应相关法律法规合条款求确保数保护隐私
实施指南
应制定实施组织数保护隐私策略该策略应通知涉私信息处理员
符合该策略相关数保护法律法规需合适理结构控制通常点通命负责实现数保护官员该数保护官员应理员户服务提供商提供职责应遵守特定程序指南处理信息确保解数保护原职责应根相关法律法规确定应实施适技术组织措施保护信息
信息
许国家已具控制数(般指该信息确定活着体信息)收集处理传输法律根国家法律种控制措施收集处理传播信息承担责限制该数转移国家力
1515 防止滥信息处理设施
控制措施
应禁止户信息处理设施未授权目
实施指南
理者应批准信息处理设施没理者批准(见614)情况出非业务未授权目设施均应作正确设施果通监视手段确定非授权活动应该活动引起理员注意考虑合适惩罚法律行
实施监视程序前应征求法律意见
户应知道允许访问准确范围采取监视手段检测非授权准确范围点通列方式实现:户份书面授权该授权副应户签字组织加安全保存应通知组织雇员承包方员第三方员授权访问外允许访问
登录时应出现警报消息表明正进入信息处理设施组织拥允许未授权访问户必须确认屏幕消息作出适反应继续登录程(见1151)
信息
组织信息处理设施业务目
入侵检测容检查监视工具助预防检测信息处理设施滥
许国家拥防范计算机滥法律未授权计算机种刑事犯罪
监视合法性国家异求理者种监视通知户获意进入系统公众访问(公网站服务器)处安全监控时应显示消息说明情况
1516 密码控制措施规
控制措施
密码控制措施应遵相关协议法律法规
实施指南
符合相关协议法律法规应考虑面事项:
a) 限制执行密码功计算机硬件软件出入口
b) 限制设计增加密码功计算机硬件软件出入口
c) 限制密码
d) 利国家硬件软件加密信息授权强制意访问方法提供容保密性
应征求法律建议确保符合国家法律法规加密信息密码控制措施转移国家前应获法律建议
152 符合安全策略标准技术符合性
目标:确保系统符合组织安全策略标准
应定期评审信息系统安全
种评审应适安全策略进行应审核技术台信息系统否符合适安全实施标准文件化安全控制措施
1521 符合安全策略标准
控制措施
理员应确保职责范围安全程序正确执行确保符合安全策略标准
实施指南
理员应职责范围信息处理否符合合适安全策略标准安全求进行定期评审
果评审结果发现符合理员应:
a) 确定符合原
b) 评价确保符合发生措施需
c) 确定实施适纠正措施
d) 评审采取纠正措施
评审结果理员采取纠正措施应记录记录应予维护理员职责范围进行独立评审时理员应结果报告执行独立评审员(见618)
信息
1010中包括系统运行监视
1522 技术符合性检查
控制措施
信息系统应定期检查否符合安全实施标准
实施指南
技术符合性检查应验系统工程师手动执行(需利合适软件工具支持)者技术专家动工具执行工具生成供续解释技术报告
果渗透测试脆弱性评估应格外心活动导致系统安全损害样测试应预先计划形成文件重复执行
技术符合性检查应仅力已授权员完成监督完成
信息
技术符合性检查包括检查运行系统确保硬件软件控制措施正确实施种类型符合性检查需专业技术专家
符合性检查包括例渗透测试脆弱性评估该项工作针目专门签约独立专家完成符合性检查助检测系统脆弱性检查预防脆弱性引起未授权访问采取控制措施效性
渗透测试脆弱性评估提供系统特定时间特定状态简单记录简单记录限制渗透企图时实际测试系统部分中渗透测试脆弱性评估代风险评估
153 信息系统审核考虑
目标:信息系统审核程效性化干扰化
系统审核期间应控制措施防护运行系统审核工具
保护审核工具完整性防止滥审核工具求保护措施
1531 信息系统审核控制措施
控制措施
涉运行系统检查审核求活动应谨慎加规划取批准便化造成业务程中断风险
实施指南
应遵守列指南:
a) 应合适理者商定审核求
b) 应商定控制检查范围
c) 检查应限软件数读访问
d) 非读访问应仅系统文件单独拷贝审核完成时应擦拷贝者审核文件求具保留文件义务予适保护
e) 应明确识提供执行检查需资源
f) 应识商定特定外处理求
g) 应监视记录访问产生参踪迹关键数系统应考虑时间戳参踪迹
h) 应程序求职责形成文件
i) 执行审核员应独立审核活动
1532 信息系统审核工具保护
控制措施
信息系统审核工具访问应加保护防止滥损害
实施指南
信息系统审核工具软件数文件应开发运行系统分开保存磁带库户区域非予合适级附加保护
信息
果审核涉第三方存审核工具第三方滥信息第三方组织访问风险621(评估风险)912(限制物理访问)中控制措施考虑解决种风险应采取措施应果立改变泄露审核员口令
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
