ISO27001信息安全體系培訓(xùn)(條款A(yù)6-信息安全組織).

1、IS027001 培訓(xùn)系列 V1.0ISO 27001 信息安全體系培訓(xùn)控制目標(biāo)和控制措施（條款 A6-信息安全組織2009 年 11 月董翼?xiàng)鳎╠on gyife 條款 A6信息安全組織A6.1 內(nèi)部組織?目標(biāo)：在組織內(nèi)管理信息安全。?應(yīng)建立管理框架，以啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施。？管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。?若需要，要在組織范圍內(nèi)建立專家信息安全建議庫，并在組織內(nèi)可用。要發(fā)展 與外部安全專家或組織（包括相關(guān)權(quán)威人士的聯(lián)系，以便跟上行業(yè)趨勢、跟蹤標(biāo)準(zhǔn)和 評(píng)估方法，并且當(dāng)處理信息安全事件時(shí)，提供合適的聯(lián)絡(luò)點(diǎn)。應(yīng)鼓勵(lì)采用多學(xué)科方法 解決信息

2、安全問題?？刂拼胧┕芾碚邞?yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn) 來積極支持組織內(nèi)的安全。實(shí)施指南?管理者應(yīng)：a 確保信息安全目標(biāo)得以識(shí)別，滿足組織要求，并已被整合到相關(guān)過程中；b 制定、評(píng)審、批準(zhǔn)信息安全方針；c 評(píng)審信息安全方針實(shí)施的有效性；d 為安全啟動(dòng)提供明確的方向和管理者明顯的支持；e 為信息安全提供所需的資源；f 批準(zhǔn)整個(gè)組織內(nèi)信息安全專門的角色和職責(zé)分配；g 啟動(dòng)計(jì)劃和程序來保持信息安全意識(shí)；h 確保整個(gè)組織內(nèi)的信息安全控制措施的實(shí)施是相互協(xié)調(diào)的（見 A6.1.2。?管理者應(yīng)識(shí)別對(duì)內(nèi)外部專家的信息安全建議的需求，并在整個(gè)組織內(nèi)評(píng)審和協(xié)調(diào)專家建議結(jié)果。?根據(jù)組織

3、的規(guī)模不同，這些職責(zé)可以由一個(gè)專門的管理協(xié)調(diào)小組或由一個(gè)已 存在的機(jī)構(gòu)（例如董事會(huì)承擔(dān)。A6.1.2 信息安全協(xié)調(diào)信息安全活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行 協(xié)調(diào)A6.1.2 信息安全協(xié)調(diào)?典型的，信息安全協(xié)調(diào)應(yīng)包括管理人員、用戶、行政人員、應(yīng)用設(shè)計(jì)人員、審核員和安全專員，以及保險(xiǎn)、法律、人力資源、IT 或風(fēng)險(xiǎn)管理等領(lǐng)域?qū)＜业膮f(xié)調(diào) 和協(xié)作。這些活動(dòng)應(yīng)：確保安全活動(dòng)的實(shí)施與信息安全方針相一致；確定如何處理不符合項(xiàng)；核準(zhǔn)信息安全的方法和過程，例如風(fēng)險(xiǎn)評(píng)估、信息分類；識(shí)別重大的威脅變更和暴露于威脅下的信息和信息處理設(shè)施；評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；有效地促進(jìn)整個(gè)

4、組織內(nèi)的信息安全教育、培訓(xùn)和意識(shí)；評(píng)價(jià)在信息安全事件的監(jiān)視和評(píng)審中獲得的信息，推薦適當(dāng)?shù)拇胧╉憫?yīng)識(shí)別的 信息安全事件。?如果組織沒有使用一個(gè)獨(dú)立的跨部門的小組，例如因?yàn)檫@樣的小組對(duì)組織 規(guī) 模來說是不適當(dāng)?shù)模敲瓷厦婷枋龅拇胧?yīng)由其它合適的管理機(jī)構(gòu)或單A6.1.3 信息安全職責(zé)的分配 所有的信息安全職責(zé)應(yīng)予以清晰地定義。A6.1.3 信息安全職責(zé)的分配?信息安全職責(zé)的分配應(yīng)和信息安全方針（見 A5 相一致。各個(gè)資產(chǎn)的保護(hù) 和 執(zhí)行特定安全過程的職責(zé)應(yīng)被清晰的識(shí)別。這些職責(zé)應(yīng)在必要時(shí)加以補(bǔ)充,來為特定地點(diǎn)和信息處理設(shè)施提供更詳細(xì)的指南。資產(chǎn)保護(hù)和執(zhí)行特定安全過程（諸如業(yè)務(wù)連續(xù)性計(jì)劃的局部職責(zé)應(yīng)予

5、以清晰地定義。？分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員。盡管如此，他們?nèi)匀回?fù)有責(zé)任，并且他們應(yīng)能夠確定任何被 委托的任務(wù)是否已被正確地執(zhí) 行。?個(gè)人負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定；特別是，應(yīng)進(jìn)行下列工作：與每個(gè)特殊系統(tǒng)相關(guān)的資產(chǎn)和安全過程應(yīng)予以識(shí)別并清晰地定義；應(yīng)分配每一資產(chǎn)或安全過程的實(shí)體職責(zé)，并且該職責(zé)的細(xì)節(jié)應(yīng)形成文件（見A7.1.2 ;授權(quán)級(jí)別應(yīng)清晰地予以定義，并形成文件。A6.1.4 信息處理設(shè)施的授權(quán)過程？新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán) 過程。?授權(quán)過程應(yīng)考慮下列指南：新設(shè)施要有適當(dāng)?shù)挠脩艄芾硎跈?quán)，以批準(zhǔn)其用途和使用；還要獲得負(fù)責(zé)維護(hù)本地 系統(tǒng)安全環(huán)境的管理人員授權(quán)，以

6、確保所有相關(guān)的安全方針策略和要求得到滿足；若需要，硬件和軟件應(yīng)進(jìn)行檢查，以確保它們與其他系統(tǒng)組件兼容；使用個(gè)人或私有信息處理設(shè)施（例如便攜式電腦、家用電腦或手持設(shè)備處理業(yè) 務(wù)信息,可能引起新的脆弱性，因此應(yīng)識(shí)別和實(shí)施必要的控制措施。A6.1.5 保密性協(xié)議應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。A6.1.5 保密性協(xié)議?保密或不泄露協(xié)議應(yīng)使用合法可實(shí)施條款來解決保護(hù)機(jī)密信息的要求。要識(shí) 別保密或不泄露協(xié)議的要求,需考慮下列因素：a 定義要保護(hù)的信息（如機(jī)密信息；b 協(xié)議的期望持續(xù)時(shí)間，包括不確定的需要維持保密性的情形；c 協(xié)議終止時(shí)所需的 措施；d 為避免未授權(quán)信息泄露

7、的簽署者的職責(zé)和行為e 信息所有者、商業(yè)秘密和 知識(shí)產(chǎn)權(quán)，以及他們?nèi)绾闻c機(jī)密信息保護(hù)相關(guān)聯(lián)；f 機(jī)密信息的許可使用，及簽署者使用信息的 權(quán)力；g 對(duì)涉及機(jī)密信息的活動(dòng)的 審核和監(jiān)視 權(quán)力；h 未授權(quán)泄露或機(jī)密信息破壞的 通知和報(bào)告過程；i 關(guān)于協(xié)議終止時(shí)信息歸檔或銷毀的條款；j 違反協(xié)議后期望采取的措施。?基于一個(gè)組織的安全要求，在保密性或不泄露協(xié)議中可能需要其他因素。?保密性和不泄露協(xié)議應(yīng)針對(duì)它適用的管轄范圍（見 A15.1.1 遵循所有適用的法 律法規(guī)。保密性和不泄露協(xié)議的要求應(yīng)進(jìn)行周期性 評(píng)審，當(dāng)發(fā)生影響這些要求的變 更時(shí)，也要進(jìn)行A6.1.6 與政府部門的聯(lián)系?應(yīng)保持與政府相關(guān)部門的適

8、當(dāng) 聯(lián)系。?組織應(yīng)有規(guī)程指明什么時(shí)候應(yīng)當(dāng)與哪個(gè)部門（例如，執(zhí)法部門、消防局、監(jiān)管 部門聯(lián)系，以及懷疑已識(shí)別的信息安全事件可能觸犯了法律時(shí)，應(yīng)如何及時(shí)報(bào)告。?受到來自互聯(lián)網(wǎng)攻擊的組織可能需要外部第三方（例如互聯(lián)網(wǎng)服 務(wù)提供商或 電信運(yùn)營商采取措施以應(yīng)對(duì)攻擊源。?保持這樣的聯(lián)系可能是支持信息安全事件管理（A13.2 或業(yè)務(wù)連續(xù)性和應(yīng)急規(guī) 劃過程（A14 的要求。與法規(guī)部門的聯(lián)系有助于預(yù)先知道組織必須遵循的法律法規(guī) 方面預(yù)期的變化，并為這些變化做 好準(zhǔn)備。與其他部門的聯(lián)系包括公共部門、緊急服務(wù)和健康安全部門，例如消防局（A14 章的業(yè)務(wù)連續(xù)性有關(guān)、電信提供商（與路由 和可用性有關(guān)、供水部門（與設(shè)備的

9、冷卻設(shè)施有關(guān)。A6.1.7 與特定利益集團(tuán)的聯(lián)系?應(yīng)保持與特定利益集團(tuán)、其他安全專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。?應(yīng)考慮成為特定利益集團(tuán)或安全專家組的成員，以便：a 增進(jìn)對(duì)最佳實(shí)踐和最新相關(guān)安全信息的了解；b 確保全面了解當(dāng)前的信息安全環(huán)境；c 盡早收到關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)丁；d 獲得信息安全專家的建議；e 分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息；f 提供處理信息安全事件時(shí)適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)（見 A13.2.1。A6.1.8 信息安全的獨(dú)立評(píng)審?組織管理信息安全的方法及其實(shí)施（例如信息安全的控制目標(biāo)、控制措施、 策略、過程和程序應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審，當(dāng)安全實(shí)施發(fā) 生重大變

10、化時(shí),也要進(jìn)行獨(dú)立評(píng)審。?獨(dú)立評(píng)審應(yīng)由管理者啟動(dòng)。對(duì)于確保一個(gè)組織管理信息安全方法的持續(xù)的適 宜性、充分性和有效性，這種獨(dú)立評(píng)審是必須的。評(píng)審應(yīng)包括評(píng)估安全方法改進(jìn)的 機(jī)會(huì)和變更的需要，包括方針和控制目標(biāo)。?這樣的評(píng)審應(yīng)由獨(dú)立于被評(píng)審范圍的人員執(zhí)行，例如內(nèi)部審核部門、獨(dú)立的 管理人員或?qū)ｉT進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員應(yīng)具備適當(dāng)?shù)?技能和經(jīng)驗(yàn)。?獨(dú)立評(píng)審的結(jié)果應(yīng)被記錄并報(bào)告給啟動(dòng)評(píng)審的管理者。這些記錄應(yīng)加以保持。?如果獨(dú)立評(píng)審識(shí)別出組織管理信息安全的方法和實(shí)施不充分，或不符合信息 安全方針文件（見 A5.1.1 中聲明的信息安全的方向，管理者應(yīng)考慮糾正措施。A6.2 外部各方?目

11、標(biāo)：保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理 設(shè)施的安全。?組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于引入外部方的產(chǎn)品或服務(wù)而 降低。?任何外部方對(duì)組織信息處理設(shè)施的訪問、對(duì)信息資產(chǎn)的處理和通信都應(yīng)予以 控制。?若有與外部方一起工作的業(yè)務(wù)需要，它可能要求訪問組織的信息和信息處理 設(shè)施、從外部方獲得一個(gè)產(chǎn)品和服務(wù)，或提供給外部方一個(gè)產(chǎn)品和服務(wù)，應(yīng)進(jìn)行風(fēng)險(xiǎn) 評(píng)估,以確定涉及安全的方面和控制要求。在與外部方簽訂的協(xié)議中要商定和定義 控制措施。外部各方?服務(wù)提供商（例如互聯(lián)網(wǎng)服務(wù)提供商、網(wǎng)絡(luò)提供商、電話服務(wù)、維護(hù)和支持 服務(wù)；?受管理的安全服務(wù)；?顧客；?設(shè)施和運(yùn)行的外包，

12、例如,IT 系統(tǒng)、數(shù)據(jù)收集服務(wù)、中心呼叫業(yè)務(wù)?管理者，業(yè)務(wù)顧問和審核員；?開發(fā)者和提供商，例如軟件產(chǎn)品和 IT 系統(tǒng)的開發(fā)者和提供商;?保潔、餐飲和 其他外包支持服務(wù)；?臨時(shí)人員、實(shí)習(xí)學(xué)生和其他臨時(shí)短期安排?？刂拼胧?yīng)識(shí)別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允許訪問前實(shí)施適當(dāng)?shù)目刂拼胧?。?shí)施指南?當(dāng)需要允許外部方訪問組織的信息處理設(shè)施或信息時(shí)，應(yīng)實(shí)施風(fēng)險(xiǎn)評(píng)估（見 A4 以識(shí)別特定控制措施的要求。關(guān)于外部方訪問的風(fēng)險(xiǎn)的識(shí)別應(yīng)考慮以下問題：a 外部方需要訪問的信息處理設(shè)施；b 外部方對(duì)信息和信息處理設(shè)施的訪問類型，例如：物理訪問，例如進(jìn)入辦公室，計(jì)算機(jī)機(jī)房，檔案室；邏輯訪問，

13、例如訪問組織的數(shù)據(jù)庫，信息系統(tǒng)；組織和外部方之間的網(wǎng)絡(luò)連接，例如，固定連接、遠(yuǎn)程訪問；現(xiàn)場訪問還是非現(xiàn)場訪問；c 所涉及信息的價(jià)值和敏感性，及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度；d 為保護(hù)不希望被外部方訪問到的信息所需的控制措施；e 與處理組織信息有關(guān)的外部方人員f 能夠識(shí)別組織或人員如何被授權(quán)訪問、如何進(jìn)行授權(quán)驗(yàn)證，以及多長時(shí)間需要再確認(rèn)；g 外部方在存儲(chǔ)、處理、傳送、共享和交換信息過程中所使用的不同的方法和 控制措施；h 外部方需要時(shí)無法訪問，外部方輸入或接收不正確的或誤導(dǎo)的信息的影響；i 處理信息安全事件和潛在破壞的慣例和程序，和當(dāng)發(fā)生信息安全事件時(shí)外部方 持續(xù)訪問的條款和條件；j 應(yīng)考慮與外部方有關(guān)

14、的法律法規(guī)要求和其他合同責(zé)任；k 這些安排對(duì)其他利益相關(guān)人的利益可能造成怎樣的影響。?除非已實(shí)施了適當(dāng)?shù)目刂拼胧?，才可允許外部方訪問組織信息，可行時(shí),應(yīng)簽訂 合同規(guī)定外部方連接或訪問以及工作安排的條款和條件，一般而言,與外部方合作引 起的安全要求或內(nèi)部控制措施應(yīng)通過與外部方的協(xié)議反映出來（見 A6.2.2 和A6.2.3。?應(yīng)確保外部方意識(shí)到他們的責(zé)任，并且接受在訪問、處理、通信或管理組織 的信息和信息處理設(shè)施所涉及的職責(zé)和責(zé)任。A6.2.2 處理與顧客有關(guān)的安全問題控制措施應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求。A6.2.2 處理與顧客有關(guān)的安全問題實(shí)施指南要在允許顧客訪問

15、組織任何資產(chǎn)（依據(jù)訪問的類型和范圍，并不需要應(yīng)用所有的條款）前解決安全問題，應(yīng)考慮 下列條款：a 資產(chǎn)保護(hù)，包括：保護(hù)組織資產(chǎn)（包括信息和軟件）的程序，以及對(duì)已知脆弱性的管理；判定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序；完整性；對(duì)拷貝和公開信息的限制；b c d 擬提供的產(chǎn)品或服務(wù)的描述；顧客訪問的不同原因、要求和利益；訪問控制策略，包括：允許的訪問方法，唯一標(biāo)識(shí)符的控制和使用，例如用戶ID 和口令；用戶訪問和權(quán)限的授權(quán)過程；沒有明確授權(quán)的訪問均被禁止的聲明；撤消訪問權(quán)或中斷系統(tǒng)間連接的處理；e 信息錯(cuò)誤（例如個(gè)人信息的錯(cuò)誤）、信息安全事件和安全違規(guī)的報(bào) 告、通知和調(diào)查的安排；f g

16、 h i j k 每項(xiàng)可用服務(wù)的描述； 服務(wù)的目標(biāo)級(jí)別和服務(wù) 的不可接受級(jí)別；監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利；組織和顧客各自的義務(wù)；相關(guān)法律責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如 果協(xié)議涉及與其他國家顧客的合作，特別要考慮到不同國家的法律體系（也見A15.1）；知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見 A15.1.2）以及任何合著作品的保護(hù)（見 A6.1.5）； -20-A6.2.3 處理第三方協(xié)議中的安全問題 控制措施涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn) 品或服務(wù)的第三方協(xié) 議，應(yīng)涵蓋所有相關(guān)的安全要求。-21-A6

17、.2.3 處理第三方協(xié)議中的安全問題實(shí)施指南協(xié)議應(yīng)確保在組織和第三方之間不存在誤解。組織應(yīng)使第三方的保證滿足自己的需要。為滿足識(shí)別的安全要求（見 A6.2.1），應(yīng)考慮將下列條款包含在協(xié)議中：a b c d e f g h i j k l m n 信息安全方針；確保資產(chǎn)保護(hù)的控制措施，對(duì)用戶和管理員在方法、程序和安全方面 的培訓(xùn)；確保用戶意識(shí)到信息安全職責(zé)和問題；若適宜，人員調(diào)動(dòng)的規(guī)定； 關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；一種清晰的報(bào)告結(jié)構(gòu)和商定的報(bào)告格式；一種清晰規(guī)定的變更管理過程；訪問控制策略；報(bào)告、通知和調(diào)查信息安全事件和安全 違規(guī)以及違背協(xié)議中所聲明的要求的安排；提供的每項(xiàng)產(chǎn)品和服務(wù)的描述，根據(jù)安全分類（見 7.2.1）提供可獲得信息的描述；服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別；可驗(yàn)證的性能準(zhǔn)則的定義、監(jiān)視和報(bào)告；監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利；op q r s t u v 審核協(xié)議中規(guī)定的責(zé)任、第三方實(shí)施的審核、列舉審 核員的法