《信息安全工程與管理》課件第6章

第6章信息安全管理控制規(guī)范6.1概述6.2信息安全方針6.3安全組織6.4資產(chǎn)管理6.5人員安全6.6物理和環(huán)境安全6.7通信與操作安全第6章信息安全管理控制規(guī)范6.8訪問控制6.9系統(tǒng)開發(fā)與維護6.10安全事件管理6.11業(yè)務(wù)持續(xù)性管理6.12符合性保證本章小結(jié)

BS7799標(biāo)準(zhǔn)已經(jīng)得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，依據(jù)BS7799建立信息安全管理體系并獲得認(rèn)證已成為世界潮流。6.1概述組織可以參照信息安全管理模型，按照BS7799標(biāo)準(zhǔn)建立完整的信息安全管理體系并進行實施與保持，達(dá)到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性，提高企業(yè)的社會形象和市場競爭力。

在建立信息安全管理體系過程中，為了對組織所面臨的信息安全風(fēng)險實施有效的控制，需要針對具體的威脅和脆弱性采取適宜的控制措施，包括管理手段和技術(shù)方法等。本章根據(jù)BS7799-2:2002、ISO/IEC17799:2005和ISO/IEC27001:2005等標(biāo)準(zhǔn)，結(jié)合組織信息資產(chǎn)可能存在的威脅、脆弱性，詳細(xì)介紹了信息安全方針、安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信與操作安全、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務(wù)持續(xù)性管理、符合性保證等11大控制方面，39個控制目標(biāo)，133項信息安全控制措施的規(guī)范內(nèi)容。

信息安全方針是根據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)制定的，用來提供支持信息安全的管理指導(dǎo)方針。6.2信息安全方針6.2.1信息安全方針文件

(1)控制措施。信息安全方針文件應(yīng)由管理層批準(zhǔn)、發(fā)布并傳達(dá)給所有員工，同時需要確保信息安全方針文件能被員工們理解和執(zhí)行。

(2)實施指南。

信息安全方針文件需要說明管理的承諾，提出管理信息安全的方法，應(yīng)包含以下內(nèi)容：

·信息安全、整體目標(biāo)和范圍的定義，以及在允許信息共享機制下安全的重要性。

·管理者意圖的聲明，用以支持符合業(yè)務(wù)策略和目標(biāo)的信息安全目標(biāo)和原則。

·設(shè)置控制目標(biāo)和控制措施的框架，包括風(fēng)險評估和風(fēng)險管理的結(jié)構(gòu)。

·對組織特別重要的安全方針策略、原則、標(biāo)準(zhǔn)和符合性要求的簡要說明。

·信息安全管理(包括報告信息安全事件)的一般和特定職責(zé)的定義。

·對支持方針文件的引用，如更詳細(xì)的其他規(guī)程。6.2.2信息安全方針的評審

(1)控制措施。按照計劃的時間間隔或在發(fā)生重大變化時評審方針文件，以確保方針的適宜性。

(2)實施指南。

信息安全方針文件應(yīng)由專人負(fù)責(zé)其制定、評審和評價。評審應(yīng)包括評估組織信息安全方針改進的機會和管理信息安全適應(yīng)組織環(huán)境、業(yè)務(wù)狀況、法律條件或技術(shù)環(huán)境變化的方法。評審過程要注意以下幾點：

·應(yīng)定義管理評審的規(guī)程，包括時間表或評審周期。

·評審信息安全方針時，要考慮管理評估的結(jié)果。

·應(yīng)維護好管理評審的記錄。

·對修訂的方針需要獲得管理者的批準(zhǔn)。

6.3.1內(nèi)部組織

內(nèi)部組織管理的目標(biāo)是確保組織范圍內(nèi)的信息安全。

1.信息安全的管理承諾

(1)控制措施。管理者應(yīng)通過清晰的說明、可兌現(xiàn)的承諾、明確的信息安全職責(zé)分配及確認(rèn)，來積極支持組織的安全管理。6.3安全組織

(2)實施指南。

根據(jù)組織規(guī)模的不同，可由一個專門的管理協(xié)調(diào)小組或一個已存在的機構(gòu)(例如董事會)來承擔(dān)對信息安全管理承諾的職責(zé)。在管理承諾中，要做以下工作：

·檢查并批準(zhǔn)信息安全方針和總的責(zé)任。

·評審和跟蹤驗證信息安全方針實施的效果。

·為信息安全提供所需的資源和其他支持。

·啟動計劃和程序來保持信息安全意識。

·確保整個組織內(nèi)部的信息安全控制措施的實施是相互協(xié)調(diào)的。

2.信息安全協(xié)調(diào)

(1)控制措施。信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進行協(xié)調(diào)。

(2)實施指南。

通常，信息安全協(xié)調(diào)包括管理人員、用戶、行政人員、應(yīng)用設(shè)計人員、審核員和安全專員，以及保險、法律、人力資源、IT或風(fēng)險管理等領(lǐng)域的專家的協(xié)調(diào)和協(xié)作，其活動包括：

·確保安全活動的實施與信息安全方針相一致。

·批準(zhǔn)組織內(nèi)的信息安全專門的角色和職責(zé)分配。

·核準(zhǔn)信息安全的特殊方法和程序，如風(fēng)險評估、安全分級系統(tǒng)。

·識別重大的威脅變更和暴露在威脅下的信息和信息處理設(shè)施。

·評估信息安全控制措施實施的充分性和協(xié)調(diào)性。

·加強整個組織內(nèi)的信息安全教育、培訓(xùn)和意識。

·評價適當(dāng)性并協(xié)調(diào)對新系統(tǒng)或服務(wù)的特殊安全管理措施的實施。

3.信息安全職責(zé)的分配

(1)控制措施。所有的信息安全職責(zé)都應(yīng)當(dāng)被明確界定。

(2)實施指南。

信息安全職責(zé)的分配要與信息安全方針相一致。各個資產(chǎn)的保護和執(zhí)行特定安全過程的全局或局部的職責(zé)都應(yīng)能被明確。這些職責(zé)在必要時能夠加以補充，從而為特定的地點和信息處理設(shè)施提供更詳細(xì)的指南。

信息資產(chǎn)的所有權(quán)人可以把他們的安全責(zé)任委派給單獨的管理者或服務(wù)提供商，但所有權(quán)人對資產(chǎn)的安全仍負(fù)有最終責(zé)任，并且所有權(quán)人應(yīng)能夠確定任何責(zé)任錯誤分配的情況。

對每一個職責(zé)相關(guān)的領(lǐng)域都要清晰地規(guī)定，特別是在下列情況發(fā)生時：

·對每個特殊系統(tǒng)相關(guān)的資產(chǎn)和安全過程都要進行識別并清楚地定義。

·要分配每一資產(chǎn)或安全過程的實體職責(zé)，并且該職責(zé)的細(xì)節(jié)要形成文件。

·清楚地劃分授權(quán)等級，并形成文件。

4.信息處理設(shè)施的授權(quán)過程

(1)控制措施。對新的信息處理設(shè)施應(yīng)當(dāng)定義和實施一個管理授權(quán)過程。

(2)實施指南。

授權(quán)過程應(yīng)考慮以下要求：

·新的信息處理設(shè)施應(yīng)當(dāng)有相應(yīng)的用戶管理授權(quán)，以批準(zhǔn)其用途和使用，還要獲得負(fù)責(zé)維護本地系統(tǒng)安全環(huán)境的管理人員的授權(quán)，以確保滿足所有相關(guān)安全方針和需要。

·必要時，檢測硬件和軟件，以確保它們與系統(tǒng)的其他部分相兼容。

·使用個人或私有信息處理設(shè)施(例如便攜式電腦、手持設(shè)備等)處理業(yè)務(wù)信息，可能引入新的脆弱性，因此需要進行評估和授權(quán)。

5.保密性協(xié)議

(1)控制措施。應(yīng)識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的要求。

(2)實施指南。

保密性或不泄露協(xié)議通過使用合法的可實施條款來解決保護保密信息的問題，并且保密性或不泄露協(xié)議的要求應(yīng)進行周期性評審，當(dāng)發(fā)生影響這些要求的變更時，也要進行評審。協(xié)議內(nèi)容應(yīng)包括：

·定義要保護的信息。

·信息、商業(yè)秘密和知識產(chǎn)權(quán)(IPR，IntellectualPropertyRight)的所有權(quán)。

·協(xié)議期望持續(xù)的時間。

·簽署者的職責(zé)、權(quán)力和行為，以避免未授權(quán)信息的泄露。

·對涉及保密信息的活動的審核和監(jiān)視的權(quán)力。

·未授權(quán)泄露或保密信息破壞的通知和報告過程。

·違反協(xié)議和協(xié)議終止時所需要采取的條款或措施。

6.與政府部門的聯(lián)系

(1)控制措施。應(yīng)保持與相關(guān)政府部門的適當(dāng)聯(lián)系。

(2)實施指南。

要有規(guī)程指明什么時候與哪個部門(例如執(zhí)法部門、消防部門、監(jiān)管部門等)聯(lián)系，以及對已識別的信息安全事件懷疑可能觸犯了法律時，應(yīng)如何及時報告。受到來自互聯(lián)網(wǎng)攻擊的組織可能需要外部第三方(例如互聯(lián)網(wǎng)服務(wù)提供商(ISP，InternetServiceProvider)或電信運營商)采取措施以應(yīng)對攻擊源。保持這樣的聯(lián)系是支持信息安全事件管理或業(yè)務(wù)持續(xù)性管理的基本要求。與法規(guī)部門的聯(lián)系有助于組織預(yù)先知道必須遵守的法律法規(guī)方面的變化，并為應(yīng)對這些變化做好準(zhǔn)備；與其他部門的聯(lián)系包括公共設(shè)施、緊急服務(wù)和健康安全等部門，例如消防局(與業(yè)務(wù)持續(xù)性有關(guān))、電信供應(yīng)商(與路由和可用性有關(guān))、供水部門(與設(shè)備的冷卻有關(guān))。

7.與特定利益集團的聯(lián)系

(1)控制措施。應(yīng)保持與特定利益集團、其他安全專家組和專業(yè)協(xié)會的適當(dāng)聯(lián)系。

(2)實施指南。

考慮成為特定利益集團或安全專家組的成員，以便于：

·增進對最佳實踐和最新相關(guān)安全信息的了解，獲得信息安全專家的建議。

·確保全面了解當(dāng)前的信息安全環(huán)境。

·盡早收到關(guān)于攻擊和脆弱性的預(yù)警、建議和補丁。

·分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅和脆弱性信息。

·提供處理信息安全事件時適當(dāng)?shù)穆?lián)絡(luò)點。

8.信息安全的獨立評審

(1)控制措施。應(yīng)按計劃的時間間隔或當(dāng)安全實施發(fā)生重大變化時，獨立評審組織管理信息安全的方法及其實施。

(2)實施指南。

獨立評審應(yīng)包括評估安全方法改進的機會和變更的需要，包括方針和控制目標(biāo)，這對于確保一個組織管理信息安全方法的持續(xù)的適宜性、充分性和有效性是必要的。

獨立評審應(yīng)由管理者啟動，但要獨立于評審范圍的具備適當(dāng)技能和經(jīng)驗的人員來執(zhí)行，例如內(nèi)部審核部門、獨立的管理人員或第三方組織。記錄評審結(jié)果并報告給啟動評審的管理者。如果獨立評審識別出組織管理信息安全的方法和實施不充分，或不符合信息安全方針，管理者應(yīng)考慮糾正措施。6.3.2外部各方

外部各方管理的目標(biāo)是保持組織被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設(shè)施的安全。

1.與外部各方相關(guān)風(fēng)險的識別

(1)控制措施。應(yīng)識別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險，并在允許訪問前實施適當(dāng)?shù)目刂拼胧?/p>

(2)實施指南。

在允許外部方訪問組織的信息處理設(shè)施或信息前，應(yīng)進行風(fēng)險評估以識別特定控制措施的要求，必要時可簽定合同規(guī)定外部方連接或訪問以及工作確保安全的條款和條件。關(guān)于外部方訪問的風(fēng)險識別應(yīng)考慮以下問題：

·外部方對信息和信息處理設(shè)施的訪問類型，例如是設(shè)備還是電子信息？是現(xiàn)場還是非現(xiàn)場？

·所涉及信息的價值和敏感性，及對業(yè)務(wù)運行的關(guān)鍵程度。

·為保護不希望被外部方訪問到的信息而采取的必要控制措施。

·能夠識別組織或人員如何被授權(quán)訪問、如何授權(quán)驗證、及需要確認(rèn)的時間。

·外部方在存儲、處理、傳送、交換信息時使用的方法和控制措施。

·因外部方需要而無法訪問，以及由于外部方輸入或接收不正確或誤導(dǎo)信息產(chǎn)生的

影響。

·處理信息安全事件或潛在破壞的規(guī)程時，外部方持續(xù)訪問的條款和條件。

·需考慮與外部方有關(guān)的法律法規(guī)要求和其他合同責(zé)任。

·這些安排對其他利益相關(guān)人的利益可能造成怎樣的影響。

2.處理與顧客有關(guān)的安全問題

(1)控制措施。應(yīng)在允許顧客訪問組織信息或資產(chǎn)前處理所有確定的安全要求。

(2)實施指南。

要在允許顧客訪問組織任何資產(chǎn)前解決安全問題，應(yīng)考慮以下條款：

·保護組織資產(chǎn)，以及判定資產(chǎn)是否受到損害的規(guī)程。

·擬提供的產(chǎn)品或服務(wù)的描述。

·顧客訪問的不同原因、要求和利益。

·有相關(guān)的訪問控制策略。

·對信息錯誤(例如個人信息錯誤)、安全事件和安全違規(guī)進行報告、通知和調(diào)查的

安排。

·服務(wù)的目標(biāo)級別和服務(wù)的不可接受級別。

·組織和顧客各自的權(quán)利和義務(wù)。

·相關(guān)法律問題和如何確保滿足法律要求，包括知識產(chǎn)權(quán)等相關(guān)問題。

3.處理第三方協(xié)議中的安全問題

(1)控制措施。涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議，應(yīng)涵蓋所有相關(guān)的安全要求。

(2)實施指南。

應(yīng)確保在組織和第三方之間不存在誤解，組織應(yīng)使第三方的保證滿足自己的需要。為滿足對可能存在相關(guān)風(fēng)險的識別要求，協(xié)議中應(yīng)重點考慮以下條款：

·確保資產(chǎn)保護的控制措施(例如各種保護機制、控制規(guī)程與策略等)。

·關(guān)于硬件和軟件安裝與維護的責(zé)任。

·提供的每項產(chǎn)品或服務(wù)的描述，根據(jù)安全分類提供可獲得信息的描述。

·服務(wù)的目標(biāo)級別和服務(wù)的不可接受級別。

·可驗證的性能準(zhǔn)則的定義、監(jiān)視和報告。

·監(jiān)視和撤消與組織資產(chǎn)有關(guān)的任何活動的權(quán)利。

·審核協(xié)議中規(guī)定的責(zé)任、第三方實施的審核等權(quán)利。

·相關(guān)法律問題和如何確保滿足法律要求，包括知識產(chǎn)權(quán)相關(guān)問題。

·涉及具有次承包商的第三方，要對這些次承包商需要實施安全控制措施。

6.4.1對資產(chǎn)負(fù)責(zé)

資產(chǎn)是信息資源的重要內(nèi)容。對資產(chǎn)負(fù)責(zé)，就是要實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護。

1.資產(chǎn)清單

(1)控制措施。應(yīng)清晰地識別所有資產(chǎn)，編制并維護所有重要資產(chǎn)的清單。6.4資產(chǎn)管理

(2)實施指南。

組織應(yīng)識別所有資產(chǎn)并將資產(chǎn)的重要性形成文件。資產(chǎn)清單應(yīng)包括所有為從災(zāi)難中恢復(fù)而必要的信息，包括資產(chǎn)類型、格式、位置、備份信息、許可證、業(yè)務(wù)價值等，并且應(yīng)該為每一項資產(chǎn)商定責(zé)任人、信息分類和保護級別等。

資產(chǎn)清單可幫助確保有效的資產(chǎn)保護，其他業(yè)務(wù)目的也可能需要資產(chǎn)清單，例如健康與安全、保險或財務(wù)等原因。

編制一份資產(chǎn)清單是風(fēng)險管理的一個重要的先決條件。

2.資產(chǎn)負(fù)責(zé)人

(1)控制措施。與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé)任。

(2)實施指南。

資產(chǎn)責(zé)任人應(yīng)確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)已進行了適當(dāng)?shù)姆诸悾⒍ㄆ诘卦u審訪問限制和類別，同時要考慮到可應(yīng)用的訪問控制策略。

日常任務(wù)可以委派給其他人，例如委派給一個管理人員每天照看資產(chǎn)，但責(zé)任人仍保留職責(zé)。

3.資產(chǎn)的可接受使用

(1)控制措施。與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則應(yīng)被確定、形成文件并加以實施。

(2)實施指南。

具體規(guī)則由管理者提供。使用或擁有訪問組織資產(chǎn)權(quán)限的雇員、承包方和第三方人員應(yīng)意識到他們使用信息處理設(shè)施相關(guān)的信息和資產(chǎn)以及資源時的限制條件，應(yīng)遵循信息處理設(shè)施可接受的相關(guān)使用規(guī)則，并對他們職責(zé)下的使用負(fù)責(zé)。6.4.2信息資源分類

為了更好地保護資產(chǎn)等信息資源，需要對這些信息資源進行分類，從而能有針對性地對信息資源進行適當(dāng)程度地保護。

1.分類指南

(1)控制措施。應(yīng)按照信息資源對組織的價值、法律要求、敏感性和關(guān)鍵性進行信息資源分類。

(2)實施指南。

信息資源的分類及相關(guān)保護控制措施應(yīng)考慮到共享或限制信息資源的業(yè)務(wù)需求，以及與這種需求相關(guān)的業(yè)務(wù)影響。分類指南應(yīng)包括根據(jù)預(yù)先確定的訪問控制策略進行初始分類，以及一段時間后進行重新分類的慣例。

一般來說，給信息資源分類是確定該信息資源如何予以處理和保護的簡便方法。

應(yīng)考慮分類類別的數(shù)目和使用中獲得的好處。過度復(fù)雜的分類可能使用起來不方便、不經(jīng)濟或不實際。在解釋從其他組織獲取的文件分類標(biāo)記時更要小心，因為其他組織可能對于相同或類似命名的標(biāo)記有不同的定義。

2.信息資源的標(biāo)記和處理

(1)控制措施。

應(yīng)按照組織所采用的分類機制來建立和實施一組合適的信息資源標(biāo)記和處理規(guī)程。

(2)實施指南。

信息資源標(biāo)記的規(guī)程需要涵蓋物理和電子格式的信息資產(chǎn)。

如果是包含分類為敏感或關(guān)鍵信息資源的系統(tǒng)輸出，應(yīng)在該輸出中攜帶合適的分類標(biāo)記，對每種分類級別，應(yīng)定義包括安全處理、儲存、傳輸、刪除、銷毀的處理規(guī)程，還應(yīng)包括一系列對安全相關(guān)事件的監(jiān)督和記錄規(guī)程。

涉及信息資源共享的與其他組織的協(xié)議應(yīng)包括識別信息分類和解釋其他組織分類標(biāo)記的規(guī)程。

6.5.1任用之前

在人員任用之前，要確保雇員、承包方人員和第三方人員承擔(dān)的角色是適合的，并理解其職責(zé)，以降低信息資源被竊、欺詐和誤用的風(fēng)險。

1.角色和職責(zé)

(1)控制措施。應(yīng)按照組織的信息安全方針對雇員、承包方人員和第三方人員的安全角色和職責(zé)進行定義，并形成文件。6.5人員安全

(2)實施指南。

要對安全角色和職責(zé)進行定義，并在任用前清晰地傳達(dá)給崗位候選者。

安全角色和職責(zé)要滿足以下要求：

·按照組織的信息安全方針實施和運行。

·保護資產(chǎn)免受未授權(quán)訪問、泄露、修改、銷毀和干擾。

·執(zhí)行特定的安全過程或活動。

·確保職責(zé)分配給可采取措施的個人。

·向組織報告安全事件或潛在事件或其他安全風(fēng)險。

2.審查

(1)控制措施。關(guān)于所有任用的雇員、承包方人員和第三方人員的背景驗證核查，應(yīng)按照相關(guān)法律法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求、被訪問信息的類別和察覺的風(fēng)險來執(zhí)行。

(2)實施指南。

驗證核查要考慮所有相關(guān)的隱私、個人數(shù)據(jù)庫、相關(guān)的法律，并在允許時考慮：

·個人資料的可用性。

·申請人履歷的核查。

·聲稱的學(xué)術(shù)、專業(yè)資質(zhì)的證實。

·個人身份的核查。

·其他細(xì)節(jié)核查，如信用卡核查、犯罪記錄核查。

3.任用條款和條件

(1)控制措施。作為合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意并簽署他們的任用合同條款和條件，這些條款和條件應(yīng)聲明他們和組織的信息安全職責(zé)。

(2)實施指南。

任用條款和條件在反映組織安全方針的情況下，還要符合以下內(nèi)容：

·所有訪問敏感信息的雇員、承包方和第三方人員應(yīng)在給予權(quán)限之前簽署保密協(xié)議。

·雇員、承包方和其他人員的法律責(zé)任和權(quán)利，例如版權(quán)法、數(shù)據(jù)保護法等。

·與雇員、承包方和第三方人員操作的信息系統(tǒng)和服務(wù)有關(guān)的信息分類和組織管理資產(chǎn)的職責(zé)。

·雇員、承包方和第三方人員操作來自其他公司或外部方的信息的職責(zé)。

·組織處理人員信息的職責(zé)，包括由于組織任用或在組織任用過程中產(chǎn)生的信息。

·擴展到組織場所以外和正常工作時間之外的職責(zé)，例如在家中工作的情形。

·如果雇員、承包方和第三方人員漠視組織的安全要求所要采取的措施。6.5.2任用之中

在人員任用之中，要確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作中支持組織的安全方針，以減少人為出錯的風(fēng)險。

1.管理職責(zé)

(1)控制措施。管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對確保組織安全盡心盡力。

(2)實施指南。

如果雇員、承包方人員和第三方人員沒有意識到他們的安全職責(zé)，或者感覺被組織方低估，他們會對組織造成相當(dāng)大的破壞，而被激勵的人員則更可靠并能減少信息安全事件的發(fā)生。因此，管理職責(zé)上應(yīng)確保雇員、承包方人員和第三方人員：

·在被授權(quán)訪問敏感信息或信息系統(tǒng)前了解其信息安全角色和職責(zé)。

·獲得聲明他們在組織中角色的安全期望的指南。

·被激勵以實現(xiàn)組織的安全策略。

·對于他們在組織內(nèi)的角色和職責(zé)的相關(guān)安全問題的意識程度達(dá)到一定級別。

·遵守任用的條款和條件，包括組織的信息安全方針和工作的合適方法。

·持續(xù)擁有適當(dāng)?shù)募寄芎唾Y質(zhì)。

2.信息安全意識、教育和培訓(xùn)

(1)控制措施。組織的所有雇員，適當(dāng)時，包括承包方人員和第三方人員，應(yīng)受到與其工作職能相關(guān)的安全意識培訓(xùn)和組織方針策略及規(guī)程的定期更新培訓(xùn)。

(2)實施指南。

安全意識培訓(xùn)應(yīng)從一個正式的說明開始，這個過程用來在允許訪問信息或服務(wù)前說明組織的安全方針策略和期望。

持續(xù)地培訓(xùn)應(yīng)包括安全要求、法律職責(zé)和業(yè)務(wù)控制，還有正確使用信息處理設(shè)施的培訓(xùn)，例如登錄規(guī)程、軟件包的使用和紀(jì)律處理過程等。

3.紀(jì)律處理過程

(1)控制措施。對于安全違規(guī)的雇員，應(yīng)給予紀(jì)律處分。

(2)實施指南。

紀(jì)律處分之前應(yīng)有一個安全違規(guī)的驗證過程。

紀(jì)律處分應(yīng)確保正確和公平地對待被懷疑安全違規(guī)的雇員。無論違規(guī)是第一次還是已發(fā)生過，無論違規(guī)者是否經(jīng)過適當(dāng)?shù)呐嘤?xùn)，紀(jì)律處分應(yīng)規(guī)定一個分級的響應(yīng)，要考慮例如違規(guī)的性質(zhì)、重要性及對業(yè)務(wù)的影響等因素。另外，相關(guān)法律、業(yè)務(wù)合同和其他因素也是需要考慮的。對嚴(yán)重的明知故犯的雇員，應(yīng)立即免職、撤消訪問權(quán)和特殊權(quán)限，如果必要，直接遣送出現(xiàn)場。6.5.3任用的終止或變化

在人員任用終止或發(fā)生其他變化時，要確保所有的雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關(guān)系。

1.終止職責(zé)

(1)控制措施。應(yīng)明確任用終止或任用變更的職責(zé)。

(2)實施指南。

終止職責(zé)的傳達(dá)應(yīng)包括正在進行的安全要求和法律職責(zé)，必要時，還包括任何保密協(xié)議規(guī)定的職責(zé)，并且在雇員、承包方人員和第三方人員的雇傭結(jié)束后持續(xù)一段時間仍然有效的任用條款和條件。規(guī)定職責(zé)和義務(wù)在任用終止后仍然有效的內(nèi)容應(yīng)包含在與雇員、承包方人員和第三方人員的合同中。

職責(zé)或任用的變更管理應(yīng)與職責(zé)或任用的終止管理相似。

2.資產(chǎn)的歸還

(1)控制措施。所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，應(yīng)向組織歸還他們使用的所有資產(chǎn)。

(2)實施指南。

終止過程應(yīng)被正式化為包括所有先前發(fā)放的軟件、公司文件和設(shè)備的歸還。其他組織資產(chǎn)，例如移動計算設(shè)備、訪問卡、軟件、手冊和存儲于電子介質(zhì)中的信息也要歸還。

當(dāng)雇員、承包方人員和第三方人員購買了組織的設(shè)備或使用他們自己的設(shè)備時，應(yīng)遵循規(guī)程，確保所有相關(guān)的信息已轉(zhuǎn)移給組織，并且已從設(shè)備中安全地刪除。

3.撤消訪問權(quán)

(1)控制措施。所有雇員、承包方人員和第三方人員對信息和信息處理設(shè)施的訪問權(quán)應(yīng)在任用、合同或協(xié)議終止時撤消，或在變化時調(diào)整。

(2)實施指南。

任用終止時，個人對與信息系統(tǒng)和服務(wù)有關(guān)的資產(chǎn)訪問權(quán)應(yīng)被重新考慮。這將決定刪除訪問權(quán)是否必要。任用的變更應(yīng)體現(xiàn)在不適用于新崗位的訪問權(quán)的撤消上。應(yīng)撤消或改變的訪問權(quán)包括物理和邏輯訪問、密鑰、ID卡、信息處理設(shè)施、簽名，并要從標(biāo)識其作為組織的現(xiàn)有成員的文件中刪除。如果一個已離開的雇員、承包方人員或第三方人員知道仍保持活動狀態(tài)的賬戶密碼，則應(yīng)在任用、合同或協(xié)議終止或變更后改變口令。

6.6.1安全區(qū)域

設(shè)置安全區(qū)域是為了防止對組織場所和信息資源的未授權(quán)物理訪問、損壞和干擾。

1.物理安全周邊

(1)控制措施。應(yīng)采用安全周邊(如墻、卡控制的入口或有人管理的接待臺等屏障)來保護包含信息和信息處理設(shè)施的區(qū)域。6.6物理和環(huán)境安全

(2)實施指南。

物理保護可以通過在組織邊界和信息處理設(shè)施周圍設(shè)置一個或多個物理屏障來實現(xiàn)，以防止未授權(quán)進行和環(huán)境污染。多重屏障的使用將提供附加保護，一個屏障的失效不意味著即刻危及安全。

一個安全區(qū)域可以是一個可上鎖的辦公室，或是被連續(xù)的內(nèi)部物理安全屏障包圍的幾個房間。在安全邊界內(nèi)具有不同安全要求的區(qū)域之間需要控制物理訪問的附加屏障和周邊。

具有多個組織的建筑物應(yīng)考慮專門的物理訪問安全。

2.物理入口控制

(1)控制措施。安全區(qū)域應(yīng)由合適的入口控制所保護，以確保只有授權(quán)人員才允許訪問。

(2)實施指南。

應(yīng)考慮以下指南：

·記錄訪問者進入和離開的日期和時間，對所有的訪問者進行監(jiān)督，除非他們的訪問事前已經(jīng)過批準(zhǔn)；只允許他們訪問特定的、已授權(quán)的目標(biāo)，并向他們宣布有關(guān)安全要求。

·訪問處理敏感信息或儲存敏感信息的區(qū)域要受到控制，并且僅限于已授權(quán)人員；鑒別控制應(yīng)用于授權(quán)和確認(rèn)所有訪問；所有訪問的審核蹤跡要安全地加以保護。

·所有雇員、承包方人員和第三方人員以及所有訪問者要佩帶某種形式的可視標(biāo)識，如果遇到無人護送的訪問者和未佩帶可視標(biāo)識的任何人要立即通知保安人員。

·

第三方支持服務(wù)人員只在有需要的時候，才能有限制地訪問安全區(qū)域或敏感信息處理設(shè)施，這種訪問要被授權(quán)并受到監(jiān)視。

·對安全區(qū)域的訪問權(quán)要定期評審和更新，并在必要時廢除。

3.辦公室、房間和設(shè)施的安全保護

(1)控制措施。應(yīng)為辦公室、房間和設(shè)施設(shè)計物理安全措施。

(2)實施指南。

為了保護辦公室、房間和設(shè)施。應(yīng)考慮以下指南：

·相關(guān)的健康與安全法規(guī)和標(biāo)準(zhǔn)要考慮在內(nèi)。

·關(guān)鍵設(shè)施要坐落在避免公眾進行訪問的場地。

·如果可行，建筑物要不引人注目，并且在建筑物內(nèi)側(cè)或外側(cè)用不明顯的標(biāo)記給出其用途的最少指示，以標(biāo)識信息處理活動的存在。

·標(biāo)識敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不要輕易地被公眾得到。

4.外部和環(huán)境威脅的安全防護

(1)控制措施。為防止火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災(zāi)難引起的破壞，應(yīng)設(shè)計和采取物理保護措施。

(2)實施指南。

除了要考慮任何鄰近區(qū)域所帶來的安全威脅，例如鄰近建筑物的火災(zāi)、屋頂漏水或地板滲水或街上爆炸等，還應(yīng)考慮以下要求：

·危險或易燃材料要在離安全區(qū)域安全距離以外的地方存放，大批供應(yīng)品(如文具)不要存放于安全區(qū)域內(nèi)。

·基本維持運行的設(shè)備和備份介質(zhì)的存放地點要與主要場所有一段安全的距離，以避免對主要場所產(chǎn)生破壞。

·要提供適當(dāng)?shù)南涝O(shè)備，并放在合適的地點。

5.在安全區(qū)域工作

(1)控制措施。應(yīng)設(shè)計并應(yīng)用用于安全區(qū)域工作的物理保護和指南。

(2)實施指南。

為了安全區(qū)域工作的安全，應(yīng)考慮以下要求：

·只在必要時，允許員工知道安全區(qū)域的存在或其中的活動。

·避免在安全區(qū)域內(nèi)進行不受監(jiān)督的活動，以減少惡意活動的機會。

·未使用的安全區(qū)域在物理上要上鎖，并定期核查。

·除非授權(quán)，否則不允許攜帶攝影、視頻、聲頻等記錄設(shè)備。

6.公共訪問、交接區(qū)安全

(1)控制措施。訪問點和未授權(quán)人員可進入辦公場所的其他點應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問。

(2)實施指南。

為了公共訪問、交接區(qū)的安全，應(yīng)考慮以下要求：

·由建筑物外進入交接區(qū)的訪問要局限于已標(biāo)識的和已授權(quán)的人員。

·交接區(qū)要設(shè)計成在無需交貨人員獲得對本建筑物其他部分訪問權(quán)的情況下就能卸下物資。

·當(dāng)內(nèi)部門打開時，交接區(qū)的外部門處于安全保護中。

·物資從交接區(qū)運到使用地點之前，要檢查是否存在潛在威脅。

·物資要按照資產(chǎn)管理規(guī)程在場所的入口處進行登記。6.6.2設(shè)備安全

對各種設(shè)備和相關(guān)支持性設(shè)施進行適當(dāng)?shù)谋Ｗo，防止因丟失、損壞、失竊等原因而危及信息資源的安全，以及組織活動的中斷。

1.設(shè)備安置和保護

(1)控制措施。應(yīng)安置和保護設(shè)備，以減少由環(huán)境威脅和危險造成的風(fēng)險以及未授權(quán)訪問的機會。

(2)實施指南。

為了保護設(shè)備，應(yīng)考慮以下要求：

·要把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險，還要保護存儲設(shè)施以防止未授權(quán)的訪問。

·對要求專門保護的部件予以隔離，以降低所要求的總體保護等級。

·采取控制措施以最小化潛在的物理威脅的風(fēng)險，例如偷竊、火災(zāi)、振動、電源干擾等。

·對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如濕度)予以監(jiān)視。

·所有建筑物要采用避雷保護，所有進入的電源和通信線路要裝雷電保護過濾器。

·對于某些環(huán)境中的設(shè)備，要考慮專門的保護方法，例如鍵盤保護膜。

2.支持性設(shè)施

(1)控制措施。應(yīng)保護設(shè)備，防止由于支持性設(shè)施的失效而引起設(shè)備的電源故障或其他中斷。

(2)實施指南。

應(yīng)有足夠的支持性設(shè)施(例如供電、供水、排污、加熱、通風(fēng)等)來支持系統(tǒng)，并定期檢查并適當(dāng)?shù)販y試以確保它們正常工作和減少因它們的故障或失效帶來的風(fēng)險。

對于支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機或連續(xù)運行的不間斷電源(UPS)、備用發(fā)電機，甚至變電站等。應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時快速切斷電源。

應(yīng)有穩(wěn)定和足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)。

連接到設(shè)施提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條線路發(fā)生故障時語音服務(wù)失效，應(yīng)有足夠的語音服務(wù)以滿足國家法律對于應(yīng)急通信的要求。

必要時，評價和安裝報警系統(tǒng)來檢測支持設(shè)施的故障。

3.布纜安全

(1)控制措施。應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或

損壞。

(2)實施指南。

對于布纜安全，應(yīng)考慮以下要求：

·進入信息處理設(shè)施的電源和通信線路應(yīng)在地下，必要時提供足夠的可替換的保護。

·網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如利用電纜管道或使路由避開公共區(qū)域。

·為防止干擾，電源電纜要與通信電纜分開。

·要使用清晰的可識別的電纜和設(shè)備記號，以使處理差錯最小化。

·使用文件化配線列表減少出錯的可能性。

4.設(shè)備維護

(1)控制措施。設(shè)備應(yīng)予以正確地維護，以確保其持續(xù)的可用性和完整性。

(2)實施指南。

對于設(shè)備維護，應(yīng)考慮以下要求：

·要按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范對設(shè)備進行維護。

·只有已授權(quán)的維護人員才可對設(shè)備進行修理和服務(wù)。

·要保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護的記錄。

·當(dāng)對設(shè)備安排維護時，要實施適當(dāng)?shù)目刂?，并考慮到維護是由場所內(nèi)部人員執(zhí)行還是由組織外部人員執(zhí)行，必要時敏感信息要從設(shè)備中刪除或維護人員要足夠可靠。

·要遵守由保險策略所施加的所有要求。

5.組織場所外的設(shè)備安全

(1)控制措施。應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風(fēng)險。

(2)實施指南。

無論責(zé)任人是誰，在組織場所外使用任何信息處理設(shè)備都應(yīng)通過管理者授權(quán)。

對于離開場所的設(shè)備保護，應(yīng)考慮以下要求：

·離開建筑物的設(shè)備和介質(zhì)在公共場所應(yīng)有人看管。

·要始終遵守制造商的設(shè)備保護說明，例如防止暴露于強電磁場內(nèi)。

·家庭工作的控制措施要根據(jù)風(fēng)險評估確定，并加以必要的控制措施，如上鎖。

·要有足夠的安全保障掩蔽物，以保護離開辦公場所的設(shè)備。

6.設(shè)備的安全處置或再利用

(1)控制措施。應(yīng)對包含存儲介質(zhì)的設(shè)備的所有項目進行核查，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。

(2)實施指南。

包含敏感信息的設(shè)備在物理上應(yīng)予以摧毀，或者采用使原始信息不可獲取的技術(shù)破壞、刪除或?qū)懜采w，而不能采用標(biāo)準(zhǔn)的刪除或格式化功能。

包含敏感信息的已損壞設(shè)備可能需要實施風(fēng)險評估，以確定這些設(shè)備是否要進行銷毀，而不是送去修理或丟棄，因為信息可能通過對設(shè)備的草率處置或重用而被泄露。

7.資產(chǎn)的移動

(1)控制措施。設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。

(2)實施指南。

應(yīng)按照相關(guān)法律和規(guī)章執(zhí)行檢測未授權(quán)資產(chǎn)移動的抽查，以檢測未授權(quán)的記錄裝置、武器等等，防止他們進入辦公場所，同時要考慮以下要求：

·在未經(jīng)事先授權(quán)的情況下，不要讓設(shè)備、信息或軟件離開辦公場所。

·要明確識別有權(quán)允許資產(chǎn)移動和離開辦公場所的雇員、承包方人員和第三方人員。

·要設(shè)置設(shè)備移動的時間限制，并在返還時執(zhí)行符合性核查。

·必要時要對設(shè)備作移出記錄，返回時要作送回記錄。

6.7.1操作規(guī)程和職責(zé)

要按照一定的規(guī)程進行通信等相關(guān)操作，并明確相關(guān)職責(zé)，以確保正確、安全地操作信息處理設(shè)施。

1.文件化的操作規(guī)程

(1)控制措施。操作規(guī)程應(yīng)形成文件，并保持對所有需要的用戶可用。6.7通信與操作安全

(2)實施指南。

與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動應(yīng)形成文件的規(guī)程，如計算機啟動和關(guān)機規(guī)程、備份、介質(zhì)處理、機房、郵件處理等。

操作規(guī)程應(yīng)詳細(xì)規(guī)定執(zhí)行每項工作的說明。

應(yīng)將操作規(guī)程和系統(tǒng)活動的文件看做正式的文件，其變更由管理者授權(quán)。技術(shù)上可行時，信息系統(tǒng)應(yīng)使用相同的規(guī)程、工具和實用程序進行一致的管理。

2.變更管理

(1)控制措施。對信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。

(2)實施指南。

運行系統(tǒng)和應(yīng)用軟件應(yīng)有嚴(yán)格的變更管理控制。

管理者職責(zé)和規(guī)程應(yīng)到位，以確保對設(shè)備、軟件或規(guī)程的所有變更有令人滿意的控制，當(dāng)發(fā)生變更時，包含所有相關(guān)信息的審核日志應(yīng)被保留。

對信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失效的常見原因，例如對運行環(huán)境的變更，特別是當(dāng)系統(tǒng)從開發(fā)階段向運行階段轉(zhuǎn)移時，可能影響應(yīng)用的可靠性。

對運行系統(tǒng)的變更應(yīng)只在一個有效的業(yè)務(wù)需求時進行，例如系統(tǒng)風(fēng)險的增加。使用操作系統(tǒng)或應(yīng)用程序的最新版本更新并不總是業(yè)務(wù)需求，因為這樣做可能會引入比現(xiàn)有版本更多的脆弱性和不穩(wěn)定性，尤其是在移植期間，還需要額外培訓(xùn)、許可證費用、支持、維護和管理開支以及新的硬件等。

3.責(zé)任分割

(1)控制措施。各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無意識地修改或者不當(dāng)使用組織資產(chǎn)的機會。

(2)實施指南。

責(zé)任分割是一種減少意外或故意系統(tǒng)誤用的風(fēng)險方法。應(yīng)當(dāng)注意，在無授權(quán)或未被檢測時，應(yīng)使用個人不能訪問、修改或使用的資產(chǎn)。事件的啟動應(yīng)與其授權(quán)分離。在設(shè)計控制措施時就應(yīng)考慮到勾結(jié)的可能性。

小型組織可能感到難以實現(xiàn)這種責(zé)任分割，但只要具有可能性和可行性，應(yīng)盡量使用該原則。如果難以分割，應(yīng)考慮其他控制措施，例如對活動、審核蹤跡和管理監(jiān)督的監(jiān)視等。

4.開發(fā)、測試和運行設(shè)施分離

(1)控制措施。開發(fā)、測試和運行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險。

(2)實施指南。

如果開發(fā)和測試人員訪問運行系統(tǒng)及信息，可能會造成對運行信息的威脅，可能會引入未授權(quán)和未測試的代碼或改變運行數(shù)據(jù)。因此，為防止運行問題，應(yīng)識別運行、測試和開發(fā)環(huán)境之間的分離級別，實施適當(dāng)?shù)目刂拼胧?，并考慮以下要求：

·規(guī)定從開發(fā)狀態(tài)到運行狀態(tài)的軟件傳遞規(guī)則并形成文件。

·開發(fā)和運行軟件要在不同的系統(tǒng)或計算機處理器上以及在不同的域或目錄內(nèi)運行。

·無必要時，編譯器、編輯器和其他開發(fā)工具或系統(tǒng)實用工具不要從運行系統(tǒng)上訪問。

·測試系統(tǒng)環(huán)境要盡可能地仿效運行系統(tǒng)環(huán)境。

·用戶要在運行和測試系統(tǒng)中使用不同的用戶輪廓，菜單要顯示合適的標(biāo)識消息以減少出錯的風(fēng)險。

·敏感數(shù)據(jù)不要拷貝到測試系統(tǒng)環(huán)境中。6.7.2第三方服務(wù)交付管理

如果存在第三方服務(wù)，那么就要實施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn)。

1.服務(wù)交付

(1)控制措施。應(yīng)確保第三方實施、運行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。

(2)實施指南。

第三方服務(wù)交付應(yīng)包括商定的安全安排、服務(wù)定義和服務(wù)管理的各方面。在外包安排的情況下，組織應(yīng)策劃必要的過渡，并應(yīng)確保安全在整個過渡期間得以保持。

組織應(yīng)確保第三方保持足夠的服務(wù)能力和可使用的計劃以確保商定的服務(wù)水平在主要服務(wù)故障或災(zāi)難后繼續(xù)得以保持。

2.第三方服務(wù)的監(jiān)視和評審

(1)控制措施。應(yīng)定期監(jiān)視和評審由第三方提供的服務(wù)、報告和記錄。審核也定期

執(zhí)行。

(2)實施指南。

管理與第三方關(guān)系的職責(zé)應(yīng)分配給指定人員或服務(wù)管理組。另外，組織應(yīng)確保第三方分配了核查符合性和執(zhí)行協(xié)議要求的職責(zé)，并獲得足夠的技能和資源來監(jiān)視滿足協(xié)議的要求，特別是信息安全的要求，當(dāng)在服務(wù)交付中發(fā)現(xiàn)不足時，應(yīng)采取適當(dāng)?shù)拇胧?。第三方服?wù)的監(jiān)視和評審應(yīng)確保堅持協(xié)議的信息安全條款和條件，并且信息安全事件和問題得到適當(dāng)?shù)墓芾?，這將涉及組織和第三方之間的服務(wù)管理關(guān)系和過程，包括：

·監(jiān)視服務(wù)執(zhí)行級別以核查對協(xié)議的符合程度。

·評審由第三方產(chǎn)生的服務(wù)報告，安排協(xié)議要求的定期進展會議。

·當(dāng)協(xié)議和支持性指南及規(guī)程需要時，提供關(guān)于信息安全事件的信息，并共同評審。

·評審第三方的審核蹤跡以及關(guān)于交付服務(wù)的安全事件、運行問題、失效、故障追蹤和中斷的記錄。

·解決和管理所有已確定的問題。

3.第三方服務(wù)的變更管理

(1)控制措施。應(yīng)管理服務(wù)提供的變更，包括保持和改進現(xiàn)在的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的再評估。

(2)實施指南。

對第三方服務(wù)變更的管理過程要考慮到：

·組織要實施的變更包括對提供的現(xiàn)有服務(wù)的加強、任何新應(yīng)用和系統(tǒng)的開發(fā)、組織策略和規(guī)程的更改或更新、解決信息安全事件和改進安全的新的控制措施。

·第三方服務(wù)實施的變速包括對網(wǎng)絡(luò)的變更和加強、新技術(shù)的使用、新技術(shù)或新版本的采用、新開發(fā)工具和環(huán)境、服務(wù)設(shè)施物理位置的變更、供應(yīng)商的改變等。6.7.3系統(tǒng)規(guī)劃和驗收

對系統(tǒng)進行規(guī)劃和驗收，將系統(tǒng)失效的風(fēng)險降至最小。

1.容量管理

(1)控制措施。資源的使用應(yīng)加以監(jiān)視、調(diào)整，并做出對于未來容量要求的預(yù)測，以確保擁有所需的系統(tǒng)性能。

(2)實施指南。

對于每一個新的和正在進行的活動來說，應(yīng)明確容量要求。應(yīng)使用系統(tǒng)調(diào)整和監(jiān)視以確保和改進系統(tǒng)的可用性和效率。對未來容量要求的推測應(yīng)考慮新業(yè)務(wù)、系統(tǒng)要求以及組織信息處理能力的當(dāng)面和預(yù)計的趨勢。管理人員應(yīng)監(jiān)視系統(tǒng)關(guān)鍵信息資源的使用情況，并利用該信息來識別和避免可能威脅到系統(tǒng)安全或服務(wù)的潛在瓶頸及對關(guān)鍵職工的依賴，并策劃適當(dāng)?shù)拇胧?/p>

2.系統(tǒng)驗收

(1)控制措施。應(yīng)建立對新信息系統(tǒng)、升級及新版本的驗收準(zhǔn)則，并且在開發(fā)中和驗收前對系統(tǒng)進行適當(dāng)?shù)臏y試。

(2)實施指南。

管理人員應(yīng)確保驗收新系統(tǒng)的要求和準(zhǔn)則被明確地定義、商定、形成文件并經(jīng)過測試，新信息系統(tǒng)升級和新版本只有在獲得正式驗收后，才能進行生產(chǎn)環(huán)節(jié)。對于主要的新的開發(fā)，在開發(fā)過程的各階段應(yīng)征詢運行職能部門和用戶的意見，以確保所建議的系統(tǒng)設(shè)計的運行效率，并進行適當(dāng)?shù)臏y試，以證實完全滿足全部驗收標(biāo)準(zhǔn)。6.7.4防范惡意和移動代碼

對惡意代碼和移動代碼進行控制，保護軟件和信息的完整性。

1.控制惡意代碼

(1)控制措施。應(yīng)實施惡意代碼的檢測、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)靥岣哂脩舭踩庾R的規(guī)程。

(2)實施指南。

防范惡意代碼是基于惡意代碼檢測和修復(fù)軟件、安全意識、適當(dāng)?shù)南到y(tǒng)訪問和變更管理控制措施，應(yīng)考慮以下措施：

·建立禁止使用未授權(quán)軟件的正式策略。

·建立防范風(fēng)險的正式策略，該風(fēng)險與來自外部網(wǎng)絡(luò)或其他介質(zhì)上的文件或軟件相關(guān)。

·對支持關(guān)鍵業(yè)務(wù)過程的系統(tǒng)中的軟件和數(shù)據(jù)內(nèi)容進行定期評審。

·安裝和定期更新惡意代碼檢測和修復(fù)軟件來掃描系統(tǒng)，以作為預(yù)防控制。

·定義關(guān)于系統(tǒng)惡意代碼防護、它們使用的培訓(xùn)、惡意代碼攻擊報告和從中恢復(fù)的管理規(guī)則和職責(zé)。

·制定適當(dāng)?shù)膹膼阂獯a攻擊中恢復(fù)的業(yè)務(wù)持續(xù)性計劃，包括數(shù)據(jù)備份和恢復(fù)安排。

·實施檢驗與惡意代碼相關(guān)信息的規(guī)程，并確保報警公告是準(zhǔn)確情報，管理人員應(yīng)使用合格的來源(如聲譽好的期刊、可靠的Internet網(wǎng)站)以區(qū)分虛假的和真實的惡意代碼。

2.控制移動代碼

(1)控制措施。當(dāng)授權(quán)使用移動代碼時，其配置應(yīng)確保授權(quán)的移動代碼按照清晰定義的安全策略運行，應(yīng)阻止執(zhí)行未授權(quán)的移動代碼。

(2)實施指南。

移動代碼是一種軟件代碼，它能從一臺計算機傳遞到另一臺計算機，隨后自動執(zhí)行并在很少或沒有用戶干預(yù)的情況下完成特定功能。移動代碼與大量的中間件服務(wù)有關(guān)。

除確保移動代碼不包含惡意代碼外，控制移動代碼也是必要的，以避免系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用資源的未授權(quán)使用或破壞，以及其他信息安全違規(guī)。為防止移動代碼執(zhí)行未授權(quán)的活動，應(yīng)考慮以下措施：

·在邏輯上隔離的環(huán)境中執(zhí)行移動代碼。

·阻斷移動代碼的所有使用。

·阻斷移動代碼的接收。

·使技術(shù)措施在一個特定系統(tǒng)中可用，以確保移動代碼受控。

·控制移動代碼訪問的可用資源。

·使用密碼控制，以唯一地鑒別移動代碼。6.7.5備份

對信息進行適當(dāng)?shù)貍浞?，保護信息和信息處理設(shè)施的完整性及可用性。

(1)控制措施。應(yīng)按照已設(shè)定的備份策略，定期備份和測試信息和軟件。

(2)實施指南。

應(yīng)提供足夠的備份設(shè)施，以確保所有必要的信息和軟件能在災(zāi)難或介質(zhì)故障后進行恢復(fù)。各個系統(tǒng)的備份安排應(yīng)定期測試以確保它們滿足業(yè)務(wù)持續(xù)性計劃的要求，對于關(guān)鍵的系統(tǒng)，備份安排應(yīng)包括在發(fā)生災(zāi)難時恢復(fù)整個系統(tǒng)所必要的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)。對于信息備份，應(yīng)考慮以下要求：

·要定義備份的必要級別和確定備份的強度。

·要建立備份拷貝的準(zhǔn)確完整記錄和文件化的恢復(fù)規(guī)程。

·備份要存儲在距離源信息足夠遠(yuǎn)的地方，必要時要加密保存。

·若可行，要定期測試備份介質(zhì)和恢復(fù)規(guī)程，以確保它們有效。6.7.6網(wǎng)絡(luò)安全管理

對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進行管理和控制，確保網(wǎng)絡(luò)中信息的安全性并保護支持性的基礎(chǔ)

設(shè)施。

1.網(wǎng)絡(luò)控制

(1)控制措施。應(yīng)充分管理和控制網(wǎng)絡(luò)，以防止威脅的發(fā)生，維護使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全，包括傳輸中的信息。

(2)實施指南。網(wǎng)絡(luò)管理員應(yīng)實施控制防止未授權(quán)訪問所連接的服務(wù)，并考慮以下要求：

·若合適，網(wǎng)絡(luò)的操作職責(zé)要與計算機操作分開。

·要建立遠(yuǎn)程設(shè)備管理的職責(zé)和規(guī)程。

·要建立專門的規(guī)程，以防護在公用網(wǎng)絡(luò)上或無線網(wǎng)絡(luò)上傳遞數(shù)據(jù)的保密性和完整性。

·為記錄安全相關(guān)的活動，要使用適當(dāng)?shù)娜罩居涗浐捅O(jiān)視措施。

2.網(wǎng)絡(luò)服務(wù)安全

(1)控制措施。安全特性、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有的網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部提供還是外包的。

(2)實施指南。

網(wǎng)絡(luò)服務(wù)提供商以安全方式管理商定服務(wù)的能力應(yīng)予以確定并定期監(jiān)視，還應(yīng)商定審核的權(quán)利，還應(yīng)識別特殊服務(wù)的安全安排，例如安全特性(包括安全技術(shù)、技術(shù)參數(shù)等)、服務(wù)級別和管理要求。組織應(yīng)確保網(wǎng)絡(luò)服務(wù)提供商實施了這些措施。6.7.7介質(zhì)處置

對信息存儲的介質(zhì)進行管理和控制，防止信息資源遭受未授權(quán)泄露、修改、移動或銷毀，以及業(yè)務(wù)活動的中斷。

1.可移動介質(zhì)的管理

(1)控制措施。應(yīng)有適當(dāng)?shù)目梢苿咏橘|(zhì)的管理規(guī)程。

(2)實施指南。

對于可移動介質(zhì)的管理，應(yīng)考慮以下要求：

·對于從組織取走的任何可重復(fù)使用的介質(zhì)中的內(nèi)容，如果不再需要，要使其不可重現(xiàn)。

·如果必要且可行，對于從組織取走的所有介質(zhì)要求授權(quán)，記錄并保持審核跟蹤。

·要將所有的介質(zhì)存儲在符合制造商說明的安全、保密的環(huán)境中。

·

如果存儲在介質(zhì)中的信息使用時間比介質(zhì)生命期長，則還要將信息存儲在別的地方。

·只有在有業(yè)務(wù)要求時，才使用可移動介質(zhì)。

2.介質(zhì)的處置

(1)控制措施。不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。

(2)實施指南。

應(yīng)建立安全處置介質(zhì)的正式規(guī)程，以使敏感信息泄露給未授權(quán)人員的風(fēng)險降至最小。安全處置包含敏感信息介質(zhì)的規(guī)程應(yīng)與信息的敏感性相一致，并考慮以下要求：

·包含有敏感信息的介質(zhì)應(yīng)秘密和安全地存儲和處置。

·應(yīng)有規(guī)程識別可能需要安全處置的項目。

·安排把所有介質(zhì)部件收集起來并進行安全處置，比試圖分離出敏感部件可能更容易。

·處置敏感部件應(yīng)作記錄，以保持審核蹤跡。

3.信息處理規(guī)程

(1)控制措施。應(yīng)建立信息的處理及存儲規(guī)程，以防止信息的未授權(quán)泄露或不當(dāng)使用。

(2)實施指南。

應(yīng)制定規(guī)程來處置、處理、存儲或傳達(dá)與分類一致的信息，并考慮以下要求：

·按照所顯示的分類級別，處置和標(biāo)記所有介質(zhì)。

·確定防止未授權(quán)人員訪問的限制。

·維護數(shù)據(jù)的授權(quán)接收者的正式記錄。

·確保輸入數(shù)據(jù)完整，正確完成了處理并應(yīng)用了輸出確認(rèn)。

·按照與其敏感性一致的級別，保護等待輸出的脫機數(shù)據(jù)。

·根據(jù)制造商的規(guī)范存儲介質(zhì)。

·清晰地標(biāo)記介質(zhì)的所有拷貝，以引起已授權(quán)接收者的關(guān)注。

·以固定的時間間隔評審分發(fā)列表和已授權(quán)接收者列表。

4.系統(tǒng)文件安全

(1)控制措施。應(yīng)保護系統(tǒng)文件以防止未授權(quán)的訪問。

(2)實施指南。

對于系統(tǒng)文件安全，應(yīng)考慮以下要求：

·安全地存儲系統(tǒng)文件。

·將系統(tǒng)文件的訪問人員列表保持在最小范圍，并且由系統(tǒng)責(zé)任人授權(quán)。

·要妥善地保護保存在公用網(wǎng)絡(luò)上的或經(jīng)由公用網(wǎng)絡(luò)提供的系統(tǒng)文件。6.7.8信息的交換

對信息的交換進行控制，保持組織內(nèi)，以及與組織外的信息和軟件交換的安全。

1.信息交換策略和規(guī)程

(1)控制措施。應(yīng)有正式的交換策略、規(guī)程和控制措施，以保護通過使用各種通信設(shè)施的信息交換。

(2)實施指南。

使用電子通信設(shè)施進行信息交換的規(guī)程和控制應(yīng)考慮以下要求：

·設(shè)計用來防止交換信息遭受截取、復(fù)制、修改、錯誤尋址和破壞的規(guī)程。

·檢測和防止可能通過使用電子通信傳輸?shù)膼阂獯a的規(guī)程。

·保護以附件形式傳輸?shù)拿舾须娮有畔⒌囊?guī)程。

·無線通信使用的規(guī)程，要考慮所涉及的特定風(fēng)險。

·使用密碼技術(shù)保護信息的保密性、完整性和真實性。

·所有業(yè)務(wù)通信的保持和處理指南，要與相關(guān)法律法規(guī)一致。

·與通信設(shè)施轉(zhuǎn)發(fā)相關(guān)的控制措施和限制，例如郵件的自動轉(zhuǎn)發(fā)到外部地址。

·提醒工作人員相關(guān)的預(yù)防措施，例如保密會談或電話可能被人竊聽、應(yīng)答機上可能有敏感信息、傳真機和復(fù)印機上可能有頁面緩沖等。

2.交換協(xié)議

(1)控制措施。應(yīng)建立組織與外部各方交換信息和軟件的協(xié)議。

(2)實施指南。

交換協(xié)議應(yīng)考慮以下要求：

·控制和通知傳輸、分派和接收的管理職責(zé)。

·通知傳輸、分派和接收的發(fā)送者的規(guī)程。

·確?？勺匪菪院筒豢傻仲囆缘囊?guī)程。

·打包和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn)。

·有條件轉(zhuǎn)讓協(xié)議。

·如果發(fā)生信息安全事件(例如數(shù)據(jù)丟失)的職責(zé)和義務(wù)。

·商定標(biāo)記敏感或關(guān)鍵信息的系統(tǒng)的使用，確保標(biāo)記的含義能直接被理解。

·為保護敏感項，可能要求任何專門的控制措施，如密鑰。

3.運輸中的物理介質(zhì)

(1)控制措施。包含信息的介質(zhì)在組織的物理邊界外運送時，應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或損壞。

(2)實施指南。

為保護不同地點間傳輸?shù)男畔⒔橘|(zhì)，應(yīng)考慮以下要求：

·要使用可靠的運輸或送信人。

·授權(quán)的送信人列表要經(jīng)管理者批準(zhǔn)。

·制定核查送信人識別的規(guī)程。

·包裝要足以保護信息免遭在運輸期間可能的物理損壞，并符合制造商的規(guī)范。

·必要時采取專門的控制(例如上鎖、手工交付、防篡改包裝等)，以保護敏感信息。

4.電子消息發(fā)送

(1)控制措施。包含在電子消息發(fā)送中的信息應(yīng)予以保護。

(2)實施指南。

電子消息發(fā)送的安全考慮應(yīng)包括以下方面：

·防止消息遭受未授權(quán)訪問、修改或拒絕服務(wù)攻擊。

·確保正確的尋址和消息傳輸。

·在使用外部公共服務(wù)(例如即時消息或文件共享)前獲得批準(zhǔn)。

·更強的用以控制從公開可訪問網(wǎng)絡(luò)進行訪問的鑒別級別。

5.業(yè)務(wù)信息系統(tǒng)

(1)控制措施。應(yīng)建立并實施策略和規(guī)程，以保護與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息。

(2)實施指南。

對于互聯(lián)的安全和業(yè)務(wù)應(yīng)考慮：

·信息在組織的不同部門間共享時，要管理在會計系統(tǒng)中已知的脆弱性。

·業(yè)務(wù)通信系統(tǒng)中的信息脆弱性，例如會議呼叫記錄、呼叫的保密性、傳真的保存等。

·管理信息共享的策略和適當(dāng)?shù)目刂拼胧?/p>

·限制訪問與特定人員(例如參與敏感項目的工作人員)相關(guān)的日志信息。

·允許使用系統(tǒng)的人員的類別，以及可以訪問該系統(tǒng)的位置。

·對特定類別的用戶限制于所選定的設(shè)施。

·系統(tǒng)上存放的信息的保留和備份。6.7.9電子商務(wù)服務(wù)

對電子商務(wù)進行管理和控制，確保電子商務(wù)服務(wù)的安全及其安全使用。

1.電子商務(wù)

(1)控制措施。包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護，以防止欺詐活動、合同爭議以及未授權(quán)的泄露和修改。

(2)實施指南。

電子商務(wù)的安全應(yīng)考慮：

·在彼此聲稱的身份中，每一方要求的信任級別，例如通過鑒別。

·與誰設(shè)定價格、發(fā)布或簽署關(guān)鍵交易文件相關(guān)的授權(quán)過程。

·確保貿(mào)易伙伴完全接到他們的職責(zé)的授權(quán)通知。

·決定并滿足保密性、完整性和關(guān)鍵文件的分發(fā)和接收證明，以及不可抵賴性要求。

·任何訂單交易、支付信息、交付地址細(xì)節(jié)、接收確認(rèn)等信息的保密性和完整性。

·適于核查用戶提供的支付信息的驗證程度。

·為防止欺詐，選擇最適合的支付解決形式。

·訂單信息的保護級別。

·保險要求。

2.在線交易

(1)控制措施。在線交易中的信息應(yīng)受保護，以防止不完全傳輸、錯誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。

(2)實施指南。

在線交易的安全應(yīng)考慮：

·交易中涉及的每一方的電子簽名的使用。

·確保各方用戶信任是有效的并經(jīng)過驗證的，交易及其中涉及的隱私是保密的。

·各方之間的通信協(xié)議是安全的。

·確保交易細(xì)節(jié)存儲于任何公開可訪問環(huán)境之外，如內(nèi)部網(wǎng)絡(luò)的存儲平臺。

·當(dāng)使用一個可信權(quán)威時，安全可集成嵌入到整個端到端認(rèn)證/簽名管理過程中。

3.公共可用信息

(1)控制措施。在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護，以防止未授權(quán)的修改。

(2)實施指南。

應(yīng)通過適當(dāng)?shù)臋C制(例如數(shù)字簽名)保護需要高完整性級別、可在公共可用系統(tǒng)中得到的軟件、數(shù)據(jù)和其他信息。在信息可用之前，應(yīng)測試公共可用系統(tǒng)，以防止弱點和故障。

在信息公開可用之前，應(yīng)有正式的批準(zhǔn)過程。另外，所有從外部對系統(tǒng)提供的輸入應(yīng)經(jīng)過驗證和批準(zhǔn)。應(yīng)小心地控制電子發(fā)布系統(tǒng)，特別是允許反饋和直接錄入信息的那些電子發(fā)布系統(tǒng)。

在公共可用系統(tǒng)上的信息需要符合該系統(tǒng)所在的或貿(mào)易發(fā)生的責(zé)任人居住的管轄區(qū)域內(nèi)的法律法規(guī)。發(fā)布信息的未授權(quán)修改可能損害發(fā)布組織的聲望。6.7.10監(jiān)視

對系統(tǒng)進行適時的監(jiān)視，檢測未經(jīng)授權(quán)的信息處理活動。

1.審計記錄

(1)控制措施。應(yīng)產(chǎn)生記錄用戶活動、異常情況和信息安全事件的日志，并要保持一個已設(shè)的周期以支持將來的調(diào)查和訪問控制監(jiān)視。

(2)實施指南。

審計日志包含入侵和保密人員的數(shù)據(jù)，應(yīng)采取適當(dāng)?shù)碾[私保護措施。可能時，系統(tǒng)管理員不應(yīng)有刪除或停用他們自己活動日志的權(quán)利。審計日志，應(yīng)包括：

·用戶ID。

·日期、時間和關(guān)鍵事件的細(xì)節(jié)，如登錄和退出。

·成功的和被拒絕的對數(shù)據(jù)以及其他資源嘗試訪問的記錄。

·系統(tǒng)配置的變更。

·特殊權(quán)限的使用。

·系統(tǒng)實用工具和應(yīng)用程序的使用。

·訪問的文件和訪問類型。

·網(wǎng)絡(luò)地址和協(xié)議。

·訪問控制系統(tǒng)引發(fā)的警報。

·防護系統(tǒng)的激活和停用，例如防病毒系統(tǒng)和入侵檢測系統(tǒng)。

2.監(jiān)視系統(tǒng)的使用

(1)控制措施。應(yīng)建立信息處理設(shè)施的監(jiān)視使用規(guī)程，并經(jīng)常評審監(jiān)視活動的結(jié)果。

(2)實施指南。

各個設(shè)施的監(jiān)視器級別應(yīng)由風(fēng)險評估決定，一個組織應(yīng)符合所有相關(guān)的適用于監(jiān)視活動的法律要求，應(yīng)考慮的范圍包括：

·授權(quán)訪問，包括細(xì)節(jié)，如用戶ID、日期、時間、訪問的文件、使用的工具等。

·所有特殊權(quán)限操作，例如特殊賬戶的使用、系統(tǒng)啟動和停止、I/O設(shè)備的裝配/拆卸等。

·未授權(quán)的訪問嘗試，例如失敗的或被拒絕的用戶行為、各種危險的警報和通知等。

·改變或企圖改變系統(tǒng)的安全設(shè)置和控制措施。

3.日志信息的保護

(1)控制措施。記錄日志的設(shè)施和日志信息應(yīng)加以保護，以防止篡改和未授權(quán)的訪問。

(2)實施指南。

系統(tǒng)日志通常包含大量的信息，其中許多與安全監(jiān)視無關(guān)。為幫助識別出對安全監(jiān)視目的有重要意義的事件，應(yīng)考慮將相應(yīng)的信息類型自動拷貝到第二份日志和/或使用適合的系統(tǒng)實用工具或?qū)徲嫻ぞ邎?zhí)行文件查詢及規(guī)范化。

應(yīng)實施控制措施以防止日志設(shè)施被未授權(quán)更改和出現(xiàn)操作問題，包括：

·更改已記錄的消息類型。

·日志文件被編輯或刪除。

·超越日志文件介質(zhì)的存儲容量，導(dǎo)致不能記錄或過去記錄被覆蓋。

4.管理員和操作員日志

(1)控制措施。系統(tǒng)管理員和系統(tǒng)操作員活動應(yīng)記入日志。

(2)實施指南。

系統(tǒng)管理員和操作員日志應(yīng)包括：

·事件(成功的或失敗的)發(fā)生的時間。

·關(guān)于事件(例如處理的文件)或故障(例如發(fā)生的差錯和采取的糾正措施)的信息。

·涉及的賬號和管理員或操作員。

·涉及的過程。

5.故障日志

(1)控制措施。故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧┡懦收稀?/p>

(2)實施指南。

與信息處理或通信系統(tǒng)的問題有關(guān)的用戶或系統(tǒng)程序所報告的故障應(yīng)加以記錄。對于處置所報告的故障應(yīng)有明確的規(guī)則，包括：

·評審故障日志，以確保故障已得到令人滿意的解決。

·評審糾正措施，以確保沒有損害控制措施，以及所采取的措施給予了充分授權(quán)。

6.時鐘同步

(1)控制措施。一個組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用已設(shè)的精確時間源來進行同步。

(2)實施指南。

正確設(shè)置計算機時鐘對確保審計記錄的準(zhǔn)確性是必要的，審計日志可用于調(diào)查或作為法律、紀(jì)律處理的證據(jù)。若計算機或通信設(shè)備有能力運行實時時鐘，則時鐘應(yīng)置為商定的標(biāo)準(zhǔn)，例如世界標(biāo)準(zhǔn)時間(UTC，UniversalTimeCoordinated)或本地標(biāo)準(zhǔn)時間。當(dāng)已知某些時鐘隨時間漂移，應(yīng)有一個核查和校準(zhǔn)所有重大變化的規(guī)程。日期/時間格式的正確解釋對確保時間戳反映實時的日期/時間是重要的，還應(yīng)考慮局部特殊性(如夏令時間)。

6.8.1訪問控制策略

訪問控制策略用來控制對信息資源的訪問。

(1)控制措施。訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和訪問的安全要求進行評審。6.8訪問控制

(2)實施指南。

應(yīng)在訪問控制策略中清晰地規(guī)定每個用戶或每組用戶的訪問控制規(guī)則和權(quán)利。訪問控制包括邏輯的和物理的，它們應(yīng)一起被考慮，應(yīng)給用戶和服務(wù)提供商提供一份清晰的滿足業(yè)務(wù)要求的說明。

訪問控制策略應(yīng)有正式的規(guī)程支持，并考慮以下要求：

·每個業(yè)務(wù)應(yīng)用的安全要求。

·與業(yè)務(wù)應(yīng)用相關(guān)的所有信息的標(biāo)識和信息面臨的風(fēng)險。

·信息傳播和授權(quán)的策略，例如了解原則和安全等級以及信息分類的需要。

·不同系統(tǒng)和網(wǎng)絡(luò)的訪問控制策略和信息分類策略之間的一致性。

·關(guān)于保護訪問數(shù)據(jù)或服務(wù)的相關(guān)法律和合同義務(wù)。

·訪問控制角色的分割，例如訪問請求、訪問授權(quán)、訪問管理。

·訪問請求的正式授權(quán)要求。

·在“未經(jīng)明確允許，則一律禁止”的前提下，而不是“未經(jīng)明確禁止，則一律允許”的弱規(guī)則的基礎(chǔ)上建立規(guī)則。

·訪問控制的定期評審要求。

·訪問權(quán)的取消。6.8.2用戶訪問管理

對用戶的訪問進行管理和控制，確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)訪問。

1.用戶注冊

(1)控制措施。應(yīng)有正式的用戶注冊及注銷規(guī)程，來授權(quán)和撤消對所有信息系統(tǒng)及服務(wù)的訪問。

(2)實施指南。

應(yīng)考慮基于業(yè)務(wù)要求建立用戶訪問角色，將大量的訪問權(quán)歸結(jié)到典型的用戶訪問角色集中。在這種角色級別上對訪問請求和評審進行管理要比在特定的權(quán)限級別上容易些。

用戶注冊和注銷的訪問控制規(guī)程應(yīng)包括：

·使用唯一用戶ID，使得用戶與其行為鏈接起來，并對其行為負(fù)責(zé)。必要時，應(yīng)經(jīng)過批準(zhǔn)允許使用組ID，且形成文件。

·核查使用信息系統(tǒng)或服務(wù)的用戶是否具有該系統(tǒng)擁有者的授權(quán)，取得管理者對訪問權(quán)的單獨批準(zhǔn)也是可以的。

·核查所授予的訪問級別是否與業(yè)務(wù)目的相適合，是否與組織的安全方針保持一致，如沒有違背責(zé)任分割原則。

·確保直到已經(jīng)完成授權(quán)規(guī)程，服務(wù)提供者才提供訪問。

·維護一份注冊使用該服務(wù)的所有人員的正式記錄。

·立即取消或封鎖工作角色或崗位發(fā)生變更，或離開組織的用戶的訪問權(quán)。

·定期核查并取消或封鎖多余的用戶ID和賬號。

·確保多余的用戶ID不會發(fā)給其他用戶。

2.特殊權(quán)限管理

(1)控制措施。應(yīng)限制和控制特殊權(quán)限的分配及使用。

(2)實施指南。

需要防范未授權(quán)訪問的多用戶系統(tǒng)。應(yīng)通過正式的授權(quán)過程使特殊權(quán)限的分割受到控制，如系統(tǒng)管理特殊權(quán)限的不恰當(dāng)使用，可能是一種導(dǎo)致系統(tǒng)故障或違規(guī)的主要因素，因此要考慮以下要求：

·要標(biāo)識出與每個系統(tǒng)產(chǎn)品(例如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、每個應(yīng)用程序等)相關(guān)的訪問特殊權(quán)限，并需要將其分配的用戶。

·特殊權(quán)限要按照訪問控制策略在“按需使用”和“一事一議”的基礎(chǔ)上分配。

·應(yīng)維護所分配的各個特殊權(quán)限的授權(quán)過程和記錄。

·要促進開發(fā)和使用系統(tǒng)例行程序，以避免把特殊權(quán)限授予用戶的需要。

·特殊權(quán)限要分配給一個不同于正常業(yè)務(wù)用途的用戶ID。

3.用戶口令管理

(1)控制措施。應(yīng)通過正式的管理過程控制口令的分配。

(2)實施指南。

口令是按照用戶授權(quán)賦予對信息系統(tǒng)或服務(wù)的訪問權(quán)之前，驗證用戶身份的一種常見手段。用戶標(biāo)識和鑒別的其他技術(shù)，例如生物特征識別、簽名驗證和硬件標(biāo)記的使用，這些技術(shù)均可用?？诹罟芾淼倪^程中，要考慮以下要求：

·要求用戶簽署一份聲明，以保證口令的保密性和組口令僅在該組成員范圍內(nèi)使用。

·若需要用戶維護自己的口令，要在初始時提供給他們一個安全的臨時口令，并強制其立即改變。

·要以安全的方式將臨時口令給予用戶，用戶要確認(rèn)收到口令。

·口令不要以未保護的形式存儲在計算機系統(tǒng)中。

·要在系統(tǒng)或軟件安裝后改變提供商的默認(rèn)口令。

4.用戶訪問權(quán)的復(fù)查

(1)控制措施。管理者應(yīng)定期使用正式過程對用戶的訪問權(quán)進行復(fù)查。

(2)實施指南。

定期復(fù)查用戶訪問權(quán)對于保持對數(shù)據(jù)和信息服務(wù)的有效控制而言是必要的，并考慮：

·要定期(例如6個月)和在任何變更(例如升職、辭職等)后對用戶訪問權(quán)進行復(fù)查。

·當(dāng)在一個組織中從一個崗位換到另一個崗位時，要復(fù)查和重新分配用戶訪問權(quán)。

·對于特殊權(quán)限的訪問權(quán)要在更頻繁的時間間隔(例如3個月)內(nèi)進行復(fù)查。

·要定期核查特殊權(quán)限的分配，以確保不能獲得未授權(quán)的特殊權(quán)限。

·具有特殊權(quán)限的賬戶的變更要在周期性復(fù)查時記入日志。6.8.3用戶職責(zé)

明確要求用戶履行相關(guān)的職責(zé)，防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、損害或竊取。

1.口令使用

(1)控制措施。應(yīng)要求用戶在選擇及使用口令時，遵循良好的安全習(xí)慣。

(2)實施指南。

建議所有用戶應(yīng)做到以下要求：

·對口令保密。

·避免保留口令到記錄(例如在紙上、軟件文件中)，除非可以對其進行安全地存儲。

·每當(dāng)有跡象表明系統(tǒng)或口令受到損害時就要變更口令。

·選擇具有最小長度的優(yōu)質(zhì)口令。

·定期或以訪問次數(shù)為基礎(chǔ)變更口令，并避免使用舊的口令。

·在任何自動登錄過程中，不要包含口令。

·不在業(yè)務(wù)目的和非業(yè)務(wù)目的中使用相同的口令。

2.無人值守的用戶設(shè)備

(1)控制措施。用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo。

(2)實施指南。

所有用戶應(yīng)了解保護無人值守的設(shè)備的安全要求和規(guī)程，以及他們對實現(xiàn)這種保護所負(fù)有的職責(zé)。建議用戶做到以下要求：

·結(jié)束時終止活動的會話，除非采用合適的鎖定機制保證其安全，例如有口令的屏保。

·當(dāng)對話結(jié)束時退出計算機、服務(wù)器和辦公PC。

·當(dāng)不使用設(shè)備時，用帶鑰匙的鎖或相同效果的控制措施保護設(shè)備，例如口令訪問。

3.清空桌面和屏幕策略

(1)控制措施。應(yīng)采取清空桌上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。

(2)實施指南。

清空桌面/清空屏幕降低了正常工作時間之中和之外對信息的未授權(quán)訪問、丟失、破壞的風(fēng)險。清空策略應(yīng)考慮信息分類、法律和合同要求、相應(yīng)風(fēng)險和組織文化方面，并考慮：

·當(dāng)不用時，特別是離開辦公室時，要將敏感或關(guān)鍵業(yè)務(wù)信息鎖起來。

·當(dāng)無人值守時，計算機和終端要注銷，或使用口令、令牌等機制控制屏幕和鍵盤。

·郵件進出點和無人值守的傳真機要受到保護。

·包含敏感或涉密信息的文件要立即從打印機中清除。6.8.4網(wǎng)絡(luò)訪問控制

對網(wǎng)絡(luò)訪問進行管理和控制，防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。

1.使用網(wǎng)絡(luò)服務(wù)的策略

(1)控制措施。應(yīng)使用戶僅能訪問已獲專們授權(quán)的服務(wù)。

(2)實施指南。

與網(wǎng)絡(luò)服務(wù)的未授權(quán)和不安全連接可以影響整個組織。對于與敏感或關(guān)鍵業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)連接或與高風(fēng)險位置(例如超出組織安全管理和控制的公共區(qū)域)的用戶網(wǎng)絡(luò)連接而言，這一控制措施特別重要。應(yīng)制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略，例如：

·允許被訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。

·確定允許哪個人訪問哪些網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的授權(quán)規(guī)程。

·保護訪問網(wǎng)絡(luò)連接和網(wǎng)絡(luò)服務(wù)的管理控制措施和規(guī)程。

·訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段(例如撥號訪問ISP的條件)。

2.外部連接的用戶鑒別

(1)控制措施。應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪問。

(2)實施指南。

遠(yuǎn)程用戶的鑒別可以使用例如密碼技術(shù)、硬件令牌或詢問/響應(yīng)協(xié)議來實現(xiàn)。在各種VPN解決方案中可以發(fā)現(xiàn)這種技術(shù)的實施。專線也可用來提供連接來源的保證。

回?fù)芤?guī)程和控制措施，例如使用回?fù)苷{(diào)制解調(diào)器，可以防范到組織信息處理設(shè)施的未