BS7799-1-1999

('信息安全管理BS7799-1:1999第一部分：信息安全管理业务手则1前言BS7799本部分内容，即信息安全管理，是在BSI/DISC委员会BDD/2指导下完成的。它取代了已经停止使用的BS7799:1995。BS7799由两个部分组成：\uf06c第一部分：信息安全管理业务守则；\uf06c第二部分：信息安全管理系统规范。BS7799-1首发于1995年，它为信息安全提供了一套全面综合最佳实践经验的控制措施。其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据，并且能够让各种规模的组织所采用。本标准使用组织这一术语，既包括赢利性组织，也包括诸如公共部门等非赢利性组织。1999年的修订版考虑到最新的信息处理技术应用，特别是网络和通讯的发展情况。它也更加强调了信息安全所涉及的商业问题和责任问题。本文档所说明的控制措施不可能完全适用于所有情况。它没有考虑到本地系统、环境或技术上的制约因素。并且在形式上也不可能完全适合组织的所有潜在用户。因此，本文档还需要有进一步的指导说明作为补充。例如，在制定公司策略或公司间贸易协定时，可以使用本文档作为一个基石。BritishStandard作为一个业务守则，在形式上采用指导和建议结合的方式。在使用时，不应该有任何条条框框，尤其特别注意，不要因为要求遵守守则而因噎废食。本标准在起草时就已经假定一个前提条件，即标准的执行对象是具有相应资格的、富有经验的有关人士。附件A的信息非常丰富，其中包含一张表，说明了1995年版各部分与1999年版各条款间的关系。BritishStandard无意包容合约的所有必要条款。BritishStandards的用户对他们正确使用本标准自负责任。符合BritishStandard不代表其本身豁免法律义务。2什么是信息安全？信息是一种资产，就象其它重要的商业资产一样，它对一个组织来说是有价值的，因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它可以打印或写在纸上，以电子文档形式储存，通过邮寄或电子手段传播，以胶片形式显示或在交谈中表达出来。不管信息的形式如何，或通过什么手段进行共享或存储，都应加以妥善保护。信息安全具有以下特征：a)保密性：确保只有经过授权的人才能访问信息；b)完整性：保护信息和信息的处理方法准确而完整；c)可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施，确保满足组织特定的安全目标。为什么需要信息安全信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的保密性、完整性和可用性是至关重要的。各个组织及其信息系统和网络所面临的安全威胁与日俱增，来源也日益广泛，包括利用计算机欺诈、窃取机密、恶意诋毁破坏等行为以及火灾或水灾。危害的来源多种多样，如计算机病毒、计算机黑客行为、拒绝服务攻击等等，这些行为呈蔓延之势遍、用意更加险恶，而且手段更加复杂。组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享，增大了对访问进行控制的难度。分布式计算尽管十分流行，但降低了集中式专家级控制措施的有效性。很多信息系统在设计时，没有考虑到安全问题。通过技术手段获得安全保障十分有限，必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。作为信息安全管理的最基本要求，组织内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。3如何制定安全要求组织确定自己的安全要求，这是安全保护的起点。安全要求有三个主要来源。第一个来源是对组织面临的风险进行评估的结果。通过风险评估，确定风险和安全漏洞对资产的威胁，并评价风险发生的可能性以及潜在的影响。第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。第三个来源是一组专门的信息处理的原则、目标和要求，它们是组织为了进行信息处理必须制定的。评估安全风险安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。风险评估技术适用于整个组织，或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地方，风险评估技术不仅切合实际，而且也颇有助益。进行风险评估需要系统地考虑以下问题：a)安全故障可能造成的业务损失，包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果；b)当前主要的威胁和漏洞带来的现实安全问题，以及目前实施的控制措施。评估的结果有助于指导用户确定适宜的管理手段，以及管理信息安全风险的优先顺序，并实施所选的控制措施来防范这些风险。必须多次重复执行评估风险和选择控制措施的过程，以涵盖组织的不同部分或各个独立的信息系统。对安全风险和实施的控制措施进行定期审查非常重要，目的是：a)考虑业务要求和优先顺序的变更；b)考虑新出现的安全威胁和漏洞；c)确认控制措施方法是否适当和有效。应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不同程度的审查。通常先在一个较高的层次上对风险进行评估（这是一种优先处理高风险区域中的资源的方法），然后在一个具体层次上处理特定的风险。4选择控制措施一旦确定了安全要求，就应选择并实施适宜的控制措施，确保将风险降低到一个可接受的程度。可以从本文档或其它控制措施集合选择适合的控制措施，也可以设计新的控制措施，以满足特定的需求。管理风险有许多方法，本文档提供了常用方法的示例。但是，请务必注意，其中一些方法并不适用于所有信息系统或环境，而且可能不适用于所有组织。例如，8.1.4说明了如何划分责任来防止欺诈行为和错误行为。在较小的组织中很难将所有责任划分清楚，因此需要使用其它方法以达到同样的控制目的。在降低风险和违反安全造成的潜在损失时，应该根据实施控制措施的成本选择控制措施。还应该考虑声誉受损等非货币因素。本文档中的一些控制措施可以作为信息安全管理的指导性原则，这些方法适用于大多数组织。在下文的“信息安全起点”标题下，对此做了较为详细的解释。信息安全起点很多控制措施都可以作为指导性原则，它们为实施信息安全提供了一个很好的起点。这些方法可以是根据基本的法律要求制定的，也可以从信息安全的最佳实践经验中获得。从规律规定的角度来看，对组织至关重要的控制措施包括：a)知识产权（参阅12.1.2）；b)组织记录的保护（参阅12.1.3）；c)对数据的保护和个人信息的隐私权保护（参阅12.1.4）。在保护信息安全的实践中，非常好的常用控制措施包括：a)信息安全策略文档（参阅3.1.1）；b)信息安全责任的分配（参阅4.1.3）；c)信息安全教育和培训（参阅6.2.1）；d)报告安全事故（参阅6.3.1）；e)业务连续性管理（参阅11.1）。这些控制措施适用于大多数组织，并可在大多数环境中使用。请注意，尽管本文档中的所有文档都很重要，但一种方法是否适用，还是取决于一个组织所面临的特定安全风险。因此，尽管采用上述措施可以作为一个很好的安全保护起点，但不能取代根据风险评估结果选择控制措施的要求。5成功的关键因素以往的经验表明，在组织中成功地实施信息安全保护，以下因素是非常关键的：a)反映组织目标的安全策略、目标以及活动；b)与组织文化一致的实施安全保护的方法；c)来自管理层的实际支持和承诺；d)对安全要求、风险评估以及风险管理的深入理解；e)向全体管理人员和雇员有效地推销安全的理念；f)向所有雇员和承包商宣传信息安全策略的指导原则和标准；g)提供适当的培训和教育；h)一个综合平衡的测量系统，用来评估信息安全管理的执行情况和反馈意见和建议，以便进一步改进。制定自己的指导方针业务规则可以作为制定组织专用的指导原则的起点。本业务规则中的指导原则和控制措施并非全部适用。因此，还可能需要本文档未包括的其它控制措施。出现上述情况时，各控制措施之间相互参照很有用，有利于审计人员和业务伙伴检查是否符合安全指导原则。6目录1...............................................................................122术语和定义..................................................................132.1信息安全..................................................................132.2风险评估..................................................................132.3风险管理..................................................................133安全策略....................................................................143.1信息安全策略..............................................................143.1.1信息安全策略文档......................................................143.1.2审查评估..............................................................144组织的安全..................................................................154.1信息安全基础设施..........................................................154.1.1管理信息安全论坛......................................................154.1.2信息安全的协调........................................................154.1.3信息安全责任的划分....................................................154.1.4信息处理设施的授权程序................................................164.1.5专家信息安全建议......................................................164.1.6组织间的合作..........................................................164.1.7信息安全的独立评审....................................................174.2第三方访问的安全性........................................................174.2.1确定第三方访问的风险..................................................174.2.2第三方合同的安全要求..................................................184.3外包......................................................................194.3.1外包合同的安全要求....................................................195资产分类管理................................................................205.1资产责任..................................................................205.1.1资产目录..............................................................205.2信息分类..................................................................205.2.1分类原则..............................................................205.2.2信息标识和处理........................................................216人员安全....................................................................226.1责任定义与资源管理的安全性................................................226.1.1考虑工作责任中的安全因素..............................................226.1.2人员选拔策略..........................................................226.1.3保密协议..............................................................226.1.4雇佣条款和条件........................................................226.2用户培训..................................................................236.2.1信息安全的教育与培训..................................................2376.3对安全事故和故障的处理....................................................236.3.1安全事故报告..........................................................236.3.2安全漏洞报告..........................................................236.3.3软件故障报告..........................................................246.3.4从事故中吸取教训......................................................246.3.5纪律检查程序..........................................................247实际和环境的安全............................................................257.1安全区....................................................................257.1.1实际安全隔离带........................................................257.1.2安全区出入控制措施....................................................257.1.3办公场所、房屋和设施的安全保障........................................267.1.4在安全区中工作........................................................267.1.5与其它区域隔离的交货和装载区域........................................267.2设备的安全................................................................277.2.1设备选址与保护........................................................277.2.2电源..................................................................287.2.3电缆安全..............................................................287.2.4设备维护..............................................................287.2.5场外设备的安全........................................................287.2.6设备的安全处置与重用..................................................297.3常规控制措施..............................................................297.3.1桌面与屏幕管理策略....................................................297.3.2资产处置..............................................................308通信与操作管理..............................................................318.1操作程序和责任............................................................318.1.1明确的操作程序........................................................318.1.2操作变更控制..........................................................318.1.3事故管理程序..........................................................318.1.4责任划分..............................................................328.1.5开发设施与运营设施分离................................................328.1.6外部设施管理..........................................................338.2系统规划与验收............................................................338.2.1容量规划..............................................................348.2.2系统验收..............................................................348.3防止恶意软件..............................................................358.3.1恶意软件的控制措施....................................................358.4内务处理..................................................................368.4.1信息备份..............................................................368.4.2操作人员日志..........................................................368.4.3错误日志记录..........................................................368.5网络管理..................................................................368.5.1网络控制措施..........................................................378.6介质处理与安全............................................................378.6.1计算机活动介质的管理..................................................378.6.2介质处置..............................................................378.6.3信息处理程序..........................................................388.6.4系统文档的安全........................................................3888.7信息和软件交换............................................................388.7.1信息和软件交换协议....................................................388.7.2传输中介质的安全......................................................398.7.3电子商务安全..........................................................398.7.4电子邮件安全..........................................................408.7.5电子办公系统安全......................................................408.7.6信息公布系统..........................................................418.7.7其它的信息交换形式....................................................419访问控制....................................................................439.1访问控制的业务要求........................................................439.1.1访问控制策略..........................................................439.2用户访问管理..............................................................449.2.1用户注册..............................................................449.2.2权限管理..............................................................449.2.3用户口令管理..........................................................459.2.4用户访问权限检查......................................................459.3用户责任..................................................................469.3.1口令的使用............................................................469.3.2无人值守的用户设备....................................................469.4网络访问控制..............................................................469.4.1网络服务的使用策略....................................................479.4.2实施控制的路径........................................................479.4.3外部连接的用户身份验证................................................479.4.4节点验证..............................................................489.4.5远程诊断端口的保护....................................................489.4.6网络划分..............................................................489.4.7网络连接控制..........................................................489.4.8网络路由控制..........................................................499.4.9网络服务安全..........................................................499.5操作系统访问控制..........................................................509.5.1终端自动识别功能......................................................509.5.2终端登录程序..........................................................509.5.3用户身份识别和验证....................................................509.5.4口令管理系统..........................................................519.5.5系统实用程序的使用....................................................519.5.6保护用户的威胁报警....................................................529.5.7终端超时..............................................................529.5.8连接时间限制..........................................................529.6应用程序访问控制..........................................................539.6.1信息访问限制..........................................................539.6.2敏感系统的隔离........................................................539.7监控系统的访问和使用......................................................549.7.1事件日志记录..........................................................549.7.2监控系统的使用........................................................549.7.3时钟同步..............................................................559.8移动计算和远程工作........................................................569.8.1移动计算..............................................................569.8.2远程工作..............................................................5610系统开发与维护............................................................58910.1系统的安全要求..........................................................5810.1.1安全要求分析和说明..................................................5810.2应用系统中的安全........................................................5810.2.1输入数据验证........................................................5810.2.2内部处理的控制......................................................5910.2.3消息验证............................................................5910.2.4输出数据验证........................................................6010.3加密控制措施............................................................6010.3.1加密控制措施的使用策略..............................................6010.3.2加密................................................................6010.3.3数字签名............................................................6110.3.4不否认服务..........................................................6110.3.5密钥管理............................................................6110.4系统文件的安全..........................................................6210.4.1操作软件的控制......................................................6210.4.2系统测试数据的保护..................................................6310.4.3对程序源代码库的访问控制............................................6310.5开发和支持过程中的安全..................................................6310.5.1变更控制程序........................................................6310.5.2操作系统变更的技术评审..............................................6410.5.3对软件包变更的限制..................................................6410.5.4隐蔽通道和特洛伊代码................................................6410.5.5外包的软件开发......................................................6511业务连续性管理............................................................6611.1业务连续性管理的特点....................................................6611.1.1业务连续性管理程序..................................................6611.1.2业务连续性和影响分析................................................6611.1.3编写和实施连续性计划................................................6611.1.4业务连续性计划框架..................................................6711.1.5业务连续性计划的检查、维护和重新分析................................6712符合性....................................................................6912.1符合法律要求............................................................6912.1.1确定适用法律........................................................6912.1.2知识产权(IPR).......................................................6912.1.3组织记录的安全保障..................................................6912.1.4个人信息的数据保护和安全............................................7012.1.5防止信息处理设施的滥用..............................................7012.1.6加密控制措施的调整..................................................7112.1.7证据收集............................................................7112.2安全策略和技术符合性的评审..............................................7212.2.1符合安全策略........................................................7212.2.2技术符合性检查......................................................7212.3系统审计因素............................................................7212.3.1系统审计控制措施....................................................7212.3.2系统审计工具的保护..................................................73范围101BS7799本部分内容为那些负责执行或维护组织安全的人员提供使用信息安全管理的建议。目的是为制定组织安全标准和有效安全管理提供共同基础，并提高组织间相互协调的信心。2术语和定义在说明本文档用途中应用了以下定义。2.1信息安全信息保密性、完整性和可用性的保护注意保密性的定义是确保只有获得授权的人才能访问信息。完整性的定义是保护信息和处理方法的准确和完整。可用性的定义是确保获得授权的用户在需要时可以访问信息并使用相关信息资产。2.2风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性2.3风险管理以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程3安全策略3.1信息安全策略目标：提供管理指导，保证信息安全。管理层应制定一个明确的安全策略方向，并通过在整个组织中发布和维护信息安全策略，表明自己对信息安全的支持和保护责任。3.1.1信息安全策略文档策略文档应该由管理层批准，根据情况向所有员工公布传达。文档应说明管理人员承担的义务和责任，并制定组织的管理信息安全的步骤。至少应包括以下指导原则：a)信息安全的定义、其总体目标及范围以及安全作为保障信息共享的机制所具有的重要性（参阅简介）；11b)陈述信息安全的管理意图、支持目标以及指导原则；c)简要说明安全策略、原则、标准以及需要遵守的各项规定。这对组织非常重要，例如：1)符合法律和合约的要求；2)安全教育的要求；3)防止并检测病毒和其它恶意软件；4)业务连续性管理；5)违反安全策略的后果；d)确定信息安全管理的一般责任和具体责任，包括报告安全事故；e)参考支持安全策略的有关文献，例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。安全策略应该向组织用户传达，形式上是针对目标读者，并为读者接受和理解。3.1.2审查评估每个策略应该有一个负责人，他根据明确规定的审查程序对策略进行维护和审查。审查过程应该确保在发生影响最初风险评估的基础的变化（如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更）时，对策略进行相应的审查。还应该进行以下预定的、阶段性的审查：a)检查策略的有效性，通过所记录的安全事故的性质、数量以及影响反映出来；b)控制措施的成本及其业务效率的影响；c)技术变化带来的影响。4组织的安全4.1信息安全基础设施目标：管理组织内部的信息安全。应该建立管理框架，在组织内部开展和控制信息安全的管理实施。应该建立有管理领导层参加的管理论坛，以批准信息安全策略、分配安全责任并协调组织范围的安全策略实施。根据需要，应该建立专家提出信息安全建议的渠道，并供整个组织使用。建立与公司外部的安全专家的联系，保持与业界的潮流、监视标准和评估方法同步，并在处理安全事故时吸收他们的观点。应该鼓励采用跨学科跨范围的信息安全方法，例如，让管理人员、用户、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作，让他们参与保险和风险管理的工作。4.1.1管理信息安全论坛12信息安全是一种由管理团队所有成员共同承担的业务责任。应该建立一个管理论坛，确保对安全措施有一个明确的方向并得到管理层的实际支持。论坛应通过合理的责任分配和有效的资源管理促进组织内部安全。该论坛可以作为目前管理机构的一个组成部分。通常，论坛有以下作用：a)审查和核准信息安全策略以及总体责任；b)当信息资产暴露受到严重威胁时，监视重大变化；c)审查和监控安全事故；d)审核加强信息安全的重要活动。一个管理人员应负责所有与安全相关的活动。4.1.2信息安全的协调在大型组织中，需要建立一个与组织规模相宜的跨部门管理论坛，由组织有关部门的管理代表参与，通过论坛协调信息安全控制措施的实施情况。通常，这类论坛：a)就整个公司的信息安全的作用和责任达成一致；b)就信息安全的特定方法和处理过程达成一致，如风险评估、安全分类系统；c)就整个公司的信息安全活动达成一致并提供支持，例如安全警报程序；d)确保将安全作为制定信息计划的一个部分；e)对控制措施是否完善进行评估，并协调新系统或新服务的特定信息安全控制措施的实施情况；f)审查信息安全事故；g)在整个组织中增加对信息安全工作支持的力度。4.1.3信息安全责任的划分应该明确保护个人资产和执行具体安全程序步骤的责任。信息安全策略（请参阅条款3）应提供在组织内分配安全任务和责任的一般指导原则。如果需要，可以为特定的站点、系统或服务补充更加详细的指导原则。应明确说明对各个实际资产和信息资产以及安全进程（如业务连续性规划）的保护责任。在很多组织中，指定信息安全管理员负责开展和实施安全保护，并帮助确定控制措施。但是，资源管理以及实施控制措施仍由各个管理人员负责。一种常用的方法是为每项信息资产指定一个所有者，并由他负责该资产的日常安全问题。信息资产的所有者将其所承担的安全责任委托给各个管理人员或服务提供商。尽管所有者仍对该资产的安全负有最终责任，但可以确定被委托的人是否正确履行了责任。一定要明确说明各个管理人员所负责的范围；特别是要明确以下范围。a)必须确定并明确说明由谁负责各种资产和与每个系统相关的安全进程。13b)应该确定负责各个资产和安全进程的管理人员，并记录责任的具体落实情况。c)应明确规定授权级别并进行备案。4.1.4信息处理设施的授权程序对于新的信息处理设施，应该制定管理授权程序。应考虑以下问题。a)新设施应获得适当的用户管理审核，授权新设施的范围和使用。应获得负责维护本地信息系统安全环境的管理人员的批准，以确保符合所有相关安全策略和要求。b)如果需要，应检查硬件和软件以确保它们与其它系统组件兼容。c)请注意，某些连接可能需要对类型进行核实。d)使用个人信息处理工具处理业务信息和其它必要的控制措施应得到授权。e)在工作场所使用个人信息处理工具会带来新的漏洞，因此需要进行评估和授权。在联网的环境中，这些控制措施特别重要。4.1.5专家信息安全建议很多组织都需要专家级的信息安全建议。理想情况下，一位资深的全职信息安全顾问应该提出以下建议。并不是所有组织都希望雇佣专家顾问。在这种情况下，我们建议专家负责协调公司内部的知识和经验资源，以确保协调一致，并在安全决策方面提供帮助。各个组织应该与公司以外的顾问保持联系，在自己不了解的领域，倾听他们的专门建议。信息安全顾问或其它专家应负责为信息安全的各种问题提供建议，这些意见既可以来自他们本人，也可以来自外界。组织的信息安全工作的效率如何，取决于他们对安全威胁评估的质量和建议使用的控制措施。为得到最高的效率和最好的效果，信息安全顾问可以直接与管理层联系。在发生可疑的安全事故或破坏行为时，应尽早向信息安全顾问或其它专家进行咨询，以得到专家的指导或可供研究的资源。尽管多数内部安全调查是在管理层的控制下进行的，但仍然应该邀请安全顾问，倾听他们的建议，或由他们领导、实施这一调研活动。4.1.6组织间的合作与执法机关、管理部门、信息服务提供商和通信运营商签署的合同应保证：在发生安全事故时，能迅速采取行动并获得建议。同样的，也应该考虑加入安全组织和业界论坛。应严格限制对安全信息的交换，以确保组织的保密信息没有传播给未经授权的人。144.1.7信息安全的独立评审信息安全策略文档（参见3.1.1）制定了信息安全的策略和责任。必须对该文档的实施情况进行独立审查，确保组织的安全实践活动不仅符合策略的要求，而且是灵活高效的。（参见12.2）。审查工作应该由组织内部的审计职能部门、独立管理人员或专门提供此类服务的第三方组织负责执行，而且这些人员必须具备相应的技能和经验。4.2第三方访问的安全性目标：维护第三方访问的组织信息处理设施和信息资产的安全性。要严格控制第三方对组织的信息处理设备的使用。如果存在对第三方访问的业务需求，必须进行风险评估，以确定所涉及的安全问题和控制要求。必须与第三方就控制措施达成一致，并在合同中规定。第三方的访问可能涉及到其它人员。授予第三方访问权限的合约应该包括允许指定其它符合条件的人员进行访问和有关条件的规定条款。在制定这类合约或考虑信息处理外包时，可以将本标准作为一个基础。4.2.1确定第三方访问的风险4.2.1.1访问类型允许第三方使用的访问类型非常重要。例如，通过网络连接进行访问所带来的风险与实际访问所带来的风险截然不同。应考虑的访问类型有：a)实际访问，如对办公室、计算机房、档案室的访问；b)逻辑访问，如对组织的数据库、信息系统的访问。4.2.1.2访问理由允许第三方访问有以下理由。例如，某些向组织提供服务的第三方不在工作现场，但可以授予他们物理和逻辑访问的权限，诸如：a)硬件和软件支持人员，他们需要访问系统级别或低级别的应用程序功能；b)贸易伙伴或该组织创办的合资企业,他们与组织交换信息、访问信息系统或共享数据库。如果不进行充分的安全管理就允许第三方访问数据，则信息被置于很危险的境地。凡有业务需要与第三方连接时，就需要进行风险评估，以确定具体的控制措施要求。还需要考虑以下因素：所需的访问类型、信息的价值、第三方所使用的控制措施以及该访问对该组织信息的安全性可能带来的影响。4.2.1.3现场承包商15按照合约的规定，第三方在现场工作一段时间后也会留下导致安全隐患。第三方在现场的情况有：a)硬件和软件的支持维护人员；b)清洁人员、送餐人员、保安以及其它外包的支持服务人员；c)为学生提供的职位和其它临时性的短期职位；d)咨询人员。要对第三方使用信息处理设备进行管理，了解要使用什么控制措施是至关重要的。通常，第三方访问会带来新的安全要求或内部控制措施，这些都应该在与第三方的合同中体现出来（另请参见4.2.2）。例如，如果对信息的保密性有特殊的要求，应签署保密协议（参见6.1.3）。只有实施了相应的控制措施，并在合同中明确规定了连接或访问的条款，才能允许第三方访问信息和使用信息处理设备。4.2.2第三方合同的安全要求第三方对组织信息处理设施的访问，应该根据包含所有必要安全要求的正式合同进行，确保符合组织的安全策略和标准。应确保组织和第三方之间对合同内容不存在任何歧义。为满足供应商，组织应首先满足自己。在合约中应考虑以下条款：a)信息安全的常规策略；b)对资产的保护，包括：1)保护包括信息和软件在内的组织资产的步骤；2)确认资产的安全是否受到威胁的步骤，如数据丢失或被修改；3)相应的控制措施，以保证在合同终止时，或在合同执行期间某个双方认可的时间点，将信息和资产归还或销毁；4)完整性和可用性；5)严格限制复制信息和泄露信息；c)说明每个可提供的服务；d)期望的服务水平和不可接受的服务水平；e)在适当的时候撤换员工的规定；f)达成各方义务的协议；g)与法律事务相关的责任（例如，数据保护法规）。如果合同涉及到与其它国家的组织进行合作，应考虑到各个国家法律系统之间的差异（另请参见12.1）；h)知识产权(IPRs)和版权转让（参见12.1.2）以及对合著的保护（另请参见6.1.3）；i)访问控制协议，包括：161)允许使用的访问方法，以及控制措施和对唯一标识符的使用，如用户ID和口令；2)用户访问和权限的授权程序；3)保留得到有权使用服务的人员清单，以及他们具体享有那些权限和权限；j)确定可核实的执行标准、监视及报告功能；k)监视、撤消用户活动的权限；l)审计合同责任或将审计工作交由第三方执行的权限；m)建立一种解决问题的渐进过程；在需要时应要考虑如何执行应急措施；n)与硬件和软件安装维护相关的责任；o)明晰的报告结构和双方认可的报告格式；p)变更管理的明确制定过程；q)所需的物理保护控制措施和机制，以确保所有操作都符合控制措施的要求；r)对用户和管理员进行的方法、步骤和安全方面的培训；s)保证免受恶意软件攻击的控制措施（参见8.3）；t)规定如何报告、通知和调查安全事故以及安全违反行为；u)第三方与分包商之间的参与关系。4.3外包目标：在将信息处理责任外包给另一组织时保障信息安全。在双方的合同中，外包协议应阐明信息系统、网络和/或桌面环境中存在的风险、安全控制措施以及方法步骤。4.3.1外包合同的安全要求如果将所有或部分信息系统、网络和/或桌面环境的管理和控制进行外包，则应在双方签定的合同中反映组织的安全要求。例如，合同中应阐明：a)如何符合法律要求，如数据保护法规；b)应该如何规定保证外包合同中的参与方（包括转包商）都了解各自的安全责任；c)如何维护并检测组织的业务资产的完整性和保密性；d)应该使用何种物理和逻辑控制措施，限制授权用户对组织的敏感业务信息的访问；e)在发生灾难事故时，如何维护服务的可用性；f)为外包出去的设备提供何种级别的物理安全保护；g)审计人员的权限。17合同中应该包括4.2.2中的列表列出的条款。合同应允许在安全管理计划详细说明安全要求和程序步骤移植，使合同双方就此达成一致。尽管外包合同会带来一些复杂的安全问题，本业务规则中的控制措施可以作为一个认可安全管理计划的结构和内容的起点。5资产分类管理5.1资产责任目标：对组织资产进行适当的保护。所有主要的信息资产应进行登记，并指定资产的所有人。确定资产的责任帮助确保能够提供适当的保护。应确定所有主要资产的所有者，并分配维护该资产的责任。可以委托负责实施控制措施的责任。资产的责任由资产的指定所有责负责。5.1.1资产目录资产清单能帮助您确保对资产实施有效的保护，也可以用于其它商业目的，如保健、金融保险等（资产评估）。编辑资产清单的过程是资产评估的一个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息，组织可以根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。应该明确确认每项资产及其所有权和安全分类。（参见5.2）各方就此达成一致并将其当前状况进行备案（这一点在资产发生损坏，进行索赔时非常重要）。与信息系统相关联的资产示例有：a)信息资产：数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息；b)软件资产：应用程序软件、系统软件、开发工具以及实用程序；c)物质资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、家具、机房；d)服务：计算和通讯服务、常用设备，如加热器、照明设备、电源、空调。5.2信息分类目标：保证信息资产得到适当的保护。应该对信息分类，指明其需要、优先顺序和保护级别。信息的敏感程度和关键程度各不相同。有些信息需要加强保护或进行特别对待。可以使用信息分类系统定义合适的保护级别，并解释对特别处理手段的需要。5.2.1分类原则18在对信息进行分类并制定相关的保护性控制措施时，应该考虑以下问题：对共享信息或限制信息共享的业务需求，以及与这种需求相关的业务影响，如对信息未经授权的访问或损害。通常，对信息的分类是确定如何处理和保护信息的简略方法。应按照信息的价值和对于组织的敏感程度，对信息和系统处理分类数据的结果进行分类。也可以按信息对组织的关键程度分类，如按照其可用性和完整性分类。经过一段时间后，例如该信息已被公之于众，信息就变得不那么敏感和重要了。必须将这些问题考虑在内，分类过粗会导致不必要的额外业务开销。分类指导原则预计到并接受这样一个事实：信息的分类不是固定不变的，可以根据预定策略进行更改（参见9.1）。也应该考虑到信息类别的数量和进行分类的优点。过于复杂的分类会使人感觉非常麻烦，使用起来很不合算或没有实用价值。在解释其它组织文档中的分类标记时也应该注意，因为相同或相似的标记的定义可能不同。对信息进行分类，如对文档、数据记录、数据文件或磁盘进行分类，以及对分类定期审查等，仍由该信息的最初所有者或指定所有者负责执行。5.2.2信息标识和处理根据组织采用的分类方法，明确标记和处理信息的妥善步骤，是非常重要的。这些步骤应包括实际存在的信息和电子形式的信息的标记和处理步骤。对于每个类别，应明确说明，处理步骤包括以下类别的信息处理活动：a)复制；b)存储；c)通过邮寄、传真和电子邮件进行传输；d)通过移动电话、语音邮件、应答机等交谈方式进行传输；e)破坏。系统输出结果包含敏感或关键信息，应带有相应的分类标记（输出结果中）。标记应能反映根据5.2.1中创建的规则进行分类的结果。需要考虑的问题包括：打印出的报告、屏幕显示结果、记录信息的介质（磁带、磁盘、CD、磁盘）、电子消息和文件的传输问题。最合适的标记形式就是贴上一张看的见、摸的着的标签。但是，有些信息资产（如电子格式的文档）不能贴上实际的标签，需要使用电子方式的标记方法。196人员安全6.1责任定义与资源管理的安全性目标：降低设施误操作、偷窃、诈骗或滥用等方面的人为风险。在招聘阶段，就应该说明安全责任，将其写入合同，并在雇用期间进行监督。对候选新员工应充分进行筛选（参见6.1.2），特别是对于从事敏感工作的员工更是如此。所有员工和使用信息处理设施的第三方用户都应签署保密（不公开）协议。6.1.1考虑工作责任中的安全因素在组织的信息安全策略中应该阐明安全任务和职责（参见3.1），并进行备案。还应包括实施和维护安全策略的总体责任，以及保护特殊资产、执行特殊特别安全程序或活动的责任。6.1.2人员选拔策略在考虑就业申请时应该对固定员工进行审查。审查应包括以下内容：a)是否有令满意的个人介绍信，可以由某个组织或个人出具；b)对申请人简历的完整性和准确性进行检查；c)对申请人声明的学术和专业资格进行证实；d)进行独立的身份检查（护照或类似文件）。如果某个职位，不管是外部招聘还是内部提升员工，涉及到可以访问信息处理设备的人员，特别是那些处理敏感信息（如财务信息或绝密信息）的个人，组织必须对该人员进行信用检查。对于具有很高权力的员工，应该定期进行一次此类检查。对承包商和临时性员工，也应执行类似的选拔过程。如果这些员工是代理机构介绍的，在与代理机构的合同中应该注明以下事项：代理机构的选拔责任，以及如果代理机构没有完整执行选拔过程，或选拔结果有疑问时，代理机构应遵循的通知本方的步骤。管理层应有权访问敏感系统，以评估对新和经验不足的员工的调查结果。所有员工的工作都应由高级员工进行定期审查和审核。管理人员应该知道，员工的个人情况会对他们的工作产生影响。个人或财务上的问题、行为或生活方式上的变化、经常旷工以及在压力或痛苦的心情下工作，都会导致欺骗、盗窃、工作出错或其它安全问题。应在自己的权限范围内，根据相应的规定，妥善处理这些问题。6.1.3保密协议签署保密协议的目的是提醒签约人注意，这些信息是保密的。员工应该签定保密协议并将其作为初步雇佣的条款和条件。现有的合同（包括保密协议）中没有涉及临时性员工和第三方用户的问题，在允许他们访问信息处理设备之前，应要求他们签署一份协议。如果雇佣条款或20合同发生了变化，特别在是雇员要离开组织或合同要到期时，要对保密协议进行进行重新审阅。6.1.4雇佣条款和条件雇佣条款和条件应该规定员工的信息安全责任。如有需要，该责任在结束雇用关系后的一段特定的时间内仍然有效。条款中还应该包括如果雇员无视安全要求，那么可对其采取措施。雇用条款和条件中也应该包括雇员的法律责任和权限方面的条款，如关于版权法或数据保护法规方面的内容。条款中还应该注明对雇员相关数据进行分类和管理方面的责任。如果有必要的话，雇佣条款和条件中应说明员工在组织办公地点以外和正常工作时间以外（如在家工作时）应该承担的责任（另请参见7.2.5和9.8.1）。6.2用户培训目标：保证用户了解信息安全存在的威胁和问题，在正常工作中切实遵守组织安全策略。应对用户进行安全步骤和正确使用信息处理设备的培训，将可能的安全风险降到最低。6.2.1信息安全的教育与培训组织所有员工以及相关的第三方用户应该就组织策略和程序接受适当的培训并定期了解最新变化。这包括安全要求、法律责任和业务控制措施方面的内容，以及如何使用信息处理设备方面的培训，如登录的步骤、软件包的使用方法等等。当然在此之前，必须授予其访问信息或服务的权限。6.3对安全事故和故障的处理目标：最大限度降低由于事故和故障而遭受的损失，对此类事故进行监控并吸取教训。将影响安全的事故通过适当的管理渠道尽快汇报。各种类型的安全事故（安全破坏行为、威胁、弱点或故障）对组织资产的安全都会产生影响，所有雇员和承包商都应了解报告各个类型安全事故的方法步骤。他们应尽快将观察到的或可疑的事件报告给事先指定的联系人。组织应建立正式的处分条例，处罚那些进行违反安全活动的雇员。要妥善处理安全事故，应在事故发生后，尽快收集证据（参见12.1.7）。6.3.1安全事故报告将影响安全的事故通过适当的管理渠道尽快汇报。应该建立一套正式的报告安全事故的步骤以及一套安全事故的响应步骤，后者应规定在收到安全事故报告后，应该采取的行动。所有雇员和承包商都应该了21解报告安全事故的程序步骤，并根据要求，尽快报告安全事故。应该建立适当的反馈渠道，以保证安全事故处理完毕后，报告人能知道该事件的处理结果。在进行用户警报培训时（参见6.2），可以将这些事件作为示例，向用户讲解可能发生什么事件、如何对这些事件进行处理以及今后如何避免这类事件发生（另请参见12.1.7）。6.3.2安全漏洞报告应该要求信息服务用户在发现或怀疑系统或服务出现安全漏洞或受到威胁时，立即进行记录并汇报。他们应该将这些事件尽快报告给管理层，或直接报告给服务提供商。应该告诉用户，在任何情况下，也不要试图证明一个可疑安全漏洞。这也是为了保护他们自己，这是因为在您测试某个漏洞时，很可能会导致对系统的错误使用。6.3.3软件故障报告应建立报告软件故障的程序步骤。应考虑采取以下措施。a)将问题的征兆和屏幕上显示的消息记录下来。b)应将该计算机隔离，如果可能，停止使用该计算机。立刻向合适的联系人报警。如果要检修设备，在重新接通该设备的电源前，应将其从公司的网络中断开。不要将磁盘拿到其它计算机上使用。c)立刻将问题报告给信息安全管理人员。除非得到授权，用户不要试图删除可疑的软件。应由经过培训富有经验员工执行恢复工作。6.3.4从事故中吸取教训应该采用一种机制，将事故和故障的类型、规模和损失进行量化和监控。用这些信息来确定重复发生的或影响很大的事故或故障。这需要使用功能更强的或其它的控制措施，以降低事故发生的频率、损失，或在修订安全策略的过程中，将这一因素考虑在内（参见3.1.2）。6.3.5纪律检查程序应该建立正式的处分流程，处罚那些违反组织安全策略和规定的雇员（参见6.1.4，有关保留证据的问题，参见12.1.7）。对那些无视安全工作步骤的雇员来说，这种方法就是一种威慑。另外，如果怀疑某些员工有严重或长期违反组织安全的行为，这一方法能保证对他们的处罚是正确和公平的。7实际和环境的安全7.1安全区目标：防止对公司工作场所和信息的非法访问、破坏和干扰。应该将关键或敏感的商业信息处理设备放在安全的地方，使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。应使这些设备免受未经授权的访问、损害或干扰。22根据所确定的风险的具体情况，提供相应的保护。对纸张、介质和信息处理设备建议采取桌面清空和屏幕清空策略，降低对纸张、介质和信息处理设备进行未经授权访问所带来的风险和损害。7.1.1实际安全隔离带可以在组织办公区域和信息处理设备周围建立几个实际的防护设备，提供物理保护。每个防护设备都划分出一个安全区，这都提高了整体的保护效果。各个组织应使用安全区域保护信息处理设备等资产（参见7.1.3）。安全区域是用防护设备隔开的一块区域，例如通过一堵墙、刷卡才能进入的控制门或人工值守的前台。防护设备的位置和强度取决于风险评估的结果。在需要时，可以考虑并实施以下指导原则和控制措施。a)应明确划分安全区域。b)建筑物或某个地方中存放信息处理设备的安全区的位置应该非常合理（例如，安全区和易发生闯入行为的区域不应隔开）。安全区四周应有坚固的围墙，所有可以进出安全区的大门应能防止未经授权的访问，如使用控制装置、栅栏、报警装备、锁等等。c)设立一个人工值守的接待区域或使用其它方法，将对现场或建筑物的实际访问限制在适当的区域中。只有经过授权的人才能进入现场或建筑物。d)如有必要，可进行全方位的防护，以防止有人未经授权进入安全区，以及由火灾和水灾引起的环境问题的影响。e)安全区的所有防火门应报警并关闭。7.1.2安全区出入控制措施安全区应该使用适当的出入控制措施予以保护。不经批准，任何人员不得出入。应考虑以下控制措施。a)必须调查并弄清安全区域的来访者的身份，并将他们进入和离开安全区域的日期和时间记录在案。只有来访者有特定的、经过授权的目的时，才能进入安全区，而且还要告诉他们该区域的安全要求和紧急情况下的行动步骤。b)只有严格限定，经过授权的人才能访问敏感信息，使用信息处理设备。在对所有访问行为进行授权和验证时，应采用一些强制性的控制措施，如使用带PIN的卡进行刷卡。应对所有访问严格执行审计流程。c)要求所有人员佩带易于辨认的标识，并鼓励他们盘问无人陪同的陌生人以及未佩带标识的人。d)应经常审查并更新有关安全区域访问权限的规定。7.1.3办公场所、房屋和设施的安全保障安全区域可能是安全隔离带中的一间加锁的办公室或几个房间，安全隔离带本身也可能是加锁的并包括几个可加锁的小房间或保险箱。在选择和设计安全区域时，应将以下各种问题带来的损害考虑在内：火灾、水灾、爆炸、社会动荡以及其它形式的自然或人为的灾害。也应该将各种相关的健康和安全方面的规23定和标准考虑在内。还应该考虑到临近的隔离带可能带来的安全威胁，如其它安全区域发生泄露事件。应考虑以下控制措施。a)关键设备应放在公众无法进入的地方。b)建筑物应该不很显眼，使人无法察觉该建筑物的用途，在建筑物的内外都没有明显标志表明建筑物内进行者信息处理活动。c)安全区域内各种设备（如影印机、传真机）齐全，并放在相应的地方，以防止未经授权的人员使用，否则会泄露信息。d)在没人的时候，将门窗关闭，还要注意防止有人从窗户，特别是只有一层的窗户就可以进入安全区域。e)按照专业标准安装入侵检测系统并经常检查，以对可进入安全区域的门和窗户进行检查。对无人区域进行24小时的报警监视。对其它区域也应该提供相应的保护，如计算机房或通讯室。f)由组织自己管理的信息处理设备应与由第三方管理的信息处理设备分开。g)通过有些目录和内部人员电话号码本，能确定敏感信息处理设备的位置，不能让公众得到这些资料。h)应将危险或易燃材料存储在安全的地方，与安全区保持安全距离。除非有特殊要求，否则不要把大量的物品，如文具，存储在安全区域内。i)使应急设备和备份介质的存储位置与主安全区域保持一个安全距离，以防止主安全区域发生的灾难事件殃及这些设备。7.1.4在安全区中工作要加强安全区域的安全性，还应该采用其它控制措施和指导原则。者包括如何控制在安全区内工作的个人和第三方人员，以及如何控制第三方人员在安全区以内的活动。应考虑以下问题。a)只有在有必要的前提下，才能让某个个人知道有一个安全区或安全区内所进行的活动。b)出于安全原因和消除恶意行为发生的机会两方面考虑，不允许在安全区域内进行未经调查的工作。c)关闭无人使用的安全区域，每隔一段时间，进行一次检查。d)只有在需要时，才能允许第三方的支持服务人员进入安全区域或使用敏感信息处理设备。必须对其访问行为进行授权和监视。在不同的范围之间还需要隔离区控制实际访问，在安全区域内有不同的安全要求。e)除非经过授权，不允许使用图象、视频、音频和其它记录设备。7.1.5与其它区域隔离的交货和装载区域应该对装运区进行控制，而且应根据情况将其与信息处理设施隔离开来，避免非法访问。这类区域的安全要求由风险评估的情况决定。应考虑以下指导原则。a)只有经过确认并授权的人在能从外面进入存放物品的区域。24b)设计存放物品区域时，要达到如下效果：负责交货的人员不需要进入建筑物的其它部分，就可以将货物卸下。c)当存放物品的区域内部的门打开时，一定要保证外部的门是安全的。d)在将已收下的材料从存货区移到使用地点前，必须对其进行检查，以防止潜在的危险[参见7.2.1d)]。e)如果可以（参见5.1），在入口处对收下的材料进行登记。7.2设备的安全目标：防止资产流失、受损或毁坏以及业务活动中断。应保证设备免受安全方面的威胁和环境的危害。要降低对数据进行未经授权访问的风险并免受损失或损坏，必须对设备（包括不在现场使用的设备）进行保护。还需要考虑设备的位置和选址问题。可能需要特殊的控制措施来保护免遭危险或非法访问，并保护辅助设施，例如电源和电缆等基础设施。7.2.1设备选址与保护应该注重设备的选址与保护，减少来自环境威胁和危险以及降低非法访问的风险。应考虑以下问题。a)将设备安装在合适的位置，不到必要时，尽量避免进入工作区。b)确定处理敏感数据的信息处理和存储设备的位置时，应注意选择合适的位置，降低使用过程中因疏忽造成的风险。c)应该将需要特殊保护的设备隔离，以降低所需的保护级别。d)应采用相应的控制措施，尽可能降低潜在威胁的风险，包括：1)盗窃；2)火灾；3)爆炸；4)烟尘；5)供水问题（或停水）；6)灰尘；7)振动；8)化学制品的影响；9)供电干扰；10)电磁辐射。e)组织在考虑其策略时，应将在信息处理设备附近就餐、饮水和吸烟的情况考虑进去。f)有些环境条件会对信息处理设备的运行产生负面影响，应仔细监视这些条件。g)对于在工业环境下运行的设备，应考虑使用特殊的保护方法，如在键盘表面加一层膜。h)应考虑临近办公区域发生灾难事件的影响，如临近建筑物发生火灾、天花板漏水或地板渗水或大街上发生爆炸事件。257.2.2电源应该防止设备出现电源故障，防止其它供电不正常的现象。应提供稳定的电力供应，符合设备生产商说明书的规定。保证连续供电的方法有：a)多回路供电，以防止某个回路出现问题，造成断电事故；b)不间断电源(UPS)；c)备用发电机。对于为重要商业业务提供电力支持的设备，需要使用UPS以保证设备可以依次关闭或持续运行。应急计划中应包括UPS发生故障如何应付的内容。应经常检查UPS设备，以保证其功率足够大并根据生产商推荐的方法进行测试。在发生较长时间的断电事故时，而业务必须进许进行，则可以考虑使用后备发电机。如果已经安装了发电机，应根据生产商的指示，对发电机进行定期测试。应保证燃料供应充足，使发电机能运行更长一段时间。另外，在紧急出口处的设备间中应安装紧急电力开关,以便在紧急情况下迅速切断电源。万一主回路发生故障，应提供应急照明。所有建筑物都应采用照明保护设备，所有露天的通讯线都应配备照明保护滤光器。7.2.3电缆安全电源线缆与通信电缆承载数据或支持性的信息服务，不应被截断或受损。应考虑以下控制措施。a)如果可能，接入信息处理设备的电源线路和通信线路应使用地下暗线，或为其提供多种保护方法。b)防止未经授权就损坏或切断网络线缆的现象，如将线缆埋入管道，或避免通过公共区域。c)电力线缆应与通讯线缆隔离，以避免相互的干扰。d)对敏感或重要的系统，应考虑采用进一步的控制措施：1)在探伤位置和端点，安装铠装管道或带锁的箱体；2)使用其它路由或传输介质；3)使用光纤电缆；4)去除线缆上附着的未经授权的设备。7.2.4设备维护应对设备进行妥善地维护，以保证其持续地可用并保持完整。应考虑以下指导原则。a)按照供应商推荐的服务间隔时间和规范，对设备进行维护。b)只有经过授权的维护人员才能对设备进行修理和维护。c)将所有可能的或实际存在的故障以及预防性和休整性的维护手段进行备案。d)在将设备送修时，应采取适当的控制手段（有关如何删除和重写数据，请参见7.2.6）。应遵守所有保险条例中提出的要求。267.2.5场外设备的安全不管其所有权如何,在公司办公区域以外使用信息处理设备经过由管理层授权。为办公区域以外设备提供的安全保护，应与为办公区内同类设备提供的安全保护相同，并将在办公区以外使用设备的因素考虑在内。信息处理设备包括各种形式的个人计算机、组织者、移动电话、纸张或表格，可以由在家工作的员工持有，或从正常工作位置移开。应考虑以下指导原则。a)从办公区域将设备和介质取走时，不要在公共场所引起大家的注意。旅行时，应将便携计算机放在手提皮箱内并伪装起来。b)应随时注意制造商对于保护设备的指导，如防止接触强电磁场。c)如何控制在家的工作由风险评估的结果决定，如有需要，应使用适当的控制措施，如可封闭的档案室、下班后桌面不允许留有物品的策略，以及对计算机使用的控制。d)应采用充分的保险手段保护办公区域以外的设备。安全风险，如损坏、偷窃以及窃听行为随地点的不同会有很大的不同，在确定最合适的控制措施时，应将这些因素考虑在内。有关如何保护移动设备的详细信息，请参阅9.8.1。7.2.6设备的安全处置与重用如果在处理或重新使用设备时，不加以注意的话，会危及信息的安全（另请参见8.6.4）。对于存储敏感信息的存储设备，应将其销毁，或重写数据，而不能只使用标准的删除功能。应检查所有设备的存储介质，如固定硬盘，移确保对介质进行处理前，所有敏感数据和授权软件以被删除或覆盖。对于已毁坏的包含敏感数据的存储设备，应对其进行风险评估，以确定是应销毁、修理或弃置该设备。7.3常规控制措施目标：防止信息或信息处理设施受损或被盗。应防止将信息和信息处理设备暴露给未经授权的人，或被未经授权的人修改或偷窃，并应采取控制措施，将损失或损害最小化。8.6.3中考虑了处理和存储的步骤。7.3.1桌面与屏幕管理策略在组织中，对于纸张和可移动的存储介质，应采取桌面清空策略；对于信息处理设备，应采取屏幕清空策略，以降低在工作时间内外，对信息进行未经授权访问所带来的风险、损失和损害。策略应将以下因素考虑在内：信息安全分类（参见5.2）、相应的风险以及组织文化方面的问题。发生灾难事件，留在桌面上的信息很容易损坏或销毁，如火灾、水灾或爆炸。应考虑以下指导原则。27a)在需要时，在纸张和计算机介质暂时不用时，特别是在外工作时，将其存储在合适的加锁的柜子和/或其它形式的安全设备中。b)在不使用敏感或关键的商业信息时，特别时办公室腾空时，将其锁起来（最好是在防火的保险箱或柜子中）。c)在无人使用时，应将个人计算机和计算机终端和打印机保持注销状态，并用键盘锁、口令或其它控制措施保护起来。d)应将往来信件的地址和无人使用的传真机和电传机保护起来。e)在工作时间以外，将影印机锁起来（或用其它方法防止未经授权的使用）。f)在打印敏感或分类信息后，应立刻从打印机中清除。7.3.2资产处置未经授权，不允许将设备、信息或软件带离工作场所。如有必要，应使设备处于注销状态，在归还设备后在重新登录。现场检查是否有未经授权就移动财产的行为。每个人都应知道，随时会进行现场检查。8通信与操作管理8.1操作程序和责任目标：保证信息处理设施的操作安全无误。应该建立所有信息处理设施的管理和操作的责任和程序。其中包括制定适当的操作指令和事故事件的响应程序。在适当的情况下进行职责划分，降低无意或有意造成的系统滥用风险。8.1.1明确的操作程序应对安全策略确定的操作程序进行备案并维护。操作程序应作为正式文档来处理，对它进行改动需要得到管理层授权。这些程序步骤应指明具体执行每个作业的指令，包括：a)处理和使用信息；b)编制需求计划，包括与其它系统的相互依赖性、最先开始的和最后完成的工作的时间；c)处理错误或其它异常情况的指令，这些异常情况可能是在作业执行期间产生的，包括对使用系统实用程序的限制（参阅9.5.5）d)在出现意外的操作或技术问题时的支持联络e)特殊的输出处理指令，比如使用特殊文具或管理秘密输出，包括安全处置失败作业产生的输出的方法；f)在系统出现故障时使用的系统重新启动和恢复的措施28应该将备案的方法步骤随时用于处理与信息处理和通信设施有关的系统内务管理活动，例如计算机的启动和关闭程序、备份、设备维护、计算机房和邮件处理管理和安全。8.1.2操作变更控制应该控制对信息处理设施和系统的变动。对信息处理设施和系统控制不力是导致系统或安全故障的常见原因。应落实正式的管理责任和措施，确保对设备、软件或程序的所有变更得到满意的控制。操作程序应严格控制变动。更改程序时，应保留包含所有相关信息的审计日志。改变操作环境可能会对应用程序造成影响。在适当的时候，应结合操作步骤和应用更改控制步骤（另请参阅10.5.1）。尤其，应考虑以下各项：a)识别并记录重大变更b)评估这类变更的潜在影响；c)提议变更的正式批准程序；d)向所有相关人员通报变更细节e)确定中止变更并从失败变更中恢复的责任的方法8.1.3事故管理程序应该明确事故管理责任，制定相关程序，保证对安全事故反应迅速、有效且有条不紊（另请参阅6.3.1）。应考虑以下指导方针。a)制定针对各种可能存在的安全事故的措施，这些事故包括：1)信息系统故障和服务丢失；2)拒绝服务；3)业务数据不完整或不准确产生错误；4)违反保密性。b)除一般用于尽快恢复系统或服务的应急计划外，这些措施还应包括（另请参见6.3.4）：1)分析和鉴定事故产生的原因；2)根据需要，制定防止再次发生的补救计划并执行这一计划；3)收集审查记录和类似证据；4)与那些受意外事件影响或参加从意外事件中恢复工作的人员交流；5)向上级汇报有关措施。c)适当地收集和获得审查记录和类似证据（参见12.1.7）。1)内部问题分析；2)用作与可能违反契约、违反规章制度的证据，或者触犯民事或刑事诉讼（例如计算机误用或数据保护立法）的证据；3)与软件和服务供应商协商赔偿。d)严格认真地控制安全违例恢复和纠正系统故障的措施。这些措施应确保1)只有明确确定身份和获得授权的人员才允许访问正在使用的系统和数据（有关第三方访问，另请参见4.2.2）2)详细记录采取的所有紧急措施；3)向管理层汇报紧急措施，并进行有序的审查；294)以最小的延误代价确认业务系统和控制的完整性。8.1.4责任划分责任划分是降低偶然或故意的系统滥用风险。为减少非法篡改或滥用信息或服务，应考虑对某些管理或执行责任或者责任范围进行划分。小型组织可能认为这种控制措施难以实现，但应该尽可能地有效应用这一原则。当难以划分责任时，应该考虑使用其它控制措施，比如活动监控、审计追踪和管理监督等。安全审计保持独立是非常重要的。应该注意的是，没有人在其责任范围内所犯的错误能够逃脱检查。应该将事件执行同事件执行的授权分开。应考虑以下情况。a)识别哪些是为达到欺诈目的的共谋串通活动（例如伪造发出采购订单然后证明货物已经收到）非常重要。b)如果存在串通的危险，那么需要制定控制措施，让更多的人参与，降低出现共谋的机会。8.1.5开发设施与运营设施分离开发设施、测试设施与操作设施分离对实现划分职责的目的非常重要。应制定软件从开发向操作使用转移的规则，并进行备案。开发和测试活动可能会产生严重的问题，例如对文件或系统环境进行不必要的改动或者产生系统故障。应该考虑在操作、测试和开发环境之间进行一定程度的分离，防止出现操作问题。在开发和测试部门之间也应该进行类似的分离。在这种情况下，需要维护一个已知的稳定环境，在这个环境里执行有效的测试并防止不适宜的开发人员访问。当开发人员和测试人员有权访问操作系统及其信息时，他们可能会带入非法和未经测试的代码或者修改操作代码。在某些系统上这种能力可能被滥用，甚至导致违法，即引入未经检验或恶意性的代码。未经检验或恶意性的代码会引起严重的操作问题。开发人员和测试人员还构成对操作信息机密性的威胁。如果开发和测试与软件和信息同在一个计算环境里，那么开发和测试活动可能会对软件和信息造成意想不到的变动。因此，需要将开发设施、测试设施与操作设施分离，降低意外改动或非法访问操作软件和业务数据的风险。应考虑以下控制措施。a)开发和操作软件尽可能在不同的计算机处理器上运行，或者在不同的域或目录中。b)开发和测试活动应尽可能分开进行。c)如果没有必要，不允许从操作系统访问编译程序、编辑程序和其它系统实用程序。d)操作系统和测试系统应该使用不同的登录程序，降低出错的风险。对于这些系统应鼓励用户使用不同的口令，并且菜单应该显示适当的标识消息。e)在控制措施得到落实后，开发人员才可以获得操作口令。30f)发布操作系统支持的口令。控制措施应该确保这些口令在使用后及时更改。8.1.6外部设施管理使用外部合同商管理信息处理设施可能会造成潜在的安全暴露，例如在承包商的办公地点可能危害、破坏数据安全或丢失数据。这些风险应事先得到确认，与承包商达成适当的控制措施并写入合同中（有关涉及访问组织设施的第三方合约和外包合约的指导原则，另请参阅4.2.2和4.3）。特别需要解决的问题包括：a)确定内部保留的敏感或关键应用程序b)获得业务应用程序所有者的认可；c)业务连续性计划的含义；d)待指定的安全标准和检查符合性的方法；e)有效监控所有相关安全活动的具体职责的分配和程序步骤；f)报告和处理安全事故的责任和程序步骤（参见8.1.3）。8.2系统规划与验收目标：最大限度降低系统故障的风险。预先规划和准备是必不可少，这样可以确保有足够的容量和资源。应该制定未来容量要求的预算规划，从而降低系统超载的风险。在验收和使用新的系统前，应该建立系统的操作要求，并对这些要求进行备案和检测。8.2.1容量规划容量需求需要进行监视，并且还应该制定未来的容量要求的规划，确保系统有足够的处理能力和存储空间。这些预算规划不仅应考虑到新的业务和系统的要求，还应该考虑到组织在信息处理技术的现状和规划趋势。大型计算机尤其需要注意，因为增加大型机的新容量成本会更加高昂并且交付周期也更长。大型机的管理员应监视主要系统资源的使用情况，包括处理器、主存储器、文件存储器、打印机和其它输出设备以及通信系统。他们应该判别资源的使用趋势，尤其是与业务应用程序或管理信息系统工具的关系。管理员应使用这一信息来识别和避免可能出现的威胁系统安全或用户服务的瓶颈，同时制定适当的补救措施。8.2.2系统验收建立新的信息系统、系统升级和新版本的验收标准，并在验收前履行适当的系统测试。管理员应确保明确制定新系统的验收要求和标准，并且这些标准和要求得到认可、记录和经过检验。应考虑以下因素：a)性能和计算机容量要求；b)错误恢复和重新启动的步骤，以及应急计划；31c)准备和检验常规的操作程序，使之成为确定标准；d)认可的安全控制投入使用；e)有效的人工方法；f)业务连续性布置（按11.1要求）g)安装新系统不会对现有系统产生负面影响的事实，尤其在高峰处理时间（比如月末）；h)新系统给组织的整体安全带来影响的事实；i)操作或使用新系统的培训。对于重要的新技术发展，运营部门和用户应关注发展过程的每个阶段，确保被提议的系统设计具有很高的操作效率。执行适当的检验测试可以确认所有验收标准是否完全达到。8.3防止恶意软件目标：保护软件和信息的完整性。防范措施可以防止和检测到恶意软件的入侵，因此不可缺少。软件和信息处理设施易受恶意软件的攻击，比如计算机病毒、网络蠕虫、特洛伊木马（另请参见10.5.4）和逻辑炸弹。应提醒用户警觉未授权软件或恶意软件的危险，并且管理员应适当地引入特殊的控制手段检测或防范这些软件的侵袭。尤其是，采取防范措施检查和预防个人计算机上的计算机病毒是必不可少的。8.3.1恶意软件的控制措施应执行防范恶意软件的检测和预防控制措施以及适当的通知用户的方法。恶意软件的防范措施应根据安全意识、适当的系统访问和变更管理控制来制定。应考虑以下控制措施：a)一个正式策略，要求遵守软件许可，禁止使用未授权的软件（参见12.1.2.2）；b)一个正式策略，防范与从外部网络或经外部网络，或者在其它介质上获取文件和软件相关的风险，指明应采取什么防范措施（另请参阅10.5，特别是10.5.4和10.5.5）。c)安装并定期更新抗病毒的检测和修复软件来检查计算机和其它介质，将它作为一种预防控制手段或者常规手段；d)定期检查支持关键业务进程的系统的软件和数据内容；正式调查未许可文件或未授权修改的出现情况；e)在使用前检查电子媒介上的所有文件是否有未确定的或未授权的来源，或者检查通过非置信网络接收的文件是否有病毒；f)在使用前检查所有电子邮件附件和下载内容是否有恶意软件；检查可以在不同的地方进行，例如电子邮件服务器、台式计算机或者在进入组织的网络的时候；32g)执行系统病毒防护的管理步骤和责任，使用防范措施的培训，报告病毒攻击并从攻击中恢复（参阅6.3和8.1.3）。h)适当的从病毒攻击中恢复的业务连续性计划，包括所有需要的数据和软件备份和恢复安排（参阅条款11）；i)检验与恶意软件有关的所有信息并确保警告公告准确和详细的方法。管理员应确保使用合格来源（例如，著名杂志、可信Internet站点或反病毒软件供应商）来识别哪些是恶作剧而哪些是真正的病毒。应让职员了解恶作剧的问题，并告诉他们在收到这类软件时如何处理；在网络文件服务器支持大量的工作站时，这些控制措施尤为重要。8.4内务处理目标：维护信息处理和通信服务的完整性和可用性。建立常规的步骤执行统一的备份策略（参阅11.1），备份多个数据副本并练习及时恢复数据、记录事件和错误，并且在适当的时候监视设备环境。8.4.1信息备份应定期备份数个核心业务信息和软件的副本。拥有足够的备份设备可以确保在发生灾难或介质故障后能够恢复所有关键业务信息和软件。应定期检测各个系统的备份安排，确保他们符合业务连续性计划的要求（参见条款11）。应考虑以下指导方针。a)最基本的备份信息以及完整准确的备份副本记录和文档化的恢复步骤应储存在一个很远的位置，这个位置足可以避免受主站点的灾难波及。对于重要的业务应用程序应保留至少三代或三个周期的备份信息。b)备份信息应给予适当级别的物理和环境保护（参见条款7），这个级别和主站点应用的标准一致。对主站点应用的控制应扩展到覆盖备份站点。c)定期测试备份介质，在确实可行的情况下确保在需要紧急使用时可以依赖它们。d)定期检查和测试复原步骤，确保它们不仅有效，而且能够在恢复操作步骤分配的时间内完成。决定关键业务信息的保留时间，并且确定永久保留的归档副本的要求（参阅12.1.3）。8.4.2操作人员日志操作人员应保留他们活动的日志记录。根据需要，日志记录应包括：a)系统启动和结束时间；b)系统错误和采取的纠正措施；c)确认正确处理数据文件和计算机输出；33d)建立日志条目的人员姓名。应根据操作步骤对操作人员的日志记录定期进行独立的检查。8.4.3错误日志记录应报告错误并采取措施予以纠正。应记录用户报告的关于信息处理或通信系统故障的错误。应有一个明确的处理报告的错误的规则，包括：a)审查错误日志，确保错误已经得到满意的解决；b)审查纠正措施，确保没有违反控制措施，并且采取的行动都得到充分的授权。8.5网络管理目标：保证网络信息安全，保护支持性的体系结构。可能跨越组织边界的网络安全管理需要特别的关注。而且可能还需要其它补充控制措施来保护通过公共网络传送的敏感数据。8.5.1网络控制措施获得并维护网络安全需要一系列控制措施。网络管理员应执行控制措施确保网络中的数据安全，并保护连接的服务避免非法访问。尤其，应考虑以下各项。a)根据需要，应将网络的操作职责和计算机的操作职责分离。b)应制定远程设备（包括用户区域的设备）的管理职责和程序。c)如果需要，应指定特殊的控制措施保护通过公共网络传送的数据的机密性和完整性，并保护连接的系统（参见9.4和10.3）。可能还需要特殊的控制措施维护网络服务和所连接的计算机的可用性。d)管理活动应密切协调，优化为业务提供的服务，确保控制措施在整个信息处理基础结构中应用一致。8.6介质处理与安全目标：防止资产受损以及业务活动中断。应控制介质并对其进行物理保护。应制定适当的操作步骤来保护文档、计算机介质（磁带、磁盘和盒式磁带）、输入/输出数据和系统文档避免损坏、盗窃和非法访问。8.6.1计算机活动介质的管理应该制定对计算机活动介质（如磁带、磁盘、盒式磁带以及打印报告）的管理的方法。应考虑以下指导方针。a)如果不再需要，应该清除再可重复使用的介质上要删除的内容。b)删除介质中的组织内容需要得到批准，并且为维护审计追踪应该保留所有这类删除的记录。c)所有介质应保存在一个安全保险的环境里，并符合制造商的要求。34应明确记录所有的步骤和授权级别。8.6.2介质处置介质不再需要使用时应对其进行安全可靠的处置。介质处置不认真可能会将敏感信息泄露给外人。为减少风险，应建立安全处置介质的正式步骤。应考虑以下指导方针。a)保存敏感信息的介质应该进行安全保险的保存和处置，例如烧毁或粉碎，或者在组织内的其它应用使用前清空数据。b)以下列表确定可能需要安全处置的项：1)书面文档；2)声音或其它记录；3)复写纸；4)输出报告；5)一次性使用打印色带；6)磁带；7)活动磁盘或盒式磁带；8)光存储介质（各种形式并包括所有制造商软件分发介质）；9)程序清单；10)测试数据；11)系统文档。c)安排安全收集和处置所有介质项比试图分离敏感项要容易得多。d)许多组织提供收集和处置纸张、设备和介质的服务。谨慎选择掌握大量控制措施并具有经验的合格合同商。e)应尽可能记录对敏感项的处置，保留审计追踪。在积累处置的介质时，应考虑聚集效应可能导致大量未分类信息比少量分类信息变得更加控制。8.6.3信息处理程序为了保护此类信息免遭受非法公开或滥用，应该制定信息处理和存储程序。应制定处理信息的方法步骤，并且与以下分类（参见5.2）一致：文档、计算系统、网络、移动计算、移动通信、邮件、语音邮件、一般语音通信、多媒体、邮寄服务/设施、传真机使用和其他任何敏感项（例如空白支票、发票等）。应考虑以下各项（另请参见5.2和8.7.2）：a)处理和标记所有介质（另请参见8.7.2a）；b)访问限制，以确定未授权人员的身份；c)维护授权人员接收数据的正式记录；d)确保输入数据完整，妥善完成处理和应用输出验证；e)保护正在等待输出的假脱机数据与其敏感度一致；f)在符合生产商要求的环境中储存介质；g)保持数据分布的最低水平；h)清晰标记所有数据副本，提醒合法接收者注意；i)定期检查分布列表和合法接收人员的列表。358.6.4系统文档的安全系统文档可以包含一系列的敏感信息，例如对应用程序进程、过程、数据结构和授权程序的说明（另请参见9.1）应考虑以下控制措施来保护系统文档不受非法访问。a)应安全储存系统文档。b)系统文档的访问列表应让少数知道，使用需经过应用程序所有者授权。c)保留在公共网络上或通过公共网络提供的系统文档应妥善保护。8.7信息和软件交换目标：防止组织间交换信息时信息受损、修改或滥用。应控制组织间的信息和软件的交换，并且交换应符合有关立法（参见条款12）。执行交换应在双方意见一致的情况下进行。应制定保护信息和传输介质的方法和标准。应考虑与电子数据交换、电子商务和电子邮件有关的业务和安全以及对控制措施的要求。8.7.1信息和软件交换协议为了便于组织间以电子方式或手工方式交换信息和软件，应该签署协议，有些协议可以为正式协议，适当的时候还包括软件第三方协议。这些协议的内容应反映有关业务信息的敏感度。应考虑有关安全条件的协议：a)控制和通知传播、发送和接收的管理责任；b)通知发送方、传输、发送和接收的步骤程序；c)打包和传输的最低技术标准；d)投递者标识标准；e)丢失数据的责任和偿还；f)为敏感或关键信息使用认可的标记方法，确保标记方式易于理解并且信息得到妥善保护；g)信息和软件的所有权以及数据保护的责任、软件版权规定和类似因素（参见12.1.2和12.1.4）。h)记录和阅读信息和软件的技术标准；i)保护敏感数据需要的特殊控制措施，例如加密密钥（参见10.3.5）。8.7.2传输中介质的安全在实际传输过程中，信息容易受到非法访问、滥用或破坏，比如在通过邮局服务或速递公司发送介质的时候。应使用以下控制措施来保护在站点之间传送的计算机介质。a)使用可靠的传输工具或投递人。授权的投递人应接受管理并进行投递人身份检查。36b)包装应该非常结实，可以保护里面内容不受运输过程中可能发生的事故造成损坏，并符合生产商的说明。c)需要的时候采取特殊的控制措施保护敏感数据免遭非法公开或修改。示例包括：1)使用加锁容器；2)手工运送；3)加固包装（暴露任何访问的企图）；4)在特殊情况下，可以将运输分几次完成并选择不同的发送路线。8.7.3电子商务安全电子商务包括使用电子数据交换（EDI）、电子邮件和通过公共网络如Internet在线交易。电子商务易受网络威胁的攻击，可能会导致欺诈活动、合同纠纷以及泄露或修改信息。应使用控制措施保护电子商务不受这类威胁。电子商务的安全考虑应包括以下：a)验证。顾客和商家在互相确定身份上应该要求什么样的保密程度？b)授权。向谁授权制定价格、发出或签署关键的交易文件？交易伙伴如何了解？c)合同和投标程序。在发送和接收关键文档和认可合同的保密性、完整性和证据有什么要求？d)定价信息。在公开的价目表上包含什么级别的信用和敏感折扣的机密？e)定单交易。如何提供定单的保密性和完整性，付款和运输地址信息和收货确认书？f)检查。检查顾客提供的付款信息的适宜度如何？g)结算。最适合防止欺诈的付款形式是什么？h)定购要求。维护订购信息的机密性和完整性，以及避免丢失或重复交易，需要采取什么保护？i)责任。谁承担欺诈交易的风险？通过应用10.3总结的加密技术就可以解决以上许多问题，而且还考虑到符合法律要求（参见12.1，特别是关于加密立法的12.1.6）。交易伙伴之间的电子商务协议还应该需要规定各方同意的交易条款的文档协议来支持，包括授权[参见上述b)]。可能还需要与信息服务提供商和增值网络运营商的协议。公共交易系统应向顾客公布经营条件。还应该考虑化解对用于电子商务的主机的攻击，以及实施网络互连需要的安全（参见9.4.7）。8.7.4电子邮件安全378.7.4.1安全风险电子邮件正在用于业务通信交流，正在取代传统的交流形式例如电传和信函。电子邮件和传统的业务通信方式的区别在于它的速度、信息结构、信息详细程度和抵抗非法使用的脆弱性。应考虑采取控制措施来减少电子邮件带来的安全风险。安全风险包括：a)存在非法访问或变更或拒绝服务的漏洞；b)无力防止错误出现，例如错误的地址或方向，以及一般的服务可靠性和可用性；c)在业务流程中通信介质变化的影响，例如增加发送的效果或从个人到个人与公司到公司发送正式消息的效果不同；d)法律因素，例如可能需要原始证明，和发送、运输和接受的证明。e)向外公布可访问人员名单的影响；f)控制远程用户访问电子邮件帐户。8.7.4.2电子邮件策略公司应制定关于使用电子邮件的策略，包括：a)对电子邮件的攻击，例如病毒、拦截；b)电子邮局附件保护；c)何时不使用电子邮件的规定；d)雇员不违反公司规定的责任，例如发送诽谤电子邮件、进行骚扰或非法采购；e)使用加密技术保护电子邮件的机密性和完整性（参见10.3）f)保留消息，如果储存起来，一旦出现诉讼可以找到。g)检查消息是否经过验证的其他控制措施。8.7.5电子办公系统安全应该制定并实施策略和指导原则，控制与电子办公系统相关的业务和安全风险。通过结合以下各项，这些方法提供了快速传播和共享业务信息的机会：文档、计算系统、网络、移动计算、移动通信、邮件、语音邮件、一般语音通信、多媒体、邮寄服务/设施、传真机。这些设施互连的安全和业务含义需要考虑的因素包括a)办公系统的信息漏洞，例如电话记录或电话会议b)保密电话、传真储存，打开邮件，发布邮件；c)管理信息共享的策略和适当的控制措施。例如使用公司电子公告板（参见9.1）。d)如果没有提供适当的保护级别，则将排除敏感业务信息类别（参见5.2）。38e)将访问相关日常信息的权限限制在选中的个人，例如开发敏感项目的人员；f)适用性，或者支持业务程序的系统适用性，例如通信顺序或授权；g)允许使用系统的人员、合同商或业务伙伴的类型，以及访问系统的出发位置（参见4.2）h)将所选的设施限制给特定类型的用户使用；i)为其他用户的利益，确定用户状态，例如组织的雇员或目录中的合同商；j)保留信息并在系统上保存备份（参见12.1.3和8.4.1）。k)撤退要求和安排（参见11.1）。8.7.6信息公布系统应小心保护电子公布信息的完整性防止非法进行修改，因为这类修改可能会损害发布组织的声誉。信息公布系统上的信息（例如通过Internet可以访问的Web服务器上的信息）必须符合司法部门制定有关安装系统或进行交易的法规。在将信息公布以前，应该有一个正式的授权过程。在信息公布系统上的软件、数据和其他信息需要很高的完整性，应考虑通过适当的机制进行保护，例如数字签名（参见10.3.3）。电子公布系统，特别是那些允许反馈和直接输入信息的系统，应谨慎控制，以便：a)以符合数据保护法律的形式获得信息（参见12.1.4）；b)输入到公布系统并由该系统处理的信息需要及时全部得到处理；c)在收集信息过程中和存储信息时需要保护敏感信息；d)对公布系统的访问不允许擅自访问它所连接的网络。8.7.7其它的信息交换形式应该制定程序和控制措施，保护通过使用语音、传真和视频通信设施进行的信息交换。在使用这些设施时由于缺乏意识、策略或方法，信息可能遭到破坏，例如在公共场所使用移动电话被偷听，应答机器被偷听，非法访问拨入语音邮件系统或者使用传真设备错误将传真发给另外一个人等。如果由于超载或中断导致通信设施出现故障，那么业务经营可能中止，信息可能被破坏（参见7.2和条款11）。如果设施被非法用户访问，信息也可能被破坏（参见条款9）。应制定一个明确的策略步骤说明，要求职员按说明使用语音、传真和视频通信。它应包括以下内容：a)提醒职员应采取适当的预防措施，避免在使用电话时由于被窃听或拦截暴露敏感信息：1)在使用移动电话时尤其注意四周离他最近的人；2)是否有在电话筒或电话线上安装窃听器或其他设备的情况，或者在使用模拟信号的移动电话有没有使用搜索接受机。3)在受话端一方的人；39b)提醒职员不要在公共场所或在薄墙隔开的办公室和会议室讨论机密；c)不要在应答机上留言，因为可能被非法人员听取，或者保存在公共系统上或由于错误保存导致错误拨号；d)提醒职员有关使用传真机的问题，即：1)非法访问内置的消息存储来检索消息；2)有意无意设置传真机程序使其将消息发向特定号码；3)由于错误拨号或使用错误的储存号码将文件和消息发到错误的传真机上。9访问控制9.1访问控制的业务要求目标：控制对信息的访问。应该根据业务要求和安全要求对信息访问与业务流程加以控制。还应该考虑信息传播和授权的策略。9.1.1访问控制策略9.1.1.1策略要求与业务要求应该明确访问控制的业务要求并记录在案。应该在访问策略陈述中明确规定每个用户或用户组的访问控制规则与权限。应该向用户和服务提供商明确说明访问控制应该达到的业务要求。该策略应该考虑以下内容：a)各个业务应用的安全要求。b)确定与业务应用有关的所有信息。c)信息传播和授权策略，如了解原则以及信息的安全级别与分类的需要。d)不同系统和网络的访问控制与信息分类策略之间的一致性。e)关于保护对数据或服务访问的相关法律和合同责任（参见第12条款）。f)通用工作类别的用户访问标准简档。g)在分布式网络环境中对可以识别各种可用连接类型的访问权限的管理。9.1.1.2访问控制规则制定访问控制规则时，应该谨慎考虑以下情况：a)区分必须始终实施的规则和有选择、有条件地实施的规则。b)在“除明确允许执行情况外一般必须禁止”而非“除明令禁止执行情况外一般允许执行”的前提下制定规则。40c)由信息处理设施自身导致发生的信息标识更改（参见5.2）以及因用户自行处理导致发生的信息标识的更改。d)因信息系统自身导致发生的用户权限的更改以及由管理员导致发生的用户权限的更改。e)实施前需要管理员或其他人予以批准的规则以及不需要此类批准的规则。9.2用户访问管理目标：防止对信息系统的非法访问。应该制定正式程序，控制信息系统访问权限与服务访问权限的分配。这些程序应该涉及用户访问生命周期的各个阶段，从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册。应该根据情况注意访问特权是否需要进行控制。用户若拥有访问特权就会越过系统的控制措施。9.2.1用户注册应该制定正式的用户注册和取消注册程序，规范对所有多用户信息系统与服务的访问授权。应该通过正式的用户注册程序来控制多用户信息服务的访问权限。该程序应该包括以下内容：a)使用唯一用户ID，以便将用户与其操作联系起来，使用户对其操作其责。组ID只有适合所进行的工作，才允许使用。b)检查用户是否拥有系统所有者对信息系统或服务授予的权限。也可以适当地分别对管理层授予的访问权限进行批准。c)检查所授予的访问权限级别是否适合业务的开展（参见9.1），是否与组织的安全策略相一致，例如它会不会影响责任划分（参见8.1.4）。d)为用户提供访问权限的书面陈述。e)要求用户签署声明，表示他们知晓访问的条件。f)确保服务提供商在完全遵守授权程序的情况下才提供访问权限。g)维护对注册使用服务的所有用户的正式记录。h)用户因工作变更或离开组织时，立即取消其访问权限。i)定期检查并取消多余的用户ID和帐户。j)确保不向其他用户签发使用多余的用户ID。应该考虑在雇佣服务合同中增加相应的条款，规定员工或服务代理如果企图进行非法访问，则予以制裁（参见6.1.4和6.3.5）。9.2.2权限管理41应该严格限制权限（用户能借此越过系统或应用程序控制措施的任何多用户信息系统的功能或设施）的分配和使用。系统权限使用不当常常是系统出现故障的主要作用因素，结果导致系统遭到破坏。对于要求防范非法访问的多用户系统，应该制定正式的授权程序，对权限分配进行控制。应该考虑采取以下步骤：a)应该确定与每个系统产品（如操作系统、数据库管理系统和各个应用程序）相关的权限，还应该确定需要为其分配这些权限的员工类别。b)应该按照是否需要使用的原则并依据具体情况为个人分配权限，即根据需要确定最低岗位要求。c)应该对分配的所有权限授权程序和记录进行维护。不符合授权程序，则不授予权限。d)应该提倡系统例行程序的开发和使用，从而最终无须对用户进行授权。e)对于非常规业务使用的用户身份，应分配权限。9.2.3用户口令管理口令是在用户访问信息系统和服务时对其身份进行验证的一种方法。应该通过正式的管理程序来控制口令的分配。采用这种方法就应该：a)要求用户签署声明，保证个人口令安全，确保工作组口令仅在本组成员间共享（可以在雇佣条款和条件中反映这一要求，参见6.1.4）。b)如果要求用户维护自己的口令，请确保一开始时先向他们提供一个安全的临时口令并要求他们立即更改口令。用户忘记口令时，必须在对该用户进行适当的身份识别后才能向其提供临时口令。c)在向用户提供临时口令时必须确保其安全。应避免使用第三方或无保护的（明文）电子邮件。用户应对收到的口令予以确认。绝不应在计算机系统上以无保护的形式存储口令（参见9.5.4）。还有一些其它的用户身份识别和验证技术（如生物统计学中的指纹鉴定、笔迹鉴定和芯片等硬件标记的使用），应该根据情况考虑使用。9.2.4用户访问权限检查为了保证对访问数据和信息服务进行有效控制，管理层应该制定正式的程序，定期对用户访问权限进行检查：a)对用户访问权限进行定期检查（建议每6个月进行一次）以及变动后检查（参见9.2.1）。b)对于授予的访问特权（参见9.2.2）应该进行更频繁的检查，建议每3个月进行一次。c)定期对权限分配情况进行检查，确保没有对用户授予非法权限。9.3用户责任目标：防止非法的用户访问。授权用户的合作态度对有效地保障安全至关重要。42应该让用户了解进行有效访问控制的责任，特别是口令使用和用户设备安全的责任。9.3.1口令的使用选择使用口令时，用户应该按照安全可靠的措施进行。口令是一种用户身份验证方法，并因此确定对信息处理设施或服务的访问权限。建议所有用户：a)保证口令安全。b)如果不能安全保存，应避免在纸上记录口令。c)只要有迹象表明系统或口令可能遭到破坏时，应立即更改口令。d)选用高质量的口令，最少要有6个字符：1)口令必须便于记忆。2)不应使用别人通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的口令信息。3)不要连续使用同一字符，不要全部使用数字，也不要全部使用字母。e)定期更改口令，或根据访问次数更改口令（相对于普通口令而言，应更加频繁地更改特权帐户口令），避免再次使用旧口令或循环使用旧口令。f)首次登录时应更改临时口令。g)不要在任何自动登录程序中使用口令，如在宏或功能键中存储。h)不要共享个人用户口令。用户需要访问多项服务或平台时，会要求采用多个口令。建议可以对所有适当提供口令保护的服务使用一个高质量口令（参见9.3.1d）。9.3.2无人值守的用户设备用户应该确保对无人值守的设备进行适当的保护。在用户区安装的设备（如工作站或文件服务器）在一段时间内无人值守时应该进行具体的保护，防止受到非法访问。所有用户和承包商都应该了解保护无人值守设备的安全要求和程序，以及实施这种保护的责任。建议用户：a)在活动会话完成时应该终止会话，除非可以采用适当的锁定机制来保护会话（如采用口令保护的屏幕保护程序）。b)会话结束时注销大型主机（即不要仅关掉PC或终端）。c)PC或终端不用时，应使用密钥锁或等效控制措施（如口令访问）防止他人非法使用。9.4网络访问控制目标：保护网络化服务。应该控制对内外网络服务的访问。必须确保访问网络和网络服务的用户不会破坏这些网络服务的安全，确保：43a)组织网络与其它组织网络或公用网之间正确连接。b)用户和设备都具有适当的身份验证机制。c)在用户访问信息服务时进行控制。9.4.1网络服务的使用策略与网络服务的连接如果不安全，就会影响整个组织。只应该向用户提供对专门授权使用的服务的直接访问权限。与敏感或重要业务应用或与处于高风险区域（如组织无法进行安全管理和控制的公共或外部区域）的用户进行网络连接时，这种控制措施显得尤其重要。应该制定网络和网络服务的使用策略。策略应包括以下内容：a)允许访问的网络和网络服务。b)确定允许谁访问哪个网络和哪种网络服务的授权程序。c)用以保护网络连接和网络服务访问的管理控制措施和程序。此策略应该与业务访问控制策略相一致（参见9.1）。9.4.2实施控制的路径从用户终端到计算机服务的路径需要进行控制。网络按其设计应该允许最大限度的资源共享和路由选择灵活性。但是，这些特点也会为非法访问业务应用或非法使用信息设施创造条件。对用户终端与用户有权访问的计算机服务之间的路由进行控制（如创建一个实施控制的路径），可以降低这种风险。采用实施控制的路径，是为了防止任何用户不使用用户终端与用户有权访问的服务之间的路由，而采用其它路由。这通常要求在不同的路由位置实施若干个控制措施。其目的是为了通过预定方案在网络各点上限制路由选择方案。示例如下：a)分配专线或专门电话号码。b)自动将端口连接到指定应用系统或安全网关。c)限制个人用户的菜单和子菜单选项。d)防止无限制的网络漫游。e)强制外部网络用户使用指定应用系统和/或安全网关。f)通过安全网关（如防火墙）积极控制允许进行的信息源到目的地的通信。g)通过为组织内用户组设置不同的逻辑域（如虚拟专用网）来限制网络访问（另请参见9.4.6）。对实施控制的路径的要求应该基于业务访问控制策略（参见9.1）。9.4.3外部连接的用户身份验证外部连接为非法访问业务信息提供了可能，如拨号访问方法。所以，远程用户访问应该进行身份验证。存在各种各样的身份验证方法，有些方法的保护程度更高一些，如采用加密技术的身份验证方法能够提供严格的身份验证。通过风44险评估来确定要求的保护程度非常重要。它对于身份验证方法的正确选择十分必要。远程用户的身份验证可以通过使用加密技术、硬件标记或问答协议等等来完成。专线或网络用户地址检查工具也可用来对连接源提供安全保障。反向拨叫程序和控制措施（如使用反向拨叫调制解调器）可以防止与组织信息处理设施的非法连接和有害连接。此类控制措施对试图远程建立与组织网络连接的用户进行身份验证。使用此控制措施时，组织不应使用包括呼叫转移在内的网络服务。或者说，如果他们使用了此种网络服务，就应该禁用这种功能，避免出现与呼叫转移有关的漏洞。反向拨叫程序还必须确保组织已经实际断开连接。否则，远程用户可以通过伪称反向拨叫验证已经执行而仍保持线路畅通。为此，应该彻底检测反向拨叫程序和控制措施。9.4.4节点验证可以使用与远程计算机进行自动连接的工具对业务应用进行非法访问。因此，应该对与远程计算机系统的连接进行验证。如果该连接使用组织的安全管理无法控制的网络，这一点尤为重要。有关验证以及验证方法的一些示例，请参见上文9.4.3。当远程用户组与安全的共享计算机设备连接时，节点验证可以作为对该远程用户组的一种可选验证方法（参见9.4.3）。9.4.5远程诊断端口的保护对诊断端口的访问应该严加控制。许多计算机和通信系统安装了一种维护工程师使用的拨号远程诊断工具。这些诊断端口如果不予以保护就会提供一条非法访问途径。因此，应该使用适当的安全机制（如密钥锁）对其进行保护，保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行适当的安排后才能访问。9.4.6网络划分随着商业合作伙伴关系的建立，要求对信息处理和连网设施进行互连或共享。因此，网络在不断地扩充，超越了传统的组织界限。这样的扩充会提高对使用网络的已有信息系统非法访问的风险。有些系统由于敏感性或重要性的原因要求进行保护，不允许其它网络用户进行访问。在这种情况下，应该考虑在网络内采用一些控制措施把信息服务组、用户组和信息系统组分离开来。控制大型网络安全的一种方法是将其分割成不同的逻辑网络域（如组织的内部网络域和外部网络域），每个域都使用一个明确的安全界限来加以保护。在两个要互连的网络之间安装一个安全网关可以实现这样的一个安全界限，从而控制两个域之间的访问和信息流动。应该对该网关进行配置，以便按照组织的访问控制策略（参见9.1）对这些域之间的通信进行过滤（参见9.4.7和9.4.8），阻止非法访问。此类网关的一个例子就是我们常常称之为防火墙的东西。网络分割成域的标准应该是访问控制策略和访问要求（参见9.1），还应考虑采用适用的路由选择或网关技术的相对成本以及它对性能所产生的影响（参见9.4.7和9.4.8）。9.4.7网络连接控制45共享网络，特别是跨组织共享网络的访问控制策略要求，可能要求采用控制措施以限制用户连接权限。此类控制措施可以通过过滤通信量的网关采用预定义表或规则的方法加以实施。所使用的限制应该基于访问策略和业务应用（参见9.1）的要求，还应该进行相应的维护和更新。对应该加以限制的应用举例如下：a)电子邮件。b)单向文件传输。c)双向文件传输。d)交互访问。e)与时间或日期有关的网络访问。9.4.8网络路由控制共享网络，特别跨组织的共享网络，可能要求采用路由控制措施以保证计算机连接和信息流不破坏业务应用的访问控制策略（参见9.1）。这种控制措施对与第三方（非组织）用户共享的网络常常是至关重要的。路由控制应该基于适当的源地址和目标地址检查机制。网络地址转换也是非常有用机制，用于隔离网络，防止从一个组织网络延伸至另一组织网络的路由。它们可以在软件或硬件中进行实施。实施人员应该了解所部署机制的强度。9.4.9网络服务安全有各种各样的可用公用网或专用网服务，其中一些提供增值服务。网络服务可能具有独特或复杂的安全特点。使用网络服务的组织应该确保所有服务的安全性都有明确说明。9.5操作系统访问控制目标：防止非法的计算机访问。应该使用操作系统级别的安全设施限制对计算机资源的访问。这些设施应该具有以下功能：a)识别和验证身份。如果需要，还要验证每个合法用户的终端或位置。b)记录成功和失败的系统访问。c)提供适当的身份验证方法。如果使用了口令管理系统，则应该确保使用高质量的口令（参见9.3.1d）。d)根据情况限制用户连接时间。其它访问控制措施（如问答法）如果根据业务风险可以使用，则也可以使用这些方法。9.5.1终端自动识别功能应该考虑使用终端自动识别功能来验证与具体位置和便携设备的连接。如果会话必须从某一位置或计算机终端开始，则可以使用终端自动识别技术。46终端内或终端附带的标识可以说明是否允许此终端开始或接收某些具体事务。可能需要对终端进行物理保护，维护终端标识的安全。还可以使用其它几个技术对用户身份进行验证（参见9.4.3）。9.5.2终端登录程序通过安全的登录程序应该能够访问信息服务。计算机系统登录程序按其设计应该最大限度地降低非法访问的几率。因而，登录程序应该最大限度地减少公开的系统信息，避免为非法用户提供方便。一个好的登录程序应该：a)在登录过程未成功之前不显示系统或应用的标识。b)显示一般性注意事项，提醒用户只有合法用户才能访问计算机。c)登录期间不提供帮助消息，以免为非法用户提供方便。d)只有在所有输入数据完成后才验证登录信息。出错时，系统不应说明哪部分数据正确，哪部分数据错误。e)限制允许进行的登录的失败次数（建议为3次）并考虑：1)记录失败次数。2)允许再次登录之前强制进行时延，或者如果未获得明确授权则拒绝再次登录。3)断开数据链路连接。f)限制登录程序允许的时间上限和下限。如果超过限制，则系统终止登录过程。g)成功登录完成后，显示以下信息：1)以前成功登录的日期和时间。2)上次成功登录以来登录失败的详细情况。9.5.3用户身份识别和验证所有用户（包括技术支持员工，如操作员、网络管理员、系统程序员和数据库管理员）都应该有一个个人专用的唯一标识符（用户ID），以便操作能够追溯到具体责任人。用户ID不应该说明用户权限级别（参见9.2.2），如管理员、主管。例外情况下，如果对业务显然有益，则可以为一个用户组或一项具体工作使用共享用户ID。管理层对此类情况应进行批准并进行备案。为了明确责任，可以要求使用其它控制措施。对于用户提供的身份，可以使用多种身份验证程序来加以证实。口令（另请参见9.3.1并参见下文）是一种很常见的身份识别和验证（I和A）方法。口令是仅用户知晓的保密信息。同样也可采用加密方法和身份验证协议达到同样的效果。也可以使用用户的内存标记或智能卡等进行身份识别和验证。有可以使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技术和安全机制结合起来，可以进行更为严格的身份验证。9.5.4口令管理系统口令是验证用户是否具有计算机服务访问权限的主要方法之一。口令管理系统应该提供有效的交互手段，保证使用高质量的口令（有关用户口令使用的指导说明，请参见9.3.1）。一些应用要求通过独立授权分配用户口令。大多数情况下，由用户自己选择和保护口令。47一个好的口令管理系统应该：a)要求使用个人口令，明确责任。b)根据情况可以让用户选择和更改自己的口令，还可以让用户采用一种确认程序，允许出现输入错误。c)按照9.3.1中所述要求选择一个高质量的口令。d)按照9.3.1中所述，用户在维护口令时要求进行口令更改。e)用户选择口令后首次登录时强行要求用户更改临时口令。f)保留用户以前的口令记录（如过去12个月的记录），防止g)重复使用。h)输入时屏幕上不显示口令。i)口令文件和应用系统数据分开存储。j)利用单向加密算法以加密方式存储口令。k)安装软件后更改默认的供应商口令。9.5.5系统实用程序的使用大多数计算机系统都有一个或多个能够越过系统和应用控制措施的系统实用程序。要对其使用严加限制和控制。应该考虑采用以下控制措施：a)使用系统实用程序的身份验证程序。b)把系统实用程序从应用软件中分离出来。c)系统实用程序的使用仅限于最小实际委托授权用户数。d)对系统实用程序的特殊使用授权。e)限制系统实用程序的可用性，如授权更改的期限。f)记录系统实用程序的各种使用情况。g)对系统实用程序的授权级别进行定义和备案。h)移去基于所有不必要软件的实用程序和系统软件。9.5.6保护用户的威胁报警应该考虑为可能受到威胁的用户提供威胁报警功能。应该根据风险评估来决定是否提供此类报警功能。应该对如何处理威胁报警明确职责并制定相应程序。9.5.7终端超时高风险地域（如组织无法进行安全管理的公共或外部区域）或服务于高风险系统的终端如果处于不工作状态，则应该在设定的不工作时间后予以关闭，防止非法用户进行访问。使用该超时功能，系统应该在设定的不工作时间后清除终端屏幕，关闭应用和网络会话。超时延迟应该反映本区域和终端用户的安全风险。48可以为一些PC提供有限的终端超时功能。这些PC能够清除屏幕，防止非法访问，但不关闭应用或网络会话。9.5.8连接时间限制连接时间限制应该提高高风险应用中的安全性。限制允许计算机服务与终端连接的时间会降低非法访问的几率。应该考虑对敏感的计算机应用，特别是对终端安装在高风险地域（如组织无法进行安全管理的公共或外部区域）的计算机应用实施这种控制措施。对这种限制举例如下：a)对批文件传送或定期的短时间交互会话等使用预定的时间间隔。b)如果不要求在加班或延长工作时间内进行操作，连接时间仅限于正常工作时间。9.6应用程序访问控制目标：防止对信息系统中信息的非法访问。应该在应用系统中使用安全设施限制访问。软件和信息的逻辑访问权仅应授予合法用户。应用系统应该：a)根据业已确定的业务访问控制策略控制信息和应用系统功能的用户访问权。b)防止对任何能够越过系统和应用程序控制措施的实用程序和操作系统软件进行非法访问。c)不妨害其它与之共享信息资源的系统的安全。d)能仅向信息所有者、向其它指定的合法个人或定义的用户组提供信息访问。9.6.1信息访问限制应依据确定的访问控制策略、个人业务应用要求以及组织信息访问策略向包括技术支持人员在内的应用系统用户提供对信息和应用系统功能的访问权（见9.1）。为了支持访问限制要求，应该考虑使用以下控制措施：a)提供用于控制对应用系统功能访问的菜单。b)通过对用户文档进行适当的编辑来限制用户了解无权访问的信息或应用系统功能。c)控制用户的访问权，如读写权限、删除权限以及执行权限。d)保证处理敏感信息的应用系统输出仅包含与输出的使用相关的信息，而且只发送给授权终端和地点，包括对这些输出进行定期检查，保证将多余的信息删除掉。9.6.2敏感系统的隔离敏感系统可以要求有专门（隔离）的计算环境。某些应用系统对潜在的数据丢失十分敏感，要求进行特殊处理。敏感性说明应用系统应该在专门的计算机上运行，只应与委托的应用系统共享资源。否则，就不必进行任何限制。49应考虑以下因素。a)应用程序所有者应该确定应用系统的敏感性并记录在案（参见4.1.3）。b)在共享环境中运行敏感应用程序时，应确定与其共享资源的应用系统并与敏感应用程序的所有者达成共识。9.7监控系统的访问和使用目标：检测非法活动。应该对系统进行进行监控，检测与访问控制策略不符的情况，将可以监控的事件记录下来，在出现安全事故时作为证据使用。利用系统监控，可以检查所采用的控制措施是否有效，是否与访问策略模型（参见9.1）相符。9.7.1事件日志记录应该创建记录异常事件和安全相关事件的审计日志并按照协商认可的保留期限将其保留一段时间。审计日志还应包括以下内容：a)用户ID。b)登录与注销的日期和时间。c)终端标识或位置（如果可能）。d)系统的成功访问和拒绝访问记录。e)数据与其它资源的成功访问和拒绝访问记录。某些审计日志要求作为记录保留策略内容归档，或者因为有证据收集方面的要求而要求归档（另请参见第12条款）。9.7.2监控系统的使用9.7.2.1程序和风险领域应该制定信息处理设施使用情况的监控程序。必须制定此类程序，保证用户仅执行明确授权的操作。应该通过风险评估确定各个设施要求的监控级别。应该考虑的领域包括：a)合法访问，包括如下详细内容：1)用户ID。2)重要事件的日期和时间。3)事件类型。4)所访问的文件。5)所用程序/实用程序。b)所有特权操作，如：1)主管帐户的使用。2)系统启动和停止。3)I/O设备连接/分离。c)非法访问次数，如：1)失败次数。2)访问策略的违反情况和通知503)网关和防火墙。4)专门负责入侵检测的系统的预警。d)系统预警或故障，如：1)控制台预警或消息。2)系统日志异常情况。3)网络管理报警。9.7.2.2风险因素应该对监控活动的结果进行定期检查。检查频率取决于风险情况。应该考虑的风险因素包括：a)应用进程的危急程度。b)有关信息的价值、敏感性或重要性。c)系统的入侵和滥用历史记录。d)系统互连程度（尤其是公用网）。9.7.2.3日志记录和评审事件日志评审包括了解系统面临的威胁以及这些威胁出现的方式。有些事件可能在发生安全事故时要求进行进一步调查。9.7.1中给出了一些此类事件的示例。系统日志通常包括大量的信息，多数与安全监控无关。为了识别用于安全监控目的的重要事件，应该考虑将相应的消息类型自动复制到另一个日志中，以及（或者）使用适当的系统实用程序或审计工具进行文件询问。分配日志评审责任时，应该考虑把评审人员和被监控者的角色分离开来。尤其要注意日志记录工具的安全。因为该工具如果随意使用，就可能在安全问题上产生错觉。控制措施应该针对性地防止非法更改和操作问题，包括：a)正在停用日志记录工具。b)对所记录的消息类型进行更改。c)正在编辑或删除日志文件。d)日志文件介质即将填满，或者无法记录事件，或者重写。9.7.3时钟同步计算机时钟的正确设置十分重要。它可以保证审计日志的准确性。在法律案件或纪律检查案件调查中或要将审计日志作为证据都要求其准确性。审计日志不准确，就可能妨碍此类调查，影响此类证据的可靠性。如果计算机或通信设备能使用实时时钟，就应该按公认标准对时钟进行设置。比如按照统一协调时间(UCT)或当地标准时间设置时钟。由于某些时钟可能时间不准，所以应该采用对任何较大的误差可以进行检查和调整的程序。9.8移动计算和远程工作目标：保证在使用移动计算和远程工作设施时信息的安全性。51要求采用的保护措施应该与具体工作方式可能产生的风险相一致。移动计算时应该考虑在无保护的环境中工作的风险并采用适当的保护措施。在远程工作环境下，组织应该对远程工作场所采用一定的保护措施，保证为该工作方式进行适当的安排。9.8.1移动计算使用移动计算设备（如笔记本电脑、掌上电脑、膝上型电脑和移动电话）时，尤其应该注意保证业务信息不受损坏。应该采用正式策略，考虑移动计算设备的工作风险，尤其应该考虑在无保护的环境中使用这些设备的风险。例如，此类策略应该包括环境保护、访问控制、加密技术、备份和防病毒要求。该策略还应该包括移动设备连网的规则和建议以及这些设备在公共场所使用的指导说明。在公共场所、会议室以及组织工作场所以外的其它无保护环境中使用移动计算设备时应该十分谨慎。应该采用一定的保护措施，避免这些设备（如采用加密技术的设备，参见10.3）存储和处理的信息遭到非法访问或泄密。在公共场所使用此类设备时必须注意防范被未经授权人员窥视的风险。应该制定并实时更新用于防范恶意性软件的程序（参见8.3）。应该配备必要的设备以对信息进行方便快捷的备份。备份的信息应该适当地予以保护，如防止信息被盗或丢失。应该对连网移动设备的使用进行适当的保护。使用移动计算设备对公用网上的商务信息进行远程访问时必须先成功地进行身份识别和验证并采用适当的访问控制机制（参见9.4）。还应防止移动计算设备被盗，尤其是比如丢在汽车等其它交通工具、旅馆、会议中心以及聚会场所内。内含重要、敏感和/或关键业务信息的设备不应无人看管。如果可能，应该上锁。应使用专用锁来保障设备的安全。有关移动设备环境保护的详细信息，请参见7.2.5。应该对进行移动计算的员工安排进行培训，提高他们对此种工作方式引起的额外风险的防范意识以及对应该采取的控制措施的认识。9.8.2远程工作远程工作采用通信技术，使员工可以在组织以外的某个固定地点远程进行工作。远程工作场所应该切实防止盗窃设备和信息、非法公开信息、对组织内部系统进行远程非法访问或滥用设备的行为等等。远程工作必须得到管理层批准并由管理层进行控制，必须对这种工作方式进行切实可行的安排。组织应该考虑制定相应的策略、程序和标准，对远程工作活动进行控制。组织只应在符合以下两个条件时才批准进行远程工作活动：制定了适当的安全措施和控制措施且符合组织的安全策略。应该考虑以下内容：a)远程工作场所的现有环境安全情况，如考虑建筑物以及当地环境的安全情况。b)拟议的远程工作环境。52c)通信安全要求，如考虑对组织内部系统的远程访问需要、通过通信链路访问和传输的信息的敏感性以及内部系统的敏感性。d)他人（如家人和朋友）使用提供设备对信息或资源进行非法访问的威胁。应考虑以下控制措施和方案：a)提供远程工作活动所需的适当设备和贮存用办公设备。b)明确说明可以开展的工作、工作时间、可以保管的信息种类以及远程工作人员有权访问的内部系统和服务。c)提供适当的通信设备，包括保障远程访问安全的方法。d)环境安全。e)有关家人和客人使用设备访问信息的规则和指导说明。f)提供软硬件支持和维护。g)有关备份和业务连续性的程序。h)审计和安全性监控。i)远程工作活动结束时收回权限和访问权以及设备。10系统开发与维护10.1系统的安全要求目标：保证信息系统内建有安全机制。其中包括基础设施、业务应用程序和用户开发的应用程序。设计和实施支持应用或服务的业务进程是安全的关键。在开发信息系统前应该确定安全要求，并形成统一认识。所有安全要求，包括后退安排，都应该在项目的需求阶段确定并进行合理说明，然后达成一致意见并将意见备案作为信息系统整个业务的组成部分。10.1.1安全要求分析和说明新系统和改进系统的业务要求陈述应指明控制措施方面的要求。这些说明应考虑系统包含自动控制措施时，还需要辅助性的人工控制措施。在评估业务应用程序的软件包时，也应做与此相似的考虑。如果认为合适，管理层可能希望使用经过独立评估和鉴定的产品。安全要求和控制措施应体现出有关信息资产的商业价值，同时反映由于故障或缺少安全保护造成的潜在商业损失。分析安全要求并确定达到要求的控制措施的指导方针是风险评估和风险管理。在设计阶段引入控制措施，它的实施和维护的代价要远远小于在实施过程中或之后引入的控制措施。5310.2应用系统中的安全目标：防止应用系统中用户数据的丢失、修改或滥用。应用系统应设计包含适当的控制措施和审计追踪或活动日志记录，包括在用户写入的应用程序中。这些系统应包括对输入数据、内部处理和输出数据的检验功能。处理敏感、有价值或重要的组织资产或者对这些资产构成影响的系统还需要补充其他控制措施。这些控制措施是根据安全要求和风险评估确定的。10.2.1输入数据验证应该对应用系统的数据输入进行验证，保证输入数据正确并合乎要求。应对业务交易的输入、固定数据（姓名和地址、信用限度、客户参考数字）和参数表（销售价格、货币汇率、税率）进行检查。应该考虑采用以下控制措施：a)使用双路输入或其他输入检查来查找以下错误：1)超范围值；2)数据字段中的无效字符；3)遗漏或残缺的数据；4)超过数据量的上限和下限；5)非法或不一致的控制数据；b)定期审查关键字段或数据文件的内容，确认其有效性和完整性；c)检查硬拷贝输入文档是否有对输入数据进行非法变更（所有对输入文档的变更应经过授权）；d)对合法性错误的响应步骤；e)测试似是而非的输入数据的步骤；f)规定参与数据输入过程的所有人员的责任。10.2.2内部处理的控制10.2.2.1风险区域正确输入的数据可能会因处理错误或故意人为等因素遭到破坏。系统应包含有效性检查，以便检查这类破坏。应用程序的设计应确保执行某些约束最大限度地降低处理错误导致完整性破坏的风险。要考虑的特定区域包括：a)使用添加和删除功能并确定它们在程序中的位置，对数据进行变更；b)防止程序出现运行顺序错误或在前一个处理故障后运行的规程（另请参见8.1.1）c)使用正确程序从故障中恢复，确保正确处理数据。10.2.2.2检查和控制措施需要什么控制措施取决于应用的性质和任何数据毁损对业务的影响。综合的检查措施的示例包括以下：a)会话或批处理控制措施，在事务更新后协调数据文件的平衡；54b)平衡控制措施，针对上次结束时的平衡检查当前使用的平衡，即：1)循环-运行控制措施；2)文件更新总数；3)程序到程序控制措施；c)系统生成的数据的有效性（参见10.2.1）d)检查数据完整性或在中央计算机和远程计算机之间下载或上载的软件（参见10.3.3）。e)记录和文件的散列总数；f)检查确保在正确的时间运行应用程序；g)检查确保按正确顺序运行程序并在出现故障时中止，在问题解决前暂停处理。10.2.3消息验证消息验证是一种检查传输的电子消息的内容是否有非法变更或破坏的技术手段。它可以在硬件或软件上实施，支持物理消息验证设备或软件运算法则。应对需要安全要求保护消息内容完整性的应用程序考虑使用消息验证，例如电子资金转移或其他类似电子数据交换。应该对安全风险进行评估，确定是否需要消息验证并寻找最适合的实施方法。消息验证不是用来保护消息内容避免非法访问的。加密技术（参见10.3.2和10.3.3）可以用作实现消息验证的适合手段。10.2.4输出数据验证应该对从一个应用系统输出的数据进行验证，保证对所存储信息的处理正确且合乎实际情况。一般而言，构建系统的前提条件是已经经过适当的验证，这样检验和测试输出才可以始终保持正确。但情况并非总是如此。输出验证包括：a)正反检查输出数据是否合理；b)协调控制计数确保处理所有数据；c)为阅读程序或以后的处理系统提供足够信息，确定信息的准确性，完整性、准确性和分类。d)处理输出验证数据的程序步骤；e)规定参与数据输出过程的所有人员的责任。10.3加密控制措施目标：保护信息的安全性、真实性或完整性。加密系统和技术应该用于保护具有风险的信息和那些控制措施没有提供足够保护的信息。5510.3.1加密控制措施的使用策略决定加密解决方案是否合适应看作是评估风险和选择控制措施的过程的一个部分。应进行风险评估确定给予信息保护的水平。评估结果还可以用来确定加密控制是否合适，应该应用什么类型的控制措施以及用于什么目的和业务进程。为保护自己的信息，组织应该制定使用加密控制的策略。这些策略是最大化使用加密技术的利益和最小化使用风险必不可少的，并避免不恰当或不正确的使用。制定策略时，应考虑以下因素：a)在组织范围内使用加密控制措施的管理手段，包括保护业务信息的一般原则；b)核心管理的方法，包括在密钥丢失、破坏的情况下恢复加密信息的方法；c)作用和责任。例如谁来负责：1)实施策略；2)密钥管理；d)如何确定适当的加密保护级别；e)在组织内为有效实施采用的标准（什么解决方案用于什么样的业务进程）。10.3.2加密加密是用于保护信息机密性的口令技术。在保护敏感或关键信息时应考虑使用它。根据风险评估，在考虑使用的加密算法类型和质量以及加密密钥的长度基础上，确定需要的保护级别。在实施组织的加密策略时，应该考虑法律和国内的限制是否适用于在其他国家和地区使用加密技术，是否会造成加密信息跨国界的问题。另外，应该考虑控制措施是否适用于出口和进口加密技术（另请参阅12.1.6）应该征求专家意见确定适当的保护级别，选择合适的产品，为安全系统提供必要的保护，并执行密钥管理。另外，有关适用组织计划使用的加密手段的法律规定，需要征求法律方面的意见。10.3.3数字签名数字签字是一种保护电子文档的真实性和完整性的方法。例如，在电子商务中可以使用它，因为需要验证谁签署电子文档并检查已签署文档的内容是否被更改。数字签字可以应用于各种形式的电子处理文档，例如它们可以用于电子支付、资金转移、合约和协议。可以使用加密技术实现数字签字，方法是利用一对唯一相关的密钥，其中一个密钥用于创建签字（个人密钥），另一个用于检查签字（公开密钥）。应注意保护个人密钥的保密性。该密钥应秘密保管，因为得到该密钥的任何人都可以签署文档，例如支付、合同等，然后伪造该密钥主人的签名。另外，保护公开密钥的完整性也很重要。使用公开密钥证明来进行保护（参见10.3.5）。56需要考虑所使用的签名算法的类型和质量以及要使用的密钥长度。用于数字签名的加密密钥应与用于加密操作的密钥不同（参见10.3.2）。使用数字签名时，应考虑所有的相关立法，这些法规说明合法使用数字签名的条件。例如，在电子商务中，理解数字签名的合法性十分重要。在法律不完善的地方，需要结合合约或其他协议来支持数字签名的使用。另外，有关适用组织计划使用的数字签名的法律规定，需要征求法律方面的意见。10.3.4不否认服务在需要解决某个事件或行为是否发生的纠纷（例如，在电子合约或支付中使用数字签名的纠纷）时，应该使用不否认服务。它们可以帮助确定验证某个事件或行为是否发生的证据，例如否认使用电子邮件发送数字签名的指令。这些服务以加密技术和数字签名技术的使用为基础（另请参见10.3.2和10.3.3）。10.3.5密钥管理10.3.5.1加密密钥的保护加密密钥管理是有效使用加密技术的关键。加密密钥的破坏或丢失可能导致信息的保密性、真实性和完整性被破坏。管理系统应该支持组织使用两种类型的加密密钥，它们是：a)秘密密钥技术，几个当事方共同使用一个密钥，这个密钥用于加密和解密信息。这个密钥必须秘密保管，因为获得该密钥的任何人都可以用密钥解密加密的信息，或者带入非法信息。b)公开密钥技术，其中，每个用户都有一对密钥：一个公开密钥（向所有人公开）和一个个人密钥（必须秘密保管）。公开密钥可以用于加密（参见10.3.2）和生成数字签名（参见10.3.3）。所有密钥都应该保护不被修改和破坏，秘密密钥和公开密钥需要保护不被非法暴露。加密技术可以用来实现这一目的。应使用物理保护来保护用于生成、储存和归档密钥的设备。10.3.5.2标准、程序和方法密钥管理系统应基于一组认可的标准、程序和安全方法：a)为不同的加密系统和应用程序生成密钥；b)生成并获得公开密钥的证书；c)将密钥分配给目标用户，包括在收到密钥时应如何激活它；d)储存密钥，包括授权用户如何获得密钥使用权；e)更改或更新密钥，包括何时以及如何更改密钥的规则。f)处理被破坏的密钥；g)调用密钥，包括如何回收或失活密钥，例如密钥已经被破坏或用户已经离开组织（此时，密钥应该归档）。h)恢复丢失或破坏的密钥是业务连续性管理的一个部分，例如恢复加密信息。57i)归档密钥，例如归档或备份信息；j)销毁密钥；k)记录和审查密钥管理的相关活动。为降低破坏的可能性，应确定密钥激活和失活的日期，这样密钥只能在限制的时期内使用。这个时期取决于正在使用密钥控制措施的环境和预期的风险。需要考虑处理使用密钥的法律请求，例如，在法庭上需要提供解密的加密信息来作为证据。除考虑安全管理秘密密钥和个人密钥的问题外，还应该考虑保护公开密钥。在用自己的公开密钥替换某个用户的公开密钥，就会产生伪造数字签名的威胁。这个问题通过使用公开密钥证书来解决。这些证书应通过以下方式制作：唯一地将与公开/个人密钥对的所有人相关的信息与公开密钥绑定。因此信赖产生证书的管理流程是很重要的。这个过程通常由一个证明权威来执行，它是一个得到承认的掌握合适控制措施和方法的组织，具有所需要的信任度。与提供加密服务的外部供应商（例如，某个证明权威机构）制定的服务水平协议或合约应包含责任、服务的可靠性和提供服务的响应时间等问题。10.4系统文件的安全目标：确保安全地进行IT项目和支持活动。应控制对系统文件的访问。保护系统完整性应是应用系统或软件所属的用户部门或开发小组的责任。10.4.1操作软件的控制应该对操作系统软件的实施进行控制。为最大限度降低操作系统崩溃的风险，应考虑以下控制措施。a)更新操作系统程序库应由获得适当管理授权的指定保管员来执行。b)如有可能，操作系统应只保留可执行代码。c)在获得测试成功和用户接受的证据以及相关的程序源库被更新前，不应在操作系统上执行可执行代码。d)应维护操作程序库更新的审计日志记录。e)保留前一版本的软件作为应急方法。用于操作系统的由供应商提供的软件应保留供应商的支持。决定升级到新发行版时应考虑该版本的安全性，即引入新的安全功能或影响该版本的安全问题的数量和严重程度。如果软件补丁程序可以帮助克服或减少安全漏洞，那么应该应用这些程序。在需要的时候经过管理层批准，应只给供应商物理或逻辑的访问权限以便提供支持服务。应监视供应商的活动。10.4.2系统测试数据的保护58应该保护和控制测试数据。系统和验收测试通常需要大量的尽可能与操作数据接近的测试数据。应该避免使用包含个人信息的操作数据库。如果使用这类信息，那么在使用前应该做非个性化处理。在操作数据用于测试目的时，应应用以下控制措施来保护操作数据。a)适用于操作应用系统的访问控制规程也应该适用于测试应用系统。b)每次应该使用不同的授权，将操作信息复制到测试应用系统。c)在测试完成后应立即将操作信息从测试应用系统中清除。d)应该记录操作信息的复制和使用情况，以便提供审计追踪。10.4.3对程序源代码库的访问控制为减少可能出现的计算机程序崩溃，应按以下方法维护对访问程序源库的严格限制（另请参见8.3）。a)程序源库应尽可能不要保存在操作系统上。b)应为每一个应用程序指定一个库保管员。c)IT支持人员应不受限制地访问程序源库。d)正在开发或维护的程序不应保留在操作程序源库中。e)更新程序源库和向程序员提供程序源应通过指定的库保管员来执行，并且获得IT支持管理员的授权。f)程序清单应保存在安全的环境中（参见8.6.4）。g)应维护访问程序程序库的审计日志记录。h)应对旧版本的源程序进行归档，明确指明使用它们操作的准确日期和时间以及所有支持软件、作业控制、数据定义和过程。i)维护和复制程序源库应受严格的变更控制程序的约束（参见10.4.1）。10.5开发和支持过程中的安全目标：维护应用系统软件和信息的安全性。应该严格控制项目和支持环境。负责应用程序的管理员还应该负责项目或支持环境的安全。他们应该确保对所有提议的系统变更进行审查，检查它们是否破坏系统或操作环境的安全。10.5.1变更控制程序为最大限度地减少信息系统崩溃，应对变更实行严格控制。应该强化正式的变更控制过程。他们应确保不破坏安装和控制的程序，支持只赋予程序员访问他们工作需要的那一部分系统的权限，在进行任何变更前必须获得正式的许可和批准。改变应用软件会影响操作环境。在适当的时候，应结合操作步骤和应用更改控制步骤（另请参阅8,1,2）。59这个过程应包括以下内容：a)维护认可授权级别的记录；b)确保更改由合法用户提交；c)检查控制措施和完整性步骤，确保它们没有被这些更改破坏；d)确定所有需要变更的计算机软件、信息、数据库实体和硬件。e)在正式开始前应获得对具体提议的正式批准；f)确保合法用户在实施前接受变更；g)确保执行实施，最大限度减少业务中断；h)确保在每次变更完成后系统文档集被更新，所有旧文档被归档或得到处理；i)维护所有软件更新的版本控制；j)维护所有变更请求的审计追踪；k)确保操作文档（参见8.1.1）和用户过程根据需要进行变更；l)确保在合适的时间执行变更，不会打段有关业务进程。许多组织都维护一个用户测试新软件的环境，这个环境将开发环境和生产环境分隔开。这就提供一个方法，既控制新软件，又可以保护用于测试目的的操作信息。10.5.2操作系统变更的技术评审定期变更操作系统是必要的，例如安装一个新提供的软件发行版或补丁程序。发生变更时，应对应用系统进行审查和测试，确保对操作和安全性没有负面影响。这个过程应包括：a)审查应用程序控制和完整性过程确保它们没有被操作系统变更所破坏；b)确保每年的支持计划和预算包括操作系统变更引起的审查和系统测试费用；c)确保及时提供操作系统变更的通知，以便在实施前进行检查。d)确保对业务连续性计划做适当的变更（参见条款11）。10.5.3对软件包变更的限制不鼓励对软件包进行变更。使用供应商提供的软件包应尽可能不做变更。在确实需要修改软件包的情况下，应考虑以下几点：a)内置的控制措施和完整性进程被破坏的风险；b)是否获得供应商的同意；c)当标准程序更新时从供应商获得所需要变更的可能性；d)在发生变化时组织是否负责以后的软件维护的影响。60如果变更是不可避免的，那么应保留原始软件，只对确定的副本进行变更。所有的变更应得到完整的测试并进行记录，这样将来需要对软件进行升级时可以重新应用这些变更。10.5.4隐蔽通道和特洛伊代码隐蔽信道可以通过某些间接和模糊的方法暴露信息。激活信道的方法有两种：更改计算系统中安全和不安全元素都可访问的参数或者将信息嵌入数据流。特洛伊代码影响以非法隐蔽的方式影响系统，这些代码是接收者或程序用户不需要的。隐蔽信道和特洛伊代码偶尔发生。在出现隐蔽信道或特洛伊代码的地方，应考虑以下方法：a)只从信誉较好的地方购买程序；b)购买使用源代码的程序，这样可以检测代码；c)使用经过评估测试的产品；d)在操作使用前检查所有源代码；e)安装后控制对源代码的访问和修改；f)只允许证明值得信赖的人员使用关键系统。10.5.5外包的软件开发当软件开发外包时，应考虑以下几点：a)许可管理、代码所有权和知识产权（参见12.1.2）b)质量证明和完成工作的准确性c)在出现第三方事故时的第三者义务条款；d)对审计完成工作的质量和准确性的访问权限；e)对代码质量的合同要求；f)在安装前进行测试检查是否有特洛伊式的代码。11业务连续性管理11.1业务连续性管理的特点目标：防止业务活动中断，保证重要业务流程不受重大故障和灾难的影响。应该实施业务连续性管理程序，预防和恢复控制相结合，将灾难和安全故障（可能是由于自然灾害、事故、设备故障和蓄意破坏等引起）造成的影响降低到可以接受的水平。应该分析灾难、安全故障和服务损失的后果。应该制定和实施应急计划，确保能够在要求的时间内恢复业务流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。业务连续性管理应该采用控制措施，确定和降低风险，限制破坏性事件造成的后果，确保重要操作及时恢复。6111.1.1业务连续性管理程序应该在整个组织内部制定培育和维护业务连续性的管理程序。还应该包括业务连续性管理的主要内容，如下所示：a)了解组织所面临的风险，考虑其可能性和影响，包括确定重要业务流程及其优先级别。b)了解中断可能对业务造成的影响（必须找到适当的解决方案，正确处理较小事故以及可能威胁组织生存的大事故），并确定信息处理设施的业务目标。c)适当考虑购买保险，可以将其作为业务连续性程序的一部分。d)制定符合商定业务目标和优先级别的业务连续性战略并记录在案。e)制定符合商定战略的业务连续性计划并记录在案。f)定期对计划和程序进行检查和更新。g)确保在组织的程序和结构中纳入业务连续性管理。业务连续性管理程序的协调责任应该在组织内部某一级（如信息安全讨论会）进行适当分配（参见4.1.1）。11.1.2业务连续性和影响分析要确保业务连续性，应该首先确定可能引起业务流程中断的事件，如设备故障、水灾和火灾。然后，应该进行风险评估，确定中断可能造成的影响（破坏程度和恢复时间）。这两项活动都应让业务资源和流程的所有者完全参与。此项评估涉及所有业务流程，不只局限于信息处理设施。应该根据风险评估结果制定相应的战略计划，确定业务连续性总体方案。计划制定后应该由管理层进行批准。11.1.3编写和实施连续性计划应该制定计划维护业务运作，或在重要业务流程中断或发生故障后在规定时间内恢复业务运作。业务连续性计划程序应该考虑以下内容：a)确定并认可各项责任和应急程序。b)执行应急程序，以便在规定时间内进行恢复。要特别注意对有关外部业务和合同的评估。c)商定程序的备案。d)适当地对员工进行培训，让他们了解包括危机管理在内的商定应急程序；检查并更新计划。计划程序应着重强调要求的业务目标，如在可接受的时间内恢复向客户提供的具体服务。为此，应该考虑所需服务和资源，包括人员、非信息处理资源以及信息处理设施的低效运行安排。11.1.4业务连续性计划框架应该维护一个业务连续性计划的框架，保证所有计划前后一致，确定测试和维护的优先级别。每个业务连续性计划都应该详细说明计划执行的条件以及执行62每一部分计划的负责人员。确定新的要求时，应该对已制定的应急程序（如疏散计划或现有的低效运行安排）适当进行修改。业务连续性计划框架应该考虑以下内容：a)计划执行条件。在计划执行前说明要采用的程序（情况评估办法、参与人员等）。b)应急程序。说明在发生危及业务操作和/或生命的事故后要采取的措施。还应该包括公共关系管理方面的安排以及与相应政府机构（如警察、消防和当地政府）保持有效联系的安排。c)低效运行程序。说明应该采取哪些措施，以将重要业务活动或支持服务转移到其它临时地点并在规定时间内恢复业务流程。d)恢复程序。说明应该采取哪些措施，以恢复正常业务运作。e)说明计划检查方式和时间的维护计划以及计划维护程序。f)宣传培训活动。旨在让人们了解业务连续性程序，保证这些程序始终有效。g)个人责任。说明由谁负责执行哪一部分计划。根据要求应该指定备选方案。每个计划都应该有一个所有者。应急程序、采用人工进行的低效运行计划以及恢复计划都应该由拥有相应业务资源或程序的人负责。备用技术服务的低效运行安排（如信息处理和通信设施）通常应该由服务提供商负责。11.1.5业务连续性计划的检查、维护和重新分析11.1.5.1计划的检查业务连续性计划常常由于错误估计、疏忽或者设备（人员）的变化可能无法通过检查。因此，应该对计划进行定期检查，保证其新颖性和有效性。进行此类检查时，还应该保证负责进行恢复的所有小组成员以及其他相关人员对计划有一定的了解。业务连续性计划的检查计划应该说明各部分计划的检查方式和时间。建议对计划各部分进行频繁检查。应该采用各种技术，确保计划的实际运作。这些技术包括：a)对各种情况进行公开检查（利用中断示例讨论业务恢复方面的安排）。b)模拟（尤其用来对负责事故/危机发生后管理的人员进行培训）c)技术恢复的检查（保证信息系统能够有效恢复）。d)备用场地恢复的检查（继续业务流程，同时在主要场地外执行恢复操作）。e)供应商提供的设施和服务的检查（确保外部提供的服务和产品符合合同中的规定）。f)全面演习（检查组织、人员、设备、设施和程序是否能够应付中断情况）。技术可以由任何组织使用，应该反映具体恢复计划的特点。11.1.5.2计划的维护和重新分析63应该通过定期审议和更新对业务连续性计划进行维护，确保其始终有效。应该在组织的变更管理计划中采用适当程序，确保业务连续性问题得到适当处理。应该分配各个业务连续性计划的定期评审责任；业务连续性计划更新后，应该检查还有哪些业务安排变动尚未在该计划中得以反映。该正式变更控制程序还应该确保把更新计划分发下去，而且在对完整计划进行定期审议后更新计划更加完善。需要更新计划的情况的示例包括购买新设备或操作系统升级以及在以下方面发生的变动：a)人员。b)地址或电话号码。c)经营战略。d)场所、设施和资源。e)法律法规。f)承包商、供应商和主要客户。g)流程，或新的流程/废止的流程。h)风险（操作风险和金融风险）。12符合性12.1符合法律要求目标：不违反刑法、民法、成文法、法规或合约义务以及任何安全要求。信息系统的设计、操作、使用和管理要依据成文法、法规或合同安全的要求。应该向组织的法律顾问或合格的律师咨询关于具体法律要求的建议。法律要求各国不一，有关在一国创建而传输到另一国的信息（即跨国界数据流动）的法律要求也不尽相同。12.1.1确定适用法律对每一个信息系统都应该明确规定所有相关法律法规要求和合约要求并进行备案。满足这些要求的具体控制措施和个人责任同样应该进行规定和备案。12.1.2知识产权(IPR)12.1.2.1版权应该采用适当的程序，保证符合有关涉及知识产权（如版权、设计权或商标）的材料使用的法律限制。侵犯版权可能引发法律诉讼，甚至引发刑事诉讼。法律法规和合约要求可以对专利材料的复制予以限制。特别是，可以要求仅能使用组织内部编制的材料或经编写人员向组织授权或提供的材料。12.1.2.2软件版权64专有软件产品通常根据许可协议提供。许可协议仅限产品在指定机器上使用，复制仅限于创建备份副本。应该考虑采用以下控制措施：a)出台软件版权符合性策略，对合法使用软件和信息产品进行明确规定。b)签发用于规范获得软件产品的程序的标准。c)宣传软件版权和采购策略，并通告要对违反策略的员工采取惩罚性措施。d)维护适当的资产登记制度。e)保留许可证所有权、原版磁盘、手册等的证据和证明。f)执行控制措施，保证不超过允许最大用户数。g)检查确保只安装了授权软件和许可产品。h)提供适当许可条件的维护策略。i)向别人提供处置或转让软件的策略。j)使用适当的审计工具。k)符合从公用网获取软件和信息的条款和条件（另请参见8.7.6）。12.1.3组织记录的安全保障应该防止组织的重要记录丢失、毁坏和窜改。某些记录必须妥善保管，以符合法律法规要求，有利于重要的业务活动。此类记录举例如下：可以要求作为证据证明组织运作符合法律法规规定的记录，或者可以确保能充分防范发生潜在的民事诉讼或刑事诉讼的记录，或者可以向股东、合作伙伴和审计人员证实组织财务状况的记录。信息保管的时间和数据内容应根据国家法律法规而定。记录应该按记录类型（会计记录、数据库记录、事务日志、审计日志和操作程序）进行分类，每种都应说明详细的保管时间和存储介质类型（如纸质、缩微胶片、磁性材料或光学材料）。与加密档案或数字签名有关的任何相关加密密钥（参见10.3.2和10.3.3）都应该妥为保存，并在需要时向授权人员提供。应考虑用于存储记录的介质出现性能下降的可能性。应该根据制造商建议采用存储和处理程序。如选择电子存储介质，则应该采用能够在整个保管期间访问数据（包括介质和格式可读性）的程序，保证不会由于未来技术上发生的变化而导致数据丢失。应该选择适当的数据存储系统，保证所需数据可以按照法院认可的方式进行检索，如所需全部记录可以在认可时间内以认可的格式进行检索。存储和处理系统应该确保能够清楚识别记录以及法律法规规定的保管期。还应该规定，在保管期满后如果组织不再需要记录，则可以采用适当的方式予以销毁。为了履行这些义务，应该在组织内采取以下步骤。a)应该对记录和信息的保管、存储、处理和处置签发指导原则。b)应该制定确定记录类型和保管时间的保管计划。c)应该维护关键信息来源目录。d)应该采用适当的控制措施，保护重要的记录和信息，防止丢失、破坏和窜改。6512.1.4个人信息的数据保护和安全有几个国家已经制定了相应法律，对个人数据（一般为有关可以据以识别的活着的个人的信息）的处理和传输进行控制。此类控制措施可以对收集、处理、传播个人信息者施加责任限制，也可以对向他国传输该数据的权限加以限制。要符合数据保护法律，就需要有适当的管理结构和控制。这通常可以通过委任数据保护官员而实现。此人应该就个人职责以及应该遵循的具体程序向管理员、用户和服务提供商提供指导。此类数据的所有者应该向数据保护官员报告在结构化文件中保存个人信息的提议，应该确保知晓相关法律中规定的数据保护原则。12.1.5防止信息处理设施的滥用组织的信息处理设施用于业务目的。管理层应该批准对信息处理设施的使用。在没有征得管理层同意的情况下，对这些设施进行任何非业务或非法使用都会视为是对设施的不当使用。如果此类活动通过监控或其它方法发现，则应该引起负责采取适当惩罚措施的经理的重视。监控使用情况的法律各国不一，可以要求员工必须对有关此类监控方法知情或者得到员工的同意。执行监控程序前应该寻求法律建议。许多国家已经或正在制定相应法律，以防止对计算机的滥用。计算机用于非法目的，可以构成刑事犯罪。所以，所有用户都必须了解允许的确切访问范围。这可以通过向用户提供书面授权而得以实现。授权副本应由用户签字并交组织妥为保管。组织的员工和第三方用户都应该知晓不经授权不得进行任何访问的规定。登录时计算机屏幕上应该显示警告消息，说明进入的系统是专用系统，不允许非法访问。用户必须认可屏幕上的消息并作出适当反应，然后继续登录。12.1.6加密控制措施的调整一些国家已经有了相应的协议、法律法规或其它手段来对访问或口令控制措施的使用进行控制。此类控制措施包括以下内容：a)进口和/或出口用于执行加密功能的计算机硬件和软件。b)专门增加了加密功能的计算机硬件和软件的进口和/或出口。c)国家为提供内容安全而对软硬件加密信息的强制性或选择性访问方法。应该寻求法律建议，确保遵守国家法律。将加密信息或加密控制措施输入另一个国家之前，也应寻求法律建议。12.1.7证据收集12.1.7.1证据的规则对个人或组织提起诉讼时，必须要有足够的证据。只要诉讼为内部约束事务，必要的证据就要通过内部程序进行说明。如果采取的行动涉及法律，不论是民法还是刑法，则所提供的证据应该符合相关法律或本案受理法庭的条例对证据的规定。一般情况下，这些规则包括以下内容：a)证据的可采性：证据是否可以在法庭上使用。66b)证据的份量：证据的质量和完整性。c)在系统存储和处理待收集证据期间一贯正确地实施控制措施的充分证据（即过程控制证据）。12.1.7.2证据的可采性要实现证据的可采性，组织应该保证其信息系统符合有关出示可采证据的公布标准或通用法规。12.1.7.3证据的质量和完整性要确保证据的质量和完整性，需要能提供有力的证据线索。一般情况下，可以根据以下条件找到有力的证据线索。a)书面文件：原件要妥为保管，要记录发现人、发现地点、发现时间和发现时在场证人。任何调查都应该确保不篡改原件。b)关于计算机介质的信息：对任何活动介质、硬盘上信息或内存中信息应该进行复制，以保证其可用性。应该对复制过程中的所有活动保留日志记录，而且应该有人作证。应该妥善保管一份介质和日志的副本。刚了解到发生事件时，可能还无法明确知道它是否可能引起法律诉讼。因此，在意识到事件的严重性之前存在必要证据无意被破坏的危险。建议在任何可能的法律诉讼初期让律师或警察参与进来，对所需证据提供建议。12.2安全策略和技术符合性的评审目标：保证系统符合组织的安全策略和标准。应该对信息系统的安全进行定期评审。应该根据适当的安全策略进行此类评审，还应该对技术平台和信息系统是否符合安全实施标准进行审计。12.2.1符合安全策略管理员应该确保正确执行其职责范围内的安全程序。另外，应该对组织内的各个方面进行定期评审，保证其符合安全策略和标准。应该包括以下方面：a)信息系统。b)系统供应商。c)信息和信息资产的所有者。d)用户。e)管理层。67信息系统所有者（参见5.1）应该支持定期评审，确保系统符合适当的安全策略、标准和其它安全要求。有关系统使用情况的操作监控，请参见9.7。12.2.2技术符合性检查应该定期检查信息系统是否符号安全实施标准。技术符合性检查涉及对操作系统的检查，保证硬件和软件控制措施得以正确执行。这种符合性检查要求有专家的技术帮助。应该由一位有经验的系统工程师手动进行此项检查（根据需要可辅之以适当的软件工具），或由一个自动化软件包来执行，之后再由技术专家对该软件包生成的技术报告进行解释。符合性检查还涉及渗透测试，可由专门负责此项任务的专家独立执行。这对于检测系统漏洞可能十分有用。而且对为防止这些漏洞引起的非法访问所采取控制措施的有效性进行检查时也十分有用。应该十分谨慎，以免渗透测试虽然成功，但却导致系统的安全受到影响，无意中引起了其它系统漏洞。任何技术符合性检查都只应由合格的授权人员或在其监督下完成。12.3系统审计因素目标：最大限度地提高有效性，最大程度地减少系统审计过程的干扰和对系统审计过程的干预。在系统审计过程中，应该采取适当的控制措施保障操作系统和审计工具的安全。同时还要求采取保护措施保障审计工具的完整性，防止滥用。12.3.1系统审计控制措施应该认真地对涉及操作系统检查的审计要求和活动制定计划并达成一致，以最大限度地降低业务流程中断的风险。应该符合以下要求：a)审计要求应该与适当的管理相一致。b)应该就检查范围达成一致并进行控制。c)检查应该只限于软件和数据的只读访问。d)只允许对系统文件的单独副本进行非只读访问，审计结束时应将其清除。e)应该明确确定执行检查的IT资源并保证其可资利用。f)应该明确特殊处理或额外处理要求并达成一致。g)应该对所有访问进行监控和记录，以提供参考线索。h)应该对所有程序、要求和责任进行备案。12.3.2系统审计工具的保护对系统审计工具（即软件或数据文件）的访问应该加以保护，以防止任何可能的滥用或危害。此类工具应该与开发系统和操作系统分开。不提供适当的额外保护，就不应存储在磁带库或用户区域中。68索引验收，系统8.2.2访问控制9应用程序9.6业务要求9.1操作系统9.5策略9.1.1程序源库10.4.3访问限制，信息9.6.1资产责任5.1对信息安全责任的分配4.1.3控制措施的适用性，简介应用访问控制9.6应用系统，安全10.2安全区7.1工作7.1.4评估安全风险，简介评估风险2.2资产分类管理5审计考虑因素12.3日志记录9.7.1工具，保护12.3.2验证消息10.2.3节点9.4.4用户9.4.3授权程序4.1.4自动终端识别9.5.1可用性2.1备份信息8.4.1业务连续性11框架11.1.4影响分析11.2管理11管理程序11.1测试维护和重新评估计划11.1.5编制和实施计划11.1.3访问业务要求控制9.1电缆安全7.2.3处理能力规划8.2.1证明10.3.5.2变更控制操作8.1.2程序10.5.1分类资产5指导原则5.2.1信息5.2桌面和屏幕管理策略7.3.1时钟同步9.7.369收集证据12.1.7组织间合作4.1.6通信与操作管理8符合性法律要求12.1安全策略12.2.1保密性2.1保密性协议6.1.3雇佣的条件和条款6.1.4合约第三方安全4.2.2外包安全4.3.1控制针对恶意软件8.3.1内部处理10.2.2操作条件10.4.1控制，一般实际7.3版权IPR12.1.2.1软件12.1.2.2隐蔽信道和特洛伊代码10.5.4重要的成功因素，简介加密控制10.3使用策略10.3.1规定10.3.2交货和装运区7.1.5制定自己的指导方针简介开发维护系统10操作设施，分离8.1.5支持环境，安全10.5数字签名10.3.3纪律检查程序6.3.5处置设备7.2.6介质8.6.2文档，系统安全8.6.4备案的操作程序8.1.1下载信息和软件8.1.3,8.7.4,10.2.2威胁报警9.5.6信息安全教育和培训6.2.1电子商务8.7.3邮件8.7.4办公系统8.7.5紧急措施11.1.3加密10.3.2实施控制的路径9.4.2出入控制措施7.1.2环境和实际安全7设备维护7.2.4安全7.2放置和保护7.2.170无人执守9.3.2使用前提5.2.5确立安全要求简介安全策略的评估和审查3.1.2事件记录9.7.1证据，收集12.1.7交换信息，其他形式8.7.7信息和软件8.7信息和软件，协议8.7.1外部设施管理8.1.6设施管理，外部8.1.6设施，获得7.1.3退守计划11.1.3错误记录8.4.3信息交换的形式，其他8.7.7业务连续性的指导方针11.1.4一般实际控制7.3指导原则简介危险，设备保护7.2.1内部工作设备安全7.2.5远程工作安全9.8.2内务管理8.4确定适用法律12.1.1确定终端9.5.1确定用户9.5,3事故吸取教训6.3.4管理步骤8.1.3报告6.3.1事故和故障，报告6.3信息的独立审查安全4.1.7信息访问，限制9.6.1备份8.4.1分类5.2其他交换形式8.7.7处理步骤8,6.3标记和处理5.2.2软件，交换8.7软件交换协议8.7.1信息安全2.1协调4.1.2教育和培训6.2.1基础设施4.1策略3.1策略文档3,1.1要求简介输入数据有效性10.2.1完整性2.1知识产权12.1.2内部处理，控制10.2.271资产目录5.1.1独立的交货和装运区7.1.5隔离敏感系统9.6.2作业定义和资源管理6.1作业责任，安全6.1.1密钥管理10.3.5标记和处理信息5.2.2吸取事故教训6.3.4限制连接时间9.5.8记录事件9.7.1错误8.4.3登录步骤9.5.2日志记录，操作员8.4.2故障，报告6.3.3恶意软件控制8.3.1防范8.3管理通信与操作8信息安全论坛4.1.1网络8.5可移动计算机介质8.6.1风险2.3用户访问9.2介质处置8.6.2处理和安全8.6在传输中8.7.2可移动8.6.1消息验证10.2.3滥用信息处理设施12.1.5移动计算9.8.1远程工作9.8监视系统访问和使用9.7系统使用9.7.2网络访问控制9.4连接控制9.4.7管理8,5路由控制9.4,8分离9.4.6节点验证9.4.4不公开协议6.1.3不否认服务10.3.4办公系统，电子8.7.5办公室，机房和设施，安全7.1.3操作步骤8.1.1系统访问控制9.5操作72变更控制l8.1.2过程和责任8.1软件，控制10.4.1操作和通信管理8操作员日志记录8.4.2组织安全4组织记录，保护12.1.3其他信息交换的形式8.7.7输出数据有效性10.2,4外包4.3外包软件开发10.5.5合约中的安全4.3.1口令管理，用户9.2.3管理系统9.5.4使用9.3.1个人信息，隐私12.1.4人员选拔策略6.1.2人员安全6实际环境安全7出入控制措施7.1.2安全区7.1.1策略访问控制9.1使用加密控制措施10.3.1使用网络服务9.4.1安全3电源7.2.2防止信息处理设施的滥用12.1.5权限管理9.2.2程序源库，访问控制10.4.3知识产权12.1.2保护保护设备免遭危险7.2针对恶意软件8.3系统审计工具12.3.2系统测试数据10.4.2信息公布系统8.7.6远程诊断端口保护9.4.5资产处置7.3.2报告安全事故6.3.1安全漏洞6.3.2软件故障6.3.3安全检查和评估策略3.1.2安全要求简介事故响应6.3责任作业中的安全6.1.1用户9.3软件变更限制程序包10.5.3审查73信息安全4.1.7用户访问权9.2.4风险评估2.2风险管理2.3路由控制9.4,8保护组织记录12.1.3范围1安全区7.1设备处置7.2.6工作7.1.4获得办公室，机房和设施，7.1.3安全在应用系统中10.2开发和支持过程10.5教育6.2.1电子商务8.7.3电子邮件8.7,4电子办公系统，8.7.5事故6.3,6.3.1传输中的介质8.7.2组织4策略3策略，符合12.2.1要求分析10.1.1外包要求合约4.3.1第三方合约要求4.2系统要求10.1信息处理检查设施12.2系统文档8.6.4系统文件10.3第三方访问4.2漏洞，报告6.3,2划分职责8.1.4在网络中9.4.6敏感系统隔离9.6.2开发设施与运营设施分离8.1.5设备选址7.2,1软件复制12.1.2.1故障6.3.3恶意的，保护6.3操作控制10.4.1程序包，变更限制10.5.3源程序库访问控制10.4.3专家信息安全建议4.1.5时钟同步9.7.3系统审计事项12.3审计控制措施12.1.3开发和维护10文档8.6.4文件，安全10.374规划和验收8.2敏感，隔离9.6.2测试数据，保护10.4.2技术符合性检查12.2.2检查操作系统变更10.5.2远程工作9.8.2终端标识9.5.1登录步骤9.5.2超时9.5.7雇佣的条款和条件6.1.4测试数据，保护10.4.2测试，维护和重新评估业务连续性计划11.1.5第三方访问4.2风险识别4,2.1合约中的安全要求4,2,2培训6.2.1特洛伊代码和隐蔽信道10.5.4无人执守的用户设备9.3.2用户访问管理9.2权限，检查9.2.4验证9.5.3标识符9.2.1标识9.5,3口令管理9.2.3注册9.2.1责任9.3培训6.2有效性输入数据10.2.1输出数据10.2,3病毒的控制措施8.3在安全区工作7.1.475',)