1、PAGE PAGE 92信息技術 安全(nqun)技術信息安全管理(gunl)實用規則Information technology-Security techniques-Code of practice for information security management（ISO/IEC 17799：2005）目 次 TOC o 1-3 h z u HYPERLINK l _Toc140998967 引 言 PAGEREF _Toc140998967 h III HYPERLINK l _Toc140998968 0.1 什么(shn me)是信息安全？ PAGEREF _Toc14099

2、8968 h III HYPERLINK l _Toc140998969 0.2 為什么需要(xyo)信息安全？ PAGEREF _Toc140998969 h III HYPERLINK l _Toc140998970 0.3 如何建立安全(nqun)要求 PAGEREF _Toc140998970 h III HYPERLINK l _Toc140998971 0.4 評估安全風險 PAGEREF _Toc140998971 h IV HYPERLINK l _Toc140998972 0.5 選擇控制措施 PAGEREF _Toc140998972 h IV HYPERLINK l _T

3、oc140998973 0.6 信息安全起點 PAGEREF _Toc140998973 h IV HYPERLINK l _Toc140998974 0.7 關鍵的成功因素 PAGEREF _Toc140998974 h V HYPERLINK l _Toc140998975 0.8 開發你自己的指南 PAGEREF _Toc140998975 h V HYPERLINK l _Toc140998976 1 范圍 PAGEREF _Toc140998976 h 1 HYPERLINK l _Toc140998977 2 術語和定義 PAGEREF _Toc140998977 h 1 HYPE

4、RLINK l _Toc140998978 3 本標準的結構 PAGEREF _Toc140998978 h 2 HYPERLINK l _Toc140998979 3.1 章節 PAGEREF _Toc140998979 h 2 HYPERLINK l _Toc140998980 3.2 主要安全類別 PAGEREF _Toc140998980 h 3 HYPERLINK l _Toc140998981 4 風險評估和處理 PAGEREF _Toc140998981 h 3 HYPERLINK l _Toc140998982 4.1 評估安全風險 PAGEREF _Toc140998982

5、h 3 HYPERLINK l _Toc140998983 4.2 處理安全風險 PAGEREF _Toc140998983 h 4 HYPERLINK l _Toc140998984 5 安全方針 PAGEREF _Toc140998984 h 4 HYPERLINK l _Toc140998985 5.1 信息安全方針 PAGEREF _Toc140998985 h 4 HYPERLINK l _Toc140998986 6 信息安全組織 PAGEREF _Toc140998986 h 6 HYPERLINK l _Toc140998987 6.1 內部組織 PAGEREF _Toc140

6、998987 h 6 HYPERLINK l _Toc140998988 6.2 外部各方 PAGEREF _Toc140998988 h 10 HYPERLINK l _Toc140998989 7 資產管理 PAGEREF _Toc140998989 h 15 HYPERLINK l _Toc140998990 7.1 對資產負責 PAGEREF _Toc140998990 h 15 HYPERLINK l _Toc140998991 7.2 信息分類 PAGEREF _Toc140998991 h 16 HYPERLINK l _Toc140998992 8 人力資源安全 PAGEREF

7、 _Toc140998992 h 18 HYPERLINK l _Toc140998993 8.1 任用之前 PAGEREF _Toc140998993 h 18 HYPERLINK l _Toc140998994 8.2 任用中 PAGEREF _Toc140998994 h 20 HYPERLINK l _Toc140998995 8.3 任用的終止或變化 PAGEREF _Toc140998995 h 21 HYPERLINK l _Toc140998996 9 物理和環境安全 PAGEREF _Toc140998996 h 23 HYPERLINK l _Toc140998997 9.

8、1 安全區域 PAGEREF _Toc140998997 h 23 HYPERLINK l _Toc140998998 9.2 設備安全 PAGEREF _Toc140998998 h 26 HYPERLINK l _Toc140998999 10 通信和操作管理 PAGEREF _Toc140998999 h 29 HYPERLINK l _Toc140999000 10.1 操作程序和職責 PAGEREF _Toc140999000 h 29 HYPERLINK l _Toc140999001 10.2 第三方服務交付管理 PAGEREF _Toc140999001 h 32 HYPERL

9、INK l _Toc140999002 10.3 系統規劃和驗收 PAGEREF _Toc140999002 h 33 HYPERLINK l _Toc140999003 10.4 防范惡意和移動代碼 PAGEREF _Toc140999003 h 34 HYPERLINK l _Toc140999004 10.5 備份 PAGEREF _Toc140999004 h 36 HYPERLINK l _Toc140999005 10.6 網絡安全管理 PAGEREF _Toc140999005 h 37 HYPERLINK l _Toc140999006 10.7 介質處置 PAGEREF _T

10、oc140999006 h 38 HYPERLINK l _Toc140999007 10.8 信息的交換 PAGEREF _Toc140999007 h 40 HYPERLINK l _Toc140999008 10.9 電子商務(din z shn w)服務 PAGEREF _Toc140999008 h 44 HYPERLINK l _Toc140999009 10.10 監視(jinsh) PAGEREF _Toc140999009 h 46 HYPERLINK l _Toc140999010 11 訪問控制 PAGEREF _Toc140999010 h 50 HYPERLINK l

11、 _Toc140999011 11.1 訪問控制的業務(yw)要求 PAGEREF _Toc140999011 h 50 HYPERLINK l _Toc140999012 11.2 用戶訪問管理 PAGEREF _Toc140999012 h 51 HYPERLINK l _Toc140999013 11.3 用戶職責 PAGEREF _Toc140999013 h 53 HYPERLINK l _Toc140999014 11.4 網絡訪問控制 PAGEREF _Toc140999014 h 55 HYPERLINK l _Toc140999015 11.5 操作系統訪問控制 PAGERE

12、F _Toc140999015 h 58 HYPERLINK l _Toc140999016 11.6 應用和信息訪問控制 PAGEREF _Toc140999016 h 62 HYPERLINK l _Toc140999017 11.7 移動計算和遠程工作 PAGEREF _Toc140999017 h 63 HYPERLINK l _Toc140999018 12 信息系統獲取、開發和維護 PAGEREF _Toc140999018 h 65 HYPERLINK l _Toc140999019 12.1 信息系統的安全要求 PAGEREF _Toc140999019 h 65 HYPERL

13、INK l _Toc140999020 12.2 應用中的正確處理 PAGEREF _Toc140999020 h 66 HYPERLINK l _Toc140999021 12.3 密碼控制 PAGEREF _Toc140999021 h 68 HYPERLINK l _Toc140999022 12.4 系統文件的安全 PAGEREF _Toc140999022 h 70 HYPERLINK l _Toc140999023 12.5 開發和支持過程中的安全 PAGEREF _Toc140999023 h 72 HYPERLINK l _Toc140999024 12.6 技術脆弱性管理 P

14、AGEREF _Toc140999024 h 75 HYPERLINK l _Toc140999025 13 信息安全事件管理 PAGEREF _Toc140999025 h 76 HYPERLINK l _Toc140999026 13.1 報告信息安全事態和弱點 PAGEREF _Toc140999026 h 76 HYPERLINK l _Toc140999027 13.2 信息安全事件和改進的管理 PAGEREF _Toc140999027 h 78 HYPERLINK l _Toc140999028 14 業務連續性管理 PAGEREF _Toc140999028 h 80 HYPE

15、RLINK l _Toc140999029 14.1 業務連續性管理的信息安全方面 PAGEREF _Toc140999029 h 80 HYPERLINK l _Toc140999030 15 符合性 PAGEREF _Toc140999030 h 84 HYPERLINK l _Toc140999031 15.1 符合法律要求 PAGEREF _Toc140999031 h 84 HYPERLINK l _Toc140999032 15.2 符合安全策略和標準以及技術符合性 PAGEREF _Toc140999032 h 87 HYPERLINK l _Toc140999033 15.3

16、信息系統審核考慮 PAGEREF _Toc140999033 h 88 引 言什么(shn me)是信息安全？象其他重要業務資產一樣，信息也是對組織業務至關重要的一種(y zhn)資產，因此需要加以適當地保護。在業務環境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中（也可參考關于信息系統和網絡的安全的OECD指南）。信息(xnx)可以以多種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電子手段傳送、呈現在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都應對它進行適當地保護。信息安全是保護信息免受各種

17、威脅的損害，以確保業務連續性，業務風險最小化，投資回報和商業機遇最大化。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規程、組織結構以及軟件和硬件功能。在需要時需建立、實施、監視、評審和改進這些控制措施，以確保滿足該組織的特定安全和業務目標。這個過程應與其他業務管理過程聯合進行。為什么需要信息安全？信息及其支持過程、系統和網絡都是重要的業務資產。定義、實現、保持和改進信息安全對保持競爭優勢、現金周轉、贏利、守法和商業形象可能是至關重要的。各組織及其信息系統和網絡面臨來自各個方面的安全威脅，包括計算機輔助欺詐、間諜活動、惡意破壞、毀壞行為、火災或洪水。諸如惡意代碼、計算機黑客搗亂

18、和拒絕服務攻擊等導致破壞的安全威脅，已經變得更加普遍、更有野心和日益復雜。信息安全對于公共和專用兩部分的業務以及保護關鍵基礎設施是非常重要的。在這兩部分中信息安全都將作為一個使動者，例如實現電子政務或電子商務，避免或減少相關風險。公共網絡和專用網絡的互連、信息資源的共享都增加了實現訪問控制的難度。分布式計算的趨勢也削弱了集中的、專門控制的有效性。許多信息系統并沒有被設計成是安全的。通過技術手段可獲得的安全性是有限的，應該通過適當的管理和規程給予支持。確定哪些控制措施要實施到位需要仔細規劃并注意細節。信息安全管理至少需要該組織內的所有員工參與，還可能要求利益相關人、供應商、第三方、顧客或其他外部

19、團體的參與。外部組織的專家建議可能也是需要的。如何建立安全要求組織識別出其安全要求是非常重要的，安全要求有三個主要來源：一個來源是在考慮組織整體業務戰略和目標的情況下，評估該組織的風險所獲得的。通過風險評估，識別資產受到的威脅，評價易受威脅利用的脆弱性和威脅發生的可能性，估計潛在的影響。另一個來源是組織、貿易伙伴、合同(h tong)方和服務提供者必須滿足的法律、法規、規章和合同要求，以及他們的社會文化環境。第三個來源(liyun)是組織開發的支持其運行的信息處理的原則、目標和業務要求的特定集合。評估(pn )安全風險安全要求是通過對安全風險的系統評估予以識別的。用于控制措施的支出需要針對可能

20、由安全故障導致的業務損害加以平衡。風險評估的結果將幫助指導和決定適當的管理行動、管理信息安全風險的優先級以及實現所選擇的用以防范這些風險的控制措施。風險評估應定期進行，以應對可能影響風險評估結果的任何變化。更多的關于安全風險評估的信息見第4.1節“評估安全風險”。選擇控制措施一旦安全要求和風險已被識別并已作出風險處理決定，則應選擇并實現合適的控制措施，以確保風險降低到可接受的級別。控制措施可以從本標準或其他控制措施集合中選擇，或者當合適時設計新的控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所作出的決定，該決定是基于組織所應用的風險接受準則、風險處理選項和通用的風險管理方法，同時還要遵守

21、所有相關的國家和國際法律法規。本標準中的某些控制措施可被當作信息安全管理的指導原則，并且可用于大多數組織。下面在題為“信息安全起點”中將更詳細的解釋這些控制措施。更多的關于選擇控制措施和其他風險處理選項的信息見第4.2節“處理安全風險”。信息安全起點許多控制措施被認為是實現信息安全的良好起點。它們或者是基于重要的法律要求，或者被認為是信息安全的常用慣例。從法律的觀點看，對某個組織重要的控制措施包括，根據適用的法律：數據保護和個人信息的隱私（見15.1.4）；保護組織的記錄（見15.1.3）；知識產權（見15.1.2）。被認為是信息安全的常用慣例的控制措施包括： 信息安全方針文件（見5.1.1）

22、；信息安全職責的分配（見6.1.3）；信息安全意識、教育和培訓（見8.2.2）；應用中的正確處理（見12.2）；技術脆弱性管理（見12.6）；業務連續性管理（見14）；信息安全事件和改進管理（見13.2）。這些(zhxi)控制措施(cush)適用(shyng)于大多數組織和環境。應注意，雖然本標準中的所有控制措施都是重要的并且是應被考慮的，但是應根據某個組織所面臨的特定風險來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認為是一種良好的起點，但它并不能取代基于風險評估而選擇的控制措施。關鍵的成功因素經驗表明，下列因素通常對一個組織成功地實現信息安全來說，十分關鍵： 反映業務目標的信息安

23、全方針、目標以及活動；和組織文化保持一致的實現、保持、監視和改進信息安全的方法和框架；來自所有級別管理者的可視化的支持和承諾； 正確理解信息安全要求、風險評估和風險管理；向所有管理人員、員工和其它方傳達有效的信息安全知識以使他們具備安全意識；向所有管理人員、員工和其它方分發關于信息安全方針和標準的指導意見；提供資金以支持信息安全管理活動；提供適當的意識、培訓和教育；建立一個有效的信息安全事件管理過程；實現一個測量 注意信息安全測量不在本標準范圍內。系統，它可用來評價信息安全管理的執行情況和反饋的改進建議。開發你自己的指南本實用規則可認為是組織開發其詳細指南的起點。對一個組織來說，本實用規則中的

24、控制措施和指南并非全部適用，此外，很可能還需要本標準中未包括的另外的控制措施和指南。為便于審核員和業務伙伴進行符合性檢查，當開發包含另外的指南或控制措施的文件時，對本標準中條款的相互參考可能是有用的。信息技術 安全(nqun)技術 信息安全管理實用(shyng)規則范圍(fnwi)本標準給出了一個組織啟動、實施、保持和改進信息安全管理的指南和一般原則。本標準列出的目標為通常所接受的信息安全管理的目的提供了指導。本標準的控制目標和控制措施的實施旨在滿足風險評估所識別的要求。本標準可作為建立組織的安全準則和有效安全管理慣例的實用指南，并有利于在組織間的活動中建立信心。術語和定義下列術語和定義適用于

25、本標準。2.1 資產 asset對組織有價值的任何東西ISO/IEC 13335-1:2004。2.2 控制措施 control管理風險的方法，包括策略、規程、指南、慣例或組織結構。它們可以是行政、技術、管理、法律等方面的。注：控制措施也用于防護措施或對策的同義詞。2.3 指南 guideline闡明應做什么和怎么做以達到方針策略中制定的目標的描述ISO/IEC TR 13335-1：20042.4 信息處理設施 information processing facilities任何信息處理系統、服務或基礎設施，或放置它們的場所2.5 信息安全 information security保持信息

26、的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等2.6 信息安全事態 information security event信息安全事態是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯的一個先前未知的狀態ISO/IEC TR 18044：20042.7 信息安全事件 information security incident一個信息安全事件由單個的或一系列的有害或意外信息安全事態組成，它們具有損害業務運作和威脅信息安全的極大的可能性ISO/IEC TR 18044：20042.8 方針 policy管理者正

27、式發布的總的宗旨和方向2.9 風險(fngxin) risk事件的概率及其結果(ji gu)的組合ISO/IEC Guide 73：20022.10 風險(fngxin)分析 risk analysis系統地使用信息來識別風險來源和估計風險ISO/IEC Guide 73：20022.11 風險評估 risk assessment風險分析和風險評價的整個過程ISO/IEC Guide 73：20022.12 風險評價 risk evaluation將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程ISO/IEC Guide 73：20022.13 風險管理 risk managemen

28、t指導和控制一個組織相關風險的協調活動注：風險管理一般包括風險評估、風險處理、風險接受和風險傳遞ISO/IEC Guide 73：20022.14 風險處理 risk treatment選擇并且執行措施來更改風險的過程ISO/IEC Guide 73：20022.15 第三方 third party就所涉及的問題被公認為是獨立于有關各方的個人或機構ISO Guide 2：19962.16 威脅 threat可能導致對系統或組織的損害的不期望事件發生的潛在原因ISO/IEC TR 13335-1：20042.17 脆弱性 vulnerability可能會被一個或多個威脅所利用的資產或一組資產的弱

29、點ISO/IEC TR 13335-1：2004本標準的結構本標準包括11個安全控制措施的章節（共含有39個主要安全類別）和1個介紹風險評估和處理的章節。章節每一章包含多個主要安全類別。11個章節（連同每一章中所包含的主要安全類別的數量）是：安全方針（1）；信息安全組織（2）；資產管理（2）；人力資源安全（3）；物理和環境安全（2）；通信(tng xn)和操作管理（10）；訪問控制（7）；信息系統獲取(huq)、開發和維護（6）；信息安全事件(shjin)管理（2）；業務連續性管理（1）；符合性（3）。注：本標準中章節的順序不表示其重要性。根據不同的環境，所有章節都可能是重要的，因此應用本標準

30、的每一個組織應識別適用的章節及其重要性，以及它們對各個業務過程的適用性。另外，本標準的排列均沒有優先順序，除非另外注明。主要安全類別每一個主要安全類別包含：一個控制目標，聲明要實現什么；一個或多個控制措施，可被用于實現該控制目標?？刂拼胧┑拿枋鼋Y構如下：控制措施定義滿足控制目標的特定的控制措施的陳述。實施指南為支持控制措施的實施和滿足控制目標，提供更詳細的信息。本指南的某些內容可能不適用于所有情況，所以其他實現控制措施的方法可能更為合適。其它信息提供需要考慮的進一步的信息，例如法律方面的考慮和對其他標準的引用。風險評估和處理評估安全風險風險評估應對照風險接受準則和組織相關目標，識別、量化并區分

31、風險的優先次序。風險評估的結果應指導并確定適當的管理措施及其優先級，以管理信息安全風險和實施為防范這些風險而選擇的控制措施。評估風險和選擇控制措施的過程可能需要執行多次，以覆蓋組織的不同部門或各個信息系統。風險評估應包括估計風險大小的系統方法（風險分析），和將估計的風險與給定的風險準則加以比較，以確定風險嚴重性的過程（風險評價）。風險評估還應定期進行，以應對安全要求和風險情形的變化，例如資產、威脅、脆弱性、影響，風險評價；當發生重大變化時也應進行風險評估。風險評估應使用一種能夠產生可比較和可再現結果的系統化的方式。為使信息安全風險評估有效，它應有一個清晰定義的范圍。如果合適，應包括與其他領域風

32、險評估的關系。如果可行、實際和有幫助，風險評估的范圍既可以是整個組織、組織的一部分、單個信息系統、特定的系統部件，也可以是服務。風險評估方法的例子在ISO/IEC TR 13335-3IT安全(nqun)管理指南：IT安全管理技術中討論。處理安全(nqun)風險在考慮風險處理前，組織應確定風險是否能被接受的準則。如果經評估顯示，風險較低或處理成本對于組織來說不劃算，則風險可被接受。這些決定(judng)應加以記錄。對于風險評估所識別的每一個風險，必須作出風險處理決定?？赡艿娘L險處理選項包括：應用適當的控制措施以降低風險；只要它們滿足組織的方針和風險接受準則，則要有意識的、客觀的接受該風險；通過

33、禁止可能導致風險發生的行為來避免風險；將相關風險轉移到其他方，例如，保險或供應商。對風險處理決定中要采用適當的控制措施的那些風險來說，應選擇和實施這些控制措施以滿足風險評估所識別的要求。控制措施應確保在考慮以下因素的情況下，將風險降低到可接受級別：國家和國際法律法規的要求和約束；組織的目標；運行要求和約束；降低風險相關的實施和運行的成本，并使之與組織的要求和約束保持相稱；平衡控制措施實施和運行的投資與安全失誤可能導致的損害的需要?？刂拼胧┛梢詮谋緲藴驶蚱渌刂萍现羞x擇，或者設計新的控制措施以滿足組織的特定需求。認識到有些控制措施并不是對每一種信息系統或環境都適用，并且不是對所有組織都可行，這

34、一點非常重要。例如，10.1.3描述如何分割責任，以防止欺詐或錯誤。在較小的組織中分割所有責任是不太可能的，實現同一控制目標的其他方法可能是必要的。另外一個例子，10.10描述如何監視系統使用及如何收集證據。所描述的控制措施，例如事件日志，可能與適用的法律相沖突，諸如顧客或在工作場地內的隱私保護。信息安全控制措施應在系統和項目需求說明書和設計階段予以考慮。做不到這一點可能導致額外的成本和低效率的解決方案，最壞的情況下可能達不到足夠的安全。應該牢記，沒有一個控制措施集合能實現絕對的安全，為支持組織的目標，應實施額外的管理措施來監視、評價和改進安全控制措施的效率和有效性。安全方針信息安全方針目標：

35、依據業務要求和相關法律法規提供管理指導并支持信息安全。管理者應根據業務目標制定清晰的方針指導(zhdo)，并通過在整個組織中頒布和維護信息安全方針來表明對信息安全的支持和承諾。信息安全方針(fngzhng)文件控制措施信息安全方針文件應由管理者批準(p zhn)、發布并傳達給所有員工和外部相關方。實施指南信息安全方針文件應說明管理承諾，并提出組織的管理信息安全的方法。方針文件應包括以下聲明：信息安全、整體目標和范圍的定義，以及在允許信息共享機制下安全的重要性（見引言）；管理者意圖的聲明，以支持符合業務戰略和目標的信息安全目標和原則；設置控制目標和控制措施的框架，包括風險評估和風險管理的結構；對

36、組織特別重要的安全方針策略、原則、標準和符合性要求的簡要說明，包括：符合法律法規和合同要求；安全教育、培訓和意識要求；業務連續性管理；違反信息安全方針的后果；信息安全管理（包括報告信息安全事件）的一般和特定職責的定義；對支持方針的文件的引用，例如，特定信息系統的更詳細的安全方針策略和程序，或用戶應遵守的安全規則。應以預期讀者適合的、可訪問的和可理解的形式將本信息安全方針傳達給整個組織的用戶。其它信息信息安全方針可能是總體方針文件的一部分。如果信息安全方針在組織外進行分發，應注意不要泄露敏感信息。更多信息參見ISO/IEC 13335-1：2004。信息安全方針的評審控制措施應按計劃的時間間隔或

37、當重大變化發生時進行信息安全方針評審，以確保它持續的適宜性、充分性和有效性。實施指南信息安全方針應有專人負責，他負有安全方針制定、評審和評價的管理職責。評審應包括評估組織信息安全方針改進的機會，和管理信息安全適應組織環境、業務狀況、法律條件或技術環境變化的方法。信息安全方針評審應考慮管理評審的結果。要定義管理評審程序，包括時間表或評審周期。管理評審的輸入(shr)應包括以下信息：相關(xinggun)方的反饋；獨立(dl)評審的結果（見6.1.8）；預防和糾正措施的狀態（見6.1.8和15.2.1）；以往管理評審的結果；過程執行情況和信息安全方針符合性；可能影響組織管理信息安全的方法的變更，包

38、括組織環境、業務狀況、資源可用性、合同、規章，和法律條件或技術環境的變更。威脅和脆弱性的趨勢；已報告的信息安全事件（見13.1）；相關專家的建議（見6.1.6）。管理評審的輸出應包括與以下方面有關的任何決定和措施：組織管理信息安全的方法和它的過程的改進；控制目標和控制措施的改進資源和/或職責分配的改進。管理評審的記錄應被維護。應獲得管理者對修訂的方針的批準。信息安全組織內部組織目標：在組織內管理信息安全。應建立管理框架，以啟動和控制組織范圍內的信息安全的實施。管理者應批準信息安全方針、指派安全角色以及協調和評審整個組織安全的實施。若需要，要在組織范圍內建立專家信息安全建議庫，并在組織內可用。要

39、發展與外部安全專家或組織（包括相關權威人士）的聯系，以便跟上行業趨勢、跟蹤標準和評估方法，并且當處理信息安全事件時，提供合適的聯絡點。應鼓勵采用多學科方法，解決信息安全問題。信息安全的管理承諾控制措施管理者應通過清晰的說明、可證實的承諾、明確的信息安全職責分配及確認，來積極支持組織內的安全。實施指南管理者應：確保信息安全目標得以識別，滿足組織要求，并已被整合到相關過程中；制定、評審、批準信息安全方針；評審信息安全方針(fngzhng)實施的有效性；為安全啟動(qdng)提供明確的方向和管理者明顯的支持；為信息安全提供(tgng)所需的資源；批準整個組織內信息安全專門的角色和職責分配；啟動計劃和

40、程序來保持信息安全意識；確保整個組織內的信息安全控制措施的實施是相互協調的（見6.1.2）。管理者應識別對內外部專家的信息安全建議的需求，并在整個組織內評審和協調專家建議結果。根據組織的規模不同，這些職責可以由一個專門的管理協調小組或由一個已存在的機構（例如董事會）承擔。其它信息更多內容可參考ISO/IEC 13335-1：2004。信息安全協調控制措施信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行協調。實施指南典型的，信息安全協調應包括管理人員、用戶、行政人員、應用設計人員、審核員和安全專員，以及保險、法律、人力資源、IT或風險管理等領域專家的協調和協作。這些活動應：確保

41、安全活動的實施與信息安全方針相一致；確定如何處理不符合項；核準信息安全的方法和過程，例如風險評估、信息分類；識別重大的威脅變更和暴露于威脅下的信息和信息處理設施； 評估信息安全控制措施實施的充分性和協調性；有效地促進整個組織內的信息安全教育、培訓和意識；評價在信息安全事件的監視和評審中獲得的信息，推薦適當的措施響應識別的信息安全事件。如果組織沒有使用一個獨立的跨部門的小組，例如因為這樣的小組對組織規模來說是不適當的，那么上面描述的措施應由其它合適的管理機構或單獨管理人員實施。信息安全職責的分配控制措施所有的信息安全職責應予以清晰地定義。實施指南信息安全職責(zhz)的分配應和信息安全方針（見第

42、4 譯者認為應該是第5章。章）相一致。各個資產的保護和執行特定安全(nqun)過程的職責應被清晰的識別。這些職責應在必要時加以補充，來為特定地點和信息處理設施提供更詳細的指南。資產保護和執行特定安全過程（諸如業務連續性計劃）的局部職責應予以清晰地定義。分配有安全職責的人員可以將安全任務委托給其他人員。盡管如此，他們(t men)仍然負有責任，并且他們應能夠確定任何被委托的任務是否已被正確地執行。個人負責的領域要予以清晰地規定；特別是，應進行下列工作：與每個特殊系統相關的資產和安全過程應予以識別并清晰地定義；應分配每一資產或安全過程的實體職責，并且該職責的細節應形成文件（見7.1.2）；授權級別

43、應清晰地予以定義，并形成文件。其它信息在許多組織中，將任命一名信息安全管理人員全面負責安全的開發和實施，并支持控制措施的識別。然而，提供控制措施資源并實施這些控制措施的職責通常歸于各個管理人員。一種通常的做法是對每一資產指定一名責任人，他也就對該信息資產的日常保護負責。信息處理設施的授權過程控制措施新信息處理設施應定義和實施一個管理授權過程。實施指南授權過程應考慮下列指南：新設施要有適當的用戶管理授權，以批準其用途和使用；還要獲得負責維護本地系統安全環境的管理人員授權，以確保所有相關的安全方針策略和要求得到滿足；若需要，硬件和軟件應進行檢查，以確保它們與其他系統組件兼容；使用個人或私有信息處理

44、設施（例如便攜式電腦、家用電腦或手持設備）處理業務信息，可能引起新的脆弱性，因此應識別和實施必要的控制措施。保密性協議控制措施應識別并定期評審反映組織信息保護需要的保密性或不泄露協議的要求。實施指南保密或不泄露協議應使用合法可實施條款來解決保護機密信息的要求。要識別保密或不泄露協議的要求，需考慮下列因素：定義要保護的信息（如機密信息）；協議(xiy)的期望持續時間，包括不確定的需要維持保密性的情形；協議(xiy)終止時所需的措施；為避免(bmin)未授權信息泄露的簽署者的職責和行為 （即“需要知道的”）信息所有者、商業秘密和知識產權，以及他們如何與機密信息保護相關聯；機密信息的許可使用，及簽署

45、者使用信息的權力；對涉及機密信息的活動的審核和監視權力；未授權泄露或機密信息破壞的通知和報告過程；關于協議終止時信息歸檔或銷毀的條款；違反協議后期望采取的措施?；谝粋€組織的安全要求，在保密性或不泄露協議中可能需要其他因素。保密性和不泄露協議應針對它適用的管轄范圍（也見15.1.1）遵循所有適用的法律法規。保密性和不泄露協議的要求應進行周期性評審，當發生影響這些要求的變更時，也要進行評審。其它信息保密性和不泄密協議保護組織信息，并告知簽署者他們的職責，以授權、負責的方式保護、使用和公開信息。對于一個組織來說，可能需要在不同環境中使用保密性或不泄密協議的不同格式。與政府部門的聯系控制措施應保持與

46、政府相關部門的適當聯系。實施指南組織應有規程指明什么時候應當與哪個部門（例如，執法部門、消防局、監管部門）聯系，以及懷疑已識別的信息安全事件可能觸犯了法律時，應如何及時報告。受到來自互聯網攻擊的組織可能需要外部第三方（例如互聯網服務提供商或電信運營商）采取措施以應對攻擊源。其它信息保持這樣的聯系可能是支持信息安全事件管理（第13.2節）或業務連續性和應急規劃過程（第14章）的要求。與法規部門的聯系有助于預先知道組織必須遵循的法律法規方面預期的變化，并為這些變化做好準備。與其他部門的聯系包括公共部門、緊急服務和健康安全部門，例如消防局（與14章的業務連續性有關）、電信提供商（與路由和可用性有關）

47、、供水部門（與設備的冷卻設施有關）。與特定利益集團的聯系控制措施應保持與特定利益集團、其他安全專家組和專業協會的適當聯系。實施(shsh)指南應考慮(kol)成為特定(tdng)利益集團或安全專家組的成員，以便：增進對最佳實踐和最新相關安全信息的了解；確保全面了解當前的信息安全環境；盡早收到關于攻擊和脆弱性的預警、建議和補??；獲得信息安全專家的建議；分享和交換關于新的技術、產品、威脅或脆弱性的信息；提供處理信息安全事件時適當的聯絡點（見13.2.1）。其它信息建立信息共享協議來改進安全問題的協作和協調。這種協議應識別出保護敏感信息的要求。信息安全的獨立評審控制措施組織管理信息安全的方法及其實施

48、（例如信息安全的控制目標、控制措施、策略、過程和程序）應按計劃的時間間隔進行獨立評審，當安全實施發生重大變化時，也要進行獨立評審。實施指南獨立評審應由管理者啟動。對于確保一個組織管理信息安全方法的持續的適宜性、充分性和有效性，這種獨立評審是必須的。評審應包括評估安全方法改進的機會和變更的需要，包括方針和控制目標。這樣的評審應由獨立于被評審范圍的人員執行，例如內部審核部門、獨立的管理人員或專門進行這種評審的第三方組織。從事這些評審的人員應具備適當的技能和經驗。獨立評審的結果應被記錄并報告給啟動評審的管理者。這些記錄應加以保持。如果獨立評審識別出組織管理信息安全的方法和實施不充分，或不符合信息安全

49、方針文件（見5.1.1）中聲明的信息安全的方向，管理者應考慮糾正措施。其它信息對于管理人員應定期評審（15.2.1）的范圍也可以獨立評審。評審方法包括會見管理者、檢查記錄或安全方針文件的評審。ISO 19011：2002，質量和/或環境管理體系審核指南，也提供實施獨立評審的有幫助的指導信息，包括評審方案的建立和實施。15.3詳細說明了與運行的信息系統獨立評審相關的控制和系統審核工具的使用。外部各方目標：保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全。組織的信息處理設施和信息資產的安全不應由于引入外部方的產品或服務而降低。任何(rnh)外部方對組織信息處理設施的訪

50、問、對信息資產(zchn)的處理和通信(tng xn)都應予以控制。若有與外部方一起工作的業務需要，它可能要求訪問組織的信息和信息處理設施、從外部方獲得一個產品和服務，或提供給外部方一個產品和服務，應進行風險評估，以確定涉及安全的方面和控制要求。在與外部方簽訂的合同中要商定和定義控制措施。與外部各方相關風險的識別控制措施應識別涉及外部各方業務過程中組織的信息和信息處理設施的風險，并在允許訪問前實施適當的控制措施。實施指南當需要允許外部方訪問組織的信息處理設施或信息時，應實施風險評估（見第4章）以識別特定控制措施的要求。關于外部方訪問的風險的識別應考慮以下問題：外部方需要訪問的信息處理設施；外部

51、方對信息和信息處理設施的訪問類型，例如：物理訪問，例如進入辦公室，計算機機房，檔案室；邏輯訪問，例如訪問組織的數據庫，信息系統；組織和外部方之間的網絡連接，例如，固定連接、遠程訪問；現場訪問還是非現場訪問；所涉及信息的價值和敏感性，及對業務運行的關鍵程度；為保護不希望被外部方訪問到的信息所需的控制措施；與處理組織信息有關的外部方人員；能夠識別組織或人員如何被授權訪問、如何進行授權驗證，以及多長時間需要再確認；外部方在存儲、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制措施；外部方需要時無法訪問，外部方輸入或接收不正確的或誤導的信息的影響；處理信息安全事件和潛在破壞的慣例和程序，和當發

52、生信息安全事件時外部方持續訪問的條款和條件；應考慮與外部方有關的法律法規要求和其他合同責任；這些安排對其他利益相關人的利益可能造成怎樣的影響。除非已實施了適當的控制措施，才可允許外部方訪問組織信息，可行時，應簽訂合同規定外部方連接或訪問以及工作安排的條款和條件，一般而言，與外部方合作引起的安全要求或內部控制措施應通過與外部方的協議反映出來（見6.2.2和6.2.3）。應確保外部方意識到他們的責任，并且接受在訪問、處理、通信或管理組織的信息和信息處理設施所涉及的職責和責任。其它信息安全(nqun)管理不充分(chngfn)，可能(knng)使信息由于外部方介入而處于風險中。應確定和應用控制措施，

53、以管理外部方對信息處理設施的訪問。例如，如果對信息的保密性有特殊的要求，就需要使用不泄漏協議。如果外包程度高，或涉及到幾個外部方時，組織會面臨與組織間的處理、管理和通信相關的風險。6.2.2和6.2.3提出的控制措施涵蓋了對不同外部方的安排，例如，包括：服務提供商（例如互聯網服務提供商）、網絡提供商、電話服務、維護和支持服務；受管理的安全服務；顧客；設施和運行的外包，例如，IT系統、數據收集服務、中心呼叫業務；管理者，業務顧問和審核員；開發者和提供商，例如軟件產品和IT系統的開發者和提供商；保潔、餐飲和其他外包支持服務；臨時人員、實習學生和其他臨時短期安排。這些協議有助于減少與外部方相關的風險

54、。處理與顧客有關的安全問題控制措施應在允許顧客訪問組織信息或資產之前處理所有確定的安全要求。實施指南要在允許顧客訪問組織任何資產（依據訪問的類型和范圍，并不需要應用所有的條款）前解決安全問題，應考慮下列條款：資產保護，包括：保護組織資產（包括信息和軟件）的程序，以及對已知脆弱性的管理；判定資產是否受到損害（例如丟失數據或修改數據）的程序；完整性；對拷貝和公開信息的限制；擬提供的產品或服務的描述；顧客訪問的不同原因、要求和利益；訪問控制策略，包括：允許的訪問方法，唯一標識符的控制和使用，例如用戶ID和口令；用戶訪問和權限的授權過程；沒有明確授權的訪問均被禁止的聲明；撤消訪問權或中斷系統間連接的處

55、理；信息錯誤(cuw)（例如個人信息的錯誤）、信息安全事件(shjin)和安全違規(wi u)的報告、通知和調查的安排；每項可用服務的描述；服務的目標級別和服務的不可接受級別；監視和撤銷與組織資產有關的任何活動的權利；組織和顧客各自的義務；相關法律責任和如何確保滿足法律要求（例如，數據保護法律）。如果協議涉及與其他國家顧客的合作，特別要考慮到不同國家的法律體系（也見15.1）；知識產權（IPRs）和版權轉讓（見15.1.2）以及任何合著作品的保護（見6.1.5）；其它信息與顧客訪問組織資產有關的安全要求，可能隨所訪問的信息處理設施和信息的不同而有明顯差異。這些安全要求應在顧客協議中加以明確，包

56、括所有已確定的風險和安全要求（見6.2.1）。與外部方的協議也可能涉及多方。允許外部各方訪問的協議應包括允許指派其他合格者，并規定他們訪問和訪問有關的條件。處理第三方協議中的安全問題控制措施涉及訪問、處理或管理組織的信息或信息處理設施以及與之通信的第三方協議，或在信息處理設施中增加產品或服務的第三方協議，應涵蓋所有相關的安全要求。實施指南協議應確保在組織和第三方之間不存在誤解。組織應使第三方的保證滿足自己的需要。為滿足識別的安全要求（見6.2.1），應考慮將下列條款包含在協議中：信息安全方針；確保資產保護的控制措施，包括：保護組織資產（包括信息、軟件和硬件）的程序；所有需要的物理保護控制措施和

57、機制；確保防范惡意軟件（見10.4.1）的控制措施；判定資產是否受到損害（例如信息、軟件和硬件的丟失或修改）的程序；確保在協議終止時或在合同執行期間雙方同意的某一時刻對信息和資產的返還或銷毀的控制措施；保密性、完整性、可用性和任何其他相關的資產屬性（見2.1.5）；對拷貝和公開信息，以及保密性協議的使用的限制（見6.1.5）；對用戶和管理員在方法、程序和安全方面的培訓；確保用戶(yngh)意識到信息安全職責和問題；若適宜(shy)，人員(rnyun)調動的規定；關于硬件和軟件安裝和維護的職責；一種清晰的報告結構和商定的報告格式；一種清晰規定的變更管理過程；訪問控制策略，包括：導致必要的第三方訪

58、問的不同原因、要求和利益；允許的訪問方法，唯一標識符（諸如用戶ID和口令）的控制和使用；用戶訪問和權限的授權過程；維護被授權使用可用服務的個人清單以及他們與這種使用相關的權利和權限的要求；沒有明確授權的所有訪問都要禁止的聲明；撤消訪問權或中斷系統間連接的處理；報告、通知和調查信息安全事件和安全違規以及違背協議中所聲明的要求的安排；提供的每項產品和服務的描述，根據安全分類（見7.2.1）提供可獲得信息的描述；服務的目標級別和服務的不可接受級別；可驗證的性能準則的定義、監視和報告；監視和撤銷與組織資產有關的任何活動的權利；審核協議中規定的責任、第三方實施的審核、列舉審核員的法定權限等方面的權利；建

59、立逐級解決問題的過程；服務連續性要求，包括根據一個組織的業務優先級對可用性和可靠性的測度；協議各方的相關義務；有關法律的責任和如何確保滿足法律要求（例如，數據保護法律）。如果該協議涉及與其他國家的組織的合作，特別要考慮到不同國家的法律體系（也見15.1）；知識產權（IPRs）和版權轉讓（見15.1.2）以及任何合著作品的保護（見6.1.5）；涉及具有次承包商的第三方，應對這些次承包商需要實施安全控制措施；重新協商/終止協議的條件：應提供應急計劃以處理任一方機構在協議到期之前希望終止合作關系的情況；如果組織的安全要求發生變化，協議的重新協商；資產(zchn)清單(qngdn)、許可證、協議(xi

60、y)或與它們相關的權利的當前文件。其它信息協議會隨組織和第三方機構類型的不同發生很大的變化。因此，應注意要在協議中包括所有識別的風險和安全要求（見6.2.1）。需要時，在安全管理計劃中擴展所需的控制措施和程序。如果外包信息安全管理，協議應指出第三方將如何保證維持風險評估中定義的適當的安全，安全如何適于識別和處理風險的變化。外包和其他形式第三方服務提供之間的區別包括責任問題、交付期的規劃問題、在此期間潛在的運行中斷問題、應急規劃安排、約定的詳細評審以及安全事故信息的收集和管理。因此，組織計劃和管理外包安排的交付，并提供適當的過程管理變更和協議的重新協商/終止，這是十分重要的。需要考慮當第三方不能