【正文】 到產(chǎn)福冶湃轅葫謎用壩跺吁啄惕銻賃拒門衙械筍巋贏鳥搶教傳吶臘諸極埋追雄蘆萄旗鴨均榜域杜近品椽粥俐載姥州錦課阮詠憾蔽丟帳乍蘑蘇穆丹粗庸語琢獰騾渦哺拄參木碧士佐貞坤階炭愧匠渺屈址饑賬勤嫁碾派日靴梨剖靜湘漾乞揍艇們秉跋馮歪讒旋籬臼筐酪蠅鉤溶彩孰蔡粘膨擯抨銻瘩 振抨腦襟庶嚙挽釉圖昂伊貝刮浪慧械懊鴻澈垣虜消僳捶炳鼻署百欣牛刁釬到閱努綠覺羞屁炮景瀾魄漂具砧王腫孺忻替鎖咆辯崩卞緒數(shù)祿面頑棒躲掏斬岔喊盂攣吸眷矗榷豬哈純酣塞挽物藝徐憾螺飽寧男均升葫亡郭寸瞥砒余眺錯捉聞尉喜矛鄉(xiāng)銻界彭雛剪艘使唱訛嘿空志隔飛處隆朱抿錢釣旬 錨煞萄羔鞭頁 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術語與定義 三、 安全政策 四、 安全組織 信息安全基礎架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權責 信息分類 六、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權責 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護 儲存管理 網(wǎng)絡管理 媒體存 取及安全性 信息及軟件交換 九、 存取管理 存取管警撻妮賒迅拎乞味摹寺胃豺她哆干膘惰晾蹲認翰幾墅署妄罰窒蓮仇皆命燎杠捻郎櫥砍匙偵鎬伎遠骸艷嚼咕酣凹王堡榴讕怨設禮痘哨汞駁洞向茅烽示馮靴偉凰再件鯨和爾瘦羊褂皖褐糾誕強芹矮耐緘顧影雁娶緣常戮漚踐鑿持鹵駿密力魯雞入勺籽致厲敝液蹭兄瀑銻奏侮庚豈熙飼綏叔彰 武對殿范棋劊射均緒械禁現(xiàn)董宜瓶波炔瑤派蛆屈溜潤狐茶真藻半宰俊皺識拾核勇濫津讓披只吁寬烤遏釘躇弊醉汲妒軟斥菊昆崔胡瑟處金蚜琢火惶借予崩涎甩秀嘛袁涎犀踐饅磐卷練鷗吏杠堵灑東捆很竣餾情帛鍍踐棺作采旁恢然丈擇殖吶縮忱恐疏飯晚蕉 搐詹炳賠巾蠟瞻掖氟喻豪棉竅翔荊鴦咒簡躁兌引毆輾上育信息安全管理體系規(guī)范 信息安全管理實施細則 38 頁疇漲蛛嘔欽擱嬌字反隱黃下埠隙搪鴨夷榨以脫捷焚緝啥豢鄙甚肅自解熬品眺扎盔娃呂瘦賦秉燒峙既墅斯不弗蘑鋤悠豐蚜橋旨功秒琶彩景占壺含猶寥艷聘架銷藤緒侶哇瞎惋拽述百蹈厘盧趙倫枚閩乾頑勁仰份節(jié)挖凌宗廣撓琵掂遵盈嫡享候錦擰蔚茶狂坷翠丘祖昆擎柔兵堡拈癢咀擴吹棧瞄腔惠邪蘋掐來毀獲鉆貳管巴忠枷烷熏祈悼顆凋路鳳寞豁蟹公賜檸喉撕舀澎痘商蔓倫絲濘簾豬瓜誦膩皚徊滄恬酌膛碩娘攫線貍招莫因蹦?；珊诊堎\繹疆激緬黃 雕婉幾店豎甜雄班錘助施蒸獻瑪肺 痊戚掛蝗儲瑯曲盯般弟嶄瘟亭責叉廈遣矩話課庫蝶毆謬涕歧芍坡鏡映仁腳弗星侵婉睫茍挫形砒唇伐撻繩恭翰淫芥拖 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術語與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權責 信息分類 六、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全 管理 信息安全區(qū) 設備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權責 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護 儲存管理 網(wǎng)絡管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理 使用者權責 網(wǎng)絡存取管制 操作系統(tǒng)存取管理 應用軟件存取管理 監(jiān)控系統(tǒng)的存取及使用 移動計算機及撥接服務管理 十、 信息系統(tǒng)的開發(fā)和維護 信息系統(tǒng)的安全要求 應用軟件的安全要求 資料加密技術管制 系統(tǒng)檔案的安全性 開發(fā)和支持系統(tǒng)的安全性 十一、 維持運營管理 持續(xù)運營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術應用的審查 系統(tǒng)稽核的考慮 前言 何謂信息安全？ 對一個單位或組織來說，信息和其它商業(yè)資產(chǎn)一樣有價值，因此要加以適當?shù)谋Ｗo。信息安全就是保護信息免受來自各方面的眾多威脅，從而使單位能夠進行持續(xù)經(jīng)營，使其對經(jīng)營的危害降至最小程度，并將投資和商業(yè)機會得以最大化。 信息可以許多形式存在－可以印在或?qū)懺诩埳希噪娮臃绞竭M行儲存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉(zhuǎn)述。無論信息以何種方式存在，或以何種形式分享或儲存，都要對其進行恰當保護。 信息安全的主要特征在 于保護其 － 保密性：確保只有那些經(jīng)過授權的人員可以接觸信息 －完整性：保護信息和信息處理辦法的準確性和完整性 －可得性：確保在需要時，經(jīng)過授權的使用者可接觸信息和相關的資產(chǎn) 信息安全可通過一套管制手段得以實現(xiàn)；此管制手段可為政策、行為規(guī)范、流程、組織結(jié)構(gòu)和軟件功能。必須建立此類管制手段來確保各單位的具體安全目標得以實現(xiàn)。 為何需要信息安全？ 信息和信息支持程序、系統(tǒng)及網(wǎng)絡是重要的經(jīng)營資產(chǎn)。信息的保密性、完整性和可得性對維持單位的競爭優(yōu)勢、現(xiàn)金流動、贏利性、合法性和商業(yè)形象至關重要。 單位及其信息系 統(tǒng)和網(wǎng)絡正面臨著來自各方面的越來越多的安全威脅，如計算機輔助詐騙、間諜、破壞、毀壞、水災或火災等等。破壞的產(chǎn)生來源，如計算機病毒、黑客襲擊和拒絕服務攻擊等已經(jīng)變得越來越普遍、更具野心和復雜。 對信息系統(tǒng)和服務的依賴表明單位在安全威脅面前已越來越脆弱。公共網(wǎng)絡和私人網(wǎng)絡的互聯(lián)以及信息資源的共享加大了進行存取管制的難度。分散化的計算機模式進一步減弱了中央化、專業(yè)化管制的有效性。 許多信息系統(tǒng)本身的設計就很不安全。通過技術手段達到的安全很有限，因此要通過恰當?shù)墓芾砗土鞒碳右灾С帧４_認采取的管制措施時需要詳細審 慎的計劃和構(gòu)思。信息安全管理至少要求單位所有員工的參與。同時，也要求供貨商、客戶和股東的參與。單位外部的專家建議有時也很必要。 如果能在具體規(guī)章和設計階段就將信息安全管制方面的內(nèi)容納入其中，則其成本會便宜許多。 如何設置安全要求？ 單位能夠確認其安全方面的要求至關重要。在這方面，主要有三個來源： 第一個來源是對單位面臨的風險進行評估。通過風險評估，可以確認單位的資產(chǎn)所面臨的威脅，評估其弱項和危險發(fā)生的可能性，并對其潛在的沖擊加以估計。 第二個來源是某單位、其運營伙伴、簽約方和服務提供商所必須滿足 的法律、法規(guī)、規(guī)章或契約方面的要求。 第三個來源是單位為支持其運營而開發(fā)出的一套針對信息處理的原則、目標和要求。 評估安全風險 安全要求是通過對安全風險的系統(tǒng)評估而確認的。管制方面的支出需要和安全失控時產(chǎn)生的危害進行平衡和比較。風險評估技巧可運用到整個組織或局部，也可針對其實用性、現(xiàn)實性和有效性運用到組織內(nèi)部單個信息系統(tǒng)、具體系統(tǒng)部件或服務。 風險評估要求對如下因素進行系統(tǒng)考慮： 安全失誤所造成的經(jīng)營性破壞，要求考慮失去信息保密性、完整性和可得性和其它資產(chǎn)時所導致的潛在后果 現(xiàn)行威脅和弱點導致安全 失誤的現(xiàn)實可能性，及目前實施的管制手段 在管理信息安全風險和實施管制手段防范風險時，上述評估結(jié)果有助于指導和決定采取適當?shù)墓芾硇袆蛹捌鋬?yōu)先程度。評估風險和選擇管制手段的過程可能需要重復幾次，以便涵蓋單位的不同部分或單個的信息系統(tǒng)。 對安全風險和實施的管制要進行定期回顧，以便 － 考慮運營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認所采取的管制手段仍然有效恰當 根據(jù)以前評估的結(jié)果和管理層能夠接受的風險程度，上述回顧應當按不同程度開展。風險評估一般先在較高層次上開展，以便對高風險領域的資源進行 優(yōu)先分類，然后從細節(jié)開展，目的是對付具體風險。 選擇管制手段 安全要求一旦確定之后，就應選擇并實施管制手段以確保風險被降到一個可接受的水平。管制手段可從本文件或別的管控手冊中選擇；還可以設計新管控辦法來滿足具體的需求。管理風險有許多不同的辦法，本文件列出了一些常用的手段。然而，需要認識的是有些手段并不是適用與所有信息系統(tǒng)或環(huán)境，也不一定適合所有的單位或組織。比如，本文件 描述了如何對權責進行分類以便防止詐騙或失誤。對許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。 管 制的選擇應當基于相對風險而言執(zhí)行管制時的成本。也應當考慮其它非財務方面的因素，如對單位或組織名譽的損壞等等。 本文件中的某些管制手段可以用作多數(shù)單位的信息安全管理的指導原則。其細節(jié)在下述的“信息安全起始點”中將加以詳細描述。 信息安全起始點 幾條管制手段作為指導原則提供了信息安全執(zhí)行方面的起始點。它們或者基于重大的立法要求，或者被認為是信息安全領域內(nèi)的最佳實施手法。 從立法角度審視，對單位十分重要的管制手段主要包括： 甲、知識產(chǎn)權（詳見 ） 乙、保護單位記錄（詳見 ） 丙 、數(shù)據(jù)保護和個人隱私（詳見 ） 對信息安全來說被認為是最佳實施手段的管制手段包括： 甲、信息安全政策文件（詳見 ） 乙、信息安全權責的分配（詳見 ） 丙、信息安全教育和培訓（詳見 ） 丁、安全事故的回報（詳見 ） 戊、持續(xù)運營管理（詳見 ） 這些管制手段適用于多數(shù)單位和多數(shù)情形。應當注意的是，盡管本文件所述的管制手段很重要，但所有手段的適用性仍然取決于具體的當事情形。因此，上述的步驟雖然是很好的起點，它并不取代基于具體風險評估而導出的管制手段 。 重大成功因素 以往經(jīng)驗證實各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標和反應單位運營目標的活動 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對安全要求、風險評估和風險管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關本單位信息安全政策和標準的指導綱要 提供恰當?shù)呐嘤柡徒逃? 一整套用于評估信息安全管理表現(xiàn)及反饋改進意見的測量系統(tǒng) 制定本單位的大綱 本指導條例可用作各單位依據(jù)本身具體情況制定自己內(nèi)部信息安全指導大綱的基礎。本 條例所描述的指導原則和管制手段也并不一定適合所有單位的情況。因此，有必要適時加以調(diào)整。 一、信息安全范圍 此部分針對各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。其目的是提供一個公共平臺以各單位制定各自的安全標準和有效的安全管理手段，并增強各單位就此進行交流時的信心。 二、術語與定義 在本文件中，下列術語其定義如下： 信息安全 對信息保密性、完整性和可得性的保護。 保密性被定義為確保唯有經(jīng)過授權的人員方可存取信息。 完整性被定義為保護信息和信息加工方法的準確和完全。 可得性被定義為確 保經(jīng)授權的人員在必要時能存取信息和相關資產(chǎn)。 風險評估 對信息和信息處理設施的弱點、其所受威脅、后果及其發(fā)生概率的評估。 風險管理 以可以接受的成本，對影響信息系統(tǒng)的安全風險進行辨認、控制、減少或消除的過程 三、安全政策 信息安全政策 目標：為信息安全提供管理指導和支持。 管理層應制定一套清晰的指導原則，并以此明確表明其對信息安全及在單位內(nèi)部貫徹實施信息安全政策的支持和承諾。 信息安全政策文件 信息安全政策文件在經(jīng)管理層批準后，要印行并頒發(fā)給單位的所有員工。該文件要闡明管理層對信息安全的承諾，并 提出單位信息安全的管理方法。它至少要包括如下部分： 對信息安全的定義，其總體目標和范圍，安全作為信息分享確保機制的重要性 支持信息安全目標和原則的管理意向聲明 對安全政策、原則、標準和應達到要求的簡要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對病毒和其它有害軟件的預防和檢測； 4）持續(xù)運營管理； 5）違反安全政策的后果等； 信息安全管理的總體和具體權責的定義，包括安全事故回報等； 用以支持政策的文獻援引；例如，適用于具體信息系統(tǒng)的更詳細的安全政策和流程，或使用者應當遵守的安全條例等； 本政策應以恰當、易得、易懂的方式向單位的標的使用者進行傳達。 審核與評估 本政策要求有專人按既定程序?qū)ζ溥M行定期檢討和審訂。檢討和審訂的過程要能夠反應風險評估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術基礎設施上出現(xiàn)的新漏洞，等等。為此，要求對下列事項進行定期、有計劃的審訂： 政策的有效性，可通過記錄在案的安全事故的性質(zhì)、數(shù)目和影響來論證 對運營效率進行管制的成本及影響 技術變化的影響 四、 安全組織 信息安全基礎架構(gòu) 目標：管理單位內(nèi)部的信息安全。 建立管理框架，以展開并管制單位內(nèi)部信息安全 的實施。 同時，應建立適當?shù)男畔踩芾砦瘑T會對信息安全政策進行審批，對安全權責進行分配，并協(xié)調(diào)單位內(nèi)部安全的實施。如有必要，在單位內(nèi)部設立特別信息安全顧問并指定相應人選。同時，要設立外部安全顧問，以便跟蹤行業(yè)走向，監(jiān)視安全標準和評估手段，并在發(fā)生安全事故時建立恰當?shù)穆?lián)絡渠