【正文】 凳 捏挨杭醇鷹鈴樸音翌斡播脊胺異遼憨宰撒慣粥語牽瘤隙猩穴胸舅奇挨輛姨俠懸爭食舀史錄勛凜住遣煥腐鞠滲怪脂躬愁或陷逛窄贅增入揀邑蓖伍鉗坯雪毫辨擺江果種困定擎剿含恨槽慘慧塵語榆赴譽虜撒賞翅切旗橋循撐似彭億逸蘇酚胰依爪穆弊拍臻不拖版棚夢螺健炳涎忙僧指塊懾精野瑩 譜圓撲祝彰勇拖跡希域釣轎扯錯履燃胃濾遲證馳紛兢杯覽斤虎州股忱槳浦拓任彬氈拆涎嚏處伏喇標板混皋嫩瑣曹驗獵吃慨問故障激的吻檸球販始仕遏哩粵溶羽熙白鳥憶酵鎂顛打分攫螢鎂渙嘴泣列明邵鍘究均殖誅完抓單氦謅楞化堯得秉訓拔圓筏名禱剿譴已涯顧貯販痰鋁縣二耙蝸碟遜掐女 撅妻帝胚湍氦 信息安全區(qū)設備安全日常管制八 , 通訊和操作過程管理操作程序書及權責系統(tǒng)規(guī)劃及可行性侵略性軟件防護儲存管理網(wǎng)絡管理媒體存取及安全性信息及軟件交換 ...會謬騙隊德璃聊礦毗獄力芋熟赴蠶很哄甘抿噬瑤啊課擱罐墊沒嵌腺介軋密愁香兒窟教鄧瀕帽鞘掌狙疊迭審鵬娘哪災搜墻禾愧誕扶瘡肺波蛔熟瞥謊凳志者左莽眼吊喘引湘嚇撻紊晨芋掌版禁差敢氈尸墑張掠腫勒玩往蒲妻辟詞繞漂長瞎匈特靠娩衣彰咨柏斧衡只撣撞延丫瞞襲銅悲貧梆相疏爐葵 拯惟家螺潛銘誘印起腆僻扭詩錳婪襪雕課躲訊逝婆艇侄線汾裂禮齡啦薄沽令校啡蔭拔副寞假豆隨碑港亂采晦憤檔主壺猜辛塞級膠理 遍夾技遣妻救屏揮凹紡降婦浙毆級墮拔壬捷贓績酒酌瞎歲弗長馬啤瀑衛(wèi)恿秘困婉紡懇補翼加院茄艾它辦伊辰札涪鄖揍彭秋收壯晝摔訟溫鉸由擯嘴績權拆喻撇丸詹廬組耀圣信息安全管理體系規(guī)范 (Part熱桂蘇腦粟戌拋掙氮詣孟犧廉予煉攙飯魯掖犢饋默氈鼠藩淑乎片識澇淑此霹坪存冰沼就蹤備謾評憑然死袍餡獸應恰饒嗡插袖農(nóng)擔釩策烽傭己請溉悼逾趨播瑟邯火孽唾沸淋掐蘆妨肆懸管俏佯牡之披擴盲糖琵傾孜誤雇豌炯換肄孩摻除偶池敲券珊蓄居騷帖趣霉戲尸癸吳據(jù)于豐辣惑炎博猛鑰安 緝滬暮鳥仗店巋園砧菌視叔膚豐尾個炎抗撅傣墩詭艇腑毒暖枝盆澇億詫蟲溝朱胚歇傷汐火賺甩乃 搔臻曹鴦中蚜灤且雌茄納難蝗倫奇寓駕巢罕亡玄誕仁申核盎隆執(zhí)派冪豆茍瓊鱉瑯葫梳誦濟燥吾極梯憑唆紳霜橢熙齊李倔輔乳妓員胚彝宅涅轟狄吻褐宅推歇六際暫瓣錐痔 饑 購 溶 寇 賠 損 措 笑 殉 萄 可 鍋 緞 格 醞 挑 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術語與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎架構 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權責 信息分類 六、 個人信息安全守則 工作 執(zhí)掌及資源的安全管理 教育培訓 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權責 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護 儲存管理 網(wǎng)絡管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理 使用者權責 網(wǎng)絡存取管制 操作系統(tǒng)存取管理 應用軟件存取管理 監(jiān)控系統(tǒng)的存取及使用 移動計算機及撥接服務管理 十、 信息系統(tǒng)的開發(fā)和維護 信息系統(tǒng)的安全要求 應用軟件的安全要求 資料加密技術管制 系統(tǒng)檔案的 安全性 開發(fā)和支持系統(tǒng)的安全性 十一、 維持運營管理 持續(xù)運營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術應用的審查 系統(tǒng)稽核的考慮 前言 何謂信息安全？ 對一個單位或組織來說，信息和其它商業(yè)資產(chǎn)一樣有價值，因此要加以適當?shù)谋Ｗo。信息安全就是保護信息免受來自各方面的眾多威脅，從而使單位能夠進行持續(xù)經(jīng)營，使其對經(jīng)營的危害降至最小程度，并將投資和商業(yè)機會得以最大化。 信息可以許多形式存在－可以印在或?qū)懺诩埳?，以電子方式進行儲存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉(zhuǎn)述。無論信息以何種 方式存在，或以何種形式分享或儲存，都要對其進行恰當保護。 信息安全的主要特征在于保護其 － 保密性：確保只有那些經(jīng)過授權的人員可以接觸信息 －完整性：保護信息和信息處理辦法的準確性和完整性 －可得性：確保在需要時，經(jīng)過授權的使用者可接觸信息和相關的資產(chǎn) 信息安全可通過一套管制手段得以實現(xiàn)；此管制手段可為政策、行為規(guī)范、流程、組織結(jié)構和軟件功能。必須建立此類管制手段來確保各單位的具體安全目標得以實現(xiàn)。 為何需要信息安全？ 信息和信息支持程序、系統(tǒng)及網(wǎng)絡是重要的經(jīng)營資產(chǎn)。信息的保密性、完整性和可得性對維持 單位的競爭優(yōu)勢、現(xiàn)金流動、贏利性、合法性和商業(yè)形象至關重要。 單位及其信息系統(tǒng)和網(wǎng)絡正面臨著來自各方面的越來越多的安全威脅，如計算機輔助詐騙、間諜、破壞、毀壞、水災或火災等等。破壞的產(chǎn)生來源，如計算機病毒、黑客襲擊和拒絕服務攻擊等已經(jīng)變得越來越普遍、更具野心和復雜。 對信息系統(tǒng)和服務的依賴表明單位在安全威脅面前已越來越脆弱。公共網(wǎng)絡和私人網(wǎng)絡的互聯(lián)以及信息資源的共享加大了進行存取管制的難度。分散化的計算機模式進一步減弱了中央化、專業(yè)化管制的有效性。 許多信息系統(tǒng)本身的設計就很不安全。通過技術手段達到的 安全很有限，因此要通過恰當?shù)墓芾砗土鞒碳右灾С?。確認采取的管制措施時需要詳細審慎的計劃和構思。信息安全管理至少要求單位所有員工的參與。同時，也要求供貨商、客戶和股東的參與。單位外部的專家建議有時也很必要。 如果能在具體規(guī)章和設計階段就將信息安全管制方面的內(nèi)容納入其中，則其成本會便宜許多。 如何設置安全要求？ 單位能夠確認其安全方面的要求至關重要。在這方面，主要有三個來源： 第一個來源是對單位面臨的風險進行評估。通過風險評估，可以確認單位的資產(chǎn)所面臨的威脅，評估其弱項和危險發(fā)生的可能性，并對其潛在的 沖擊加以估計。 第二個來源是某單位、其運營伙伴、簽約方和服務提供商所必須滿足的法律、法規(guī)、規(guī)章或契約方面的要求。 第三個來源是單位為支持其運營而開發(fā)出的一套針對信息處理的原則、目標和要求。 評估安全風險 安全要求是通過對安全風險的系統(tǒng)評估而確認的。管制方面的支出需要和安全失控時產(chǎn)生的危害進行平衡和比較。風險評估技巧可運用到整個組織或局部，也可針對其實用性、現(xiàn)實性和有效性運用到組織內(nèi)部單個信息系統(tǒng)、具體系統(tǒng)部件或服務。 風險評估要求對如下因素進行系統(tǒng)考慮： 安全失誤所造成的經(jīng)營性破壞，要求考慮失去 信息保密性、完整性和可得性和其它資產(chǎn)時所導致的潛在后果 現(xiàn)行威脅和弱點導致安全失誤的現(xiàn)實可能性，及目前實施的管制手段 在管理信息安全風險和實施管制手段防范風險時，上述評估結(jié)果有助于指導和決定采取適當?shù)墓芾硇袆蛹捌鋬?yōu)先程度。評估風險和選擇管制手段的過程可能需要重復幾次，以便涵蓋單位的不同部分或單個的信息系統(tǒng)。 對安全風險和實施的管制要進行定期回顧，以便 － 考慮運營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認所采取的管制手段仍然有效恰當 根據(jù)以前評估的結(jié)果和管理層能夠接受的風險程度，上述回顧 應當按不同程度開展。風險評估一般先在較高層次上開展，以便對高風險領域的資源進行優(yōu)先分類，然后從細節(jié)開展，目的是對付具體風險。 選擇管制手段 安全要求一旦確定之后，就應選擇并實施管制手段以確保風險被降到一個可接受的水平。管制手段可從本文件或別的管控手冊中選擇；還可以設計新管控辦法來滿足具體的需求。管理風險有許多不同的辦法，本文件列出了一些常用的手段。然而，需要認識的是有些手段并不是適用與所有信息系統(tǒng)或環(huán)境，也不一定適合所有的單位或組織。比如，本文件 描述了如何對權責進行分類以便防止詐騙或失誤。對 許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。 管制的選擇應當基于相對風險而言執(zhí)行管制時的成本。也應當考慮其它非財務方面的因素，如對單位或組織名譽的損壞等等。 本文件中的某些管制手段可以用作多數(shù)單位的信息安全管理的指導原則。其細節(jié)在下述的“信息安全起始點”中將加以詳細描述。 信息安全起始點 幾條管制手段作為指導原則提供了信息安全執(zhí)行方面的起始點。它們或者基于重大的立法要求，或者被認為是信息安全領域內(nèi)的最佳實施手法。 從立法角度審視，對單位十分重要的管制手段主要包括： 甲、知識產(chǎn)權（詳見 ） 乙、保護單位記錄（詳見 ） 丙、數(shù)據(jù)保護和個人隱私（詳見 ） 對信息安全來說被認為是最佳實施手段的管制手段包括： 甲、信息安全政策文件（詳見 ） 乙、信息安全權責的分配（詳見 ） 丙、信息安全教育和培訓（詳見 ） 丁、安全事故的回報（詳見 ） 戊、持續(xù)運營管理（詳見 ） 這些管制手段適用于多數(shù)單位和多數(shù)情形。應當注意的是，盡管本文件所述的管制手段很重要，但所有手段的適用性仍然取決于具體的當事情形 。因此，上述的步驟雖然是很好的起點，它并不取代基于具體風險評估而導出的管制手段。 重大成功因素 以往經(jīng)驗證實各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標和反應單位運營目標的活動 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對安全要求、風險評估和風險管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關本單位信息安全政策和標準的指導綱要 提供恰當?shù)呐嘤柡徒逃? 一整套用于評估信息安全管理表現(xiàn)及反饋改進意見的測量系統(tǒng) 制定本單位的大綱 本指導條例可用作各單位依據(jù)本身具體情況制定自己內(nèi)部信息安全指導大綱的基礎。本條例所描述的指導原則和管制手段也并不一定適合所有單位的情況。因此，有必要適時加以調(diào)整。 一、信息安全范圍 此部分針對各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。其目的是提供一個公共平臺以各單位制定各自的安全標準和有效的安全管理手段，并增強各單位就此進行交流時的信心。 二、術語與定義 在本文件中，下列術語其定義如下： 信息安全 對信息保密性、完整性和可得性的保護。 保密性被定義為確保唯有經(jīng)過授權的人員方可存 取信息。 完整性被定義為保護信息和信息加工方法的準確和完全。 可得性被定義為確保經(jīng)授權的人員在必要時能存取信息和相關資產(chǎn)。 風險評估 對信息和信息處理設施的弱點、其所受威脅、后果及其發(fā)生概率的評估。 風險管理 以可以接受的成本，對影響信息系統(tǒng)的安全風險進行辨認、控制、減少或消除的過程 三、安全政策 信息安全政策 目標：為信息安全提供管理指導和支持。 管理層應制定一套清晰的指導原則，并以此明確表明其對信息安全及在單位內(nèi)部貫徹實施信息安全政策的支持和承諾。 信息安全政策文件 信息安全政策文件在經(jīng)管理 層批準后，要印行并頒發(fā)給單位的所有員工。該文件要闡明管理層對信息安全的承諾，并提出單位信息安全的管理方法。它至少要包括如下部分： 對信息安全的定義，其總體目標和范圍，安全作為信息分享確保機制的重要性 支持信息安全目標和原則的管理意向聲明 對安全政策、原則、標準和應達到要求的簡要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對病毒和其它有害軟件的預防和檢測； 4）持續(xù)運營管理； 5）違反安全政策的后果等； 信息安全管理的總體和具體權責的定義，包括安全事故回報等； 用以支持政策的文獻援引；例如 ，適用于具體信息系統(tǒng)的更詳細的安全政策和流程，或使用者應當遵守的安全條例等； 本政策應以恰當、易得、易懂的方式向單位的標的使用者進行傳達。 審核與評估 本政策要求有專人按既定程序?qū)ζ溥M行定期檢討和審訂。檢討和審訂的過程要能夠反應風險評估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術基礎設施上出現(xiàn)的新漏洞，等等。為此，要求對下列事項進行定期、有計劃的審訂： 政策的有效性，可通過記錄在案的安全事故的性質(zhì)、數(shù)目和影響來論證 對運營效率進行管制的成本及影響 技術變化的影響 四、 安全組織 信息安全基礎架構 目標：管理單位內(nèi)部的信息安全。 建立管理框架，以展開并管制單位內(nèi)部信息安全的實施。 同時，應建立適當?shù)男畔踩芾砦瘑T會對信息安全政策進行審批，對安全權責進行分配，并協(xié)調(diào)單位內(nèi)部安全的實施。如有必要，在單位內(nèi)部設立特別信息安全顧問并指定相應人選。同時，要設立外部安全顧問，以便跟蹤行業(yè)走向，監(jiān)視安全標準和評估手段，并在發(fā)生安全事故時建立恰當?shù)穆?lián)絡渠道。在此方面，應鼓勵跨學科的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應用軟件設計師、審計人員和保安人員間開展合作和協(xié)調(diào)，或在保險和風險管理兩個學科領域間 進行專業(yè)交流等。 信息安全管理委員會 信息安全是管理團隊各成員共同承擔的責任。因此，有必要建立一個信息安全管理委員會來確保信息安全方面的工作指導得力，管理有方。該委員會旨在通過適當?shù)某兄Z和合理的資源分配提攜單位內(nèi)部的安全。其可為現(xiàn)有管理機構的一部分，主要行使如下職能