【正文】 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 發(fā)布實(shí)施發(fā)布信息技術(shù) 信息安全管理實(shí)用規(guī)則Information technologyCode of practicefor information security management（ISO/IEC 17799：2000，MOD）（報(bào)批稿）GB/T —中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)ICS 52 / 60目 次前言 III引言 IV1 范圍 12 術(shù)語(yǔ)和定義 1 信息安全 1 風(fēng)險(xiǎn)評(píng)估 1 風(fēng)險(xiǎn)管理 13 安全策略 1 信息安全策略 14 組織的安全 2 信息安全基礎(chǔ)設(shè)施 2 第三方訪問的安全 4 外包 65 資產(chǎn)分類和控制 7 資產(chǎn)的可核查性 7 信息分類 76 人員安全 8 崗位設(shè)定和人力資源的安全 8 用戶培訓(xùn) 10 對(duì)安全事故和故障的響應(yīng) 107 物理和環(huán)境的安全 11 安全區(qū)域 11 設(shè)備安全 13 一般控制 158 通信和操作管理 16 操作規(guī)程和職責(zé) 16 系統(tǒng)規(guī)劃和驗(yàn)收 19 防范惡意軟件 19 內(nèi)務(wù)處理 20 網(wǎng)絡(luò)管理 21 媒體處置和安全 21 信息和軟件的交換 239 訪問控制 26 訪問控制的業(yè)務(wù)要求 27 用戶訪問管理 27 用戶職責(zé) 29 網(wǎng)絡(luò)訪問控制 30 操作系統(tǒng)訪問控制 32 應(yīng)用訪問控制 35 對(duì)系統(tǒng)訪問和使用的監(jiān)督 35 移動(dòng)計(jì)算和遠(yuǎn)程工作 3710 系統(tǒng)開發(fā)和維護(hù) 38 系統(tǒng)的安全要求 38 應(yīng)用系統(tǒng)的安全 39 密碼控制 41 系統(tǒng)文件的安全 43 開發(fā)和支持過程的安全 4411 業(yè)務(wù)連續(xù)性管理 46 業(yè)務(wù)連續(xù)性管理的各方面 4612 符合性 48 符合法律要求 48 安全策略和技術(shù)符合性的評(píng)審 51 系統(tǒng)審核考慮 52前 言GB/T XXXXXXXX《信息技術(shù) 信息安全管理實(shí)用規(guī)則》。本標(biāo)準(zhǔn)修改采用ISO/IEC 177992000《信息技術(shù) 信息安全管理實(shí)用規(guī)則》，“a) 使用國(guó)家主管部門審批的密碼算法和密碼產(chǎn)品”，作為修改內(nèi)容。本標(biāo)準(zhǔn)中所有實(shí)線方框僅具有醒目的作用。本部分由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本部分由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所、中國(guó)電子科技集團(tuán)第30研究所、上海三零衛(wèi)士信息安全有限公司、中國(guó)電子科技集團(tuán)第15研究所、北京思樂信息技術(shù)有限公司負(fù)責(zé)起草。本部分主要起草人：黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。引 言什么是信息安全？象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)。它對(duì)一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損害減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。信息可能以各種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段發(fā)送、呈現(xiàn)在膠片上或用言語(yǔ)表達(dá)。無論信息采用什么形式或者用什么方法存儲(chǔ)或共享，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。信息安全在此表現(xiàn)為保持下列特征：a） 保密性：確保信息僅被已授權(quán)訪問的人訪問；b）完整性：保護(hù)信息及處理方法的準(zhǔn)確性和完備性；c） 可用性：確保已授權(quán)用戶在需要時(shí)可以訪問信息和相關(guān)資產(chǎn)。信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。為什么需要信息安全？信息和支持過程，系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)維持競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金流轉(zhuǎn)、贏利、守法和商業(yè)形象可能是必不可少的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)日益面臨來自各個(gè)方面的安全威脅。這些方面包括計(jì)算機(jī)輔助欺詐、間諜活動(dòng)、惡意破壞、毀壞行為、火災(zāi)或水災(zāi)。諸如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊，已經(jīng)變得更普遍、更有野心和日益高科技。對(duì)信息系統(tǒng)和服務(wù)的依賴意味著組織對(duì)安全威脅更為脆弱。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資源的共享增加了實(shí)現(xiàn)訪問控制的難度。分布式計(jì)算的趨勢(shì)已削弱集中式控制的有效性。許多信息系統(tǒng)已不再單純追求設(shè)計(jì)成安全的，因?yàn)橥ㄟ^技術(shù)手段可獲得的安全性是有限的。應(yīng)該用合適的管理和規(guī)程給予支持。標(biāo)識(shí)哪些控制要到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與，還可能還要求供應(yīng)商、消費(fèi)者或股票持有人的參與。外界組織的專家建議可能也是需要的。如果在制定要求規(guī)范和設(shè)計(jì)階段把信息安全控制結(jié)合進(jìn)去，那么，該信息安全控制就會(huì)更加經(jīng)濟(jì)和更加有效。如何建立安全要求最重要的是組織標(biāo)識(shí)出它的安全要求。有三個(gè)主要來源。第一個(gè)來源是由評(píng)估該組織的風(fēng)險(xiǎn)所獲得的。通過風(fēng)險(xiǎn)評(píng)估，標(biāo)識(shí)出對(duì)資產(chǎn)的威脅，評(píng)價(jià)易受威脅的脆弱性和威脅出現(xiàn)的可能性和預(yù)測(cè)威脅潛在的影響。第二個(gè)來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同的要求。第三個(gè)來源是組織開發(fā)支持其運(yùn)行的信息處理的特定原則、目標(biāo)和要求的特定集合。評(píng)估安全風(fēng)險(xiǎn)安全要求是通過安全風(fēng)險(xiǎn)的系統(tǒng)性評(píng)估予以標(biāo)識(shí)。用于控制的經(jīng)費(fèi)需要針對(duì)可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。風(fēng)險(xiǎn)評(píng)估技術(shù)可適用于整個(gè)組織，或僅適用于組織的某些部門，若這樣做切實(shí)可行、現(xiàn)實(shí)和有幫助，該技術(shù)也適用于各個(gè)信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。風(fēng)險(xiǎn)評(píng)估要系統(tǒng)地考慮以下內(nèi)容：a） 可能由安全故障導(dǎo)致的業(yè)務(wù)損害，要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的潛在后果；b）從最常見的威脅和脆弱性以及當(dāng)前所實(shí)現(xiàn)的控制來看，有出現(xiàn)這樣一種故障的現(xiàn)實(shí)可能性。評(píng)估的結(jié)果將幫助指導(dǎo)和確定合適的管理行動(dòng)，以及管理信息安全風(fēng)險(xiǎn)和實(shí)現(xiàn)所選擇控制的優(yōu)先級(jí)，以防范這些風(fēng)險(xiǎn)。評(píng)估風(fēng)險(xiǎn)和選擇控制的過程可能需要進(jìn)行許多次，以便涵蓋組織的不同部門或各個(gè)信息系統(tǒng)。重要的是對(duì)安全風(fēng)險(xiǎn)和已實(shí)現(xiàn)的控制進(jìn)行周期性評(píng)審，以便：a） 考慮業(yè)務(wù)要求和優(yōu)先級(jí)的變更；b）考慮新的威脅和脆弱性；c） 證實(shí)控制仍然維持有效和合適。根據(jù)先前評(píng)估的結(jié)果評(píng)審宜在不同深度級(jí)別進(jìn)行，以及在管理層準(zhǔn)備接受的更改風(fēng)險(xiǎn)級(jí)別進(jìn)行。作為高風(fēng)險(xiǎn)區(qū)域優(yōu)化資源的一種手段，風(fēng)險(xiǎn)評(píng)估通常首先在高級(jí)別進(jìn)行，然后在更細(xì)的級(jí)別進(jìn)行，以提出具體的風(fēng)險(xiǎn)。選擇控制一旦安全要求已被標(biāo)識(shí)，則應(yīng)選擇并實(shí)現(xiàn)控制，以確保風(fēng)險(xiǎn)減少到可接受的程度?？刂瓶梢詮谋緲?biāo)準(zhǔn)或其他控制集合中選擇，或者當(dāng)合適時(shí)設(shè)計(jì)新的控制以滿足特定需求。有許多不同的管理風(fēng)險(xiǎn)的方法，本標(biāo)準(zhǔn)提供常用方法的若干例子。然而，需要認(rèn)識(shí)到有些控制不適用于每種信息系統(tǒng)或環(huán)境，并且不是對(duì)所有組織都可行。作為一個(gè)例子，以防止欺詐或出錯(cuò)。在較小的組織中分割所有責(zé)任是不太可能的，獲得相同控制目標(biāo)的其他方法可能是必要的。作為另一個(gè)例子。所描述的控制，例如事件記錄可能與適用的法律相沖突，諸如消費(fèi)者或在工作場(chǎng)地內(nèi)的隱私保護(hù)?？刂茟?yīng)根據(jù)與風(fēng)險(xiǎn)減少相關(guān)的實(shí)現(xiàn)成本和潛在損失（如果安全違規(guī)出現(xiàn)）予以選擇。也應(yīng)考慮諸如喪失信譽(yù)等非金錢因素。本標(biāo)準(zhǔn)中的某些控制可認(rèn)為是信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。下面在題為“信息安全起點(diǎn)”中更詳細(xì)解釋這些控制。信息安全起點(diǎn)許多控制可認(rèn)為是為實(shí)現(xiàn)信息安全提供良好起點(diǎn)的指導(dǎo)原則。它們或者是基于重要的法律性要求，或者被認(rèn)為是信息安全常用的最佳慣例。從法律的觀點(diǎn)看，對(duì)某個(gè)組織重要的控制包括：a）個(gè)人信息的數(shù)據(jù)保護(hù)和隱私（）；b）保護(hù)組織的記錄（）；c） 知識(shí)產(chǎn)權(quán)（）。認(rèn)為是信息安全常用最佳慣例的控制包括：a） 信息安全策略文檔（）；b）信息安全職責(zé)的分配（）；c） 信息安全教育和培訓(xùn)（）；d）報(bào)告安全事故（）；e） 業(yè)務(wù)連續(xù)性管理（）。這些控制適用于大多數(shù)組織和環(huán)境。應(yīng)注意，雖然本標(biāo)準(zhǔn)中的所有控制都是重要的，但是從某個(gè)組織正面臨的特定風(fēng)險(xiǎn)來看，應(yīng)確定任一控制的貼切性。因此，雖然上述方法被認(rèn)為是一種良好的起點(diǎn)，但它并不取代選擇基于風(fēng)險(xiǎn)評(píng)估的控制。關(guān)鍵的成功因素經(jīng)驗(yàn)已經(jīng)表明下列因素通常對(duì)某個(gè)組織能否成功實(shí)現(xiàn)信息安全是關(guān)鍵的：a） 反映業(yè)務(wù)目標(biāo)安全策略、目的以及活動(dòng)；b）符合組織文化的實(shí)現(xiàn)安全的方法；c） 來自管理層的可視支持和承諾；d）正確理解安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理；e） 向所有管理者和員工傳達(dá)有效的安全需求；f） 向所有員工和合同商分發(fā)關(guān)于信息安全策略和標(biāo)準(zhǔn)的指導(dǎo)；g）提供合適的培訓(xùn)和教育；h）有一個(gè)綜合和平衡的度量系統(tǒng)，它可用來評(píng)估信息安全管理的執(zhí)行情況以及反饋改進(jìn)建議。 開發(fā)你自己的指南本實(shí)用規(guī)則可以認(rèn)為是開發(fā)組織具體指導(dǎo)的起點(diǎn)。本實(shí)用規(guī)則中的指導(dǎo)和控制并不全都是可用的。而且，可以要求本標(biāo)準(zhǔn)中未包括的附加控制。當(dāng)發(fā)生這種情況時(shí)，保持交叉引用可能是有用的，該交叉引用便于審核員和業(yè)務(wù)方進(jìn)行符合性檢驗(yàn)。信息技術(shù) 信息安全管理實(shí)用規(guī)則1　 范圍本標(biāo)準(zhǔn)對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。本標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并提供組織間交往的信任。本標(biāo)準(zhǔn)的推薦內(nèi)容應(yīng)按照適用的我國(guó)法律和法規(guī)加以選擇和使用。2　 術(shù)語(yǔ)和定義下列定義適用于本標(biāo)準(zhǔn)?！?信息安全 Information security保持信息的保密性、完整性和可用性。— 保密性確保信息僅被已授權(quán)訪問的人訪問?！?完整性保護(hù)信息及處理方法的準(zhǔn)確性和完備性。— 可用性確保已授權(quán)用戶在需要時(shí)可以訪問信息和相關(guān)資產(chǎn)。　 風(fēng)險(xiǎn)評(píng)估 Risk assessment對(duì)信息和信息處理設(shè)施的威脅、影響及信息和信息處理設(shè)施自身的脆弱性以及它們出現(xiàn)的可能性的評(píng)估?！?風(fēng)險(xiǎn)管理 Risk management相對(duì)可接受的費(fèi)用而言，標(biāo)識(shí)、控制和盡量減少（或消除）可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。3　 安全策略　 信息安全策略目的：提供管理方向和支持信息安全。管理層應(yīng)制定清晰的策略方向，并通過在整個(gè)組織中頒發(fā)和維護(hù)信息安全策略來表明對(duì)信息安全的支持和承諾?！?信息安全策略文檔策略文件要由管理層批準(zhǔn)，當(dāng)合適時(shí)，將其發(fā)布并傳遞給所有員工。策略文檔應(yīng)說明管理承諾，并提出組織的管理信息安全的途徑。至少，應(yīng)包括下列指南：a） 信息安全定義、其總目標(biāo)和范圍以及在信息共享允許機(jī)制下安全的重要性（見引言）；b）管理層意圖的說明，以支持信息安全的目標(biāo)和原則；c） 對(duì)組織特別重要的安全策略、原則、標(biāo)準(zhǔn)和符合性要求的簡(jiǎn)要說明，例如：1） 服從法律和合同要求；2） 安全教育要求；3） 防范和檢測(cè)病毒和其他惡意軟件；4） 業(yè)務(wù)連續(xù)性管理；5） 安全策略違反的后果；d）安全信息管理（包括報(bào)告安全事故）的總職責(zé)和特定職責(zé)的定義；e） 引用可以支持策略的文檔，例如，特定信息系統(tǒng)的更詳細(xì)的安全策略和規(guī)程，或用戶應(yīng)遵守的安全規(guī)則。應(yīng)以預(yù)期的讀者適合的、可訪問的和可理解的形式將策略傳遞給整個(gè)組織的用戶。　 評(píng)審和評(píng)價(jià)該策略應(yīng)有專人負(fù)責(zé)，他按照所定義的評(píng)審過程負(fù)責(zé)其維護(hù)和評(píng)審。該過程應(yīng)確保：根據(jù)影響原始風(fēng)險(xiǎn)評(píng)估基礎(chǔ)的任何變更（例如，重大的安全事故、新的脆弱性和隨組織上或技術(shù)上的基礎(chǔ)設(shè)施的變更）進(jìn)行相應(yīng)的評(píng)審。還要安排下列周期性評(píng)審：a） 通過所記錄安全事故的性質(zhì)、數(shù)目和影響證明策略的有效性；b） 控制對(duì)業(yè)務(wù)效率和成本的影響；c） 技術(shù)變更的影響。4　 組織的安全　 信息安全基礎(chǔ)設(shè)施目的：管理組織范圍內(nèi)的信息安全。應(yīng)建立管理框架，以啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施。應(yīng)建立有管理領(lǐng)導(dǎo)人員參加的相應(yīng)的管理協(xié)調(diào)小組，以核準(zhǔn)整個(gè)組織內(nèi)的信息安全策略、指派安全角色以及協(xié)調(diào)安全的實(shí)施。若需要，要在組織范圍內(nèi)建立專家信息安全建議原始資料，并在組織內(nèi)可利用該資料。要發(fā)展與外部安全專家的聯(lián)系，以便跟上行業(yè)趨勢(shì)、跟蹤標(biāo)準(zhǔn)和評(píng)估方法，并且當(dāng)涉及安全事故時(shí)，提供相適應(yīng)的聯(lián)絡(luò)地點(diǎn)。應(yīng)鼓勵(lì)信息安全的多學(xué)科途徑，例如，涉及諸如保險(xiǎn)和風(fēng)險(xiǎn)管理等領(lǐng)域內(nèi)的管理者、用戶、行政管理者、應(yīng)用設(shè)計(jì)者、審核員和安全職員以及專業(yè)技術(shù)熟練工人的合作和協(xié)作?！?管理信息安全協(xié)調(diào)小組信息安全是管理團(tuán)隊(duì)所有成員所共同遵守的業(yè)務(wù)職責(zé)。因此，認(rèn)為管理協(xié)調(diào)小組能確保安全舉措有清晰的方向和看得見的管理層支持。該協(xié)調(diào)小組要通過合適的承諾和足夠的資源來促進(jìn)組織范圍內(nèi)的安全。該協(xié)調(diào)小組可以是現(xiàn)有管理團(tuán)體的一部分。一般，這種協(xié)調(diào)小組承擔(dān)下列事項(xiàng)：a） 評(píng)審和核準(zhǔn)信息安全策略和總體職責(zé)；b） 監(jiān)督暴露于主要威脅下的信息資產(chǎn)重大變更；c） 評(píng)審和監(jiān)督信息安全事故；d） 批準(zhǔn)增強(qiáng)信息安全的重大舉措。由一名管理者負(fù)責(zé)與安全相關(guān)的所有活動(dòng)?！?信息安全協(xié)調(diào)在大型組織中，有必要成立一個(gè)由各相關(guān)部門的管理代表組成的跨部門的協(xié)調(diào)小組，以協(xié)調(diào)信息安全控制措施的實(shí)施。一般地說，這樣的協(xié)調(diào)小組執(zhí)行以下方面的工作：a） 商定整個(gè)組織中信息安全的特定角色和職責(zé)；b） 商定信息安全的特定方法和過程，例如，風(fēng)險(xiǎn)評(píng)估，安全分類體系；c） 商定和支持組織范圍的信息安全舉措，例如，安全意識(shí)教育計(jì)劃；d） 確保安全是信息規(guī)劃過程的一部分；e） 評(píng)估新系統(tǒng)或服務(wù)的特定信息安全控制的充分程度，并協(xié)調(diào)實(shí)施這些控制；f） 評(píng)審信息安全事故；g） 促進(jìn)整個(gè)組織信息安全的業(yè)務(wù)支持的可視性?！?信息安全職責(zé)的分配保護(hù)各種資產(chǎn)以及進(jìn)行特定安全處理的職責(zé)應(yīng)予以清晰地定義。信息安全策略（見第3章）應(yīng)對(duì)組織內(nèi)的安全角色和職責(zé)的分配提供全面指導(dǎo)。若需要，應(yīng)用特定場(chǎng)地、系統(tǒng)或服務(wù)用的更詳細(xì)的指導(dǎo)予以補(bǔ)充。各個(gè)物理及信息資產(chǎn)和安全過程（諸如業(yè)務(wù)連續(xù)性規(guī)劃）的局部職責(zé)應(yīng)予以清晰地定義。在許多組織中，將任命一名信息安全管理者全面負(fù)責(zé)安全的開發(fā)和實(shí)施，并支持控制的標(biāo)識(shí)。然而，提供控制資源并實(shí)施這些控制的職責(zé)通常歸于各個(gè)管理者。一種通常的做法是對(duì)每一信息資產(chǎn)指定一名責(zé)任人，因此，他對(duì)該信息資產(chǎn)的日常安全負(fù)責(zé)