【正文】 臨時性的短期職位； d) 咨詢人員。 如果不進行充分的安全管理就允許第三方訪問數據，則信息被置于很危險的境地 。 例如，通過網絡連接進行訪問所帶來的風險與實際訪問所帶來的風險截然不同 。 第三方的訪問可能涉及到其它人員。 第三方訪問的安全性 目標： 維護第三方訪問的組織信息處理設施和信息資產的安全性。 信息安全的獨立評審 信息安全策略文檔（參見 ）制定了信息安全的策略和 責任。 盡管多數內部安全調查是在管理層的控制下進行的，但仍然應該邀請安全顧問，傾聽他們的建議，或由他們領導、實施這一調研活動 。 信息安全顧問或其它專家應負責為信息安全的各種問題提供建議，這些意見既可以來自他們本人，也可以來自外界。 理想情況下，一位資深的全職信息安全顧問應該提出以下建 議 。 15 d) 使用個人信息處理工具處理業(yè)務信息和其它必要的控制措施應得到授權。 a) 新設施應獲得適當的用 戶管理審核，授權新設施的范圍和使用。 b) 應該確定負責各個資產和安全進程的管理人員，并記錄責任的具體落實情況 。 信息資產的所有者將其所承擔的安全責任委托給各個管理人員或服務提供商 。 應明確說明對各個實際資產和信息資產以及安全進程（如業(yè)務連續(xù)性規(guī)劃）的保護責任 。 通常，這類論壇： 14 a) 就整個公司的信息安全的作用和責任達成一致 ； b) 就信息安全的特定方法和處理過程達成一致，如風險評估、安全分類系統(tǒng) ； c) 就整個公司的信息安全活動達成一致并提供支持，例如安全警報程序 ； d) 確保將安全作為制定信息計劃的一個部分 ； e) 對控制措施是否完善進行評估，并協(xié)調新系統(tǒng)或新服務的特定信息安全控制措施的實施情況 ； f) 審查信息安全事故； g) 在整個組 織中增加對信息安全工作支持的力度。 該論壇可以作為目前管理機構的一個組成部分 。應該鼓勵采用跨學科跨范圍的信息安全方法，例如，讓管理人員、用戶、行政人員、應用程序設計人 員、審計人員以及安全人員和專家協(xié)同工作，讓他們參與保險和風險管理的工作 。 應該建立管理框架，在組織內部開展和控制信息安全的管理實施。 審查評估 每個策略應該有一個負責人，他根據明確規(guī)定的審查程序對策略進行維護和審查 。 文檔應說明管理人員承擔的義 務和責任，并制定組織的管理信息安全的步驟 。 可用性的定義是確保 獲得授權的用戶在需要時可以訪問信息并使用相關信息資產 。 目的是為制定組織安全標準和有效安全管理提供共同基礎，并提高組織間相互協(xié)調的信心。 本業(yè)務規(guī)則中的指導原則和控制措施并非全部適用 。 請注意，盡管本文檔中的所有文檔都很重要，但一種方法是否適用，還是取決于一個組織所面臨的特定安全風險。 這些方法可以是根據基本的法律要求制定的，也可以從信息安全的最佳實踐經驗中獲得。 還應該考慮聲譽受損等非貨幣因素 。 但是，請務必注意，其中一些方法并不適用于所有信息系統(tǒng)或環(huán)境，而且可能不適用于所有組織 。通常先在一個較高的層次上對風險進行評估（這是一種優(yōu)先處理高風險區(qū)域中的資源的方法），然后在一個具體層次上處理特定的風險。 評估的結果有助于指導用戶確定適宜的管理手段，以及管理信息安全風險的優(yōu)先順序，并實施所選的控制措施來防范這些風險。 應該將實施控制措施的支出與安全故障可能造成的商業(yè)損失進行權衡考慮。 通過風險評估，確定風險和安全漏洞對資產的威脅，并評價風險發(fā)生的可能性以及潛在的影響 。 如果在制定安全需求規(guī)范和設計階段時就考慮到了信息安全的控制措施，那么信息安全控制的成本會很低，并更有效率 。 確定需要使用什么控制措施需要周密計劃，并對細節(jié)問題加以注意 。 公共網絡與專用網絡的互聯以及對信息資源的共享，增大了對訪問進行控制的難度。 為保證組織富有競爭力，保持現金流順暢和組織贏利，以及遵紀守法和維護組織的良好商業(yè)形象，信息的保密性、完整性和可用性是至 關重要的。 信息安全是通過實施一整套適當的控制措施實現的。信息存在的形式多種多樣。 British Standards 的用戶對他們正確使用本標準自負責任 。 在使用時，不應該有任何條條框框，尤其特別注意，不要因為要求遵守守則而因噎廢食 。 并且在 形式上也不可能完全適合組織的所有潛在用戶。 1999 年的修訂版考慮到最新的信息處理技術應用，特別是網絡和通訊的發(fā)展情況。 BS 7799 由兩個部分組成： ? 第一部分： 信息安全管理業(yè)務守則； ? 第二部分： 信息安全管理系統(tǒng)規(guī)范。 它取代了已經停止使用的 BS 7799:1995。 本標準使用組織這一術語，既包括贏利性組織，也包括諸如公共部門等非贏利性組織。 它 沒有考慮到本地系統(tǒng)、環(huán)境或技術上的制約因素。 British Standard 作為一個業(yè)務守則，在形式上采用指導和建議結合的方式。 British Standard 無意包容合約的所有必要條款。 信息安全保護信息免受多種威脅的攻擊，保證業(yè)務連續(xù)性，將業(yè)務損失降至最少，同時最大限度地獲得投資回報和利用商業(yè)機遇。 信息安全具有以下 特征 ： a) 保密性： 確保只有經過授權的人才能訪問信息； b) 完整性： 保護信息和信息的處理方法準確而完整； c) 可用性： 確保經過授權的用戶在需要時可以訪問信息并使用相關信息資產。 為什么需要信息安全 信息和支持進程、系統(tǒng)以及網絡都是重要的業(yè)務資產。組織對信息系統(tǒng)和服務的依賴意味著自身更容易受到安全威脅的攻擊 。 通過技 術手段獲得安全保障十分有限，必須輔之以相應的管理手段和操作程序才能得到真正的安全保障 。也需要參考來自組織之外的專家的建議。第一個來源是對組 織面臨的風險進行評估的結果 。 評估安全風險 安全要求是通過對安全風險的系統(tǒng)評估確定的。 進行風險評估需要系統(tǒng)地考慮以下問題： a) 安全故障可能造成的業(yè)務損失，包含由于信息和其它資產的保密性、完整性或可用性損失可能造成的后果； b) 當前主要的威脅和漏洞帶來的現實安全問題，以及目前實施的控制措施。 應該根據以前的評估結果以及管理層可以接受的風險程度變化對系統(tǒng)安全執(zhí)行不同程度的審查。 管理 風險有許多方法，本文檔提供了常用方法的示例 。 在降低風險和違反安全造成的潛在損失時，應該根據實施控制措施的成本選擇控制措施 。 信息安全起點 很多控制措施都可以作為指導性原則，它們?yōu)閷嵤┬畔踩峁┝艘粋€很好的起點 。 這些控制措施適用于大多數組織，并可在大多數環(huán)境中使用。 制定自己的指導方針 業(yè)務規(guī)則可以作為制定組織專用的指導原則的起點 。 7 目錄 1 .................................................................. 11 2 術語和定義 ....................................................... 11 信息安全 ....................................................... 11 風險評估 ....................................................... 11 風險管理 ....................................................... 12 3 安全策略 ......................................................... 12 信息安全策略 .................................................... 12 信息安全策略文檔 .................................................. 12 審查評估 ......................................................... 12 4 組織的安全 ....................................................... 13 信息安全基礎設施 ................................................ 13 管理信息安全論壇 .................................................. 13 信息安全的協(xié)調 .................................................... 13 信息安全責任的劃分 ................................................ 14 信息處理設施的授權程序 ............................................ 14 專家信息安全建議 .................................................. 15 組織間的合作 ...................................................... 15 信息安全的獨立評審 ................................................ 15 第三方訪問的安全性 ............................................... 15 確定第三方訪問的風險 .............................................. 16 第三方合同的安全要求 .............................................. 17 外包 .......................................................... 18 外包合同的安全要求 ................................................ 18 5 資產分類管理 ..................................................... 19 資產責任 ....................................................... 19 資產目錄 ......................................................... 19 信息分類 ....................................................... 19 分類原則 ......................................................... 20 信息標 識和處理 .................................................... 20 6 人員安全 ......................................................... 21 責任定義與資源管理的安全性 ........................................ 21 考慮工作責任中的安全因素 .......................................... 21 人員選拔策略 ...................................................... 21 保密協(xié)議 ......................................................... 21 8 雇傭條款和條件 .................................................... 22 用戶培訓 ....................................................... 22 信息安全的教育與培訓 .............................................. 22 對安全事故和故障的處理 ........................................... 22 安全事故報告 ...................................................... 23 安全漏洞報告 ...................................................... 23 軟件故障報告 ...................................................... 23 從事故中吸取教訓 .................................................. 23 紀律檢查程序 ...................................................... 23 7 實際和環(huán)境的安全 .................................................. 24 安全區(qū) ........