【正文】 　 特權(quán)管理應(yīng)限制和控制特權(quán)（使用戶能超越系統(tǒng)或應(yīng)用控制的多用戶信息系統(tǒng)的特征或便利條件）的分配和使用。應(yīng)有正式的規(guī)程來控制對信息系統(tǒng)和服務(wù)的訪問權(quán)利的分配。對信息的訪問和業(yè)務(wù)過程應(yīng)在業(yè)務(wù)和安全要求的基礎(chǔ)上予以控制。應(yīng)小心地控制電子發(fā)布系統(tǒng)，特別是允許反饋和直接錄入信息的那些電子發(fā)布系統(tǒng)，以便：a） 按照任何數(shù)據(jù)保護(hù)法律獲得信息（）；b） 對輸入到發(fā)布系統(tǒng)并由發(fā)布系統(tǒng)處理的信息將以及時的方式完整而準(zhǔn)確地予以處理；c） 在收集信息過程期間和存儲信息時，保護(hù)敏感信息；d） 對發(fā)布系統(tǒng)的訪問不允許無意識地訪問與之連接的網(wǎng)絡(luò)?！?電子辦公系統(tǒng)的安全為控制與電子辦公系統(tǒng)相關(guān)的業(yè)務(wù)和安全風(fēng)險，應(yīng)制定和實施有關(guān)的策略和指南。與信息服務(wù)部門和增值網(wǎng)絡(luò)提供者的協(xié)議可能也是必要的。保密性、完整性和關(guān)鍵文件接收和發(fā)送的證明以及合同抗抵賴方面的要求是什么？d） 定價信息。例子包括：1） 使用可鎖上的容器；2） 手工交付；3） 防篡改的包裝（它揭示任何企圖打開的跡象）；4） 在異常情況下，把托運貨物分解成多次交付，并且通過不同的路線發(fā)送；5） 使用數(shù)字簽名和加密。要考慮業(yè)務(wù)和電子數(shù)據(jù)交換、電子商務(wù)和電子郵件相關(guān)的安全所涉及問題及其控制要求。a） 處置和標(biāo)記所有媒體（））；b） 標(biāo)識未授權(quán)人員的訪問限制；c） 維護(hù)已授權(quán)的數(shù)據(jù)接收者的正式記錄；d） 確保輸入數(shù)據(jù)完整，正確完成處理和應(yīng)用輸出確認(rèn)；e） 按照與其敏感性一致的級別，保護(hù)等待輸出的假脫機數(shù)據(jù)；f） 媒體存儲在與制造商規(guī)范一致的環(huán)境中；g） 使分發(fā)的數(shù)據(jù)最少；h） 清晰地標(biāo)記數(shù)據(jù)所有拷貝，以引起已授權(quán)接收者關(guān)注；i） 以定期的時間間隔評審分發(fā)列表和已授權(quán)接收者列表。應(yīng)建立秘密處置媒體的正式規(guī)程，以使風(fēng)險減至最小?！?可移動的計算機媒體的管理對于可移動的計算機媒體（諸如，磁帶、磁盤、盒式磁帶和打印的報告等）的管理要有規(guī)程。　 網(wǎng)絡(luò)控制為獲得和維護(hù)計算機網(wǎng)絡(luò)的安全，要求若干控制。若合適，日志要包括：a） 系統(tǒng)啟動和結(jié)束時間；b） 系統(tǒng)出錯和所采取的糾正動作；c） 對正確處理數(shù)據(jù)文件和計算機輸出的證實；d） 產(chǎn)生日志項的人員名字。要提供足夠的備份設(shè)施，以確保在災(zāi)難或媒體故障之后可以恢復(fù)所有最重要業(yè)務(wù)信息和軟件。應(yīng)正式調(diào)查存在的任何未批準(zhǔn)的文件或未授權(quán)的修正件；e） 在使用前針對病毒，檢查不確定或未授權(quán)來歷的電子媒體上的任何文件(file)或者在不可信的網(wǎng)絡(luò)上收到的文件；f） 在使用前針對惡意軟件檢查任何電子郵件附件和下載內(nèi)容。要求有預(yù)防措施，以防范和檢測惡意軟件的引入。管理者應(yīng)使用該信息來標(biāo)識和避免潛在的瓶頸，該瓶頸可能對系統(tǒng)安全或用戶服務(wù)存在威脅，同時計劃適合的補救動作。為了確保足夠能力和資源的可用性，要求預(yù)先的規(guī)劃和準(zhǔn)備。下列控制要加以考慮。在開發(fā)和測試功能之間，類似的分離也要加以實現(xiàn)。事件的啟動要與其授權(quán)分離。a） 應(yīng)建立規(guī)程，以涵蓋所有潛在的安全事故類型，包括：1） 信息系統(tǒng)故障和服務(wù)丟失；2） 拒絕服務(wù)；3） 由不完整或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)導(dǎo)致的差錯；4） 保密性違規(guī)；b） 除正常的應(yīng)急計劃（設(shè)計成盡可能快地恢復(fù)系統(tǒng)或服務(wù)）外，還要涵蓋下列規(guī)程（）：1） 事故原因的分析和標(biāo)識；2） 若需要，規(guī)劃和實施補救，以防止再次發(fā)生；3） 收集審核蹤跡和類似證據(jù)；4） 與受事故影響或涉及叢中恢復(fù)的人員的聯(lián)系；5） 向相應(yīng)機構(gòu)報告此動作；c） 當(dāng)合適時，應(yīng)對下列內(nèi)容，收集審核蹤跡和類似證據(jù)（）并且使其安全保密：1） 內(nèi)部問題分析；2） 用作潛在合同違規(guī)、管理要求違規(guī)或者民事或刑事行為（例如，根據(jù)計算機濫用或數(shù)據(jù)保護(hù)法）的證據(jù)；3） 軟件和服務(wù)供應(yīng)商賠償談判；d） 要小心地、正式地控制從安全違規(guī)中恢復(fù)和糾正系統(tǒng)故障的動作。操作計劃須經(jīng)受嚴(yán)格變更控制。若合適，應(yīng)實施責(zé)任分割（），以減少疏忽或故意濫用系統(tǒng)的風(fēng)險。a） 若合適，當(dāng)不使用時，特別是在工作時間之外，記錄紙和計算機媒體要存儲在相應(yīng)的上鎖的柜子和/或其他形式的安全器具中；b） 當(dāng)不用時，特別是當(dāng)離開辦公室時，敏感或關(guān)鍵業(yè)務(wù)信息應(yīng)藏起來（理想的是，藏在耐火保險柜或箱中）；c） 當(dāng)無人值守時，個人計算機和計算機終端和打印機不要保留登錄，當(dāng)不使用時，要利用帶鑰匙的鎖、口令或其他控制進(jìn)行保護(hù)；d） 進(jìn)來和出去的郵件點和無人值守的傳真機和智能電報機要受到保護(hù)；e） 在正常工作時間之外，復(fù)印機要予以鎖上（或者以某一其他方法防止未授權(quán)使用）；f） 當(dāng)打印時，敏感的或分類的信息應(yīng)立即從打印機中清除。包含敏感數(shù)據(jù)的已損壞的存儲器可以要求風(fēng)險評估，以確定這些部件是否要進(jìn)行銷毀、修理或丟棄。信息處理設(shè)備包括所有形式的個人計算機、電子記事簿、移動電話、記錄紙或其他形式，這些是適用于家庭工作的或離開常規(guī)工作地點便于運輸?shù)脑O(shè)施。下列控制要予以考慮。UPS設(shè)備要定期地檢查，以確保它擁有足夠能力，并按照制造商的建議予以測試。f） 對于可能負(fù)面影響信息處理設(shè)施運行狀態(tài)的環(huán)境條件要予以監(jiān)督?？梢砸髮ｉT的控制用來防止危險或未授權(quán)訪問和保護(hù)支持性設(shè)施，諸如電源和布纜基礎(chǔ)設(shè)施。b） 交接區(qū)域應(yīng)設(shè)計成這樣，即在無需交貨人員獲得進(jìn)入本建筑物其他部分的情況下就能卸下物資。d） 僅在要求時，才同意第三方支持性服務(wù)人員對安全區(qū)域或敏感性信息處理設(shè)施進(jìn)行有限制的訪問。h） 危險或易燃物品要安全地存儲在離安全區(qū)域有一定的安全距離的地方。b） 建筑物要不引人注目，并且在建筑物內(nèi)側(cè)或外側(cè)用不明顯標(biāo)記給出其用途的最少指示，以標(biāo)識信息處理機構(gòu)的存在。d） 對安全區(qū)域的訪問權(quán)利要定期地予以評審和更新?！?物理入口控制安全區(qū)域要由適合的入口控制所保護(hù)，以確保只有已授權(quán)的人員才允許訪問。各個屏障的設(shè)置地點和強度取決于風(fēng)險評估的結(jié)果。關(guān)鍵和敏感的業(yè)務(wù)信息處理設(shè)施要放置在安全區(qū)域內(nèi)，并受到一種已定義的安全周邊和適合的安全屏障和入口控制的保護(hù)。要由已受過相當(dāng)培訓(xùn)的和有經(jīng)驗的人員進(jìn)行恢復(fù)。下列動作要予以考慮。要讓所有雇員和合同商知道報告安全事故的規(guī)程，并要求他們盡可能快地報告這樣的事故。這包括安全要求、合法職責(zé)和業(yè)務(wù)控制以及在給予訪問信息和服務(wù)之前正確使用信息處理設(shè)施的培訓(xùn)，例如登錄過程，使用軟件包等。若合適，這些職責(zé)應(yīng)在雇用結(jié)束后繼續(xù)規(guī)定的一段時間。管理者要了解其職員的個人環(huán)境可能影響其工作。　 人員篩選和策略固定職員的鑒定核查要在職務(wù)申請時進(jìn)行。物理標(biāo)記一般是最合適的標(biāo)記形式。對于分類種類的數(shù)目和從其使用中獲得的好處要予以考慮。信息分類體制用來定義一組合適的保護(hù)等級和傳遞特別處理措施的需求。然后，根據(jù)該信息，一個組織可以提供與資產(chǎn)的價值和重要性相稱的保護(hù)等級。所有主要信息資產(chǎn)應(yīng)是可核查的，并且有指定的責(zé)任人?！?外包目的：信息處理的職責(zé)是在外包給其他組織時維護(hù)信息安全。例如，如果對于信息的保密性有特定的需要，可以使用不泄露協(xié)議（）。例如，向組織提供服務(wù)卻不在現(xiàn)場的第三方，可以授予物理和邏輯訪問權(quán)，諸如：a） 硬件和軟件支持人員，他們需要訪問系統(tǒng)級或低級別的應(yīng)用功能度；b）貿(mào)易伙伴或聯(lián)合投資者，他們可以交換信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫。在與第三方簽訂的合同中要商定和定義控制。同樣，要考慮安全團(tuán)體和行業(yè)協(xié)調(diào)小組的成員。在這樣的情況下，建議確定專門人員協(xié)調(diào)內(nèi)部知識和經(jīng)驗，以確保一致性，并且在作出安全判定時提供幫助。b） 若需要，硬件和軟件應(yīng)進(jìn)行檢驗，以確保它們與其他系統(tǒng)部件兼容。盡管如此，該責(zé)任人仍然最終負(fù)責(zé)該資產(chǎn)的安全，并且他應(yīng)能確定任何被委托的職責(zé)是否已被正確地履行。　 信息安全職責(zé)的分配保護(hù)各種資產(chǎn)以及進(jìn)行特定安全處理的職責(zé)應(yīng)予以清晰地定義?！?管理信息安全協(xié)調(diào)小組信息安全是管理團(tuán)隊所有成員所共同遵守的業(yè)務(wù)職責(zé)。該過程應(yīng)確保：根據(jù)影響原始風(fēng)險評估基礎(chǔ)的任何變更（例如，重大的安全事故、新的脆弱性和隨組織上或技術(shù)上的基礎(chǔ)設(shè)施的變更）進(jìn)行相應(yīng)的評審?！?風(fēng)險管理 Risk management相對可接受的費用而言，標(biāo)識、控制和盡量減少（或消除）可能影響信息系統(tǒng)的安全風(fēng)險的過程。本標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并提供組織間交往的信任。應(yīng)注意，雖然本標(biāo)準(zhǔn)中的所有控制都是重要的，但是從某個組織正面臨的特定風(fēng)險來看，應(yīng)確定任一控制的貼切性。也應(yīng)考慮諸如喪失信譽等非金錢因素。控制可以從本標(biāo)準(zhǔn)或其他控制集合中選擇，或者當(dāng)合適時設(shè)計新的控制以滿足特定需求。風(fēng)險評估技術(shù)可適用于整個組織，或僅適用于組織的某些部門，若這樣做切實可行、現(xiàn)實和有幫助，該技術(shù)也適用于各個信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。如何建立安全要求最重要的是組織標(biāo)識出它的安全要求。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資源的共享增加了實現(xiàn)訪問控制的難度?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。引 言什么是信息安全？象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)。國家質(zhì)量監(jiān)督檢驗檢疫總局 發(fā)布實施發(fā)布信息技術(shù) 信息安全管理實用規(guī)則Information technologyCode of practicefor information security management（ISO/IEC 17799：2000，MOD）（報批稿）GB/T —中華人民共和國國家標(biāo)準(zhǔn)ICS 52 / 60目 次前言 III引言 IV1 范圍 12 術(shù)語和定義 1 信息安全 1 風(fēng)險評估 1 風(fēng)險管理 13 安全策略 1 信息安全策略 14 組織的安全 2 信息安全基礎(chǔ)設(shè)施 2 第三方訪問的安全 4 外包 65 資產(chǎn)分類和控制 7 資產(chǎn)的可核查性 7 信息分類 76 人員安全 8 崗位設(shè)定和人力資源的安全 8 用戶培訓(xùn) 10 對安全事故和故障的響應(yīng) 107 物理和環(huán)境的安全 11 安全區(qū)域 11 設(shè)備安全 13 一般控制 158 通信和操作管理 16 操作規(guī)程和職責(zé) 16 系統(tǒng)規(guī)劃和驗收 19 防范惡意軟件 19 內(nèi)務(wù)處理 20 網(wǎng)絡(luò)管理 21 媒體處置和安全 21 信息和軟件的交換 239 訪問控制 26 訪問控制的業(yè)務(wù)要求 27 用戶訪問管理 27 用戶職責(zé) 29 網(wǎng)絡(luò)訪問控制 30 操作系統(tǒng)訪問控制 32 應(yīng)用訪問控制 35 對系統(tǒng)訪問和使用的監(jiān)督 35 移動計算和遠(yuǎn)程工作 3710 系統(tǒng)開發(fā)和維護(hù) 38 系統(tǒng)的安全要求 38 應(yīng)用系統(tǒng)的安全 39 密碼控制 41 系統(tǒng)文件的安全 43 開發(fā)和支持過程的安全 4411 業(yè)務(wù)連續(xù)性管理 46 業(yè)務(wù)連續(xù)性管理的各方面 4612 符合性 48 符合法律要求 48 安全策略和技術(shù)符合性的評審 51 系統(tǒng)審核考慮 52前 言GB/T XXXXXXXX《信息技術(shù) 信息安全管理實用規(guī)則》。它對一個組織具有價值，因此需要加以合適地保護(hù)。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。分布式計算的趨勢已削弱集中式控制的有效性。有三個主要來源。風(fēng)險評估要系統(tǒng)地考慮以下內(nèi)容：a） 可能由安全故障導(dǎo)致的業(yè)務(wù)損害，要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的潛在后果；b）從最常見的威脅和脆弱性以及當(dāng)前所實現(xiàn)的控制來看，有出現(xiàn)這樣一種故障的現(xiàn)實可能性。有許多不同的管理風(fēng)險的方法，本標(biāo)準(zhǔn)提供常用方法的若干例子。本標(biāo)準(zhǔn)中的某些控制可認(rèn)為是信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。因此，雖然上述方法被認(rèn)為是一種良好的起點，但它并不取代選擇基于風(fēng)險評估的控制。本標(biāo)準(zhǔn)的推薦內(nèi)容應(yīng)按照適用的我國法律和法規(guī)加以選擇和使用。3　 安全策略　 信息安全策略目的：提供管理方向和支持信息安全。還要安排下列周期性評審：a） 通過所記錄安全事故的性質(zhì)、數(shù)目和影響證明策略的有效性；b） 控制對業(yè)務(wù)效率和成本的影響；c） 技術(shù)變更的影響。因此，認(rèn)為管理協(xié)調(diào)小組能確保安全舉措有清晰的方向和看得見的管理層支持。信息安全策略（見第3章）應(yīng)對組織內(nèi)的安全角色和職責(zé)的分配提供全面指導(dǎo)。重要的是每個管理者負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定；特別是，應(yīng)進(jìn)行下列工作。注：對某些連接可以要求型式批準(zhǔn)。各個組織也應(yīng)訪問適合的外部顧問，顧問們可提供超出各組織自身經(jīng)驗的專家建議。安全信息的交換要受到限制，以確保不把該組織的保密信息傳遞給未授權(quán)的個人。第三方訪問還可能包含其他參與者。在不充分的安全管理情況下，由于第三方訪問，可能把信息置于風(fēng)險中。只有在實施了適當(dāng)?shù)目刂拼胧┎⒑灦撕w連接和訪問條款的合同之后，第三方才可以訪問信息和信息處理設(shè)施。外包安排應(yīng)在雙方的合同中指出信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境的風(fēng)險、安全控制和規(guī)程。資產(chǎn)的可核查性有助于確保維持相應(yīng)的保護(hù)。每個信息系統(tǒng)相關(guān)的重要資產(chǎn)都應(yīng)編制清單并加以維持?！?分類指南信息的分類及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響，例如，對信息的未授權(quán)訪問或損壞。過度復(fù)雜的方案可能對使用不方便和不經(jīng)濟(jì)，或許是不實際的。然而，某些信息資產(chǎn)（諸如電子形式的文檔等）在物理上不能做標(biāo)記，而需要使用電子標(biāo)記手段。這包括下列控制：a） 獲得令人滿意的參考資料；b） 申請人履歷的核查（針對完整性和準(zhǔn)確性）；c） 聲稱的學(xué)術(shù)、專業(yè)資格的證實；d） 獨立的身份核查（身份證或護(hù)照）。個人的或財務(wù)的問題、他們的行為或生活方式的變化、經(jīng)常缺勤以及有壓力或壓抑的跡象都可能導(dǎo)致欺詐、盜竊、出錯或其他安全隱患。應(yīng)包括如果雇員漠視安全要求所要采取的行動。　 對安全事故和故障的響應(yīng)目的：使安全事故和故障的損害減到最小，并監(jiān)督這種事故以及從事故中學(xué)習(xí)。相應(yīng)的反饋過程應(yīng)予以實現(xiàn)，以確保在事故已經(jīng)處理和結(jié)束之后將結(jié)果通知報告事故的人們。a） 應(yīng)記錄下問題的征兆和任何顯示在屏幕上的消息。