【正文】 拒絕服務(wù)攻擊等等，這些行為呈蔓延之勢遍、用意更加險惡，而且手段更加復(fù)雜。 不管信息的形式如何，或通過什么手段進行共享或存儲，都應(yīng)加以妥善保護 。 附件 A 的信息非常豐富，其中包含一張表，說明了 1995 年版各部分與 1999 年版各條款間的關(guān)系。 本文檔所說明的控制措施不可能完全適用于所有情況。 1 信息安全 管理 BS 77991:1999 第一部分： 信息安全管理 業(yè)務(wù)手則 2 前言 BS 7799 本部分內(nèi)容，即信息安全管理，是在 BSI/DISC 委員會 BDD/2 指導(dǎo)下完成的。 它也更加強調(diào)了信息安全所涉及的商業(yè)問題和責(zé)任問題。 本標準在起草時就已經(jīng)假定一個前提條件，即標準的執(zhí)行對象是具有相應(yīng)資格的、富有經(jīng)驗的有關(guān)人士。它可以打印或?qū)懺诩埳希噪娮游臋n形式儲存，通過郵寄或電子手段傳播，以膠片形式顯示或在交談中表達出來 。 各個組織及其信息系統(tǒng)和網(wǎng)絡(luò)所面臨的安全威脅與日俱增，來源也日益廣泛，包括利用計算機欺詐、竊取機密、惡意詆毀破壞等行為以及火災(zāi)或水災(zāi)。 作為信息安全管理的最基本要求，組織內(nèi)所有的雇員都應(yīng)參與信息安全管理 。 第二個來源是組織、其商業(yè)伙伴、承包商和服務(wù)提供商必須滿足的法律、法令、規(guī)章以及合約方面的要求。必須多次重復(fù)執(zhí)行評估風(fēng)險和選擇控制措施的過程，以涵蓋組織的不同部分或各個獨立的信息系統(tǒng)。 例如， 說明了如何劃分責(zé)任來防止欺詐行為和錯誤行為。 從規(guī)律規(guī)定的角度來看，對組織至關(guān)重要的控制措施包括： a) 知識產(chǎn)權(quán)（參閱 ）； b) 組織記錄的保護（參閱 ）； c) 對數(shù)據(jù)的保護和個人信息的隱私權(quán)保護（參閱 ） 。 因此，還可能需要本文檔未包括的其它控制措施 。 風(fēng)險評估 12 評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性 風(fēng)險管理 以可以接受的成本，確認、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程 3 安全策略 信息安全策略 目標： 提供管理指導(dǎo)，保證信息安全。 審查過程應(yīng)該確保在發(fā)生影響最初風(fēng)險評估的基礎(chǔ)的變化（如發(fā)生重大安 13 全事故、出現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時，對策略進行相應(yīng)的審查 。 管理信息安全論壇 信息安全是一種由管理團隊所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任 。 信息安全責(zé)任的劃分 應(yīng)該明確保護個人資產(chǎn)和執(zhí)行具體安全程序步驟的責(zé)任。盡管所有者仍對該資產(chǎn)的安全負有最終責(zé)任，但可以確定被委托的人是否正確履行了責(zé)任 。 應(yīng)獲得負責(zé)維護本地信息系統(tǒng)安全環(huán)境的管理人員的批準，以確保符合所有相關(guān)安全策略和要求。 并不是所有組織都希望雇傭?qū)＜翌檰?。 組織間的合作 與執(zhí)法機關(guān)、管理部門、信息服務(wù)提供商和通信運營商簽署的合同應(yīng)保證：在發(fā)生安全事故時，能迅速采取行動并獲得建議。 16 要嚴格控制第三方對組織的信息處理設(shè)備的使用。 應(yīng)考慮的訪問類型有 ： a) 實際訪問，如對辦公室、計算機房、檔案室的訪問 ； b) 邏輯訪問，如對組織的數(shù)據(jù)庫、信息系統(tǒng)的訪問 。 17 要對第三方使用信息處理設(shè)備進行管理，了解要使用什么控制措施是至關(guān)重要的。如果合同涉及到與其它國家的組織進行合作，應(yīng)考慮到各個國家法律系統(tǒng)之間的差異（另請參見 ）； h) 知識產(chǎn)權(quán) (IPRs) 和版權(quán)轉(zhuǎn)讓（參見 ）以及對合著的保護（另請參見 ）； i) 訪問控制協(xié)議，包括： 1) 允許使用的訪問方法，以及控制措施和對 唯一標識符的使用，如用戶 ID 和口令； 2) 用戶訪問和權(quán)限的授權(quán)程序； 18 3) 保留得到有權(quán)使用服務(wù)的人員清單，以及他們具體享有那些權(quán)限和權(quán)限； j) 確定可核實的執(zhí)行標準、監(jiān)視及報告功能； k) 監(jiān)視、撤消用戶活動的權(quán)限； l) 審計合同責(zé)任或?qū)徲嫻ぷ鹘挥傻谌綀?zhí)行的權(quán)限； m) 建立一種解決問題的漸進過程；在需要時應(yīng)要考慮如何執(zhí)行應(yīng)急措施； n) 與硬件和軟件安裝維護相關(guān)的責(zé)任； o) 明晰的報告結(jié)構(gòu)和雙方認可的報告格式； p) 變更管理的明確制定過程； q) 所需的物理保護控制措施和機制，以確保所有操作都符合控制措施的要求； r) 對用戶和管理員進行的方法、步 驟和安全方面的培訓(xùn)； s) 保證免受惡意軟件攻擊的控制措施（參見 ）； t) 規(guī)定如何報告、通知和調(diào)查安全事故以及安全違反行為； u) 第三方與分包商之間的參與關(guān)系。 5 資產(chǎn)分類管理 資產(chǎn)責(zé)任 目標： 對組織資產(chǎn)進行適當?shù)谋Ｗo。組織應(yīng)確定其資產(chǎn)及其相對價值和重要性。 20 信息的敏感程度和關(guān)鍵程度各不相同。 必須將這些問題考慮在內(nèi)，分類過粗會導(dǎo)致不必要的額外業(yè)務(wù)開銷。對于每個類別，應(yīng)明確說明，處理步驟包括以 下類別的信息處理活動： a) 復(fù)制； b) 存儲； c) 通過郵寄、傳真和電子郵件進行傳輸； d) 通過移動電話、語音郵件、應(yīng)答機等交談方式進行傳輸； e) 破壞。 對候選新員工應(yīng)充分進行篩選（參見 ），特別是對于從事敏感工作的員工更是如此。對承包商和臨時性員工，也 應(yīng)執(zhí)行類似的選拔過程。 員工應(yīng)該簽定保密協(xié)議并將其作為初步雇傭的條款和條件。 如果有必要的話，雇傭條款和條件中應(yīng)說明員工在組織辦公地點以外和正常工作時間以外（如在家工作時）應(yīng)該承擔(dān)的責(zé)任（另請參見 和 ）。 各種類型的安全事故（安全破壞行為、威脅、弱點或故障）對組織資產(chǎn) 的安全都會產(chǎn)生影響，所有雇員和承包商都應(yīng)了解報告各個類型安全事故的方法步驟。在進行用戶 警報 培訓(xùn)時（參見 ），可以將這些事件作為示例，向用戶講解可能發(fā)生什么事件、如何對這些事件進行處理以及今后如何避免這類事件發(fā)生（另請參見 ）。 b) 應(yīng)將該計算機隔離，如果可能，停止使用該計算機。 用這些信息來確定重復(fù)發(fā)生的或影響很大的事故或故障。 根據(jù)所確定的風(fēng)險的具體情況，提供相應(yīng)的保護。 a) 應(yīng)明確劃分安全區(qū)域。不經(jīng)批準，任何人員不得出入。 d) 應(yīng)經(jīng)常審查并更新有關(guān)安全區(qū)域訪問權(quán)限的規(guī)定。 c) 安全區(qū)域內(nèi)各種設(shè)備（如影印機 、傳真機）齊全，并放在相應(yīng)的地方，以防止未經(jīng)授權(quán)的人員使用，否則會泄露信息。 除非有特殊要求，否則不要把大量的物品，如文具，存儲在安全區(qū)域內(nèi)。 d) 只有在需要時，才能允許第三方的支持服務(wù)人員進入安全區(qū)域或使用敏感信息處理設(shè)備。 b) 設(shè)計存放物品區(qū)域時，要達到如下效果：負責(zé)交貨的人員不需要進入建筑物的其它部分，就可以將貨物卸下?？赡苄?27 要特殊的控制措施來保護免遭危險或非法訪問，并保護輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施。 設(shè)備的安全 目標： 防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動中斷。 與其它區(qū)域隔離的交貨和裝載區(qū)域 應(yīng)該對裝運區(qū)進行控制，而且應(yīng)根據(jù)情況將其與信息處理設(shè)施隔離開來，避免非法訪問。應(yīng)考慮以下問題。對其它區(qū)域也應(yīng)該提供相應(yīng)的保護，如計算機房或通訊室。還應(yīng)該考慮到臨近的隔離帶可能帶來的安全威脅，如其它安全區(qū)域發(fā)生泄露事件。 b) 只有嚴格限定，經(jīng)過授權(quán)的人才能訪問敏感信息，使用信息處理設(shè)備。 只有經(jīng)過授權(quán)的人才能進入現(xiàn)場或建筑物。 各個組織應(yīng)使用安全區(qū)域保護信息處理設(shè)備等資產(chǎn)（參見 ）。另外，如果懷疑某些員工有嚴重或長期違反組織安全的行為，這一方法能保證對他們的處罰是正確和公平的。 c) 立刻將問題報告給信息安全管理人員。這也是為了保護他們自己，這是 因為在您測試某個漏洞時，很可能會導(dǎo)致對系統(tǒng)的錯誤使用。 安全事故報告 將影響安全的事故通過適當?shù)墓芾砬辣M快匯報。 這包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登錄的步驟、軟件包的使用方法等等。 如有需要，該責(zé)任在結(jié)束雇用關(guān)系后的一段特定的時間內(nèi)仍然有效。 管理人員應(yīng)該知道，員工的個人情況會對他們的工作產(chǎn)生影響。 人員選拔策略 在考慮就業(yè)申請時應(yīng)該對固定員工進行審查。 最合適的標記形式就是貼上一張看的見、摸的著的標簽。在解釋其它組織文檔中的分類標記時也應(yīng)該注意，因為相同或相似的標記的定義可能不同。 通常，對信息的分類是確定如何處理和保護信息的簡略方法。（參見 ）各方就此達成一致并將其當前狀況進行備案（這一點在資產(chǎn)發(fā)生損壞，進行索賠時非常重要）。 可以委托負責(zé)實施控制措施的責(zé)任。 例如，合同中應(yīng)闡明： a) 如何符合法律要求，如數(shù)據(jù)保護法規(guī)； b) 應(yīng)該如何規(guī)定保證外包合同中的參與方（包括轉(zhuǎn)包商）都了解各自的安全責(zé)任； c) 如何維護并檢測組織的業(yè)務(wù)資產(chǎn)的完整性和保密性； d) 應(yīng)該使用何種物理和邏輯控制措施，限制授權(quán)用戶對組織的敏感業(yè)務(wù)信息的訪問； e) 在發(fā)生災(zāi)難事故時，如何維護服務(wù)的可用性； f) 為外包出去的設(shè)備提供何種級別的物理安全保護； 19 g) 審計人員的權(quán)限。 第三方合同的安全要求 第三方對組織信息處理設(shè)施的訪問，應(yīng)該根據(jù)包含所有必要安全要求的正式合同進行，確保符合組織的安全策略和標準 。 凡有業(yè)務(wù)需要與第三方連接時，就需要進行風(fēng)險評估，以確定具體的控制措施要求。 授予第三方訪問權(quán)限的合約應(yīng)該包括允許指定其它符合條件的人員進行訪問 和有關(guān) 條件的規(guī)定條款。 必須對該文檔的實施情況進行獨立審查，確保組織的安全實踐活動不僅符合策略的要求，而且是靈活高效的。 組織的信息安全工作的效率如何，取決于他們對安全威脅評估的質(zhì)量和建議使用的控制措施。 e) 在工作場所使用個人信息處理工具會帶來新的漏洞，因此需要進行評估和授權(quán)。 c) 應(yīng)明確規(guī)定授權(quán)級別并進行備案 。 在很多組織中，指定信息安全管理員負責(zé)開展和實施安全保護，并幫助確定控制措施。 通常，論壇有以下作用： a) 審查和核準信息安全策略以及總體責(zé)任 ； b) 當信息資產(chǎn)暴露受到嚴重威脅時，監(jiān)視重大變化； c) 審查和監(jiān)控安全事故 ； d) 審核加強信息安全的重要活動 。 應(yīng)該建立有管理領(lǐng)導(dǎo)層參加的管理論壇，以批準信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍的安全策略實施 。 至少應(yīng)包括以下指導(dǎo)原則： a) 信息安全的定義、其總體目標及范圍以及安全作為保障信息共享的機制所具有的重要性（參閱簡介） ； b) 陳述信息安全的管理意圖、支持目標以及指導(dǎo)原則 ； c) 簡要說明安全策略、原則、標準以及需要遵守的各項規(guī)定。 2 術(shù)語和定義 在說明本文檔用途中應(yīng)用了以下定義 。因此，盡管采用上述措施可以作為一個很好的安全保護起點，但不能取代根據(jù)風(fēng)險評估結(jié)果選擇控制措施的要求 。 本文檔中的一些控制措施可以作為信息安全管理的指導(dǎo)性原則，這些方法適用于大多數(shù)組織。 5 選擇控制措施 一旦確定了安全要求，就應(yīng)選擇并實施適宜的控制措施，確保將風(fēng)險降低到一個可接受的程度 。風(fēng)險評估技術(shù)適用于整個組織，或者組織的某一部分以及獨立的信息系統(tǒng)、特定系統(tǒng)組件或服務(wù)等 。 4 如何制定安全要求 組織確定自己的安全要求，這是安全保護的起點 。分布式計算盡管十分流行，但降低了集中式專家級控制措施的有效性。控制措施包括策略、實踐、步驟、 組織 結(jié)構(gòu)和軟件功能。 符合 British Standard 不代表其本身豁免法律義務(wù)。因此，本文檔還需要有進一步的指導(dǎo)說明作為補充。 BS 77991 首發(fā)于 1995 年，它為信息安全提供了一套全面綜合最佳實踐經(jīng)驗的控制措施。 其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時為確定實施控制 措施的范圍提供一個參考依據(jù)，并且能夠讓各種規(guī)模的組織所采用。例如，在制定公司策略或公司間貿(mào)易協(xié)定時，可以使用本文 檔作為一個基石。 3 什么是信息安全？ 信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對一個組織來說是有價值的，因此需要妥善進行保護。 必須建立起一整套的控制措施，確保滿足組織特定的安全目標。很多信息系統(tǒng)在設(shè)計時，沒有考慮到安全問題 。 安全要求有三個主要來源 。在這些地方 ， 風(fēng)險評估技術(shù)不僅切合實際，而且也頗有助 益 。 可以從本文檔或其它控制措施集合選擇適合的控制措施，也可以設(shè)計新的控制措施，以滿足特定的需求 。在下文的“信息安全起點”標題下，對此做了較為詳 細的解釋。 6 成功的關(guān)鍵因素 以往的經(jīng)驗表明，在組織中成功地實施信息安全保護，以下因素是非常關(guān)鍵的： a) 反映組織目標的安全策略、目標以及活動 ； b) 與組織文化 一致的實施安全保護的方法 ； c) 來自管理層的實際支持和承諾 ； d) 對安全要求、風(fēng)險評估以及風(fēng)險管理的深入理解 ； e) 向全體管理人員和雇員有效地推銷安全的理念 ； f) 向所有雇員和承包商宣傳信息安全策略的指導(dǎo)原則和標準 ； g) 提供適當?shù)呐嘤?xùn)和教育 ； h) 一個綜合平衡的測量系統(tǒng)，用來評估信息安全管理的執(zhí)行情況和反饋意見和建議，以便進一步改進 。 信息安全 信息保密性、完整性和可用性的保護 注意 保密性的定義是確保只有獲得授權(quán)的人才能訪問信息。這對組織非常重要，例如： 1) 符合法律和合約的要求； 2) 安全教育的要求 ；