【文章內(nèi)容簡(jiǎn)介】 求是一個(gè)組織、它的貿(mào)易伙伴、立約人和服務(wù)提供商都要滿足的。 第三個(gè)來源是一個(gè)組織已經(jīng)制訂的特殊原則、目標(biāo)和需要，它們是用來支持信息處理操作的。 評(píng)估安全風(fēng)險(xiǎn) 安全需要是由一個(gè)有系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估確定的。在安全管理上的花費(fèi)要同安全故障可能造成的商業(yè)利益損失相平衡。風(fēng)險(xiǎn)評(píng)估方法可以用于整個(gè)組織，也可以只是用于它的某些部分，還可以用在獨(dú)立的信息系統(tǒng)、特殊系統(tǒng)部件或 者服務(wù)上。在此范圍內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估是具有可操作性的、實(shí)際的和有幫助的。 風(fēng)險(xiǎn)評(píng)估是對(duì)下面因素的系統(tǒng)考慮： a) 安全事故可能造成的商業(yè)損失。要把信息和其它資產(chǎn)的保密性、完整性和安全性的損失的潛在后果也考慮進(jìn)去 。 b) 在極為普遍的危害和采取的相應(yīng)管理措施的共同作用下，這樣的故障實(shí)際發(fā)生的可能性。 評(píng)估的結(jié)果能夠幫助指導(dǎo)和確定適當(dāng)?shù)墓芾硇袨椋? 并有助于確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先權(quán)和執(zhí)行抵御這些風(fēng)險(xiǎn)的安全措施的優(yōu)先級(jí)。風(fēng)險(xiǎn)評(píng)估和管理措施的選擇可能需要重復(fù)進(jìn)行多次，以便保護(hù)組織或者獨(dú)立信息系統(tǒng)的不同部分。 對(duì)安全風(fēng)險(xiǎn)和實(shí) 行的管理措施進(jìn)行定期復(fù)查，是非常重要的。 這樣就可以： a) 考慮到商務(wù)需求和優(yōu)先級(jí)的變化； b) 考慮到新的威脅和危害； c) 確認(rèn)所采取的管制仍然有效、適合。 應(yīng)當(dāng)根據(jù)以前評(píng)估，在不同的深度層次進(jìn)行復(fù)查。 而且，還要根據(jù)管理所要承受風(fēng)險(xiǎn)的不同，在變化了的層次上做考查。風(fēng)險(xiǎn)評(píng)估常常是先在一個(gè)較高的水平進(jìn)行的，這是一種在高風(fēng)險(xiǎn)領(lǐng)域確定優(yōu)先級(jí)的方式，從而能夠在更細(xì)致的水平上確定特殊的風(fēng)險(xiǎn)。 選擇控制措施 安全需要一旦確定了，就應(yīng)當(dāng)選擇并實(shí)施控制措施，來確保風(fēng)險(xiǎn)降低到可以接受的程度?？刂拼胧┛梢詮谋疚募蚱渌刂拼胧┑馁Y料中選 擇，或者從那些制訂出的用來滿足特殊需要的新控制措施中間選擇。有很多不同的風(fēng)險(xiǎn)管理方式，本文件給出了一些常用方式的例子。然而，有一些方法并不能夠適用于每一個(gè)信息系統(tǒng)或者環(huán)境，并且也可能對(duì)所有組織都不合適。注意到這點(diǎn)是十分重要的。例如， 生。對(duì)于比較小組織就不太可能把所有的責(zé)任都做明確劃分，必須通過其它途徑來達(dá)到相同的控制目標(biāo)。再比如， 和 據(jù)。其中所提到的控制措施，例如事件記錄，可能與現(xiàn)行規(guī)范相抵觸，比如要對(duì)客 戶或者工作間的私密性進(jìn)行保護(hù)。 管理措施的選擇應(yīng)當(dāng)根據(jù)實(shí)施成本與所減少風(fēng)險(xiǎn)的關(guān)系和執(zhí)行成本與出現(xiàn)一個(gè)安全漏洞時(shí)可能造成損失的關(guān)系進(jìn)行。非資金損失因素，比如聲譽(yù)損失，也應(yīng)當(dāng)考慮進(jìn)去。 本文件中的一些安全管理措施可以當(dāng)作信息安全管理的指導(dǎo)性原則，并且適用于大多數(shù)組織。下面標(biāo)題為“信息安全起點(diǎn)”一節(jié)中會(huì)更加詳細(xì)地解釋這些措施。 信息安全起點(diǎn) 有一些管理措施可以看作是指導(dǎo)性的原則，它們?yōu)閷?shí)施信息安全提供了一個(gè)出發(fā)點(diǎn)。這些原則要么基于根本性的立法要求，要么被認(rèn)為是應(yīng)對(duì)信息安全的常用的好辦法。 從法律角度看，對(duì)一 個(gè)組織具有根本性的管理措施包括： a) 數(shù)據(jù)保護(hù)和個(gè)人信息的保密性（見 ） b) 組織的檔案資料的保護(hù)； c) 知識(shí)產(chǎn)權(quán)。（見 ） 被認(rèn)為對(duì)信息安全是常用的好方法的管理措施有： a) 信息安全策略文件（見 ） 。 b) 信息安全責(zé)任的劃分（見 ） 。 c) 信息安全教育和培訓(xùn)（見 ）； d) 安全事故報(bào)告（見 ）； e) 業(yè)務(wù)連續(xù)性管理（見 ） . 這些管理措施可以用在大多數(shù)的組織和多數(shù)環(huán)境之中。 應(yīng)當(dāng)注意的是，盡管本文件中的所有管理措施都重要，還是應(yīng)當(dāng)根據(jù)一個(gè)組織所面臨的特殊風(fēng)險(xiǎn)來確定任何相關(guān)的管理措施 。因此，盡管上述途徑被認(rèn)為是一個(gè)很好的起點(diǎn)，它并不能替代根據(jù)風(fēng)險(xiǎn)評(píng)估所做出的管理措施的選擇。 關(guān)鍵的成功因素 經(jīng)驗(yàn)表明，要在一個(gè)組織內(nèi)部成功的實(shí)現(xiàn)信息安全，下面一些因素常常是非常關(guān)鍵的： a） 反映業(yè)務(wù)目標(biāo)的安全策略、目的和活動(dòng)； b） 實(shí)現(xiàn)與組織文化相協(xié)調(diào)的安全的途徑； c） 管理方面明顯的支持和承諾； d） 對(duì)安全需要、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的清晰理解； e） 向所有的管理者和雇員有效地傳播安全知識(shí)； f） 向所有的雇員和立約人發(fā)布信息安全策略和標(biāo)準(zhǔn)的指導(dǎo)； g） 進(jìn)行適當(dāng)?shù)呐嘤?xùn)和教育； h） 綜合的、平衡的測(cè)量系統(tǒng)。該系統(tǒng)要用于評(píng)價(jià)在信息安全管理和反饋 改進(jìn)意見中的表現(xiàn)。 制訂自己的準(zhǔn)則 這個(gè)實(shí)施規(guī)則可以看成是制訂組織專門準(zhǔn)則的一個(gè)起點(diǎn)。 并不是所有在該實(shí)施準(zhǔn)則中的指導(dǎo)和管理措施都可行。而且，還可能需要其它不包括在該文件中的管理措施。這種情況一旦發(fā)生，保持交叉引用很有用處，這將有助于審計(jì)人員和業(yè)務(wù)伙伴進(jìn)行符合性審計(jì)。 信息技術(shù)－信息安全管理的業(yè)務(wù)規(guī)范 1 范圍 該標(biāo)準(zhǔn)為那些在組織內(nèi)的負(fù)責(zé)建立、實(shí)現(xiàn)或者維護(hù)安全保密性的工作人員提供推行信息安全管理的建議。其目的是為制訂組織的安全標(biāo)準(zhǔn)和進(jìn)行有效的安全管理實(shí)踐提供公共的基礎(chǔ)，并且為組織間的交易建立必要的信任。應(yīng)當(dāng)根 據(jù)適用的法律法規(guī)選擇使用該標(biāo)準(zhǔn)推薦的內(nèi)容。 2 名詞和定義 本文中使用以下定義： 信息安全 對(duì)信息保密性、完整性和有效性的保護(hù)。 保密性：確保信息只能由那些被授權(quán)的人訪問。 完整性：保護(hù)信息的正確性和完整性以及信息的處理方法。 有效性：保證經(jīng)授權(quán)的用戶可以訪問到信息。在需要時(shí)，還能夠訪問其它相關(guān)資產(chǎn)。 風(fēng)險(xiǎn)評(píng)估 評(píng)估對(duì)信息和信息處理程序的威脅、沖擊和危害，以及這些情況發(fā)生的可能性。 風(fēng)險(xiǎn)管理 在可以接受的成本范圍內(nèi)，識(shí)別、控制并減少或者消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)。 3 安全策略 信息安全策略 目標(biāo)：為信息安全提供管理指導(dǎo)和支持。 管理層應(yīng)當(dāng)提出一套清晰的策略指導(dǎo)，并且通過在組織內(nèi)發(fā)布和維護(hù)信息安全策略來表明對(duì)信息安全的支持和承諾。 信息安全策略文檔 一部策略文檔經(jīng)管理層批準(zhǔn)后被公開發(fā)布并以適當(dāng)?shù)姆绞絺鬟_(dá)給所有雇員。它應(yīng)當(dāng)聲明管理承諾，并且闡明該組織實(shí)現(xiàn)信息安全的途徑。該策略文檔至少應(yīng)當(dāng)包括以下指導(dǎo)性內(nèi)容： a) 信息安全的定義，它的總體目標(biāo)和范圍以及安全保密性作為信息共享的許可機(jī)制的重要性（參加介紹） b) 對(duì)管理意圖、總體信息安全的目標(biāo)和原理的簡(jiǎn)單說明。 c) 簡(jiǎn)短的說明安全策略 、原理、標(biāo)準(zhǔn)和對(duì)該組織具有特殊重要意義的符合性要求，例如： 1) 符合法律規(guī)定和合同要求； 2) 安全教育的需求； 3) 病毒和其它惡意軟件的阻止及檢測(cè)； 4) 業(yè)務(wù)連續(xù)性管理； 5) 違反安全管理策略的后果。 d) 定義信息安全管理包括報(bào)告安全事故的一般性責(zé)任和特殊性責(zé)任。 e) 參考可能支持該策略的文獻(xiàn)資料，例如針對(duì)特殊的信息系統(tǒng)或者用戶應(yīng)當(dāng)遵守的安全規(guī)則的更為詳盡的安全策略和程序。 在整個(gè)組織中以一種相關(guān)的、容易理解的和易于接受的方式，把這一策略方針傳達(dá)給有意的讀者。 復(fù)查和評(píng)價(jià) 應(yīng)當(dāng)有一個(gè)所有者負(fù)責(zé)該策略的維護(hù)，并根據(jù)已經(jīng)確定的程序?qū)ζ溥M(jìn)行檢查。該程序應(yīng)當(dāng)確保在影響原始風(fēng)險(xiǎn)評(píng)估基礎(chǔ)發(fā)生任何改變時(shí)，都會(huì)進(jìn)行檢測(cè)。例如，出現(xiàn)了重大安全事故、發(fā)現(xiàn)了新的易損性或者有新的組織或技術(shù)的基本結(jié)構(gòu)的變更。還應(yīng)當(dāng)經(jīng)常安排有以下內(nèi)容的定期檢查： a) 策略的效率，由所記錄的安全事故的性質(zhì)、次數(shù)和影響來表示； b) 對(duì)業(yè)務(wù)效率的管理的成本和影響； c) 技術(shù)變革的影響； 4 組織的安全 信息安全的基本架構(gòu) 目標(biāo)：在一個(gè)組織內(nèi)管理信息的安全。 應(yīng)當(dāng)建立適當(dāng)管理架構(gòu)，在組織內(nèi)部啟動(dòng)和控制信息安全的實(shí)施。 管理層領(lǐng)導(dǎo)應(yīng)當(dāng)建立適當(dāng)?shù)墓芾韱栴}論壇，以便確認(rèn)信息安全策略、 指派安全角色并在組織中協(xié)調(diào)安全措施的實(shí)施。如果需要的話，應(yīng)當(dāng)建立一個(gè)信息安全專家建議的資料來源并使其在組織內(nèi)部是可以利用的。應(yīng)當(dāng)加強(qiáng)與外部的信息安全專家的聯(lián)系，以跟上工業(yè)發(fā)展趨勢(shì)、監(jiān)控安全標(biāo)準(zhǔn)和測(cè)評(píng)方法并在處理意外安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)。應(yīng)當(dāng)鼓勵(lì)發(fā)展那些綜合了各學(xué)科知識(shí)的信息安全解決方案，例如此綜合解決方案可能涉及經(jīng)理、用戶、管理員、應(yīng)用程序設(shè)計(jì)人員、審計(jì)人員和安全人員的協(xié)調(diào)和合作，以及在一些領(lǐng)域的專門技術(shù)，比如保險(xiǎn)和風(fēng)險(xiǎn)管理。 管理信息安全論壇 信息安全是一項(xiàng)由所有管理層成員共同承擔(dān)的運(yùn) 營責(zé)任。因此應(yīng)當(dāng)考慮建立一個(gè)管理論壇，以確保從管理上對(duì)安全能動(dòng)性進(jìn)行明顯地支持，而且這種支持有一個(gè)清晰的方向。該論壇應(yīng)當(dāng)通過適當(dāng)?shù)某兄Z責(zé)任和足夠的資源配置來提高組織內(nèi)部的安全性。此論壇可以是現(xiàn)有管理機(jī)構(gòu)的一部分。在通常情況下，這樣的論壇承擔(dān)以下責(zé)任： a） 檢查并批準(zhǔn)信息安全策略和總的責(zé)任； b） 當(dāng)信息資產(chǎn)暴露在大多數(shù)威脅之下時(shí)，檢測(cè)所發(fā)生的重要變動(dòng)； c） 復(fù)查并監(jiān)測(cè)信息安全事故； d） 支持重要的創(chuàng)新，以加強(qiáng)信息安全。 應(yīng)當(dāng)有一個(gè)經(jīng)理負(fù)責(zé)所有相關(guān)活動(dòng)的安全。 信息安全協(xié)作 在一個(gè)大型組織中，一個(gè)管理層代表們的多功 能論壇對(duì)于協(xié)調(diào)處理信息安全策略的執(zhí)行是十分必要的。這些管理層的代表都來自于組織的相關(guān)部門。一般而言，這樣的論壇： a） 批準(zhǔn)在整個(gè)組織內(nèi)安全管理的特殊角色和責(zé)任。 b） 批準(zhǔn)信息安全的特殊方法和程序，例如：風(fēng)險(xiǎn)評(píng)估，安全分級(jí)系統(tǒng)； c） 批準(zhǔn)并支持整個(gè)組織范圍內(nèi)的信息安全能動(dòng)性，例如安全意識(shí)計(jì)劃。 d） 確保安全性是信息規(guī)劃過程的一部分。 e） 評(píng)價(jià)適當(dāng)性并協(xié)調(diào)對(duì)新系統(tǒng)或者服務(wù)的特殊安全管理措施的實(shí)施； f） 檢查信息安全事故； g） 提高在整個(gè)組織內(nèi)對(duì)信息安全業(yè)務(wù)支持的可見性； 信息安全責(zé)任的分配 應(yīng)當(dāng)清楚地定義保護(hù)個(gè)人資產(chǎn)的責(zé)任和執(zhí) 行特殊安全程序的責(zé)任。 信息安全策略（見第 3句）應(yīng)當(dāng)提供在組織中確定安全角色和分配安全責(zé)任的一般性指導(dǎo)。如果需要的話，這些指導(dǎo)還應(yīng)當(dāng)針對(duì)特殊的地點(diǎn)、系統(tǒng)或者范圍補(bǔ)充上更為詳細(xì)的指導(dǎo)。應(yīng)當(dāng)清晰界定對(duì)個(gè)人生命財(cái)產(chǎn)和信息資產(chǎn)所承擔(dān)的局部責(zé)任， 也應(yīng)當(dāng)明確定義對(duì)安全程序比如業(yè)務(wù)連續(xù)性規(guī)劃所承擔(dān)的局部責(zé)任。 很多的組織會(huì)指定一個(gè)信息安全負(fù)責(zé)人，由其總體負(fù)責(zé)信息安全的發(fā)展和實(shí)現(xiàn)并管理措施的確定。 然而，資源配置和實(shí)現(xiàn)管理措施的責(zé)任常常留給單獨(dú)的管理者。通常的做法是為每項(xiàng)信息資產(chǎn)指派一個(gè)所有權(quán)人來負(fù)責(zé)其日常安全。 信息資產(chǎn)的所有權(quán)人可以把他們的安全責(zé)任委派給單獨(dú)的管理者或者服務(wù)提供商。盡管如此，所有權(quán)人仍然對(duì)此資產(chǎn)的安全負(fù)有最終的責(zé)任，并且所有權(quán)人應(yīng)當(dāng)能夠確定任何錯(cuò)誤分配責(zé)任的情況。 要清晰地闡明每一個(gè)管理者所負(fù)責(zé)的領(lǐng)域，這一點(diǎn)非常重要。特別是在下述情況發(fā)生時(shí)： a） 對(duì)于不同種類資產(chǎn)的安全程序和與各自系統(tǒng)相關(guān)的安全程序，都應(yīng)當(dāng)進(jìn)行識(shí)別并清楚地定義。 b） 負(fù)責(zé)每項(xiàng)資產(chǎn)或者安全過程的管理者都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)，而且應(yīng)當(dāng)把此項(xiàng)責(zé)任的細(xì)節(jié)記錄在案。 c） 應(yīng)當(dāng)清楚地定義并記錄授權(quán)等級(jí)； 信息處理方法的授權(quán)過程。 應(yīng)當(dāng)建立對(duì)新的信 息處理方法的管理授權(quán)過程。 應(yīng)當(dāng)考慮以下的措施： a） 新的信息處理方法應(yīng)當(dāng)有相應(yīng)的客戶授權(quán)，贊同其目的和用途。還應(yīng)當(dāng)獲得負(fù)責(zé)維護(hù)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的管理人員的同意，以確保滿足所有相關(guān)策略和需要。 b） 在需要的時(shí)候，應(yīng)當(dāng)檢測(cè)硬件和軟件以確保它們和系統(tǒng)的其它組成部分互相兼容。 注意：某些連接可能需要定型。 c） 對(duì)處理業(yè)務(wù)信息的個(gè)人信息處理程序的使用和任何必需的控制手段都應(yīng)當(dāng)經(jīng)過授權(quán)。 d） 在工作場(chǎng)所中使用個(gè)人信息處理程序可能導(dǎo)致新的危險(xiǎn)，因此應(yīng)當(dāng)進(jìn)行評(píng)估和授權(quán)。 這些管理措施在網(wǎng)絡(luò)化的環(huán)境中尤其重要。 專家信息安 全建議 許多組織可能都需要專家安全建議。理想的狀況是，一位有經(jīng)驗(yàn)的內(nèi)部信息安全專家可以提供這些建議。并不是所有的組織都愿意雇用一個(gè)咨詢專家。這種情況下，建議確定一個(gè)專門人員來協(xié)調(diào)內(nèi)部安全知識(shí)和安全經(jīng)驗(yàn)，以確保處理問題時(shí)的連續(xù)性并協(xié)助做出安全決策。他們還應(yīng)當(dāng)能夠找到適當(dāng)?shù)耐獠孔稍儗＜襾硖峁┏鏊麄兘?jīng)驗(yàn)范圍的專業(yè)建議。 信息安全建議者或者具有相同作用的接觸點(diǎn)應(yīng)當(dāng)擔(dān)負(fù)就信息安全的所有方面提供建議的任務(wù)。他們要么自己提出建議，要么利用來自外部的建議。他們對(duì)安全威脅所做評(píng)估的質(zhì)量和對(duì)管理措施的意見決定了該組織的信息 安全的效果。為了達(dá)到最大的效用、產(chǎn)生最好影響，應(yīng)當(dāng)允許他們直接接觸整個(gè)組織的管理。 應(yīng)當(dāng)在預(yù)測(cè)到可能的安全事故或者漏洞的最早階段就向信息安全建議者或者具有相同作用的接觸點(diǎn)咨詢，以便獲得專家指導(dǎo)原則和調(diào)查資源。盡管正常情況下大多數(shù)內(nèi)部安全調(diào)查要按照管理措施執(zhí)行，仍然可以召集信息安全咨詢專家來提出建議、主持或指導(dǎo)此類調(diào)查。 組織間的合作 應(yīng)當(dāng)保持與執(zhí)法部門、管理機(jī)構(gòu)、信息服務(wù)提供商和電信運(yùn)營商的適當(dāng)聯(lián)絡(luò)，以確保在發(fā)生安全事故時(shí)能夠及時(shí)采取適當(dāng)措施并能夠及時(shí)通知。類似的，也應(yīng)當(dāng)考慮到與安全組成員和行 業(yè)協(xié)會(huì)進(jìn)行合作。 安全信息的交換應(yīng)當(dāng)限制在確保組織的保密信息不會(huì)發(fā)送給未經(jīng)授權(quán)的個(gè)人。 信息安全的獨(dú)立檢查 信息安全策略文獻(xiàn)（參見 ）宣布了信息安全策略和責(zé)任。應(yīng)當(dāng)獨(dú)立地檢查其執(zhí)行情況，以確保組織的實(shí)踐恰當(dāng)?shù)胤从沉诉@一策略，而且該策略是可行的和有效的。（見） 可以由內(nèi)部的審查功能執(zhí)行這樣的檢查。 此外，獨(dú)立的經(jīng)理或者在此種檢測(cè)方面有特殊