【文章內(nèi)容簡介】 0。A．1介紹 ISO/IEC 17799:2000條款3到12一致。一表中的清單并不徹底，一個組織可能考慮另外必要的控制目標和控制措施。A．2實踐指南規(guī)范BS ISO/IEC 17799：。BS ISO/IEC 17799:2000編號控制目標：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應提供一份方針方件,出版并在適當時,溝通給所有員工。評審和評價應經(jīng)常評審方針文件,尤其在發(fā)生決定性的變化時,確保方針的適宜性BS ISO/IEC 17799:2000編號控制目標：在組織中管理信息安全控制措施信息安全管理委員會信息安全管理委員會確保明確的目標和管理層對啟動安全管理可見的支持。管理委員會應通過適當?shù)某兄Z和充足的資源推廣安全信息安全協(xié)作在大的組織中，應使用一個由從各組織相關單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息安全控制措施。落實信息安全責任應明確定保護每種資產(chǎn)和負責特定安全過程的責任對信息處理設施的授權過程應建立對于新的信息處理設施的管理授權過程專家信息安全建議應從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實施協(xié)作組織間的合作應與執(zhí)法機關、主管機關、信息服務提供者，及通信業(yè)者維持適當?shù)慕佑|獨立的信息安全審查應對信息安全方針的實施進行獨立的審查控制目標：維護組織的信息處理設施及信息資產(chǎn)被第三方訪問時的安全控制措施確認第三方訪問的風險應對第三方訪問組織的信息處理設施所帶來的風險進行評估，并實施適當?shù)陌踩刂婆c第三方合約中的安全要求涉及第三方訪問組織的信息處理設施的安排，應以包含必要的安全要求在內(nèi)的正式合約為基礎?？刂颇繕耍寒斝畔⑻幚淼呢熑挝衅渌M織時，應維護信息的安全外包合約中的安全要求`當組織將全部或部分的信息系統(tǒng)、網(wǎng)絡，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方同意的合約中應載明安全的要求。.A．5資產(chǎn)分類與控制BS ISO/IEC 17799:2000編號控制目標:維持對于組織的資產(chǎn)的適切保護控制措施資產(chǎn)的清單應列出并維護一份與每個信息系統(tǒng)有關的所有重要資產(chǎn)的清單控制目標：確保信息資產(chǎn)受到適當程度的保護控制措施分類原則信息的分類及相關的保護控制，應適合于企業(yè)運營對于信息分享或限制的需要，以及這些需要對企業(yè)運營所帶來的沖擊信息的標識及處理應制定信息標識及處理的程序，以符合組織所采行的分類法則BS ISO/IEC 17799:2000編號控制目標：降低因人員錯誤、偷竊、詐欺或不當使用設施所造成的風險控制措施將安全需求列入工作職責中組織在信息安全方針中所規(guī)定的安全職責及責任，應適度地書面化于工作職責說明書中人員篩審及政策應在招聘員工時執(zhí)行正式員工的驗證查核保密合約員工應簽署保密協(xié)議作為其啟始聘用合同的一部分聘用合同聘用合同中的應陳述員工對信息安全的責任控制目標：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力控制措施信息安全的教育與培訓組織的所有員工以及相關的第三方使用者，對于組織方針及程序應接受適當、定期更新的訓練控制目標：將安全及失效事件所造成的損害降到最小，并監(jiān)督此類事件，從中學習安全事故報告安全事件應在事件被發(fā)現(xiàn)之后盡快由適當?shù)墓芾硗緩竭M行通報安全弱點的報告應要求信息服務的使用者記下并報告任何觀察到的或可疑的有關系統(tǒng)或服務方面的安全弱點或威脅軟件失效事件的報告應建立報告軟件失效事件的相關程序從事件中學習應有適當機制的以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量、及成本懲處的流程員工違反組織安全方針及程序，應由正式的懲處流程來處理BS ISO/IEC 17799:2000編號控制目標：防止對企業(yè)運行所在地及信息未經(jīng)授權的進入、訪問、破壞及干擾控制措施實體安全邊界組織應有安全的邊界以保護包含信息處理設施的區(qū)域實體進出控制安全區(qū)域應有適當?shù)倪M出控制加以保護，以確保只有經(jīng)授權的人員可以進出應劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設備應對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導原則以加強安全區(qū)域的安全遞送及裝載區(qū)域應加以控制，如有可能應與信息處理設施隔離，以避免未經(jīng)授權的訪問控制目標：預防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運營活動遭受干擾控制措施設備的安置及保護應妥善安置及保護設備，以降低來自環(huán)境的威脅與危險所造成的風險以及未經(jīng)授權的訪問電源供應應保護設備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務的電力及通訊電纜，應予以保護免于被攔截或破壞設備維護設備應進行正確維護，以確保其持續(xù)的可用性及完整性組織以外的設備安全任何在組織所在地以外使用的信息處理設備應要求管理層授權設備報廢或再利用的安全防護設備在報廢或再利用前，應清除在設備中的信息控制目標：防止信息及信息處理設備的損毀或失竊控制措施辦公桌面凈空及計算機屏幕畫面凈空策略組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權訪問、遺失及損害所造成的風險資產(chǎn)的移出未經(jīng)授權不得移出組織所擁有的設備、信息及軟件BS ISO/IEC 17799:2000編號操作員日志作業(yè)人員應維持一份記錄其作業(yè)活動的工作日。操作日志應受到經(jīng)常性的，獨立的審查。錯誤事件登錄應通報錯誤并采取改正行動控制目標：確保網(wǎng)絡中信息的安全性以及保護支持性的基礎設施控制措施網(wǎng)絡控制應實行一系列的控制方法以達成并維護網(wǎng)絡的安全控制目標：防止資產(chǎn)遭受損害以及企業(yè)營運活動遭受干擾控制措施可移動式計算機存儲媒體的管理對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應回以控制存儲媒體的報廢不再需要的儲存媒體，應可靠并安全地處置信息的處理程序應建立信息的處理及儲存程序，以保護信息不被未經(jīng)授權的泄漏或不當使用系統(tǒng)文件的安全應保護系統(tǒng)文件以防未經(jīng)授權的訪問控制目標：防止在組織間交換的信息遭受遺失、修改及不當使用控制措施信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應簽訂協(xié)議，其中有些可能是正式的協(xié)議書存儲媒體的運送安全運送存儲媒體時應保護其不遭受未經(jīng)授權的泄漏、不當使用或毀壞電子商務安全應保護電子商務免于詐欺行為、合約爭議以及信息被泄漏及修改電子郵件的安全應開發(fā)一份電子郵件的使用策略，并應有降低電子郵件所造成的安全風險的適當控制方法電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務與安全風險，各項政策與指導原則應加以擬定并實施開放的公用系統(tǒng)信息在成為公眾可取用前應有正式的授權過程，應保護這類信息的完整性以防止未經(jīng)授權的修改其它形式的信息交換應有適當?shù)牟呗?、程序及控制方法來保護經(jīng)由傳真、語音及影像等通訊設施進行的信息交換BS ISO/IEC 17799:2000編號控制目標：控制對于信息的訪問控制措施訪問控制策略企業(yè)營運對訪問控制的要求應加以界定并文件化，對于信息的訪問應如訪問控制政策中所界定的加以限制控制目標：確保訪問信息系統(tǒng)的權限被適當?shù)厥跈?、落實和維護控制措施使用者注冊應有正式的使用者注冊及注銷的程序，以進行所有的多人使用信息系統(tǒng)及服務的訪問授權特殊權限的管理對于特殊權限的分配及使用，應加以限制及控制使用者密碼管理對密碼的分配，應通過正式的管理流程加以控制使用者訪問權限的審查管理層應定期執(zhí)行正式審查過程對于使用者的訪問權限實施評審A..控制目標：防止未經(jīng)授權的使用者訪問控制措施密碼的使用應要求使用者在選擇及使用密碼時，遵循良好的安全慣例無人看管的使用者設備應要求使用者確保無人看管的使用者設備有適當?shù)谋Ｗo控制目標：保護網(wǎng)絡化的服務控制措施使用網(wǎng)絡服務的政策使用者應僅能直接訪問已獲得特別授權使用的服務強制性的路徑由使用者的終端機至計算機服務器羊的路徑應加以控制外部聯(lián)機的使用者認證應對遠程使用者的訪問進行使用者認證節(jié)點認證到遠程計算機系統(tǒng)的聯(lián)機應被認證遠程診斷端口的保護對于診斷斷口的訪問應可靠地加以控制網(wǎng)絡的隔離應引起可在網(wǎng)絡中以群組方式隔離信息服務、使用者及信息系統(tǒng)的控制方法網(wǎng)絡聯(lián)機的控制在分享式的網(wǎng)絡中，使用者的聯(lián)機能力應依照訪問控制策略加以限制網(wǎng)絡路由的控制在分享式的網(wǎng)絡中，應有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應用軟件的訪問控制政策（繼續(xù)）BS ISO/IEC 17799:2000編號網(wǎng)絡服務的安全對于組織使用網(wǎng)絡服務業(yè)者提供的所有網(wǎng)絡服務的安全特性,應提供清楚的說明控制目標:防止未經(jīng)授權的計算機訪問控制措施自動化的終端機識別應使用自動化的終端機識別,以認證連接到特定場所及可移動式設備的聯(lián)機終端機聯(lián)機程序訪問信息服務應有安全的聯(lián)機流程使用者識別及認證所有使用者應有唯一的識別碼(使用者代號)專供其個人的使用,口令字管理系統(tǒng)密碼管理系統(tǒng)應提供有效的、交互式的設施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應加以限制并嚴格控制提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標的使用者，應提供脅迫警報終端機逾時終止在高風險場所或為高風險系統(tǒng)服務終端機，在進入休止狀態(tài)達到規(guī)定的一段時間后，應加以關閉以防止未經(jīng)授權的人進行訪問聯(lián)機時間的限制應使用聯(lián)機時間的限制，以提供高風險的應用程序額外的安全控制目標：防止對于保持在信息系統(tǒng)中的信息進行未經(jīng)授權的訪問控制措施信息訪問限制對于信息及應有系統(tǒng)的功能的訪問應依照訪問控制策略加以限制機密性系統(tǒng)的隔離具機密性質(zhì)的系統(tǒng)應有專屬的〈隔離的〉運算環(huán)境控制目標：偵探未經(jīng)授權的活動控制措施事件登錄應產(chǎn)生記載著異常狀況及其它安全相關事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控系統(tǒng)使用的監(jiān)控應建立監(jiān)控信息設施使用情況的程序，并且應定期對監(jiān)活動的結果進行審查定時器同步計算機的定時器應同步以便能準確地記錄（繼續(xù)）BS ISO/IEC 17799:2000編號控制目標：確保使用可移動式計算機運算及計算機通訊遠距工作的設施的信息安全控制措施可移動式計算機運算應有適當?shù)恼秸?