【導(dǎo)讀】它取代了已經(jīng)停止使用的BS7799:1995。其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時(shí)為確定實(shí)施控制措施的。范圍提供一個(gè)參考依據(jù)，并且能夠讓各種規(guī)模的組織所采用。BritishStandard作為一個(gè)業(yè)務(wù)守則，在形式上采用指導(dǎo)和建議結(jié)合的方式。1995年版各部分與1999年版各條款間的關(guān)系。BritishStandard無意包容合約的。BritishStandards的用戶對(duì)他們正確使用本標(biāo)準(zhǔn)自負(fù)責(zé)任。符合BritishStandard不代表其本身豁免法律義務(wù)。的，因此需要妥善進(jìn)行保護(hù)。信息安全保護(hù)信息免受多種威脅的攻擊，保證業(yè)。必須建立起一整套的控制措施，確保滿足組。務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。有考慮到安全問題。要周密計(jì)劃，并對(duì)細(xì)節(jié)問題加以注意。通過風(fēng)險(xiǎn)評(píng)估，確定風(fēng)險(xiǎn)和。安全漏洞對(duì)資產(chǎn)的威脅，并評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的可能性以及潛在的影響。安全故障可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮。風(fēng)險(xiǎn)評(píng)估技術(shù)適用于整個(gè)組織，方，風(fēng)險(xiǎn)評(píng)估技術(shù)不僅切合實(shí)際，而且也頗有助益。防止欺詐行為和錯(cuò)誤行為。

　　

【正文】 通過郵寄、傳真和電子郵件進(jìn)行傳輸； d) 通過移動(dòng)電話、語音郵件、應(yīng)答機(jī)等交談方式進(jìn)行傳輸； e) 破壞。 系統(tǒng)輸出結(jié)果包含敏感或關(guān)鍵信息，應(yīng)帶有相應(yīng)的分類標(biāo)記（輸出結(jié)果中）。標(biāo)記應(yīng)能反映根據(jù) 中創(chuàng)建的規(guī)則進(jìn)行分類的結(jié)果。需要考慮的問題包括：打印出的報(bào)告、屏幕顯示結(jié)果、記錄信息的介質(zhì)（磁帶、磁盤、 CD、磁盤）、電子消息和文件的傳輸問題。 最合適的標(biāo)記形式就是貼上一張看的見、摸的著的標(biāo)簽。但是，有些信息資產(chǎn)（如電子格式的文檔）不能貼上實(shí)際的標(biāo)簽，需要使用電子方式的標(biāo)記 方法。 21 6 人員安全 責(zé)任定義與資源管理的安全性 目標(biāo)： 降低設(shè)施誤操作、偷竊、詐騙或?yàn)E用等方面的人為風(fēng)險(xiǎn)。 在招聘階段，就應(yīng)該說明安全責(zé)任，將其寫入合同，并在雇用期間進(jìn)行監(jiān)督。 對(duì)候選新員工應(yīng)充分進(jìn)行篩選（參見 ），特別是對(duì)于從事敏感工作的員工更是如此。 所有員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密（不公開）協(xié)議。 考慮工作責(zé)任中的安全因素 在組織的信息安全策略中應(yīng)該闡明安全任務(wù)和職責(zé)（參見 ），并進(jìn)行備案。還應(yīng)包括實(shí)施和維護(hù)安全策略的總體責(zé)任，以及保護(hù)特殊資產(chǎn)、執(zhí)行特殊特別安 全程序或活動(dòng)的責(zé)任。 人員選拔策略 在考慮就業(yè)申請(qǐng)時(shí)應(yīng)該對(duì)固定員工進(jìn)行審查。 審查應(yīng)包括以下內(nèi)容： a) 是否有令滿意的個(gè)人介紹信，可以由某個(gè)組織或個(gè)人出具； b) 對(duì)申請(qǐng)人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查； c) 對(duì)申請(qǐng)人聲明的學(xué)術(shù)和專業(yè)資格進(jìn)行證實(shí)； d) 進(jìn)行獨(dú)立的身份檢查（護(hù)照或類似文件）。 如果某個(gè)職位，不管是外部招聘還是內(nèi)部提升員工，涉及到可以訪問信息處理設(shè)備的人員，特別是那些處理敏感信息（如財(cái)務(wù)信息或絕密信息）的個(gè)人，組織必須對(duì)該人員進(jìn)行信用檢查。 對(duì)于具有很高權(quán)力的員工，應(yīng)該定期進(jìn)行一次此類檢查。對(duì)承包商和臨時(shí)性員工，也 應(yīng)執(zhí)行類似的選拔過程。如果這些員工是代理機(jī)構(gòu)介紹的，在與代理機(jī)構(gòu)的合同中應(yīng)該注明以下事項(xiàng)：代理機(jī)構(gòu)的選拔責(zé)任，以及如果代理機(jī)構(gòu)沒有完整執(zhí)行選拔過程，或選拔結(jié)果有疑問時(shí)，代理機(jī)構(gòu)應(yīng)遵循的通知本方的步驟。 管理層應(yīng)有權(quán)訪問敏感系統(tǒng)，以評(píng)估對(duì)新和經(jīng)驗(yàn)不足的員工的調(diào)查結(jié)果。 所有員工的工作都應(yīng)由高級(jí)員工進(jìn)行定期審查和審核。 管理人員應(yīng)該知道，員工的個(gè)人情況會(huì)對(duì)他們的工作產(chǎn)生影響。 個(gè)人或財(cái)務(wù)上的問題、行為或生活方式上的變化、經(jīng)常曠工以及在壓力或痛苦的心情下工作，都會(huì)導(dǎo)致欺騙、盜竊、工作出錯(cuò)或其它安全 問題 。應(yīng)在自己的權(quán)限 范圍內(nèi)，根據(jù)相應(yīng)的規(guī)定，妥善處理這些問題。 保密協(xié)議 22 簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。 員工應(yīng)該簽定保密協(xié)議并將其作為初步雇傭的條款和條件。 現(xiàn)有的合同（包括保密協(xié)議）中沒有涉及臨時(shí)性員工和第三方用戶的問題，在允許他們?cè)L問信息處理設(shè)備之前，應(yīng)要求他們簽署一份協(xié)議。 如果雇傭條款或合同發(fā)生了變化，特別在是雇員要離開組織或合同要到期時(shí)，要對(duì)保密協(xié)議進(jìn)行進(jìn)行重新審閱。 雇傭條款和條件 雇傭條款和條件應(yīng)該規(guī)定員工的信息安全責(zé)任。 如有需要，該責(zé)任在結(jié)束雇用關(guān)系后的一段特定的時(shí)間內(nèi)仍然有效。條款中 還應(yīng)該包括如果雇員無視安全要求，那么可對(duì)其采取措施。 雇用條款和條件中也應(yīng)該包括雇員的法律責(zé)任和權(quán)限方面的條款，如關(guān)于版權(quán)法或數(shù)據(jù)保護(hù)法規(guī)方面的內(nèi)容。 條款中還應(yīng)該注明對(duì)雇員相關(guān)數(shù)據(jù)進(jìn)行分類和管理方面的責(zé)任。 如果有必要的話，雇傭條款和條件中應(yīng)說明員工在組織辦公地點(diǎn)以外和正常工作時(shí)間以外（如在家工作時(shí)）應(yīng)該承擔(dān)的責(zé)任（另請(qǐng)參見 和 ）。 用戶培訓(xùn) 目標(biāo)： 保證用戶了解信息安全存在的威脅和問題，在正常工作中切實(shí)遵守組織安全策略。 應(yīng)對(duì)用戶進(jìn)行安全步驟和正確使用信息處理設(shè)備的培訓(xùn)，將可能的 安全風(fēng)險(xiǎn)降到最低。 信息安全的教育與培訓(xùn) 組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。 這包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登錄的步驟、軟件包的使用方法等等。當(dāng)然在此之前，必須授予其訪問信息或服務(wù)的權(quán)限。 對(duì)安全事故和故障的處理 目標(biāo)： 最大限度降低由于事故和故障而遭受的損失，對(duì)此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。 將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。 各種類型的安全事故（安全破壞行為、威脅、弱點(diǎn)或故障）對(duì)組織資產(chǎn) 的安全都會(huì)產(chǎn)生影響，所有雇員和承包商都應(yīng)了解報(bào)告各個(gè)類型安全事故的方法步驟。 他們應(yīng)盡快將觀察到的或可疑的事件報(bào)告給事先指定的聯(lián)系人。組織應(yīng)建 23 立正式的處分條例，處罰那些進(jìn)行違反安全活動(dòng)的雇員。 要妥善處理安全事故，應(yīng)在事故發(fā)生后，盡快收集證據(jù) （參見 ）。 安全事故報(bào)告 將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。 應(yīng)該建立一套正式的報(bào)告安全事故的步驟以及一套安全事故的響應(yīng)步驟，后者應(yīng)規(guī)定在收到安全事故報(bào)告后，應(yīng)該采取的行動(dòng)。 所有雇員和承包商都應(yīng)該了解報(bào)告安全事故的程序步驟，并根據(jù)要求，盡快報(bào)告 安全事故。應(yīng)該建立適當(dāng)?shù)姆答伹?，以保證安全事故處理完畢后，報(bào)告人能知道該事件的處理結(jié)果。在進(jìn)行用戶 警報(bào) 培訓(xùn)時(shí)（參見 ），可以將這些事件作為示例，向用戶講解可能發(fā)生什么事件、如何對(duì)這些事件進(jìn)行處理以及今后如何避免這類事件發(fā)生（另請(qǐng)參見 ）。 安全漏洞報(bào)告 應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時(shí)，立即進(jìn)行記錄并匯報(bào)。 他們應(yīng)該將這些事件盡快報(bào)告給管理層，或直接報(bào)告給服務(wù)提供商。應(yīng)該告訴用戶，在任何情況下，也不要試圖證明一個(gè)可疑安全漏洞。這也是為了保護(hù)他們自己，這是 因?yàn)樵谀鷾y試某個(gè)漏洞時(shí)，很可能會(huì)導(dǎo)致對(duì)系統(tǒng)的錯(cuò)誤使用。 軟件故障報(bào)告 應(yīng)建立報(bào)告軟件故障的程序步驟。 應(yīng)考慮采取以下措施。 a) 將問題的征兆和屏幕上顯示的消息記錄下來。 b) 應(yīng)將該計(jì)算機(jī)隔離，如果可能，停止使用該計(jì)算機(jī)。 立刻向合適的聯(lián)系人報(bào)警。如果要檢修設(shè)備，在重新接通該設(shè)備的電源前，應(yīng)將其從公司的網(wǎng)絡(luò)中斷開。不要將磁盤拿到其它計(jì)算機(jī)上使用。 c) 立刻將問題報(bào)告給信息安全管理人員。 除非得到授權(quán)，用戶不要試圖刪除可疑的軟件。應(yīng)由經(jīng)過培訓(xùn)富有經(jīng)驗(yàn)員工執(zhí)行恢復(fù)工作。 從事故中吸取教訓(xùn) 應(yīng)該采用一種機(jī)制，將事故和故障的類型、 規(guī)模和損失進(jìn)行量化和監(jiān)控。 用這些信息來確定重復(fù)發(fā)生的或影響很大的事故或故障。 這需要使用功能更強(qiáng)的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)（參見 ）。 紀(jì)律檢查程序 24 應(yīng)該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的雇員（參見 ，有關(guān)保留證據(jù)的問題，參見 ）。 對(duì)那些無視安全工作步驟的雇員來說，這種方法就是一種威懾。另外，如果懷疑某些員工有嚴(yán)重或長期違反組織安全的行為，這一方法能保證對(duì)他們的處罰是正確和公平的。 7 實(shí)際和環(huán)境 的安全 安全區(qū) 目標(biāo)： 防止對(duì)公司工作場所和信息的非法訪問、破壞和干擾。 應(yīng)該將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在安全的地方，使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安全隔離帶進(jìn)行保護(hù)。 應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。 根據(jù)所確定的風(fēng)險(xiǎn)的具體情況，提供相應(yīng)的保護(hù)。 對(duì)紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對(duì)紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)和損害。 實(shí)際安全隔離帶 可以在組織辦公區(qū)域和信息處理設(shè)備周圍建立幾個(gè)實(shí)際的防護(hù)設(shè)備，提供物理保護(hù)。 每個(gè)防 護(hù)設(shè)備都劃分出一個(gè)安全區(qū)，這都提高了整體的保護(hù)效果。 各個(gè)組織應(yīng)使用安全區(qū)域保護(hù)信息處理設(shè)備等資產(chǎn)（參見 ）。 安全區(qū)域是用防護(hù)設(shè)備隔開的一塊區(qū)域，例如通過一堵墻、刷卡才能進(jìn)入的控制門或人工值守的前臺(tái)。防護(hù)設(shè)備的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評(píng)估的結(jié)果。在需要時(shí)，可以考慮并實(shí)施以下指導(dǎo)原則和控制措施。 a) 應(yīng)明確劃分安全區(qū)域。 b) 建筑物或某個(gè)地方中存放信息處理設(shè)備的安全區(qū)的位置應(yīng)該非常合理（例如，安全區(qū)和易發(fā)生闖入行為的區(qū)域不應(yīng)隔開）。 安全區(qū)四周應(yīng)有堅(jiān)固的圍墻，所有可以進(jìn)出安全區(qū)的大門應(yīng)能防止未經(jīng)授權(quán)的訪問，如使用控 制裝置、柵欄、報(bào)警裝備、鎖等等。 c) 設(shè)立一個(gè)人工值守的接待區(qū)域或使用其它方法，將對(duì)現(xiàn)場或建筑物的實(shí)際訪問限制在適當(dāng)?shù)膮^(qū)域中。 只有經(jīng)過授權(quán)的人才能進(jìn)入現(xiàn)場或建筑物。 d) 如有必要，可進(jìn)行全方位的防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入安全區(qū)，以及由火災(zāi)和水災(zāi)引起的環(huán)境問題的影響。 e) 安全區(qū)的所有防火門應(yīng)報(bào)警并關(guān)閉。 安全區(qū)出入控制措施 25 安全區(qū)應(yīng)該使用適當(dāng)?shù)某鋈肟刂拼胧┯枰员Ｗo(hù)。不經(jīng)批準(zhǔn)，任何人員不得出入。 應(yīng)考慮以下控制措施。 a) 必須調(diào)查并弄清安全區(qū)域的來訪者的身份，并將他們進(jìn)入和離開安全區(qū)域的日期和時(shí)間記錄在案。 只有來訪者 有特定的、經(jīng)過授權(quán)的目的時(shí)，才能進(jìn)入安全區(qū)，而且還要告訴他們?cè)搮^(qū)域的安全要求和緊急情況下的行動(dòng)步驟。 b) 只有嚴(yán)格限定，經(jīng)過授權(quán)的人才能訪問敏感信息，使用信息處理設(shè)備。在對(duì)所有訪問行為進(jìn)行授權(quán)和驗(yàn)證時(shí)，應(yīng)采用一些強(qiáng)制性的控制措施，如使用帶 PIN 的卡進(jìn)行刷卡。應(yīng)對(duì)所有訪問嚴(yán)格執(zhí)行審計(jì)流程。 c) 要求所有人員佩帶易于辨認(rèn)的標(biāo)識(shí)，并鼓勵(lì)他們盤問無人陪同的陌生人以及未佩帶標(biāo)識(shí)的人。 d) 應(yīng)經(jīng)常審查并更新有關(guān)安全區(qū)域訪問權(quán)限的規(guī)定。 辦公場所、房屋和設(shè)施的安全保障 安全區(qū)域可能是安全隔離帶中的一間加鎖的辦公室或幾 個(gè)房間，安全隔離帶本身也可能是加鎖的并包括幾個(gè)可加鎖的小房間或保險(xiǎn)箱。 在選擇和設(shè)計(jì)安全區(qū)域時(shí)，應(yīng)將以下各種問題帶來的損害考慮在內(nèi)：火災(zāi)、水災(zāi)、爆炸、社會(huì)動(dòng)蕩以及其它形式的自然或人為的災(zāi)害。也應(yīng)該將各種相關(guān)的健康和安全方面的規(guī)定和標(biāo)準(zhǔn)考慮在內(nèi)。還應(yīng)該考慮到臨近的隔離帶可能帶來的安全威脅，如其它安全區(qū)域發(fā)生泄露事件。 應(yīng)考慮以下控制措施。 a) 關(guān)鍵設(shè)備應(yīng)放在公眾無法進(jìn)入的地方。 b) 建筑物應(yīng)該不很顯眼，使人無法察覺該建筑物的用途，在建筑物的內(nèi)外都沒有明顯標(biāo)志表明建筑物內(nèi)進(jìn)行者信息處理活動(dòng)。 c) 安全區(qū)域內(nèi)各種設(shè)備（如影印機(jī) 、傳真機(jī)）齊全，并放在相應(yīng)的地方，以防止未經(jīng)授權(quán)的人員使用，否則會(huì)泄露信息。 d) 在沒人的時(shí)候，將門窗關(guān)閉，還要注意防止有人從窗戶，特別是只有一層的窗戶就可以進(jìn)入安全區(qū)域。 e) 按照專業(yè)標(biāo)準(zhǔn)安裝入侵檢測系統(tǒng)并經(jīng)常檢查，以對(duì)可進(jìn)入安全區(qū)域的門和窗戶進(jìn)行檢查。 對(duì)無人區(qū)域進(jìn)行 24 小時(shí)的報(bào)警監(jiān)視。對(duì)其它區(qū)域也應(yīng)該提供相應(yīng)的保護(hù)，如計(jì)算機(jī)房或通訊室。 f) 由組織自己管理的信息處理設(shè)備應(yīng)與由第三方管理的信息處理設(shè)備分開。 g) 通過有些目錄和內(nèi)部人員電話號(hào)碼本，能確定敏感信息處理設(shè)備的位置，不能讓公眾得到這些資料。 h) 應(yīng)將危險(xiǎn)或易燃材 料存儲(chǔ)在安全的地方，與安全區(qū)保持安全距離。 除非有特殊要求，否則不要把大量的物品，如文具，存儲(chǔ)在安全區(qū)域內(nèi)。 26 i) 使應(yīng)急設(shè)備和備份介質(zhì)的存儲(chǔ)位置與主安全區(qū)域保持一個(gè)安全距離，以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。 在安全區(qū)中工作 要加強(qiáng)安全區(qū)域的安全性，還應(yīng)該采用其它控制措施和指導(dǎo)原則。 者包括如何控制在安全區(qū)內(nèi)工作的個(gè)人和第三方人員，以及如何控制第三方人員在安全區(qū)以內(nèi)的活動(dòng)。應(yīng)考慮以下問題。 a) 只有在有必要的前提下，才能讓某個(gè)個(gè)人知道有一個(gè)安全區(qū)或安全區(qū)內(nèi)所進(jìn)行的活動(dòng)。 b) 出于安全原因和消除惡意行為 發(fā)生的機(jī)會(huì)兩方面考慮，不允許在安全區(qū)域內(nèi)進(jìn)行未經(jīng)調(diào)查的工作。 c) 關(guān)閉無人使用的安全區(qū)域，每隔一段時(shí)間，進(jìn)行一次檢查。 d) 只有在需要時(shí)，才能允許第三方的支持服務(wù)人員進(jìn)入安全區(qū)域或使用敏感信息處理設(shè)備。 必須對(duì)其訪問行為進(jìn)行授權(quán)和監(jiān)視。在不同的范圍之間還需要隔離區(qū)控制實(shí)際訪問，在安全區(qū)域內(nèi)有不同的安全要求。 e) 除非經(jīng)過授權(quán)，不允許使用圖象、視頻、音頻和其它記錄設(shè)備。 與其它區(qū)域隔離的交貨和裝載區(qū)域 應(yīng)該對(duì)裝運(yùn)區(qū)進(jìn)行控制，而且應(yīng)根據(jù)情況將其與信息處理設(shè)施隔離開來，避免非法訪問。 這類區(qū)域的安全要求由風(fēng)險(xiǎn)評(píng)估的 情況決定。應(yīng)考慮以下指導(dǎo)原則。 a) 只有經(jīng)過確認(rèn)并授權(quán)的人在能從外面進(jìn)入存放物品的區(qū)域。 b) 設(shè)計(jì)存放物品區(qū)域時(shí)，要達(dá)到如下效果：負(fù)責(zé)交貨的人員不需要進(jìn)入建筑物的其它部分，就可以將貨物卸下。 c) 當(dāng)存放物品的區(qū)域內(nèi)部的門打開時(shí)，一定要保證外部的門是安全的。 d) 在將已收下的材料從存貨區(qū)移到使用地點(diǎn)前，必須對(duì)其進(jìn)行檢查，以防止?jié)撛诘奈ｋU(xiǎn) [參見 )]。 e) 如果可以（參見 ），在入口處對(duì)收下的材料進(jìn)行登記。 設(shè)備的安全 目標(biāo)： 防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動(dòng)中斷。 應(yīng)保證設(shè)備免受安全方面的威脅和環(huán)境的 危害。 要降低對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)并免受損失或損壞，必須對(duì)設(shè)備（包括不在現(xiàn)場使用的設(shè)備）進(jìn)行保護(hù)。 還需要考慮設(shè)備的位置和選址問題?？赡苄?27 要特殊的控制措施來保護(hù)免遭危險(xiǎn)或非法訪問，并保護(hù)輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施。 設(shè)備選址與保護(hù) 應(yīng)該注重設(shè)備的選址與保護(hù)，減少來自環(huán)境威