【正文】 執(zhí)行情況，以確保組織的實踐恰當(dāng)?shù)胤从沉诉@一策略，而且該策略是可行的和有效的。 安全信息的交換應(yīng)當(dāng)限制在確保組織的保密信息不會發(fā)送給未經(jīng)授權(quán)的個人。 組織間的合作 應(yīng)當(dāng)保持與執(zhí)法部門、管理機(jī)構(gòu)、信息服務(wù)提供商和電信運(yùn)營商的適當(dāng)聯(lián)絡(luò)，以確保在發(fā)生安全事故時能夠及時采取適當(dāng)措施并能夠及時通知。 應(yīng)當(dāng)在預(yù)測到可能的安全事故或者漏洞的最早階段就向信息安全建議者或者具有相同作用的接觸點咨詢，以便獲得專家指導(dǎo)原則和調(diào)查資源。他們對安全威脅所做評估的質(zhì)量和對管理措施的意見決定了該組織的信息 安全的效果。 信息安全建議者或者具有相同作用的接觸點應(yīng)當(dāng)擔(dān)負(fù)就信息安全的所有方面提供建議的任務(wù)。這種情況下，建議確定一個專門人員來協(xié)調(diào)內(nèi)部安全知識和安全經(jīng)驗，以確保處理問題時的連續(xù)性并協(xié)助做出安全決策。理想的狀況是，一位有經(jīng)驗的內(nèi)部信息安全專家可以提供這些建議。 這些管理措施在網(wǎng)絡(luò)化的環(huán)境中尤其重要。 c） 對處理業(yè)務(wù)信息的個人信息處理程序的使用和任何必需的控制手段都應(yīng)當(dāng)經(jīng)過授權(quán)。 b） 在需要的時候，應(yīng)當(dāng)檢測硬件和軟件以確保它們和系統(tǒng)的其它組成部分互相兼容。 應(yīng)當(dāng)考慮以下的措施： a） 新的信息處理方法應(yīng)當(dāng)有相應(yīng)的客戶授權(quán)，贊同其目的和用途。 c） 應(yīng)當(dāng)清楚地定義并記錄授權(quán)等級； 信息處理方法的授權(quán)過程。特別是在下述情況發(fā)生時： a） 對于不同種類資產(chǎn)的安全程序和與各自系統(tǒng)相關(guān)的安全程序，都應(yīng)當(dāng)進(jìn)行識別并清楚地定義。盡管如此，所有權(quán)人仍然對此資產(chǎn)的安全負(fù)有最終的責(zé)任，并且所有權(quán)人應(yīng)當(dāng)能夠確定任何錯誤分配責(zé)任的情況。通常的做法是為每項信息資產(chǎn)指派一個所有權(quán)人來負(fù)責(zé)其日常安全。 很多的組織會指定一個信息安全負(fù)責(zé)人，由其總體負(fù)責(zé)信息安全的發(fā)展和實現(xiàn)并管理措施的確定。如果需要的話，這些指導(dǎo)還應(yīng)當(dāng)針對特殊的地點、系統(tǒng)或者范圍補(bǔ)充上更為詳細(xì)的指導(dǎo)。 e） 評價適當(dāng)性并協(xié)調(diào)對新系統(tǒng)或者服務(wù)的特殊安全管理措施的實施； f） 檢查信息安全事故； g） 提高在整個組織內(nèi)對信息安全業(yè)務(wù)支持的可見性； 信息安全責(zé)任的分配 應(yīng)當(dāng)清楚地定義保護(hù)個人資產(chǎn)的責(zé)任和執(zhí) 行特殊安全程序的責(zé)任。 b） 批準(zhǔn)信息安全的特殊方法和程序，例如：風(fēng)險評估，安全分級系統(tǒng)； c） 批準(zhǔn)并支持整個組織范圍內(nèi)的信息安全能動性，例如安全意識計劃。這些管理層的代表都來自于組織的相關(guān)部門。 應(yīng)當(dāng)有一個經(jīng)理負(fù)責(zé)所有相關(guān)活動的安全。此論壇可以是現(xiàn)有管理機(jī)構(gòu)的一部分。因此應(yīng)當(dāng)考慮建立一個管理論壇，以確保從管理上對安全能動性進(jìn)行明顯地支持，而且這種支持有一個清晰的方向。應(yīng)當(dāng)鼓勵發(fā)展那些綜合了各學(xué)科知識的信息安全解決方案，例如此綜合解決方案可能涉及經(jīng)理、用戶、管理員、應(yīng)用程序設(shè)計人員、審計人員和安全人員的協(xié)調(diào)和合作，以及在一些領(lǐng)域的專門技術(shù)，比如保險和風(fēng)險管理。如果需要的話，應(yīng)當(dāng)建立一個信息安全專家建議的資料來源并使其在組織內(nèi)部是可以利用的。 應(yīng)當(dāng)建立適當(dāng)管理架構(gòu)，在組織內(nèi)部啟動和控制信息安全的實施。例如，出現(xiàn)了重大安全事故、發(fā)現(xiàn)了新的易損性或者有新的組織或技術(shù)的基本結(jié)構(gòu)的變更。 復(fù)查和評價 應(yīng)當(dāng)有一個所有者負(fù)責(zé)該策略的維護(hù)，并根據(jù)已經(jīng)確定的程序?qū)ζ溥M(jìn)行檢查。 e) 參考可能支持該策略的文獻(xiàn)資料，例如針對特殊的信息系統(tǒng)或者用戶應(yīng)當(dāng)遵守的安全規(guī)則的更為詳盡的安全策略和程序。 c) 簡短的說明安全策略 、原理、標(biāo)準(zhǔn)和對該組織具有特殊重要意義的符合性要求，例如： 1) 符合法律規(guī)定和合同要求； 2) 安全教育的需求； 3) 病毒和其它惡意軟件的阻止及檢測； 4) 業(yè)務(wù)連續(xù)性管理； 5) 違反安全管理策略的后果。它應(yīng)當(dāng)聲明管理承諾，并且闡明該組織實現(xiàn)信息安全的途徑。 管理層應(yīng)當(dāng)提出一套清晰的策略指導(dǎo)，并且通過在組織內(nèi)發(fā)布和維護(hù)信息安全策略來表明對信息安全的支持和承諾。 風(fēng)險管理 在可以接受的成本范圍內(nèi)，識別、控制并減少或者消除可能影響信息系統(tǒng)的安全風(fēng)險。在需要時，還能夠訪問其它相關(guān)資產(chǎn)。 完整性：保護(hù)信息的正確性和完整性以及信息的處理方法。 2 名詞和定義 本文中使用以下定義： 信息安全 對信息保密性、完整性和有效性的保護(hù)。其目的是為制訂組織的安全標(biāo)準(zhǔn)和進(jìn)行有效的安全管理實踐提供公共的基礎(chǔ)，并且為組織間的交易建立必要的信任。這種情況一旦發(fā)生，保持交叉引用很有用處，這將有助于審計人員和業(yè)務(wù)伙伴進(jìn)行符合性審計。 并不是所有在該實施準(zhǔn)則中的指導(dǎo)和管理措施都可行。該系統(tǒng)要用于評價在信息安全管理和反饋 改進(jìn)意見中的表現(xiàn)。因此，盡管上述途徑被認(rèn)為是一個很好的起點，它并不能替代根據(jù)風(fēng)險評估所做出的管理措施的選擇。 c) 信息安全教育和培訓(xùn)（見 ）； d) 安全事故報告（見 ）； e) 業(yè)務(wù)連續(xù)性管理（見 ） . 這些管理措施可以用在大多數(shù)的組織和多數(shù)環(huán)境之中。（見 ） 被認(rèn)為對信息安全是常用的好方法的管理措施有： a) 信息安全策略文件（見 ） 。這些原則要么基于根本性的立法要求，要么被認(rèn)為是應(yīng)對信息安全的常用的好辦法。下面標(biāo)題為“信息安全起點”一節(jié)中會更加詳細(xì)地解釋這些措施。非資金損失因素，比如聲譽(yù)損失，也應(yīng)當(dāng)考慮進(jìn)去。其中所提到的控制措施，例如事件記錄，可能與現(xiàn)行規(guī)范相抵觸，比如要對客 戶或者工作間的私密性進(jìn)行保護(hù)。對于比較小組織就不太可能把所有的責(zé)任都做明確劃分，必須通過其它途徑來達(dá)到相同的控制目標(biāo)。注意到這點是十分重要的。有很多不同的風(fēng)險管理方式，本文件給出了一些常用方式的例子。 選擇控制措施 安全需要一旦確定了，就應(yīng)當(dāng)選擇并實施控制措施，來確保風(fēng)險降低到可以接受的程度。 而且，還要根據(jù)管理所要承受風(fēng)險的不同，在變化了的層次上做考查。 這樣就可以： a) 考慮到商務(wù)需求和優(yōu)先級的變化； b) 考慮到新的威脅和危害； c) 確認(rèn)所采取的管制仍然有效、適合。風(fēng)險評估和管理措施的選擇可能需要重復(fù)進(jìn)行多次，以便保護(hù)組織或者獨立信息系統(tǒng)的不同部分。 b) 在極為普遍的危害和采取的相應(yīng)管理措施的共同作用下，這樣的故障實際發(fā)生的可能性。 風(fēng)險評估是對下面因素的系統(tǒng)考慮： a) 安全事故可能造成的商業(yè)損失。風(fēng)險評估方法可以用于整個組織，也可以只是用于它的某些部分，還可以用在獨立的信息系統(tǒng)、特殊系統(tǒng)部件或 者服務(wù)上。 評估安全風(fēng)險 安全需要是由一個有系統(tǒng)的安全風(fēng)險評估確定的。這些要求是一個組織、它的貿(mào)易伙伴、立約人和服務(wù)提供商都要滿足的。通過風(fēng)險評估， 辨別出對資產(chǎn)的威脅、評價了組織對這種威脅的易損性和威脅發(fā)生的可能性，并且對可能的沖擊進(jìn)行了估計。安全需要有三個主要來源。 如果在需求分析和設(shè)計階段進(jìn)行合作，信息安全管理的成本就會相當(dāng)便宜， 而且也會更加有效。它可能還需要供應(yīng)商、客戶和股東的參與。 為確認(rèn)采用何種控制措施，需要進(jìn)行認(rèn)真規(guī)劃而且要關(guān)注細(xì)節(jié)問題。 很多信息系統(tǒng)的設(shè)計并不安全。 公眾網(wǎng)絡(luò)和私有網(wǎng)絡(luò)的互相鏈接和信息共享增加了實現(xiàn)訪問控制的難度。 能夠損壞信息的因素比如計算機(jī)病毒、計算機(jī)黑客和拒絕服務(wù)，已經(jīng)越來越常見、越來越富于挑戰(zhàn)性并且愈加復(fù)雜。 各種組織和它們的信息系統(tǒng)及網(wǎng)絡(luò)日益面臨著來自四面八方的安全威脅。 為什么需要信息安全？ 信息及其輔助程序、系統(tǒng)和網(wǎng)絡(luò)，是重要的商業(yè)資產(chǎn)。這些控制措施可能是策略、做法、程序、組織結(jié)構(gòu)或者軟件功能。如果需要的話，還能夠訪問相關(guān)資產(chǎn)。 b） 完整性：保護(hù)信息的正確性和完整性以及信息處理方法。無論以任何形式存在，或者以何種方式共享或存儲，信息都應(yīng)當(dāng)?shù)玫角‘?dāng)?shù)谋Ｗo(hù)。 信息可以以多種形式存在。 介紹 什么是信息安全？ 信息是一種資產(chǎn)，同其他重要的商業(yè)資產(chǎn)一樣，它對一個組織而言具有一定價值，因而需要適當(dāng)?shù)乇Ｗo(hù)。 國際標(biāo)準(zhǔn) ISO/IEC 17799 由英國標(biāo)準(zhǔn)協(xié)會籌備起草 （ BS 7799），隨后被聯(lián)合技術(shù)委員會 —— 信息技術(shù) ISO/IEC JTC 1按照特殊的“快速程序”所采納。 請您注意，該國際標(biāo)準(zhǔn)中的一些內(nèi)容可能涉及專利權(quán)問題。 在信息技術(shù)領(lǐng)域， ISO和 IEC已經(jīng)建立了一個聯(lián)合技術(shù)委員會，叫做 ISO/IEC JTC 1. 該聯(lián)合技術(shù)委員會采納的國際標(biāo)準(zhǔn)草案要經(jīng)由成員體投票。其他與 ISO和 IEC有聯(lián)絡(luò)的國際性組織、政府和非政府機(jī)構(gòu)也參與了這項工作。 ISO或 IEC成員體國家通過各自機(jī)構(gòu)建立的技術(shù)委員會參與了國際標(biāo)準(zhǔn)制訂和推廣，這些技術(shù)委員會要設(shè)法應(yīng)對一些特殊領(lǐng)域的技術(shù)活動。目錄 目錄 ............................................................................. 1 前言 ............................................................................. 3 介紹 ............................................................................. 3 什么是信息安全？ ................................................. 3 為什么需要信息安全？ .......................................... 3 如何確定安全需要？ .............................................. 3 評估安全風(fēng)險 ........................................................ 4 選擇控制措施 ........................................................ 4 信息安全起點 ........................................................ 4 關(guān)鍵的成功因素 ..................................................... 4 制訂自己的準(zhǔn)則 ..................................................... 5 1 范圍 ...................................................................... 6 2 名詞和定義 ............................................................ 6 信息安全 ......................................................... 6 風(fēng)險評估 ......................................................... 6 風(fēng)險管理 ......................................................... 6 3 安全策略 ............................................................... 6 信息安全策略 .................................................. 6 信息安全策略文檔 ................................. 6 復(fù)查和評價 ............................................ 6 4 組織的安全 ............................................................... 7 信息安全的基本架構(gòu) ........................................ 7 管理信息安全論壇 ................................. 7 信息安全協(xié)作 ........................................ 7 信息安全責(zé)任的分配 .............................. 7 信息處理方法的授權(quán)過程。 ................... 7 專家信息安全建議 ................................. 8 組織間的合作 ........................................ 8 信息安全的獨立檢查 .............................. 8 ............................................ 8 判斷第三方訪問的風(fēng)險 .......................... 8 第三方合同的安全要求 .......................... 9 外包 ................................................................ 9 外包合同的安全要求 ...................