【正文】 控制措施運(yùn)用密碼學(xué)控制方法時(shí)的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來(lái)達(dá)成保護(hù)信息目的政策資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性數(shù)字簽章應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動(dòng)是否有發(fā)生的爭(zhēng)議不可否認(rèn)性的服務(wù)應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)以支持密碼學(xué)技術(shù)的運(yùn)用密鑰管理BS ISO/IEC 17799:2000編號(hào)網(wǎng)絡(luò)服務(wù)的安全對(duì)于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性,應(yīng)提供清楚的說(shuō)明控制目標(biāo):防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問(wèn)控制措施自動(dòng)化的終端機(jī)識(shí)別應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別,以認(rèn)證連接到特定場(chǎng)所及可移動(dòng)式設(shè)備的聯(lián)機(jī)終端機(jī)聯(lián)機(jī)程序訪問(wèn)信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程使用者識(shí)別及認(rèn)證所有使用者應(yīng)有唯一的識(shí)別碼(使用者代號(hào))專供其個(gè)人的使用,口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制提供受脅迫警報(bào)以保護(hù)使用者對(duì)于可能成為他人脅迫的目標(biāo)的使用者，應(yīng)提供脅迫警報(bào)終端機(jī)逾時(shí)終止在高風(fēng)險(xiǎn)場(chǎng)所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問(wèn)聯(lián)機(jī)時(shí)間的限制應(yīng)使用聯(lián)機(jī)時(shí)間的限制，以提供高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全控制目標(biāo)：防止對(duì)于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問(wèn)控制措施信息訪問(wèn)限制對(duì)于信息及應(yīng)有系統(tǒng)的功能的訪問(wèn)應(yīng)依照訪問(wèn)控制策略加以限制機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專屬的〈隔離的〉運(yùn)算環(huán)境控制目標(biāo)：偵探未經(jīng)授權(quán)的活動(dòng)控制措施事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)事件的審核日志，并保存一定的期間以協(xié)助未來(lái)的調(diào)查及訪問(wèn)控制的監(jiān)控系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息設(shè)施使用情況的程序，并且應(yīng)定期對(duì)監(jiān)活動(dòng)的結(jié)果進(jìn)行審查定時(shí)器同步計(jì)算機(jī)的定時(shí)器應(yīng)同步以便能準(zhǔn)確地記錄（繼續(xù)）錯(cuò)誤事件登錄應(yīng)通報(bào)錯(cuò)誤并采取改正行動(dòng)控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施控制措施網(wǎng)絡(luò)控制應(yīng)實(shí)行一系列的控制方法以達(dá)成并維護(hù)網(wǎng)絡(luò)的安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營(yíng)運(yùn)活動(dòng)遭受干擾BS ISO/IEC 17799:2000編號(hào)操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動(dòng)的工作日。遞送及裝載區(qū)域應(yīng)加以控制，如有可能應(yīng)與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問(wèn)控制目標(biāo)：預(yù)防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運(yùn)營(yíng)活動(dòng)遭受干擾控制措施設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備，以降低來(lái)自環(huán)境的威脅與危險(xiǎn)所造成的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)的訪問(wèn)電源供應(yīng)應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護(hù)免于被攔截或破壞設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)設(shè)備報(bào)廢或再利用的安全防護(hù)設(shè)備在報(bào)廢或再利用前，應(yīng)清除在設(shè)備中的信息控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊控制措施辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空策略組織應(yīng)具備辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問(wèn)、遺失及損害所造成的風(fēng)險(xiǎn)資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備BS ISO/IEC 17799:2000編號(hào)控制目標(biāo):維持對(duì)于組織的資產(chǎn)的適切保護(hù)控制措施資產(chǎn)的清單應(yīng)列出并維護(hù)一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)控制措施分類(lèi)原則信息的分類(lèi)及相關(guān)的保護(hù)控制，應(yīng)適合于企業(yè)運(yùn)營(yíng)對(duì)于信息分享或限制的需要，以及這些需要對(duì)企業(yè)運(yùn)營(yíng)所帶來(lái)的沖擊信息的標(biāo)識(shí)及處理應(yīng)制定信息標(biāo)識(shí)及處理的程序，以符合組織所采行的分類(lèi)法則控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其他組織時(shí)，應(yīng)維護(hù)信息的安全外包合約中的安全要求`當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)，及/或桌面計(jì)算機(jī)環(huán)境的管理及控制外包時(shí)，在雙方同意的合約中應(yīng)載明安全的要求。管理委員會(huì)應(yīng)通過(guò)適當(dāng)?shù)某兄Z和充足的資源推廣安全信息安全協(xié)作在大的組織中，應(yīng)使用一個(gè)由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會(huì)，協(xié)作實(shí)施信息安全控制措施。BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針?lè)郊?出版并在適當(dāng)時(shí),溝通給所有員工。A．2實(shí)踐指南規(guī)范BS ISO/IEC 17799：。A．1介紹 ISO/IEC 17799:2000條款3到12一致。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。 記錄所采取措施的結(jié)果[]；d） d） 識(shí)別潛在的不合格及引起不合格的原因；b） b）預(yù)防措施應(yīng)于潛在問(wèn)題的影響程序適應(yīng)。 評(píng)審所采取的糾正措施。f） f） 確定和實(shí)施所需的糾正措施；e） e） 確定不合格的原因；c） c）應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a） a）7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)記錄[]的責(zé)任及要求.負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒(méi)有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。選擇審核員及進(jìn)行審核應(yīng)確認(rèn)審核過(guò)程的客觀和公正。任何審核活動(dòng)應(yīng)策劃，策劃應(yīng)考慮過(guò)程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。 被有效地實(shí)施和維護(hù)；d） d） 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b） b） 資源需求。 法規(guī)或法律環(huán)境；5） 5） 安全要求；3） 3） 修改影響信息安全的程序，必要時(shí)，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 1）6．3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a） a） 任何可能影響信息安全管理體系的變更；h） h） 預(yù)防和糾正措施的狀況；e） e） 相關(guān)方的反饋；c） c）評(píng)審的結(jié)果應(yīng)清楚地文件化，應(yīng)保持管理評(píng)審的記錄[]6．2評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息：a） a） 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評(píng)審6．1總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。 提供能力培訓(xùn)和必要時(shí)，聘用有能力的人員滿足這些需求；c） c）組織應(yīng)：a） a） 需要時(shí)，改進(jìn)信息安全管理體系的有效性。 必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；f） f） 識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù)；d） d） 建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b） b） 進(jìn)行信息安全管理體系的評(píng)審[見(jiàn)條款6]。 確定可接受風(fēng)險(xiǎn)的水平。f） f）e） e） 為信息安全確立職位和責(zé)任；d） d） 建立信息安全方針；b） b）。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。4．3．3記錄控制應(yīng)建立并保持記錄，以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。 防止作廢文件的非預(yù)期使用；i） i） 確保外來(lái)文件的發(fā)放在控制狀態(tài)下；g） g） 確保文件夾保持清晰、易于識(shí)別；f） f） 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d） d） 文件發(fā)布前得到批準(zhǔn)，以確保文件的充分性；b） b）4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。 適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。 本標(biāo)準(zhǔn)要求的記錄[]。 組織需要的文件化的程序以確保存有效地計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制[]f） f） 風(fēng)險(xiǎn)處理計(jì)劃。 風(fēng)險(xiǎn)評(píng)估報(bào)告[]。 文件化的安全方針文件和控制目標(biāo)；b） b） 確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。 溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。 采取合適的糾正和預(yù)防措施應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到的知識(shí)。4．2．4維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a） a）e） e）d） d） 識(shí)別威脅5） 5） 技術(shù)3） 3） 評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1） 1）b） b） 能夠使管理層確定分派給員工的或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo)；4） 4） 實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤；2） 2）4．2．3監(jiān)控和評(píng)審信息安全管理體系組織應(yīng)：a） a） 管理資源[]；g） g） 管理動(dòng)作過(guò)程；f） f） 培訓(xùn)和意識(shí)[]。c） c） 識(shí)別合適的管理行動(dòng)和確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序（即：風(fēng)險(xiǎn)處理計(jì)劃）[見(jiàn)條款5]；b） b） 提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和動(dòng)作信息安全管理體系。（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。h） h） 選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)： 應(yīng)從本標(biāo)準(zhǔn)附件A中列出的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果調(diào)整。 轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)，供應(yīng)商等。 知道并有目的地接受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)3） 3） 識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施：可能的行動(dòng)包括：1） 1） 確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理；f） f） 評(píng)估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類(lèi)事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施；3） 3） 評(píng)價(jià)風(fēng)險(xiǎn)1） 1） 識(shí)別可能被威脅利用的脆弱性4） 4） 在信息安全管理體系的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人2） 2）確定接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和識(shí)別可接受風(fēng)險(xiǎn)的水平[]d） d） 確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安全管理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。5） 5）4） 4）3） 3）2） 2） 應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定