【正文】 及法律，不論是民法或刑法，所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍ?duì)于證據(jù)所作的規(guī)定，并應(yīng)包羅萬(wàn)象符合任何有關(guān)可采納證據(jù)的產(chǎn)生的已發(fā)行標(biāo)準(zhǔn)或最佳慣例在內(nèi) 控制目標(biāo)：確保系統(tǒng)符合組織的安全政策及標(biāo)準(zhǔn) 控制措施 安全方針的符合性 管理者應(yīng)確保在其責(zé)任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應(yīng)定期加以審查，以確保符合安全政策及標(biāo)準(zhǔn) 技術(shù)符合性的檢查 信息系統(tǒng)應(yīng)被定期檢查是否符合安全實(shí)施標(biāo)準(zhǔn) ..2 控制目標(biāo)：將有效性提升至最大，并將對(duì)來(lái)自及作用在系統(tǒng)審核流程的干擾降至最小 控制措施 系統(tǒng)審核的控制 對(duì)于操作系統(tǒng)的審核，應(yīng)加以策劃并取得同意，以將對(duì)企業(yè)營(yíng)運(yùn)的流程造成中斷的風(fēng)險(xiǎn)降至最小 系統(tǒng)審核工具的保護(hù) 對(duì)于系統(tǒng)審核工具的訪問(wèn)應(yīng)加以保護(hù)，以防止可能的不當(dāng)使用或遭侵入而損壞 附錄 B（情報(bào)性的）標(biāo)準(zhǔn)使用指南 B． 1總則 B． 1． 1 PDCA模型 建立和管理一個(gè) ISMS需要向其他任何管理體系一樣的方法。管理委員會(huì)應(yīng)通過(guò)適當(dāng)?shù)某兄Z和種族的資源推廣安全 信息安全協(xié)作 在大的組織中，應(yīng)使用一個(gè)由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會(huì)，協(xié)作實(shí)施信息安全控制措施 落實(shí)信息安全責(zé)任 應(yīng)明確定義保護(hù)每種資產(chǎn)和負(fù)責(zé)特定安全過(guò)程的責(zé)任 對(duì)信息處理設(shè)施的授權(quán)過(guò)程 應(yīng)建立對(duì)于新的信息處理設(shè)施的管理授權(quán) 專家信息安全建議 應(yīng)從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實(shí)施協(xié)作 組織間的合作 與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān) 、信息服務(wù)提供者，及通信業(yè)者應(yīng)維持適當(dāng)?shù)慕佑| 獨(dú)立的信息安全審查 應(yīng)對(duì)信息安全方針的實(shí)施進(jìn)行獨(dú)立的審查 控制目標(biāo)：維護(hù)組織的信息處理設(shè)施及細(xì)小資產(chǎn)被第三方訪問(wèn)時(shí)的安全 控制措施 確認(rèn)第三方訪問(wèn)的風(fēng)險(xiǎn) 應(yīng)對(duì)第三訪問(wèn)組織的信息處理設(shè)施所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，并實(shí)施適當(dāng)?shù)陌踩刂? 與第三方的合約中的安全要求 涉及第三方訪問(wèn)組織的信息設(shè)施的安排，應(yīng)以包含必要的安全要求在內(nèi)的 正式合約為基礎(chǔ) 控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其它組織時(shí)，應(yīng)維護(hù)信息的安全 外包合約中的安全要求 當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)及/或桌上型計(jì)算機(jī)環(huán)境的管理及控制外包時(shí)，在雙方同意的合約中應(yīng)載明安全的要求 A． 5資產(chǎn)分類與控制 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：維持對(duì)于組織的資產(chǎn)的適切保護(hù) 控制措施 資產(chǎn)的清單 應(yīng)列出并維持一份與每個(gè)信息系統(tǒng) 有關(guān)的所有重要的資產(chǎn)的清單 控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護(hù) 控制措施 分類原則 信息的分類及相關(guān)的保護(hù)控制，應(yīng)適合于企業(yè)營(yíng)運(yùn)對(duì)于信息分享或限制的需要，以及這些需要對(duì)企業(yè)營(yíng)運(yùn)所帶來(lái)的沖擊 信息的標(biāo)識(shí)及處理 應(yīng)制定信息標(biāo)識(shí)及處理的程序，以符合組織所采行動(dòng)的分類法則 A． 6人事安全 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：降低因人員錯(cuò)誤、偷 竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險(xiǎn) 控制措施 將安全需求列入工作職責(zé)中 組織在信息安全方針中所規(guī)定的安全角色及責(zé)任，應(yīng)適度地書(shū)面化于工作職責(zé)說(shuō)明書(shū)中 人員篩審及政策 應(yīng)在招聘員工時(shí)執(zhí)行正式員工的驗(yàn)證查核 保密合約 員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分 聘用合同 聘用合同中因陳述員工對(duì)信息安全的責(zé)任 控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其 日常工作過(guò)程中支持組織的信息安全方針的能力 控制措施 信息安全的教育與培訓(xùn) 組織的所有員工以及相關(guān)的第三方使用者，對(duì)于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練 安全事故報(bào)告 安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M(jìn)行通報(bào) 安全弱點(diǎn)的報(bào)告 應(yīng)要求信息服務(wù)的使用者記下并報(bào)告任何觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點(diǎn)或威脅 軟件失效事件的報(bào)告 應(yīng)建 立報(bào)告軟件失效事件的相關(guān)程序 從事件中學(xué)習(xí) 應(yīng)有適當(dāng)機(jī)制以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量及成本 懲處的流程 員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來(lái)處理 A． 7實(shí)體及環(huán)境安全 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：防止對(duì)企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問(wèn)、破壞及干擾 控制措施 實(shí)體安全邊界 組織應(yīng)有安全的邊界以保護(hù)包含信息 處理設(shè)施的區(qū)域 實(shí)體進(jìn)出控制 安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出 辦公處所及設(shè)備的保護(hù) 應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備 在安全區(qū)域中的作業(yè) 應(yīng)對(duì)在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以堅(jiān)強(qiáng)安全區(qū)域的安全 隔離遞送及裝載區(qū)域 遞送及裝載區(qū)域應(yīng)加以控制，如有可能與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問(wèn) 設(shè) 備安全 控制目標(biāo)：預(yù)防資產(chǎn)遺失或損失和防止企業(yè)運(yùn)營(yíng)活動(dòng)遭受干擾 控制措施 設(shè)備的安置及保護(hù) 應(yīng)妥善安置及保護(hù)設(shè)備，以降低來(lái)自環(huán)境的威脅與危險(xiǎn)所造成的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)的訪問(wèn) 電源供應(yīng) 應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響 電纜傳輸安全 傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護(hù)免于被攔截或破壞 設(shè)備維護(hù) 設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性 組織以外的設(shè)備安全 任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán) 設(shè)備報(bào)廢或再利用的安全防護(hù) 設(shè)備在報(bào)廢或再利用前，應(yīng)清除在設(shè)備中的信息 控制目標(biāo)：防止信息及信息處理設(shè)備的損毀或失竊 控制措施 辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空策略 組織應(yīng)具備辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問(wèn)、遺失及所造成的風(fēng)險(xiǎn) 資產(chǎn)的移出 未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、 信息及軟件 A． 8通訊與操作管理 BS ISO/IEO 17799:2020 編號(hào) 作業(yè)程序及責(zé)任 控制目標(biāo)：確保正確、安全地操作信息處理設(shè)備 控制措施 文件化的作業(yè)程序 由條款 所制定的信息安全政策所指明的作業(yè)程序應(yīng)加以文件化及維護(hù) 作業(yè)變更控制 對(duì)信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制 事故管理程序 應(yīng)建立事故的管理責(zé)任及程序，以確保迅速、有效及有序地反應(yīng)安全事件和采集事故有關(guān) 數(shù)據(jù)如審核線索和日志 職務(wù)隔離 職務(wù)及負(fù)責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當(dāng)使用信息或服務(wù)的機(jī)會(huì) 開(kāi)發(fā)與操作設(shè)備的隔離 開(kāi)發(fā)及測(cè)試設(shè)備應(yīng)與操作設(shè)備分離。 A． 3安全方針 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：提供管理方向和支持信息安全 控制措施 信息安全方針文件 管理層應(yīng)提供一份方針文件，出版并溝通，適當(dāng)時(shí)，給所有員工。在這些表中選擇控制目標(biāo)和控制措施是條款 4． 2＊規(guī)定的信息安全管理體系過(guò)程的一部分。 附錄 A（引用） 控制目標(biāo)和控制措施 A． 1介紹 從 A． 3到 A． 12列出的控制目標(biāo)和控制措施是直接引用并 與 BS ISO/IEC 17799： 2020條款 3 到 12一致。 糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。預(yù)防措施應(yīng)于潛在 問(wèn)題的影響程度相適應(yīng)。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求： a）識(shí)別實(shí)施和／或運(yùn)行信息安全管理體系的不合格； b）確定不合和的原因： c）評(píng)價(jià)確保不合格不再發(fā)生的措施的需求； d) 確定和實(shí)施所需的糾正措施： e）記錄所采取措施的結(jié)果 [ 見(jiàn) 4． 3． 3] ； f) 評(píng)審所采取的糾正措施。 7 ISMS 改進(jìn) 7． 1持續(xù) 改進(jìn) 組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防行動(dòng) 和管理 i 審的信息持續(xù)改進(jìn) ISMS的有效性。 負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保采取沒(méi)有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。審核員不應(yīng)審核他們自己的工作。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。 6． 4 內(nèi)部信息安全管理體系審核 組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)。 評(píng)審的結(jié)果因清楚地文件化，應(yīng)保持管理評(píng)審的紀(jì)錄［見(jiàn) 4． 3． 31 6． 2評(píng)審輸入 管理評(píng)審的輸入應(yīng)包括以下方面的信息： a）信息安全管理體系審核和評(píng)審的結(jié)果； b）相關(guān)方的反饋； c）可以用于組織改進(jìn)其信息安全管理體系業(yè)績(jī)和有效性的技術(shù)，產(chǎn)品或程序； d）預(yù)防和糾正措施的狀況； e）以前風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或威脅； f) 以往管理評(píng)審的跟蹤措施： g）任何可能影響信息安全管理體系的變更； h）改進(jìn)的建議。 6信息安全管理體系的管理評(píng)審 6． 1總則 管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。 、意識(shí)和能力 組織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。 e)提供足夠的資源以開(kāi)發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系［見(jiàn) ］ f)確定可接受風(fēng)險(xiǎn)的水平； g)進(jìn)行信息安全管理體系的評(píng)審 [見(jiàn)條款 6] 。 舉例 記錄的例子如：訪問(wèn)者的簽名簿，審核記錄和授權(quán)訪問(wèn) 記錄。一個(gè)管理過(guò)程將確定記錄的程度。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記錄應(yīng)當(dāng)被控制。 ISMS要求的文件應(yīng)保護(hù)和控制。 d)確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo) ISMS文件應(yīng)包括： a)文件化的安全方針文件和控制目標(biāo) b)ISMS范圍 [見(jiàn) ]和程序及支持 ISMS的控制措施 c)風(fēng)險(xiǎn)評(píng)估報(bào)告 [見(jiàn) ] d)風(fēng)險(xiǎn)處理計(jì)劃 [見(jiàn) ] e)組織需要的文件化的程序以確保有效計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制 [見(jiàn) ] f)本標(biāo)準(zhǔn)要求的記錄 [見(jiàn) ] g)適用性聲明 注 1：當(dāng)本標(biāo) 準(zhǔn)中出現(xiàn)“文件的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到知識(shí)。 ISMS 組織應(yīng)： a) 執(zhí)行監(jiān)控程序和其他控制措施，以： 1) 是探測(cè)處理結(jié)果中的錯(cuò)誤 2) 及時(shí)識(shí)別失敗的和成功的安全