【正文】 進(jìn)行管制的成本及影響 技術(shù)變化的影響 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 目標(biāo)：管理單位內(nèi)部的信息安全。 審核與評(píng)估 本政策要求有專人按既定程序?qū)ζ溥M(jìn)行定期檢討和審訂。該文件要闡明管理層對信息安全的承諾，并提出單位信息安全的管理方法。 管理層應(yīng)制定一套清晰的指導(dǎo)原則，并以此明確表明其對信息安全及在單位 內(nèi)部貫徹實(shí)施信息安全政策的支持和承諾。 風(fēng)險(xiǎn)評(píng)估 對信息和信息處理設(shè)施的弱點(diǎn)、其所受威脅、后果及其發(fā)生概率的評(píng)估。 完整性被定義為保護(hù)信息和信息加工方法的準(zhǔn)確和完全。 二、術(shù)語與定義 在本文件中，下列術(shù)語其定義如下： 信息安全 對信息保密 性、完整性和可得性的保護(hù)。 一、信息安全范圍 此部分針對各單位內(nèi)部從事安全工作的人員提出了信息安全管理方面的建議。本條例所描述的指導(dǎo)原則和管制手段也并不一定適合所有單位的情況。因此，上述的步驟雖然是很好的起點(diǎn)，它并不取代基于具體風(fēng)險(xiǎn)評(píng)估而導(dǎo)出的管制手段。 從立法角度審視，對單位十分重要的管制手段主要包括： 甲、知識(shí)產(chǎn)權(quán)（詳見 ） 乙、保護(hù)單位記錄（詳見 ） 丙、數(shù)據(jù)保護(hù)和個(gè)人隱私（詳見 ） 對信息安全來說被認(rèn)為是最佳實(shí)施手段的管制手段包括： 甲、信息安全政策文件（詳見 ） 乙、信息安全權(quán)責(zé)的分配（詳見 ） 丙、信息安全教育和培訓(xùn)（詳見 ） 丁、安全事故的回報(bào)（詳見 ） 戊、持續(xù)運(yùn)營管理（詳見 ） 這些管制手段適用于多數(shù)單位和多數(shù)情形。 信息安全起始點(diǎn) 幾條管制手段作為指導(dǎo)原則提供了信息安全執(zhí)行方面的起始點(diǎn)。 本文件中的某些管制手段可以用作多數(shù)單位的信息安全管理的指導(dǎo)原則。 管制的選擇應(yīng)當(dāng)基于相對風(fēng)險(xiǎn)而言執(zhí)行管制時(shí)的成本。比如，本文件 。管理風(fēng)險(xiǎn)有許多不同的辦法，本文件列出了一些常用的手段。 選擇管制手段 安全要求一旦確定之后，就應(yīng)選擇并實(shí)施管制手段以確保風(fēng)險(xiǎn)被降到一個(gè)可接受的水平。 對安全風(fēng)險(xiǎn)和實(shí)施的管制要進(jìn)行定期回顧，以便 － 考慮運(yùn)營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確 認(rèn)所采取的管制手段仍然有效恰當(dāng) 根據(jù)以前評(píng)估的結(jié)果和管理層能夠接受的風(fēng)險(xiǎn)程度，上述回顧應(yīng)當(dāng)按不同程度開展。 風(fēng)險(xiǎn)評(píng)估要求對如下因素進(jìn)行系統(tǒng)考慮： 安全失誤所造成的經(jīng)營性破壞，要求考慮失去信息保密性、完整性和可得性和其它資產(chǎn)時(shí)所導(dǎo)致的潛在后果 現(xiàn)行威脅和弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性，及目前實(shí)施的管制手段 在管理信息安全風(fēng)險(xiǎn)和實(shí)施管制手段防范風(fēng)險(xiǎn)時(shí)，上述評(píng)估結(jié)果有助于指導(dǎo)和決定采取適當(dāng)?shù)墓芾硇袆?dòng)及其優(yōu)先程度。管制方面的支出需要和安全失控時(shí)產(chǎn)生的危害進(jìn)行平衡和比較。 第三個(gè)來源是單位為支持其運(yùn)營而開發(fā)出的一套針對信息處理的原則、目標(biāo)和要求。通過風(fēng)險(xiǎn)評(píng)估，可以確認(rèn)單位的資產(chǎn)所面臨的威脅，評(píng)估其弱項(xiàng)和危險(xiǎn)發(fā)生的可能性，并對其潛在的沖擊加以估計(jì)。 如何設(shè)置安全要求？ 單位能夠確認(rèn)其安全方面的要求至關(guān)重要。單位外部的專家建議有時(shí)也很必要。信息安全管理至少要求單位所有員工的參與。通過技術(shù)手段達(dá)到的安全很有限，因此要通過恰當(dāng)?shù)墓芾砗土鞒碳右灾С?。分散化的?jì)算 機(jī)模式進(jìn)一步減弱了中央化、專業(yè)化管制的有效性。 對信息系統(tǒng)和服務(wù)的依賴表明單位在安全威脅面前已越來越脆弱。 單位及其信息系統(tǒng)和網(wǎng)絡(luò)正面臨著來自各方面的越來越多的安全威脅，如計(jì)算機(jī)輔助詐騙、間諜、破壞、毀壞、水災(zāi)或火災(zāi)等等。 為何需要信息安全？ 信息和信息支持程序、系統(tǒng)及網(wǎng)絡(luò)是重要的經(jīng)營資產(chǎn)。 信息安全的主要特征在于保護(hù)其 － 保密性：確保只有那些經(jīng)過授權(quán)的人員可以接觸信息 －完整性：保護(hù)信息和信息處理辦法的準(zhǔn)確性和完整性 －可得性：確保在需要時(shí)，經(jīng)過授權(quán)的使用者可接觸信息和相關(guān)的資產(chǎn) 信息安全可通過 一 套管制手段得以實(shí)現(xiàn)；此管制手段可為政策、行為規(guī)范、流程、組織結(jié)構(gòu)和軟件功能。 信息可以許多形 式存在－可以印在或?qū)懺诩埳?，以電子方式進(jìn)行儲(chǔ)存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉(zhuǎn)述。ISO17799 信息安全管理體系規(guī)范 (中文 ) 信息安全管理體系規(guī)范（ Part I） （信息安全管理實(shí)施細(xì)則） 目錄 前言 一、 信息安全范圍 二、 術(shù)語與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 信息分類 六、 個(gè)人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓(xùn) 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設(shè)備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權(quán)責(zé) 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護(hù) 儲(chǔ)存管理 網(wǎng)絡(luò)管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理 使用者權(quán)責(zé) 網(wǎng)絡(luò)存取管制 操作系統(tǒng)存取管理 應(yīng)用軟件存取管理 監(jiān)控系統(tǒng)的存取及使用 移動(dòng)計(jì)算機(jī)及撥接服務(wù)管理 十、 信息系統(tǒng)的開發(fā)和維護(hù) 信息系統(tǒng)的安全要求 應(yīng)用軟件的安全要求 資料加密技術(shù)管制 系統(tǒng)檔案的安全性 開發(fā)和支持系統(tǒng)的安全性 十一、 維持運(yùn)營管理 持續(xù)運(yùn)營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術(shù)應(yīng)用的審查 系統(tǒng)稽核的考慮 前言 何謂信息安全？ 對一個(gè)單位或組織來說，信息和其它商業(yè)資產(chǎn)一樣有價(jià)值，因此要加以適當(dāng)?shù)谋Ｗo(hù)。信息安全就是保護(hù)信息免受來自各方面的眾多威脅，從而使單位能夠進(jìn)行持續(xù)經(jīng)營，使其對經(jīng)營的危害降至最小程度，并將投資和商業(yè)機(jī)會(huì)得以最大化。無論信息以何種方式存在，或以何種形式分享或儲(chǔ)存，都要對其進(jìn)行恰當(dāng)保護(hù)。必須建立此類管制手段來確保各單位的具體安全目標(biāo)得以實(shí)現(xiàn) 。信息的保密性、完整性和可得性對維持單位的競爭優(yōu)勢、現(xiàn)金流動(dòng)、贏利性、合法性和商業(yè)形象至關(guān)重要。破壞的產(chǎn)生來源，如計(jì)算機(jī)病毒、黑客襲擊和拒絕服務(wù)攻擊等已經(jīng)變得越來越普遍、更具野心和復(fù)雜。公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)的互聯(lián)以及信息資源的共享加大了進(jìn)行存取管制的難度。 許多信息系統(tǒng)本身的設(shè)計(jì)就很不安全。確認(rèn)采取的管制措施時(shí)需要詳細(xì)審慎的計(jì)劃和構(gòu)思。同時(shí)，也要求供貨商、客戶和股東的參與。 如果能在具體規(guī)章和設(shè)計(jì)階段就將信息安全管制方面的內(nèi)容納入其中，則其成本會(huì)便宜許多。在這方面，主要有三個(gè)來源： 第一個(gè)來源是對單位面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估 。 第二個(gè)來源是某單位、其運(yùn)營伙伴、簽約方和服務(wù)提供商所必須滿足的法律、法規(guī)、規(guī)章或契約方面的要求。 評(píng)估安全風(fēng)險(xiǎn) 安全要求是通過對安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估而確認(rèn)的。風(fēng)險(xiǎn)評(píng)估技巧可運(yùn)用到整個(gè)組織或局部，也可針對其實(shí)用性、現(xiàn)實(shí)性和有效性運(yùn)用到組織內(nèi)部單個(gè)信息系統(tǒng)、具體系統(tǒng)部件或服務(wù)。評(píng)估風(fēng)險(xiǎn)和選擇管制手段的過程可能需要重復(fù)幾次，以便涵蓋單位的不同部分或單個(gè)的信息系統(tǒng)。風(fēng)險(xiǎn)評(píng)估一般先在較高層次上開展，以便對高風(fēng)險(xiǎn)領(lǐng)域的資源進(jìn)行優(yōu)先分類，然后從細(xì)節(jié)開展，目的是對付具體風(fēng)險(xiǎn)。管制手段可從本文件或別的管控手冊中選擇；還可以設(shè)計(jì)新管控辦法來滿足具體的需求。然而，需要認(rèn)識(shí)的是有些手段并不是適用與所有信息系統(tǒng)或環(huán)境，也不一定適合所有 的單位或組織。對許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。也應(yīng)當(dāng)考慮其它非財(cái)務(wù)方面的因素，如對單位或組織名譽(yù)的損壞等等。其細(xì)節(jié)在下述的 “ 信息安全起始點(diǎn) ” 中將加以詳細(xì)描述。它們或者基于重大的立法要求，或者被認(rèn)為是信息安全領(lǐng)域內(nèi) 的最佳實(shí)施手法。應(yīng)當(dāng)注意的是，盡管本文件所述的管制手段很 重要，但所有手段的適用性仍然取決于具體的當(dāng)事情形。 重大成功因素 以往經(jīng)驗(yàn)證實(shí)各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標(biāo)和反應(yīng)單位運(yùn)營目標(biāo)的活動(dòng) 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關(guān)本單位信息安全政策和標(biāo)準(zhǔn)的指導(dǎo)綱要 提供恰當(dāng)?shù)呐嘤?xùn)和教育 一整套 用于評(píng)估信息安全管理表現(xiàn)及反饋改進(jìn)意見的測量系統(tǒng) 制定本單位的大綱 本指導(dǎo)條例可用作各單位依據(jù)本身具體情況制定 自 己內(nèi)部信息安全指導(dǎo)大綱的基礎(chǔ)。因此，有必要適時(shí)加以調(diào)整。其目的是提供一個(gè)公共平臺(tái)以各單位制定各自的安全標(biāo)準(zhǔn)和有效的安全管理手段，并增強(qiáng)各單位就此進(jìn)行交流時(shí)的信心。 保密性被定義為確保唯有經(jīng)過授權(quán)的人員方可存取信息。 可得性被定義為確保經(jīng)授權(quán)的人員在必要時(shí)能存取信息和相關(guān)資產(chǎn)。 風(fēng)險(xiǎn)管理 以可以接受的成本，對影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行辨認(rèn)、控制、減少或消除的過程 三、安全政策 信息安全政策 目標(biāo)：為信息安全提供管理指導(dǎo)和支持。 信息安全政策文件 信息安全政策文件在經(jīng)管理層批準(zhǔn)后，要印行并頒發(fā)給單位的所有員工。它至少要包括如下部分： 對信息安全的定義，其總體目標(biāo)和范圍，安全作為信息分享確保機(jī)制的重要性 支持信息安全目標(biāo)和原則的管理意向聲明 對安全政策、原則、標(biāo)準(zhǔn)和應(yīng)達(dá)到要求的簡要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對病毒和其它有害軟件的預(yù)防和檢測； 4）持續(xù)運(yùn)營管理； 5）違反安 全政策的后果等； 信息安全管理的總體和具體權(quán)責(zé)的定義，包括安全事故回報(bào)等； 用以支持政策的文獻(xiàn)援引；例如，適用于具體信息系統(tǒng)的更詳細(xì)的安全政策和流程，或使用者應(yīng)當(dāng)遵守的安全條例等； 本政策應(yīng)以恰當(dāng)、易得、易懂的方式向單位的標(biāo)的使用者進(jìn)行傳達(dá)。檢討和審訂的過程要能夠反應(yīng)風(fēng)險(xiǎn)評(píng)估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術(shù)基礎(chǔ)設(shè)施上出現(xiàn)的新漏洞，等等。 建立管理框架，以展開并管制單位內(nèi)部信息安全的實(shí)施。如有必要，在單位內(nèi)部設(shè)立特別信息安全顧問并指定相應(yīng)人選。在此方面，應(yīng)鼓勵(lì)跨學(xué)科 的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應(yīng)用軟件設(shè)計(jì)師、審計(jì)人員和保安人員間開展合作和協(xié)調(diào)，或在保險(xiǎn)和風(fēng)險(xiǎn)管理兩個(gè)學(xué)科領(lǐng)域間進(jìn)行專業(yè)交流等。因此，有必要建立一個(gè)信息安全管理委員會(huì)來確保信息安全方面的工作指導(dǎo)得力，管理有方。其可為現(xiàn)有管理機(jī)構(gòu)的一部分，主要行使如下職能： 審訂并批準(zhǔn)信息安全政策和總體權(quán)責(zé) 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān) 督安全事故 批準(zhǔn)加強(qiáng)信息安全的重大舉措 所有有關(guān)的安全活動(dòng)都應(yīng)由一位經(jīng)理負(fù)責(zé)。這樣一個(gè)機(jī)構(gòu)的功能包括： 批準(zhǔn)單位內(nèi)信息安全方面的人事安排和權(quán)責(zé)分配 批準(zhǔn)信息安全的具體方法和流程，如風(fēng)險(xiǎn)評(píng)估、安全分類體系等 批準(zhǔn)并支持單位內(nèi)信息安全方面的提議，如安全意識(shí)課程等 確保安全成為信息計(jì)劃程序的一部分 針對新系統(tǒng)或服務(wù)，評(píng)估其在信息安全方面的充足程度并協(xié)調(diào)其實(shí)施 評(píng)定信 息安全事故 在全單位范圍內(nèi)以顯要之方式提攜對信息安全的支持 權(quán)責(zé)分配 保護(hù)各項(xiàng)資產(chǎn)及實(shí)施具體安全流程的權(quán)責(zé)應(yīng)有明確定義。針對具體的地點(diǎn)、系統(tǒng)或服務(wù)的不同，可對此政策酌情進(jìn)行補(bǔ)充。 在某些單位內(nèi)，需任命一名信息安全經(jīng)理負(fù)責(zé)發(fā)展實(shí)施安全、支持指定管制手段方面的有關(guān)事宜。通常的做法是為每項(xiàng)信息資 產(chǎn)都指定一個(gè)負(fù)責(zé)人，由他來時(shí)時(shí)負(fù)責(zé)資產(chǎn)的日常安全。 對各經(jīng)理所負(fù)責(zé)的各安全領(lǐng)域進(jìn)行定義十分重要；特別是要做到如下幾點(diǎn)： 和各系統(tǒng)有關(guān)的資產(chǎn)和安全程序要加以清楚辨別和定義 負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案 授權(quán)級(jí)別要清晰定義并記錄在案 信息處理設(shè)備的授權(quán)流程 要建立起針對新信息處理設(shè)施的管理授權(quán)流程。批準(zhǔn)由負(fù)責(zé)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的經(jīng)理發(fā)給，并做到符合相關(guān)安全政策和要求。 使用個(gè)人信息處理設(shè)備處理公務(wù)信息及其相關(guān)必要之管制手段皆需經(jīng)過批準(zhǔn)。 以上管制在聯(lián)網(wǎng)的環(huán)境中尤其重要。此職位最好由單位內(nèi)部某位資深信息安全顧問擔(dān)當(dāng)。因此，特建議單位指定一位具體個(gè)人來協(xié)調(diào)單位內(nèi)部信息安全知識(shí)與經(jīng)驗(yàn)方面的一致，及輔助該方面的決策。 信息安全顧問或相應(yīng)的外部聯(lián)絡(luò)人員的任務(wù)是根據(jù)自己的或外部的經(jīng)驗(yàn)，就信息安全的所有方面提出建議。盡管多數(shù)內(nèi)部安全調(diào)查通常是在管理管制下進(jìn)行，但仍可以委托信息安全顧問提出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。同樣，也應(yīng)考慮參加安全組織和行業(yè)論壇并成為其成員。