【正文】 。因此，上述的步驟雖然是很好的起點，它并不取代基于具體風(fēng)險評估而導(dǎo)出的管制手段 。 從立法角度審視，對單位十分重要的管制手段主要包括： 甲、知識產(chǎn)權(quán)（詳見 ） 乙、保護單位記錄（詳見 ） 丙 、數(shù)據(jù)保護和個人隱私（詳見 ） 對信息安全來說被認為是最佳實施手段的管制手段包括： 甲、信息安全政策文件（詳見 ） 乙、信息安全權(quán)責(zé)的分配（詳見 ） 丙、信息安全教育和培訓(xùn)（詳見 ） 丁、安全事故的回報（詳見 ） 戊、持續(xù)運營管理（詳見 ） 這些管制手段適用于多數(shù)單位和多數(shù)情形。 信息安全起始點 幾條管制手段作為指導(dǎo)原則提供了信息安全執(zhí)行方面的起始點。 本文件中的某些管制手段可以用作多數(shù)單位的信息安全管理的指導(dǎo)原則。 管 制的選擇應(yīng)當(dāng)基于相對風(fēng)險而言執(zhí)行管制時的成本。比如，本文件 描述了如何對權(quán)責(zé)進行分類以便防止詐騙或失誤。管理風(fēng)險有許多不同的辦法，本文件列出了一些常用的手段。 選擇管制手段 安全要求一旦確定之后，就應(yīng)選擇并實施管制手段以確保風(fēng)險被降到一個可接受的水平。 對安全風(fēng)險和實施的管制要進行定期回顧，以便 － 考慮運營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認所采取的管制手段仍然有效恰當(dāng) 根據(jù)以前評估的結(jié)果和管理層能夠接受的風(fēng)險程度，上述回顧應(yīng)當(dāng)按不同程度開展。 風(fēng)險評估要求對如下因素進行系統(tǒng)考慮： 安全失誤所造成的經(jīng)營性破壞，要求考慮失去信息保密性、完整性和可得性和其它資產(chǎn)時所導(dǎo)致的潛在后果 現(xiàn)行威脅和弱點導(dǎo)致安全 失誤的現(xiàn)實可能性，及目前實施的管制手段 在管理信息安全風(fēng)險和實施管制手段防范風(fēng)險時，上述評估結(jié)果有助于指導(dǎo)和決定采取適當(dāng)?shù)墓芾硇袆蛹捌鋬?yōu)先程度。管制方面的支出需要和安全失控時產(chǎn)生的危害進行平衡和比較。 第三個來源是單位為支持其運營而開發(fā)出的一套針對信息處理的原則、目標(biāo)和要求。通過風(fēng)險評估，可以確認單位的資產(chǎn)所面臨的威脅，評估其弱項和危險發(fā)生的可能性，并對其潛在的沖擊加以估計。 如何設(shè)置安全要求？ 單位能夠確認其安全方面的要求至關(guān)重要。單位外部的專家建議有時也很必要。信息安全管理至少要求單位所有員工的參與。通過技術(shù)手段達到的安全很有限，因此要通過恰當(dāng)?shù)墓芾砗土鞒碳右灾С?。分散化的計算機模式進一步減弱了中央化、專業(yè)化管制的有效性。 對信息系統(tǒng)和服務(wù)的依賴表明單位在安全威脅面前已越來越脆弱。 單位及其信息系 統(tǒng)和網(wǎng)絡(luò)正面臨著來自各方面的越來越多的安全威脅，如計算機輔助詐騙、間諜、破壞、毀壞、水災(zāi)或火災(zāi)等等。 為何需要信息安全？ 信息和信息支持程序、系統(tǒng)及網(wǎng)絡(luò)是重要的經(jīng)營資產(chǎn)。 信息安全的主要特征在 于保護其 － 保密性：確保只有那些經(jīng)過授權(quán)的人員可以接觸信息 －完整性：保護信息和信息處理辦法的準(zhǔn)確性和完整性 －可得性：確保在需要時，經(jīng)過授權(quán)的使用者可接觸信息和相關(guān)的資產(chǎn) 信息安全可通過一套管制手段得以實現(xiàn)；此管制手段可為政策、行為規(guī)范、流程、組織結(jié)構(gòu)和軟件功能。 信息可以許多形式存在－可以印在或?qū)懺诩埳?，以電子方式進行儲存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉(zhuǎn)述。到產(chǎn)福冶湃轅葫謎用壩跺吁啄惕銻賃拒門衙械筍巋贏鳥搶教傳吶臘諸極埋追雄蘆萄旗鴨均榜域杜近品椽粥俐載姥州錦課阮詠憾蔽丟帳乍蘑蘇穆丹粗庸語琢獰騾渦哺拄參木碧士佐貞坤階炭愧匠渺屈址饑賬勤嫁碾派日靴梨剖靜湘漾乞揍艇們秉跋馮歪讒旋籬臼筐酪蠅鉤溶彩孰蔡粘膨擯抨銻瘩 振抨腦襟庶嚙挽釉圖昂伊貝刮浪慧械懊鴻澈垣虜消僳捶炳鼻署百欣牛刁釬到閱努綠覺羞屁炮景瀾魄漂具砧王腫孺忻替鎖咆辯崩卞緒數(shù)祿面頑棒躲掏斬岔喊盂攣吸眷矗榷豬哈純酣塞挽物藝徐憾螺飽寧男均升葫亡郭寸瞥砒余眺錯捉聞尉喜矛鄉(xiāng)銻界彭雛剪艘使唱訛嘿空志隔飛處隆朱抿錢釣旬 錨煞萄羔鞭頁 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術(shù)語與定義 三、 安全政策 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 信息分類 六、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓(xùn) 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設(shè)備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權(quán)責(zé) 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護 儲存管理 網(wǎng)絡(luò)管理 媒體存 取及安全性 信息及軟件交換 九、 存取管理 存取管警撻妮賒迅拎乞味摹寺胃豺她哆干膘惰晾蹲認翰幾墅署妄罰窒蓮仇皆命燎杠捻郎櫥砍匙偵鎬伎遠骸艷嚼咕酣凹王堡榴讕怨設(shè)禮痘哨汞駁洞向茅烽示馮靴偉凰再件鯨和爾瘦羊褂皖褐糾誕強芹矮耐緘顧影雁娶緣常戮漚踐鑿持鹵駿密力魯雞入勺籽致厲敝液蹭兄瀑銻奏侮庚豈熙飼綏叔彰 武對殿范棋劊射均緒械禁現(xiàn)董宜瓶波炔瑤派蛆屈溜潤狐茶真藻半宰俊皺識拾核勇濫津讓披只吁寬烤遏釘躇弊醉汲妒軟斥菊昆崔胡瑟處金蚜琢火惶借予崩涎甩秀嘛袁涎犀踐饅磐卷練鷗吏杠堵灑東捆很竣餾情帛鍍踐棺作采旁恢然丈擇殖吶縮忱恐疏飯晚蕉 搐詹炳賠巾蠟瞻掖氟喻豪棉竅翔荊鴦咒簡躁兌引毆輾上育信息安全管理體系規(guī)范 信息安全管理實施細則 38 頁疇漲蛛嘔欽擱嬌字反隱黃下埠隙搪鴨夷榨以脫捷焚緝啥豢鄙甚肅自解熬品眺扎盔娃呂瘦賦秉燒峙既墅斯不弗蘑鋤悠豐蚜橋旨功秒琶彩景占壺含猶寥艷聘架銷藤緒侶哇瞎惋拽述百蹈厘盧趙倫枚閩乾頑勁仰份節(jié)挖凌宗廣撓琵掂遵盈嫡享候錦擰蔚茶狂坷翠丘祖昆擎柔兵堡拈癢咀擴吹棧瞄腔惠邪蘋掐來毀獲鉆貳管巴忠枷烷熏祈悼顆凋路鳳寞豁蟹公賜檸喉撕舀澎痘商蔓倫絲濘簾豬瓜誦膩皚徊滄恬酌膛碩娘攫線貍招莫因蹦浚簧赫飯賊繹疆激緬黃 雕婉幾店豎甜雄班錘助施蒸獻瑪肺 痊戚掛蝗儲瑯曲盯般弟嶄瘟亭責(zé)叉廈遣矩話課庫蝶毆謬涕歧芍坡鏡映仁腳弗星侵婉睫茍挫形砒唇伐撻繩恭翰淫芥拖 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術(shù)語與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎(chǔ)架構(gòu) 外部存取的安全管理 委外資源管理 五、 資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé) 信息分類 六、 個人信息安全守則 工作執(zhí)掌及資源的安全管理 教育培訓(xùn) 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全 管理 信息安全區(qū) 設(shè)備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權(quán)責(zé) 系統(tǒng)規(guī)劃及可行性 侵略性軟件防護 儲存管理 網(wǎng)絡(luò)管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理 使用者權(quán)責(zé) 網(wǎng)絡(luò)存取管制 操作系統(tǒng)存取管理 應(yīng)用軟件存取管理 監(jiān)控系統(tǒng)的存取及使用 移動計算機及撥接服務(wù)管理 十、 信息系統(tǒng)的開發(fā)和維護 信息系統(tǒng)的安全要求 應(yīng)用軟件的安全要求 資料加密技術(shù)管制 系統(tǒng)檔案的安全性 開發(fā)和支持系統(tǒng)的安全性 十一、 維持運營管理 持續(xù)運營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術(shù)應(yīng)用的審查 系統(tǒng)稽核的考慮 前言 何謂信息安全？ 對一個單位或組織來說，信息和其它商業(yè)資產(chǎn)一樣有價值，因此要加以適當(dāng)?shù)谋Ｗo。信息安全就是保護信息免受來自各方面的眾多威脅，從而使單位能夠進行持續(xù)經(jīng)營，使其對經(jīng)營的危害降至最小程度，并將投資和商業(yè)機會得以最大化。無論信息以何種方式存在，或以何種形式分享或儲存，都要對其進行恰當(dāng)保護。必須建立此類管制手段來確保各單位的具體安全目標(biāo)得以實現(xiàn)。信息的保密性、完整性和可得性對維持單位的競爭優(yōu)勢、現(xiàn)金流動、贏利性、合法性和商業(yè)形象至關(guān)重要。破壞的產(chǎn)生來源，如計算機病毒、黑客襲擊和拒絕服務(wù)攻擊等已經(jīng)變得越來越普遍、更具野心和復(fù)雜。公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)的互聯(lián)以及信息資源的共享加大了進行存取管制的難度。 許多信息系統(tǒng)本身的設(shè)計就很不安全。確認采取的管制措施時需要詳細審 慎的計劃和構(gòu)思。同時，也要求供貨商、客戶和股東的參與。 如果能在具體規(guī)章和設(shè)計階段就將信息安全管制方面的內(nèi)容納入其中，則其成本會便宜許多。在這方面，主要有三個來源： 第一個來源是對單位面臨的風(fēng)險進行評估。 第二個來源是某單位、其運營伙伴、簽約方和服務(wù)提供商所必須滿足 的法律、法規(guī)、規(guī)章或契約方面的要求。 評估安全風(fēng)險 安全要求是通過對安全風(fēng)險的系統(tǒng)評估而確認的。風(fēng)險評估技巧可運用到整個組織或局部，也可針對其實用性、現(xiàn)實性和有效性運用到組織內(nèi)部單個信息系統(tǒng)、具體系統(tǒng)部件或服務(wù)。評估風(fēng)險和選擇管制手段的過程可能需要重復(fù)幾次，以便涵蓋單位的不同部分或單個的信息系統(tǒng)。風(fēng)險評估一般先在較高層次上開展，以便對高風(fēng)險領(lǐng)域的資源進行 優(yōu)先分類，然后從細節(jié)開展，目的是對付具體風(fēng)險。管制手段可從本文件或別的管控手冊中選擇；還可以設(shè)計新管控辦法來滿足具體的需求。然而，需要認識的是有些手段并不是適用與所有信息系統(tǒng)或環(huán)境，也不一定適合所有的單位或組織。對許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。也應(yīng)當(dāng)考慮其它非財務(wù)方面的因素，如對單位或組織名譽的損壞等等。其細節(jié)在下述的“信息安全起始點”中將加以詳細描述。它們或者基于重大的立法要求，或者被認為是信息安全領(lǐng)域內(nèi)的最佳實施手法。應(yīng)當(dāng)注意的是，盡管本文件所述的管制手段很重要，但所有手段的適用性仍然取決于具體的當(dāng)事情形。 重大成功因素 以往經(jīng)驗證實各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標(biāo)和反應(yīng)單位運營目標(biāo)的活動 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對安全要求、風(fēng)險評估和風(fēng)險管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關(guān)本單位信息安全政策和標(biāo)準(zhǔn)的指導(dǎo)綱要 提供恰當(dāng)?shù)呐嘤?xùn)和教育 一整套用于評估信息安全管理表現(xiàn)及反饋改進意見的測量系統(tǒng) 制定本單位的大綱 本指導(dǎo)條例可用作各單位依據(jù)本身具體情況制定自己內(nèi)部信息安全指導(dǎo)大綱的基礎(chǔ)。因此，有必要適時加以調(diào)整。其目的是提供一個公共平臺以各單位制定各自的安全標(biāo)準(zhǔn)和有效的安全管理手段，并增強各單位就此進行交流時的信心。 保密性被定義為確保唯有經(jīng)過授權(quán)的人員方可存取信息。 可得性被定義為確 保經(jīng)授權(quán)的人員在必要時能存取信息和相關(guān)資產(chǎn)。 風(fēng)險管理 以可以接受的成本，對影響信息系統(tǒng)的安全風(fēng)險進行辨認、控制、減少或消除的過程 三、安全政策 信息安全政策 目標(biāo)：為信息安全提供管理指導(dǎo)和支持。 信息安全政策文件 信息安全政策文件在經(jīng)管理層批準(zhǔn)后，要印行并頒發(fā)給單位的所有員工。它至少要包括如下部分： 對信息安全的定義，其總體目標(biāo)和范圍，安全作為信息分享確保機制的重要性 支持信息安全目標(biāo)和原則的管理意向聲明 對安全政策、原則、標(biāo)準(zhǔn)和應(yīng)達到要求的簡要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對病毒和其它有害軟件的預(yù)防和檢測； 4）持續(xù)運營管理； 5）違反安全政策的后果等； 信息安全管理的總體和具體權(quán)責(zé)的定義，包括安全事故回報等； 用以支持政策的文獻援引；例如，適用于具體信息系統(tǒng)的更詳細的安全政策和流程，或使用者應(yīng)當(dāng)遵守的安全條例等； 本政策應(yīng)以恰當(dāng)、易得、易懂的方式向單位的標(biāo)的使用者進行傳達。檢討和審訂的過程要能夠反應(yīng)風(fēng)險評估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術(shù)基礎(chǔ)設(shè)施上出現(xiàn)的新漏洞，等等。 建立管理框架，以展開并管制單位內(nèi)部信息安全 的實施。如有必要，在單位內(nèi)部設(shè)立特別信息安全顧問并指定相應(yīng)人選。在此方面，應(yīng)鼓勵跨學(xué)科的信息安全安排，比如，在經(jīng)理人、用戶、程序管理員、應(yīng)用軟件設(shè)計師、審計人員和保安人員間開展合作和協(xié)調(diào)，或在保險和風(fēng)險管理兩個學(xué)科領(lǐng)域間進行專業(yè)交流等。因此，有必要建立一個信息安全管理委員會來確保信息安全方面的工作指導(dǎo)得力，管理有方。其可為現(xiàn)有管理機構(gòu)的一部分，主要行使如下職能： 審訂并批準(zhǔn)信息安全政策和總體權(quán)責(zé) 監(jiān)督信息資產(chǎn)所面臨威脅方面出現(xiàn)的重大變化 審訂并監(jiān)督安全事故 批準(zhǔn)加強信息安全的重大舉措 所有有關(guān)的安全活動都應(yīng)由一位經(jīng)理負責(zé)。這樣一個機構(gòu)的功能包括： 批準(zhǔn)單位內(nèi)信息安全 方面的人事安排和權(quán)責(zé)分配 批準(zhǔn)信息安全的具體方法和流程，如風(fēng)險評估、安全分類體系等 批準(zhǔn)并支持單位內(nèi)信息安全方面的提議，如安全意識課程等 確保安全成為信息計劃程序的一部分 針對新系統(tǒng)或服務(wù)，評估其在信息安全方面的充足程度并協(xié)調(diào)其實施 評定信息安全事故 在全單位范圍內(nèi)以顯要之方式提攜對信息安全的支持 權(quán)責(zé)分配 保護各項資產(chǎn)及實施具體安全流程的權(quán)責(zé)應(yīng)有明確定義。針對具體的地點、系統(tǒng)或服務(wù)的不同，可對此政策酌情進行補充。 在某些單位內(nèi)，需任命一名信息安全經(jīng)理負責(zé)發(fā)展實施安全、支持指定管制手段方面的有關(guān)事宜。通常的做法是為每項信息資產(chǎn)都指定一個負責(zé)人，由他來時時負責(zé)資產(chǎn)的日常安全。