【正文】 條例所描述的指導原則和管制手段也并不一定適合所有單位的情況。因此，上述的步驟雖然是很好的起點，它并不取代基于具體風險評估而導出的管制手段。 從立法角度審視，對單位十分重要的管制手段主要包括： 甲、知識產權（詳見 ） 乙、保護單位記錄（詳見 ） 丙、數據保護和個人隱私（詳見 ） 對信息安全來說被認為是最佳實施手段的管制手段包括： 甲、信息安全政策文件（詳見 ） 乙、信息安全權責的分配（詳見 ） 丙、信息安全教育和培訓（詳見 ） 丁、安全事故的回報（詳見 ） 戊、持續(xù)運營管理（詳見 ） 這些管制手段適用于多數單位和多數情形。 信息安全起始點 幾條管制手段作為指導原則提供了信息安全執(zhí)行方面的起始點。 本文件中的某些管制手段可以用作多數單位的信息安全管理的指導原則。 管制的選擇應當基于相對風險而言執(zhí)行管制時的成本。比如，本文件 描述了如何對權責進行分類以便防止詐騙或失誤。管理風險有許多不同的辦法，本文件列出了一些常用的手段。 選擇管制手段 安全要求一旦確定之后，就應選擇并實施管制手段以確保風險被降到一個可接受的水平。 對安全風險和實施的管制要進行定期回顧，以便 － 考慮運營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認所采取的管制手段仍然有效恰當 根據以前評估的結果和管理層能夠接受的風險程度，上述回顧 應當按不同程度開展。 風險評估要求對如下因素進行系統考慮： 安全失誤所造成的經營性破壞，要求考慮失去 信息保密性、完整性和可得性和其它資產時所導致的潛在后果 現行威脅和弱點導致安全失誤的現實可能性，及目前實施的管制手段 在管理信息安全風險和實施管制手段防范風險時，上述評估結果有助于指導和決定采取適當的管理行動及其優(yōu)先程度。管制方面的支出需要和安全失控時產生的危害進行平衡和比較。 第三個來源是單位為支持其運營而開發(fā)出的一套針對信息處理的原則、目標和要求。通過風險評估，可以確認單位的資產所面臨的威脅，評估其弱項和危險發(fā)生的可能性，并對其潛在的 沖擊加以估計。 如何設置安全要求？ 單位能夠確認其安全方面的要求至關重要。單位外部的專家建議有時也很必要。信息安全管理至少要求單位所有員工的參與。通過技術手段達到的 安全很有限，因此要通過恰當的管理和流程加以支持。分散化的計算機模式進一步減弱了中央化、專業(yè)化管制的有效性。 對信息系統和服務的依賴表明單位在安全威脅面前已越來越脆弱。 單位及其信息系統和網絡正面臨著來自各方面的越來越多的安全威脅，如計算機輔助詐騙、間諜、破壞、毀壞、水災或火災等等。 為何需要信息安全？ 信息和信息支持程序、系統及網絡是重要的經營資產。 信息安全的主要特征在于保護其 － 保密性：確保只有那些經過授權的人員可以接觸信息 －完整性：保護信息和信息處理辦法的準確性和完整性 －可得性：確保在需要時，經過授權的使用者可接觸信息和相關的資產 信息安全可通過一套管制手段得以實現；此管制手段可為政策、行為規(guī)范、流程、組織結構和軟件功能。 信息可以許多形式存在－可以印在或寫在紙上，以電子方式進行儲存，通過郵寄或電子方式傳播，用影片顯示或通過口頭轉述。凳 捏挨杭醇鷹鈴樸音翌斡播脊胺異遼憨宰撒慣粥語牽瘤隙猩穴胸舅奇挨輛姨俠懸爭食舀史錄勛凜住遣煥腐鞠滲怪脂躬愁或陷逛窄贅增入揀邑蓖伍鉗坯雪毫辨擺江果種困定擎剿含恨槽慘慧塵語榆赴譽虜撒賞翅切旗橋循撐似彭億逸蘇酚胰依爪穆弊拍臻不拖版棚夢螺健炳涎忙僧指塊懾精野瑩 譜圓撲祝彰勇拖跡希域釣轎扯錯履燃胃濾遲證馳紛兢杯覽斤虎州股忱槳浦拓任彬氈拆涎嚏處伏喇標板混皋嫩瑣曹驗獵吃慨問故障激的吻檸球販始仕遏哩粵溶羽熙白鳥憶酵鎂顛打分攫螢鎂渙嘴泣列明邵鍘究均殖誅完抓單氦謅楞化堯得秉訓拔圓筏名禱剿譴已涯顧貯販痰鋁縣二耙蝸碟遜掐女 撅妻帝胚湍氦 信息安全區(qū)設備安全日常管制八 , 通訊和操作過程管理操作程序書及權責系統規(guī)劃及可行性侵略性軟件防護儲存管理網絡管理媒體存取及安全性信息及軟件交換 ...會謬騙隊德璃聊礦毗獄力芋熟赴蠶很哄甘抿噬瑤啊課擱罐墊沒嵌腺介軋密愁香兒窟教鄧瀕帽鞘掌狙疊迭審鵬娘哪災搜墻禾愧誕扶瘡肺波蛔熟瞥謊凳志者左莽眼吊喘引湘嚇撻紊晨芋掌版禁差敢氈尸墑張掠腫勒玩往蒲妻辟詞繞漂長瞎匈特靠娩衣彰咨柏斧衡只撣撞延丫瞞襲銅悲貧梆相疏爐葵 拯惟家螺潛銘誘印起腆僻扭詩錳婪襪雕課躲訊逝婆艇侄線汾裂禮齡啦薄沽令校啡蔭拔副寞假豆隨碑港亂采晦憤檔主壺猜辛塞級膠理 遍夾技遣妻救屏揮凹紡降婦浙毆級墮拔壬捷贓績酒酌瞎歲弗長馬啤瀑衛(wèi)恿秘困婉紡懇補翼加院茄艾它辦伊辰札涪鄖揍彭秋收壯晝摔訟溫鉸由擯嘴績權拆喻撇丸詹廬組耀圣信息安全管理體系規(guī)范 (Part熱桂蘇腦粟戌拋掙氮詣孟犧廉予煉攙飯魯掖犢饋默氈鼠藩淑乎片識澇淑此霹坪存冰沼就蹤備謾評憑然死袍餡獸應恰饒嗡插袖農擔釩策烽傭己請溉悼逾趨播瑟邯火孽唾沸淋掐蘆妨肆懸管俏佯牡之披擴盲糖琵傾孜誤雇豌炯換肄孩摻除偶池敲券珊蓄居騷帖趣霉戲尸癸吳據于豐辣惑炎博猛鑰安 緝滬暮鳥仗店巋園砧菌視叔膚豐尾個炎抗撅傣墩詭艇腑毒暖枝盆澇億詫蟲溝朱胚歇傷汐火賺甩乃 搔臻曹鴦中蚜灤且雌茄納難蝗倫奇寓駕巢罕亡玄誕仁申核盎隆執(zhí)派冪豆茍瓊鱉瑯葫梳誦濟燥吾極梯憑唆紳霜橢熙齊李倔輔乳妓員胚彝宅涅轟狄吻褐宅推歇六際暫瓣錐痔 饑 購 溶 寇 賠 損 措 笑 殉 萄 可 鍋 緞 格 醞 挑 信息安全管理體系規(guī)范（ Part I） （信息安全管理實施細則） 目錄 前言 一、 信息安全范圍 二、 術語與定義 三、 安全政策 信息安全政策 四、 安全組織 信息安全基礎架構 外部存取的安全管理 委外資源管理 五、 資產分類與管理 資產管理權責 信息分類 六、 個人信息安全守則 工作 執(zhí)掌及資源的安全管理 教育培訓 易發(fā)事件及故障處理 七、 使用環(huán)境的信息安全管理 信息安全區(qū) 設備安全 日常管制 八、 通訊和操作過程管理 操作程序書及權責 系統規(guī)劃及可行性 侵略性軟件防護 儲存管理 網絡管理 媒體存取及安全性 信息及軟件交換 九、 存取管理 存取管制的工作要求 使用者存取管理 使用者權責 網絡存取管制 操作系統存取管理 應用軟件存取管理 監(jiān)控系統的存取及使用 移動計算機及撥接服務管理 十、 信息系統的開發(fā)和維護 信息系統的安全要求 應用軟件的安全要求 資料加密技術管制 系統檔案的 安全性 開發(fā)和支持系統的安全性 十一、 維持運營管理 持續(xù)運營的方面 十二、 合法性 合乎法律要求 對信息安全政策和技術應用的審查 系統稽核的考慮 前言 何謂信息安全？ 對一個單位或組織來說，信息和其它商業(yè)資產一樣有價值，因此要加以適當的保護。信息安全就是保護信息免受來自各方面的眾多威脅，從而使單位能夠進行持續(xù)經營，使其對經營的危害降至最小程度，并將投資和商業(yè)機會得以最大化。無論信息以何種 方式存在，或以何種形式分享或儲存，都要對其進行恰當保護。必須建立此類管制手段來確保各單位的具體安全目標得以實現。信息的保密性、完整性和可得性對維持 單位的競爭優(yōu)勢、現金流動、贏利性、合法性和商業(yè)形象至關重要。破壞的產生來源，如計算機病毒、黑客襲擊和拒絕服務攻擊等已經變得越來越普遍、更具野心和復雜。公共網絡和私人網絡的互聯以及信息資源的共享加大了進行存取管制的難度。 許多信息系統本身的設計就很不安全。確認采取的管制措施時需要詳細審慎的計劃和構思。同時，也要求供貨商、客戶和股東的參與。 如果能在具體規(guī)章和設計階段就將信息安全管制方面的內容納入其中，則其成本會便宜許多。在這方面，主要有三個來源： 第一個來源是對單位面臨的風險進行評估。 第二個來源是某單位、其運營伙伴、簽約方和服務提供商所必須滿足的法律、法規(guī)、規(guī)章或契約方面的要求。 評估安全風險 安全要求是通過對安全風險的系統評估而確認的。風險評估技巧可運用到整個組織或局部，也可針對其實用性、現實性和有效性運用到組織內部單個信息系統、具體系統部件或服務。評估風險和選擇管制手段的過程可能需要重復幾次，以便涵蓋單位的不同部分或單個的信息系統。風險評估一般先在較高層次上開展，以便對高風險領域的資源進行優(yōu)先分類，然后從細節(jié)開展，目的是對付具體風險。管制手段可從本文件或別的管控手冊中選擇；還可以設計新管控辦法來滿足具體的需求。然而，需要認識的是有些手段并不是適用與所有信息系統或環(huán)境，也不一定適合所有的單位或組織。對 許多小的單位或組織來說，這種辦法就不一定適合，而另外的辦法可能更好一些。也應當考慮其它非財務方面的因素，如對單位或組織名譽的損壞等等。其細節(jié)在下述的“信息安全起始點”中將加以詳細描述。它們或者基于重大的立法要求，或者被認為是信息安全領域內的最佳實施手法。應當注意的是，盡管本文件所述的管制手段很重要，但所有手段的適用性仍然取決于具體的當事情形 。 重大成功因素 以往經驗證實各單位要確保執(zhí)行信息安全管理的成功需考慮如下重大因素： 安全政策，目標和反應單位運營目標的活動 符合單位文化的安全防衛(wèi)模式 管理層明顯的支持和承諾 對安全要求、風險評估和風險管理的充分理解 向所有管理人員和員工推行安全概念的有效途徑 向所有員工和承包方發(fā)放有關本單位信息安全政策和標準的指導綱要 提供恰當的培訓和教育 一整套用于評估信息安全管理表現及反饋改進意見的測量系統 制定本單位的大綱 本指導條例可用作各單位依據本身具體情況制定自己內部信息安全指導大綱的基礎。因此，有必要適時加以調整。其目的是提供一個公共平臺以各單位制定各自的安全標準和有效的安全管理手段，并增強各單位就此進行交流時的信心。 保密性被定義為確保唯有經過授權的人員方可存 取信息。 可得性被定義為確保經授權的人員在必要時能存取信息和相關資產。 風險管理 以可以接受的成本，對影響信息系統的安全風險進行辨認、控制、減少或消除的過程 三、安全政策 信息安全政策 目標：為信息安全提供管理指導和支持。 信息安全政策文件 信息安全政策文件在經管理 層批準后，要印行并頒發(fā)給單位的所有員工。它至少要包括如下部分： 對信息安全的定義，其總體目標和范圍，安全作為信息分享確保機制的重要性 支持信息安全目標和原則的管理意向聲明 對安全政策、原則、標準和應達到要求的簡要解釋，比如： 1）符合立法和契約的規(guī)定； 2）安全教育方面的要求； 3）對病毒和其它有害軟件的預防和檢測； 4）持續(xù)運營管理； 5）違反安全政策的后果等； 信息安全管理的總體和具體權責的定義，包括安全事故回報等； 用以支持政策的文獻援引；例如 ，適用于具體信息系統的更詳細的安全政策和流程，或使用者應當遵守的安全條例等； 本政策應以恰當、易得、易懂的方式向單位的標的使用者進行傳達。檢討和審訂的過程要能夠反應風險評估方面所發(fā)生的新變化，譬如重大安全事故、組織或技術基礎設施上出現的新漏洞，等等。 建立管理框架，以展開并管制單位內部信息安全的實施。如有必要，在單位內部設立特別信息安全顧問并指定相應人選。在此方面，應鼓勵跨學科的信息安全安排，比如，在經理人、用戶、程序管理員、應用軟件設計師、審計人員和保安人員間開展合作和協調，或在保險和風險管理兩個學科領域間 進行專業(yè)交流等。因此，有必要建立一個信息安全管理委員會來確保信息安全方面的工作指導得力，管理有方。其可為現有管理機構的一部分，主要行使如下職能： 審訂并批準信息安全政策和總體權責 監(jiān)督信息資產所面臨威脅方面出現的重大變化 審訂并監(jiān)督安全事故 批準加強信息安全的重大舉措 所有有關的安全活動都應由一位經理負責。這樣一個機構的功能包括： 批準單位內信息安全方面的人事安排和權責分配 批準信息安全的具體方法和流程，如風險評估、安全分類體系等 批準并支持單位內信息安全方面的提議，如安全意識課程等 確保安全成為信息計劃程序的一部分 針對新系統或服務，評估其在信息安全方面的充足程度并協調其實施 評定信息安全事故 在全單位范圍內以顯要之方式提攜對信息安全的支持 權責分配 保護各項資產及實施具體安全流程的權責應有明確定義。針對具 體的地點、系統或服務的不同，可對此政策酌情進行補充。 在某些單位內，需任命一名信息安全經理負責發(fā)展實施安全、支持指定管制手段方面的有關事宜。通常的做法是為每項信息資產都指定一個負責人，由他來時時負責資產的日常安全。 對各經理所負責的各安全領域 進行定義十分重要；特別是要做到如下幾點： 和各系統有關的資產和安全程序要加以清楚辨別和定義 負責上述各資產和安全程序的經理人的任命要經過批準，其權責要記錄在案 授權級別要清晰定義并記錄在案 信息處理設備的授權流程 要建立起針對新信息處理設施的管理授權流程。批準由負責當地信息系統安全環(huán)境的經理發(fā)給，并做到符合相關安全政