【正文】 .............. 32 輸入數(shù)據(jù)的驗(yàn)證 .................................. 32 內(nèi)部作業(yè)的管理 .................................. 32 文電鑒別 ............................................ 33 輸出數(shù)據(jù)驗(yàn)證 ..................................... 33 密碼管理措施 ............................................... 33 ..................... 33 信息加 密 ............................................ 33 數(shù)字簽名 ............................................ 34 非拒絕服務(wù) ......................................... 34 ............................................. 34 信息文件的安全 ........................................... 35 操作軟件的控制 .................................. 35 ............................ 35 對(duì)程序資源庫(kù)的訪(fǎng)問(wèn)控制 .................... 35 開(kāi)發(fā)和支持過(guò)程中的安全 ............................. 35 變更控制程序 ..................................... 35 操作系統(tǒng)變更的技術(shù)復(fù)查 .................... 36 改變軟件包的限制 .............................. 36 隱蔽通道和特洛伊代碼（滲透性代碼） ..................................................................... 36 外購(gòu)軟件開(kāi)發(fā) ..................................... 36 11 業(yè)務(wù)連續(xù)性管理 ..................................................... 37 ........................... 37 ............................ 37 業(yè)務(wù)連續(xù)性和影響分析 ....................... 37 ........................ 37 業(yè)務(wù)連續(xù)性計(jì)劃框架 ........................... 37 測(cè)試、維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃 ..................................................................... 38 12 符合性 ................................................................... 38 符合法律要求 ............................................... 38 ................................... 39 知識(shí)產(chǎn)權(quán) (IPR)..................................... 39 保護(hù)組織記錄 ..................................... 39 數(shù)據(jù)保護(hù)和個(gè)人信息的保密 ................ 39 防止信息處理設(shè)備的誤用 .................... 40 密碼管理的規(guī)定 .................................. 40 證據(jù)的搜集 ......................................... 40 安全策略和技術(shù)符合性的檢查 ...................... 41 符合安全策略 ..................................... 41 ................................... 41 ......................................... 41 系統(tǒng)審查管理程序 .............................. 41 ............................ 41 前言 ISO(國(guó)際標(biāo)準(zhǔn)化組織 )和 IEC（國(guó)際電工委員會(huì)）形成了一個(gè)專(zhuān)門(mén)體系，進(jìn)行世界性的標(biāo)準(zhǔn)化工作。 ISO和 IEC技術(shù)委員會(huì)在共同感興趣的領(lǐng)域中合作。 國(guó)際標(biāo)準(zhǔn)是根據(jù) ISO/IEC指導(dǎo)方針第 3部分中的規(guī)定起草的。若作為國(guó)際標(biāo)準(zhǔn)正式出版，則需要至少百分之七十五的成員體投票贊成。 ISO和 IEC不負(fù)責(zé)辨別任何或者所有這樣的專(zhuān)利權(quán)。該標(biāo)準(zhǔn)同時(shí)得到了 ISO和 IEC各個(gè)成員體的批準(zhǔn)。信息安全是要在很大的范圍內(nèi)保護(hù)信息免受各種威脅，從而確保業(yè)務(wù)的連續(xù)性、減少業(yè)務(wù)損失并且使投資和商務(wù)機(jī)會(huì)獲得最大的回報(bào)。它能被打印或者寫(xiě)在紙上，能夠電化存儲(chǔ)；也可以由郵局或者用電子方式發(fā)送；還可以在電影中展示或者 在交談中提到。 在這里，信息安全特指保護(hù)： a） 保密性：確保信息只能夠由得到授權(quán)的人訪(fǎng)問(wèn)。 c） 有效性：保證經(jīng)授權(quán)的用戶(hù)可以訪(fǎng)問(wèn)到信息。 信息安全通過(guò)實(shí)施一整套的控制達(dá)到。需要建立這些控制措施以確保實(shí)現(xiàn)該機(jī)構(gòu)特殊的安全目標(biāo)。信息的保 密性、完整性和有效性對(duì)于保持競(jìng)爭(zhēng)能力、資金流動(dòng)、盈利率、法律柔量和商業(yè)形象都十分關(guān)鍵。 這些威脅的來(lái)源有計(jì)算機(jī)詐騙、間諜活動(dòng)、蓄意破壞、火災(zāi)和水災(zāi)等等。 這些組織對(duì)信息系統(tǒng)及其服務(wù)的依賴(lài)，意味著它們更容易受到安全威脅。分布式計(jì)算的趨勢(shì)已經(jīng)逐漸削弱了集中化專(zhuān)家控制模式的效率 。通過(guò)技術(shù)手段可以得到的安全是很有限的，還應(yīng)當(dāng)有適當(dāng)?shù)墓芾砗统绦虻膸椭?。信息安全管理至少要求組織中所有雇員參與其中。也可能需要來(lái)自組織以外的專(zhuān)家的建議。 如何確定安全需要？ 確定安全需要對(duì)一個(gè)組織機(jī)構(gòu)來(lái)說(shuō)，是十分關(guān)鍵的。 第一個(gè)來(lái)源是組織風(fēng)險(xiǎn)的評(píng)估。 第二個(gè)來(lái)源是法律的、規(guī)定的和合同約定的要求。 第三個(gè)來(lái)源是一個(gè)組織已經(jīng)制訂的特殊原則、目標(biāo)和需要，它們是用來(lái)支持信息處理操作的。在安全管理上的花費(fèi)要同安全故障可能造成的商業(yè)利益損失相平衡。在此范圍內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估是具有可操作性的、實(shí)際的和有幫助的。要把信息和其它資產(chǎn)的保密性、完整性和安全性的損失的潛在后果也考慮進(jìn)去 。 評(píng)估的結(jié)果能夠幫助指導(dǎo)和確定適當(dāng)?shù)墓芾硇袨椋? 并有助于確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先權(quán)和執(zhí)行抵御這些風(fēng)險(xiǎn)的安全措施的優(yōu)先級(jí)。 對(duì)安全風(fēng)險(xiǎn)和實(shí) 行的管理措施進(jìn)行定期復(fù)查，是非常重要的。 應(yīng)當(dāng)根據(jù)以前評(píng)估，在不同的深度層次進(jìn)行復(fù)查。風(fēng)險(xiǎn)評(píng)估常常是先在一個(gè)較高的水平進(jìn)行的，這是一種在高風(fēng)險(xiǎn)領(lǐng)域確定優(yōu)先級(jí)的方式，從而能夠在更細(xì)致的水平上確定特殊的風(fēng)險(xiǎn)?？刂拼胧┛梢詮谋疚募蚱渌刂拼胧┑馁Y料中選 擇，或者從那些制訂出的用來(lái)滿(mǎn)足特殊需要的新控制措施中間選擇。然而，有一些方法并不能夠適用于每一個(gè)信息系統(tǒng)或者環(huán)境，并且也可能對(duì)所有組織都不合適。例如， 生。再比如， 和 據(jù)。 管理措施的選擇應(yīng)當(dāng)根據(jù)實(shí)施成本與所減少風(fēng)險(xiǎn)的關(guān)系和執(zhí)行成本與出現(xiàn)一個(gè)安全漏洞時(shí)可能造成損失的關(guān)系進(jìn)行。 本文件中的一些安全管理措施可以當(dāng)作信息安全管理的指導(dǎo)性原則，并且適用于大多數(shù)組織。 信息安全起點(diǎn) 有一些管理措施可以看作是指導(dǎo)性的原則，它們?yōu)閷?shí)施信息安全提供了一個(gè)出發(fā)點(diǎn)。 從法律角度看，對(duì)一 個(gè)組織具有根本性的管理措施包括： a) 數(shù)據(jù)保護(hù)和個(gè)人信息的保密性（見(jiàn) ） b) 組織的檔案資料的保護(hù)； c) 知識(shí)產(chǎn)權(quán)。 b) 信息安全責(zé)任的劃分（見(jiàn) ） 。 應(yīng)當(dāng)注意的是，盡管本文件中的所有管理措施都重要，還是應(yīng)當(dāng)根據(jù)一個(gè)組織所面臨的特殊風(fēng)險(xiǎn)來(lái)確定任何相關(guān)的管理措施 。 關(guān)鍵的成功因素 經(jīng)驗(yàn)表明，要在一個(gè)組織內(nèi)部成功的實(shí)現(xiàn)信息安全，下面一些因素常常是非常關(guān)鍵的： a） 反映業(yè)務(wù)目標(biāo)的安全策略、目的和活動(dòng)； b） 實(shí)現(xiàn)與組織文化相協(xié)調(diào)的安全的途徑； c） 管理方面明顯的支持和承諾； d） 對(duì)安全需要、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的清晰理解； e） 向所有的管理者和雇員有效地傳播安全知識(shí)； f） 向所有的雇員和立約人發(fā)布信息安全策略和標(biāo)準(zhǔn)的指導(dǎo)； g） 進(jìn)行適當(dāng)?shù)呐嘤?xùn)和教育； h） 綜合的、平衡的測(cè)量系統(tǒng)。 制訂自己的準(zhǔn)則 這個(gè)實(shí)施規(guī)則可以看成是制訂組織專(zhuān)門(mén)準(zhǔn)則的一個(gè)起點(diǎn)。而且，還可能需要其它不包括在該文件中的管理措施。 信息技術(shù)－信息安全管理的業(yè)務(wù)規(guī)范 1 范圍 該標(biāo)準(zhǔn)為那些在組織內(nèi)的負(fù)責(zé)建立、實(shí)現(xiàn)或者維護(hù)安全保密性的工作人員提供推行信息安全管理的建議。應(yīng)當(dāng)根 據(jù)適用的法律法規(guī)選擇使用該標(biāo)準(zhǔn)推薦的內(nèi)容。 保密性：確保信息只能由那些被授權(quán)的人訪(fǎng)問(wèn)。 有效性：保證經(jīng)授權(quán)的用戶(hù)可以訪(fǎng)問(wèn)到信息。 風(fēng)險(xiǎn)評(píng)估 評(píng)估對(duì)信息和信息處理程序的威脅、沖擊和危害，以及這些情況發(fā)生的可能性。 3 安全策略 信息安全策略 目標(biāo)：為信息安全提供管理指導(dǎo)和支持。 信息安全策略文檔 一部策略文檔經(jīng)管理層批準(zhǔn)后被公開(kāi)發(fā)布并以適當(dāng)?shù)姆绞絺鬟_(dá)給所有雇員。該策略文檔至少應(yīng)當(dāng)包括以下指導(dǎo)性?xún)?nèi)容： a) 信息安全的定義，它的總體目標(biāo)和范圍以及安全保密性作為信息共享的許可機(jī)制的重要性（參加介紹） b) 對(duì)管理意圖、總體信息安全的目標(biāo)和原理的簡(jiǎn)單說(shuō)明。 d) 定義信息安全管理包括報(bào)告安全事故的一般性責(zé)任和特殊性責(zé)任。 在整個(gè)組織中以一種相關(guān)的、容易理解的和易于接受的方式，把這一策略方針傳達(dá)給有意的讀者。該程序應(yīng)當(dāng)確保在影響原始風(fēng)險(xiǎn)評(píng)估基礎(chǔ)發(fā)生任何改變時(shí)，都會(huì)進(jìn)行檢測(cè)。還應(yīng)當(dāng)經(jīng)常安排有以下內(nèi)容的定期檢查： a) 策略的效率，由所記錄的安全事故的性質(zhì)、次數(shù)和影響來(lái)表示； b) 對(duì)業(yè)務(wù)效率的管理的成本和影響； c) 技術(shù)變革的影響； 4 組織的安全 信息安全的基本架構(gòu) 目標(biāo)：在一個(gè)組織內(nèi)管理信息的安全。 管理層領(lǐng)導(dǎo)應(yīng)當(dāng)建立適當(dāng)?shù)墓芾韱?wèn)題論壇，以便確認(rèn)信息安全策略、 指派安全角色并在組織中協(xié)調(diào)安全措施的實(shí)施。應(yīng)當(dāng)加強(qiáng)與外部的信息安全專(zhuān)家的聯(lián)系，以跟上工業(yè)發(fā)展趨勢(shì)、監(jiān)控安全標(biāo)準(zhǔn)和測(cè)評(píng)方法并在處理意外安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)。 管理信息安全論壇 信息安全是一項(xiàng)由所有管理層成員共同承擔(dān)的運(yùn) 營(yíng)責(zé)任。該論壇應(yīng)當(dāng)通過(guò)適當(dāng)?shù)某兄Z責(zé)任和足夠的資源配置來(lái)提高組織內(nèi)部的安全性。在通常情況下，這樣的論壇承擔(dān)以下責(zé)任： a） 檢查并批準(zhǔn)信息安全策略和總的責(zé)任； b） 當(dāng)信息資產(chǎn)暴露在大多數(shù)威脅之下時(shí)，檢測(cè)所發(fā)生的重要變動(dòng)； c） 復(fù)查并監(jiān)測(cè)信息安全事故； d） 支持重要的創(chuàng)新，以加強(qiáng)信息安全。 信息安全協(xié)作 在一個(gè)大型組織中，一個(gè)管理層代表們的多功 能論壇對(duì)于協(xié)調(diào)處理信息安全策略的執(zhí)行是十分必要的。一般而言，這樣的論壇： a） 批準(zhǔn)在整個(gè)組織內(nèi)安全管理的特殊角色和責(zé)任。 d） 確保安全性是信息規(guī)劃過(guò)程的一部分。 信息安全策略（見(jiàn)第 3句）應(yīng)當(dāng)提供在組織中確定安全角色和分配安全責(zé)任的一般性指導(dǎo)。應(yīng)當(dāng)清晰界定對(duì)個(gè)人生命財(cái)產(chǎn)和信息資產(chǎn)所承擔(dān)的局部責(zé)任， 也應(yīng)當(dāng)明確定義對(duì)安全程序比如業(yè)務(wù)連續(xù)性規(guī)劃所承擔(dān)的局部責(zé)任。 然而，資源配置和實(shí)現(xiàn)管理措施的責(zé)任常常留給單獨(dú)的管理者。 信息資產(chǎn)的所有權(quán)人可以把他們的安全責(zé)任委派給單獨(dú)的管理者或者服務(wù)提供商。 要清晰地闡明每一個(gè)管理者所負(fù)責(zé)的領(lǐng)域，這一點(diǎn)非常重要。 b） 負(fù)責(zé)每項(xiàng)資產(chǎn)或者安全過(guò)程的管理者都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)，而且應(yīng)當(dāng)把此項(xiàng)責(zé)任的細(xì)節(jié)記錄在案。 應(yīng)當(dāng)建立對(duì)新的信 息處理方法的管理授權(quán)過(guò)程。還應(yīng)當(dāng)獲得負(fù)責(zé)維護(hù)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的管理人員的同意，以確保滿(mǎn)足所有相關(guān)策略和需要。 注意：某些連接可能需要定型。 d） 在工作場(chǎng)所中使用個(gè)人信息處理程序可能導(dǎo)致新的危險(xiǎn)，因此應(yīng)當(dāng)進(jìn)行評(píng)估和授權(quán)。 專(zhuān)家信息安 全建議 許多組織可能都需要專(zhuān)家安全建議。并不是所有的組織都愿意雇用一個(gè)咨詢(xún)專(zhuān)家。他們還應(yīng)當(dāng)能夠找到適當(dāng)?shù)耐獠孔稍?xún)專(zhuān)家來(lái)提供超出他們經(jīng)驗(yàn)范圍的專(zhuān)業(yè)建議。他們要么自己提出建議，要么利用來(lái)自外部的建議。為了達(dá)到最大的效用、產(chǎn)生最好影響，應(yīng)當(dāng)允許他們直接接觸整個(gè)組織的管理。盡管正常情況下大多數(shù)內(nèi)部安全調(diào)查要按照管理措施執(zhí)行，仍然可以召集信息安全咨詢(xún)專(zhuān)家來(lái)提出建議、主持或指導(dǎo)此類(lèi)調(diào)查。類(lèi)似的，也應(yīng)當(dāng)考慮到與安全組成員和行 業(yè)協(xié)會(huì)進(jìn)行合作。 信息安全的獨(dú)立檢查 信息安全策略文獻(xiàn)（參見(jiàn) ）宣布了信息安全策略和責(zé)任。（見(jiàn)） 可以由內(nèi)部的審查功能執(zhí)行這樣的檢查。這些候選人要具有檢查所必備的技能和經(jīng)驗(yàn)。 應(yīng)當(dāng)控制第