【正文】 安全過程的控制；f) 本標(biāo)準要求的記錄；g) 適用性聲明。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a) 文件發(fā)布前得到批準，以確保文件的充分性；b) 必要時對文件進行評審與更新，并再次批準；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d) 確保在使用處可獲得適用文件的有關(guān)版本；e) 確保文件保持清晰、易于識別； f) 確保外來文件得到識別，并控制其分發(fā)；g) 確保文件的發(fā)放在控制狀態(tài)下；h) 防止作廢文件的非預(yù)期使用；i) 若因任何原因而保留作廢文件時，對這些文件進行適當(dāng)?shù)臉?biāo)識。記錄應(yīng)當(dāng)被控制。記錄應(yīng)保持清晰、易于識別和檢索。需要一個管理過程確定記錄的程度。例如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5 監(jiān)控和評審信息安全管理體系 監(jiān)控信息安全管理體系組織應(yīng)：a) 執(zhí)行監(jiān)控程序和其他控制措施，以：1)實時探測處理結(jié)果中的錯誤；2)及時識別失敗和成功的安全破壞和事故；3)能夠使管理層確定分派給員工的或通過信息技術(shù)實施的安全活動是否達到了預(yù)期的目標(biāo)；4)確定解決安全破壞的行動是否反映了運營的優(yōu)先級。 d) 在計劃的時間段內(nèi)實施內(nèi)部信息安全管理體系審核。 維護和改進信息安全管理體系組織應(yīng)經(jīng)常：a) 實施已識別的對于信息安全管理體系的改進措施b) 采取合適的糾正和預(yù)防措施[]. 應(yīng)用從其他組織的安全經(jīng)驗和組織內(nèi)學(xué)到的知識。d) 確保改進行動達到了預(yù)期的目標(biāo)。 評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要， 包括安全方針和安全目標(biāo)。 評審輸入管理評審的輸入應(yīng)包括以下方面的信息：a) 信息安全管理體系審核和評審的結(jié)果；b) 相關(guān)方的反饋；c) 可以用于組織改進其信息安全管理體系績效和有效性的技術(shù)，產(chǎn)品或程序；d) 預(yù)防和糾正措施的狀況；e) 以前風(fēng)險評估沒有足夠強調(diào)的脆弱性或威脅；f) 以往管理評審的跟蹤措施；g) 任何可能影響信息安全管理體系的變更；h) 改進的建議。 內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時間間隔進行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a) 符合本標(biāo)準和相關(guān)法律法規(guī)的要求；b) 符合識別的信息安全的要求；c) 被有效地實施和維護；d) 達到預(yù)想的績效。應(yīng)確定審核的標(biāo)準，范圍，頻次和方法。審核員不應(yīng)審核他們自己的工作。負責(zé)被審核區(qū)域的管理者應(yīng)確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。6 信息安全管理體系改進 持續(xù)改進組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審的信息持續(xù)改進信息安全管理體系的有效性。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a) 識別實施和/或運行信息安全管理體系中的不合格；b) 確定不合格的原因；c) 評價確保不合格不再發(fā)生的措施的需求；d) 確定和實施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評審所采取的糾正措施。預(yù)防措施應(yīng)于潛在問題的影響程度相適應(yīng)。糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。7 控制措施的選擇通常控制措施是在BS7799的十大領(lǐng)域中進行選擇，當(dāng)然針對不同組織的實際情況選擇控制目標(biāo)不同，上述曾介紹過的需進行適用性聲明。 安全方針 信息安全方針目標(biāo)：為信息安全提供管理指導(dǎo)和支持。1. 信息安全方針文件方針文件應(yīng)得到管理者批準，并以適當(dāng)?shù)姆绞桨l(fā)布、傳達到所有員工。本方針應(yīng)以恰當(dāng)、易得、易懂的方式向單位的預(yù)期使用者進行傳達。該程序應(yīng)確保任何影響原始風(fēng)險評估根據(jù)的變化都會得到相應(yīng)的評審，如：重大的安全事故、新的脆弱性、組織基礎(chǔ)結(jié)構(gòu)或技術(shù)基礎(chǔ)設(shè)施的變化。應(yīng)建立管理框架，在組織內(nèi)部開展和控制信息安全的實施。如有必要，應(yīng)在組織內(nèi)建立提供信息安全建議的專家小組并使其有效。另外應(yīng)鼓勵多學(xué)科的信息安全方法的發(fā)展，如：經(jīng)理人、用戶、行政人員、應(yīng)用軟件設(shè)計者、審核人員和保安人員以及行業(yè)專家（如保險和風(fēng)險管理領(lǐng)域）之間的協(xié)作。因此應(yīng)考慮建立信息安全委員會以確保為信息安全的啟動工作提供明確的指導(dǎo)和明顯的管理支持。信息安全管理委員會可以作為現(xiàn)有管理團體的一部分，所承擔(dān)的職責(zé)主要有：評審和批準信息安全方針和總體職責(zé)；監(jiān)督信息資產(chǎn)面臨重大威脅時所暴露出的重大變化；評審和監(jiān)督信息安全事故；批準加強信息安全的主動行為。2. 信息安全的協(xié)作問題在較大的組織內(nèi)部，有必要成立由各相關(guān)部門的管理代表組成的跨部門的信息安全委員會，以合作實施信息安全的控制措施。 批準組織內(nèi)關(guān)于信息安全的具體任務(wù)和責(zé)任； 批準和支持全組織范圍的信息安全問題的提議，如安全意識培訓(xùn)； 評估新系統(tǒng)或服務(wù)在信息安全控制實施方面的充分程度和協(xié)作情況； 提高全組織對信息安全的支持程度。信息安全方針（見上述條款）應(yīng)該為組織內(nèi)部信息安全任務(wù)和責(zé)任的分配提供總體的指導(dǎo)。對由各項有形資產(chǎn)和信息資產(chǎn)以及安全程序所在方承擔(dān)的責(zé)任，如可持續(xù)運營計劃，應(yīng)清晰定義。然而，分配資源和實施控制措施的責(zé)任一般由各部門經(jīng)理承擔(dān)。信息資產(chǎn)的負責(zé)人可以把安全職責(zé)委托給各部門的經(jīng)理或服務(wù)提供商。對各個經(jīng)理所負責(zé)的安全領(lǐng)域的清晰描述是很重要的，特別應(yīng)進行以下工作：和各個系統(tǒng)相關(guān)的各種資產(chǎn)和安全過程應(yīng)給予識別和明確的定義。授權(quán)級別應(yīng)清晰定義并記錄在案。同樣應(yīng)得到負責(zé)維護本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準，以確保滿足所有相關(guān)的安全方針和要求。使用個人信息處理設(shè)備來處理商業(yè)信息以及任何必要的控制措施應(yīng)經(jīng)授權(quán)。上述控制措施在聯(lián)網(wǎng)的環(huán)境中尤為重要。并非所有的組織都愿意雇用專家顧問。同時他們還應(yīng)和合適的外部顧問保持聯(lián)系，以提供自身經(jīng)驗之外的專家建議。他們對安全威脅的評估質(zhì)量和對控制措施的建議水平?jīng)Q定了組織的信息安全的有效性。若懷疑出現(xiàn)安全事件或破壞，應(yīng)盡早的咨詢信息安全顧問和相應(yīng)的外部聯(lián)絡(luò)人員，以獲得專業(yè)指導(dǎo)和調(diào)查資源。6. 組織間的合作為確保在發(fā)生安全事故時能最快的采取適當(dāng)措施和獲得指導(dǎo)建議，各個組織應(yīng)和執(zhí)法機關(guān)、管理機構(gòu)、信息服務(wù)提供機構(gòu)以及電信營運部門保持適當(dāng)?shù)穆?lián)系。安全信息的交流應(yīng)該加以限制，以確保組織的秘密信息不會泄漏到未經(jīng)授權(quán)的人員手中。實施情況的審核工作應(yīng)該獨立進行，來確保組織規(guī)范能夠很好的反映安全方針，并且是可行的和有效的。 第三方訪問安全管理目標(biāo)：保證第三方訪問組織的信息處理設(shè)備和信息資產(chǎn)時的安全性。若有業(yè)務(wù)上需要第三方的訪問，應(yīng)對此做出風(fēng)險評估來確定訪問可能帶來的安全后后果和對訪問進行的控制需求。第三方訪問還會涉及其他參與者。在考慮信息外包處理時，此標(biāo)準可以作為簽訂此類合同的基礎(chǔ)。比如，通過網(wǎng)絡(luò)連接的訪問風(fēng)險與物理訪問的風(fēng)險有很大區(qū)別。例如，向組織提供服務(wù)卻不在現(xiàn)場的第三方，就可以被授予物理和邏輯訪問權(quán)，如：a） 硬件和軟件支持人員，他們需要有權(quán)訪問系統(tǒng)級或低級的應(yīng)用程序功能。若沒有充分的信息安全管理，允許第三方訪問將給信息帶來風(fēng)險。還要考慮所要進行的訪問類型、信息的價值、第三方使用的控制措施和訪問給組織信息的安全可能帶來的后果?，F(xiàn)場第三方的例子有： 硬件和軟件維護和支持人員 清潔人員、送餐人員、保安和其他的外包支持服務(wù)人員 學(xué)生和其他的短期臨時工作人員 顧問了解采取哪些控制措施來管理第三方對信息處理設(shè)備的訪問是至關(guān)重要的。例如：若對信息的保密性有特殊要求的時候，就要采用保密協(xié)議。2. 與第三方簽約時的安全要求涉及到第三方訪問本組織信息處理設(shè)備的安排應(yīng)基于正式的合同。合同應(yīng)確保本組織和第三方之間沒有誤會。合同中應(yīng)該考慮如下條款：a) 信息安全的總體方針；b) 資產(chǎn)保護方面，包括：1) 保護組織資產(chǎn)（包括信息和軟件在內(nèi)）的程序；2) 確定資產(chǎn)是否受到危害的程序，如數(shù)據(jù)的丟失或篡改； 3) 確保在合同截止時或合同執(zhí)行期間某一雙方同意的時間，歸還或銷毀信息的控制措施； 4) 完整性和可用性； 5) 對復(fù)制和泄漏信息的限制；c) 對可用服務(wù)的描述；d) 服務(wù)的目標(biāo)級和服務(wù)的不可接受級；e) 人員調(diào)整的規(guī)定；f) 協(xié)約方各自的責(zé)任；g) 法律方面的責(zé)任，如數(shù)據(jù)保護法規(guī)，如果合同涉及到其他國家的組織，還應(yīng)特別考慮不同國家法律體系的區(qū)別；h) 知識產(chǎn)權(quán)和版權(quán)轉(zhuǎn)讓（見控制措施遵從性）與合作成果保護；i) 訪問控制協(xié)議，包括：1) 所允許的控制方法，對獨特的標(biāo)識符（如用戶ID，密碼）的控制和使用；2) 用戶訪問和特權(quán)的授權(quán)過程；3) 要求保有一份名單，用來記錄被授權(quán)使用可用服務(wù)的用戶，以及他們的使用權(quán)和特權(quán)；j) 可驗證的行為標(biāo)準的定義、監(jiān)督和匯報；k) 監(jiān)督和廢除用戶行為的權(quán)力；l) 審核合同的責(zé)任，或是委任第三方來執(zhí)行審核工作；m) 建立解決問題的升級流程，在適當(dāng)情況下，還要考慮應(yīng)急安排；n) 軟件和硬件安裝和維護責(zé)任；o) 清晰的匯報結(jié)構(gòu)和業(yè)經(jīng)認同的匯報形式；p) 清晰、詳細的變更管理流程；q) 確?？刂拼胧┑靡詫嵤┧璧奈锢肀Ｗo控制和機制；r) 對用戶和管理者在方法、流程和安全方面的培訓(xùn)；s) 確保防范惡意軟件的控制措施；t) 匯報、通知和調(diào)查安全事故和安全破壞的安排；u) 包括第三方和次承包商； 委外資源管理目標(biāo)：當(dāng)把信息處理的責(zé)任委托給其他組織時，要確保委外信息的安全性委外安排時，應(yīng)該在簽約方的合同中表明信息系統(tǒng)、網(wǎng)絡(luò)和或桌面環(huán)境方面的風(fēng)險、安全控制和流程。例如：合同中應(yīng)規(guī)定：a） 如何滿足法律方面的要求，如數(shù)據(jù)保護法規(guī)；b） 做出哪些安排來確保涉及委外的各方，包括次分包商，能意識到各自的責(zé)任；c） 如何維護和監(jiān)測組織的商業(yè)資產(chǎn)的完整性和保密性；d） 要采取哪些物理和邏輯上的控制措施來約束和限制業(yè)經(jīng)授權(quán)的用戶對商業(yè)信息的訪問；e） 在發(fā)生災(zāi)難的情況下，如何維持服務(wù)的可用性；f） 對委外設(shè)備需要提供何種程度的物理安全；g） 審核權(quán)。在雙方同意的安全管理計劃中，此合同應(yīng)當(dāng)詳細論述安全要求與流程。 資產(chǎn)分類與控制 資產(chǎn)責(zé)任目標(biāo)：保持對組織資產(chǎn)的適當(dāng)保護。資產(chǎn)責(zé)任有助于確保對資產(chǎn)保持適當(dāng)?shù)谋Ｗo。實施控制措施的職責(zé)可以委托。1. 資產(chǎn)清單資產(chǎn)清單有助于確保進行有效的資產(chǎn)保護，其它商業(yè)目的，如衛(wèi)生和安全、保險或財務(wù)（資產(chǎn)管理）原因同樣需要資產(chǎn)清單。組織需要識別其資產(chǎn)及這些資產(chǎn)的相對價值和重要性。應(yīng)該編制并保持與每一信息系統(tǒng)相關(guān)的重要資產(chǎn)的清單。和信息系統(tǒng)相關(guān)的資產(chǎn)的例子：a） 信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、操作和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；b） 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；c） 有形資產(chǎn)：計算機設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、數(shù)字程控交換機、傳真機、應(yīng)答機），磁媒體（磁帶和軟盤），其他技術(shù)裝備（電源，空調(diào)設(shè)備），家具和住所；d） 服務(wù)：計算和通信服務(wù)，通用設(shè)備，如供暖，照明，電力和空調(diào)等。信息具有不同程度的敏感性和重要性。應(yīng)該使用信息分類系統(tǒng)來定義一套適當(dāng)?shù)谋Ｗo等級，并傳達特殊處理措施的要求。一般而言，對信息分類是決定如何處理和保護此信息的一條捷徑。按照信息對組織的重要性進行標(biāo)示同樣是適當(dāng)?shù)模?，按照信息的完整性和可用性。?yīng)該考慮到這些方面，因為過高的保密級別能夠?qū)е虏槐匾念~外的商業(yè)支出。應(yīng)該考慮劃分類別的數(shù)量以及對其使用所帶來的益處。在解釋來自其他組織的文件上的分類標(biāo)簽時應(yīng)該小心，他們對相同或相似名字的標(biāo)簽可能有不同的定義。2. 信息的標(biāo)示和處理重要的是根據(jù)組織所采用的分類方案，為信息的標(biāo)示和處理定義一套合適的程序。對每一信息類別，應(yīng)該定義處理程序，包含下列種類的信息處理活動：a） 復(fù)制；b） 存儲；c） 以郵件、傳真和電子郵件傳送；d） 以口頭方式，包括移動電話、語音郵件、答錄機傳送；e） 銷毀。該標(biāo)示應(yīng)該反映根據(jù)上述分類原則建立的規(guī)則所做的分類。物理標(biāo)示一般是最合適的標(biāo)示形式。 人員安全 崗位定義和資源分配的安全目標(biāo)：降低人為錯誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險。應(yīng)該對可能的新員工進行充分的篩選，尤其是從事敏感工作的員工。1. 崗位責(zé)任中的安全安全任務(wù)和責(zé)任，如同在組織的信息安全方針中規(guī)定的（），應(yīng)該在適當(dāng)?shù)那闆r下形成文件。2. 人員選拔及方針對終身員工的核實檢查應(yīng)該在招聘時進行。無論是初次任命還是提升，當(dāng)一項工作涉及的人員具有訪問信息處理設(shè)備的機會，特別是如果這些設(shè)備處理敏感信息，如財務(wù)信息或高度機密的信息時，組織應(yīng)該同樣進行信用檢查。對于合同方和臨時員工應(yīng)該執(zhí)行相似的篩選程序。管理層應(yīng)該對有權(quán)訪問敏感系統(tǒng)的新員工和缺乏經(jīng)驗的員工的監(jiān)督工作進行評價。各經(jīng)理應(yīng)該意識到員工的個人環(huán)境可以影響他們的工作。應(yīng)該依據(jù)相應(yīng)權(quán)限范圍內(nèi)適當(dāng)?shù)囊?guī)定來處理這類信息。雇員通常應(yīng)該簽署此類協(xié)議作為他們受雇的先決條件。在雇用條款或合同發(fā)生變化時，特別是員工要離開組織或合同將到期時，應(yīng)該對保密協(xié)議進行評審。適當(dāng)時，在雇傭結(jié)束后，這些責(zé)任應(yīng)該繼續(xù)一定的時間。雇員的法律責(zé)任和權(quán)利，如涉及到的版權(quán)法或數(shù)據(jù)保護法，應(yīng)該闡明并包括在雇傭條款和條件中。只要適當(dāng)，雇傭條款和條件應(yīng)該說明這些責(zé)任是延伸到組織范圍以外和正常工作時間以外，例如在家工作時。應(yīng)對用戶進行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險。這包括安全要求、法律責(zé)任和商業(yè)控制措施，還包括在被授權(quán)訪問信息或服務(wù)之前正確使用信息處理設(shè)備，如登錄程序、軟件包的使用的培訓(xùn)。影響安全的事故應(yīng)該盡快通過適當(dāng)?shù)墓芾砬缊蟾?。?yīng)該要求他們以最快的速度把任何看到的或懷疑的事故報告給指定的聯(lián)絡(luò)人。為妥當(dāng)?shù)奶幚硎鹿?，有必要在事故發(fā)生后盡快收集證據(jù)。應(yīng)該建立正式的報告程序，同時建立事故響應(yīng)程序，闡明接到事故報告后所采取的行動。應(yīng)該在事故被處理完并關(guān)閉后，執(zhí)行適當(dāng)?shù)姆答伋绦颍源_保那些報告的事故被通告了結(jié)果。2. 報告安全弱點應(yīng)該要求信息服務(wù)的用戶記錄并報告任何看到的或懷疑的系統(tǒng)或服務(wù)的