信息安全管理系统的规范.docx
- 文档编号:25841221
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:19
- 大小:23.63KB
信息安全管理系统的规范.docx
《信息安全管理系统的规范.docx》由会员分享,可在线阅读,更多相关《信息安全管理系统的规范.docx(19页珍藏版)》请在冰豆网上搜索。
信息安全管理系统的规范
信息安全管理系统的规范
第二部分:
信息安全管理系统的规范
1
1.范围
BS7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。
它指明了将要按照个别机构的需要而实现的安全控制的需求。
注:
第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。
BS7799的这个部分的条款4给出的那些控制目标和控制来自于BS7799-1:
1999并与改部分的内容保持一致。
2.术语与定义
为了BS7799的这个部分,BS7799-1给出的定义适用于该部分,并有以下专用术语:
2.1适用性说明
适用于机构的安全要求的目标和控制的批评。
3.信息安全管理系统的要求
3.1概要
机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。
3.2建立一个管理框架
以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一):
a)应定义信息安全策略;
b)应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及
技术;
c)应进行合适的风险评估。
风险评估应确认对资产的安全威胁、漏洞及对机构的
冲击,从而定出风险的严重程度;
d)根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险;
e)从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制;
f)应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的
原因。
以上步骤应定期重复,确定系统的适用性。
2
3.3实施
选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。
3.4文档
信息安全管理系统的说明文档应包括以下信息:
a)按照3.2所定的步骤实现的证据;
b)管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制
目标和已经实现的安全控制;
c)为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行
动;
d)覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
行动。
3.5文档控制
机构应建立控制3.4所要求的所有文档的维护程序,以保证文档:
a)随时可用;
b)按照机构的安全策略定期检查并在必要时做出修正;
c)在版本控制下进行维护,保证在有效运作信息安全管理系统的所有地方随时可
用;
d)及时去掉过时的内容;
e)标识并且保留过时的、法律需要的、或作为知识储备的部分。
文档应该是清晰可读的、标有日期(及版本日期)的、可以确认的,并且在指定时间内有序维护和保管。
3
第一步策略文件定义策略
ISMS的范围定义ISMS第二步的范围
信息资产
风险评估威胁、漏洞第三步进行风险评冲击估
结果与结论
机构的风险管第四步理办法管理这些风所要求达到的险保障程度
选定的控制选项
此部分的第三第五步段所列的安全选择控制目
控制目标和控标以及要实
制现的控制
不在BS7799的
其它安全控制
选定的控制目标及控制
适用性说明书撰写适用性第六步说明书
图一:
建立一个管理架构3.6记录
记录,作为信息安全管理系统运行所得结果的证据,应被妥善维护以便证明和BS-7799这
4
个部分的要求的遵从性对系统和机构来说是合适的,如来访者列表、审计记录、访问的授权等。
机构应建立和维护一套程序来识别、维护、保管和处理这些证明遵从性的记录。
记录应清晰可读、可识别并可追溯到有关活动。
记录的储存及维护应该注意保证随时能用、不被破坏、变坏或丢失。
5
4.详细监控
4.1安全策略
4.1.1信息安全策略
目标:
为信息安全提供管理方向和支持。
4.1.1.1信息安全策略文档
一份策略文档须由管理层所认可,出版并传达到全体员工。
4.1.1.2检查和评价
策略须定期检查,并在存在有影响的变化时保持它的适用性。
4.2安全组织
4.2.1信息安全基础设施
目标:
在机构内部管理信息安全。
4.2.1.1管理层信息安全论坛
为了保证有一个清晰的方向和来自管理层的可见的对安全主动性的支持,建立管理层论坛是
必要的。
4.2.1.2信息安全的协调
如果从组织的规模方面来说是合适的,则可以建立一个由来自于组织内部有关部门的管理层
代表组成的论坛,并被用于协调信息安全控制的实施。
4.2.1.3信息安全职责的分配
对个人资产的保护和执行特定安全过程的责任须应该明确定义。
6
4.2.1.4信息处理设施的授权过程
新信息处理设施的管理授权过程将被建立起来。
4.2.1.5专家信息安全建议
有关信息安全的建议将由内部人员或外部专家所提供,并且在组织内部沟通交流。
4.2.1.6各机构之间的协作
与法律实施权威、管理机构、信息服务供应商和电讯经营者之间的适当联络将要被维护和保持。
4.2.1.7信息安全的独立检查
信息安全策略的实施将被独立审查。
4.2.2第三方访问的安全
目标:
维护被第三方访问的信息处理设施和信息资产的安全。
4.2.2.1第三方访问的风险的识别
与来自于第三方的对组织的信息处理设施的访问相联系的风险应该被评估,并且合适的安全控制应该被实现。
4.2.2.2在第三方合同中的安全要求
有任何涉及第三方访问组织的信息处理设施的安排时,须签订一个正式的包含所有必须的安全要求的合同。
4.2.3外部采购
目标:
当为了信息处理而需要向外部的其他组织采购时,维持信息的安全。
4.2.3.1在外购合同中的安全要求
在组织外购的安全要求中,全部或部分的信息系统、网络和/或桌面环境的管理和控制须在由双方协商一致的合同中写明。
7
4.3资产分类与控制
4.3.1资产的可说明性
目标:
维护对组织资产的适度保护。
4.3.1.1资产的盘点
所有重要资产的目录应该起草并加以维护。
4.3.2信息分类
目标:
保证信息资产得到适度的保护
4.3.2.1分类方针
信息的分类和相关保护控制将会适合于信息共享和限制的商务需要和这些需要对商务的影响。
4.3.2.2信息标签和处理
依据该机构采取的信息分类模式,一套信息标签和处理程序应该被定义。
4.4人员安全
4.4.1工作定义和资源中的安全
目标:
减少因人为的错误、偷窃、欺骗或误用设施而引起的风险。
4.4.1.1工作责任的安全
在机构的信息安全策略中所制定的安全角色和职责,应该在工作职责定义的适当地方以文件
形式确定下来。
4.4.1.2员工筛选和策略
确认对长期雇员的检查在工作申请时就已经定义好了。
8
4.4.1.3保密协议
雇员将签订一份保密协议作为他们的最初条款和雇佣条件的一部分。
4.4.1.4雇佣的条款和条件
雇佣的条款和条件应该包括雇员在信息安全方面的责任。
4.4.2用户培训
目标:
培养用户的信息安全意识,使用户能在日常工作中用团队的安全策略来要求自己。
4.4.2.1信息安全教育和培训
所有的团队员工,以及相关的第三方用户,都应当接收适当的安全策略培训和机构策略和程序的更新。
4.4.3安全事故与故障的处理
目标:
把突发安全事故与故障的危害性降到最低,监控并从中吸取教训。
4.4.3.1报告突发安全事故
突发安全事故应通过适当的管理渠道尽快报告出来。
4.4.3.2报告安全弱点
信息服务的使用者应当记录并报告观察到的和可疑的系统或服务的安全弱点或系统面临的威胁。
4.4.3.3报告软件故障
报告软件故障的程序应该建立并遵循。
4.4.3.4从事故中吸取教训
应建立适当的机制来监测和量化突发安全事件的类型、程度和损失。
9
4.4.3.5纠正过程
员工对团队对安全策略的违反都应当有一个正式的纠正过程。
4.5物理与环境的安全
4.5.1安全地区
目标:
防止对业务前提和信息的非授权访问、破坏和干扰。
4.5.1.1物理安全边界
应对包含信息处理设施的地区使用安全的边界。
4.5.1.2物理接口控制
安全地区应该通过合适的入口控制进行保护,从而保证只有合法员工才可以访问这些地区。
4.5.1.3保护办公室、房间和设施
应建立安全地区以保护那些有特殊安全需求的办公室、房间和设施。
4.5.1.4在安全地区工作
在安全地区工作时应采取附加的控制和方针来加强由保护安全地区的物理控制所提供的安全性。
4.5.1.5隔离的运输和装载地区
运输和装载地区应该受到控制,如果可能,应该和信息处理设施隔离开来以避免非授权访问。
4.5.2设备安全
目标:
防止资产的丢失、破坏,防止商业活动的中断。
4.5.2.1设备放置地点的选择与保护
设备应当安置在合适的地点并受到保护以减少来自环境的威胁,减少被非授权访问的机会。
10
4.5.2.2电源供应
设备应当为应对电源失败和电力异常而采取适当的保护措施。
4.5.2.3电缆安全
传输数据和支持信息服务的通讯线路和电力线缆应该受到保护以免被侦听和毁坏。
4.5.2.4设备维护
设备应当根据制造商的说明和使用手册来维护,以保证连续性的可靠性和完整性。
4.5.2.5在机构外部使用设备时应注意的安全性
对在机构外部使用的设备应当建立安全程序和控制。
4.5.2.6设备应该被安全地处理掉和再使用
在设备被处理掉和再使用以前应当删除设备含有的所有信息。
4.5.3一般控制
目标:
防止信息和信息处理工具遭受危害和被偷窃。
4.5.3.1清洁桌面与清洁屏幕策略
应当制定并执行清洁桌面与清洁屏幕策略,以减少非授权访问、信息的丢失与毁坏。
4.5.3.2资产的删除
属于机构的设备、信息或软件,未经许可不得擅自删除。
4.6通讯与操作的管理
4.6.1操作过程与职责
目标:
确保对信息处理设备的操作是正确的、安全的。
11
4.6.1.1记录操作过程
4.1.1.1中描述的安全策略中标出的操作过程应当被记录并得到相应的维护。
4.6.1.2针对操作变化的控制
信息处理工具和系统的任何变化都应当得到控制。
4.6.1.3事件管理程序
应建立必要的事件管理职责和程序以保证对安全事件能做出迅速、有效以及有序的响应。
4.6.1.4职责分离
应对职责进行分离以便于减少对信息和服务的非授权修改和误用。
4.6.1.5开发设施与操作设施的分离
在项目完成过程中应当将开发测试设施和操作设施分离开来。
4.6.1.6外部设施管理
在使用外部设施管理服务之前,应当弄清楚将要面临的风险、采取订约人认可的控制,并合并到合同中。
4.6.2系统计划与验收
目标:
使系统失败的风险减到最小。
4.6.2.1容量计划
应当监测系统容量需求,并对未来的系统容量需求做出计划,以确保采用合适的处理能力和存储容量。
4.6.2.2系统验收
应对新的信息系统及其升级及新版本建立验收标准,并采取相应的测试。
12
4.6.3针对恶意软件的防护
目标:
保护软件及信息的完整性。
4.6.3.1采取控制来防范恶意软件
使用探测与防范措施来防止恶意软件的侵害,并实现合适的提高用户警觉性的程序。
4.6.4内务处理
目标:
维护在信息处理和通讯服务中的数据完整性和可靠性。
4.6.4.1信息备份
应对商业信息及软件进行经常性的备份
4.6.4.2操作员日志
操作人员应当建立起记录操作的日志。
4.6.4.3出错日志
出现的错误应被报告并采取纠正措施。
4.6.5网络管理
目标:
保护网络中的信息及其支持基础设施。
4.6.5.1网络控制
采取一定范围的控制措施以获得及维护网络的安全。
4.6.6介质处理和安全
目标:
防止资产损失及商业活动的中断
4.6.6.1计算机可移动介质的管理
计算机可移动介质的管理,包括磁带、磁盘、盒带以及打印出来的报表都应当受到控制。
13
4.6.6.2介质处理
当不再使用时,介质应得到安全处理。
4.6.6.3信息处理程序
应建立信息的处理及存储机制以免信息被非法泄漏及误用。
4.6.6.4系统文档的安全
系统文档应受到保护以免XX的访问。
4.6.7信息及软件的交换
目标:
防止信息交换过程中信息的丢失、修改及误用。
4.6.7.1信息和软件的交流协议
应对机构之间的信息和软件交流,不管是以电子方式还是以手工方式,都应当建立正式的协议。
4.6.7.2传输过程中的介质安全
传输过程中的媒介应受到保护,以免于XX的访问、误用和破坏。
4.6.7.3电子商务安全
电子商务应当受到保护,使之免受欺诈、合同纠纷、信息泄漏或篡改等行为的危害。
4.6.7.4电子邮件安全
应该建立电子邮件的使用策略并采取控制措施来减少由于电子邮件的使用而带来的风险。
4.6.7.5电子办公系统的安全
应采取适当的策略与方针以控制与电子办公系统有关的商业安全风险。
14
4.6.7.6信息发布系统的安全
在信息发布以前,应当有个正式的授权过程,并且这些信息的完整性应受到保护以阻止XX的修改。
4.6.7.7其它方式的信息交换
应采取一定的程序与控制以保证信息在使用音频、传真、视频等通讯工具进行传输时的安全性。
4.7访问控制
4.7.1访问控制的商业需求
目标:
控制对特定信息的访问。
4.7.1.1访问控制策略
访问控制的商业需求应当正式定义并形成文档,访问受限于控制策略的规定。
4.7.2用户访问管理
目标:
防止XX的访问。
4.7.2.1用户注册
对于所有的多用户信息系统和服务都应当有一个正式的用户注册与撤销的过程以授予访问权限。
4.7.2.2特权管理
特权的分配与使用应该受到限制与控制。
4.7.2.3用户口令管理
口令的分配应通过一个正式的管理程序来控制。
15
4.7.2.4用户访问权限审查
应当启动一个正式的程序周期性地在一定时间间隔后审查用户的访问权限。
4.7.3用户职责
目标:
防止XX的用户访问
4.7.3.1口令的使用
用户在口令的选择与使用上应遵从良好的安全实践经验。
4.7.3.2易被忽略的用户设备
用户应保证那些易被忽略的设备得到合适的保护。
4.7.4网络访问控制
目标:
保护网络服务
4.7.4.1网络服务的使用策略
用户应当只能够直接访问那些被授权了的服务。
4.7.4.2增强的路径
从用户终端到服务器服务的路径应被控制。
4.7.4.3外部连接的用户认证
远程用户的访问应经过认证。
4.7.4.4节点认证
对外部计算机系统的连接应该经过认证。
4.7.4.5对远程诊断端口的保护对诊断端口的访问应得到安全的控制。
16
4.7.4.6网络隔离
应采取一定的控制措施把网络按照信息服务、用户和信息系统分为不同的组。
4.7.4.7网络连接控制
在共享网络中,用户的连接容量应受到限制,相关访问控制策略请参看4.7.1.1。
4.7.4.8网络路由控制
共享网络应有路由控制以确保计算机连接与信息流不违背4.7.1.1中描述的商业应用的访问控制策略。
4.7.4.9网络服务的安全性
应提供单位使用的所有网络服务的安全属性的清晰描述。
4.7.5操作系统访问控制
目标:
防止XX的计算机访问。
4.7.5.1自动终端认证
应使用自动终端认证系统来对到特定位置和便携式设备的连接。
4.7.5.2终端登录过程
对信息服务的访问应使用安全的登录过程。
4.7.5.3用户标识和认证
所有的用户都应有一个独一无二的标识供他们个人单独使用,这样就可以追踪用户的行为到相应的责任个人。
4.7.5.4口令管理系统
口令管理系统应提供有效的、交互式的工具来确保口令的质量。
17
4.7.5.5系统工具的使用
系统工具的使用应受到限制和得到紧密控制。
4.7.5.6用警告信息保护用户
DuressalarmtosafeguardusersDuressalarmshallbeprovidedforuserswhomightbethetargetofcoercion.
为可能成为监禁目标的用户提供警告信号。
4.7.5.7终端超时
高风险地区或与高风险系统相连的非活动终端在处于一段时期的非活动状态后应当断开连接以防止XX的用户访问。
4.7.5.8连接时间的限制
应对那些需要采取特殊安全措施的高风险应用使用连接时间的限制。
4.7.6应用系统的访问控制
目标:
防止对信息系统中信息的XX的访问。
4.7.6.1信息访问限制
对信息和应用程序系统功能的访问应受到限制,相关访问控制策略请参看4.7.1.1。
4.7.6.2敏感系统的隔离
敏感系统应当有专用的隔离的运行环境。
4.7.7监控对系统的访问和使用
目标:
探测XX的行为。
18
4.7.7.1事件日志
应提供对异常事件和与安全相关事件的审计日志,以便于今后的调查和对访问控制的监测。
4.7.7.2监控对系统的使用情况
应建立监控信息处理工具的使用情况的过程,并周期性察看日常监控的结果。
4.7.7.3时钟同步
计算机时钟应当同步以便于准确记录日志。
4.7.8移动计算与远程工作
目标:
确保使用移动计算或远程工作工具时的信息安全。
4.7.8.1移动计算
应采用正规的策略和合适的控制以保护使用移动计算工具的工作安全,尤其是在那些不受保护的环境下工作时。
4.7.8.2远程工作
应设计策略和程序来授权和控制远程工作的活动。
4.8系统开发与维护
4.8.1系统的安全需求
目标:
确保信息系统采取了足够的安全措施。
4.8.1.1安全需求分析与描述
新系统的商业需求或者对现有系统的增强都应该指定对安全控制的需求。
4.8.2应用系统的安全
目标:
防止应用软件系统中用户数据的丢失、篡改和误用。
19
4.8.2.1对输入数据进行有效性确认
应用软件系统的输入数据应当经过确认以保证它们是正确、合适的。
4.8.2.2对内部处理的控制
正确性检查应当和系统有机结合,以便检测被处理的数据的退化。
4.8.2.3消息认证
应对那些对消息内容完整性有安全需求的应用软件建立消息认证机制。
4.8.2.4对输出数据进行有效性确认
应用软件系统的输出数据应当经过确认以保证对存储的信息的处理是正确合适的。
4.8.3密码控制
目标:
保护信息的机密性、真实性和完整性。
4.8.3.1密码控制的使用策略
应建立并遵守用于对信息进行保护的的密码控制的使用策略。
4.8.3.2加密
应对敏感或机密数据进行加密。
4.8.3.3数字签名
应采用数字签名方法来保护电子信息的真实性与完整性。
4.8.3.4不可否认服务
应使用不可否认服务来解决关于事件是否出现的冲突。
20
4.8.3.5密钥管理
密钥管理基于一套标准、过程和方法,用来支持密码技术的使用。
4.8.4系统文件的安全性
目标:
确保IT项目和支持行为是在安全的模式下进行。
4.8.4.1对业务软件的控制
应对业务系统的软件实现情况进行控制。
4.8.4.2对系统测试数据的保护
测试数据应受到保护和控制。
4.8.4.3对程序源代码库的访问控制
应对程序源代码库进行严格的访问控制。
4.8.5在软件开发与支持过程中的安全性目标:
维护应用软件系统和信息的安全性。
4.8.5.1变化控制程序
信息系统的变化的实现应该通过使用正式的改变控制程序进行严格控制,使信息系统崩溃的
可能性降到最低。
4.8.5.2针对操作系统变化的技术审查应用系统在操作系统发生变化时应当进行审查和测试。
4.8.5.3限制对软件包的修改
防止对软件包的修改,任何必要的修改应受到严格的控制。
21
4.8.5.4隐蔽信道和特洛依木马代码
软件的购买、使用和修改应受到控制和检测,以避免可能的隐蔽信道和特洛依木马代码。
4.8.5.5外包软件开发
应采取必要的控制措施来使公开源码的软件开发更安全。
4.9业务连续性管理
4.9.1业务连续性管理的各个方面
目标:
保持业务活动的连续性,保护关键的项目开发过程不受主要失败或灾难的影响。
4.9.1.1业务连续性管理的进程
为了开发与维护整个机构的业务的连续性,应建立一个管理进程。
4.9.1.2业务连续性与影响分析
为了业务连续性的整体解决方法,基于合适的风险评估的战略计划应该被制定出来。
4.9.1.3连续性计划的撰写与实施
计划应该被制定以维护和及时恢复已经中断或失败后的关键业务的运行。
4.9.1.4业务连续性计划的框架
应当有一个单独的业务连续性计划被维护以保证所有计划的一致性和确定测试与维护的优先级。
4.9.1.5测试、维护与重新评估业务连续性计划
项目开发连续性计划应当经常测试与维护以保证该计划是最新的和有效的。
22
4.10遵循性
4.10.1与法律要求的一致性
目标:
避免与任何刑事或民事法律、法规、规章制度、合同条款以及安全需求发生冲突。
4.10.1.1识别适用的立法
对每一个信息系统都应当明确指出所有相关的法规、规章以及合同要求并形成文档。
4.10.1.2知识产权
应采取适当的措施以保证在使用与知识产权相关的材料和软件产品时不违反法律规定。
4.10.1.3保护机构的文档记录
重要的机构档案应受到保护,以防止丢失、破坏和假冒。
4.10.1.4数据保护与个人信息隐私
应根据相关法律采取必要的控制来保护个人信息。
4.10.1.5防止信息处理设备的误用
应对信息处理设备的使用采用授权管理以防止这些工具的误用。
4.10.1.6密码控制制度
采取控制措施来保证与用于控制访问和使用密码技术的国家协议、法律法规的一致性。
4.10.1.7证据收集
如果针对个人或机构的行动涉及民事或刑事的法律,则所出示的证物必须与相关法律所列出的条款以及将要受理此案件的法庭的规定相一致。
这包括与任何已公布的产生可接受的证据的标准或惯例代号的遵循性。
23
4.10.2安全策略与技术遵循性的复审
目标:
确保系统与机构的安全策略和标准相一致。
4.10.2.1安全策略遵循性
经理应确保本部门所有的安全过程在责任区得到正确实施,并且机构内部的所有部门应当进
行经常性的检查以确保与安全策略和标准相一致。
4.10.2.2技术遵循性检查
应当经常对信息系统进行检查以保证与安全实施标准相一致。
4.10.3系统审计的考虑
目标:
最大化有效性并最小化对和/
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 系统 规范