ISMS信息安全管理体系建立方法模板.doc

资源描述

信息安全管理体系建立方法以BS7799管理思想介绍通用安全管理体系建立方法；信息安全管理包含很多方面，如风险管理、工程管理、业务连续性管理等，每项管理关键点全部有不一样。后续将具体介绍不一样部分管理。 1 信息安全管理体系概述 1.1 什么是信息安全管理体系信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立信息安全方针和目标，和完成这些目标所用方法和体系。它是直接管理活动结果，表示为方针、标准、目标、方法、计划、活动、程序、过程和资源集合。 BS7799－2是建立和维持信息安全管理体系标准，标准要求组织经过确定信息安全管理体系范围，制订信息安全方针，明确管理职责，以风险评定为基础选择控制目标和控制方法等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系要求要求进行运作，保持体系运行有效性；信息安全管理体系应形成一定文件，即组织应建立并保持一个文件化信息安全管理体系，其中应叙述被保护资产、组织风险管理方法、控制目标和控制方法、信息资产需要保护程度等内容。 1. ISMS范围 ISMS范围能够依据整个组织或组织一部分进行定义，包含相关资产、系统、应用、服务、网络和用于过程中技术、存放和通信信息等，ISMS范围能够包含： l 组织全部信息系统； l 组织部分信息系统； l 特定信息系统。另外，为了确保不一样业务利益，组织需要为业务不一样方面定义不一样ISMS。比如，能够为组织和其它企业之间特定贸易关系定义ISMS，也能够为组织结构定义ISMS，不一样情境能够由一个或多个ISMS表述。 2. 组织内部成功实施信息安全管理关键原因 l 反应业务目标安全方针、目标和活动； l 和组织文化一致实施安全方法； l 来自管理层有形支持和承诺； l 对安全要求、风险评定和风险管理良好了解； l 向全部管理者及雇员推行安全意思； l 向全部雇员和承包商分发相关信息安全方针和准则导则； l 提供合适培训和教育； l 用于评价信息安全管理绩效及反馈改善提议，并有利于综合平衡测量系统。 3. 建立ISMS步骤不一样组织在建立和完善信息安全管理体系时，可依据自己特点和具体情况，采取不一样步骤和方法。但总体来说，建立信息安全管理体系通常要经过下列四个基础步骤： a) 信息安全管理体系策划和准备； b) 信息安全体系文件编制； c) 信息安全管理体系运行； d) 信息安全管理体系审核和评审。 1.2 信息安全管理体系作用 1. ISMS特点信息安全管理管理体系是一个系统化、程序化和文件化管理体系。该体系含有以下特点： l 体系建立基于系统、全方面、科学安全风险评定，表现以预防控制为主思想，强调遵守国家相关信息安全法律法规及其它协议方要求； l 强调全过程和动态控制，本着控制费用和风险平衡标准合理选择安全控制方法； l 强调保护组织所拥相关键性信息资产，而不是全部信息资产，确保信息机密性、完整性和可用性，保持组织竞争优势和商务运作连续性。 2. 实施ISMS作用组织建立、实施和保持信息安全管理体系将会产生以下作用： l 强化职员信息安全意识，规范组织信息安全行为； l 对组织关键信息资产进行全方面体统保护，维持竞争优势； l 在信息系统受到侵袭时，确保业务连续开展并将损失降到最低程度； l 使组织生意伙伴和用户对组织充满信心； l 假如经过体系认证，表明体系符合标准，证实组织有能力确保关键信息，提升组织著名度和信任度； l 促进管理层落实信息安全保障体系； l 组织能够参考信息安全管理模型，根据优异信息安全管理标准BS7799建立组织完整信息安全管理体系并实施和保持，达成动态、系统、全员参与、制度化、以预防为主信息安全管理方法，用最低成本，达成可接收信息安全水平，从根本上确保业务连续性。 1.3 信息安全管理体系准备为在组织中顺利建设信息安全管理体系，需要建立有效信息安全机构，对组织中各类人员分配角色、明确权限、落实责任并给予沟通。 1．成立信息安全委员会信息安全委员会由组织最高管理层和信息安全管理相关部门责任人、管理人员、技术人员组成，定时召开会议，就以下关键信息安全议题进行讨论并做出决议，为组织信息安全管理提供导向和支持。 l 评审和审批信息安全方针； l 分配信息安全管理职责； l 确定风险评定结果； l 对和信息安全管理相关重大事项，如组织机构调整、关键人事变动、信息安全设施购置等； l 评审和监督信息安全事故； l 审批和信息安全管理相关其它关键事项。 2．任命信息安全管理经理组织最高管理者在管理层中指定一名信息安全管理经理，分管组织信息安全管理事宜，具体由以下责任： l 确定信息安全管理标准建立、实施和维护信息安全管理体系； l 负责组织信息安全方针和安全策略落实和落实； l 向最高管理者提交信息安全管理体系绩效汇报，以供评审，并为改善信息安全管理体系提供证据； l 就信息安全管理相关问题和外部各方面进行联络。 3．组建信息安全管理推进小组在信息安全委员会同意下，由信息安全管理经理组建信息安全管理推进小组，并对其进行管理。小组组员要懂信息安全技术知识，有一定信息安全管理技能，而且有较强分析能力及文字能力，小组组员通常是企业各部门骨干人员。 4．确保相关人员作用、职责和权限得到有效沟通用合适方法，如经过培训、制订文件等方法，让每位职员明白自己作用、职责和权限，和和其它部分关系，以确保全体职员各司其职，相互配合，有效地开展活动，为信息安全管理体系建立做出贡献。 5．组织机构设置标准 l 适宜控制范围通常情况下，一个经理直接控制下属管理人员不少于6人，但不应超出10人。在作业复杂部门或车间，一个组长对15人保持控制。在作业简单部门或车间，一个组长能控制50个人或更多人。 l 适宜管理层次企业责任人和基层管理部门之间管理层数应保护最少程度，最影响利润部门经理应该直接向企业责任人汇报。 l 一个上级标准 l 责、权、利一致标准 l 既无重合，又无空白标准 l 实施部门和监督部门分离标准 l 信息安全部门有一定独立性，不应成为生产部门下属单位。 6．信息安全管理体系组织结构建立及职责划分注意事项 l 假如现有组织结构合理，则只需将信息安全标准要求分配落实到现有组织结构中即可。假如现有组织结构不合理，则按上面（5）中所述规则对组织结构进行调整。 l 应将组织内部门设置及各部门信息安全职责、权限及相互关系以文件形式加以要求。 l 应将部门内岗位设置及各岗位职责、权限和相互关系以文件形式加以要求。 l 日常信息安全监督检验工作应有专门部门负责 l 对于大型企业来说，能够设置专门安全部（能够把信息安全和职业健康和安全职能划归此部门），安全部设置首席安全实施官，首席安全实施官直接向组织最高管理层负责（有也向首席信息官负责）。美国“911”恐怖攻击事件以后，在美国部分大型企业，这种安全机构设置方法逐步流行，它强调对多种风险综合管理和对威胁快速反应。 l 对于小型企业来说，能够把信息安全管理工作划归到信息部、人事行政部或其它相关部门。 2 建立信息安全管理体系标准 2.1 PDCA标准 PDCA循环概念最早是由美国质量管理教授戴明提出来，所以又称为“戴明环”。在质量管理中应用广泛，PDCA代表含义以下： P(Plan)：计划，确定方针和目标，确定活动计划； D(Do)：实施，实际去做，实现计划中内容； C(Check)：检验，总坚固施计划结果，注意效果，找出问题； A(Action)：行动，对总结检验结果进行处理，成功经验加以肯定并合适推广、标准化；失败教训加以总结，以免重现；未处理问题放到下一个PDCA循环。 PDCA循环四个阶段具体内容以下： (1) 计划阶段：制订具体工作计划，提出总目标。具体来讲又分为以下4个步骤。分析现在现实状况，找出存在问题；分析产生问题多种原因和影响原因；分析并找出管理中关键问题；制订管理计划，确定管理关键点。依据管理体制中出现关键问题，制订管理方法、方案，明确管理关键。制订管理方案时要注意整体详尽性、多选性、全方面性。 (2) 实施阶段：就是指根据制订方案去实施。在管理工作中全方面实施制订方案。制订管理方案在管理工作中实施情况，直接影响全过程。所以在实施阶段要坚持根据制订方案去实施。 (3) 检验阶段：即检验实施计划结果。检验工作这一阶段是比较关键一个阶段，它是对实施方案是否合理，是否可行有何不妥检验。是为下一个阶段工作提供条件，是检验上一阶段工作好坏检验期。 (4) 处理阶段：依据调查效果进行处理。对已处理问题，加以标准化：即把已成功可行条文进行标准化，将这些纳入制度、要求中，预防以后再发生类似问题；找出还未处理问题，转入下一个循环中去，方便处理。 PDCA循环实际上是有效进行任何一项工作合乎逻辑工作程序。在质量管理中，PDCA循环得到了广泛应用，并取得了很好效果，有些人也称其为质量管理基础方法。之所以叫PDCA循环，是因为这四个过程不是运行一次就完结，而是周而复始地进行，其特点是“大环套小环，一环扣一环，小环境保护大环，推进大循环”；每个循环系统包含PDCA四个阶段曾螺旋式上升和发展，每循环一次要求提升一步。建立和管理一个信息安全管理体系需要象其它任何管理体系一样方法。这里描述过程模型遵照一个连续活动循环：计划、实施、检验、和处理。之所以能够描述为一个有效循环因为它目标是为了确保您组织最好实践文件化、加强并随时间改善。信息安全管理体系PDCA过程以下图12-1所表示。图12-1 PDCA模型和信息安全管理体系过程 ISMSPDCA含有以下内容： 1. 计划和实施一个连续提升过程通常要求最初投资：文件化实践，将风险管理过程正式化，确定评审方法和配置资源。这些活动通常作为循环开始。这个阶段在评审阶段开始实施时结束。计划阶段用来确保为信息安全管理体系建立内容和范围正确地建立，评定信息安全风险和建立合适地处理这些风险计划。实施阶段用来实施在计划阶段确定决定和处理方案。 2. 检验和行动检验和处理评审阶段用来加强、修改和改善已识别和实施安全方案。评审能够在任何时间、以任何频率实施，取决于怎样做适合于考虑具体情况。在部分体系中她们可能需要建立在计算机化过程中以运行和立即回应。其它过程可能只需在有信息安全事故时、被保护信息资产改变时或需要增加时、威胁和脆弱性改变时需要回应。最终，需要每十二个月或其它周期性评审或审核以确保整个管理体系达成其目标。 3. 控制方法总结(Summary of Controls) 组织可能发觉制作一份相关和应用于组织信息安全管理体系控制方法总结（SoC）好处。提供一份控制方法小结能够使处理业务关系变得轻易如供电外包等。SoC可能包含敏感信息，所以当SoC在外部和内部同时应用时，应考虑她们对于接收者是否适宜。 2.2 文件化信息安全管理另一个很关键标准就是文件化，即全部计划及操作过事情全部要有文件统计，这么可做到有章可循，有据可查，文件类型通常有手册、规范、指南、统计等，使用这些文件能够使组织内部沟通意图，统一行动，并为事件提客观证据，同时也可用于学习和培训。假如有些组织曾参与过9000或BS7799认证，会深刻体会到文件化关键性。 2.3 领导重视组织建立信息安全管理体系需要投入大量物力和人力，这就需要得到领导认可，尤其是最高领导，这么才能确保这一项目不会因缺乏资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到以下几点： (1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改善信息安全管理体系证据，包含： a) 建立信息安全方针； b) 确保建立信息安全目标和计划； c) 为信息安全确立职位和责任； d) 向组织传达达成信息安全目标和符合信息安全方针关键性、在法律条件下组织责任及连续改善需要； e) 提供足够资源以开发、实施，运行和维护信息安全管理体系； f) 确定可接收风险水平； g) 进行信息安全管理体系评审。 (2) 管理层为组织将确定和提供所需资源，以： a) 建立、实施、运行和维护信息安全管理体系； b) 确保信息安全程序支持业务要求； c) 识别和强调法律和法规要求及协议安全义务； d) 正确地应用全部实施控制方法维护足够安全； e) 必需时，进行评审，并合适回应这些评审结果； f) 需要时，改善信息安全管理体系有效性。 2.4 全员参与仅有领导支持没有实际操作人员一样信息安全管理体系不能很好地建立起来，而组织内因为一般人员误操作和疏忽造成严重损失不止少数，所以我们必需明确安全管理体系不是组织内IT部门事情，而是需要全体职员参与。组织应确保全部被分配信息安全管理体系职责人员含有能力推行指派任务。组织应： a) 确定从事影响信息安全管理体系人员所必需能力； b) 提供能力培训和，必需时，聘用有能力人员满足这些需求； c) 评价提供培训和所采取行动有效性； d) 保持教育、培训、技能、经验和资格纪录。组织应确保全部相关人员知道她们信息安全活动合适性和关键性和她们贡献怎样达成信息安全管理目标。 3 信息安全管理体系建立 3.1 建立信息安全管理体系下图是建立信息安全管理体系步骤图,图12-2，制订信息安全方针方针文档定义ISMS范围进行风险评定实施风险管理选择控制目标方法准备适用申明第一步：第二步：第三步：第四步：第五步：第六步： ISMS范围评定汇报文件文件文件文件文件文件文档化文档化申明文件图12-2ISMS步骤图组织应在整体业务活动和风险环境下建立、实施、维护和连续改善文件化信息安全管理体系。为满足该标准目标，使用过程建立在图一所表示PDCA模型基础上。组织应做到以下几点： a) 应用业务性质、组织、其方位、资产和技术确定信息安全管理体系范围。 b) 应用组织业务性质、组织、方位、资产和技术确定信息安全管理体系方针，方针应： 1)包含为其目标建立一个框架并为信息安全活动建立整体方向和标准。 2)考虑业务及法律或法规要求，及协议安全义务。 3)建立组织战略和风险管理环境，在这种环境下，建立和维护信息安全管理体系。 4)建立风险评价标准和风险评定定义结构。 5)经管理层同意。 c) 确定风险评定系统化方法识别适适用于信息安全管理体系及已识别信息安全、法律和法规要求风险评定方法。为信息安全管理体系建立方针和目标以降低风险至可接收水平。确定接收风险标准和识别可接收风险水平。 d) 确定风险 1)在信息安全管理体系范围内，识别资产及其责任人。 2)识别对这些资产威胁。 3)识别可能被威胁利用脆弱性。 4)别资产失去保密性、完整性和可用性影响。 e) 评价风险 1)评定因为安全故障带来业务损害，要考虑资产失去保密性、完整性和可用性潜在后果； 2)评定和这些资产相关关键威胁、脆弱点和影响造成这类事故发生现实可能性和现存控制方法； 3)估量风险等级； 4)确定介绍风险或使用在c中建立标准进行衡量确定需要处理。 f) 识别和评价供处理风险可选方法：可能行动包含： 1)应用适宜控制方法； 2)知道并有目标地接收风险，同时这些方法能清楚地满足组织方针和接收风险标准； 3)避免风险； 4)转移相关业务风险到其它方面如：保险业，供给商等。 g) 选择控制目标和控制方法处理风险：应从2.6章节中控制方法中选择适宜控制目标和控制方法，应该依据风险评定和风险处理过程结果调整。 h) 准备一份适用性申明。从上面选择控制目标和控制方法和被选择原因应在适用性申明汉字件化。从2.6章节中剪裁控制方法也应加以统计； i) 提议残余风险应取得管理层同意并授权实施和运作信息安全管理体系。 3.2 文件要求信息安全管理体系文件应包含： a) 文件化安全方针文件和控制目标； b) 信息安全管理体系范围和程序及支持信息安全管理体系控制方法； c) 风险评定汇报； d) 风险处理计划； e) 组织需要文件化程序以确保有效地计划运行和对信息安全过程控制； f) 本标准要求统计； g) 适用性申明。 3.3 文件控制信息安全管理体系所要求文件应给予保护和控制。应编制文件化程序，以要求以下方面所需控制： a) 文件公布前得到同意，以确保文件充足性； b) 必需时对文件进行评审和更新，并再次同意； c) 确保文件更改和现行修订状态得到识别； d) 确保在使用处可取得适用文件相关版本； e) 确保文件保持清楚、易于识别； f) 确保外来文件得到识别，并控制其分发； g) 确保文件发放在控制状态下； h) 预防作废文件非预期使用； i) 若因任何原所以保留作废文件时，对这些文件进行合适标识。 3.4 统计控制应建立并保持纪录，以提供符合要求和信息安全管理体系有效运行证据。统计应该被控制。信息安全管理体系应考虑任何相关法律要求。统计应保持清楚、易于识别和检索。应编制形成文件程序，以要求统计标识、储存、保护、检索、保留期限和处理所需控制。需要一个管理过程确定统计程度。应保留上述过程绩效统计和全部和信息安全管理体系相关安全事故发生纪录。比如：访问者署名簿，审核统计和授权访问统计。 4 实施和运作信息安全管理体系组织应按以下步聚实施： a) 识别适宜管理行动和确定管理信息安全风险优先次序（即：风险处理计划； b) 实施风险处理计划以达成识别控制目标，包含对资金考虑和落实安全角色和责任； c) 实施在上述章节里选择控制目标和控制方法； d) 培训和意识； e) 管理运作过程； f) 管理资源； g) 实施程序和其它有能力随时探测和回应安全事故控制方法。 5 监控和评审信息安全管理体系 5.1 监控信息安全管理体系组织应： a) 实施监控程序和其它控制方法，以： 1)实时探测处理结果中错误； 2)立即识别失败和成功安全破坏和事故； 3)能够使管理层确定分配给职员或经过信息技术实施安全活动是否达成了预期目标； 4)确定处理安全破坏行动是否反应了运行优先级。 b) 进行常规信息安全管理体系有效性评审（包含符合安全方针和目标，及安全控制方法评审）考虑安全评审结果、事故、来自全部利益相关方提议和反馈； c) 评审残余风险和可接收风险水平，考虑以下方面改变： 1)组织 2)技术 3)业务目标和过程 4)识别威胁，及 5)外部事件，如：法律、法规环境发生改变或社会环境发生改变。 d) 在计划时间段内实施内部信息安全管理体系审核。 e) 常常进行信息安全管理体系管理评审（最少每十二个月评审一次）以确保信息安全管理体系范围仍然足够，在信息安全管理体系过程中改善方法已被识别（见信息安全管理体系管理评审）； f) 统计所采取行动和能够影响信息安全管理体系有效性或绩效事件。 5.2 维护和改善信息安全管理体系组织应常常： a) 实施已识别对于信息安全管理体系改善方法 b) 采取适宜纠正和预防方法[见7.2和7.3]. 应用从其它组织安全经验和组织内学到知识。 c) 沟通结果和行动并得到全部参与相关方同意。 d) 确保改善行动达成了预期目标。 5.3 信息安全管理体系管理评审管理层应按策划时间间隔评审组织信息安全管理体系，以确保其连续适宜性、充足性和有效性。评审应包含评价信息安全管理体系改善机会和变更需要，包含安全方针和安全目标。评审结果应清楚地文件化，应保持管理评审纪录。 5.3.1 评审输入管理评审输入应包含以下方面信息： a) 信息安全管理体系审核和评审结果； b) 相关方反馈； c) 能够用于组织改善其信息安全管理体系绩效和有效性技术，产品或程序； d) 预防和纠正方法情况； e) 以前风险评定没有足够强调脆弱性或威胁； f) 以往管理评审跟踪方法； g) 任何可能影响信息安全管理体系变更； h) 改善提议。 5.3.2 评审输出管理评审输出应包含以下方面相关任何决定和方法： a) 对信息安全管理体系有效性改善； b) 修改影响信息安全程序，必需时，回应内部或外部可能影响信息安全管理体系事件，包含以下变更： 1）业务要求； 2）安全要求； 3）业务过程影响现存业务要求； 4）法规或法律环境； 5）风险等级和/或可接收风险水平； c) 资源需求。 5.3.3 内部信息安全管理体系审核组织应按策化时间间隔进行内部信息安全管理体系审核，以确定信息安全管理体系控制目标、控制方法、过程和程序是否： a) 符合本标准和相关法律法规要求； b) 符合识别信息安全要求； c) 被有效地实施和维护； d) 达成预想绩效。任何审核活动应策划，策划应考虑过程情况和关键性，审核范围和前次审核结果。应确定审核标准，范围，频次和方法。选择审核员及进行审核应确保审核过程客观和公正。审核员不应审核她们自己工作。应在一个文件化程序中确定策划和实施审核，汇报结果和维护统计[见4.3.3]责任及要求。负责被审核区域管理者应确保没有延迟地采取方法降低被发觉不符合及引发不合格原因。改善方法应包含验证采取方法和汇报验证结果[见条款7]。 6 信息安全管理体系改善 6.1 连续改善组织应经过使用安全方针、安全目标、审核结果、对监控事件分析、纠正和预防方法和管理评审信息连续改善信息安全管理体系有效性。 6.2 纠正方法组织应确定方法，以消除和实施和运行信息安全管理体系相关不合格原因，预防不合格再发生。应为纠正方法编制形成文件程序，确定以下要求： a) 识别实施和/或运行信息安全管理体系中不合格； b) 确定不合格原因； c) 评价确保不合格不再发生方法需求； d) 确定和实施所需纠正方法； e) 统计所采取方法结果； f) 评审所采取纠正方法。 6.3 预防方法组织应针对潜在不合格确定方法以预防其发生。预防方法应于潜在问题影响程度相适应。应为预防方法编制形成文件程序，以要求以下方面要求： a) 识别潜在不合格及引发不合格原因； b) 确定和实施所需预防方法； c) 统计所采取方法结果； d) 评价所采取预防方法； e) 识别已变更风险和确保注意力关注在重大已变更风险。纠正方法优先权应以风险评定结果为基础确定。注：预防不合格方法总是比纠正方法更节省成本。 7 控制方法选择通常控制方法是在BS7799十大领域中进行选择，当然针对不一样组织实际情况选择控制目标不一样，上述曾介绍过需进行适用性申明。以下将具体介绍十大领域控制方法。 7.1 安全方针 7.1.1 信息安全方针目标：为信息安全提供管理指导和支持。管理者应该制订一套清楚指导方针，并经过在组织内对信息安全方针公布和保持来证实对信息安全支持和承诺。 1. 信息安全方针文件方针文件应得到管理者同意，并以合适方法公布、传达成全部职员。该文件应该说明管理者对实施信息安全承诺，并陈说组织管理信息安全方法，它最少应该包含以下多个部分：信息安全定义，其总体目标和范围，和其作为信息共享安全机制关键性（见引言）；申明支持信息安全目标和标准管理意向；对组织有重大意义安全方针、标准、标准和符合性要求简明说明，比如：符正当规和协议要求；安全教育要求；对计算机病毒和其它恶意软件防范和检测；可连续运行管理；违反安全方针后果；对信息安全管理总体和具体责任定义，包含汇报安全事故；提及支持安全方针文件，如：特定信息系统愈加具体安全方针和程序，或用户应该遵守安全要求。本方针应以合适、易得、易懂方法向单位预期使用者进行传达。 7.1.2 评审和判定方针应有专员根据既定评审程序负责它保持和评审。该程序应确保任何影响原始风险评定依据改变全部会得到对应评审，如：重大安全事故、新脆弱性、组织基础结构或技术基础设施改变。一样应对以下各项进行有计划、定时评审： a）方针有效性，可经过统计在案安全事故性质、数量和所造成影响来论证； b）对运行效率进行控制成本和效果； c）技术改变所造成影响； 7.2 安全组织 7.2.1 信息安全基础结构目标：在组织内部管理信息安全。应建立管理框架，在组织内部开展和控制信息安全实施。应该建立含有管理权合适信息安全管理委员会来同意信息安全方针、分配安全职责并协调组织内部信息安全实施。如有必需，应在组织内建立提供信息安全提议教授小组并使其有效。应建立和组织外部安全教授联络，以跟踪行业趋势，监督安全标准和评定方法，并在处理安全事故时提供合适联络渠道。另外应激励多学科信息安全方法发展，如：经理人、用户、行政人员、应用软件设计者、审核人员和保安人员和行业教授（如保险和风险管理领域）之间协作。 1. 信息安全管理委员会信息安全是管理团体中全部组员共同职务责任。所以应考虑建立信息安全委员会以确保为信息安全开启工作提供明确指导和显著管理支持。该委员会应该在组织内部经过合适承诺和提供充足资源来促进安全工作。信息安全管理委员会能够作为现有管理团体一部分，所负担职责关键有：评审和同意信息安全方针和总体职责；监督信息资产面临重大威胁时所暴露出重大改变；评审和监督信息安全事故；同意加强信息安全主动行为。应有一名经理负责和安全相关全部行为。 2. 信息安全协作问题在较大组织内部，有必需成立由各相关部门管理代表组成跨部门信息安全委员会，以合作实施信息安全控制方法。它关键功效有： · 同意组织内相关信息安全具体任务和责任； · 同意信息安全方面具体方法和程序，如风险评定、安全分类系统； · 同意和支持全组织范围信息安全问题提议，如安全意识培训； · 确保安全问题是信息设计过程一部分； · 评定新系统或服务在信息安全控制实施方面充足程度和协作情况； · 评审信息安全事故； · 提升全组织对信息安全支持程度。 3. 信息安全责任分配保护单独资产和实施具体安全过程职责应该给明确定义。信息安全方针（见上述条款）应该为组织内部信息安全任务和责任分配提供总体指导。必需时，针对具体地点、系统和服务，应对此方针作更具体补充。对由各项有形资产和信息资产和安全程序所在方负担责任，如可连续运行计划，应清楚定义。在很多组织中，会任命一名信息安全经理来负责信息安全工作开展和实施，并支持控制方法判别工作。然而，分配资源和实施控制方法责任通常由各部门经理负担。通常做法是为每项信息资产指定专员来负责日常安全工作。信息资产责任人能够把安全职责委托给各部门经理或服务提供商。然而，信息资产责任人对资产安全负有最终责任，并应有权确定责任人是否合适推行了职责。对各个经理所负责安全领域清楚描述是很关键，尤其应进行以下工作：和各个系统相关多种资产和安全过程应给识别和明确定义。各项资产或安全过程管理者责任应经过审批，并以文件形式具体统计该职责。授权等级应清楚定义并统计在案。 4. 信息处理设备授权程序对于新信息处理设备应建立管理授权程序，应考虑以下控制方法：新设备应有合适用户管理审批制度，对用户使用目标和使用情况进行授权。一样应得到负责维护当地信息系统安全环境经理同意，以确保满足全部相关安全方针和要求。如有必需，应检验硬件和软件，以确保和其它系统部件兼容（注：对于有些连接，类型兼容也是必需）。使用个人信息处理设备来处理商业信息和任何须需控制方法应经授权。在工作场所使用个人信息处理设备可能造成新脆弱性，所以应经评定和授权。上述控制方法在联网环境中尤为关键。 5. 信息安全教授提议很多组织可能需要安全教授提议，这最好由组织内富有经验信息安全顾问来提供。并非全部组织全部愿意雇用教授顾问。所以，提议组织专门指定一个人来协调组织中知识和经验，以确保一致性，并帮助做出安全决议。同时她们还应和适宜外部顾问保持联络，以提供本身经验之外教授提议。信息安全顾问或等同联络人员任务应该是使用她们自己和外部提议，为信息安全全部方面提供咨询。她们对安全威胁评定质量和对控制方法提议水平决定了组织信息安全有效性。为使其提议最大程度发挥作用，她们应有权接触组织管理层各个方面。若怀疑出现安全事件或破坏，应尽早咨询信息安全顾问和对应外部联络人员，以取得专业指导和调查资源。尽管多数内部安全调查通常是在管理层控制下进行，但仍能够邀请安全顾问给出提议，领导或实施调查。 6. 组织间合作为确保在发生安全事故时能最快采取合适方法和取得指导提议，各个组织应和执法机关、管理机构、信息服务提供机构和电信营运部门保持合适联络。一样也应考虑成为安全组织和行业论坛组员。安全信息交流应该加以限制，以确保组织秘密信息不会泄漏到未经授权人员手中。 7. 信息安全审核独立性信息安全方针条例制订出了信息安全方针和职能。实施情况审核工作应该独立进行，来确保组织规范能够很好反应安全方针，而且是可行和有效。审核工作应由组织内部审核职能部门、独立经理人或精通于此种审核工作第三方组织来实施，只要审核人员掌握了对应技术和经验。 7.2.2 第三方访问安全管理目标：确保第三方访问组织信息处理设备和信息资产时安全性。第三方访问组织内部信息处理设备权限应该受到控制。若有业务上需要第三方访问，应对此做出风险评定来确定访问可能带来安全后后果和对访问进行控制需求。控制方法应经双方同意，并在协议中进行明确定义。第三方访问还会包含其它参与者。授予第三方访问权协议应该涵盖对正当参与者任命和许可访访问条件。在考虑信息外包处理时，此标准能够作为签署这类协议基础。 1. 第三方访问风险判别 (1) 访问类型给第三方访问类型至关关键。比如，经过网络连接访问风险和物理访问风险有很大区分。需要考虑访问类型有： a）物理访问，如访问办公室，计算机房，文件柜等 b）逻辑访问，如访问组织数据库，信息系统等 (2) 访问原因授权第三方访问有若干原因。比如，向组织提供服务却不在现场第三方，就能够被授予物理和逻辑访问权，如： a）硬件和软件支持人员，她们需要有权访问系统级或低级应用程序功效。 b）贸易伙伴或合资伙伴，她们之间需要交流信息，访问信息系统或共享数据库。若没有充足信息安全管理，许可第三方访问将给信息带来风险。所以，在业务上有和第三方接触需求时，则需进行风险评定，以确定具体控制方法要求。还要考虑所要进行访问类型、信息价值、第三方使用控制方法和访问给组织信息安全可能带来后果。 (3) 现场承包方根据协议要求，能够在现场滞留一段时间第三方也有可能带来安全隐患。现场第三方例子有： - 硬件和软件维护和支持人员 - 清洁人员、送餐人员、保安和其它外包支持服务人员 - 学生和其它短期临时工作人员 - 顾问了解采取哪些控制方法来管理第三方对信息处理设备访问是至关关键。总来说，在和第三方所签协议中应反应出全部由第三方访问造成安全需求或内部控制方法。比如：若对信息保密性有特殊要求时候，就要采取保密协议。只有在实施了合适控制方法并签署了涵盖连接和访问条件协议以后，第三方方可访问信息和信息处理设备。 2. 和第三方签约时安全要求包含到第三方访问本组织信息处理设备安排应基于正式协议。该协议应包含或提到安全要求，以确保遵守本组织安全方针和安全标准。协议应确保本组织和第三方之间没有误会。各个组织应确保供给商可靠性。协议中应该考虑以下条款： a) 信息安全总体方针； b) 资产保护方面，包含： 1) 保护组织资产（包含信息和软件在内）程序； 2) 确定资产是否受到危害程序，如数据丢失或篡改； 3) 确保在协议截止时或协议实施期间某一双方同意时间，归还或销毁信息控制方法； 4) 完整性和可用性； 5) 对复制和泄漏信息限制； c) 对可用服务描述； d) 服务目标级和服务不可接收级； e) 人员调整要求； f) 协约方各自责任； g) 法律方面责任，如数据保护法规，假如协议包含到其它国家组织，还应尤其考虑不一样国家法律体系区分； h) 知识产权和版权转让（见控制方法遵从性）和合作结果保护； i) 访问控制协议，包含： 1) 所许可控制方法，对独特标识符（如用户ID，密码）控制和使用； 2) 用户访问和特权授权过程； 3) 要求保有一份名单，用来统计被授权使用可用服务用户，和她们使用权和特权； j) 可验证行为标准定义、监督和汇报； k) 监督和废除用户行为权力； l) 审核协议责任，或是委任第三方来实施审核工作； m) 建立处理问题升级步骤，在合适情况下，还要考虑应急安排； n) 软件和硬件安装和维护责任； o) 清楚汇报结构和业经认同汇报形式； p) 清楚、具体变更管理步骤； q) 确保控制方法得以实施所需物理保护控制和机制； r) 对用户和管理者在方法、步骤和安全方面培训； s) 确保防范恶意软件控制方法； t) 汇报、通知和调查安全事故和安全破坏安排； u) 包含第三方和次承包商； 7.2.3 委外资源管理目标：当把信息处理责任委托给其它组织时，要确保委外信息安全性委外安排时，应该在签约方协议中表明信息系统、网络和或桌面环境方面风险、安全控制和步骤。 1. 委外协议中安全要求假如组织将其全部或部分信息系统、网络或桌面环境管理和控制任务委托给其它组织，委外安全要求应在协议中加以要求并要争得双方同意。比如：协议中应要求： a）怎样满足法律方面要求，如数据保护法规； b）做出哪些安排来确保包含委外各方，包含次分包商，能意识到各自责任； c）怎样维护和监测组织商业资产完整性和保密性； d）要采取哪些物理和逻辑上控制方法来约束和限制业经授权用户对商业信息访问； e）在发生灾难情况下，怎样维持服务可用性； f）对委外设备需要提供何种程度物理安全； g）审核权。前面条款中列表所给出款项也应作为协议一部分考虑进去。在双方同意安全管理计划中，此协议应该具体叙述安全要求和步骤。尽管委外协议会引发部分复杂安全问题，在本规范中提及控制方法能够作为协商安全管理计划结构和内容起始点。 7.3 资产分类和控制 7.3.1 资产责任目标：保持对组织资产合适保护。应该考虑全部关键信息资产并指定全部些人。资产责任有利于确保对资产保持合适保护。应该为全部关键资产指定全部些人，并应该分配对其保持合适控制方法责任。实施控制方法职责能够委托。责任应由指定资产全部些人负担。 1. 资产清单资产清单有利于确保进行有效资产保护，其它商业目标，如卫生和安全、保险或财务（资产管理）原因一样需要资产清单。编制资产清单过程是风险评定一个关键方面。组织需要识别其资产及这些资产相对价值和关键性。基于这些信息，组织能够进而提供和资产价值和关键性相符保护等级。应该编制并保持和每一信息系统相关关键资产清单。应该清楚识别每项资产、其拥有权、经同意和统计为文件安全分级（见5.2），和资产现在位置（当试图从丢失和损坏状态恢复时是关键）。和信息系统相关资产例子： a）信息资产：数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、连续性计划、备用系统安排、存档信息； b）软件资产：应用软件、系统软件、开发工具和实用程序； c）有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其它技术装备（电源

展开阅读全文