信息安全管理规范
信息安全管理体系规范(Part I) (信息安全管理实行细则) 目录 前言 一、信息安全范围 二、术语与定义 三、安全政策 3.1信息安全政策 四、安全组织 4.1 信息安全基础架构 4.2 外部存取的安全管理 4.3 委外资源管理 五、资产分类与管理 5.1 资产管理权责 5.2 信息分类 六、个人信息安全守则 6.1 工作执掌及资源的安全管理 6.2 教育培训 6.3 易发事件及故障解决 七、使用环境的信息安全管理 7.1 信息安全区 7.2 设备安全 7.3 平常管制 八、通讯和操作过程管理 8.1 操作程序书及权责 8.2 系统规划及可行性 8.3 侵略性软件防护 8.4 储存管理 8.5 网络管理 8.6 媒体存取及安全性 8.7 信息及软件互换 九、存取管理 9.1 存取管制的工作规定 9.2 使用者存取管理 9.3 使用者权责 9.4 网络存取管制 9.5 操作系统存取管理 9.6 应用软件存取管理 9.7 监控系统的存取及使用 9.8 移动计算机及拨接服务管理 十、信息系统的开发和维护 10.1 信息系统的安全规定 10.2 应用软件的安全规定 10.3 资料加密技术管制 10.4 系统档案的安全性 10.5 开发和支持系统的安全性 十一、维持运营管理 11.1 连续运营的方面 十二、合法性 12.1 合乎法律规定 12.2 对信息安全政策和技术应用的审查 12.3 系统稽核的考虑 前言 何谓信息安全? 对一个单位或组织来说,信息和其它商业资产同样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁,从而使单位可以进行连续经营,使其对经营的危害降至最小限度,并将投资和商业机会得以最大化。 信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。 信息安全的重要特性在于保护其 - 保密性:保证只有那些通过授权的人员可以接触信息 -完整性:保护信息和信息解决办法的准确性和完整性 -可得性:保证在需要时,通过授权的使用者可接触信息和相关的资产 信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来保证各单位的具体安全目的得以实现。 为什么需要信息安全? 信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、钞票流动、赢利性、合法性和商业形象至关重要。 单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务袭击等已经变得越来越普遍、更具野心和复杂。 对信息系统和服务的依赖表白单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。 许多信息系统自身的设计就很不安全。通过技术手段达成的安全很有限,因此要通过恰当的管理和流程加以支持。确认采用的管制措施时需要具体审慎的计划和构思。信息安全管理至少规定单位所有员工的参与。同时,也规定供货商、客户和股东的参与。单位外部的专家建议有时也很必要。 假如能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。 如何设立安全规定? 单位可以确认其安全面的规定至关重要。在这方面,重要有三个来源: 第一个来源是对单位面临的风险进行评估。通过风险评估,可以确认单位的资产所面临的威胁,评估其弱项和危险发生的也许性,并对其潜在的冲击加以估计。 第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、规章或契约方面的规定。 第三个来源是单位为支持其运营而开发出的一套针对信息解决的原则、目的和规定。 评估安全风险 安全规定是通过对安全风险的系统评估而确认的。管制方面的支出需要和安全失控时产生的危害进行平衡和比较。风险评估技巧可运用到整个组织或局部,也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。 风险评估规定对如下因素进行系统考虑: - 安全失误所导致的经营性破坏,规定考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果 - 现行威胁和弱点导致安全失误的现实也许性,及目前实行的管制手段 在管理信息安全风险和实行管制手段防范风险时,上述评估结果有助于指导和决定采用适当的管理行动及其优先限度。评估风险和选择管制手段的过程也许需要反复几次,以便涵盖单位的不同部分或单个的信息系统。 对安全风险和实行的管制要进行定期回顾,以便 - 考虑运营规定和优先性方面所发生的变化 -考虑新的威胁和薄弱环节 -确认所采用的管制手段仍然有效恰当 根据以前评估的结果和管理层可以接受的风险限度,上述回顾应当按不同限度开展。风险评估一般先在较高层次上开展,以便对高风险领域的资源进行优先分类,然后从细节开展,目的是对付具体风险。 选择管制手段 安全规定一旦拟定之后,就应选择并实行管制手段以保证风险被降到一个可接受的水平。管制手段可从本文献或别的管控手册中选择;还可以设计新管控办法来满足具体的需求。管理风险有许多不同的办法,本文献列出了一些常用的手段。然而,需要结识的是有些手段并不是合用与所有信息系统或环境,也不一定适合所有的单位或组织。比如,本文献8.1.4描述了如何对权责进行分类以便防止诈骗或失误。对许多小的单位或组织来说,这种办法就不一定适合,而此外的办法也许更好一些。 管制的选择应当基于相对风险而言执行管制时的成本。也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。 本文献中的某些管制手段可以用作多数单位的信息安全管理的指导原则。其细节在下述的“信息安全起始点”中将加以具体描述。 信息安全起始点 几条管制手段作为指导原则提供了信息安全执行方面的起始点。它们或者基于重大的立法规定,或者被认为是信息安全领域内的最佳实行手法。 从立法角度审阅,对单位十分重要的管制手段重要涉及: 甲、知识产权(详见12.1.2) 乙、保护单位记录(详见12.1.3) 丙、数据保护和个人隐私(详见12.1.4) 对信息安全来说被认为是最佳实行手段的管制手段涉及: 甲、信息安全政策文献(详见3.1.1) 乙、信息安全权责的分派(详见4.1.3) 丙、信息安全教育和培训(详见6.2.1) 丁、安全事故的回报(详见6.3.1) 戊、连续运营管理(详见11.1) 这些管制手段合用于多数单位和多数情形。应当注意的是,尽管本文献所述的管制手段很重要,但所有手段的合用性仍然取决于具体的当事情形。因此