信息安全管理体系.docx

英国标准BS7799-2:2002信息安全管理体系规范与使用指南前言0介绍0. 1总则0. 2过程方法0. 0. 3其他管理体系的兼容性1范围1. 1概要1. 2应用2标准参考3名词与定义4信息安全管理体系要求4. 1总则4. 2建立和管理信息安全管理体系4. 2. 1建立信息安全管理体系4. 2. 2实施和运营（对照中文ISO9001确认）？信息安全管理体系4. 2. 3监控和评审信息安全管理体系4. 2. 4维护和改进信息安全管理体系4. 3文件化要求4. 3. 1总则4. 3. 2文件控制4. 3. 3记录控制5管理职责5. 1管理承诺？（对照中文ISO9001确认）5. 2资源管理5. 2. 1资源提供5. 2. 2培训、意识和能力6信息安全管理体系管理评审6. 1总则6. 2评审输入？（对照中文ISO9001确认）6. 3评审输出？（对照中文IS9001确认）7信息安全管理体系改进7. 1持续改进7. 2纠正措施7. 3预防措施附件A （有关标准的）控制目标和控制措施A. 1介绍A. 2最佳实践指南A. 3安全方针A. 4组织安全A. 5资产分级和控制A. 6人事安全A. 7实体和环境安全A. 8通信与运营安全A. 9访问控制A. 10系统开发和维护A. 11业务连续性管理A. 12符合附件B （情报性的）本标准使用指南B1概况B.1.1PDCA 模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4实施阶段B.4.1介绍B.4.2常规检查B.4.3自我监督程序B.4.4从其它事件中学习B.4.5审核B.4.6管理评审B.4.7趋势分析B5改进阶段B.5.1介绍B.5.2不符合项B.5.3纠正和预防措施B.5.4OECD 原则和 BS7799-2附件 C（情报）ISO9001:2000、ISO14001 与 BS7799-2： 2002 条款对照0介绍0. 1总则本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系（信 息安全管理体系）有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信 息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的 规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单 的信息安全解决方 案。本标准能用于内部、外部包括认证组织使用，评定一个组织符合其本身的需要及客户和法律 的要求的能力。0. 2过程方法本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。为使组织有效动作，必须识别和管理众多相互关联的活动。通过使用资源和管理，将输入转 化为输出的活动可视为过程。通常，一个过程的输出直接形成了下一个过程的输入。组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其惯例，课程只为：“过程 方法”。过程的方法鼓励使用者强调以下方面的重要性：a）a）理解业务动作对信息安全的需求和建立信息安全方针和目标的需要；b）b）在全面管理组织业务风险的环境下实施和动作控制措施；c）c）监控和评审信息安全管理体系的有效性和绩效；d）d）在客观的测量，持续改进过程。本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”（PDCA） 模型，适用于所有信息安全管理体系的过程。图一展示信息安全管理体系怎样考虑输入利益 相关方的住处安全需求和期望，通过必要的行动措施和过程，产生信息安全结果（即：管理 状态下的信息安全），满足那些需要和期望。图一同时展示了 4、5、6和7章中所提出的过 程联系。例1一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。例2一个期望可以是如果严重的事故发生-如：组织的电子商务网站被黑客入侵一将有被培训过 的员工通过适用的程序减少其影响。注：名词“程序，从传统来讲，用在信息安全方面意味着员工工作的过程，而不是计算机 或其它电子概念。PDCA模型应用与信息安全管理体系过程计戈U PLAN建立ISMS计划（建立信息安全管理体系）建立与管理风险和改进信息安全有关的安全方针、 目标、目的、过程和程序，以达到与组织整体方针和实施（实施和动作信息安全管理体系检查（监控和评审信息安全管理体系）适用）用。改进（维护和改进信息安全管理体系）施以目标相适应的结果。实施和动作信息安全方针、控制措施、过程和程 序。针对安全方针、目标和实践经验等评审和（如果职测量过程的绩效并向管理层报告结果供评审使在管理评审的结果的基础上，采取纠正和预防措持续改进信息安全管理体系。0. 3与其他管理体系标准的兼容性本标准与ISO9001： 2000与ISO16949： 1996相结合以支持实施和动作安全体系的一致性和 整合。在附件C中以表格显示BS7799, ISO14001各部分不同条款间的对应关系，本标准使组织能 够联合或整合其信息安全管理体系及相关管理体系的要求。1范围1. 1概要本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改进一个 文件化的信息安全管理体系的模型。它规范了对定制实施安全控制措施以适应不同组织或相 关部分的需求。（附录B提供使用规范的指南）。信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和 其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商 务形象。1. 2应用本标准规定的所有要求是通用的，旨在适用于各种类型、不同规模和提供不同产品的组织。当本标准的任何要求因组织及其产品的特点而不适用时，可以考虑对其进行删减。除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全 要求，否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供 证据证明相关风险被负责人员正当地接受。对于条款4, 5, 6和7的要求的删减不能接受。2引用标准ISO9001： 2000质量管理体系-要求ISO/IEC17799： 2000信息技术一信息安全管理实践指南ISO指南73： 2001风险管理指南-名词3名词和定义从本英国标准的目的出发，以下名词和定义适用。3. 1可用性保证被授权的使用者需要时能够访问信息及相关资产。BS ISO/IEC17799： 20003. 2保密性保证信息只被授权的人访问。BS ISO/IEC17799： 20003. 3信息安全安全保护信息的保密性、完整性和可用性3. 4信息安全管理体系（信息安全管理体系）是整个管理体系的一部分，建立在运营风险的方法上，以建立、实施、动作、监控、 评审、维护和改进信息安全。注：管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。3. 5完整性保护信息和处理方法的准确和完整。BS ISO/IEC17799： 20003. 6风险接受接受一个风险的决定ISO Guide 733. 7风险分析系统地使用信息识别来源和估计风险ISO Guide 733. 8风险评估风险分析和风险评价的整个过程ISO Guide 733. 9风险评价把估计风险与给出的风险标准相比较，确定风险严重性的过程。ISO Guide 733. 10风险管理指导和控制组织风险的联合行动3. 11风险处理选择和实施措施以更改风险的处理过程ISO Guide 733. 12适用性声明描述适用于组织的信息安全管理体系范围的控制目标和控制措施。这些控制目标和控 制措施是建立在风险评估和处理过程的结论和结果基础上。4. 信息安全管理体系要求4. 1总要求组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理 体系。为满足该标准的目的，使用的过程建立在图一所示的PDCA模型基础上。4. 2建立和管理信息安全管理体系4. 2. 1建立信息安全管理体系组织应：a) a)应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的 范围。b) b)应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系 的方针，方针应：1) 1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原 则。2) 2)考虑业务及法律或法规的要求，及合同的安全义务。3) 3)建立组织战略和风险管理的环境，在这种环境下，建立和维护信息 安全管理体系。4) 4)建立风险评价的标准和风险评估定义的结构。5) 5)经管理层批准c) c)确定风险评估的系统化的方法识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平见5.1fd) d) 确定风险：1) 1)在信息安全管理体系的范围内，识别资产及其责任人2) 2)识别对这些资产的威胁3) 3)识别可能被威胁利用的脆弱性4) 4)别资产失去保密性、完整性和可用性的影响e) e)评价风险1) 1)评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整 性和可用性的潜在后果；2) 2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生 的现实的可能性和现存的控制措施；3) 3)估计风险的等级4) 4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理；f) f)识别和评价供处理风险的可选措施：可能的行动包括：1) 1)应用合适的控制措施2) 2)知道并有目的地接受风险，同时这些措施能清楚地满足组织方针和 接受风险的标准3) 3)避免风险；4) 4)转移相关业务风险到其他方面如：保险业，供应商等。g) g)选择控制目标和控制措施处理风险：应从本标准附件A中列出的控制目标和控制措施，选择应该根据风险评估和 风险处理过程的结果调整。注意：附件A中列出的控制目标和控制措施，作为本标准的一部分，并不是所有的控制目 标和措施，组织可能选择另加的控制措施。h) h)准备一份适用性声明。从上面4.2.1(g)选择的控制目标和控制措施以及 被选择的原因应在适用性声明中文件化。从附件A中剪裁的控制措施也应加 以记录；i) i)提议的残余风险应获得管理层批准并授权实施和动作信息安全管理体系。4. 2. 2实施和运作信息安全管理体系组织应：a) a)识别合适的管理行动和确定管理信息安全风险的优先顺序(即：风险处 理计划)-见条款5；b) b)实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安 全角色和责任。c) c)实施在4.2.1 (g)选择的控制目标和措施d) d)培训和意识见5.2.2;e) e) 管理动作过程；f) f) 管理资源见5.2；g) g)实施程序和其他有能力随时探测和回应安全事故的控制措施。4. 2. 3监控和评审信息安全管理体系组织应：a) a)执行监控程序和其他控制措施，以:1）1）实时探测处理结果中的错误；2）2）及时识别失败和成功的安全破坏和事故；3）3）能够使管理层确定分派给员工的或通过信息技术实施的安全活动是 否达到了预期的目标；4）4）确定解决安全破坏的行动是否反映了运营的优先级。b）b）进行常规的信息安全管理体系有效性的评审（包括符合安全方针和目标， 及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方 的建议和反馈；c）c）评审残余风险和可接受风险的水平，考虑以下方面的变化：1）1）组织2）2） 技术3）3）业务目标和过程4）4）识别威胁5）5）外部事件，如：法律、法规的环境发生变化或社会环境发生变化。d）d）在计划的时间段内实施内部信息安全管理体系审核。e）e）经常进行信息安全管理体系管理评审（至少每年评审一次）以保证信息 安全管理体系的范围仍然足够，在信息安全检查管理体系过程中的改进措施 已被识别（见条款6信息安全管理体系的管理评审）；f）f）记录所采取的行动和能够影响信息安全管理体系的有效性或绩效性的事 件见 4.3.4。4. 2.4维护和改进信息安全管理体系组织应经常：a）a）实施已识别的对于信息安全管理体系的改进措施b）b）采取合适的纠正和预防措施应用从其他组织的安全经验和组织内学到 的知识。c）c）沟通结果和行动并得到所有参与的相关方的同意。d）d） 确保改进行动达到了预期的目标。4. 3文件要求4. 3. 1总则信息安全管理体系文件应包括：a）a）文件化的安全方针文件和控制目标；b）b）信息安全管理体系范围见4.2.1和程序及支持信息安全管理体系的控 制措施c）c）风险评估报告见4.2.1;d）d）风险处理计划；e）e）组织需要的文件化的程序以确保存有效地计划运营和对信息安全过程 的控制见6.1f）f）本标准要求的记录见4.3.4;g）g）适用性声明注1：当本标准中出现“文件化的程序”，这意味着建立、文件化、实施和维护该程序。注 2： SeeISO9001注3：文件和记录可以用多形式和不同媒体。4. 3. 2文件控制信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序，以规定以下方面 所需的控制：a) a)文件发布前得到批准，以确保文件的充分性；b) b)必要时对文件进行评审与更新，并再次批准；c) c)确保文件的更改和现行修订状态得到识别；d) d)确保在使用处可获得适用文件夹的有关版本；e) e)确保文件夹保持清晰、易于识别；f) f)确保外来文件的发放在控制状态下；g) g)确保文件的发放在控制状态下；h) h)防止作废文件的非预期使用；i) i)若因任何原因而保留作废文件时，对这些文件进行适当的标识。4. 3. 3记录控制应建立并保持记录，以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控 制。信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制 形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需 要一个管理过程确定记录的程度。应保留4.2概要的过程绩效记录和所有与信息安全管理体系有关的安全事故发生的记录。举例记录的例子如：访问者的签名簿，审核记录和授权访问记录。5管理职责5. 1管理承诺管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系 的证据，包括：a) a)建立信息安全方针；b) b)确保建立信息安全目标和计划；c) c)为信息安全确立职位和责任；d) d)向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件 下组织的责任及持续改进的需要。e) e)提供足够的资源以开发、实施，运行和维护信息安全管理体系见5.2.1;f) f)确定可接受风险的水平；g) g)进行信息安全管理体系的评审见条款6。5. 2资源管理5. 2. 1提供资源组织将确定和提供所需的资源，以：a) a) 建立、实施、运行和维护信息安全管理体系；b) b)确保信息安全程序支持业务要求；c) c)识别和强调法律和法规要求及合同的安全义务；d) d)正确地应用所有实施的控制措施维护足够的安全；e) e)必要时，进行评审，并适当回应这些评审的结果；f) f)需要时，改进信息安全管理体系的有效性。5. 2. 2培训，意识和能力组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应：a) a)确定从事影响信息安全管理体系的人员所必要的能力；b) b)提供能力培训和必要时，聘用有能力的人员满足这些需求；c) c)评价提供的培训和所采取行动的有效性；d) d)保持教育、培训、技能、经验和资格的记录见4.3.3组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样 达成信息安全管理目标.6信息安全管理体系的管理评审6. 总则管理层应按策划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性 和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安 全目标。评审的结果应清楚地文件化，应保持管理评审的记录见4.3.36. 2评审输入管理评审的输入应包括以下方面的信息：a) a)信息安全管理体系审核和评审的结果；b) b)相关方的反馈；c) c)可以用于组织改进其信息安全管理体系绩效和有效性的技术，产品或程序；d) d)预防和纠正措施的状况；e) e)以前风险评估没有足够强调的脆弱性或威胁；f) f)以往管理评审的跟踪措施；g) g)任何可能影响信息安全管理体系的变更；h) h)改进的建议。6. 3评审输出管理评审的输出应包括以下方面有关的任何决定和措施：a) a)对信息安全管理体系有效性的改进；b) b)修改影响信息安全的程序，必要时，回应内部或外部可能影响信息安全管理体系的 事件，包括以下的变更：1) 1)业务要求；2) 2)安全要求；3) 3)业务过程影响现存的业务要求；4) 4)法规或法律环境；5) 5)风险的等级和/或可接受风险的水平；c) c)资源需求。6. 4内部信息安全管理体系审核组织应按策划的时间间隔进行内部信息安全管理体系审核，以确定信息安全管理体系的控制 目标、控制措施、过程和程序是否：a) a)符合本标准和相关法律法规的要求；b) b)符合识别的信息安全的要求；c) c)被有效地实施和维护；d) d)达到预想的绩效。任何审核活动应策划，策划应考虑过程的状况和重要性，审核的范围以及前次审核的结果。 应确定审核的标准，范围，频次和方法。选择审核员及进行审核应确认审核过程的客观和公 正。审核员不应审核他们自己的工作。应在一个文件化的程序中确定策划和实施审核，报告结果和维护记录见4.3.3的责任及要求. 负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的 原因。改进措施应包括验证采取的措施和报告验证的结果见条款7。7信息安全管理体系改进7. 1持续改进组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管 理评审的信息持续改进信息安全管理体系的有效性。7. 2纠正措施组织应确定措施，以消除与实施和运行信息安全管理体系有关的不合格的原因，防止不合格 的再发生。应为纠正措施编制形成文件的程序，确定以下的要求：a) a)识别实施或运行信息安全管理体系中的不合格；b) b) 确定不合格的原因；c) c)评价确保不合格不再发生的措施的需求；d) d)确定和实施所需的纠正措施；e) e)记录所采取措施的结果见4.3.3;f) f)评审所采取的纠正措施。7. 3预防措施组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程序适应。应为预防措施编制形成文件的程序，以规定以下方面的要求：a) a)识别潜在的不合格及引起不合格的原因；b) b) 确定和实施所需的预防措施；c) c)记录所采取措施的结果见4.3.3；d) d) 评价所采取的预防措施；纠正措施的优先权应以风险评估的结果为基础确定。注：预防不合格的措施总是比纠正措施更节约成本。附录A （引用）控制目标和控制措施A. 1介绍从A.3到A.12列出的控制目标和控制措施是直接引用并与BS ISO/IEC 17799:2000条款3 到12一致。一表中的清单并不彻底，一个组织可能考虑另外必要的控制目标和控制措施。 在这些表中选择控制目标和控制措施是条款4.2.1规定的信息安全管理体系过程的一部分。A. 2实践指南规范BS ISO/IEC 17799： 2000条款3至12提供最佳实践的实施建议和指南以支持A.3到A.12规 范的控制措施。A.3安全方针BS ISO/IEC 17799:2000 编号A.3.1信息安全方针控制目标：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方针文件管理层应提供一份方针方件，出版并在适 当时，沟通给所有员工。3.1.1A.3.1.2评审和评价应经常评审方针文件，尤其在发生决定性 的变化时，确保方针的适宜性3.1.2A.4组织安全BS ISO/IEC 17799:2000 编 号A.4.1信息安全基础设施控制目标：在组织中管理信息安全4.1控制措施A.4.1.1信息安全管理委员 会信息安全管理委员会确保明确的目标和 管理层对启动安全管理可见的支持。管 理委员会应通过适当的承诺和充足的资 源推广安全4.1.1A.4.1.2信息安全协作在大的组织中，应使用一个由从各组织 相关单位的管理者代表组成的跨功能的 委员会，协作实施信息安全控制措施。4.1.2A.4.1.3落实信息安全责任应明确定保护每种资产和负责特定安全 过程的责任4.1.3A.4.1.5对信息处理设施的 授权过程应建立对于新的信息处理设施的管理授权过程4.1.4A.4.1.5专家信息安全建议应从内部或外部搜集专家的信息安全建 议并在组织内部实施协作4.1.5A.4.1.6组织间的合作应与执法机关、主管机关、信息服务提供 者，及通信业者维持适当的接触4.1.6A.4.1.7独立的信息安全 审查应对信息安全方针的实施进行独立的审查4.1.7A.4.2第一方访问的安全控制目标：维护组织的信息处理设施及信息资产被第三方访问时的安全4.2控制措施A.4.2.1确认第三方访问 的风险应对第三方访问组织的信息处理设施所带 来的风险进行评估，并实施适当的安全控 制4.2.1A.4.2.2与第三方合约中 的安全要求涉及第三方访问组织的信息处理设施的安 排，应以包含必要的安全要求在内的正式 合约为基础。4.2.2A.4.3外包控制目标：当信息处理的责任委托其他组织时，应维护信息的安全4.3A.4.3.1外包合约中的安 全要求、当组织将全部或部分的信息系统、网络， 及/或桌面计算机环境的管理及控制外包 时，在双方同意的合约中应载明安全的要 求。.4.3.1A. 5资产分类与控制BS ISO/IEC 17799:2000 编号A.5.1资产的保管责任控制目标:维持对于组织的资产的适切保护5.1控制措施A.5.1.1资产的清单应列出并维护一份与每个信息系统有关 的所有重要资产的清单5.1.1A.5.2信息分类控制目标：确保信息资产受到适当程度的保护控制措施A.5.2.1分类原则信息的分类及相关的保护控制，应适合于 企业运营对于信息分享或限制的需要，以 及这些需要对企业运营所带来的冲击5.2.1A.5.2.2信息的标识及处理应制定信息标识及处理的程序，以符合组 织所采行的分类法则5.2.2A.6人事安全BS ISO/IEC 17799:2000 编 号A.6.1工作说明及人力资源的安全控制目标：降低因人员错误、偷窃、诈欺或不当使用设施所造成的风险6.1控制措施A.6.1.1将安全需求列入 工作职责中组织在信息安全方针中所规定的安全职 责及责任，应适度地书面化于工作职责说 明书中6.1.1A.6.1.2人员筛审及政策应在招聘员工时执行正式员工的验证查 核6.1.2A.6.1.3保密合约员工应签署保密协议作为其启始聘用合 同的一部分6.1.3A.6.1.4聘用合同聘用合同中的应陈述员工对信息安全的 责任6.1.4A.6.2使用者培训控制目标：确保员工了解信息安全的威胁及考虑，并且具备在其日常工作 过程中支持组织的信息安全方针的能力6.2控制措施A.6.2.1信息安全的教育 与培训组织的所有员工以及相关的第三方使用 者，对于组织方针及程序应接受适当、定 期更新的训练6.2.1A.6.3安全及失效事件的响应控制目标：将安全及失效事件所造成的损害降到最小，并监督此类事件， 从中学习6.3A.6.3.1安全事故报告安全事件应在事件被发现之后尽快由适 当的管理途径进行通报6.3.1A.6.3.2安全弱点的报告应要求信息服务的使用者记下并报告任 何观察到的或可疑的有关系统或服务方 面的安全弱点或威胁6.3.2A.6.3.3软件失效事件的 报告应建立报告软件失效事件的相关程序6.3.3A.6.3.4从事件中学习应有适当机制的以量化与监督安全事故 及失效事件的种类、数量、及成本6.3.4A.6.3.5惩处的流程员工违反组织安全方针及程序，应由正式 的惩处流程来处理6.3.5A.7实体及环境安全BS ISO/IEC 17799:2000 编号A.7.1安全区域控制目标：防止对企业运行所在地及信息未经授权的进入、访问、破坏 及干扰7.1控制措施A.7.1.1实体安全边界组织应有安全的边界以保护包含信息处 理设施的区域7.1.1A.7.1.2实体进出控制安全区域应有适当的进出控制加以保 护，以确保只有经授权的人员可以进出7.1.2A.7.1.3应划定安全区域，以保护具有特殊安全 需求的办公处所及设备7.1.3A.7.1.4应对在安全区域中进行的作业有额外的7.1.4控制方法及指导原则以加强安全区域的 安全A.7.1.5递送及装载区域应加以控制，如有可能 应与信息处理设施隔离，以避免未经授 权的访问7.1.5A.7.2设备安全控制目标：预防资产遗产、破坏或损失和防止企业运营活动遭受干扰7.2控制措施A.7.2.1设备的安置及保 护应妥善安置及保护设备，以降低来自环 境的威胁与危险所造成的风险以及未经 授权的访问7.2.1A.7.2.2电源供应应保护设备免于电力失效及其它电力异 常的影响7.2.2A.7.2.3电缆传输安全传输资料或支持信息服务的电力及通讯 电缆，应予以保护免于被拦截或破坏7.2.3A.7.2.4设备维护设备应进行正确维护，以确保其持续的 可用性及完整性7.2.4A.7.2.5组织以外的设备 安全任何在组织所在地以外使用的信息处理 设备应要求管理层授权7.2.5A.7.2.6设备报废或再利 用的安全防护设备在报废或再利用前，应清除在设备 中的信息7.2.6A.7.3 一般控制控制目标：防止信息及信息处理设备的损毁或失窃7.3控制措施A.7.3.1办公桌面净空及 计算机屏幕画面 净空策略组织应具备办公桌面净空及计算机屏幕 画面净空的政策，以降低因信息被未经 授权访问、遗失及损害所造成的风险7.3.1A.7.3.2资产的移出未经授权不得移出组织所拥有的设备、信息及软件7.3.2A.8通讯与操作管理BS ISO/IEC 17799:2000 编号A.8.4.2操作员日志作业人员应维持一份记录其作业活动的工作 日。操作日志应受到经常性的，独立的审查。8.4.2A.8.4.3错误事件登录应通报错误并采取改正行动8.4.3A.8.5网络管理控制目标：确保网络中信息的安全性以及保护支持性的基础设施8.5控制措施A.8.5.1网络控制应实行一系列的控制方法以达成并维护网络 的安全8.5.1A.8.6存储媒体的处理与安全控制目标：防止资产遭受损害以及企业营运活动遭受干扰控制措施A.8.6.1可移动式计算机存 储媒体的管理对于可移动式计算机储存媒体例如磁带、磁 盘以及打印出来的报告的管理应回以控制8.6.1A.8.6.2存储媒体的报废不再需要的储存媒体，应可靠并安全地处置8.6.2A.8.6.3信息的处理程序应建立信息的处理及储存程序，以保护信息 不被未经授权的泄漏或不当使用8.6.3A.8.6.4系统文件的安全应保护系统文件以防未经授权的访问8.6.4A.8.7信息及软件的交换控制目标：防止在组织间交换的信息遭受遗失、修改及不当使用8.7控制措施A.8.7.1信息及软件交换协 议以电子化或人工方式在组织间交换信息及软 件时，应签订协议，其中有些可能是正式的 协议书8.7.1A.8.7.2存储媒体的运送安 全运送存储媒体时应保护其不遭受未经授权的 泄漏、不当使用或毁坏8.7.2A.8.7.3电子商务安全应保护电子商务免于诈欺行为、合约争议以 及信息被泄漏及修改8.7.2A.8.7.4电子邮件的安全应开发一份电子邮件的使用策略，并应有降 低电子邮件所造成的安全风险的适当控制方 法8.7.3A.8.7.5电子化办公室系统 的安全为控制电子化办公室系统所带来的业务与安 全风险，各项政策与指导原则应加以拟定并 实施8.7.5A.8.7.6开放的公用系统信息在成为公众可取用前应有正式的授权过 程，应保护这类信息的完整性以防止未经授 权的修改8.7.6A.8.7.7其它形式的信息交 换应有适当的策略、程序及控制方法来保护经 由传真、语音及影像等通讯设施进行的信息 交换8.7.7A.9访问控制BS ISO/IEC 17799:2000 编号A.9.1企业营运对访问控制的要求 控制目标：控制对于信息的访问9.1控制措施A.9.1.1访问控制策略企业营运对访问控制的要求应加以界定并 文件化，对于信息的访问应如访问控制政策 中所界定的加以限制9.1.1A.9.2使用者访问管理9.2控制目标：确保访问信息系统的权限被适当地授权、落实和维护控制措施A.9.2.1使用者注册应有正式的使用者注册及注销的程序，以进行 所有的多人使用信息系统及服务的访问授权9.2.1A.9.2.2特殊权限的管理对于特殊权限的分配及使用，应加以限制及控 制9.2.2A.9.2.3使用者密码管理对密码的分配，应通过正式的管理流程加以控 制9.2.3A.9.2.4使用者访问权限 的审查管理层应定期执行正式审查过程对于使用者的 访问权限实施评审9.2.4A.9.3使用者责任控制目标：防止未经授权的使用者访问9.3控制措施A.9.3.1密码的使用应要求使用者在选择及使用密码时，遵循良 好的安全惯例9.3.1A.9.3.2无人看管的使用者 设备应要求使用者确保无人看管的使用者设备有适当的保护9.3.2A.9.4网络访问控制 控制目标：保护网络化的服务9.4控制措施A.9.4.1使用网络服务的政策使用者应仅能直接访问已获得特别授权使 用的服务9.4.1A.9.4.2强制性的路径由使用者的终端机至计算机服务器羊的路 径应加以控制9.4.2A.9.4.3外部联机的使用者 认证应对远程使用者的访问进行使用者认证9.4.3A.9.4.4节点认证到远程计算机系统的联机应被认证9.4.4A.9.4.5远程诊断端口的保 护对于诊断断口的访问应可靠地加以控制9.4.5A.9.4.6网络的隔离应引起可在网络中以群组方式隔离信息服 务、使用者及信息系统的控制方法9.4.6A.9.4.7网络联机的控制在分享式的网络中，使用者的联机能力应依 照访问控制策略加以限制9.4.7A.9.4.8网络路由的控制在分享式的网络中，应有路由控制方法以确 保计算机联机及信息流不违反所制定的企 业营运应用软件的访问控制政策9.4.8A.9 （继续）BS ISO/IEC 17799:2000 编号A.9.4.9网络服务的安全对于组织使用网络服务业者提供的所有网 络服务的安全特性，应提供清楚的说明9.4.9A.9.5操作系统访问控制9.5控制目标:防止未经授权的计算机访问控制措施A.9.5.1自动化的终端机 识别应使用自动化的终端机识别,以认证连接到 特定场所及可移动式设备的联机9.5.1A.9.5.2终端机联机程序访问信息服务应有安全的联机流程9.5.2A.9.5.3使用者识别及认 证所有使用者应有唯一的识别码（使用者代 号）专供其个人的使用，以便各项活动可以 追溯至应负责的个人.使用一种适当的认证 技术以真实地识别使用者的身份9.5.3A.9.5.4口令字管理系统密码管理系统应提供有效的、交互式的设 施以确保使用优质的密码9.5.4A.9.5.5系统工具的使用系统工具的使用应加以限制并严格控制9.5.5A.9.5.6提供受胁迫警报 以保护使用者对于可能成为他人胁迫的目标的使用者， 应提供胁迫警报9.5.6A.9.5.7终端机逾时终止在高风险场所或为高风险系统服务终端 机，在进入休止状态达到规定的一段时间 后，应加以关闭以防止未经授权的人进行 访问9.5.7A.9.5.8联机时间的限制应使用联机时间的限制，以提供高风险的 应用程序额外的安全9.5.8A.9.6应用程序访问控制控制目标：防止对于保持在信息系统中的信息进行未经授权的访问9.6控制措施A.9.6.1信息访问限制对于信息及应有系统的功能的访问应依照 访问控制策略加以限制9.6.1A.9.6.2机密性系统的隔 离具机密性质的系统应