信息安全管理标准（DOC 180页）.docx

《信息安全管理标准（DOC 180页）.docx》由会员分享，可在线阅读，更多相关《信息安全管理标准（DOC 180页）.docx（180页珍藏版）》请在三一办公上搜索。

1、BS7799信息安全管理标准Worldwide StandardsHaving trouble locating an overseas standard? BSI has the solutionWITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUNWorldwide Standards Direct is the fast, cost-effective standards service.Contact us on:e-mail:infobsi-Tel +44(0)20 8996 9001Fax +44(0)20 8996 7001Info

2、rmation security managementPart 1: Code of practice for information security management信息安全管理标准第一部分：信息安全管理惯例目录Worldwide Standards2Having trouble locating an overseas standard? BSI has the solution2WITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUN2第一部分：信息安全管理惯例3序14简介15什么是信息安全？15为什么需要信息安全15如何制定安全需求1

3、6评估信息风险16安全控制的选择16信息安全的出发点17重要的成功因素17开发你自己的指导方针171.范围192.术语与定义202.1信息安全202.2风险评估202.3风险管理203.安全策略213.1信息安全策略213.1.1信息安全策略文件213.1.2复审及评估214.安全组织224.1息安全架构224.1.1管理信息安全论坛224.1.2信息安全的协调224.1.3信息安全责任的分配224.1.4息处理设备的授权步骤234.1.5信息安全专家的意见234.1.6组织之间的合作244.1.7信息安全的独立复审244.2第三方访问的安全244.2.1确认第三方访问的风险244.2.1.1

4、访问的种类244.2.1.2访问的原因254.2.1.3现场合同方254.2.2第三方合同的安全要求254.3外包服务264.3.1外包合同的安全要求265.资产分类与控制285.1资产的使用说明285.1.1资产清单285.2信息分类285.2.1分类的指南295.2.2信息标注及处理296.人员安全306.1岗位定义及资源分配的安全306.1.1岗位责任的安全306.1.2人事过滤及策略306.1.3保密协议316.1.4雇佣条款316.2用户培训316.2.1信息安全教育及培训316.3安全事件及失常的反应措施316.3.1报告安全事件326.3.2报告安全的弱点326.3.3报告系统的

5、故障326.3.4吸取教训326.3.5处罚程序327.物理与环境的安全337.1安全区域337.1.1物理安全地带337.1.2物理入口的控制337.1.3保护办公室、房间及设备347.1.4在安全地带工作347.1.5隔离的交付及装载地方347.2设备的安全357.2.1设备的放置及保护357.2.2电力的供应367.2.3电缆线路的安全367.2.4设备的维护367.2.5设备离开大厦的安全377.2.6设备的安全清除或重用377.3一般控制377.3.1收拾桌子及清除屏幕的策略377.3.2财物的搬迁388.通讯与操作的管理398.1操作步骤及责任398.1.1文档化操作程序398.1

6、.2操作变动的控制398.1.3安全事件管理程序408.1.4责任分开制408.1.5开发及正式使用设备的分开418.1.6外部设备的管理418.2系统规划及接收418.2.1储存量的计划428.2.2系统接收428.3对付恶意软件428.3.1控制恶意软件438.4备份及恢复性常务管理438.4.1信息备份438.4.2操作员日志448.4.3对错误进行记录448.5网络管理448.5.1网络控制448.6介质的处理与安全458.6.1可移动计算机介质的管理458.6.2介质的清除458.6.3信息处理的程序468.6.4系统说明文档的安全468.7信息与软件的交换468.7.1信息及软件交

7、换协议468.7.2传递中介质的安全478.7.3电子商务的安全478.7.4电子邮件的安全488.7.4.1安全风险488.7.4.2电子邮件的策略488.7.5电子办公室系统的安全488.7.6可公用的系统498.7.7其它形式的信息交换499.访问控制509.1访问控制的业务需求509.1.1访问控制策略509.1.1.1策略及业务需求509.1.1.2访问控制规定509.2用户访问的管理519.2.1用户登记519.2.2特权管理519.2.3用户口令的管理529.2.4用户访问权限的检查529.3用户责任529.3.1口令的使用529.3.2无人看管的用户设备539.4网络访问控制5

8、39.4.1网络服务的使用策略539.4.2强制式路径549.4.3外部连接的用户认证549.4.4网点认证549.4.5远程诊断端口的保护559.4.6网络的隔离559.4.7网络连接控制559.4.8网络路由的控制559.4.9网络服务的安全569.5操作系统的访问控制569.5.1自动认证终端569.5.2终端的登录程序569.5.3用户标识及认证579.5.4口令管理系统579.5.5系统工具的使用589.5.6为保障安全的人员配备强迫警钟589.5.7终端超时589.5.8连接时间的限制589.6应用系统的访问控制589.6.1信息访问的限制599.6.2敏感系统的隔离599.7系统

9、访问和使用的监控599.7.1事件记录599.7.2监控系统的使用609.7.2.1风险的程序及区域609.7.2.2风险因素609.7.2.3对事件进行日志记录和审查609.7.3时钟的同步619.8移动操作及远程办公619.8.1移动操作619.8.2远程工作6210.系统开发与维护6310.1系统的安全要求6310.1.1安全要求分析及规格6310.2应用系统中的安全6310.2.1输入数据的核实6310.2.2内部处理的控制6410.2.2.1有风险的地方6410.2.2.2检查及控制6410.2.3消息认证6410.2.4输出数据的核实6510.3密码控制6510.3.1密码控制的使

10、用策略6510.3.2加密6610.3.3数字签名6610.3.4不可抵赖服务6610.3.5密钥管理6710.3.5.1密钥的保护6710.3.5.2标准，程序及方法6710.4系统文件的安全6810.4.1运行软件的控制6810.4.2系统测试数据的保护6810.4.3源程序库的访问控制6810.5开发及支持程序的安全6910.5.1改动控制程序6910.5.2操作系统改动的技术检查7010.5.3更改软件包的限制7010.5.4隐蔽通道及特洛伊代码7010.5.5外包软件的开发7011.业务连续性管理7111.1.关于业务连续性管理7111.1.1业务连续性管理的过程7111.1.2业务

11、连续性及影响的分析7111.1.3撰写及实施连续性计划7111.1.4业务连续性计划的框架7211.1.5测试、维护及重新评估业务连续性计划7211.1.5.1测试该计划7211.1.5.2维护及重新评估该计划7312.遵循性7412.1是否遵守法律7412.1.1确定适用的法律7412.1.2知识产权7412.1.2.1版权7412.1.2.2软件版权7412.1.3保障机构的记录7512.1.4数据保护及个人信息的隐私7512.1.5防止信息处理设备被滥用7612.1.6密码控制的规定7612.1.7证据的收集7612.1.7.1证据的规则7612.1.7.2证据的适用性7712.1.7.

12、3证据的质量和完备性7712.2核对安全策略及技术合格性7712.2.1与安全策略一致7712.2.2技术依从性的检查7712.3系统审计的考虑7912.3.1系统审计控制7912.3.2对系统审计工具的保护79第二部分：信息安全管理系统的规范811.范围812.术语与定义813.信息安全管理系统的要求813.1概要813.2建立一个管理架构813.3实施813.4文档823.5文档控制823.6记录834.详细监控854.1安全策略854.1.1 信息安全策略854.1.1.1信息安全策略文档854.1.1.2检查和评价854.2安全组织854.2.1信息安全基础设施854.2.1.1 管理

13、层信息安全论坛854.2.1.2 信息安全的协调854.2.1.3 信息安全职责的分配854.2.1.4 信息处理设施的授权过程864.2.1.5 专家信息安全建议864.2.1.6 各机构之间的协作864.2.1.7 信息安全的独立检查864.2.2 第三方访问的安全864.2.2.1第三方访问的风险的识别864.2.2.2 在第三方合同中的安全要求864.2.3 外部采购864.2.3.1 在外购合同中的安全要求864.3资产分类与控制874.3.1资产的可说明性874.3.1.1资产的盘点874.3.2信息分类874.3.2.1分类方针874.3.2.2信息标签和处理874.4人员安全8

14、74.4.1工作定义和资源中的安全874.4.1.1工作责任的安全874.4.1.2员工筛选和策略874.4.1.3保密协议884.4.1.4雇佣的条款和条件884.4.2 用户培训884.4.2.1 信息安全教育和培训884.4.3 安全事故与故障的处理884.4.3.1 报告突发安全事故884.4.3.2 报告安全弱点884.4.3.3 报告软件故障884.4.3.4 从事故中吸取教训884.4.3.5 纠正过程894.5物理与环境的安全894.5.1 安全地区894.5.1.1 物理安全边界894.5.1.2 物理接口控制894.5.1.3 保护办公室、房间和设施894.5.1.4 在安

15、全地区工作894.5.1.5 隔离的运输和装载地区894.5.2 设备安全894.5.2.1 设备放置地点的选择与保护894.5.2.2 电源供应904.5.2.3 电缆安全904.5.2.4 设备维护904.5.2.5 在机构外部使用设备时应注意的安全性904.5.2.6 设备应该被安全地处理掉和再使用904.5.3 一般控制904.5.3.1 清洁桌面与清洁屏幕策略904.5.3.2 资产的删除904.6通讯与操作的管理904.6.1 操作过程与职责904.6.1.1 记录操作过程914.6.1.2 针对操作变化的控制914.6.1.3 事件管理程序914.6.1.4 职责分离914.6.

16、1.5 开发设施与操作设施的分离914.6.1.6 外部设施管理914.6.2 系统计划与验收914.6.2.1 容量计划914.6.2.2 系统验收914.6.3 针对恶意软件的防护924.6.3.1 采取控制来防范恶意软件924.6.4 内务处理924.6.4.1 信息备份924.6.4.2 操作员日志924.6.4.3 出错日志924.6.5 网络管理924.6.5.1 网络控制924.6.6 介质处理和安全924.6.6.1 计算机可移动介质的管理924.6.6.2 介质处理934.6.6.3 信息处理程序934.6.6.4 系统文档的安全934.6.7 信息及软件的交换934.6.7

17、.1 信息和软件的交流协议934.6.7.2 传输过程中的介质安全934.6.7.3 电子商务安全934.6.7.4 电子邮件安全934.6.7.5 电子办公系统的安全934.6.7.6 信息发布系统的安全944.6.7.7 其它方式的信息交换944.7 访问控制944.7.1 访问控制的商业需求944.7.1.1 访问控制策略944.7.2 用户访问管理944.7.2.1 用户注册944.7.2.2 特权管理944.7.2.3 用户口令管理944.7.2.4 用户访问权限审查954.7.3 用户职责954.7.3.1 口令的使用954.7.3.2 易被忽略的用户设备954.7.4 网络访问控

18、制954.7.4.1 网络服务的使用策略954.7.4.2 增强的路径954.7.4.3 外部连接的用户认证954.7.4.4 节点认证954.7.4.5 对远程诊断端口的保护954.7.4.6 网络隔离964.7.4.7 网络连接控制964.7.4.8 网络路由控制964.7.4.9 网络服务的安全性964.7.5 操作系统访问控制964.7.5.1 自动终端认证964.7.5.2 终端登录过程964.7.5.3 用户标识和认证964.7.5.4 口令管理系统964.7.5.5 系统工具的使用974.7.5.6 用警告信息保护用户974.7.5.7 终端超时974.7.5.8 连接时间的限制

19、974.7.6 应用系统的访问控制974.7.6.1 信息访问限制974.7.6.2 敏感系统的隔离974.7.7 监控对系统的访问和使用974.7.7.1 事件日志974.7.7.2 监控对系统的使用情况984.7.7.3 时钟同步984.7.8 移动计算与远程工作984.7.8.1 移动计算984.7.8.2 远程工作984.8 系统开发与维护984.8.1 系统的安全需求984.8.1.1 安全需求分析与描述984.8.2 应用系统的安全984.8.2.1 对输入数据进行有效性确认984.8.2.2 对内部处理的控制994.8.2.3 消息认证994.8.2.4 对输出数据进行有效性确认

20、994.8.3 密码控制994.8.3.1 密码控制的使用策略994.8.3.2 加密994.8.3.3 数字签名994.8.3.4 不可否认服务994.8.3.5 密钥管理994.8.4 系统文件的安全性1004.8.4.1 对业务软件的控制1004.8.4.2 对系统测试数据的保护1004.8.4.3 对程序源代码库的访问控制1004.8.5 在软件开发与支持过程中的安全性1004.8.5.1 变化控制程序1004.8.5.2 针对操作系统变化的技术审查1004.8.5.3 限制对软件包的修改1004.8.5.4 隐蔽信道和特洛依木马代码1004.8.5.5 外包软件开发1014.9 业务

21、连续性管理1014.9.1 业务连续性管理的各个方面1014.9.1.1 业务连续性管理的进程1014.9.1.2 业务连续性与影响分析1014.9.1.3 连续性计划的撰写与实施1014.9.1.4 业务连续性计划的框架1014.9.1.5 测试、维护与重新评估业务连续性计划1014.10遵循性1014.10.1 与法律要求的一致性1014.10.1.1 识别适用的立法1024.10.1.2 知识产权1024.10.1.3 保护机构的文档记录1024.10.1.4 数据保护与个人信息隐私1024.10.1.5 防止信息处理设备的误用1024.10.1.6 密码控制制度1024.10.1.7

22、证据收集1024.10.2 安全策略与技术遵循性的复审1024.10.2.1 与安全策略的一致性1024.10.2.2 技术遵循性检查1034.10.3 系统审计的考虑1034.10.3.1 系统审计控制1034.10.3.2 系统审计工具的保护103序BS7799的这个部分是在BSI/DISC委员会BDD/2-信息安全管理部监督下完成的，用来代替BS7799:1995.BS7799分两部分发布：-第一部分：信息安全管理惯例-第二部分：信息安全管理规范简介什么是信息安全？信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失

23、及提供最大的投资回报和商机。信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。因此信息安全的特征是保留信息的如下特性：1） 保密性(confidentiality)：保证信息只让合法用户访问；2） 完整性(integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completeness）；3） 可用性(availability)：保证合法用户在需要时可以访问到信息及相关资产。实现信息安全要有一套合适的控制（controls），如策略（policie

24、s）、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。为什么需要信息安全信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。机构对信息系统及服务的依赖意味着更容

25、易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。如何制定安全需求识别出一个机构的安全需求是很重要的。安全需求有三个主要来源。第一个来源是对机构面临的风险的评估。经过评估风险后，便可以找出对机构

26、资产安全的威胁，对漏洞及其出现的可能性以及造成多大损失有个估计。第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处理的规定。评估安全风险安全需求经过系统地评估安全风险而得到确认。实现安全控制的费用应该与由于安全失败所导致的业务损失之间取得平衡。风险评估可以在整个机构或机构的一部分、单个信息系统、某个系统部件或服务上实行，只要是可行的、现实的和有益的就可以了。 风险评估是系统地考虑下列内容的结果：a) 安全措施失效后所造成的业务损失，要考虑到信息和其它资产失去保密性、完整性和可用性后的潜在后果；b

27、) 最常见的威胁、漏洞以及最近实施的安全控制失败的现实可能性。评估结果会有助于指导和确定合适的管理行动和管理信息安全风险的优先次序，以及实施选择的来抵御这些风险的合适的安全控制。风险评估及安全控制的选择的进程可能要重复几次，以便覆盖机构不同部门或个别信息系统。重要的是要定期复审安全风险和实施的安全控制，以便：a) 考虑业务需求和优先级的变化；b) 考虑新出现的威胁与漏洞；c) 确认安全控制仍然有效并且合适。复审应该在不同深度上被执行，这依赖于以前的复审结果和管理层准备接受的风险的变化水平。风险评估一般是首先从高层开始，目的是提高位于高风险区的资源的优先级，然后在一个更详细的层次上来说明特定的风

28、险。选择控制一旦找出了安全需求，下一步应是选择及实施安全控制来保证把风险降低到可接受的水平。安全控制可以从这个标准或其它有关标准选择，也可以自己设计满足特定要求的控制。有很多管理风险的方法，该文档只提供一般方法。但是，应了解到一些安全控制并不适用于每个信息系统或环境，并且并不是对所有的机构都可行。安全控制的选择应该基于实施该安全控制的费用和由此减少的有关风险，以及发生安全事件后所造成的损失，也要考虑非金钱上的损失，如公司声誉的降低等。这份文档所提供的一些安全控制可以作为信息安全管理的指导原则，并且对大部分机构都是适用的。信息安全的出发点有一些安全控制可以被看作指导性原则，可以为实施信息安全提供

29、一个好的出发点。这些控制要么是基于法律的规定，要么被认为是信息安全的常用的最佳实践和经验。从立法的观点出发，机构必不可少的安全控制有：1） 知识产权（参看12.1.2）；2） 对机构文档记录的保护（参看12.1.3）；3） 数据保护及个人信息的隐私（参看12.1.4）。被认为是信息安全的最佳实践的控制包括：1） 信息安全策略文档（参看3.1.1）；2） 信息安全责任的分配（参看4.1.3）；3） 信息安全的教育与培训（参看6.2.1）；4） 报告安全事件（参看6.3.1）；5） 业务连续性管理（参看11.1）。这些安全控制在大部分机构及环境都适用。 虽然这里所提到的安全控制都很重要，但选出合适

30、的安全控制应考虑机构要面对的风险。所以，虽然上面所提出的方法是一个很好的出发点，但不能代替在风险评估基础上选择出的合适的安全控制。关键的成功因素经验表明：以下的因素对在一个机构内成功实施信息安全通常是关键的：1） 反映业务目标的安全策略、安全目标和活动；2） 与机构的文化保持一致性的安全实施方法；3） 来自管理层的可见的支持与承诺；4） 对安全需求、安全评估及安全管理有良好的理解；5） 关于安全的对所有经理及员工的有效宣传；6） 向所有员工和合作伙伴发布关于信息安全策略和标准的指南；7） 提供合适的培训与教育；8） 一套全面而均衡的用来评估信息安全管理的性能和有关改进安全管理的反馈建议的测量系

31、统。开发你自己的指导方针这个安全实践惯例可以作为开发特定机构安全指南的出发点。并不是该指南的所有方面和控制都是适用的。进一步说，该指南不包含的控制也可能成为必须的。当这种情况发生时，保留交叉引用是有所助益的，这有利于审计人员和业务伙伴进行一致性检查。1.范围BS7799的这部分内容为信息安全管理提供了推荐建议，那些负责起动、实现或维护机构安全的人员可以使用这些建议。目的是为开发安全标准和有效的安全管理惯例提供一个公共基础，并提供在机构之间进行交易的信心。2.术语与定义该文档有下列术语和定义：2.1信息安全信息的机密性、完整性和可用性的保存。注释：机密性定义为确保信息仅仅被那些被授权了人员访问。

32、完整性定义为保护信息和处理方法的准确性和完备性。可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。2.2风险评估对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生的可能性的评估。2.3风险管理以可以接受的代价识别、控制、最小化或者消除影响信息系统安全的风险的程序。3.安全策略3.1信息安全策略目的：提供信息安全的管理方向及支持。管理层应该指定清晰的策略方向及大力支持信息安全，并在全机构推行及维护信息安全策略。3.1.1信息安全策略文件一个策略文件应由管理层批准、印制及向员工公布。策略应声明管理层的承诺，及机构管理信息安全的方法。策略至少要包括以下内容：a)信息安全的定

33、义、整体目标和范围以及安全对信息共享的重要性（参看简介）；b)对管理层的意图的声明及支持，以及信息安全的原则；c)安全策略、原则、标准的简介，也包括对机构有特别重要性的法律的要求，例如：1)要符合法律及合同要求；2)安全教育的要求；3)防止及检测病毒及其它恶意代码；4)业务连续性管理；5)违反安全策略的后果。d)信息安全管理的一般和特定责任的定义，包括报告安全事件；e)支持策略的文档的参考说明，例如特别信息系统或安全规定用户应遵守的更详尽的安全策略及程序。该策略应在全机构公布，让有关人员访问和理解透彻。3.1.2复审及评估策略应有一个拥有者，负责按复审程序维护及复审该策略。该复审程序应确保在影

34、响原风险评估基础的任何改动发生后会马上进行复审，例如发生重要的安全事件、出现新漏洞、机构或技术架构的改变。还应该定期安排审查以下内容：a)系统所记录的安全事件的本质、次数及影响所表明的策略的有效性；b)控制对业务效率的影响和成本；c)技术改变的效果。4.安全组织4.1信息安全架构目的：管理机构内的信息安全。应建立一个机构管理架构，在全机构内推行及管理信息的安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角式及协调全机构安全的实施。如有需要，应在机构内建立一个信息安全资源库。应开始与外面的安全专家保持联系，最终最新的行业动态、留意业内标准及评估方法，以及发生安全事件时提供适当

35、的联系方法。应从多方面考虑信息安全，例如，调动部门经理、用户、管理员、应用系统设计者、审计及安全员工及保险和风险管理专家共同制定策略。4.1.1管理信息安全论坛信息安全是所有管理层成员所共有的责任。一个管理论坛应确保有明确的安全目标，及管理层的大力支持。论坛的目是在管理层的承诺及足够资源的情况下，在全机构内推广安全。论坛也可以是管理层的一部分，一般要承担的工作有：1） 检查及批准信息安全策略及整体责任2） 监控对暴露于严重威胁面前的信息资产所作的重大改动3） 检查及监控安全事件4） 审批极大提高信息安全的重要举措应有一个经理负责所有有关安全的活动。4.1.2信息安全的协调在大的机构中，有关部门

36、的管理人员应组成跨越职能部门的安全论坛，来协调信息安全管理的实施，论坛一般会是：1） 统一指派机构内信息安全的角色和责任2） 统一制定信息安全的方法和步骤，例如风险评估、安全分类系统等3） 统一及支持机构的信息安全行动，例如举办安全意识培训4） 确保安全是信息计划的一部分5） 有新系统或服务时，评估个别信息安全控制的准确性，以及协调信息安全控制的实施6） 检查信息安全事件7） 在全机构内提高业务方面对信息安全的支持4.1.3信息安全责任的分配应明确定义保护个人资产及执行某指定安全程序的责任。信息安全策略（参见条款3）应提供如何分配机构安全角式及责任的一般指引。如有需要，应附加某个别网址、系统或

37、服务更详细的指引，也要明确确定物理资产、信息资产及安全进程的本地责任，例如业务连续性计划。很多机构的信息安全经理负责整个安全和控制的开发及实施，但是，寻找及实施控制的责任，则是个别经理负责。一个普遍的做法是定出每种信息安全资产的拥有者，然后这角色负责这资产的日常安全。信息资产的拥有者应把安全责任委派到个别经理或服务提供者。尽管如此，拥有者最终负责资产的安全，并能确定任何委派的责任会被正确放弃。应明确说明每位经理所负的责任范围，特别是：1） 明确定义每个系统所关联的资产及安全程序2） 统一那经理负责那资产或安全程序，并说明责任的详情3） 明确定义及说明授权级别4.1.4信息处理设备的授权步骤应为

38、新的信息处理设备建立管理授权步骤，要考虑的有：1） 新设备要有适当的用户管理批准手续，授权设备的使用及目的，也要有负责维护本地信息系统安全环境的经理的批准，以保证按有关安全策略及要求执行。2） 在任何需要的情况下，检查清楚软、硬件是否与其它系统部件兼容。注意：有些连接需要批准3） 使用个人信息处理设备处理业务信息的任何授权控制4） 在工作地方使用个人信息处理设备会导致新漏洞的出现，所以应经过评估及授权这些控制对互联环境特别重要。4.1.5信息安全专家的意见很多机构可能都需要信息安全专家的意见，最好是内部有这样经验丰富的安全专家，但不是每个机构都想要专家的意见。如果是这样，建议确定一位员工负责协

39、调机构内部的安全事情，及提供安全意见。机构也应找外部的专家，为自己没有经验的安全事情提供意见。信息安全顾问应负责提供信息安全方方面面的意见，他们对安全威胁的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大效益，应让顾问可以直接与整个机构的所有管理层接触。在怀疑发生安全事件时，应在第一时间把信息安全顾问请来，以便第一手知道事件的真相，提供最专业的意见。虽然大部分内部安全调查在管理层的控制下正常执行，但还是需要信息安全顾问的意见、领导及进行调查。4.1.6组织之间的合作应与执法机构、立法机关、信息服务提供者及电信运行商保持联系，以保证安全事件发生后，马上采取行动及取得有关意见。同样理由，

40、也考虑与安全组及行业论坛的成员保持联系。有关安全的信息的交换应被禁止，以保证机构的秘密信息不会传到非法人员。4.1.7信息安全的独立复审信息安全策略文档（参看3.1.1）说明信息安全的策略及责任，策略的实施应受到独立的检查，以保证机构的惯例如实反映策略，并且是可行的及有效的。这样的检查可以由内部审计部门、某经理或第三方有关这方面的机构去执行，因为他们有方面的技术及经验。4.2第三方访问的安全目的：维护被第三方访问的机构信息处理设备及信息资产的安全。应控制来自第三方的对机构信息处理设备的访问。如有业务需要让第三方访问，应先评估风险以确定安全内容及对控制的需求。应该统一要执行的控制并与第三方定义这

41、样的合同。第三方访问也包括其他参与者。准许第三方访问的合同应包括其它可以访问的参与人员的名称及条件。这个标准应该被用作订立这样的合同的基础，也作为考虑需要外包信息处理时的基础。4.2.1确认第三方访问的风险4.2.1.1访问的种类给于第三方访问的访问类型是很特别重要的，例如通过网络连接访问的风险与物理访问的风险不同。要考虑的访问类型有：1） 物理访问，例如进入办公室、计算机房、文件柜等；2） 逻辑访问，例如存取某机构的数据库、信息系统等。4.2.1.2访问的原因让第三方访问可以有很多原因，举例，第三方为机构提供服务，但不能现场找到，只能通过物理及逻辑访问，例如1） 硬件及软件技术支持人员，需要

42、访问到系统级别或应用系统的最底层2） 贸易伙伴或合资伙伴，需要交换信息、访问信息系统或共享数据库没有足够保护的安全管理，让第三方访问会把信息处于危险的地步。但凡有业务需求需要连接到第三方的地点，应先进行风险评估，确定要控制的任何要求。要考虑的有访问方法、信息的价值、第三方所采用的控制，以及这样的访问对机构信息安全的影响。4.2.1.3现场合同方现场的第三方经过合同所定的一段时间后，也会减弱机构的安全，这样的第三方的例子有：1） 硬件及软件维护及技术支持人员2） 清洁服务、膳食服务、保卫服务及其它外包的支持服务3） 学生临时短工及其它短期职务的人员4） 顾问要清楚了解需要那些控制来管理第三方对信

43、息处理设备的访问。通常，所有因第三方访问而引致的访问或内部控制，应反映在第三方的合同中（参看4.2.2）举例，如果有特别需要要保密信息，应考虑签定保密协议（参看6.1.3）不应提供第三方访问信息及信息处理设备的能力，除非已经实施适当的控制及签定有关合同并定出连接或访问的条款。4.2.2第三方合同的安全要求涉及第三方访问机构信息处理设备的安排，应该基于正式签定的合同，包括或参考所有符合机构安全策略及标准的安全要求。合同应没有机构和第三方之间含糊的地方。机构应满足供应商的赔偿。合同条款可以考虑以下：1） 信息安全的总策略；2） 资产的保护，包括：2.1 保护机构资产的程序，包括信息及软件；2.2 确定是否发生破坏资产安全事件的程序，例如数据的丢失或更改；2.3 确保在合同期满或有效期间归还或毁灭信息及资产；2.4 完整性及可用性；2.5 限制拷贝及公开信息；3） 每种可供使用的服务的说明；4） 服务的预期目标及不可接受的服务；5） 适时调动员工的服务；6） 各方对协议所负的责任；7） 法律责任，例如：数据保护的法律，特别是合同涉及与其它国家的机构合作时所牵涉的不同的国家法律系统（参看12.1）；8） 知识产权及版权（参看12.1.2），以及任何合作成果的保护（参