信息安全管理業(yè)務(wù)手則(1)

前言

BS7799本部分內(nèi)容，即信息安全管理，是在BSI/DISC委員會(huì)BDD/2指導(dǎo)

下完成的。它取代了已經(jīng)停止使用的BS7799:1995o

BS7799由兩個(gè)部分構(gòu)成：

a)第一部分：信息安全管理業(yè)務(wù)守則：

b)第二部分：信息安全管理系統(tǒng)規(guī)范。

RS7799-1首發(fā)于1995年,它為信息安全提供了一套全面綜合最佳實(shí)踐經(jīng)驗(yàn)的

操縱措施。其R的是將信息系統(tǒng)用于工業(yè)與商業(yè)用途時(shí)為確定實(shí)施操縱措施的范

圍提供一個(gè)參考根據(jù)，同時(shí)能夠讓各類規(guī)模的組織所使用。

本標(biāo)準(zhǔn)使用組織這一術(shù)語，既包含廉利性組織，也包含諸如公共部門等非贏利性

組織。

1999年的修訂版考慮到最新的信息處理技術(shù)應(yīng)用，特別是網(wǎng)絡(luò)與通訊的進(jìn)展情

況。它也更加強(qiáng)調(diào)了信息安全所涉及的商業(yè)問題與責(zé)任問題。

本文檔所說明的操縱措施不可能完全適用于所有情況。它沒有考慮到本地系統(tǒng)、

環(huán)境或者技術(shù)上的制約因素。同時(shí)在形式上也不可能完全適合組織的所有潛在用

戶。因此，本文檔還需要有進(jìn)一步的指導(dǎo)說明作為補(bǔ)充。比如，在制定公司策略

或者公司間貿(mào)易協(xié)定時(shí)，能夠使用本文檔作為一個(gè)基石。

BritishStandard作為一個(gè)業(yè)務(wù)守則，在形式上使用指導(dǎo)與建議結(jié)合的方式。在使

用時(shí)，不應(yīng)該有任何條條框框，特別特別注意，不要由于要求遵守守則而因噎廢

食。

本標(biāo)準(zhǔn)在起草時(shí)就已經(jīng)假定一個(gè)前提條件，即標(biāo)準(zhǔn)的執(zhí)行對(duì)象是具有相應(yīng)資格

的、富有經(jīng)驗(yàn)的有關(guān)人士c附件A的信息非常豐富，其中包含一張表，說明了

1995年版各部分與1999年版各條款間的關(guān)系。BritishStandard無意包容合約

的所有必要條款。BritishStandards的用戶對(duì)他們正確使用本標(biāo)準(zhǔn)自負(fù)責(zé)任。

符合BritishStandard不代表其本身豁免法律義務(wù)。

什么是信息安全?

信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對(duì)一個(gè)組織來說是有價(jià)值的，

因此需要妥善進(jìn)行保護(hù)。信息安全保護(hù)信息免受多種威脅的攻擊，保證業(yè)務(wù)連續(xù)

性,將業(yè)務(wù)缺失降至最少.同時(shí)最大限度地獲得投資I可報(bào)與利用商業(yè)機(jī)遇C信息

存在的形式多種多樣。它能夠打印或者寫在紙上，以電子文檔形式儲(chǔ)存，通過郵

寄或者電子手段傳播，以膠片形式顯示或者在交談中表達(dá)出來。不管信息的形式

如何，或者通過什么手段進(jìn)行共享或者存儲(chǔ)，都應(yīng)加以妥善保護(hù)。

信息安全具有下列特征：

a）保密性：確保只有通過授權(quán)的人才能訪問信息；

b）完整性：保護(hù)信息與信息的處理方法準(zhǔn)確而完整；

c）可用性：確保通過授權(quán)的用戶在需要時(shí)能夠訪問信息并使用有關(guān)信息資

產(chǎn)。

信息安全是通過實(shí)施一整套適當(dāng)?shù)牟倏v措施實(shí)現(xiàn)的。操縱措施包含策略、實(shí)踐、

步驟、組織結(jié)構(gòu)與軟件功能。務(wù)必建立起一整套的操縱措施，確保滿足組織特定

的安全目標(biāo)。

為什么需要信息安全

信息與支持進(jìn)程、系統(tǒng)與網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。為保證組織富有競(jìng)爭(zhēng)力，保

持現(xiàn)金流順暢與組織贏利，與遵紀(jì)守法與保護(hù)組織的良好商業(yè)形象，信息的保密

性、完整性與可用性是至關(guān)重要的。

各個(gè)組織及其信息系統(tǒng)與網(wǎng)絡(luò)所面臨的安全威脅與日俱增，來源也日益廣泛，包

含利用計(jì)算機(jī)欺詐、竊取機(jī)密、惡意詆毀破壞等行為與火災(zāi)或者水災(zāi)。危害的來

源多種多樣，如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客行為、拒絕服務(wù)攻擊等等，這些行為呈

蔓延之勢(shì)遍、用意更加險(xiǎn)惡，而且手段更加復(fù)雜。組織對(duì)信息系統(tǒng)與服務(wù)的依靠

意味著自身更容易受到安全威脅的攻擊。公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的互聯(lián)與對(duì)信息資

源的共享，增大了對(duì)訪問進(jìn)行操縱的難度C分布式計(jì)算盡管十分流行，但降低了

集中式方家級(jí)操縱措施的有效性。很多信息系統(tǒng)在設(shè)計(jì)時(shí)，沒有考慮到安全問題。

通過技術(shù)手段獲得安全保障十分有限，務(wù)必輔之以相應(yīng)的管理手段與操作程序才

能得到真正的安全保障。確定需要使用什么操縱措施需要周密計(jì)劃，并對(duì)細(xì)節(jié)問

題加以注意。

作為信息安全管理的最基本要求，組織內(nèi)所有的雇員都應(yīng)參與信息安全管理。信

息安全管理還需要供應(yīng)商、客戶或者股東的參與。也需要參考來自組織之外的專

家的建議。

假如在制定安全需求規(guī)范與設(shè)計(jì)階段時(shí)就考慮到了信息安全的操縱措施，那么信

息安全操縱的成本會(huì)很低，并更有效率。

如何制定安全要求

組織確定自己的安全要求，這是安全保護(hù)的起點(diǎn)。安全要求有三個(gè)要緊來源。第

一個(gè)來源是對(duì)組織面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估的結(jié)果。通過風(fēng)險(xiǎn)評(píng)估，確定風(fēng)險(xiǎn)與安全

漏洞對(duì)資產(chǎn)的威脅，并評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的可能性與潛在的影響。

笫二個(gè)來源是組織、其商業(yè)伙伴、承包商與服務(wù)提供商務(wù)必滿足的法律、法令、

規(guī)章與合約方面的要求。

第三個(gè)來源是?組專門的信息處理的原則、目標(biāo)與要求，它們是組織為了進(jìn)行信

息處理務(wù)必制定的。

評(píng)估安全風(fēng)險(xiǎn)

安全要求是通過對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估確定的。應(yīng)該將實(shí)施操縱措施的支出與安

全故障可能造成的商業(yè)缺失進(jìn)行權(quán)衡考慮。風(fēng)險(xiǎn)評(píng)估技術(shù)適用于整個(gè)組織，或者

者組織的某一部分與獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件或者服務(wù)等。在這些地方，

風(fēng)險(xiǎn)評(píng)估技術(shù)不僅切合實(shí)際，而且也頗有助益。

進(jìn)行風(fēng)險(xiǎn)評(píng)估需要系統(tǒng)地考慮下列問題：

a）安全故障可能造成的業(yè)務(wù)缺失，包含由于信息與其它資產(chǎn)的保密性、完整性

或者可用性缺失可能造成的后果；

b）當(dāng)前要緊的威脅與漏洞帶來的現(xiàn)實(shí)安全問題，與目前實(shí)施的操縱措施。

評(píng)估的結(jié)果有助于指導(dǎo)用戶確定適宜的管理手段，與管理信息安全風(fēng)險(xiǎn)的優(yōu)先順

序，并實(shí)施所選的操縱措施來防范這些風(fēng)險(xiǎn)。務(wù)必多次重復(fù)執(zhí)行評(píng)估風(fēng)險(xiǎn)與選擇

操縱措施的過程，以涵蓋組織的不一致部分或者各個(gè)獨(dú)立的信息系統(tǒng)。

對(duì)安全風(fēng)險(xiǎn)與實(shí)施的操縱措施進(jìn)行定期審查非常重要，目的是:

a）考慮業(yè)務(wù)要求與優(yōu)先順序的變更；

b）考慮新出現(xiàn)的安全威脅與漏洞；

c）確認(rèn)操縱措施方法是否適當(dāng)與有效。

應(yīng)該根據(jù)往常的評(píng)估結(jié)果與管理層能夠同意的風(fēng)險(xiǎn)程度變化對(duì)系統(tǒng)安全執(zhí)行不

一致程度的審查。通常先在一個(gè)較高的層次上對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估（這是一種優(yōu)先處

理高風(fēng)險(xiǎn)區(qū)域中的資源的方法），然后在一個(gè)具體層次上處理特定的風(fēng)險(xiǎn)。

選擇操縱措施

一旦確定了安全要求，就應(yīng)選擇并實(shí)施適宜的操縱措施，確保將風(fēng)險(xiǎn)降低到一個(gè)

可同意的程度。能夠從本乂檔或者其它操縱措施集合選擇適合的操縱措施，也能

夠設(shè)計(jì)新的操縱措施，以滿足特定的需求。管理風(fēng)險(xiǎn)有許多方法，本文檔提供了

常用方法的示例。但是，請(qǐng)務(wù)必注意,其中一些方法并不適用于所有信息系統(tǒng)或

者環(huán)境，而且可能不適用于所有組織。比如，8.1.4說明了如何劃分責(zé)任來防止

欺詐行為與錯(cuò)誤行為。在較小的組織中很難將所有責(zé)任劃分清晰，因此需要使用

其它方法以達(dá)到同樣的操縱目的。

在降低風(fēng)險(xiǎn)與違反安全造成的潛在缺失時(shí)，應(yīng)該根據(jù)實(shí)施操縱措施的成本選擇操

縱措施。還應(yīng)該考慮聲譽(yù)受損等非貨幣因素。本文檔中的一些操縱措施能夠作為

信息安全管理的指導(dǎo)性原則，這些方法適用于大多數(shù)組織。在下文的“信息安全

起點(diǎn)”標(biāo)題下，對(duì)此做了較為全面的解釋。

信息安全起點(diǎn)

很多操縱措施都能夠作為指導(dǎo)性原則，它們?yōu)閷?shí)施信息安全提供了一個(gè)很好的起

點(diǎn)。這些方法能夠是根據(jù)基本的法律要求制定的，也能夠從信息安全的最佳實(shí)踐

經(jīng)驗(yàn)中獲得。

從規(guī)律規(guī)定的角度來看，對(duì)組織至關(guān)重要的操縱措施包含：

a）知識(shí)產(chǎn)權(quán)（參閱12.1.2）；

b）組織記錄的保護(hù)（參閱12.1.3）;

c）對(duì)數(shù)據(jù)的保護(hù)與個(gè)人信息的隱私權(quán)保護(hù)（參閱12.1.4）o

在保護(hù)信息安全的實(shí)踐中，非常好的常用操縱措施包含:

a）信息安全策略文檔〔參閱3.1.1）；

b）信息安全責(zé)任的分配（參閱4.1.3）;

c）信息安全教育與培譏（參閱6.2.1）；

d）報(bào)告安全事故（參閱6.3.1）;

e）業(yè)務(wù)連續(xù)性管理（參閱11.1）。

這些操縱措施適用于大多數(shù)組織，并可在大多數(shù)環(huán)境中使用。請(qǐng)注意，盡管本文檔中的所有文檔

都很重要，但一種方法是否適用，還是取決于一個(gè)組織所面臨的特定安全風(fēng)險(xiǎn)。因此，盡管使用

上述措施能夠作為一個(gè)很好的安全保護(hù)起點(diǎn)，但不能取代根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇操縱措施的要

求。

成功的關(guān)鍵因素

以往的經(jīng)驗(yàn)說明，在組織中成功地實(shí)施信息安全保護(hù)，下列因素是非常關(guān)鍵的：

a）反映組織目標(biāo)的安全策略、目標(biāo)與活動(dòng)；

b）與組織文化一致的實(shí)施安全保護(hù)的方法；

c）來自管理層的實(shí)際支持與承諾；

d）對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的深入懂得；

e）向全體管理人員與雇員有效地推銷安全的理念；

f）向所有雇員與承包商宣傳信息安全策略的指導(dǎo)原則與標(biāo)準(zhǔn)；

g）提供適當(dāng)?shù)呐嘤?xùn)與教育；

h）一個(gè)綜合平衡的測(cè)量系統(tǒng)，用來評(píng)估信息安全管理的執(zhí)行情況與反饋意見

與建議，以便進(jìn)一步改進(jìn)。

制定自己的指導(dǎo)方針

業(yè)務(wù)規(guī)則能夠作為制定組織專用的指導(dǎo)原則的起點(diǎn)。本業(yè)務(wù)規(guī)則中的指導(dǎo)原則與

操縱措施并非全部適用。因此，還可能需要本文檔未包含的其它操縱措施。出現(xiàn)

上述情況時(shí)，各操縱措施之間相互參照很有用，有利于審計(jì)人員與業(yè)務(wù)伙伴檢查

是否符合安全指導(dǎo)原則。

目錄

1...........................................................................................................................................................................12

2術(shù)語與定義....................................................................13

2.1信息安全....................................................................13

2.2風(fēng)險(xiǎn)評(píng)估...................................................................13

2.3風(fēng)險(xiǎn)管理...................................................................13

3安全策略.....................................................................14

3.1信息安全策略..............................................................14

3.1.1信息安全策略文檔........................................................14

3.1.2審查評(píng)估..............................................................14

4組織的安全..............................................................15

4.1信息安全基礎(chǔ)設(shè)施...........................................................15

4.1.1管理信息安全論壇........................................................15

4.1.2信息安全的協(xié)調(diào)..........................................................15

4.1.3信息安全責(zé)任的劃分......................................................15

4.1.4信息處理設(shè)施的授權(quán)程序................................................16

4.1.5專家信息安全建議........................................................16

4.1.6組織間的合作............................................................16

4.1.7信息安全的獨(dú)立評(píng)審....................................................17

4.2第三方訪問的安全性.........................................................17

4.2.1確定第三方訪問的風(fēng)險(xiǎn)..................................................17

4.2.2第三方合同的安全要求..................................................18

4.3外包.......................................................................19

4.3.1外包合同的安全要求.....................................................19

5資產(chǎn)分類管理.................................................................20

5.1費(fèi)產(chǎn)貢任...................................................................20

5.1.1資產(chǎn)目錄..............................................................20

5.2信息分類...................................................................20

5.2.1分類原則...............................................................20

5.2.2信息標(biāo)識(shí)與處理.........................................................21

6人員安全.....................................................................22

6.1責(zé)任定義與資源管理的安全性.................................................22

6.1.1考慮工作責(zé)任中的安全因素...............................................22

6.1.2人員選拔策略............................................................22

6.1.3保密協(xié)議................................................................22

6.1.4雇傭條款與條件.........................................................22

62用戶培訓(xùn)...................................................................23

6.2.1信息安全的教育叮培訓(xùn)...................................................23

6.3對(duì)安全事故與故障的處理....................................................23

6.3.1安全事故報(bào)告...........................................................23

6.3.2安全漏洞報(bào)告............................................................23

6.3.3軟件故障報(bào)告...........................................................24

6.3.4從事故中吸取教訓(xùn).......................................................24

6.3.5紀(jì)律檢查程序...........................................................24

7實(shí)際與環(huán)境的安全..............................................................25

7.1安全區(qū).....................................................................25

7.1.1實(shí)際安全隔離帶.........................................................25

7.1.2安全區(qū)出入操縱措施...............................................25

7.1.3辦公場(chǎng)所、房屋與設(shè)施的安全保障.........................................26

7.1.4在安全區(qū)中工作...................................................26

7.1.5與其它區(qū)域隔離的交貨與裝我區(qū)域.........................................26

7.2設(shè)備的安全.................................................................27

7.2.1設(shè)備選址＞保護(hù)..........................................................27

7.2.2電源....................................................................28

7.2.3電纜安全................................................................28

7.2.4設(shè)備保護(hù)................................................................28

7.2.5場(chǎng)外設(shè)備的安全..........................................................28

7.2.6設(shè)備的安全處置與之用...................................................29

7.3常規(guī)操縱措施...............................................................29

7.3.1桌面與屏幕管理策略.....................................................29

7.3.2資產(chǎn)處置..............................................................30

8通信與操作管理...............................................................31

8.1操作程序與責(zé)任.............................................................31

8.1.1明確的操作程序.........................................................31

8.1.2操作變更操縱...........................................................31

8.L3事故管理程序...........................................................31

8.L4責(zé)任劃分................................................................32

8.1.5開發(fā)設(shè)施一運(yùn)營設(shè)施分離.................................................32

8.1.6外部設(shè)施管理...........................................................33

8.2系統(tǒng)規(guī)劃與驗(yàn)收.............................................................33

8.2.1容量規(guī)劃................................................................34

8.2.2系統(tǒng)驗(yàn)收................................................................34

8.3防止惡意軟件...............................................................35

8.3.1惡意軟件的操縱措施.....................................................35

8.4內(nèi)務(wù)處理....................................................................36

8.4.1信息備份................................................................36

8.4.2操作人員FI志............................................................36

%1.3錯(cuò)誤日志記錄............................................................36

8.5網(wǎng)絡(luò)管理...................................................................36

8.5.1網(wǎng)絡(luò)操縱措施...........................................................37

8.6介質(zhì)處理與安全.............................................................37

8.6.1計(jì)算機(jī)活動(dòng)介質(zhì)的管理...................................................37

8.6.2介質(zhì)處置................................................................37

8.6.3信息處理程序...........................................................38

8.6.1系統(tǒng)文檔的安全.........................................................38

8.7信息與軟件交換.............................................................38

8.7.1信息與軟件交換協(xié)議......................................................38

8.7.2傳輸中介質(zhì)的安全.......................................................39

8.7.3電子商務(wù)安全............................................................39

8.7.4電子郵件安全............................................................40

8.7.5電子辦公系統(tǒng)安全........................................................40

8.7.6信息公布系統(tǒng)............................................................41

8.7.7其它的信息交換形正......................................................41

9訪問操縱.....................................................................43

9.1訪問操縱的業(yè)務(wù)要求........................................................43

9.1.1訪問操縱策略..........................................................43

9.2用戶訪問管理...............................................................44

9.2.1用戶注冊(cè)................................................................44

9.2.2權(quán)限管理................................................................44

9.2.3用戶口令管理............................................................45

9.2.4用戶訪問權(quán)限檢杳.......................................................45

9.3用戶責(zé)任...................................................................46

9.3.1口令的使用.............................................................46

9.3.2無人值守的用戶設(shè)備.....................................................46

9.4網(wǎng)絡(luò)訪問操縱...............................................................46

9.4.1網(wǎng)絡(luò)服務(wù)的使用策略......................................................47

9.4.2實(shí)施操縱的路徑.........................................................47

9.4.3外部連接的用戶身份驗(yàn)證.................................................47

9.4.4節(jié)點(diǎn)驗(yàn)證...............................................................48

9.4.5遠(yuǎn)程診斷端口的保護(hù).....................................................48

9.4.6網(wǎng)絡(luò)劃分................................................................48

9.4.7網(wǎng)絡(luò)連接操縱............................................................48

9.4.8網(wǎng)絡(luò)路由操縱............................................................49

9.1.9網(wǎng)絡(luò)服務(wù)安全............................................................49

9.5操作系統(tǒng)訪問操縱..........................................................50

9.5.1終端自動(dòng)識(shí)別功能.......................................................50

9.5.2終端登錄程序...........................................................50

9.5.3用戶身份識(shí)別與驗(yàn)證.....................................................50

9.5.4口令管理系統(tǒng)............................................................51

9.5.5系統(tǒng)有用程序的使用.....................................................51

9.5.6保護(hù)用戶的威脅報(bào)警.....................................................52

9.5.7終端超時(shí)...............................................................52

9.5.8連接時(shí)間限制...........................................................52

9.6應(yīng)用程序訪問操縱..........................................................53

9.6.1信息訪問限制...........................................................53

9.6.2敏感系統(tǒng)的隔離.........................................................53

9.7監(jiān)控系統(tǒng)的訪問與使用.......................................................54

9.7.1事件日志記錄............................................................54

9.7.2監(jiān)捽系統(tǒng)的使用..........................................................54

9.7.3時(shí)鐘同步................................................................55

9.8移動(dòng)計(jì)算與遠(yuǎn)程工作........................................................56

9.8.1移動(dòng)計(jì)算..............................................................56

9.8.2遠(yuǎn)程工作..............................................................56

10系統(tǒng)開發(fā)與保護(hù).............................................................58

10.1系統(tǒng)的安全要求...........................................................58

10.LI安全要求分析與說明...................................................58

10.2應(yīng)用系統(tǒng)中的安全.......................................................58

10.2.1輸入數(shù)據(jù)驗(yàn)證.........................................................58

10.2.2內(nèi)部處理的操縱.......................................................59

10.2.3消息驗(yàn)證.............................................................59

10.2.1輸出數(shù)據(jù)驗(yàn)證.........................................................60

10.3加密操縱措施.............................................................60

10.3.1加密操縱措施的使用策略...............................................60

10.3.2加密.................................................................60

10.3.3數(shù)字卷名.............................................................61

10.3.4不否認(rèn)服務(wù)...........................................................61

10.3.5密鑰管理.............................................................61

10.4系統(tǒng)文件的安全..........................................................62

10.4.1操作軟件的操縱........................................................62

10.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)...................................................63

10.4.3對(duì)程序源代碼庫的訪問操縱.............................................63

10.5開發(fā)與支持過程中的安全...................................................63

10.5.1變更操縱程序.........................................................63

10.5.2操作系統(tǒng)變更的技術(shù)評(píng)審...............................................64

10.5.3對(duì)軟件包變更的限制...................................................64

10.5.4隱蔽通道與特洛伊代碼.................................................64

10.。5外包的軟件開發(fā).......................................................65

11業(yè)務(wù)連續(xù)性管理................................................................66

11.1業(yè)務(wù)連續(xù)性管理的特點(diǎn)....................................................66

ILL1業(yè)務(wù)連續(xù)性管理程序....................................................66

11.1.2業(yè)務(wù)連續(xù)性與影響分析..................................................66

11.1.3編寫與實(shí)施連續(xù)性計(jì)劃..................................................66

ILL4業(yè)務(wù)連續(xù)性計(jì)劃框架....................................................67

ILL5業(yè)務(wù)連續(xù)性計(jì)劃的檢查、保護(hù)與事新分析.................................67

12符合性.....................................................................69

12.1符合法律要求.............................................................69

12.1.1確定適用法律.........................................................69

12.L2知識(shí)產(chǎn)權(quán)（IPR）.......................................................69

12.1.3組織記錄的安全保障...................................................69

12.1.4個(gè)人信息的數(shù)據(jù)保護(hù)與安全.............................................70

12.1.5防止信息處理設(shè)施的濫用...............................................70

12.1.6加密操縱措施的調(diào)整...................................................71

12.L7證據(jù)收集.............................................................71

12.2安全策略與技術(shù)符合性的評(píng)審...............................................72

12.2.1符合安全策略..........................................................72

12.2.2技術(shù)符合性檢查........................................................72

12.3系統(tǒng)審計(jì)因素.............................................................72

12.3.1系統(tǒng)審計(jì)操縱措施......................................................72

12.3.2系統(tǒng)審計(jì)工具的保護(hù)....................................................73

范圍

BS7799本部分內(nèi)容為那些負(fù)責(zé)執(zhí)行或者保護(hù)組織安全的人員提供使用信息安

全管理的建議。目的是為制定組織安全標(biāo)準(zhǔn)與有效安全管理提供共同基礎(chǔ)，并提

高組織間相互協(xié)調(diào)的信心,

術(shù)語與定義

在說明本文檔用途中應(yīng)用了下列定義。

信息安全

信息保密性、完整性與可用性的保護(hù)

注意

保密性的定義是確保只有獲得授權(quán)的人才能訪問信息。

完整性的定義是保護(hù)信息與處理方法的準(zhǔn)確與完整。

可用性的定義是確保獲得授權(quán)的用戶在需要時(shí)能夠訪問信息并使用有關(guān)信息資

產(chǎn)。

風(fēng)險(xiǎn)評(píng)估

評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來的威脅與影響及其發(fā)生的可能性

風(fēng)險(xiǎn)管理

以能夠同意的成本，確認(rèn)、操縱、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或者將其帶

來的危害最小化的過程

安全策略

信息安全策略

目標(biāo):提供管理指導(dǎo),保證信息安全。

管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過在整個(gè)組織中公布與保護(hù)信息安

全策略，說明自己對(duì)信息安全的支持與保護(hù)責(zé)任。

信息安全策略文檔

策略文檔應(yīng)該由管理層批準(zhǔn)，根據(jù)情況向所有員工公布傳達(dá)。文檔應(yīng)說明管理人

員承擔(dān)的義務(wù)與責(zé)任，并制定組織的管理信息安全的步驟。至少應(yīng)包含下列指導(dǎo)

原則：

a）信息安全的定義、其總體目標(biāo)及范圍與安全作為‘呆障信息共享的機(jī)制所具

有的重要性（參閱簡(jiǎn)介）；

b）陳述信息安全的管理意圖、支持目標(biāo)與指導(dǎo)原貝!；

c）簡(jiǎn)要說明安全策略、原則、標(biāo)準(zhǔn)與需要遵守的各項(xiàng)規(guī)定。這對(duì)組織非常重

要，比如：

1）符合法律與合約的要求；

2）安全教育的要求；

3）防止并檢測(cè)病毒與其它惡意軟件;

4）業(yè)務(wù)連續(xù)性管理;

5）違反安全策略的后果；

d）確定信息安全管理的通常責(zé)任與具體責(zé)任，包含報(bào)告安全事故；

e）參考支持安全策略的有關(guān)文獻(xiàn)，比如針對(duì)特定信息系統(tǒng)的更為詳盡的安全

策略與方法與用戶應(yīng)該遵守的安全規(guī)則。安全策略應(yīng)該向組織用戶傳達(dá)，

形式上是針對(duì)目標(biāo)讀者，并為讀者同意與懂得。

審查評(píng)估

每個(gè)策略應(yīng)該有一個(gè)負(fù)責(zé)人，他根據(jù)明確規(guī)定的審查程序計(jì)策略進(jìn)行保護(hù)與審

So審杳過程應(yīng)該確保在發(fā)生影響最初風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)的變化（如發(fā)生重大安全

事故、出現(xiàn)新的漏洞與組織或者技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時(shí)，計(jì)策略進(jìn)行相應(yīng)的

審查。還應(yīng)該進(jìn)行下列預(yù)定的、階段性的審查：

a）檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量與影響反映出來;

b）操縱措施的成本及其業(yè)務(wù)效率的影響；

c）技術(shù)變化帶來的影響。

組織的安全

信息安全基礎(chǔ)設(shè)施

目標(biāo):管理組織內(nèi)部的信息安全。

應(yīng)該建立管理框架，在組織內(nèi)部開展與操縱信息安全的管理實(shí)施。應(yīng)該建立有管

理領(lǐng)導(dǎo)層參加的管理論壇，以批準(zhǔn)信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍

的安全策略實(shí)施。根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個(gè)

組織使用。建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)與

評(píng)估方法同步，并在處理安全事故時(shí)汲取他們的觀點(diǎn)。應(yīng)該鼓勵(lì)使用跨學(xué)科跨范

圍的信息安全方法，比如，讓管理人員、用戶、行政人員、應(yīng)用程序設(shè)計(jì)人員、

審計(jì)人員與安全人員與專家協(xié)同工作，讓他們參與保險(xiǎn)與風(fēng)險(xiǎn)管理的工作。

管理信息安全論壇

信息安全是一種由管理團(tuán)隊(duì)所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任。應(yīng)該建立一個(gè)管理論

壇，確保對(duì)安全措施有一人明確的方向并得到管理層的實(shí)際支持。論壇應(yīng)通過合

理的責(zé)任分配與有效的資源管理促進(jìn)組織內(nèi)部安全。該淪壇能夠作為目前管理機(jī)

構(gòu)的一個(gè)構(gòu)成部分。通常，論壇有下列作用：

a）審查與核準(zhǔn)信息安全策略與總體責(zé)任；

b）當(dāng)信息資產(chǎn)暴露受到嚴(yán)重威脅時(shí)，監(jiān)視重大變化；

c）審查與監(jiān)控安全事故；

d）審核加強(qiáng)信息安全的重要活動(dòng)。

一個(gè)管理人員應(yīng)負(fù)責(zé)所有與安全有關(guān)的活動(dòng)。

信息安全的協(xié)調(diào)

在大型組織中，需要建立一個(gè)與組織規(guī)模相宜的跨部門管理論壇，由組織有關(guān)部

門的管理代表參與，通過論壇協(xié)調(diào)信息安全操縱措施的實(shí)施情況。

通常，這類論壇：

a）就整個(gè)公司的信息安全的作用與責(zé)任達(dá)成一致；

b）就信息安全的特定方法與處理過程達(dá)成一致，如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng);

c）就整個(gè)公司的信息安全活動(dòng)達(dá)成一致并提供支持，比如安全警報(bào)程序；

d）確保將安全作為制定信息計(jì)劃的一個(gè)部分;

e）對(duì)操縱措施是否完善進(jìn)行評(píng)估，并協(xié)調(diào)新系統(tǒng)或者新服務(wù)的特定信息安全

操縱措施的實(shí)施情況；

0審查信息安全事故；g）在整個(gè)組織中增加對(duì)信息安全工作支持的力度。

信息安全責(zé)任的劃分

應(yīng)該明確保護(hù)個(gè)人資產(chǎn)與執(zhí)行具體安全程序步驟的責(zé)任。信息安全策略（請(qǐng)參閱

條款3）應(yīng)提供在組織內(nèi)分配安全任務(wù)與責(zé)任的通常指導(dǎo)原則。假如需要，能夠

為特定的站點(diǎn)、系統(tǒng)或者服務(wù)補(bǔ)充更加全面的指導(dǎo)原則。應(yīng)明確說明對(duì)各個(gè)實(shí)際

資產(chǎn)與信息資產(chǎn)與安全進(jìn)程（如業(yè)務(wù)連續(xù)性規(guī)劃）的保護(hù)責(zé)任。

在很多組織中，指定信息安全管理員負(fù)責(zé)開展與實(shí)施安全保護(hù)，并借助確定操縱

措施。但是，資源管理與實(shí)施操縱措施仍由各個(gè)管理人員負(fù)責(zé)。一種常用的方法

是為每項(xiàng)信息資產(chǎn)指定一個(gè)所有者，并由他負(fù)責(zé)該資產(chǎn)的日常安全問題。

信息資產(chǎn)的所有者將其所承擔(dān)的安全責(zé)任委托給各個(gè)管理人員或者服務(wù)提供商。

盡管所有者仍對(duì)該資產(chǎn)的安全負(fù)有最終責(zé)任，但能夠確定被委托的人是否正確履

行了責(zé)任。一定要明確說明各個(gè)管理人員所負(fù)責(zé)的范圍;特別是要明確下列范圍。

a）務(wù)必確定并明確說明由誰負(fù)責(zé)各類資產(chǎn)與與每個(gè)系統(tǒng)有關(guān)的安全進(jìn)程。

b）應(yīng)該確定負(fù)責(zé)各個(gè)資產(chǎn)與安全進(jìn)程的管理人員，并記錄責(zé)任的具體落實(shí)情

況。

c）應(yīng)明確規(guī)定授權(quán)級(jí)別并進(jìn)行備案。

信息處理設(shè)施的授權(quán)程序

關(guān)于新的信息處理設(shè)施，應(yīng)該制定管理授權(quán)程序。

應(yīng)考慮下列問題。

a）新設(shè)施應(yīng)獲得適當(dāng)?shù)挠脩艄芾韺徍耍跈?quán)新設(shè)施的范圍與使用。應(yīng)獲得負(fù)

責(zé)保護(hù)本地信息系統(tǒng)安全環(huán)境的管理人員的批準(zhǔn)，以確保符合所有有關(guān)安

全策略與要求。

b）假如需要，應(yīng)檢查硬件與軟件以確保它們與其它系統(tǒng)組件兼容。

c）請(qǐng)注意，某些連接可能需要對(duì)類型進(jìn)行核實(shí)。

d）使用個(gè)人信息處理工具處理業(yè)務(wù)信息與其它必要的操縱措施應(yīng)得到授權(quán)。

e）在工作場(chǎng)所使用個(gè)人信息處理工具會(huì)帶來新的漏洞，因此需要進(jìn)行評(píng)估與

授權(quán)。

在聯(lián)網(wǎng)的環(huán)境中，這些操縱措施特別重要。

專家信息安全建議

很多組織都需要專家級(jí)的信息安全建議。理想情況下，一位資深的全職信息安全

顧問應(yīng)該提出下列建議。并不是所有組織都希望雇傭?qū)＜翌檰枴Ｔ谶@種情況下，

我們建議專家負(fù)責(zé)協(xié)調(diào)公司內(nèi)部的知識(shí)與經(jīng)驗(yàn)資源，以確保協(xié)調(diào)一致，并在安全

決策方面提供幫助。各個(gè)組織應(yīng)該與公司以外的顧問保持聯(lián)系，在自己不熟悉的

領(lǐng)域，傾聽他們的專門建議。

信息安全顧問或者其它專家應(yīng)負(fù)責(zé)為信息安全的各類問題提供建議，這些意見既

能夠來自他們本人，也能夠來自外界。組織的信息安全工作的效率如何，取決于

他們對(duì)安全威脅評(píng)估的質(zhì)量與建議使用的操縱措施。為得到最高的效率與最好的

效果，信息安全顧問能夠直接與管理層聯(lián)系。

在發(fā)生可疑的安全事故或者破壞行為時(shí)，應(yīng)盡早向信息安全顧問或者其它專家進(jìn)

行咨詢，以得到專家的指導(dǎo)或者可供研究的資源。盡管多數(shù)內(nèi)部安全調(diào)查是在管

理層的操縱卜進(jìn)行的，但仍然應(yīng)該邀請(qǐng)安全顧問，傾聽他們的建議，或者由他們

領(lǐng)導(dǎo)、實(shí)施這一-調(diào)研活動(dòng)C

組織間的合作

與執(zhí)法機(jī)關(guān)、管理部門、信息服務(wù)提供商與通信運(yùn)營商簽署的合同應(yīng)保證：在發(fā)

生安全事故時(shí)，能迅速采取行動(dòng)并獲得建議。同樣的，也應(yīng)該考慮加入安全組織

與業(yè)界論壇。

應(yīng)嚴(yán)格限制對(duì)安全信息的交換，以確保組織的保密信息沒有傳播給未經(jīng)授權(quán)的

人。

信息安全的獨(dú)立評(píng)審

信息安全策略文檔（參見3.1.1）制定了信息安全的策略與賁任。務(wù)必對(duì)該文檔

的實(shí)施情況進(jìn)行獨(dú)立審查，確保組織的安全實(shí)踐活動(dòng)不僅符合策略的要求，而且

是靈活高效的。（參見12.2）。審查工作應(yīng)該由組織內(nèi)部的審計(jì)職能部門、獨(dú)

立管理人員或者專門提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行，而且這些人員務(wù)必具

備相應(yīng)的技能與經(jīng)驗(yàn)。

第三方訪問的安全性

目標(biāo):保護(hù)第三方訪問的組織信息處理設(shè)施與信息資產(chǎn)的安全性。

要嚴(yán)格操縱第三方對(duì)組織的信息處理設(shè)備的使用。

假如存在對(duì)第三方訪問的業(yè)務(wù)需求，務(wù)必進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定所涉及的安全問

題與操縱要求。務(wù)必與第三方就操縱措施達(dá)成一致，并在合同中規(guī)定。

第三方的訪問可能涉及到其它人員。授予第三方訪問權(quán)限的合約應(yīng)該包含同意指

定其它符合條件的人員進(jìn)行訪問與有關(guān)條件的規(guī)定條款。

在制定這類合約或者考慮信息處理外包時(shí)，能夠?qū)⒈緲?biāo)準(zhǔn)作為?個(gè)基礎(chǔ)。

確定第三方訪問的風(fēng)險(xiǎn)

訪問類型

同意第三方使用的訪問類型非常重要。比如，通過網(wǎng)絡(luò)連接進(jìn)行訪問所帶來的風(fēng)

險(xiǎn)與實(shí)際訪問所帶來的風(fēng)險(xiǎn)截然不一致。應(yīng)考慮的訪問類型有：

a）實(shí)際訪問，如對(duì)辦公室、計(jì)算機(jī)房、檔案室的訪問；

b）邏輯訪問，如對(duì)組織的數(shù)據(jù)庫、信息系統(tǒng)的訪問。

訪問理由

同意第三方訪問有下列理由。比如，某些向組織提供服務(wù)的第三方不在工作現(xiàn)場(chǎng),

但能夠授予他們物理與邏輯訪問的權(quán)限，諸如：

a）硬件與軟件支持人員，他們需要訪問系統(tǒng)級(jí)別或者低級(jí)別的應(yīng)用程序功

能；

b）貿(mào)易伙伴或者該組織創(chuàng)辦的合資企業(yè),他們與組織交換信息、訪問信息系

統(tǒng)或者共享數(shù)據(jù)庫,

假如不進(jìn)行充分的安全管理就同意第三方訪問數(shù)據(jù)，貝！信息被置于很危險(xiǎn)的境

地。凡有業(yè)務(wù)需要與第三方連接時(shí)，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定具體的操縱措

施要求。還需要考慮下列因素：所需的訪問類型、信息的價(jià)值、第三方所使用的

操縱措施與該訪問對(duì)該組織信息的安全性可能帶來的影響。

現(xiàn)場(chǎng)承包商

按照合約的規(guī)定，第三方在現(xiàn)場(chǎng)工作一段時(shí)間后也會(huì)留下導(dǎo)致安全隱患。第三方

在現(xiàn)場(chǎng)的情況有：

a）硬件與軟件的支持保護(hù)人員；

b）清潔人員、送餐人員、保安與其它外包的支持服務(wù)人員；

c）為學(xué)生提供的職位與其它臨時(shí)性的短期職位;

d）咨詢?nèi)藛T。

要對(duì)第三方使用信息處理設(shè)備進(jìn)行管理，熟悉要使用什么操縱措施是至關(guān)重要

的。通常，第三方訪問會(huì)帶來新的安全要求或者內(nèi)部操縱措施，這些都應(yīng)該在與

第三方的合同中表達(dá)出來（另請(qǐng)參見4.2.2）o比如，假如對(duì)信息的保密性有特

殊的要求，應(yīng)簽署保密協(xié)議（參見6.1.3）o

只有實(shí)施了相應(yīng)的操縱措施，并在合同中明確規(guī)定了連接或者訪問的條款，才能

同意第三方訪問信息與使用信息處理設(shè)備。

第三方合同的安全要求

第三方對(duì)組織信息處理設(shè)施的訪問,應(yīng)該根據(jù)包含所有必耍安全要求的正式合同

地行，確保傷吉組織的安全策咯與標(biāo)準(zhǔn)。應(yīng)確保組織與第三方之間對(duì)合同內(nèi)容不

存在任何歧義。為滿足供應(yīng)商，組織應(yīng)首先滿足自己。在合約中應(yīng)考慮下列條款:

a）信息安全的常規(guī)策略；

b）對(duì)資產(chǎn)的保護(hù)，包含：

1）保護(hù)包含信息與軟件在內(nèi)的組織資產(chǎn)的步驟；

2）確認(rèn)資產(chǎn)的安全是否受到威脅的步驟，如數(shù)據(jù)丟失或者被修改；

3）相應(yīng)的操縱措施，以保證在合同終止時(shí)，或者在合同執(zhí)行期間某個(gè)雙

方認(rèn)可的時(shí)間點(diǎn)，將信息與資產(chǎn)歸還或者銷毀；

4）完整性與可用性；

5）嚴(yán)格限制復(fù)制信息與泄露信息：

c）說明每個(gè)可提供的服務(wù)；

d）期望的服務(wù)水平與不可同意的服務(wù)水平;

e）在適當(dāng)?shù)臅r(shí)候撤換員工的規(guī)定;

f）達(dá)成各方義務(wù)的協(xié)議；

g）與法律*務(wù)有關(guān)的女任（比如，數(shù)據(jù)保護(hù)法規(guī)）。假如合同涉及到與其它

國家的組織進(jìn)行合作，應(yīng)考慮到各個(gè)國家法律系統(tǒng)之間的差異（另語參見

12.1）;

h）知識(shí)產(chǎn)權(quán)（IPRs）與版權(quán)轉(zhuǎn)讓（參見12.1.2）與對(duì)合著的保護(hù)（另請(qǐng)參見

6.1.3）;

i）訪問操縱協(xié)議，包含：

1）同意使用的訪叵方法，與操縱措施與對(duì)唯一標(biāo)識(shí)符的使用，如用戶ID

與口令；

2）用戶訪問與權(quán)限的授權(quán)程序；

3）保留得到有權(quán)使用服務(wù)的人員消單，與他們具體享有那些權(quán)限與權(quán)限;

j）確定可核實(shí)的執(zhí)行標(biāo)準(zhǔn)、監(jiān)視及報(bào)告功能；

k）監(jiān)視、撤消用戶活動(dòng)的權(quán)限；

1）審計(jì)合同責(zé)任或者將審計(jì)工作交由第三方執(zhí)行的權(quán)限；

m）建立?種解決問題的漸進(jìn)過程；在需要時(shí)應(yīng)要考慮如何執(zhí)行應(yīng)急措施；

n）與硬件與軟件安裝保護(hù)有關(guān)的責(zé)任；

o）明晰的報(bào)告結(jié)構(gòu)與雙方認(rèn)可的報(bào)告格式；

P）變更管理的明確制定過程；

q）所需的物理保護(hù)操縱措施與機(jī)制，以確保所有操作都符合操縱措施的要

求；

r）對(duì)用戶與管理員進(jìn)行的方法、步驟與安全方面的培訓(xùn)：

s）保證免受惡意軟件攻擊的操縱措施（參見8.3）;

t）規(guī)定如何報(bào)告、通知與調(diào)查安全事故與安全違反行為；

u）第三方與分包商之間的參與關(guān)系。

外包

目標(biāo):在將信息處理責(zé)任外包給另一組織時(shí)保障信息安全。

在雙方的合同中，外包協(xié)議應(yīng)闡明信息系統(tǒng)、網(wǎng)絡(luò)與/或者桌面環(huán)境中存在的風(fēng)

險(xiǎn)、安全操縱措施與方法步驟。

外包合同的安全要求

假如將所有或者部分信息系統(tǒng)、網(wǎng)絡(luò)與/或者桌面環(huán)境的管理與操縱進(jìn)行外包，

則應(yīng)在雙方簽定的合同中反映組織的安全要求。

比如，合同中應(yīng)闡明：

a）如何符合法律要求，如數(shù)據(jù)保護(hù)法規(guī)；

b）應(yīng)該如何規(guī)定保證外包合同中的參與方（包含轉(zhuǎn)包商）都熟悉各自的安全

責(zé)任；

c）如何保護(hù)并檢測(cè)組織的業(yè)務(wù)資產(chǎn)的完整性與保密性；

d）應(yīng)該使用何種物理與邏輯操縱措施，限制授權(quán)用戶對(duì)蛆織的敏感業(yè)務(wù)信息

的訪問；

e）在發(fā)生災(zāi)難事故時(shí)，如何保護(hù)服務(wù)的可用性；

f）為外包出去的設(shè)備提供何種級(jí)別的物理安全保撲；

g）審計(jì)人員的權(quán)限。

合同中應(yīng)該包含4.2.2中的列表列出的條款。合同應(yīng)同意在安全管理計(jì)劃全面

說明安全要求與程序步驟移植，使合同雙方就此達(dá)成一致。

盡管外包合同會(huì)帶來一些復(fù)雜的安全問題，本業(yè)務(wù)規(guī)則中的操縱措施能夠作為一

個(gè)認(rèn)可安全管理計(jì)劃的結(jié)構(gòu)與內(nèi)容的起點(diǎn)。

資產(chǎn)分類管理

資產(chǎn)責(zé)任

目標(biāo):對(duì)組織資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。

所有要緊的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。

確定資產(chǎn)的貢任幫助確保能夠提供適當(dāng)?shù)谋Ｗo(hù)。

應(yīng)確定所有要緊資產(chǎn)的所有者，并分配保護(hù)該資產(chǎn)的責(zé)任。

能夠委托負(fù)責(zé)實(shí)施操縱措施的責(zé)任。資產(chǎn)的責(zé)任由資產(chǎn)的指定所有責(zé)負(fù)責(zé)。

資產(chǎn)目錄

資產(chǎn)清單能幫助您確保對(duì)資產(chǎn)實(shí)施有效的保護(hù)，也能夠用于其它商業(yè)目的，如保

健、金融保險(xiǎn)等（資產(chǎn)評(píng)估）。編輯資產(chǎn)清單的過程是資產(chǎn)評(píng)估的一個(gè)重要方面。

組織應(yīng)確定其資產(chǎn)及其相對(duì)價(jià)值與重要性。利用以上信息，組織能夠根據(jù)資產(chǎn)的

重要性與價(jià)值提供相應(yīng)級(jí)別的保護(hù)。應(yīng)該為每個(gè)信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并儲(chǔ)存

一份清單。應(yīng)該明確確認(rèn)每項(xiàng)資產(chǎn)及其所有權(quán)與安全分類。（參見5.2）各方就

此達(dá)成一致并將其當(dāng)前狀況進(jìn)行備案（這一點(diǎn)在資產(chǎn)發(fā)生損壞，進(jìn)行索賠時(shí)非常

企要）。與信息系統(tǒng)有關(guān)聯(lián)的資產(chǎn)示例有：

a）信息資產(chǎn)：數(shù)據(jù)庫與數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊(cè)、培訓(xùn)材料、操作或

者支持步驟、連續(xù)性計(jì)劃、退守計(jì)劃、歸檔信息；

b）軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具與有用程序;

c）物質(zhì)資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、

通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶與磁盤）、

其它技術(shù)設(shè)備（電源、空調(diào)器）、家具、機(jī)房；

d）服務(wù)：計(jì)算與通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空調(diào)。

信息分類

目標(biāo):保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。

應(yīng)該對(duì)信息分類，指明其需要、優(yōu)先順序與保護(hù)級(jí)別。

信息的敏感程度與關(guān)鍵程度各不相同。有些信息需要加強(qiáng)保護(hù)或者進(jìn)行特別對(duì)

待。能夠使用信息分類系統(tǒng)定義合適的保護(hù)級(jí)別，并解釋對(duì)特別處理手段的需要。

分類原則

在對(duì)信息進(jìn)行分類并制定有關(guān)的保護(hù)性操縱措施時(shí)，應(yīng)該考慮下列問題：對(duì)共享

信息或者限制信息共享的業(yè)務(wù)需求，與與這種需求有關(guān)的業(yè)務(wù)影響，如對(duì)信息未

經(jīng)授權(quán)的訪問或者損害。通常，對(duì)信息的分類是確定如何處理與保護(hù)信息的簡(jiǎn)略

方法。應(yīng)按照信息的價(jià)值與關(guān)于組織的敏感程度，對(duì)信息與系統(tǒng)處理分類數(shù)據(jù)的

結(jié)果進(jìn)行分類。也能夠按信息對(duì)組織的關(guān)鍵程度分類，如按照其可用性與完整性

分類。

通過一段時(shí)間后，比如該信息已被公之于眾，信息就變得不那么敏感與重要了。

務(wù)必將這些問題考慮在內(nèi)，分類過粗會(huì)導(dǎo)致不必要的額外業(yè)務(wù)開銷