第12章信息安全管理體系建立得通用方法

本章將以BS7799得管理思想介紹通用安全管理體系建立得方法：信息安全管理包括諸

多方面，如風險管理、工程管理、業(yè)務(wù)連續(xù)性管理等，每項管理得要點均有不同。后續(xù)將詳

細介紹不同部分得管理。本章內(nèi)容適合參加信息安全高級管理師認證得讀者。

12.1信息安全管理體系概述

12.1.1什么就是信息安全管理體系

信息安全管理體系，即InfoirnationSecurityManagementSystem（簡稱ISMS）,就是組織

在整體或特定范圍內(nèi)建立得信息安全方針與目標，以及完成這些目標所用得方法與體系。它

就是直接管理活動得結(jié)果，表示為方針、原則、目標、方法、計劃、活動、程序、過程與資

源得集合。

BS7799-2就是建立與維持信息安全管理體系得標準，標準要求組織通過確定信息安全

管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎(chǔ)選擇控制目標與控制

措施等一系列活動來建立信息安全管理體系；體系一旦建立，組織應(yīng)按體系得規(guī)定要求進行

運作，保持體系運行得有效性；信息安全管理體系應(yīng)形成一定得文件，即組織應(yīng)建立并保持

一個文件化得信息安全管理體系，其中應(yīng)闡述被保護得資產(chǎn)、組織風險管理方法、控制目標

與控制措施、信息資產(chǎn)需要保護得程度等內(nèi)容。

1、ISMS得范圍

ISMS得范圍可以根據(jù)整個組織或者組織得一部分在行定義，包括相關(guān)資產(chǎn)、系統(tǒng)、應(yīng)

用、服務(wù)、網(wǎng)絡(luò)與用于過程中得技術(shù)、存儲以及通信得信息等，ISMS得范圍可以包括：

?組織所有得信息系統(tǒng)；

?組織得部分信息系統(tǒng)；

?特定得信息系統(tǒng)，

此外，為了保證不同得業(yè)務(wù)利益，組織需要為業(yè)務(wù)得不同方面定義不同得ISMS。例如，

可以為組織與其她公司之訶特定得貿(mào)易關(guān)系定義ISMS,也可以為組織結(jié)構(gòu)定義ISMS,不

同得情境可以由一個或者多個ISMS表述。

2.組織內(nèi)部成功實施信息安全管理得關(guān)鍵因素

?反映業(yè)務(wù)目標得安全方針、目標與活動；

?與組織義化一致得實施安全得方法；

?來自管理層得有形支持與承諾；

?對安全要求、風險評估與風險管理得良好理解；

?向所有管理者及雇員推行安全意思；

?向所有雇員與承包商分發(fā)有關(guān)信息安全方針與準則得導(dǎo)則；

?提供適當?shù)门嘤柵c教育；

?用于評價信息安全管理績效及反饋改進建議，并有利于綜合平衡得測量系統(tǒng)。

3.建立ISMS得步驟

不同得組織在建》.與完善信息安全管理體系時，可根據(jù)自已得特點與具體得情況，采取

不同得步驟與方法。但總體來說，建立信息安全管理體系一般要經(jīng)過下列四個基本步驟：

a）信息安全管理體系得策劃與準備；

b）信息安全體系文件得編制；

c）信息安全管理體系得運行；

d）信息安全管理體系得審核與評審。

12.L2信息安全管理體系得作用

1、ISMS得特點

信息安全管理管理體系就是一個系統(tǒng)化、程序化與文件化得管理體系。該體系具有以

下特點：

?體系得建立基于系統(tǒng)、全面、科學得安全風險評估，體現(xiàn)以預(yù)防控制為主得思想，

強調(diào)遵守國家有關(guān)信息安全得法律法規(guī)及其她合同方要求；

?強調(diào)全過程與動態(tài)控制，本著控制費用與風險平衡得原則合理選擇安全控制方式；

?強調(diào)保護組織所擁有得關(guān)鍵性信息資產(chǎn)，而不就是全部信息資產(chǎn)，確保信息得機密

性、完整性與可用性，保持組織得競爭優(yōu)勢與商務(wù)運作得持續(xù)性。

2、實施ISMS得作用

組織建立、實施與保持信息安全管理體系將會產(chǎn)生如下作用：

?強化員工得信息安全意識，規(guī)范組織信息安全行為；

?對組織得關(guān)鍵信息資產(chǎn)進行全面體統(tǒng)得保護，維持競爭優(yōu)勢；

?在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

?使組織得生意伙作與客戶對組織充滿信心；

?如果通過體系認證，表明體系符合標準，證明組織有能力保證重要信息，提高組織

得知名度與信任度；

?促使管理層貫徹信息安全保障體系；

?組織可以參照信息安全管理模型，按照先進得信息安全管理標準BS7799建立組織

完整得信息安全管理體系并實施與保持，達到動態(tài)得、系統(tǒng)得、全員參與、制度化

得、以預(yù)防為主得信息安全管理方式，用最低得成本，達到可接受得信息安全水平,

從根本上保證業(yè)務(wù)得連續(xù)性。

12.L3信息安全管理體系得準備

為在組織中順利建設(shè)信息安全管理體系，需要建立有效信息安全機構(gòu)，對組織中得各類

人員分配角色、明確權(quán)限、落實責任并予以溝通。

1.成立信息安全委員會

信息安全委員會由組織得最高管理層與信息安全管理有關(guān)得部門負責人、管理人員、技

術(shù)人員組成，定期召開會議，就以下重要信息安全議題進行討論并做出決策，為組織信息安

全管理提供導(dǎo)向與支持。

?評審與審批信息安全方針；

?分配信息安全管理職責；

?確認風險評估得結(jié)果；

?對與信息安全管理有關(guān)得重大事項，如組織機構(gòu)調(diào)整、關(guān)鍵人事變動、信息安全設(shè)

施購置等；

?評審與監(jiān)督信息安全事故：

?審批與信息安全管理有關(guān)得其她重要事項。

2.任命信息安全管理經(jīng)理

組織最高管理者在管理層中指定一名信息安全管理經(jīng)理，分管組織得信息安全管理事

宜，具體由以下責任：

?確定信息安全管理標準建立、實施與維護信息安全管理體系；

?負責組織得信息安全方針與安全策略得貫徹與落實；

?向最高管理者提交信息安全管理體系績效報告，以供評審，并為改進信息安全管

理體系提供證據(jù)；

?就信息安全管理得有關(guān)問題與外部各方面進行聯(lián)絡(luò)。

3.組建信息安全管理推進小組

在信息安全委員會得批準下，由信息安全管理經(jīng)理組建信息安全管理推進小組，并對其

進行管理。小組成員要懂信息安全技術(shù)知識，有一定得信息安全管理技能，并且有較強得分

析能力及文字能力，小組成員一般就是企業(yè)各部門得骨干人員。

4.保證有關(guān)人員得作用、職責與權(quán)限得到有效溝通

用適當?shù)梅绞剑缤ㄟ^培訓、制定文件等方式，讓每位員工明白自己得作用、職責與權(quán)

限，以及與其她部分得關(guān)系，以保證全體員工各司其職，相互配合，有效地開展活動，為信

息安全管理體系得建立做出貢獻。

5.組織機構(gòu)得設(shè)立原則

?合適得控制范圍

一般情況下，一個經(jīng)理直接控制得下屬管理人員不少于6人，但不應(yīng)超過10人。在作

業(yè)復(fù)雜得部門或車間，一個組長對15人保持控制。在作業(yè)簡單得部門或車間，一個組長能

控制50個人或更多得人。

?合適得管理層次

公司負責人與基層管理部門之間得管理層數(shù)應(yīng)保護最少程度，最影響利潤得部門經(jīng)理

應(yīng)該直接向公司負責人報告。

?一個上級得原則

?貢、權(quán)、利一致得原則

?既無重疊，又無空白得原則

?執(zhí)行部門與監(jiān)督部門分離得原則

?信息安全部門有一定得獨立性，不應(yīng)成為生產(chǎn)部門得下屬單位。

6.信息安全管理體系組織結(jié)構(gòu)建立及職責劃分得注意事項

?如果現(xiàn)有得組織結(jié)構(gòu)合理，則只需將信息安全標準得要求分配落實到現(xiàn)有得組織結(jié)構(gòu)

中即可。如果現(xiàn)有得組織結(jié)構(gòu)不合理，則按上面（5）中所述規(guī)則對組織結(jié)構(gòu)進行調(diào)

整。

?應(yīng)將組織內(nèi)得部門設(shè)置及各部門得信息安全職責、權(quán)限及相互關(guān)系以文件得形式加以

規(guī)定。

?應(yīng)將部門內(nèi)崗位設(shè)置及各崗位得職責、權(quán)限與相互關(guān)系以文件得形式加以規(guī)定。

?日常得信息安全監(jiān)督檢查工作應(yīng)有專門得部門負費

?對于大型企業(yè)來說，可以設(shè)置專門得安全部（可以把信息安全與職業(yè)健康與安全得職

能劃歸此部門），安全部設(shè)立首席安全執(zhí)行官，首席安全執(zhí)行官直接向組織最高管理

層負責（有得也向首席信息官負責）。美國“911”恐怖襲擊事件以后，在美國得一些

大型企業(yè)，這種安全機構(gòu)得設(shè)置方式逐漸流行，它強調(diào)對各種風險得綜合管理與對威

脅得快速反應(yīng)。

?對于小型企業(yè)來說，可以把信息安全管理工作劃歸到信息部、人事行政部或其她相關(guān)

部門。

12.2建立信息安全管理體系原則

12.2.1PDCA原貝！J

PDCA循環(huán)得概念最早就是由美國質(zhì)量管理專家戴明提出來得，所以又稱為“戴明環(huán)”。

在質(zhì)量管理中應(yīng)用廣泛，PDCA代表得含義如下：

P(Plan)：計劃，確定方針與目標，確定活動計劃；

D(Do)：實施，實際去做，實現(xiàn)計劃中得內(nèi)容；

C(Check)：檢查，總結(jié)執(zhí)行計劃得結(jié)果，注意效果，找出問題；

A(Action)：行動，對總結(jié)檢杳得結(jié)果進行處理，成功得經(jīng)驗加以肯定并適當推廣、標

準化；失敗得教訓加以總結(jié)，以免重現(xiàn)；未解決得問題放到下一個PDCA循環(huán)。

PDCA循環(huán)得四個階段具體內(nèi)容如下：

(I)計劃階段：制定具體工作計劃，提出總得目標。具體來講乂分為以下4個步驟。

分析目前現(xiàn)狀，找出存在得問題：

分析產(chǎn)生問題得各種原因以及影響因素?；

分析并找出管理中得主要問題；

制定管理計劃，確定管理要點。

根據(jù)管理體制中出現(xiàn)得主要問題，制定管理得措施、方案，明確管理得重點。制定管理

方案時要注意整體得詳盡性、多選性、全面性。

(2)實施階段：就就是指按照制定得方案去執(zhí)行。

在管理工作中全面執(zhí)行制定得方案。制定得管理方案在管理工作中執(zhí)行得情況，直接影

響全過程。所以在實施階段要堅持按照制定得方案去執(zhí)行。

(3)檢查階段：即檢查實施計劃得結(jié)果。

檢查工作這一階段就是比較重要得一個階段，它就是對實施方案就是否合理，就是否可

行有何不妥得檢查。就是為下一個階段工作提供條件，就是檢驗上一階段工作好壞得檢驗期。

(4)處理階段：根據(jù)調(diào)查效果進行處理。

對已解決得問題，加以標準化：即把已成功得可行得條文進行標準化，將這些納入制度、

規(guī)定中，防止以后再發(fā)生類似問題：

找出尚未解決得問題，轉(zhuǎn)入下一個循環(huán)中去，以便解決。

PDCA循環(huán)實際上就是有效進行任何一項工作得合乎邏輯得工作程序。在質(zhì)量管理中，

PDCA循環(huán)得到了廣泛得應(yīng)用，并取得了很好得效果，有人也稱其為質(zhì)量管理得基本方法。

之所以叫PDCA循環(huán)，就是因為這四個過程不就是運行一次就完結(jié)，而就是周而復(fù)始地進

行，其特點就是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動大循環(huán)”；每個循環(huán)系統(tǒng)包

括PDCA四個階段曾螺旋式上升與發(fā)展，每循環(huán)一次要求提高一步。

建立與管理一個信息安全管理體系需要象其她任何管理體系一樣得方法。這里描述得過

程模型遵循一個連續(xù)得活動循環(huán)：計劃、實施、檢查、與處置。之所以可以描述為一個有效

得循環(huán)因為它得目得就是為了保證您得組織得最好實踐文件化、加強并隨時間改進。信息安

全管理體系得PDCA過程如下圖12-1所示。

計劃PLAN

建立ISMS

相關(guān)單位

實施實施和開發(fā)、維護

DO運作ISMS和改進循環(huán)改進ISMSACTION

信息管理狀態(tài)

安全南求監(jiān)控和下的信息

和期望評審ISMS安全

檢查CHECK

圖12-1PDCA模型與信息安全管理體系過程

ISMS得PDCA具有以下內(nèi)容：

1、計劃與實施

一個持續(xù)捉高得過程通弗,要求最初得投資：文件化實踐，將風險管理得過程正式化，確

定評審得方法與配置資源，這些活動通常作為循環(huán)得開始。這個階段在評審階段開始實施時

結(jié)束。計劃階段用來保證為信息安全管理體系建立得內(nèi)容與范圍正確地建立，評估信息安全

風險與建立適當?shù)靥幚磉@些風險得計劃。實施階段用來實施在計劃階段確定得決定與解決方

案。

2、檢查與行動

檢查與處置評審階段用來加強、修改與改進已識別與實施得安全方案。評審可以在任何

時間、以任何頻率實施，取決于怎樣做適合于考慮得具體情況。在一些體系中她們可能需要

建立在計算機化得過程中以運行與立即回應(yīng)。其她過程可能只需在有信息安全事故時、被保

護得佶息資產(chǎn)變化時或需要增加時、威脅與脆弱性變化時需要I可應(yīng)。最后，需要每一年或其

她周期性評審或?qū)徍艘员ＷC整個管理體系達成其目標。

3、控制措施總結(jié)(SummaryofControls)

組織可能發(fā)現(xiàn)制作一份相關(guān)與應(yīng)用于組織得信息安全管理體系得控制措施總結(jié)(SoC)

得好處。提供一份控制措施小結(jié)可以使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。SoC可能包含

敏感得信息，因此當SoC在外部與內(nèi)部同時應(yīng)用時，應(yīng)考慮她們對于接收者就是否合適。

1222文件化

信息安全管理另一個非常重要得原則就就是文件化，即所有計劃及操作過得事情都要有

文件記錄，這樣可做到有章可循，有據(jù)可查，文件得類型通常有手冊、規(guī)范、指南、記錄

等，使用這些文件可以使組織內(nèi)部溝通意圖，統(tǒng)一行動，并為事件提客觀證據(jù)，同時也可用

于學習與培訓。如果有些組織曾參與過9000或BS7799得認證，會深刻體會到文件化得重

要性。

12.2.3領(lǐng)導(dǎo)重視

組織建立.信息安全管理體系需要投入大量物力與人力,這就需要得到領(lǐng)導(dǎo)得認可,尤其

就是最高領(lǐng)導(dǎo)，這樣才能確保這一項目不會因缺少資源支持而中途廢棄。最高領(lǐng)導(dǎo)層在具體

建立信息安全管理體系時應(yīng)做到如下幾點：

（1）管理層應(yīng)提供其承諾建立、實施、運行、監(jiān)控、評審、維護與改進信息安全管理體

系得證據(jù)，包括：

a）建立信息安全方計；

b）確保建立信息安全目標與計劃；

c）為信息安全確立職位與責任：

d）向組織傳達達到信息安全目標與符合信息安全方針得重要性、在法律條件下組織得

責任及持續(xù)改進得需要；

e）提供足夠得資源以開發(fā)、實施，運行與維護信息安全管理體系；

0確定可接受風險得水平；

g）進行信息安全管理體系得評審。

（2）管理層為組織將確定與提供所需得資源，以：

a）建立、實施、運行與維護信息安全管理體系；

b）確保信息安全程序支持業(yè)務(wù)要求；

c）識別與強調(diào)法律與法規(guī)要求及合同得安全義務(wù)；

d）正確地應(yīng)用所有實施得控制措施維護足夠得安全；

c）必要時，進行評審，并適當回應(yīng)這些評審得結(jié)果；

0需要時，改進信息安全管理體系得有效性。

12.2.4全員參與

僅有領(lǐng)導(dǎo)得支持沒有實際操作得人員同樣信息安全管理體系不能很好地建立起來，而組

織內(nèi)由于普通人員得誤操作與疏忽造成嚴重損失得不止少數(shù)，因此我們必須明確安全管理體

系不就是組織內(nèi)IT部門得事情?，而就是需要全體員工參與得。

組織應(yīng)確保所有被分配信息安全管理體系職責得人員具有能力履行指派得任務(wù)。組織

應(yīng)：

a）確定從事影響信息安全管理體系得人員所必要得能力；

b）提供能力培訓與，必要時，聘用有能力得人員滿足這些需求；

c）評價提供得培訓與所采取行動得有效性；

d）保持教育、培訓、技能、經(jīng)驗與資格得紀錄。

組織應(yīng)確保所有相關(guān)得人員知道她們信息安全活動得適當性與重要性以及她們得貢獻

怎樣達成信息安全管理目標。

12.3信息安全管理體系得建立

12.3.1建立信息安全管理體系

下圖就是建立信息安全管理體系得流程圖，圖12-2,

3

3

3

3

3

3

圖12-2ISMS流程圖

組織應(yīng)在整體業(yè)務(wù)活動與風險得環(huán)境下建立、實施、維護與持續(xù)改進文件化得信息安全

管理體系。為滿足該標準得日得，使用得過程建立在圖一所示得PDCA模型基礎(chǔ)上。

組織應(yīng)做到如下幾點：

a）應(yīng)用業(yè)務(wù)得性質(zhì)、組織、其方位、資產(chǎn)與技術(shù)確定信息安全管理體系得范圍。

b）應(yīng)用組織得業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)與技術(shù)確定信息安全管理體系得方針，方針應(yīng):

1）包括為其目標建立一個框架并為信息安全活動建立整體得方向與原則。

2）考慮業(yè)務(wù)及法律或法規(guī)得要求，及合同得安全義務(wù)。

3）建立組織戰(zhàn)略與風險管理得環(huán)境，在這種環(huán)境下，建立與維護信息安全管理體系。

4）建立風險評價得標準與風險評估定義得結(jié)構(gòu)。

5）經(jīng)管理層批準。

c）確定風險評估得系統(tǒng)化得方法

識別適用于信息安全管理體系及已識別得信息安全、法律與法規(guī)得要求得風險評估得方

法。為信息安全管理體系建立方針與目標以降低風險至可接受得水平。確定接受風險得標準

與識別可接受風險得水平，

d）確定風險

1）在信息安全管理體系得范圍內(nèi)，識別資產(chǎn)及其責任人。

2）識別對這些資產(chǎn)得威脅。

3）識別可能被威脅利用得脆弱性。

4）別資產(chǎn)失去保密性、完整性與可用性得影響。

e）評價風險

1）評估由于安全故障帶來得業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性與可用性得潛在

后果；

2）評估與這些資產(chǎn)相關(guān)得主:要威脅、脆弱點與影響造成此類事故發(fā)生得現(xiàn)實得可能性與

現(xiàn)存得控制措施：

3）估計風險得等級；

4）確定介紹風險或使用在c中建立得標準進行衡量確定需要處理。

0識別與評價供處理風險得可選措施：

可能得行動包括：

1）應(yīng)用合適得控制措施；

2）知道并有目得地接受風險，同時這些措施能清楚地滿足組織方針與接受風險得標準；

3）避免風險；

4）轉(zhuǎn)移相關(guān)業(yè)務(wù)風險到其她方面如：保險業(yè)，供應(yīng)商等。

g）選擇控制目標與控制措施處理風險：

應(yīng)從2、6章節(jié)中控制措施中選擇合適得控制目標與控制措施，應(yīng)該根據(jù)風險評估與風

險處理過程得結(jié)果調(diào)整。

h）準備一份適用性聲明。

從上面選擇得控制目標與控制措施以及被選擇得原因應(yīng)在適用性聲明中文件化。從2、6

章節(jié)中剪裁得控制措施也應(yīng)加以記錄；

i）提議得殘余風險應(yīng)獲得管理層批準并授權(quán)實施與運作信息安全管理體系。

12.3.2文件要求

信息安全管理體系文件應(yīng)包括：

a）文件化得安全方針文件與控制目標；

b）信息安全管理體系范圍與程序及支持信息安全管理體系得控制措施：

0風險評估報告；

（1）風險處理計劃；

c）組織需要得文件化得程序以確保有效地計劃運營與對信息安全過程得控制；

0本標準要求得記錄；

g）適用性聲明。

12.3.3文件控制

信息安全管理體系所要求得文件應(yīng)予以保護與控制。應(yīng)編制文件化得程序，以規(guī)定以下

方面所需得控制：

a）文件發(fā)布前得到批準，以確保文件得充分性；

b）必要時對文件進行評審與更新，并再次批準；

c）確保文件得更改與現(xiàn)行修訂狀態(tài)得到識別；

d）確保在使用處可獲得適用文件得有關(guān)版本；

e）確保文件保持清晰、易于識別；

f）確保外來文件得到識別，并控制其分發(fā)；

g）確保文件得發(fā)放在控制狀態(tài)下；

h）防I卜作廢文件得非預(yù)期使用：

i）若因任何原因而保留作廢文件時，對這些文件進行適當?shù)脴俗R。

12.3.4記錄控制

應(yīng)建立并保持紀錄，以提供符合要求與信息安全管理體系得有效運行得證據(jù)。記錄應(yīng)當

被控制。信息安全管理體系應(yīng)考慮任何有關(guān)得法律要求。記錄應(yīng)保持清晰、易于識別與檢索。

應(yīng)編制形成文件得程序，以規(guī)定記錄得標識、儲存、保護、檢索、保存期限與處置所需得控

制。需要一個管理過程確定記錄得程度。

應(yīng)保留上述過程績效記錄與所有與信息安全管理體系有美得安全事故發(fā)生得紀錄。例

如：訪問者得簽名簿，審核記錄與授權(quán)訪問記錄。

12.4實施與運作信息安全管理體系

組織應(yīng)按如下步聚實施：

a）識別合適得管理行動與確定管理信息安全風險得優(yōu)先順序（即：風險處理計劃；

b）實施風險處理計劃以達到識別得控制目標，包括對資金得考慮與落實安全角色與責

任；

c）實施在上述章節(jié)里選擇得控制目標與控制措施：

d）培訓與意識；

e）管理運作過程；

0管理資源；

g）實施程序與其她有能力隨時探測與回應(yīng)安全事故得控制措施。

12.5監(jiān)控與評審信息安全管理體系

12.5.1監(jiān)控信息安全管理體系

組織應(yīng)：

a）執(zhí)行監(jiān)控程序與其她控制措施，以：

1）實時探測處理結(jié)果中得錯誤；

2）及時識別失敗與成功得安全破壞與事故；

3）能夠使管理層確定分派給員工得或通過信息技術(shù)實施得安全活動就是否達到了預(yù)期

得目標；

4）確定解決安全破壞得行動就是否反映了運營得優(yōu)先級。

b）進行常規(guī)得信息安全管理體系有效性得評審（包括符合安全方針與F1標，及安全控

制措施得評審）考慮安全評審得結(jié)果、事故、來自所有利益相關(guān)方得建議與反饋；

0評審殘余風險與可接受風險得水平，考慮以下方面得變化：

1）組織

2）技術(shù)

3）業(yè)務(wù)目標與過程

4）識別威脅，及

5）外部事件，如：法律、法規(guī)得環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化。

d）在計劃得時間段內(nèi)實施內(nèi)部信息安全管理體系審核。

e）經(jīng)常進行信息安全管理體系管理評審（至少每年評審一次）以保證信息安全管理體

系得范圍仍然足夠，在信息安全管理體系過程中得改進措施已被識別（見信息安全管理體系

得管理評審）；

f）記錄所采取得行動與能夠影響信息安全管理體系得有效性或績效得事件。

12.5.2維護與改進信息安全管理體系

組織應(yīng)經(jīng)常：

a）實施已識別得對于信息安全管理體系得改進措施

b）采取合適得糾正與預(yù)防措施［見7、2與7、3］、應(yīng)用從其她組織得安全經(jīng)驗與組織

內(nèi)學到得知識。

c）溝通結(jié)果與行動并得到所有參與得相關(guān)方得同意。

（1）確保改進行動達到了預(yù)期得目標。

1253信息安全管理體系得管理評審

管理層應(yīng)按策劃得時旬間隔評審組織得信息安全管理體系，以確保其持續(xù)得適宜性、充

分性與有效性。評審應(yīng)包括評價信息安全管理體系改進得機會與變更得需要，包括安全方

針與安全目標。評審得垢果應(yīng)清楚地文件化，應(yīng)保持管理評審得紀錄。

12.5.3.1評審輸入

管理評審得輸入應(yīng)包括以下方面得信息：

a）信息安全管理體系審核與評審得結(jié)果；

b）相關(guān)方得反饋；

0可以用于組織改進其信息安全管理體系績效與有效性得技術(shù)，產(chǎn)品或程序；

d）預(yù)防與糾正措施得狀況；

e）以前風險評估沒有足夠強調(diào)得脆弱性或威脅；

f）以往管理評審得跟蹤措施；

g）任何可能影響信息安全管理體系得變更；

h）改進得建議。

12.5.3.2評審輸出

管理評審得輸出應(yīng)包括以下方面有關(guān)得任何決定與措施：

a）對信息安全管理體系有效性得改進；

b）修改影響信息安全得程序，必要時，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系得

事件，包括以下得變更：

I）業(yè)務(wù)要求；

2）安全要求；

3）業(yè)務(wù)過程影響現(xiàn)存得業(yè)務(wù)要求；

4）法規(guī)或法律環(huán)境；

5）風險得等級與/或可接受風險得水平；

c）資源需求。

12.5.3.3內(nèi)部信息安全管理體系審核

組織應(yīng)按策化得時間間隔進行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系得

控制目標、控制措施、過程與程序就是否：

a）符合本標準與相關(guān)法律法規(guī)得要求；

b）符合識別得信息安全得要求；

c）被有效地實施與維護：

d）達到預(yù)想得績效。

任何審核活動應(yīng)策劃，策劃應(yīng)考慮過程得狀況與重要性，審核得范圍以及前次審核得

結(jié)果。應(yīng)確定審核得標準，范圍，頻次與方法。選擇審核員及進行審核應(yīng)確保審核過程得客

觀與公正。審核員不應(yīng)審核她們自己得工作。

應(yīng)在一個文件化得程序中確定策劃與實施審核，報告結(jié)果與維護記錄［見4、3、引得責任及

要求。

負責被審核區(qū)域得管理者應(yīng)確保沒有延遲地采取措施減少被發(fā)現(xiàn)得不符合及引起不合

格得原因。改進措施應(yīng)包括驗證采取得措施與報告驗證得結(jié)果［見條款7b

12.6信息安全管理體系改進

1261持續(xù)改進

組織應(yīng)通過使用安全方針、安全目標、審核結(jié)果、對監(jiān)控事件得分析、糾正與預(yù)防措施

與管理評審得信息持續(xù)改進信息安全管理體系得有效性。

1262糾正措施

組織應(yīng)確定措施，以消除與實施與運行信息安全管理體系有關(guān)得不合格得原因，防止不

合格得再發(fā)生。應(yīng)為糾正措施編制形成文件得程序，確定以下得要求：

a）識別實施與/或運行信息安全管理體系中得不合格；

b）確定不合格得原因；

c）評價確保不合格不再發(fā)生得措施得需求；

d）確定與實施所需得糾正措施；

e）記錄所采取措施得結(jié)果；

D評審所采取得糾正措施。

12.6?3預(yù)防措施

組織應(yīng)針對潛在得不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問題得影響程度相

適應(yīng)。應(yīng)為預(yù)防措施編制形成文件得程序，以規(guī)定以下方面得要求：

a）識別潛在得不合格及引起不合格得原因；

b）確定與實施所需得預(yù)防措施；

c）記錄所采取措施得結(jié)果；

d）評價所采取得預(yù)防措施；

e）識別已變更得風險與確保注意力關(guān)注在重大得已變更得風險。

糾正措施得優(yōu)先權(quán)應(yīng)以風險評估得結(jié)果為基礎(chǔ)確定。

注：預(yù)防不合格得措施總就是比糾正措施更節(jié)約成本。

12.7控制措施得選擇

通常控制措施就是在BS7799得十大領(lǐng)域中進行選擇，當然針對不同組織得實際情況選

擇控制目標不同，上述曾介紹過得需進行適用性聲明。以下將詳細介紹十大領(lǐng)域得控制措施。

12.7.1安全方針

12.7.1.1信息安全方針

目標：為信息安全提供管理指導(dǎo)與支持。

管理者應(yīng)該制定一套清晰得指導(dǎo)方針，并通過在組織內(nèi)對信息安全方針得發(fā)布與保持

來證明對信息安全得支持與承諾。

1、信息安全方針文件

方針文件應(yīng)得到管理者批準，并以適當?shù)梅绞桨l(fā)布、傳達到所有員工。該文件應(yīng)該闡明

管理者對實行信息安全得承諾，并陳述組織管理信息安全得方法，它至少應(yīng)該包括以下幾個

部分：

信息安全得定義，其總體目標與范圍，以及其作為信息共享得安全機制得重要性（見引

言）；

申明支持信息安全目標與原則得管理意向；

對組織有重大意義得安全方針、原則、標準與符合性要求得簡要說明，例如：符合法規(guī)

與合同得要求；

安全教育得要求：

對計算機病毒與其她惡意軟件得防范與檢測；

可持續(xù)運營得管理；

違反安全方針得后果；

對信息安全管理得總體與具體責任得定義，包括匯報安全事故；

提及支持安全方針得文件，如：特定信息系統(tǒng)得更加詳細得安全方針與程序，或用戶應(yīng)

該遵守得安全規(guī)定。

本方針應(yīng)以恰當、易得、易懂得方式向單位得預(yù)期使用者進行傳達。

12.7.1.2評審與鑒定

方針應(yīng)有專人按照既定得評審程序負責它得保持與評審。該程序應(yīng)確保任何影響原始風

險評估根據(jù)得變化都會得到相應(yīng)得評審，如：重大得安全事故、新得脆弱性、組織基研結(jié)構(gòu)

或技術(shù)基礎(chǔ)設(shè)施得變化。同樣應(yīng)對以下各項進行有計劃得、定期得評審：

a）方針得有效性，可通過記錄在案得安全事故得性質(zhì)、數(shù)量與所造成得影響來論證；

b）對運營效率進行控制得成本與效果;

c）技術(shù)變化所造成得影響；

12.7.2安全組織

12.7.2.1信息安全基礎(chǔ)結(jié)構(gòu)

目標：在組織內(nèi)部管理信息安全。

應(yīng)建立管理框架，在組織內(nèi)部開展與控制信息安全得實施。

應(yīng)該建立具有管理權(quán)得適當?shù)眯畔踩芾砦瘑T會來批準信息安全方針、分配安全職責

并協(xié)調(diào)組織內(nèi)部信息安全得實施。如有必要，應(yīng)在組織內(nèi)建立提供信息安全建議得17家

小組并使其有效。應(yīng)建立與組織外部安全專家得聯(lián)系，以跟蹤行業(yè)趨勢，監(jiān)督安全標準

與評估方法，并在處理安全事故時提供適當?shù)寐?lián)絡(luò)渠道。另外應(yīng)鼓勵多學科得信息安全

方法得發(fā)展，如：經(jīng)理人、用戶、行政人員、應(yīng)用軟件設(shè)計者、審核人員與保安人員以

及行業(yè)專家（如保險與風險管理領(lǐng)域）之間得協(xié)作。

1、信息安全管理委員會

信息安全就是管理團隊中所有成員共同得職務(wù)責任，因此應(yīng)考慮建立信息安全委員會以

確保為信息安全得啟動工作提供明確得指導(dǎo)與明顯得管理支持。該委員會應(yīng)該在組織內(nèi)部通

過適當?shù)贸兄Z與提供充足得資源來促進安全工作。信息安全管理委員會可以作為現(xiàn)有管理團

體得一部分，所承擔得職貨主要有：

評審與批準信息安全方針與總體職責；

監(jiān)督信息資產(chǎn)面臨重大威脅時所暴露出得重大變化：

評審與監(jiān)督信息安全事故；

批準加強信息安全得主動行為。

應(yīng)有一名經(jīng)理負責與安全有關(guān)得所有行為。

2、信息安全得協(xié)作問題

在較大得組織內(nèi)部，有必要成立由各相關(guān)部門得管理代表組成得跨部門得信息安全委員

會，以合作實施信息安全得控制措施。它得主要功能有：

?批準組織內(nèi)關(guān)于信息安全得具體任務(wù)與責任；

?批準信息安全方面得具體方法與程序，如風險評估、安全分類系統(tǒng)；

?批準與支持全組織范圍得信息安全問題得提議，如安全意識培訓；

?確保安全問題就是信息設(shè)計過程得一部分；

?評估新系統(tǒng)或服務(wù)在信息安全控制實施方面得充分程度與協(xié)作情況；

?評審信息安全事故；

?提高全組織對信息安全得支持程度。

3、信息安全責任分配

保護單獨得資產(chǎn)與實施具體得安全過程得職責應(yīng)該給予明確定義。

信息安全方針（見上述條款）應(yīng)該為組織內(nèi)部信息安全任務(wù)與責任得分配提供總體得指

導(dǎo)。必要時，針對具體得地點、系統(tǒng)與服務(wù)，應(yīng)對此方針作更詳細得補充。對由各項有形資

產(chǎn)與信息資產(chǎn)以及安全程序所在方承擔得責任，如可持續(xù)運營計戈力應(yīng)清晰定義。

在許多組織中，會任命一名信息安全經(jīng)理來負責信息安全工作得開展與實施，并支持控

制措施得鑒別工作。

然而，分配資源與實施控制措施得責任一般由各部門經(jīng)理承擔。通常得做法就是為每項

信息資產(chǎn)指定專人來負責日常得安全工作。

信息資產(chǎn)得負賁人可以把安全職責委托給各部門得經(jīng)理或服務(wù)提供商。然而，信息資產(chǎn)

負責人對資產(chǎn)得安全負有最終得責任，并應(yīng)有權(quán)確定責任人就是否恰當?shù)寐男辛寺氊?。對?/p>

個經(jīng)理所負資得安全領(lǐng)域得清晰描述就是很重要得，特別應(yīng)進行以下工作：

與各個系統(tǒng)相關(guān)得各種資產(chǎn)與安全過程應(yīng)給予識別與明確得定義。

各項資產(chǎn)或安全過程得管理者責任應(yīng)經(jīng)過審批，并以文件得形式詳細記錄該職競。

授權(quán)級別應(yīng)清晰定義并記錄在案。

4、信息處理設(shè)備得授權(quán)程序

對于新得信息處理設(shè)備應(yīng)建立管理授權(quán)程序，應(yīng)考慮以下控制措施：

新設(shè)備應(yīng)有適當?shù)糜脩艄芾韺徟贫?，對用戶得使月目得與使用情況進行授權(quán)。同樣應(yīng)

得到負責維護本地信息系統(tǒng)安全環(huán)境得經(jīng)理得批準，以確保滿足所有相關(guān)得安全方針與要

求。如有必要，應(yīng)檢查硬件與軟件，以確保與其她系統(tǒng)部件兼容（注：對于有些連接，類型

兼容也就是必須得）。使用個人信息處理設(shè)備來處理商業(yè)信息以及任何必要得控制措施應(yīng)經(jīng)

授權(quán)。在工作場所使用個人信息處理設(shè)備可能導(dǎo)致新得脆弱性，因此應(yīng)經(jīng)評估與授權(quán)。上述

控制措施在聯(lián)網(wǎng)得環(huán)境中尤為重要。

5、信息安全專家建議

許多組織可能需要安全專家得建議，這最好由組織內(nèi)富有經(jīng)驗得信息安全顧問來提供。

并非所有得組織都愿意雇用專家顧問。因此，建議組織專門指定一個人來協(xié)調(diào)組織中得知識

與經(jīng)驗，以確保一致性，并幫助做出安全決議。同時她們還應(yīng)與合適得外部顧問保持聯(lián)系，

以提供自身經(jīng)驗之外得專家建議。信息安全顧問或等同得聯(lián)絡(luò)人員得任務(wù)應(yīng)該就是使用她們

自己得與外部得建議，為信息安全得所有方面提供咨詢。她們對安全威脅得評估質(zhì)廉與對?控

制措施得建議水平?jīng)Q定了組織得信息安全得有效性。為使其建議最大程度得發(fā)揮作用，她們

應(yīng)有權(quán)接觸組織管理層得各個方面。若懷疑出現(xiàn)安全事件或破壞，應(yīng)盡早得咨詢信息安全顧

問與相應(yīng)得外部聯(lián)絡(luò)人員，以獲得專業(yè)指導(dǎo)與調(diào)查資源。盡管多數(shù)得內(nèi)部安全調(diào)查通常就是

在管理層得控制下進行得，但仍可以邀請安全顧問給出建議，領(lǐng)導(dǎo)或?qū)嵤┱{(diào)查。

6、組織間得合作

為確保在發(fā)生安全事放時能最快得采取適當措施與獲得指導(dǎo)建議，各個組織應(yīng)與執(zhí)法機

關(guān)、管理機構(gòu)、信息服務(wù)提供機構(gòu)以及電信營運部門保持適當?shù)寐?lián)系。同樣也應(yīng)考慮成為安

全組織與行業(yè)論壇得成員，

安全信息得交流應(yīng)該加以限制，以確保組織得秘密信息不會泄漏到未經(jīng)授權(quán)得人員手中。

7、信息安全審核得獨立性

信息安全方針條例制定出了信息安全得方針與職能。實施情況得審核工作應(yīng)該獨立進

行，來確保組織規(guī)范能夠很好得反映安全方針，并且就是可行得與有效得。

審核工作應(yīng)由組織內(nèi)部得審核職能部門、獨立經(jīng)理人或精通于此種審核工作得第三方組織來

實施，只要審核人員掌握了相應(yīng)得技術(shù)與經(jīng)驗。

12.7.2.2第三方訪問安全管理

目標：保證第三方訪問組織得信息處理設(shè)備與信息資產(chǎn)時得安全性。

第三方訪問組織內(nèi)部得信息處理設(shè)備得權(quán)限應(yīng)該受到控制。

若有業(yè)務(wù)上需要第三方得訪問，應(yīng)對此做出風險評估來確定訪問可能帶來得安全后

果與對訪問進行得控制需求?？刂拼胧?yīng)經(jīng)雙方同意，并在合同中進行明確定義。

第三方訪問還會涉及其她參與者。授予第三方訪問權(quán)得合同應(yīng)該涵蓋對合法得參與

者任命與允許訪訪問得條件.

在考慮信息外包處理時，此標準可以作為簽訂此類合同得基礎(chǔ)。__________________

1、而胸別

(1)訪問類型

給予第三方訪問得類型至關(guān)重要。比如，通過網(wǎng)絡(luò)連接得訪問風險與物理訪問得風險有

很大區(qū)別。需要考慮得訪問類型有：

a)物理訪問，如訪問辦公室，計算機房，文件柜等

b)邏輯訪問，如訪問組織得數(shù)據(jù)庫，信息系統(tǒng)等

(2)訪問原囚

授權(quán)第三方訪問有若干原因。例如，向組織提供服務(wù)卻不在現(xiàn)場得第三方，就可以被授

予物理與邏輯訪問權(quán)，如：

a)硬件與軟件支持人員，她們需要有權(quán)訪問系統(tǒng)級或低級得應(yīng)用程序功能。

b)貿(mào)易伙伴或合資伙伴，她們之間需要交流信息，訪問信息系統(tǒng)或共享數(shù)據(jù)庫。

若沒有充分得信息安全管理，允許第三方訪問將給信息帶來風險。因此，在業(yè)務(wù)上有與

第三方接觸得需求時，則需進行風險評估，以確定具體得控制措施得要求。還要考慮所要進

行得訪問類型、信息得價值、第三方使用得控制措施與訪問給組織信息得安全可能帶來得后

果。

(3)現(xiàn)場承包方

按照合同規(guī)定，可以在現(xiàn)場滯留一段時間得第一:方也有可能帶來安全隱患?，F(xiàn)場第三方

得例子有：

-硬件與軟件維護與支持人員

-清潔人員、送餐人員、保安與其她得外包支持服務(wù)人員

-學生與其她得短期臨時工作人員

-顧問

了解采取哪些控制措施來管理第三方對信息處理設(shè)備得訪問就是至關(guān)重要得。總得來

說，在與第三方所簽得合同中應(yīng)反映出所有得由第三方訪問導(dǎo)致得安全需求或內(nèi)部得控制措

施。例如：若對信息得保密性有特殊要求得時候，就要采用保密協(xié)議。

只有在實施了適當?shù)每刂拼胧┎⒑炗喠撕w連接與訪問條件得合同之后，第三方方可訪

問信息與信息處理設(shè)備。

2、與第三方簽約時得安全要求

涉及到第三方訪問本組織信息處理設(shè)備得安排應(yīng)基于正式得合同。該合同應(yīng)包括或提到

安全要求，以保證遵守本組織安全方針與安全標準。合同應(yīng)確保本組織與第三方之間沒有誤

會。各個組織應(yīng)確保供應(yīng)商得可靠性。合同中應(yīng)該考慮如下條款：

a）信息安全得總體方針；

b）資產(chǎn)保護方面，包括：

1）保護組織資產(chǎn)（包括信息與軟件在內(nèi)）得程序；

2）確定資產(chǎn)就是否受到危害得程序，如數(shù)據(jù)得丟失或篡改；

3）確保在合同截止時或合同執(zhí)行期間某一雙方同意得時間，歸還或銷毀信息得控

制措施；

4）完整性與可用性；

5）對復(fù)制與泄漏信息得限制：

c）對可用服務(wù)得描述；

d）服務(wù)得目標級與服務(wù)得不可接受級；

e）人員調(diào)整得規(guī)定；

0協(xié)約方各自得責任；

g）法律方面得責任，如數(shù)據(jù)保護法規(guī)，如果合同涉及到其她國家得組織，還應(yīng)特別考

慮不同國家法律體系得區(qū)別：

h）知識產(chǎn)權(quán)與版權(quán)轉(zhuǎn)讓（見控制措施遵從性）與合作成果保護；

i）訪問控制協(xié)議，包括：

1）所允許得控制方法，對獨特得標識符（如用戶ID,密碼）得控制與使用；

2）用戶訪問與特權(quán)得授權(quán)過程；

3）要求保有一份名單，用來記錄被授權(quán)使用可用服務(wù)得用戶，以及她們得使用權(quán)

與特權(quán)：

j）可驗證得行為標桂得定義、監(jiān)督與匯報；

k）監(jiān)督與廢除用戶行為得權(quán)力：

1）審核合同得責任，或就是委任第三方來執(zhí)行審核工作；

m）建立解決問題得升級流程，在適當情況下，還要考慮應(yīng)急安排；

n）軟件與硬件安裝與維護責任；

o）清晰得匯報結(jié)構(gòu)與業(yè)經(jīng)認同得匯報形式；

p）清晰、詳細得變更管理流程；

q）確?？刂拼胧┑靡詫嵤┧璧梦锢肀Ｗo控制與機制：

r）對用戶與管理者在方法、流程與安全方面得培訓：

s）確保防范惡意軟件得控制措施；

I）匯報、通知與調(diào)臺安全事故與安全破壞得安排；

u）包括第三方與次承包商；

12.7.2.3委外資源管理

FI標：當把信息處理得責任委托給其她組織時，要確保委外信息得安全性

委外安排時，應(yīng)該在簽約方得合同中表明信息系統(tǒng)、網(wǎng)絡(luò)與或桌面環(huán)境方面得風

險、安全控制與流程。

1、委外合同中得安全要求

如果組織將其全部或部分信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境得管理與控制任務(wù)委托給其她組

織，委外得安全要求應(yīng)在合同中加以規(guī)定并要爭得雙方得同意。

例如：合同中應(yīng)規(guī)定：

a）如何滿足法律方面得要求，如數(shù)據(jù)保護法規(guī)；

b）做出哪些安排來確保涉及委外得各方，包括次分包商，能意識到各自得責任；

c）如何維護與監(jiān)測組織得商業(yè)資產(chǎn)得完整性與保密性；

d）要采取哪些物理與邏輯上得控制措施來約束與限制業(yè)經(jīng)授權(quán)得用戶對商業(yè)信息得訪

問；

e）在發(fā)生災(zāi)難得情況下，如何維持服務(wù)得可用性；

f）對委外設(shè)備需要提供何種程度得物理安全；

g）審核權(quán)。

前面條款中得列表所洽出得款項也應(yīng)作為合同得一部分考慮進去。在雙方同意得安全管

理計劃中，此合同應(yīng)當詳細論述安全要求與流程。

盡管委外合同會引起一些復(fù)雜得安全問題，在本規(guī)范中提及得控制措施可以作為協(xié)商安

全管理計劃結(jié)構(gòu)與內(nèi)容得起始點。

12.7.3資產(chǎn)分類與控制

12.7.3.1資產(chǎn)責任

目標：保持對組織資產(chǎn)得適當保護。

應(yīng)該考慮所有重要得信息資產(chǎn)并指定所有人。

資產(chǎn)責任有助于確保對資產(chǎn)保持適當?shù)帽Ｗo。應(yīng)該為所有重要資產(chǎn)指定所有人，

并應(yīng)該分配對其保持適當控制措施得責任。實施控制措施得職責可以委托。責任應(yīng)由

指定得資產(chǎn)所有人承擔。

1、資產(chǎn)清單

資產(chǎn)清單有助于確保進行有效得資產(chǎn)保護，其它商業(yè)目得，如衛(wèi)生與安全、保險或財務(wù)

（資產(chǎn)管理）原因同樣需要資產(chǎn)清單。編制資產(chǎn)清單得過程就是風險評估得一個重要方面。

組織需要識別其資產(chǎn)及這些資產(chǎn)得相對價值與重要性?；谶@些信息，組織能夠進而提供與

資產(chǎn)得價值與重要性相符得保護等級.應(yīng)該編制并保持與每一信息系統(tǒng)相關(guān)得重要資產(chǎn)得清

單。應(yīng)該清晰識別每項資產(chǎn)、其擁有權(quán)、經(jīng)同意與記錄為文件得安全分級（見5、2）,以及

資產(chǎn)現(xiàn)在得位置（當試圖從丟失與損壞狀態(tài)恢復(fù)時就是重要得）。與信息系統(tǒng)相關(guān)得資產(chǎn)得

例子:

a）信息資產(chǎn)：數(shù)據(jù)庫與數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作與支持程序、

持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；

b）軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具與實用程序；

c）有形資產(chǎn)：計算機設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器），通信設(shè)備（路

由器、數(shù)字程控交換機、傳真機、應(yīng)答機），磁媒體（磁帶與軟盤），其她技術(shù)裝備

（電源，空調(diào)設(shè)備），家具與住所；

d）服務(wù)：計算與通信服務(wù)，通用設(shè)備，如供暖，照明，電力與空調(diào)等。

12.7.3.2信息分類

目標：確保信息資產(chǎn)受到適當級別得保護；

應(yīng)該對信息進行分類以指明要求、優(yōu)先性與保護等級。

信息具有不同程度得敏感性與重要性。一些項目可能需要額外級別得保護與特殊

處理。應(yīng)該使用信息分類系統(tǒng)來定義一套適當?shù)帽Ｗo等級，并傳達特殊處理措施得要

求。

1、分類原則

信息分類與相應(yīng)得保護控制措施應(yīng)該考慮共享或限制信息得商業(yè)要求，以及與這些要求

相關(guān)得商業(yè)影響，如對信息未經(jīng)授權(quán)得訪問或損壞。一般而言，對信息分類就是決定如何處

理與保護此信息得一條捷徑。

來自處理機密性數(shù)據(jù)之系統(tǒng)得信息與輸出應(yīng)該按照其對組織得價值與敏感性進行標示。

按照信息對組織得重要性進行標示同樣就是適當?shù)?，如，按照信息得完整性與可用性。經(jīng)過

了一段時間后，例如當信息已經(jīng)被公開時，信息通常就不再就是敏感得或重要得。應(yīng)該考慮

到這些方面，因為過高得保密級別能夠?qū)е虏槐匾妙~外得商業(yè)支出。分類原則應(yīng)該預(yù)見并

顧及到一個事實，及對任何特定信息得分類都沒有必要始終不變，并可以根據(jù)一些預(yù)定得方

針變化。

應(yīng)該考慮劃分類別得數(shù)量以及對其使用所帶來得益處。過于復(fù)雜得分類方案可能造成使

用上得麻煩與不經(jīng)濟或被證明為不切合實際。在解釋來自其她組織得文件上得分類標簽時應(yīng)

該小心，她們對相同或相似名字得標簽可能有不同得定義。

對一項信息（如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或磁盤）得分類進行定義以及對該分類定期

評審得責任應(yīng)該保留給數(shù)據(jù)得創(chuàng)始者或指定得信息所有人。

2、信息得標示與處理

重要得就是根據(jù)組織所采用得分類方案，為信息得標示與處理定義一套合適得程

序。這些程序必須包含以物理或電子形式存在得信息資產(chǎn)。對每一信息類別，應(yīng)該定義

處理程序，包含下列種類得信息處理活動：

a）復(fù)制；

b）存儲：

c）以郵件、傳真與電子郵件傳送；

d）以口頭方式，包括移動電話、語音郵件、答錄機傳送；

e）銷毀。

含有被劃分為敏感或重要信息之系統(tǒng)得輸出應(yīng)該采用適當?shù)梅诸悩耸荆ㄔ谳敵錾希?。?/p>

標示應(yīng)該反映根據(jù)上述分類原則建立得規(guī)則所做得分類，應(yīng)考慮得項目包括打印報告、屏幕

顯示、記錄了信息得媒體（磁帶、磁盤、光盤、盒式磁帶），電子信息與文件傳送。

物理標示??般就是最合適得標示形式。然而，?些信息資產(chǎn)，如電子形式得文件，就不

能進行物理標示，而需要使用電子方法標示。

12.7.4人員安全

12.7.4.1崗位定義與資源分配得安全

目標：降低人為錯誤、盜竊、許騙或誤用設(shè)備得風險。

應(yīng)該在新員工聘用階段就提出安全責任問題，包括在聘用合同中，并且在員工得雇傭

期間進行監(jiān)督。

應(yīng)該對可能得新員工進行充分得篩選，尤其就是從事敏感工作得員工。所有雇員以及

信息處理設(shè)施得第三方用戶都應(yīng)該簽署保密（不泄密）協(xié)議。

1、崗位責任中得安全

安全任務(wù)與責任，如同在組織得信息安全方針中規(guī)定得（見3、1）,應(yīng)該在適當?shù)们闆r

下形成文件。這些任務(wù)與責任既應(yīng)該包括實現(xiàn)或保持安全方針得任何一般責任，又應(yīng)該包括

保護特定資產(chǎn)或執(zhí)行特定得安全過程或活動得任何具體責任。

2、人員選拔及方針

對終身員工得核實檢查應(yīng)該在招聘時進行。這應(yīng)該包括以下控制措施：

a）具有令人滿意得能力、人品推薦材料，如針對工作或針對個人得；

b）應(yīng)聘者相關(guān)閱歷得檢查（針對完整性與準確性）；

c）聲稱得學術(shù)或?qū)I(yè)資格得確認：

d）獨立得身份檢查（護照或類似證件）。

無論就是初次任命還就是提升，當一項工作涉及得人員具有訪問信息處理設(shè)備得機會，

特別就是如果這些設(shè)備處理敏感信息，如財務(wù)信息或高度機密得信息時，組織應(yīng)該同樣進行

信用檢查。對于處在有相當權(quán)力位置得人員，這種檢查應(yīng)該定期重災(zāi)。

對于合同方與臨時員工應(yīng)該執(zhí)行相似得篩選程序。若這些人員就是由代理機構(gòu)推薦得，

則在與代理機構(gòu)簽訂得合同中應(yīng)該明確規(guī)定該代理機構(gòu)得篩選責任，以及如果沒有完成篩選

工作或者如果有理由對篩選結(jié)果懷疑或擔心，它們必須遵循得通知程序。

管理層應(yīng)該對有權(quán)訪問敏感系統(tǒng)得新員工與缺乏經(jīng)驗得員工得監(jiān)督工作進行評價。每一

名員工得工作都應(yīng)該定期經(jīng)過一名更高層職員得評審與批準程序。

各經(jīng)理應(yīng)該意識到員工將個人環(huán)境可以影響她們得工作。個人或財政問題、行為或生活

方式得改變、重復(fù)得缺勤以及壓力或抑郁可能導(dǎo)致欺詐、偷竊、錯誤或其她安全隱患。應(yīng)該

依據(jù)相應(yīng)權(quán)限范圍內(nèi)適當?shù)靡?guī)定來處理這類信息。

3、保密協(xié)議

保密或不泄密協(xié)議用于告知信息就是保密得或秘密得。雇員通常應(yīng)該簽署此類協(xié)議作為

她們受雇得先決條件。

應(yīng)該要求現(xiàn)存合同（含保密協(xié)議）尚未包括得臨時員工與第三方用戶在被給予信息處理

設(shè)備訪問權(quán)之前簽署一個保密協(xié)議。

在雇用條款或合同發(fā)生變化時，特別就是員工要離開組織或合同將到期時，應(yīng)該對保密

協(xié)議進行評審。

4、雇傭條款與條件

雇傭條款與條件應(yīng)該闡明雇員對信息安全得責任。適當時，在雇傭結(jié)束后，這些責任應(yīng)

該繼續(xù)一定得時間。應(yīng)該包括如果雇員無視安全要求時所采取得行動。

雇員得法律責任與權(quán)利，如涉及到得版權(quán)法或數(shù)據(jù)保護法，應(yīng)該闡明并包括在雇傭條款

與條件中。還應(yīng)該包括分類與管理雇主數(shù)據(jù)得責任。只要適當，雇傭條款與條件應(yīng)該說明這

些責任就是延伸到組織范囤以外與正常工作時間以外，例如在家工作時。

目標：確保用戶意識到信息安全得威脅與利害關(guān)系，并具有在日常工作過程中支持組

織安全方針得能力。

應(yīng)對用戶進行安全程序與正確使用信息處理設(shè)備得培訓，以盡量降低可能得安全

風險。

12.7.4.2用戶培訓

1、信息安全教育與培訓

組織中所用員工以及相關(guān)得第三方用戶，應(yīng)該接受適當?shù)门嘤柌⑶腋鶕?jù)組織方針與程序

得變化定期再培訓。這包括安全要求、法律責任與商業(yè)控制措施，還包括在被授權(quán)訪問信息

或服務(wù)之前正確使用信息處理設(shè)備，如登錄程序、軟件包得使用得培訓。

12.7.4.3安全事故與故障得響應(yīng)

目標：盡量減小安全事故與故障造成得損失，監(jiān)督此類事件并吸取教訓。

影響安全得事故應(yīng)該盡快通過適當?shù)霉芾砬缊蟾妗?/p>

應(yīng)使所有雇員與簽約人知道可能影響組織資產(chǎn)安全得不同種類事故（安全事故、威

脅、弱點或故障）得各種報告程序。

應(yīng)該要求她們以最快得速度把任何瞧到得或懷疑得事故報告給指定得聯(lián)絡(luò)人。組織

應(yīng)該建立正式得懲罰程序以處理破壞安全得員工。為妥當?shù)锰幚硎鹿?，有必要在事故發(fā)

生后盡快收集證據(jù)。

1、報告安全事故

安全事故應(yīng)該盡快通過適當?shù)霉芾砬缊蟾妗?/p>

應(yīng)該建立正式得報告程序，同時建立事故響應(yīng)程序，闡明接到事故報告后所采取得行動。

應(yīng)該使所有員工與簽約方知道報告安全事故得程序，并應(yīng)該要求她們盡快報告此類事故。應(yīng)

該在事故被處理完并關(guān)閉后，執(zhí)行適當?shù)梅答伋绦颍源_保那些報告得事故被通告了結(jié)果。

這些事故可以用于用戶安全意識培訓，作為會發(fā)生什么事故、對此類事故如何響應(yīng)、以及將

來如何避免得例子。

2、報告安全弱點

應(yīng)該要求信息服務(wù)得用戶記錄并報告任何瞧到得或懷疑得系統(tǒng)或服務(wù)得安全弱點或?qū)?/p>

它們得威脅％她們應(yīng)該盡快把這些問題向她們得管理層或直接向服務(wù)提供者報告。應(yīng)該告知

用戶，在任何情況下，她們都不應(yīng)該試圖驗證一個懷疑得弱點。這就是為了保護她們自己，

因為測試弱點可能被認為就是濫用系統(tǒng)。

3、報告軟件故障

應(yīng)該建立報告軟件故障得程序，應(yīng)該考慮以下行為。

a）應(yīng)該記錄卜問題得征兆與任何顯示在屏幕上得信息。

b）如果可能，計算機應(yīng)被隔離，并停止對其得使用。應(yīng)該立即警告適當?shù)寐?lián)絡(luò)人。如

果要檢查設(shè)備，應(yīng)在重新啟用前將其與組織得所有網(wǎng)絡(luò)斷開。軟盤不應(yīng)該用于其她

計算機。

c）該事故應(yīng)該立即報告給信息安全經(jīng)理。

除非被授權(quán)，用戶不應(yīng)該試圖刪除有疑問得軟件。應(yīng)該由經(jīng)過適當培訓并有經(jīng)驗得員工

執(zhí)行恢復(fù)工作。

4、從事故中學習

應(yīng)該有在用得機制以使事故與故障得種類、數(shù)量與損失能夠被量化與監(jiān)督。這類信息應(yīng)

該用于識別重發(fā)或有重大影響得事故與故障。這可以表明增強或增加控制措施得必要性，以

限制將來事故發(fā)生得頻率、損壞程度與損失，或者在安全方針評審過程（見3、1、2）中加

以考慮。

5、懲罰程序

針對違反組織安全方針與程序得雇員應(yīng)該有正式得懲罰程序。此程序?qū)Σ蝗豢赡軣o視安

全方針得雇員能夠起到威懾作用。另外，應(yīng)該保證正確、公平得處理被懷疑嚴重或連續(xù)破壞

安全得雇員。

12.7.5物理與環(huán)境安全

12.7.5.1安全區(qū)域

目標：防止對商業(yè)場所與信息未經(jīng)授權(quán)得訪問、破壞與干擾。

關(guān)鍵或敏感得商業(yè)信息處理設(shè)備應(yīng)該放置在安全區(qū)域，由規(guī)定得安全防護帶，適

當?shù)冒踩琳吓c入口控制保護。這些設(shè)備應(yīng)該被物理保護，防止未授權(quán)得訪問、破壞

與T擾。

所提供得保護應(yīng)該與被確認得風險相當。建議采用清空桌面與清屏方針以降低對

文件、媒體與信息處理設(shè)備得未經(jīng)授權(quán)得訪問或破壞得風險。

1、物理安全防護帶

物理保護可以通過在商業(yè)場所與信息處理設(shè)備周圍沒置若干物理屏障達到。每個屏障形

成一個安全防護帶，每個防護帶都增強所提供得整體防護。組織應(yīng)該使用安全防護帶來保護

放置信息處理設(shè)備（見7、1、3）得區(qū)域。安全防護帶就是構(gòu)建屏障得東西，如墻、進門得

控制卡或有人職守得接待臺。每個屏障得位置與強度取決于風險評估得結(jié)果。

適當情況下應(yīng)該考慮下述原則與控制措施：

a）安全防護帶應(yīng)該明確規(guī)定。

b）放置信息處理設(shè)備得建筑物或場所得防護帶在物理上應(yīng)該就是得牢固得（例如，在

防護帶或安全區(qū)域不應(yīng)該有能夠輕易闖入得缺口）。場所得外墻應(yīng)該就是堅固得建筑

物，所有得外門應(yīng)該被適當保護，防止未經(jīng)授權(quán)得訪問，如控制機制、柵欄、警鈴、

鎖等。

c）應(yīng)該設(shè)置有人職守得接待區(qū)或其她方法對場所或建筑物控制物理訪問。對場所與建

筑物得訪問應(yīng)該僅限于經(jīng)授權(quán)得人員。

d）如有必要，物理屏障應(yīng)從地板延伸到天花板，以防止未經(jīng)授權(quán)得進入與由諸如火災(zāi)

與水災(zāi)引起得環(huán)境污染。

e）安全防護帶得所有防火門應(yīng)具報警功能并用力關(guān)緊。

2、物理進入控制措施

安全區(qū)應(yīng)該通過適當?shù)眠M入控制措施保護，以確保只有經(jīng)授權(quán)得人員能夠進入，應(yīng)考慮

以下得控制措施：

a）安全區(qū)得訪問者應(yīng)該被監(jiān)督或經(jīng)批準，并且應(yīng)該己錄她們進入與離開得日期與時間。

她們應(yīng)該僅被允許訪問特定得、經(jīng)受權(quán)得目標，并應(yīng)該發(fā)給她們關(guān)于安全區(qū)域要求

與應(yīng)急程序得說明。

b）對敏感信息與信息處理設(shè)備得訪問應(yīng)被控制并僅限于經(jīng)受權(quán)得人。鑒別控制措施，

如帶個人身份號碼得掃描卡，應(yīng)被用于所有訪問得授權(quán)與驗證。應(yīng)該安全得保持所

有訪問得審計線索。

c）應(yīng)該要求所有員工穿戴某種明顯得身份標志，并鼓勵向沒有陪伴得陌生人與沒有穿

帶明顯身份標志得任何人盤問。

d）對安全區(qū)得訪問權(quán)應(yīng)該定期評審并更新。

3、保護辦公室、房間與設(shè)備得安全

安全區(qū)可能就是上鎖得辦公室或物理安全防護帶中得若干房間，這些房間可以被鎖住并

且可能存放有可上鎖得柜子與保險箱。安全區(qū)得選擇與設(shè)計應(yīng)該考慮火災(zāi)、水災(zāi)、爆炸、暴

亂與其她形式得自然或人為災(zāi)害造成損害得可能性。還應(yīng)該考慮相關(guān)得衛(wèi)生、安全法規(guī)與標

準。同樣應(yīng)該考慮相鄰場所造成得任何安全威脅，如來自其她區(qū)域得水泄漏。

應(yīng)該考慮以下控制措施：

a）關(guān)鍵設(shè)備得放置應(yīng)該避免被公眾訪問。

b）建筑物應(yīng)該不引人注目，并盡量少得顯示其用途，建筑物內(nèi)外沒有表明存在信息處

理活動得明顯標志。

c）輔助功能與設(shè)備，如影印機、傳真機應(yīng)該被妥當?shù)梅胖迷诎踩珔^(qū)內(nèi)，以避免能夠危

害信息安全得訪問需求。

d）無人瞧管時門窗應(yīng)該上鎖，應(yīng)該考慮對窗戶，特別就是地面層窗戶得外部保護。

e）應(yīng)該在所有得外門與可以出入得窗戶按專業(yè)標準安裝入侵監(jiān)測系統(tǒng)并定期測試。無

人區(qū)應(yīng)該時刻保持警戒狀態(tài)。應(yīng)該同樣為其它區(qū)域提供保護，如計算機房或通信機

房。

f）由組織管理得信息處理設(shè)備應(yīng)該與第三方管理得信息處理設(shè)備從物理上隔離。

g）顯示敏感信息處理設(shè)備位置得目錄與內(nèi)部電話本不應(yīng)該輕易地被公眾獲取。

h）危險或易燃物品應(yīng)該安全地保存在與安全區(qū)保持安全距禽得地方。大宗消耗品如文

具除非必要否則不應(yīng)該存放在安全區(qū)。

i）備用設(shè)備與備份媒體得放置應(yīng)該與主場地保持安全得距離，以避免因主場地得災(zāi)害

造成毀壞。

4、在安全區(qū)內(nèi)工作

可能需要額外得控制措施與指導(dǎo)原則來加強安全區(qū)域得安全性。這包括對在安全區(qū)內(nèi)工

作得員工與第三方人員以及發(fā)生在安全區(qū)得第三方活動得控制措施。應(yīng)該考慮以下控制措

施：

a）只有在有必要知道得情況下，員工才應(yīng)該知道安全區(qū)得存在或其內(nèi)得活動。

b）為安全原因與防止產(chǎn)生惡意活動得機會，在安全區(qū)內(nèi)應(yīng)該避免無人監(jiān)督得工作。

c）空閑得安全區(qū)應(yīng)該上鎖并定期檢查。

d）第三方服務(wù)支持人員只有在必要時才應(yīng)該被允許有限制得訪問安全區(qū)或敏感信息處

理設(shè)備。這種訪問應(yīng)該經(jīng)過授權(quán)并接受監(jiān)督。在安全防護帶內(nèi)具有不同安全要求得

區(qū)域之間可能需要控制物理訪問得額外得屏障與防護帶。

e）除非經(jīng)授權(quán)，不應(yīng)該允許使用照相、錄像、錄音或其她記錄設(shè)備。

5、隔離交接區(qū)

交接區(qū)應(yīng)予以控制，如有可能，與信息處理設(shè)備隔離，以避免未經(jīng)授權(quán)得訪問。此類區(qū)

域得安全要求應(yīng)該由風險評估決定。應(yīng)該考慮以下控制措施：

a）從建筑物外對接貨區(qū)得訪問應(yīng)限于經(jīng)確認與授權(quán)得人。

b）應(yīng)將接貨區(qū)設(shè)計成送貨員能夠卸貨卻無法得到訪問建筑物其它部分得權(quán)利o

c）當接待區(qū)得內(nèi)門打開時，外門應(yīng)該就是安全得。

d）進入得物品在從接貨區(qū)轉(zhuǎn)移到使用地點之前應(yīng)該接受檢查，以防止?jié)撛诘梦ｋU。

e）如果適當，進入得物品應(yīng)在入I」進行登記。

12.7.5.2設(shè)備安全

目標：防止資產(chǎn)得丟失、損壞或泄漏以及商業(yè)活動得中斷。

應(yīng)該在物理上保護設(shè)備免受安全威脅與環(huán)境危害。有必要保護設(shè)備（包括場所外

使用得）以降低對數(shù)據(jù)未經(jīng)受權(quán)訪問得風險以及防止丟失或損壞。還應(yīng)該考慮設(shè)備得

放置與布局。特殊得控制措施可能就是必要得，以防止危害或未經(jīng)授權(quán)得訪問，并保

護輔助設(shè)施，如電力與電纜設(shè)施。

1、設(shè)備放置與保護

應(yīng)該放置或保護設(shè)備以降低環(huán)境威脅與危害造成得風險，以及未經(jīng)受權(quán)訪問得機會。應(yīng)

該考慮以下控制措施：

a）設(shè)備得放置應(yīng)盡量減少對工作區(qū)不必要得訪問。

b）處理敏感數(shù)據(jù)得信息處理與存儲設(shè)備應(yīng)該被妥善放置以降低在使用中被忽視得風

險。

c）需要特殊保護得物品應(yīng)隔離放置，以降低所需得總體保護等級。

d）應(yīng)該采取措施以盡量降低潛在威脅得風險，包括：

1）偷竊；

2）火災(zāi);

3）爆炸；

4）吸煙；

5）水（或供水故障）；

6）灰塵；

7）震動：

8）化學反應(yīng)；

9）電源干擾；

10）電磁輻射。

e）組織應(yīng)該考慮在信息處理設(shè)備附近吃東西、飲水與吸煙得方針。

0對于可能對信息處理設(shè)備得運行有負面影響得環(huán)境條件應(yīng)該進行監(jiān)控。

g）特殊得保護方法，如鍵盤保護膜應(yīng)該考慮配備在工業(yè)環(huán)境下。

h）應(yīng)該考慮發(fā)生在臨近區(qū)域得災(zāi)需得影響，如：臨近建筑物著火，天花板漏水，低于

地平面得地面滲水或臨街爆炸。

2、電力供應(yīng)

應(yīng)該保護設(shè)備以防電力中斷與其她與電有關(guān)得異態(tài)。應(yīng)該根據(jù)設(shè)備制造商得說明提供合

適得電力。

實現(xiàn)不間斷電力得可選措施包括：

a）多條線路供電以避免單點故障；

b）不間斷電源（UPS）：

c）備用發(fā)電機。

對于支持關(guān)鍵商業(yè)業(yè)務(wù)得設(shè)備，推薦使用不間斷電源（U