PKSEC-ISMS审核员教程-part4-信息安全管理实用规则-20071219

第四部分：信息安全管理实用规则ISO/IEC27002:2005教学目标通过8课时“信息安全管理实用规则ISO/IEC27002”内容的教学，帮助学员：了解《信息安全管理实用规则ISO/IEC27002》的基本框架掌握标准条款的内容要点信息技术安全技术信息安全管理实用规则1范围2术语和定义3本标准的结构4风险评估和处理5安全方针6信息安全组织7资产管理8人力资源安全9物理和环境安全10通信和操作管理11访问控制12信息系统获取、开发和维护13信息安全事件管理14业务连续性管理15符合性1范围本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。本标准的控制目标和控制措施旨在满足风险评估所识别的要求。本标准可作为建立组织的安全准则和有效安全管理惯例的实用指南，并有利于在组织间的活动中建立信心。2术语和定义2.1资产：任何对组织有价值的东西[ISO/IEC13335-1：2004]。2.2控制措施：管理风险的手段，包括策略、程序、指南、措施或者组织结构，它们可以是行政的、技术的、管理的或者法律的。2.3指南：关于应该做些什么以及如何做，以达到策略中所要求的目标的描述[ISO/IEC13335-1：2004]。2.4信息处理设施：任何信息处理系统，服务或基础设施，或放置它们的物理场所。2术语和定义2.5信息安全：保持信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。2.6信息安全事态：信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IECTR18044：2004]。2.7信息安全事件：一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IECTR18044：2004]。2.8方针：由管理者正式表述的整体意图和方向。2.9风险：事件的概率及其结果的组合[ISOGuide73：2002]。2.10风险分析：系统地使用信息来识别风险来源和估计风险[ISOGuide73：2002]。2.11风险评估：风险分析和风险评价的全过程[ISOGuide73：2002]。2.12风险评价：将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISOGuide73：2002]。2术语和定义2.13风险管理：指导和控制一个组织相关风险的协调活动[ISOGuide73：2002]。2.14风险处理：选择并且执行控制措施来更改风险的过程[ISOGuide73：2002]。2.15第三方：就被讨论的问题而言，公认的与当事各方无关的个人或组织[ISOGuide2：1996]。2.16威胁：可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IECTR13335-1：2004]。2.17脆弱性：可被一个或多个威胁利用的一项资产的或一组资产的弱点。2术语和定义3.1章节3.2主要安全类别3本标准的结构3.1章节每一章包含许多主要安全类别。11个章节（连同每一章中所包含的主要安全类别的数量）是：1.安全方针（1）；2.信息安全组织（2）；3.资产管理（2）；4.人力资源安全（3）；5.物理和环境安全（2）；6.通信和操作管理（10）；7.访问控制（7）；8.信息系统获取、开发和维护（6）；9.信息安全事件管理（2）；10.业务连续性管理（1）；11.符合性（3）。3.2主要安全类别每一主要的安全类别包括：一个控制目标：声明要实现什么；(39)一个或多个控制措施：可被用于实现该控制目标；(133)控制措施的描述结构：控制措施：为满足控制目标，定义专门的控制措施的陈述。实施指南：为支持控制的实施、满足控制目标提供更详细的信息。其它信息：提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的引用。3.2主要安全类别5.1信息安全方针5安全方针目标：依据业务需求和相关法律法规提供管理方向和支持信息安全。5.1信息安全方针5.1.1信息安全方针文件5.1.2信息安全方针的评审6信息安全组织6.1内部组织6.2外部各方6.1内部组织目标：在组织内管理信息安全。6.1.1信息安全的管理承诺6.1.2信息安全协调6.1.3信息安全职责的分配6.1.4信息处理设施的授权过程6.1.5保密性协议6.1.6与政府部门的联系6.1.7与特定利益集团的联系6.1.8信息安全的独立评审6.2外部各方6.2.1与外部各方相关风险的识别6.2.2处理与顾客有关的安全问题6.2.3处理第三方协议中的安全问题目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。7资产管理7.1对资产负责7.2信息分类7.1对资产负责7.1.1资产清单7.1.2资产责任人7.1.3资产的允许使用目标：实现和保持对组织资产的适当保护。7.2信息分类7.2.1分类指南7.2.2信息的标记和处理目标：确保信息受到适当等级的保护。8人力资源安全8.1任用之前8.2任用中8.3任用的终止或变化8.1任用之前8.1.1角色和职责8.1.2审查8.1.3任用条款和条件目标：确保雇员、承包方人员和第三方人员理解其职责、适于其所承担的角色，以降低设备被窃、欺诈和误用的风险。8.2任用中8.2.1管理职责8.2.2信息安全意识、教育和培训8.2.3纪律处理过程目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人员过失的风险。8.3任用的终止或变化8.3.1终止职责8.3.2资产的归还8.3.3撤销访问权目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。9物理和环境安全9.1安全区域9.2设备安全9.1安全区域9.1.1物理安全边界9.1.2物理入口控制9.1.3办公室、房间和设施的安全保护9.1.4外部和环境威胁的安全防护9.1.5在安全区域工作9.1.6公共访问、交接区安全目标：防止对组织办公场所和信息的未授权物理访问、损坏和干扰。9.2设备安全9.2.1设备安置和保护9.2.2支持性设施9.2.3布缆安全9.2.4设备维护9.2.5组织场所外的设备安全9.2.6设备的安全处置和再利用9.2.7资产的移动目标：防止资产的丢失、损坏、失窃或危及资产的安全以及组织活动的中断。10通信和操作管理10.1操作程序和职责10.2第三方服务交付管理10.3系统规划和验收10.4防范恶意和移动代码10.5备份10.6网络安全管理10.7介质处置10.8信息的交换10.9电子商务服务10.10监视10.1操作程序和职责10.1.1文件化的操作程序10.1.2变更管理10.1.3责任分割10.1.4开发、测试和运行设施分离目标：确保正确、安全的操作信息处理设施。10.2第三方服务交付管理10.2.1服务交付10.2.2第三方服务的监视和评审10.2.3第三方服务的变更管理目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。10.3系统规划和验收10.3.1容量管理10.3.2系统验收目标：将系统失效的风险降至最小。10.4防范恶意和移动代码10.4.1控制恶意代码10.4.2控制移动代码目标：保护软件和信息的完整性。10.5备份10.5.1信息备份目标：保持信息和信息处理设施的完整性及可用性。10.6网络安全管理目标：确保网络中信息的安全性并保护支持性的基础设施。10.6.1网络控制10.6.2网络服务的安全10.7介质处置目标：防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。10.7.1可移动介质的管理10.7.2介质的处置10.7.3信息处理程序10.7.4系统文件安全10.8信息的交换目标：保持组织内信息和软件交换及与外部组织信息和软件交换的安全。10.8.1信息交换策略和程序10.8.2交换协议10.8.3运输中的物理介质10.8.4电子消息发送10.8.5业务信息系统10.9电子商务服务目标：确保电子商务服务的安全及其安全使用。10.9.1电子商务10.9.2在线交易10.9.3公共可用信息10.10监视目标：检测未经授权的信息处理活动。10.10.1审计日志10.10.2监视系统的使用10.10.3日志信息的保护10.10.4管理员和操作员日志10.10.5故障日志10.10.6时钟同步11访问控制11.1访问控制的业务要求11.2用户访问管理11.3用户职责11.4网络访问控制11.5操作系统访问控制11.6应用和信息访问控制11.7移动计算和远程工作11.1访问控制的业务要求目标：控制对信息的访问。11.1.1访问控制策略11.2用户访问管理目标：确保授权用户访问信息系统，防止未授权用户访问信息系统。11.2.1用户注册11.2.2特权管理11.2.3用户口令管理11.2.4用户访问权的复查11.3用户职责目标：防止未授权用户对信息和信息处理设施的访问、危害或窃取。11.3.1口令使用11.3.2无人值守的用户设备11.3.3清空桌面和清空屏幕策略11.4网络访问控制目标：防止对网络服务的未授权访问。11.4.1使用网络服务的策略11.4.2外部连接的用户鉴别11.4.3网络上的设备标识11.4.4远程诊断和配置端口的保护11.4.5网络隔离11.4.6网络连接控制11.4.7网络路由选择控制11.5操作系统访问控制目标：防止对操作系统的未授权访问。11.5.1安全登录程序11.5.2用户标识和鉴别11.5.3口令管理系统11.5.4系统实用工具的使用11.5.5会话超时11.5.6联机时间的限定11.6应用和信息访问控制目标：防止对应用系统中信息的未授权访问。11.6.1信息访问限制11.6.2敏感系统隔离11.7移动计算和远程工作目标：确保使用移动计算和远程工作设施时的信息安全。11.7.1移动计算和通信11.7.2远程工作12信息系统获取、开发和维护12.1信息系统的安全要求12.2应用中的正确处理12.3密码控制12.4系统文件的安全12.5开发和支持过程中的安全12.6技术脆弱性管理12.1信息系统的安全要求目标：确保安全是信息系统的一个有机组成部分。12.1.1安全要求分析和说明12.2应用中的正确处理目标：防止应用系统中信息的错误、遗失、未授权的修改及误用。12.2.1输入数据的验证12.2.2内部处理的控制12.2.3消息完整性12.2.4输出数据的验证12.3密码控制目标：通过密码方法保护信息的保密性、真实性或完整性。12.3.1使用密码控制的策略12.3.2密钥管理12.4系统文件的安全目标：确保系统文件的安全。12.4.1运行软件的控制12.4.2系统测试数据的保护12.4.3对程序源代码的访问控制12.5开发和支持过程中的安全目标：维护应用系统软件和信息的安全。12.5.1变更控制程序12.5.2操作系统变更后应用的技术评审12.5.3软件包变更的限制12.5.4信息泄漏12.5.5外包软件开发12.6技术脆弱性管理目标：减低利用公开的技术脆弱性导致的风险。12.6.1技术脆弱性控制13信息安全事件管理13.1报告信息安全事态和弱点13.2信息安全事件和改进的管理13.1报告信息安全事态和弱点目标：确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施。13.1.1报告信息安全事态13.1.2报告安全弱点13.2信息安全事件和改进的管理目标：确保采用一致和有效的方法对信息安全事件进行管理。13.2.1职责和程序13.2.2对信息安全事件的总结13.2.3证据的收集14.1业务连续性管理的信息安全方面14业务连续性管理14.1业务连续性管理的信息安全方面目标：防止业务活动中断，保护关键业务过程免受重大失误或灾难的影响，以及确保它们的及时恢复。14.1.1业务连续性管理