ISO27001信息安全体系培训(条款A10-通讯及操作管理)

ISO27001信息安全体系培训控制目标和控制措施（条款A10-通讯及操作管理）2009年11月董翼枫（dongyifeng78@hotmail.com）ISO27001培训系列V1.0-1-条款A10通讯和操作管理A10.1操作规程和职责目标：确保正确、安全的操作信息处理设施。应建立所有信息处理设施的管理和操作职责和程序。这包括制定合适的操作程序。当合适时，应实施责任分割，以减少疏忽或故意误用系统的风险。-2--3-A10.1.1文件化的操作程序控制措施操作程序应形成文件、保持并对所有需要的用户可用。-4-A10.1.1文件化的操作程序实施指南与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。操作程序应详细规定执行每项工作的说明，其内容包括：a)信息处理和处置；b)备份（见A10.5）；c)时间安排要求，包括与其他系统的相互关系、最早工作开始时间和最后工作完成期限；d)对在工作执行期间可能出现的处理差错或其它异常情况的指导，包括对使用系统实用工具的限制（见A11.5.4）；e)出现不期望操作或技术困难事态时的支持性联络；f)特定输出及介质处理的指导，诸如使用特殊信纸或管理保密输出，包括任务失败时输出的安全处置程序（见A10.7.2和A10.7.3）；g)供系统失效时使用的系统重启和恢复程序；h)审核跟踪和系统日志信息的管理（见A10.10）。要将操作程序和系统活动的文件化程序看作正式的文件，其变更由管理者授权。技术上可行时，信息系统应使用相同的程序、工具和实用程序进行一致的管理。-5-A10.1.2变更管理控制措施对信息处理设施和系统的变更应加以控制。实施指南操作系统和应用软件应有严格的变更管理控制。特别是，下列条款应予以考虑。a)重大变更的标识和记录；b)变更的策划和测试；c)对这种变更的潜在影响的评估，包括安全影响；d)对建议变更的正式批准程序；e)向所有有关人员传达变更细节；f)返回程序，包括从不成功变更和未预料事态中退出和恢复的程序与职责。正式的管理者职责和程序应到位，以确保对设备、软件或程序的所有变更有令人满意的控制。当发生变更时，包含所有相关信息的审核日志要予以保留。-6-A10.1.3责任分割控制措施各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。实施指南责任分割是一种减少意外或故意系统误用的风险的方法。应注意，在无授权或未被监测时，应使个人不能访问、修改或使用资产。事态的启动要与其授权分离。勾结的可能性应在设计控制措施时予以考虑。小型组织可能感到难以实现这种责任分割，但就可能性和可行性来说，该原则是适用的。如果难以分割，应考虑其他控制措施，例如对活动、审核踪迹和管理监督的监视等。重要的是安全审核仍保持独立。-7-A10.1.4开发、测试和运行设施分离控制措施开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。实施指南为防止操作问题，应识别运行、测试和开发环境之间的的分离级别，并实施适当的控制措施。下列条款应加以考虑：a)要规定从开发状态到运行状态的软件传递规则并形成文件；b)开发和运行软件要在不同的系统或计算机处理器上或在不同的域或目录内运行；c)没有必要时，编译器、编辑器、其他开发工具或系统实用工具不应访问运行系统；d)测试系统环境应尽可能的仿效运行系统环境；e)用户应在运行和测试系统中使用不同的用户轮廓，菜单要显示合适的标识消息以减少出错的风险；f)敏感数据不应拷贝到测试系统环境中（见A12.4.2）。A10.2第三方服务交付管理目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。组织应检查协议的实施，监视协议执行的符合性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。-8--9-A10.2.1服务交付控制措施应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。实施指南第三方交付的服务应包括商定的安全安排、服务定义和服务管理各方面。在外包安排的情况下，组织应策划必要的过渡（信息、信息处理设施和其他需要移动的任何资产），并应确保安全在整个过渡期间得以保持。组织应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难（见A14.1）后继续得以保持。-10-A10.2.2第三方服务的监视和评审控制措施应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行。-11-A10.2.2第三方服务的监视和评审实施指南第三方服务的监视和评审应确保坚持协议的信息安全条款和条件，并且信息安全事件和问题得到适当的管理。这将涉及组织和第三方之间的服务管理关系和过程，包括：a)监视服务执行级别以检查对协议的符合度；b)评审由第三方产生的服务报告，安排协议要求的定期进展会议；c)当协议和所有支持性指南及程序需要时，提供关于信息安全事件的信息并由第三方和组织实施评审；d)评审第三方的审核踪迹以及关于交付服务的安全事态、运行问题、失效、故障追踪和中断的记录；e)解决和管理所有已确定的问题。管理与第三方关系的职责应分配给指定人员或服务管理组。另外，组织应确保第三方分配了检查符合性和执行协议要求的职责。应获得足够的技术技能和资源来监视满足协议的要求（见A6.2.3），特别是信息安全要求。当在服务交付中发现不足时，应采取适当的措施。组织应对第三方访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。组织应确保他们对安全活动留有可见度，例如变更管理、脆弱性识别和信息安全事件报告/响应，事件的报告/响应使用清晰定义的报告过程、格式及结构。-12-A10.2.3第三方服务的变更管理控制措施应管理服务提供的变更，包括保持和改进现有的信息安全方针策略、程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估。实施指南对第三方服务变更的管理过程需要考虑：a)组织要实施的变更：①对提供的现有服务的加强；②任何新应用和系统的开发；③组织方针策略和程序的更改或更新；④解决信息安全事件、改进安全的新的控制措施。b)第三方服务实施的变更：①对网络的变更和加强；②新技术的使用；③新产品或新版本的采用；④新的开发工具和环境；⑤服务设施物理位置的变更；⑥供应商的变更。A10.3系统规划和验收目标：将系统失效的风险降至最小。为确保足够能力和资源的可用性以提供所需的系统性能，需要预先的规划和准备。应作出对于未来容量需求的推测，以减少系统过载的风险。新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。-13--14-A10.3.1容量管理控制措施资源的使用应加以监视、调整，并应作出对于未来容量要求的预测，以确保拥有所需的系统性能。实施指南对于每一个新的和正在进行的活动来说，应识别容量要求。应使用系统调整和监视以确保（需要时）改进系统的可用性和效率。应有检测控制措施以及时地指出问题。未来容量要求的推测应考虑新业务、系统要求以及组织信息处理能力的当前和预计的趋势。需要特别关注与长订货交货周期或高成本相关的所有资源；因此管理人员应监视关键系统资源的利用。他们应识别出使用的趋势，特别是与业务应用或管理信息系统工具相关的使用。管理人员应使用该信息来识别和避免潜在的瓶颈及对关键员工的依赖，他们可能引起对系统安全或用户服务的威胁，同时管理人员还应策划适当的措施。-15-A10.3.2系统验收控制措施应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。-16-A10.3.2系统验收实施指南管理人员要确保验收新系统的要求和准则被明确地定义、商定、形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后，才能作为产品。在验收之前，下列项目要加以考虑：a)性能和计算机容量要求；b)差错恢复和重启程序以及应急计划；c)按照已定义标准，准备和测试日常的运行程序；d)确定的一组安全控制措施应到位；e)有效的人工操作程序；f)按A14.1所要求的业务连续性安排；g)新系统的安装对现有系统无负面影响的证据，特别是在高峰处理时间，例如月末；h)考虑新系统对组织总体安全影响的证据；i)新系统的操作和使用培训；j)易用性，这影响到用户使用，避免人员出错。对于主要的新的开发，在开发过程的各阶段要征询运行职能部门和用户的意见，以确保所建议的系统设计的运行效率。要进行适当的测试，以证实完全满足全部验收标准。A10.4防范恶意和移动代码目标：保护软件和信息的完整性。要求有预防措施，以防范和检测恶意代码和未授权的移动代码的引入。软件和信息处理设施易感染恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹）。要让用户了解恶意代码的危险。若合适，管理人员要推行控制措施，以防范、检测并删除恶意代码，并控制移动代码。-17--18-A10.4.1控制恶意代码控制措施应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。-19-A10.4.1控制恶意代码实施指南防范恶意代码要基于恶意代码监测、修复软件、安全意识、适当的系统访问和变更管理控制措施。下列指南要加以考虑：a)建立禁止使用未授权软件的正式策略（见15.1.2）；b)建立防范风险的正式策略，该风险与来自或经由外部网络或在其他介质上获得的文件和软件相关，此策略指示应采取什么保护措施（见11.5，特别是11.5.4和11.5.5）；c)对支持关键业务过程的系统中的软件和数据内容进行定期评审。应正式调查存在的任何未批准的文件或未授权的修正；d)安装和定期更新恶意代码检测和修复软件来扫描计算机和介质，以作为预防控制或作为例行程序的基础；执行的检查应包括：①针对恶意代码，使用前检查电子或光介质文件，以及从网络上收到的文件；②针对恶意代码，使用前检查电子邮件附件和下载内容；该检查可在不同位置进行，例如，在电子邮件服务器、台式计算机或进入组织的网络时；③针对恶意代码，检查web页面；e)定义关于系统恶意代码防护、他们使用的培训、恶意代码攻击报告和从中恢复的管理程序和职责（见13.1和13.2）；f)制定适当的从恶意代码攻击中恢复的业务连续性计划，包括所有必要数据和软件的备份以及恢复安排（见14章）；g)实施程序定期收集信息，例如订阅邮件列表和/或检查提供新恶意代码的web站点；h)实施检验与恶意代码相关信息的程序，并确保报警公告是准确情报；管理人员应确保使用合格的来源（例如，声誉好的期刊、可靠的Internet网站或防范恶意代码软件的供应商），以区分虚假的和实际的恶意代码；要让所有用户了解欺骗问题，以及在收到它们时要做什么。-20-A10.4.2控制移动代码控制措施当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行，应阻止执行未授权的移动代码。实施指南应考虑下列措施以防止移动代码执行未授权的活动：a)在逻辑上隔离的环境中执行移动代码；b)阻断移动代码的所有使用；c)阻断移动代码的接收；d)使技术测量措施在一个特定系统中可用，以确保移动代码受控；e)控制移动代码访问的可用资源；f)使用密码控制，以唯一的认证移动代码。A10.5备份目标：保持信息和信息处理设施的完整性及可用性。应为备份数据和演练及时恢复建立例行程序来实施已商定的策略和战略（见A14.1）。-21--22-A10.5.1信息备份控制措施应按照已设的备份策略，定期备份和测试信息和软件。-23-A10.5.1信息备份实施指南应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。信息备份的下列条款应加以考虑：a)应定义备份信息的必要级别；b)应建立备份拷贝的准确完整的记录和文件化的恢复程序；c)备份的程度（例如全部备份或部分备份）和频率应反映组织的业务要求、涉及信息的安全要求和信息对组织持续运作的关键