信息安全管理实施细则

信息安全管理体系规范（PartI）（信息安全管理实施细则）目录前言一、信息安全范围二、术语与定义三、安全政策3.1信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全？对一个单位或组织来说，信息和其它商业资产一样有价值，因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁，从而使单位能够进行持续经营，使其对经营的危害降至最小程度，并将投资和商业机会得以最大化。信息可以许多形式存在－可以印在或写在纸上，以电子方式进行储存，通过邮寄或电子方式传播，用影片显示或通过口头转述。无论信息以何种方式存在，或以何种形式分享或储存，都要对其进行恰当保护。信息安全的主要特征在于保护其－保密性：确保只有那些经过授权的人员可以接触信息－完整性：保护信息和信息处理办法的准确性和完整性－可得性：确保在需要时，经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现；此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体安全目标得以实现。为何需要信息安全？信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁，如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源，如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。许多信息系统本身的设计就很不安全。通过技术手段达到的安全很有限，因此要通过恰当的管理和流程加以支持。确认采取的管制措施时需要详细审慎的计划和构思。信息安全管理至少要求单位所有员工的参与。同时，也要求供货商、客户和股东的参与。单位外部的专家建议有时也很必要。如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中，则其成本会便宜许多。如何设置安全要求？单位能够确认其安全方面的要求至关重要。在这方面，主要有三个来源：第一个来源是对单位面临的风险进行评估。通过风险评估，可以确认单位的资产所面临的威胁，评估其弱项和危险发生的可能性，并对其潜在的冲击加以估计。第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、规章或契约方面的要求。第三个来源是单位为支持其运营而开发出的一套针对信息处理的原则、目标和要求。评估安全风险安全要求是通过对安全风险的系统评估而确认的。管制方面的支出需要和安全失控时产生的危害进行平衡和比较。风险评估技巧可运用到整个组织或局部，也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。风险评估要求对如下因素进行系统考虑：-安全失误所造成的经营性破坏，要求考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果-现行威胁和弱点导致安全失误的现实可能性，及目前实施的管制手段在管理信息安全风险和实施管制手段防范风险时，上述评估结果有助于指导和决定采取适当的管理行动及其优先程度。评估风险和选择管制手段的过程可能需要重复几次，以便涵盖单位的不同部分或单个的信息系统。对安全风险和实施的管制要进行定期回顾，以便－考虑运营要求和优先性方面所发生的变化－考虑新的威胁和薄弱环节－确认所采取的管制手段仍然有效恰当根据以前评估的结果和管理层能够接受的风险程度，上述回顾应当按不同程度开展。风险评估一般先在较高层次上开展，以便对高风险领域的资源进行优先分类，然后从细节开展，目的是对付具体风险。选择管制手段安全要求一旦确定之后，就应选择并实施管制手段以确保风险被降到一个可接受的水平。管制手段可从本文件或别的管控手册中选择；还可以设计新管控办法来满足具体的需求。管理风险有许多不同的办法，本文件列出了一些常用的手段。然而，需要认识的是有些手段并不是适用与所有信息系统或环境，也不一定适合所有的单位或组织。比如，本文件8.1.4描述了如何对权责进行分类以便防止诈骗或失误。对许多小的单位或组织来说，这种办法就不一定适合，而另外的办法可能更好一些。管制的选择应当基于相对风险而言执行管制时的成本。也应当考虑其它非财务方面的因素，如对单位或组织名誉的损坏等等。本文件中的某些管制手段可以用作多数单位的信息安全管理的指导原则。其细节在下述的“信息安全起始点”中将加以详细描述。信息安全起始点几条管制手段作为指导原则提供了信息安全执行方面的起始点。它们或者基于重大的立法要求，或者被认为是信息安全领域内的最佳实施手法。从立法角度审视，对单位十分重要的管制手段主要包括：甲、知识产权（详见12.1.2）乙、保护单位记录（详见12.1.3）丙、数据保护和个人隐私（详见12.1.4）对信息安全来说被认为是最佳实施手段的管制手段包括：甲、信息安全政策文件（详见3.1.1）乙、信息安全权责的分配（详见4.1.3）丙、信息安全教育和培训（详见6.2.1）丁、安全事故的回报（详见6.3.1）戊、持续运营管理（详见11.1）这些管制手段适用于多数单位和多数情形。应当注意的是，尽管本文件所述的管制手段很重要，但所有手段的适用性仍然取决于具体的当事情形。因此，上述的步骤虽然是很好的起点，它并不取代基于具体风险评估而导出的管制手段。重大成功因素以往经验证实各单位要确保执行信息安全管理的成功需考虑如下重大因素：-安全政策，目标和反应单位运营目标的活动-符合单位文化的安全防卫模式-管理层明显的支持和承诺-对安全要求、风险评估和风险管理的充分理解-向所有管理人员和员工推行安全概念的有效途径-向所有员工和承包方发放有关本单位信息安全政策和标准的指导纲要-提供恰当的培训和教育-一整套用于评估信息安全管理表现及反馈改进意见的测量系统制定本单位的大纲本指导条例可用作各单位依据本身具体情况制定自己内部信息安全指导大纲的基础。本条例所描述的指导原则和管制手段也并不一定适合所有单位的情况。因此，有必要适时加以调整。一、信息安全范围此部分针对各单位内部从事安全工作的人员提出了信息安全管理方面的建议。其目的是提供一个公共平台以各单位制定各自的安全标准和有效的安全管理手段，并增强各单位就此进行交流时的信心。二、术语与定义在本文件中，下列术语其定义如下：2.1信息安全对信息保密性、完整性和可得性的保护。保密性被定义为确保唯有经过授权的人员方可存取信息。完整性被定义为保护信息和信息加工方法的准确和完全。可得性被定义为确保经授权的人员在必要时能存取信息和相关资产。2.2风险评估对信息和信息处理设施的弱点、其所受威胁、后果及其发生概率的评估。2.3风险管理以可以接受的成本，对影响信息系统的安全风险进行辨认、控制、减少或消除的过程三、安全政策3.1信息安全政策目标：为信息安全提供管理指导和支持。管理层应制定一套清晰的指导原则，并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。3.1.1信息安全政策文件信息安全政策文件在经管理层批准后，要印行并颁发给单位的所有员工。该文件要阐明管理层对信息安全的承诺，并提出单位信息安全的管理方法。它至少要包括如下部分：-对信息安全的定义，其总体目标和范围，安全作为信息分享确保机制的重要性-支持信息安全目标和原则的管理意向声明-对安全政策、原则、标准和应达到要求的简要解释，比如：1）符合立法和契约的规定；2）安全教育方面的要求；3）对病毒和其它有害软件的预防和检测；4）持续运营管理；5）违反安全政策的后果等；-信息安全管理的总体和具体权责的定义，包括安全事故回报等；-用以支持政策的文献援引；例如，适用于具体信息系统的更详细的安全政策和流程，或使用者应当遵守的安全条例等；本政策应以恰当、易得、易懂的方式向单位的标的使用者进行传达。3.1.2审核与评估本政策要求有专人按既定程序对其进行定期检讨和审订。检讨和审订的过程要能够反应风险评估方面所发生的新变化，譬如重大安全事故、组织或技术基础设施上出现的新漏洞，等等。为此，要求对下列事项进行定期、有计划的审订：-政策的有效性，可通过记录在案的安全事故的性质、数目和影响来论证-对运营效率进行管制的成本及影响-技术变化的影响四、安全组织4.1信息安全基础架构目标：管理单位内部的信息安全。建立管理框架，以展开并管制单位内部信息安全的实施。同时，应建立适当的信息安全管理委员会对信息安全政策进行审批，对安全权责进行分配，并协调单位内部安全的实施。如有必要，在单位内部设立特别信息安全顾问并指定相应人选。同时，要设立外部安全顾问，以便跟踪行业走向，监视安全标准和评估手段，并在发生安全事故时建立恰当的联络渠道。在此方面，应鼓励跨学科的信息安全安排，比如，在经理人、用户、程序管理员、应用软件设计师、审计人员和保安人员间开展合作和协调，或在保险和风险管理两个学科领域间进行专业交流等。4.1.1信息安全管理委员会信息安全是管理团队各成员共同承担的责任。因此，有必要建立一个信息安全管理委员会来确保信息安全方面的工作指导得力，管理有方。该委员会旨在通过适当的承诺和合理的资源分配提携单位内部的安全。其可为现有管理机构的一部分，主要行使如下职能：-审订并批准信息安全政策和总体权责-监督信息资产所面临威胁方面出现的重大变化-审订并监督安全事故-批准加强信息安全的重大举措所有有关的安全活动都应由一位经理负责。4.1.2部门间协调在较大的单位内，有必要建立一个由各个部门管理代表组成的跨功能信息安全委员会来协调信息安全的实施。这样一个机构的功能包括：-批准单位内信息安全方面的人事安排和权责分配-批准信息安全的具体方法和流程，如风险评估、安全分类体系等-批准并支持单位内信息安全方面的提议，如安全意识课程等-确保安全成为信息计划程序的一部分-针对新系统或服务，评估其在信息安全方面的充足程度并协调其实施-评定信息安全事故-在全单位范围内以显要之方式提携对信息安全的支持4.1.3权责分配保护各项资产及实施具体安全流程的权责应有明确定义。信息安全政策应当提供单位内安全人事和权责分配方面的具体指导原则。针对具体的地点、系统或服务的不同，可对此政策酌情进行补充。对各项有形、信息资产及安全程序所在方应承担的责任，如持续运营计划，也要加以明确定义。在某些单位内，需任命一名信息安全经理负责发展实施安全、支持指定管制手段方面的有关事宜。但是，涉及资源分派和实施管制的事务仍应交由各部经理负责。通常的做法是为每项信息资产都指定一个负责人，由他来时时负责资产的日常安全。信息资产的负责人可将其安全权责代理给各部经理或服务提供方，但他对资产的安全仍负有最终的责任，并要求能确认代理权没有被滥用或误用。对各经理所负责的各安全领域进行定义十分重要；特别是要做到如下几点：-和各系统有关的资产和安全程序要加以清楚辨别和定义-负责上述各资产和安全程序的经理人的任