27001-标准条款

5安全方针6组织的信息安全6.1内部组织目标：管理组织内部的信息安全。应建立管理架构以启动和控制组织内部信息安全的实施。管理层应该批准信息安全方针、分配安全角色、协调并回顾组织安全的实施状况。如果需要，应该建立一个在组织内部可以使用的信息安全专家的建议来源。应设计同外部安全专家或团体的合同，包括和相关权威机构的合同，以跟上行业发展趋势、跟踪安全标准和评估方法并在处理信息安全事故时提供适当的联系点。应鼓励通过多重规则方式来实现信息安全。6.1.1管理层对信息安全的承诺控制措施管理层应通过清晰的指导、明确的承诺、清楚的任务和对信息安全责任的认可来积极的支持组织内部的安全。实现指引管理层应该：a)确保识别信息安全目标，使其符合组织的要求并集成到相关过程中；b)明确表达、回顾并批准信息安全方针；c)回顾信息安全方针实施的有效性；d)为安全措施的启动提供清晰的指导和明确的管理层支持；e)提供信息安全所需的资源；f)批准在组织内部分配的信息安全职责和特殊角色；g)建立维持信息安全意识的启动计划和规划；h)确保实施的信息安全控制措施在组织内部协调一致（参阅6.1.2）。管理层应该识别内部或外部信息安全专家建议的需求，并在组织内回顾、协调实施该建议的结果。依赖于组织规模的差异，应该通过专门的管理论坛或现有的管理实体来处理安全职责，例如主管会议。其它信息更多的信息包含于文件ISO/IECIS13335-1:2004。6.1.2信息安全协作控制措施信息安全活动应该由组织内拥有相关职责和工作职能的不同方面的代表来协调运作。实现指引通常信息安全协作应该包括经理、使用者、管理员、应用程序设计者、审核员、安全人员以及保险、法律问题、人力资源、IT或风险管理等相关领域专家的协同合作。这些活动应该：a)确保安全活动符合信息安全方针；b)识别如何处理不符合；c)批准信息安全的方法和过程，例如，风险评估、信息分类；d)当信息和信息处理设施发生变更并暴露在威胁之下时，识别所发生的重要威胁；e)审核信息安全控制措施实施的充分性和协作情况；f)在组织内部有效提升信息安全教育、培训和意识；g)对通过监控、信息安全事故回顾得到的信息进行评估，并针对已识别的信息安全事故推荐采取适当的行动。如果组织没有启用一个独立的跨部门的小组，例如因为该小组不适合组织的规模，上述的行动将由另外一个合适的管理实体或某位经理来执行。6.1.3信息安全职责的分配控制措施应该明确规定所有信息安全的职责。实现指引信息安全职责的分配应该依据信息安全方针进行（参阅条款4）。应该清晰识别保护个别资产和执行特殊安全处理的职责。对于特殊的地点和信息处理设施，需要时应该对该项职责补充更加详细的指引。应该清晰定义保护资产和执行特殊安全处理的职责，例如运营持续计划。负有安全职责的个人可以向他人委派安全任务。然而，他们应该负责并决定所有委派的任务都被正确的执行。应该清晰声明个人所负责的区域；特别是在以下情况时：a)应该识别并清晰定义与每个特殊系统相关的资产及安全过程；b)应该分配每项资产及安全过程的实体职责，职责的详细内容应该文件化（另请参阅7.1.2）；c)应该清晰定义授权的级别并文件化。其它信息在很多组织内会任命一名信息安全经理全面负责，开发和实施组织安全，并支持控制措施的鉴别。然而，提供控制资源并实施这些控制的职责通常归于各个管理者。一个通常的惯例是对每一信息资产指定一名责任人，因此，他对该信息资产的日常安全负责。6.1.4信息处理设施的授权过程控制措施应该定义并实施管理层对新的信息处理设施的授权过程。实现指引对于授权过程应该考虑以下指引：a)新的设施应当有相应的用户管理部门的批准，授权该设施的用途和使用。还应当获得负责维护本地信息系统安全环境的管理人员的授权，以确保满足所有相关策略和要求；b)在需要的时候，应当检测硬件和软件以确保它们和系统的其它组成部分互相兼容；c)使用例如膝上型电脑、家用电脑或手持设备等个人或私有信息处理设施来处理商业信息可能会引进新的弱点，应该识别这些弱点并实施必要的控制措施。6.1.5保密协议控制措施应该识别并定期回顾保密协议或禁止公开协议的要求，这些要求反映了组织信息保护的需求。实现指引保密协议或禁止公开协议应该确定使用合法的强制手段来保护秘密信息的要求。为了识别保密协议或禁止公开协议的要求，应该考虑以下因素：a)需要保护信息的定义（例如，保密信息）；b)协议希望的有效期限，包括需要无限期维持保密的情况；c)协议终止时要求的行动；d)签字人的职责和行动，以避免未经授权的信息公开（例如，‘须知原则’）；e)信息的所有权、交易秘密和知识产权，以及如何涉及到保密信息的保护；f)对保密信息的授权使用，以及签字人使用信息的权利；g)审核及监控包括保密信息在内的活动的权利；h)通知及报告未经授权公开或泄露保密信息的过程；i)在协议终止时归还或销毁信息的形式；j)在违背协议时希望采取的行动。基于组织的安全要求，可能需要在保密协议或禁止公开协议中包含其它因素。保密协议或禁止公开协议应该满足所有适用法律和权限规则的要求（另请参阅15.1.1）。对保密协议或禁止公开协议的要求应该定期回顾，当发生影响这些要求的变更时也要进行回顾。其它信息保密协议或禁止公开协议保护组织的信息，并告知签字人以可靠的和获得批准的方式保护、使用、公开信息的职责。在不同的环境下，组织可能需要使用不同形式的保密协议或禁止公开协议。6.1.6同权威机构的联系控制措施应该维持同相关权威机构的适宜的联系。实现指引组织应在相应地点保留程序以规定联系的时间和权威机构（例如，法律强制的、消防部门、监督机构），以及在怀疑违反法律时如何及时报告已发现的信息安全事故。在因特网攻击下的组织可能需要外部的第三方（例如，一个因特网服务供应商或电信运营商）采取行动来抵制攻击源。其它信息维持这样的联系可能是支持信息安全事故管理（章节13.2）或者运营持续和应急处理过程（章节14）的要求。同法律实体的联系对预见和准备将来的法律、法规变化可能是有帮助的，而这些变化是组织必须遵守的。同其它权威机构的联系包括公共设施、紧急服务、健康和安全，例如消防部门（与运营持续有关，另请参阅章节14），电信供应商（与线路路由和可用性有关），水供应商（与设备的冷却设施有关）。6.1.7与特殊利益团体的联系控制措施应该维持同特殊利益团体或其它专家安全论坛和专业协会的适当联系。实现指引应该考虑特殊利益团体或论坛之间的成员关系，以便于：a)提高关于昀新的安全信息和昀佳实践的知识；b)确保对信息安全环境的理解是及时、完整的；c)及早接收适用于攻击和弱点的警告、咨询和补丁等告警信息；d)信息安全专家建议的获取途径；e)共享、交换关于新技术、产品、威胁或弱点的信息；f)为处理信息安全事故提供适当的联络点（另请参阅13.2.1）。其它信息应该建立信息共享协议以提高安全问题的合作与协调。在这个协议中应该识别保护敏感信息的要求。6.1.8信息安全的独立评估控制措施应该按照策划的间隔对组织管理信息安全及其实施的途径（例如，关于信息安全的目标控制、方针、处理过程和程序的控制措施）进行独立评估，或者当发生安全实施方面的重大变更时也应进行独立评估。实施指引应由管理层启动独立评估。这种独立评估对确保组织管理信息安全途径的持续有效、适宜、高效是必须的。评估应该包括改进评估机会、安全措施变更的需求，包括方针和控制目标。评估应该由与被评估区域无关的人员执行，例如，内部审核功能、独立经理人或专注于此类评估的第三方组织。执行此类审核的人员应该具有适当的技巧和经验。应该记录独立评估的结果并向启动回顾的管理层汇报。应该保留这些记录。如果独立评估发现组织管理信息安全的方法及实施是不充分的或者与信息安全方针文件中声明的信息安全方向不符合（参阅5.1.1），管理层应该考虑采取纠正措施。其它信息管理层定期评估（参阅15.2.1）的区域也应该进行独立评估。评估技巧可能包括与管理层的访谈、检查记录或评估安全方针文件。ISO19011:2002，作为质量和/或环境管理体系审核指南，对执行独立评估也会提供有益的指导，包括建立和实施评估程序。章节15.3规定了与信息系统操作和系统审核工具使用进行的独立评估相关的控制措施。6.2外方目标：维护由外方访问、处理、沟通或管理的组织信息和信息处理设施的安全。引进外方的产品或服务不能削弱组织信息和信息处理设施的安全。外方访问的组织信息处理设施和对信息的处理及通讯均应进行控制。当由于商业需求必须与外方合作并且要求访问组织的信息和信息处理设施，不论向外方提供还是从外方获得一个产品和服务时，应该实施风险评估以决定对安全的影响和控制要求。应该与外方协商并在协议中规定相应的控制措施。6.2.1识别和外方相关的风险控制措施应该识别包括外方在内的商业过程中组织信息和信息处理设施的风险，并在准予访问前实施适当的控制措施。实施指引当有必要允许外方访问公司信息或信息处理设施时，应该执行风险评估（另请参阅章节4）来识别特殊控制措施的要求。识别与外方访问相关的风险应该考虑以下各项：a)外方要求访问的信息处理设施；b)外方访问信息和信息处理设施的类型，例如：1)物理访问，例如，到办公室、计算机室、文件柜；2)逻辑访问，例如，访问组织的数据库、信息系统；3)组织网络和外方网络间的网络互联，例如，永久连接、远程接入；4)访问发生在现场（on-site）或是其它地点（off-site）.c)所包含信息的价值和敏感性，以及对商业运作的危险程度；d)保护不希望被外方访问的信息所需要的控制措施；e)处理组织信息的外方人员；f)应识别组织或个人如何获取访问的批准，核实其授权，并再次确认需要的频次；g)当存储、处理、通讯、共享和交换信息时，外方使用的不同方法和控制措施；h)当外方要求而访问又不可用时的影响，以及外方输入或接收不准确或易误解的信息时的影响；i)处理信息安全事故和潜在损害的实践和程序，以及发生信息安全事故时外方继续访问的期限和条件；j)应考虑和外方相关的法律、法规要求及其它合约的职责；k)相关安排对其它股东利益的影响。除非已实施适当的控制措施，否则不应向外方提供访问组织信息的途径，如果可行，应签署合同以定义互联或访问以及工作安排的期限和条件。通常，与外方协作产生的安全要求或由内部控制措施产生的所有安全要求均应在与外方的协议中反映（另请参阅6.2.2和6.2.3）。应该确保外方意识到他们的职责，并接受在访问、处理、沟通或管理组织信息和信息处理设施过程中的职责和义务。其它信息信息会由于外方没有进行充分的安全管理而遭遇风险。应该识别并应用相应的控制措施以对外方访问信息处理设施进行管理。例如，如果对信息的保密性有特殊要求，可以使用保密协议。如果组织外包的程度较高，或者包括多个外方，组织可能面临与组织内部过程、管理和沟通相关的风险。控制措施6.2.2和6.2.3覆盖了不同的外方安排，例如包括：a)服务提供商，例如ISP、网络提供商、电话服务、维护和支持服务；b)受控的安全服务；c)客户；d)设施和/或运营外包，例如，IT系统、数据收集业务、呼叫中心业务；e)管理和商业咨询，审核员；f)开发商和供应商，例如，软件产品和IT系统的开发商和供应商；g)清洁、餐饮和其它外包的支持服务；h)临时性人员、学生安排和其它临时的短期任命。这些协议能够帮助减少和外方相关的风险。6.2.2涉及客户时的安全选择控制目标在允许客户访问组织的信息或资产前，应确定所有已识别的安全要求。实现指引在允许客户访问任何组织的资产（依赖于允许访问的类型和内容，并不适用于全部）前所确定的安全要求应该考虑以下项目：a)资产保护，包括：1)保护组织资产的程序，包括信息和软件，以及对已知弱点的管理；2)决定是否危及资产安全的程序，例如发生数据的丢失或修改；3)完整性；4)拷贝和公开信息的限制措施；b)所提供产品或服务的描述；c)客户访问的不同原因、要求和利益；d)访问控制方针，包括：1)允许的访问方法、控制措施和使用唯一的标识符，例如用户ID和密码；2)用户访问和特权的