信息技术-信息安全管理的业务规范
1范围
该标准为那些在组织内的负责建立、实现或者维护安全保密性的工作人员提供推行信息安全管理的建议。其目的是为制订组织的安全标准和进行有效的安全管理实践提供公共的基础,并且为组织间的交易建立必要的信任。应当根据适用的法律法规选择使用该标准推荐的内容。
2名词和定义
本文中使用以下定义:
2.1 信息安全
对信息保密性、完整性和有效性的保护。
保密性:确保信息只能由那些被授权的人访问。
完整性:保护信息的正确性和完整性以及信息的处理方法。
有效性:保证经授权的用户可以访问到信息。 在需要时,还能够访问其它相关资产。
2.2 风险评估
评估对信息和信息处理程序的威胁、冲击和危害,以及这些情况发生的可能性。
2.3 风险管理
在可以接受的成本范围内,识别、控制并减少或者消除可能影响信息系统的安全风险。
3安全策略
3.1 信息安全策略
目标: 为信息安全提供管理指导和支持。
管理层应当提出一套清晰的策略指导,并且通过在组织内发布和维护信息安全策略来表明对信息安全的支持和承诺。
3.1.1 信息安全策略文档
一部策略文档经管理层批准后被公开发布并以适当的方式传达给所有雇员。 它应当声明管理承诺,并且阐明该组织实现信息安全的途径。该策略文档至少应当包括以下指导性内容:
a)信息安全的定义,它的总体目标和范围以及安全保密性作为信息共享的许可机制的重要性(参加介绍)
b)对管理意图、总体信息安全的目标和原理的简单说明。
c)简短的说明安全策略、原理、标准和对该组织具有特殊重要意义的符合性要求,例如:
1)符合法律规定和合同要求;
2)安全教育的需求;
3)病毒和其它恶意软件的阻止及检测;
4)业务连续性管理;
5)违反安全管理策略的后果。
d)定义信息安全管理包括报告安全事故的一般性责任和特殊性责任。
e)参考可能支持该策略的文献资料,例如针对特殊的信息系统或者用户应当遵守的安全规则的更为详尽的安全策略和程序。
在整个组织中以一种相关的、容易理解的和易于接受的方式,把这一策略方针传达给有意的读者。
3.1.2 复查和评价
应当有一个所有者负责该策略的维护,并根据已经确定的程序对其进行检查。该程序应当确保在影响原始风险评估基础发生任何改变时,都会进行检测。例如,出现了重大安全事故、发现了新的易损性或者有新的组织或技术的基本结构的变更。还应当经常安排有以下内容的定期检查:
a)策略的效率,由所记录的安全事故的性质、次数和影响来表示;
b)对业务效率的管理的成本和影响;
c)技术变革的影响;
4 组织的安全
4.1 信息安全的基本架构
目标:在一个组织内管理信息的安全。
应当建立适当管理架构,在组织内部启动和控制信息安全的实施。
管理层领导应当建立适当的管理问题论坛,以便确认信息安全策略、指派安全角色并在组织中协调安全措施的实施。如果需要的话,应当建立一个信息安全专家建议的资料来源并使其在组织内部是可以利用的。应当加强与外部的信息安全专家的联系,以跟上工业发展趋势、监控安全标准和测评方法并在处理意外安全事故时提供适当的联络点。 应当鼓励发展那些综合了各学科知识的信息安全解决方案,例如此综合解决方案可能涉及经理、用户、管理员、应用程序设计人员、审计人员和安全人员的协调和合作,以及在一些领域的专门技术,比如保险和风险管理。
4.1.1 管理信息安全论坛
信息安全是一项由所有管理层成员共同承担的运营责任。因此应当考虑建立一个管理论坛,以确保从管理上对安全能动性进行明显地支持,而且这种支持有一个清晰的方向。该论坛应当通过适当的承诺责任和足够的资源配置来提高组织内部的安全性。此论坛可以是现有管理机构的一部分。在通常情况下,这样的论坛承担以下责任:
a)检查并批准信息安全策略和总的责任;
b)当信息资产暴露在大多数威胁之下时,检测所发生的重要变动;
c)复查并监测信息安全事故;
d)支持重要的创新,以加强信息安全。
应当有一个经理负责所有相关活动的安全。
4.1.2 信息安全协作
在一个大型组织中,一个管理层代表们的多功能论坛对于协调处理信息安全策略的执行是十分必要的。这些管理层的代表都来自于组织的相关部门。一般而言,这样的论坛:
a)批准在整个组织内安全管理的特殊角色和责任。
b)批准信息安全的特殊方法和程序,例如:风险评估,安全分级系统;
c)批准并支持整个组织范围内的信息安全能动性,例如安全意识计划。
d)确保安全性是信息规划过程的一部分。
e)评价适当性并协调对新系统或者服务的特殊安全管理措施的实施;
f)检查信息安全事故;
g)提高在整个组织内对信息安全业务支持的可见性;
4.1.3 信息安全责任的分配
应当清楚地定义保护个人资产的责任和执行特殊安全程序的责任。
信息安全策略(见第3句)应当提供在组织中确定安全角色和分配安全责任的一般性指导。如果需要的话,这些指导还应当针对特殊的地点、系统或者范围补充上更为详细的指导。应当清晰界定对个人生命财产和信息资产所承担的局部责任, 也应当明确定义对安全程序比如业务连续性规划所承担的局部责任。
很多的组织会指定一个信息安全负责人,由其总体负责信息安全的发展和实现并管理措施的确定。
然而,资源配置和实现管理措施的责任常常留给单独的管理者。通常的做法是为每项信息资产指派一个所有权人来负责其日常安全。
信息资产的所有权人可以把他们的安全责任委派给单独的管理者或者服务提供商。尽管如此, 所有权人仍然对此资产的安全负有最终的责任,并且所有权人应当能够确定任何错误分配责任的情况。
要清晰地阐明每一个管理者所负责的领域,这一点非常重要。特别是在下述情况发生时:
a)对于不同种类资产的安全程序和与各自系统相关的安全程序,都应当进行识别并清楚地定义。
b)负责每项资产或者安全过程的管理者都应当得到批准,而且应当把此项责任的细节记录在案。
c)应当清楚地定义并记录授权等级;
4.1.4 信息处理方法的授权过程。
应当建立对新的信息处理方法的管理授权过程。
应当考虑以下的措施:
a)新的信息处理方法应当有相应的客户授权,赞同其目的和用途。还应当获得负责维护当地信息系统安全环境的管理人员的同意,以确保满足所有相关策略和需要。
b)在需要的时候,应当检测硬件和软件以确保它们和系统的其它组成部分互相兼容。
注意:某些连接可能需要定型。
c)对处理业务信息的个人信息处理程序的使用和任何必需的控制手段都应当经过授权。
d)在工作场所中使用个人信息处理程序可能导致新的危险,因此应当进行评估和授权。
这些管理措施在网络化的环境中尤其重要。
4.1.5 专家信息安全建议
许多组织可能都需要专家安全建议。理想的状况是,一位有经验的内部信息安全专家可以提供这些建议。并不是所有的组织都愿意雇用一个咨询专家。这种情况下,建议确定一个专门人员来协调内部安全知识和安全经验,以确保处理问题时的连续性并协助做出安全决策。他们还应当能够找到适当的外部咨询专家来提供超出他们经验范围的专业建议。
信息安全建议者或者具有相同作用的接触点应当担负就信息安全的所有方面提供建议的任务。他们要么自己提出建议,要么利用来自外部的建议。他们对安全威胁所做评估的质量和对管理措施的意见决定了该组织的信息安全的效果。为了达到最大的效用、产生最好影响,应当允许他们直接接触整个组织的管理。
应当在预测到可能的安全事故或者漏洞的最早阶段就向信息安全建议者或者具有相同作用的接触点咨询,以便获得专家指导原则和调查资源。尽管正常情况下大多数内部安全调查要按照管理措施执行,仍然可以召集信息安全咨询专家来提出建议、主持或指导此类调查。
4.1.6 组织间的合作
应当保持与执法部门、管理机构、信息服务提供商和电信运营商的适当联络,以确保在发生安全事故时能够及时采取适当措施并能够及时通知。类似的,也应当考虑到与安全组成员和行业协会进行合作。
安全信息的交换应当限制在确保组织的保密信息不会发送给未经授权的个人。
4.1.7 信息安全的独立检查
信息安全策略文献(参见3.1)宣布了信息安全策略和责任。应当独立地检查其执行情况,以确保组织的实践恰当地反映了这一策略,而且该策略是可行的和有效的。(见12.2)
可以由内部的审查功能执行这样的检查。 此外,独立的经理或者在此种检测方面有特殊专长的第三方也可以做这种检查。这些候选人要具有检查所必备的技能和经验。
4.2第三方访问的安全
目标:保护组织信息处理程序的安全和被第三方访问的信息资产的安全。
应当控制第三方对组织信息处理程序的访问。
如果有这样的第三方访问的业务需要,应当进行风险评估以确定安全隐患和管理对策。 所要采取的管理措施应当得到第三方的同意,并在与之签订的合同中加以定义。
第三方访问还可能包括其它的参与者。授予第三方访问权限的协议应当包括准许指定其它具备资格的参与者和相应访问的条件。
这一标准可以作为此类合同的基础,并且也可以作为考虑外购信息处理的基本原则。
4.2.1 判断第三方访问的风险
4.2.1.1 访问的类型
允许第三方使用的访问类型非常重要。例如:通过网络连接进行访问的风险不同于物理访问的风险。应当考虑的访问类型包括:
a)物理访问,例如:访问办公室、计算机机房和档案柜。
b)逻辑访问,例如:访问组织的数据库和信息系统。
4.2.1.2 访问的原因
可能出于多种原因授予第三方访问权限。 例如,向组织提供访问的第三方并不在现场,但是可以给以物理访问和逻辑访问的权利,比如:
a)硬件和软件支持人员, 他们需要访问系统层次或者低层次的应用程序功能。
b)贸易合作伙伴或者联合经营方, 他们可能交换信息、访问信息系统或者共享数据库。
如果缺乏足够的安全管理,第三方访问信息时就会将其置于危险的境地。若是有与第三方地点建立联络的业务需要,就要进行风险评估,以确定任何特殊管理措施的要求。应当考虑到所需的访问类型、信息的价值、第三方采取的管理措施和这种访问对组织信息的安全所造成的影响。
4.2.1.3 现场承包方
第三方可能按照合同规定在现场驻扎一段时间,这会增加信息系统安全隐患。现场承包方的例子包括:
a)硬件和软件维护和支持人员。
b)保洁、看护、安全警卫和其它外包的服务项目承包方。
c)学生安置和其它临时的短期安排;
d)咨询人员;
究竟要采取什么措施来管理第三方对信息处理设备的访问,理解这一点十分重要。一般说来,所有的由于第三方访问或者内部管理措施导致的安全要求,都应当反映在与第三方签订的合同中(又见2.2)。例如,如果对信息的保密性有特殊要求,就应采用不泄露信息协议(见6.1.3)。
在采取了适当的管理措施和签署了定义有连接或者访问相关条款的合同之前,不应当向第三方提供对信息和信息处理设备的访问。
4.2.2 第三方合同的安全要求
涉及第三方访问组织信息和信息处理设备的有关安排应当建立在一份正式的合同基础上,这一合同应当包括或者涉及所有的安全要求,以求符合组织的安全策略和安全标准。该合同应当保证在组织和第三方之间没有误解。组织应当对供应商做满意的补偿。应当考虑把以下各项条款写入合同中:
a)总的信息管理策略
b)资产保护,包括:
1.保护组织资产的措施方法,包括对信息和软件的保护;
2.确定资产是否受到什么损害的方法手段,比如确定数据是否丢失或者被修改。
3.在合同期结束或者合同期中某个协商同意的时间,确保信息或者资产被返回或者销毁。
4.完整性和有效性;
5.对于信息复制和信息披露的限制;
c)对所要采用的每项访问的一个详细描述;
d)服务的目标水平和无法接受的服务水平;
e)适当的人员调任的规定;
f)合同各方各自所应承担的义务;
g)对相关法律问题所承担的责任,例如,数据保护立法。特别是如果该合同涉及与其它国家中组织的合作,就要考虑不同国家法律体系(又见12.1);
h)知识产权(IPR)和产权责任(见12.1.2)以及对所有合作项目的保护(见6.1.3)。
i)服务控制协议,包括
1.许可的访问方法、对唯一标识,比如用户ID和密码,的管理和使用;
2.对用户访问和特权的授权程序;
3.要求保留一份列表,记录得到授权可以使用现有服务的个人、他们的权限与这种使用的关系。
j) 定义可以验证的业绩标准,以及对它们的给监测和报告;
k) 监测和废除用户活动的权力
l)审查合同责任的权利,或者由第三方执行审查;
m) 为问题解决建立一个扩大程序;在适当的地方也应当考虑对偶然性事件的处置。
n) 有关硬件和软件的安装与维护的责任;
o)清晰的报告结构和协商一致的报告格式;
p) 一个清晰的和专门化的变更管理程序;
q) 任何要求的物理保护措施和机制,确保那些管理措施得到落实;
r)对客户和管理员的培训,包括方式方法、处理程序和安全性;
s) 确保能够防范恶意软件的管理措施(见8.3);
t)有关安全事故和安全漏洞的报告、通知和调查的安排;
u)分包合同第三方的卷入;
4.3 外包
目标:当信息处理外包给另外一个组织的时候,维护信息的安全性;
在各方签订的合同中,外包安排应当致力于解决信息系统、网络和/或者桌面环境的风险、安全管理和处置程序。
4.3.1 外包合同的安全要求
当组织将其全部的或者部分信息系统、网络和/或者桌面环境的管理控制承包给其它单位时,应当在各方同意的合同中提及相应的安全要求。
例如,此种合同应当包括:
a)如何满足法律方面的要求,例如数据保护法规;
b)采取什么样的措施才能够确保外包合同各个签约方包括分包合同签约方都清楚他们的安全责任;
c)怎样维护和测试组织的业务资产的完整性和保密性;
d)对授权的用户采取什么物理和逻辑的管理措施来限制和约束对组织的敏感业务信息的访问;
e)如何在发生灾难性事故时维持服务的有效性;
f)为外包的设备提供什么层次的物理安全保护;
g)审查的权力;
还应当考虑把4.2.2中给出的条款作为此项合同中的一部分。该合同应当允许在即将得到双方同样的安全管理计划中扩展安全要求和安全管理程序。
尽管外包合同可能引起一些复杂的安全问题,此项操作规范中的管理措施能够作为一个起点,以获得对安全管理计划的架构和内容的认可。
