《BS 7799-1-1999 中文版 信息安全管理— 第一部分:信息安全管理的实施准则.doc》由会员分享,可在线阅读,更多相关《BS 7799-1-1999 中文版 信息安全管理— 第一部分:信息安全管理的实施准则.doc(95页珍藏版)》请在三一文库上搜索。
1、BS7799-1:1999英国标准信息安全管理第一部分:信息安全管理的实施准则1CS 35.020-3S6W未经BSI许可,不许翻印,版权法保护范围除外BS7799-1:19991. 范围BS7799标准的该部分为那些初始化、实现或维护组织的系统安全的人,提供了信息安全管理的建议。其目的在于为系统安全标准提供基本依据和有效的安全管理实践,使人们有足够的信心去处理组织内部事物。2. 一些术语和定义本文中会用到如下术语:2.1信息安全(information security)保密性的保持(preservation of confidentiality),信息的完整性和可应用性(integrity
2、 and availability of information)注:保密性是指,确保只有特定权限的人才能够访问到信息。完整是指,要保证信息和处理方法的正确和完整。可应用性是指,确保那些已被授权的用户在他们需要的时候,确实可以访问得到信息以及相关内容。2.2风险评估即系统信息或者是信息处理系统遭受攻击的可能性,对于这些威胁产生的可能性及其后果的评估。2.3风险管理即付出可以接受的代价,来识别、控制和减少影响信息系统安全的风险的过程。3. 安全政策3.1信息安全政策目标:提供信息管理的方向以及对信息安全系统的支持管理系统应确立一个明确的政策方向,并且通过在组织中应用和采用该安全政策,可以有效地支
3、持系统信息的安全性。3.1. 1信息安全政策文献一份政策文献应该由管理系统支持,出版,并在此问题上与所有的员工进行很好的沟通。它应声明管理责任,并且规范组织的信息安全管理方法。其中,应至少涵盖下述要素:a) 信息安全的定义,其整体目标、范围以及支持共享信息系统安全的重要性(请看介绍);b) 一份支持信息安全目标及原理的管理意图的声明;c) 安全政策、原理、标准以及一些特定组织的需求的简要说明,例如:1) 法律及合同条文的需要;2) 安全教育的需要;3) 防范病毒及其他恶意攻击软件的需要;4) 商务连续性的需要;5) 违反安全政策的后果;d) 有关信息安全的总体及一些细节责任的定义,包括有关安全
4、性事件的报告;e) 支持该安全政策的参考文献,比如一些安全政策的细节和特定信息系统的处理过程或者用户需遵守的安全规定等。在组织内部,该政策应该以相关方式与所有的用户进行沟通,对所有的读者来说都是可以接触的、易懂的。3.1.2 审查及评价该政策应规定特定人员来负责维护,并按照特定的审查过程进行查看。该程序确保在系统内发生了可能带来风险的变化时,都会启动这样的审查。这些启动审查的变化例如,重大安全事件,新的系统漏洞或者系统组织结构的变化。此外还应包括有计划的、定期的系统审查,具体如下:a) 政策的效率,由系统记录的安全事件的特性,数量及影响来决定;b)商务活动效率的代价和控制活动对其产生的影响;c
5、)技术变化所带来的影响。4 安全组织4.1 信息安全设施目标:管理组织内部的信息安全。一个管理框架应该是为初始化并控制实现组织内部的信息安全而建立的。合适的系统的管理应支持信息安全政策,指定安全系统中的各类角色,并协调组织内各项因素,以实现信息安全。必要时,在系统内应具备一些专用的信息安全知识,供组织内部使用。同时,完备的信息安全系统应时时与组织外部的安全专家联络,跟踪最新动向,监测标准和评估方法,并在处理安全事件时,提供适当的解决办法。在信息安全系统中应鼓励采用多重接入的方法,例如,在涉及经理、用户、管理者、应用设计者、审计人员和安全职员之间的协作关系时,应根据不同的需求来不同对待,或者在保
6、险及风险管理等领域,需要更专门的技术来实现。4.1.1 信息安全管理论坛信息安全是由管理队伍中所有成员分担的一种商务责任。建立管理论坛可以确保其明确的方向,同时对系统安全提供有效的支持。论坛通过适当的责任和充分的资源可以提高系统的安全性。论坛是现存的管理系统的一部分,通常来说,论坛通常实现下述责任:a) 审查并支持信息安全政策的责任;b)监视使信息系统遭受威胁的重大变化;c)审查及检测安全事件;d)支持加强系统安全性的主动措施。一个管理人员应当对所有与信息安全相关的活动负责。4.1.2 信息安全协作在一个大的组织中,由各相关组织的管理代表组成的具备交叉功能的论坛对于实现信息安全的控制的协调是十
7、分必要的。通常,这种论坛是这样的:a) 支持组织内部的特殊角色和信息安全的责任;b)支持信息安全的特殊的方法和过程,比如,风险评估,安全等级系统等;c)同意并支持组织内部信息安全的主动措施,如,安全防范程序;d)确保安全是信息计划过程的一部分;e)对于新系统或者业务,协调其信息安全控制的细节的实施的充分性;f)复查信息安全事件;g)在组织内部,提高对信息安全支持的透明度。4.1.3信息安全责任的分配应当明确定义保护个人财产的责任和实施安全措施的特定过程。信息安全政策(见clause3)应对安全角色的分配和组织中的责任提供一般性的指导。并在任何需要的时候,可为特定的地点、系统或者服务提供更详细的
8、指导。应当明确定义对个人的物质、信息财产和安全过程的局部责任,例如连续性的商务计划。在许多组织中,信息安全管理者对安全的实施及发展负全部责任,并支持鉴别权限的控制。然而,资源和控制权限通常被看作是个人管理者的责任;一种通常的做法是,为每一份信息财产指定一个所有者,他对其日常安全负责。信息财产的所有者可以将他们的安全责任委派给其他的单独的管理者或者是业务的提供者。然而,所有者保留对信息财产安全的最终权利,能够判定委派者是否正确履行了责任。重要的是,每个管理者所负责的范围应明确界定,尤其在以下方面:a) 应明确定义和区分不同的财产和与每个单独系统相关的安全过程;b)管理者对每项财产及安全过程的责任
9、应当被一致通过,并详细记录这些责任的细节。c)权限级别应被明确定义和记录。4.1.4授权过程/信息处理设备应当建立对新信息处理设备的授权管理过程。要注意以下事项:a) 新设施应具有适合的用户管理许可,对他们的目的和使用进行授权。许可应从负责维持本地信息系统安全环境的管理者处获得,以确保所有相关的安全政策和需求保持一致。b) 必要时,应检查软件和硬件以确保与其它系统部件的兼容。c) 应在授权下使用个人信息处理设备进行商业信息的处理和必要的控制。d) 在工作场所使用个人信息处理设备会成为一个薄弱环节,因而应对其进行评估和授权。上述的控制对于网络环境尤为重要。4.1.5 专家信息安全建议许多组织都需
10、要专家安全建议。理想的情况下,内部有经验的信息安全导师应提供这些建议。并不是所有的组织都希望雇佣专家,在这种情况下,推荐指定一特定的个人协调内部的知识和经验以确保其一致性,同时对安全决定的作出提供帮助。他们应与合适的外部的专家保持接触,以提供他们经验之外的专家建议。信息安全导师或同等意义的指导应以对信息安全的所有方面提供建议为方向,利用他们自己的和外部的建议。他们对安全威胁和控制建议的评估的质量将决定组织信息安全的效率。为了最优的效力和影响力,他们应被允许直接参与组织内各方面的管理工作。信息安全导师和或同等意义的指导,对可疑的安全事故和破坏提供第一时间的咨询,尽管多数内部安全调查会在管理控制下
11、实施,信息安全导师仍可召集、领导或者引导这些调查。4.1.6组织间的协作与法律权威,实体,或信息服务商、电信运营者等组织保持适当的接触,有助于在系统发生安全时间时,能够及时地采取快速行动,得到适当的建议。应考虑参加一些安全组织或者论坛。应严格管理信息交换,确保组织内的保密信息不会泄露给未经授权的人。4.1.7信息安全的独立审查信息安全政策的文献规定了信息安全政策和信息安全责任。应对其进行独立审查,确保组织在实施过程中确实体现了安全政策,并保证了政策是合理而有效的(见1.2.2)。这样的审查应由内部的职能部门负责,由独立管理者或是专门从事此类审查的第三方组织来实施,这种组织的人员具备审查的相关经
12、验与技巧。4. 2第三方访问的安全性目标:维护组织信息处理设备的安全性和第三方访问的信息财产的安全。第三方对组织信息处理设备的访问应受到控制。当存在第三方访问的商业需求时,应实施风险评估以决定其产生的安全影响和控制需求。这些控制在第三方同意的情况下,于双方的合同中明确定义。第三方的访问也许会涉及其他的参与者。同第三方的合同中,应包含指定其他参与者的资格,以及他们访问系统的条件。本标准应作为考虑外部信息处理时,订立合同的基本依据。4.2.1 来自第三方访问的风险鉴定4.2.2.1 访问类型规定第三方的访问类型具有特别的重要意义。例如,通过网络连接所进行的访问的风险不同于通过物理访问的风险。应考虑
13、下述访问的类型:a) 物理访问,如,办公室,计算机房,文件柜等;b)逻辑访问,如,组织的数据库,信息系统等。4.2.1.2 访问理由应在具备合理原因的情况下,许可第三方的访问。例如,第三方为组织提供服务,而不在本地时,应为其提供物理访问和逻辑访问,如:a) 硬件和软件支持人员,需要访问到系统级或较低的应用功能;b) 贸易伙伴或者合资企业,可能需要交换信息,访问信息系统或共享数据库。在信息安全管理不够充分时,允许第三方的访问可能使信息遭受风险。因而,当需要第三方进行访问时,应进行风险评估,以确定所需的特殊控制。应考虑到需要的访问类型,信息的价值,第三方操作的控制情况和这种访问对组织信息安全所造成
14、的影响。4.2.1.3 现场负责人根据合同规定允许第三方在现场停留一段时间,也会造成系统安全的弱点。例如,第三方的情况包括:a) 硬件及软件的维护和支持人员;b)清洁,后勤和保安和其他外部支持人员;c)学生实习及其他一些临时人员;d)咨询人员。考虑对第三方的访问实施怎样的管理和控制是十分必要的。通常,第三方访问和内部控制的安全问题应在第三方的合同中有所体现(见4.2.2)例如,如果存在访问保密信息的特殊需要,则第三方应同意不将其泄露(见6.1.3)。第三方对信息及信息处理系统的访问应在完成了适当的控制和签定了相应条款的合同以后予以提供。4.2.2在第三方合同中应提及的安全需求涉及第三方对组织信
15、息访问的安排应在正式合同中包含,或者说,所有的安全需求应符合组织安全政策和标准的要求。合同应确保在组织和第三方之间没有误解。组织应考虑同时保证自身与业务提供者的需要。在合同中,应考虑包括如下条款:a) 关于信息安全的一般政策b)财产保护,包括:1) 保护组织财产的程序,包括信息及软件;2) 鉴别是否财产遭受侵害的程序,如是否发生了数据的丢失或修改等;3) 在合同的最后,或者在双方同意的合同中的某个时间,确保信息及财产的恢复或者毁坏的控制;4) 综合性及可用性;5) 对复制及散播信息的限制;c)每一种具有可能性的业务的描述;d)服务的目标水平和不可接受水平;e)适当的人员调配;f)各方对于债务的
16、独立负担;g)涉及法律事务的责任,例如,数据保护立法,特别考虑到涉外合作中的不同国家的法律差异;h)合作完成的工作(见6.1.3)的知识产权和版权的分配和保护(见12.1.2)。i)访问控制包括:1) 允许访问的方式,控制和单独用户标识的使用,如,用户ID和口令;2) 用户访问的授权过程;3) 建立被授权的用户名单,并确保这些用户的权限可以保证他们的访问;j)定义可证实的活动准则,及其监控报告;k)监控,废除用户活动的权利;l)审查合同责任的权利,或在建立扩大的解决问题规模的过程中让第三方进行审查的权利,并在适当的时候安排随时的审查;n)关于软硬件安装及维护的责任;o)清晰的报告结构,和一致的
17、报告格式;p)清晰的特定的变更管理的过程;q)任何所需的物理保护控制和确保实施控制的机制;r)用户和管理员在方法、过程和安全方面的培训;s)对恶意软件的防范;t)在系统发生安全问题或安全泄露时,对报告、通知和调查过程的安排;u)涉及第三方的转包商的问题;4.3外部问题目标:当信息处理过程的责任由另一家组织承担的时候,保持系统信息的安全性。来自外部的信息管理应当在各方共同签署的合同中指明信息系统、网络、桌面环境的风险,安全控制。4.3.1外部合同中的安全需求来自外部的信息管理应当在各方共同签署的合同中指明其全部或部分信息系统、网络、桌面环境的风险,安全控制。例如,在合同中应指明:a)怎样确保符合
18、法律需求,如,数据保护立法;b)进行什么样的安排来确保tiva,涉及到的所有外部各方,包括转包商,应明确其安全责任;c)如何检测和维护组织财产的完整性及保密性;d)采用什么样的物理和逻辑控制来限制授权用户对组织的一些敏感信息的访问;e)在灾难性事件中,如何维护业务的可访问性;f)为外部设备提供何种水平的物理安全性;g)审查权利;在4.2.2的列表中给出的术语也应包含在合同中。同时,在双方同意的情况下,合同应允许在安全管理中扩大安全需求和过程。尽管外部合同可能会引起某些复杂的安全问题,本准则中所包含的控制应被看作是支持安全管理计划的结构和内容的起点。5. 财产划分和控制5.1财产责任目标:对组织
19、财产进行适当的保护。要对所有主要的信息财产负责,所有的财产都应有名义上的所有者。财产责任有助于确保财产受到适当的保护。所有的财产都应明确归属于某个所有者,并划分其维护责任,对其进行适当的控制。实施控制的责任必须委派。财产所有者应负有财产责任。5.1.1财产清单财产清单可以确保有效的财产保护,在其他一些商业行为中也可能用到,如,涉及到健康与安全,保险或财务(财产管理)依据等情况。列出财产清单是进行风险评估的一个重要方面。组织需要能够鉴别其财产的价值及其重要性。基于财产清单,组织可以依据财产的价值及其重要性的等级为其提供相应的保护。草拟财产清单时应注意包含与每个信息系统相关的重要财产。应明确地鉴别
20、每项财产,记录财产的所有者和安全性等级(见5.2),记录财产当前的位置,(这在试图恢复丢失或毁坏的数据时显得尤为重要)。与信息系统相关的财产示例如下:a)信息财产:数据库及数据文件,系统文件,用户手册,培训材料,操作或支持程序,连续性计划,后备安排,文档信息;b)软件财产:应用软件,系统软件,开发工具;c)物理财产:计算机设备(处理器,监视器,笔记本电脑,调制解调器),通信设备(路由器,交换机,传真机,录音电话),磁介质(磁带和磁碟),其他设备(电源设备,空调),家具,场地;d)服务:计算和通讯服务,通用电器,如,暖气,照明,电力,空调。5.2信息划分目标:确保信息财产得到相应等级的保护。信息
21、应根据需要、优先级划分为相应的保护等级。信息具有不同的敏感性和危险程度。某些项目需要特别的保护,和特殊的处理。信息系统用来定义一系列适当的保护级别,并声明那些地方需要特别的保护措施。5.2.1划分指南信息的等级划分和相关的保护控制应考虑到共享和限制信息的商务需要,和这些需要带来的相关商业影响,如,对信息的未经授权的访问和破坏,一般来说,对信息的划分是确定信息如何被控制和保护的快捷手段,涉及到处理一定等级数据的系统的输出应标记其价值和对组织的敏感程度。同时也应标记其对组织的重要程度,如,信息的完整性和可应用性。通常在一段时间以后,信息的重要性和敏感程度就不存在了。如,当某些信息已经公之于众。这些
22、方面都应加以考虑,如,过度的分类会导致不必要的商业支出。划分指南应预料到并允许某些信息的划分并不是一直不变的,或许会随着某些预定政策的变化而变化。应对划分等级的目录和可从中获益的程度加以考虑。过于复杂的计划会成为不必要的负担,且不够经济实用。应关注其他组织对系统的划分,他们可能对于相同或类似的标识有一些不同的定义。信息的创造者或者名义上的所有者应负有划分安全系统的责任,如,对文件,数据记录,数据文件或磁盘及系统周期性进行划分的责任。5.2.2信息标识与处理按照组织接受了的方案,适当地定义一系列的信息标识及处理程序是十分必要的。这些程序要在物理方式和电子方式上都覆盖了信息财产的范围。每一种划分、
23、处理程序都应包括以下类型的信息处理活动:a) 复制;b)存储;c)通过邮递、传真及电子邮件的传送;d)通过讲话,包括移动电话,声音邮件,录音电话等方式的传送;e)当系统中输出含有对系统敏感的重要信息的破坏性操作时,系统应予以适当的标识(在输出中)。这种标识应反映了在5.2.1中建立的划分规则。应考虑下述项目,包括打印报告,屏幕显示,记录媒介(磁带,磁碟,CD,卡带),电子信息及文件传输等。通常,物理标识时最合适的标识类型。然而,某些信息财产,如,电子文档,不能采用物理标识,应采用电子标识。6.个人安全6. 1工作定义和资源的安全性目标:减低人为错误,盗窃,欺骗和系统的滥用。在招募新员工时,应提
24、及安全责任,并在雇用合同中注明,并在服务期间监督实施。应对即将成为新员工的成员进行观察,尤其在涉及一些敏感的工作时。所有的员工及信息处理设施的第三方的用户应签署保密(不泄露)协议。6.1. 1工作责任中的安全如在组织的信息安全政策中(见3.1)确定了的,安全角色和责任应在任何适当的时候予以记录。其中包括实施维护安全政策的通用责任,也包括对一些特殊财产的特殊保护的责任,或者是执行一些特定安全处理和活动时应负的责任。6.1.2个人观察及政策对永久雇员的观察与确认应贯穿于其工作的始终。应包括以下内容:a)令人满意的性格特征,如,商业的和个人的;b)对员工履历的检查(完整性与准确性);c)声称的学术及
25、专业资格的认证;d)独立身份确认(护照或同类文件)。当一份工作,无论是由新招聘的人员或者是由其他职位提升的人来承担,如果涉及访问信息处理系统,尤其是与一些敏感信息相关的访问,如财务信息或高度保密信息,组织都对员工的可靠性进行检验。对于一些重要的,具有权威的职位的员工,应对其进行周期性的考查。对合同制员工或临时雇员也应进行类似的考查。当这些员工来自代理机构的介绍时,在与代理机构签定的合同中应明确他们具有考查这些员工的责任,并声明如果这些考查没有很好地实施并造成了不愉快的后果时,他们所需承担的责任。新手或者没有经验的员工对一些敏感信息的访问应予以控制。所有员工的工作都应由更高级别的员工定期审查。管
26、理人员应注意到员工的个人环境会影响到他们的工作。个人的或财务上的问题,员工行为或生活习惯的变化,反复的缺席和有压力和绝望的迹象会导致欺骗,盗窃,失误或其他的安全隐患。这些信息应按照其权限范围内的相关立法来进行处理。6.1.3保密性协议保密性或不泄露协议用来告知人们信息是保密的,不公开的。员工通常在任职之初签署这样的文件,作为其工作要求的一部分。没有包括在现有的合同(包含保密性协议)中的临时雇员和第三方的用户,在访问信息处理系统以前,需补签这样的协议。当员工的雇佣情况或合同发生变化时,尤其是员工将要离开组织,或终止现有合同时,保密性协议要重新审查。6.1.4雇佣条件与条款雇佣的条件中应包括员工对
27、信息安全的责任。适当的时候,这些责任在雇佣期结束后要继续一段时间。当员工无视安全需求时,应采取适当行动。员工的法律权利和义务,比如,遵守版权法和数据保护法,应在雇佣条款中声明。员工数据的保密等级及管理责任也应在条款中明确。适当的时候,雇佣条款还应声明,这些责任在组织外部,非工作时间也必须履行,例如,在家工作的情况(见7.2.5和9.8.1)。6.2用户培训目标:确保用户关注信息安全威胁,并在实际的工作中支持组织的安全政策。应对用户培训关于安全处理程序的内容,和信息处理设备的正确用法,以减少安全风险。6.2. 1信息安全教育与培训组织的员工和相关的第三方用户,应接受适当的培训,并时常更新他们关于
28、安全政策和处理程序的内容。这包括安全需求,法律责任和商务控制,信息处理系统的正确使用,如,登录程序,软件包的用法,这些内容都需要在访问信息前或业务开始以前应进行培训。6.3对安全事件和故障的反应目标:减少安全事件和故障对系统造成的损害,并从中吸取教训。影响安全的事件应通过正常的管理渠道尽快汇报。所有的员工和合同人员都应知晓不同类型事件(系统泄露,威胁,弱点或故障)的报告程序,这些事件会对安全和组织财产产生一定的影响。他们应该对观察到的疑点尽快向指定的联络点进行汇报。组织应建立正式严格的纪律来处理那些造成安全泄露的人。为正确地审查整个事件,在事件发生后尽快地收集证据是必要的(见12.1.7)。6
29、.3.1报告安全事件安全事件应通过正常管理渠道尽快汇报。正式的汇报程序应同事件反应程序一同建立,明确在发现安全事件报告后应采取的行动。所有的员工和合同人员都应当知道汇报安全事件的程序,并有责任尽快汇报。应实施一定的反馈程序,确保在事件处理结束以后,通告处理结果。这些事件可以在用户培训中作为案例,告知用户可能会发生什么,如何作出反应,在将来如何避免。6.3.2报告安全弱点信息服务的用户有义务记录和汇报任何系统和服务中的安全疑点或威胁。他们应向上级管理人员尽快汇报,或者直接上报服务运营商。用户应被告知,在任何情况下,他们不可以试图证实系统中怀疑存在的安全隐患。这实际上是对用户的保护,因为,尽管他们
30、在试图证实系统中存在漏洞,而实际上这种证实行为很可能被看作是对系统的误用。6.3.3报告软件故障应建立软件故障的汇报程序,应考虑如下行动:a)问题的迹象和在屏幕上出现的任何信息都应被记录;b)可能的情况下,隔离这台计算机,停止使用,并防范与之相关的接触。如需对设备进行进一步检查,重新开机前应断开它与组织网络的连接。使用过的磁盘也不应在其它计算机中再次使用。c)应立即向信息安全管理者进行汇报。未经授权的情况下,用户不应擅自试图从系统中删除可疑软件。经培训的,有经验的员工应进行恢复现场的工作。6.3.4事件的教训应建立定量统计事件及故障的类型,强度和损失的机制。这些信息用于鉴别事件的复复发或者这种
31、事件或故障可能造成的更坏的影响,有助于决定加强控制以减少复发频率,在未来的类似事件中降低损失的需要,并在安全政策的审查过程中加以考虑。6.3.5纪律处理对违反了组织安全政策的雇员,应有严格的处理方法(见6.1.4和证据保持,见12.1.7)。这样的处理可以威慑那些有意于破坏安全程序的人。另外,应注意确保对那些被怀疑严重破坏或持续破坏系统安全的人,进行正确的公正的处理。7. 物理及环境安全7.1安全区域目标:防止未经授权的访问,破坏及对扰乱商务约定和信息的行为。重要的或敏感的商务信息处理系统应当局限在安全区域以内,有一定的边界保护,并设置适当的安全屏障和出入控制。在物理环境上远离未授权访问,破坏
32、及干扰。这些保护的级别与其可能遭受的风险是相称的。应制定明确的隔离政策以确保降低对论文,媒质和信息处理系统的未授权访问或破坏所造成的风险。7.1.1物理安全边界可以通过在商务活动及信息处理系统的周边建立一些物理障碍物的方式来实现物理保护。每一层障碍物确定了一个安全边界,每一层都加重了对整个系统的保护。组织可以采用安全边界来保护那些信息处理系统所在的区域(见7.1.3)。信息边界就是一些形成障碍的东西,如,一堵墙,一个磁卡控制门,或者有人值守的前台。每层障碍设置的力度取决于风险评估的结果。应适当考虑下述内容:a) 安全边界应明确定义;b)建筑物或者放置了信息处理系统的地点的边界应是封闭的(如,在
33、边界中不应出现缝隙,或者是很容易进入的薄弱点)。这样地点的外墙应该牢固,并且所有与外部相同的门都应具备防止未授权访问的保护,如,控制机制,护栏,警笛,锁等。c)在入口处应设置有人值守的前台,或通过其它方式来控制对建筑物或某个地点的物理访问。应只允许那些经过授权的人进入建筑物或特定地点。d)必要的情况下,物理障碍应从地板延续到天花板,以有效阻止未经授权的访问,和由火灾或水灾等意外引起的破坏。e)在安全边界内所有的防火门都应具备告警系统,并可以迅速关闭。7.1.2物理访问控制应对安全区域增加适当的访问控制保护,确保允许只有经过授权的人员进入。应考虑如下内容。a)应对安全区域的访问者进行监视和清查,
34、并记录他们进入和离开的时间。应针对他们的目的限制他们的行动范围,并告知他们区域的安全需求,和发生紧急情况时的程序。b)只有经过授权的访问者才能访问敏感信息和信息处理系统。授权控制,如应在对访问授权中使用智能卡加PIN。对所有的访问记录应进行不公开地审查。 c)所有的职员应佩带明显的统一标志,并鼓励他们对无人陪伴的陌生人和没有佩带标志的人进行盘问。d)对安全区域的访问权限应定期审查和更新。7.1.3安全办公室,房间和设备一个安全区域可以指一个锁着的办公室或是限定在某个物理安全边界内的几个房间,可以被锁上,或包括一些加锁的柜子或保险柜。对安全区域的挑选和设计应考虑到一些意外的破坏,如,火灾,水灾,
35、爆炸,社会不稳定和其它形式的自然或人为灾难,还应考虑到与健康和安全相关的规定和标准。同时还应考虑到来自相邻环境的安全威胁,如渗水等。a)关键的处理系统应放置在避免公众访问的地方。b)建筑物应不太突出,并避免在外形上显露其本来的目的,没有内部或外部的明显标志表明安装了信息处理系统。c)支持功能和设备,如影印机,传真机,应适当地放置在安全区域内,以避免可能造成信息损害的访问需求。d)无人时应注意关好门窗,应考虑在窗外安装防护系统,尤其是在接近地面的区域。e)应在所有可能进入的门窗安装合适的、符合专业标准的入侵检测系统,并定期检查。空闲的区域应全天候地起用报警系统。这些装置也在其它一些地方使用,如计
36、算机房和通讯机房。f)由组织管理的信息处理设备应与第三方管理设备在物理上分离开来。g)指明了敏感信息处理设备的方位的目录和内部电话簿应不向外界公开。h)危险的和易燃材料应储存在远离安全区域的地方。文具等大批量的物品在不需要时,不必放置在安全区域内。i)备用的设备和介质应放在远离主用设备的地方,以避免在主用设备遭受破坏时,同时被破坏。7.1.4在安全区域内工作未增加安全区域的安全性,应附加控制和一些指导。这包括对在安全区域工作的个人,或第三方人员及其活动进行控制。应考虑以下内容:a) 所有人员应有在安全区域内进行活动的基本常识;b)在安全区域内应避免不加监视的工作,以免出现安全问题和恶意侵害。c
37、)无人的安全区域应上锁并定期检查。d)第三方支持服务人员应仅在需要的时候访问安全区域或敏感信息处理设备。这些访问应进行授权和监视。应在安全区域内附加障碍物和边界,以控制不同安全要求的不同区域。e) 未经授权的情况下,不允许使用照相机,视频,音频和其他的记录设备。7.1. 5隔离送货和装货区域应控制送货和装货区域,如可能,使它们与信息处理设备相隔离,以避免未授权访问。这种区域的安全需求是由风险评估决定的。应考虑如下内容:a)从外部对储货区域的访问应严格控制在那些特定的有权限的人员之内。b)储货区域的设计,应考虑到送货人员在卸货期间不可能访问到大厦的其他部分。c)当储货区域内部大门开启时,一定关闭
38、外部大门。d)应检查来货,在送往使用地点时,确保其不存在潜在危险(见7.2.1d)。e)适当情况下,应对进入安全地点的货物进行登记。7.2 设备安全目标:防止财产的丢失,损害和危险,和对商务活动的中断。应对设备进行物理保护,以防安全威胁和环境灾难。为降低未授权访问的风险,和防止数据的丢失和破坏,对设备的保护(包括那些备用的设备)是很必要的。还应考虑设备的放置和安排。为防止未授权访问和灾难,应考虑一些特别的控制方式,以保护支持系统,如电源供应和电缆基础设施。7.2.1设备放置与保护设备应被适当地放置和保护,以减少来自环境的威胁和灾难风险,和未经授权的访问。应考虑以下内容:a)设备应放置在最直接的
39、工作区域。b)敏感信息的处理和储存设备在工作中应妥善放置,以减少误操作的风险。c)需特别保护的物品应与其他物品隔离放置,以削减不必要的保护措施。d)应采用适当控制以减少潜在的风险包括:1) 盗窃;2) 火灾;3) 爆炸;4) 烟雾;5) 水灾(或停水);6) 灰尘;7) 共振;8) 化学反应;9) 电力干扰;10) 电磁辐射;e)组织应制定针对在信息处理设备区域内饮食、吸烟等行为的政策。f)应监视环境条件,以防止对信息处理设施产生负作用。g)使用特殊的保护方法,如,键盘保护膜,以保护在工业环境下工作的设备。h)在临近区域发生的灾难的影响,如,临近建筑物的火灾,天花板漏水和地板积水或街头的爆炸。
40、7.2. 2电源供应应对设备实行断电保护,或其他电力不正常时的保护。应按照设备制造商的规格为设备提供合适的电源。连续供电的措施包括:a)多点供电,以防止单个电源的掉电。b) 不间断电源供应(UPS);c) 备用发电机;对于处理重要商业信息的设备,推荐使用UPS支持正常关机和不间断运行。应当采取应急措施,以防UPS失效。UPS设备应定期检查,确保其足够的容量,并按照制造商的建议进行检测。如果数据处理需考虑更长时间的断电,应考虑使用备用发电机。安装后,应按照制造商的建议进行定期检查。应确保发电机的燃料供应充足,以保证发电机可以运行较长时间。另外,应在机房紧急出口附近安装紧急电源开关,以在紧急情况时
41、快速关闭电源。为防止主电源停电,应安置紧急照明灯。在所有建筑物中均应进行照明保护,在外部通讯线路中进行电源滤波。7.2.3电缆安全电源和传送数据的或支持信息服务的通信电缆应加以保护,防止窃听和破坏。应考虑如下内容:a) 电源和进入信息处理设备的通信线路应埋入地下,可能的情况下,应建立备用通道。b) 网络电缆应避免窃听和损坏,如,使用地下管道,或避免经过公共区域。c) 电力电缆应与通信电缆进行隔离,防止串扰。d) 对敏感信息和重要的系统,还应考虑更多的控制如下:1) 安装具有防护的管道和上锁的检查点和端点;2) 采用可选路由或传输介质;3) 使用光缆;4) 清除与电缆相连的无关设备。7.2.4设
42、备维护设备应正确维护,以确保其连续使用和完整性。应考虑如下内容:a) 应按照厂商的要求的时间间隔和指标,定期对设备进行维护;b) 只允许授权的维护人员实施修理和服务;c) 应记录所有可能的和实际的故障,和所有预防性的、正确的维护;d) 应对设备送修采取适当的控制措施(见7.2.6,关于删除或覆盖的数据)。应考虑符合有关保险政策的需求。7.2.6设备脱机安全无论设备的所有权如何,在组织环境外使用设备进行信息处理均应得到授权;对其安全要求与他们在组织内进行同样目的的使用是相同的,此外还要考虑在组织外进行工作的风险。信息处理设备包括各种个人电脑,organizers,移动电话,纸张或其他形式的设备,
43、用于家庭办公或带离正常工作地点。应考虑如下内容:a) 被带走的设备或媒质应避免搁置在公众区域。在旅行时,笔记本电脑应作为手提行李,并做适当伪装。b) 应按照制造商的要求对设备进行保护,如,避免设备暴露在强磁场内。c) 家庭办公的实施应进行风险评估和适当的控制,如,可上锁的文件柜,清理桌面,和对计算机的访问控制。d) 应对组织外工作的设备进行充足的保险。安全风险,如,破坏,盗窃,窃听,会随环境不同而有各种形式,应分别考虑,加以最适合的控制。关于保护移动设备的其他方面将在9.8.1中进行讨论。7.2.6安全的处置和设备的再利用不适当的处置和设备的再利用均可能造成信息的泄露(见8.6.4)。包含敏感
44、信息的存储设备应进行物理破坏或进行安全的覆盖,不宜使用普通的删除功能。所有包含存储设备的部分,如,固定硬盘,应检查以确保在处置以前,敏感信息和有版权的软件已经被删除或覆盖。破坏包含敏感数据的存储设备时,应进行风险评估,以决定对其进行破坏、修复或废弃。7.3通用控制目标:防止对信息和信息处理设备的损害和偷窃。应对信息和信息处理设备加以保护,以防被未经授权的人泄露,改写或盗窃,并采取措施以降低损失。处理和存储程序在8.6.3中进行讨论。7.3.1清除桌面和清除屏幕政策组织应考虑实行针对纸张、可移动的存储介质的清理桌面政策,和针对信息处理设施的清理屏幕政策,以降低在工作时间或工作以外的未经授权的访问
45、对信息造成的破坏和丢失的风险。在该政策中应考虑到信息划分(见6.2),相应的风险和组织文化背景。遗留在桌面上的信息依然可能遭到破坏,如火灾,水灾或爆炸等。应考虑执行以下措施:a) 适当的情况下,纸张和计算机介质在不使用时,特别是在工作时间以外,应保存在上锁的柜子里,或其他形式的安全家具内。b) 敏感或重要的商业信息在不需要时,特别是办公室无人时,应被加锁保存(理想的情况是防火的保险箱或柜子)。c) 个人电脑和计算机终端、打印机不应在无人时保持登录状态,应使用键盘保护,口令或其他控制措施。d) 往来信件分发点和无人值守的传真机和电传机应被保护。e) 在非工作时间,影印机应上锁(或通过其它方式来禁
46、止未授权使用)。f) 敏感的或划分的信息,当打印时,应立即从打印机旁拿走。7.3.2 Semocal of 财产未经允许的情况下,设备、信息和软件不应带离工作现场。当必要的或适当的时候,设备应脱离网络,并在返回时重新登录。应进行现场检查,以发现未经授权的财产移动。每个人应被告知会进行这样的现场检查。8 通信和操作管理8. 1操作规程和责任目标:确保正确和安全地操作信息处理设备。应当建立对所有信息处理设备的管理与操作的责任和程序。这包括适当的操作指南和事故处理程序的开发。应实施责任的划分(见8.1.4),适当的时候,应降低疏忽或故意的系统误操作带来的风险。8.1.1 记录操作程序应记录和保持安全政策指明的操作程序。操作程序应被看作正式文档,并在管理者授权下修改。操作程序中应对下述每一项工作的执行进行明确的规定:a) 信息的处理;b) 时间安排需求,包括与其他系统间的相关性,工作最早的开始时间和最后的结束时间。c) 对工作实施中可能产生的操作错误或其他的意外条件进行指导,包括,对系统工具的使用的限制(见9.6.6)。d) 在意外的操作或技术难题中,支持联络人员;e) 特殊的输出操作建议,如对特定文具的使用,或保密输出管理,包括对错误输出操作引起的安全泄露的处理程序;f) 在系统崩溃时的系统重起和恢复程序;