BS7799 信息安全管理标准
Worldwide Standards
Having trouble locating an overseas standard? BSI has the solution…
WITH BSI, YOUR SEARCH IS OVER BEFORE IT’S EVEN BEGUN
Worldwide Standards Direct is the fast, cost-effective standards service.
Contact us on:
e-mail:info@
Tel +44(0)20 8996 9001
Fax +44(0)20 8996 7001
Information security management—
Part 1: Code of practice for information security management
信息安全管理标准
第一部分:信息安全管理惯例
目录
Worldwide Standards ...............................................................2
Having trouble locating an overseas standard? BSI has the
solution… .................................................................................2
WITH BSI, YOUR SEARCH IS OVER BEFORE IT’S EVEN
BEGUN ....................................................................................2
第一部分:信息安全管理惯例 ................................................................3
序 ........................................................................................................14
简介 ....................................................................................................15
什么是信息安全? ......................................................................15
为什么需要信息安全 ..................................................................15
如何制定安全需求 ......................................................................16
评估信息风险 ..............................................................................16
安全控制的选择 ..........................................................................16
信息安全的出发点 ......................................................................17
重要的成功因素 ..........................................................................17
开发你自己的指导方针 ..............................................................17
1.范围 .................................................................................................19
2.术语与定义 .....................................................................................20
信息安全 ................................................................................20
风险评估 ................................................................................20
风险管理 ................................................................................20
3.安全策略 .........................................................................................21
信息安全策略 ........................................................................21
信息安全策略文件 .......................................................21
复审及评估 ...................................................................21
4.安全组织 .........................................................................................22
息安全架构 ............................................................................22
管理信息安全论坛 .......................................................22
信息安全的协调 ...........................................................22
信息安全责任的分配 ...................................................22
息处理设备的授权步骤 ...............................................23
信息安全专家的意见 ...................................................23
组织之间的合作 ...........................................................24
信息安全的独立复审 ...................................................24
第三方访问的安全 ................................................................24
确认第三方访问的风险 ...............................................24
访问的种类 ..........................................................24
访问的原因 ..........................................................25
现场合同方 ..........................................................25
第三方合同的安全要求 ...............................................25
外包服务 ................................................................................26
外包合同的安全要求 ...................................................26
5.资产分类与控制 .............................................................................28
资产的使用说明 ....................................................................28
资产清单 .......................................................................28
信息分类 ................................................................................28
分类的指南 ...................................................................29
信息标注及处理 ...........................................................29
6.人员安全 .........................................................................................30
岗位定义及资源分配的安全 ................................................30
岗位责任的安全 ...........................................................30
人事过滤及策略 ...........................................................30
保密协议 .......................................................................31
雇佣条款 .......................................................................31
用户培训 ................................................................................31
信息安全教育及培训 ...................................................31
安全事件及失常的反应措施 ................................................31
报告安全事件 ...............................................................32
报告安全的弱点 ...........................................................32
报告系统的故障 ...........................................................32
吸取教训 .......................................................................32
处罚程序 .......................................................................32
7.物理与环境的安全 .........................................................................33
安全区域 ................................................................................33
物理安全地带 ...............................................................33
物理入口的控制 ...........................................................33
保护办公室、房间及设备 ...........................................34
在安全地带工作 ...........................................................34
隔离的交付及装载地方 ...............................................34
设备的安全 ............................................................................35
设备的放置及保护 .......................................................35
电力的供应 ...................................................................36
电缆线路的安全 ...........................................................36
设备的维护 ...................................................................36
设备离开大厦的安全 ...................................................37
设备的安全清除或重用 ...............................................37
一般控制 ................................................................................37
收拾桌子及清除屏幕的策略 .......................................37
财物的搬迁 ...................................................................38
8.通讯与操作的管理 .........................................................................39
操作步骤及责任 ....................................................................39
文档化操作程序 ...........................................................39
操作变动的控制 ...........................................................39
安全事件管理程序 .......................................................40
责任分开制 ...................................................................40
开发及正式使用设备的分开 .......................................41
外部设备的管理 ...........................................................41
系统规划及接收 ....................................................................41
储存量的计划 ...............................................................42
系统接收 .......................................................................42
对付恶意软件 ........................................................................42
控制恶意软件 ...............................................................43
备份及恢复性常务管理 ........................................................43
信息备份 .......................................................................43
操作员日志 ...................................................................44
对错误进行记录 ...........................................................44
网络管理 ................................................................................44
网络控制 .......................................................................44
介质的处理与安全 ................................................................45
可移动计算机介质的管理 ...........................................45
介质的清除 ...................................................................45
信息处理的程序 ...........................................................46
系统说明文档的安全 ...................................................46
信息与软件的交换 ................................................................46
信息及软件交换协议 ...................................................46
传递中介质的安全 .......................................................47
电子商务的安全 ...........................................................47
电子邮件的安全 ...........................................................48
安全风险 ..............................................................48
电子邮件的策略 ..................................................48
电子办公室系统的安全 ...............................................48
可公用的系统 ...............................................................49
其它形式的信息交换 ...................................................49
9.访问控制 .........................................................................................50
访问控制的业务需求 ............................................................50
访问控制策略 ...............................................................50
策略及业务需求 ..................................................50
访问控制规定 ......................................................50
用户访问的管理 ....................................................................51
用户登记 .......................................................................51
特权管理 .......................................................................51
用户口令的管理 ...........................................................52
用户访问权限的检查 ...................................................52
用户责任 ................................................................................52
口令的使用 ...................................................................52
无人看管的用户设备 ...................................................53
网络访问控制 ........................................................................53
网络服务的使用策略 ...................................................53
强制式路径 ...................................................................54
外部连接的用户认证 ...................................................54
网点认证 ....................................................................54
远程诊断端口的保护 ...................................................55
网络的隔离 ...................................................................55
网络连接控制 ...............................................................55
网络路由的控制 ...........................................................55
网络服务的安全 ........................................................56
操作系统的访问控制 ............................................................56
自动认证终端 ...............................................................56
终端的登录程序 ...........................................................56
用户标识及认证 ...........................................................57
口令管理系统 ...............................................................57
系统工具的使用 ...........................................................58
为保障安全的人员配备强迫警钟 ...............................58
终端超时 .......................................................................58
连接时间的限制 ...........................................................58
应用系统的访问控制 ............................................................58
信息访问的限制 ...........................................................59
敏感系统的隔离 ...........................................................59
系统访问和使用的监控 ........................................................59
事件记录 .......................................................................59
监控系统的使用 ...........................................................60
风险的程序及区域 ..............................................60
风险因素 ..............................................................60
对事件进行日志记录和审查 ..............................60
时钟的同步 ...................................................................61
移动操作及远程办公 ............................................................61
移动操作 .......................................................................61
远程工作 .......................................................................62
10.系统开发与维护 ...........................................................................63
系统的安全要求 ..................................................................63
安全要求分析及规格 .................................................63
应用系统中的安全 ..............................................................63
输入数据的核实 .........................................................63
内部处理的控制 .........................................................64
有风险的地方 ....................................................64
检查及控制 ........................................................64
消息认证 .....................................................................64
输出数据的核实 .........................................................65
密码控制 ..............................................................................65
密码控制的使用策略 .................................................65
加密 .............................................................................66
数字签名 .....................................................................66
不可抵赖服务 .............................................................66
密钥管理 .....................................................................67
密钥的保护 ........................................................67
标准,程序及方法 ............................................67
系统文件的安全 ..................................................................68
运行软件的控制 .........................................................68
系统测试数据的保护 .................................................68
源程序库的访问控制 .................................................68
开发及支持程序的安全 ......................................................69
改动控制程序 .............................................................69
操作系统改动的技术检查 .........................................70
更改软件包的限制 .....................................................70
隐蔽通道及特洛伊代码 .............................................70
外包软件的开发 .........................................................70
11.业务连续性管理 ...........................................................................71
.关于业务连续性管理 ..........................................................71
业务连续性管理的过程 .............................................71
业务连续性及影响的分析 .........................................71
撰写及实施连续性计划 .............................................71
业务连续性计划的框架 .............................................72
测试、维护及重新评估业务连续性计划 .................72
测试该计划 ........................................................72
维护及重新评估该计划 ....................................73
12.遵循性 ...........................................................................................74
是否遵守法律 ......................................................................74
确定适用的法律 .........................................................74
知识产权 .....................................................................74
版权 ....................................................................74
软件版权 ............................................................74
保障机构的记录 .........................................................75
数据保护及个人信息的隐私 .....................................75
防止信息处理设备被滥用 .........................................76
密码控制的规定 .........................................................76
证据的收集 .................................................................76
证据的规则 ........................................................76
证据的适用性 ....................................................77
证据的质量和完备性 ........................................77
核对安全策略及技术合格性 ..............................................77
与安全策略一致 .........................................................77
技术依从性的检查 .....................................................77
系统审计的考虑 ..................................................................79
系统审计控制 .............................................................79
对系统审计工具的保护 .............................................79
第二部分:信息安全管理系统的规范 ..................................................81
1.范围 .................................................................................................81
2.术语与定义 .....................................................................................81
3.信息安全管理系统的要求 .............................................................81
概要 ........................................................................................81
建立一个管理架构 ................................................................81
实施 ........................................................................................81
文档 ........................................................................................82
文档控制 ................................................................................82
记录 ........................................................................................83
4.详细监控 .........................................................................................85
安全策略 ................................................................................85
信息安全策略 ..............................................................85
信息安全策略文档 ..............................................85
检查和评价 ..........................................................85
安全组织 ................................................................................85
信息安全基础设施 .......................................................85
管理层信息安全论坛 .........................................85
信息安全的协调 .................................................85
信息安全职责的分配 .........................................85
信息处理设施的授权过程 .................................86
专家信息安全建议 .............................................86
各机构之间的协作 .............................................86
信息安全的独立检查 .........................................86
第三方访问的安全 ......................................................86
第三方访问的风险的识别 ..................................86
在第三方合同中的安全要求 .............................86
外部采购 ......................................................................86
在外购合同中的安全要求 .................................86
资产分类与控制 ....................................................................87
资产的可说明性 ...........................................................87
资产的盘点 ..........................................................87
信息分类 .......................................................................87
分类方针 ..............................................................87
信息标签和处理 ..................................................87
人员安全 ................................................................................87
工作定义和资源中的安全 ...........................................87
工作责任的安全 ..................................................87
员工筛选和策略 ..................................................87
保密协议 ..............................................................88
雇佣的条款和条件 ..............................................88
用户培训 ......................................................................88
信息安全教育和培训 .........................................88
安全事故与故障的处理 ..............................................88
报告突发安全事故 .............................................88
报告安全弱点 .....................................................88
报告软件故障 .....................................................88
从事故中吸取教训 .............................................88
纠正过程 .............................................................89
物理与环境的安全 ................................................................89
安全地区 ......................................................................89
物理安全边界 .....................................................89
物理接口控制 .....................................................89
保护办公室、房间和设施 .................................89
在安全地区工作 .................................................89
隔离的运输和装载地区 .....................................89
设备安全 ......................................................................89
设备放置地点的选择与保护 .............................89
电源供应 .............................................................90
电缆安全 .............................................................90
设备维护 .............................................................90
在机构外部使用设备时应注意的安全性 .........90
设备应该被安全地处理掉和再使用 .................90
一般控制 ......................................................................90
清洁桌面与清洁屏幕策略 .................................90
资产的删除 .........................................................90
通讯与操作的管理 ................................................................90
操作过程与职责 ..........................................................90
记录操作过程 .....................................................91
针对操作变化的控制 .........................................91
事件管理程序 .....................................................91
职责分离 .............................................................91
开发设施与操作设施的分离 .............................91
外部设施管理 .....................................................91
系统计划与验收 ..........................................................91
容量计划 .............................................................91
系统验收 .............................................................91
针对恶意软件的防护 ..................................................92
采取控制来防范恶意软件 .................................92
内务处理 ......................................................................92
信息备份 .............................................................92
操作员日志 .........................................................92
出错日志 .............................................................92
网络管理 ......................................................................92
网络控制 .............................................................92
介质处理和安全 ..........................................................92
计算机可移动介质的管理 .................................92
介质处理 .............................................................93
信息处理程序 .....................................................93
系统文档的安全 .................................................93
信息及软件的交换 ......................................................93
信息和软件的交流协议 .....................................93
传输过程中的介质安全 .....................................93
电子商务安全 .....................................................93
电子邮件安全 .....................................................93
电子办公系统的安全 .........................................93
信息发布系统的安全 .........................................94
其它方式的信息交换 .........................................94
访问控制 ...............................................................................94
访问控制的商业需求 ..................................................94
访问控制策略 .....................................................94
用户访问管理 ..............................................................94
用户注册 .............................................................94
特权管理 .............................................................94
用户口令管理 .....................................................94
用户访问权限审查 .............................................95
用户职责 ......................................................................95
口令的使用 .........................................................95
易被忽略的用户设备 .........................................95
网络访问控制 ..............................................................95
网络服务的使用策略 .........................................95
增强的路径 .........................................................95
外部连接的用户认证 .........................................95
节点认证 .............................................................95
对远程诊断端口的保护 .....................................95
网络隔离 .............................................................96
网络连接控制 .....................................................96
网络路由控制 .....................................................96
网络服务的安全性 .............................................96
操作系统访问控制 ......................................................96
自动终端认证 .....................................................96
终端登录过程 .....................................................96
用户标识和认证 .................................................96
口令管理系统 .....................................................96
系统工具的使用 .................................................97
用警告信息保护用户 .........................................97
终端超时 .............................................................97
连接时间的限制 .................................................97
应用系统的访问控制 ..................................................97
信息访问限制 .....................................................97
敏感系统的隔离 .................................................97
监控对系统的访问和使用 ..........................................97
事件日志 .............................................................97
监控对系统的使用情况 .....................................98
时钟同步 .............................................................98
移动计算与远程工作 ..................................................98
移动计算 .............................................................98
远程工作 .............................................................98
系统开发与维护 ...................................................................98
系统的安全需求 ..........................................................98
安全需求分析与描述 .........................................98
应用系统的安全 ..........................................................98
对输入数据进行有效性确认 .............................98
对内部处理的控制 .............................................99
消息认证 .............................................................99
对输出数据进行有效性确认 .............................99
密码控制 ......................................................................99
密码控制的使用策略 .........................................99
加密 .....................................................................99
数字签名 .............................................................99
不可否认服务 .....................................................99
密钥管理 .............................................................99
系统文件的安全性 ....................................................100
对业务软件的控制 ...........................................100
对系统测试数据的保护 ...................................100
对程序源代码库的访问控制 ...........................100
在软件开发与支持过程中的安全性 ........................100
变化控制程序 ...................................................100
针对操作系统变化的技术审查 .......................100
限制对软件包的修改 .......................................100
隐蔽信道和特洛依木马代码 ...........................100
外包软件开发 ...................................................101
业务连续性管理 .................................................................101
业务连续性管理的各个方面 ....................................101
业务连续性管理的进程 ...................................101
业务连续性与影响分析 ...................................101
连续性计划的撰写与实施 ...............................101
业务连续性计划的框架 ...................................101
测试、维护与重新评估业务连续性计划 .......101
遵循性 ................................................................................101
与法律要求的一致性 ..............................................101
识别适用的立法 .............................................102
知识产权 .........................................................102
保护机构的文档记录 .....................................102
数据保护与个人信息隐私 .............................102
防止信息处理设备的误用 .............................102
密码控制制度 .................................................102
证据收集 .........................................................102
安全策略与技术遵循性的复审 ..............................102
与安全策略的一致性 .....................................102
技术遵循性检查 .............................................103
系统审计的考虑 ......................................................103
系统审计控制 .................................................103
系统审计工具的保护 .....................................103
序
BS7799 的这个部分是在 BSI/DISC 委员会 BDD/2-信息安全管理部监
督下完成的,用来代替 BS7799:1995.
BS7799 分两部分发布:
--第一部分:信息安全管理惯例
--第二部分:信息安全管理规范
简介
什么是信息安全?
信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的
作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少
损失及提供最大的投资回报和商机。
信息可以有多种存在方式,可以写在纸上、储存在电子文档里,也可
以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论
信息以何种方式表示、共享和存储,都应当适当地保护起来。
因此信息安全的特征是保留信息的如下特性:
1) 保密性(confidentiality):保证信息只让合法用户访问;
2) 完 整 性 (integrity) : 保 障 信 息 及 其 处 理 方 法 的 准 确 性
(accuracy)、完全性(completeness);
3) 可用性(availability):保证合法用户在需要时可以访问到信息
及相关资产。
实现信息安全要有一套合适的控制(controls),如策略(policies)、
惯例(practices)、程序(procedures)、组织的机构(organizational structures)
和软件功能(software functions)。这些控制需要被建立以保证机构的安
全目标能够最终实现。
为什么需要信息安全
信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、
完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形
象至关重要。
但机构及其信息系统和网络也越来越要面对来自四面八方的威胁,如
计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算
机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。
机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的
互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势
已经削弱了集中管理的效果。
很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制
的,因而还应该得到相应管理和程序的支持。选择使用那些安全控制
需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构
全体员工的参与,同时也应让供应商、客户或股东参与,如果有必要,
可以向外界寻求专家的建议。
对信息安全的控制如果融合到需求分析和系统设计阶段,则效果会更
好,成本也更便宜。
如何制定安全需求
识别出一个机构的安全需求是很重要的。安全需求有三个主要来源。
第一个来源是对机构面临的风险的评估。经过评估风险后,便可以找
出对机构资产安全的威胁,对漏洞及其出现的可能性以及造成多大损
失有个估计。
第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、
法令、规例及合约条文的要求。
第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处
理的规定。
评估安全风险
安全需求经过系统地评估安全风险而得到确认。实现安全控制的费用
应该与由于安全失败所导致的业务损失之间取得平衡。风险评估可以
在整个机构或机构的一部分、单个信息系统、某个系统部件或服务上
实行,只要是可行的、现实的和有益的就可以了。
风险评估是系统地考虑下列内容的结果:
a) 安全措施失效后所造成的业务损失,要考虑到信息和其它资产失
去保密性、完整性和可用性后的潜在后果;
b) 最常见的威胁、漏洞以及最近实施的安全控制失败的现实可能性。
评估结果会有助于指导和确定合适的管理行动和管理信息安全风险
的优先次序,以及实施选择的来抵御这些风险的合适的安全控制。风
险评估及安全控制的选择的进程可能要重复几次,以便覆盖机构不同
部门或个别信息系统。
重要的是要定期复审安全风险和实施的安全控制,以便:
a) 考虑业务需求和优先级的变化;
b) 考虑新出现的威胁与漏洞;
c) 确认安全控制仍然有效并且合适。
复审应该在不同深度上被执行,这依赖于以前的复审结果和管理层准
备接受的风险的变化水平。风险评估一般是首先从高层开始,目的是
提高位于高风险区的资源的优先级,然后在一个更详细的层次上来说
明特定的风险。
选择控制
一旦找出了安全需求,下一步应是选择及实施安全控制来保证把风险
降低到可接受的水平。安全控制可以从这个标准或其它有关标准选择,
也可以自己设计满足特定要求的控制。有很多管理风险的方法,该文
档只提供一般方法。但是,应了解到一些安全控制并不适用于每个信
息系统或环境,并且并不是对所有的机构都可行。
安全控制的选择应该基于实施该安全控制的费用和由此减少的有关
风险,以及发生安全事件后所造成的损失,也要考虑非金钱上的损失,
如公司声誉的降低等。
这份文档所提供的一些安全控制可以作为信息安全管理的指导原则,
并且对大部分机构都是适用的。
信息安全的出发点
有一些安全控制可以被看作指导性原则,可以为实施信息安全提供一
个好的出发点。这些控制要么是基于法律的规定,要么被认为是信息
安全的常用的最佳实践和经验。
从立法的观点出发,机构必不可少的安全控制有:
1) 知识产权(参看 );
2) 对机构文档记录的保护(参看 );
3) 数据保护及个人信息的隐私(参看 )。
被认为是信息安全的最佳实践的控制包括:
1)信息安全策略文档(参看 );
2)信息安全责任的分配(参看 );
3)信息安全的教育与培训(参看 );
4)报告安全事件(参看 );
5)业务连续性管理(参看 )。
这些安全控制在大部分机构及环境都适用。 虽然这里所提到的安全
控制都很重要,但选出合适的安全控制应考虑机构要面对的风险。所
以,虽然上面所提出的方法是一个很好的出发点,但不能代替在风险
评估基础上选择出的合适的安全控制。
关键的成功因素
经验表明:以下的因素对在一个机构内成功实施信息安全通常是关键
的:
1) 反映业务目标的安全策略、安全目标和活动;
2) 与机构的文化保持一致性的安全实施方法;
3) 来自管理层的可见的支持与承诺;
4) 对安全需求、安全评估及安全管理有良好的理解;
5) 关于安全的对所有经理及员工的有效宣传;
6) 向所有员工和合作伙伴发布关于信息安全策略和标准的指南;
7) 提供合适的培训与教育;
8) 一套全面而均衡的用来评估信息安全管理的性能和有关改进
安全管理的反馈建议的测量系统。
开发你自己的指导方针
这个安全实践惯例可以作为开发特定机构安全指南的出发点。并不是
该指南的所有方面和控制都是适用的。进一步说,该指南不包含的控
制也可能成为必须的。当这种情况发生时,保留交叉引用是有所助益
的,这有利于审计人员和业务伙伴进行一致性检查。
1.范围
BS7799 的这部分内容为信息安全管理提供了推荐建议,那些负责起
动、实现或维护机构安全的人员可以使用这些建议。目的是为开发安
全标准和有效的安全管理惯例提供一个公共基础,并提供在机构之间
进行交易的信心。
2.术语与定义
该文档有下列术语和定义:
信息安全
信息的机密性、完整性和可用性的保存。
注释: 机密性定义为确保信息仅仅被那些被授权了人员访问。
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相
关资产。
风险评估
对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性
及其发生的可能性的评估。
风险管理
以可以接受的代价识别、控制、最小化或者消除影响信息系统安全的
风险的程序。
3.安全策略
信息安全策略
目的:提供信息安全的管理方向及支持。管理层应该指定清晰的策略
方向及大力支持信息安全,并在全机构推行及维护信息安全策略。
信息安全策略文件
一个策略文件应由管理层批准、印制及向员工公布。策略应声明管理
层的承诺,及机构管理信息安全的方法。策略至少要包括以下内容:
a)信息安全的定义、整体目标和范围以及安全对信息共享的重要
性(参看简介);
b)对管理层的意图的声明及支持,以及信息安全的原则;
c)安全策略、原则、标准的简介,也包括对机构有特别重要性的
法律的要求,例如:
1)要符合法律及合同要求;
2)安全教育的要求;
3)防止及检测病毒及其它恶意代码;
4)业务连续性管理;
5)违反安全策略的后果。
d)信息安全管理的一般和特定责任的定义,包括报告安全事件;
e)支持策略的文档的参考说明,例如特别信息系统或安全规定用
户应遵守的更详尽的安全策略及程序。
该策略应在全机构公布,让有关人员访问和理解透彻。
复审及评估
策略应有一个拥有者,负责按复审程序维护及复审该策略。该复审程
序应确保在影响原风险评估基础的任何改动发生后会马上进行复审,
例如发生重要的安全事件、出现新漏洞、机构或技术架构的改变。还
应该定期安排审查以下内容:
a)系统所记录的安全事件的本质、次数及影响所表明的策略的有
效性;
b)控制对业务效率的影响和成本;
c)技术改变的效果。
4.安全组织
信息安全架构
目的:管理机构内的信息安全。应建立一个机构管理架构,在全机构
内推行及管理信息的安全。应由管理层牵头、组织管理论坛来讨论及
批准信息安全策略、指派安全角式及协调全机构安全的实施。如有需
要,应在机构内建立一个信息安全资源库。应开始与外面的安全专家
保持联系,最终最新的行业动态、留意业内标准及评估方法,以及发
生安全事件时提供适当的联系方法。应从多方面考虑信息安全,例如,
调动部门经理、用户、管理员、应用系统设计者、审计及安全员工及
保险和风险管理专家共同制定策略。
管理信息安全论坛
信息安全是所有管理层成员所共有的责任。一个管理论坛应确保有明
确的安全目标,及管理层的大力支持。论坛的目是在管理层的承诺及
足够资源的情况下,在全机构内推广安全。论坛也可以是管理层的一
部分,一般要承担的工作有:
1) 检查及批准信息安全策略及整体责任
2) 监控对暴露于严重威胁面前的信息资产所作的重大改
动
3) 检查及监控安全事件
4) 审批极大提高信息安全的重要举措
应有一个经理负责所有有关安全的活动。
信息安全的协调
在大的机构中,有关部门的管理人员应组成跨越职能部门的安全论坛,
来协调信息安全管理的实施,论坛一般会是:
1) 统一指派机构内信息安全的角色和责任
2) 统一制定信息安全的方法和步骤,例如风险评估、安全
分类系统等
3) 统一及支持机构的信息安全行动,例如举办安全意识培
训
4) 确保安全是信息计划的一部分
5) 有新系统或服务时,评估个别信息安全控制的准确性,
以及协调信息安全控制的实施
6) 检查信息安全事件
7) 在全机构内提高业务方面对信息安全的支持
信息安全责任的分配
应明确定义保护个人资产及执行某指定安全程序的责任。
信息安全策略(参见条款 3)应提供如何分配机构安全角式及责任的
一般指引。如有需要,应附加某个别网址、系统或服务更详细的指引,
也要明确确定物理资产、信息资产及安全进程的本地责任,例如业务
连续性计划。
很多机构的信息安全经理负责整个安全和控制的开发及实施,但是,
寻找及实施控制的责任,则是个别经理负责。一个普遍的做法是定出
每种信息安全资产的拥有者,然后这角色负责这资产的日常安全。
信息资产的拥有者应把安全责任委派到个别经理或服务提供者。尽管
如此,拥有者最终负责资产的安全,并能确定任何委派的责任会被正
确放弃。
应明确说明每位经理所负的责任范围,特别是:
1) 明确定义每个系统所关联的资产及安全程序
2) 统一那经理负责那资产或安全程序,并说明责任的详情
3) 明确定义及说明授权级别
信息处理设备的授权步骤
应为新的信息处理设备建立管理授权步骤,要考虑的有:
1) 新设备要有适当的用户管理批准手续,授权设备的使用
及目的,也要有负责维护本地信息系统安全环境的经理
的批准,以保证按有关安全策略及要求执行。
2) 在任何需要的情况下,检查清楚软、硬件是否与其它系
统部件兼容。注意:有些连接需要批准
3) 使用个人信息处理设备处理业务信息的任何授权控制
4) 在工作地方使用个人信息处理设备会导致新漏洞的出
现,所以应经过评估及授权
这些控制对互联环境特别重要。
信息安全专家的意见
很多机构可能都需要信息安全专家的意见,最好是内部有这样经验丰
富的安全专家,但不是每个机构都想要专家的意见。如果是这样,建
议确定一位员工负责协调机构内部的安全事情,及提供安全意见。机
构也应找外部的专家,为自己没有经验的安全事情提供意见。
信息安全顾问应负责提供信息安全方方面面的意见,他们对安全威胁
的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大
效益,应让顾问可以直接与整个机构的所有管理层接触。
在怀疑发生安全事件时,应在第一时间把信息安全顾问请来,以便第
一手知道事件的真相,提供最专业的意见。虽然大部分内部安全调查
在管理层的控制下正常执行,但还是需要信息安全顾问的意见、领导
及进行调查。
组织之间的合作
应与执法机构、立法机关、信息服务提供者及电信运行商保持联系,
以保证安全事件发生后,马上采取行动及取得有关意见。同样理由,
也考虑与安全组及行业论坛的成员保持联系。
有关安全的信息的交换应被禁止,以保证机构的秘密信息不会传到非
法人员。
信息安全的独立复审
信息安全策略文档(参看 )说明信息安全的策略及责任,策略
的实施应受到独立的检查,以保证机构的惯例如实反映策略,并且是
可行的及有效的。
这样的检查可以由内部审计部门、某经理或第三方有关这方面的机构
去执行,因为他们有方面的技术及经验。
第三方访问的安全
目的:维护被第三方访问的机构信息处理设备及信息资产的安全。
应控制来自第三方的对机构信息处理设备的访问。
如有业务需要让第三方访问,应先评估风险以确定安全内容及对控制
的需求。应该统一要执行的控制并与第三方定义这样的合同。
第三方访问也包括其他参与者。准许第三方访问的合同应包括其它可
以访问的参与人员的名称及条件。
这个标准应该被用作订立这样的合同的基础,也作为考虑需要外包信
息处理时的基础。
确认第三方访问的风险
访问的种类
给于第三方访问的访问类型是很特别重要的,例如通过网络连接访问
的风险与物理访问的风险不同。要考虑的访问类型有:
1)物理访问,例如进入办公室、计算机房、文件柜等;
2)逻辑访问,例如存取某机构的数据库、信息系统等。
访问的原因
让第三方访问可以有很多原因,举例,第三方为机构提供服务,但不
能现场找到,只能通过物理及逻辑访问,例如
1) 硬件及软件技术支持人员,需要访问到系统级别
或应用系统的最底层
2) 贸易伙伴或合资伙伴,需要交换信息、访问信息
系统或共享数据库
没有足够保护的安全管理,让第三方访问会把信息处于危险的地步。
但凡有业务需求需要连接到第三方的地点,应先进行风险评估,确定
要控制的任何要求。要考虑的有访问方法、信息的价值、第三方所采
用的控制,以及这样的访问对机构信息安全的影响。
现场合同方
现场的第三方经过合同所定的一段时间后,也会减弱机构的安全,这
样的第三方的例子有:
1)硬件及软件维护及技术支持人员
2)清洁服务、膳食服务、保卫服务及其它外包的支持
服务
3)学生临时短工及其它短期职务的人员
4)顾问
要清楚了解需要那些控制来管理第三方对信息处理设备的访问。通常,
所有因第三方访问而引致的访问或内部控制,应反映在第三方的合同
中(参看 )举例,如果有特别需要要保密信息,应考虑签定‘保
密协议’(参看 )
不应提供第三方访问信息及信息处理设备的能力,除非已经实施适当
的控制及签定有关合同并定出连接或访问的条款。
第三方合同的安全要求
涉及第三方访问机构信息处理设备的安排,应该基于正式签定的合同,
包括或参考所有符合机构安全策略及标准的安全要求。合同应没有机
构和第三方之间含糊的地方。机构应满足供应商的赔偿。合同条款可
以考虑以下:
1) 信息安全的总策略;
2) 资产的保护,包括:
保护机构资产的程序,包括信息及软件;
确定是否发生破坏资产安全事件的程序,例如数
据的丢失或更改;
确保在合同期满或有效期间归还或毁灭信息及
资产;
完整性及可用性;
限制拷贝及公开信息;
3) 每种可供使用的服务的说明;
4) 服务的预期目标及不可接受的服务;
5) 适时调动员工的服务;
6) 各方对协议所负的责任;
7) 法律责任,例如:数据保护的法律,特别是合同涉及与
其它国家的机构合作时所牵涉的不同的国家法律系统
(参看 );
8) 知识产权及版权(参看 ),以及任何合作成果的
保护(参见 );
9) 访问控制协定,包括:
1.可容许的访问方法,以及唯一标识符如用户 ID 及口
令的使用及管理控制;
2.用户访问及权限的授权过程;
3.保存一份合法使用可用服务的个人的名单,以及他们
的使用权限;
10) 可核查的性能指标的定义、监控及报告方法;
11) 用于监控、注销用户活动的权限;
12) 审计合同责任的权限,或让第三方执行这样的审计;
13) 越级申请解决问题的手续;应急安排;
14) 关于硬件及软件安装及维护的责任;
15) 一个很清楚的报告架构及统一的报告格式;
16) 清楚明白的更改管理程序;
17) 任何需要的物理保护控制以及确保按照控制管理的
机制;
18) 对用户及管理员的在方法、程序及安全方面的培训;
19) 对付恶意软件(参看 )的控制;
20) 报告、通知及调查安全事件及安全违规的安排;
21) 第三方和转包商之间的关系。
外包服务
目的: 当信息处理外包到另一家机构时维护信息的安全。
外包的安排中应该在合同中说明风险、安全控制、信息系统的处理过
程、网络、桌面环境。
外包合同的安全要求
合同应包括机构把全部或部分信息系统、网络及/或桌面环境外包的
安全要求。举例来说,合同应包括:
1) 合同的要求如何被满足,例如:数据保护的法律;
2) 有什么安全来保证所有参于外包的合同方,包括转包商,
知道他们的安全责任;
3) 如何维护及测试机构业务资产的完整性及保密性;
4) 有什么物理及逻辑控制可以用,来限制只让合法用户访
问机构的敏感业务信息;
5) 当发生灾难时如何维护服务还可以使用;
6) 有什么级别的物理安全来保护外包设备;
7) 审计的权限。
应考虑 所列的,作为合同的条款。合同应让安全要求及
程序可以在合同双方所用意的安全管理计划内继续补充。
虽然外包合同会带来一些复杂的安全问题,但这里所包括的控
制可以作为起点,统一安全管理计划的结构及内容。
5.资产分类与控制
资产的使用说明
目的:维持适当的保护措施保护机构的资产。
所有重要的信息资产应有负责人,并有选定的所有者。
资产的责任制保证实施了适当的保护措施。所有重要的资产都要确定
所有者,并制订维护适当控制的责任。实施控制的责任可以委派。
责任应只由所选定的拥有者负责。
资产清单
资产清单帮助了解已实施有效的保护措施,也可以是为其它业务目的
而实施,例如卫生及安全、保险或财务(资产管理)的原因。计算资
产准备清单是风险管理的一项重要事务。机构需要确定自己的资产、
有多大价值及资产的重要性。机构按这些信息便可以按资产的价值及
重要性提供那样的保护措施。 每一个信息系统都要有这样的一份清
单,列明重要的资产。应清楚确定每种资产及拥有权和安全分类(参
看 )、当前位置(当丢失或损坏后要恢复时,是非常重要知道在哪
儿)。与信息系统有关的资产的例子有:
1)信息资产: 数据库及数据文件、系统说明文档、用户
手册、培训手册、操作或支持程序、应急计划、后备安
排、归档信息);
2)软件资产:应用软件、系统软件、开发及系统工具;
3)物理资产:计算机设备(处理器、显示器、笔记本、调
制解调器),通讯设备(路由器、PABX、传真机、应
答机)、磁带磁盘、其它技术设备(电源、空调)、家具、
房子;
4)服务:计算及通讯服务、一般公用事务,例如、供热、
灯光、电、空调等。
信息分类
目的: 保证信息资产有适当程度的保护。信息应被分类来确认保护
的需求、优先及程度。 信息有不同程度的敏感度及重要性。有些需
要额外的保护或特别处理。所以,应使用信息分类系统来定义适当的
保护级别,并看看是否需要特别处理。
分类的指南
信息的分类及相关保护控制的制订,应按业务共享及限制信息的需求,
和这些需求所关联的业务冲击,例如, 非法进入或损坏信息。一般
情况是,信息的分类是确定如何处理及保护这些信息的简单方法。处
理机密数据的系统的信息及输出,应标明信息对于机构的价值及机密
程度,也可以按对机构的重要性而分类,例如完整性及可用性。
信息通常在过一段时间后不再机密或重要,举例,当信息被公开后。
这也要考虑进去,因为过多的分类可能导致不必要的额外业务开支。
分类的指引应明白,或者事实已证明任何一个信息的分类不应是定死,
应按某些已制订的策略(参看 )作更改。
要考虑的有类别的数目,以及分类后有什么好处。过于复杂的方法日
后可能变得繁琐、使用不经济或显得不实际。应小心如何解释其它机
构的文件上的分类标签,有可能同一种或类似的标签有不同的定义。
定义某信息的每个项目的责任,例如文件、数据记录、数据文件或磁
盘,以及定期检查这些分类的责任,应该是有信息的被选所有者,或
原来作者负责。
信息标注及处理
按机构所采用的分类方法,制订合适的程序来标注及处理信息是很重
要的。这些程序应包括物理及电子形式的信息资产。每一类都有指定
的处理程序来定义以下各类的信息处理活动:
1) 拷贝;
2) 储存;
3) 邮递、传真及电子邮件方式的传输;
4) 口头传输,包括移动电话、语音邮件,应答机;
5) 销毁。
系统带有被分类为敏感或重要信息的输出,应(再输出)有适当的分
类标签注明。 标签应按 的分类规定注明。 要考虑分类标签的
物件有:打印报表、屏幕显示、记录介体(磁带、磁盘、CD 等)、电
子消息及文件转移。
物理标签一般是适当的标签形式,但是,某些信息资产,例如电子形
式的文档,不能物理标注,应使用电子标注。
6.人员安全
岗位定义及资源分配的安全
目的:减少人为错误、或设备被偷取、假冒或滥用的风险。 应在招
聘时说明安全的责任,包括合同中写明,以及在员工雇佣期间检查。
招聘员工时应小心考虑(参看 ),特别是敏感的岗位。所有员工
及第三方用户在使用信息处理设备时,要求签一份保密协议。
岗位责任的安全
机构信息安全策略(参看 )所规定的安全角色及责任,应被记录
下来,责任应包括实施或维护安全策略的任何一般责任,和任何保护
某资产的特别责任,或为执行某安全进程或活动的责任。
人事过滤及策略
固定员工的检查应在申请职位时进行,包括:
1) 要有满意的推荐人,举例,一个推荐业务上的行为,一
个推荐关于个人品德;
2) 检查申请人的简历(是否完整及准确);
3) 确认有没有考取所称述的学历及职业资格;
4) 独立的身份检查(护照或其它文件);
如果某岗位(第一次职位分派或升职)需要某人进入信息处理设备,
特别是要处理敏感信息(例如财务信息或特别机要信息),机构应检
查这名员工的信誉。至于有相当授权权限的员工,应定期检查。
合约及临时人员也要经过同样的过滤过程。当这些员工是经过外面的
人事公司提供,与人事公司签定的合同应清楚指明人事公司的过滤责
任,以及如果过滤不完整、或结果有可疑时所要进行的通知程序。
管理层应该评估新的和没有经验的员工访问敏感系统所需的授权,是
否需要监督。 所有员工的工作应有更高级的员工定期查核。
部门经理应知道员工的个人情况会影响他们的工作。个人及财务问题、
行为或生活习惯发生变动、时常缺席及明显精神压抑,会进行假冒、
偷盗、出错或其他破坏安全行为。这些信息应按当地有关法律作适当
的处理。
保密协议
保密协议是用来告知信息是机密的或秘密的。员工应签署这样的协议,
作为进入公司的雇佣协议的条款。
一般的员工及第三方用户没有签这样的协议(有保密协议在内),应
在容许进入信息处理设备前签定这样的保密协议。
保密协议应在更改雇佣条款或合同时检查,特别是当员工快要离开机
构或合同快到期。
雇佣条款
雇佣条款应说明员工信息安全的责任。如适当,这些责任应在雇佣期
满后连续性一段时间,还应包括员工如果不领会安全要求所要采取的
行动。
员工的法律责任及权利,例如关于版权法律或数据保护条例,应说明
清楚及包括在雇佣协议的条款中,也应包括雇主数据的分类及管理的
责任。在适当的地方,雇佣条款应说明这些责任也适用于机构大厦之
外及正常工作时间之外,例如在家办公(参看 及 )
用户培训
目的:保证用户知道信息安全的威胁及忧虑,并在工作时支持实行机
构的安全策略。
用户应被培训关于安全程序,以及信息处理设备的正确使用,来尽量
减低安全风险。
信息安全教育及培训
所有机构的员工,如有关系,第三方用户,都要接受适当的培训,及
注意机构策略及程序的定期更新。培训内容包括安全要求、法律责任
及业务控制,以及正确使用信息处理设备的培训,例如授予访问信息
或服务前的登陆程序、软件包的使用等。
安全事件及失常的反应措施
目的:把安全事故及失常的损坏降到最低,以及监控这些事件,并从
中取得教训。
影响安全的事件应尽快通过合适的管理渠道报告。
所有员工及合同员工应知道会影响机构资产安全的不同类别事件(安
全破坏、威胁、弱点或错误工作)的报告程序。他们应尽快向指定联
系点报告任何受监视的、或可疑的事件。 机构应制订正式的处罚程
序处理破坏安全的员工。如要正确处理事件,可能需要在事件发生后
第一时间收集证据(参见 )。
报告安全事件
安全事件应通过适当的管理渠道尽快报告。 应制订正式的报告程序
和事件反应程序,说明收到事件报告后所要采取的行动。所有员工及
合同员工应该都被通知报告安全事件的程序,并需要尽快报告。应实
施合适的反馈程序保证处理事件后报告事件的结果。这些事件可以当
作安全意识培训(参看 )的教材,说明事件发生会有什么事情发
生、如何反应事件,及以后如何避免事件重现(参看 )
报告安全的弱点
信息服务的用户应被要求,要注意及报告系统或服务任何明显的、或
可疑的安全弱点或威胁。他们应尽快向管理层或直接向服务供应商报
告。 用户应被通知,在任何情况下,他们都不应试图证实可疑的弱
点,这是为自己保护,因为测试弱点会被认为是在滥用系统。
报告系统的故障
应建立报告软件出错的程序,要考虑的行动有:
1) 问题的现象及注意屏幕上出现的消息;
2) 计算机应被隔离,如可能,应该停止使用。应马上提醒
有关人员。 如果要检验设备,应在重新启动前把设备
从机构的网络断开连接。磁盘不应转移到其它计算机中;
3) 应马上把事件报告信息安全经理。
用户不应试图除掉可疑的软件,除非有授权。 应由经过合格培训的、
有经验的员工来恢复系统。
吸取教训
应有一套机制,来量化和监控事件及出错的种类、数量和代价。这些
信息应用来确认重复出现或影响严重的事件或出错。这可能暗示需要
增强的或额外的控制,或者用来限制日后出现的次数、损失及代价,
或者用于在核查安全策略过程中考虑(参看 )
处罚程序
应有一个正式的处罚程序来处罚那些违反机构安全策略及程序(参
看 及 的的证据保留)的员工。这程序可以用来阻吓那些
不理会安全程序的员工。 此外,处罚程序应确保正确,公正地处理
那些怀疑要严重破坏、或坚持要破坏安全的员工。
7.物理与环境的安全
安全区域
目的:防止非法访问、危害及干扰业务运营的前提条件及信息。
重要的或敏感的业务信息处理设备应放在安全的地方,有特定安全范
围内受到保护,范围的出入口有安全障碍及入口控制,应有物理的保
护防止非法进入、危害及干扰。
所提供的保护应与所确定的风险相应。应有一个桌子或屏幕的清除策
略,以减少非法访问的风险或损害纸张、介质及信息处理设备。
物理安全地带
物理的保护可以是在业务办公地方及信息处理设备的周围,设置多个
物理障碍。每个障碍都有一个安全地带,层层保护。机构应划分安全
地带来保护有信息处理设备(参看 )的地方。一个安全地带是
指设置某些障碍,例如墙壁、有卡控制的入口门、或是有人看守的用
于接待的桌。 每个障碍的位置及力度要视乎风险评估后的结果而定。
下面的指南和控制应该被考虑和实现:
1) 应清除说明安全地带的范围;
2) 大厦或有信息处理设备的地方的周围应该是很坚固的
(即周围没有缺口或有很容易进入的地方)。地点的外墙
的结构应该很坚固,以及所有外门应有适当的保护,防
止非法进入,例如控制机制、栏杆、警钟、锁等;
3) 应划出有人看管的会客地方,或使用其它方法控制地点
或大厦的物理进入。应只让合法人员进入地点即大厦;
4) 物理障碍,如需要,应从实际的地板一直到房顶,以防
止非法进入及环境的污染,例如火灾及水灾;
5) 所有在安全地带的防火门应装置警钟,并是关闭的。
物理入口的控制
安全地带应有适当的入口控制保护,保证只有合法人员进入。要考虑
的有:
1) 进入安全地带的客人应有人监督或被驱逐,他们进入及
离开的时间都要记录。他们只能进入指定的地方、应有
授权的目的进入,同时,他们应该被告知地点的安全要
求及紧急程序指示;
2) 对敏感信息及信息处理设备的访问应控制并限制为合
法人员。认证控制,例如打卡加 PIN,应该用来授权及
验证所有的访问,并安全地保留所有访问的审计跟踪;
3) 所有人员都需要戴上某些鲜明的标识,并鼓励询问没有
人员陪同的陌生人、或没有戴上标识的人;
4) 应定期检查及更新安全地带的访问权限;
保护办公室、房间及设备
一个安全地带可能是上锁的办公室或地带内的多个房间,房间可能都
上锁或有可上锁的文件柜或保险箱。安全地带的选定及设计应考虑有
可能发生火灾、水灾、爆炸、暴动、以及其它的天灾或人祸,也要考
虑有关卫生及安全规定及标准,以及周围环境的安全威胁,例如隔壁
漏水。
要注意的方面有:
1) 重要的地方应选择防止公众进入的地方;
2) 大厦应很低调、不突出大厦的目的,大厦内外没有明显
的标牌说明有信息处理的活动在进行;
3) 支持和功能设备,例如复印机、传真机,应放置在安全
地带以防止随便被人使用来破坏信息安全;
4) 没有人时,门窗应上锁,以及加强窗的外层保护,特别
是第一楼层的窗子
5) 安装的并定期测试的合适入侵检测系统应该有效工作,
确保系统是在检查所有外部门和可用的窗子。空置地方
应时常报警。同样的保安措施应实施在其它地方,例如,
计算机房或通讯房;
6) 机构所管理的信息处理设备应与第三方管理的设备分
开;
7) 标明敏感信息处理设备的地方的说明性目录及内部电
话簿,不应让公众得到;
8) 危险或易燃物体,应安全地保存,与安全地带保持一段
安全的距离。大量的供应物品,例如文具,不应放置在
安全地带,除非确实有需要;
9) 备份设备及备份介质应该放置在距离主设备有一段距
离的安全地点,避免主要地方发生灾难时受到破坏。
在安全地带工作
安全地带可能需要额外的控制和指导方针来加强安全,这包括控制员
工或在安全地带工作的第三方人员以及第三方在这地带所进行的活
动。要注意的有:
1) 需要知道有人员在安全地带工作或在地带内进行活动;
2) 不鼓励在安全地带进行无人监督的工作,有安全方面的
原因,也是为了减少恶意活动的机会;
3) 空置的安全地带应该物理上锁及定期检查;
4) 第三方的支持服务人员只有在需要时,才能进入安全地
带或访问敏感信息处理设备。这样的访问应有授权及被
监控。安全地带内不同安全级别的地方,可能需要额外
的障碍及边界来控制物理访问;
5) 不应携带相片、影带、声音或其它记录设备,除非被授
权。
隔离的交付及装载地方
交付及装载地方应受到控制,如可能,应与信息处理设备隔离以避免
非法进入。这些地方的安全要求应在风险评估后确定。以下是要考虑
的:
1)应禁止从大厦外面进入装载地方。只让授权人员进入;
2)装载地方应设计成供应品不需要操作员工进入大厦其
它地方,就可以卸载;
3)当内门是打开时,装载地方的外门应上锁;
4)应检查进来的物品是否危险(参看 (4)),才从装
载地方搬到使用地
5)应登记进来的物品,如有需要(参看 ),应在大厦入
口登记。
设备的安全
目的: 防止资产丢失、损失或被破坏,防止业务活动的停顿。
设备应有物理保护不受安全威胁及环境事故的影响。
要保护设备(包括用在离线的地方)以减少非法访问数据的风险,和
保护不会丢失或损失,也要考虑设备应放在什么地方及如何处理掉。
可能需要特别的控制来保护故障或非法访问,和保障支援设备,例如
电力供应和线缆架构。
设备的放置及保护
设备应放在安全的地方,保护减少来自环境威胁及事故的风险,减少
非法访问的机会。要考虑的有:
1) 设备的位置,应是尽量减少不必要的到工作地方的访问;
2) 处理敏感数据的信息处理及储存设备应该好好放置,以
减少使用时被俯瞰的风险;
3) 需要特别保护的东西,应被隔离;
4) 应控制并减少潜在威胁出现的风险:
偷窃;
火;
爆炸物;
烟;
水(或供水有问题);
尘埃;
震动;
化学效应;
电力供应干扰;
电磁辐射;
5) 机构应考虑在信息处理设备附近的饮食及吸烟策略;
6) 应监控那些严重影响信息处理设备操作的环境;
7) 考虑在工业环境设备的特殊保护方法,例如采用键盘薄
膜;
8) 应考虑在大厦附近发生灾难的后果,例如隔离大厦着火、
房顶漏水,地下层渗水、街道发生爆炸。
电力的供应
应保证设备电源不会出现故障,或其它电力异常。应有适当的、符合
设备生产商规格的电力供应。关于连续性供电的选项有:
1) 多个输电点,避免单点输电导致全部停电;
2) 不间断电源(UPS);
3) 备份发电机。
建议为那些支持重要业务操作的设备配备 UPS,保持有次序的停电或
连续性供电。应急计划应包括 UPS 发生故障时应采取什么行动。UPS
设备应定期检查,保证有足够的容量,并按生产商的建议进行测试。
如果发生长时间电源失败还要继续信息处理的话,请考虑配备后备发
电机。发电机安装后,应按生产商的指示定期进行测试。应提供足够
的燃料保证发电机可以长时间发电。
此外,紧急电力开关应放置设备房紧急出口的附近,以便一旦发生紧
急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全
大厦的灯,及在所有外部通讯线路都要装上灯光保护过滤器。
电缆线路的安全
应保护带有数据或支持信息服务的电力及电讯电缆,使之不被侦听或
破坏。要注意的有:
a) 进入信息处理设备的电力及电讯电缆线路应放在地下下
面,如可能,也可以考虑其它有足够保护能力的办法;
b) 网络布线应受到保护,不要被非法截取或被破坏,举例,
使用管道或避免通过公众地方的路径;
c) 电源电缆应与通讯电缆分开,避免干扰;
d) 至于敏感或重要的系统,更要考虑更多的控制,包括:
1) 安装装甲管道,加了锁的作为检查及终点的房间或
盒子;
2) 使用可选路由或者传输介质;
3) 光纤光缆;
4) 清除附加在电缆上的未授权设备。
设备的维护
设备应正确维护来保证连续性可用合完整性。 以下是要注意的:
1) 设备应按供应商的建议服务间隔及规格维护;
2) 只有授权的维护人员才可以修理设备;
3) 记录所有可疑的或真实的故障,以及所有防范及改正措
施;
4) 实施适当的控制如何把设备送出大厦进行修理(参看
的关于删除、清除及盖写数据)。所有保险策略所
提出的要求,都要遵守。
设备离开大厦的安全
无论是谁拥有的,在机构外面使用任何设备处理信息应有管理层的授
权。 所提供的安全保护应与设备在大厦内使用时相同。还要考虑在
机构大厦外面工作的风险。信息处理设备包括所有形式的个人计算机、
商务通、移动电话纸张或其它表格,放在家里或从日常工作地方搬走。
要考虑的有:
1) 从大厦取走的设备及介质,不应放在公众地方无人看管。
笔记本计算机应当作手提行李随身,及在外时尽量遮蔽,
不要显露在外被人看到;
2) 应时常注意生产商保护设备的指示,例如不要暴露在强
大的电磁场内;
3) 在家工作的控制,应在评估风险后确定,并适当地实施,
举例,可上锁的文件柜、清除桌子的策略及计算机的访
问控制;
4) 应有足够的保险保护不在大厦的设备。
安全风险,例如损坏、被盗及偷听,可能每个地方都不同,所以应仔
细考虑后确定最适当的控制。参看 的关于如何保护移动设备。
设备的安全清除或重用
信息可以通过不小心清除或重复使用设备而被破坏(参看 ),有
敏感信息的存储设备应该物理被销毁或安全地覆盖,而不是使用标准
的删除功能。
所有储存设备,例如固定硬盘,应被检查以保证已清除所有敏感数据
及授权软件,或在清除前已被覆盖。损坏了、有敏感数据的储存设备
可能需要评估风险后确定是否把设备销毁、修理或丢掉。
一般控制
目的: 防止信息及信息处理设备被破坏或偷取。
信息及信息处理设备应该被保护,不要公开给非法人员,让非法人员
更改或偷取,并实施相关控制来尽量减少损失及损坏。 是处理
及储存程序的考虑。
收拾桌子及清除屏幕的策略
机构应考虑制订信息处理设备的收拾桌子上纸张、可移动储存介体及
清除屏幕的策略,以减少在规定工作时间外非法进入、丢失及损坏信
息的风险。策略应考虑信息安全的分类(参看 ),相关的风险及机
构的文化。
放在桌子上的信息,大有可能被损坏,或被天灾如火灾、水灾或爆炸
破坏。
要注意的有:
1)如适当,纸张及计算机介质不用时,特别是在规定工作
时间之外,应储存在合适的能够上锁的柜子及/或其他
安全的柜子;
2)敏感或重要的业务信息不需要时,特别是办公室没人,
应被锁起(最好是放在防火的保险柜);
3)个人计算机及计算机终端及打印机,都不应在登陆状态
下被搁置一旁,不用时应该用钥匙、口令以及其它控制
保护;
4)进来的及发出的邮件及无人看管的传真机及电报机,都
要统统被保护起来;
5)敏感或保密信息的打印信息,应马上从打印机上撕掉。
财物的搬迁
设备、信息或软件不应没有授权就搬离。如需要并且合适,设备借出
和归还都要有登记。应进行现场检查有没有擅自搬动财物。员工应被
通知有这样的现场检查。
8.通讯与操作的管理
操作步骤及责任
目的: 确保信息处理设备运作正确及安全。
应该建立管理及操作所有信息处理设备的责任及程序,包括制定适当
的操作指示及事故反应程序。
在适当的地方,应实行责任隔离制度以减少疏忽或滥用系统的风险。
文档化操作程序
应记录及维护安全策略所确定的操作程序,这文档应被视为是正式的
文档,有管理层授权才能改动。 程序应说明能够每个作业的详细执
行的说明,包括:
1) 信息的处理及调度;
2) 调度要求,包括与其它系统之间的相互依赖关系、最早
开始的作业的时间及最迟完成作业的时间;
3) 处理错误或其它异常条件的指示,例如在执行作业时出
错,原因时禁止事业系统工具(参看 );
4) 如发生意外操作或技术问题时的联系人及方法;
5) 特别输出处理指示,例如使用特别的文具或保密输出的
管理,包括安全消除失败作业输出的程序;
6) 发生系统失效时系统重起和恢复的程序。
也要为与信息处理及通讯设备有关的常务活动准备有说明的程序,如
计算机开始及关闭的程序、备份、设备维护、计算机房及邮件处理管
理及安全。
操作变动的控制
信息处理设备及系统的变动应受到控制,管理不足是导致系统或安全
失效的常见原因,所以要有一套正式的管理责任及程序,以保证妥善
控制所有设备、软件或程序的更改。操作程序的变动应该被严格控制。
当更改程序时,应有审计日志记录所有有关信息。更改操作环境会影
响应用系统。如许可,操作及应用系统的控制更改程序应融合(参
看 )在一起,特别是要注意以下事项:
1) 确认及记录重大的变动;
2) 评估这些更改的影响;
3) 对更改方案有正式的批准程序;
4) 与所有有关人员沟通变更的详情;
5) 确认异常中止及恢复失败变更的责任的程序。
安全事件管理程序
应建立事件管理的责任及程序,以确保快速、有效及有序反应安全事
件(参看 )。以下是要注意的事项:
1) 确立包括所有会发生的安全事件种类的程序,包括:
信息系统失败及服务丢失;
拒绝服务;
因未完成或不准确的业务数据所引致的错误;
泄密;
2) 除了正常应急计划(用来第一时间恢复系统或服务)之
外,程序应包括:(参看 )
分析及确定事件发生的原因;
补救方法的计划及实施,以免再次发生;
收集审计追踪及其它类似证据;
与受影响的、或与恢复事件的人员保持联系;
把所作的行动报告有关当局;
3) 应收集审计追踪及其它类似证据(参看 ),并保
存妥善,以备为:
内部分析事件使用;
作为破坏合同、违法或民事或犯罪诉讼(例如关于
滥用计算机或数据保护条例)的证据;
索取软件及服务供应商的赔偿;
4) 恢复安全事件所造成的破坏及恢复系统失效的行动应
受到正式的严格控制,确保:
只准许有明确指名的合法员工进入正在使用的系统
及数据(参看 的第三方的访问);
详细记录所有紧急行动;
向管理层报告所进行的紧急行动,并有条不紊地检
查;
业务系统及控制的完整性应在最短时间内确认无误;
责任分开制
责任分开制是减少意外或滥用系统风险的方法。分开管理或执行某任
务或负责范围,目的是减少非法更改或错误使用信息或服务的机会。
小机构会发现这办法非常难实现,但办法的原则仍然可以在最大范围
之内实现。如果发现很难分开, 可以考虑其它管理办法例如监控活
动、审计跟踪及管理监督,但要注意安全审计的责任必须是独立的。
应小心没有一个人独自负责某责任时,造假犯案后没有人知道。应把
事件的启动与授权分开,要注意以下:
1) 要注意分开那些需要共谋犯案的活动,例如;签发订货
单及收货检验;
2) 如果有共谋的危险,应制定控制需要两个或多个人共同
检查,把共谋的机会减低;
开发及正式使用设备的分开
把开发、测试及正式使用设备分开对分开有关角色是很重要的,应制
定及写明软件从开发转成正式使用的规定。
开发及测试活动会引起严重的问题,例如不必要的文件或系统环境的
更改,或系统失败的不必要更改。应考虑分开正式使用、测试及开发
环境的程度,防止运作出错。同样,开发及测试设备之间也有类似的
分开。这样就需要有一个稳定的环境进行有用的测试,以及防止开发
员借机会访问。
当开发及测试员工可以访问正在使用的系统及信息时,他们可以放置
非法及未测试的代码,放置恶意代码或更改操作数据,利用这些技巧
在某些系统上做假,严重影响系统的操作。开发人员及测试人员也有
嫌疑会泄露正式使用的信息。开发及测试活动如果共享同一个计算机
环境,会对软件及信息带来不必要的改动。所以最好把开发、测试及
正式使用的设备分开,以减少被意外更改或非法进入正在使用的软件
及业务数据的风险。要考虑的控制有:
1) 开发及正在使用的软件,在可能情况下,应在不同的机
器上运行;
2) 开发及测试活动应进可能分开;
3) 编译器、编辑器及其它系统工具,如果正在使用的系统
没有需求,就不让访问;
4) 正在使用及测试系统应使用不同的登陆程序,目的是减
少出错的机会。应鼓励用户使用不同的口令登陆这些系
统,及菜单应显示适当的确认消息;
5) 开发员工只能在有控制的情况下存取正在使用的口令,
控制应保证口令被使用后马上被改掉。
外部设备的管理
使用外来合同供应商管理信息处理设备可能会加大暴露信息的机会,
例如有可能在合同供应商的地方破坏、损坏或丢失数据,对这些风险
的出现事先要有个估计,然后把管理这些风险的适当控制写入合同中
(参看 及 , 看看有关第三方进入机构设备及外包合同的指
引)。要解决的特别问题有:
1) 确认那些最好在机构内保存的敏感或重要的应用系统;
2) 取得业务应用系统所有者的同意;
3) 业务连续性计划的影响;
4) 应该制定那一类的安全标准,以及测试是否符合标准的
程序;
5) 分配指定的责任及程序,来监控所有关于安全的活动;
6) 报告及处理安全事件的责任及程序(参看 )
系统规划及接收
目的:把系统失效的风险降到最低。
事前应有周详的计划及准备,使有足够的储存量及资源可用。
至于对日后储存扩展的要求,也要事先有个计划,以防出现系统超载
的风险。
新系统在接收及交付前应经过测试,并确立及写下运作要求。
储存量的计划
应小心监控系统储存的要求,以及好好计划以后的储存要求,以保证
有足够的处理能力及储存容量。 计划应包括考虑新业务及系统的要
求,以及机构信息处理系统的当前及以后的趋势。
大型机器需要特别处理,因为机器价格昂贵及添加手续的时间会比较
长。 大型机器服务的经理应监控重要系统资源的使用情况,包括处
理器、主要内存、文件储存、打印机及其它输出设备,以及通讯系统。
经理要负责确定使用的趋势,特别是业务应用系统或 MIS 工具。
经理应利用这些统计数据找出及避免会威胁系统安全或用户服务的
潜在瓶颈,并计划适当的补救行动。
系统接收
应建立一套新信息系统、更新及新版本的接收标准,以及接收前要有
进行系统测试。经理们要清楚说明、统一、记录及测试新系统的接收
标准。要注意的包括:
1) 性能及计算机储存要求;
2) 错误恢复及重起程序,和应急计划;
3) 所有从日常操作程序到标准的筹备及测试;
4) 统一要实施的安全控制;
5) 有效的手工程序;
6) 业务连续性的安排,如 所提及;
7) 新系统安装的证据不会严重影响现有系统,特别是处理
高峰期,例如月末;
8) 充分考虑新系统效果对机构安全的影响的证据;
9) 操作及使用新系统的培训。
对于重大的新开发,应在每一阶段与操作部门及用户协商,以保证新
系统方案的使用效率。应进行适当的测试来确认已符合所有接收标准。
对付恶意软件
目的: 保护软件及信息的完整性。
应该有防范措施来防止及检测有没有恶意软件。
软件及信息处理设备最容易受到恶意软件的攻击,例如计算机病毒、
网络蠕虫、特洛伊木马(参看 )及逻辑炸弹。用户应知道有这
些非法的危险或恶意软件的存在。在适当的情况下,经理们应实施控
制检测或防止这些东西的出现。特别是,一定要有防范措施检测及防
止个人计算机上的病毒。
控制恶意软件
应实施检测及防范措施控制来保护恶意代码,及举办适当的用户安全
意识培训。恶意软件的保护应该基于安全意识、适当的系统访问及更
改管理控制。
可以考虑的控制有:
1) 符合软件授权许可的正式策略,以及禁止非法软件的使
用(参看 );
2) 要有一个正式的策略指定要实施那些保存措施,保护不
受通过或经过外部网络或从任何其它途径取得的文件及
软件所带来的风险威胁。(参看 , 特别是 及
);
3) 安装及定期更新防病毒及修复软件,为防范或日常操作
目的扫描计算机及存储设备;
4) 定期检查支持重要业务进程的软件及其数据内容, 如
发现有任何非法文件或更改,应正式深入调查;
5) 在使用前,检查所有来源不明或非法的电子文件,或从
不信任网络上所接收的文件,检查有没有病毒;
6) 使用前, 检查电子邮件附件及下载文件有没有恶意软
件。这样的检查可以在不同地点进行,例如在电子邮件
服务器,桌面计算机或进入机构网络的地方;
7) 关于保护系统病毒入侵的管理程序及责任、培训用户如
何使用、如何报告恢复病毒入侵。(参看 及 );
8) 病毒入侵后恢复系统的业务连续性计划,包括所有备份
及恢复数据及软件的程序(参看第 11 条款);
9) 检查所有与恶意软件有关的信息的程序,以及保持警示
的信息正确及有用。部门经理应查看警示的信息来源是
可靠的,例如来自有名望的专业杂志、可靠的网站或者
防病毒供应商,用来分辨那些是虚假病毒、那些是真病
毒。员工也要知道虚假病毒的问题,以及万一接收这些
虚假病毒时,知道该干什么。
这些控制对支持大数量的网络文件服务器是非常重要的。
备份及恢复性常务管理
目的:维护信息处理及通讯服务的完整性及可用性。应订立日常程序
实施统一备份策略(参看 ),定期备份数据及演练即时恢复、记
录事件及错误,以及在适当时候,监控设备的环境。
信息备份
应定期备份拷贝重要业务信息及软件。要有足够的备份设备把所有重
要的业务信息及软件在灾难发生或储存设备失败时恢复。个别系统也
要定期备份,以符合业务连续性计划(参看第 11 条款)的要求。要
考虑的有:
1) 指定最低限度的备份信息,保留备份拷贝及恢复程序的
正确和完整的记录,并存放在一个远程的地方上,以免
主网络地方发生灾难时不会被波及。重要的业务应用系
统至少要保留三代的信息备份拷贝;
2) 信息备份拷贝要有足够的物理及环境保护(参看第 7 条
款),标准应与主网络地方一致。 在主网络地方实施的
控制也应在备份地方实施;
3) 备份介质应定期接受检查,如实际许可,保证在紧急情
况时可以使用;
4) 恢复程序应定期接受检查及测试,以确保在恢复操作程
序所预定的时间内完成。
应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的
保存期(见 )。
操作员日志
操作员工应保留一份记录自己活动的日志,要包括的有:
1) 系统开始及完成时间;
2) 系统错误及所进行的改正操作;
3) 正确处理数据文件及计算机输出的确认;
4) 记录日志表目的人名。
对错误进行记录
应报告错误及记录所进行的改正操作。用户所报有关信息处理或通讯
系统的错误,应被记录放在日志中。应该有清楚的规定说明如何处理
报上的错误,包括:
1) 核查报出错误的日志,检查清楚错误已满意解决;
2) 核查改正机制,检查清楚控制没有被破坏,以及所进行
的改正操作完全有授权。
网络管理
目的:保障网络中信息的安全及保护支持架构的安全。
网络的安全管理可能要跨部门,需要管理层注意。
可能也需要保护经过公用网传输的敏感数据的控制。
网络控制
保护计算机网络的安全需要一系列的控制。网络管理员应实施控制,
保护网络中的数据、连接的服务不被非法访问,特别是,要注意以下
方面:
1) 网络的操作责任应与计算机操作分开(参看 );
2) 管理远程设备(包括用户使用中心的设备)的责任及程
序;
3) 如有需要,要指定特别的控制保障经公用网传输的数据
的保密性及完整性,和保护连接的系统的安全(参看
及 )。也需要特别的控制保持网络服务及连接计
算机的可用时间;
4) 管理工作应被紧密协调,一方面是让业务尽量使用服务,
另一方面是保证控制在整个信息处理架构都有效用。
介质的处理与安全
目的:防止资产的损失及业务的停顿。 储存介质应受到控制和物理
保护。 要有合适的操作程序保护文档、计算机介质(磁带、磁盘)、
I/O 数据及系统文档不受损、不丢失和被非法访问。
可移动计算机介质的管理
应有管理可移动计算机介体(例如磁带、磁盘、打印报表)的程序,
可考虑的有:
1) 如果不再需要,可重用介质中的以前内容应该统统清除;
2) 所有机构要清除的介质应有授权,应把所有清除操作记
录,当作日后审计跟踪之用;
3) 所有介质应按制造商的规格储存在安全的环境中。
所有程序及授权级别都要记录。
介质的清除
不再需要的的介质,应该安全地予以清除,因为如果处理不当,就会
泄露敏信息,所有应制订正式的清除程序,把风险减到最低。
1) 有敏感信息的介质应安全地予以保存及清除,例如烧掉
或撕碎,或使用另一个机构内应用系统把内容清除;
2) 以下是一列可能需要安全清除的东西:
纸文件;
录音;
复写纸;
输出报表;
一次性打印色带;
磁带;
可换的磁盘或盒式磁带;
光盘(所有形式,包括所有生产商的软件光盘);
程序列表;
测试数据;
系统说明文档;
3) 把所有介质收集并安全地清除,比分出敏感信息容易;
4) 很多机构提供收集及清除的服务,清除纸、设备及介质。
要小心选择一个管理完善、经验丰富的服务商;
5) 应记录敏感信息的清除,如可能,保留一份审计跟踪记
录。
当收集需要清除的介质时,应考虑越来越多的情况,可能会出现有一
大堆不保密的信息,比一少量保密信息更敏感。
信息处理的程序
应制订一套处理及储存信息的程序,以便保护这类信息不被非法公开
或滥用。程序应按信息在文件、计算机系统、网络、移动计算机、移
动通讯、邮件、声音邮件、一般语音通讯、多媒体、邮件服务/设备,
传真机的使用等中分类(参看 ),或其它敏感文件,例如空支票、
发票。要考虑的有(参看 及 ):
1) 所有介质的处理及标签(参看 (1));
2) 出入口的控制,确认非法人员;
3) 保留一份合法接收数据的正式记录;
4) 保证输入数据是完整、处理正当完成及已进行输出的检
查;
5) 保护等待输出的假脱机数据,程度与数据的敏感程序一
致;
6) 介质按生产商规格的环境储存;
7) 把要分发的数据减到最底;
8) 把所有拷贝数据标识清楚,注明合法接收者的姓名;
9) 定期查核分发列表及合法接收者列。
系统说明文档的安全
系统文档有很多敏感信息,例如应用进程的说明、程序、数据结构、
授权进程(参看 )。关于保护系统说明文档不被非法访问的控制有:
1) 应安全地储存系统说明文档;
2) 访问系统说明文档的人员应该减到最少,并由应用拥有
者授权;
3) 在公用网上的、或通过公用网提供的系统说明文档,应
有适当的保护。
信息与软件的交换
目的: 防止在机构交换之间的信息不丢失、不被更改及滥用。
机构之间的信息及软件交换应受到控制,并符合所有有关法律(参看
第 12 条款)。应按协议条款进行交换,制订保护传输中信息及介质的
程序及标准,考虑与电子数据交换、电子商务及电子邮件的业务及安
全因素,以及控制的要求。
信息及软件交换协议
机构之间信息及软件(电子的或手工的)的交换应按协议(有些可能
是正式的,包括第三者保存附带条件委付盖印的软件契约)进行。协
议的安全内容应反映所交换的业务信息的敏感程度。要考虑的安全条
件有:
1)控制及通知传送、分派及接收的管理责任;
2)通知发送者、传送、分派及接收的程序;
3)包装及传送的最低技术标准;
4)速递确认的标准;
5)数据丢失时的责任;
6)使用统一的标签系统标签敏感或重要的信息,保证标签
清楚易懂、信息适当地受到保护;
7)信息及软件的拥有者,以及数据保护的责任,软件版权
的遵守及其它(参看 及 );
8)记录及阅读信息及软件的技术标准;
9)需要的其它特别控制以保护敏感的东西,例如密钥(参
看 )
传递中介质的安全
信息在物理运输时,例如通过邮递服务或者速递公司,会受到非法访
问、滥用或被破坏,所以要实施控制保障机构之间在传递时的计算机
介质。
a)应使用可靠的运输和速递公司。 管理层应该授权使用那
家速递公司,并定期检查确实是使用统一安排的速递公司;
b)按生产商的规格使用可靠的包装保护运输时不会物理破
坏介质的内容;
c)如有需要,应推行特别的控制保护敏感信息不被非法公开
或更改,例如:
1)使用加锁的装运箱;
2)亲手递送;
3)防篡改的包装(可以显示有试图打开的迹象);
4)在特别情况下,把托运物品分多次并按照多途径递送;
电子商务的安全
电子商务是指电子数据交换 (electronic data interchange EDI)、电子
邮件及在公用网如互联网在在线交易中的使用。电子商务冒很多网络
上的风险,例如假冒活动、合同纠纷以及公开或更改信息。所以,要
实施控制来保护电子商务的安全:
1)认证。客户及商家对对方称述的身份有多少信心程度?
2)授权。谁授权设置价格、签发或签名重要的交易文档?贸易伙
伴如何知道?
3)合同及投标过程。保密性、完整性及分派证明及接收重要文档
的收据的要求,以及合同抗抵赖性的要求是什么?
4)价格信息。所推广的广告价有多少属实?敏感的折扣信息的保
密程度有多高?
5)定单交易。定单、支付及交付的详细地址、接收确认等保密性
及完整性有多高?
6)核对。核对客户所提供的支付信息要到多大的程度?
7)结算。防止假冒的最适当的支付方法是什么?
8)下定单。需要那样的保护才能维护定单的保密性及完整性,以
及如何避免丢失或重复交易?
9)责任。谁承担假冒交易的风险?
以上好几点可以使用密码技术解决(参看 )(但要注意按有关法
律(参看 ,特别是 的密码法律。
贸易伙伴之间的电子商务安排,应有协议约束双方同意的贸易条款,
包括授权的详情(参看以上的第 2)条)。也可能需要与其它信息服
务及增殖网络提供商签定类似协议。
公开贸易的系统应公布它们对客户的业务条款。 应充分考虑电子商
务主机被攻击后的恢复,以及任何网络互联的安全对电子商务的影响。
电子邮件的安全
安全风险
电子邮件是用来沟通业务,替代传统的通讯方式如电报及信件,不同
的是速度、消息结构、非正式的程度及非法活动的风险。应考虑实施
控制以减少电子邮件所带来的安全风险,例如:
1)消息非法访问或被更改的风险,或拒绝服务;
2)出错的风险,例如不正确的地址或错误转发,以及
服务的一般可靠性及可用性;
3)通讯介质的变动对业务流程的影响,例如加速分派
的影响,或个人对个人发送正式消息,或机构对机
构发送;
4)法律的考虑,例如出示对来源、分派、交付及接收
的证明的要求
5)公布从外部访问的员工名单的影响;
6)控制具有电子邮件账号的远程用户的访问。
电子邮件的策略
机构应有明确的关于电子邮件使用的策略,内容有:
1) 电子邮件的攻击,例如病毒、截取;
2) 电子邮件附件的保护;
3) 何时不能使用电子邮件的指令;
4) 员工有责任保护机构的声誉,例如不发送诽谤性
电子邮件、不骚扰别人、不进行未经认可的购物等;
5) 使用密码技术保护电子消息的保密性及完整性
(参看 );
6) 保存消息,一旦有法律诉讼,可以立即发现;
7) 额外的用于核对不能认证的消息的控制。
电子办公室系统的安全
应制订和实施策略和指导方针,来控制电子 OA 的业务及安全风险。
这样,便可以用不同组合:文档、计算机、运动办公、移动通讯、邮
件、语音邮件、一般的语音通讯、多媒体、邮递服务及传真机,更快
分发及共享业务信息。
要充分考虑把这些设备互联后对安全及业务的影响:
1) 办公系统中的信息的漏洞,例如录音电话或会议电话、
电话的保密、传真的保存、邮件的打开、邮件的分发;
2) 管理信息共享的策略及控制,例如使用机构 BBS(参
看 );
3) 如果系统不能提供足够程度的保护,则把敏感的业务信
息分离出来;
4) 限制对个人(进行敏感项目的员工)的日记信息的访问;
5) 系统支持业务应用系统的适用性,例如下定单的通讯或
授权;
6) 被容许使用该系统的员工、合同商或业务伙伴以及可以
访问的地点(参看 );
7) 限制某些设备只让指定的用户使用;
8) 为方便其它用户确定用户的状态,例如机构的员工、目
录中的合同商;
9) 系统中信息的保留及备份(参看 及 );
10) 恢复的要求及安排(参看 )。
可公用的系统
应小心保护电子发布信息的完整性,以免被非法更改,导致公布机构
声誉受损。公开可用系统中的信息,例如通过互联网可访问的 Web
服务器上的信息,可能需要符合系统所管辖的地区或交易地内的有关
法律及规定。在信息公开被使用前,应有一套正式的授权程序。
软件、数据和其它需要高级别完整性的数据,如果要开放在公用系统
中,应有适当的机制保护,例如数字签名(参看 )。电子公布
系统,特别是需要反馈的及可直接输入的信息,应被小心控制,以便:
1) 获得的信息符合有关数据保护法规;
2) 输入并由公布系统处理的信息,应被按时正确及完全处
理;
3) 敏感信息应在收集过程及存储时应该受到保护;
4) 对发布系统的访问不应该允许对它所连接到的网络进
行无目的的访问。
其它形式的信息交换
应有一套程序及控制,来保护通过语音、传真及视频通讯设备交互信
息的安全。信息可能因缺乏安全意识、没有制定策略或如何使用这些
设备的程序,而受到破坏,例如在公众场所使用移动电话被偷听、应
答机器被偷听、非法访问拨入的语音邮件系统或使用传真设备意外发
送传真到错误的人。
如果通讯设备失效、超载或停顿(参看 及第 11 条款),业务操作
可以被截断,信息可能被破坏。 信息也可以被非法用户访问而被破
坏(参看第 9 条款)。
应有一个清楚的策略让员工遵守,声明使用语音通讯设备、传真机及
视频通讯设备的程序,应包括:
a) 提醒员工他们要小心,不要泄露敏感信息,以免打电话时被偷
听或侦听:
1)留意身边的人,特别是使用移动电话时;
2)窃听,以及其它通过物理进入话筒或电话线、或如使用
模拟移动电话使用扫描接收器等偷听方法;
3)接收方的人;
b) 提醒员工不要在公开场所或公开办公室、或隔墙有耳的会合地
点秘密通话;
c) 不要在应答机器留言,因为这会被非法用户回放、储存在公共
的系统上,或者因为打错而不正确储存;
d) 提醒员工使用传真机的问题,如:
1) 非法进入内置的储存消息库查找消息
2) 故意或意外编程,发送消息到指定号码
3) 发送文档及消息到错误号码,一是通过错误拨打或使用储
存错误的号码。
9.访问控制
访问控制的业务需求
目的:控制信息的访问。
应按照业务及安全要求控制信息及业务程序的访问,应把信息发布及
授权的策略内容加入到考虑范围之内。
访问控制策略
策略及业务需求
首先要定义业务需求的访问控制,并记录下来。访问策略的文件应清
楚写明每个用户或每组用户应有的访问控制规定及权限,用户及服务
提供商都应有一份这样的文件,明白访问控制要达到什么业务需求。
访问控制策略应包括以下内容:
1)每个业务应用系统的安全要求;
2)确认所有与业务应用系统有关的信息;
3)信息发布及授权的策略,例如:安全级别及原则,
以及信息分类的需要;
4)不同系统及网络之间的访问控制及信息分类策略的
一致性;
5)关于保护访问数据或服务(参看第 12 个条款)的
相关法律或任何合同规定;
6)一般作业类的标准用户访问配置;
7)在分布式及互联的环境中,管理所有类别的连接的
访问权限。
访问控制规定
在制定访问控制规定时,应小心考虑以下:
1)将必须实施的规定和可以选择实施或有条件实施的
规定分开考虑;
2)根据“除非有明文准可,否则一般是被禁止”的原则
建立规定,而不是“在一般情况下全都可以,除非有
明文禁止”的模糊概念;
3)由信息处理设备自动启动与经过用户判断启动的信
息标记改动(参看 );
4)由信息系统自动启动的与由管理员启动的用户许可
的变动。
5)需要与不需要管理员或其它批准才能颁布的规定。
用户访问的管理
目的:防止非法访问信息系统。
应有一套正式程序来控制分配信息系统及服务的访问权限。
手续应包括用户访问生命周期的所有阶段,从一开始注册新用户直到
最后注销那些不再需要访问信息安全及服务的用户。应特别注意控制
分配特级访问权限,因为这些特级权限让用户越过系统的控制。
用户登记
应有一套正式的用户注册及注销手续,以便授予访问所有多用户信息
系统及服务。
多用户信息服务的访问应通过正式的用户注册手续控制,内容应包括:
1) 使用唯一的用户 ID,以便鉴定是谁做什么操作,并予
以追究责任;
2) 检查用户是否已被系统拥有者授权使用信息系统或服
务。有时,还需要管理个别批准访问权限;
3) 检查所准许的访问级别是否适用于业务目的(参看
),是否与机构的安全策略一致,例如不会破坏责任
的分开(参看 );
4) 发送用户访问权限声明书给用户;
5) 要求用户在声明书上签字,表示明白了访问的条件;
6) 确保服务提供者不能访问,直到授权手续已完成;
7) 保存一份所有注册使用服务的正式名单;
8) 马上取消已更换岗位、或已离开机构的用户的访问权限;
9) 定期检查是否有多余的用户 ID 及账号,并予以除掉;
10) 确保多余的用户 ID 不会发给其它用户。
此外,应仔细研究员工合同及服务合同中涉及员工或服务商试图非法
访问后所受到的制裁的条款(参看 及 )。
特权管理
应禁止及控制特权(指任何一种功能或设备会让用户可以越过系统或
应用系统控制的多用户信息系统)的分配与使用。不适当使用系统特
权往往是系统安全被破坏的主要原因。
需要保护不被非法访问的多用户系统应有正式授权手续控制特权的
分配,应考虑以下的步骤:
1)认与每个系统产品(例如操作系统、数据库管理系统以及每个
应用系统,以关联的特权,以及找出那些应配有特权的员工。
2)权应按照“需要使用”及“按事件”的原则分配,即只在需要时所
赋有的最低功能角色要求。
3)应有一套授权程序,及记录所有被分配的特权。不应授予特权,
直到完成整个授权程序。
4)鼓励开发及使用系统例行程序,以避免授予用户特权的需要
5)特权应赋予不同的用户 ID,与用作业务的 ID 分开
用户口令的管理
口令是一个常用方法,来核查访问某个信息系统或服务的用户身份。
所以,应通过正式的管理程序分配口令,办法以下:
1) 要求用户在声明书上签字,保证不泄露个人口令,以及
只让在同一组的组员知道作业组的口令(这条文应包括
在雇佣合同内,参看 );
2) 当需要用户保密自己的口令时,保证在开始时只提供一
个暂时的口令,强迫用户马上更改。当用户忘记自己口
令时,应在确认清楚用户身份后才提供临时性口令;
3) 要求安全地发给用户临时性口令。应避免使用第三方或
未加保护(明文)的电子邮件信息。用户应确认收到口
令。
口令绝不能以不加保护的形式储存在计算机系统中(参看 )。其
它用来确认及认证用户的技术,例如生物测定学,指纹核查、签名核
查及硬件令牌,例如 chip-cards,都可以考虑使用。
用户访问权限的检查
为了有效控制数据及信息服务的访问,管理层应该定期正式检查,看
看用户的访问权限是否:
1) 定期(建议是每隔六个月)及在任何改动后(参看
)接受检查;
2) 更频繁地检查特权访问的授权(参看 ),建议是每
隔三个月;
3) 定期检查特权的分配,以确保没有用户取得非法特权。
用户责任
目的:防止非法的用户访问。
合法用户的合作对推行有效的安全非常重要。
用户应知道自己有责任维护有效的访问控制,特别是如何使用口令及
用户设备的安全。
口令的使用
用户应遵守良好的选择及使用口令的安全惯例。
口令提供了一个核查用户身份的途径,从而可以建立信息处理或服务
的访问权限,建议所有用户应:
1) 保密口令;
2) 避免书写记录口令,除非保存妥当;
3) 每当怀疑系统被破坏或口令被公开时,应马上更改口令;
4) 选一个至少有六个字的好口令:
a) 容易记住;
b) 不根据与个人有关的信息如名字、电话号码、出生
日期等(容易被猜出)订出口令;
c) 不是连续的同一个字,或全是数字或全字母;
5) 定期或按访问次数更改口令(特权账号的口令应比一般
口令更改更频繁),避免重复使用旧口令;
6) 第一次登录后应马上更改临时性口令;
7) 不要在自动登录程序中把口令纳入,例如储存在宏或函
数密钥中;
8) 不要与别人共享口令。
如果用户需要使用好几个口令来访问多个服务或平台,建议他们应使
用一个很好的单一口令(参看 (4))为这好几个口令的存储提供
合理水平的保护。
无人看管的用户设备
用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用
地方的设备,例如工作站或文件服务器,如一段时间内无人看守时,
更需要格外保护并使之免于被非法访问。所有用户及合作伙伴应都知
道保护无人看管设备的安全要求及手续,以及有责任实施保护措施。
建议用户应:
1) 除非有合适的锁定机制保护(例如有口令保护的屏幕保
护(screensaver),否则应终止已完成的活动会话;
2) 会话结束后应退出登录主机(即不仅仅是关闭 PC 或终
端);
3) 当 PC 或终端不用时,应保护它们不被非法使用,例如
使用密钥锁或等同的安全机制,如口令访问。
网络访问控制
目的:互联服务的保护。
应控制内部及外部联网服务的访问,以确保可以访问网络或网络服务
的用户不会破坏这些网络服务的安全,保证:
1)在机构网及其它机构网或公用网之间要有合适的界面;
2)要有合适的认证机制认证用户及设备;
3)控制用户访问信息服务。
网络服务的使用策略
不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户
直接访问已明确授权使用的服务。这种安全控制对连接敏感或重要业
务的网络,或连接到在高风险地方(例如不在机构安全管理及控制范
围的公用或外部地方)的用户尤其重要。
策略应与网络及网络服务的使用有关,应覆盖:
1)容许被访问的网络及网络服务;
2)定出谁可以访问哪个网络及网络服务的授权手续;
3)保护接入网络及网络服务的管理控制及手续;
这个策略应与业务访问控制策略一致(参看 )。
强制式路径
从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围
之内共享资源及提供最大程度的路由,但网络这样的功能也同时提供
机会非法访问业务应用系统或非法使用信息设备,所以,在用户终端
与计算机服务之间设置路由控制(例如,建立一条强制式路径)会减
少这样的风险。
强制式路径的目的是阻止用户选择一条不是用户终端与用户可访问
服务之间的路由。这样,就需要在路由的不同点上实施多个安全控制,
控制原则是按事先定义的选择限制每个网点的路由选择,这方面的例
子有:
1) 分配专用线或电话号码;
2) 自动把端口连接到指定的应用系统或安全网关;
3) 限制供每个用户使用的菜单及子菜单;
4) 禁止无限量的网络漫游;
5) 强迫外部网络用户使用指定的应用系统 及/或 安全网
关;
6) 通过安全网关(例如防火墙)严格控制从源地址到目的
地址的通讯;
7) 设置不同的逻辑域(例如 VPN)限制机构内用户组对
网络的访问(请参看 )。
对强制式路径的需求应该基于业务访问控制策略(参看 )
外部连接的用户认证
外部的连接(例如拨号访问)是非法访问业务信息的隐患。所以,远
程用户的访问应被认证。认证方法有很多种,保护的程度也有强弱之
分,例如使用密码技术的方法提供非常安全的认证。所以,应在风险
评估后决定需要哪一级别的保护,然后决定需要哪种认证机制。
认证远程用户的方法可以基于密码技术、硬件令牌或是一个挑战/响
应(challenge/response)的协议。专用线或网络用户地址的检查设备
也可以被用来提供源地址的保障。
回拨(dial-back)的程序及控制(如使用回拨调制解调器),可以拒
绝非法或不受欢迎的连接到达机构的信息处理设备。这样的控制可以
对试图从远程地点与机构网络建立连接的用户进行认证。使用这种控
制的机构就不要使用有呼叫传送(call forwarding)功能的网络服务,
如果坚持要使用的话,机构应中止使用这样的功能,避免因 call
forwarding 所带来的安全隐患。同时,在回拨进程中包括保证机构确
实断绝连接的功能是很重要的,要不然,远程用户便可以把线路一直
保持是通的,假装已确实发生了回拨验证。应仔细检查回拨的程序与
控制是否会可能有此情况发生。
网点认证
能够自动连接到远程计算机间接等于是提供非法访问业务应用系统
的机会,所以要有认证机制来认证到远程计算机系统的连接,尤其是
使用机构安全管理控制范围之外的网络连接。以上的 举了几个
认证例子,以及实现这些机制的建议。
网点认证也可以当作是另一方法去认证一组连接到安全、共享的计算
机设备的远程用户。(参看 )
远程诊断端口的保护
应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远
程诊断设备为维护工程师使用。如果不好好保护,这些诊断端口就变
成非法访问的途径,所以,应有合适的安全机制保护这些端口,例如,
有一个密钥锁及程序,保证只能使用通过计算机服务管理员与需要访
问的软硬件技术支持人员商量后所同意的访问方法访问。
网络的隔离
网络不断扩大,已超出传统的机构式范围,业务伙伴的相继形成,同
时也要求大家互联或共享信息处理及联网设施。这样的扩大,也增加
了非法访问现有网络信息系统的风险,而这些系统因有敏感信息或是
非常重要的不能让别的网络用户访问的信息,在这样的情况下,应考
虑在网络设置控制,把不同的信息服务组、用户及信息系统隔离。
一种控制大网络安全的方法是把网络分成几个逻辑网域,例如,机构
的内部网域及外部网域,每个网域都有特别指定的安全边界,实现这
样的安全边界是在两个要联网的网络之间安装一个安全的网关,来控
制两个网域之间的访问及信息流量。网关的设置应该是过滤这些网域
之间的流量(参看 及 ),以及按机构的访问控制策略(参
看 )阻截非法访问,一个这样的网关例子是防火墙。
把网络分隔成网域的标准,应该是按照访问控制策略及访问机制(参
看 ),还要考虑成本及因设置网络路由或网关技术(参看 及
)后所引致的性能冲击。
网络连接控制
共享网络的访问控制策略的要求,特别是超出机构范围的网络,可能
需要有另外的控制来禁止用户的连接能力。这样的控制可以使用事先
定义的表或规定过滤流量的网关实现。制定禁止规定应按访问策略及
业务需求(参看 ),并时常更新。
应制定禁止规定的例子是:
1)电子邮件;
2)单向的文件传输;
3)双向的文件传输;
4)交互访问;
5)有时间日期的网络访问。
网络路由的控制
共享网络,特别是超出机构范围的网络,需要设置路由控制,以保证
计算机连接及信息流不会破坏业务系统的访问控制策略(参看 )。
那些与第三方(非机构)用户共享的网络更需要有这些控制。
路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译
是一个很有用的机制来隔离网络,以及阻止路由从一个机构网络传播
到另一个机构的网络。机制可以用软件或硬件实现,但实现者要注意
机制的安全程度。
网络服务的安全
现在有很多不同类别的公私网络服务供使用,有些服务是增殖服务,
而网络服务应有独特或者复杂的安全特征。使用网络服务的机构应清
楚知道所用服务的安全属性。
操作系统的访问控制
目的:防止不合法的计算机访问。
操作系统级别的安全设施应被用来限制计算机资源的访问。这些设施
应有以下功能:
1) 标识及检查身份,如有需要,应把每个合法用户的终端或
地点都纳入检查之列;
2) 记录成功及失败的系统访问;
3) 提供合适认证方法:如果使用口令管理系统,应保证是在
用良好的口令(参看 (4));
4) 如有需要,限制用户的连接时间。
其它访问控制方法,例如 challenge-response, 如果可以减低业务风险,
也可以考虑使用。
自动认证终端
在认证连接到指定地点及便携式设备时,可以考虑使用自动认证终端。
自动认证终端是一种用于只能从某个地点或计算机终端启动会话的
技术。一个在终端中,或附在终端的标识符可以显示这终端是否可以
启动或接收交易。如有需要,考虑用物理方法保护终端,以维持终端
标识符的安全。认证用户的方法有很多(请参看 )。
终端的登录程序
正常情况是应该可以通过安全的登录过程进入信息服务,登录进入计
算机系统的程序应把非法访问的机会减到最低,为了避免提供非法用
户不必要的帮助,登录程序应只公开最少量的系统信息。一个良好的
登录程序应:
1)不显示系统或应用系统的标识符,直到登录成功完成;
2)显示一个通知,警告只有合用用户才可进入系统;
3)在登录过程中不提供帮助信息,以免被不合法用户利用;
4)只有完成输入数据后才核查登录信息。 如有出错,系
统应指出哪部分的数据是正确,哪部分不正确;
5)限制登录失败的次数(建议是三次),以及考虑:
1)记录不成功的登录;
2)强迫在继续尝试登录前有时间间隔,或者在没有特
定授权之下拒绝任何登录尝试;
6)限制登录程序的最长及最短时间。限定时间一过,系统
应停止登录程序;
7)完成成功登录后显示以下信息:
1)前一次成功登录的日期及时间;
2)自上次成功登录后任何不成功登录尝试的详情。
用户标识及认证
所有用户(包括技术支持员工,例如操作员、网管、系统程序员及数
据库管理员)应有各自的标识符(用户 ID),只为自己使用,以确认
谁在操作,及予以追究责任。用户 ID 应没有任何迹象显示用户的权
限(参看 ),例如经理、主管等。
在特殊情况下,如有清晰的业务利益,可以考虑为一组用户或某个作
业共享用户 ID,但一定要有管理层的书面批准才行。如有需要,可
以增加管理措施来贯彻责任。
有很多种认证程序可以被用来充实某个用户所称述的身份。口令(参
看 及以下)是提供标识及认证的最常见方法,认证原则是基于
只有用户知道的秘密。但认证也可以使用密码及认证协议来完成。
用户拥有的对象,例如内存令牌或智能卡,也是标识及认证的方法之
一。认证某人的身份也可使用生物特征认证,一种利用用户某个独特
特征或属性的认证技术。强大的认证可以通过安全组合多个认证技术
或机制来实现。
口令管理系统
口令是一种基本方法检查用户访问某个计算机服务的权限,所以,口
令管理系统应提供一个有效交互的措施,确保是在使用健全的口令
(参看 的使用口令指引)。
一些应用系统要求用户口令由某个独立机构制定,但大部分情况是由
用户选择及保存自己的口令。
一个良好的口令管理系统应是:
1)强制使用个人口令来维护责任;
2)在适当情况下,容许用户选择及更改自己的口令,并提
供确认程序确认输入正确;
3)强令执行要选择健全的口令,如在 所述;
4)如果是用户维护自己的口令,要强迫口令的变化,如
所述;
5)如果是用户选择口令,强迫他们第一次登录后要更改临
时的口令(参看 );
6)记录用户用过的口令,例如 12 个月前用的口令,以防
止重复使用;
7)进入系统后不要在屏幕上显示口令;
8)把口令文件与应用系统数据分开储存;
9)使用单向加密算法把口令加密储存;
10) 安装软件后把供应商的缺省口令改掉。
系统工具的使用
很多计算机的安装都有一个以上的系统工具程序,来越过系统及应用
程序的控制,所以,有必要限制及严格控制这些工具的使用。以下的
控制可以被考虑:
1)使用认证程序认证系统工具;
2)把系统工具与应用软件分开;
3)把系统工具的使用限制到只有最少数的可信任合法用
户使用;
4)授权在特别情况下使用系统工具;
5)限制系统工具的使用期限,例如只在合法更改的期间内
使用;
6)记录所有使用系统工具的活动;
7)定义及记录所有系统工具的授权级别;
8)取消所有不必要的工具软件及系统软件;
为保障安全的人员配备强迫警钟
是否应为保障安全用户提供警钟,应在评估风险后决定,同时,要定
义负责什么责任及反应警钟的程序。
终端超时
在高风险地方(例如公用地方,或超出机构安全管理范围之外的地方)
的交互终端,或为高风险系统服务的交互终端,应在一段没有活动的
时间后关闭,以免被非法用户访问。这种超时措施应在一段休止时间
后清除终端屏幕的内容及关闭应用系统及网络会话。超时的延迟应能
反映这地方的安全风险以及谁是终端的使用者。
可以在某些 PC 上实行部分的终端超时措施,即清除屏幕内容防止非
法访问,但不关闭应用系统或网络会话。
连接时间的限制
限制连接时间在某种程度上加强高风险应用程序的安全。限制那段时
间准许终端连接到计算机服务的做法,会减少非法访问的时限。这样
的限制应考虑在敏感的计算机应用系统上实行,特别是安装在高风险
地方(例如公用地方,或超出机构安全管理范围之外的地方)的终端。
这样的限制方法例子可以是:
1)使用已定的时间段,例如传输批文件的时间,或短时间
的定期交互会话;
2)如果没有加班或延长工作的要求,限定连接时间在正常
的工作时间之内。
应用系统的访问控制
目的:防止非法访问放在信息系统中的信息。 应有安全设备来禁止
访问应用系统并只容许合法用户逻辑访问软件及信息。 应用系统应
该是:
1) 按已定的业务访问控制策略,控制用户进入信息系统及访
问应用系统功能;
2) 防止可以越过系统或应用系统控制的工具及操作系统非法
访问;
3) 不破坏其它共享信息资源的系统的安全;
4) 只让拥有者、其它合法用户或指定的用户组访问信息;
信息访问的限制
应用系统的用户,包括技术支持人员,应按访问控制策略、个别业务
的应用要求及机构的信息访问策略(参看 )访问信息及应用系统
功能。 要符合访问限制的要求,应考虑以下的控制:
1)提供菜单来控制对应用系统功能的访问;
2)适当编辑用户说明书,把用户不该知道的信息或应
用系统的功能去掉;
3)控制用户的访问权限,例如阅读、写入、删除及执
行;
4)保证处理敏感信息的应用系统的输出只有与输出使
用有关的信息,并只发送给合法的终端及地点,同
时,也要定期检查这些输出确实没有多余的信息。
敏感系统的隔离
敏感系统需要有专用(隔离)的计算机环境。一些应用系统的信息非
常敏感,需要特别的处理以防止损失。应用系统的敏感程度暗示需要
在专用的计算机上运行,只能与可信任的应用系统共享资源。要考虑
的问题有:
1)应明确标明应用系统的敏感程度,并由这系统的拥
有者(参看 )记录保存;
2)当一个敏感应用系统要在共享环境下运行,应标明
有哪些应用系统与它共享资源,并得到敏感应用系
统拥有者的同意。
系统访问和使用的监控
目的: 检测非法活动。
系统应被监控来检测违反访问控制策略的活动,以及记录可检测的事
件,以便在发生安全事件时提供证据。
系统监控能够检查所通过的管理是否有效,是否与访问控制模型(参
看 )一致。
事件记录
应有一个记录异常事件及其它安全事件的审计日志,并在一段已定的
时间内保存备用。审计日志应包括以下:
1)用户 ID;
2)登录与推出登录的日期时间;
3)终端或地点(如可能)的身份;
4)成功及拒绝的系统访问的日志;
5)成功及拒绝的数据及其它资源的访问。
某些审计日志因为保存策略的需要或者因为要收集证据而需要归档。
监控系统的使用
风险的程序及区域
应建立监控信息处理设备使用情况的程序,以保证用户只进行明确授
权了的活动。 所需的监控级别应在评估风险后确定。
要考虑的区域有:
1)合法访问,包括详细情况,如:
用户 ID;
重要事件发生的日期时间;
事件的种类;
所访问的文件;
所使用的进程/工具。
2)所有特权操作,例如:
管理账号的使用;
系统的启动及停止;
设备的附加装置/分离装置。
3)非法访问的尝试,例如:
失败的尝试;
网关及防火墙的违反访问策略的访问及通知;
入侵检测系统的预警。
4)系统预警或失败,例如:
控制台预警或消息;
系统日志的异常;
网络管理的警报。
风险因素
应定期审查监控活动的结果,审查的频率应依赖于涉及的风险。风险
因素有:
1)应用进程的重要性;
2)所处理的信息的价值、敏感程度及重要性;
3)过去系统渗透及误用的经验;
4)系统联网的范围(特别是公用网)。
对事件进行日志记录和审查
日志检查包括了解系统所面临的威胁,以及这些威胁在什么情况下会
出现。 是如果有安全事件发生时应注意哪一类事件的例子。
系统日志的内容一般是非常多,有很多是与安全监控无关。要找出重
要的事件, 应考虑自动把合适的消息种类拷贝到第二个日志,以及/
或使用合适的系统工具或审计工具检查文件。
当指定日志检查的责任时,应该把进行检查的人员和活动被监控的人
员的角色分开。 特别要注意日志设备的安全,因为如果被篡改,日
志等于是提供不真实的安全,所以,要注意不要被非法更改及操作出
错,如:
1)日志设备的停用;
2)所记录的对消息种类的更改;
3)被编辑或删除的日志文件;
4)日志文件储存介质的用尽,或者不能继续记录日
志或者覆盖自己。
时钟的同步
计算机时钟的正确设置是非常重要的,以保证审计日志的准确性,留
待日后调查或当作法庭证据,不准确的审计日志会妨碍这样的调查工
作,以及有损证据的可信性。
如果是计算机或通讯设备能够实时操作时钟,应把时钟时间设成已认
可的标准,例如统一协同时间(Universal Co-ordinated Time)或当地
标准时间。因为有些时钟会随时间变快或变慢,所以,应有一个程序
检查时钟的时间,如发现不对,可以予以改正。
移动操作及远程办公
目的:保证信息安全在移动环境及远程工作的设备上实现。应考虑在
这些情况有哪些风险后才决定要指定那些策略。移动环境是个没有保
护的环境,应仔细考虑会有什么风险,以及应有哪方面的安全措施。
至于远程工作模式,机构应保护远程工作的地点,并保证有合适的措
施,保护在这样的环境工作的安全。
移动操作
当使用移动计算机设备,例如笔记本、掌上宝、移动电话等,应小心
业务信息不被破坏。应颁布正式的策略,对付移动操作的风险,举例,
策略应包括物理保护的要求、访问控制和密码控制技术、备份、防病
毒等等,以及连接移动设备到网络的规定及建议,如何在公共场所使
用这些设备的指引。
应小心在公共场所、会议室及其它没有保护的不在机构办公地点的地
方使用移动设备,应保护不被非法访问或泄露被该设备储存或处理的
信息,方法之一是使用密码技术。(参看 )
重要的是,要注意在公共场所使用移动设备时,小心不要被不认识的
人在后面偷看。同时,也要有防止恶意软件程序,并要时常保持最新
版本(参看 )。应有随时可用的设备,以便快速、轻松地备份信息。
这些备份应有很好的保护,不被盗取或丢失。
应保护移动设备到网络的连接。使用移动设备在公用网上远程访问业
务信息时,只有在成功标识及认证并经过访问控制机制(参看 )
后才准许连接。
移动计算机的设备应保护不被盗取,特别是放在汽车或其它交通工具、
饭店房间、会议中心等情况下。不要把有重要敏感 及/或 重要业务
信息的移动设备搁在一旁,如可能的话,最好放在加锁的地方,或是
使用特别的锁把设备锁住。更多关于如何物理保护移动设备的方法,
请参看 。
应提供培训给使用移动设备的员工,提高他们的认识,明白这样的工
作方式所带来的风险,以及有什么管理办法可以使移动工作更安全。
远程工作
远程工作是指使用通讯技术使员工在一个不在机构的固定地方远程
工作,为了安全,所以要保护远程工作的地点,例如保护设备及信息
不要被盗取,不要非法公开信息,不要非法远程访问机构的内部系统
或滥用设备。要注意由管理层授权及管理远程工作,保证实施了保护
措施使远程工作安全。
机构应制定一套策略,程序及标准来管理远程工作的活动。机构应只
授权已有合适的安全安排及管理的远程工作活动,并要求要与机构的
安全策略一致,要考虑的有:
1)现有远程工作地点的物理安全,包括大厦及当地环境的物
理安全;
2)建议的远程工作环境;
3)安全通讯的要求,包括远程访问机构内部网的需要、被访
问信息的敏感程度、内部系统的敏感程度等;
4)工作环境内的其他人(例如亲人及朋友)非法访问信息或
资源的威胁
要考虑的管理及安排有:
1)远程工作活动有没有合适的设备及保存设备;
2)定义什么工作可以进行、工作的时间、要保存的信息分类
以及远程工作者被授权可以访问的内部系统及服务;
3)配备合适的通讯设备,包括安全远程访问的方法;
4)物理安全;
5)朋友或亲人进入设备或信息的规定及指引;
6)配备软硬件的支持及维护;
7)备份及业务连续性的程序;
8)审计及安全监控;
9)停止远程工作活动后授权、访问权限的注销及设备的归还。
10.系统开发与维护
系统的安全要求
目的:确保信息系统已实施安全,包括架构、业务及用户开发的系统。
支持应用系统或服务的业务流程设计与实施对安全有很重要的影响,
所以应该在开发信息系统前就要考虑系统的安全要求。
所有安全要求,包括恢复备份的安排,应在项目的功能分析时提出,
并把大家所同意的记录下来,当作开发信息系统的一部分。
安全要求分析及规格
新系统、或旧系统升级的业务要求分析,应包括制定控制的要求。这
个规格应包括自动控制。在选用软件包运行业务时,要有同样的考虑。
如果可行,管理层可以考虑使用已评估及认证过的产品。
安全要求及控制应反映受影响的信息资产的商业价值,及因没有安全
或安全失效的情况下所会蒙受的商业损失。分析安全要求及确定实施
控制的架构就是风险评估及风险管理。
在设计阶段和在实施前后考虑控制,前者比后者更便宜、更容易实施。
应用系统中的安全
目的: 防止在应用系统中丢失、更改或误用用户的数据。
设计应用系统(包括自己编写的系统)时,应考虑合适的控制、审计
追踪或事件日志,例如核实输入数据、内部处理及输出数据。
处理敏感、有价值或重要的机构资产的系统,应有额外的控制,同样,
决定使用控制要视乎安全要求及风险评估而定。
输入数据的核实
输入应用系统的数据应先被核实是否正确和合适。应检查业务交易的
输入、标准数据(名字地址、信用额、客户参考号)及参数表(售价、
兑换率、税率)。要考虑的控制有:
1) 双重检查输入或使用其它输入检查检测以下错误:
超出范围的值;
数据字段的无效字符;
没有或不完整的数据;
超过数据范围的上下限;
不合法或不一致的控制数据;
2) 定期检查重要字段或数据文件的内容,确认它们仍然有
效及完整;
3) 检查输入的印刷文件,有没有对输入数据的非法修改
(所有对输入文件的更改都要有批准);
4) 查出错误后的反应程序;
5) 测试输入数据模糊性的程序;
6) 定义所有与数据输入程序有关的人员的责任。
内部处理的控制
有风险的地方
正确输入的数据可以因处理出错或故意破坏而被破坏,所以,系统要
有核实检查来检测这些破坏行动。设计应用系统时,应考虑实施控制
把破坏完整性的风险降到最低。例如:
1)程序中更改数据的添加或删除的使用和位置;
2)防止进程错误运行、或在前次运行失败后运行的程
序(参看 );
3)恢复失效后保证正确处理数据的更正程序的使用。
检查及控制
所需的控制要依赖于应用系统的本质及数据崩溃所带来的业务冲击。
所要考虑的检查的例子有:
1) 会话或批处理控制,用来调整交易更新的数据文
件的余额;
2) 余额控制,检查当前余额与上一次的余额,即:
运行到运行的控制(run-to-run controls);
文件更新和(file update totals);
程 序 到 程 序 的 控 制 ( program-to-program
controls);
3) 系统生成的数据的确认(参看 );
4) 中央及远程计算机之间下载或上传数据或软件
的完整性的检查(参看 );
5) 记录和文件的杂凑和(hash totals of records and
files);
6) 为了确保应用程序在正确时间运行而进行的检
查;
7) 建立检查以便确保程序以正确顺序运行及失败
后终止,并确保进一步的处理被终止直到问题已经
解决。
消息认证
消息认证是检测非法改动或破坏传输中电子消息的一种技术。认证技
术可以在硬件或支持物理消息认证设备的软件或软件算法实现。
如有保护消息内容完整的安全要求,请使用消息认证技术,例如电子
资金传送或其它类似电子数据交换的情况。先要评估安全风险后,才
决定是否需要使用消息认证,并确认最合适的实施方法。
消息认证不是用来保护消息内容不被非法公开。密码技术(参看
及 )是实现消息认证的一种合适方法。
输出数据的核实
应检查应用系统的输出数据,以保证按环境正确处理储存信息。一般
是,系统是在核实、检查及测试输出数据一定正确的前提下实施,但
真实情况往往不是这样。核实输出数据的内容有:
1) 模糊性检查测试输出数据是否合理;
2) 一致性控制计数,以保证处理所有数据;
3) 提供读者足够信息或后续处理系统,以便断定信息的准
确性、完全性、确实性及分类;
4) 反应输出测验核实的程序;
5) 定义所有参于数据输出程序人员的责任。
密码控制
目的: 保护信息的保密性、真实性及完整性。
密码系统及技术应保护处在高风险的信息,或是在其它不能提供足够
安全的控制上使用。
密码控制的使用策略
决定是否使用密码技术应是风险评估后选择控制过程的一部分。风险
评估后应了解需要什么级别的安全来保护信息,然后就可以确定是否
需要使用密码控制、应用哪类控制、以及使用目的及应用在什么业务
上。
机构应制定一个密码控制的策略来保护自己的信息,达到最大的利益
及最少的风险。在考虑制定策略时,应考虑:
1) 机构全盘使用密码控制的管理角度,包括保护业务信息
的基本原则;
2) 管理密钥的处理,包括密钥丢失、破坏或损失时恢复加
密信息的方法;
3) 角色与责任,例如:
谁负责实施策略;
谁负责管理密钥;
4) 如何确定适当的密码保护级别;
5) 所采用的在全机构有效管理的标准;
加密
加密是保护信息秘密的密码技术,是用来保护敏感或重要信息。
根据风险评估的结果,按所选用的加密算法的种类及质量,和密钥长
度确定需要那级别的保护。当实施机构的密码策略,应考虑所在国家
关于使用密码技术的法规及国家法律,以及越过国界传输加密信息的
问题。此外,也应考虑密码技术的出入口的控制(参看 )。
确定使用保护级别时,应考虑专家的意见,以便选出合适的产品达到
所要求的保护及通过密钥管理(参看 )实现安全的系统。另外,
也要寻求关于机构所选用的加密的法律意见。
数字签名
数字签名是保护电子文档真实性及完整性的方法之一(举例:数字签
名可以用在电子商务方面)以满足核实是谁签电子文档的需要,以及
检查已签文档的内容是否有改动。
数字签名可以用在任何形式电子处理的文档,例如,可以用来签电子
支付、资金转移、合同及协议。数字签名可以用密码技术实现,原理
是使用一对相互有关的密钥,一个是用来建新签名(私钥),另一个
是用来检查这签名(公钥)。
应该好好考虑私钥的保护。这个密钥必须要保密,因为谁能得到这密
钥,谁就可以签文件,例如支付、合同,从而假冒密钥拥有者签名。
另外,保护公钥也是重要的,保护是通过公钥证书(参看 )实
现。
应小心考虑所用签名算法的种类及质量,以及密钥的长度。用来数字
签名的密钥应该与加密用的不同。参看 )
当使用数字签名时,应考虑数字签名司法条件的有关法律。举例,在
电子商务中,要知道数字签名的合法地位。可能需要捆绑合同或其它
协议来支持在法律不健全的环境下数字签名的使用。 机构要使用数
字签名签,应咨询有关法律。
不可抵赖服务
不可抵赖服务应在解决某事件或行动有没有发生的纷争时使用,例如
关于在电子合同或支付使用数字签名的纷争。不可抵赖服务为某事件
或行动是否发生提出有力证据,举例,否认使用电子邮件发送数字签
名的指示。 这些服务是按密码及数字签名技术的。(参看 及
)。
密钥管理
密钥的保护
密钥的管理对有效应用密钥技术是很重要的。密钥被破坏或丢失会破
坏信息的保密性、真实性及/或完整性。应有一个管理系统来支持机
构两类密码技术的使用,即:
1)密钥技术,即两个或更多方使用同一个密钥,以及
这密钥同时用来加密及解密信息。这密钥必须保密,
因为任何人得到这密钥就可以解密所有已使用这密
钥加密的信息,或添加非法信息;
2)公钥技术,即每个用户有一对密钥-公钥(可以任人
知道)和私钥(自己保存)。公钥技术可以用来加密
(参看 )及产生数字签名(参看 )。
所有密钥应被保护,不能被更改及毁灭。公私钥要保护不让非法公开。
可以使用密码技术保护,也应使用物理保护方法保护用来生成、储存
及 保存密钥的设备。
标准,程序及方法
密钥管理系统应按已协定的标准、程序及安全方法制定,来
1)生成不同密码系统及应用的密钥;
2)生成及查找公钥证书;
3)分发用户密钥,包括收到密钥后如何启动;
4)保存密钥,包括合法用户如何得到密钥;
5)更改或更新密钥,包括更改密钥时的规定,及如何
实施;
6)处理破坏密钥的方法;
7)注销密钥,包括密钥应如何撤回或停用,例如当密
钥被破坏或用用户离开机构(这情况下,密钥应归
档);
8)恢复丢失的、被破坏的密钥,作为业务连续性管理
的一部分,例如,加密信息的恢复;
9)保存密钥,例如有什么信息要归档或备份;
10) 毁灭密钥;
11) 记录及审计与密钥管理有关的活动。
为了减少密钥被破坏的机会,应先定义密钥的启动及停用日期,使密
钥只能在限定时间内使用。期限应视乎密钥控制的使用情况和会有什
么风险出现而定。
应考虑如何处理合法要求密钥的请求,例如,加密信息可能需要不加
密的形式,当法庭证据公开。
除了安全管理密钥及私钥的问题之外,也要考虑公钥的保护。随时都
有任何人要用自己公钥替代用户公钥假冒数字签名的威胁,这问题的
解决方法是采用公钥证书。证书应唯一地把拥有公/私钥信息的人捆
绑到公钥中,所以非常重要要有一套管理过程生成可信任的证书。这
过程一般是由有信誉的 CA 进行,使用合适的控制及程序提供所要求
的信任度。
服务级别协议(Service Level Agreement)、或与外部密码服务供应商
(如 CA)合同的内容, 应包括责任、服务可靠性及反应次数等问题
(参看 )。
系统文件的安全
目的: 保证 IT 项目及支持服务是安全地进行。
应控制系统文件的访问。
维护系统完整应是应用系统或软件的用户或开发组的责任。
运行软件的控制
实施运行系统的软件应有控制。要把运行软件被破坏的风险降到最低,
所要考虑的控制有:
1) 运行程序库的更新应由选定的、赋有合适管理权限的管
理员负责进行;
2) 如可能,运行系统应只由执行代码;
3) 执行代码应在可以运行的系统上实施,直至取得测试成
功及用户接收,相应的源程序库也要被更新;
4) 所有运行程序库的更新都要有日志记录;
5) 软件的旧版本应保存,以防万一。
运行系统所用的供应商软件应由供应商提供支持维护。任何更新到新
版本的决定应考虑版本的安全,即, 新安全功能的实现或影响这版
本的安全问题的数目及严重程度。如果补丁有帮助,应予以安装。
物理或逻辑的访问,应只能给予供应商做技术支持,并得到管理层的
许可才可以。而供应商的活动应被监控。
系统测试数据的保护
应保护及控制测试数据。系统及验收测试一般需要大量的测试数据。
应避免使用有个人信息、正在使用的数据库。如果要用这类信息,
使用前应把名字去掉。以下是保护用来测试的运用数据的控制:
1) 访问控制程序,如适用于运用应用系统,也应适用测试
应用系统;
2) 当运用系统拷贝到测试应用系统时,应每次有不同的授
权;
3) 测试完毕后,运用信息应立即从测试应用系统中清除;
4) 应记录操作信息的拷贝及使用,以便提供审计追踪。
源程序库的访问控制
为了减少计算机程序被破坏的可能,应有一套严谨的源程序库的控制,
如下(参看 ):
1) 如有可能,源代码不应该放在业务系统中;
2) 每一应用系统都要有一个程序库管理员;
3) IT 技术支持人员不应无限制地访问源程序库;
4) 正在开发或维护的程序,不要放在运行源程序库中;
5) 源程序库的更新及发送程序员源程序,应由 IT 技术支
持管理员授权的指定程序库管理员进行;
6) 程序列表应放在安全的环境(参看 );
7) 应记录所有源程序库的访问;
8) 旧源程序版本应被保存,并清楚记录运行过的确实日期
及时间,以及其它支持软件、作业控制、日期定义及程
序;
9) 源程序库的维护及拷贝应由严谨的更改管理程序(参
看 )。
开发及支持程序的安全
目的:维护应用系统软件及信息的安全。
项目及支持环境应受到严谨的控制。
负责应用系统的经理,也应该负责项目及支持环境的安全。他们应负
责检查所有提出的系统更改,看看更改会不会破坏系统或操作环境的
安全。
改动控制程序
为了把破坏信息系统的机会减到最低,应有很严谨的控制管理改动的
实施,应强制执行正式的改动控制程序,确保没有破坏安全及控制程
序,确保只容许支持程序员进入与他们有关的系统部分,确保作任何
改动前都要有正式协议及批准。 更改应用软件会对运用环境影响很
大。如实际上许可,应用及运用改动管理应融合在一起(参看
),过程应包括:
1) 保存一份已同意的授权级别记录;
2) 确保是由合法用户提交改动请求;
3) 查看控制和完整程序,保证不会被更动破坏;
4) 确认所有要需要改动的计算机软件、信息、数据库实体
及硬件;
5) 工作前要取得详细方案的正式批准;
6) 确保合法用户在如何实施前接收更改;
7) 确保方案的实施对业务运行影响最少;
8) 确保系统说明书在每次完成改动后立即更新,以及旧说
明书已归档或丢掉;
9) 记录所有软件更新的版本控制;
10) 记录所有更改请求的审计追踪;
11) 确保操作说明书(参看 )及用户程序按需要作
适当的改动;
12) 确保更改在正当时间进行,不会干扰受影响的业务
进程;
很多机构有用户测试新软件的环境,与开发及正式使用的环境分开,
这是控制新软件的方法之一,会更好保护用来测试的操作信息。
操作系统改动的技术检查
有时候,需要定期更改操作系统,例如安装一个新的软件版本或补丁。
要改动时,应检查及测试应用系统,保证应用系统不会对运作或安全
带来不利的影响。这过程应包括:
1) 检查应用系统的控制及完整性程序,确保它们不会被操
作系统的改动所影响;
2) 确保每年的技术支持计划及预算,已包括因改动操作系
统而要进行的复查及系统测试费用;
3) 确保改动操作系统的通知要及时下达,让实施前可以作
适当的复查;
4) 确保业务连续性计划作适当的更改。
更改软件包的限制
不鼓励改动软件,只要可能及实际,使用供应商提供的软件包时不应
作任何改动。如果真需要改,请留意以下:
1) 内置控制及完整性进程被破坏的风险;
2) 是否取得供应商的同意;
3) 从供应商以标准程序更新取得所需要改动的可能性;
4) 因改动后,机构要负责软件后续维护的影响。
如果真的要更改,请把原软件保留,在记名的软件拷贝上更改。所有
改动都要被测试及记录,以便如有需要时,为更新以后的软件重新安
装。
隐蔽通道及特洛伊代码
隐蔽通道可以在间接及不明显的方法下暴露信息。更改某计算机系统
的安全及不安全部分同时存取的参数,或把信息嵌入到数据流,就可
以激活隐蔽通道。特洛伊代码是在不合法、不立即引起注意及不需要
有接收者或程序用户的情况下影响系统。隐蔽系统及特洛伊代码很少
是因意外而发生。如果怀疑有隐蔽通道或特洛伊代码,应注意以下几
个方面:
1) 应从有声誉的供应商购买软件;
2) 购买程序的源代码,以便检查代码;
3) 使用已评估的产品;
4) 运作前检查所有源代码;
5) 一旦安装后,控制代码的访问及更改;
6) 指派很值得信任的员工承担重要系统的工作。
外包软件的开发
如要把开发软件外包,应注意以下几个方面:
1) 许可协议的安排、代码的拥有权及知识产权(参看
);
2) 所完成工作的验证质量及准确程度;
3) 一旦第三方出现失败,由第三者保存的附带条件的契约
的安排;
4) 审计所完成工作的质量及准确性的访问权限;
5) 代码质量的合同要求;
6) 安装前进行测试,来检测特洛伊目代码。
11.业务连续性管理
.关于业务连续性管理
目的:防止业务停顿,以及保护重要业务进程不受重大失效或灾难的
影响。
业务连续性管理是指通过预防及恢复措施的混用,把业务因灾难或安
全失效(举例,来自于天灾、意外、设备失效及故意破坏)的停顿降
到可接受的程度。应分析灾难、安全失效及服务停顿的影响,以便制
订及实施应急计划来保证业务进程能够在规定时间内恢复。计划应经
常修改及实习,最终变成所有其它管理过程的不可分割的一部分。
业务连续性管理应包括确认及减少风险的控制,限制意外事故所造成
的影响,以及保证按时恢复必须的操作。
业务连续性管理的过程
应有一套有管理的过程,以便在整个机构内推行及实施业务连续性的
操作。以下是业务连续性管理的重点:
1) 了解机构所面临的风险、风险发生的概率及影响,包括
定出哪些是重要的业务进程,并分出先后;
2) 了解哪些停顿可能影响业务(重要的是找到这样的方案,
该方案能够处理较小的事故,也能处理威胁到机构生存
力的严重事故),并确立信息处理设备的业务目的;
3) 考虑购置适当的保险,作为业务连续性计划的一部分;
4) 制订及文档化与业务目的一致的业务连续性策略;
5) 制订及文档化达成一致的业务连续性策略;
6) 定期测试及更新正在推行的计划与过程;
7) 保证对业务连续性的管理被整合到组织的流程和结构
中。应指定机构的适当级别员工负责联系业务连续性的
管理,例如在信息安全论坛的人(参看 )
业务连续性及影响的分析
业务连续性的第一步,是确认会导致业务进程停顿的事件,例如设备
失效、火灾及水灾,接着是进行风险评估以确定这些停顿的影响(损
失程度及恢复周期)。这两项活动应该需要拥有业务资源和进程的员
工全力参于。评估应考虑所有业务进程,不应只限于信息处理设备。
利用风险评估的结果制订一个战略计划来确定业务连续性的整个大
概做法。一旦制订了这计划,应争取得到管理层的认可。
撰写及实施连续性计划
应制订计划来维护或在重要业务进程停顿或失效后在限定时间内恢
复业务操作。业务连续性计划过程应考虑以下方面:
1) 确定及统一所有的责任和紧急处理程序;
2) 实施紧急程序,以便在规定时间内恢复系统。应特别注
意评估外部业务的依赖和现有已签定的合同;
3) 记录已统一的程序与处理;
4) 由具有合适教育背景的员工负责紧急程序及处理,包括
危机管理;
5) 计划的测试及更新。
计划过程应集中于所需的业务目标,例如在可接受的时间段内恢复并
向客户开放指定的服务。应考虑实现计划所需的服务及资源,包括员
工安排、非信息处理资源、以及信息处理设备的后备安排。
业务连续性计划的框架
应建立一个业务连续性计划的单一框架,以保证所有计划是一致的,
并安排测试及维护的先后次序。每个业务连续性计划应明确说明启动
的条件,和计划每一部分的负责执行人。 确定新的要求时,现存的
紧急程序(例如撤退计划或其它如何现有后备安排)应做出相应改善。
一个业务连续性计划架构应考虑以下方面:
1)启动计划的条件,说明启动前要进行那些处理(如何评
估情况,谁负责什么等等);
2)紧急程序,说明发生严重干扰业务操作或关系生死存亡
的事故后要进行哪些行动,包括公关管理的安排,及与
有关公用事务机构迅速联系,例如警察、消防局及当地
政府;
3)后备程序,说明转移重要业务活动或支持服务到某个暂
时地点的行动,以及在限定时间内把业务进程恢复;
4)恢复程序,说明回到正常业务操作的行动;
5)维护时间表,说明将如何、在什么时候测试及维护该计
划的过程;
6)意识及教育培训,目的是让员工更好地了解业务连续性
管理,并使计划持之有效;
7)每个人的责任,说明谁负责执行计划的哪部分,可以考
虑指定候补人员。
每个计划应指定某个人负责。紧急程序、手工后备计划及恢复程序,
都应该是各业务资源或处理的所有者的责任。后备技术服务的安排,
例如信息处理及通讯设备,应是服务供应商的责任。
测试、维护及重新评估业务连续性计划
测试该计划
业务连续性计划在测试时可能失败,一般是因为假设错误、疏忽、设
备或人员的变动。所以,要定期测试以确保最新及有效。这样的测试
应确保所有恢复的组员及其他有关员工都知道有此项计划。
业务连续性计划的测试安排应说明将会在什么时候怎么测试计划的
每个组件。建议应常常测试计划的每个部分,可以考虑使用不同的技
术,以确保计划可以在真实环境中实施,所包括的方面有:
1) 在桌面上对业务不同阶段中断时进行测试(用样
例中断讨论也无恢复安排);
2) 模拟(特别是为了培训事件或危机之后的管理的
角色);
3) 技术恢复测试(保证信息系统可以有效地恢复);
4) 在后备地点测试恢复程序(与主地点同时运行业
务进程);
5) 测试供应商的设备及服务(确保外部提供的服务
及产品符合合同的承诺);
6) 完全排练(测试机构、人员、设备及处理可以应
付业务停顿的情况)。
这些技术可用于任何机构,并且应反映特定恢复计划的内在本质。
维护及重新评估该计划
应定期检查及更新该业务连续性计划,以保证计划的连续性有效性。
机构的更改管理程序应包括这样的计划以便使业务连续性方面的事
项可以适当得到强调。
应指定定期检查每一业务连续性计划的责任。业务连续性计划没有反
映的业务的变动,应予以在该计划中立即更正。这样的正式控制更改
过程,会保证新更新的计划已受到注意,并按整个计划接受定期检查。
举例,需要更新计划的情况,可能是购置新设备,或更新正在使用的
系统及更改:
1) 人事;
2) 地址或电话号码;
3) 业务策略;
4) 地点、设备及资源;
5) 法律;
6) 合同商、供应商及重要的客户;
7) 进程,或新的/已撤消的;
8) 风险(操作上的及财务上的)。
12.遵循性
是否遵守法律
目的:避免触犯任何刑事及民事法律以及其它法定的、条例的、合同
的义务和安全需求。
信息系统的设计、操作、使用及管理可能受法定的、条例规定的或合
同的安全要求约束。
应咨询机构的法律顾问或职业法律人士的意见,应注意哪些法律规定。
法律规定因国家而异,以及涉及在一个国家建立的新信息传送到另一
个国家的法律(既跨国数据流)。
确定适用的法律
所有有关法定的、条例规定的或合同的要求,应该在每个信息系统被
明确定义及说明,也要定义及说明有哪些控制及个人责任需要满足这
些要求。
知识产权
版权
应实施适当的程序,以保证遵守关于知识产权的法律限制,例如版权、
设计权或商标。侵犯版权可以导致法律行动,最后可能是刑事起诉。
法定的、条例规定的或合同的要求可能会禁止专有信息的拷贝,特别
是,法律可能只让使用机构开发的信息,或是开发者授权或提供给机
构的信息。
软件版权
专用软件产品一般是有授权许可协议才能使用,协议会限定那些机器
可以使用这产品,并限制只能在备份时拷贝。 要考虑的方面有:
1)公布一个软件版权遵循策略,定义软件及信息产
品的法定使用权;
2)定出购置软件产品的程序的标准;
3)维护软件版权意识及购置策略,并通告若员工不
遵守这些规定会受到处罚;
4)保留一份资产清单;
5)保留授权许可、主磁盘、手册等的所有者的证明
文件及证据;
6)实施控制,保证不会多于所容许的最多用户数目;
7)进行检查,只安装合法的软件及授权许可的产品;
8)制订遵守授权协议的策略;
9)制订清除或转移软件到其它用户的策略;
10) 使用合适的审计工具;
11) 遵守从公用网(参看 )获取的软件及信
息的条件。
保障机构的记录
应保护机构的重要记录,不要被丢失、毁灭或假冒。为了法定的、条
例规定的要求,和支持重要的业务活动,有些记录需要安全保存。举
例来说,这些记录可以作为证据来证明机构是按法律条文的规定来运
作的,或为了保证有足够的保护措施来应对潜在的民事或刑事行动,
或者按股东、伙伴及审计员的要求来确认机构的财政状况。信息保留
期限及保留什么内容是由国家法律或规定指定的。
记录应按种类分类,例如会计记录、数据库记录、交易日志、审计日
志及操作程序,每类都需要写明保留期限及存储介质的种类、例如纸、
单片缩影胶片、磁盘或光盘。有任何用密钥加密的归档文件或数字签
名(参看 及 ),都应该安全地保存,并让合法用户需要
时使用。
应考虑储存记录的介质性能下降的可能性。储存及处理程序应按生产
商的规格实施。
如果选用电子存储介质,要保证在整个保存期间都可以访问数据(介
质及格式)的程序,以免因技术更新而丢失数据。
应该选择合适的数据储存系统,使所需数据可以用法庭可以接受的方
式查找,例如,所有需要的记录应该可以在可接受的时间段内以可接
受的格式检索。
系统的储存及处理应保证清楚标明记录以及法律规定的保存期限。应
容许机构如果在不需要这些记录时把记录销毁。
要符合这些要求,以下是机构内要采取的步骤:
1) 应制定出记录及信息的保存、储存、处理和清除的指导
方针;
2) 应制定保存时间表,确定哪些重要记录种类需要保存,
保存时间有多长;
3) 重要信息来源的清单应该被维护;
4) 要实施适当的控制来保护重要的记录及信息不会丢失、
销毁及假冒。
数据保护及个人信息的隐私
很多国家已有法律控制个人数据(一般是在世的人,可以从信息中确
认)的处理及传输。这样的控制可能对收集、处理及分布个人信息征
税,并禁止把数据转移到另外国家。
需要有适当的管理架构及控制才可以顺从数据保护法律。最好的实现
方法,往往是任命某个数据保护经理,然后由他负责指导部门经理、
用户及服务供应商应负责什么、应遵守那些程序。数据所有者有责任
通知数据保护经理有什么议案把个人信息保存到结构文件以及提醒
要遵守有关法律的数据保护原则。
防止信息处理设备被滥用
某机构的信息处理设备是因为业务需要而配备的。管理层应该批准设
备的使用。如果没有管理层的批准,所有非业务用途或非法使用都一
律视为不正当使用这些设备。如果监控或其它方法查出有这样的活动,
应告诉有关经理注意,采取适当的处罚行动。
监控使用的合法性,每个国家都不同,可能需要通知员工有这样的监
控,或取得员工的同意。实施监控程序前,应征求法律意见。
很多国家已有法律,或正在草拟法律,来保护计算机不被滥用。 法
律说明非法使用计算机是一种刑事犯罪,因此用户知道自己的准确访
问范围是基本的,这可以通过(举例来说)给予用户书面授权来达到,
其中一份具有用户的签名由机构安全妥善保存,这样,所有用户便清
楚知道他们所能访问的准确范围。 机构的员工和第三方用户都要被
通知:如果没有授权他们不能访问系统。
登录时,计算机屏幕要显示警告消息,说明现在所进入的系统是专有
的,非法进入是不容许的。用户要确认自己明白了这条说明,并遵守
屏幕上的规定继续登陆。
密码控制的规定
有些国家已有协议、法律、规定或其它法律行动控制密码控制的访问
及使用,包括:
1) 进口 及/或 出口计算机硬件及软件来的到密码功能;
2) 进口 及/或 出口计算机硬件及软件得到密码功能;
3) 使用强制或自主的方法访问用被硬件或软件加密了的
信息的方法。
请咨询法律的意见以便遵循有关国家法律。把加密了的信息或密码控
制转移到另一个国家前,应咨询有关法律意见。
证据的收集
证据的规则
机构或个人进行某行动时,需要足够的证据支持。当这行动是属于内
部处罚,那内部程序要有证据的支持。
当行动与涉及到法律,无论是民事或刑事,所出示的证据要与法律所
要求的吻合,或与负责审理该案的法庭的规定吻合。 一般的规定有:
1) 证据的适用性:证据是否能够作为法庭证据;
2) 证据的分量:证据的质量及完整性;
3) 有足够的证据证明在恢复证据时的时间内,系统
正确及一致地存储及处理控制(即进程控制的证
据)。
证据的适用性
要使证据随时适用,机构应检查自己的信息系统在准备证据时,是按
有关标准或惯例准备的。
证据的质量和完备性
为了得到高质量和具有完备性的证据,一个高质量的证据追踪表是需
要的。一般来说,这样的追踪表可以在以下条件下建立起来:
1)如果是纸的文件:原始版本要被安全地保存,并有
记录由谁找出、在哪儿找出、什么时候找的及现场
证人。要仔细调查原始版本没有被篡改。
2)在计算机存储介质上的信息:可移动节制的拷贝、
磁盘或内存中的信息应确保随时可用。拷贝过程中
的所有活动的记录,应妥善保存,应有人在旁作证
明。应安全地保存介质的拷贝及日志。
当第一次检测到有意外发生,可能没有那么明显要采取法律行动。但
事故还不是很严重的时候,所需的证据有被意外破坏的危险。所以,
建议在要采取法律行动时,就早与律师及警察保持联系,看看如何提
取有关证据。
核对安全策略及技术合格性
目的:保证系统按机构的安全策略及标准进行。 信息系统的安全性
应定期检查。检查应按有关安全策略及技术平台进行,信息系统应有
审计,看看是否符合安全实施标准。
与安全策略一致
部门经理应确定在自己负责范围之内正确执行所有安全程序。另外,
还要定期检查机构内所有部门,以保证机构的安全策略及标准正确实
施。具体包括以下内容:
1) 信息系统;
2) 系统供应商;
3) 信息及信息资产的拥有者;
4) 用户;
5) 管理层;
信息系统的拥有者(参看 )应支持接受定期检查。看看自己的系
统是否遵循了有关安全策略、标准及其它安全要求。操作上对系统的
监控请看 。
技术依从性的检查
信息系统应定期检查,看看是否按安全实施标准进行。技术依从性的
检查包括检查正在使用的系统,以保证硬件及软件的控制已正确实施。
这样的检查需要特别的技术帮助,所以应由有经验的系统工程师手工
进行(如需要,利用合适的软件工具),或使用自动软件包生成技术
报告,交由技术专家负责解释。
依从性的检查也包括,例如,渗透测试。这种测试需要由专门从外面
请来的专家进行。渗透测试可以检测系统的漏洞,以及查出堵塞这些
漏洞、防止非法访问的防范措施的用处有多大。要小心一旦渗透测试
成功,可能反过来会破坏系统的安全,无意中利用了其它的漏洞。
任何技术依从性的检查应只能由有经验、合法的人员进行,或是由这
些专家的指导下进行。
系统审计的考虑
目的:发挥系统审计处理的最大效用,并把干扰降到最低。
在进行审计时,要有控制来保障正在使用的系统及审计工具。
也要有足够的保护措施来保障审计工具的完整性及防止滥用审计工
具。
系统审计控制
目标:最大化有效性、最小化 对系统审计处理的干扰和来自系统审
计处理的干扰。应该有控制来保护在系统审计期间的操作系统和审计
工具。
审计要求及活动包括仔细计划如何在正在使用的系统放置检查点,并
同意把业务停顿的风险降到最低。要注意的方面有:
1) 审计要求要有管理层的同意;
2) 检查的范围要达成一致并且得到有效控制;
3) 检查应只限于对软件及数据的读取操作;
4) 只读操作以外的访问只能对系统文件的隔离副本,并且
审计完成后应予以清除;
5) 应明确说明哪些 IT 资源需要在检查时被使用,并保证
随时这些资源可用;
6) 其它特别或额外的处理要求应该被识别并获得同意;
7) 所有访问应受到监控并记录在日志上,以备参考;
8) 所有程序、要求及责任应清楚说明并文档化。
对系统审计工具的保护
系统审计工具(软件或数据文件)的访问,应被保护以防止滥用及破
坏。这样的工具应与开发及正在使用的系统分开,而不能放在磁带库
或用户使用区中,除非有额外的保护。
第二部分:信息安全管理系统的规范
1.范围
2.术语与定义
3.信息安全管理系统的要求
概要
机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订
立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程
度的保障。
建立一个管理架构
以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图
一):
a) 应定义信息安全策略;
b) 应定义信息安全管理系统的范围,定义范围可以是机构的
特征、位置、资产及技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威
胁、漏洞及对机构的冲击,从而定出风险的严重程度;
d) 根据机构的信息安全策略及所要求达到的保障程度定出要
管理的风险;
e) 从以下第四条款选出机构要实现的安全控制目标及要实施
的安全控制;
f) 应准备一份适用性声明书,说明选出哪些安全控制目标及
安全控制以及选择的原因。
以上步骤应定期重复,确定系统的适用性。
实施
选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执
行程序是否有效应根据 的规定进行检查。
文档
信息安全管理系统的说明文档应包括以下信息:
a) 按照 所定的步骤实现的证据;
b) 管理架构的总结,其中包括信息安全策略、在适用性声明
书所提及的安全控制目标和已经实现的安全控制;
c) 为了实现 所指定的控制而采用的程序;这些程序应该
刻画责任以及相关行动;
d) 覆盖该 ISMS 中的管理和操作的程序,这些程序应该指出
有哪些责任及其有关行动。
文档控制
机构应建立控制 所要求的所有文档的维护程序,以保证文档:
a)随时可用;
b)按照机构的安全策略定期检查并在必要时做出修正;
c)在版本控制下进行维护,保证在有效运作信息安全管理系统
的所有地方随时可用;
d)及时去掉过时的内容;
e)标识并且保留过时的、法律需要的、或作为知识储备的部分。
文档应该是清晰可读的、标有日期(及版本日期)的、可以确认的,
并且在指定时间内有序维护和保管。
图一:建立一个管理架构
定义策略
定义 ISMS
的范围
进行风险评
估
管理这些风
险
选择控制目
标以及要实
现的控制
撰写适用性
说明书
第六步
第五步
第四步
第三步
第二步
威胁、漏洞
冲击
机构的风险管
理办法
所要求达到的
保障程度
此 部 分 的 第 三
段 所 列 的 安 全
控 制 目 标 和 控
制
不 在 BS7799 的
其它安全控制
策略文件
ISMS 的范围
风险评估
适用性说明书
信息资产
结果与结论
选定的控制选项
选定的控制目标及控制
第一步
记录
记录,作为信息安全管理系统运行所得结果的证据,应被妥善维护以
便证明和 BS-7799 这个部分的要求的遵从性对系统和机构来说是合
适的,如来访者列表、审计记录、访问的授权等。
机构应建立和维护一套程序来识别、维护、保管和处理这些证明遵从
性的记录。记录应清晰可读、可识别并可追溯到有关活动。记录的储
存及维护应该注意保证随时能用、不被破坏、变坏或丢失。
4.详细监控
安全策略
信息安全策略
目标:为信息安全提供管理方向和支持。
信息安全策略文档
一份策略文档须由管理层所认可,出版并传达到全体员工。
检查和评价
策略须定期检查,并在存在有影响的变化时保持它的适用性。
安全组织
信息安全基础设施
目标:在机构内部管理信息安全。
管理层信息安全论坛
为了保证有一个清晰的方向和来自管理层的可见的对安全主动性的
支持,建立管理层论坛是必要的。
信息安全的协调
如果从组织的规模方面来说是合适的,则可以建立一个由来自于组织
内部有关部门的管理层代表组成的论坛,并被用于协调信息安全控制
的实施。
信息安全职责的分配
对个人资产的保护和执行特定安全过程的责任须应该明确定义。
信息处理设施的授权过程
新信息处理设施的管理授权过程将被建立起来。
专家信息安全建议
有关信息安全的建议将由内部人员或外部专家所提供,并且在组织内
部沟通交流。
各机构之间的协作
与法律实施权威、管理机构、信息服务供应商和电讯经营者之间的适
当联络将要被维护和保持。
信息安全的独立检查
信息安全策略的实施将被独立审查。
第三方访问的安全
目标:维护被第三方访问的信息处理设施和信息资产的安全。
第三方访问的风险的识别
与来自于第三方的对组织的信息处理设施的访问相联系的风险应该
被评估,并且合适的安全控制应该被实现。
在第三方合同中的安全要求
有任何涉及第三方访问组织的信息处理设施的安排时,须签订一个正
式的包含所有必须的安全要求的合同。
外部采购
目标:当为了信息处理而需要向外部的其他组织采购时,维持信息的
安全。
在外购合同中的安全要求
在组织外购的安全要求中,全部或部分的信息系统、网络和/或桌面
环境的管理和控制须在由双方协商一致的合同中写明。
资产分类与控制
资产的可说明性
目标:维护对组织资产的适度保护。
资产的盘点
所有重要资产的目录应该起草并加以维护。
信息分类
目标:保证信息资产得到适度的保护
分类方针
信息的分类和相关保护控制将会适合于信息共享和限制的商务需要
和这些需要对商务的影响。
信息标签和处理
依据该机构采取的信息分类模式,一套信息标签和处理程序应该被定
义。
人员安全
工作定义和资源中的安全
目标:减少因人为的错误、偷窃、欺骗或误用设施而引起的风险。
工作责任的安全
在机构的信息安全策略中所制定的安全角色和职责,应该在工作职责
定义的适当地方以文件形式确定下来。
员工筛选和策略
确认对长期雇员的检查在工作申请时就已经定义好了。
保密协议
雇员将签订一份保密协议作为他们的最初条款和雇佣条件的一部分。
雇佣的条款和条件
雇佣的条款和条件应该包括雇员在信息安全方面的责任。
用户培训
目标:培养用户的信息安全意识,使用户能在日常工作中用团队的安
全策略来要求自己。
信息安全教育和培训
所有的团队员工,以及相关的第三方用户,都应当接收适当的安全策
略培训和机构策略和程序的更新。
安全事故与故障的处理
目标:把突发安全事故与故障的危害性降到最低,监控并从中吸取教
训。
报告突发安全事故
突发安全事故应通过适当的管理渠道尽快报告出来。
报告安全弱点
信息服务的使用者应当记录并报告观察到的和可疑的系统或服务的
安全弱点或系统面临的威胁。
报告软件故障
报告软件故障的程序应该建立并遵循。
从事故中吸取教训
应建立适当的机制来监测和量化突发安全事件的类型、程度和损失。
纠正过程
员工对团队对安全策略的违反都应当有一个正式的纠正过程。
物理与环境的安全
安全地区
目标:防止对业务前提和信息的非授权访问、破坏和干扰。
物理安全边界
应对包含信息处理设施的地区使用安全的边界。
物理接口控制
安全地区应该通过合适的入口控制进行保护,从而保证只有合法员工
才可以访问这些地区。
保护办公室、房间和设施
应建立安全地区以保护那些有特殊安全需求的办公室、房间和设施。
在安全地区工作
在安全地区工作时应采取附加的控制和方针来加强由保护安全地区
的物理控制所提供的安全性。
隔离的运输和装载地区
运输和装载地区应该受到控制,如果可能,应该和信息处理设施隔离
开来以避免非授权访问。
设备安全
目标:防止资产的丢失、破坏,防止商业活动的中断。
设备放置地点的选择与保护
设备应当安置在合适的地点并受到保护以减少来自环境的威胁,减少
被非授权访问的机会。
电源供应
设备应当为应对电源失败和电力异常而采取适当的保护措施。
电缆安全
传输数据和支持信息服务的通讯线路和电力线缆应该受到保护以免
被侦听和毁坏。
设备维护
设备应当根据制造商的说明和使用手册来维护,以保证连续性的可靠
性和完整性。
在机构外部使用设备时应注意的安全性
对在机构外部使用的设备应当建立安全程序和控制。
设备应该被安全地处理掉和再使用
在设备被处理掉和再使用以前应当删除设备含有的所有信息。
一般控制
目标:防止信息和信息处理工具遭受危害和被偷窃。
清洁桌面与清洁屏幕策略
应当制定并执行清洁桌面与清洁屏幕策略,以减少非授权访问、信息
的丢失与毁坏。
资产的删除
属于机构的设备、信息或软件,未经许可不得擅自删除。
通讯与操作的管理
操作过程与职责
目标:确保对信息处理设备的操作是正确的、安全的。
记录操作过程
中描述的安全策略中标出的操作过程应当被记录并得到相应
的维护。
针对操作变化的控制
信息处理工具和系统的任何变化都应当得到控制。
事件管理程序
应建立必要的事件管理职责和程序以保证对安全事件能做出迅速、有
效以及有序的响应。
职责分离
应对职责进行分离以便于减少对信息和服务的非授权修改和误用。
开发设施与操作设施的分离
在项目完成过程中应当将开发测试设施和操作设施分离开来。
外部设施管理
在使用外部设施管理服务之前,应当弄清楚将要面临的风险、采取订
约人认可的控制,并合并到合同中。
系统计划与验收
目标:使系统失败的风险减到最小。
容量计划
应当监测系统容量需求,并对未来的系统容量需求做出计划,以确保
采用合适的处理能力和存储容量。
系统验收
应对新的信息系统及其升级及新版本建立验收标准,并采取相应的测
试。
针对恶意软件的防护
目标:保护软件及信息的完整性。
采取控制来防范恶意软件
使用探测与防范措施来防止恶意软件的侵害,并实现合适的提高用户
警觉性的程序。
内务处理
目标:维护在信息处理和通讯服务中的数据完整性和可靠性。
信息备份
应对商业信息及软件进行经常性的备份
操作员日志
操作人员应当建立起记录操作的日志。
出错日志
出现的错误应被报告并采取纠正措施。
网络管理
目标:保护网络中的信息及其支持基础设施。
网络控制
采取一定范围的控制措施以获得及维护网络的安全。
介质处理和安全
目标:防止资产损失及商业活动的中断
计算机可移动介质的管理
计算机可移动介质的管理,包括磁带、磁盘、盒带以及打印出来的报
表都应当受到控制。
介质处理
当不再使用时,介质应得到安全处理。
信息处理程序
应建立信息的处理及存储机制以免信息被非法泄漏及误用。
系统文档的安全
系统文档应受到保护以免未经授权的访问。
信息及软件的交换
目标:防止信息交换过程中信息的丢失、修改及误用。
信息和软件的交流协议
应对机构之间的信息和软件交流,不管是以电子方式还是以手工方式,
都应当建立正式的协议。
传输过程中的介质安全
传输过程中的媒介应受到保护,以免于未经授权的访问、误用和破坏。
电子商务安全
电子商务应当受到保护,使之免受欺诈、合同纠纷、信息泄漏或篡改
等行为的危害。
电子邮件安全
应该建立电子邮件的使用策略并采取控制措施来减少由于电子邮件
的使用而带来的风险。
电子办公系统的安全
应采取适当的策略与方针以控制与电子办公系统有关的商业安全风
险。
信息发布系统的安全
在信息发布以前,应当有个正式的授权过程,并且这些信息的完整性
应受到保护以阻止未经授权的修改。
其它方式的信息交换
应采取一定的程序与控制以保证信息在使用音频、传真、视频等
通讯工具进行传输时的安全性。
访问控制
访问控制的商业需求
目标:控制对特定信息的访问。
访问控制策略
访问控制的商业需求应当正式定义并形成文档,访问受限于控制
策略的规定。
用户访问管理
目标:防止未经授权的访问。
用户注册
对于所有的多用户信息系统和服务都应当有一个正式的用户注册
与撤销的过程以授予访问权限。
特权管理
特权的分配与使用应该受到限制与控制。
用户口令管理
口令的分配应通过一个正式的管理程序来控制。
用户访问权限审查
应当启动一个正式的程序周期性地在一定时间间隔后审查用户的访
问权限。
用户职责
目标:防止未经授权的用户访问
口令的使用
用户在口令的选择与使用上应遵从良好的安全实践经验。
易被忽略的用户设备
用户应保证那些易被忽略的设备得到合适的保护。
网络访问控制
目标:保护网络服务
网络服务的使用策略
用户应当只能够直接访问那些被授权了的服务。
增强的路径
从用户终端到服务器服务的路径应被控制。
外部连接的用户认证
远程用户的访问应经过认证。
节点认证
对外部计算机系统的连接应该经过认证。
对远程诊断端口的保护
对诊断端口的访问应得到安全的控制。
网络隔离
应采取一定的控制措施把网络按照信息服务、用户和信息系统分为不
同的组。
网络连接控制
在共享网络中,用户的连接容量应受到限制,相关访问控制策略请参
看 。
网络路由控制
共享网络应有路由控制以确保计算机连接与信息流不违背 中
描述的商业应用的访问控制策略。
网络服务的安全性
应提供单位使用的所有网络服务的安全属性的清晰描述。
操作系统访问控制
目标:防止未经授权的计算机访问。
自动终端认证
应使用自动终端认证系统来对到特定位置和便携式设备的连接。
终端登录过程
对信息服务的访问应使用安全的登录过程。
用户标识和认证
所有的用户都应有一个独一无二的标识供他们个人单独使用,这样就
可以追踪用户的行为到相应的责任个人。
口令管理系统
口令管理系统应提供有效的、交互式的工具来确保口令的质量。
系统工具的使用
系统工具的使用应受到限制和得到紧密控制。
用警告信息保护用户
为可能成为监禁目标的用户提供警告信号。//???
终端超时
高风险地区或与高风险系统相连的非活动终端在处于一段时期的非
活动状态后应当断开连接以防止未经授权的用户访问。
连接时间的限制
应对那些需要采取特殊安全措施的高风险应用使用连接时间的限制。
应用系统的访问控制
目标:防止对信息系统中信息的未经授权的访问。
信息访问限制
对信息和应用程序系统功能的访问应受到限制,相关访问控制策略请
参看
敏感系统的隔离
敏感系统应当有专用的隔离的运行环境。
监控对系统的访问和使用
目标:探测未经授权的行为。
事件日志
应提供对异常事件和与安全相关事件的审计日志,以便于今后的调查
和对访问控制的监测。
监控对系统的使用情况
应建立监控信息处理工具的使用情况的过程,并周期性察看日常监控
的结果。
时钟同步
计算机时钟应当同步以便于准确记录日志。
移动计算与远程工作
目标:确保使用移动计算或远程工作工具时的信息安全。
移动计算
应采用正规的策略和合适的控制以保护使用移动计算工具的工作安
全,尤其是在那些不受保护的环境下工作时。
远程工作
应设计策略和程序来授权和控制远程工作的活动。
系统开发与维护
系统的安全需求
目标:确保信息系统采取了足够的安全措施。
安全需求分析与描述
新系统的商业需求或者对现有系统的增强都应该指定对安全控制的
需求。
应用系统的安全
目标:防止应用软件系统中用户数据的丢失、篡改和误用。
对输入数据进行有效性确认
应用软件系统的输入数据应当经过确认以保证它们是正确、合适的。
对内部处理的控制
正确性检查应当和系统有机结合,以便检测被处理的数据的退化。
消息认证
应对那些对消息内容完整性有安全需求的应用软件建立消息认证机
制。
对输出数据进行有效性确认
应用软件系统的输出数据应当经过确认以保证对存储的信息的处理
是正确合适的。
密码控制
目标:保护信息的机密性、真实性和完整性。
密码控制的使用策略
应建立并遵守用于对信息进行保护的的密码控制的使用策略。
加密
应对敏感或机密数据进行加密。
数字签名
应采用数字签名方法来保护电子信息的真实性与完整性。
不可否认服务
应使用不可否认服务来解决关于事件是否出现的冲突。
密钥管理
密钥管理基于一套标准、过程和方法,用来支持密码技术的使用。
系统文件的安全性
目标:确保 IT 项目和支持行为是在安全的模式下进行。
对业务软件的控制
应对业务系统的软件实现情况进行控制。
对系统测试数据的保护
测试数据应受到保护和控制。
对程序源代码库的访问控制
应对程序源代码库进行严格的访问控制。
在软件开发与支持过程中的安全性
目标:维护应用软件系统和信息的安全性。
变化控制程序
信息系统的变化的实现应该通过使用正式的改变控制程序进行严格
控制,使信息系统崩溃的可能性降到最低。
针对操作系统变化的技术审查
应用系统在操作系统发生变化时应当进行审查和测试。
限制对软件包的修改
防止对软件包的修改,任何必要的修改应受到严格的控制。
隐蔽信道和特洛依木马代码
软件的购买、使用和修改应受到控制和检测,以避免可能的隐蔽信道
和特洛依木马代码。
外包软件开发
应采取必要的控制措施来使公开源码的软件开发更安全。
业务连续性管理
业务连续性管理的各个方面
目标:保持业务活动的连续性,保护关键的项目开发过程不受主要失
败或灾难的影响。
业务连续性管理的进程
为了开发与维护整个机构的业务的连续性,应建立一个管理进程。
业务连续性与影响分析
为了业务连续性的整体解决方法,基于合适的风险评估的战略计划应
该被制定出来。
连续性计划的撰写与实施
计划应该被制定以维护和及时恢复已经中断或失败后的关键业务的
运行。
业务连续性计划的框架
应当有一个单独的业务连续性计划被维护以保证所有计划的一致性
和确定测试与维护的优先级。
测试、维护与重新评估业务连续性计划
项目开发连续性计划应当经常测试与维护以保证该计划是最新的和
有效的。
遵循性
与法律要求的一致性
目标:避免与任何刑事或民事法律、法规、规章制度、合同条款以及
安全需求发生冲突。
识别适用的立法
对每一个信息系统都应当明确指出所有相关的法规、规章以及合同要
求并形成文档。
知识产权
应采取适当的措施以保证在使用与知识产权相关的材料和软件产品
时不违反法律规定。
保护机构的文档记录
重要的机构档案应受到保护,以防止丢失、破坏和假冒。
数据保护与个人信息隐私
应根据相关法律采取必要的控制来保护个人信息。
防止信息处理设备的误用
应对信息处理设备的使用采用授权管理以防止这些工具的误用。
密码控制制度
采取控制措施来保证与用于控制访问和使用密码技术的国家协议、法
律法规的一致性。
证据收集
如果针对个人或机构的行动涉及民事或刑事的法律,则所出示的证物
必须与相关法律所列出的条款以及将要受理此案件的法庭的规定相
一致。这包括与任何已公布的产生可接受的证据的标准或惯例代号的
遵循性。
安全策略与技术遵循性的复审
目标:确保系统与机构的安全策略和标准相一致。
与安全策略的一致性
经理应确保本部门所有的安全过程在责任区得到正确实施,并且机构
内部的所有部门应当进行经常性的检查以确保与安全策略和标准相
一致。
技术遵循性检查
应当经常对信息系统进行检查以保证与安全实施标准相一致。
系统审计的考虑
目标:最大化有效性并最小化 对 和/或 来自 系统审计进程的干扰。
系统审计控制
应对业务系统的审计做出计划,以便于把业务过程中断的风险降到最
低。
系统审计工具的保护
系统审计工具的访问应受到保护以防止可能发生的误用或危害。