信息安全控制目标和控制措施.doc

信息安全控制目标和控制措施表A-1所列的控制目标和控制措施是直接引用并与ISO/IEC17799:2005第5到15章一致。表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。ISO/IEC17799:2005第5至15章提供了最佳实践的实施建议和指南，以支持A.5到A.15列出的控制措施。表A.1控制目标和控制措施控制措施组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。A.6.2外部各方目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。控制措施应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。控制措施涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。A.8.1任用?Action=addNodeId=22ModelID=1#_ftn2name=_ftnref2title=2之前目标：确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。控制措施雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。控制措施关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。控制措施作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。A.8.2任用中目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。控制措施管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。控制措施组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。A.8.3任用的终止或变化目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。控制措施所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。控制措施所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。控制措施应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。控制措施为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。控制措施访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，要与信息处理设施隔离，以避免未授权访问。控制措施应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。控制措施包含储存介质的设备的所有项目应进行检查，以确保在销毁之前，任何敏感信息和注册软件已被删除或安全重写。控制措施各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。A.10.2第三方服务交付管理目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。控制措施应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。控制措施应管理服务提供的变更，包括保持和改进现有的信息安全方针策略、程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估。控制措施资源的使用应加以监视、调整，并应作出对于未来容量要求的预测，以确保拥有所需的系统性能。控制措施应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。控制措施应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。控制措施当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行，应阻止执行未授权的移动代码。控制措施应充分管理和控制网络，以防止威胁的发生，维护系统和使用网络的应用程序的安全，包括传输中的信息。控制措施安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的。控制措施应有正式的交换策略、程序和控制措施，以保护通过使用各种类型通信设施的信息交换。控制措施包含信息的介质在组织的物理边界以外运送时，应防止未授权的访问、不当使用或毁坏。控制措施包含在使用公共网络的电子商务中的信息应受保护，以防止欺诈活动、合同争议和未授权的泄露和修改。控制措施包含在在线交易中的信息应受保护，以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。控制措施应产生记录用户活动、异常和信息安全事件的审计日志，并要保持一个已设的周期以支持将来的调查和访问控制监视。控制措施一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。控制措施对于共享的网络，特别是越过组织边界的网络，用户的联网能力应按照访问控制策略和业务应用要求加以限制（见11.1）。控制措施应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制策略。控制措施所有用户应有唯一的、专供其个人使用的标识符（用户ID），应选择一种适当的鉴别技术证实用户所宣称的身份。控制措施应有正式策略并且采用适当的安全措施，以防范使用可移动计算和通信设施时所造成的风险。控制措施在新的信息系统或增强已有信息系统的业务要求陈述中，应规定对安全控制措施的要求。控制措施应用中的确保真实性和保护消息完整性的要求应得到识别，适当的控制措施也应得到识别并实施。控制措施从应用系统输出的数据应加以验证，以确保对所存储信息的处理是正确的且适于环境的。控制措施当操作系统发生变更后，应对业务的关键应用进行评审和测试，以确保对组织的运行或安全没有负面影响。控制措施应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。A.13.1报告信息安全事件和弱点目标：确保与信息系统有关的信息安全事件和弱点能够以某种方式传达，以便及时采取纠正措施。控制措施应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。A.13.2信息安全事故和改进的管理目标：确保采用一致和有效的方法对信息安全事故进行管理。控制措施当一个信息安全事故涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。A.14.1业务连续性管理的信息安全方面目标：防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。控制措施应为贯穿于组织的业务连续性开发和保持一个管理过程，以解决组织的业务连续性所需的信息安全要求。控制措施应识别能引起业务过程中断的事件，这种中断发生的概率和影响，以及它们对信息安全所造成的后果。控制措施应制定和实施计划来保持或恢复运行，以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。控制措施应保持一个唯一的业务连续性计划框架，以确保所有计划是一致的，能够协调地解决信息安全要求，并为测试和维护确定优先级。控制措施对每一个信息系统和组织而言，所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。控制措施应实施适当的程序，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。控制措施管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。控制措施涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。?Action=addNodeId=22ModelID=1#_ftnref1name=_ftn1title=1解释：术语责任人是被认可，具有控制生产、开发、保持、使用和资产安全的个人或实体。术语责任人不指实际上对资产具有财产权的人。?Action=addNodeId=22ModelID=1#_ftnref2name=_ftn2title=2解释：这里的任用意指以下不同的情形：人员任用（暂时的或长期的）、工作角色的指定、工作角色的变化、合同的分配及所有这些安排的终止。第 9 页 共 9 页