信息安全管理系统的规范

信息安全管理系统的规范
第二部分：信息安全管理系统的规范
1
1。

范围
BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求.它指明了将要按照个别机构的需要而实现的安全控制的需求。

注：第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。

BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1：1999并与改部分的内容保持一致.
2。

术语与定义
为了BS 7799的这个部分，BS 7799—1给出的定义适用于该部分，并有以下专用术语： 2。

1 适用性说明
适用于机构的安全要求的目标和控制的批评.
3.信息安全管理系统的要求
3.1概要
机构应建立及维护一个信息安全管理系统,目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。

3。

2建立一个管理框架
以下的步骤是用来找出及记录安全控制目标及安全控制的（参看图一）：
a）应定义信息安全策略；
b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及
技术;
c) 应进行合适的风险评估。

风险评估应确认对资产的安全威胁、漏洞及对机构的
冲击，从而定出风险的严重程度;
d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险；
e）从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制;
f）应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的
原因。

以上步骤应定期重复，确定系统的适用性。

2
3.3实施
选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4。

10。

2的规定进行检查。

3.4文档
信息安全管理系统的说明文档应包括以下信息：
a）按照3。

2所定的步骤实现的证据；
b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制
目标和已经实现的安全控制；
c) 为了实现3。

3所指定的控制而采用的程序；这些程序应该刻画责任以及相关行
动;
d）覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关
行动.
3。

5文档控制
机构应建立控制3.4所要求的所有文档的维护程序，以保证文档：
a）随时可用；
b）按照机构的安全策略定期检查并在必要时做出修正;
c）在版本控制下进行维护,保证在有效运作信息安全管理系统的所有地方随时可
用；
d) 及时去掉过时的内容；
e) 标识并且保留过时的、法律需要的、或作为知识储备的部分.
文档应该是清晰可读的、标有日期（及版本日期)的、可以确认的，并且在指定时间内有序维护和保管。

3
第一步策略文件定义策略
ISMS 的范围定义ISMS 第二步的范围
信息资产
风险评估威胁、漏洞第三步进行风险评冲击估
结果与结论
机构的风险管第四步理办法管理这些风所要求达到的险保障程度
选定的控制选项
此部分的第三第五步段所列的安全选择控制目
控制目标和控标以及要实
制现的控制
不在BS7799的
其它安全控制
选定的控制目标及控制
适用性说明书撰写适用性第六步说明书
图一：建立一个管理架构 3。

6记录
记录，作为信息安全管理系统运行所得结果的证据，应被妥善维护以便证明和BS—7799这
4
个部分的要求的遵从性对系统和机构来说是合适的，如来访者列表、审计记录、访问的授权等。

机构应建立和维护一套程序来识别、维护、保管和处理这些证明遵从性的记录.记录应清晰可读、可识别并可追溯到有关活动。

记录的储存及维护应该注意保证随时能用、不被破坏、变坏或丢失.
5
4.详细监控
4。

1安全策略
4。

1.1 信息安全策略
目标：为信息安全提供管理方向和支持.
4.1。

1。

1信息安全策略文档
一份策略文档须由管理层所认可，出版并传达到全体员工. 4。

1。

1。

2检查和评价
策略须定期检查，并在存在有影响的变化时保持它的适用性。

4.2安全组织4。

2。

1信息安全基础设施
目标：在机构内部管理信息安全.
4.2.1.1 管理层信息安全论坛
为了保证有一个清晰的方向和来自管理层的可见的对安全主动性的支持,建立管理层论坛是
必要的。

4。

2。

1。

2 信息安全的协调
如果从组织的规模方面来说是合适的，则可以建立一个由来自于组织内部有关部门的管理层
代表组成的论坛，并被用于协调信息安全控制的实施. 4。

2.1。

3 信息安全职责的分配
对个人资产的保护和执行特定安全过程的责任须应该明确定义。

6
4.2。

1.4 信息处理设施的授权过程
新信息处理设施的管理授权过程将被建立起来.
4。

2。

1。

5 专家信息安全建议
有关信息安全的建议将由内部人员或外部专家所提供,并且在组织内部沟通交流。

4。

2。

1.6 各机构之间的协作
与法律实施权威、管理机构、信息服务供应商和电讯经营者之间的适当联络将要被维护和保持。

4。

2.1。

7 信息安全的独立检查
信息安全策略的实施将被独立审查.
4。

2.2第三方访问的安全
目标：维护被第三方访问的信息处理设施和信息资产的安全。

4.2.2.1第三方访问的风险的识别
与来自于第三方的对组织的信息处理设施的访问相联系的风险应该被评估,并且合适的安全控制应该被实现。

4.2.2.2在第三方合同中的安全要求
有任何涉及第三方访问组织的信息处理设施的安排时，须签订一个正式的包含所有必须的安全要求的合同.
4。

2.3外部采购
目标：当为了信息处理而需要向外部的其他组织采购时,维持信息的安全。

4.2。

3.1 在外购合同中的安全要求
在组织外购的安全要求中，全部或部分的信息系统、网络和/或桌面环境的管理和控制须在由双方协商一致的合同中写明。

7
4.3资产分类与控制
4.3.1资产的可说明性
目标:维护对组织资产的适度保护。

4。

3.1.1资产的盘点
所有重要资产的目录应该起草并加以维护。

4。

3。

2信息分类
目标:保证信息资产得到适度的保护
4.3。

2。

1分类方针
信息的分类和相关保护控制将会适合于信息共享和限制的商务需要和这些需要对商务的影响.
4.3.2。

2信息标签和处理
依据该机构采取的信息分类模式，一套信息标签和处理程序应该被定义.
4。

4人员安全
4.4。

1工作定义和资源中的安全
目标:减少因人为的错误、偷窃、欺骗或误用设施而引起的风险。

4。

4.1。

1工作责任的安全
在机构的信息安全策略中所制定的安全角色和职责,应该在工作职责定义的适当地方以文件
形式确定下来。

4.4。

1。

2员工筛选和策略
确认对长期雇员的检查在工作申请时就已经定义好了.
8
4。

4。

1。

3保密协议
雇员将签订一份保密协议作为他们的最初条款和雇佣条件的一部分。

4.4.1。

4雇佣的条款和条件
雇佣的条款和条件应该包括雇员在信息安全方面的责任.
4。

4。

2 用户培训
目标:培养用户的信息安全意识，使用户能在日常工作中用团队的安全策略来要求自己。

4。

4.2。

1 信息安全教育和培训
所有的团队员工，以及相关的第三方用户,都应当接收适当的安全策略培训和机构策略和程序的更新。

4。

4。

3 安全事故与故障的处理
目标：把突发安全事故与故障的危害性降到最低，监控并从中吸取教训。

4。

4。

3。

1 报告突发安全事故
突发安全事故应通过适当的管理渠道尽快报告出来。

4.4。

3。

2 报告安全弱点
信息服务的使用者应当记录并报告观察到的和可疑的系统或服务的安全弱点或系统面临的威胁.
4。

4。

3.3 报告软件故障
报告软件故障的程序应该建立并遵循。

4.4.3.4 从事故中吸取教训
应建立适当的机制来监测和量化突发安全事件的类型、程度和损失.
9
4。

4。

3。

5 纠正过程
员工对团队对安全策略的违反都应当有一个正式的纠正过程.
4。

5物理与环境的安全
4。

5。

1 安全地区
目标:防止对业务前提和信息的非授权访问、破坏和干扰.
4。

5。

1。

1 物理安全边界
应对包含信息处理设施的地区使用安全的边界。

4。

5。

1。

2 物理接口控制
安全地区应该通过合适的入口控制进行保护，从而保证只有合法员工才可以访问这些地区。

4。

5.1。

3 保护办公室、房间和设施
应建立安全地区以保护那些有特殊安全需求的办公室、房间和设施。

4。

5.1.4 在安全地区工作
在安全地区工作时应采取附加的控制和方针来加强由保护安全地区的物理控制所提供的安全性。

4。

5.1。

5 隔离的运输和装载地区
运输和装载地区应该受到控制，如果可能，应该和信息处理设施隔离开来以避免非授权访问。

4.5。

2 设备安全
目标：防止资产的丢失、破坏,防止商业活动的中断.
4.5。

2。

1 设备放置地点的选择与保护
设备应当安置在合适的地点并受到保护以减少来自环境的威胁,减少被非授权访问的机会。

10
4。

5.2。

2 电源供应
设备应当为应对电源失败和电力异常而采取适当的保护措施.
4.5。

2.3 电缆安全
传输数据和支持信息服务的通讯线路和电力线缆应该受到保护以免被侦听和毁坏。

4。

5.2.4 设备维护
设备应当根据制造商的说明和使用手册来维护，以保证连续性的可靠性和完整性。

4.5。

2.5 在机构外部使用设备时应注意的安全性
对在机构外部使用的设备应当建立安全程序和控制.
4。

5.2.6 设备应该被安全地处理掉和再使用
在设备被处理掉和再使用以前应当删除设备含有的所有信息。

4。

5。

3 一般控制
目标:防止信息和信息处理工具遭受危害和被偷窃。

4。

5。

3。

1 清洁桌面与清洁屏幕策略
应当制定并执行清洁桌面与清洁屏幕策略,以减少非授权访问、信息的丢失与毁坏. 4.5。

3.2 资产的删除
属于机构的设备、信息或软件，未经许可不得擅自删除.
4。

6通讯与操作的管理
4.6。

1 操作过程与职责
目标：确保对信息处理设备的操作是正确的、安全的。

11
4。

6.1.1 记录操作过程
4.1。

1。

1中描述的安全策略中标出的操作过程应当被记录并得到相应的维护。

4.6.1。

2 针对操作变化的控制
信息处理工具和系统的任何变化都应当得到控制.
4。

6。

1.3 事件管理程序
应建立必要的事件管理职责和程序以保证对安全事件能做出迅速、有效以及有序的响应。

4。

6。

1.4 职责分离
应对职责进行分离以便于减少对信息和服务的非授权修改和误用。

4。

6.1.5 开发设施与操作设施的分离
在项目完成过程中应当将开发测试设施和操作设施分离开来。

4。

6。

1。

6 外部设施管理
在使用外部设施管理服务之前，应当弄清楚将要面临的风险、采取订约人认可的控制，并合并到合同中.
4。

6.2 系统计划与验收
目标:使系统失败的风险减到最小.
4.6。

2。

1 容量计划
应当监测系统容量需求,并对未来的系统容量需求做出计划，以确保采用合适的处理能力和存储容量。

4。

6.2。

2 系统验收
应对新的信息系统及其升级及新版本建立验收标准,并采取相应的测试。

12
4。

6。

3 针对恶意软件的防护
目标:保护软件及信息的完整性.
4。

6。

3。

1 采取控制来防范恶意软件
使用探测与防范措施来防止恶意软件的侵害，并实现合适的提高用户警觉性的程序。

4。

6。

4 内务处理
目标：维护在信息处理和通讯服务中的数据完整性和可靠性。

4。

6.4.1 信息备份
应对商业信息及软件进行经常性的备份
4。

6.4.2 操作员日志
操作人员应当建立起记录操作的日志。

4.6.4。

3 出错日志
出现的错误应被报告并采取纠正措施。

4.6.5 网络管理
目标:保护网络中的信息及其支持基础设施.
4。

6.5。

1 网络控制
采取一定范围的控制措施以获得及维护网络的安全。

4.6.6 介质处理和安全
目标：防止资产损失及商业活动的中断
4.6。

6.1 计算机可移动介质的管理
计算机可移动介质的管理，包括磁带、磁盘、盒带以及打印出来的报表都应当受到控制.
13
4。

6.6.2 介质处理
当不再使用时，介质应得到安全处理.
4.6。

6。

3 信息处理程序
应建立信息的处理及存储机制以免信息被非法泄漏及误用。

4。

6。

6。

4 系统文档的安全
系统文档应受到保护以免未经授权的访问。

4。

6.7 信息及软件的交换
目标：防止信息交换过程中信息的丢失、修改及误用。

4。

6。

7。

1 信息和软件的交流协议
应对机构之间的信息和软件交流，不管是以电子方式还是以手工方式，都应当建立正式的协议.
4.6.7.2 传输过程中的介质安全
传输过程中的媒介应受到保护，以免于未经授权的访问、误用和破坏。

4。

6.7.3 电子商务安全
电子商务应当受到保护，使之免受欺诈、合同纠纷、信息泄漏或篡改等行为的危害。

4。

6。

7。

4 电子邮件安全
应该建立电子邮件的使用策略并采取控制措施来减少由于电子邮件的使用而带来的风险。

4。

6。

7。

5 电子办公系统的安全
应采取适当的策略与方针以控制与电子办公系统有关的商业安全风险.
14
4。

6.7.6 信息发布系统的安全
在信息发布以前，应当有个正式的授权过程，并且这些信息的完整性应受到保护以阻止未经授权的修改。

4。

6。

7。

7 其它方式的信息交换
应采取一定的程序与控制以保证信息在使用音频、传真、视频等通讯工具进行传输时的安全性。

4。

7 访问控制
4。

7.1 访问控制的商业需求
目标：控制对特定信息的访问.
4。

7。

1.1 访问控制策略
访问控制的商业需求应当正式定义并形成文档，访问受限于控制策略的规定。

4。

7.2 用户访问管理
目标：防止未经授权的访问.
4.7。

2。

1 用户注册
对于所有的多用户信息系统和服务都应当有一个正式的用户注册与撤销的过程以授予访问权限.
4。

7。

2。

2 特权管理
特权的分配与使用应该受到限制与控制.
4。

7.2。

3 用户口令管理
口令的分配应通过一个正式的管理程序来控制。

15
4。

7.2.4 用户访问权限审查
应当启动一个正式的程序周期性地在一定时间间隔后审查用户的访问权限。

4。

7。

3 用户职责
目标:防止未经授权的用户访问
4。

7.3。

1 口令的使用
用户在口令的选择与使用上应遵从良好的安全实践经验。

4。

7。

3.2 易被忽略的用户设备
用户应保证那些易被忽略的设备得到合适的保护。

4.7.4 网络访问控制
目标：保护网络服务
4.7.4。

1 网络服务的使用策略
用户应当只能够直接访问那些被授权了的服务。

4。

7.4.2 增强的路径
从用户终端到服务器服务的路径应被控制。

4。

7。

4.3 外部连接的用户认证远程用户的访问应经过认证。

4。

7。

4。

4 节点认证
对外部计算机系统的连接应该经过认证。

4。

7.4.5 对远程诊断端口的保护对诊断端口的访问应得到安全的控制.
16
4.7.4。

6 网络隔离
应采取一定的控制措施把网络按照信息服务、用户和信息系统分为不同的组。

4.7。

4。

7 网络连接控制
在共享网络中，用户的连接容量应受到限制,相关访问控制策略请参看4.7。

1。

1。

4。

7.4.8 网络路由控制
共享网络应有路由控制以确保计算机连接与信息流不违背4。

7。

1.1中描述的商业应用的访问控制策略.
4。

7。

4。

9 网络服务的安全性
应提供单位使用的所有网络服务的安全属性的清晰描述。

4。

7。

5 操作系统访问控制
目标：防止未经授权的计算机访问.
4。

7。

5。

1 自动终端认证
应使用自动终端认证系统来对到特定位置和便携式设备的连接. 4.7。

5。

2 终端登录过程
对信息服务的访问应使用安全的登录过程。

4.7。

5。

3 用户标识和认证
所有的用户都应有一个独一无二的标识供他们个人单独使用,这样就可以追踪用户的行为到相应的责任个人。

4。

7。

5。

4 口令管理系统
口令管理系统应提供有效的、交互式的工具来确保口令的质量.
17
4。

7。

5。

5 系统工具的使用
系统工具的使用应受到限制和得到紧密控制。

4。

7.5。

6 用警告信息保护用户
Duress alarm to safeguard users Duress alarm shall be provided for users who might be the target of coercion。

为可能成为监禁目标的用户提供警告信号。

4.7.5。

7 终端超时
高风险地区或与高风险系统相连的非活动终端在处于一段时期的非活动状态后应当断开连接以防止未经授权的用户访问。

4.7。

5。

8 连接时间的限制
应对那些需要采取特殊安全措施的高风险应用使用连接时间的限制。

4。

7.6 应用系统的访问控制
目标:防止对信息系统中信息的未经授权的访问。

4。

7。

6.1 信息访问限制
对信息和应用程序系统功能的访问应受到限制，相关访问控制策略请参看4。

7.1.1。

4。

7.6.2 敏感系统的隔离
敏感系统应当有专用的隔离的运行环境.
4.7。

7 监控对系统的访问和使用
目标:探测未经授权的行为。

18
4。

7。

7。

1 事件日志
应提供对异常事件和与安全相关事件的审计日志，以便于今后的调查和对访问控制的监测。

4.7。

7。

2 监控对系统的使用情况
应建立监控信息处理工具的使用情况的过程，并周期性察看日常监控的结果. 4。

7.7.3 时钟同步
计算机时钟应当同步以便于准确记录日志。

4.7。

8 移动计算与远程工作
目标:确保使用移动计算或远程工作工具时的信息安全.
4。

7。

8.1 移动计算
应采用正规的策略和合适的控制以保护使用移动计算工具的工作安全，尤其是在那些不受保护的环境下工作时。

4.7。

8。

2 远程工作
应设计策略和程序来授权和控制远程工作的活动.
4.8 系统开发与维护
4.8。

1 系统的安全需求
目标:确保信息系统采取了足够的安全措施。

4.8.1.1 安全需求分析与描述
新系统的商业需求或者对现有系统的增强都应该指定对安全控制的需求. 4。

8。

2 应用系统的安全
目标：防止应用软件系统中用户数据的丢失、篡改和误用。

19
4.8。

2。

1 对输入数据进行有效性确认
应用软件系统的输入数据应当经过确认以保证它们是正确、合适的。

4。

8。

2.2 对内部处理的控制
正确性检查应当和系统有机结合,以便检测被处理的数据的退化. 4.8。

2.3 消息认证
应对那些对消息内容完整性有安全需求的应用软件建立消息认证机制。

4.8。

2。

4 对输出数据进行有效性确认
应用软件系统的输出数据应当经过确认以保证对存储的信息的处理是正确合适的。

4。

8。

3 密码控制
目标：保护信息的机密性、真实性和完整性。

4.8。

3。

1 密码控制的使用策略
应建立并遵守用于对信息进行保护的的密码控制的使用策略。

4.8.3。

2 加密应对敏感或机密数据进行加密。

4。

8。

3。

3 数字签名
应采用数字签名方法来保护电子信息的真实性与完整性。

4。

8。

3.4 不可否认服务
应使用不可否认服务来解决关于事件是否出现的冲突.
20
4。

8。

3。

5 密钥管理
密钥管理基于一套标准、过程和方法,用来支持密码技术的使用.
4。

8。

4 系统文件的安全性
目标:确保IT项目和支持行为是在安全的模式下进行。

4。

8.4。

1 对业务软件的控制
应对业务系统的软件实现情况进行控制。

4。

8.4.2 对系统测试数据的保护
测试数据应受到保护和控制。

4.8.4。

3 对程序源代码库的访问控制
应对程序源代码库进行严格的访问控制。

4。

8。

5 在软件开发与支持过程中的安全性目标：维护应用软件系统和信息的安全性。

4。

8.5。

1 变化控制程序
信息系统的变化的实现应该通过使用正式的改变控制程序进行严格控制，使信息系统崩溃的
可能性降到最低.
4。

8。

5。

2 针对操作系统变化的技术审查应用系统在操作系统发生变化时应当进行审查和测试。

4。

8。

5.3 限制对软件包的修改
防止对软件包的修改,任何必要的修改应受到严格的控制。

21
4.8。

5。

4 隐蔽信道和特洛依木马代码
软件的购买、使用和修改应受到控制和检测，以避免可能的隐蔽信道和特洛依木马代码. 4。

8。

5。

5 外包软件开发
应采取必要的控制措施来使公开源码的软件开发更安全。

4.9 业务连续性管理
4。

9。

1 业务连续性管理的各个方面
目标：保持业务活动的连续性,保护关键的项目开发过程不受主要失败或灾难的影响。

4。

9.1。

1 业务连续性管理的进程
为了开发与维护整个机构的业务的连续性，应建立一个管理进程。

4.9。

1.2 业务连续性与影响分析
为了业务连续性的整体解决方法,基于合适的风险评估的战略计划应该被制定出来。

4。

9.1。

3 连续性计划的撰写与实施
计划应该被制定以维护和及时恢复已经中断或失败后的关键业务的运行。

4。

9.1。

4 业务连续性计划的框架
应当有一个单独的业务连续性计划被维护以保证所有计划的一致性和确定测试与维护的优先级。

4。

9。

1。

5 测试、维护与重新评估业务连续性计划
项目开发连续性计划应当经常测试与维护以保证该计划是最新的和有效的.
22
4。

10遵循性
4.10.1 与法律要求的一致性
目标：避免与任何刑事或民事法律、法规、规章制度、合同条款以及安全需求发生冲突。

4。

10.1。

1 识别适用的立法
对每一个信息系统都应当明确指出所有相关的法规、规章以及合同要求并形成文档。

4。

10。

1。

2 知识产权
应采取适当的措施以保证在使用与知识产权相关的材料和软件产品时不违反法律规定. 4.10。

1。

3 保护机构的文档记录
重要的机构档案应受到保护，以防止丢失、破坏和假冒.
4。

10。

1。

4 数据保护与个人信息隐私
应根据相关法律采取必要的控制来保护个人信息。

4。

10。

1。

5 防止信息处理设备的误用
应对信息处理设备的使用采用授权管理以防止这些工具的误用.
4。

10。

1。

6 密码控制制度
采取控制措施来保证与用于控制访问和使用密码技术的国家协议、法律法规的一致性. 4。

10.1。

7 证据收集
如果针对个人或机构的行动涉及民事或刑事的法律，则所出示的证物必须与相关法律所列出的条款以及将要受理此案件的法庭的规定相一致.这包括与任何已公布的产生可接受的证据的标准或惯例代号的遵循性。

23
4。

10。

2 安全策略与技术遵循性的复审
目标：确保系统与机构的安全策略和标准相一致。

4。

10。

2。

1 安全策略遵循性
经理应确保本部门所有的安全过程在责任区得到正确实施,并且机构内部的所有部门应当进
行经常性的检查以确保与安全策略和标准相一致。

4。

10.2。

2 技术遵循性检查
应当经常对信息系统进行检查以保证与安全实施标准相一致。

4.10。

3 系统审计的考虑
目标：最大化有效性并最小化对和/或来自系统审计进程的干扰. 4。

10。

3。

1 系统审计控制
应对业务系统的审计做出计划，以便于把业务过程中断的风险降到最低。

4。

10。

3。

2 系统审计工具的保护
系统审计工具的访问应受到保护以防止可能发生的误用或危害。

24。