伪黔中华人民共和国国家标准信息技术信息安全管理实用规则发布实施中华人民共和国国家质量监督检验检疫总局小辈秘埔瞥趟臀豁荟发布前言本标准修改采用信息技术信息安全管理实用规则英文版本标准适当做了一些修改在中增加了使用国家主管部门审批的密码算法和密码产品作为修改内容本标准由中华人民共和国信息产业部提出本标准由全国信息安全标准化技术委员会归口本标准由中国电子技术标准化研究所中国电子科技集团第三十研究所上海三零卫士信息安全有限公司中国电子科技集团第研究所北京思乐信息技术有限公司负责起草本标准主要起草人黄家英林望重魏忠林中王新杰罗锋盈陈星引言什么是信息安全像其他重要业务资产一样信息也是一种资产它对一个组织具有价值因此需要加以合适地保护信息安全防止信息受到的各种威胁以确保业务连续性使业务损害减至最小使投资回报和业务机会最大信息可能以各种形式存在它可以打印或写在纸上以电子方式存储用邮寄或电子手段发送呈现在胶片上或用言语表达无论信息采用什么形式或者用什么方法存储或共享都应对它进行适当地保护信息安全在此表现为保持下列特征保密性确保信息仅被已授权访问的人访问完整性保护信息及处理方法的准确性和完备性可用性确保已授权用户在需要时可以访问信息和相关资产信息安全是通过实现一组合适控制获得的控制可以是策略惯例规程组织结构和软件功能需要建立这些控制以确保满足该组织的特定安全目标为什么需要信息安全信息和支持过程系统和网络都是重要的业务资产信息的保密性完整性和可用性对维持竞争优势现金流转赢利守法和商业形象可能是必不可少的各组织及其信息系统和网络日益面临来自各个方面的安全威胁这些方面包括计算机辅助欺诈间谍活动恶意破坏毁坏行为火灾或水灾诸如计算机病毒计算机黑客捣乱和拒绝服务攻击已经变得更普遍更有野心和日益高科技对信息系统和服务的依赖意味着组织对安全威胁更为脆弱公共网络和专用网络的互连和信息资源的共享增加了实现访问控制的难度分布式计算的趋势已削弱集中式控制的有效性许多信息系统已不再单纯追求设计成安全的因为通过技术手段可获得的安全性是有限的应该用合适的管理和规程给予支持标识哪些控制要到位需要仔细规划并注意细节信息安全管理至少需要该组织内的所有员工参与还可能要求供应商消费者或股票持有人的参与外界组织的专家建议可能也是需要的如果在制定要求规范和设计阶段把信息安全控制结合进去那么该信息安全控制就会更加经济和更加有效如何建立安全要求最重要的是组织标识出它的安全要求有二个主要来源第一个来源是由评估该组织的风险所获得的通过风险评估标识出对资产的威胁评价易受威胁的脆弱性和威胁出现的可能性和预测威胁潜在的影响第二个来源是组织贸易伙伴合同方和服务提供者必须满足的法律法规规章和合同的要求第三个来源是组织开发支持其运行的信息处理的特定原则目标和要求的特定集合评估安全风险安全要求是通过安全风险的系统性评估予以标识用于控制的经费需要针对可能由安全故障导致的业务损害加以平衡风险评估技术可适用于整个组织或仅适用于组织的某些部门若这样做切实可行现实和有帮助该技术也适用于各个信息系统特定系统部件或服务风险评估要系统地考虑以下内容可能由安全故障导致的业务损害要考虑到信息或其他资产的保密性完整性或可用性丧失的潜在后果从最常见的威胁和脆弱性以及当前所实现的控制来看有出现这样一种故障的现实可能性评估的结果将帮助指导和确定合适的管理行动以及管理信息安全风险和实现所选择控制的优先级以防范这些风险评估风险和选择控制的过程可能需要进行许多次以便涵盖组织的不同部门或各个信息系统重要的是对安全风险和已实现的控制进行周期性评审以便考虑业务要求和优先级的变更考虑新的威胁和脆弱性证实控制仍然维持有效和合适根据先前评估的结果评审宜在不同深度级别进行以及在管理层准备接受的更改风险级别进行作为高风险区域优化资源的一种手段风险评估通常首先在高级别进行然后在更细的级别进行以提出具体的风险选择控制一旦安全要求已被标识则应选择并实现控制以确保风险减少到可接受的程度控制可以从本标准或其他控制集合中选择或者当合适时设计新的控制以满足特定需求有许多不同的管理风险的方法本标准提供常用方法的若干例子然而需要认识到有些控制不适用于每种信息系统或环境并且不是对所有组织都可行作为一个例子描述如何分割责任以防止欺诈或出错在较小的组织中分割所有责任是不太可能的获得相同控制目标的其他方法可能是必要的作为另一个例子和描述如何监督系统使用及如何收集证据所描述的控制例如事件记录可能与适用的法律相冲突诸如消费者或在工作场地内的隐私保护控制应根据与风险减少相关的实现成本和潜在损失如果安全违规出现予以选择也应考虑诸如丧失信誉等非金钱因素本标准中的某些控制可认为是信息安全管理的指导原则并且可用于大多数组织下面在题为信息安全起点中更详细解释这些控制信息安全起点许多控制可认为是为实现信息安全提供良好起点的指导原则它们或者是基于重要的法律性要求或者被认为是信息安全常用的最佳惯例从法律的观点看对某个组织重要的控制包括个人信息的数据保护和隐私见保护组织的记录见知识产权见认为是信息安全常用最佳惯例的控制包括信息安全策略文档见信息安全职责的分配见信息安全教育和培训见报告安全事故见业务连续性管理见这些控制适用于大多数组织和环境应注意虽然本标准中的所有控制都是重要的但是从某个组织正面临的特定风险来看应确定任一控制的贴切性因此虽然上述方法被认为是一种良好的起点但它并不取代选择基于风险评估的控制关键的成功因素经验已经表明下列因素通常对某个组织能否成功实现信息安全是关键的反映业务目标安全策略目的以及活动符合组织文化的实现安全的方法来自管理层的可视支持和承诺正确理解安全要求风险评估和风险管理向所有管理者和员工传达有效的安全需求向所有员工和合同商分发关于信息安全策略和标准的指导提供合适的培训和教育有一个综合和平衡的度量系统它可用来评估信息安全管理的执行情况以及反馈改进建议开发你自己的指南本实用规则可以认为是开发组织具体指导的起点本实用规则中的指导和控制并不全都是可用的而且可以要求本标准中未包括的附加控制当发生这种情况时保持交叉引用可能是有用的该交叉引用便于审核员和业务方进行符合性检验信息技术信息安全管理实用规则范围本标准对信息安全管理给出建议供负责在其组织启动实施或维护安全的人员使用本标准为开发组织的安全标准和有效的安全管理做法提供公共基础并提供组织间交往的信任本标准的推荐内容应按照适用的我国法律和法规加以选择和使用术语和定义下列术语和定义适用于本标准信息安全保持信息的保密性完整性和可用性保密性确保信息仅被已授权访问的人访问完整性保护信息及处理方法的准确性和完备性可用性确保已授权用户在需要时可以访问信息和相关资产风险评估对信息和信息处理设施的威胁影响及信息和信息处理设施自身的脆弱性以及它们出现的可能性的评估风险管理相对可接受的费用而言标识控制和尽量减少或消除可能影响信息系统的安全风险的过程安全策略信息安全策略目的提供管理方向和支持信息安全管理层应制定清晰的策略方向并通过在整个组织中颁发和维护信息安全策略来表明对信息安全的支持和承诺信息安全策略文档策略文件要由管理层批准当合适时将其发布并传递给所有员工策略文档应说明管理承诺并提出组织的管理信息安全的途径至少应包括下列指南信息安全定义其总目标和范围以及在信息共享允许机制下安全的重要性见引言管理层意图的说明以支持信息安全的目标和原则对组织特别重要的安全策略原则标准和符合性要求的简要说明例如服从法律和合同要求安全教育要求防范和检测病毒和其他恶意软件业务连续性管理安全策略违反的后果安全信息管理包括报告安全事故的总职责和特定职责的定义引用可以支持策略的文档例如特定信息系统的更详细的安全策略和规程或用户应遵守的安全规则应以预期的读者适合的可访问的和可理解的形式将策略传递给整个组织的用户评审和评价该策略应有专人负责他按照所定义的评审过程负责其维护和评审该过程应确保根据影响原始风险评估基础的任何变更例如重大的安全事故新的脆弱性和随组织上或技术上的基础设施的变更进行相应的评审还要安排下列周期性评审通过所记录安全事故的性质数目和影响证明策略的有效性控制对业务效率和成本的影响技术变更的影响组织的安全信息安全基础设施一目的管理组织范围内的信息安全应建立管理框架以启动和控制组织范围内的信息安全的实施一应建立有管理领导人员参加的相应的管理协调小组以核准整个组织内的信息安全策略指派安全角色以及协调安全的实施若需要要在组织范围内建立专家信息安全建议原始资料并在组织内可利用该资料要发展与外部安全专家的联系以便跟上行业趋势跟踪标准和评估方法并且当涉及安全事故时提供相适应的联络地点应鼓励信息安全的多学科途径例如涉及诸如保险和风险管理等领域内的管理者用户行政管理者应用设计者审核员和安全职员以及专业技术熟练一工人的合作和协作一管理信息安全协调小组信息安全是管理团队所有成员所共同遵守的业务职责因此认为管理协调小组能确保安全举措有清晰的方向和看得见的管理层支持该协调小组要通过合适的承诺和足够的资源来促进组织范围内的安全该协调小组可以是现有管理团体的一部分一般这种协调小组承担下列事项评审和核准信息安全策略和总体职责监督暴露于主要威胁下的信息资产重大变更评审和监督信息安全事故批准增强信息安全的重大举措由一名管理者负责与安全相关的所有活动信息安全协调在大型组织中有必要成立一个由各相关部门的管理代表组成的跨部门的协调小组以协调信息安全控制措施的实施一般地说这样的协调小组执行以下方面的工作商定整个组织中信息安全的特定角色和职责商定信息安全的特定方法和过程例如风险评估安全分类体系商定和支持组织范围的信息安全举措例如安全意识教育计划确保安全是信息规划过程的一部分评估新系统或服务的特定信息安全控制的充分程度并协调实施这些控制评审信息安全事故促进整个组织信息安全的业务支持的可视性信息安全职责的分配保护各种资产以及进行特定安全处理的职责应予以清晰地定义信息安全策略见第章应对组织内的安全角色和职责的分配提供全面指导若需要应用特定场地系统或服务用的更详细的指导予以补充各个物理及信息资产和安全过程诸如业务连续性规划的局部职责应予以清晰的定义在许多组织中将任命一名信息安全管理者全面负责安全的开发和实施并支持控制的标识然而提供控制资源并实施这些控制的职责通常归于各个管理者一种通常的做法是对每一信息资产指定一名责任人因此他对该信息资产的日常安全负责信息资产的责任人可以将他们的安全职责委托给各个管理者或服务提供者尽管如此该责任人仍然最终负责该资产的安全并且他应能确定任何被委托的职责是否已被正确地履行重要的是每个管理者负责的领域要予以清晰的规定特别是应进行下列工作与每个独立系统相关的各种资产和安全过程应予以标识并清晰地定义应商定每一资产或安全过程的管理者职责并且应形成该职责的细节文档授权级别应清晰地予以定义并形成文档信息处理设施的授权过程应建立