1 安全策略
| 章节号 | 标题 | 控制项 | 结果 | 结论 | ||
| 1 | 安全策略 | 审计问题 | 发现 | 符合性 | ||
| 1.1 | 信息安全策略 | |||||
| 1.1.1 |
信息安全策略文档 |
信息安全策略应陈述管理层承担的义务并展示组织管理信息安全的方法。策略文档应包含的陈述包含: a)信息安全的定义,总体目标和范畴以及作为促使信息共享机制的安全的重要性。 b)支持符合业务战略和目标的信息安全目标和原则。 c)建立安全控制目标和控制过程的体系,包括风险评估和风险管理。 d)对信息安全策略、原则、标准的简要解释,以及对组织特别重要需求的遵循,包括: 1、符合法律、规章和合约的需求; 2、安全教育、培训、意识的需求; 3、业务持续性管理; 4、违反信息安全策略的后果。 e)信息安全管理者一般和特殊职责的定义,包括报告信息安全事件。 f)可能支持策略的参考文档。用户应遵守的对指定信息系统或安全规则更细致的安全策略和流程。 |
||||
| 1.1.2 |
信息安全策略的检查 |
信息安全策略应有一个经批准的所有者对安全策略的开发、检查、评估负有责任。检查应包括对组织安全策略的改进以及为适应组织环境、业务环境、法律条件、技术环境而采用的管理信息安全的方法的评估。 信息安全策略的检查应考虑管理检查的结果。应存在一定的管理检查流程,包括计划或检查周期。 应维护管理检查的纪录。 对策略的修订应获得管理层的批准。 |
||||
| 2 | 信息安全组织 | 审计问题 | 发现 | 符合性 |
| 2.1 | 内部组织 | |||
| 2.1.1 | 信息安全管理委员会 |
管理需要: a)确保信息安全目标被确定,并统一到相关的流程中去; b)阐述、检查、批准信息安全策略; c)检查信息安全策略贯彻的效果; d)对安全工作提供清楚的方向和可见的管理支持; e)为信息安全提供资源; f)批准贯穿这个组织的信息安全角色和责任的分配; g)发起维护安全意识的计划和程序; h)确保信息安全控制的执行在贯穿整个组织过程中被调整。 管理层应识别对内部或外部专家的信息安全建议,并根据组织情况对建议结果进行检查和调整。 根据组织规模的大小,这些职责可以由专门的管理机构掌握,也可以由现有的管理实体,如董事会等来兼任。 |
||
| 2.1.2 |
信息安全调整 |
信息安全活动应由来自组织内不同部门的、不同的相关角色和工作内容的代表进行调整。 |
||
| 2.1.3 | 信息安全责任分配 | 所有信息安全职责必需明确确定。 | ||
| 2.1.4 | 对信息处理设备的授权步骤 | 一个管理层对新的信息处理设备的授权流程必需别定义和执行。 | ||
| 2.1.5 | 保密协议 | 为保护组织的信息,保密或防止泄露协议的需求应被确定并周期性地检查。 | ||
| 2.1.6 | 与权威机构联系 | 保持与相关的权威机构的适当联系 | ||
| 2.1.7 |
与特定的利益集团联系 |
保持与特定的利益集团或其它专业的安全组织及专业协会的联系。 | ||
| 2.1.8 | 对信息安全进行独立的检查 | 对组织管理信息安全的方法和执行(如信息安全控制目标、控制、策略、过程、流程)应被周期性的独立检查,或在安全执行过程发生重大的变动的时候。 | ||
| 2.2 | 外部 | |||
| 2.2.1 | 识别外部的风险 | 涉及到外部的业务处理过程带来的信息和信息处理设备的风险应被识别,在同意外部访问前应加以适当的控制措施。 | ||
| 2.2.2 | 关注来自客户的安全 | 在客户访问组织的信息或资产前应关注所有被识别出来的安全需求。 | ||
| 2.2.3 | 关注第三方风险 | 涉及到访问、处理、通讯、管理组织的信息或信息处理设备,或为信息处理设备增加产品及服务的第三方协议应覆盖所有的相关的安全需求。 |
| 3 | 资产管理 | 审计问题 | 发现 | 符合性 |
| 3.1 | 资产职责 | |||
| 3.1.1 | 资产调查 | 所有资产必须被识别,并且应对所有重要的资产进行调查并维护调查结果。 | ||
| 3.1.2 | 资产所有权 | 所有信息和与处理信息设备相关的资产应指派给指定的组织成员。 | ||
| 3.1.3 | 可接受的资产使用 | 信息和与处理信息设备相关的资产的可接受的使用规则必须被确定、文档化,并被贯彻。 | ||
| 3.2 |
信息分类 |
|||
| 3.2.1 |
分类指南 |
信息应根据其价值、法律需要、敏感性以及对组织的重要性来进行分类。 | ||
| 3.2.2 |
信息标签处理 |
应开发和贯彻一套适当的信息标签处理流程以符合组织采用的分类方案。 |
| 4 | 人力资源安全 | 审计问题 | 发现 | 符合性 |
| 4.1 |
雇用之前 |
|||
| 4.1.1 |
角色和责任 |
一个综合的策略必须定义和文档化所有雇员、合约人及外部用户的角色和职责。 | ||
| 4.1.2 | 审查 | 应对所有雇员、合约人及外部用户进行广泛的背景调查以确保符合适用的法律、规章和道德。所有访问的信息都应视为机密。 | ||
| 4.1.3 |
雇用条款和条件 |
所有雇员、合约人和外部用户都应签署雇用合同定义其在信息安全方面的责任。 | ||
| 4.2 |
雇用期间 |
|||
| 4.2.1 |
管理责任 |
所有雇员、合约人及外部用户必须在明确的策略基础上使用组织的安全实践。 | ||
| 4.2.2 | 信息安全意识、教育和培训 | 对所有雇员、合约人及外部用户必须由计划地进行安全策略和流程的培训和补充培训。 | ||
| 4.2.3 |
训诫过程 |
对任何造成安全破坏的雇员进行训诫的流程必须存在书面文档并被执行。 | ||
| 4.3 |
雇用终止或变更 |
|||
| 4.3.1 |
终止职责 |
雇用变更或终止流程应被定义并指派给适当的职员负责。 | ||
| 4.3.2 |
资产返还 |
所有雇员、合约人及外部用户在雇用终止后应返还所有组织所有的资产。 | ||
| 4.3.3 |
取消访问权利 |
在所有雇员、合约人及外部用户雇用终止后,应取消所有对组织的信息和设备的访问。 |
| 5 | 物理和环境安全 | 审计问题 | 发现 | 符合性 |
| 5.1 |
安全区域 |
|||
| 5.1.1 |
物理安全边界 |
安全边界(障碍物如墙、入口门禁、有人值守接待处)应被用来保护包含信息和信息处理设备的区域。. | ||
| 5.1.2 |
物理入口控制 |
安全区域应采用适当的入口控制确保只有经过授权的人员才允许访问。 | ||
| 5.1.3 | 保护办公室、房间和设备 | 应设计和采用针对办公室、房间、设备的物理安全措施。 | ||
| 5.1.4 | 防止外部和环境的威胁 | 应设计和采用物理保护措施防止来自火灾、地震、洪水、爆炸、公共暴乱、及其他天灾人祸的危害。 | ||
| 5.1.5 |
在安全区域工作 |
应设计和采用物理保护措施和指南对安全区域的工作进行保护。 | ||
| 5.1.6 | 公共访问、交付和装载区域 | 作为交付、装载及其他未授权人员可能进入的房屋内的点应加以控制,如果可能应与信息处理设备相隔离以避免未授权的访问。 | ||
| 5.2 |
设备安全 |
|||
| 5.2.1 |
设备坐落和保护 |
设备应在可见范围内或加以保护以减少环境威胁和灾害带来的风险,并防止未授权的访问。 | ||
| 5.2.2 |
支持工具 |
应保护设备以防止电源故障或其他支撑性设备导致的中断。 |
||
| 5.2.3 |
电缆安全 |
电源和承载数据或支持信息服务的电缆应摆保护以防止中断和损害。 | ||
| 5.2.4 |
设备维护 |
设备应被正确维护以确保其持续可用性和完整性。 | ||
| 5.2.5 |
离站设备的安全 |
应考虑到组织之外的离站设备所具有的不同风险,而对其采用相应的安全措施。 | ||
| 5.2.6 |
设备的安全处置和重用 |
在处置之前,应检查包含介质在内的所有设备内容以确保所有敏感数据和许可软件已被移出或进行安全写覆盖。 | ||
| 5.2.7 |
可移动资产 |
未经授权,设备、信息或软件不许被带离出去。 |
| 6 | 通讯和操作管理 | 审计问题 | 发现 | 符合性 |
| 6.1 | 操作程序和责任 | |||
| 6.1.1 | 文档化操作流程 | 操作流程应被文档化,被维护,并对所有需要的用户可用。 | ||
| 6.1.2 | 变更管理 | 对信息处理设备和系统的变更应受到控制。 | ||
| 6.1.3 | 岗位分离 | 岗位和责任区应被分离,以减少未授权和无意的对组织资产的更改及滥用。 | ||
| 6.1.4 | 开发、测试和生产设备的隔离 | 开发、测试和生产设备应分开,以减少对生产系统的未授权访问和更改的风险。 | ||
| 6.2 |
第三方服务交付的管理 |
|||
| 6.2.1 | 服务交付 | 确保第三方服务交付协议中包含的安全控制,服务定义,交付层次等内容被第三方贯彻、运行、维护。 | ||
| 6.2.2 | 监控及检查第三方服务 | 第三方提供的服务、报告、记录应有规律地被监控和检查,并应该由规律地执行审计。 | ||
| 6.2.3 |
管理第三方服务的变更 |
对提供服务的变更,包括对现存信息系统的安全策略、流程和控制的维护和改进,应加以管理,并应考虑到再次风险评估涉及的商业系统的重要性和流程。 | ||
| 6.3 |
系统计划和承诺 |
|||
| 6.3.1 |
容量管理 |
应对资源的使用进行监视、调优、改造,使容量需求满足性能要求。 | ||
| 6.3.2 |
系统承诺 |
对全新的、升级的、新版本系统的承诺标准应予建立,并且应在开发和前期承诺前执行适当的系统测试。 | ||
| 6.4 | 对恶意代码和移动代码的防护 | |||
| 6.4.1 | 对恶意代码的控制 | 应采用检测、预防及恢复性控制措施防止恶意代码,并执行适当的用户意识教育流程。 | ||
| 6.4.2 |
对移动代码的控制 |
在授权使用移动代码的地方,应确保该操作依据明确的安全策略,应防止未授权的移动代码执行。 | ||
| 6.5 |
备份 |
|||
| 6.5.1 | 信息备份 | 信息和软件的备份拷贝应定期进行和检测以符合相应的备份策略。 | ||
| 6.6 |
网络安全管理 |
|||
| 6.6.1 | 网络控制 | 网络应被充分管理和控制,以防止威胁及维护使用网络的系统和应用的安全性,包括传输中的信息。 | ||
| 6.6.2 |
网络服务的安全 |
所有网络服务总的安全特性、服务层次和管理需求应在任何网络服务协议中被识别,无论该服务是自身提供或外包。 | ||
| 6.7 |
介质操作 |
|||
| 6.7.1 |
可移动介质管理 |
应存在可移动介质管理的流程。 |
||
| 6.7.2 | 介质处置 | 当不需要继续使用时,应使用正式的流程安全地处置。 | ||
| 6.7.3 |
信息操作程序 |
应建立信息的存储和处理流程以防止未授权的泄漏和滥用。 | ||
| 6.7.4 |
系统文档的安全 |
应保护系统文档防止未授权的访问。 | ||
| 6.8 |
信息交换 |
|||
| 6.8.1 | 信息交换的策略和流程 | 存在正式的交换策略、流程和控制措施以保护使用所有类型通讯设备的信息交换。 | ||
| 6.8.2 | 交换协议 | 应建立组织与外部信息和软件交换的协议。 | ||
| 6.8.3 | 传输的物理介质 | 包含信息的介质应予以保护,以防止在组织物理边界以外传输时遭到未授权的访问、滥用和破坏。 | ||
| 6.8.4 | 电子讯息 | 在电子讯息中涉及的信息应适当加以保护。 | ||
| 6.8.5 | 业务信息系统 | 应开发和执行相应的策略和流程保护业务信息系统之间的互联信息。 | ||
| 6.9 |
电子商务服务 |
|||
| 6.9.1 | 电子商务 | 在公共网络上传输的电子商务信息应加以保护以防止欺诈行为、合同纠纷、未授权的泄漏和更改。 | ||
| 6.9.2 | 在线交易 | 在线交易信息应加以保护以防止为完成的传送、错误路由、未授权消息更改、未授权泄漏、未授权消息复制和重放。 | ||
| 6.9.3 | 公开可用信息 | 在公开系统中可用的信息应保护其完整性,防止未授权的更改。 | ||
| 6.10 |
监测 |
|||
| 6.10.1 | 审计日志 | 记录用户行为、例外、信息安全事件的审计日志应被使用并保存一个指定的周期,用于帮助未来的调查和访问控制监测。 | ||
| 6.10.2 | 监测系统使用 | 应建立监测信息处理设备使用情况的流程,并周期性检查监测的结果。 | ||
| 6.10.3 | 日志信息的保护 | 日志设备和信息应予以保护,防止篡改和未授权的访问。 | ||
| 6.10.4 | 管理和操作日志 | 系统管理和操作行为应被记录。 | ||
| 6.10.5 | 故障日志 | 故障应被记录、分析、并采取适当的行动。 | ||
| 6.10.6 | 时间同步 | 应使用一个指定的、精确的时间源来同步一个组织或安全域内所有相关信息处理设备的时间。 |
| 7 | 访问控制 | 审计问题 | 发现 | 符合性 |
| 7.1 |
访问控制的业务需求 |
|||
| 7.1.1 | 访问控制策略 | 应根据业务和安全需要建立一套访问控制策略,该策略应予文档化并被复查。 | ||
| 7.2 |
用户访问管理 |
|||
| 7.2.1 | 用户注册 | 应存在正式的注册和注销流程,用于批准和撤销对信息系统和服务的访问。 | ||
| 7.2.2 | 权限管理 | 权限的分配和使用应受到限制和控制。 | ||
| 7.2.3 | 用户口令管理 | 应通过正式的管理程序进行口令的分配。 | ||
| 7.2.4 | 用户访问权利检查 | 管理部门应使用一个正式流程定期检查用户访问权利。 | ||
| 7.3 |
用户责任 |
|||
| 7.3.1 | 口令使用 | 应要求用户根据良好的安全实践进行密码的选择和使用。 | ||
| 7.3.2 | 用户自助设备 | 用户应确保自助设备被适当保护 | ||
| 7.3.3 | 桌面和屏幕清除策略 | 应采用有关纸张和可移动存储介质的桌面清除策略以及对信息处理设备的屏幕清除策略。 | ||
| 7.4 |
网络访问控制 |
|||
| 7.4.1 | 使用网络服务的策略 | 只应该提供给用户他们被指定授权使用的服务。 | ||
| 7.4.2 | 对外部连接的用户认证 | 远程用户的访问应使用适当的认证方法。 | ||
| 7.4.3 | 网络中的设备识别 | 可以使用自动设备识别技术来认证从指定位置和设备来的连接。 | ||
| 7.4.4 | 远程维护和端口配置保护 | 远程维护和端口配置的物理或逻辑访问应受到控制。 | ||
| 7.4.5 | 网络隔离 | 信息服务、用户和系统的不同分组应予以网络隔离。 | ||
| 7.4.6 | 网络连接控制 | 对于共享网络,尤其是扩展到组织边界外的,用户连接到网络的能力应受到限制,以符合访问控制策略和业务应用的需要。 | ||
| 7.4.7 | 网络路由控制 | 应在网络上部署路由控制以确保计算机连接和信息流不会破坏业务应用的访问控制策略。 | ||
| 7.5 | 操作系统访问控制策略 | |||
| 7.5.1 | 安全登录流程 | 应使用安全登录流程控制对操作系统的访问。 | ||
| 7.5.2 | 用户识别和认证 | 所有的用户应具有个人使用的用户ID,并选择适当的认证技术认证用户身份。 | ||
| 7.5.3 | 口令管理系统 | 管理口令的系统应使交互式的并应保证口令的质量。 | ||
| 7.5.4 | 系统工具的使用 | 对能够超越系统及应用控制权限的系统工具的使用应受到限制并严格控制。 | ||
| 7.5.5 | 会话超时 | 非活动状态的会话应在超过一定预先定义的期限后关闭。 | ||
| 7.5.6 | 连接时间限制 | 限制连接的时间能够对高风险的应用提供额外的安全。 | ||
| 7.6 | 应用及信息的访问控制 | |||
| 7.6.1 | 信息访问限制 | 用户和支持人员对应用系统和信息的访问应受到限制以符合规定的访问控制策略。 | ||
| 7.6.2 | 敏感系统隔离 | 敏感系统应使用专门的,隔离的环境。 | ||
| 7.7 |
移动计算和远程办公 |
|||
| 7.7.1 | 移动计算机和通信 | 应存在一个正式的策略并采用适当的安全措施来保护使用移动计算机和通讯设备,防止带来的风险。 | ||
| 7.7.2 | 远程办公 | 应对远程办公行为开发和贯彻一个策略、操作计划和流程。 |
| 8 | 系统获得、开发及维护 | 审计问题 | 发现 | 符合性 |
| 8.1 |
信息系统的安全需求 |
|||
| 8.1.1 | 安全需求分析及说明书 | 在新的信息系统和进行改造的现有系统的业务需求陈述书中应指定安全需求。 | ||
| 8.2 | 应用系统中的纠正性处理措施 | |||
| 8.2.1 | 数据输入验证 | 对应用系统的数据输入应验证以保证数据是正确和适当的。 | ||
| 8.2.2 | 内部处理的控制 | 验证检查应集成在应用系统中用于检测因处理错误及有意的行为造成的数据破坏。 | ||
| 8.2.3 | 消息完整性 | 确保应用系统中各种消息的真实完整性的需求应被识别,且此识别和实现过程应得到适当的识别和控制。 | ||
| 8.2.4 | 输出数据验证 | 应用系统中的数据输出应被验证以确保存储信息的处理是正确的、适应于当前情况的。 | ||
| 8.3 |
加密控制 |
|||
| 8.3.1 | 加密使用的策略控制 | 应开发和部署使用加密方法保护信息的策略。 | ||
| 8.3.2 | 密钥管理 | 当组织使用加密技术时应存在相应的密钥管理方法。 | ||
| 8.4 |
系统文件的安全 |
|||
| 8.4.1 | 生产软件的控制 | 应存在相应的流程控制安装在生产系统中的软件。 | ||
| 8.4.2 | 系统测试文件的保护 | 测试数据应仔细选择、保护和控制。 | ||
| 8.4.3 | 程序源代码的访问控制 | 应限制访问程序源代码。 | ||
| 8.5 | 开发和支持过程中的安全 | |||
| 8.5.1 | 变更控制流程 | 应使用正式的变更流程来控制变更的执行。 | ||
| 8.5.2 | 在操作系统变更后进行应用的技术检查 | 操作系统变更时,应检查和测试重要的业务系统,以保证没有对组织的业务操作和安全造成不利影响。 | ||
| 8.5.3 | 限制对软件包的更改 | 所有对软件包的更改应严格控制,只限于必要的更改。 | ||
| 8.5.4 | 信息泄露 |
预防导致信息泄露的机会。 |
||
| 8.5.5 | 外包软件开发 |
组织用对外包软件的开发予以指导管理和监督。 |
||
| 8.6 | 技术弱点管理 | |||
| 8.6.1 | 技术弱点的控制 |
应定时获取正在使用中的信息系统的技术弱点,通过弱点评估暴露的问题,适当的度量相关联的风险。 |
| 9 | 事件管理 | 审计问题 | 发现 | 符合性 |
| 9.1 | 报告信息安全事件及弱点 | |||
| 9.1.1 | 报告信息安全事件 | 所有信息安全事件应尽可能快地报告给适当的管理部门。 | ||
| 9.1.2 | 报告信息安全弱点 | 所有使用信息系统和服务的员工应对察觉到的弱点进行报告。 | ||
| 9.2 | 信息安全事件和改进的管理 | |||
| 9.2.1 | 责任和流程 | 应建立管理部门的责任和期望以便对信息系统事件进行快速有效的响应。 | ||
| 9.2.2 | 从信息安全事件中学习 | 应使用一定的度量值来识别、监视安全事件的类型、数量和代价。 | ||
| 9.2.3 | 证据收集 | 无论是否采用司法行为,信息安全事件的证据应总是被收集、保存并依照一定规则提交给相关权限部门。 |
| 10 | 商业持续性管理 | 审计问题 | 发现 | 符合性 |
| 10.1 | 商业持续性中的信息安全方面 | |||
| 10.1.1 |
在商业持续性管理中包含信息安全 |
在组织中应为商业性持续计划开发和贯彻一套管理流程用于建立必要的信息安全需求,以保证组织及其业务的稳定性。 |
||
| 10.1.2 |
商业持续性及风险评估 |
识别可能导致组织中断的事件,这种中断的可能性及后果,以及对信息安全的直接影响 |
||
| 10.1.3 |
开发并贯彻包含信息安全的商业持续性计划 |
应建立持续性计划以便在重要的业务进程中断时能够在一定期限内安全地恢复业务操作和可用的信息。 | ||
| 10.1.4 |
商业持续性计划架构 |
在所有领域内应保证商业持续性计划的一致性,包括信息安全需求,并对测试和维护的优先级一视同仁。 |
||
| 10.1.5 |
商业持续性计划的测试、维护以及重新评估 |
商业持续性计划应有规律地被测试、评估、升级以确保最新和有效性。 |
| 11 | 符合性 | 审计问题 | 发现 | 符合性 |
| 11.1 |
符合法律需要 |
|||
| 11.1.1 |
识别适用的法律 |
所有的相关法律、规章、合约的要求以及组织满足上述要求的方法都应按系统和单位明确定义、文档化并及时更新。 | ||
| 11.1.2 |
知识产权 |
在使用具有所有权的软件产品及其它只是产权产品时应存在适当的流程以保证符合法律、规章、合约的需要。 | ||
| 11.1.3 | 组织记录的保护 | 依照法律、规章、合约的要求重要的记录应被保护以防止丢失、破坏、篡改。 | ||
| 11.1.4 |
个人私有信息和数据的保护 |
私有信息和数据的保护应确信符合法律、规章以及可能的合约条目。 | ||
| 11.1.5 | 防止信息处理设备的滥用 | 应阻止用户因未授权的目的而使用信息处理设备 | ||
| 11.1.6 | 加密控制的规则 | 加密控制的使用应符合所有相关协议、法律以及规章 | ||
| 11.2 | 遵循安全策略、标准以及技术符合性 | |||
| 11.2.1 |
遵循安全策略和标准 |
管理者应确保自己负责领域的所有安全流程正确执行以符合安全策略和标准。 | ||
| 11.2.2 | 技术符合性检查 |
信息系统应由规律地被检查以符合安全实施标准。 |
||
| 11.3 |
信息系统审计需要考虑的问题 |
|||
| 11.3.1 |
信息系统审计控制 |
对业务系统的审计需求和行为应仔细计划并最小化对业务过程的风险。 | ||
| 11.3.4 | 保护信息系统审计工具 | 对可访问信息系统的审计工具应加以保护以防止任何滥用和安全威胁的可能。 |
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
