信息安全管理

內(nèi)容概要

本書(shū)作為信息安全系列教材之一，在匯總作者及所在團(tuán)隊(duì)多年來(lái)信息安全管理相關(guān)工作的基礎(chǔ)上，還提煉了國(guó)內(nèi)和國(guó)際上信息安全管理方面的最新成果。本書(shū)在保證知識(shí)點(diǎn)講解精煉的基礎(chǔ)上，全面吸納了最新國(guó)內(nèi)外信息安全管理相關(guān)標(biāo)準(zhǔn)和指南的內(nèi)容，能夠反映出信息安全管理理及與方法的研究和應(yīng)用現(xiàn)狀?！　”緯?shū)內(nèi)容共9章。第1章是緒論。第2章是信息安全控制規(guī)范。第3章是信息系統(tǒng)安全審計(jì)。第4章是信息安全事件管理。第5章是信息安全風(fēng)險(xiǎn)評(píng)估。第6章是信息安全管理體系實(shí)施。第7章是信息安全測(cè)評(píng)認(rèn)證。第8章是信息安全工程管理。第9章是信息安全法規(guī)標(biāo)準(zhǔn)?！　”緯?shū)適用于高等院校通信專(zhuān)業(yè)本科教材，也可作為相關(guān)專(zhuān)業(yè)技術(shù)人員的參考書(shū)目。

書(shū)籍目錄

第1章 緒論　1.1 信息安全管理　1.2 信息安全技術(shù)體系　1.3 信息安全管理方法　1.4 信息安全保障體系　1.5 本書(shū)的內(nèi)容安排　習(xí)題第2章 信息安全控制規(guī)范　2.1 概述　2.2 信息安全策略　2.3 信息安全組織　2.4 資產(chǎn)分類(lèi)和管理　2.5 人員安全　2.6 物理和環(huán)境的安全　2.7 通信和運(yùn)營(yíng)管理　2.8 訪問(wèn)控制　2.9 系統(tǒng)的開(kāi)發(fā)與維護(hù)　2.10 業(yè)務(wù)連續(xù)性管理　2.11 符合性　本章小結(jié)　習(xí)題第3章 信息系統(tǒng)安全審計(jì)　3.1 概述　3.2 安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)　3.3 安全審計(jì)的一般流程　3.4 安全審計(jì)的分析方法　3.5 安全審計(jì)的數(shù)據(jù)源　3.6 信息安全審計(jì)與標(biāo)準(zhǔn)　3.7 計(jì)算機(jī)取證　本章小結(jié)　習(xí)題第4章 信息安全事件管理　4.1 概述　4.2 信息安全事件管理過(guò)程　4.3 信息安全事件分類(lèi)分級(jí)　4.4 應(yīng)急響應(yīng)　4.5 信息安全災(zāi)難恢復(fù)　本章小結(jié)　習(xí)題第5章 信息安全風(fēng)險(xiǎn)評(píng)估　5.1 概述　5.2 信息安全風(fēng)險(xiǎn)評(píng)估策略　5.3 信息安全風(fēng)險(xiǎn)評(píng)估流程　5.4 信息安全風(fēng)險(xiǎn)評(píng)估方法　5.5 風(fēng)險(xiǎn)評(píng)估案例　本章小結(jié)　習(xí)題第6章 信息安全管理體系實(shí)施　6.1 概述　6.2 ISMS實(shí)施模型　6.3 ISMS實(shí)施過(guò)程　6.4 ISMS文件要求　6.5 ISMS審核　6.6 ISMS持續(xù)改進(jìn)　6.7 ISMS實(shí)施案例　6.8 信息安全管理工具　本章小結(jié)　習(xí)題第7章 信息安全測(cè)評(píng)認(rèn)證　7.1 概述　7.2 測(cè)評(píng)認(rèn)證有關(guān)規(guī)范　7.3 測(cè)評(píng)技術(shù)　7.4 信息安全測(cè)評(píng)實(shí)施案例　本章小結(jié)　習(xí)題第8章 信息安全工程管理　8.1 概述　8.2 MM概念　8.3 模型體系結(jié)構(gòu)　8.4 能力級(jí)別概述　8.5 安全性工程過(guò)程區(qū)　8.6 SSE-CMM的使用　本章小結(jié)　習(xí)題第9章 信息安全法規(guī)標(biāo)準(zhǔn)　9.1 概述　9.2 國(guó)外信息安全法規(guī)　9.3 我國(guó)信息安全法規(guī)　9.4 國(guó)外信息安全標(biāo)準(zhǔn)　9.5 我國(guó)信息安全標(biāo)準(zhǔn)　本章小結(jié)　習(xí)題參考文獻(xiàn)

章節(jié)摘錄

第2章　信息安全控制規(guī)范信息安全管理是保障信息系統(tǒng)安全的有力手段，是當(dāng)今世界各國(guó)都在努力推廣與應(yīng)用的重點(diǎn)課題。它涉及的內(nèi)容非常廣泛，包括安全組織架構(gòu)、安全管理制度、人員安全、物理安全、通信安全、訪問(wèn)控制、業(yè)務(wù)連續(xù)性和法律法規(guī)符合性等多方面內(nèi)容。本章的主要內(nèi)容取材于國(guó)際上著名的信息安全管理體系標(biāo)準(zhǔn)BS7799，并結(jié)合我國(guó)的國(guó)情和最新的技術(shù)發(fā)展，為讀者詳細(xì)介紹信息安全管理所涉及的各項(xiàng)安全控制目標(biāo)和控制措施。2.1　概述在全球邁入信息時(shí)代的今天，各國(guó)的企業(yè)都馳騁在信息高速公路上?，F(xiàn)代企業(yè)對(duì)信息的依賴(lài)越來(lái)越強(qiáng)，沒(méi)有各種信息的支持，企業(yè)就不能發(fā)展。事實(shí)上，信息已成為現(xiàn)代企業(yè)的重要資產(chǎn)，成為企業(yè)成功的關(guān)鍵所在。這種資產(chǎn)，需要加以妥善保護(hù)，否則，可能由于黑客攻擊、人員疏忽和自然災(zāi)害等原因，在一瞬間被毀滅、損壞、盜竊或貶值，給企業(yè)帶來(lái)致命的打擊。企業(yè)將如何提高信息安全水平，防范信息資產(chǎn)毀損和泄密風(fēng)險(xiǎn)，保證信息的機(jī)密性、完整性和可用性就顯得越發(fā)重要。BS7799信息安全管理體系標(biāo)準(zhǔn)便是這樣一套為規(guī)范企業(yè)信息安全管理，提高信息安全管理能力水平的標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定，是目前國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，1995年首次發(fā)布BS7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于大、中、小組織。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分BS7799-2《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。2000年12月，BS7799-1：1999（（信息安全管理實(shí)施細(xì)則》得到了國(guó)際標(biāo)準(zhǔn)化組織（ISO）的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)IS0／IEC17799：2000（（信息技術(shù)信息安全管理實(shí)施細(xì)則》，并于2005年進(jìn)行了修訂。2002年9月5日，BS7799-2：2002草案經(jīng)過(guò)廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時(shí)BS7799-2：1999被廢止。2005年10月15Et，BS7799-2：2002正式被國(guó)際標(biāo)準(zhǔn)化組織采納，成為IS0／IEC27001：2005。新標(biāo)準(zhǔn)的正式標(biāo)題為IS0／IEC27001：2005（（信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)要求》。BS7799標(biāo)準(zhǔn)包括如下兩部分：BS7799-1：1999《信息安全管理實(shí)施細(xì)則》BS7799-2：2002《信息安全管理體系規(guī)范》。BS7799-1：1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供的一個(gè)大眾化的最佳慣例。BS7799-2：2002《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。BS7799標(biāo)準(zhǔn)第二部分明確提出安全控制要求，標(biāo)準(zhǔn)第一部分對(duì)應(yīng)給出了通用的控制方法，因此可以說(shuō)，標(biāo)準(zhǔn)第一部分為第二部分的具體實(shí)施提供了指南。但標(biāo)準(zhǔn)中的控制目標(biāo)，控制方式的要求并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。BS7799匯集了優(yōu)秀企業(yè)最佳實(shí)踐，規(guī)范了10個(gè)安全控制區(qū)域，36個(gè)安全控制目標(biāo)和127個(gè)安全控制措施。它以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，采用自頂向下的管理方法，對(duì)組織、人員、流程、技術(shù)、法律法規(guī)、連續(xù)性等實(shí)施全方位安全管理。BS7799的控制細(xì)則包括10個(gè)安全控制區(qū)域。（1）安全策略：為信息安全提供管理指導(dǎo)和支持，通過(guò)在組織內(nèi)發(fā)布和維護(hù)信息安全策略來(lái)表明管理層對(duì)信息安全的支持和承諾。（2）組織的安全：建立信息安全架構(gòu)，保證組織的內(nèi)部管理；并在第三方訪問(wèn)或外協(xié)時(shí)，保障組織的信息安全。（3）資產(chǎn)的分類(lèi)和管理：明確資產(chǎn)責(zé)任，保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)；將信息進(jìn)行歸類(lèi)，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。（4）人員安全：在工作說(shuō)明和資源方面，減少因人為錯(cuò)誤、盜竊、欺詐和設(shè)施誤用造成的風(fēng)險(xiǎn)；加強(qiáng)用戶(hù)培訓(xùn)，確保用戶(hù)清楚地知道信息安全的危險(xiǎn)性和相關(guān)事項(xiàng)，以便在他們的日常工作中支持組織的安全方針。（5）物理與環(huán)境安全：確定安全區(qū)域，防止非授權(quán)訪問(wèn)、破壞、干擾信息；通過(guò)保障設(shè)備安全，防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務(wù)活葫的中斷；采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竊。（6）通信和運(yùn)營(yíng)管理：明確操作程序及其責(zé)任，確保信息處理設(shè)施的正確，安全操作；加強(qiáng)系統(tǒng)策劃與驗(yàn)收，減少系統(tǒng)失效風(fēng)險(xiǎn)；防范惡意軟件以保持軟件和信息的完整性；加強(qiáng)網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護(hù)；通過(guò)保護(hù)媒體處理的安全，防止資產(chǎn)損壞和商務(wù)活動(dòng)的中斷；加強(qiáng)信息和軟件交換的管理；防止組織間在交換信息時(shí)發(fā)生丟失，更改和誤用。（7）訪問(wèn)控制：按照訪問(wèn)控制的要求，控制信息訪問(wèn)；加強(qiáng)用戶(hù)訪問(wèn)管理，防止非授權(quán)訪問(wèn)信息系統(tǒng)；明確用戶(hù)職責(zé)，防止非授權(quán)的用戶(hù)訪問(wèn)；加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，保護(hù)網(wǎng)絡(luò)服務(wù)程序；力Ⅱ強(qiáng)操作系統(tǒng)訪問(wèn)控制，防止非授權(quán)的計(jì)算機(jī)訪問(wèn)；加強(qiáng)應(yīng)用訪問(wèn)控制，防止非授權(quán)訪問(wèn)系統(tǒng)中的信息；通過(guò)監(jiān)控系統(tǒng)的訪問(wèn)與使用，監(jiān)測(cè)非授權(quán)行為；在移動(dòng)式計(jì)算和電傳工作方面，確保使用移動(dòng)式計(jì)算工作設(shè)施的信息安全。（8）系統(tǒng)開(kāi)發(fā)與維護(hù)：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部分；加強(qiáng)應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶(hù)數(shù)據(jù)的丟失、被修改或誤用；加強(qiáng)密碼技術(shù)控制，保護(hù)信息的保密性，可靠性或完整性；加強(qiáng)系統(tǒng)文件的安全，確保IT方案及其支持活動(dòng)以安全的方式進(jìn)行；加強(qiáng)開(kāi)發(fā)和支持過(guò)程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全。（9）業(yè)務(wù)連續(xù)性管理：防止業(yè)務(wù)活動(dòng)的中斷及保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大失誤或?yàn)?zāi)難事故的影響。（10）符合性：使信息安全活動(dòng)符合法律法規(guī)要求，避免與刑法、民法、有關(guān)法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強(qiáng)安全方針和技術(shù)符合性評(píng)審，確保體系按照組織的安全方針及標(biāo)準(zhǔn)執(zhí)行?，F(xiàn)在，BS7799標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，依據(jù)BS7799建立信息安全管理體系并獲得認(rèn)證已經(jīng)成為世界潮流。組織可以參照信息安全管理模型，按照BS7799標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并進(jìn)行實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性，提高企業(yè)的社會(huì)形象和市場(chǎng)競(jìng)爭(zhēng)力。.　　2005年修訂后的IS0／IEC17799較BS7799-1有一些變更，主要表現(xiàn)在增加了“信息安全事件管理”這一安全控制區(qū)域，基于本書(shū)有專(zhuān)門(mén)一章內(nèi)容討論信息安全事件管理，因而本章為讀者介紹修訂前的BS7799-1的10個(gè)安全控制區(qū)域的詳細(xì)內(nèi)容，而不討論信息安全事件管理。2.2　信息安全策略信息安全策略的目標(biāo)是為信息安全提供管理指導(dǎo)和支持。一個(gè)組織的管理層應(yīng)當(dāng)提出一套清晰的策略指導(dǎo)，并且通過(guò)在組織內(nèi)發(fā)布和維護(hù)信息安全策略來(lái)表明對(duì)信息安全的支持和承諾。落實(shí)信息安全策略的基本措施包括：信息安全策略文檔的建立，信息安全策略文檔的復(fù)查和評(píng)價(jià)。1.　信息安全策略文檔信息安全策略文檔應(yīng)當(dāng)聲明管理者的承諾，闡明一個(gè)組織實(shí)現(xiàn)信息安全的途徑。該策略文檔至少應(yīng)當(dāng)包括以下指導(dǎo)性?xún)?nèi)容：（1）信息安全的定義，它的總體目標(biāo)和范圍以及安全保密性作為信息共享的許可機(jī)制的重要性。（2）對(duì)管理意圖、總體信息安全的目標(biāo)和原理的簡(jiǎn)單說(shuō)明。（3）簡(jiǎn)短的說(shuō)明安全策略、原理、標(biāo)準(zhǔn)和對(duì)該組織具有特殊重要意義的符合性要求，例如：符合法律規(guī)定和合同要求；安全教育的需求；病毒和其他惡意軟件的阻止及檢測(cè)；業(yè)務(wù)連續(xù)性管理；違反安全管理策略的后果。（4）定義信息安全管理包括報(bào)告安全事故的一般性責(zé)任和特殊性責(zé)任。（5）參考可能支持該策略的文獻(xiàn)資料，例如，針對(duì)特殊的信息系統(tǒng)或者用戶(hù)應(yīng)當(dāng)遵守的安全規(guī)則以及更為詳盡的安全策略和程序。信息安全策略文檔需要以一種容易理解的和易于接受的方式在整個(gè)組織中公開(kāi)。2.　信息安全策略文檔復(fù)查和評(píng)價(jià)信息安全策略文檔需要專(zhuān)人依據(jù)確定的程序進(jìn)行檢查。程序能夠確保出現(xiàn)重大安全事故、發(fā)現(xiàn)新的易損性、組織基本機(jī)構(gòu)變更或新的技術(shù)引入時(shí)，檢查工作能夠被觸發(fā)，同時(shí)，程序還包括指定內(nèi)容的定期檢查，比如：策略的效率，由所記錄的安全事故的性質(zhì)、次數(shù)和影響來(lái)表示；對(duì)業(yè)務(wù)效率管理的成本和影響；技術(shù)變革的影響。2.3　信息安全組織2.3.1　信息安全的基本架構(gòu)組織為啟動(dòng)和控制信息安全的實(shí)施，需要建立適當(dāng)?shù)男畔踩芾砑軜?gòu)。管理層要建立適當(dāng)?shù)墓芾韱?wèn)題論壇，以便確認(rèn)信息安全策略、指派安全角色并在組織中協(xié)調(diào)安全措施的實(shí)施。為跟上技術(shù)發(fā)展趨勢(shì)、監(jiān)控安全標(biāo)準(zhǔn)和測(cè)評(píng)方法并在處理意外安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)，組織應(yīng)當(dāng)加強(qiáng)與外部的信息安全專(zhuān)家的聯(lián)系。組織要鼓勵(lì)發(fā)展綜合信息安全解決方案，這類(lèi)綜合解決方案可能涉及經(jīng)理、用戶(hù)、管理員、應(yīng)用程序設(shè)計(jì)人員、審計(jì)人員和安全人員的協(xié)調(diào)和合作，以及在一些領(lǐng)域的專(zhuān)門(mén)技術(shù)，比如保險(xiǎn)和風(fēng)險(xiǎn)管理。1.　管理信息安全論壇信息安全是一項(xiàng)由所有管理層成員共同承擔(dān)的運(yùn)營(yíng)責(zé)任。因此組織要考慮建立一個(gè)管理論壇，以確保從管理上對(duì)安全進(jìn)行支持，并且使這種支持有一個(gè)清晰的方向。該論壇應(yīng)當(dāng)通過(guò)適當(dāng)?shù)某兄Z責(zé)任和足夠的資源配置來(lái)提高組織內(nèi)部的安全性。此論壇可以是現(xiàn)有管理機(jī)構(gòu)的一部分。通常情況下，論壇承擔(dān)以下責(zé)任：（1）檢查并批準(zhǔn)信息安全策略和總的責(zé)任。（2）當(dāng)信息資產(chǎn)暴露在大多數(shù)威脅之下時(shí)，檢測(cè)所發(fā)生的重要變動(dòng)。（3）復(fù)查并監(jiān)測(cè)信息安全事故。（4）支持重要的創(chuàng)新，以加強(qiáng)信息安全。2.　信息安全協(xié)作在一個(gè)大型組織中，管理層代表的多功能論壇對(duì)于協(xié)調(diào)處理信息安全策略的執(zhí)行是十分必要的。這些管理層的代表都來(lái)自于組織的相關(guān)部門(mén)。一般而言，這樣的論壇能夠：（1）批準(zhǔn)整個(gè)組織內(nèi)安全管理的特殊角色和責(zé)任。（2）批準(zhǔn)信息安全的特殊方法和程序，例如，風(fēng)險(xiǎn)評(píng)估，安全分級(jí)系統(tǒng)。（3）批準(zhǔn)并支持整個(gè)組織范圍內(nèi)的信息安全能動(dòng)性，例如，安全意識(shí)計(jì)劃。（4）確保安全性是信息規(guī)劃過(guò)程的一部分。（5）評(píng)價(jià)適當(dāng)性并協(xié)調(diào)對(duì)新系統(tǒng)或者服務(wù)的特殊安全管理措施的實(shí)施。（6）應(yīng)對(duì)信息安全事故。（7）提高在整個(gè)組織內(nèi)對(duì)信息安全業(yè)務(wù)支持的可見(jiàn)性。3.　信息安全責(zé)任的分配保護(hù)個(gè)人資產(chǎn)的責(zé)任和執(zhí)行特殊安全程序的責(zé)任應(yīng)當(dāng)清楚地定義。信息安全策略應(yīng)當(dāng)提供在組織中確定安全角色和分配安全責(zé)任的一般性指導(dǎo)。如果需要的話，這些指導(dǎo)還應(yīng)當(dāng)針對(duì)特殊的地點(diǎn)、系統(tǒng)或者范圍補(bǔ)充上更為詳細(xì)的指導(dǎo)。對(duì)個(gè)人生命財(cái)產(chǎn)和信息資產(chǎn)所承擔(dān)的局部責(zé)任應(yīng)當(dāng)清晰界定，對(duì)安全程序比如業(yè)務(wù)連續(xù)性規(guī)劃所承擔(dān)的局部責(zé)任也應(yīng)當(dāng)明確定義。很多的組織會(huì)指定一個(gè)信息安全負(fù)責(zé)人，由其總體負(fù)責(zé)信息安全的發(fā)展和實(shí)現(xiàn)并管理措施的確定。然而，資源配置和實(shí)現(xiàn)管理措施的責(zé)任常常留給單獨(dú)的管理者。通常的做法是為每項(xiàng)信息資產(chǎn)指派一個(gè)所有權(quán)人來(lái)負(fù)責(zé)其日常安全。信息資產(chǎn)的所有權(quán)人可以把他們的安全責(zé)任委派給單獨(dú)的管理者或者服務(wù)提供商。盡管如此，所有權(quán)人仍然對(duì)此資產(chǎn)的安全負(fù)有最終的責(zé)任，并且所有權(quán)人應(yīng)當(dāng)能夠確定任何責(zé)任錯(cuò)誤分配的情況。每一個(gè)管理者所負(fù)責(zé)的領(lǐng)域要清晰地闡明，這一點(diǎn)非常重要，特別是在下述情況發(fā)生時(shí)：（1）對(duì)于不同種類(lèi)資產(chǎn)的安全程序和與各自系統(tǒng)相關(guān)的安全程序，都應(yīng)當(dāng)進(jìn)行識(shí)別并清楚地定義。（2）負(fù)責(zé)每項(xiàng)資產(chǎn)或者安全過(guò)程的管理者都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)，而且應(yīng)當(dāng)把此項(xiàng)責(zé)任的細(xì)節(jié)記錄在案。（3）授權(quán)等級(jí)應(yīng)當(dāng)清楚地定義并記錄。4.　信息處理方法的授權(quán)過(guò)程對(duì)新的信息處理方法應(yīng)當(dāng)建立管理授權(quán)過(guò)程：（1）新的信息處理方法應(yīng)當(dāng)有相應(yīng)的客戶(hù)授權(quán)，贊同其目的和用途，還應(yīng)當(dāng)獲得負(fù)責(zé)維護(hù)當(dāng)?shù)匦畔⑾到y(tǒng)安全環(huán)境的管理人員的同意，以確保滿(mǎn)足所有相關(guān)策略和需要。（2）在需要的時(shí)候，檢測(cè)硬件和軟件以確保它們和系統(tǒng)的其他組成部分互相兼容。（3）對(duì)處理業(yè)務(wù)信息的個(gè)人信息處理程序的使用和任何必須的控制手段都應(yīng)當(dāng)經(jīng)過(guò)授權(quán)。（4）在工作場(chǎng)所中使用個(gè)人信息處理程序可能導(dǎo)致新的危險(xiǎn)，因此需要進(jìn)行評(píng)估和授權(quán)。上述這些管理措施在網(wǎng)絡(luò)化的環(huán)境中尤其重要。5.　信息安全專(zhuān)家的建議許多組織可能都需要安全專(zhuān)家的建議。理想的狀況是，一位有經(jīng)驗(yàn)的內(nèi)部信息安全專(zhuān)家可以提供這些建議。并不是所有的組織都愿意雇用一位咨詢(xún)專(zhuān)家。在這種情況下，建議確定一位專(zhuān)門(mén)人員來(lái)協(xié)調(diào)內(nèi)部的安全知識(shí)和安全經(jīng)驗(yàn)，以確保處理問(wèn)題時(shí)的連續(xù)性并協(xié)助做出安全決策。他們還應(yīng)當(dāng)能夠找到適當(dāng)?shù)耐獠孔稍?xún)專(zhuān)家來(lái)提供超出他們經(jīng)驗(yàn)范圍的專(zhuān)業(yè)建議。信息安全建議者或者具有相同作用的聯(lián)系人應(yīng)當(dāng)擔(dān)負(fù)就信息安全的所有方面提供建議的任務(wù)。他們要么自己提出建議，要么利用來(lái)自外部的建議。他們對(duì)安全威脅所做評(píng)估的質(zhì)量和對(duì)管理措施的意見(jiàn)決定了該組織的信息安全的效果。為了達(dá)到最大的效用、產(chǎn)生最好影響，應(yīng)當(dāng)允許他們直接接觸整個(gè)組織的管理。6.　組織間的合作組織要與執(zhí)法部門(mén)、管理機(jī)構(gòu)、信息服務(wù)提供商和電信運(yùn)營(yíng)商保持適當(dāng)聯(lián)絡(luò)，以確保在發(fā)生安全事故時(shí)能夠及時(shí)采取適當(dāng)?shù)拇胧┎⒛軌蚣皶r(shí)通知。類(lèi)似的，也應(yīng)當(dāng)考慮到與安全組成員和行業(yè)協(xié)會(huì)進(jìn)行合作。7.　信息安全的獨(dú)立檢查信息安全策略明確了信息安全的策略和責(zé)任。為確保組織的實(shí)踐恰當(dāng)?shù)胤从沉诉@一策略，應(yīng)當(dāng)獨(dú)立地檢查其執(zhí)行情況，并證明該策略是可行的和有效的。這樣的檢查可以由內(nèi)部的審查功能執(zhí)行。此外，獨(dú)立的經(jīng)理或者在此種檢測(cè)方面有特殊專(zhuān)長(zhǎng)的第三方人員也可以做這種檢查。這些候選人要具有檢查所必備的技能和經(jīng)驗(yàn)。2.3.2　第三方訪問(wèn)的安全為保護(hù)組織信息處理程序的安全和被第三方訪問(wèn)的信息資產(chǎn)的安全，應(yīng)當(dāng)控制第三方對(duì)組織信息處理程序的訪問(wèn)。如果有這樣的第三方訪問(wèn)的業(yè)務(wù)需要，應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定安全隱患和管理對(duì)策，所要采取的管理措施應(yīng)當(dāng)?shù)玫降谌降耐猓⒃谂c之簽訂的合同中加以定義。第三方訪問(wèn)還可能包括其他的參與者。授予第三方訪問(wèn)權(quán)限的協(xié)議應(yīng)當(dāng)包括準(zhǔn)許指定其他具備資格的參與者和相應(yīng)訪問(wèn)的條件。1.　判斷第三方訪問(wèn)的風(fēng)險(xiǎn)允許第三方使用的訪問(wèn)類(lèi)型非常重要。例如，通過(guò)網(wǎng)絡(luò)連接進(jìn)行訪問(wèn)的風(fēng)險(xiǎn)不同于物理訪問(wèn)的風(fēng)險(xiǎn)。訪問(wèn)類(lèi)型包括：（1）物理訪問(wèn)：例如，訪問(wèn)辦公室、計(jì)算機(jī)機(jī)房和檔案柜。（2）邏輯訪問(wèn)：例如，訪問(wèn)組織的數(shù)據(jù)庫(kù)和信息系統(tǒng)。（3）可能出于多種原因授予第三方訪問(wèn)權(quán)限。例如，向組織提供訪問(wèn)的第三方并不在現(xiàn)場(chǎng)，但是可以給以物理訪問(wèn)和邏輯訪問(wèn)的權(quán)利，比如：①硬件和軟件支持人員，他們需要訪問(wèn)系統(tǒng)層次或者低層次的應(yīng)用程序功能。②貿(mào)易合作伙伴或者聯(lián)合經(jīng)營(yíng)方，他們可能交換信息、訪問(wèn)信息系統(tǒng)或者共享數(shù)據(jù)庫(kù)。如果缺乏足夠的安全管理，則第三方訪問(wèn)信息時(shí)就會(huì)將其置于危險(xiǎn)的境地。若是有與第三方地點(diǎn)建立聯(lián)絡(luò)的業(yè)務(wù)需要，就要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定任何特殊管理措施的要求。組織應(yīng)當(dāng)考慮到所需的訪問(wèn)類(lèi)型、信息的價(jià)值、第三方采取的管理措施和這種訪問(wèn)對(duì)組織信息的安全所造成的影響。第三方人員可能按照合同規(guī)定在現(xiàn)場(chǎng)駐扎一段時(shí)間，這會(huì)增加信息系統(tǒng)安全隱患?，F(xiàn)場(chǎng)承包方的例子包括：（1）硬件和軟件維護(hù)以及支持人員。（2）保潔、看護(hù)、安全警衛(wèi)和其他外包的服務(wù)項(xiàng)目承包方。（3）學(xué)生安置和其他臨時(shí)的短期安排。（4）咨詢(xún)?nèi)藛T。究竟要采取什么措施來(lái)管理第三方對(duì)信息處理設(shè)備的訪問(wèn)，理解這一點(diǎn)十分重要。一般說(shuō)來(lái)，所有的由于第三方訪問(wèn)或者內(nèi)部管理措施導(dǎo)致的安全要求，都應(yīng)當(dāng)反映在組織與第三方簽訂的合同中。例如，如果對(duì)信息的保密性有特殊要求，就應(yīng)采用保密協(xié)議。在采取了適當(dāng)?shù)墓芾泶胧┖秃炇鹆硕x有連接或者訪問(wèn)相關(guān)條款的合同之前，組織不應(yīng)當(dāng)向第三方提供對(duì)信息和信息處理設(shè)備的訪問(wèn)。2.　第三方合同的安全要求涉及第三方訪問(wèn)組織信息和信息處理設(shè)備的有關(guān)安排應(yīng)當(dāng)建立在一份正式的合同基礎(chǔ)上，這一合同應(yīng)當(dāng)包括或者涉及所有的安全要求，以求符合組織的安全策糌和安全標(biāo)準(zhǔn)。該合同應(yīng)當(dāng)保證在組織和第三方之間沒(méi)有誤解。組織應(yīng)當(dāng)對(duì)供應(yīng)商做滿(mǎn)意的補(bǔ)償，并考慮把以下各項(xiàng)條款寫(xiě)入合同中：（1）總的信息管理策略。（2）資產(chǎn)保護(hù)，包括：①保護(hù)組織資產(chǎn)的措施方法，包括對(duì)信息和軟件的保護(hù)。②確定資產(chǎn)是否受到什么損害的方法手段，比如確定數(shù)據(jù)是否丟失或者被修改。③在合同期結(jié)束或者合同期中某個(gè)協(xié)商同意的時(shí)間，確保信息或者資產(chǎn)被返回或者銷(xiāo)毀。④完整性和有效性。⑤對(duì)于信息復(fù)制和信息披露的限制。（3）對(duì)所要采用的每項(xiàng)訪問(wèn)的一個(gè)詳細(xì)描述。（4）服務(wù)的目標(biāo)水平和無(wú)法接受的服務(wù)水平。（5）適當(dāng)?shù)娜藛T調(diào)任的規(guī)定。（6）合同各方各自所應(yīng)承擔(dān)的義務(wù)。（7）對(duì)相關(guān)法律問(wèn)題所承擔(dān)的責(zé)任，例如，數(shù)據(jù)保護(hù)立法。特別是如果該合同涉及與其他國(guó)家中組織的合作，就要考慮不同國(guó)家法律體系。（8）知識(shí)產(chǎn)權(quán)（IPR）和產(chǎn)權(quán)責(zé)任以及對(duì)所有合作項(xiàng)目的保護(hù)。（9）服務(wù)控制協(xié)議，包括：①許可的訪問(wèn)方法、對(duì)唯一標(biāo)識(shí)，比如用戶(hù)ID和密碼的管理和使用。②對(duì)用戶(hù)訪問(wèn)和特權(quán)的授權(quán)程序。③要求保留一份列表，記錄得到授權(quán)可以使用現(xiàn)有服務(wù)的個(gè)人、他們的權(quán)限與這種使用的關(guān)系。（10）定義可以驗(yàn)證的業(yè)績(jī)標(biāo)準(zhǔn)，以及對(duì)它們的監(jiān)測(cè)和報(bào)告。（11）監(jiān)測(cè)和廢除用戶(hù)活動(dòng)的權(quán)力。（12）審查合同責(zé)任的權(quán)利，或者由第三方執(zhí)行審查。（13）為問(wèn)題解決建立一個(gè)擴(kuò)大程序；在適當(dāng)?shù)牡胤揭矐?yīng)當(dāng)考慮對(duì)偶然性事件的處置。（14）有關(guān)硬件和軟件的安裝與維護(hù)的責(zé)任。（15）清晰的報(bào)告結(jié)構(gòu)和協(xié)商一致的報(bào)告格式。（16）一個(gè)清晰的和專(zhuān)門(mén)化的變更管理程序。（17）任何要求的物理保護(hù)措施和機(jī)制，確保那些管理措施得到落實(shí)。（18）對(duì)客戶(hù)和管理員的培訓(xùn)，包括方式方法、處理程序和安全性。（19）確保能夠防范惡意軟件的管理措施。（20）有關(guān)安全事故和安全漏洞的報(bào)告、通知和調(diào)查的安排。（21）分包合同第三方的參與。

編輯推薦

《普通高等教育"十一五"國(guó)家級(jí)規(guī)劃教材·信息安全專(zhuān)業(yè)系列教材·信息安全管理》由北京郵電大學(xué)出版社出版。

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全管理 PDF格式下載

---