8.1.2 管理内容

信息安全管理涉及信息系统治理、管理、运行、退役等各个方面,其管理内容往往与组织治理与管理水平,以及信息系统在组织中的作用与价值等方面相关,在ISO/IEC 27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。

1.组织控制

在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁情报、身份管理、访问控制等。

  • ·信息安全策略:管理者应根据业务目标发展阶段等,制定清晰的信息安全策略和特定主题的策略,从而为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。安全策略需要由管理层批准、发布并传达给相关人员和利益相关方确认,并周期性地或在发生重大变化时进行评审。
  • ·信息安全角色与职责:需要组织根据业务发展、监督监管等各类需求,依据信息安全策略等,定义并分配信息安全管理相关的角色和职责,从而明确信息安全相关参与者(如管理者、操作者等)的权利、责任和义务内容,也需要覆盖组织的内外部安全专家等。
  • ·职责分离:当出现相互冲突的职责和相互冲突的责任领域时,应实施职责分离,以减少疏忽或故意误用系统的风险等。
  • ·管理职责:在信息安全管理过程中,管理层需要以身作则,并通过管理职能定义,要求所有人员、组织遵守既定的信息安全策略、特定主题的策略和程序等,驱动组织信息安全能力建设,并满足信息安全需求。
  • ·与政府机构的联系:组织的信息安全涉及政府发布的相关法律法规和标准等,甚至关系到国家安全等,因此组织需要与政府相关机构保持联系。
  • ·与特殊利益群体的联系:考虑到组织信息安全技术的开发利用、监督与管理、评估与评价等需求,组织需要与信息安全相关治理、管理和技术团体建立并保持联系,包括相关授权机构、安全论坛、专业协会等。
  • ·威胁情报:信息安全的各类威胁往往层出不穷,手段和方法千变万化。因此,组织需要持续收集和分析与信息安全威胁有关的信息,从而有效掌握威胁情报。
  • ·项目信息安全:组织需要将信息安全各项策略、方案、技术和行动等整合到项目管理之中,保证项目管理不会成为信息安全管理的"黑洞",并保障项目活动中的信息安全。
  • ·信息和相关资产清单:组织需要明确信息安全的"保护对象",编制和维护包括所有者在内的信息和其他相关资产清单。
  • ·信息和相关资产的可接受使用:为确保组织信息安全管理的有效性,应识别、确立、记录并实施处理信息和相关资产的可接受的使用规则和程序。
  • ·资产归还:组织应确保员工和其他相关方在劳动关系、合同或协议等发生变更、终止时,归还其所拥有的组织信息和相关资产。·信息分类:组织需要根据其CIA和利益相关方的要求,对信息进行分类。
  • ·信息标签:组织需要结合其信息分类方案,确立、发布和实施一组适当的信息标签程序及配套管理制度措施等。
  • ·信息传输:信息传输是信息安全风险密度较高的环节,因此,组织需要为内外部的各类信息传输制定传输规则、程序或协议等。
  • ·访问控制:访问控制是落实信息安全的重要手段,组织应根据业务和信息安全需求,制定和实施控制信息和相关资产物理和逻辑访问的规则等。
  • ·身份管理:组织需要管理系统和信息安全等各类身份的全生命周期。
  • ·认证信息:组织通过管理程序对认证信息的分配和管理进行控制,包括建议员工和相关人员等正确处理认证信息。
  • ·访问权限:组织需要依据特定主题的政策和访问控制规则,分配、审查、修改和删除对信息和相关资产的访问权限等。
  • ·供应商信息安全:组织需要定义、发布和实施管理程序,管理使用供应商产品或服务过程中相关的信息安全风险。
  • ·解决供应商协议中的信息安全问题:组织需要根据供应商关系类型,确定每类(个)相关供应商的信息安全要求,并与其达成一致。
  • ·管理ICT供应链中的信息安全:组织需要定义、发布和实施管理程序,管理与ICT产品和服务等供应链相关的信息安全风险。
  • ·供应商服务的监控、审查和变更管理:组织需要定期监测、评估、评审和管理供应商信息安全实践及服务交付等的变化。
  • ·云服务的信息安全:组织需要建立获取、使用、管理和退出云服务的管理程序,从而满足其信息安全相关要求。
  • ·信息安全事件管理规划和准备:组织需要定义、建立和沟通信息安全事件管理程序,从而规划和准备信息安全事件的管理。
  • ·信息安全事件的评估和决策:组织需要评估信息安全事件,并决定是否将其归类为信息安全事件。
  • ·信息安全事件响应:组织需要确保信息安全事件按照确定的程序进行响应。
  • ·信息安全事件总结:组织需要及时从信息安全事件中获得知识,并确保其能够用于加强和改进信息安全控制。
  • ·收集证据:组织需要建立、发布和实施相关程序,确保与信息安全事件有关的证据的识别、收集、获取和保存。
  • ·中断期间的信息安全:组织需要计划如何在系统和业务等各类活动中断期间,将信息安全保持在适当水平。
  • ·ICT业务连续性:组织需要根据业务连续性目标和ICT连续性需求,规划、实施、维护和测试ICT的准备情况。
  • ·法律、法规、监管和合同要求:组织需要识别、记录与信息安全相关的法律、法规、监管和合同要求,以及组织满足这些要求的方法,并保持最新。
  • ·知识产权:组织需要建立、发布和实施管理程序,用来保护知识产权。
  • ·记录保护:组织需要建立适当的措施,从而防止记录丢失、毁坏、篡改、未经授权的访问和未经授权发布等。
  • ·个人身份信息的隐私和保护:组织需要根据有关法律法规和合同要求,识别并满足有关隐私保护和个人信息保护的相关要求。
  • ·信息安全独立审查:组织需要建立独立审查机制并实施相关审查,以确保其管理信息安全的方法及其实施(包括人员、流程和技术等)能够周期性地或在发生重大变化时进行独立审查。
  • ·遵守信息安全政策、规则和标准:组织需要定期评审其信息安全政策、特定主题政策、规则和标准的遵守情况及合规性等。
  • ·记录操作程序:组织需要记录信息处理设施的操作过程,并将其提供给需要的人员。

    2.人员控制

    在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公、安全纪律等。
  • ·筛选:组织在全职、兼职员工招选聘或外部专家人才聘任等活动的前期阶段,需要组织对拟使用人员进行背景调查与验证,并考虑适用的法律、法规和道德规范等,且要与组织业务要求、需访问信息的分类和感知风险相适宜。
  • ·劳动合同与协议:组织需要在与人员相关的合同、劳动协议、聘用协议等文件中,说明人员和组织对信息安全的责任。
  • ·信息安全意识、教育和培训:组织和相关利益方的人员需要接受适当的信息安全意识教育和培训,并定期更新与人员工作职能相关的组织信息安全政策、主题策略和程序等。
  • ·惩戒程序:组织需要建立、发布和实施信息安全相关的惩戒程序,从而对违反信息安全政策的人员和其他相关利益方采取适当的惩戒行动。
  • ·劳动终止或变更后的责任:组织应确保相关人员在终止或变更劳动关系后,相关人员和其他相关方仍然需要保持的信息安全责任和义务得到明确、传达和执行。
  • ·保密或保密协议:组织需要与人员和其他相关方确定、记录、定期审查和签署能够反映组织信息安全需求的保密或保密协议。
  • ·远程工作:当组织相关人员远程工作时,组织需要采取适当的安全措施,保护在非组织可管控环境中所要访问、处理或存储的组织信息。
  • ·信息安全事件报告:组织需要为相关人员提供一种机制、手段或程序,以便使其及时通过适当渠道报告觉察到的、怀疑的或可疑的信息安全事件。

    3.物理控制

    在物理控制方面,主要包括物理安全边界、物理入口、物理安全监控、防范物理和环境威胁、设备选址和保护、存储介质、布线安全和设备维护等。
  • · 物理安全边界:组织需要明确定义并使用安全边界,来保护包含信息和相关资产的区域,如研发大楼、数据中心等。·物理入口:组织需要明确并执行适当的入口控制,并对接入点或访问点进行保护。
  • ·办公室、房间和设施的安全:组织需要设计、实施和强化办公室、房间和设施的物理安全。
  • ·物理安全监控:组织需要通过适当的监控手段,持续监控涉及信息安全的各类场所是否存在未经授权的物理访问。
  • ·防范物理和环境威胁:组织需要设计和实施针对物理和环境威胁的保护措施,包括自然灾害和其他有意或无意的对基础设施的物理威胁等。
  • ·安全区域保护:组织需要设计并实施在安全区域工作的安全措施和手段等。
  • ·桌面和屏幕清理:组织需要制定、发布和实施桌面与电子屏幕清理规则,确保涉及信息安全的纸质文件和可移动存储介质等得到及时、可靠的清理。
  • ·设备选址和保护:组织需要确保涉及信息安全的设备得到安全放置和保护。
  • ·场外资产的安全:组织需要明确并执行适当的措施,保护非可控环境中的资产。
  • ·存储介质:组织需要根据信息分类方案和处理要求,在其信息获取、使用、运输和处置的整个生命周期内对存储介质进行有效管理。
  • ·配套设施:组织需要采取适当的技术方案或措施手段,保护信息处理设施免受电力故障和其他因辅助设施故障造成的干扰。
  • ·布线安全:组织需要保护承载电力、数据或辅助信息服务的电缆免受截获、干扰或损坏。
  • ·设备维护:组织需要建设适当的设备维护能力体系,从而有效维护设备,确保信息满足CIA需求。
  • ·设备安全处置或再利用:组织需要建立检测和验证包含存储介质设备的手段与措施,确保其处置或在利用之前,敏感数据、软件许可和许可软件等已被删除或安全覆盖。

    4.技术控制

    在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、访问源代码、身份验证、容量管理、恶意代码与软件防范、技术漏洞管理、配置管理、信息删除、数据屏蔽、数据泄露预防、网络安全和信息备份等。
  • · 用户终端设备:组织需要保护在终端设备上存储、处理或访问的信息。
  • · 特殊访问权限:组织需要尽量限制和管理特殊访问权限的分配和使用。
  • · 信息访问限制:组织需要根据既定的信息安全政策和特定主题访问控制政策,限制对信息和相关资产的访问。
  • · 访问源代码:组织需要对源代码、开发工具和软件库的读写访问等采取适当的管理措施。
  • · 身份验证:组织需要根据信息访问限制和特定主题的访问控制策略实施安全认证技术和程序。
  • · 容量管理:组织需要根据当前和预期的容量需求监测和调整资源的使用。
  • · 恶意代码与软件防范:组织需要对软件进行保护,采取适当的策略、手段和方法,对恶意代码与软件进行防范。·技术漏洞管理:组织需要及时获得使用中的信息系统的技术漏洞信息(含可疑信息),评估组织暴露于此类漏洞的情况和程度等,并采取适当措施。
  • · 配置管理:组织需要建立、记录、实施、监控和审查软硬件、服务和网络的配置,包括安全配置等。
  • · 信息删除:组织需要及时删除不再需要的信息系统、设备或任何其他存储介质中的信息。
  • · 数据屏蔽:组织需要根据访问控制主题政策、相关特定主题政策、业务要求等,实施数据屏蔽,并考虑适用的立法。
  • · 数据泄露预防:组织确立的数据泄漏预防措施需要适用于处理、存储或传输敏感信息的系统、网络和任何其他设备。
  • · 信息备份:组织需要按照确定的特定主题备份政策,对信息、软件和系统的备份副本进行维护和定期测试。
  • · 信息处理设施的冗余:组织需要根据可用性需求部署信息处理设施的冗余度。
  • · 日志:组织需要记录信息活动、异常、故障和其他相关事件的日志,并存储、保护和分析。
  • · 监控活动:组织需要监控网络、系统和应用程序的异常情况,并采取适当措施评估潜在的信息安全事件。
  • · 时钟同步:组织需要确保使用的信息处理系统的时钟与指定的时钟源同步。
  • · 特殊程序使用:组织需要限制并严格控制拥有特殊权限系统和应用程序控制的程序的使用。
  • · 软件安装:组织需要采取适当的程序和措施,安全管理操作系统上的软件安装。
  • · 网络安全:组织需要保护、管理和控制网络与网络设备,从而保护系统和应用程序中的信息。
  • · 网络服务的安全:组织需要确立、发布、实施和监控网络服务的安全机制、服务级别和服务要求。
  • · 网络隔离:组织需要根据安全需求,对信息服务组、用户组和信息系统组等在网络中进行隔离。
  • · 网页过滤:组织需要对外部网站的访问进行管理,从而减少面对恶意内容的可能。
  • · 密码使用:组织需要定义和实施有效使用密码的规则,包括密码密钥管理等。
  • · 开发生命周期安全:组织需要建立、发布和实施应用软件和系统的安全开发规则。
  • · 应用程序安全要求:组织需要在开发或获取应用程序时,识别、批准信息安全需要与要求。
  • · 系统安全架构和工程原理:组织需要建立、记录、维护系统工程的安全原则,并确保其应用于各种信息系统开发活动。
  • · 安全编码:组织需要确保软件安全编码原则有效应用于软件开发活动中。
  • · 安全测试:组织需要在开发全生命周期中定义和实施安全测试管理程序。·外包开发:组织需要指导、监控和评审与外包系统开发相关的活动。
  • · 开发、测试和生产环境分离:组织需要将开发、测试和生产环境分开,并对各类环境采取适当的保护措施。
  • · 变更管理:组织需要确保信息处理设施和信息系统的变更遵守变更管理程序。
  • · 测试信息:组织需要适当选择、保护和管理测试信息。
  • · 在审核测试期间的信息系统保护:组织的测试人员和相关管理人员需要计划并商定审核测试和其他涉及操作系统评估的保证活动。

results matching ""

    No results matching ""