2019年ISO27001信息安全体系培训(条款A6信息安全组织)

  • 格式:doc
  • 大小:24.50 KB
  • 文档页数:11

ISO27001培训系列

ISO 27001信息安全体系培训控制目标和控制措施

(条款A6-信息安全组织

2009年11月

董翼枫

条款A6

信息安全组织

内部组织

✓目标:

在组织内管理信息安全。

✓应建立管理框架,以启动和控制组织范围内的信息安全的实施。✓管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。

✓若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。 控制措施

管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。

实施指南

✓管理者应:

a确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;

b制定、评审、批准信息安全方针;

c评审信息安全方针实施的有效性;

d为安全启动提供明确的方向和管理者明显的支持;

e为信息安全提供所需的资源;

f批准整个组织内信息安全专门的角色和职责分配;

g启动计划和程序来保持信息安全意识;

h确保整个组织内的信息安全控制措施的实施是相互协调的(见。

✓管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。

✓根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会承担。

信息安全协调

信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行协调。 信息安全协调

✓典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员 、审核员和安全专员,以及保险、法律、人力资源、 IT 或风险管理等领域 专家的协调和协作。这些活动应:

确保安全活动的实施与信息安全方针相一致;

确定如何处理不符合项;

核准信息安全的方法和过程,例如风险评估、信息分类;

识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;

评估信息安全控制措施实施的充分性和协调性;

有效地促进整个组织内的信息安全教育、培训和意识;

评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安 全事件。

✓如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织 规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单

信息安全职责的分配 所有的信息安全职责应予以清晰地定义。

信息安全职责的分配

✓信息安全职责的分配应和信息安全方针(见 A5相一致。各个资产的保护 和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补 充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特 定安全过程(诸如业务连续性计划的局部职责应予以清晰地定义。 ✓分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们 仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执 行。 ✓个人负责的领域要予以清晰地规定;特别是,应进行下列工作:

与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;

应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见 ;

授权级别应清晰地予以定义,并形成文件。

信息处理设施的授权过程 ✓新信息处理设施应定义和实施一个管理授权过程。

✓授权过程应考虑下列指南:

新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统 安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;

若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;

使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备处理业务信 息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。

保密性协议

应识别并定期评审反映组织信息保护需要的保密性或不泄露协议 的要求。

保密性协议

✓保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄 露协议的要求,需考虑下列因素:

a 定义 要保护的信息(如机密信息;

b 协议的期望 持续时间 ,包括不确定的需要维持保密性的情形;

c 协议终止时所需的 措施 ; d 为避免未授权信息泄露的签署者的 职责和行为 ;

e 信息所有者、商业秘密和 知识产权 ,以及他们如何与机密信息保护相关联;

f 机密信息的许可使用,及签署者使用信息的 权力 ;

g 对涉及机密信息的活动的 审核和监视 权力;

h 未授权泄露或机密信息破坏的 通知 和报告过程;

i 关于协议终止时信息 归档或销毁 的条款;

j 违反协议后期望采取的 措施 。

✓基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。

✓保密性和不泄露协议应针对它适用的管辖范围(见 遵循所有适用的法律法规。 保密性和不泄露协议的要求应进行周期性 评审 ,当发生影响这些要求的变更时,也要进行

与政府部门的联系

✓应保持与政府相关部门的适当 联系 。

✓组织应有规程指明什么时候应当与哪个部门(例如,执法部门、 消防局、监管部门联系,以及怀疑已识别的信息安全事件可能 触犯了法律时,应如何及时报告。

✓受到来自互联网攻击的组织可能需要外部第三方(例如互联网服 务提供商或电信运营商采取措施以应对攻击源。

✓保持这样的联系可能是支持信息安全事件管理或业务连续性和应急规划过程(A14的要 求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做 好准备。与其他部门的联系包括公共部门、紧急服务和健康安全部门,例如消防局(A14章的业务 连续性有关、电信提供商(与路由和可用性有关、供水部门(与设备的冷却设施有关。

与特定利益集团的联系

✓应保持与特定利益集团、其他安全专家组和专业协会的适当联系 。

✓应考虑成为特定利益集团或安全专家组的成员,以便:

a 增进对最佳实践和最新相关安全信息的了解;

b 确保全面了解当前的信息安全环境;

c 尽早收到关于攻击和脆弱性的预警、建议和补丁;

d 获得信息安全专家的建议;

e 分享和交换关于新的技术、产品、威胁或脆弱性的信息;

f 提供处理信息安全事件时适当的联络点(见 。

信息安全的独立评审

✓组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施 、策略、过程和程序应按计划的时间间隔进行独立评审,当安全实施发 生重大变化时,也要进行独立评审。

✓独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性 和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要, 包括方针和控制目标。

✓这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专 门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。 ✓独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。

✓如果独立评审识别出组织管理信息安全的方法和实施不充分,或不符合信息安全方针文件 (见 中声明的信息安全的方向,管理者应考虑纠正措施。

外部各方

✓目标:

保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

✓组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。

✓任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。

✓若有与外部方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务,或提供给外部方一个产品和服务,应进行风险评估,以确定涉及安全的方面和控制要求。在与外部方签订的协议中要商定和定义控制措施。

外部各方

✓服务提供商(例如互联网服务提供商、网络提供商、电话服务、维护和支持服务;

✓受管理的安全服务;

✓顾客;

✓设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务; ✓管理者,业务顾问和审核员;

✓开发者和提供商,例如软件产品和IT系统的开发者和提供商;✓保洁、餐饮和其他外包支持服务;

✓临时人员、实习学生和其他临时短期安排。

控制措施

应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。

实施指南

✓当需要允许外部方访问组织的信息处理设施或信息时,应实施风险评估(见A4以识别特定控制措施的要求。

关于外部方访问的风险的识别应考虑以下问题:

a外部方需要访问的信息处理设施;

b外部方对信息和信息处理设施的访问类型,例如:

物理访问,例如进入办公室,计算机机房,档案室;

逻辑访问,例如访问组织的数据库,信息系统;

组织和外部方之间的网络连接,例如,固定连接、远程访问;

现场访问还是非现场访问;

c所涉及信息的价值和敏感性,及对业务运行的关键程度;

d为保护不希望被外部方访问到的信息所需的控制措施;

e与处理组织信息有关的外部方人员; f能够识别组织或人员如何被授权访问、如何进行授权验证,以及多长时间需要再确认;

g外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施;

h外部方需要时无法访问,外部方输入或接收不正确的或误导的信息的影响;

i处理信息安全事件和潜在破坏的惯例和程序,和当发生信息安全事件时外部方持续访问的条款和条件;

j应考虑与外部方有关的法律法规要求和其他合同责任;

k这些安排对其他利益相关人的利益可能造成怎样的影响。

✓除非已实施了适当的控制措施,才可允许外部方访问组织信息,可行时,应签订合同规定外部方连接或访问以及工作安排的条款和条件,一般而言,与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来(见和。

✓应确保外部方意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。

处理与顾客有关的安全问题

控制措施

应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。

处理与顾客有关的安全问题 实施指南 要在允许顾客访问组织任何资产(依据访问的类型和范围,并不需要应用所有的条款)前解决安全问题,应考虑 下列条款: a 资产保护,包括: 保护组织资产(包括信息和软件)的程序,以及对已知脆弱性的管理; 判定资产是否受到损害(例如丢失数据或修改数据)的程序; 完整性; 对拷贝和公开信息的限制; b c d 拟提供的产品或服务的描