授权审批控制的基本要求

9.3.10　通信和运作管理

10.1　操作程序和职责

目标：确保信息处理设施的正确和安全操作。

应建立所有信息处理设施的管理和操作职责和程序。这包括制订合适的操作程序。

当合适时，应实施责任分离，以减少疏忽或故意误用系统的风险。

10.1.1　文件化的操作程序

控制

应编制并保持文件化的操作程序，并确保所有需要的用户可以获得。

实施指南

与信息处理和通信设施相关的系统活动要具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、管理邮件处置和物理安全等。

操作程序应详细规定执行每个作业的说明，其内容包括：

a) 信息处理和处置；

b) 备份（见10.5）；

c) 进度要求，包括与其他系统的相互关系、最早作业开始时间和最后作业完成期限；

d) 在作业执行期间可能出现的处置差错或其他异常情况的说明，包括对使用系统实用程序的限制（见11.5.4）；

e) 在有不期望的操作或技术上的困难的情况下，支持进行联络；

f) 特定输出处置说明，诸如使用特殊信纸或管理保密输出，包括失败作业输出的安全处置程序（见10.7.2和10.7.3）；

g) 供万一系统失效用的系统重新启动和恢复程序；

h) 审计跟踪和系统日志信息的管理（见10.10）。

要将操作程序和系统活动的文件化程序看做正式的文件，其变更由管理者授权。技术上可行时，信息系统应使用相同的程序、工具和实用程序进行一致的管理。

10.1.2　变更管理

控制

应控制信息处理设施及系统的变更。

实施指南

操作系统和应用软件应有严格的变更管理控制。

特别是，下列条款应予以考虑：

a) 重大变更的标识和记录；

b) 变更的策划和测试；

c) 对这种变更的潜在影响的评估，包括安全影响；

d) 对建议的变更的正式批准程序；

e) 向所有有关人员传递变更细节；

f) 反馈程序，包括从不成功变更和未预料事件中退出和恢复的程序和职责。

正式的管理者职责和程序应到位，以确保对设备、软件或程序的所有变更有令人满意的控制。当该计划变更时，包含所有相关信息的审计日志要予以保留。

其他信息

对信息处理设施和系统的变更缺乏控制是系统故障或安全故障的常见原因。对操作环境的变更，特别是当系统从开发阶段向操作阶段转移时，可能影响应用的可靠性（见12.5.1）。

对操作系统的变更只能在存在一个有效的业务需求时进行，例如系统风险的增加。使用操作系统或应用程序的最新版本进行系统更新并不一直是业务需求，因为这样做可能会引入比现有版本更多的脆弱点和不稳定性。尤其是在移植期间，还要需要额外培训、许可证费用、支持、维护和管理开支以及新的硬件等。

10.1.3　职责分离

控制

应分离职责和区域，以降低未授权访问、无意识修改或滥用组织资产的机会。

实施指南

责任分离是一种减少偶然的或故意的系统误用风险的方法。应注意，在无授权或未被监测时，要使个人不能访问、修改或使用资产。事件的启动要与其授权分离。勾结的可能性应在设计控制措施时予以考虑。

小型组织可能感到难以达到这种控制方法，但是就可能和可行性来说，该原则是适用的。只要难以分离，应考虑其他控制，诸如，对活动、审计踪迹和管理监督的监视等。重要的是安全评审仍保持独立。

10.1.4　开发、测试与运营设施的分离

控制

应分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险。

实施指南

在运行、测试和防止操作问题的开发环境之间的分离程度要加以识别并实施适当的控制。

下列条款应加以考虑：

a) 要规定从开发状态到运行状态的软件传送规则并形成文件；

b) 开发和运行软件要在不同的系统或计算机处理器上或在不同的域或目录内运行；

c) 当不要求时，编译、编辑和其他系统工具或实用程序不应从运行系统对它们进行访问；

d) 测试系统环境应尽可能地仿效操作系统环境；

e) 用户应在操作和测试系统中使用不同的用户界面，菜单要显示合适的标识报文以减少出错的风险；

f) 敏感数据不应拷贝到测试系统环境中（见12.4.2）。

其他信息

开发和测试活动可能引起严重的问题，例如，不希望的修改文件或系统环境或系统故障。在这种情况下，有必要维护一种已知的和稳定的环境，在此环境中可执行有意义的测试和防止不合适的开发者访问。

若开发和测试职员访问运行系统及其信息，那么他们可能会引入未授权的和未测试的代码或改变运行数据。在某些系统上，这种能力可能滥用于实施欺诈，或引入未测试的、恶意的代码。未测试的或恶意的代码可以引起严重的运行问题。

开发者和测试者还成为对运行信息保密性的威胁。如果开发和测试活动共享同一计算环境，那么可能引起非故意的软件和信息的变更。因此，为了减少偶然变更或未授权访问运行软件和业务数据的风险，分离开发、测试和运行设施是合乎要求的（见12.4.2的测试数保护）。

10.2　第三方服务交付管理

目标：实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。

组织应检查协议的实施，监视协议执行的一致性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。

10.2.1　服务交付

控制

确保第三方实施、运行并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级。

实施指南

第三方的服务交付应包括商定的安全布置、服务定义和服务管理的方面。外包时，组织应策划必要的过渡（信息、信息处理设施和其他需要移动的任何资产），并应确保安全在整个过渡期间得以保持。

组织应确保第三方保持足够的服务能力和设计用来确保商定的服务在大的服务故障或灾难（见14.1）后继续得以保持的可使用的计划。

10.2.2　第三方服务的监视和评审

控制

应对服务和第三方提交的报告定期进行监视和评审，并定期进行审核。

实施指南

第三方服务的监视和评审应确保坚持协议的信息安全条款和条件，信息安全事故和问题得以适当的管理。这将涉及一个在组织和第三方之间的服务管理关系和过程，以：

a) 监视服务执行效率以检查对协议的符合度；

b) 评审由第三方产生的服务报告，安排协议需要的定期的进展会议；

c) 提供关于下列内容的信息：信息安全事故、协议和所有支持性指南及程序所需要的第三方和组织的评审；

d) 评审第三方审核跟踪和关于交付服务的安全事件、操作问题、故障、失误追踪和破坏的记录；

e) 解决和管理所有识别的问题。

管理与第三方关系的职责应分配给指定人员或服务管理组。另外，组织应确保第三方分配了检查一致性和协议要求强制性实施的职责。应获得足够的技术技能和资源来监视满足协议的要求（见6.2.3），特别是信息安全要求。当在服务交付中发现不足时，应采取适当的措施。

组织应对第三方访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。组织应确保他们对安全活动留有可见度，例如变更管理、脆弱点识别和使用清晰定义的报告过程、格式及结构的信息安全事故报告/响应机制。

其他信息

外包时，组织需要知道属于组织的由外包方处理的信息的最终职责。

10.2.3　管理第三方服务的变更

控制

应管理服务提供的变更（包括保持和改进现有信息安全方针、程序和控制措施），考虑对业务系统的关键程度、涉及的过程和风险的再评估。

实施指南

对第三方服务变更的管理过程需要考虑：

a) 组织要实施的变更：

　　1) 对提供的现有服务的加强；2) 任何新应用和系统的开发；

　　3)组织策略和程序的更改或更新；

　　4)解决信息安全事故和改进安全的新的控制措施。

b) 第三方实施的变更：

　　1) 对网络的变更和加强；

　　2)新技术的使用；

　　3)新产品或新版本的采用；

　　4)新的开发工具和环境；

　　5)服务设施物理位置的变更；

　　6)提供商的变更。

10.3　系统策划与验收

目标：最小化系统失效的风险。

为确保足够容量和资源的可用性以提供所需的系统性能，需要预先的规划和准备。应作出对于未来容量需求的推测，以减少系统过载的风险。

在新系统验收和使用之前，要建立该新系统的运行要求，并形成文件，进行测试。

10.3.1　容量管理

控制

应监督、调整资源的使用情况，并反映将来容量的要求，以确保系统的性能。

实施指南

对于每一个新的和正在进行的活动来说，应识别容量需求。应使用系统调整和监视以确保（需要时）改进系统的可用性和效率。检测控制应到位，来指示预期期间的问题。未来容量需求的推测应考虑组织信息处理中新业务和系统的要求以及当前的和预计的趋势。

具有长的订货交货周期或高花费的所有资源需要特殊的关注；因此经理应监视关键系统资源的利用。他们应标识出使用的趋势，特别是与业务应用或管理信息系统工具相关的使用。

管理者应使用该信息来标识和避免潜在的瓶颈，该瓶颈可能对系统安全或用户服务存在威胁，同时策划适当的补救措施。

10.3.2　系统验收

控制

应建立新的信息系统、系统升级和新版本的验收准则，并在开发过程中及接收前进行适当的系统测试。

实施指南

管理者要确保验收新系统的要求和准则明确地被定义、商定、形成文件和经过测试。新信息系统、升级和新版本只有在获得正式验收后，才能移植作为产品。在验收之前，应考虑下列指南：

a) 性能和计算机容量要求；

b) 差错恢复和重新启动程序以及应急计划；

c) 按照已定义标准，例行操作程序的准备和测试；

d) 商定的一组安全控制应到位；

e) 有效的手动程序；

f) 按14.1所要求的业务连续性安排；

g) 新系统的安装对现有系统无负面影响的证据，特别是在高峰处理时刻，例如月末；

h) 考虑新系统对组织总体安全影响的证据；

i) 新系统的操作和使用方面的培训；

j) 易用性，这影响到用户使用效率，避免人员出错。

对于主要的新开发，在开发过程的各阶段要征询运行职能部门和用户的意见，以确保所建议的系统设计的运行效率。要进行合适的测试，以证实全部验收准则完全被满足。

其他信息

验收可能包括一个正式的认证认可过程，以验证已经适当解决了安全需求。

10.4　防范恶意和移动代码

目标：保护软件和信息的完整性。

要求有预防措施，以防范和检测恶意代码和未授权的移动代码的引入。

软件和信息处理设施对恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹）的引入是脆弱的。要让用户了解恶意代码的危险。若合适，管理者要引入控制，以防范、检测并删除恶意代码，并控制移动代码。

10.4.1　防范恶意代码信息安全管理实施指南

控制

应实施防范恶意代码的检测、预防和恢复，以及适当的用户意识程序。

实施指南

防范恶意代码要基于恶意代码监测、修复软件、安全意识、合适的系统访问和变更管理控制。应实施防范恶意软件的检测、预防控制及相应通知用户的程序。下列指南要加以考虑：

a) 建立禁止未授权软件使用的正式策略（见15.1.2）；

b) 建立防范风险的正式策略，该风险与来自或经由外部网络或在其他介质上获得的文件和软件相关，此策略指示应采取什么保护措施（见11.5，特别是11.5.4和11.5.5）；

c) 对支持关键业务处理的系统中的软件和数据内容进行定期审查。应正式调查存在的任何未批准的文件或未授权的修正件；

d) 安装和定期更新恶意代码检测和修复软件来扫描计算机和介质，以作为预防控制或作为例行程序的基础；执行的检查应包括：

　　1) 使用前针对恶意代码检查电子或光介质文件，以及从网络上收到的文件；

　　2)使用前针对恶意代码检查电子邮件附件和下载内容；该检查可在不同位置进行，例如，在电子邮件服务器、台式计算机或进入组织的网络时；

　　3)要针对恶意代码，检查Web页面；

e) 定义关于系统、系统使用培训、恶意代码攻击报告和从恶意代码攻击中恢复的恶意代码预防的管理程序和职责（见13.1和13.2）；

f) 制定适当的从恶意代码攻击中恢复的业务连续性计划，包括所有必要数据和软件的备份以及恢复安排（见14章）；

g) 实施程序定期收集信息，例如订阅邮件列表和/或检查提供新恶意代码的Web站点；

h) 实施检验与恶意代码相关的所有信息的程序，并确保报警公告是准确情报；管理应确保使用合格的来源（例如，声誉好的期刊、可靠的Internet网站或防恶意代码软件供应商），以区分欺骗和实际恶意代码；要让所有用户了解欺骗问题，以及在收到它们时要做什么。

其他信息

在信息处理环境中使用来自不同供应商的防范恶意代码的两个或多个软件产品，能改进恶意代码防护的有效性。

可安装防恶意代码软件，提供定义文件和扫描引擎的自动更新，以确保防护措施是最新的。另外，也可安装本软件使每一台台式机都执行自动检查。

应注意防止在维护和紧急程序期间引入恶意代码，这将避开正常的恶意代码防护控制。

10.4.2　防范移动代码

控制

当使用移动代码获得授权时，配置管理应确保授权的移动代码按照明确定义的安全方针运行，并防止未经授权移动代码的执行。

实施指南

应考虑下列措施以防止移动代码执行未授权的活动：

a) 在逻辑上隔离的环境中执行移动代码；

b) 阻塞移动代码的所有使用；

c) 阻塞移动代码的接收；

d) 使技术测量措施在一个特定系统中可用，以确保管理移动代码；

e) 控制移动代码访问的可用资源；

f) 使用密码控制，以唯一地认证移动代码。

其他信息

移动代码是一种软件代码，它能从一台计算机传递到另一台计算机，随后自动执行并在很少或没有用户干预的情况下完成特定功能。移动代码与大量的中间件服务有关。

除确保移动代码不包含恶意代码外，必须控制移动代码，以避免系统、网络或应用资源的未授权使用或破坏，以及其他违反信息安全的活动。

10.5　信息备份

目标：保持信息和信息处理设施的完整性和可用性。

应建立例行程序来执行商定的针对数据拷贝备份以及及时恢复演练的策略和战略（见14.1）。

控制

应根据既定的备份策略对信息和软件进行备份并定期测试。

实施指南

应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。

信息备份的下列条款要加以考虑：

a) 应定义备份信息的必要级别；

b) 应有备份拷贝的准确完整的记录和文件化的恢复程序；

c) 备份的程度（例如全部备份或部分备份）和频率应反映组织的业务需求，涉及信息的安全要求和信息对组织持续运作的关键度；

d) 备份要存储在一个远程地点，有足够距离，以避免主要场地灾难时受到损坏；

e) 要给予备份信息一个与主要场地所应用标准相一致的合适的物理和环境保护等级（见第9章）。要扩充应用于主要场地介质的控制，以涵盖备份场地；

f) 若可行，要定期测试备份介质，以确保当需要应急使用时可以依靠这些备份介质；

g) 恢复程序应定期检查和测试，以确保它们有效，并能在恢复时操作程序所分配的时间内完成；

h) 在保密性十分重要的情况下，备份应通过加密方法进行保护。

各个系统的备份安排应定期测试以确保它们满足业务连续性计划（见14章）的要求。对于重要的系统，备份不只应覆盖所有的系统信息、应用，还应包括在灾难事件时恢复整个系统所需的必须信息。

要确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求（见15.1.3）。

其他信息

为使备份和恢复过程更容易，备份可安排为自动进行。这种自动化解决方案应在实施前进行充分的测试，还应做到定期测试。

10.6　网络安全管理

目标：确保网络中的信息和支持性基础设施得到保护。

可能跨越组织边界的网络安全管理，需要仔细考虑数据流、法律蕴涵、监视和保护。

还可以要求附加的控制，以保护在公共网络上传递的敏感数据。

10.6.1　网络控制

控制

应对网络进行充分的管理和控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输。

实施指南

网络管理者应实施控制，以确保网络上的信息安全、防止未授权访问所连接的服务。特别是，下列条款要予以考虑：

a) 适当时，网络的操作职责要与计算机操作分开（见10.1.3）；

b) 应建立远程设备（包括用户区域内的设备）管理的职责和程序；

c) 如有必要，要建立专门的控制，以保护在公用网络上传递数据的保密性和完整性，并且保护已连接的系统（见11.4和12.3）；为维护所连接的网络服务和计算机的可用性，还可以要求专门的控制；

d) 为记录安全相关的活动，应使用适当的日志记录和监视措施；

e) 为优化对组织的服务和确保在信息处理基础设施上始终如一地应用若干控制，应紧密地协调管理活动。

其他信息

关于网络安全的其他信息见ISO/IEC 18028网络安全。

10.6.2　网络服务安全

控制

应识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中，无论这种服务是由内部提供的还是外包的。

实施指南

网络服务提供商以安全方式管理商定服务的能力应予以确定并定期监视，还应商定审计的权力。

应识别特殊服务的安全布置，例如安全特性、服务级别和管理要求。组织应确保网络服务提供商实施了这些措施。

其他信息

网络服务包括连接的提供、私有网络服务、附加价值网络和受管理的网络安全解决方案，例如防火墙和入侵检测系统。这些服务既包括简单的未管理带宽也包括复杂的附加价值的提供。

网络服务的安全特性可以是：

a) 为网络服务应用的安全技术，例如认证、加密和网络连接控制；

b) 按照安全和网络连接规则，网络服务的安全连接需要的技术参数；

c) （若需要）网络服务使用程序，以限制对网络服务或应用的访问。

10.7　介质处理

目标：防止对资产的未授权泄露、修改、移动或损坏，及对业务活动的干扰。

应控制介质，并对其实施物理保护。

为使文件、计算机介质（如磁带、磁盘）、输入/输出数据和系统文件免遭未授权泄露、修改，应建立适当的删除和销毁的操作程序。

10.7.1　移动介质的管理信息安全管理实施指南

控制

应建立可移动介质的管理程序。

实施指南

下列对于可移动介质的管理指南要加以考虑：

a) 对从组织取走的任何可重用的介质中的内容，如果不再需要，应使其不可重用。

b) 如果需要并实用，对于从组织取走的所有介质应要求授权，所有这种移动的记录要加以保持，以保持审计踪迹；

c) 要将所有介质存储在符合制造商说明的安全、保密的环境中；

d) 如果存储在介质中的信息使用时间要比介质生命期长，则也要将信息存储在别的地方，以避免由于介质老化而导致信息丢失；

e) 应考虑可移动介质的登记，以减少数据丢失的机会；

f) 只应在有业务要求时，才使用可移动介质。

所有程序和授权级别要清晰地形成文件。

其他信息

可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。

10.7.2　介质的销毁

控制

当介质不再需要时，应按照正式的程序进行安全可靠的销毁。

实施指南

应建立介质安全销毁的正式程序，以最小化敏感信息泄露给未授权人员的风险。包含敏感信息介质的安全销毁程序应与信息的敏感性相适宜。应考虑以下事项：

a) 包含有敏感信息的介质要可靠和安全地存储和销毁，例如，利用焚化或切碎的方法，或者将数据删除供组织内其他应用的使用；

b) 程序应到位，以识别可能需要安全销毁的项目；

c) 安排把所有介质部件收集起来并进行可靠销毁，比试图分离出敏感部件可能更容易；

d) 许多组织对记录纸、设备和介质提供收集和销毁服务；应注意选择具有足够控制和经验的合适的合同商；

e) 若有可能，销毁敏感部件要做记录，以便保持审计踪迹。

当销毁聚集介质时，对聚集的影响要予以考虑，它可能使大量不敏感信息变成敏感信息。

其他信息

敏感信息可能由于大意的介质处置而泄露（见9.2.6有关设备处置的信息）。

10.7.3　信息处置程序

控制

应建立信息处置和存储程序，以防范该信息的未授权泄露或误用。

实施指南

应制定处理程序；处理、存储、传达与其分类（见7.2）一致的信息。应考虑以下事项：

a) 按照所指示的分类级别，处理和标记所有介质；

b) 标识未授权人员的访问限制；

c) 维护已授权的数据接收者的正式记录；

d) 确保输入数据完整，正确完成处理和应用输出确认；

e) 按照与其敏感性一致的级别，保护等待输出的假脱机数据；

f) 介质存储在与制造商规范一致的环境中；

g) 使分发的数据最少；

h) 清晰地标记数据的所有拷贝，以引起已授权接收者关注；

i) 以商定的时间间隔评审分发列表和已授权接收者列表。

其他信息

这些程序应用于文件、计算系统、网络、移动计算、移动通信、邮件、话音邮件、通用话音通信、多媒体、邮政服务/设施、传真机的使用和任何其他敏感项目（例如，空白支票、发票）中的信息。

10.7.4　系统文档安全

控制

应保护系统文档免受未授权的访问。

实施指南

对于系统文件安全，要考虑下列条款：

a) 要安全地存储系统文件；

b) 将系统文件的访问列表保持在最小范围，并且由应用责任人授权；

c) 应妥善地保护保存在公用网络上的或经由公用网络提供的系统文件。

其他信息

系统文件可以包含一系列敏感信息，例如，应用过程的描述、程序、数据结构、授权过程。

10.8　信息交换

目标：应保持组织内部或组织与外部组织之间交换信息和软件的安全。

组织间信息和软件的交换应基于一个正式的交换策略，按照交换协议执行，还应服从任何相关法律（见第15章）。

要建立程序和标准，以保护信息和在传输中包含信息的物理介质。

10.8.1　信息交换策略和程序

控制

应建立正式的交换策略、程序和控制，以保护通过所有类型的通信设施交换信息的安全。

实施指南

使用电子通信设施进行信息交换的程序和控制应考虑下列条款：

a) 设计用来防止交换信息遭受截取、复制、修改、错误寻址和破坏的程序；

b) 检测和防止使用电子通信传输的恶意代码的程序；

c) 保护以附件形式传输的敏感电子信息的程序；

d) 简述电子通信设施可接受的使用的策略或指南（见7.1.3）；

e) 无线通信使用的程序，要考虑所涉及的特定风险；

f) 员工、合同方和所有第三方用户不损害组织的职责，例如诽谤、扮演、连锁信寄送、未授权购买等；

g) 密码技术的使用，例如保护信息的机密性、完整性和可靠性（见12.3）；

h) 所有业务通信（包括消息）的保持和处理指南，要与相关国家和地方法律法规一致；

i) 不要将敏感或重要信息留在打印设施上，例如复印机、打印机和传真机，因为这些设施可能被未授权人员访问；

j) 与通信设施传输相关的控制和限制，例如到外部邮件地址的电子邮件的自动传输；

k) 提醒工作人员，应采取相应预防措施，例如，为不泄露敏感信息，避免打电话时被下列方式无意听到或窃听：

　　1) 当使用移动电话时，要特别注意在他们附近的人们；

　　2)搭线窃听和通过物理访问手持电话或电话线路的其他窃听方式，或当使用模拟移动电话时使用扫描接收器进行窃听；

　　3)受话端的人们；

l) 不要将报文留在应答机上，因为可能被未授权个人重放，或者由于误拨号被存储在公用系统上或不正确地被存储；

m) 提醒人员关于传真机的使用问题，即：

　　1) 未授权访问内置报文存储器，以检索报文；

　　2)有意的或无意的对传真机编程，将报文发送给特定的电话号码；

　　3)由于误拨号或使用错误存储的号码将文档和报文发送给错误的电话号码；

n) 提醒人员不要注册统计数据，例如任何软件中的电子邮件地址或其他人员信息，以避免未授权人员收集；

o) 提醒人员现代的传真机和影印机都有页面缓冲并在页面或传输故障时存储页面，一旦故障消除，这些将被打印。

另外，应提醒工作人员，不要在公共场所或开放办公室和薄围墙的会场进行保密会谈。信息交换设施应符合所有相关的法律要求（见第15章）。

其他信息

信息交换可能通过使用很多不同类型的通信设施发生，例如电子邮件、声音、传真和视频。

软件交换可能通过很多不同类型的媒体发生，包括从互联网下载和从出售现货的供应商处获得。

应考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全蕴涵。

由于对使用这些设施缺乏意识、策略或程序可能泄露信息，例如，在公开场所的移动电话被偷听、电子邮件消息的指示错误、应答机被偷听，未授权访问拨号语音邮件系统或使用传真设备偶然地将传真发送到错误的传真设备上。

如果通信设施失灵、过载或中断，则可能中断业务运行和损坏信息（见10.3或第14章）。如果上述通信设施被未授权用户所访问，也可能损害信息（见第11章）。

10.8.2　交换协议

控制

应建立组织和外部组织信息和软件交换的协议。

实施指南

交换协议应考虑以下安全条件：

a) 控制和通知传输、发送和接收的管理职责；

b) 通知发送者，传输、发送和接收方面的程序；

c) 确保可追溯性和不可抵赖性的程序；

d) 打包和传输的最低技术标准；

e) 有条件转让契约；

f) 送信人辨识标准；

g) 在信息安全事故中的职责和义务，例如数据丢失；

h) 商定的标记敏感或重要信息的系统的使用，保证标记的含义能直接理解和信息受到合适保护；

i) 信息和软件的所有权以及关于数据保护、软件版权符合性及类似的所考虑事项的职责（见15.1.2和15.1.4）；

j) 记录和阅读信息和软件的技术标准；

k) 为保护敏感项［例如密钥（见12.3）］，可以要求任何专门的控制。

应建立和保持策略、程序和标准，以保护传输中的信息和物理介质（见10.8.3），这些还应在交换协议中进行引用。

任何协议的安全内容应反映涉及的业务信息的敏感度。

其他信息

协议可以是电子的或手工的，可能采取正式合同或雇用条件的形式。对敏感信息而言，信息交换使用的专门机制应适用于所有组织和协议类型。

10.8.3　物理介质传输安全

控制

在组织的物理边界之外进行传输的过程中，应保护包含信息的介质免受未授权的访问、误用或破坏。

实施指南

应考虑下列指南以保护不同地点间传输的信息介质：

a) 应使用可靠的运输或信使；

b) 授权的信使列表应经管理者批准；

c) 应开发检查信使识别的程序；

d) 包装要足以保护内容免遭在运输期间可能出现的任何物理损坏，并且符合制造商的规范（例如软件），例如防止可能减少介质恢复效力的任何环境因素，例如暴露于过热、潮湿或电磁区域；

e) 若需要，应采取专门的控制，以保护敏感信息免遭未授权泄露或修改；例如包括：

　　1) 使用可锁上的容器；

　　2)手工交付；

　　3)防篡改的包装（它揭示任何企图打开的迹象）；

　　4)在异常情况下，把托运货物分解成多次交付，并且通过不同的路线发送。

其他信息

信息在物理传输期间（例如通过邮政服务或信使传送）对于未授权访问、不当使用或老化是脆弱的。

10.8.4　电子消息

控制

应适当保护电子消息的信息。

实施指南

电子消息的安全考虑应包括以下方面：

a) 防止消息遭受未授权访问、修改或拒绝服务攻击；

b) 确保正确的寻址和消息传输；

c) 服务的通用可靠性和可用性；

d) 法律方面的考虑，例如电子签名的要求；

e) 在使用外部公开服务（例如即时消息或文件共享）前获得批准；

f) 控制从公开可访问网络进行访问的认证的更强级别。

其他信息

电子消息（例如电子邮件、电子数据交换（EDI）、即时消息）在业务通信中充当一个日益重要的角色。电子消息与基于通信的纸面文件相比有不同的风险。

10.8.5　业务信息系统

控制

应开发并实施策略和程序，以保护与业务信息系统互联的信息。

实施指南

对于互连接（例如设施）的安全和业务蕴涵的考虑应包括：

a) 信息在组织的不同部分间共享时，在管理和记账系统中已知的脆弱点；

b) 业务通信系统中的信息的脆弱点，例如，记录电话呼叫或会议呼叫，呼叫的保密性。传真的存储，打开邮件，分发邮件；

c) 管理信息共享的策略和适当的控制；

d) 如果系统不提供适当级别的保护（见7.2），则排除敏感业务信息的类别和分类的文件；

e) 限制访问与选定个人相关的日志信息，例如，正从事敏感项目的人员；

f) 允许使用系统的工作人员、合同商或业务伙伴的类别以及可以访问该系统的位置；

g) 对特定种类用户限定所选定的设施；

h) 标识出用户的身份，例如，组织的雇员，或者为了其他用户利益的目录中的合同商；

i) 系统上存放的信息的保留和备份；

j) 基本维持运行的要求和安排（见第14章）。

其他信息

办公信息系统通过结合使用文档、计算机、移动计算、移动通信、邮件、话音邮件、通用话音通信、多媒体、邮政服务/设施和传真机，是快速传播和共享业务信息的机会。

10.9　电子商务服务

目标：确保电子商务的安全及它们的安全使用。

应考虑与使用电子商务服务相关的安全蕴涵，包括在线交易和控制要求。还应考虑通过公开可用系统以电子方式公布的信息的完整性和可用性。

10.9.1　电子商务

控制

应保护电子商务中通过公共网络传输的信息，以防止欺诈、合同争议、未授权的泄露和修改。

实施指南

电子商务的安全应考虑：

a) 在彼此声称的身份中，每一方要求的置信度级别，例如通过认证；

b) 与授权谁设定价钱、发布或签署关键贸易文件相关的授权；

c) 确保贸易伙伴完全接到他们的职责的通知；

d) 决定和满足保密性、完整性和关键文件的接收和发送的证明以及合同抗抵赖方面的要求，例如关于提出和订约过程；

e) 在广告价格表中的完整性所需的可信级别；

f) 任何敏感数据或信息的保密性；

g) 任何订单交易、支付信息、交付地址细节和接收证实的保密性和完整性；

h) 适于检查用户提供的支付信息的验证程度；

i) 为防止欺诈，选择最适合的支付解决形式；

j) 为维护订单信息的保密性和完整性要求的保护级别；

k) 避免交易信息的丢失或复制；

l) 与所有欺诈交易相关的责任；

m) 保险需求。

上述许多考虑可以通过应用密码技术来实现（见12.3），并考虑到符合法律要求（见15.1，特别见15.1.6密码法规）。

应通过文件化的协议来支持贸易伙伴之间的电子商务安排，该协议使双方致力于商定的贸易条款，包括授权细节（见上述b））。与信息服务部门和增值网络提供者的其他协议可能也是必要的。

公共贸易系统应向顾客公布其业务项目。

对用于电子商务的主机受攻击的恢复能力以及其电子商务服务实现所要求的任何网络互连的安全所涉及的问题应予以考虑（见11.4.6）。

其他信息

电子商务易受到许多网络威胁，这些威胁可能导致欺诈活动、合同争端和信息的泄露和修改。

电子商务能充分利用安全认证方法（例如使用公开密钥系统和数字签名（见12.3））以减少风险。另外，当需要这些服务时，可使用可信第三方。

10.9.2　在线交易

控制

应保护在线交易中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄露、未经授权的消息复制或回复。

实施指南

在线交易的安全应考虑：

a) 交易中涉及的每一方的电子签名的使用；

b) 交易的所有方面，例如确保：

　　1) 各方的用户信任是有效的和验证的；

　　2)交易是保密的；

　　3)保留与涉及的各方相关的隐私；

c) 加密涉及各方的通信路径；

d) 在涉及各方之间通信的协议是安全的；

e) 确保交易细节存储于任何公开可用环境之外（例如，存储于组织内部互联网的存储平台），不留在或暴露于互联网可直接访问的存储介质上。

f) 当使用一个可信权威时，安全可集成嵌入到整个端到端认证/签名管理过程中。其他信息

采用控制的程度要对应于在线交易的每个形式相关的风险级别。

交易需要符合交易产生、处理、完成或存储的管理区域的法律、规则和法规。存在很多形式的交易可用在线的方式执行，例如契约的或财政的等。

10.9.3　公共可用信息

控制

应保护公共可用系统中信息的完整性，以防止未经授权的修改。

实施指南

应通过适当的机制（数据签名（见12.3））保护需要高完整性级别的软件、数据和其他信息，这些可在公共可用系统中得到。应测试公共可用系统，在信息可用前防止弱点和故障。

在信息公开可用前，应有正式的授权过程。另外，所有从外部对系统提供的输入应经过验证和批准。

应小心地控制电子发布系统，特别是允许反馈和直接录入信息的那些电子发布系统，以便：

a) 按照任何数据保护法律获得信息（见15.1.4）；

b) 对输入到发布系统并由发布系统处理的信息将以及时的方式完整而准确地予以处理；

c) 在收集信息过程期间和存储信息时，保护敏感信息；

d) 对发布系统的访问不允许无意识地访问与之连接的网络。

其他信息

在公共可用系统上的信息（例如，经由Internet可访问的Web服务器上的信息）需要符合该系统所在的或贸易发生的或责任人居住的管辖区域内的法律、规则和规章。发布信息的未授权修改可能损害发布组织的声望。

10.10　监视

目标：检测未经授权的信息处理活动。

应监视系统，记录信息安全事件。应使用操作员日志和故障日志以确保识别出信息系统的问题。

一个组织的监视和日志记录活动应遵守所有相关法律的要求。

应使用系统监视检查所采用控制措施的有效性，并验证对访问策略模型的一致性。

10.10.1　审计日志

控制

应产生记录用户活动、以外和信息安全事件的日志，并按照约定的期限进行保留，以支持将来的调查和访问控制监视。

实施指南

审计日志应在需要时包括：

a) 用户ID；

b) 日期、时间和关键事件的细节，例如登录和退出；

c) 若有可能，终端身份或位置；

d) 成功的和被拒绝的对系统尝试访问的记录；

e) 成功的和被拒绝的对数据以及其他资源尝试访问的记录；

f) 系统配置的变化；

g) 特权的使用；

h) 系统工具和应用的使用；

i) 访问的文件和访问类型；

j) 网络地址和协议；

k) 访问控制系统引发的警报；

l) 防护系统的激活和停用，例如防病毒系统和入侵检测系统。其他信息

审计日志包含闯入和秘密人员的数据，应采取适当的隐私保护措施（见15.1.4）。可能时，系统管理员不应有删除或停用他们自己活动日志的权利。

10.10.2　监视系统的使用

控制

应建立监视信息处理系统使用的程序，并定期评审监视活动的结果。

实施指南

各个设施的监视级别应由风险评估决定。一个组织应符合所有相关的适用于监视活动的法律要求。要考虑的区域包括：

a) 授权访问，包括细节，例如：

　　1) 用户ID；

　　2)关键事件的日期和时间；

　　3)事件类型；

　　4)访问的文件；

　　5)使用的程序/工具；

b) 所有私人操作，例如：

　　1) 私人账户的使用，例如监督员、根用户、管理员；

　　2)系统的启动和终止；

　　3)I/O设备的装配/拆卸；

c) 未授权访问的尝试，例如：

　　1) 失败的或被拒绝的用户活动；

　　2)失败的或被拒绝的涉及数据和其他资源的活动；

　　3)访问策略违背和网络网关和防火墙的通告；

　　4)私有入侵检测系统的警报；

d) 系统警报或故障，例如：

　　1) 控制台警报或消息；

　　2)系统日志异常；

　　3)网络管理警报；

　　4)访问控制系统引发的警报；

e) 系统安全设置和控制的变化或变化的尝试。

监视活动的结果多长时间进行评审应依赖于涉及的风险。应考虑的风险因素包括：

a) 应用过程的重要程度；

b) 所涉及信息的价值、敏感度和重要度；

c) 系统渗透和不当使用的经验，脆弱点被利用的频率；

d) 系统互连接的程度（尤其是公共网络）；

e) 设备被停用的日志记录。

其他信息

必须使用监视程序以确保用户只执行被明确授权的活动。

日志评审包括系统所面临威胁的理解和出现的方式。更多关于事件的例子见信息安全事故的13.1.1。

10.10.3　保护日志信息

控制

应保护日志设施和日志信息免受破坏和未授权的访问。

实施指南

应实施控制防止日志设施被未授权变更和出现操作问题，例如：

a) 被记录消息类型的更改；

b) 日志文件被编辑或删除；

c) 使日志文件介质被耗尽，或者不能记录事件或者自身覆盖重写。

一些审核日志可能需要作为记录保持策略或由于收集和保持证据的要求（见13.2.3）的一部分进行存档。

其他信息

系统日志通常包含大量的信息，其中许多与安全监督无关。为帮助标识出对安全监督目的有重要意义的事件，应考虑将相应的报文类型自动地拷贝到第二份日志，和/或使用适合的系统实用程序或审核工具执行文件询问。

需要保护系统日志，因为如果其中的数据被修改或删除，可能导致一个错误的安全断定。

10.10.4　管理员和操作者日志

控制

应记录系统管理员和系统操作者的活动。

实施指南

日志要包括：

a) 事件（成功的或失败的）发生的时间；

b) 关于事件（例如处理的文件）或故障（发生的差错和采取的纠正措施）的信息；

c) 涉及的账号和管理员或操作员；

d) 涉及的过程。系统操作员和操作员日志需定期评审。

其他信息

对在系统和网络管理员控制之外进行管理的入侵检测系统可以用来监视系统和网络管理活动的一致性。

10.10.5　错误日志

控制

应记录并分析错误日志，并采取适当的措施。

实施指南

由与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录。对于处理所报告的故障要有明确的规则，包括：

a) 评审故障日志，以确保已满意地解决故障；

b) 评审纠正措施，以确保控制未被损害，以及所采取的动作予以充分授权。

如果错误日志可用，应确保其处于活动状态。

其他信息

错误和故障日志记录能影响系统的性能。这些日志记录应由胜任的职员激活，对各个系统所需的日志记录的级别应由风险评估决定，要考虑性能的降低。

10.10.6　时钟同步

控制

组织内或同一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步。

实施指南

若计算机或通信设备有能力运行实时时钟，则时钟应置为商定的标准，例如，世界协调时间（UCT）或本地标准时间。当已知某些时钟随时间漂移，应有一个校验和校准任何重大偏差的程序。

日期/时间格式的正确解释对确保时间戳反映实时的日期/时间是重要的。还应考虑局部特异性（例如夏令时间）。

其他信息

正确设置计算机时钟对确保审核记录的准确性是重要的，审核日志可用于调查或作为法律、法律案例的证据。不准确的审核日志可能妨碍调查，并损害这种证据的可信性。链接到国家原子钟无线电广播时间的时钟可用于保持所有服务器与主时钟同步。