9.3.6 信息安全组织
6.1 内部组织
目标:管理组织内部的安全。
应建立管理框架,以启动和控制组织范围内的信息安全的实施。
管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。
若需要,要在组织范围内建立信息安全专家建议的资料源,并在整个组织内均可获得该资料。要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并且当处理信息安全事故时,提供合适的联络地点。应鼓励信息安全的多学科交叉途径。
6.1.1 信息安全管理承诺
控制
管理者应通过清晰的方向、说明性承诺、明确的信息安全职责分配和确认,来积极地支持组织内的安全。
实施指南
管理者应该:
a) 确保信息安全目标得以识别,满足组织需求,并已被整合到相关过程中;
b) 制定、评审、批准信息安全方针;
c) 评审信息安全方针实施的有效性;
d) 为安全举措提供清晰的方向和可视化的管理者支持;
e) 为信息安全提供所需的资源;
f) 批准整个组织内信息安全特定角色和职责的分配;
g) 启动计划和程序来保持信息安全意识;
h) 确保整个组织内的信息安全控制的实施相互协调(见6.1.2)。
管理者应识别寻求内外部专家的信息安全建议的需要,并在整个组织内评审和协调建议结果。
根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构
(例如董事会)承担。其他信息
更多内容可参考ISO/IEC TR 13335-1:2004。
6.1.2 信息安全协调
控制
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。
实施指南
典型的,信息安全协调应包含管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及各领域技术专家的协调和协作,这些领域包括保险、法律问题、人力资源、IT或风险管理等。这些活动应该:
a) 确保安全活动的实施与信息安全方针相一致;
b) 确定如何处理不符合安全方针的事项;
c) 核准信息安全相关的方法和过程,例如风险评估、信息分类;
d) 识别重大的威胁变化和信息系统内暴露于威胁下的信息和信息处理过程;
e) 评估信息安全控制实施的充分性和协调性;
f) 有效地促进整个组织内的信息安全教育、培训和意识;
g) 评价在信息安全事故的监视和评审中获得的信息,推荐适当的措施响应识别的信息安全事故。
如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织规模来说是不适当的,那么上面描述的措施应由其他的合适的管理机构或单独管理人员实施。
6.1.3 信息安全职责分配
控制
所有的信息安全职责应予以清晰地定义。
实施指南
信息安全职责的分配应和信息安全方针(见5.1)相一致。各个资产的保护和执行特定安全过程的职责应被清晰地识别。这些职责应在必要时加以补充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特定安全过程(诸如业务连续性规划)的局部职责应予以清晰地定义。
分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执行。
个人负责的领域要予以清晰的规定,特别地,应进行下列工作:
a) 与每个特殊系统相关的资产和安全过程应予以标识并清晰地定义;
b) 应分配每一资产或安全过程的实体职责,并且应形成该职责细节的文件;
c) 授权级别应清晰地予以定义,并形成文件。
其他信息
在许多组织中,将任命一名信息安全管理人员全面负责安全的开发和实施,并支持控制措施的识别。
然而,提供控制资源并实施这些控制的职责通常归于各个管理者。一种通常的做法是对每一资产指定一名拥有者,他也就对该信息资产的日常保护负责。
6.1.4 信息处理设施的授权问题
控制
应规定并实施新信息处理设施的管理授权过程。
实施指南
授权过程应考虑下列指南:
a) 新设施要有相应用户管理者的授权,以授权设施的用途和使用;还要获得负责维护本地系统安全环境的管理者授权,以确保所有相关安全策略和要求得到满足;
b) 若需要,硬件和软件应进行检验,以确保它们与其他系统部件兼容;
c) 使用个人或私有信息处理设施(例如膝上电脑、家用电脑或手上装置)处理业务信息,可能引起新的脆弱点,因此应识别和实施必要的控制。
6.1.5 保密协议
控制
应识别并定期评审反映组织信息保护需要的保密或非扩散协议的需求。
实施指南
保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄露协议的要求,需考虑下列因素:
a) 定义要保护的信息(如机密信息);
b) 协议的期望持续时间,包括不确定的需要维持保密性的情形;
c) 协议终止时所需的措施;
d) 为避免未授权信息泄露的签署者的职责和行为(即“需要知道的”)
e) 信息所有者、商业秘密和知识产权,以及他们如何与机密信息保护相关联;
f) 机密信息的许可使用,及签署者使用信息的权力;
g) 对涉及机密信息的活动的审计监视权力;
h) 未授权泄露或机密信息破坏的通知和报告过程;
i) 关于协议终止时信息归档或销毁的条款;
j) 违反协议后期望采取的措施。
基于一个组织的安全需求,在保密性或不泄露协议中可能需要其他因素。
保密性和不泄露协议应针对它适用的管辖范围(见15.1.1)遵循所有适用的法律法规。
保密性和不泄露协议的要求应进行周期性评审,当发生影响这些需求的变更时,也要进行评审。
其他信息
保密性和不泄密协议保护组织信息,并告知签署者他们的职责,以授权、负责的方式保护、使用和泄露信息。
对于一个组织来说,可能需要在不同环境中使用保密性或不泄密协议的不同格式。
6.1.6 与政府机构的联系
控制
应保持与相关政府机构的适当联系。
实施指南
组织应建立程序,规定何时应当与哪个机构(例如,执法部门、消防局、监管部门)联系,如果怀疑已识别的信息安全事故可能触犯了法律,如何及时报告。
由于互联网而遭受攻击的组织可能需要外部第三方(例如互联网服务提供商或电信运营商)采取措施以抵制攻击源。
其他信息
保持这样的联系可能是支持信息安全事故管理(第13.2节)或业务连续性和偶然性规划过程(第14章)的一个要求。与法规部门的联系也是有用的,以预测和准备即将到来的组织必须遵循的法律法规方面的变化。与其他部门的联系包括公共部门、紧急服务和健康安全部门,例如消防局(与第14章的业务连续性有关)、电信提供商(与路由和可用性有关)、用水供应者(与设备的冷却设施有关)。
6.1.7 与特殊利益团体的联系
控制
应保持与特殊利益团体或其他专家安全论坛和行业协会的适当联系。
实施指南
获得特殊利益团体或论坛的成员资格,应考虑将其作为一种方式来:
a) 增进关于相关安全信息的最佳实践和最新状态的知识;
b) 确保对于信息安全环境的理解是最新的和完整的;
c) 尽早接受到关于攻击和脆弱点的警告、建议和补充;
d) 获得得到信息安全专家建议的途径;
e) 分享和交换关于新的技术、产品、威胁或脆弱点的信息;
f) 提供处理信息安全事故时的适应的联络地点(见13.2.1)。
其他信息
建立信息共享协议来改进安全问题的协作和协调。这种协议应识别出保护敏感信息的要求。
6.1.8 信息安全的独立评审
控制
应按计划的时间间隔或当发生重大的信息安全变化时,对组织的信息安全管理方法及其实施情况(如信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。
实施指南
独立评审应由管理者发起。这种独立评审对确保组织管理信息安全方法的持续适宜性、充分性和有效性是必需的。评审应包括评价安全方法改进的机会和变更的需要,包括策略和控制目标。
这样的评审应由独立于被评审区域的个人执行,例如内部审核部门、独立的管理者或专门做这种评审的第三方组织。从事这些评审的个人应具备适当的技能和经验。
独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。
如果独立评审识别出组织管理信息安全的方法和实施不充分或不符合信息安全策略文件(见5.1.1)中声明的信息安全的方向,管理者应考虑纠正措施。
其他信息
管理者应定期评审(15.2.1)的区域也要独立评审。评审方法包括访谈管理者、检查记录或安全策略文件的评审。ISO 19011:2002,质量和/或环境管理体系审核指南,也提供实施独立评审的有帮助的指导信息,包括评审方案的建立和实施。15.3详细说明了与运行的信息系统独立评审相关的控制和系统审核工具的使用。
6.2 外部组织
目标:保持被外部组织访问、处理、沟通或管理的组织信息及信息处理设备的安全。
组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。
任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。
若有与外部各方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部各方获得一个产品和服务或提供给外部各方一个产品和服务,就要进行风险评估,以确定安全蕴涵和控制要求。在与外部各方签订的合同中要商定和定义控制措施。
6.2.1 识别与外部组织相关的风险
控制
应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制。
实施指南
当需要允许外部组织访问组织的信息处理设施或信息时,应实施风险评估以识别特定控制的需求。关于外部组织访问的风险的识别应考虑以下问题:
a) 外部组织需要访问的信息处理设施;
b) 外部组织对信息和信息处理设施的访问类型,例如:
1) 物理访问,例如进入办公室,计算机机房,档案室;
2) 逻辑访问,例如访问组织的数据库,信息系统;
3) 组织和外部组织网络的网络连接,例如永久性连接、远程访问;
4) 现场访问还是非现场访问;
c) 所涉及信息的价值和敏感性,以及对业务运行的危险程度;
d) 保护不打算被外部组织访问到的信息所需要的控制;
e) 处理组织信息所涉及的外部组织的人员;
f) 组织或授权访问的人员如何被识别、进行授权验证,多长时间需要重新确认;
g) 外部组织在储存、处理、传送、共享和交换信息过程中所使用的不同的方法和控制;
h) 当需要时外部组织无法获得访问,外部组织进入或接收到不正确的信息或误导信息的影响;
i) 处理信息安全事故和潜在破坏的惯例和程序,当发生信息安全事故时外部组织继续访问的期限和条件;
j) 应考虑与外部组织有关的法律法规要求和其他合同责任;
k) 其他利益相关人的利益如何被安排所影响。
除非已实施适当的控制,可行时,签订合同规定外部组织连接或访问以及合作安排的期限和条件,才可允许外部组织访问组织信息。一般而言,与外部组织合作导致的安全要求或内部控制通过与外部组织的协议反映出来(见6.2.2和6.2.3)。
应确保外部组织意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。
其他信息
没有充分的安全管理,信息可能由于外部组织而处于风险中。应识别和应用控制,以管理外部组织访问信息处理设施。例如,如果对信息的保密性有特殊的要求,就需要使用不泄露协议。
如果使用高级别外包,或涉及几个外部组织时,组织会面临与内部处理、管理和通信相关的风险。
控制6.2.2和6.2.3涵盖了对不同外部各方的安排,例如,包括:
a) 服务提供商(例如互联网服务提供商)、网络提供商、电话服务、维护和支持服务;
b) 受管理的安全服务;
c) 顾客;
d) 设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务;
e) 管理和业务顾问和审核员;
f) 开发者和提供商,例如软件产品和IT系统的开发者和提供商;
g) 清洁、供应和其他外包支持服务;
h) 临时人员、实习学生安排和其他短期临时安排。这些协议能帮助减少与外部组织相关的风险。
6.2.2 当与顾客接触时,强调安全
控制
应在允许顾客访问组织的信息或资产前强调所有的安全要求。
实施指南
想要在允许顾客访问组织任何资产(依据访问的类型和范围,并不需要应用所有的条款)前解决安全问题应考虑下列条款:
a) 资产保护,包括:保护组织资产(包括信息和软件)的程序,以及对已知脆弱点的管理;确定资产是否受到损害(例如丢失数据或修改数据)的程序;完整性;对拷贝和泄露信息的限制;
b) 要提供的产品或服务的描述;
c) 顾客访问的不同原因、需求和利益;
d) 访问控制策略,包括:允许的访问方法,唯一标识的控制和使用,例如用户ID和口令;顾客访问和权限的授权过程;没有明确授权的访问均被禁止的声明;撤销访问权力或中断系统间连接的过程;
e) 信息错误(例如个人信息的错误)、信息安全事故和安全违规的报告、修改和调查的安排;
f) 要提供确保每项服务可用的描述;
g) 服务的目标级别和服务的不可接受级别;
h) 监视和撤销与组织资产有关的任何活动的权利;
i) 组织和顾客各自的义务;
j) 关于法律事件和如何确保满足法律要求(例如,数据保护法律)的责任。如果该协议涉及与其他国家的消费者的合作,特别要考虑到不同国家的法律体系(见15.1);
k) 知识产权(IPRs)和版权转让(见15.1.2)以及任何协作性工作的保护(见6.1.5)。
其他信息
与顾客访问组织资产有关的安全需求,可能随所访问的信息处理设施和信息的不同而发生变化。这些安全需求能够通过用户协议(包括所有已识别的风险和安全需求(见6.2.1)得以解决。
与外部各方的协议也可能涉及其他机构。允许外部各方访问的协议应包括允许指派其他有资格的机构访问,并规定他们访问和涉及的条件。
6.2.3 在第三方协议中强调安全
控制
与第三方签订的协议中应覆盖所有相关的安全要求。这些协议可能涉及对组织的信息或信息处理设施的访问、处理、沟通或管理,或增加信息处理设施的产品和服务。
实施指南
协议应确保在组织和第三方之间不存在误解。关于第三方的保证,组织应满足自己的需要。
为满足识别的安全需求(见6.2.1),下列条款应考虑包含在协议之内:
a) 信息安全策略;
b) 确保资产得到保护的控制措施,包括:保护组织资产(包括信息、软件和硬件)的程序;所有需要的物理保护控制和机制;确保防止恶意软件(见10.4.1)的控制;确定资产是否受到损害(例如信息、软件和硬件的丢失或修改)的程序;确保在协议截止时或在合同执行期间双方同意的某一时间段对信息和资产的归档或销毁的控制;保密性、完整性、可用性和任何其他相关的资产属性;对拷贝和泄露信息,以及保密性协议的使用的限制(见6.1.5);
c) 对用户和管理者在方法、程序和安全方面的培训;
d) 确保用户意识到信息安全职责和问题;
e) 若合适,人员转职的规定;
f) 关于硬件和软件安装和维护的职责;
g) 一种清晰的报告结构和商定的报告格式;
h) 一种清晰规定的变更管理过程;
i) 访问控制策略,包括:第三方访问的必要性的不同原因、需求和利益;允许的访问方法,唯一标识符(诸如用户ID和口令)的控制和使用;用户访问和特权的认证过程;维护被授权使用正在提供的服务的个人清单的需求以及他们与这种使用相关的权利和特权是哪些;没有明确授权的所有访问都要禁止的声明;撤销访问权力或中断系统间连接的过程;
j) 报告、通知和调查信息安全事故和安全违规以及违背协议所声明的要求的安排;
k) 提供的每项产品和服务的描述,根据安全分类(见7.2.1)提供可获得信息的描述;
l) 服务的目标级别和服务的不可接受级别;
m) 可验证的性能要求的定义、监督和报告;
n) 监视和撤销与组织资产有关的任何活动的权利;
o) 审核协议规定的职责,授权第三方进行这些审核,以及列举审核员的法定权限的权利;
p) 建立逐级解决问题的过程;
q) 服务持续的要求,包括根据一个组织的业务优先级对可用性和可靠性的测量;
r) 协议双方的相关义务;
s) 关于法律事件和如何确保满足法律要求(例如,数据保护法律)的责任。如果该协议涉及与其他国家的组织的合作,特别要考虑到不同国家的法律体系(见15.1);
t) 知识产权(IPRs)和版权转让(见15.1.2)以及任何协作性工作的保护(见6.1.5);
u) 包括具有转包商的第三方,这些转包商需要实施的安全控制;
v) 协议中重新协商/终止的条件:应提供意外处理计划以处理任一方机构在协议到期之前终止合作关系的情况;如果组织的安全需求发生变化,协议的重新协商;资产列表、许可证、协议或与他们相关的权利的目前的文件。
其他信息
协议会随组织和第三方机构类型的不同发生很大的变化。因此,应注意要在协议中包括所有识别的风险和安全需求(见6.2.1)。需要时,在安全管理计划中扩展所需的控制和程序。
如果外包信息安全管理,协议应指出第三方将如何保证维持风险评估中定义的适当的安全,安全如何适于识别和处理风险的变化。
外包和其他形式的第三方服务提供之间的区别包括责任问题、策划过渡期和在此期间的潜在的运行破坏、紧急处理计划的安排和预期的详细的评审、安全事故信息的收集和管理。因此,组织计划和管理到外包安排的过渡期,提供适当的过程管理变化和协议的重新协商/终止是十分重要的。
需要考虑当第三方不能提供它的服务时的持续处理程序,以避免在安排替代服务时的任何延迟。
与第三方的协议也可能涉及其他方。允许第三方访问的协议应包括允许指派其他有资格方的访问,并规定他们访问和涉及的条件。
一般而言,协议主要由组织制定。在一些环境下,也可能有例外,协议由第三方制定并强加于一个组织。组织需要确保它本身的安全不会没有必要的被第三方在强制协议中规定的要求所影响。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
