标准搜索结果: 'GB/T 22081-2016'
| 标准编号 | GB/T 22081-2016 (GB/T22081-2016) | | 中文名称 | 信息技术 安全技术 信息安全控制实践指南 | | 英文名称 | Information technology -- Security techniques -- Code of practice for information security controls | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 74,783 | | 发布日期 | 2016-08-29 | | 实施日期 | 2017-03-01 | | 旧标准 (被替代) | GB/T 22081-2008 | | 标准依据 | National Standard Announcement 2016 No.14 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 22081-2016
Information technology--Security techniques--Code of practice for information security controls
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 22081-2008
信息技术 安全技术
信息安全控制实践指南
(ISO/IEC 27002:2013,IDT)
2016-08-29发布
2017-03-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
0.1 背景和环境 Ⅳ
0.2 信息安全要求 Ⅳ
0.3 控制的选择 Ⅴ
0.4 编制组织自己的指南 Ⅴ
0.5 生命周期的考虑 Ⅴ
0.6 相关标准 Ⅴ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 标准结构 1
4.1 章节 1
4.2 控制类别 1
5 信息安全策略 2
5.1 信息安全管理指导 2
6 信息安全组织 3
6.1 内部组织 3
6.2 移动设备和远程工作 5
7 人力资源安全 7
7.1 任用前 7
7.2 任用中 8
7.3 任用的终止和变更 10
8 资产管理 10
8.1 有关资产的责任 10
8.2 信息分级 11
8.3 介质处理 13
9 访问控制 14
9.1 访问控制的业务要求 14
9.2 用户访问管理 15
9.3 用户责任 18
9.4 系统和应用访问控制 19
10 密码 21
10.1 密码控制 21
11 物理和环境安全 23
11.1 安全区域 23
11.2 设备 25
12 运行安全 28
12.1 运行规程和责任 28
12.2 恶意软件防范 30
12.3 备份 31
12.4 日志和监视 32
12.5 运行软件控制 34
12.6 技术方面的脆弱性管理 34
12.7 信息系统审计的考虑 36
13 通信安全 36
13.1 网络安全管理 36
13.2 信息传输 38
14 系统获取、开发和维护 40
14.1 信息系统的安全要求 40
14.2 开发和支持过程中的安全 42
14.3 测试数据 45
15 供应商关系 46
15.1 供应商关系中的信息安全 46
15.2 供应商服务交付管理 48
16 信息安全事件管理 49
16.1 信息安全事件的管理和改进 49
17 业务连续性管理的信息安全方面 52
17.1 信息安全的连续性 52
17.2 冗余 54
18 符合性 54
18.1 符合法律和合同要求 54
18.2 信息安全评审 56
参考文献 65
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 22081-2008《信息技术 安全技术 信息安全管理实用规则》。
本标准与GB/T 22081-2008相比,主要技术变化如下:
---结构变化见附录NA;
---术语变化见附录NB。
本标准使用翻译法等同采用ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实践指
南》及其相应的技术勘误(ISO/IEC 27002:2013/COR1:2014)。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:
2009,IDT)。
本标准做了下列编辑性修改:
---增加了资料性附录NA;
---增加了资料性附录NB。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认
证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零
卫士信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信
息产品监督检验院、浙江远望电子有限公司、杭州在信科技有限公司。
本标准主要起草人:许玉娜、上官晓丽、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直、
于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳。
本标准所代替标准的历次版本发布情况为:
---GB/T 22081-2008。
引 言
0.1 背景和环境
本标准可作为组织基于GB/T 22080[10]实现信息安全管理体系(ISMS)过程中选择控制时的参考,
或作为组织在实现通用信息安全控制时的指南。在考虑具体信息安全风险环境后,本标准也可用于制
定特定行业和特定组织的信息安全管理指南。
所有类型和规模的组织(包括公共和私营部门、商业组织、非盈利性组织)都会收集、处理、存储和传
输包括电子、物理和语音(如会谈和演讲)等多种形式的信息。
信息的价值超越文字、数字和图像的本身,例如:知识、概念、观点和品牌都是无形信息。在互联世
界中对于组织业务而言,信息和相关过程、系统、网络及其操作、处理与保护活动中所涉及的人员都是资
产,与其他重要的业务资产一样,对组织的业务至关重要,因此值得或需要保护以防范各种危害。
资产易遭受故意和意外的威胁;且相关的过程、系统、网络和人员均有其固有脆弱性。业务过程和
系统的变更或其他外部变更(如新的法律法规)可能产生新的信息安全风险。因此,考虑到威胁利用脆
弱性损害组织的途径多种多样,信息安全风险始终存在。有效的信息安全通过防范威胁和脆弱性使组
织得到保护来减少风险,从而降低对其资产的影响。
信息安全可通过实现一组合适的控制来达到,包括策略、过程、规程、组织结构和软硬件功能。必要时,需
要建立、实现、监视、评审和改进这些控制,以确保其满足组织特定的安全和业务目标。GB/T 22080[10]
规定的ISMS采用整体的、协调的观点看待组织的信息安全风险,以便在一致的管理体系总体框架下实
现一套全面的信息安全控制。
从GB/T 22080[10]和本标准来看,许多信息系统的设计未达到是安全的。通过技术手段可获得的
安全是有限的,宜通过适当的管理和规程给予支持。确定哪些控制应该存在,这需要仔细规划并注意细
节。一个成功的信息安全管理体系需要得到组织内的所有员工的支持,股东、供应商或其他外部各方的
参与,也需要外部各方的专家建议。
在更一般的意义上,有效的信息安全也向管理者及其他相关方保证组织资产处于合理的安全,并受
到保护不被损害,因此其角色等同于业务推动者。
0.2 信息安全要求
组织识别其安全要求是必要的。安全要求的3个主要来源是:
a) 考虑组织的整体业务战略与目标,对组织风险的评估。通过风险评估,识别资产受到的威胁,
评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;
b) 组织及其贸易伙伴、合同方和服务提供商必须满足的法律、法规、规章制度和合同要求,以及他
们的社会文化环境;
c) 组织为支持其运行,针对信息的操作、处理、存储、通信和归档而建立的原则、目标和业务要求。
实现控制所使用的资源,必须权衡缺少这些控制而导致的安全问题以及可能导致的业务危害。风
险评估的结果将有助于指导和确定合适的管理措施、信息安全风险管理的优先级以及为防范这些风险
所选择控制实现的优先级。
ISO/IEC 27005[11]提供了信息安全风险管理指南,包括风险评估、风险处置、风险接受、风险沟通、
风险监视和风险评审各方面的建议。
0.3 控制的选择
控制可以选自本标准或其他控制集,或适当时针对特定的需求设计新的控制。
控制的选择取决于组织决策,该决策基于风险接受准则、风险处置选项、组织采用的通用风险管理
方法;控制的选择也必须遵守所有相关的国家法律法规。同时控制的选择也取决于控制交互方式以提
供纵深防御。
本标准中的某些控制可被当作信息安全管理的指导原则,并且可用于大多数组织。在每个控制之
下,详细地给出了其实现指南。有关选择控制的更详细信息以及其他的风险的处置选项,可参见
ISO/IEC 27005[11]。
0.4 编制组织自己的指南
本标准可作为组织制定其特定指南的起点。对一个组织来说,本标准中的控制和指南并非全部适
用。另外,可能还需要增加一些不包含在本标准中的控制和指南。当制定包含一些增加的控制和指南
的组织文件时,给出一些对本标准可用条款的交叉应用,这可能是有用的,以支持审核员和和业务伙伴
的符合性检查。
0.5 生命周期的考虑
信息有其固有的生命周期,即从其创建和产生,经过存储、处理、使用和传输到其最终销毁或消失。
在其生命周期中,信息资产的价值和所面临的风险可能会变化(如在公司账目正式公布后,对它的窃取
和未授权泄露所产生的危害将极大的降低),但在所有阶段,信息安全仍存在一定程度的重要性。
信息系统的生命周期包括构思、规约、设计、开发、测试、实现、使用、维护,并最终退役和销毁。在每
一阶段均应考虑到信息安全。在每一阶段上均应考虑信息安全。开发新的系统或对现有系统的改变,
为组织升级和改进安全控制提供了机会,同时应考虑实际的安全事件以及当前和预测的信息安全风险。
0.6 相关标准
本标准就一个广泛的、可通用于不同组织的信息安全控制集,提供了相应的指南;而信息安全管理
体系标准族中的其他标准就信息安全管理全过程的其他方面提供了补充建议或要求。
信息安全管理体系标准的总体介绍参见ISO/IEC 27000。ISO/IEC 27000中提供的词汇表确定了
信息安全管理体系标准中使用的绝大部分术语,并描述了每个标准的范围和目标。
信息技术 安全技术
信息安全控制实践指南
1 范围
本标准为组织的信息安全标准和信息安全管理实践提供了指南,包括考虑了组织信息安全风险环
境的控制的选择、实现和管理。
本标准被设计用于组织:
a) 选择控制,即基于GB/T 22080[10],在实现一个信息安全管理体系的过程中选择控制;
b) 实现通用的、可接受的信息安全控制;
c) 制定组织自己的信息安全管理指南。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3 术语和定义
ISO/IEC 27000界定的术语和定义适用于本文件。
4 标准结构
本标准包括14个安全控制的章节,共含有35个主要安全类别以及114项控制。
4.1 章节
定义安全控制的每个章节,包含一个或多个主要安全类别。
本标准中各章节的顺序不表示其重要性。根据不同的环境,任何或所有章节中的安全控制都可能
是重要的,因此应用本标准的每一个组织,宜识别可应用的控制,这些控制多么重要,以及它们如何应用
到各个业务过程。另外,本标准的列表没有优先顺序。
4.2 控制类别
每一个主要安全控制类别包括:
a) 一个控制目标,声明要实现什么;
b) 一个或多个控制,可被用于实现该控制目标。
控制的描述结构如下:
控制
为满足控制目标,给出定义特定控制的陈述。
实现指南
为支持该控制的实现并满足控制目标,提供更详细的信息。该指南可能不能完全适用或不足以在
所有情况下适用,也可能不能满足组织的特定控制要求。
其他信息
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的参考。如无其他信息,本项将
不给出。
5 信息安全策略
5.1 信息安全管理指导
目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持。
5.1.1 信息安全策略
控制
信息安全策略集宜被定义,由管理者批准,并发布、传达给所有员工和外部相关方。
实现指南
在最高层上,组织宜定义一个“信息安全方针”,该方针宜获得管理层批准,并建立组织管理其信息
安全目标的方法。
信息安全方针宜关注下列方面产生的要求:
a) 业务战略;
b) 法律、法规和合同;
c) 当前和预期的信息安全威胁环境。
该信息安全方针宜包括涉及以下内容的陈述:
a) 信息安全、目标和原则的定义,以指导所有信息安全有关的活动;
b) 把信息安全管理方面的一般和特定责任的分配给已定义的角色;
c) 处理偏差和意外的过程。
在较低层面,该信息安全策略宜由特定主题的策略予以支持,这些策略进一步强制性地规定了信息
安全控制的实现,并通常是结构化的,以强调组织内某些目标群体需求或涵盖某些主题。
例如,这样的策略主题包括:
a) 访问控制(见第9章);
b) 信息分级(和处理)(见8.2);
c) 物理和环境安全(见第11章);
d) 面向终端用户的策略,如:
1) 资产的可接受使用(见8.1.3);
2) 桌面和屏幕的清理(见11.2.9);
3) 信息传输(见13.2.1);
4) 移动设备和远程工作(见6.2);
5) 软件安装及其使用限制(见12.6.2);
e) 备份(见12.3);
f) 信息传输(见13.2);
g) 恶意软件防范(见12.2);
h) 技术脆弱性管理(见12.6.1);
i) 密码控制(见第10章);
j) 通信安全(见第13章);
k) 隐私及其个人可识别信息的保护(见18.1.4);
l) 供应商关系(见第15章)。
这些策略宜采用预期读者适合的、可访问和可理解的形式传达给员工和外部相关方,例如,在“信息
安全意识、教育和培训”(见7.2.2)环境下。
其他信息
内部信息安全策略的需求因组织而异。内部策略对于大型和复杂的组织而言尤其有用,当这些组
织中确定和批准控制预期水平的人员与实现控制的人员是分离的,或者当内部策略应用在组织不同的
人员或职能时,也是非常有用的。信息安全策略可以以单一“信息安全策略”文件的形式发布,或作为各
不相同但相互关联的一套文件的形式发布。
如果信息安全策略在组织外进行分发,宜注意不要泄露保密信息。
一些组织使用其他术语用于这些策略文件,例如“标准”“导则”或 “规则”。
5.1.2 信息安全策略的评审
控制
宜按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性
和有效性。
实现指南
每个策略宜有专人负责,他对策略的制定、评审和评价具有被批准的管理责任。评审宜包括评估组
织策略和信息安全管理方法的改进机会,以适应组织环境、业务状况、法律法规或技术环境发生的变化。
信息安全策略评审宜考虑管理评审的结果。
宜获得管理层对修订的策略的批准。
6 信息安全组织
6.1 内部组织
目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。
6.1.1 信息安全的角色和责任
控制
所有的信息安全责任宜予以定义和分配。
实现指南
信息安全责任的分配宜与信息安全策略(见5.1.1)相一致。各个资产的保护责任和执行特定安全
过程的责任宜被清晰地标识。宜定义信息安全风险管理活动的责任,特别是接受残余风险的责任。必
要时,宜针对特定的地点和信息处理设施的责任补充更详细的指南。宜定义本地资产保护和执行特定
安全过程的责任。
被分配了信息安全责任的个体可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并
且他们宜确定任何被委托的任务是否已被正确地执行。
宜指明个体负责的领域。特别是,宜进行下列工作:
a) 识别和定义资产和信息安全过程;
b) 指定每一资产或安全过程的责任实体,并且该责任的细节要形成文件(见8.1.2);
c) 定义授权级别并形成文件;
d) 被任命的个体宜具备信息安全领域的能力且被给予机会以跟进相关发展,使其能够履行信息
安全领域责任;
e) 宜对供应商关系中信息安全方面的监督和协调予以识别,并形成文件。
其他信息
在许多组织中,将任命一名信息安全管理人员全面负责安全的开发实现,并支持控制的识别。
然而,提供控制资源并实现这些控制的责任通常归于各个管理人员。一种通常的做法是为每一项
资产指定一名责任人负责该项资产的日常保护。
6.1.2 职责分离
控制
宜分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。
实现指南
宜注意,任何人都不能在非授权或不被监视的情况下访问、修改和使用资产。宜把一活动的启动与
其授权相分离。在设计该控制时,宜考虑勾结的可能性。
小型组织可能感到难以实现这种职责分离,但只要具有可能性和可行性,宜尽量应用该原则。如果
难以分离,宜考虑其他控制,例如对活动的监视、审核踪迹和管理监督等。
其他信息
职责分离是一种降低意外或蓄意滥用组织资产的风险的方法。
6.1.3 与职能机构的联系
控制
宜维护与相关职能机构的适当联系。
实现指南
组织宜有规程指明什么时候与哪个职能机构(例如,执法部门、法规部门、监管部门)进行联系,以及
如何及时报告已识别的信息安全事件(例如,已识别的信息安全事件可能很触犯了法律)。
其他信息
受到来自互联网的攻击组织可能需要职能机构对攻击源采取行动。
维护这样的联系,可能是支持信息安全事件管理(第16章)或业务连续和应急计划过程(第17章)
的要求。与法规部门的联系还有助于预先知道组织必须实现的法律法规方面预期的变化,并进行预先
准备。与其他部门的联系包括公共事业、紧急服务、电力供应、健康和安全部门,例如消防局(关系到业
务连续性)、电信提供商(关系到路由和可用性)、供水部门(关系到设备的冷却设施)。
6.1.4 与特定相关方的联系
控制
宜维护与特定相关方、其他专业安全论坛和专业协会的适当联系。
实现指南
宜考虑把特定的相关方或论坛中的成员关系作为一种手段,来:
a) 增进最佳实践的知识,掌握最新相关安全信息;
b) 确保了解的信息安全环境是最新的和全面的;
c) 获取以前的有关攻击和脆弱性的预警、公告和补丁;
d) 获得信息安全专家的建议;
e) 共享和交换关于新的技术、产品、威胁或脆弱性的信息;
f) 当处置信息安全事件时,提供适当的联络点(第16章)。
其他信息
可建立信息共享协议来改进安全问题的协作和协调。这种协议宜识别出有关保护保密信息的
要求。
6.1.5 项目管理中的信息安全
控制
宜关注项目管理中的信息安全问题,无论何种类型的项目。
实现指南
宜把信息安全整合到组织的项目管理方法中,作为项目的一部份,以确保识别并强调了信息安全风
险。这通常可应用于所有项目,无论其特征是什么,例如核心业务过程、IT、设施管理和其他支持过程
等方面的项目。使用的项目管理方法宜要求:
a) 信息安全目标被纳入项目目标;
b) 为识别必要的控制,在项目的早期阶段宜进行信息安全风险评估;
c) 信息安全作为所采用的项目管理方法各个阶段的一部分。
在所有项目中宜解决和定期评审信息安全问题。宜定义信息安全责任,并分配给在项目管理方法
中定义的特定角色。
6.2 移动设备和远程工作
目标:确保移动设备远程工作及其使用的安全。
6.2.1 移动设备策略
控制
宜采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。
实现指南
当使用移动设备时,宜特别注意确保业务信息不被损害。移动设备策略宜考虑在不受保护的环境
下使用移动设备工作的风险。
移动设备策略......
|