试译交流版 英文原版和本文PDF下载链接: https://download.csdn.net/download/single_element/85398119
说明
2022年2月,国际标准化组织发布更新,发布信息安全、网络安全和隐私保护-信息安全控制(ISO/IEC 27002:2022)作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。
新标准的更新变化为新环境下网络安全、数据安全治理和管理提供了先进的思路和参考框架,为尽快将新标变化纳入数据安全治理咨询服务知识库,安全咨询事业部组织专家力量进行翻译整理,现予发布,允许在保持文件原貌的前提下交流共享。
本次试译交流版主要翻译人员为安全咨询部高级安全顾问汤季洪(CISSP /CISP /CCSP /CCSI /CEH /RHCA /RHCE /MCSE /MCDBA /VCP),并得到了盘茜(CISSP /CISP)女士的大力支持。
由于译者水平有限,错误或不当是不可避免的,请参考英文原版,请批评和纠正。您可以联系汤季洪 [1337252076(微信同号)tangjihong@secsmart.com] 。
闪捷信息技术有限公司安全咨询部 2022年3月18日
序
ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化专项体系。作为ISO或IEC成员的国家机构参与制定各自组织的技术委员会的国际标准,以处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。与ISO和IEC其他保持联系的政府和非政府国际组织也参与了这项工作。
ISO/IEC指令第1部分描述了用于编制本文件的程序以及旨在进一步维护本文件的程序。特别是,同类型的文件需要不同的审批标准。本文件根据ISO/IEC起草指令第二部分的编辑规则(见www.iso.org/directives或者www.iec.ch/members_experts/refdocs )。
请注意,本文件中的某些内容可能是专利权的主题。ISO和IEC不负责识别任何或所有此类专利权。在文档开发过程中确定的任何专利权的详细信息将在引言和/或收到的ISO列出专利声明列表(见参见)www.iso.org/patents)或收到的IEC专利声明清单(见patents.iec.ch)。
本文件中使用的任何商品名称都是为方便用户而提供的信息,不构成认可。
解释相关标准的自愿性质,并与合格评估有关ISO具体术语和表达的含义,以及相关术语ISO遵守技术性贸易壁垒(TBT)遵守世界贸易组织(WTO)请参阅原则信息www.iso.org/iso/foreword.html。IEC的有关信息请参见www.iec.ch/understanding-standards。
本文件由ISO/IEC JTC 11联合技术委员会信息技术分委员会SC 编写信息安全、网络安全和隐私保护。
取消第三版并取代第二版(ISO/IEC 27002:2013),包括第二版技术修订ISO/IEC 27002:2013/Cor.1:2014和ISO/IEC 27002:2013/Cor.2:2015。
主要变化如下:
— 修改标题;
— 使用简单的分类法和相关属性来改变文档的结构;
— 一些控制被合并,一些被删除,一些新的控制被引入。
完整对照见附件B。
关于本文件的任何反馈或问题应提交给使用者所在国家或地区的标准机构。这些机构的完整清单可在以下网址找到: www.iso.org/members.html www.iec.ch/national-committees
0 介绍
0.1 背景和语境
本文件适用于各种类型和规模的组织。它将用作基础ISO/IEC 信息安全管理系统27001(ISMS)参考信息安全风险处理控制的确定和实施。也可作为组织确定和实施信息安全控制措施的指导文件。此外,考虑到特定的信息安全风险环境,本文件旨在制定行业和组织特定的信息安全管理标准。可根据需要通过风险评估确定本文件中未包含的组织或环境的具体控制措施。
各类组织(包括公共和私营部门、商业和非营利组织)以电子、物理和口头形式(如对话和演示)创建、收集、处理、存储、传输和处置信息。
信息的价值超过了文本、数字和图像:知识、概念、想法和品牌是无形的信息形式。在一个相互关联的世界里,无论这些风险来源是自然的、意外的还是故意的,信息和其他相关资产都值得或需要保护各种风险来源。
通过实施战略、规则、流程、程序、组织结构、软件和硬件功能等适当的控制措施,实现信息安全。必要时,组织应定义、实施、监控、审查和改进这些控制措施,以满足其具体的安全和业务目标。诸如ISO/IEC 27001中规定的ISMS对组织的信息安全风险采取全面协调的观点,在一致的管理系统的整体框架内确定和实施一套全面的信息安全控制。
许多信息系统,包括它们的管理和操作,都没有遵循ISO/IEC 本文件规定的27001和ISMS设计安全。仅通过技术措施实现的安全水平有限,应得到适当管理活动和组织流程的支持。在处理风险时,应仔细规划和注意哪些控制措施应该到位。
成功的ISMS需要组织中所有人员的支持。也可能需要股东或供应商等其他相关方的参与。也可能需要相关领域专家的建议。
一个适当、充分、有效的信息安全管理体系为组织的管理层和其他相关方提供保障,确保其信息和其他相关资产得到合理保护,避免威胁和伤害,使组织能够实现既定的业务目标。
0.2 信息安全要求
该组织必须确定其信息安全要求。信息安全要求有三个主要来源:
a)考虑到组织的总体业务战略和目标,评估组织面临的风险。这可以通过特定的信息安全风险评估来促进或支持。这应导致必要的控制措施,以确保组织的剩余风险符合其风险接受标准;
b) 组织及其相关方(贸易伙伴、服务提供商等)必须遵守的法律、法规、规章和合同要求,以及其社会文化环境;
c)一系列的原则、目标和业务要求周期的一系列原则、目标和业务要求。
0.3 控制
控制被定义为改变或保持风险的措施。本文件中的一些控制措施是改变风险的控制措施,而其他控制措施则保持风险。例如,信息安全策略只能保持风险,而遵守信息安全策略可以改变风险。此外,在不同的风险语境下,一些控制是相同的通用措施。本文件提供了组织、人员、物理和技术信息安全控制的通用组合,从国际公认的最佳实践中总结出来。
0.4 确定控制
确定控制取决于组织在风险评估后做出的决定,并具有明确的定义范围。与识别风险相关的决定应基于组织采用的风险接受标准、风险处理方案和风险管理方法。控制措施的确定还应考虑所有相关国家和国际法律法规。控制措施的确定也取决于控制措施的相互作用,以提供深度防御。
组织可以根据需要设计控制或识别任何来源。在指定此类控制措施时,组织应考虑实施和运行控制措施所需的资源和投资。ISO/IEC 27016,了解有关ISMS在竞争资源需求的背景下,投资决策的指导和经济后果。
为实施控制措施而部署的资源应与没有这些控制的安全事故可能产生的业务影响之间寻求平衡。风险评估的结果应有助于指导和确定适当的管理措施、管理信息安全风险的优先级和预防这些风险所需的控制措施。
本文件中的一些控制措施可视为信息安全管理的指导原则,适用于大多数组织。有关确定控制和其他风险处理选项的更多信息,请参见ISO/IEC 27005。
0.5 制定组织个性化指南
本文件可以被视为制定组织个性化指南的起点。并非本文件中的所有控制和指导都适用于所有组织。本文件中未包含的其他控制措施和指南也可能需要满足组织的具体需要和已识别的风险。当制定的文件包含额外的指南或控制措施时,将有助于将来参考。
0.6 考虑生命周期的因素
从创建到处从创建到处理的生命周期。在整个生命周期中,信息的价值和风险可能会有所不同(例如,未经授权披露或窃取公司的财务账户并不严重,但完整性仍然至关重要)。因此,在所有阶段,信息安全在一定程度上都非常重要。
与信息安全相关的信息系统和其他资产都有生命周期。在这些生命周期中,它们被构思、规定、设计、开发、测试、实施、使用和维护,最终退休和处置。信息安全应在每个阶段考虑。考虑到组织的风险和事故中吸取的教训,新的系统开发项目为改变现有系统提供了改进安全控制的机会。
0.7 相关国际标准
本文件提供了各种信息安全控制指南,广泛应用于不同组织,ISO/IEC 27000系列中的其他文件提供了关于信息安全管理整其他方面提供了补充建议或要求。
有关ISMS请参考文件系列的一般介绍ISO/IEC 27000。ISO/IEC 27000提供了定义的词汇表ISO/IEC 大多数术语用于27000文件系列,并描述了该系列每个成员的范围和目标。
还有一些针对特定行业的标准,包括针对特定领域的标准额外控制措施(例如,针对云服务的ISO/IEC 27017标准、针对隐私的ISO/IEC 27701标准、针对能源的ISO/IEC 27019标准、针对电信组织的ISO/IEC 27011标准以及针对健康的ISO 27799标准)。此类标准包含在参考书目中,其中一些参考了第5-8条中的指南和其他信息部分。
1 范围
本文件提供了一套通用的信息安全控制参考,包括实施指南。旨在供组织用来:
a)在基于ISO/IEC 27001的信息安全管理体系(ISMS)的范围内;
b)根据国际公认的最佳实践实施信息安全控制;
c)制定特定于组织的信息安全管理准则。
2 规范性引用文件
本文件中没有规范性引用文件。
3 术语,定义和缩写词
3.1 术语和定义
就本文件而言,以下术语和定义适用。
ISO和IEC在以下地址维护用于标准化的术语数据库:
— ISO在线浏览平台:https://www.iso.org/obp
— IEC电子词典:https://www.electropedia.org/
3.1.1 访问控制 access control
确保基于业务和信息安全要求授权和限制对资产(3.1.2)的物理和逻辑访问的方法。
3.1.2 资产 asset
任何对组织有价值的事物。
条目注释1:在信息安全环境中,可以区分两种资产: — 主要资产: — 信息; — 业务流程(3.1.27)和活动; — 所有类型的支持资产(主要资产所依赖的),例如: — 硬件; — 软件; — 网络; — 工作人员(3.1.20); — 站点; — 组织结构。
3.1.3 攻击 attack
未授权的破坏、更改、禁用、访问资产(3.1.2)的成功或不成功的尝试,或任何试图暴露、窃取或未经授权使用资产(3.1.2)的行为。
3.1.4 鉴别 authentication
保证实体(3.1.11)声称的特征属性是正确的。
3.1.5 真实性 authenticity
一个实体(3.1.11)是它所声称的那样的属性。
3.1.6 监管链 chain of custody
从一个时间点到另一个时间点,材料的可证明的持有、移动、处理和定位
条目注释1:在ISO/IEC 27002环境下,材料包括信息和其他相关资产(3.1.2)。 [资料来源:ISO/IEC 27050-1:2019,3.1,另含修订——添加“条目注释1”]
3.1.7 机密消息 confidential information
不打算对未经授权的个人、实体(3.1.11)或过程(3.1.27)可用或向其披露的信息。
3.1.8 控制 control
保持和/或改变风险的措施
条目注释1:控制包括但不限于任何过程(3.1.27)、策略(3.1.24)、设备、实践或其他保持和/或改变风险的条件和/或行动。 条目注释2:控制可能并不总是产生预期或假定的改变效果。 [资料来源:ISO 31000:2018,3.8]
3.1.9 中断 disruption
一种事故,无论是预期的还是未预期的,都会导致产品和服务的预期交付相对于组织的目标发生计划外的负面偏离。
[资料来源:ISO 22301:2019,3.10]
3.1.10 终端设备 endpoint device
联网的信通技术(ICT)硬件设备。
条目注释1:端点设备可以指台式计算机、笔记本电脑、智能手机、平板电脑、瘦客户机、打印机或其他专用硬件,包括智能电表和物联网(IoT)设备。
3.1.11 实体 entity
与具有可识别的独特存在的领域的运营目的相关的项目。
条目注释1:一个实体应有一个物理或逻辑的具象化实例。 例如个人、组织、设备、一组像这样罗列的事物、电信服务的个人订户、SIM卡、护照、网络接口卡、软件应用、服务或网站等。 [资料来源:国际标准化组织/IEC 24760-1:2019,3.1.1]
3.1.12 信息处理设施 information processing facility
任何信息处理系统、服务或基础设施,或容纳信息的物理位置。
[资料来源:ISO/IEC 27000:2018,3.27,修改——“设施facilities”替换为“设施facility”。]
3.1.13 信息安全的违背 information security breach
危及信息安全,导致传输、存储或以其他方式处理的受保护信息遭到意外破坏、丢失、篡改、泄露或访问。
3.1.14 信息安全事件 information security event
表明可能发生信息安全的破坏(3.1.13)或控制失败(3.1.8)的事件
[资料来源:ISO/IEC 27035-1:2016,3.3,修改——“信息安全的违背breach of information security”替换为“信息安全的违背information security breach”]
3.1.15 信息安全事故 information security incident
一个或多个相关且已确定的信息安全事件(3.1.14),可能会损害组织的资产(3.1.2)或干扰其运营
[资料来源:ISO/IEC 27035-1:2016,3.4]
3.1.16 信息安全事故管理 information security incident management
采用一贯的、有效的方法处理信息安全事故(3.1.15)
[资料来源:ISO/IEC 27035-1:2016,3.5]
3.1.17 信息系统 information system
一组应用程序、服务、信息技术资产(3.1.2)或其他信息处理部件。
[资料来源:国际标准化组织/IEC 27000:2018,3.35]
3.1.18 利益相关方 interested party/stakeholder
能够影响决策或活动、被决策或活动影响或认为自己受决策或活动影响的个人或组织。
[资料来源:国际标准化组织/IEC 27000:2018,3.37]
3.1.19 不可否认性 non-repudiation
证明声称的事件或行动及其发起实体发生的能力(3.1.11)
3.1.20 工作人员 personnel
在组织的指导下工作的人员
条目注释1:工作人员的概念包括组织的成员,如理事机构、最高管理层、雇员、临时工作人员、承包商和志愿者。
3.1.21 个人可识别信息 personally identifiable information/PII
(a)可用于在信息和与信息相关的自然人之间建立联系的任何信息,或(b)直接或间接与自然人相关联的任何信息。
条目注释1:定义中的“自然人”是指PII主体(3.1.22)。要确定PII主体是否可识别,应考虑持有数据的隐私利益相关方或任何其他方可以合理使用的所有方法,以建立PII集和自然人之间的联系。 [资料来源:ISO/IEC 29100:2011/Amd.1:2018,2.9]
3.1.22 PII主体 PII principal
与PII个人可识别信息(3.1.21)相关的自然人。
条目注释1:根据司法管辖区和特定的数据保护和隐私立法,也可以使用同义词“数据主体”代替术语“PII主体”。 [资料来源:国际标准化组织/IEC 29100:2011,2.11]
3.1.23 PII处理者 PII processor
代表PII控制者并根据其指示处理PII个人可识别信息(3.1.21)的隐私利益相关方。
[资料来源:国际标准化组织/IEC 29100:2011,2.12]
3.1.24 策略 policy
由最高管理者正式表达的组织的意图和方向
[资料来源:ISO/IEC 27000:2018,3.53]
3.1.25 隐私影响评估 privacy impact assessment
识别、分析、评估、咨询、沟通和规划处理PII个人可识别信息(3.1.21)的潜在隐私影响的整体流程(3.1.27),在组织更广泛的风险管理框架内制定
[资料来源:ISO/IEC 29134:2017,3.7,修改——删除条目注释1。]
3.1.26 程序 procedure
开展活动或过程(3.1.27)的特定方式。
[资料来源:ISO 30000:2009,3.12]
3.1.27 过程 process
使用或转换输入以交付结果的一组相互关联或相互作用的活动
[资料来源:ISO 9000:2015,3.4.1,修改——删除条目注释]。
3.1.28 记录 record
组织或个人在履行法律义务或业务交易中,被作为证据、同时也作为资产创建、接收和维护的信息(3.1.2)
条目注释1:此处的法律义务包括所有法律、法规、监管和合同要求。 [资料来源:ISO 15489-1:2016,3.14,修改——添加“条目注释1”。]
3.1.29 恢复点目标 recovery point objective/RPO
发生中断(3.1.9)后数据将要恢复到的时间点。
[资料来源:ISO/IEC 27031:2011,3.12,修改——“必须must”替换为“将要are to be”。]
3.1.30 恢复时间目标 recovery time objective/RTO
发生中断(3.1.9)后,服务和/或产品以及支持系统、应用程序或功能恢复到最低水平所历经的时长。
[资料来源:ISO/IEC 27031:2011,3.13,修改——“必须must”替换为“将要are to be”。]
3.1.31 可靠性 reliability
与预期行为和结果一致的特性。
3.1.32 规则 rule
被接受的原则或指示,说明组织要求做什么、允许什么或不允许什么。
条目注释1:规则可以在专题策略(3.1.35)和其他类型的文件中正式表述。
3.1.33 敏感信息 sensitive information
由于对个人、组织、国家安全或公共安全的潜在不利影响,需要防止其不可用、未经授权的访问、修改或公开披露的信息。
3.1.34 威胁 threat
可能对系统或组织造成损害的意外事故的潜在原因
[来源:ISO/IEC 27000:2018,3.74]
3.1.35 专题策略
由适当层级的管理者正式表达的,关于特定对象或主题的意图和方向。
条目注释1:专题策略可以正式表达规则(3.1.32)或组织标准。 条目注释2:一些组织对这些专题策略使用其他术语。 条目注释3:本文档中提及的专题策略与信息安全相关。关于访问控制的专题策略示例(3.1.1),关于桌面清晰和屏幕清晰的专题策略。
3.1.36 用户 user
有权访问组织信息系统(3.1.17)的相关方(3.1.18)。
比如工作人员(3.1.20)、客户、供应商。
3.1.37 用户终端设备 user endpoint device
用户用来访问信息处理服务的终端设备(3.1.10)。
条目注释1:用户终端设备可以指台式计算机、膝上型计算机、智能电话、平板电脑、瘦客户机等。
3.1.38 脆弱性 vulnerability
可能被一个或多个威胁(3.1.34)利用的资产(3.1.2)或控制(3.1.8)的弱点
[资料来源:国际标准化组织/IEC 27000:2018,3.77]
3.2 缩写词
attribute-based access control
基于属性的访问控制
access control list
访问控制列表
business impact analysis
业务影响分析
bring your own device
自带设备办公
completely automated public Turing test to tell computers and humans apart
全自动公共图灵测试,区分计算机和人类
central processing unit
中央处理单元
discretionary access control
自主访问控制
domain name system
域名系统
global positioning system
全球定位系统
identity and access management
身份与访问管理
information and communication technology
信息与通讯技术
Identifier
标识符
integrated development environment
集成开发环境
intrusion detection system
入侵检测系统
internet of things
物联网
internet protocol
互联网协议
intrusion prevention system
入侵防御系统
information technology
信息技术
information security management system
信息安全管理体系
mandatory access control
强制访问控制
network time protocol
网络时间协议
privacy impact assessment
隐私影响分析
personally identifiable information
个人可识别信息
personal identification number
个人识别码
public key infrastructure
公钥基础设施
precision time protocol
精密时钟协议
role-based access control
基于角色的访问控制
recovery point objective
恢复点目标
recovery time objective
恢复时间目标
static application security testing
静态应用程序安全测试
secure digital
安全数字
software-defined networking
软件定义网络
software-defined wide area networking
软件定义广域网
security information and event management
安全信息与事件管理
short message service
短消息服务
structured query language
结构化查询语言
single sign on
单点登录
software identification
软件识别
user and entity behaviour analytics
用户和实体行为分析
uninterruptible power supply
uniform resource locator
统一资源定位符
universal serial bus
通用串行总线
virtual machine
虚拟机
virtual private network
虚拟专用网
wireless fidelity
无线相容性认证
4 本文件的结构
4.1 章节
本文件基于如下结构:
a)组织控制(第5章)
b)人员控制(第6章)
c)物理控制(第7章)
d)技术控制(第8章)
并包含两个附录:
附录A ——使用属性
附录B ——与ISO/IEC 27002:2013的对应关系
附录A 解释了组织如何使用属性(参见4.2),根据本文件中定义的控制属性或自己创建的控制属性创建自己的视图。
附录B 显示了本版ISO/IEC 27002与之前的2013版之间的对应关系。
4.2 主题和属性
第5章至第8章中给出的控制分类被称为主题。控制分为以下几类:
a) 人,如果涉及个人;
b)物理的,如果涉及物理对象;
c)技术,如果涉及技术;
d)否则,被归类为组织。
组织可以使用属性来创建不同的视图,这些视图是从主题的不同角度对控制的不同分类。属性可用于在不同的视图中为不同的受众筛选、排序或呈现控制。附录A解释了如何实现这一点,并提供了一个视图示例。
举例来说,本文件中的每个控制都与具有相应属性值的五个属性相关联(以“#”开头以使其可搜索),如下所示:
a)控制类型
控制类型是一种属性,用于从是何时以及如何改变风险的角度来认识控制,这些风险与信息安全事件的发生相关。
属性值包括
预防性:旨在防止信息安全事件发生的控制措施;
检测性:信息安全事件发生时起作用的控制措施;
纠正性:信息安全事件发生后起作用的控制措施。
b)信息安全特性
信息安全特性是用于从有助于保护信息的哪一项品质的角度来认识控制的一种属性。
属性值由机密性、完整性和可用性组成。
c)网络安全概念
网络安全概念是用于从与ISO/IEC 27110所描述的网络安全框架中定义的网络安全概念的关联的角度来认识控制的属性。
属性值包括识别、保护、检测、响应和恢复。
d)运营能力
运营能力是从业者从信息安全能力的角度来认识控制的属性。属性值共15个,包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律与合规性、信息安全事件管理和信息安全保证。
e)安全域
安全域属性从四个信息安全域角度来认识控制,属性值包括治理与生态系统、保护、防御和韧性。
包括“信息系统安全治理&风险管理”和“生态系统网络安全管理”(包括内部和外部利益相关者);
包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”和“物理和环境安全”;
包括“检测”和“计算机安全事件管理”;
包括“业务连续性”和“危机管理”。
选择本文件中给出的属性是因为它们被认为是通用的,足以供不同类型的组织使用。组织可以选择忽略本文件中给出的一个或多个属性。他们还可以创建自己的属性(带有相应的属性值)来创建自己的组织视图。附件A.2包括了这些属性的例子。
4.3 控制的布局
以下章节对每个控制的描述使用如下布局结构:
控制的简称;
显示给定控制的每个属性的值的表;
控制是什么;
为什么要实施控制;
应该如何实施控制;
说明性文本或对其他相关文档的引用。
另外,由于某些控制的指南很长且涉及多个主题,文本中会使用副标题以提高可读性。此类标题不一定在所有指南文本中使用。副标题加了下划线。
5 组织控制
5.1 信息安全策略
| #预防性 | #保密性#完整性 #可用性 | #识别 | #治理 | #治理与生态系统 #韧性 |
应定义信息安全策略和专题策略,由管理层批准,发布,传达给相关人员和利益相关方并得到他们的认可,并在计划的时间间隔和发生重大变化时进行审查。
根据业务、法律、法规、监管和合同要求,确保管理方向和信息安全支持的持续适用性、充分性和有效性。
在最高级别,组织应定义由最高管理层批准的“信息安全策略”,该策略规定了组织管理其信息安全的方法。
信息安全策略应顾及来自以下方面的要求:
a)业务战略和要求;
b)法规、立法和合同;
c)当前和预计的信息安全风险和威胁。
信息安全策略应包含关于以下方面的声明:
a)信息安全的定义;
b)信息安全目标或设定信息安全目标的框架;
c)指导所有信息安全相关活动的原则;
d)承诺满足与信息安全相关的适用要求;
e)致力于信息安全管理体系的持续改进;
f)将信息安全管理的职责指派给规定的角色;
g)处理豁免和例外的程序。
对信息安全策略的任何更改应经最高管理层批准。
在较低层次上,根据需要,信息安全策略应得到专题策略的支持,以进一步授权实施信息安全控制措施。专题策略通常旨在满足组织内特定目标群体的需求,或者涵盖特定的安全领域。专题策略应与组织的信息安全策略保持一致并对其起到补充作用。
此类主题的示例包括:
a)访问控制;
b)物理和环境安全;
c)资产管理;
d)信息传递;
e)用户终端设备的安全配置和处理;
f)网络安全;
g)信息安全事件管理;
h)备份;
i)密码术和密钥管理;
j)信息分类和处理;
k)技术漏洞的管理;
l)安全开发。
应根据相关人员的适当权限和技术能力,指派制定、评审和批准专题策略的责任。评审应包括评估改进组织信息安全策略和专题策略的机会,并管理信息安全以应对以下变化:
a)组织的业务战略;
b)组织的技术环境;
c)法规、法令、法律和合同;
d)信息安全风险;
e)当前和预计的信息安全威胁环境;
f)从信息安全事件和事故中吸取的教训。
信息安全策略和专题策略的评审应考虑管理评审和审计的结果。当一项策略发生变化时,应考虑对其他相关策略进行评审和更新,以保持一致性。
信息安全策略和专题策略应以相关的、可访问的和目标读者可理解的形式传达给相关人员和相关方。应要求策略的接受者承认他们理解并同意遵守适用的策略。组织可以确定满足组织需要的这些策略文件的格式和名称。在一些组织中,信息安全策略和特定于主题的策略可以放在一个文档中。组织可以将这些专题策略命名为标准、指令、策略或其他。
如果信息安全策略或任何专题策略在组织外分发,应注意不要不当披露机密信息。
表1说明了信息安全策略和专题策略之间的区别。
表1 ——信息安全策略和专题策略之间的差异
| 一般或高级 | 具体而详细 | |
| 最高管理层 | 适当的管理层级 |
专题策略可能因组织而异。
5.2 信息安全角色和职责
| #预防性 | #保密性#完整性#可用性 | #识别 | #治理 | #治理与生态系统#保护#韧性 |
应根据组织需求定义和分配信息安全角色和职责。
为组织内信息安全的实施、运营和管理建立一个定义明确、得到批准和理解的结构。
应根据信息安全策略和专题策略分配信息安全角色和职责(参见5.1)。组织应当定义和管理以下方面的职责:
a)保护信息和其他相关资产;
b)执行特定的信息安全流程;
c)信息安全风险管理活动,特别是对残余风险的接受(例如对风险所有人)。
d)使用组织信息和其他相关资产的所有人员。
必要时,应对这些职责进行补充,为特定站点和信息处理设施提供更详细的指导。被分配了信息安全职责的个人可以将安全任务指派给其他人,但是他们仍须担责,并且应该确定任何委派的任务都已正确执行。
应定义、记录和沟通个人负责的每个安全领域。应该定义和记录授权级别。担任特定信息安全角色的个人应具备该角色所需的知识和技能,并应得到支持以跟上与该角色相关的发展,以及履行该角色职责所需的发展。
许多组织任命一名信息安全管理人员,全面负责信息安全的开发和实施,并支持风险识别和缓解控制措施。
然而,配置资源和实施控制的责任通常由各个管理人员分别承担。一种常见的做法是为每项资产指定一名所有者,由其负责该资产的日常保护。
根据组织的规模和资源配置,信息安全可以由除现有角色之外的专门角色或职责来负责。
5.3 职责分离
| #预防性 | #保密性#完整性#可用性 | #保护 | #治理#身份和访问管理 | #治理与生态系统 |
相互冲突的职责和相互冲突的责任领域应该被分离。
降低欺诈、出错和绕过信息安全控制的风险。
职责和责任领域的分离旨在分离不同个人之间的职责冲突,以防止一个人独自执行潜在冲突的职责。
组织应该确定哪些职责和责任范围需要分离。以下是可能需要隔离的活动示例:
a)发起、批准和执行变更;
b)请求、批准和实施访问权限;
c)设计、实施和审查代码;
d)开发软件和管理生产系统;
e)使用和管理应用程序;
f)使用应用程序和管理数据库;
g)设计、审计和确保信息安全控制。
在设计隔离控制时,应考虑共谋的可能性。小型组织可能会发现职责分离很难实现,但应尽可能和切实可行地应用这一原则。当难以分离时,应考虑其他控制措施,如活动监控、审计跟踪和管理监督。
使用基于角色的访问控制系统时应小心谨慎,以确保人员不会被授予冲突的角色。当组织有大量的角色时,应该考虑使用自动化工具来识别冲突并促进冲突的消除。应该仔细定义和设置角色,以便在删除或重新分配角色时最大限度减少权限问题。
没有其他信息。
5.4 管理层责任
| #预防性 | #保密性#完整性#可用性 | #识别 | #治理 | #治理与生态系统 |
管理层应要求所有人员根据组织的既定信息安全策略、专题策略和程序来应用信息安全。
确保管理层了解其在信息安全中的角色,并采取措施确保所有人员了解并履行其信息安全职责。
管理层应对信息安全策略、专题策略、程序和信息安全控制措施提供可证实的支持。
管理层责任应包括确保人员:
a)在被授权访问组织的信息和其他相关资产之前,已正确了解其信息安全角色和职责;
b)获得了指南,规定了他们在组织内的角色的信息安全要求;
c)被授权履行组织的信息安全策略和专题策略;
d)信息安全意识达到与其在组织内的角色和职责相匹配的水平 (参见6.3);
e)遵守雇佣、合同或协议的条款和条件,包括组织的信息安全策略和适当的工作方法;
f)通过专业继续教育持续拥有适当的信息安全技能和资格;
g)在可行的情况下,为报告违反信息安全策略、专题信息安全策略或程序的行为(“举报”)提供保密渠道。这可以是允许匿名举报,或者有预置措施确保只有需要处理此类举报的人才知晓举报人身份;
h)为实施组织的安全相关流程和控制提供充足的资源和项目规划时间。
没有其他信息。
5.5 与职能机构的联系
| #预防性#纠正性 | #保密性#完整性#可用性 | #识别#保护#响应#恢复 | #治理 | #防御#韧性 |
组织应当与相关职能机构建立并保持联系。
确保组织与相关法律、监管和监督机构之间在信息安全方面有适当的信息沟通。
组织应指定何时联系职能部门(如执法机关、监管部门、监督机构)以及由谁联系,以及如何及时报告已发现的信息安全事件。
还应利用与职能机构的联系来促进对这些职能机构当前和未来的期望的理解(例如适用的信息安全法规)。
受到攻击的组织可以请求职能机构对攻击源采取行动。
维护此类联系可能是支持信息安全事件管理(参见5.24至5.28)或应急计划和业务连续性流程(参见5.29和5.30)的一项要求。与监管机构的联系也有助于预测和准备影响组织的相关法律或法规即将发生的变化。与其他机构的联系包括公用事业、应急服务、电力供应商以及健康和安全部门 [如消防部门(与业务连续性相关)、电信提供商(与线路路由和可用性相关)和水供应商(与设备冷却设施相关)] 。
5.6 与特定相关方的联系
| #预防性#纠正性 | #保密性#完整性#可用性 | #保护#响应#恢复 | #治理 | #防御 |
组织应与特定相关方或其他专业安全论坛、专业协会建立并保持联系。
确保在信息安全方面有适当的信息沟通。
应把特定的相关方或论坛中的成员关系视作一种手段,用来
a)增进对最佳实践的了解,并掌握最新的相关安全信息;
b)确保对信息安全环境的了解是最新的;
c)接收与攻击和漏洞相关的预警、建议和补丁;
d)获得专家信息安全建议;
e)分享和交流有关新技术、产品、服务、威胁或漏洞的信息;
f)在处理信息安全事件时提供合适的联系人(参见5.24至5.28)。
没有其他信息。
5.7 威胁情报
| #预防性#检测性#纠正性 | #保密性#完整性#可用性 | #识别#检测#响应 | #威胁和漏洞能力管理 | #防御#韧性 |
应收集并分析与信息安全威胁相关的信息,以产生威胁情报。
提供组织威胁环境的意识,以便采取适当的缓解措施。
收集和分析关于现有或新出现的威胁的信息,以便:
a)促进对行动的知情,以防止威胁对组织造成伤害;
b)降低威胁的影响。
威胁情报可分为三个层次:
a)战略威胁情报:交换关于不断变化的威胁形势的高级别信息(例如攻击者的类型或攻击的类型);
b)战术威胁情报:关于攻击者方法、工具和相关技术的信息;
c)作战威胁情报:关于特定攻击的详细信息,包括技术指标。
以上三个层次的威胁情报都应该被顾及。
威胁情报应该是:
a)相关的(即与保护本组织相关);
b)有洞察力的(即向组织提供对威胁形势的准确而详细的了解);
c)上下文的,提供情境意识(即根据事件发生的时间、地点、以前的经验和在类似组织中的流行程度为信息添加上下文);
d)可操作的(即组织可以快速有效地对信息采取行动)。
威胁情报活动应包括:
a)建立生产威胁情报的目标;
b)确定、审查和选择必要和适当的内部和外部信息来源,以提供生产威胁情报所需的信息;
c)从选定的内部和外部来源收集信息;
d)处理收集的信息,为分析做准备(例如翻译、格式化或确证信息);
e)分析信息,了解它与组织的关系以及对组织的意义;
f)以可理解的形式与相关个人交流和分享。
应对威胁情报进行分析,并在以后使用:
a)通过实施流程,将从威胁情报来源收集的信息纳入组织的信息安全风险管理流程;
b)作为防火墙、入侵检测系统或反恶意软件解决方案等技术预防和检测控制的附加输入;
c)作为信息安全测试流程和技术的输入。
组织应在互利合作的基础上与其他组织共享威胁情报,以改进整体威胁情报。
组织可以使用威胁情报来预防、检测或响应威胁。组织可以生成威胁情报,但更常见的是接收和利用其他来源生成的威胁情报。
5.8 项目管理中的信息安全
| #预防性 | #保密性#完整性#可用性 | #识别#保护 | #治理 | #治理与生态系统#保护 |
项目管理中应纳入信息安全。
贯穿整个项目生命周期,确保在在项目管理中有效解决与项目和可交付成果相关的信息安全风险。
应将信息安全集成到项目管理中,以确保信息安全风险作为项目管理的一部分得到解决。这可适用于任何类型的项目,无论其复杂程度、规模、持续时间、学科或应用领域如何(如核心业务流程、ICT、设施管理或其他支持流程的项目)。
正在执行的项目管理中应要求:
a)在整个项目生命周期中,信息安全风险作为项目风险的一部分,在早期阶段定期得到评估和处理;
b)信息安全要求 [如应用安全要求(8.26)、遵守知识产权的要求(5.32)等。] 在项目的早期阶段得到解决;
c)在整个项目生命周期中,考虑和处理与项目执行相关的信息安全风险,如内部和外部通信方面的安全;
d)审查信息安全风险处理的进展,并评估和测试处理的有效性。
应由合适的人员或治理机构(如项目指导委员会)在预定义的阶段持续核查信息安全考虑因素和活动的适当性。
应定义与项目相关的信息安全责任和权限,并分配给指定的角色。
应使用各种方法确定项目交付的产品或服务的信息安全要求,包括从信息安全策略、专题策略和法规中得出合规性要求。进一步的信息安全要求可以从威胁建模、事件审查、使用漏洞阈值或应急计划等活动中得出,从而确保信息系统的体系结构和设计能够抵御基于运营环境的已知威胁。
应该为所有类型的项目确定信息安全要求,而不仅仅是ICT开发项目。确定这些要求时,还应顾及以下因素:
a)涉及哪些信息(信息判定),对应的信息安全需求有哪些(分类;参见5.12)以及缺乏足够的安全性可能导致的潜在负面业务影响。
b)所涉信息和其他相关资产的必要保护需求,特别是在保密性、完整性和可用性方面;
c)为了得出身份鉴别要求,对所声称的实体身份所需的信任或保证级别;
d)为客户和其他潜在业务用户以及特权或技术用户(如相关项目成员、潜在运营人员或外部供应商)提供访问和授权流程;
e)告知用户他们的义务和责任;
f)源自业务流程的需求,如交易记录和监控、不可否认性需求;
g)其他信息安全控制措施规定的要求(如记录和监控或数据泄漏检测系统的接口);
h)遵守组织运作的法律、法规、规章和合同环境;
i)第三方满足组织的信息安全策略和专题策略(包括任何协议或合同中的相关安全条款)所需的信心或保证级别。
项目开发方法,如瀑布生命周期或敏捷生命周期,应该以结构化的方式支持信息安全,可以根据项目的特征进行调整,以适应评估信息安全风险的严重程度的要求。应尽早考虑产品或服务的信息安全要求(例如在规划和设计阶段),这样可以为质量和信息安全提供更有效、更具成本效益的解决方案。ISO 21500和ISO 21502就项目管理的概念和过程提供了指南,这些概念和过程对于项目的绩效非常重要。
ISO/IEC 27005提供了有关使用风险管理流程来确定控制措施以满足信息安全要求的指南。
5.9 信息和其他相关资产的清单
| #预防性 | #保密性#完整性#可用性 | #识别 | #资产管理 | #治理与生态系统#保护 |
应开发和维护信息和其他相关资产(包括所有者)的清单。
识别组织的信息和其他相关资产,以保护其信息安全并分配适当的所有权。
清单
组织应确定其信息和其他相关资产,并确定它们在信息安全方面的重要性。文件应酌情保存在专用或现有的清单中。
信息和其他相关资产的清单应准确、最新、一致,并与其他清单保持一致。确保信息和其他相关资产清单准确性的选项包括:
a)根据资产清单定期审查已识别的信息和其他相关资产;
b)在安装、更改或删除资产的过程中自动执行清单更新。
资产的位置应适当地包括在清单中。
清单不必是信息和其他相关资产的单一列表。考虑到清单应由相关职能部门维护,因此可将其视为一组动态清单,如信息资产、硬件、软件、虚拟机、设施、人员、能力、功能和记录的清单。
应根据与资产相关的信息分类(参见5.12)对每项资产进行分类。
信息和其他相关资产清单的粒度应符合组织的需求。有时,由于资产的性质,信息生命周期中资产的特定实例不适合记录。短期资产的一个例子是生命周期可能很短的VM实例。
所有权
对于已识别的信息和其他相关资产,资产的所有权应分配给个人或团体,并应识别其分类(参见5.12、5.13)。应实施确保及时分配资产所有权的流程。当创建资产或将资产转移到组织时,应分配所有权。当当前资产所有者离开或改变工作角色时,应根据需要重新分配资产所有权。
所有者职责
资产所有者应负责在整个资产生命周期内对资产进行适当管理,确保:
a)对信息和其他相关资产进行编目;
b)信息和其他相关资产得到适当的分类和保护;
c)定期审查分类;
d)列出并链接支持技术资产的组件,如数据库、存储、软件组件和子组件;
e)建立了信息和其他相关资产的可接受的使用要求(参见5.10);
f)访问限制符合分类,并且是有效的,并定期审查;
g)删除或处置信息和其他相关资产时,以安全的方式进行处理,并从清单中删除;
h)他们参与识别和管理与其资产相关的风险;
i)他们支持承担管理其信息的角色和责任的人员。
信息和其他相关资产的清单通常是确保有效保护信息所必需的,也可能出于其他目的,如健康和安全、保险或财务原因。信息和其他相关资产的清单还支持风险管理、审计活动、漏洞管理、事件响应和恢复计划。
任务和责任可以委派(例如,委派给负责日常资产的保管人),但委派的人或团队仍然有责任。
指定共同提供特定服务的信息集合和其他相关资产是很有用的。在这种情况下,这些服务的所有者负责服务的交付,包括其资产的操作。
有关信息技术(IT)资产管理的更多信息,请参见ISO/IEC 19770-1。有关资产管理的更多信息,请参见ISO 55001。