【国家标准(GB)】 信息技术 安全技术 信息安全管理实用规则

ICS35.040
中华人民共和国国家标准
GB/T22081—2008/IS0/IEC27002:2005代替GB/T19716—2005
信息技术
安全技术
信息安全管理实用规则
InformationtechnologySecuritytechniques-Code of practice for information security management(ISO/IEC 27002:2005.1DT)
2008-06-19发布
数码防伪
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2008-11-01实施
2术语和定义
3本标准的结构
3.1章节
3.2主要安全类别
4风险评估和处理
4.1评估安全风险
4.2处置安全风险
5安全方针
5.1信息安全方针
6信息安全组织
6.1内部组织
6.2外部各方
7资产管理
对资产负责
7.2信息分类
8人力资源安全
8.1任用之前.
任用中：
任用的终止或变更
物理和环境安全
安全区域
设备安全·
通信和操作管理
操作规程和职责
第三方服务交付管理
系统规划和验收
防范恶意和移动代码
网络安全管理
介质处置
信息的交换
电子商务服务
访问控制
访问控制的业务要求
GB/T22081—2008/ISO/IEC27002:2005I
GB/T22081—2008/ISO/IEC27002:200511.2
用户访问管理
用户职责
网络访问控制
操作系统访问控制
应用和信息访问控制
移动计算和远程工作
信息系统获取、开发和维护
信息系统的安全要求
应用中的正确处理
密码控制
系统文件的安全
开发和支持过程中的安全
技术脆弱性管理
信息安全事件管理
13.1报告信息安全事态和弱点
信息安全事件和改进的管理
14业务连续性管理
业务连续性管理的信息安全方面11.1
15符合性
符合法律要求
15.2符合安全策略和标准以及技术符合性15.3信息系统审计考虑
参考文献
GB/T22081—2008/IS0/IEC27002:2005本标准等同采用ISO/IEC27002：2005《信息技术安全技术辑性修改。
信息安全管理实用规则》。仅有编本标准是对GB/T19716一2005的修订。修订中依据ISO/IEC27002：2005增删了一些技术内容本标准代替GB/T19716—2005。
本标准由中华人民共和国信息产业部提出。本标准由全国信息安全标准化技术委员会归口。本标准由中国电子技术标准化研究所、北京知识安全工程中心、上海三零卫士有限公司、北京市信息安全测评中心、北京数字认证中心负责起草。本标准主要起草人：上官晓丽、许玉娜、胡啸、王新杰、赵战生、王连强、孔一童、曾波、刘海峰、汤永利、尚小鹏、闵京华。
本标准所代替标准的历次版本发布情况为：GB/T19716--2005。
GB/T22081-2008/ISO/1EC27002:20050.1什么是信息安全
像其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关」信息系统和网络的安全的OECD指南）信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、品现在胶片上或用语言表达，无论信息以什么形式存在，用哪种方法存储或共享，都宜对它进行适当地保护。
信息安全是保护信息免受各种威胁的损告害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。
信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施.以确保满足该组织的特定安全和业务目标。这个过程宜与其他业务管理过程联合进行。0.2为什么需要信息安全
信息及其支持过程、系统和网络都是重要的业务资产，定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的各组织及其信息系统和网络面临来自各个方面的安全威胁，包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。例如恶意代码、计算机黑客捣乱和哲绝服务改击等导致破坏的安全威胁，已经变得更加普遍、更有野心和日益复杂。信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使能者·例如实现电子政务或电子商务，避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱集中的、专门控制的有效性。
许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的·宜通过适当的管理和规程给予支持。确定哪些控制措施宜实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与，还可能要求利益相关者、供应商、第三方、顾客或其他外部方的参与。外部组织的专家建议可能也是需要的。0.3如何建立安全要求
组织识别出其安全要求是非常重要的·安全要求有三个主要来源：a）二个来源是通过对组织进行风险的评估获得，并考虑到组织的整体业务策略与月标。通过风险评估，识别资产受到的威胁.评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响：
b）另一个来源是组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境；
c）进一步的来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。0.4评估安全风险
安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出需要针对可能由安全失效导致的业务损害加以平衡。
GB/T22081—2008/1SO/IEC27002:2005风险评估的结果将帮助指导和决定适当的管理行动，管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施，风险评估宜定期进行.以应对可能影响风险评估结果的任何变化：更多的关于安全风险评估的信息见4.1的“评估安全风险”。0.5选择控制措施
一且安全要求和风险已被识别并已作出风险处置决定.则宜选择并实现合适的控制措施，以确保风险降低到可接受的级别。控制措施可以从本标准或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所作出的决定，该决定是基于组织所应用的风险接受准则、风险处置选项和通用的风险管理方法，同时还宜遵守我国的法律法规。本标准中的某些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组织。下面在题为“信息安全起点”中将更详细的解释这些控制措施更多的关于选择控制措施和其他风险处置选项的信息见1.2的“处置安全风险”。0.6信息安全起点
许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求，或者被认为是信息安全的常用惯例。
从法律的观点看，对某个组织单要的控制措施包括，根据适用的法律：数据保护和个人信息的隐私（见15.1.+）：a
保扩组织的记录（见15.1.3）；b）
c）知识产权（见15.1.2）。
被认为是信息安全的常用惯例的控制措施包括：信息安全方针文件（见5.1.1）：a)
信息安全职责的分配（见6.1.3）；信息安全意识、教育和培训（见8.2.2）：c）
应用中的正确处理（见12.2）：d)
技术脆弱性管理（见12.6）：
f)业务连续性管理（见11)：
g）信息安全事件和改进管理（见13.2）。这些控制措施适用于大多数组织和环境。宣注意虽然本标准中的所有控制措施都是重要的并月是应被考虑的，但是宜根据某个组织所面临的待定风险来确定任何一种控制措施是否是合适的，因此，虽然上送方法被认为是一种良好的起点但它并不能取代基于风险评估而选择的控制措施。0.7关键的成功因素
经验表明，下列因素通常对一个组织成功地实施信息安全来说，十分关键a)
反映业务自标的信息安全方针、自标以及活动：b）
与组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架：c）来自所有级别管理者可见的支持和承诺；正确理解信息安全要求、风险评估和风险管理；d)
向所有管理人员、员工和其他方传达有效的信息安全知识以使他们具备安全意识f
向所有管理人员、员工和其他方分发关于信息安全方针和标准的指导意见：提供资金以支持信息安全管理活动：g）
提供适当的意识，培训和教育；h）
GB/T22081—2008/IS0/1EC27002:2005i）建立一个有效的信息安全事件管理过程：）实施一个测量系统，它可用来评价信息安全管理的执行情况和反馈的改进建议。0.8编制组织的指南
本标准可作为是组织开发其详细指南的起点。对一个组织来说，本标准中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性核查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的引用可能是有用的。1)
注意：信息安全测量不在本标准范围内1范围
GB/T22081—2008/ISO/IEC27002:2005信息技术安全技术
信息安全管理实用规则
本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。本标准列出的目标为通常所接受的信息安全管理的音的提供了一般性指导。本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。本标准可作为建立组织的安全准则和有效安全管理实践的实用指南，并有助于在组织问的活动中构建互信。2术语和定义
下列术语和定义适用于本标准。2.1
资产asset
对组织有价值的任何东西［ISOIEC13335-1：2004]2.2
控制措施control
管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。
注：控制措施也用手防护措施或对策的同义词2.3
指南guideline
阐明要做什么和怎么做以达到方针策略中制定的目标的描述[ISO/IECTR13335-1：2004]。2.4
information processingfacilities信息处理设施
任何信息处理系统、服务或基础设施，或放置它们的场所。2.5
信息安全information security保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查性、不可否认性和可靠性等。2.6
information securityeven
信息安全事态
信息安全事态是指系统、服务或网络的一种可识别的状态的发牛，它可能是对信息安全策略的违反或防护措施的失效.或是和安全关联的一个先前未知的状态[GB‘Z20985一2007]。2.7
information security incident信息安全事件
一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性[GB/20985—2007]2.8
方针policy
管理者正式发布的总的宗旨和方向。1
GB/T22081--2008/IS0/IEC27002:20052.9
风险risk
事态的概率及其结果的组合ISO/IECGuide73：20022.10
风险分析riskanalysis
系统地使用信息来识别风险来源和估计风险[ISO/IECGuidc73：2002]。2.11www.bzxz.net
风险评估riskassessment
风险分析和风险评价的整个过程ISO/IECGuide73：2002。2.12
风险评价riskevaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IECGuide73：2002]。2.13
风险管理riskmanagement
指导和控制一个组织相关风险的协调活动。注：风险管理一般包括风险评估、风险处置、风险接受和风险沟通[ISO/IECGuide732002]。2.14
风险处置risktreatmenl
选择并且执行措施来更改风险的过程[IS0/IECGuide73：2002]2.15
第三方thirdparty
就所涉及的问题被公认为是独立于有关各方的个人或机构[ISO/IECGuide2：1996]2.16
威胁threat
可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IECTR13335-1:20047。2.17
脆弱性vulnerability
可能会被一个或多个威所利用的资产或一组资产的弱点[ISO/IECTR13335-1:2004]。3本标准的结构
本标准包括11个安全控制措施的章节（共含有39个主要安全类别）和1个介绍风险评估和处理的章节。
3.1章节
每一章包含多个主要安全类别。11个章节（连同每一章中所包含的主要安全类别的数量）是：a）安全方针（1)；
信息安全组织（2）：
资产管理（2)；
人力资源安全（3）：
物理和环境安全（2）：
通信和操作管理（10）；
访问控制（7)：
信息系统获取、开发和维护（6)；信息安全事件管理（2）；
j）业务连续性管理（1)；
k）符合性（3）。
GB/T22081—2008/IS0/IEC27002:2005注；本标准中章节的顺序不表示其重要性。根据不同的环境，所有章节都可能是重要的，因此应用本标准的每一个组织宜识别适用的章节及其重要性，以及它们对各个业务过程的适用性。另外，本标准的排列均没有优先顺序，除非另外注明。
3.2主要安全类别
每一个主要安全类别包含：
a）一个控制目标，声明要实现什么；b）一个或多个控制措施，可被用于实现该控制日标。控制措施的描述结构如下：
控制措施
定义满足控制目标的特定的控制措施的陈述实施指南
为支持控制措施的实施和满足控制目标，提供更详细的信息。本指南的某些内容可能不适用于所有情况，所以其他实现控制措施的方法可能更为合适。其他信息
提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的引用。4风险评估和处理
4.1评估安全风险
风险评估宜对照风险接受准则和组织相关目标，识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管埋措施及其优先级，以管理信息安全风险和实施为防范这些风险面选择的控制措施。评估风险和选择控制措施的过程可能需要执行多次，以覆盖组织的不同部门或各个信息系统。风险评估宜包括估计风险大小的系统方法（风险分析）和将估计的风险与给定的风险准则加以比较，以确定风险严重性的过程（风险评价）。风险评估还宜周期性加以执行，以指出安全要求和风险情形的变化，例如资产、威胁、脆弱性、影响、风险评价：当发生重大变化时也宜进行风险评估。风险评估宜使用一种能够产生可比较和可再现结果的系统化的方式。
为使信息安全风险评估有效·它宜有一个清晰定义的范围：如果合适，宜包括与其他领域风险评估的关系。
如果可行、实际和有帮助，风险评估的范围既可以是整个组织、组织的一部分、单个信息系统、特定的系统部件.也可以是服务。风险评估方法的例子在ISO,IECTR13335-3中讨论。4.2处置安全风险
在考虑风险处置前，组织宜确定风险是否能被接受的准则。如果经评估显示，风险较低或处理成本对于组织来说不划算则风险可被接受。这些决定宜加以记录。对于风险评估所识别的每一个风险，需要作出风险处置决定。可能的风险处置选项包括：a）应用适当的控制措施以降低风险；b）只要它们清晰的满足组织的方针和风险接受准则：则要有意识地、客观地接受该风险：c）通过不允许可能导致风险发生的行为来避免风险；d）将相关风险转移到其他方，例，保险或供应商。对风险处置决定中要采用适当的控制措施的那些风险来说，宜选择和实施这些控制措施以满足风险评估所识别的要求。控制措施宜确保在考虑以下因素的情况下，将风险降低到可接受级别：a）我国的法律法规的要求和约束：3
GB/T22081—2008/IS0/IEC-27002:2005b）组织的目标：
c）运行要求和约束：
d）降低与风险相关的实施和运行的成本，并使之与组织的要求和约束保持相称；e），保持实施和运行控制措施的投资与安全失效可能导致的损害之间平衡的需求控制措施可以从本标准或其他控制措施集中选择.或者设计新的控制措施以满足组织的特定需求。有些控制措施并不是对每一种信息系统或环境都适用.并且不是对所有组织都可行.认识到这一点是非常必要的。例如，10.1.3描述如何分割责任，以防止欺诈或出错。在较小的组织中分割所有责任是不太可能的，实现同一控制日标的其他方法可能是必要的。另外一个例子，10.10描述如何监视系统的使用及如何收集证据。所措述的控制措施.例如事态日志.可能与适用的法律相冲突·例如顾客或在工作场地内的隐私保护。
信息安全控制措施宜在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能会导致额外的成本和低效率的解决方案，最坏的情况下可能达不到足够的安全。宜谨记.没有一个控制措施集合能实现全部的安全，为支持组织的目标，宜实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性5安全方针
5.1信息安全方针
月标：依据业务要求和相关法律法规提供管理指导并支持信息安全管理者宜根据业务日标制定清晰的方针指导，并通过在整个组织中颁布和维护信息安全方针来表明对信息安全的支持和承诺
5.1.1信息安全方针文件
控制措施
信息安全方针文件宜由管理者批准、发布并传达给所有员工和外部相关方。实施指南
信息安全方针文件宜说明管理承诺·并提出组织的管理信息安全的方法。万针义件宣包括以下声明：
信息安全、整体日标和范围的定义·以及在允许信息共享机制下安全的重要性（见引言）。a)
管理者意图的声明.以支持符合业务策略和甘标的信息安全标和原则。c
设置控制目标和控制措施的框架·包括风险评告和风险管理的结构、d）对组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明，包括：符合法律法规和合同要求：
安全教育、培训和意识要求：
3）业务连续性管理：
违反信息安全方针的后果。
e）信息安全管理（包括报告信息安全事件）的一般和特定职责的定义。）对支持方针的文件的引用.例如.特定信息系统的更详细的安全策略和规程.或用户要遵守的安全规则。
宜以预期读者适合的、可访问的和可理解的形式将本信息安全方针传达给整个组织的用户。其他信息
信息安全方针可能是总体方针义件的一部分：如果信息安全方针在组织外进行分发，宜注意不要泄露敏感信息。更多信息参见ISO,1EC13335-1：2001。4
5.1.2信息安全方针的评审
控制措施
GB/T22081--2008/ISO/IEC27002:2005宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。
实施指南
信息安全方针宜有专人负责.他负有安全方针制定、评审和评价的管理职责。评审宜包括评估组织信息安全方针改进的机会和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。信息安全方针评审宜考虑管理评中的结果：宣定义管理评审规程，包括时问表或评审周期。管理评审的输入宜包括以下信息：a）相关方的反馈；
独立评年的结果（见6.1.8）：
预防和纠正措施的状态（见6.1.8和15.2.1）：d)
以往管理评审的结果：
过程执行情况和信息安全方针符合性：e)
可能影响组织管理信息安全的方法的变更.包括组织环境、业务状况、资源可用性、合同、规章和法律条件或技术环境的变更；威胁和脆弱性的趋势：
已报告的信息安全事件（见13.1）h）
相关政府部门的建议（见6.1.6）。管理评审的输出宜包括与以下方面有关的任何决定和措施：a）组织管理信息安全的方法及其过程的改进：b）控制日标和控制措施的改进：资源和，或职责分配的改进
管理评审的记录宜被维护。
宜获得管理者对修订的方针的批准。6信息安全组织
6.1内部组织
目标：管理组织范围内信息安全。宜建立管理框架，以启动和控制组织范围内的信息安全的实施管理者宜批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。若必要，宜在组织范围内建立专家信息安全建议库，并在组织内可用。宜发展与外部安全专家或组织（包括相关权威人士）的联系，以便跟上行业趋势、跟踪标准和评估方法，并且当处理信息安全事件时，提供合适的联络点。宜鼓励采用多学科方法·解决信息安全问题6.1.1信息安全的管理承诺
控制措施
管理者宜通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认.来积极支持组织内的安全。
实施指南
管理者宜：
a）确保信息安全目标得以识别.满足组织要求，并已被整合到相关过程中；b）制定、评审、批准信息安全方针：5
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。