李艷杰

GB/T 22080—2008《信息安全管理體系 要求》解析

李艷杰

解析系列五：GB/T 22080—2008信息安全管理體系 要求附錄A.11—A.15解析

國(guó)家標(biāo)準(zhǔn)GB/T 22080—2008標(biāo)準(zhǔn)等同采用ISO 27001：2005《信息安全管理體系要求》。標(biāo)準(zhǔn)由引言、范圍、術(shù)語和定義以及第4章到第8章正文及附錄五部分組成。本部分針對(duì)附錄A.11—A.15進(jìn)行解析。

國(guó)家標(biāo)準(zhǔn)GB/T 22080—2008附錄A涉及信息安全管理的11個(gè)領(lǐng)域，共列出了39個(gè)控制目標(biāo)和133項(xiàng)信息安全控制措施。這些控制措施匯集了信息安全管理的最佳實(shí)踐，組織應(yīng)根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估并結(jié)合組織的內(nèi)部和外部的環(huán)境，以及整體業(yè)務(wù)要求從中進(jìn)行選擇。

A.11 訪問控制

A.11.1 訪問控制的業(yè)務(wù)要求

A.11.1.1 訪問控制策略

【內(nèi)容解析】

管理層應(yīng)制定并發(fā)布一份訪問控制策略文件，訪問控制策略應(yīng)滿足組織對(duì)業(yè)務(wù)運(yùn)行、法律法規(guī)、合同和其他特殊情況下的要求。

訪問控制是信息安全的關(guān)鍵概念，組織應(yīng)十分關(guān)注訪問控制的運(yùn)行，并將當(dāng)前實(shí)施狀況與標(biāo)準(zhǔn)本條款的要求進(jìn)行比較以改進(jìn)訪問安全。

A.11.2 用戶訪問管理

【內(nèi)容解析】

組織信息處理設(shè)施的用戶應(yīng)按照訪問控制策略并結(jié)合相應(yīng)的方法加以鑒別和授權(quán)。

A.11.2.1 用戶注冊(cè)

【內(nèi)容解析】

管理層應(yīng)依據(jù)訪問控制策略對(duì)需要訪問信息處理系統(tǒng)和應(yīng)用的用戶實(shí)施注冊(cè)和注銷賬戶的規(guī)程。

A.11.2.2 特殊權(quán)限管理

【內(nèi)容解析】

特殊權(quán)限在信息安全中十分重要，因?yàn)樘貦?quán)是基于信任，通常只授予管理層和特定人員。特殊權(quán)限會(huì)給組織的資產(chǎn)帶來安全風(fēng)險(xiǎn)，應(yīng)按照規(guī)定策略和指南嚴(yán)格控制其分配和使用。

在企業(yè)內(nèi)控方面可以借鑒最小特權(quán)原則，即將訪問權(quán)限制在履行其職責(zé)所需的最低限度。

A.11.2.3 用戶口令管理

【內(nèi)容解析】

口令是用來鑒別用戶身份的一組秘密字符串，用來控制對(duì)數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的訪問?？诹罟芾硎且粋€(gè)過程，包含對(duì)口令策略（規(guī)則）和管理規(guī)程的定義、實(shí)施和維護(hù)。有效的口令管理可降低對(duì)信息處理設(shè)施和信息的損害風(fēng)險(xiǎn)，保護(hù)口令的保密性、完整性和可用性。

A.11.2.4 用戶訪問權(quán)的復(fù)查【內(nèi)容解析】

對(duì)訪問權(quán)應(yīng)由不負(fù)責(zé)建立賬戶的有資質(zhì)的人員進(jìn)行定期的復(fù)查，以確保現(xiàn)有的訪問權(quán)符合其角色和職責(zé)。

A.11.3 用戶職責(zé)

A.11.3.1 口令使用

【內(nèi)容解析】

組織應(yīng)基于良好的口令實(shí)踐建立口令結(jié)構(gòu)，用戶要遵守組織的要求，并建立良好的口令使用習(xí)慣。

A.11.3.2 無人值守的用戶設(shè)備

【內(nèi)容解析】

當(dāng)信息處理設(shè)施和應(yīng)用系統(tǒng)處于無人值守時(shí)，管理層應(yīng)有必要的措施確保無人值守的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)。如當(dāng)非工作時(shí)間，由值班人員對(duì)工作場(chǎng)所和設(shè)施進(jìn)行定期巡查等。

A.11.3.3 清空桌面和屏幕策略

【內(nèi)容解析】

當(dāng)員工一段時(shí)間（如開會(huì)）不在工作區(qū)時(shí)，他們的工作區(qū)域應(yīng)確保安全，任何形式的敏感信息未被非授權(quán)訪問。對(duì)此組織應(yīng)規(guī)定相應(yīng)的策略或制度。

A.11.4 網(wǎng)絡(luò)訪問控制

A.11.4.1 使用網(wǎng)絡(luò)服務(wù)的策略

【內(nèi)容解析】

網(wǎng)絡(luò)連接，特別是因特網(wǎng)和無線網(wǎng)連接，需要在信息處理環(huán)境中識(shí)別風(fēng)險(xiǎn)。管理層對(duì)使用網(wǎng)絡(luò)服務(wù)以及日常監(jiān)視網(wǎng)絡(luò)環(huán)境應(yīng)規(guī)定有明確的策略，以確保用戶僅能訪問得到授權(quán)的服務(wù)。

A.11.4.2 外部連接的用戶鑒別

【內(nèi)容解析】

應(yīng)采用安全的鑒別方式來控制遠(yuǎn)程用戶對(duì)信息處理設(shè)施的外部網(wǎng)絡(luò)連接。常用的鑒別方法有：登錄時(shí)要求用戶名和口令。但對(duì)重要的系統(tǒng)組織應(yīng)基于風(fēng)險(xiǎn)考慮其他鑒別方式，如生物鑒別等。

A.11.4.3 網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)

【內(nèi)容解析】

適當(dāng)時(shí)，對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行標(biāo)識(shí)，是鑒別來自一個(gè)特定受控環(huán)境和設(shè)備的網(wǎng)絡(luò)通訊的安全手段。

A.11.4.4 遠(yuǎn)程診斷和配置端口的保護(hù)

【內(nèi)容解析】

對(duì)網(wǎng)絡(luò)和通信設(shè)備的診斷和遠(yuǎn)程端口，組織應(yīng)嚴(yán)密控制，防止未授權(quán)的物理和邏輯訪問。

A.11.4.5 網(wǎng)絡(luò)隔離

【內(nèi)容解析】

網(wǎng)絡(luò)服務(wù)是基于網(wǎng)絡(luò)的服務(wù)，包括因特網(wǎng)服務(wù)、內(nèi)部網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、IP電話和視頻廣播等。在可能的情況下應(yīng)將網(wǎng)絡(luò)服務(wù)在邏輯網(wǎng)絡(luò)中進(jìn)行隔離，以增強(qiáng)控制的深度。

A.11.4.6 網(wǎng)絡(luò)連接控制

【內(nèi)容解析】

網(wǎng)絡(luò)擴(kuò)展到組織的邊界之外通常是為了便利與外部第三方供應(yīng)商或外部商業(yè)合作伙伴開展業(yè)務(wù)活動(dòng)。從信息安全的角度，對(duì)這種網(wǎng)絡(luò)連接控制是一種挑戰(zhàn)，而且常被忽略，因?yàn)楣?yīng)商和業(yè)務(wù)伙伴在使用組織網(wǎng)絡(luò)時(shí)是受信的。所以組織應(yīng)實(shí)施控制措施來限制用戶的連接能力和對(duì)網(wǎng)絡(luò)的訪問能力。

A.11.4.7 網(wǎng)絡(luò)路由控制

【內(nèi)容解析】

網(wǎng)絡(luò)路由的邏輯控制對(duì)數(shù)據(jù)和信息流的控制十分關(guān)鍵。網(wǎng)絡(luò)路由的控制應(yīng)與對(duì)特定應(yīng)用和服務(wù)的訪問控制相結(jié)合。

網(wǎng)絡(luò)路由控制通常需要在IT部門選擇具有相關(guān)知識(shí)的人員來設(shè)計(jì)和實(shí)施本項(xiàng)所要求的控制措施，并最好經(jīng)過相關(guān)專家的確認(rèn)。

A.11.5 操作系統(tǒng)訪問控制

A.11.5.1 安全登錄規(guī)程

【內(nèi)容解析】

操作系統(tǒng)的訪問應(yīng)通過安全設(shè)計(jì)的登錄和鑒別規(guī)程來加以保護(hù)，將未授權(quán)訪問的機(jī)會(huì)降低到最小。

A.11.5.2 用戶標(biāo)識(shí)和鑒別

【內(nèi)容解析】

對(duì)組織信息處理系統(tǒng)訪問的用戶應(yīng)有唯一的用戶賬戶，并在允許其訪問系統(tǒng)前采用安全的方式來確認(rèn)用戶的身份。

A.11.5.3 口令管理系統(tǒng)

【內(nèi)容解析】

應(yīng)采用系統(tǒng)來管理口令并強(qiáng)制實(shí)施口令策略?？诹罟芾硐到y(tǒng)通常與網(wǎng)絡(luò)相關(guān)聯(lián)，但也可應(yīng)用于應(yīng)用系統(tǒng)和數(shù)據(jù)庫。

A.11.5.4 系統(tǒng)實(shí)用工具的使用

【內(nèi)容解析】

對(duì)于超越系統(tǒng)控制的實(shí)用工具應(yīng)限制安裝，如需安裝使用，其使用權(quán)限應(yīng)僅限于指定的管理員。對(duì)實(shí)用工具的使用應(yīng)加以監(jiān)視并保留記錄。

A.11.5.5 會(huì)話超時(shí)

【內(nèi)容解析】

操作系統(tǒng)和終端在預(yù)定的時(shí)間段內(nèi)，如會(huì)話沒有活動(dòng)應(yīng)自動(dòng)加鎖，以防止未授權(quán)訪問。

A.11.5.6 聯(lián)機(jī)時(shí)間的限定

【內(nèi)容解析】

對(duì)識(shí)別為高風(fēng)險(xiǎn)的應(yīng)用系統(tǒng)，在聯(lián)機(jī)時(shí)間上要有限制，超過約定聯(lián)機(jī)時(shí)間應(yīng)加鎖或斷開聯(lián)機(jī)。

A.11.6 應(yīng)用和信息訪問控制

A.11.6.1 信息訪問限制

【內(nèi)容解析】

應(yīng)用系統(tǒng)具有儲(chǔ)存和處理關(guān)鍵、敏感信息和數(shù)據(jù)的能力。組織對(duì)這類數(shù)據(jù)和信息應(yīng)依照已確定的訪問控制策略采取保護(hù)性的控制措施（例如，限制訪問權(quán)限，包括讀、寫、刪除等），以防止未授權(quán)的訪問及信息損毀。

A.11.6.2 敏感系統(tǒng)隔離

【內(nèi)容解析】

如果識(shí)別為高敏感性的應(yīng)用系統(tǒng)，應(yīng)加以隔離、嚴(yán)密控制并監(jiān)視。同時(shí)對(duì)信息處理系統(tǒng)或應(yīng)用系統(tǒng)的責(zé)任人，也應(yīng)有相應(yīng)的隔離要求。

A.11.7 移動(dòng)計(jì)算和遠(yuǎn)程工作

A.11.7.1 移動(dòng)計(jì)算和通信

【內(nèi)容解析】

移動(dòng)計(jì)算是指可改變位置的計(jì)算裝置，通常包括便攜式計(jì)算機(jī)（wearablEComputer）、PDA、超級(jí)移動(dòng)電腦、智能手機(jī)、車載計(jì)算機(jī)（carputer）。

移動(dòng)計(jì)算的使用，因?yàn)樘幵谑芸氐木W(wǎng)絡(luò)環(huán)境之外，所以是組織面臨的特殊風(fēng)險(xiǎn)。需要組織策劃相

應(yīng)的控制措施。

A.11.7.2 遠(yuǎn)程工作

【內(nèi)容解析】

遠(yuǎn)程工作是指利用信息通信技術(shù)（ICT）使工作能在遠(yuǎn)離工作結(jié)果產(chǎn)生的地點(diǎn)進(jìn)行，例如，居家遠(yuǎn)程工作（Home-based telework）。

遠(yuǎn)程工作者需要訪問組織的資源，包括內(nèi)部應(yīng)用系統(tǒng)和信息。所以組織應(yīng)明確遠(yuǎn)程工作策略，并針對(duì)從外部訪問組織資源的相關(guān)風(fēng)險(xiǎn)，開發(fā)和實(shí)施特定的控制和防護(hù)措施。

A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù)

A.12.1 信息系統(tǒng)的安全要求

A.12.1.1 安全要求分析和說明

【內(nèi)容解析】

在建設(shè)一個(gè)新的信息系統(tǒng)前或是對(duì)現(xiàn)有系統(tǒng)進(jìn)行升級(jí)時(shí)，必須要識(shí)別和定義信息安全的需求和控制措施。信息安全的要求和控制措施進(jìn)入設(shè)計(jì)過程最為有效，決不能放在以后再說。

A.12.2 應(yīng)用中的正確處理

A.12.2.1 輸入數(shù)據(jù)確認(rèn)

【內(nèi)容解析】

數(shù)據(jù)和信息是業(yè)務(wù)應(yīng)用系統(tǒng)的核心和靈魂。對(duì)輸入信息處理系統(tǒng)或應(yīng)用系統(tǒng)中的數(shù)據(jù)應(yīng)確認(rèn)其正確性（包括數(shù)據(jù)的邊界、長(zhǎng)度和業(yè)務(wù)邏輯等），并對(duì)系統(tǒng)可接受的輸入類型進(jìn)行確認(rèn)檢查以保證數(shù)據(jù)是恰當(dāng)?shù)?，避免不符合要求的?shù)據(jù)進(jìn)入系統(tǒng)。

在軟件開發(fā)中通常都會(huì)對(duì)輸入數(shù)據(jù)進(jìn)行確認(rèn)，但對(duì)通過自動(dòng)捕獲得到的數(shù)據(jù)和信息卻容易忽略。所以在對(duì)輸入數(shù)據(jù)進(jìn)行確認(rèn)時(shí)，需同時(shí)需要關(guān)注自動(dòng)捕獲的數(shù)據(jù)和信息。

A.12.2.2 內(nèi)部處理的控制

【內(nèi)容解析】

正確輸入的數(shù)據(jù)可能會(huì)因硬件錯(cuò)誤、處理出錯(cuò)或故意的行為而破壞。應(yīng)用系統(tǒng)應(yīng)在數(shù)據(jù)的處理過程設(shè)置錯(cuò)誤檢查，必要時(shí)提供數(shù)據(jù)變更、中斷處理及恢復(fù)功能。

A.12.2.3 消息完整性

【內(nèi)容解析】

許多應(yīng)用系統(tǒng)使用內(nèi)部消息進(jìn)行運(yùn)行和處理。這些應(yīng)用消息應(yīng)加以保護(hù)以確保對(duì)數(shù)據(jù)不發(fā)生未授權(quán)的修改或損壞。

A.12.2.4 輸出數(shù)據(jù)確認(rèn)

【內(nèi)容解析】

對(duì)關(guān)鍵應(yīng)用系統(tǒng)的輸出應(yīng)進(jìn)行確認(rèn)，以確保輸出數(shù)據(jù)是準(zhǔn)確適當(dāng)?shù)摹?/p>

A.12.3 密碼控制

A.12.3.1 使用密碼控制的策略

【內(nèi)容解析】

密碼控制是保護(hù)信息和數(shù)據(jù)防止未授權(quán)的訪問或破壞的防護(hù)措施。盡管其對(duì)保護(hù)信息和數(shù)據(jù)的保密性和完整性十分有效，但組織還應(yīng)基于風(fēng)險(xiǎn)評(píng)估來擬定其使用范圍。在組織管理方面應(yīng)制定和發(fā)布使用密碼的策略。

A.12.3.2 密鑰管理

【內(nèi)容解析】

對(duì)于使用密鑰的組織應(yīng)具備一個(gè)正式的密鑰管理系統(tǒng)來保護(hù)密鑰，防止密鑰被盜、誤用和修改。

A.12.4 系統(tǒng)文件的安全

A.12.4.1 運(yùn)行軟件的控制

【內(nèi)容解析】

確保只有經(jīng)過授權(quán)的軟件、應(yīng)用程序或系統(tǒng)才能安裝在運(yùn)行的信息處理系統(tǒng)中。

A.12.4.2 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)

【內(nèi)容解析】

系統(tǒng)測(cè)試是對(duì)系統(tǒng)投入運(yùn)行前或變更后的驗(yàn)證和確認(rèn)，應(yīng)謹(jǐn)慎設(shè)計(jì)和選擇測(cè)試用例和數(shù)據(jù)，其中不應(yīng)包含敏感信息（如個(gè)人的信息，業(yè)務(wù)數(shù)據(jù)等）。系統(tǒng)測(cè)試數(shù)據(jù)也是一種歷史資源，有助于系統(tǒng)的運(yùn)行維護(hù)人員對(duì)系統(tǒng)的故障和安全事態(tài)快速應(yīng)對(duì)。所以測(cè)試數(shù)據(jù)應(yīng)加以妥善保護(hù)和控制。

A.12.4.3 對(duì)程序源代碼的訪問控制

【內(nèi)容解析】

源代碼是軟件程序和應(yīng)用系統(tǒng)的核心機(jī)密，在開發(fā)過程中應(yīng)通過配置管理（及工具）實(shí)施嚴(yán)格的配置控制；軟件產(chǎn)品或應(yīng)用系統(tǒng)進(jìn)入生產(chǎn)環(huán)境后還應(yīng)納入最終軟件庫；通過軟件開發(fā)和運(yùn)行中的訪問控制和變更控制防止對(duì)源代碼的未授權(quán)的訪問、修改或損毀。

A.12.5 開發(fā)和支持過程中的安全

A.12.5.1 變更控制規(guī)程

【內(nèi)容解析】

對(duì)系統(tǒng)、應(yīng)用、數(shù)據(jù)和網(wǎng)絡(luò)裝置的變更應(yīng)通過正式的變更控制過程加以嚴(yán)格控制。

A.12.5.2 操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審

【內(nèi)容解析】

在核心運(yùn)行系統(tǒng)發(fā)生變更后，組織應(yīng)就其對(duì)一些關(guān)鍵應(yīng)用系統(tǒng)的影響，組織正式的技術(shù)評(píng)審，識(shí)別對(duì)信息安全和業(yè)務(wù)產(chǎn)生的其他負(fù)面影響，以便采取措施盡快消除問題。

A.12.5.3 軟件包變更的限制

【內(nèi)容解析】

無論是通過購買還是組織內(nèi)自主研發(fā)的應(yīng)用軟件，都應(yīng)盡可能避免修改以有助于控制那些未識(shí)別的或未預(yù)期的安全漏洞。對(duì)必要的變更組織應(yīng)做好策劃和組織，最好將多項(xiàng)變更組合在一起，一次實(shí)施。以降低變更帶來的風(fēng)險(xiǎn)。

A.12.5.4 信息泄露

【內(nèi)容解析】

通過介質(zhì)、應(yīng)用、系統(tǒng)和其他渠道泄露的敏感信息，會(huì)對(duì)組織造成嚴(yán)重的負(fù)面影響。信息泄露的方式較多，例如：在邏輯方面包括網(wǎng)絡(luò)連接、存儲(chǔ)介質(zhì)；在物理方面包括紙片或文件；人員方面包括員工失誤、惡意行為等，需要組織謹(jǐn)慎設(shè)計(jì)和實(shí)施多種控制措施防止信息泄露。

A.12.5.5 外包軟件開發(fā)

【內(nèi)容解析】

確定將應(yīng)用軟件系統(tǒng)開發(fā)部分或全部發(fā)包給外部機(jī)構(gòu)時(shí)，需要擬定對(duì)承包方的管理和控制措施。

A.12.6 技術(shù)脆弱性管理

A.12.6.1 技術(shù)脆弱性的控制

【內(nèi)容解析】

組織應(yīng)通過對(duì)系統(tǒng)和應(yīng)用軟件制造商有關(guān)安全脆弱性公告的監(jiān)視或與有關(guān)的權(quán)威檢測(cè)機(jī)構(gòu)確立脆弱性通告機(jī)制來及時(shí)獲取新的技術(shù)脆弱性信息，并針對(duì)發(fā)布的這類信息審查組織的系統(tǒng)、評(píng)價(jià)暴露程度并采取適當(dāng)?shù)奶幚泶胧ㄈ绨惭b補(bǔ)?。?/p>

A.13 信息安全事件管理

A.13.1 報(bào)告信息安全事態(tài)和弱點(diǎn)

A.13.1.1 報(bào)告信息安全事態(tài)

【內(nèi)容解析】

信息安全事態(tài)是已識(shí)別的或受懷疑但尚未確認(rèn)的安全事件。對(duì)信息安全事態(tài)的報(bào)告，組織應(yīng)規(guī)定適當(dāng)?shù)膱?bào)告渠道；依組織規(guī)模和結(jié)構(gòu)，可統(tǒng)一渠道或分層級(jí)報(bào)告。

報(bào)告安全事態(tài)是啟動(dòng)整個(gè)信息安全事件處理過程的觸發(fā)點(diǎn)，應(yīng)使所有的員工或用戶都能清楚地了解安全事件的報(bào)告渠道和過程，以便一旦發(fā)現(xiàn)安全事態(tài)，盡快報(bào)告。

A.13.1.2 報(bào)告安全弱點(diǎn)

【內(nèi)容解析】

所有受懷疑的或識(shí)別的安全弱點(diǎn)都應(yīng)該按規(guī)定的過程報(bào)告給管理層。在執(zhí)行控制措施過程中需要兩個(gè)維度。

第一：建立環(huán)境和過程使得信息系統(tǒng)的用戶對(duì)觀察到的安全弱點(diǎn)或威脅上報(bào)管理層。

第二：意識(shí)和培訓(xùn)，持續(xù)警醒用戶可能身處的各類弱點(diǎn)和威脅。

A.13.2 信息安全事件和改進(jìn)的管理

A.13.2.1 職責(zé)和規(guī)程

【內(nèi)容解析】

信息安全事件可能對(duì)相關(guān)各方產(chǎn)生壓力甚至恐慌。組織應(yīng)預(yù)先制定處理信息安全事件的管理職責(zé)、過程及相關(guān)的規(guī)程。確保在發(fā)生安全事件，尤其是在信息系統(tǒng)遭到攻擊時(shí)能及時(shí)有效地做出響應(yīng)。

A.13.2.2 對(duì)信息安全事件的總結(jié)

【內(nèi)容解析】

管理層應(yīng)采用某種方法或系統(tǒng)，確保能采集到安全事件處理過程中的適當(dāng)信息，以便在事后做出分析總結(jié)，吸取教訓(xùn)和評(píng)價(jià)改進(jìn)。

對(duì)信息安全事件的總結(jié)可作為安全事件處理過程的一部分，也可形成單獨(dú)的規(guī)程。通常在重大事件后要求提交正式的報(bào)告，分析事件原因和模式，量化直接和間接成本或損失，建議后續(xù)的行動(dòng)方案等；評(píng)審現(xiàn)有相關(guān)的策略和控制措施，包括實(shí)施范圍和適用性，提出改進(jìn)建議。

A.13.2.3 證據(jù)的收集

【內(nèi)容解析】

在很多情況下，信息安全事件會(huì)產(chǎn)生法律牽連。在信息安全事件處理過程中需要采集和保留相關(guān)的證據(jù)。組織對(duì)此應(yīng)制定規(guī)程和指南。

A.14 業(yè)務(wù)連續(xù)性管理

A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面

A.14.1.1 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全

【內(nèi)容解析】

為了保持組織在重大事件和災(zāi)害后的業(yè)務(wù)運(yùn)行能力，組織應(yīng)制定和保持一個(gè)業(yè)務(wù)連續(xù)性管理過程，其中包括業(yè)務(wù)連續(xù)性計(jì)劃或恢復(fù)計(jì)劃。當(dāng)業(yè)務(wù)運(yùn)行中斷時(shí)，按照業(yè)務(wù)連續(xù)性計(jì)劃恢復(fù)的運(yùn)行環(huán)境應(yīng)能在某種程度上保持對(duì)原生產(chǎn)環(huán)境的保護(hù)和恢復(fù)。組織應(yīng)基于風(fēng)險(xiǎn)評(píng)估確立在業(yè)務(wù)系統(tǒng)恢復(fù)過程中以及在恢復(fù)的系統(tǒng)運(yùn)行中對(duì)信息安全要求，以便將所需的資源和措施納入計(jì)劃。

A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估

【內(nèi)容解析】

風(fēng)險(xiǎn)評(píng)估是業(yè)務(wù)連續(xù)性管理的關(guān)鍵要素之一。對(duì)業(yè)務(wù)連續(xù)性進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，需關(guān)聯(lián)與信息安全相關(guān)的風(fēng)險(xiǎn)，如重大信息安全事件的發(fā)生及其后果等，作為策劃業(yè)務(wù)連續(xù)性計(jì)劃或恢復(fù)計(jì)劃的輸入。

A.14.1.3 制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃

【內(nèi)容解析】

組織在制定業(yè)務(wù)連續(xù)性計(jì)劃時(shí)應(yīng)基于對(duì)信息安全的要求、安全風(fēng)險(xiǎn)及其后果，并將相關(guān)的控制措施融入計(jì)劃。在業(yè)務(wù)連續(xù)性計(jì)劃的落實(shí)活動(dòng)中應(yīng)評(píng)估所實(shí)施的安全控制措施是否能確?；謴?fù)的系統(tǒng)、應(yīng)用和環(huán)境的安全運(yùn)營(yíng)。

A.14.1.4 業(yè)務(wù)連續(xù)性計(jì)劃框架

【內(nèi)容解析】

基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍，業(yè)務(wù)連續(xù)性計(jì)劃可以是一個(gè)綜合性的計(jì)劃，包括多項(xiàng)業(yè)務(wù)、多個(gè)領(lǐng)域的恢復(fù)職責(zé)和工作計(jì)劃（如場(chǎng)所設(shè)施、系統(tǒng)環(huán)境、數(shù)據(jù)和業(yè)務(wù)運(yùn)行恢復(fù)等）。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃架構(gòu)，確保信息安全的要求和控制措施能在各項(xiàng)計(jì)劃的實(shí)施過程中保持協(xié)調(diào)。

A.14.1.5 測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃

【內(nèi)容解析】

為了確保在發(fā)生業(yè)務(wù)中斷時(shí)，信息處理環(huán)境和業(yè)務(wù)能有序地恢復(fù)，組織應(yīng)定期對(duì)計(jì)劃進(jìn)行演練和評(píng)審，以測(cè)試計(jì)劃的有效性，培訓(xùn)人員意識(shí)，發(fā)現(xiàn)實(shí)施能力和計(jì)劃的不足，以便相應(yīng)地作出改進(jìn)。

A.15 符合性

A.15.1 符合法律要求

A.15.1.1 可用法律的識(shí)別

【內(nèi)容解析】

識(shí)別與信息安全相關(guān)的全部法律法規(guī)和合同的要求是執(zhí)行管理層的職責(zé)，組織應(yīng)將為滿足這些要求而采用的策略、方法、措施和相關(guān)人員的職責(zé)形成文件。

A.15.1.2 知識(shí)產(chǎn)權(quán)（IPR）

【內(nèi)容解析】

知識(shí)產(chǎn)權(quán)是指對(duì)智力勞動(dòng)成果依法所享有的占有、使用、處置和收益的權(quán)利。組織應(yīng)制定有關(guān)規(guī)程，確保對(duì)涉及知識(shí)產(chǎn)權(quán)的事項(xiàng)符合法律、法規(guī)和合同的要求。

A.15.1.3 保護(hù)組織的記錄

【內(nèi)容解析】

組織的業(yè)務(wù)和管理活動(dòng)產(chǎn)生的大量記錄，其中可能包含敏感信息。組織應(yīng)按照法律法規(guī)、合同以及業(yè)務(wù)要求制定并實(shí)施有關(guān)記錄管理的規(guī)定和規(guī)程，以保護(hù)組織的記錄，防止未授權(quán)的訪問、修改、損壞和銷毀。

A.15.1.4 數(shù)據(jù)保護(hù)和個(gè)人信息的隱私

【內(nèi)容解析】

組織應(yīng)按照法律法規(guī)的要求保護(hù)員工和顧客的個(gè)人信息。通常應(yīng)制定并實(shí)施保護(hù)數(shù)據(jù)和個(gè)人信息隱私策略，并由指定的責(zé)任人負(fù)責(zé)處理相關(guān)事宜。

A.15.1.5 防止濫用信息處理設(shè)施

【內(nèi)容解析】

組織建立的信息處理設(shè)施的目的是為了進(jìn)行業(yè)務(wù)以及業(yè)務(wù)相關(guān)活動(dòng)的。組織應(yīng)規(guī)定哪種非業(yè)務(wù)需要而使用信息處理設(shè)施的行為是不恰當(dāng)或?yàn)E用（例如，未經(jīng)授權(quán)試圖進(jìn)入非授權(quán)訪問的系統(tǒng)，在上班時(shí)間炒股或玩網(wǎng)絡(luò)游戲等），并告知用戶對(duì)使用信息處理設(shè)施的行為是否有監(jiān)視手段。組織使用的監(jiān)視工具或監(jiān)視記錄應(yīng)符合相關(guān)法律法規(guī)的要求。

A.15.1.6 密碼控制措施的規(guī)則

【內(nèi)容解析】

密碼控制措施的使用是為了保護(hù)組織資產(chǎn)的保密性和完整性，但首先要了解國(guó)際上和我國(guó)有關(guān)密碼控制的法律法規(guī)要求（例如，對(duì)執(zhí)行密碼功能的計(jì)算機(jī)軟硬件的進(jìn)出口限制，以及使用密碼的限制）。在涉及密碼控制領(lǐng)域開展業(yè)務(wù)活動(dòng)和安全管理時(shí)確保符合法律法規(guī)的限制要求。為此組織應(yīng)制定有關(guān)使用密碼控制措施的文件，對(duì)密碼控制措施的使用提供指南。

A.15.2 符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性

A.15.2.1 符合安全策略和標(biāo)準(zhǔn)

【內(nèi)容解析】

管理層為確保組織發(fā)布的各項(xiàng)安全方針策略和標(biāo)準(zhǔn)的到普遍的遵循，應(yīng)有適當(dāng)?shù)臋z查或?qū)徍耸侄危M織的各級(jí)管理者對(duì)其職責(zé)范圍內(nèi)安全管理除了日常關(guān)注還應(yīng)定期進(jìn)行評(píng)審。

A.15.2.2 技術(shù)符合性核查

【內(nèi)容解析】

為確保敏感信息和信息處理設(shè)施的安全，組織會(huì)采取各種措施，其中包括技術(shù)方法和手段在內(nèi)的技術(shù)措施。這些技術(shù)措施是否達(dá)到了預(yù)定的安全標(biāo)準(zhǔn)和要求，組織需在安全技術(shù)人員（包括外部專家或第三方機(jī)構(gòu)）的參與下對(duì)信息系統(tǒng)進(jìn)行定期的核查，以驗(yàn)證技術(shù)安全保護(hù)和控制措施持續(xù)有效、滿足要求。對(duì)系統(tǒng)進(jìn)行必要的測(cè)試（如，滲透測(cè)試）和評(píng)估（如，脆弱性評(píng)估）。核查結(jié)果形成報(bào)告并提交管理層。

A.15.3 信息系統(tǒng)審計(jì)考慮

A.15.3.1 信息系統(tǒng)審計(jì)控制措施

【內(nèi)容解析】

對(duì)信息系統(tǒng)可進(jìn)行內(nèi)部或外部審計(jì)，外部審計(jì)通常為滿足特定要求而進(jìn)行的。組織的相關(guān)人員應(yīng)與審計(jì)方進(jìn)行仔細(xì)的策劃和協(xié)調(diào)，使審計(jì)過程盡量避免或減少對(duì)組織業(yè)務(wù)運(yùn)行的影響，并滿足審計(jì)目標(biāo)和要求。

A.15.3.2 信息系統(tǒng)審計(jì)工具的保護(hù)

【內(nèi)容解析】

審計(jì)工具具有揭示受保護(hù)信息和隱私信息的能力。組織對(duì)此應(yīng)特別小心，防止審計(jì)工具受到未授權(quán)的安裝、使用或是被濫用。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院）