【格式化文档】ISO27001控制措施+ISO27002实施指南 【上】
0x000 前言部分
来自ISO/IEC 27002:2013引言部分
组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
1. 对组织的风险进行评估,考虑组织的整体业务策略与目标。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;
2. 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境;
3. 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。
来自崇尚简洁的我
识别组织信息安全要求:
- 资产风险评估 基于整体业务或者战略目标,评估业务相关资产效益,识别资产可能存在脆弱性和面临威胁;
- 事业环境因素 基于组织外部相关方期望、社会期望、法律、法规、协议,安排信息安全要求;
- 组织数据治理 基于业务环境识别组织数据生命周期的过程中,发现薄弱的环节。
A5 信息安全策略
A5.1 [原文]信息安全管理方向
目标:为信息安全提供管理指导和支持并确保信息安全,符合业务需求和相关法律、法规;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 5.1.1 | 信息安全策略 | 控制类 | 信息安全方针文件应由管理这批准 ,发布传达给所有员工和外部相关方。 |
| 5.1.2 | 安全策略评审 | 控制类 | 应计划时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性 |
A5.1-1信息安全策略声明内容
- 管理者意图知道所有信息安全相关活动的信息安全、目标和原则的定义;
- 已定义角色信息安全管理一般和特定职责的分配,专人专责维护信息安全策略;
- 信息安全、整体目标和范围的定义,以及允许信息共享机制下安全的重要性;
- 设置控制目标和控制措施的框架,包括风险评估和风险管理的结构;
- 对组织特别重要的原则、标准和符合性要求的简要说明{法规、协议、安全教育、BCP、违反策略惩罚}
- 更加详细的支持文件引用。
A5.1-2 信息安全策略属性
- 地位 [方针/策略]在信息安全管理体系[ISMS]中居于最高层次的核心地位;
- 作用 所有细化的管理制度、流程、规范、指南都必须与[方针/策略]相一致,在[方针/策略]的约束和指导下制定;
- 内容 阐述信息安全的目标、信息安全管理的范围、信息安全管理的基本原则等;
- 结构 由上至下渐进明细:[全局]总体安全策略–[全局]面向问题策略–[局部]面向信息系统策略。
- 周期 初次制定–> 评审-- 高层认可–> 周期评审–优化改进–高层认可–>组织重大变化–评审–优化改进–高层认可;
A5.1-2 信息安全策略特征
- 全面性 覆盖信息安全管理各个方面。
- 精确性 简洁明确描述信息安全基本原则和要求。
- 稳定性 不能频繁改变否则会影响员工落实具体信息安全管理工作活动。
- 条理性 基于不同属性进行分解组件,保持每个组件的用途唯一,方便分解任务和保持专注执行。
A6 信息安全组织
A6.1 [原文]内部组织
目标:建立一个管理框架,启动和控制组织内实施信息安全。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 6.1.1 | 信息安全角色和职责 | 控制类 | 所有信息安全职责定义和分配。 |
| 6.1.2 | 与监管机构的联系 | 控制类 | 与监管机构保持适当的接触 |
| 6.1.3 | 与特殊利益团体的联系 | 控制类 | 与特定利益团队,其它专业安全论坛或行业协会应保持适当联系。 |
| 6.1.4 | 项目管理中的信息安全 | 控制类 | 项目类型应融入项目管理,与项目类型无关。 |
| 6.1.5 | 职责分离 | 控制类 | 冲突的职责和权限应该被分离,减少对资产未经授权或者无意的修改或者误用。 |
A6.1.1-1 信息安全角色和职责
- 分配信息安全职责 基于信息安全策略,识别需要保护的资产,分配给对应人员绑定信息安全职责。
- 风险评估活动过程 定义哪些需要处理风险,并对剩余风险进行记录。
- 下发安全管理任务 将防护工作细化分解,并将实施任务下发到具体执行人。
- 监督信息安全管理 监管具体执行人是否完成防护手段的部署,维护其有效性,保护资产免受威胁。
A6.1.1-2 信息安全管理任务下发流程
- 识别并定义资产的实体负责人,将具体负责人与资产对应关系进行文档化信息;
- 定义信息处理权限级别,形成文件;
- 测量分配内部相关人员的能力是否胜任安全职责履行,如果没有需要进行培训;
- 如果是外部供应商执行相关任务,需要进行监督,可能使用协议等约束文件。
A6.1.2-1 为啥需要与监管部门的联系
- 可能监管部门 公共措施、紧急服务、电力、消防、监管机构、监督部门、其它相关执法部门。
- 获取安全信息 最新信息安全法律变更、需要遵守的法律、法规、获取最新安全威胁。
- 上报安全信息 发现安全问题,请求政府部门协助处理,上报已知且处理完成的安全事件。
A6.1.3-1 为啥需要与特定利益集团联系
- 获取信息安全情报 实践知识、专家建议、新技术。
- 了解当前安全环境 脆弱性预警、最新行业动态、并提供适当的信息联络点。
A6.1.4-1 项目管理目标与信息安全目标
- 项目管理中需要包括信息安全管理目标,并将信息安全管理活动加入项目管理计划;
- 定义项目管理中信息安全管理角色和职责;
- 需要在项目早期进行风险评估,并识别并定义必要安全措施;
- 需要在每个项目阶段进行迭代评估,保证信息安全管理的有效性、适宜性。
A6.1.5-1 为啥要有职责分离
- 授权行为 默认生成帐号没有任何权限,没有监测时,不能执行任何操作。
- 监管行为 定义用户职责描述,定期审查具有过多特权的人员,知其所需,防止授权蠕变,减少误用资产信息情况。
- 职责分离 实施和审查帐号不能存在同一帐号,有可能会削弱信息安全管理公正性。
A6.2 [原文]移动设备和远程办公
目标:确保远程办公和移动设备使用的安全性。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 6.2.1 | 移动设备策略 | 控制类 | 应使用配套策略和安全措施来防止移动设备带来的风险 |
| 6.2.2 | 远程办公 | 控制类 | 应使用配套策略和安全措施来保护 信息访问,处理或远程存储 |
A6.2.1-1 移动设备策略与业务数据
- 移动设备策略关注点 物理防护、信息注册、应用控制、补丁管理、访问控制、加密技术、防范恶意代码、数据备份等;
- 物理防护 使用物理方式保证,移动设备中存储设备,防窃,遗落,无人值守等问题;
- 信息注册 处理敏感信息类别,使用年限,使用人,访问权限,硬件编号;
- 人员相关 培训人员具备安全意识,签署保密协议,约束人员数据传播行为;
- 访问控制 注册–标识–授权–审计权限,时间范围,系统权限,内容权限,上下文关联,防止推理攻击;
- 数据保护 移动设备需要具有远程控制的能力,超过时限未使用擦除,密码错误超限擦除,拆机擦除,联网远控;
- 数据备份 数据备份是不能连接任何网络服务;
- 加密技术 传输中加密、静态加密、使用中加密,根据不同场景使用不同的特征水平;
A6.2.2-1 员工远程接入组织内网
- 远程接入关注点 物理安全、加密技术、存储安全、接入服务、安全基线、访问控制;
- 物理安全规范 亲属、家人、宠物等住处人员,误操作控制,未授权访问,公共场所肩窥,推荐物理远程工作环境;
- 接入设备限制 禁止私有处理存储敏感信息,私有设备开发知识产权问题,即时分配权限,使用云桌面的形式完成;
- 接入服务加密 接入网络协议是否可以被窃听,接入组织的时间限制,接入链路加密保证传输过程中安全;
- 安全基线核查 接入设备上必须存在杀毒软件,网络流量控制设备,符合其它接入安全基线配置;
A7 人力资源安全
A7.1 [原文]任用之前
目标:确保组织内人员理解其职责,考虑其承担的角色是适合的。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 7.1.1 | 筛选 | 控制类 | 根据法律、法规、道德规范,对员工、合同人员及第三方人员的应聘人员进行背景调查,调查应符合业务需求,访问信息的类别及已知风险 |
| 7.1.2 | 任用的条款及条件 | 控制类 | 作为合同义务的一部分,员工应同意并签订合同的条款和条件,应当载明其对组织信息安全的责任。 |
A7.1.1-1 审查个人可识别信息
- 申请人个人履历 个人资料可用性、声称学术、专业资质、项目经历完备性,准确性;
- 个人身份核查 信用情况、护照、身份证、犯罪经历;
- 特定职能审查 是否有能力胜任该工作、是否可以被信任;
A7.1.1-2 审查活动过程特征
- 过程属性 谁来做审查、何时、何地、为什么执行审查;
- 评估标准 组织或者承包商的协议中需要规划审查标准,即如何判定审查结果;
- 信息收集 所有候选人信息需要按照当地隐私法案或者其他合适法案来收集。
A7.1.2-1 任用人员条款
- 保密协议 授予信息系统访问权限前需要签订保密协议,限制相关方违规数据操作行为;
- 规定权利 明确相关人员的责任和权利、义务,例如:数据保护法、版权法;
- 明确职责 信息处理设施管理、信息分类、组织资产管理、数据保护策略、信息系统和服务资产性质和程度等;
- 任前传达 信息安全角色和职责宜在任用前的过程中传达给职务的候选者。
A7.2 [原文]任用中
目标:确保雇员和承包方人员知悉并履行其信息安全职责。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 7.2.1 | 管理职责 | 控制类 | 管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和应用安全 |
| 7.2.2 | 信息安全意识、教育和培训 | 控制类 | 组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序 |
| 7.2.3 | 纪律处理过程 | 控制类 | 对安全违规人员,应有一个正式与可沟通的纪律处理过程 |
A7.2.1-1 授予管理职责
- 明确职责 授予访问信息安全系统访问权限之前,必须确保相关人员的信息安全角色和职责明确界限;
- 执行指南 提供相关信息安全角色的执行指南;
- 激励执行 激励相关人实现组织信息安全策略;
- 安全意识 评估相关人员的信息安全意识达到一定程度;
- 任用条款 确认任用的条款和条件,包括组织的信息安全策略和工作的适当方法;
- 更新知识 持续拥有适当的技能和资质,定期接受培训;
- 匿名通道 提供匿名报告通道,报告信息安全过程和违规行为;
- 榜样模范 管理者宜对信息安全策略、规程和控制措施表达支持,并充当榜样;
- 提高管理 缺乏有效的管理会使员工感觉被低估,由此对组织信息安全产生负面影响。
A7.2.2-1 信息安全教育特征
- 定期更新 定期更新信息安全知识并举办相关活动,保持与组织策略和规程的一致,来自于组织经验教训或者其他途径;
- 活动导向 基于雇员在组织中的个人的角色、职责和技能,安全意识方面的期望;
- 交付方式 网络教学、定期讲座、文档化信息、外包自学、课堂教学;
A7.2.2-2 信息安全教育规程
- 组织信息安全承诺、信息安全策略、相关规程保持一致;
- 信息安全规则和义务的需求,协议、合同、法律、标准;
- 督促他人遵守安全要求职责;
- 保护组织和外部相关方信息职责;
- 基本信息安全流程;
- 阻止环境中基线控制;
- 安全论坛、其它企业联络点、其它信息安全培训资源的建议;
- 要关注 “做什么” “怎么做” “为什么做”;
- 意识教育和培训可以是其他培训活动的一部分,或与之协同实施;
- 意识培训结束需要进行评估测试,传递是否到位。
A7.2.2-2 信息安全教育对象
- 新员工的一般日常处理规范;
- 职责变更员工新岗安全执行培训;
- 信息安全管理人员细化高级处理规程。
A7.2.2-2 信息安全违规处理属性
- 响应过程 验证是否发生违规,保证雇员被正确和公平对待;
- 分级处理 基于违规的性质、重要性及对于业务的影响、协议合同、法律法规等因素,处理违规员工;
- 功能作用 威慑,防止他们违反组织的信息安全策略和规程及其它信息安全规则,需要立即执行;
- 重建意识 立即停止当前工作,无论是否经过培训,需要重新完成相关培训,培训后审查传递结果。
A7.2.3-1 组织的奖罚分明
- 纪律处理过程 需要制定一个文档化的正式、已传达的纪律处理过程,定义行为标准,可以激励员工执行;
- 公平正确处理 基于违规次数、违规性质、重要性、业务影响因素、相关法律、协议进行分级处理;
A7.3 [原文]任用后
目标: 变更和终止任用是保护组织利益的一部分;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 7.3.1 | 任用终止或变化的责任 | 控制类 | 任用终止或变更后依然有信息安全责任和义务的人,应该被界定和传达给雇员或外部方执行 |
A7.3.1-1 任用责任变更
- 相关内容 信息安全要求和法律职责、保密协议包含职责;
- 效用维持 包含在相关人员需要维持效用的责任效用包含在任用条款和条件中;
- 职责变更 管理职责变更和任用变更的过程,新的职责和任用的开始初始化时,需要同时终止正在运行的职责和任用;
- 变更通知 可能有必要将人员和操作安排的变更通知员工,客户或承包商。
A7.3.1-2 任用责任终止
- 内部终止处置 人力资源通常负责整个终止流程,并与人力流动监管经理一同管理信息安全方面的评估程序;
- 外部终止处置 通过外部方提供的承包商人员,此终止过程由外部方根据组织与外部方之间的合同进行;
- 变更通知 可能有必要将人员和操作安排的变更通知员工,客户或承包商。
A8 资产管理
A8.1 资产责任
目标: 识别组织资产并定义适当的保护职责;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 8.1.1 | 资产清单 | 控制类 | 应确定信息与信息处理设施相关的资产,编制并维护资产清单。 |
| 8.1.2 | 资产责任人 | 控制类 | 库存资产应有责任人 |
| 8.1.3 | 资产可用性 | 控制类 | 确定信息处理措施有关的信息和资产可接受使用规则,形成文件并加以实施 |
| 8.1.4 | 资产的归还 | 控制类 | 所有的雇员和外部方人员在终止任用、合同或协议时,宜归还他们使用的所有组织资产 |
A8.1.1-1 资产特征
- 基于信息生命周期 创建、处理、存储、传输、删除、销毁;
- 清单必要性 准确、明晰、与其他清单中资产标识一致性原则;
- 资产属性 对组织有价值的任何事物分类、绑定所有人、绑定负责人、使用周期;
- 资产范围 审查边界是由信息安全风险管理流程管理的组织资产的范围;
- 重要性 资产识别所用的详细程度将影响风险评估期间收集的信息总量,后续过程中逐渐迭代明细。
A8.1.1-2 资产类型
- 主要资产 商业过程和活动相关资产;
- 支持资产 硬件、软件、网络、员工、站点、组织架构;
A8.1.1-3 主要的资产
- 商业过程与子过程和活动
- 过程丢失或者降级,导致组织无法继续执行其使命;
- 过程包含密级过程,专有技术;
- 过程发生变更时,对组织完成使命造成很大影响;
- 组织遵守合同,法律或法规要求所必需的过程。
- 信息
- 行使组织使命或业务的重要信息;
- 根据有关隐私的国家法律明确定义的个人信息;
- 实现战略方向确定的目标所需的战略信息;
- 收集,存储,处理和传输所需时间长和价值高的信息;
- 涉及高昂的购置成本的信息。
A8.1.1-4 辅助性资产
- 硬件支持性资产
- 数据进程设备:自动信息处理设备,包括独立运行所需的物品;
- 传输端口设备:接口型计算机设备,例如笔记本电脑、PDA;
- 固定资产设备:仅在组织内承诺使用的计算机,例如服务器、微处理工作站;
- 进程外围设备:连接到计算机的通讯端口,例如打印机、可移动光驱;
- 数据媒介设备:媒体与存储数据的方法;
- 电子媒介设备:可以连接到计算机或计算机网络进行数据存储的信息介质,例如可移动硬盘、光盘、内存;
- 其它媒介设备:静态、非电子媒体包含数据。 例如 纸、文档、传真。
- 软件支持性资产
- 操作系统:这包括构成运行基础的计算机的所有程序,所有其他程序(服务或应用程序)都从该程序运行;
- 服务、操作管理软件:对操作系统服务的补充,并不直接为用户或应用程序服务;
- 软件包或者标准软件:一次性非特殊打包的标准软件,具有中等价格并提供介质,发布和维护的商业产品;
- 专业环境中商业应用:标准的和定制化的访问用户的专业环境中的软件;
- 网络服务性资产
- 所有的通讯设备用于连接几种物理远程计算机或者信息系统元素;
- 中介支持:通讯或者通讯媒体或者其他字节型物理的设备,通讯协议;
- 激活中继:具有路由功能和过滤功能的中继设备,例如 交换机、路由器、自动交换;
- 通讯端口:进程单元间通过支持协议连接,日志或警告生成功能及其功能以及远程管理的可能性和要求;
- 员工辅助性资产
- 高级决策:是主要资产的拥有者,例如高管、项目领导者;
- 终端用户:负责处理活动中敏感元素,他们需要正确指定权限在信息系统中实施任务;
- 运维人员:负责维护和操作信息系统,需要获取正确的权限来实施任务,例如 系统管理员、数据管理员、应用搭建;
- 开发人员:对信息系统具有高级访问权限,但是不能对生产环境做任何动作;
- 站点辅助性资产
- 地理位置:无法应用组织安全手段所有位置,员工的家、站点外围区域、其它组织的建筑物;
- 建筑物:组织保护边界,通过创建物理屏障或者监视建筑物周边来获取保护;
- 安全区域: 通过在组织信息进程基础设施周围,建立物理屏障,例如可访问区域、访问区域、办公区域;
- 必要服务: 组织装备操作的所有请求的服务;
- 通讯设施:电信服务或者相关服务提供者,例如 电话、电话网络;
- 资源单元: 服务或者资源 用于为信息系统设施和外围设备提供能源,例如水利、电力、低电压支持、废物处理。
- 组织辅助性资产
- 官方组织:这些是所研究的组织从中获得权威的组织,他们可能是合法关联公司或外部公司。例如 头部组织;
- 组织架构:组织中一些分门别类的用途部门,统一由管理层控制,例如 人力资源管理、IT管理、商业单元管理;
- 项目系统:组织建立一些特殊的项目或者服务,例如新的应用研发项目、组织系统迁移项目;
- 承包商:为组织提供服务或者资源或者边界,例如 第三方资源、咨询公司、外包公司。
A8.1.2-1 资产所有权
- 指定所有者 资产被创建时,需要分配资产所有权绑定到指定个人或者实体;
- 资产所有权 资产整个生命周期,需要由资产所有人对其进行适当管理。
A8.1.2-2 资产权限控制
- 识别资产 确保资产被列入清单;
- 资产分类 对资产基于不同的应用场景、处理数据敏感程度等进行分类与保护;
- 访问控制 使用访问控制策略,重要的资产进行定期评审策略有效性;
- 资产销毁 当资产被删除或销毁时,确保进行适当数据销毁处理;
A8.1.2-3 资产责任划分
- 资产所有者可能不是最终资产产权所有者,但是需要管理资产的全生命周期;
- 资产所有者可以将管理任务委派给他人处理,但仍然抱有监管责任;
- 资产所有者可以是业务系统所有者,用于支持该业务系统所有资产均指定为一个所有者;
A8.1.3-1 资产使用规范
- 访问组织资产的雇员或者外部人员应意识到组织对信息处理措施和资源相关资产的安全要求;
- 访问组织资产的雇员或者外部人员应对其所有信息处理资源的使用行为负责,这种使用不能超出其职责范围。
- 资产使用规则需要形成文件并加以实施。
A8.1.4-1 资产结束使用
- 终止过程需要正式化归还所有先前交付的电子资产或者物理资产;
- 需要确保组织设备或者个人设备中,所有组织相关信息安全转移给组织,并保证数据从设备中安全删除;
- 被终止雇佣期开始前就终止雇员的访问权限,防止未授权复制组织的敏感数据。
A8.2 信息分类
目标: 依照信息重要性分级,确保信息受到分级保护;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 8.2.1 | 信息的分类 | 控制类 | 信息应依照其对组织的价值,法律要求,敏感性和关键性分类 |
| 8.2.2 | 信息的标记 | 控制类 | 根据组织采用的信息分类方案,应指定并实施一套信息标记流程 |
| 8.2.3 | 信息的处理 | 控制类 | 根据组织采用的信息分类方法,应指定并实施一套资产处理流程 |
8.2.1-1 信息分类依据
- 共享或者限制信息的业务需求以及法律要求;
- 按照存储、加工及其处理或者保护的信息的类别;
- 按照资产生命周期中的价值、敏感性和关键性予以更新。
8.2.1-2 信息分类机制属性
- 谁负责 信息资产所有者需对她们分类负责。
- 审查机制 周期性审查分类机制,并给予CIA予以评估相关信息是否仍然是敏感,如不是撤销保护,如是添加保护;
- 权限控制 分类机制结合访问控制策略管理;
- 级别组名 每个级别宜给定一个名称,具有类似需求信息创建组,使分类机制在组织中是有意义的,绑定控制措施;
- 内部同步 分类机制应是一致,组织内对保护要求达成共识,基于保护要求提供适当的保护措施;
8.2.1-3 信息分类级别
- 不会导致损害;
- 导致轻微损害或者轻微的操作不便;
- 对操作或者战术目标有显著短期影响;
- 对长期战略目标有严重影响。
8.2.1-1 信息的标记规程属性
- 标记目标范围 物理和电子格式的信息及其相关资产;
- 标记目标位置 在哪附加标记与如何标记,使用物理标记形式或者元数据标记形式;
- 标记目标使用 信息如何被访问或者处理;
- 忽略标记目标 需要指定哪些情况可以忽略标记目标资产,以减少工作量;
8.2.3-1 信息处理规程
- 定义信息处理、加工、存储、交换信息通用识别的规程和程序;
- 基于分类级别指定访问控制权限;
- 维护资产授权接受的正式记录;
- 信息发生临时访问或者流转时,需要按照原始信息相同级别进行保护;
- 按照制造商说明保护IT资产;
- 所有信息存储处理介质都需要具有清晰标记;
- 组织间信息交换时,可能会发生信息类别变化,需要商定规程来进行通用识别信息类别。
A8.3 介质处理
目标: 为了防止存储在介质上的信息被未经授权的披露,修改,删除或者破坏;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 8.3.1 | 可移动存储介质的管理 | 控制类 | 根据组织采用的分类方法来执行可移动介质管理流程 |
| 8.3.2 | 介质的处置 | 控制类 | 不再需求的介质,应使用正式的规程可靠并安全地处置 |
| 8.3.3 | 物理介质传输 | 控制类 | 在传输过程中,包含信息的介质应加以保护,防止未经授权的访问,滥用或损坏 |
8.3.1-1 可移动存储介质管理
- 数据破坏 离开组织的可移动存储介质中相关组织的数据不能被恢复;
- 安全保密 介质需要在相关厂商指定安全保密环境中保存,并加密保护移动存储介质中的数据;
- 备份迁移 明确存储介质的存储有效期限,在存储介质不可用之前迁移或者多份备份到其它存储介质;
- 使用记录 介质使用授权记录,介质标记记录,介质数据流向记录,介质流转记录等;
- 使用用途 组织敏感数只有在对应用途使用,不能用作额外用途,例如业务数据不能用于测试环境测试;
- 文件信息 管理规程、授权级别、使用记录需要生成文件。
8.3.2-1 介质存储数据处置
- 销毁数据 对于保密信息的处理,焚化、消磁、切碎、多次覆写等手段;
- 数据识别 需要指定规程来识别是否存在需要安全处置的数据或者项目;
- 数据处理 需要收集敏感部件与相关介质部件,并记录敏感部件,保存审核流转踪迹;
- 风险评估 对敏感数据存储介质需要实施风险评估后规定处置方法;
8.3.3-1 介质存储数据物理传输注意事项
- 授权运送人列表需要经管理者批准,并指定可靠运送人;
- 指定验证运送人身份信息规程;
- 运送包装需要保证信息免受任何会威胁信息完整性和可用性损坏,例如物理损坏、电磁干扰、窃取、未授权访问等;
- 记录保存日志,记录确定以介质内容,记录交付给传输保管人的时间和接受目的地时间;
A9 访问控制
9.1 访问控制的业务需求
目标: 限制访问信息和信息处理措施;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 9.1.1 | 访问控制策略 | 控制类 | 应建立一个访问控制策略,并基于业务和访问的安全要求进行评审 |
| 9.1.2 | 网络服务的使用政策 | 控制类 | 用户只应该被提供授权的网络访问和网络服务 |
A9.1.1-1 制定访问控制策略
- 控制什么 资产所有者为特定用户角色访问其资产,特定用户角色 可以是 终端用户、承包商、服务提供商等;
- 策略类型 逻辑形式和物理形式;
- 正式规划 访问控制规则需要有正式规程指导[见9.2,9.3,9.4],并定义用户职责[见6.1.1,9.3]
- 策略一致 不同系统和网络之间的访问权限和信息分类策略的一致性;
- 知其所需 用户仅被授权访问其执行任务需要的信息或者信息处理施,不同角色可以访问的信息和区域不同;
- 控制流程 整体访问控制流程:访问请求、访问授权、访问管理;
- 隐性拒绝 未经明确允许,就是拒绝;
- 标识变更 用户自主处理变更、信息处理措施自动处理变更;
- 更改许可 管理员主动变更、信息系统自动启动用户许可变更;
- 访问控制请求角色的分离。
A9.1.1-2 访问控制策略内容
- 访问控制规则、访问控制权限和限制、业务应用的安全要求;
- 信息分发和授权策略,例如 知其所需原则,信息安全等级、信息分类标识;
- 访问请求的正式授权要求[见9.2.1和9.2.2];
- 访问权限的定期评审要求[见9.2.5];
- 访问权限的撤销[见9.2.6];
- 关于限制访问数据或服务的相关法律和合同义务[见18.1];
- 访问请求的正式授权要求;
- 用户标识、密级授权信息、重大事件记录的存档;
- 特权用户角色[见9.2.3]
- 识别的网络环境和分布式网络环境以及其他类型的连接;
A9.1.2-1 网络访问策略内容
- 授权范围规程 确定允许哪个人访问哪些网络和网络服务;
- 管理控制规程 保护网络连接和网络服务的管理控制规程;
- 接入网络方法 如何接入组织内网,移动办公设备接入,组织固定资产接入,用户远程安全接入等;
- 接入用户识别 不同种类网络的用户认证标识请求;
- 审计用户操作 监管用户使用网络服务和网络的操作行为;
- 协同访问控制 网络访问测类必须与访问控制策略是一致的。
9.2 访问管理
目标: 确保只有授权用户访问系统和服务,并防止未授权的访问;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 9.2.1 | 用户注册和注销 | 控制类 | 实施正式的用户注册及注销规程,使访问权限得以分配。 |
| 9.2.2 | 特权管理 | 控制类 | 应控制和限制特殊权限的分配和使用。 |
| 9.2.3 | 用户秘密认证信息的管理 | 控制类 | 应使用正式的管理流程来控制秘密认证信息的分配。 |
| 9.2.4 | 用户访问权的复审 | 控制类 | 资产所有者应该定期审查用户权限。 |
| 9.2.5 | 移除或调整访问权限 | 控制类 | 当合同或者协议终止时,应删除或调整相关工作人员和外部人员对用户信息和信息处理设施的访问权限。 |
9.2.1-1 用户标识处置方法
- 唯一用户标识 用户与他们的用户标识绑定,并为她们做出的行动负责;
- 共享用户标识 只有商业需求共享操作时,才能共享用户标识,并需要进行记录和审批流程;
- 用户标识禁用 当用户离开组织时,用户标识必须被立即禁用或者移除[详见9.2.6];
- 审查冗余标识 周期性审查用户标识,移除或者禁用多余用户标识;
- 处置冗余标识 确保多余用户标识不会发放给其它用户;
9.2.2-1 用户访问权限开通
- 获取授权 来源信息系统或者服务的所有者的授权、管理员对访问权限批准;
- 同步策略 验证访问权限是否适用于访问策略,且与其他要求一致;例如职责分离;
- 等待完成 完成授权流程之前不会激活;
- 访问记录 维护用户标识的访问信息系统的访问权限的主要记录;
- 标识变更 用户变更职位权限变更,应先删除所有权限后添加对应职位权限,立即禁用离开组织的用户标识;
- 权限审查 周期性与信息系统所有评审访问权限,防止发生授权蠕变[详见9.2.5];
- 角色模型 基于业务要求建立用户访问角色,多种访问权限绑定到固定用户访问角色模型,便于管理、审查、绑定用户;
- 违规处罚 人员合同和服务合同,将员工或承包方人员试图进行未授权访问时,相关处罚措施条款
9.2.3-1 访问特权管理
- 标识特权 访问特权在绑定每个系统或者进程时,并需要标识其分配给哪些用户;
- 用其所需 访问特权需要基于访问控制策略的“用其所需”和“一事一批”原则,仅分配职能角色的最低要求;
- 授权记录 维护各个访问特权授权过程和记录,未完成时不要允许用户使用相关权限;
- 限定期限 定义访问特权的使用期限,到期后禁止使用相关权限;
- 使用范围 日常业务客户不应该使用访问特权;
- 权限核查 具有访问特权的用户应该接受定期核查,验证其拥有权限是否与用户责任一致;
- 维护规程 建立和维护指定规程,为了避免未授权使用赋予通用管理员的用户标识的配置相关系统的能力;
- 机密认证 通用管理员的用户标识认证信息应该维持其机密性[详见9.2.4];
9.2.4-1 鉴别信息管理
- 保密声明 保证个人和组内共享的身份鉴别信息的机密性,相关条款应记录到任用条款和条件中[详见7.1.2];
- 维持安全 当要求用户维护自己的秘密认证信息时,应向他们提供安全的临时秘密认证信息,首次使用时将被迫更改;
- 验证标识规程 建立一个新的、代替的或临时的秘密鉴别信息之前,需要验证用户身份的规程;
- 安全传递信息 避免使用第三方或者未保护的电子邮件信息发送给用户秘密鉴别信息;
- 临时鉴别信息 临时认证信息对个人而言是唯一的,不可猜测的;
- 确认接受信息 用户需要确认收到的秘密鉴别信息;
- 修改默认鉴别 安装的系统或者软件,需要修改厂商默认的鉴别信息;
9.2.5-1 开始用户访问权限审查条件
- 用户权限发生变更时, 例如提升、降级或者雇佣终止;
- 用户职责发生改变对应用户的权限也需要发生改变,显示为角色发生变更;
- 定期审查普通用户访问权限,用户访问特权需要更加频繁进行审查;
- 用户访问特权的变更,周期性审查时需要记入日志。
9.2.6-1 访问权限变更
- 何时撤销 任用终止时、需要撤销用户访问组织内容相关信息处理措施和资产的访问权限;
- 如何撤销 禁用或者删除用户标识、替换密钥、回收智能卡、回收识别卡;
- 何时调整 已离开的雇员知道共享帐号的鉴别信息、职员工作职责发生变更时;
- 如何调整 添加或者删除用户权限、从共享组中删除相关用户标识、账户鉴别信息变更;
- 为何变更 不满组织处理的雇员可能会故意破坏信息和信息处理措施,将来可能利用其收集组织信息。
9.2.6-2 访问权限变更依据
- 变更基准 基于相关账户对组织的风险因素评估、组织业务影响程度,可访问资产价值、可访问信息重要性。
- 处置人员 第三方外部人员进行变更,管理者进行变更。
- 变更类型 两个大类物理、逻辑,小类如 资产、信息处理设施登录用户、区域访问门禁、
9.3 用户职责
目标: 使用户承担保护鉴别信息的责任。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 9.3.1 | 使用秘密鉴别信息 | 控制类 | 要求用户在使用秘密鉴别信息时,遵循组织的实践 |
9.3.1-1 秘密鉴别信息管理策略
- 存储鉴别信息 保护秘密鉴别信息的机密性,避免保存相关信息可读记录,建议使用加密技术或者其他安全方式存储;
- 鉴别信息变更 每当有任何迹象表明秘密鉴别信息已被泄露,需要变更秘密鉴别信息;
- 鉴别信息设置 不易记忆、不易猜测、字典命中率低、非单个元素组成;
- 初始强制更换 用户初始登录时,强制用户更换口令;
- 鉴别信息隔离 非业务目的鉴别信息,不能与业务目的鉴别信息混合使用;
9.3.1-2 使用秘密鉴别信息登录
- 单点登录挑战 减少了要求用户保护加密鉴别信息的信息量,但是增加了相关系统被入侵后,秘密鉴别信息披露风险;
- 登录过程保护 登录过程中不能产生相关明文数据包,建议使用单向函数进行对比处理;
9.4 系统和应用访问控制
目标: 避免系统和应用的未授权访问。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 9.4.1 | 信息访问控制 | 控制类 | 基于访问控制策略,限制对信息和应用系统功能的访问 |
| 9.4.2 | 安全登录程序 | 控制类 | 基于访问控制策略,访问系统和应用程序应该被安全登录过程控制 |
| 9.4.3 | 口令管理系统 | 控制类 | 口令管理系统应采用交互式口令并确保口令质量 |
| 9.4.4 | 特权实用程序的使用 | 控制类 | 对可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制 |
| 9.4.5 | 程序源码的访问控制 | 控制类 | 程序源码的访问应该被限制 |
9.4.1-1 信息系统访问控制要求
- 访问控制菜单 提供应用系统控制访问功能的选择菜单;
- 控制访问数据 控制特定用户可访问的数据,并限制输出所包含信息 例如:多实例数据库,数据脱敏,用户可见模块;
- 用户访问权限 可读、可写、删除、执行;
- 访问控制类型 隔离应用程序、应用数据、应用系统、提供物理或者逻辑访问控制。
9.4.2-1 良好的安全登录规程
- 减少信息暴露 登录规程应公开最少公开相关系统和应用信息,不显示系统或者应用标识符,直到登录完成;
- 显示辅助告警 显示只有授权用户才能查看页面,一般辅助性告警通知;
- 输入完成验证 仅在完全输入完成后开始验证,若没有通过验证,不能告知哪部分数据错误;
- 记录登录日志 限制失败登录次数,并记录失败登录和成功的登录日志;
- 登录成功提示 提示前一次成功登录时间和日期,上次登录成功后任何失败尝试细节;
- 加密登录验证 不显示用户输入口令,保证验证用户口令过程不可被任何第三方读取;
- 空闲会话超时 空闲会话应该在固定时间后被关闭;
- 强鉴别验证 利用加密、智能卡、令牌、生物特征等方式代替口令;
- 操作时间限制 固定时间操作后自动断开连接,降低非授权访问可能性。
9.4.3-1 口令管理系统
- 维持可审查性 强制使用个人用户标识和口令,来保证系统可审查性;
- 用户更改口令 允许用户选择并更改口令,包含一个确认过程来减少输入错误;
- 初始强制更换 用户初始登录时,强制用户更换口令;
- 周期强制更改 需要周期性强制修改口令;
- 口令历史记录 维持一个口令历史记录,避免用户修改回之前密码来绕过周期性密码修改;
- 加密登录验证 不显示用户输入口令,保证验证用户口令过程不可被任何第三方读取。
- 外部授权机构 使用授权机构管理口令,以上第2行、第3行、第4行 不适用;
9.4.4-1 应用或系统特权工具使用指南
- 对适用工具软件使用标识、鉴别和授权规程;
- 将适用工具软件和应用软件分开;
- 将使用适用工具软件的用户限制到可信的、已授权的最小实际用户数(详见 9.2.2);
- 限制系统实用工具的可用性,例如,在授权变更的期间内;
- 记录适用工具软件的所有使用行为、操作、过程;
- 对适用工具软件的授权级别进行定义并形成文件;
- 移去或禁用所有不必要的实用工具软件;
- 当要求责任分割时,禁止访问系统中应用程序的用户使用实用工具软件。
9.4.5-1 程序源代码的访问控制指南
- 控制文件类型 设计、说明书、验证计划、确认计划;
- 为何需要控制 发生范围蔓延引入无意识变更,抑制非授权访问知识产权机密性;
- 分离生产与运营 运行系统中不要保留源程序库,并限制支持人员访问源程序库;
- 授权源代码变更 发生代码变更必须执行相关变更流程,得到明确授权后方可变更,为了保护源代码完整性;
- 审计源代码访问 维护对源代码库所有访问的审计日志;
- 严格控制访问规程 维护和拷贝源程序库要受严格变更控制规程的制约(详见 14.2.2)