本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 22081—2016《信息技术 安全技术 信息安全控制实践指南》,与GB/T 22081—2016相比,除结构调整和编辑性改动外,主要技术变化如下:
a) 使用简单的分类法和相关属性来展示控制;
b) 对控制进行了合并、删除,同时也增加了新的控制,与原标准对应关系见附录 B。
本文件等同采用ISO/IEC 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。
本文件做了下列最小限度的编辑性改动:
——将属性表、控制、目的、指南和其他信息列为二级条;
——调整了参考文献中的文件清单。
本文件适用于所有类型和规模的组织。组织在实施基于GB/T 22080信息安全管理体系的信息安全风险处置时,本文件可作为其确定和实施所需控制的参考;本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。此外,本文件旨在用于制定行业和特定组织的信息安全管理指南,同时考虑其具体的信息安全风险环境。除本文件包含的控制外,可通过风险评估来确定特定于组织或环境所需要的控制。
所有类型和规模的组织(包括公共和私营部门、商业和非营利性组织)都会以多种形式创建、收集、处理、存储、传输和处置信息,包括电子的、物理的和口头的(如对话—会话和演示)。
信息的价值超出了字、数字和图像的本身:如知识、概念、观点和品牌都是无形信息。在互联的世界中,信息和相关资产都值得或需要保护,以防范各种风险源,无论该风险是源自自然界,还是意外或故意破坏。信息安全是通过实施一组适宜的控制来实现的,包括策略、规则、过程、规程、组织结构和软硬件功能。组织宜在必要时定义、实施、监视、评审和改进这些控制,以满足其特定的安全和业务目标。
GB/T 22080中规定的ISMS从整体、协调的视角审视组织的信息安全险,在协调一致的管理体系总框架内确定和实施一套全面的信息安全控制。许多信息系统,包括其管理和运营,并没有按照GB/T 22080所规定的ISMS和本文件来进行安全的设计。只通过技术措施所能实现的安全水平是有限的,宜通过适当的管理活动和组织过程给予支持。在进行风险处置时,需要仔细规划、注意细节,来确定宜实施哪些控制。成功的ISMS需要得到组织内所有人员的支持,还可能需要股东或供应商等其他利益相关方的参与,同时也需要业内专家的建议。
一个适宜、充分和有效的信息安全管理体系,为组织的管理层及其他利益相关方提供以下保证:它们的信息及其他相关资产处于合理的安全状态并免受威胁和损害,从而使组织能够实现既定的业务目标。
组织确定其信息安全要求是必要的。信息安全要求有三个主要来源:
a) 考虑组织的整体业务战略与目标来对组织风险进行评估。这能通过特定于信息安全的风险评估来给予帮助或支持。这宜得出对必要控制的确定,以确保组织面临的残余风险符合其风险
接受准则;
b) 组织及其利益相关方(贸易伙伴、服务提供者等)必须遵守的法律、法规、规章和合同要求及其社会文化环境;
c) 组织为支持其运行而为信息生存周期的所有步骤所建立的一整套原则、目标和业务要求。
控制的定义是改变或维持风险的措施。本文件中的某些控制是修改风险,而其他控制则是维持风险。例如,信息安全方针只能维持风险,而遵守信息安全方针则能改变风险。此外,某些控制描述了不同风险环境下相同的通用措施。本文件提供了源于国际公认最佳实践的一系列组织、人员、物理和技术信息安全控制。
控制的确定取决于组织在风险评估后做出的决策,并有一个明确定义的范围。与已识别风险相关的决策宜基于风险接受准则、风险处置选项和组织所采用的风险管理方法。控制的确定还宜考虑所有相关的国家和国际法律法规。控制的确定还取决于不同控制的协同,以实现纵深防御。
组织可根据需要来设计控制,或从任何来源识别控制。在指定此类控制时,组织宜考虑相对于所实
现的业务价值,实施和运行控制所需要的资源和投资。参见ISO/IEC TR 27016,了解有关ISMS投资的决策指南,以及这些决策在资源相互冲突的境下带来的经济后果。在为实施控制而部署的资源与因缺乏这些控制而发生安全事件所导致的潜在业务影响之间宜取得平衡。风险评估的结果宜有助于指导和确定适当的管理措施、管理信息安全风险的优先顺序,以及实施为防范这些风险而确定的必要控制。
本文件中的某些控制可被视为信息安全管理的指导原则,适用于大多数组织。有关确定控制和其他风险处置选项的更多信息,可参见GB/T 31722。
本文件可被视为制定特定于组织的指南的出发点。本文件中并非所有的控制和指南都适用所有组织。组织还可能需要本文件中未包含的额外控制和指南,以满足其具体需求和解决已识别到的风险。在编制包含额外的指南或控制的文件时,对本文件中的条款交叉引用有助于为以后提供参考。
信息具有从创建到销毁的生存周期。在其整个生存周期中,信息的价值和其面临的风险可能会变化(例如,未经授权披露或窃取公司财务账户在公布后并不重要,但完整性仍然至关重要),因此,在所有阶段信息安全都很重要。与信息安全相关的信息系统和其他资产具有生存周期,包括构思、规范、设计、开发、测试、实施、使用、维护并最终退役和销毁。每个阶段均宜考虑信息安全。新的系统开发项目和对现有系统的变更,为改进安全控制提供了机会,同时考虑组织面临的风险和从安全事件中吸取的经验教训。
本文件为普遍应用于各类组织的广泛的信息安全控制提供了指导,ISMS标准族中的其他文件还针对信息安全管理全过程的其他方面提供了补充建议或要求。
有关ISMS及ISMS标准族总体介绍参见GB/T 29246。GB/T 29246中提供了一个词汇表,定义了ISMS标准族中使用的大多数术语,并描述了该文件族中每项标准的范围和目的。
一些适用于特定行业的标准给出了针对特定领域的额外控制(例如,针对云服务的ISO/IEC 27017、针对隐私保护的ISO/IEC 27701、针对能源的ISO/IEC 27019、针对电信组织的ISO/IEC 27011和针对健康的ISO 27799)。这些标准收录在参考文献中,其中在第5章至第8章中引用了部分标准。
本文件提供了一套通用信息安全控制参考集,包括实施指南。
本文件适用于:
a) 组织基于 GB/T 22080 实施信息安全管理体系(ISMS);
b) 组织基于国际公认最佳实践实施信息安全控制;
c) 组织编制其自身的信息安全管理指南。
术语和定义
下列术语和定义适用于本文件。
3.1.1
访问控制 access control
确保对资产(3.1.2)的物理和逻辑访问是基于业务和信息安全要求进行授权和限制的手段。
3.1.2
资产 asset
对组织有价值的任何事物。
注: 在信息安全的语境下,可分为两类资产。
——主要资产:
信息;
业务过程(3.1.27)和活动。
——所有类型的支撑性资产(主要资产所依赖的资产),例如:
硬件;
软件;
网络;
人员(3.1.20);
场所;
组织结构。
3.1.3
攻击 attack
未经授权企图销毁、更改、禁用、访问资产(3.1.2)的行为(无论成功或失败),或者企图泄露、窃取或未经授权使用资产的任何行为。
章条设置
本文件结构如下:
a) 组织控制(第 5 章);
b) 人员控制(第 6 章);
c) 物理控制(第 7 章);
d) 技术控制(第 8 章)。
本文件含有2个资料性附录:
——附录 A 属性的使用;
——附录 B 本文件与 GB/T 22081—2016 的对应关系。
附录A解释了组织如何使用属性(见4.2)创建自己的视图,可以使用基于本文件所定义的控制属性或组织自行创建的控制属性。
附录B展示了本文件与GB/T 22081—2016版本中各项控制的对应关系。
主题和属性
第5章至第8章中提供的控制分类统称为主题。控制类别为:
a) 人员,如果涉及到单独的个人;
b) 物理,如果涉及到物理对象;
c) 技术,如果涉及到技术;
d) 其他均归类为组织。
组织可使用属性来创建不同的视图,这些视图从主题的不同视角进行控制分类。属性可用于不同使用者在不同视图中进行控制的筛选、分类或展示。附录A解释了实现过程并提供了视图示例。
本文件给出了示例,将每一项控制关联到以下五种属性的相应属性值(前缀‘#’方便搜索):
a) 控制类型
控制类型是从控制何时和如何改变信息安全事件发生风险的视角来看控制的一种属性。属性值包含预防(旨在防止信息安全事件发生的控制)、检测(作用于信息安全事件发生时的控制)和纠正(作用于信息安全事件发生后的控制)。
b) 信息安全属性
信息安全属性是从控制有助于保护哪些信息特征的视角来看控制的一种属性。属性值包含保密性、完整性和可用性。
c) 网络空间安全概念
网络空间安全概念是从控制与网络空间安全概念关联的视角来看控制的一种属性,ISO/IEC TS 27110描述的网络空间安全框架定义了网络空间安全概念。属性值包含识别、防护、发现、响应和恢复。
d) 运行能力运行能力是从从业者信息安全能力的视角来看控制的一种属性。属性值包含治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和脆弱性管理、连续性、供应商关系安全、合规性、信息安全事件管理和信息安全保障。
e) 安全领域
安全领域是从四个信息安全领域的视角来看控制的一种属性。四个信息安全领域为:“治理和生态体系”,包括“信息系统安全治理和风险管理”和“生态系统网络空间安全管理”(包括内外部相关方);“保护”,包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”及“物理和环境安全”;“防御”,包括“检测”和“计算机安全事件管理”;“弹性”,包括“运行的连续性”和“危机管理”。属性值包含治理和生态体系、防护、防御和弹性。
本文件给出的属性是基于其在各类组织中应用的通用性考量而选择。组织可选择不考虑本文件所给出的一种或多种属性。组织也可创建自有属性(具有相应的属性值),形成组织自己的视图。A.2中包含了这种属性的示例。
控制的设计
每项控制的设计包含以下内容:
——控制名称:控制的简称;
——属性表:显示既定控制各项属性值的表格;
——控制:控制的说明;
信息安全策略
信息安全策略的属性表见表1。
宜定义信息安全方针和特定主题策略,由管理层批准后发布,传达并让相关工作人员和相关方知悉,按计划的时间间隔以及在发生重大变更时对其进行评审。
根据业务、法律、法规、规章和合同要求,确保信息安全的管理方向以及相应支持的持续适宜性、充分性、有效性。
组织在最高层上宜定义“信息安全方针”,该方针由最高管理层批准,并规定了组织管理其信息安全的方法。
信息安全方针宜考虑以下方面产生的要求:
a) 业务战略和需求;
b) 法律、法规和合同;
c) 当前和预期的信息安全风险和威胁。
信息安全方针宜包括以下内容的陈述:
a) 信息安全的定义;
b) 信息安全目标或设定信息安全目标的框架;
c) 指导所有信息安全相关活动的原则;
d) 满足信息安全相关适用要求的承诺;
e) 持续改进信息安全管理体系的承诺;
f) 对既定角色分配的信息安全管理责任;
g) 处理豁免和例外的规程。
对信息安全方针的任何变更宜由最高管理层进行审批。
审查
审查的属性表见表39。
在加入组织前,宜对所有拟录用工作人员的候选人进行背景审查,并在入职后持续进行,同时考虑适用的法律、法规和道德规范,与业务要求、访问信息的级别和感知到的风险相适宜。
确保所有工作人员符合条件且适合其角色,并在其任用期间持续保持。
宜对所有工作人员进行筛查,包括全职、兼职和临时员工。对于与服务供应商签订合同的工作人员,宜在组织与供应商之间的合同协议中明确筛查要求。
被考虑在组织内录用的所有候选人的信息宜按照相关管辖范围内存在的合适的法律来收集和处理。在某些司法管辖区,法律可能会要求该组织将筛查活动提前通知候选人。
验证宜考虑所有相关的隐私、PII保护以及与任用相关的法律等因素,且在许可时,宜包括以下内容:
a) 验证所需材料的可用性(例如,业务和个人方面的材料);
b) 申请人履历的完整性和准确性验证;
c) 声称的学历和专业资格的证实;
d) 独立的身份验证(例如,护照或由相关权威机构签发的其他可接受文件);
e) 更多细节的验证,例如,信用核查或犯罪记录核查(若候选人担任关键角色)。
当组织聘用个人担任特定信息安全角色时,组织宜确认该候选人:
a) 具有担任该安全角色的必要能力;
b) 能被信任担任该角色,特别是当该角色对组织是十分重要的。
物理安全边界
物理安全边界的属性表见表47。
宜定义并使用安全边界来保护包含信息及其他相关资产的区域。
防止对组织信息及其他相关资产进行未经授权的物理访问、损坏和干扰。
适宜时,对于物理安全边界宜考虑并实施以下指南:
a) 根据与边界内资产相关的信息安全要求,定义安全边界以及每个边界的设置场所和强度;
b) 放置信息处理设施的建筑物或场所具有良好的物理边界(即:在容易发生入侵的边界或区域内不宜有间隙)。场所的外部屋顶、墙壁、天花板和地板宜采用坚固的结构,所有通往外部的门宜通过控制装置(例如:门闩、警报器、锁)进行适当的保护,以防止未经授权的访问。在无人看管时宜锁好门和窗;宜考虑对窗户进行外部保护,尤其是靠近地面楼层的窗户;还宜考虑对通风口的保护;
c) 宜根据适用的标准,给安全边界里的所有防火门和墙体安装报警器,并进行监视和测试,以建立所需的防御水平。它们宜以故障安全注1的方式运行。
可以通过在组织场所和信息处理设施周围设置一个或多个物理屏障来实现物理保护。
安全的区域可以是一个可上锁的办公室或多个被连续的内部物理安全屏障包围的房间。在安全边界内具有不同安全要求的区域之间,可能需要额外的屏障和边界来控制物理访问。组织宜考虑在威胁增加的情况下可以加强的物理安全措施。
用户终端设备
用户终端设备的属性表见表61。
宜保护通过用户终端设备进行存储、处理或访问的信息。
保护信息免受使用用户终端设备带来的风险。
组织宜建立用户终端设备安全配置和操作的特定主题策略。特定主题策略宜传达给所有相关人员,并考虑
以下事项:
a) 用户终端设备可以操作、处理、存储或支持的信息类型和分级级别;
b) 用户终端设备的注册;
c) 物理保护要求;
d) 软件安装限制(例如由系统管理员远程控制);
e) 用户终端设备软件(包括软件版本)和应用更新(例如主动自动更新)的要求;
f) 与信息服务、公共网络或任何其他办公场所外网络连接的规则(例如要求使用个人防火墙);
g) 访问控制;
h) 存储设备加密;
i) 防止恶意软件;
j) 对远程进行禁用、删除或锁定;
k) 备份;
l) web 服务和 web 应用的使用;
m) 最终用户行为分析(见 8.16);
n) 可移动设备的使用,包括可移动存储设备和禁用物理端口(例如 USB 端口)的可能性;
o) 如果用户终端设备支持,使用分区功能,可以安全地将组织的信息和其他相关资产(如软件)与设备上的其他信息和其他相关资产分开。
宜考虑某些信息是否非常敏感,只能通过用户终端设备访问,而不能存储在设备上。在此情况下,设备可能需要额外的技术保护措施。如确保禁用在脱机工作状态下下载文件,并禁用安全数字(SD)卡等本地存储。
宜尽可能通过配置管理(见8.9)或自动化工具来实施有关此控制的建议。
宜让所有用户了解用户终端设备保护的安全要求和程序,以及实施此类安全措施时所承担的责任。用户宜注意:
a) 注销活动会话并在不再需要时终止服务;
b) 在不使用时,通过物理控制(如钥匙锁或特殊锁)和逻辑控制(如口令访问)保护用户终端设备不被未授权使用;不要让承载重要、敏感或关键业务信息的设备无人值守;
宜管理对外部网站的访问,以减少对恶意内容的暴露。
保护系统不受恶意软件的危害,并防止访问未授权的网页资源。
组织宜降低工作人员访问包含非法信息或包含病毒或钓鱼内容的网站的风险。可采用阻止相关网站IP地址或域的技术。一些浏览器和反恶意软件会自动地或进行人工配置后执行此操作。
组织宜为工作人员确定应当或不应当访问的网站类型,宜考虑阻止对以下类型网站的访问:
a) 具有信息上传功能的网站,除非有合理的业务原因;
b) 已知或可疑的恶意网站(例如,传播恶意软件或网络钓鱼内容的网站);
c) 命令和控制服务器;
d) 从威胁情报中获取的恶意网站(见 5.7);
e) 分享非法内容的网站。
在部署此控制之前,组织宜建立安全适当使用在线资源的规则,包括对不良或不适宜的网站以及基于web的应用程序的任何限制。这些规则宜保持更新。。
宜向工作人员提供有关安全适当使用在线资源(包括访问网页)的培训。培训宜包括组织的规则、提出安全问题的联系人以及出于合理业务需要访问受限网页资源的例外过程。还宜培训工作人员,确保在浏览器上报网站不安全但允许用户继续使用的报告的情况下,他们不会拒绝浏览器建议。。
网页过滤可以包含一系列技术,包括签名、启发式、可接受网站或域列表、被禁止网站或域列表以及为防止恶意软件和其他恶意活动攻击组织的网络和系统的定制配置。。
密码技术的使用
密码技术的使用的属性表见表84。
宜适当的选择、保护和管理测试信息。
确保测试的相关性,并保护用于测试的运行信息。
宜选择测试信息,以确保测试结果的可靠性和相关运行信息的保密性。不宜将敏感信息(包括个人可识别信息)复制到开发和测试环境中(见8.31)。
无论测试环境是内部还是在云服务上构建,当用于测试时,宜应用下列指南保护运行信息的副本:
a) 对测试环境采取与运行环境相同的访问控制规程;
b) 每次将运行信息拷贝到测试环境时有单独的授权;
c) 记录运行信息的复制和使用,以提供审核追踪;
d) 如果用于测试,通过移除或屏蔽(见 8.11)保护敏感信息;
e) 测试完成后立即从测试环境中正确地删除(见 8.10)运行信息,以防止未授权使用测试信息。
测试信息宜安全存储(以防止篡改,否则可能产生无效结果),且仅用于测试目的。
系统和验收测试可能需要大量尽可能接近运行信息的测试信息。
在审计测试中保护信息系统
在审计测试中保护信息系统的属性表见表94。