ISO27001认证培训——ISO27002:2013信息安全控制实用守则之信息安全组织

来源:本站 作者:ADMIN 发布时间:2017-08-10

6 信息安全组织

6.1 内部组织

目标:建立一个管理框架,发起和控制组织内信息安全的实施和运行。

6.1.1 信息安全角色和职责(原 6.1.3)

控制措施

所有的信息安全职责应被定义和分配。

实施指南

信息安全职责的分配应和信息安全方针(见 5.1.1)相一致。各个资产的保护和执行特定安全过程的职责应被清晰的识别。信息安全风险管理活动的职责,特别是残余风险的接受被定义。这些职责应在必要时加以补充,为特定场所和信息处理设施提供更详细的指南。资产保护和执行特定安全过程的局部职责应予以清晰地定义。

分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并且他们应能够确定任何被委托的任务已被正确地执行。个人负责的领域要予以清晰地规定;特别是,应进行下列工作:

a) 资产和信息安全过程应予以识别并清晰地定义;

b) 应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见8.1.2);

c) 授权级别应清晰地予以定义,并形成文件;

d) 被指定为在信息安全领域能履行职责的个人,应在这个领域有能力并给出最新发展的机会;

e) 供应商关系信息安全方面的协调和监管应被确定并形成文档。

其它信息

许多组织任命一名信息安全管理人员全面负责信息安全的开发和实施,并支持控制措施的识别。然而,资源和实施控制措施的职责归于个别的管理人员。一种通常的做法是对每一资产指定一名所有人,他也就对该信息资产的日常保护负责。

6.1.2 职责分离(原 10.1.3)

控制措施

冲突的职责和权限应被分开,减少对组织资产未经授权或无意的修改或误用。

实施指南

应注意,在无授权或未被监测时,应使个人不能访问、修改或使用资产。事件的启动要与其授权分离。勾结的可能性应在设计控制措施时予以考虑。小型组织可能感到难以实现这种责任分割,但就可能性和可行性来说,该原则是适用的。如果难以分割,应考虑其他控制措施,例如对活动的监视、审计跟踪和管理监督应被考虑。

其它信息

职责分离是减小无意或有意滥用组织资产的一个方法。

6.1.3 与监管机构的联系(原 6.1.6)

控制措施

应与监管机构保持适当的联系。

实施指南

组织应有程序指明什么时候应当与哪个部门(例如,执法部门、监管团体、监管机构)联系,以及如何确认信息安全事件及时的报告(如,怀疑可能触犯了法律时)。

其它信息

来自互联网攻击下的组织,可能需要授权采取行动来抵制攻击源。保持这样的联系可能是支持信息安全事件管理(第 16)或业务连续性和应急计划过程(第 17)的要求。与监管团体的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做好准备。与其他监管部门的联系包括公共事业、应急服务、电力供应、健康和安全等。如,消防部门(业务连续性连接有关)、电信提供商(与路由连接性和可用性有关)、供水部门(与设备的冷却设施有关)。

6.1.4与特定利益集团的联系(原 6.1.7)

控制措施

与特殊权益团体、其他专业安全论坛和行业协会保持适当联系。

实施指南

应考虑成为特定利益集团或论坛的成员,以便:

a) 增进对最佳实践和最新相关安全信息的了解;

b) 确保当前的信息安全环境的了解是最近的和完整的;

c) 尽早收到关于攻击和脆弱性的预警、建议和补丁;

d) 获得信息安全专家的建议;

e) 分享和交换关于新的技术、产品、威胁或脆弱性的信息;

f)  提供处理信息安全事件时适当的联络点(见 16)。

其它信息

建立信息共享协议来改进安全问题的协作和协调。这种协议应识别出保护保密信息的要求。

6.1.5项目管理中的信息安全(新增)

控制措施

信息安全应融入项目管理中,与项目类型无关。

实施指南

信息安全应被集成到组织的项目管理方法中,以确保信息安全风险被识别并以项目的一部分被处理。这个一般应用到任何项目中,不管项目的性质,如,核心业务过程的项目、IT、设备管理和其它的支持过程。使用的项目管理方法应要求:

a) 信息安全目标包含在项目目标中;

b) 一个信息安全风险评估被执行在项目的早期阶段,以识别必要的控制措施;

c) 信息安全是应用项目方法所有阶段的一部分。

信息安全影响在所有项目中应被处理并定期评审。信息安全的职责应被定义并分配给

项目管理方法中定义的特定的角色。

6.2移动设备和远程工作

目标:确保远程工作和移动设备使用的安全。

6.2.1移动设备策略(原 11.7.1)

控制措施

一个策略和配套的安全措施应被采用,以管理使用移动设备带来的风险。

实施指南

当使用移动设备时,应特别小心以确保业务信息不被破坏。移动设备策略应考虑到在不受保护的环境下使用移动设备工作的风险。

移动设备策略应考虑:

a) 移动设备的注册;

b) 物理保护的要求;

c) 软件安装的限制;

d) 移动设备软件版本和应用补丁的要求;

e) 连接到信息服务的限制;

f) 访问控制;

g) 密码技术;

h) 恶意软件保护;

i) 远程禁用、删除或锁定;

j) 备份;

k) Web 服务和 web 应用的使用。

在公共场所、会议室和其它未受保护的区域使用移动设备时应特别小心。应保护在这些场所的设备避免未授权访问或泄露这些设施所存储和处理的信息,如,使用密码技术(见10)和强制使用秘密身份认证信息(见 9.2.4)。移动设备也应物理保护,避免被盗,尤其当离开(如,在汽车和其它运输形式、宾馆、会议中心和会议室)的时候。一个明确的程序应被建立,考虑法律、保险和组织的其它安全要求,在移动设备被盗或丢失的情况下。设备携带重要的、敏感的或关键的业务信息,不应离开无人看管,如果可能,应物理上锁带离或特殊锁应被使用来保护这个设备。对于使用移动计算设施的人员应安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且应实施控制措施。移动设备策略允许拥有移动设备的个人使用的地方,这个策略和相关安全测量也应考虑:

a) 设备个人和业务使用分离,包括使用软件来支持分离和保护个人设备上的业务数据;

b) 提供对业务信息的访问,仅当用户签署一个终端用户协议了解他们的职责之后(物理保护、软件更新等),宣布放弃业务数据的所有权、在设备被盗或丢失的情况下允许由组织远程擦去数据,或当不再被授权使用这个设备的时候。这个策略需要考虑隐私法。

其它信息

移动设备无线网络连接类似于其他类型的网络连接,但在确定控制措施时,应考虑两者的重要区别。典型的区别有:

a) 一些无线安全协议是不成熟的,并有已知的弱点;

b) 存储在移动设备上信息可能不能备份,因为受限的网络带宽和/或因为移动设备在规定的备份时间不能进行连接。移动设备通常共享普通的功能,如网络、互联网访问、e-mail 和文件处理,固定的使用设备。移动设备信息安全控制措施通常由采用那些固定使用设备和那些在组织附属建筑外的使用的威胁增加的设备。

6.2.2远程工作(原 11.7.2)

控制措施

应实施策略和配套的安全措施来保护信息被访问、被处理或被存储在远程工作站点。

实施指南

组织允许远程工作活动应发布一个策略,定义使用远程工作的条件和限制。被视为合适的和由法律允许的地方,应考虑下面的问题:

a) 远程工作场地的现有物理安全,要考虑到建筑物和本地环境的物理安全;

b) 推荐的物理的远程工作环境;

c) 通信安全要求,要考虑远程访问组织内部系统的需要、被访问的并且在通信链路

上传递的信息的敏感性,以及内部系统的敏感性;

d) 预防私有设备上处理和存储信息的虚拟桌面访问的规定

e) 未授权访问信息或由其它人使用住宿的资源的威胁,如,家人和朋友;

f) 家庭网络的使用和无线网络服务配置的要求或限制;

g) 针对私有设备开发的预防知识产权争论的策略和程序;

h) 法律禁止的对私有设备的访问(检查机器安全或在调查期间);

i) 使组织对雇员或外部团体用户私人拥有的工作站上的客户端软件负有责任的软件许可协议;

j) 恶意软件保护和防火墙要求。

要考虑的指南和安排应包括:

a) 当不允许使用不在组织控制下的私有设备时,对远程工作活动提供合适的设备和存储设施;

b) 确定允许的工作、工作小时数、可以保持的信息分类和授权远程工作者访问的内部系统和服务;

c) 提供适合的通信设备,包括使远程访问安全的方法;

d) 物理安全;

e) 有关家人和来宾访问设备和信息的规则和指南;

f) 硬件和软件支持和维护的规定;

g) 保险的规定;

h) 用于备份和业务连续性的程序;

i) 审计和安全监视;

j) 当远程工作活动终止时,撤销授权和访问权,并返回设备。

其它信息

远程工作指的是各种形式的办公室外面,包括非传统的工作环境, 如那些被称为“远程办公”,“灵活的工作场所”,“远程工作”和“虚拟网络” 环境。

凡来源为本站的文章,版权为本站所有,转载请注明出处!
肯达信,中国最专业的威廉希尔手机版咨询威廉希尔手机版辅导机构,助您顺利通过威廉希尔手机版
客服中心

您好,我是肯达信管理顾问公司客服,欢迎咨询!

廖幼灵

您好,我是肯达信管理顾问公司客服,欢迎咨询!

陈容珍

您好,我是肯达信管理顾问公司客服,欢迎咨询!

杨老师

您好,我是肯达信管理顾问公司客服,欢迎咨询!

王老师

面向全国客户服务热线

400-690-0031

24小时热线

18575592846


展开客服