17.1.2 信息安全管理的内容（1）

ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准，它包括ISO/IEC27001《信息技术。安全技术。信息安全管理体系。要求》、ISO/IEC27002《信息技术一安全技术·信息安全管理体系·实践准则》等系列标准。ISO/IEC27000系列标准是当前全球业界信息安全管理实践的最新总结，为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。

在ISO/IEC27000系列标准中，它将信息安全管理的内容主要概括为如下11个方面。

1.信息安全方针与策略

为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略，并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。

2.组织信息安全

要建立管理框架。以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。需要时，在组织范围内建立信息安全希赛网库，发展与外部安全希赛网或组织（包括相关政府机构）的联系，以便跟上行业发展趋势、跟踪标准和评估方法，并在处理信息安全事件时，提供合适的联络渠道，并鼓励多学科的信息安全方法。

同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。

若业务上需要与外部各方一起工作从而要求访问组织的信息和信息处理设施，或从外部各方获得产品或服务或向外部各方提供产品和服务时，就需要进行风险评估，以确定安全隐患和控制要求。在与外部各方签订的合同中要定义和商定控制措施。

3.资产管理

要对组织资产实现并维持适当的保护。

所有资产均应有人负责，并有指定的所有者。对于所有资产均要识别所有者，并且要赋予维护相应控制的职责。具体控制的实施可以由所有者委派适当的人员承担，但所有者仍拥有对资产提供适当保护的责任。

要确保信息可以碍到适当程度的保护。

应对信息进行分类，以便在信息处理时指明保护的需求、优先级和期望程度。信息的敏感度和关键度是可变的。某些信息可能需要额外的保护或特别的处理。应使用信息分类机制来定义适宜的保护水准和沟通特别处理措施的需求。

4.人力资源安全

要确保员工、合同方和第三方用户了解他们的责任并适合于其岗位，从而减少盗窃、滥用或设施误用的风险。应在雇佣前就在岗位描述、雇用条款和条件中明确安全职责。

所有的应聘人员，包括员工、合同方和第三方用户，特别是敏感岗位的人员，应进行充分的筛查。员工、合同方和信息处理设施的第三方用户均应就其安全角色和职责签署协议。

应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点，以及他们的责任和义务，并在他们的日常工作中能够支持组织的信息安全方针，减少人为错误的风险。应确定管理职责来确保安全应用于组织内个人的整个雇佣期。为尽可能减小安全风险，应对所有雇员、合同方和第三方用户提供关于安全程序以及正确使用信息处理设施的意识、教育和培训。并针对信息安全违规事件建立正式的处罚过程。

最后，要确保员工、合同方和第三方用户以一种有序的方式离开组织或工作变更。应建立职责确保员工、合网方和第三方用户的离开组织是受控的，并确保他们已归还所有设备并删除所有的访问权限。对于组织内的职责或工作变更也应参照上述做法实行类似管理。

5.物理和环境安全

应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。关键或敏感的信息处理设施要放置在安全区域内，并受到确定的安全边界的保护，包括采用适当的安全屏障和入口控制。这些设施要在物理上避免未授权的访问、损坏和干扰。所提供的保护与所识别的风险相匹配。

应防止资产的丢失、损坏、被盗和破坏，以及对组织业务活动的中断。应保护设备免受物理和环境的威胁。要对设备（包括非公司现场的设备和迁出的设备）进行保护以减少未授权访问信息的风险并防止丢失或损坏，同时要考虑设备安置和处置。设置专门的控制措施来防止物理威胁以及保护支持性设施，诸如电源供应和电缆基础设施。

6.通信和操作安全

确保信息处理设施的正确和安全操作。应建立所有信息处理设施的管理和操作的职责与程序，包括建立适宜的操作程序。适宜时，应实施职责分离，以减少疏忽或故意误用系统的风险。

应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施，监视协议执行的一致性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。

应最小化系统失效的风险。为确保足够能力和资源的可用性以提烘所需的系统性能，需要预先的策划和准备。应做出对于未来容量需求的规划，以减少系统过载的风险。在新系统验收和使用之前，要建立该新系统的运行要求，并形成文件，进行测试。

应保护软件和信息的完整性。要求有预防措施，以防范和探测恶意代码和未授权的移动代码的引入。软件和信息处理设施容易受到恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹）的攻击。要让用户意识到恶意代码的危险。适用时，管理者要引入控制，以防范、探测井删除恶意代码，并控制移动代码。

应保持信息和信息处理设施的完整性和可用性。应建立例行程序来执行商定的针对数据备份以及及时恢复演练的备份策略和战略。

应确保网络中的信息和支持性基础设施得到保护。网络安全管理可能会跨越组织边界，需要仔细考虑数据流动、法律要求、监视和保护。在数据通过公共网络进行传输时要提供额外的保护。

应防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的中断。应控制介质，并对其实施物理保护。应建立适当的操作程序以保护文件、计算机介质（如磁带、磁盘）、输入输出数据和系统文档免遭未授权的泄露、修改、删除或破坏。

应维持组织内部或组织与外部组织之间交换信息和软件的安全。组织间佶息和软件的交换应基于一个正式的交换策略，按照交换协议执行，还应服从任何相关的法律。

应建立程序和标准，以保护传输中的信息和包含信息的物理介质。

应确保电子商务的安全及其安全使用。应考虑与使用电子商务服务包括在线交易相关的安全要求和控制措施要求。还应考虑通过公开可用系统以电子方式发布的信息的完整性和可用性。

应探测未经授权的信息处理活动。应监视系统并记录信息安全事件。应使用操作员日志和故障日志以确保识别出信息系统的问题。一个组织的监视和日志记录活动应遵守所有相关法律的要求。应通过监视系统来检查所采用控制措施的有效性，并验证与访问策略模型的一致性。

       返回目录：系统集成项目管理工程师教程全书汇总

 返回章节目录：系统集成项目经理教程第十七章信息系统安全管理汇总

 编辑推荐：

 系统集成项目管理工程师考试大纲

 项目经理培训