信息安全管理系统的规范第二部分:信息安全管理系统的规范11. 范围BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。

它指明了将要按照个别机构的需要而实现的安全控制的需求。

注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。

BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。

2. 术语与定义为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明适用于机构的安全要求的目标和控制的批评。

3.信息安全管理系统的要求3.1概要机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。

3.2建立一个管理框架以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一):a) 应定义信息安全策略;b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及技术;c) 应进行合适的风险评估。

风险评估应确认对资产的安全威胁、漏洞及对机构的冲击，从而定出风险的严重程度;d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险;e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制;f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的原因。

以上步骤应定期重复，确定系统的适用性。

23.3实施选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。

3.4文档信息安全管理系统的说明文档应包括以下信息:a) 按照3.2所定的步骤实现的证据;b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制目标和已经实现的安全控制;c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行动;d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关行动。

3.5文档控制机构应建立控制3.4所要求的所有文档的维护程序，以保证文档:a) 随时可用;b) 按照机构的安全策略定期检查并在必要时做出修正;c) 在版本控制下进行维护，保证在有效运作信息安全管理系统的所有地方随时可用;d) 及时去掉过时的内容;e) 标识并且保留过时的、法律需要的、或作为知识储备的部分。

文档应该是清晰可读的、标有日期(及版本日期)的、可以确认的，并且在指定时间内有序维护和保管。

3第一步策略文件定义策略ISMS 的范围定义ISMS 第二步的范围信息资产风险评估威胁、漏洞第三步进行风险评冲击估结果与结论机构的风险管第四步理办法管理这些风所要求达到的险保障程度选定的控制选项此部分的第三第五步段所列的安全选择控制目控制目标和控标以及要实制现的控制不在BS7799的其它安全控制选定的控制目标及控制适用性说明书撰写适用性第六步说明书图一:建立一个管理架构 3.6记录记录，作为信息安全管理系统运行所得结果的证据，应被妥善维护以便证明和BS-7799这4个部分的要求的遵从性对系统和机构来说是合适的，如来访者列表、审计记录、访问的授权等。

机构应建立和维护一套程序来识别、维护、保管和处理这些证明遵从性的记录。

记录应清晰可读、可识别并可追溯到有关活动。

记录的储存及维护应该注意保证随时能用、不被破坏、变坏或丢失。

54.详细监控4.1安全策略4.1.1 信息安全策略目标:为信息安全提供管理方向和支持。

4.1.1.1信息安全策略文档一份策略文档须由管理层所认可，出版并传达到全体员工。

4.1.1.2检查和评价策略须定期检查，并在存在有影响的变化时保持它的适用性。

4.2安全组织4.2.1信息安全基础设施目标:在机构内部管理信息安全。

4.2.1.1 管理层信息安全论坛为了保证有一个清晰的方向和来自管理层的可见的对安全主动性的支持，建立管理层论坛是必要的。

4.2.1.2 信息安全的协调如果从组织的规模方面来说是合适的，则可以建立一个由来自于组织内部有关部门的管理层代表组成的论坛，并被用于协调信息安全控制的实施。

4.2.1.3 信息安全职责的分配对个人资产的保护和执行特定安全过程的责任须应该明确定义。

64.2.1.4 信息处理设施的授权过程新信息处理设施的管理授权过程将被建立起来。

4.2.1.5 专家信息安全建议有关信息安全的建议将由内部人员或外部专家所提供，并且在组织内部沟通交流。

4.2.1.6 各机构之间的协作与法律实施权威、管理机构、信息服务供应商和电讯经营者之间的适当联络将要被维护和保持。

4.2.1.7 信息安全的独立检查信息安全策略的实施将被独立审查。

4.2.2第三方访问的安全目标:维护被第三方访问的信息处理设施和信息资产的安全。

4.2.2.1第三方访问的风险的识别与来自于第三方的对组织的信息处理设施的访问相联系的风险应该被评估，并且合适的安全控制应该被实现。

4.2.2.2在第三方合同中的安全要求有任何涉及第三方访问组织的信息处理设施的安排时，须签订一个正式的包含所有必须的安全要求的合同。

4.2.3外部采购目标:当为了信息处理而需要向外部的其他组织采购时，维持信息的安全。

4.2.3.1 在外购合同中的安全要求在组织外购的安全要求中，全部或部分的信息系统、网络和/或桌面环境的管理和控制须在由双方协商一致的合同中写明。

74.3资产分类与控制4.3.1资产的可说明性目标:维护对组织资产的适度保护。

4.3.1.1资产的盘点所有重要资产的目录应该起草并加以维护。

4.3.2信息分类目标:保证信息资产得到适度的保护4.3.2.1分类方针信息的分类和相关保护控制将会适合于信息共享和限制的商务需要和这些需要对商务的影响。

4.3.2.2信息标签和处理依据该机构采取的信息分类模式，一套信息标签和处理程序应该被定义。

4.4人员安全4.4.1工作定义和资源中的安全目标:减少因人为的错误、偷窃、欺骗或误用设施而引起的风险。

4.4.1.1工作责任的安全在机构的信息安全策略中所制定的安全角色和职责，应该在工作职责定义的适当地方以文件形式确定下来。

4.4.1.2员工筛选和策略确认对长期雇员的检查在工作申请时就已经定义好了。

84.4.1.3保密协议雇员将签订一份保密协议作为他们的最初条款和雇佣条件的一部分。

4.4.1.4雇佣的条款和条件雇佣的条款和条件应该包括雇员在信息安全方面的责任。

4.4.2 用户培训目标:培养用户的信息安全意识，使用户能在日常工作中用团队的安全策略来要求自己。

4.4.2.1 信息安全教育和培训所有的团队员工，以及相关的第三方用户，都应当接收适当的安全策略培训和机构策略和程序的更新。

4.4.3 安全事故与故障的处理目标:把突发安全事故与故障的危害性降到最低，监控并从中吸取教训。

4.4.3.1 报告突发安全事故突发安全事故应通过适当的管理渠道尽快报告出来。

4.4.3.2 报告安全弱点信息服务的使用者应当记录并报告观察到的和可疑的系统或服务的安全弱点或系统面临的威胁。

4.4.3.3 报告软件故障报告软件故障的程序应该建立并遵循。

4.4.3.4 从事故中吸取教训应建立适当的机制来监测和量化突发安全事件的类型、程度和损失。

94.4.3.5 纠正过程员工对团队对安全策略的违反都应当有一个正式的纠正过程。

4.5物理与环境的安全4.5.1 安全地区目标:防止对业务前提和信息的非授权访问、破坏和干扰。

4.5.1.1 物理安全边界应对包含信息处理设施的地区使用安全的边界。

4.5.1.2 物理接口控制安全地区应该通过合适的入口控制进行保护，从而保证只有合法员工才可以访问这些地区。

4.5.1.3 保护办公室、房间和设施应建立安全地区以保护那些有特殊安全需求的办公室、房间和设施。

4.5.1.4 在安全地区工作在安全地区工作时应采取附加的控制和方针来加强由保护安全地区的物理控制所提供的安全性。

4.5.1.5 隔离的运输和装载地区运输和装载地区应该受到控制，如果可能，应该和信息处理设施隔离开来以避免非授权访问。

4.5.2 设备安全目标:防止资产的丢失、破坏，防止商业活动的中断。

4.5.2.1 设备放置地点的选择与保护设备应当安置在合适的地点并受到保护以减少来自环境的威胁，减少被非授权访问的机会。

104.5.2.2 电源供应设备应当为应对电源失败和电力异常而采取适当的保护措施。

4.5.2.3 电缆安全传输数据和支持信息服务的通讯线路和电力线缆应该受到保护以免被侦听和毁坏。

4.5.2.4 设备维护设备应当根据制造商的说明和使用手册来维护，以保证连续性的可靠性和完整性。

4.5.2.5 在机构外部使用设备时应注意的安全性对在机构外部使用的设备应当建立安全程序和控制。

4.5.2.6 设备应该被安全地处理掉和再使用在设备被处理掉和再使用以前应当删除设备含有的所有信息。

4.5.3 一般控制目标:防止信息和信息处理工具遭受危害和被偷窃。

4.5.3.1 清洁桌面与清洁屏幕策略应当制定并执行清洁桌面与清洁屏幕策略，以减少非授权访问、信息的丢失与毁坏。

4.5.3.2 资产的删除属于机构的设备、信息或软件，未经许可不得擅自删除。

4.6通讯与操作的管理4.6.1 操作过程与职责目标:确保对信息处理设备的操作是正确的、安全的。

114.6.1.1 记录操作过程4.1.1.1中描述的安全策略中标出的操作过程应当被记录并得到相应的维护。

4.6.1.2 针对操作变化的控制信息处理工具和系统的任何变化都应当得到控制。

4.6.1.3 事件管理程序应建立必要的事件管理职责和程序以保证对安全事件能做出迅速、有效以及有序的响应。

4.6.1.4 职责分离应对职责进行分离以便于减少对信息和服务的非授权修改和误用。

4.6.1.5 开发设施与操作设施的分离在项目完成过程中应当将开发测试设施和操作设施分离开来。

4.6.1.6 外部设施管理在使用外部设施管理服务之前，应当弄清楚将要面临的风险、采取订约人认可的控制，并合并到合同中。

4.6.2 系统计划与验收目标:使系统失败的风险减到最小。

4.6.2.1 容量计划应当监测系统容量需求，并对未来的系统容量需求做出计划，以确保采用合适的处理能力和存储容量。

4.6.2.2 系统验收应对新的信息系统及其升级及新版本建立验收标准，并采取相应的测试。

124.6.3 针对恶意软件的防护目标:保护软件及信息的完整性。

4.6.3.1 采取控制来防范恶意软件使用探测与防范措施来防止恶意软件的侵害，并实现合适的提高用户警觉性的程序。

4.6.4 内务处理目标:维护在信息处理和通讯服务中的数据完整性和可靠性。