信息安全管理实用规则(27002)

信息技术 安全技术 信息安全管理实用规则

Information technology-Security techniques -Code of practice for information security management

（ISO/IEC 17799：2005）

目 次

引 言 ................................................................... III 0.1 什么是信息安全？ ..................................................... III 0.2 为什么需要信息安全？ ................................................. III 0.3 如何建立安全要求 ..................................................... III 0.4 评估安全风险 .......................................................... IV 0.5 选择控制措施 .......................................................... IV 0.6 信息安全起点 .......................................................... IV 0.7 关键的成功因素 ......................................................... V 0.8 开发你自己的指南 ....................................................... V 1 范围....................................................................... 1 2 术语和定义 ................................................................. 1 3 本标准的结构 ............................................................... 2 3.1 章节 ................................................................... 2 3.2 主要安全类别 ........................................................... 3 4 风险评估和处理 ............................................................. 3 4.1 评估安全风险 ........................................................... 3 4.2 处理安全风险 ........................................................... 4 5 安全方针 ................................................................... 4 5.1 信息安全方针 ........................................................... 4 6 信息安全组织 ............................................................... 6 6.1 内部组织 ............................................................... 6 6.2 外部各方 .............................................................. 10 7 资产管理 .................................................................. 15 7.1 对资产负责 ............................................................ 15 7.2 信息分类 .............................................................. 16 8 人力资源安全 .............................................................. 18 8.1 任用之前 .............................................................. 18 8.2 任用中 ................................................................ 20 8.3 任用的终止或变化 ...................................................... 21 9 物理和环境安全 ............................................................ 23 9.1 安全区域 .............................................................. 23 9.2 设备安全 .............................................................. 26 10 通信和操作管理 ........................................................... 29 10.1 操作程序和职责 ....................................................... 29 10.2 第三方服务交付管理 ................................................... 32 10.3 系统规划和验收 ....................................................... 33 10.4 防范恶意和移动代码 ................................................... 34 10.5 备份 ................................................................. 36 10.6 网络安全管理 ......................................................... 37 10.7 介质处置 ............................................................. 38 10.8 信息的交换 ........................................................... 40

I

10.9 电子商务服务 ......................................................... 44 10.10 监视 ................................................................ 46 11 访问控制 ................................................................. 50 11.1 访问控制的业务要求 ................................................... 50 11.2 用户访问管理 ......................................................... 51 11.3 用户职责 ............................................................. 53 11.4 网络访问控制 ......................................................... 55 11.5 操作系统访问控制 ..................................................... 58 11.6 应用和信息访问控制 ................................................... 62 11.7 移动计算和远程工作 ................................................... 63 12 信息系统获取、开发和维护 ................................................. 65 12.1 信息系统的安全要求 ................................................... 65 12.2 应用中的正确处理 ..................................................... 66 12.3 密码控制 ............................................................. 68 12.4 系统文件的安全 ....................................................... 70 12.5 开发和支持过程中的安全 ............................................... 72 12.6 技术脆弱性管理 ....................................................... 75 13 信息安全事件管理 ......................................................... 76 13.1 报告信息安全事态和弱点 ............................................... 76 13.2 信息安全事件和改进的管理 ............................................. 78 14 业务连续性管理 ........................................................... 80 14.1 业务连续性管理的信息安全方面 ......................................... 80 15 符合性 ................................................................... 84 15.1 符合法律要求 ......................................................... 84 15.2 符合安全策略和标准以及技术符合性 ..................................... 87 15.3 信息系统审核考虑 ..................................................... 88

II

引 言

0.1 什么是信息安全？

象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关于信息系统和网络的安全的OECD指南）。

信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。

信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。

信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。

0.2 为什么需要信息安全？

信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。

各组织及其信息系统和网络面临来自各个方面的安全威胁，包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁，已经变得更加普遍、更有野心和日益复杂。

信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者，例如实现电子政务或电子商务，避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。

许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的，应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与，还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。

0.3 如何建立安全要求

组织识别出其安全要求是非常重要的，安全要求有三个主要来源： 1、

一个来源是在考虑组织整体业务战略和目标的情况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。

2、

另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、

III

规章和合同要求，以及他们的社会文化环境。

3、

第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。

0.4 评估安全风险

安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。

风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。

风险评估应定期进行，以应对可能影响风险评估结果的任何变化。 更多的关于安全风险评估的信息见第4.1节“评估安全风险”。

0.5 选择控制措施

一旦安全要求和风险已被识别并已作出风险处理决定，则应选择并实现合适的控制措施，以确保风险降低到可接受的级别。控制措施可以从本标准或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所作出的决定，该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法，同时还要遵守所有相关的国家和国际法律法规。

本标准中的某些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组织。下面在题为“信息安全起点”中将更详细的解释这些控制措施。

更多的关于选择控制措施和其他风险处理选项的信息见第4.2节“处理安全风险”。

0.6 信息安全起点

许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求，或者被认为是信息安全的常用惯例。

从法律的观点看，对某个组织重要的控制措施包括，根据适用的法律： a) 数据保护和个人信息的隐私（见15.1.4）； b) 保护组织的记录（见15.1.3）； c) 知识产权（见15.1.2）。

被认为是信息安全的常用惯例的控制措施包括： a) 信息安全方针文件（见5.1.1）； b) 信息安全职责的分配（见6.1.3）； c) 信息安全意识、教育和培训（见8.2.2）； d) 应用中的正确处理（见12.2）； e) 技术脆弱性管理（见12.6）； f) 业务连续性管理（见14）；

g) 信息安全事件和改进管理（见13.2）。 这些控制措施适用于大多数组织和环境。

IV

应注意，虽然本标准中的所有控制措施都是重要的并且是应被考虑的，但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此，虽然上述方法被认为是一种良好的起点，但它并不能取代基于风险评估而选择的控制措施。

0.7 关键的成功因素

经验表明，下列因素通常对一个组织成功地实现信息安全来说，十分关键： a) 反映业务目标的信息安全方针、目标以及活动；

b) 和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架； c) 来自所有级别管理者的可视化的支持和承诺； d) 正确理解信息安全要求、风险评估和风险管理；

e) 向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识； f) 向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见； g) 提供资金以支持信息安全管理活动； h) 提供适当的意识、培训和教育； i) 建立一个有效的信息安全事件管理过程；

j) 实现一个测量1系统，它可用来评价信息安全管理的执行情况和反馈的改进建议。

0.8 开发你自己的指南

本实用规则可认为是组织开发其详细指南的起点。对一个组织来说，本实用规则中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的相互参考可能是有用的。

1

注意信息安全测量不在本标准范围内。

V

信息技术 安全技术 信息安全管理实用规则

1 范围

本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。

本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。本标准可作为建立组织的安全准则和有效安全管理惯例的实用指南，并有利于在组织间的活动中建立信心。

2 术语和定义

下列术语和定义适用于本标准。 2.1 资产 asset

对组织有价值的任何东西[ISO/IEC 13335-1:2004]。 2.2 控制措施 control

管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。

注：控制措施也用于防护措施或对策的同义词。 2.3 指南 guideline

阐明应做什么和怎么做以达到方针策略中制定的目标的描述[ISO/IEC TR 13335-1：2004]

2.4 信息处理设施 information processing facilities

任何信息处理系统、服务或基础设施，或放置它们的场所 2.5 信息安全 information security

保持信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等

2.6 信息安全事态 information security event

信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]

2.7 信息安全事件 information security incident

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044：2004] 2.8 方针 policy

管理者正式发布的总的宗旨和方向

1

2.9 风险 risk

事件的概率及其结果的组合[ISO/IEC Guide 73：2002] 2.10 风险分析 risk analysis

系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002] 2.11 风险评估 risk assessment

风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002] 2.12 风险评价 risk evaluation

将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]

2.13 风险管理 risk management

指导和控制一个组织相关风险的协调活动

注：风险管理一般包括风险评估、风险处理、风险接受和风险传递[ISO/IEC Guide 73：2002]

2.14 风险处理 risk treatment

选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002] 2.15 第三方 third party

就所涉及的问题被公认为是独立于有关各方的个人或机构[ISO Guide 2：1996] 2.16 威胁 threat

可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IEC TR 13335-1：2004]

2.17 脆弱性 vulnerability

可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IEC TR 13335-1：2004]

3 本标准的结构

本标准包括11个安全控制措施的章节（共含有39个主要安全类别）和1个介绍风险评估和处理的章节。

3.1 章节

每一章包含多个主要安全类别。11个章节（连同每一章中所包含的主要安全类别的数量）是：

a) 安全方针（1）； b) 信息安全组织（2）； c) 资产管理（2）； d) 人力资源安全（3）； e) 物理和环境安全（2）；

2

f) 通信和操作管理（10）； g) 访问控制（7）；

h) 信息系统获取、开发和维护（6）； i) 信息安全事件管理（2）； j) 业务连续性管理（1）； k) 符合性（3）。

注：本标准中章节的顺序不表示其重要性。根据不同的环境，所有章节都可能是重要的，因此应用本标准的每一个组织应识别适用的章节及其重要性，以及它们对各个业务过程的适用性。另外，本标准的排列均没有优先顺序，除非另外注明。

3.2 主要安全类别

每一个主要安全类别包含：

a) 一个控制目标，声明要实现什么；

b) 一个或多个控制措施，可被用于实现该控制目标。 控制措施的描述结构如下： 控制措施

定义满足控制目标的特定的控制措施的陈述。 实施指南

为支持控制措施的实施和满足控制目标，提供更详细的信息。本指南的某些内容可能不适用于所有情况，所以其他实现控制措施的方法可能更为合适。 其它信息

提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的引用。

4 风险评估和处理 4.1 评估安全风险

风险评估应对照风险接受准则和组织相关目标，识别、量化并区分风险的优先次序。风险评估的结果应指导并确定适当的管理措施及其优先级，以管理信息安全风险和实施为防范这些风险而选择的控制措施。评估风险和选择控制措施的过程可能需要执行多次，以覆盖组织的不同部门或各个信息系统。

风险评估应包括估计风险大小的系统方法（风险分析），和将估计的风险与给定的风险准则加以比较，以确定风险严重性的过程（风险评价）。

风险评估还应定期进行，以应对安全要求和风险情形的变化，例如资产、威胁、脆弱性、影响，风险评价；当发生重大变化时也应进行风险评估。风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。

为使信息安全风险评估有效，它应有一个清晰定义的范围。如果合适，应包括与其他领域风险评估的关系。

3

如果可行、实际和有帮助，风险评估的范围既可以是整个组织、组织的一部分、单个信息系统、特定的系统部件，也可以是服务。风险评估方法的例子在ISO/IEC TR 13335-3《IT安全管理指南：IT安全管理技术》中讨论。

4.2 处理安全风险

在考虑风险处理前，组织应确定风险是否能被接受的准则。如果经评估显示，风险较低或处理成本对于组织来说不划算，则风险可被接受。这些决定应加以记录。

对于风险评估所识别的每一个风险，必须作出风险处理决定。可能的风险处理选项包括：

a) 应用适当的控制措施以降低风险；

b) 只要它们满足组织的方针和风险接受准则，则要有意识的、客观的接受该风险； c) 通过禁止可能导致风险发生的行为来避免风险； d) 将相关风险转移到其他方，例如，保险或供应商。

对风险处理决定中要采用适当的控制措施的那些风险来说，应选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下，将风险降低到可接受级别：

a) 国家和国际法律法规的要求和约束； b) 组织的目标； c) 运行要求和约束；

d) 降低风险相关的实施和运行的成本，并使之与组织的要求和约束保持相称； e) 平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要。

控制措施可以从本标准或其他控制集合中选择，或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用，并且不是对所有组织都可行，这一点非常重要。例如，10.1.3描述如何分割责任，以防止欺诈或错误。在较小的组织中分割所有责任是不太可能的，实现同一控制目标的其他方法可能是必要的。另外一个例子，10.10描述如何监视系统使用及如何收集证据。所描述的控制措施，例如事件日志，可能与适用的法律相冲突，诸如顾客或在工作场地内的隐私保护。

信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案，最坏的情况下可能达不到足够的安全。

应该牢记，没有一个控制措施集合能实现绝对的安全，为支持组织的目标，应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。

5 安全方针 5.1 信息安全方针 目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。 管理者应根据业务目标制定清晰的方针指导，并通过在整个组织中颁布和维护信息安全方4

针来表明对信息安全的支持和承诺。 5.1.1 信息安全方针文件

控制措施

信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 实施指南

信息安全方针文件应说明管理承诺，并提出组织的管理信息安全的方法。方针文件应包括以下声明：

a) 信息安全、整体目标和范围的定义，以及在允许信息共享机制下安全的重要性（见

引言）；

b) 管理者意图的声明，以支持符合业务战略和目标的信息安全目标和原则； c) 设置控制目标和控制措施的框架，包括风险评估和风险管理的结构；

d) 对组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明，包括：

1) 符合法律法规和合同要求； 2) 安全教育、培训和意识要求； 3) 业务连续性管理；

4) 违反信息安全方针的后果；

e) 信息安全管理（包括报告信息安全事件）的一般和特定职责的定义；

f) 对支持方针的文件的引用，例如，特定信息系统的更详细的安全方针策略和程序，

或用户应遵守的安全规则。

应以预期读者适合的、可访问的和可理解的形式将本信息安全方针传达给整个组织的用户。 其它信息

信息安全方针可能是总体方针文件的一部分。如果信息安全方针在组织外进行分发，应注意不要泄露敏感信息。更多信息参见ISO/IEC 13335-1：2004。

5.1.2 信息安全方针的评审

控制措施

应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。 实施指南

信息安全方针应有专人负责，他负有安全方针制定、评审和评价的管理职责。评审应包括评估组织信息安全方针改进的机会，和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。

信息安全方针评审应考虑管理评审的结果。要定义管理评审程序，包括时间表或评审周期。

管理评审的输入应包括以下信息：

5

a) 相关方的反馈；

b) 独立评审的结果（见6.1.8）；

c) 预防和纠正措施的状态（见6.1.8和15.2.1）； d) 以往管理评审的结果；

e) 过程执行情况和信息安全方针符合性；

f) 可能影响组织管理信息安全的方法的变更，包括组织环境、业务状况、资源可用

性、合同、规章，和法律条件或技术环境的变更。 g) 威胁和脆弱性的趋势；

h) 已报告的信息安全事件（见13.1）； i) 相关专家的建议（见6.1.6）。

管理评审的输出应包括与以下方面有关的任何决定和措施： a) 组织管理信息安全的方法和它的过程的改进； b) 控制目标和控制措施的改进 c) 资源和/或职责分配的改进。 管理评审的记录应被维护。

应获得管理者对修订的方针的批准。

6 信息安全组织 6.1 内部组织 目标：在组织内管理信息安全。 应建立管理框架，以启动和控制组织范围内的信息安全的实施。 管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。 若需要，要在组织范围内建立专家信息安全建议库，并在组织内可用。要发展与外部安全专家或组织（包括相关权威人士）的联系，以便跟上行业趋势、跟踪标准和评估方法，并且当处理信息安全事件时，提供合适的联络点。应鼓励采用多学科方法，解决信息安全问题。 6.1.1 信息安全的管理承诺

控制措施

管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。 实施指南

管理者应：

a) 确保信息安全目标得以识别，满足组织要求，并已被整合到相关过程中； b) 制定、评审、批准信息安全方针； c) 评审信息安全方针实施的有效性；

6

d) 为安全启动提供明确的方向和管理者明显的支持； e) 为信息安全提供所需的资源；

f) 批准整个组织内信息安全专门的角色和职责分配； g) 启动计划和程序来保持信息安全意识；

h) 确保整个组织内的信息安全控制措施的实施是相互协调的（见6.1.2）。 管理者应识别对内外部专家的信息安全建议的需求，并在整个组织内评审和协调专家建议结果。

根据组织的规模不同，这些职责可以由一个专门的管理协调小组或由一个已存在的机构（例如董事会）承担。 其它信息

更多内容可参考ISO/IEC 13335-1：2004。

6.1.2 信息安全协调

控制措施

信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 实施指南

典型的，信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员，以及保险、法律、人力资源、IT或风险管理等领域专家的协调和协作。这些活动应：

a) 确保安全活动的实施与信息安全方针相一致； b) 确定如何处理不符合项；

c) 核准信息安全的方法和过程，例如风险评估、信息分类； d) 识别重大的威胁变更和暴露于威胁下的信息和信息处理设施； e) 评估信息安全控制措施实施的充分性和协调性； f) 有效地促进整个组织内的信息安全教育、培训和意识；

g) 评价在信息安全事件的监视和评审中获得的信息，推荐适当的措施响应识别的信

息安全事件。

如果组织没有使用一个独立的跨部门的小组，例如因为这样的小组对组织规模来说是不适当的，那么上面描述的措施应由其它合适的管理机构或单独管理人员实施。

6.1.3 信息安全职责的分配

控制措施

所有的信息安全职责应予以清晰地定义。 实施指南

信息安全职责的分配应和信息安全方针（见第42章）相一致。各个资产的保护和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补充，来为特定地点和信

2

译者认为应该是第5章。

7

息处理设施提供更详细的指南。资产保护和执行特定安全过程（诸如业务连续性计划）的局部职责应予以清晰地定义。

分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此，他们仍然负有责任，并且他们应能够确定任何被委托的任务是否已被正确地执行。

个人负责的领域要予以清晰地规定；特别是，应进行下列工作： a) 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义；

b) 应分配每一资产或安全过程的实体职责，并且该职责的细节应形成文件（见

7.1.2）；

c) 授权级别应清晰地予以定义，并形成文件。 其它信息

在许多组织中，将任命一名信息安全管理人员全面负责安全的开发和实施，并支持控制措施的识别。

然而，提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是对每一资产指定一名责任人，他也就对该信息资产的日常保护负责。

6.1.4 信息处理设施的授权过程

控制措施

新信息处理设施应定义和实施一个管理授权过程。 实施指南

授权过程应考虑下列指南：

a) 新设施要有适当的用户管理授权，以批准其用途和使用；还要获得负责维护本地

系统安全环境的管理人员授权，以确保所有相关的安全方针策略和要求得到满足；

b) 若需要，硬件和软件应进行检查，以确保它们与其他系统组件兼容；

c) 使用个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备）处理业

务信息，可能引起新的脆弱性，因此应识别和实施必要的控制措施。

6.1.5 保密性协议

控制措施

应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 实施指南

保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄露协议的要求，需考虑下列因素：

a) 定义要保护的信息（如机密信息）；

b) 协议的期望持续时间，包括不确定的需要维持保密性的情形； c) 协议终止时所需的措施；

d) 为避免未授权信息泄露的签署者的职责和行为 （即“需要知道的”）

8

e) 信息所有者、商业秘密和知识产权，以及他们如何与机密信息保护相关联； f) 机密信息的许可使用，及签署者使用信息的权力； g) 对涉及机密信息的活动的审核和监视权力； h) 未授权泄露或机密信息破坏的通知和报告过程； i) 关于协议终止时信息归档或销毁的条款； j) 违反协议后期望采取的措施。

基于一个组织的安全要求，在保密性或不泄露协议中可能需要其他因素。

保密性和不泄露协议应针对它适用的管辖范围（也见15.1.1）遵循所有适用的法律法规。

保密性和不泄露协议的要求应进行周期性评审，当发生影响这些要求的变更时，也要进行评审。 其它信息

保密性和不泄密协议保护组织信息，并告知签署者他们的职责，以授权、负责的方式保护、使用和公开信息。

对于一个组织来说，可能需要在不同环境中使用保密性或不泄密协议的不同格式。

6.1.6 与政府部门的联系

控制措施

应保持与政府相关部门的适当联系。 实施指南

组织应有规程指明什么时候应当与哪个部门（例如，执法部门、消防局、监管部门）联系，以及怀疑已识别的信息安全事件可能触犯了法律时，应如何及时报告。

受到来自互联网攻击的组织可能需要外部第三方（例如互联网服务提供商或电信运营商）采取措施以应对攻击源。 其它信息

保持这样的联系可能是支持信息安全事件管理（第13.2节）或业务连续性和应急规划过程（第14章）的要求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化，并为这些变化做好准备。与其他部门的联系包括公共部门、紧急服务和健康安全部门，例如消防局（与14章的业务连续性有关）、电信提供商（与路由和可用性有关）、供水部门（与设备的冷却设施有关）。

6.1.7 与特定利益集团的联系

控制措施

应保持与特定利益集团、其他安全专家组和专业协会的适当联系。 实施指南

应考虑成为特定利益集团或安全专家组的成员，以便： a) 增进对最佳实践和最新相关安全信息的了解；

9

b) 确保全面了解当前的信息安全环境；

c) 尽早收到关于攻击和脆弱性的预警、建议和补丁； d) 获得信息安全专家的建议；

e) 分享和交换关于新的技术、产品、威胁或脆弱性的信息； f) 提供处理信息安全事件时适当的联络点（见13.2.1）。 其它信息

建立信息共享协议来改进安全问题的协作和协调。这种协议应识别出保护敏感信息的要求。

6.1.8 信息安全的独立评审

控制措施

组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。 实施指南

独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性和有效性，这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要，包括方针和控制目标。

这样的评审应由独立于被评审范围的人员执行，例如内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。

独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。 如果独立评审识别出组织管理信息安全的方法和实施不充分，或不符合信息安全方针文件（见5.1.1）中声明的信息安全的方向，管理者应考虑纠正措施。 其它信息

对于管理人员应定期评审（15.2.1）的范围也可以独立评审。评审方法包括会见管理者、检查记录或安全方针文件的评审。ISO 19011：2002，质量和/或环境管理体系审核指南，也提供实施独立评审的有帮助的指导信息，包括评审方案的建立和实施。15.3详细说明了与运行的信息系统独立评审相关的控制和系统审核工具的使用。

6.2 外部各方 目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。 任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。 若有与外部方一起工作的业务需要，它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务，或提供给外部方一个产品和服务，应进行风险评估，以确定涉及安全的方面和控制要求。在与外部方签订的合同中要商定和定义控制措施。 10

6.2.1 与外部各方相关风险的识别

控制措施

应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。 实施指南

当需要允许外部方访问组织的信息处理设施或信息时，应实施风险评估（见第4章）以识别特定控制措施的要求。关于外部方访问的风险的识别应考虑以下问题：

a) 外部方需要访问的信息处理设施；

b) 外部方对信息和信息处理设施的访问类型，例如：

1) 物理访问，例如进入办公室，计算机机房，档案室； 2) 逻辑访问，例如访问组织的数据库，信息系统；

3) 组织和外部方之间的网络连接，例如，固定连接、远程访问； 4) 现场访问还是非现场访问；

c) 所涉及信息的价值和敏感性，及对业务运行的关键程度； d) 为保护不希望被外部方访问到的信息所需的控制措施； e) 与处理组织信息有关的外部方人员；

f) 能够识别组织或人员如何被授权访问、如何进行授权验证，以及多长时间需要再

确认；

g) 外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制

措施；

h) 外部方需要时无法访问，外部方输入或接收不正确的或误导的信息的影响； i) 处理信息安全事件和潜在破坏的惯例和程序，和当发生信息安全事件时外部方持

续访问的条款和条件；

j) 应考虑与外部方有关的法律法规要求和其他合同责任； k) 这些安排对其他利益相关人的利益可能造成怎样的影响。

除非已实施了适当的控制措施，才可允许外部方访问组织信息，可行时，应签订合同规定外部方连接或访问以及工作安排的条款和条件，一般而言，与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来（见6.2.2和6.2.3）。

应确保外部方意识到他们的责任，并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。 其它信息

安全管理不充分，可能使信息由于外部方介入而处于风险中。应确定和应用控制措施，以管理外部方对信息处理设施的访问。例如，如果对信息的保密性有特殊的要求，就需要使用不泄漏协议。

如果外包程度高，或涉及到几个外部方时，组织会面临与组织间的处理、管理和通信

11

相关的风险。

6.2.2和6.2.3提出的控制措施涵盖了对不同外部方的安排，例如，包括：

a) 服务提供商（例如互联网服务提供商）、网络提供商、电话服务、维护和支持服务； b) 受管理的安全服务； c) 顾客；

d) 设施和运行的外包，例如，IT系统、数据收集服务、中心呼叫业务； e) 管理者，业务顾问和审核员；

f) 开发者和提供商，例如软件产品和IT系统的开发者和提供商； g) 保洁、餐饮和其他外包支持服务； h) 临时人员、实习学生和其他临时短期安排。 这些协议有助于减少与外部方相关的风险。

6.2.2 处理与顾客有关的安全问题

控制措施

应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。 实施指南

要在允许顾客访问组织任何资产（依据访问的类型和范围，并不需要应用所有的条款）前解决安全问题，应考虑下列条款：

a) 资产保护，包括：

1）保护组织资产（包括信息和软件）的程序，以及对已知脆弱性的管理； 2）判定资产是否受到损害（例如丢失数据或修改数据）的程序； 3）完整性；

4）对拷贝和公开信息的限制； b) 拟提供的产品或服务的描述； c) 顾客访问的不同原因、要求和利益； d) 访问控制策略，包括：

1）允许的访问方法，唯一标识符的控制和使用，例如用户ID和口令； 2）用户访问和权限的授权过程； 3）没有明确授权的访问均被禁止的声明； 4）撤消访问权或中断系统间连接的处理；

e) 信息错误（例如个人信息的错误）、信息安全事件和安全违规的报告、通知和调查

的安排；

f) 每项可用服务的描述；

g) 服务的目标级别和服务的不可接受级别； h) 监视和撤销与组织资产有关的任何活动的权利； i) 组织和顾客各自的义务；

12

j) 相关法律责任和如何确保满足法律要求（例如，数据保护法律）。如果协议涉及与

其他国家顾客的合作，特别要考虑到不同国家的法律体系（也见15.1）； k) 知识产权（IPRs）和版权转让（见15.1.2）以及任何合著作品的保护（见6.1.5）； 其它信息

与顾客访问组织资产有关的安全要求，可能随所访问的信息处理设施和信息的不同而有明显差异。这些安全要求应在顾客协议中加以明确，包括所有已确定的风险和安全要求（见6.2.1）。

与外部方的协议也可能涉及多方。允许外部各方访问的协议应包括允许指派其他合格者，并规定他们访问和访问有关的条件。

6.2.3 处理第三方协议中的安全问题

控制措施

涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。 实施指南

协议应确保在组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。

为满足识别的安全要求（见6.2.1），应考虑将下列条款包含在协议中： a) 信息安全方针；

b) 确保资产保护的控制措施，包括：

1) 保护组织资产（包括信息、软件和硬件）的程序； 2) 所有需要的物理保护控制措施和机制； 3) 确保防范恶意软件（见10.4.1）的控制措施；

4) 判定资产是否受到损害（例如信息、软件和硬件的丢失或修改）的程序； 5) 确保在协议终止时或在合同执行期间双方同意的某一时刻对信息和资产的返

还或销毁的控制措施；

6) 保密性、完整性、可用性和任何其他相关的资产属性（见2.1.5）； 7) 对拷贝和公开信息，以及保密性协议的使用的限制（见6.1.5）； c) 对用户和管理员在方法、程序和安全方面的培训； d) 确保用户意识到信息安全职责和问题； e) 若适宜，人员调动的规定；

f) 关于硬件和软件安装和维护的职责； g) 一种清晰的报告结构和商定的报告格式； h) 一种清晰规定的变更管理过程； i) 访问控制策略，包括：

1) 导致必要的第三方访问的不同原因、要求和利益；

13

2) 允许的访问方法，唯一标识符（诸如用户ID和口令）的控制和使用； 3) 用户访问和权限的授权过程；

4) 维护被授权使用可用服务的个人清单以及他们与这种使用相关的权利和权限

的要求；

5) 没有明确授权的所有访问都要禁止的声明； 6) 撤消访问权或中断系统间连接的处理；

j) 报告、通知和调查信息安全事件和安全违规以及违背协议中所声明的要求的安排； k) 提供的每项产品和服务的描述，根据安全分类（见7.2.1）提供可获得信息的描述； l) 服务的目标级别和服务的不可接受级别； m) 可验证的性能准则的定义、监视和报告； n) 监视和撤销与组织资产有关的任何活动的权利；

o) 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权

利；

p) 建立逐级解决问题的过程；

q) 服务连续性要求，包括根据一个组织的业务优先级对可用性和可靠性的测度； r) 协议各方的相关义务；

s) 有关法律的责任和如何确保满足法律要求（例如，数据保护法律）。如果该协议涉

及与其他国家的组织的合作，特别要考虑到不同国家的法律体系（也见15.1）； t) 知识产权（IPRs）和版权转让（见15.1.2）以及任何合著作品的保护（见6.1.5）； u) 涉及具有次承包商的第三方，应对这些次承包商需要实施安全控制措施； v) 重新协商/终止协议的条件：

1) 应提供应急计划以处理任一方机构在协议到期之前希望终止合作关系的情

况；

2) 如果组织的安全要求发生变化，协议的重新协商； 3) 资产清单、许可证、协议或与它们相关的权利的当前文件。

其它信息

协议会随组织和第三方机构类型的不同发生很大的变化。因此，应注意要在协议中包括所有识别的风险和安全要求（见6.2.1）。需要时，在安全管理计划中扩展所需的控制措施和程序。

如果外包信息安全管理，协议应指出第三方将如何保证维持风险评估中定义的适当的安全，安全如何适于识别和处理风险的变化。

外包和其他形式第三方服务提供之间的区别包括责任问题、交付期的规划问题、在此期间潜在的运行中断问题、应急规划安排、约定的详细评审以及安全事故信息的收集和管理。因此，组织计划和管理外包安排的交付，并提供适当的过程管理变更和协议的重新协商/终止，这是十分重要的。

14

需要考虑当第三方不能提供其服务时的连续处理程序，以避免在安排替代服务时的任何延迟。

与第三方的协议也可能涉及多方。允许第三方访问的协议应包括允许指派其他合格者，并规定他们访问及与访问有关的条件。

一般而言，协议主要由组织制定。在一些环境下，也可能有例外：协议由第三方制定并强加于一个组织。组织需要确保它本身的安全不会被没有必要的第三方在强制协议中规定的要求所影响。

7 资产管理 7.1 对资产负责 目标：实现和保持对组织资产的适当保护。 所有资产应是可核查的，并且有指定的责任人。 对于所有资产要指定责任人，并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担，但责任人仍有对资产提供适当保护的责任。 7.1.1 资产清单

控制措施

应清晰的识别所有资产，编制并维护所有重要资产的清单。 实施指南

一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息，包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单，但它应确保内容是相关联的。

另外，应商定每一资产的责任人（见7.1.2）和信息分类（见7.2），并形成文件。基于资产的重要性、其业务价值和安全级别，应识别与资产重要性对应的保护级别（更多关于如何评价资产的重要性的内容可参考ISO/IEC TR 13335-3）。 其它信息

与信息系统相关的资产有很多类型，包括：

a） 信息资产：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallback arrangement）、审核跟踪记录（audit trails）、归档信息；

b） 软件资产：应用软件、系统软件、开发工具和实用程序； c） 物理资产：计算机设备、通信设备、可移动介质和其他设备；

d） 服务：计算和通信服务、公用设施，例如，供暖，照明，能源，空调； e） 人员，他们的资格、技能和经验； f） 无形资产，如组织的声誉和形象。

资产清单可帮助确保有效的资产保护，其他业务目的也可能需要资产清单，例如健康

15

与安全、保险或财务（资产管理）等原因。编制一份资产清单的过程是风险管理的一个重要的先决条件（见第4章）。

7.1.2 资产责任人

控制措施

与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任3。 实施指南

资产责任人应负责：

a) 确保与信息处理设施相关的信息和资产进行了适当的分类；

b) 确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。 所有权可以分配给： a) 业务过程； b) 已定义的活动集； c) 应用；

d) 已定义的数据集。 其它信息

日常任务可以委派给其他人，例如委派给一个管理人员每天照看资产，但责任人仍保留职责。

在复杂的信息系统中，将一组资产指派给一个责任人，可能是比较有用的，它们一起工作来提供特殊的“服务”功能。在这种情况下，服务责任人负责提供服务，包括资产本身提供的功能。

7.1.3 资产的允许使用

控制措施

与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 实施指南

所有雇员、承包方人员和和第三方人员应遵循信息处理设施相关信息和资产的允许的使用规则，包括：

a) 电子邮件和互联网使用（见10.8）规则；

b) 移动设备，尤其是在组织外部使用设备（见11.7.1）的使用指南；

具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责下的使用负责。

7.2 信息分类 目标：确保信息受到适当级别的保护。 3

术语“责任人”是为控制生产、开发、保持、使用和保护资产而确定的赞同管理职责的个人或实体。术语“责任人”不指对资产有实际所有权的人员。

16

信息要分类，以在处理信息时指明保护的需求、优先级和期望程度。 信息具有可变的敏感性和关键性。某些项可能要求附加等级的保护或特殊处理。信息分类机制用来定义一组合适的保护等级并传达对特殊处理措施的需求。 7.2.1 分类指南

控制措施

信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。 实施指南

信息的分类及相关保护控制措施要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。

分类指南应包括根据预先确定的访问控制策略（见11.1.1）进行初始分类及一段时间后进行重新分类的惯例。

确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别，这些都应是资产责任人（见7.1.2）的职责。分类要考虑10.7.2提及的集合效应。

应考虑分类类别的数目和从其使用中获得的好处。过度复杂的方案可能对使用来说不方便，也不经济，或许是不实际的。在解释从其他组织获取的文件的分类标记时应小心，因为其他组织可能对于相同或类似命名的标记有不同的定义。 其它信息

保护级别可通过分析被考虑信息的保密性、完整性、可用性及其他要求进行评估。 在一段时间后，信息通常不再是敏感的或关键的，例如，当该信息已经公开时，这些方面应予以考虑，因为过多的分类致使实施不必要的控制措施，从而导致附加成本。

当分配分类级别时考虑具有类似安全要求的文件可简化分类的任务。 一般地说，给信息分类是确定该信息如何予以处理和保护的简便方法。

7.2.2 信息的标记和处理

控制措施

应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。 实施指南

信息标记的程序需要涵盖物理和电子格式的信息资产。

包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记。该标记要根据7.2.1中所建立的规则反映出分类。待考虑的项目包括打印报告、屏幕显示、记录介质（例如磁带、磁盘、CD）、电子消息和文件传送。

对每种分类级别，要定义包括安全处理、储存、传输、删除、销毁的处理程序。还要包括一系列任何安全相关事件的监督和记录程序。

涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分类标记的程序。 其它信息

17

分类信息的标记和安全处理是信息共享的一个关键要求。物理标记是常用的标记形式。然而，某些信息资产（诸如电子形式的文件等）不能做物理标记，而需要使用电子标记手段。例如，通知标记可在屏幕上显示出来。当标记不适用时，可能需要应用信息分类指定的其他方式，例如通过程序或元数据。

8 人力资源安全 8.1 任用之前 4

目标：确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。 安全职责应于任用前在适当的岗位描述、任用条款和条件中指出。 所有要雇用、承包方人员和第三方人员的候选者应充分的审查，特别是对敏感岗位的成员。 使用信息处理设施的雇员、承包方人员和第三方人员应签署关于他们安全角色和职责的协议。 8.1.1 角色和职责

控制措施

雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。 实施指南

安全角色和职责应包括以下要求：

a) 按照组织的信息安全方针（见5.1）实施和运行； b) 保护资产免受未授权访问、泄露、修改、销毁或干扰； c) 执行特定的安全过程或活动； d) 确保职责分配给可采取措施的个人；

e) 向组织报告安全事件或潜在事件或其他安全风险。

安全角色和职责应被定义并在任用前清晰地传达给岗位候选者。 其它信息

岗位描述能被用来将安全角色和职责形成文件。还应清晰的定义并传达没有通过组织的任用过程任用（例如通过第三方组织任用）的个人安全角色和职责。

8.1.2 审查

控制措施

关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 实施指南

4

解释：这里的“任用”意指以下不同的情形：人员任用（暂时的或长期的）、工作角色的指定、工作角色的变化、合同的分配及所有这些安排的终止。

18

验证检查应考虑所有相关的隐私、个人数据保护和/或与任用相关的法律，并应包括以下内容（允许时）：

a) 令人满意的个人资料的可用性（如，一项业务和一个个人）； b) 申请人履历的核查（针对完备性和准确性）； c) 声称的学术、专业资质的证实； d) 独立的身份检查（护照或类似文件）；

e) 更多细节的检查，例如信用卡检查或犯罪记录检查。

当一个职务（最初任命的或提升的）涉及到对信息处理设施进行访问的人时，特别是，如果这些设施正在处理敏感信息，例如，财务信息或高度机密的信息，那么，该组织还要考虑进一步的、更详细的检查。

应有程序确定验证检查的准则和限制，例如谁有资格审查人员，以及如何、何时、为什么执行验证检查。

对于承包方人员和第三方人员也要执行审查过程。若承包方人员是通过代理提供的，那么，与代理的合同要清晰地规定代理对审查的职责，以及如果未完成审查或结果引起怀疑或关注时，这些代理需要遵守的通知程序。同样，与第三方（也见6.2.3）的协议应清晰的指定审查的所有职责和通知程序。

被考虑在组织内录用的所有候选者的信息应按照相关管辖范围内存在的合适的法律来收集和处理。依据适用的法律，应将审查活动提前通知候选者。

8.1.3 任用条款和条件

控制措施

作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。 实施指南

任用的条款和条件除澄清和声明以下内容外，还应反映组织的安全方针：

a) 所有访问敏感信息的雇员、承包方人员和第三方人员要在给予访问信息处理设施

权之前签署保密或不泄露协议；

b) 雇员、承包方人员和其他人员的法律职责和权利，例如关于版权法、数据保护法

（见15.1.1和15.1.2）；

c) 与雇员、承包方人员和第三方人员操作的信息系统和服务有关的信息分类和组织

资产管理的职责（见7.2.1和10.7.3）；

d) 雇员、承包方人员和第三方人员操作来自其他公司或外部方的信息的职责； e) 组织处理人员信息的职责，包括由于组织任用或在组织任用过程中产生的信息（见

15.1.4）；

f) 扩展到组织场所之外和正常工作时间之外的职责，例如在家中工作的情形（见

9.2.5和11.7.1）；

19

g) 如果雇员、承包方人员和第三方人员漠视组织的安全要求所要采取的措施（见

8.2.3）。

组织应确保雇员、承包方人员和第三方人员同意适用于他们将访问的与信息系统和服务有关的组织资产的性质和程度的信息安全条款和条件。

若适用，包含于任用条款和条件中的职责应在任用结束后持续一段规定的时间（见8.3）。 其它信息

一个行为细则可覆盖雇员、承包方人员和第三方人员关于保密性、数据保护、道德规范、组织设备和设施的适当使用以及组织期望的最佳实践的职责。承包方人员和第三方人员可能与一个外部组织有关，这个外部组织可能需要代表已签约的人遵守契约的安排。

8.2 任用中 目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。 应确定管理职责来确保安全措施应用于组织内个人的整个任用期。 为尽可能减小安全风险，应对所有雇员、承包方人员和第三方人员提供安全程序的适当程度的意识、教育和培训以及信息处理设施的正确使用方法。还应建立一个正式的处理安全违规的纪律处理过程。 8.2.1 管理职责

控制措施

管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。 实施指南

管理职责应包括确保雇员、承包方人员和第三方人员：

a) 在被授权访问敏感信息或信息系统前了解其信息安全角色和职责； b) 获得声明他们在组织中角色的安全期望的指南； c) 被激励以实现组织的安全策略；

d) 对于他们在组织内的角色和职责的相关安全问题的意识程度达到一定级别； e) 遵守任用的条款和条件，包括组织的信息安全方针和工作的合适方法； f) 持续拥有适当的技能和资质。 其它信息

如果雇员、承包方人员和第三方人员没有意识到他们的安全职责，他们会对组织造成相当大的破坏。被激励的人员更可靠并能减少信息安全事件的发生。

缺乏有效的管理会使员工感觉被低估，并由此导致对组织的负面安全影响。例如，缺乏有效的管理可能导致安全被忽视或组织资产的潜在误用。

8.2.2 信息安全意识、教育和培训

20

控制措施

组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。 实施指南

意识培训应从一个正式的介绍过程开始，这个过程用来在允许访问信息或服务前介绍组织的安全方针策略和期望。

正在进行的培训应包括安全要求、法律职责和业务控制，还有正确使用信息处理设施的培训，例如登录程序、软件包的使用和纪律处理过程（见8.2.3）的信息。 其它信息

安全意识、教育和培训活动应是适当的并与员工的角色、职责和技能相关，并应包括关于已知威胁的信息，向谁咨询进一步的安全建议以及合适的报告信息安全事件（见13.1）的渠道。

加强意识的培训旨在使个人认识到信息安全问题及事故，并按照他们岗位角色的需要对其响应。

8.2.3 纪律处理过程

控制措施

对于安全违规的雇员，应有一个正式的纪律处理过程。 实施指南

纪律处理过程之前应有一个安全违规的验证过程（见13.2.3的证据收集）。 正式的纪律处理过程应确保正确和公平的对待被怀疑安全违规的雇员。无论违规是第一次或是已发生过，无论违规者是否经过适当的培训，正式的纪律处理过程应规定一个分级的响应，要考虑诸如违规的性质、重要性及对于业务的影响等因素，相关法律、业务合同和其他因素也是需要考虑的。对于严重的明知故犯的情况，应立即免职、删除访问权和特殊权限，如果需要，直接护送出现场。 其它信息

纪律处理过程也可用于对雇员、承包方人员和第三方人员的一种威慑，防止他们违反组织的安全方针策略和程序及其他安全违规。

8.3 任用的终止或变化 目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 应有合适的职责确保管理雇员、承包方人员和第三方人员从组织退出，并确保他们归还所有设备及删除他们的所有访问权。 组织内职责和任用的变化管理应符合本章内容，与职责或任用的终止管理相似，任何新的任用应遵循8.1节内容进行管理。 8.3.1 终止职责

21

控制措施

任用终止或任用变化的职责应清晰的定义和分配。 实施指南

终止职责的传达应包括正在进行的安全要求和法律职责，适当时，还包括任何保密协议规定的职责（见6.1.5），并且在雇员、承包方人员或第三方人员的任用结束后持续一段时间仍然有效的任用条款和条件（见8.1.3）。

规定职责和义务在任用终止后仍然有效的内容应包含在雇员、承包方人员或第三方人员的合同中。

职责或任用的变化管理应与职责或任用的终止管理相似，新的任用责任应遵循8.1节内容。 其它信息

人力资源的职能通常是与管理相关程序的安全方面的监督管理员一块负责总体的任用终止处理。在承包方人员的例子中，终止职责的处理可能由代表承包方人员的代理完成，其他情况下的用户可能由他们的组织来处理。

有必要通知雇员、顾客、承包方人员或第三方人员关于组织人员的变化和运营上的安排。

8.3.2 资产的归还

控制措施

所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。 实施指南

终止过程应被正式化以包括所有先前发放的软件、公司文件和设备的归还。其他组织资产，例如移动计算设备、信用卡、访问卡、软件、手册和存储于电子介质中的信息也需要归还。

当雇员、承包方人员或第三方人员购买了组织的设备或使用他们自己的设备时，应遵循程序确保所有相关的信息已转移给组织，并且已从设备中安全的删除（见10.7.1）。

当一个雇员、承包方人员或第三方人员拥有的知识对正在进行的操作具有重要意义时，此信息应形成文件并传达给组织。

8.3.3 撤销访问权

控制措施

所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。 实施指南

任用终止时，个人对与信息系统和服务有关的资产的访问权应被重新考虑。这将决定是否必须删除访问权。任用的变化应体现在不适用于新岗位的访问权的删除上。应删除或

22

改变的访问权包括物理和逻辑访问、密钥、ID卡、信息处理设施（见11.2.4）、签名，并要从标识其作为组织的现有成员的文件中删除。如果一个已离开的雇员、承包方人员或第三方人员知道仍保持活动状态的帐户的密码，则应在任用、合同或协议终止或变化后改变密码。

对信息资产和信息处理设施的访问权在任用终止或变化前是否减少或删除，依赖于对风险因素的评价，例如：

a) 终止或变化是由雇员、承包方人员或第三方人员发起还是由管理者发起，以及终

止的原因；

b) 雇员、承包方人员或任何其他用户的现有职责； c) 当前可访问资产的价值。 其它信息

在某些情况下，访问权的分配基于对多人可用而不是只基于离开的雇员、承包方人员或第三方人员，例如群ID。在这种情况下，离开的人员应从群访问列表中删除，还应建议所有相关的其他雇员、承包方人员和第三方人员不应再与已离开的人员共享信息。

在管理者发起终止的情况中，不满的雇员、承包方人员或第三方人员可能故意破坏信息或破坏信息处理设施。在员工辞职的情况下，他们可能为将来的使用而收集必要的信息。

9 物理和环境安全 9.1 安全区域 目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。 关键或敏感的信息处理设施要放置在安全区域内，并受到确定的安全边界的保护，包括适当的安全屏障和入口控制。这些设施要在物理上避免未授权访问、损坏和干扰。 所提供的保护要与所识别的风险相匹配。 9.1.1 物理安全边界

控制措施

应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。 实施指南

对于物理安全边界，若合适，下列指南应予以考虑和实施：

a) 安全边界应清晰地予以定义，各个边界的设置地点和强度取决于边界内资产的安

全要求和风险评估的结果；

b) 包含信息处理设施的建筑物或场地的边界应在物理上是安全的（即，在边界或区

域内不应存在可能易于闯入的任何缺口）；场所的外墙应是坚固结构，所有外部的门要使用控制机制来适当保护，以防止未授权进入，例如，门闩、报警器、锁等；无人看管的门和窗户应上锁，还要考虑窗户的外部保护，尤其是地面一层的窗户；

23

c) 对场所或建筑物的物理访问手段要到位（如有人管理的接待区域或其他控制）；进

入场所或建筑物应仅限于已授权人员；

d) 如果可行，应建立物理屏障以防止未授权进入和环境污染；

e) 安全边界的所有防火门应可发出报警信号、被监视并经过检验，和墙一起按照合

适的地方、国内和国际标准建立所需的防卫级别；他们应使用故障保护方式按照当地防火规则来运行。

f) 应按照地方、国内和国际标准建立适当的入侵检测系统，并定期检测以覆盖所有

的外部门窗；要一直警惕空闲区域；其他区域要提供掩护方法，例如计算机室或通信室；

g) 组织管理的信息处理设施应在物理上与第三方管理的设施分开。 其它信息

物理保护可以通过在组织边界和信息处理设施周围设置一个或多个物理屏障来实现。多重屏障的使用将提供附加保护，一个屏障的失效不意味着立即危及到安全。

一个安全区域可以是一个可上锁的办公室，或是被连续的内部物理安全屏障包围的几个房间。在安全边界内具有不同安全要求的区域之间需要控制物理访问的附加屏障和边界。

具有多个组织的建筑物应考虑专门的物理访问安全。

9.1.2 物理入口控制

控制措施

安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。 实施指南

下列指南应予以考虑：

a) 记录访问者进入和离开的日期和时间，所有的访问者要予以监督，除非他们的访

问事前已经经过批准；只能允许他们访问特定的、已授权的目标，并要向他们宣布关于该区域的安全要求和应急程序的说明。

b) 访问处理敏感信息或储存敏感信息的区域要受到控制，并且仅限于已授权的人员；

认证控制（例如，访问控制卡加个人识别号）应用于授权和确认所有访问；所有访问的审核踪迹要安全地加以维护。

c) 所有雇员、承包方人员和第三方人员以及所有访问者要佩带某种形式的可视标识，

如果遇到无人护送的访问者和未佩带可视标识的任何人应立即通知保安人员。 d) 第三方支持服务人员只有在需要时才能有限制的访问安全区域或敏感信息处理设

施；这种访问应被授权并受监视；

e) 对安全区域的访问权要定期地予以评审和更新，并在需要时废除（见8.3.3）。

9.1.3 办公室、房间和设施的安全保护

控制措施

24

应为办公室、房间和设施设计并采取物理安全措施。 实施指南

应考虑下列指南以保护办公室、房间和设施： a) 相关的健康和安全法规、标准要考虑在内； b) 关键设施应坐落在可避免公众进行访问的场地；

c) 如果可行，建筑物要不引人注目，并且在建筑物内侧或外侧用不明显的标记给出

其用途的最少指示，以标识信息处理活动的存在；

d) 标识敏感信息处理设施位置的目录和内部电话簿不要轻易被公众得到。

9.1.4 外部和环境威胁的安全防护

控制措施

为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。 实施指南

要考虑任何邻近区域所带来的安全威胁，例如，邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸。

要避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏，应考虑以下因素：

a) 危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品（例如文

具）不应存放于安全区域内；

b) 备份设备和备份介质的存放地点应与主要场所有一段安全的距离，以避免影响主

要场所的灾难产生的破坏；

c) 应提供适当的灭火设备，并应放在合适的地点。

9.1.5 在安全区域工作

控制措施

应设计和运用用于安全区域工作的物理保护和指南。 实施指南

下列指南应予以考虑：

a） 只在有必要知道的基础上，员工才应知道安全区域的存在或其中的活动； b） 为了安全原因和减少恶意活动的机会，均应避免在安全区域内进行不受监督的工

作；

c） 未使用的安全区域在物理上要上锁并周期地予以检查；

d） 除非授权，不允许携带摄影、视频、声频或其他记录设备，例如移动设备中的照

相机。

在安全区域工作的安排包括对工作在安全区域内的雇员、承包方人员和第三方人员的控制，以及对其他发生在安全区域的第三方活动的控制。

25

9.1.6 公共访问、交接区安全

控制措施

访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，要与信息处理设施隔离，以避免未授权访问。 实施指南

下列指南应予以考虑：

a） 由建筑物外进入交接区的访问应局限于已标识的和已授权的人员；

b） 交接区应设计成在无需交货人员获得对本建筑物其他部分的访问权的情况下就

能卸下物资；

c） 当内部的门打开时，交接区的外部门应得到安全保护；

d） 在进来的物资从交接区运到使用地点之前，要检查是否存在潜在威胁（见

9.2.1d））；

e） 进来的物资应按照资产管理程序（见7.1.1）在场所的入口处进行登记； f） 如果可能，进入和外出的货物应在物理上予以隔离。

9.2 设备安全 目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 应保护设备免受物理的和环境的威胁。 对设备（包括离开组织使用和财产移动）的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的。这样做还要考虑设备安置和处置。可能需要专门的控制用来防止物理威胁以及保护支持性设施，诸如供电和电缆设施。 9.2.1 设备安置和保护

控制措施

应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 实施指南

下列指南应予以考虑以保护设备：

a) 设备应进行适当安置，以尽量减少不必要的对工作区域的访问；

b) 应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用

期间信息被窥视的风险，还应保护储存设施以防止未授权访问； c) 要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；

d) 应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、

水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；

e) 应建立在信息处理设施附近进食、喝饮料和抽烟的指南；

f) 对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）

26

要予以监视；

g) 所有建筑物都应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过

滤器；

h) 对于工业环境中的设备，要考虑使用专门的保护方法，例如键盘保护膜； i) 应保护处理敏感信息的设备，以减少由于辐射而导致信息泄露的风险；

9.2.2 支持性设施

控制措施

应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 实施指南

应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。

对支持关键业务操作的设备，推荐使用支持有序关机或连续运行的不间断电源（UPS）。电源应急计划要包括UPS故障时要采取的措施。如果电源故障延长，而处理要继续进行，则要考虑备份发电机。应提供足够的燃料供给，以确保在延长的时间内发电机可以进行工作。UPS设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试。另外，如果办公场所很大，则应考虑使用多来源电源或一个单独变电站。

另外，应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

要有稳定足够的供水以支持空调、加湿设备和灭火系统（当使用时），供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。

连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。 其它信息

实现连续供电的选项包括多路供电，以避免供电的单一故障点。

9.2.3 布缆安全

控制措施

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。 实施指南

布缆安全的下列指南应予以考虑：

a) 进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的

保护；

b) 网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域； c) 为了防止干扰，电源电缆要与通信电缆分开；

27

d) 使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电

缆的意外配线；

e) 使用文件化配线列表减少失误的可能性；

f) 对于敏感的或关键的系统，更进一步的控制考虑应包括：

1）在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子； 2）使用可替换的路由选择和/或传输介质，以提供适当的安全措施； 3）使用纤维光缆；

4）使用电磁防辐射装置保护电缆；

5）对于电缆连接的未授权装置要主动实施技术清除、物理检查； 6）控制对配线盘和电缆室的访问；

9.2.4 设备维护

控制措施

设备应予以正确地维护，以确保其持续的可用性和完整性。 实施指南

设备维护的下列指南应予以考虑：

a) 要按照供应商推荐的服务时间间隔和规范对设备进行维护； b) 只有已授权的维护人员才可对设备进行修理和服务；

c) 要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录；

d) 当对设备安排维护时，应实施适当的控制，要考虑维护是由场所内部人员执行还

是由外部人员执行；当需要时，敏感信息需要从设备中删除或者维护人员应该是足够可靠的；

e) 应遵守由保险策略所施加的所有要求。

9.2.5 组织场所外的设备安全

控制措施

应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险。 实施指南

无论责任人是谁，在组织场所外使用任何信息处理设备都要通过管理者授权。 离开办公场所的设备的保护应考虑下列指南：

a） 离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带，若可能宜伪装起来；

b）制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内； c） 家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例如，可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信（见ISO/IEC 18028 网络安全）；

d）足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。

28

安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。 其它信息

用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。

关于保护移动设备的其他方面的更多信息在11.7.1中可以找到。

9.2.6 设备的安全处置和再利用

控制措施

包含储存介质的设备的所有项目应进行检查，以确保在销毁之前，任何敏感信息和注册软件已被删除或安全重写。 实施指南

包含敏感信息的设备在物理上应予以摧毁，或者采用使原始信息不可获取的技术破坏、删除、覆盖信息，而不能采用标准的删除或格式化功能。 其它信息

包含敏感信息的已损坏的设备可能需要实施风险评估，以确定这些设备是否要进行销毁、而不是送去修理或丢弃。

信息可能通过对设备的草率处置或重用而被泄漏（见10.7.2）。

9.2.7 资产的移动

控制措施

设备、信息或软件在授权之前不应带出组织场所。 实施指南

下列指南应予以考虑：

a) 在未经事先授权的情况下，不应让设备、信息或软件离开办公场所；

b) 应明确识别有权允许资产移动，离开办公场所的雇员、承包方人员和第三方人员； c) 应设置设备移动的时间限制，并在返还时执行符合性检查；

d) 若需要并合适，要对设备作出移出记录，当返回时，要作出送回记录。 其它信息

应执行检测未授权资产移动的抽查，以检测未授权的记录装置、武器等等，防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。

10 通信和操作管理 10.1 操作程序和职责 目标：确保正确、安全的操作信息处理设施。 应建立所有信息处理设施的管理和操作职责和程序。这包括制定合适的操作程序。 29

当合适时，应实施责任分割，以减少疏忽或故意误用系统的风险。 10.1.1 文件化的操作程序

控制措施

操作程序应形成文件、保持并对所有需要的用户可用。 实施指南

与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。

操作程序应详细规定执行每项工作的说明，其内容包括： a） 信息处理和处置； b） 备份（见10.5）；

c） 时间安排要求，包括与其他系统的相互关系、最早工作开始时间和最后工作完成期限；

d） 对在工作执行期间可能出现的处理差错或其它异常情况的指导，包括对使用系统实用工具的限制（见11.5.4）；

e） 出现不期望操作或技术困难事件时的支持性联络；

f） 特定输出及介质处理的指导，诸如使用特殊信纸或管理保密输出，包括任务失败时输出的安全处置程序（见10.7.2和10.7.3）； g） 供系统失效时使用的系统重启和恢复程序； h） 审核跟踪和系统日志信息的管理（见10.10）。

要将操作程序和系统活动的文件化程序看作正式的文件，其变更由管理者授权。技术上可行时，信息系统应使用相同的程序、工具和实用程序进行一致的管理。

10.1.2 变更管理

控制措施

对信息处理设施和系统的变更应加以控制。 实施指南

操作系统和应用软件应有严格的变更管理控制。 特别是，下列条款应予以考虑。 a） 重大变更的标识和记录； b）变更的策划和测试；

c） 对这种变更的潜在影响的评估，包括安全影响； d）对建议变更的正式批准程序； e） 向所有有关人员传达变更细节；

f） 返回程序，包括从不成功变更和未预料事件中退出和恢复的程序与职责。 正式的管理者职责和程序应到位，以确保对设备、软件或程序的所有变更有令人满意的控制。当发生变更时，包含所有相关信息的审计日志要予以保留。

30

其它信息

对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因。对操作环境的变更，特别是当系统从开发阶段向操作阶段转移时，可能影响应用的可靠性。（见12.5.1）。

对操作系统的变更只能在存在一个有效的业务需求时进行，例如系统风险的增加。使用操作系统或应用程序的最新版本进行系统更新并不总是业务需求，因为这样做可能会引入比现有版本更多的脆弱性和不稳定性。尤其是在移植期间，还需要额外培训、许可证费用、支持、维护和管理开支以及新的硬件等。

10.1.3 责任分割

控制措施

各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。 实施指南

责任分割是一种减少意外或故意系统误用的风险的方法。应注意，在无授权或未被监测时，应使个人不能访问、修改或使用资产。事件的启动要与其授权分离。勾结的可能性应在设计控制措施时予以考虑。

小型组织可能感到难以实现这种责任分割，但就可能性和可行性来说，该原则是适用的。如果难以分割，应考虑其他控制措施，例如对活动、审核踪迹和管理监督的监视等。重要的是安全审核仍保持独立。

10.1.4 开发、测试和运行设施分离

控制措施

开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。 实施指南

为防止操作问题，应识别运行、测试和开发环境之间的的分离级别，并实施适当的控制措施。

下列条款应加以考虑：

a) 要规定从开发状态到运行状态的软件传递规则并形成文件；

b) 开发和运行软件要在不同的系统或计算机处理器上或在不同的域或目录内运行； c) 没有必要时，编译器、编辑器、其他开发工具或系统实用工具不应访问运行系统； d) 测试系统环境应尽可能的仿效运行系统环境；

e) 用户应在运行和测试系统中使用不同的用户轮廓，菜单要显示合适的标识消息以

减少出错的风险；

f) 敏感数据不应拷贝到测试系统环境中（见12.4.2）。 其它信息

开发和测试活动可能引起严重的问题，例如，文件或系统环境的不期望修改或者系统

31

故障。在这种情况下，有必要保持一种已知的和稳定的环境，在此环境中可执行有意义的测试并防止不适当的开发者访问。

若开发和测试人员访问运行系统及其信息，那么他们可能会引入未授权和未测试的代码或改变运行数据。在某些系统中，这种能力可能被误用于实施欺诈，或引入未测试的、恶意的代码。从而导致严重的运行问题。

开发者和测试者还造成对运行信息保密性的威胁。如果开发和测试活动共享同一计算环境，那么可能引起非故意的软件和信息的变更。因此，为了减少意外变更或未授权访问运行软件和业务数据的风险，分离开发、测试和运行设施是有必要的（见12.4.2的测试数据保护）。

10.2 第三方服务交付管理 目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。 组织应检查协议的实施，监视协议执行的符合性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。 10.2.1 服务交付

控制措施

应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。 实施指南

第三方交付的服务应包括商定的安全安排、服务定义和服务管理各方面。在外包安排的情况下，组织应策划必要的过渡（信息、信息处理设施和其他需要移动的任何资产），并应确保安全在整个过渡期间得以保持。

组织应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难（见14.1）后继续得以保持。

10.2.2 第三方服务的监视和评审

控制措施

应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行。 实施指南

第三方服务的监视和评审应确保坚持协议的信息安全条款和条件，并且信息安全事件和问题得到适当的管理。这将涉及组织和第三方之间的服务管理关系和过程，包括：

a) 监视服务执行级别以检查对协议的符合度；

b) 评审由第三方产生的服务报告，安排协议要求的定期进展会议；

c) 当协议和所有支持性指南及程序需要时，提供关于信息安全事件的信息并由第三

方和组织实施评审；

d) 评审第三方的审核踪迹以及关于交付服务的安全事件、运行问题、失效、故障追

踪和中断的记录；

32

e) 解决和管理所有已确定的问题。

管理与第三方关系的职责应分配给指定人员或服务管理组。另外，组织应确保第三方分配了检查符合性和执行协议要求的职责。应获得足够的技术技能和资源来监视满足协议的要求（见6.2.3），特别是信息安全要求。当在服务交付中发现不足时，应采取适当的措施。

组织应对第三方访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。组织应确保他们对安全活动留有可见度，例如变更管理、脆弱性识别和信息安全事件报告/响应，事件的报告/响应使用清晰定义的报告过程、格式及结构。 其它信息

外包时，组织必须知晓由外包方处理的信息的最终职责仍属于组织。

10.2.3 第三方服务的变更管理

控制措施

应管理服务提供的变更，包括保持和改进现有的信息安全方针策略、程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估。 实施指南

对第三方服务变更的管理过程需要考虑： a) 组织要实施的变更：

1）对提供的现有服务的加强； 2）任何新应用和系统的开发； 3）组织方针策略和程序的更改或更新；

4）解决信息安全事件、改进安全的新的控制措施。 b) 第三方服务实施的变更：

1）对网络的变更和加强； 2）新技术的使用； 3）新产品或新版本的采用； 4）新的开发工具和环境； 5）服务设施物理位置的变更； 6）供应商的变更。

10.3 系统规划和验收 目标：将系统失效的风险降至最小。 为确保足够能力和资源的可用性以提供所需的系统性能，需要预先的规划和准备。 应作出对于未来容量需求的推测，以减少系统过载的风险。 新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。 10.3.1 容量管理

33

控制措施

资源的使用应加以监视、调整，并应作出对于未来容量要求的预测，以确保拥有所需的系统性能。 实施指南

对于每一个新的和正在进行的活动来说，应识别容量要求。应使用系统调整和监视以确保（需要时）改进系统的可用性和效率。应有检测控制措施以及时地指出问题。未来容量要求的推测应考虑新业务、系统要求以及组织信息处理能力的当前和预计的趋势。

需要特别关注与长订货交货周期或高成本相关的所有资源；因此管理人员应监视关键系统资源的利用。他们应识别出使用的趋势，特别是与业务应用或管理信息系统工具相关的使用。

管理人员应使用该信息来识别和避免潜在的瓶颈及对关键员工的依赖，他们可能引起对系统安全或用户服务的威胁，同时管理人员还应策划适当的措施。

10.3.2 系统验收

控制措施

应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 实施指南

管理人员要确保验收新系统的要求和准则被明确地定义、商定、形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后，才能作为产品。在验收之前，下列项目要加以考虑：

a） 性能和计算机容量要求；

b） 差错恢复和重启程序以及应急计划；

c） 按照已定义标准，准备和测试日常的运行程序； d） 确定的一组安全控制措施应到位； e） 有效的人工操作程序；

f） 按14.1所要求的业务连续性安排；

g） 新系统的安装对现有系统无负面影响的证据，特别是在高峰处理时间，例如月末； h） 考虑新系统对组织总体安全影响的证据； i） 新系统的操作和使用培训；

j） 易用性，这影响到用户使用，避免人员出错。

对于主要的新的开发，在开发过程的各阶段要征询运行职能部门和用户的意见，以确保所建议的系统设计的运行效率。要进行适当的测试，以证实完全满足全部验收标准。 其它信息

验收可能包括一个正式的认证和认可过程，以验证已经适当解决了安全要求。

10.4 防范恶意和移动代码

34

目标：保护软件和信息的完整性。 要求有预防措施，以防范和检测恶意代码和未授权的移动代码的引入。 软件和信息处理设施易感染恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹）。要让用户了解恶意代码的危险。若合适，管理人员要推行控制措施，以防范、检测并删除恶意代码，并控制移动代码。 10.4.1 控制恶意代码

控制措施

应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 实施指南

防范恶意代码要基于恶意代码监测、修复软件、安全意识、适当的系统访问和变更管理控制措施。下列指南要加以考虑：

a） 建立禁止使用未授权软件的正式策略（见15.1.2）；

b）建立防范风险的正式策略，该风险与来自或经由外部网络或在其他介质上获得的文件和软件相关，此策略指示应采取什么保护措施（见11.5，特别是11.5.4和11.5.5）；

c） 对支持关键业务过程的系统中的软件和数据内容进行定期评审。应正式调查存在的任何未批准的文件或未授权的修正；

d）安装和定期更新恶意代码检测和修复软件来扫描计算机和介质，以作为预防控制或作为例行程序的基础；执行的检查应包括：

1）针对恶意代码，使用前检查电子或光介质文件，以及从网络上收到的文件； 2）针对恶意代码，使用前检查电子邮件附件和下载内容；该检查可在不同位置进行，例如，在电子邮件服务器、台式计算机或进入组织的网络时； 3）针对恶意代码，检查web页面；

e） 定义关于系统恶意代码防护、他们使用的培训、恶意代码攻击报告和从中恢复的管理程序和职责（见13.1和13.2）；

f） 制定适当的从恶意代码攻击中恢复的业务连续性计划，包括所有必要数据和软件的备份以及恢复安排（见14章）；

g）实施程序定期收集信息，例如订阅邮件列表和/或检查提供新恶意代码的web站点；

h）实施检验与恶意代码相关信息的程序，并确保报警公告是准确情报；管理人员应确保使用合格的来源（例如，声誉好的期刊、可靠的Internet网站或防范恶意代码软件的供应商），以区分虚假的和实际的恶意代码；要让所有用户了解欺骗问题，以及在收到它们时要做什么。

其它信息

35

在信息处理环境中使用来自不同供应商的防范恶意代码的两个或多个软件产品，能改进恶意代码防护的有效性。

可安装防恶意代码软件，提供定义文件和扫描引擎的自动更新，以确保防护措施是最新的。另外，也可在每一台台式机上安装该软件，以执行自动检查。

应注意防止在实施维护和紧急程序期间引入恶意代码，这将避开正常的恶意代码防护的控制措施。

10.4.2 控制移动代码

控制措施

当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行，应阻止执行未授权的移动代码。 实施指南

应考虑下列措施以防止移动代码执行未授权的活动： a) 在逻辑上隔离的环境中执行移动代码； b) 阻断移动代码的所有使用； c) 阻断移动代码的接收；

d) 使技术测量措施在一个特定系统中可用，以确保移动代码受控； e) 控制移动代码访问的可用资源； f) 使用密码控制，以唯一的认证移动代码。 其它信息

移动代码是一种软件代码，它能从一台计算机传递到另一台计算机，随后自动执行并在很少或没有用户干预的情况下完成特定功能。移动代码与大量的中间件服务有关。

除确保移动代码不包含恶意代码外，必须控制移动代码，以避免系统、网络或应用资源的未授权使用或破坏，以及其他违反信息安全的活动。

10.5 备份 目标：保持信息和信息处理设施的完整性及可用性。 应为备份数据和演练及时恢复建立例行程序来实施已商定的策略和战略（见14.1）。 10.5.1 信息备份

控制措施

应按照已设的备份策略，定期备份和测试信息和软件。 实施指南

应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。

信息备份的下列条款应加以考虑： a） 应定义备份信息的必要级别；

b） 应建立备份拷贝的准确完整的记录和文件化的恢复程序；

36

c） 备份的程度（例如全部备份或部分备份）和频率应反映组织的业务要求、涉及信息的安全要求和信息对组织持续运作的关键度；

d） 备份要存储在一个远程地点，有足够距离，以避免主办公场所灾难时受到损坏； e） 应给予备份信息一个与主办公场所应用标准相一致的适当的物理和环境保护等级（见第9章）。应扩充应用于主办公场所介质的控制，以涵盖备份场所； f） 若可行，要定期测试备份介质，以确保当需要应急使用时可以依靠这些备份介质； g） 恢复程序应定期检查和测试，以确保他们有效，并能在操作程序恢复所分配的时间内完成；

h） 在保密性十分重要的情况下，备份应通过加密方法进行保护。

各个系统的备份安排应定期测试以确保他们满足业务连续性计划（见14章）的要求。对于重要的系统，备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。

应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求（见15.1.3）。 其它信息

为使备份和恢复过程更容易，备份可安排为自动进行。这种自动化解决方案应在实施前进行充分的测试，还应做到定期测试。

10.6 网络安全管理 目标：确保网络中信息的安全性并保护支持性的基础设施。 可能跨越组织边界的网络安全管理，需要仔细考虑数据流、法律含义、监视和保护。 还可以要求另外的控制，以保护在公共网络上传输的敏感数据。 10.6.1 网络控制

控制措施

应充分管理和控制网络，以防止威胁的发生，维护系统和使用网络的应用程序的安全，包括传输中的信息。 实施指南

网络管理员应实施控制，以确保网络上的信息安全、防止未授权访问所连接的服务。特别是，下列条款应予以考虑：

a） 若合适，网络的操作职责要与计算机操作分开（见10.1.3）； b）应建立远程设备（包括用户区域内的设备）管理的职责和程序；

c） 如有必要，应建立专门的控制，以保护在公用网络上或无线网络上传递数据的保密性和完整性，并且保护已连接的系统及应用（见11.4和12.3）；为维护所连接的网络服务和计算机的可用性，还可以要求专门的控制； d） 为记录安全相关的活动，应使用适当的日志记录和监视措施；

e） 为优化对组织的服务和确保在信息处理基础设施上始终如一地应用若干控制措

37

施，应紧密地协调管理活动。

其它信息

关于网络安全的另外信息见ISO/IEC 18028 网络安全。

10.6.2 网络服务安全

控制措施

安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的。 实施指南

网络服务提供商以安全方式管理商定服务的能力应予以确定并定期监视，还应商定审核的权利。

应识别特殊服务的安全安排，例如安全特性、服务级别和管理要求。组织应确保网络服务提供商实施了这些措施。 其它信息

网络服务包括连接的提供、私有网络服务、增值网络和受控的网络安全解决方案，例如防火墙和入侵检测系统。这些服务既包括简单的未受控的带宽也包括复杂的增值的提供。

网络服务的安全特性可以是：

a) 为网络服务应用的安全技术，例如认证、加密和网络连接控制； b) 按照安全和网络连接规则，网络服务的安全连接需要的技术参数； c) 若需要，网络服务使用程序，以限制对网络服务或应用的访问。

10.7 介质处置 目标：防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 介质应受到控制和物理保护。 为使文件、计算机介质（如磁带、磁盘）、输入/输出数据和系统文件免遭未授权泄露、修改、删除和破坏，应建立适当的操作程序。 10.7.1 可移动介质的管理

控制措施

应有适当的可移动介质的管理程序。 实施指南

下列对于可移动介质的管理指南应加以考虑：

a） 对从组织取走的任何可重用的介质中的内容，如果不再需要，应使其不可重用； b） 如果需要并可行，对于从组织取走的所有介质应要求授权，所有这种移动的记录

应加以保持，以保持审核踪迹；

c） 要将所有介质存储在符合制造商说明的安全、保密的环境中；

d） 如果存储在介质中的信息使用时间比介质生命期长，则也要将信息存储在别的地

38

方，以避免由于介质老化而导致信息丢失；

e） 应考虑可移动介质的登记，以减少数据丢失的机会； f） 只应在有业务要求时，才使用可移动介质。 所有程序和授权级别要清晰地形成文件。 其它信息

可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。

10.7.2 介质的处置

控制措施

不再需要的介质，应使用正式的程序可靠并安全地处置。 实施指南

应建立安全处置介质的正式程序，以使敏感信息泄露给未授权人员的风险减至最小。安全处置包含敏感信息介质的程序应与信息的敏感性相一致。下列控制应予以考虑：

a) 包含有敏感信息的介质要秘密和安全地存储和处置，例如，利用焚化或切碎的方

法，或者将数据删除供组织内其它应用使用； b) 应有程序识别可能需要安全处置的项目；

c) 安排把所有介质部件收集起来并进行安全处置，比试图分离出敏感部件可能更容

易；

d) 许多组织对纸、设备和介质提供收集和处置服务；应注意选择具有足够控制措施

和经验的合适的合同方；

e) 若有可能，处置敏感部件要做记录，以便保持审核踪迹。

当处置堆积的介质时，对集合效应应予以考虑，它可能使大量不敏感信息变成敏感信息。 其它信息

敏感信息可能由于粗心大意的介质处置而被泄露（见9.2.6有关设备处置的信息）。

10.7.3 信息处理程序

控制措施

应建立信息的处理及存储程序，以防止信息的未授权的泄漏或不当使用。 实施指南

应制定处置、处理、存储与分类一致的信息（见7.2）及与其通信的程序。下列条款应加以考虑：

a） 按照所显示的分类级别，处置和标记所有介质； b）确定防止未授权人员访问的限制； c） 维护数据的授权接收者的正式记录；

d）确保输入数据完整，正确完成了处理并应用了输出验证； e） 按照与其敏感性一致的级别，保护等待输出的假脱机数据；

39

f） 根据制造商的规范存储介质； g）使分发的数据最少；

h）清晰地标记数据的所有拷贝，以引起已授权接收者的关注； i） 以固定的时间间隔评审分发列表和已授权接收者列表。 其它信息

这些程序应用于文件、计算系统、网络、移动计算、移动通信、邮件、话音邮件、通用话音通信、多媒体、邮政服务/设施、传真机的使用和任何其他敏感项目（例如，空白支票、发票）中的信息。

10.7.4 系统文件安全

控制措施

应保护系统文件以防止未授权的访问。 实施指南

对于系统文件安全，应考虑下列条款： a） 要安全地存储系统文件；

b）将系统文件的访问人员列表保持在最小范围，并且由应用责任人授权； c） 应妥善地保护保存在公用网络上的或经由公用网络提供的系统文件。 其它信息

系统文件可以包含一系列敏感信息，例如，应用过程的描述、程序、数据结构、授权过程。

10.8 信息的交换 目标：保持组织内信息和软件交换及与外部组织信息和软件交换的安全。 组织间信息和软件的交换应基于一个正式的交换策略，按照交换协议执行，还应服从任何相关法律（见第15章）。 要建立程序和标准，以保护信息和在传输中包含信息的物理介质。 10.8.1 信息交换策略和程序

控制措施

应有正式的交换策略、程序和控制措施，以保护通过使用各种类型通信设施的信息交换。 实施指南

使用电子通信设施进行信息交换的程序和控制应考虑下列条款：

a) 设计用来防止交换信息遭受截取、复制、修改、错误寻址和破坏的程序； b) 检测和防止可能通过使用电子通信传输的恶意代码的程序； c) 保护以附件形式传输的敏感电子信息的程序；

d) 简述电子通信设施可接受使用的策略或指南（见7.1.3）； e) 无线通信使用的程序，要考虑所涉及的特定风险；

40

f) 雇员、承包方人员和所有第三方人员不危害组织的职责，例如诽谤、扰乱、扮演、

连锁信寄送、未授权购买等；

g) 密码技术的使用，例如保护信息的保密性、完整性和真实性（见12.3）； h) 所有业务通信（包括消息）的保持和处理指南，要与相关国家和地方法律法规一

致；

i) 不将敏感或关键信息留在打印设施上，例如复印机、打印机和传真机，因为这些

设施可能被未授权人员访问；

j) 与通信设施转发相关的控制措施和限制，例如将电子邮件自动转发到外部邮件地

址；

k) 提醒工作人员，他们应采取相应预防措施，例如，为不泄露敏感信息，避免打电

话时被无意听到或窃听：

1）当使用移动电话时，要特别注意在他们附近的人；

2）搭线窃听、通过物理访问手持电话或电话线路以及受用扫描接收器的其他窃听方式； 3）接收端的人；

l) 不要将包含敏感信息的消息留在应答机上，因为可能被未授权个人重放，也不能

留在公用系统或者由于误拨号而被不正确地存储； m) 提醒工作人员关于传真机的使用问题，即：

1）未授权访问内置消息存储器，以检索消息；

2）有意的或无意的对传真机编程，将消息发送给特定的电话号码；

3）由于误拨号或使用错误存储的号码将文档和消息发送给错误的电话号码； n) 提醒工作人员不要注册统计数据，例如任何软件中的电子邮件地址或其他人员信

息，以避免未授权人员收集；

o) 提醒工作人员现代的传真机和影印机都有页面缓冲并在页面或传输故障时存储页

面，一旦故障消除，这些将被打印。

另外，应提醒工作人员，不要在公共场所或开放办公室和薄围墙的会场进行保密会谈。 信息交换设施应符合所有相关的法律要求（见第15章）。 其它信息

可能通过使用很多不同类型的通信设施进行信息交换，例如电子邮件、声音、传真和视频。

可能通过很多不同类型的介质进行软件交换，包括从互联网下载和从出售现货的供应商处获得。

应考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全蕴涵。

由于在使用信息交换设施时缺乏意识、策略或程序，因此可能泄露信息，例如，在公

41

开场所的移动电话被偷听、电子邮件消息的指示错误、应答机被偷听，未授权访问拨号语音邮件系统或使用传真设备意外地将传真发送到错误的传真设备上。

如果通信设施失灵、过载或中断，则可能中断业务运行并损坏信息（见10.3或第14章）。如果上述通信设施被未授权用户所访问，也可能损害信息（见第11章）。

10.8.2 交换协议

控制措施

应建立组织与外部团体交换信息和软件的协议。 实施指南

交换协议应考虑以下安全条款：

a) 控制和通知传输、分派和接收的管理职责； b) 通知传输、分派和接收的发送者的程序； c) 确保可追溯性和不可抵赖性的程序； d) 打包和传输的最低技术标准； e) 有条件转让契约； f) 送信人标识标准；

g) 如果发生信息安全事件的职责和义务，例如数据丢失；

h) 商定的标记敏感或关键信息的系统的使用，确保标记的含义能直接理解，信息受

到适当的保护；

i) 数据保护、版权、软件许可证符合性及类似考虑的责任和职责（见15.1.2和15.1.4）； j) 记录和阅读信息和软件的技术标准；

k) 为保护敏感项，可以要求任何专门的控制措施，例如密钥（见12.3）。

应建立和保持策略、程序和标准，以保护传输中的信息和物理介质（见10.8.3），这些还应在交换协议中进行引用。

任何协议的安全内容应反映涉及的业务信息的敏感度。 其它信息

协议可以是电子的或手写的，可能采取正式合同或任用条款的形式。对敏感信息而言，信息交换使用的特定机制对于所有组织和各种协议应是一致的。

10.8.3 运输中的物理介质

控制措施

包含信息的介质在组织的物理边界以外运送时，应防止未授权的访问、不当使用或毁坏。 实施指南

应考虑下列指南以保护不同地点间传输的信息介质： a) 应使用可靠的运输或送信人； b) 授权的送信人列表应经管理者批准；

42

c) 应开发检查送信人识别的程序；

d) 包装要足以保护信息免遭在运输期间可能出现的任何物理损坏，并且符合制造商

的规范（例如软件），例如防止可能减少介质恢复效力的任何环境因素，例如暴露于过热、潮湿或电磁区域；

e) 若需要，应采取专门的控制，以保护敏感信息免遭未授权泄露或修改；例子包括：

1） 使用可上锁的容器； 2） 手工交付；

3） 防篡改的包装（它可以揭示任何想获得访问的企图）；

4） 在异常情况下，把托运货物分解成多次交付，并且通过不同的路线发送；

其它信息

信息在物理传输期间（例如通过邮政服务或送信人传送）易受未授权访问、不当使用或破坏。

10.8.4 电子消息发送

控制措施

包含在电子消息发送中的信息应给予适当的保护。 实施指南

电子消息发送的安全考虑应包括以下方面：

a) 防止消息遭受未授权访问、修改或拒绝服务攻击； b) 确保正确的寻址和消息传输； c) 服务的通用可靠性和可用性；

d) 法律方面的考虑，例如电子签名的要求；

e) 在使用外部公开服务（例如即时消息或文件共享）前获得批准； f) 更强的用以控制从公开可访问网络进行访问的认证级别。 其它信息

电子消息（例如电子邮件、电子数据交换（EDI）、即时消息）在业务通信中充当一个日益重要的角色。电子消息与基于通信的纸面文件相比有不同的风险。

10.8.5 业务信息系统

控制措施

应建立和实施策略和程序以保护与业务信息系统互联的信息。 实施指南

对于互连接（例如设施）的安全和业务蕴涵的考虑应包括：

a) 信息在组织的不同部门间共享时，在管理和会计系统中已知的脆弱性； b) 业务通信系统中的信息的脆弱性，例如，记录电话呼叫或会议呼叫、呼叫的保密

性、传真的存储，打开邮件，邮件分发； c) 管理信息共享的策略和适当的控制；

43

d) 如果系统不提供适当级别的保护（见7.2），则没有考虑到敏感业务信息的类别和

分类的文件；

e) 限制访问与挑选的人员相关的日记信息，例如，人员作品或敏感计划； f) 允许使用系统的工作人员、承包方人员或业务伙伴的类别以及可以访问该系统的

位置；

g) 对特定的用户限制所选定的设施；

h) 识别出用户的身份，例如，组织的雇员，或者为其他用户利益的目录中的承包方

人员；

i) 系统上存放的信息的保留和备份； j) 基本维持运行的要求和安排（见第14章）。 其它信息

办公信息系统可通过结合使用文档、计算机、移动计算、移动通信、邮件、话音邮件、通用话音通信、多媒体、邮政服务/设施和传真机，来快速传播和共享业务信息。

10.9 电子商务服务 目标：确保电子商务服务的安全及其安全使用。 应考虑与使用电子商务服务相关的安全蕴涵，包括在线交易和控制要求。还应考虑通过公开可用系统以电子方式公布的信息的完整性和可用性。 10.9.1 电子商务

控制措施

包含在使用公共网络的电子商务中的信息应受保护，以防止欺诈活动、合同争议和未授权的泄露和修改。 实施指南

电子商务的安全考虑应包括：

a） 在彼此声称的身份中，每一方要求的信任级别，例如通过认证； b） 与谁设定价格、发布或签署关键交易文件相关的授权； c） 确保贸易伙伴完全接到他们的职责的通知；

d） 决定并满足保密性、完整性和关键文件的分发和接收的证明以及合同不可抵赖性

方面的要求，例如关于提出和订约过程； e） 公开价格表的完整性所需的可信级别； f） 任何敏感数据或信息的保密性；

g） 任何订单交易、支付信息、交付地址细节和接收确认的保密性和完整性； h） 适于检查用户提供的支付信息的验证程度； i） 为防止欺诈，选择最适合的支付解决形式；

j） 为保持订单信息的保密性和完整性要求的保护级别； k） 避免交易信息的丢失或复制；

44

本文来源：https://www.bwwdw.com/article/odfr.html