GB/T 22080—2008《信息安全管理體系 要求》解析

李艷杰

GB/T 22080—2008《信息安全管理體系 要求》解析

李艷杰

解析系列五：GB/T 22080—2008信息安全管理體系 要求附錄A.11—A.15解析

國家標準GB/T 22080—2008標準等同采用ISO 27001：2005《信息安全管理體系要求》。標準由引言、范圍、術語和定義以及第4章到第8章正文及附錄五部分組成。本部分針對附錄A.11—A.15進行解析。

國家標準GB/T 22080—2008附錄A涉及信息安全管理的11個領域，共列出了39個控制目標和133項信息安全控制措施。這些控制措施匯集了信息安全管理的最佳實踐，組織應根據信息安全風險評估并結合組織的內部和外部的環境，以及整體業務要求從中進行選擇。

A.11 訪問控制

A.11.1 訪問控制的業務要求

A.11.1.1 訪問控制策略

【內容解析】

管理層應制定并發布一份訪問控制策略文件，訪問控制策略應滿足組織對業務運行、法律法規、合同和其他特殊情況下的要求。

訪問控制是信息安全的關鍵概念，組織應十分關注訪問控制的運行，并將當前實施狀況與標準本條款的要求進行比較以改進訪問安全。

A.11.2 用戶訪問管理

【內容解析】

組織信息處理設施的用戶應按照訪問控制策略并結合相應的方法加以鑒別和授權。

A.11.2.1 用戶注冊

【內容解析】

管理層應依據訪問控制策略對需要訪問信息處理系統和應用的用戶實施注冊和注銷賬戶的規程。

A.11.2.2 特殊權限管理

【內容解析】

特殊權限在信息安全中十分重要，因為特權是基于信任，通常只授予管理層和特定人員。特殊權限會給組織的資產帶來安全風險，應按照規定策略和指南嚴格控制其分配和使用。

在企業內控方面可以借鑒最小特權原則，即將訪問權限制在履行其職責所需的最低限度。

A.11.2.3 用戶口令管理

【內容解析】

口令是用來鑒別用戶身份的一組秘密字符串，用來控制對數據、系統和網絡的訪問。口令管理是一個過程，包含對口令策略（規則）和管理規程的定義、實施和維護。有效的口令管理可降低對信息處理設施和信息的損害風險，保護口令的保密性、完整性和可用性。

A.11.2.4 用戶訪問權的復查【內容解析】

對訪問權應由不負責建立賬戶的有資質的人員進行定期的復查，以確保現有的訪問權符合其角色和職責。

A.11.3 用戶職責

A.11.3.1 口令使用

【內容解析】

組織應基于良好的口令實踐建立口令結構，用戶要遵守組織的要求，并建立良好的口令使用習慣。

A.11.3.2 無人值守的用戶設備

【內容解析】

當信息處理設施和應用系統處于無人值守時，管理層應有必要的措施確保無人值守的設備得到適當的保護。如當非工作時間，由值班人員對工作場所和設施進行定期巡查等。

A.11.3.3 清空桌面和屏幕策略

【內容解析】

當員工一段時間（如開會）不在工作區時，他們的工作區域應確保安全，任何形式的敏感信息未被非授權訪問。對此組織應規定相應的策略或制度。

A.11.4 網絡訪問控制

A.11.4.1 使用網絡服務的策略

【內容解析】

網絡連接，特別是因特網和無線網連接，需要在信息處理環境中識別風險。管理層對使用網絡服務以及日常監視網絡環境應規定有明確的策略，以確保用戶僅能訪問得到授權的服務。

A.11.4.2 外部連接的用戶鑒別

【內容解析】

應采用安全的鑒別方式來控制遠程用戶對信息處理設施的外部網絡連接。常用的鑒別方法有：登錄時要求用戶名和口令。但對重要的系統組織應基于風險考慮其他鑒別方式，如生物鑒別等。

A.11.4.3 網絡上的設備標識

【內容解析】

適當時，對網絡上的設備進行標識，是鑒別來自一個特定受控環境和設備的網絡通訊的安全手段。

A.11.4.4 遠程診斷和配置端口的保護

【內容解析】

對網絡和通信設備的診斷和遠程端口，組織應嚴密控制，防止未授權的物理和邏輯訪問。

A.11.4.5 網絡隔離

【內容解析】

網絡服務是基于網絡的服務，包括因特網服務、內部網絡、無線網絡、IP電話和視頻廣播等。在可能的情況下應將網絡服務在邏輯網絡中進行隔離，以增強控制的深度。

A.11.4.6 網絡連接控制

【內容解析】

網絡擴展到組織的邊界之外通常是為了便利與外部第三方供應商或外部商業合作伙伴開展業務活動。從信息安全的角度，對這種網絡連接控制是一種挑戰，而且常被忽略，因為供應商和業務伙伴在使用組織網絡時是受信的。所以組織應實施控制措施來限制用戶的連接能力和對網絡的訪問能力。

A.11.4.7 網絡路由控制

【內容解析】

網絡路由的邏輯控制對數據和信息流的控制十分關鍵。網絡路由的控制應與對特定應用和服務的訪問控制相結合。

網絡路由控制通常需要在IT部門選擇具有相關知識的人員來設計和實施本項所要求的控制措施，并最好經過相關專家的確認。

A.11.5 操作系統訪問控制

A.11.5.1 安全登錄規程

【內容解析】

操作系統的訪問應通過安全設計的登錄和鑒別規程來加以保護，將未授權訪問的機會降低到最小。

A.11.5.2 用戶標識和鑒別

【內容解析】

對組織信息處理系統訪問的用戶應有唯一的用戶賬戶，并在允許其訪問系統前采用安全的方式來確認用戶的身份。

A.11.5.3 口令管理系統

【內容解析】

應采用系統來管理口令并強制實施口令策略。口令管理系統通常與網絡相關聯，但也可應用于應用系統和數據庫。

A.11.5.4 系統實用工具的使用

【內容解析】

對于超越系統控制的實用工具應限制安裝，如需安裝使用，其使用權限應僅限于指定的管理員。對實用工具的使用應加以監視并保留記錄。

A.11.5.5 會話超時

【內容解析】

操作系統和終端在預定的時間段內，如會話沒有活動應自動加鎖，以防止未授權訪問。

A.11.5.6 聯機時間的限定

【內容解析】

對識別為高風險的應用系統，在聯機時間上要有限制，超過約定聯機時間應加鎖或斷開聯機。

A.11.6 應用和信息訪問控制

A.11.6.1 信息訪問限制

【內容解析】

應用系統具有儲存和處理關鍵、敏感信息和數據的能力。組織對這類數據和信息應依照已確定的訪問控制策略采取保護性的控制措施（例如，限制訪問權限，包括讀、寫、刪除等），以防止未授權的訪問及信息損毀。

A.11.6.2 敏感系統隔離

【內容解析】

如果識別為高敏感性的應用系統，應加以隔離、嚴密控制并監視。同時對信息處理系統或應用系統的責任人，也應有相應的隔離要求。

A.11.7 移動計算和遠程工作

A.11.7.1 移動計算和通信

【內容解析】

移動計算是指可改變位置的計算裝置，通常包括便攜式計算機（wearablEComputer）、PDA、超級移動電腦、智能手機、車載計算機（carputer）。

移動計算的使用，因為處在受控的網絡環境之外，所以是組織面臨的特殊風險。需要組織策劃相

應的控制措施。

A.11.7.2 遠程工作

【內容解析】

遠程工作是指利用信息通信技術（ICT）使工作能在遠離工作結果產生的地點進行，例如，居家遠程工作（Home-based telework）。

遠程工作者需要訪問組織的資源，包括內部應用系統和信息。所以組織應明確遠程工作策略，并針對從外部訪問組織資源的相關風險，開發和實施特定的控制和防護措施。

A.12 信息系統獲取、開發和維護

A.12.1 信息系統的安全要求

A.12.1.1 安全要求分析和說明

【內容解析】

在建設一個新的信息系統前或是對現有系統進行升級時，必須要識別和定義信息安全的需求和控制措施。信息安全的要求和控制措施進入設計過程最為有效，決不能放在以后再說。

A.12.2 應用中的正確處理

A.12.2.1 輸入數據確認

【內容解析】

數據和信息是業務應用系統的核心和靈魂。對輸入信息處理系統或應用系統中的數據應確認其正確性（包括數據的邊界、長度和業務邏輯等），并對系統可接受的輸入類型進行確認檢查以保證數據是恰當的，避免不符合要求的數據進入系統。

在軟件開發中通常都會對輸入數據進行確認，但對通過自動捕獲得到的數據和信息卻容易忽略。所以在對輸入數據進行確認時，需同時需要關注自動捕獲的數據和信息。

A.12.2.2 內部處理的控制

【內容解析】

正確輸入的數據可能會因硬件錯誤、處理出錯或故意的行為而破壞。應用系統應在數據的處理過程設置錯誤檢查，必要時提供數據變更、中斷處理及恢復功能。

A.12.2.3 消息完整性

【內容解析】

許多應用系統使用內部消息進行運行和處理。這些應用消息應加以保護以確保對數據不發生未授權的修改或損壞。

A.12.2.4 輸出數據確認

【內容解析】

對關鍵應用系統的輸出應進行確認，以確保輸出數據是準確適當的。

A.12.3 密碼控制

A.12.3.1 使用密碼控制的策略

【內容解析】

密碼控制是保護信息和數據防止未授權的訪問或破壞的防護措施。盡管其對保護信息和數據的保密性和完整性十分有效，但組織還應基于風險評估來擬定其使用范圍。在組織管理方面應制定和發布使用密碼的策略。

A.12.3.2 密鑰管理

【內容解析】

對于使用密鑰的組織應具備一個正式的密鑰管理系統來保護密鑰，防止密鑰被盜、誤用和修改。

A.12.4 系統文件的安全

A.12.4.1 運行軟件的控制

【內容解析】

確保只有經過授權的軟件、應用程序或系統才能安裝在運行的信息處理系統中。

A.12.4.2 系統測試數據的保護

【內容解析】

系統測試是對系統投入運行前或變更后的驗證和確認，應謹慎設計和選擇測試用例和數據，其中不應包含敏感信息（如個人的信息，業務數據等）。系統測試數據也是一種歷史資源，有助于系統的運行維護人員對系統的故障和安全事態快速應對。所以測試數據應加以妥善保護和控制。

A.12.4.3 對程序源代碼的訪問控制

【內容解析】

源代碼是軟件程序和應用系統的核心機密，在開發過程中應通過配置管理（及工具）實施嚴格的配置控制；軟件產品或應用系統進入生產環境后還應納入最終軟件庫；通過軟件開發和運行中的訪問控制和變更控制防止對源代碼的未授權的訪問、修改或損毀。

A.12.5 開發和支持過程中的安全

A.12.5.1 變更控制規程

【內容解析】

對系統、應用、數據和網絡裝置的變更應通過正式的變更控制過程加以嚴格控制。

A.12.5.2 操作系統變更后應用的技術評審

【內容解析】

在核心運行系統發生變更后，組織應就其對一些關鍵應用系統的影響，組織正式的技術評審，識別對信息安全和業務產生的其他負面影響，以便采取措施盡快消除問題。

A.12.5.3 軟件包變更的限制

【內容解析】

無論是通過購買還是組織內自主研發的應用軟件，都應盡可能避免修改以有助于控制那些未識別的或未預期的安全漏洞。對必要的變更組織應做好策劃和組織，最好將多項變更組合在一起，一次實施。以降低變更帶來的風險。

A.12.5.4 信息泄露

【內容解析】

通過介質、應用、系統和其他渠道泄露的敏感信息，會對組織造成嚴重的負面影響。信息泄露的方式較多，例如：在邏輯方面包括網絡連接、存儲介質；在物理方面包括紙片或文件；人員方面包括員工失誤、惡意行為等，需要組織謹慎設計和實施多種控制措施防止信息泄露。

A.12.5.5 外包軟件開發

【內容解析】

確定將應用軟件系統開發部分或全部發包給外部機構時，需要擬定對承包方的管理和控制措施。

A.12.6 技術脆弱性管理

A.12.6.1 技術脆弱性的控制

【內容解析】

組織應通過對系統和應用軟件制造商有關安全脆弱性公告的監視或與有關的權威檢測機構確立脆弱性通告機制來及時獲取新的技術脆弱性信息，并針對發布的這類信息審查組織的系統、評價暴露程度并采取適當的處理措施（如安裝補丁）。

A.13 信息安全事件管理

A.13.1 報告信息安全事態和弱點

A.13.1.1 報告信息安全事態

【內容解析】

信息安全事態是已識別的或受懷疑但尚未確認的安全事件。對信息安全事態的報告，組織應規定適當的報告渠道；依組織規模和結構，可統一渠道或分層級報告。

報告安全事態是啟動整個信息安全事件處理過程的觸發點，應使所有的員工或用戶都能清楚地了解安全事件的報告渠道和過程，以便一旦發現安全事態，盡快報告。

A.13.1.2 報告安全弱點

【內容解析】

所有受懷疑的或識別的安全弱點都應該按規定的過程報告給管理層。在執行控制措施過程中需要兩個維度。

第一：建立環境和過程使得信息系統的用戶對觀察到的安全弱點或威脅上報管理層。

第二：意識和培訓，持續警醒用戶可能身處的各類弱點和威脅。

A.13.2 信息安全事件和改進的管理

A.13.2.1 職責和規程

【內容解析】

信息安全事件可能對相關各方產生壓力甚至恐慌。組織應預先制定處理信息安全事件的管理職責、過程及相關的規程。確保在發生安全事件，尤其是在信息系統遭到攻擊時能及時有效地做出響應。

A.13.2.2 對信息安全事件的總結

【內容解析】

管理層應采用某種方法或系統，確保能采集到安全事件處理過程中的適當信息，以便在事后做出分析總結，吸取教訓和評價改進。

對信息安全事件的總結可作為安全事件處理過程的一部分，也可形成單獨的規程。通常在重大事件后要求提交正式的報告，分析事件原因和模式，量化直接和間接成本或損失，建議后續的行動方案等；評審現有相關的策略和控制措施，包括實施范圍和適用性，提出改進建議。

A.13.2.3 證據的收集

【內容解析】

在很多情況下，信息安全事件會產生法律牽連。在信息安全事件處理過程中需要采集和保留相關的證據。組織對此應制定規程和指南。

A.14 業務連續性管理

A.14.1 業務連續性管理的信息安全方面

A.14.1.1 在業務連續性管理過程中包含信息安全

【內容解析】

為了保持組織在重大事件和災害后的業務運行能力，組織應制定和保持一個業務連續性管理過程，其中包括業務連續性計劃或恢復計劃。當業務運行中斷時，按照業務連續性計劃恢復的運行環境應能在某種程度上保持對原生產環境的保護和恢復。組織應基于風險評估確立在業務系統恢復過程中以及在恢復的系統運行中對信息安全要求，以便將所需的資源和措施納入計劃。

A.14.1.2 業務連續性和風險評估

【內容解析】

風險評估是業務連續性管理的關鍵要素之一。對業務連續性進行風險評估時，需關聯與信息安全相關的風險，如重大信息安全事件的發生及其后果等，作為策劃業務連續性計劃或恢復計劃的輸入。

A.14.1.3 制定和實施包含信息安全的連續性計劃

【內容解析】

組織在制定業務連續性計劃時應基于對信息安全的要求、安全風險及其后果，并將相關的控制措施融入計劃。在業務連續性計劃的落實活動中應評估所實施的安全控制措施是否能確保恢復的系統、應用和環境的安全運營。

A.14.1.4 業務連續性計劃框架

【內容解析】

基于組織關鍵業務的規模和范圍，業務連續性計劃可以是一個綜合性的計劃，包括多項業務、多個領域的恢復職責和工作計劃（如場所設施、系統環境、數據和業務運行恢復等）。組織應保持統一的業務連續性計劃架構，確保信息安全的要求和控制措施能在各項計劃的實施過程中保持協調。

A.14.1.5 測試、維護和再評估業務連續性計劃

【內容解析】

為了確保在發生業務中斷時，信息處理環境和業務能有序地恢復，組織應定期對計劃進行演練和評審，以測試計劃的有效性，培訓人員意識，發現實施能力和計劃的不足，以便相應地作出改進。

A.15 符合性

A.15.1 符合法律要求

A.15.1.1 可用法律的識別

【內容解析】

識別與信息安全相關的全部法律法規和合同的要求是執行管理層的職責，組織應將為滿足這些要求而采用的策略、方法、措施和相關人員的職責形成文件。

A.15.1.2 知識產權（IPR）

【內容解析】

知識產權是指對智力勞動成果依法所享有的占有、使用、處置和收益的權利。組織應制定有關規程，確保對涉及知識產權的事項符合法律、法規和合同的要求。

A.15.1.3 保護組織的記錄

【內容解析】

組織的業務和管理活動產生的大量記錄，其中可能包含敏感信息。組織應按照法律法規、合同以及業務要求制定并實施有關記錄管理的規定和規程，以保護組織的記錄，防止未授權的訪問、修改、損壞和銷毀。

A.15.1.4 數據保護和個人信息的隱私

【內容解析】

組織應按照法律法規的要求保護員工和顧客的個人信息。通常應制定并實施保護數據和個人信息隱私策略，并由指定的責任人負責處理相關事宜。

A.15.1.5 防止濫用信息處理設施

【內容解析】

組織建立的信息處理設施的目的是為了進行業務以及業務相關活動的。組織應規定哪種非業務需要而使用信息處理設施的行為是不恰當或濫用（例如，未經授權試圖進入非授權訪問的系統，在上班時間炒股或玩網絡游戲等），并告知用戶對使用信息處理設施的行為是否有監視手段。組織使用的監視工具或監視記錄應符合相關法律法規的要求。

A.15.1.6 密碼控制措施的規則

【內容解析】

密碼控制措施的使用是為了保護組織資產的保密性和完整性，但首先要了解國際上和我國有關密碼控制的法律法規要求（例如，對執行密碼功能的計算機軟硬件的進出口限制，以及使用密碼的限制）。在涉及密碼控制領域開展業務活動和安全管理時確保符合法律法規的限制要求。為此組織應制定有關使用密碼控制措施的文件，對密碼控制措施的使用提供指南。

A.15.2 符合安全策略和標準以及技術符合性

A.15.2.1 符合安全策略和標準

【內容解析】

管理層為確保組織發布的各項安全方針策略和標準的到普遍的遵循，應有適當的檢查或審核手段，組織的各級管理者對其職責范圍內安全管理除了日常關注還應定期進行評審。

A.15.2.2 技術符合性核查

【內容解析】

為確保敏感信息和信息處理設施的安全，組織會采取各種措施，其中包括技術方法和手段在內的技術措施。這些技術措施是否達到了預定的安全標準和要求，組織需在安全技術人員（包括外部專家或第三方機構）的參與下對信息系統進行定期的核查，以驗證技術安全保護和控制措施持續有效、滿足要求。對系統進行必要的測試（如，滲透測試）和評估（如，脆弱性評估）。核查結果形成報告并提交管理層。

A.15.3 信息系統審計考慮

A.15.3.1 信息系統審計控制措施

【內容解析】

對信息系統可進行內部或外部審計，外部審計通常為滿足特定要求而進行的。組織的相關人員應與審計方進行仔細的策劃和協調，使審計過程盡量避免或減少對組織業務運行的影響，并滿足審計目標和要求。

A.15.3.2 信息系統審計工具的保護

【內容解析】

審計工具具有揭示受保護信息和隱私信息的能力。組織對此應特別小心，防止審計工具受到未授權的安裝、使用或是被濫用。

中國電子技術標準化研究院）