國家標準《信息安(ān)全技術 信息安全(quán)控制》征(zhēnɡ)求意見稿(ɡǎo)發布
發布時(shí)間 2023-04-11本文件適用于所有(yǒu)類型和規模的組織。組織在實施(shī)基于GB/T 22080信息安(ān)全管理體系的信息(xī)安全風險處置時,本文件(jiàn)可作為其(qí)確定和實(shí)施所需控(kònɡ)制的參考(kǎo);本文(wén)件還可作(zuò)為組織在(zài)確定和實(shí)施普遍接受的信息(xī)安全控制(zhì)時的指導文件。此外,本文件(jiàn)旨在用于(yú)制定行業(yè)和特定組織的信息(xī)安全管理(lǐ)指南,同時考慮(lǜ)其具體的(de)信息安全(quán)風險環境(jìnɡ)。除(chú)本文件包(bāo)含的控制(zhì)外,可通過風險評估(ɡū)來確定特(tè)定于組織或環境所(suǒ)需要的控(kònɡ)制。
所有類型(xínɡ)和規模的(de)組織(包(bāo)括公共和(hé)私營部門、商(shānɡ)業和非營(yínɡ)利性組織)都會以(yǐ)多種形式(shì)創建、收(shōu)集、處理、存(cún)儲、傳輸和(hé)處置信息(xī),包(bāo)括電子的(de)、物理的(de)和口頭的(de)(如對話—會話和(hé)演示)。信息的(de)價值超出(chū)了字、數字和圖(tú)像的本身(shēn):如知識、概念(niàn)、觀點和品牌都(dōu)是無形信(xìn)息。
在互聯的(de)世界中,信息和(hé)相關資產(chǎn)都值得或(huò)需要保護,以(yǐ)防范各種風險源,無論該風險是源(yuán)自自然界(jiè),還是意外或(huò)故意破壞。信息(xī)安全是通(tōnɡ)過實施一(yī)組適宜的(de)控制來實(shí)現的,包(bāo)括策略、規則、過程、規程(chénɡ)、組織結構和軟硬件功能(nénɡ)。組織宜在必(bì)要時定義、實施、監視、評審(shěn)和改進這些控制,以滿足(zú)其特定的(de)安全和業(yè)務目標。
GB/T 22080中規定的(de)ISMS從整體、協(xié)調的視角(jiǎo)審視組織的信息安(ān)全風險,在協調一(yī)致的管理(lǐ)體系總框(kuànɡ)架內確定(dìnɡ)和實施一(yī)套全面的(de)信息安全(quán)控制。許多信(xìn)息系統,包括(kuò)其管理和(hé)運營,并沒(méi)有按照GB/T 22080所(suǒ)規定的ISMS和(hé)本文件來進行安全(quán)的設計。只通過技術措施(shī)所能實現(xiàn)的安全水(shuǐ)平是有限(xiàn)的,宜(yí)通過適當(dānɡ)的管理活(huó)動和組織過程給予(yǔ)支持。在進行風險處置時,需要仔細規劃、注意細節,來確定宜實施(shī)哪些控制(zhì)。
成功的ISMS需(xū)要得到組織內所有(yǒu)人員的支(zhī)持,還可能需要(yào)股東或供(ɡònɡ)應商等其(qí)他利益相(xiānɡ)關方的參與,同(tónɡ)時也需要(yào)業內專家(jiā)的建議。一個適宜(yí)、充分和(hé)有效的信(xìn)息安全管(ɡuǎn)理體系,為組織的管理層及其他利(lì)益相關方(fānɡ)提供以下(xià)保證:它(tā)們的信息(xī)及其他相(xiānɡ)關資產處于合理的(de)安全狀態(tài)并免受威(wēi)脅和損害(hài),從而(ér)使組織能(nénɡ)夠實現既(jì)定的業務目標。
信息安全(quán)要求
組織確定(dìnɡ)其信息安(ān)全要求是(shì)必要的。信息安全(quán)要求有三(sān)個主要來源:
a) 考(kǎo)慮組織的(de)整體業務戰略與目(mù)標來對組織風險進行評估。這能通(tōnɡ)過特定于(yú)信息安全(quán)的風險評估來給予(yǔ)幫助或支(zhī)持。這宜(yí)得出對必(bì)要控制的(de)確定,以確保組織面臨的(de)殘余風險符合其風險接受準則;
b) 組織及其利(lì)益相關方(fānɡ)(貿易伙(huǒ)伴、服(fú)務提供者(zhě)等)必須遵守的法(fǎ)律、法(fǎ)規、規章和合同(tónɡ)要求及其(qí)社會文化(huà)環境;
c) 組織為支持(chí)其運行而(ér)為信息生(shēnɡ)存周期的(de)所有步驟所建立的(de)一整套原(yuán)則、目標和業務要(yào)求。
控制
控制的定(dìnɡ)義是改變或維持風險的措施(shī)。本文件中(zhōnɡ)的某些控(kònɡ)制是修改(ɡǎi)風險,而其他控(kònɡ)制則是維持風險。例(lì)如,信息安全(quán)方針只能(nénɡ)維持風險,而遵守(shǒu)信息安全(quán)方針則能(nénɡ)改變風險。此外(wài),某(mǒu)些控制描述了不同(tónɡ)風險環境(jìnɡ)下相同的(de)通用措施(shī)。本文(wén)件提供了(le)源于國際公認最佳(jiā)實踐的一(yī)系列組織、人員、物理(lǐ)和技術信(xìn)息安全控(kònɡ)制。
控制的確定
控制的確定取決于(yú)組織在風險評估后(hòu)做出的決(jué)策,并有(yǒu)一個明確定義的范(fàn)圍。與已(yǐ)識別風險相關的決(jué)策宜基于(yú)風險接受(shòu)準則、風險處置選項和組織所(suǒ)采用的風險管理方(fānɡ)法?刂频(pín)拇_定還宜考慮所(suǒ)有相關的(de)國家和國際法律法(fǎ)規?刂频(pín)拇_定還取決于不(bù)同控制的(de)協同,以實現縱深防御。
組織可根(ɡēn)據需要來設計控制(zhì),或從任何(hé)來源識別(bié)控制。在指定此(cǐ)類控制時(shí),組織宜考(kǎo)慮相對于(yú)所實現的(de)業務價值(zhí),實施(shī)和運行控(kònɡ)制所需要(yào)的資源和(hé)投資。參見ISO/IEC TR 27016,了解有關ISMS投資的決(jué)策指南,以及這些決策在(zài)資源相互(hù)沖突的境(jìnɡ)下帶來的(de)經濟后果(ɡuǒ)。
在為實施(shī)控制而部(bù)署的資源(yuán)與因缺乏(fá)這些控制(zhì)而發生安(ān)全事件所(suǒ)導致的潛(qián)在業務影(yǐnɡ)響之間宜(yí)取得平衡(hénɡ)。風險評估的結果宜有助(zhù)于指導和(hé)確定適當(dānɡ)的管理措(cuò)施、管理信息(xī)安全風險的優先順序,以及實(shí)施為防范(fàn)這些風險而確定的(de)必要控制(zhì)。
本文件中(zhōnɡ)的某些控(kònɡ)制可被視為信息安(ān)全管理的(de)指導原則(zé),適用于大(dà)多數組織。