國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全控制》征求意見稿發(fā)布

發(fā)布時(shí)間 2023-04-11

本文件適用于所有類型和規(guī)模的組織。組織在實(shí)施基于GB/T 22080信息安全管理體系的信息安全風(fēng)險(xiǎn)處置時(shí),本文件可作為其確定和實(shí)施所需控制的參考;本文件還可作為組織在確定和實(shí)施普遍接受的信息安全控制時(shí)的指導(dǎo)文件。此外,本文件旨在用于制定行業(yè)和特定組織的信息安全管理指南,同時(shí)考慮其具體的信息安全風(fēng)險(xiǎn)環(huán)境。除本文件包含的控制外,可通過風(fēng)險(xiǎn)評(píng)估來確定特定于組織或環(huán)境所需要的控制。


所有類型和規(guī)模的組織(包括公共和私營部門、商業(yè)和非營利性組織)都會(huì)以多種形式創(chuàng)建、收集、處理、存儲(chǔ)、傳輸和處置信息,包括電子的、物理的和口頭的(如對(duì)話—會(huì)話和演示)。信息的價(jià)值超出了字、數(shù)字和圖像的本身:如知識(shí)、概念、觀點(diǎn)和品牌都是無形信息。


在互聯(lián)的世界中,信息和相關(guān)資產(chǎn)都值得或需要保護(hù),以防范各種風(fēng)險(xiǎn)源,無論該風(fēng)險(xiǎn)是源自自然界,還是意外或故意破壞。信息安全是通過實(shí)施一組適宜的控制來實(shí)現(xiàn)的,包括策略、規(guī)則、過程、規(guī)程、組織結(jié)構(gòu)和軟硬件功能。組織宜在必要時(shí)定義、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制,以滿足其特定的安全和業(yè)務(wù)目標(biāo)。


GB/T 22080中規(guī)定的ISMS從整體、協(xié)調(diào)的視角審視組織的信息安全風(fēng)險(xiǎn),在協(xié)調(diào)一致的管理體系總框架內(nèi)確定和實(shí)施一套全面的信息安全控制。許多信息系統(tǒng),包括其管理和運(yùn)營,并沒有按照GB/T 22080所規(guī)定的ISMS和本文件來進(jìn)行安全的設(shè)計(jì)。只通過技術(shù)措施所能實(shí)現(xiàn)的安全水平是有限的,宜通過適當(dāng)?shù)墓芾砘顒?dòng)和組織過程給予支持。在進(jìn)行風(fēng)險(xiǎn)處置時(shí),需要仔細(xì)規(guī)劃、注意細(xì)節(jié),來確定宜實(shí)施哪些控制。


成功的ISMS需要得到組織內(nèi)所有人員的支持,還可能需要股東或供應(yīng)商等其他利益相關(guān)方的參與,同時(shí)也需要業(yè)內(nèi)專家的建議。一個(gè)適宜、充分和有效的信息安全管理體系,為組織的管理層及其他利益相關(guān)方提供以下保證:它們的信息及其他相關(guān)資產(chǎn)處于合理的安全狀態(tài)并免受威脅和損害,從而使組織能夠?qū)崿F(xiàn)既定的業(yè)務(wù)目標(biāo)。


信息安全要求


組織確定其信息安全要求是必要的。信息安全要求有三個(gè)主要來源:

  1. a) 考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標(biāo)來對(duì)組織風(fēng)險(xiǎn)進(jìn)行評(píng)估。這能通過特定于信息安全的風(fēng)險(xiǎn)評(píng)估來給予幫助或支持。這宜得出對(duì)必要控制的確定,以確保組織面臨的殘余風(fēng)險(xiǎn)符合其風(fēng)險(xiǎn)接受準(zhǔn)則;

  2. b) 組織及其利益相關(guān)方(貿(mào)易伙伴、服務(wù)提供者等)必須遵守的法律、法規(guī)、規(guī)章和合同要求及其社會(huì)文化環(huán)境;

  3. c) 組織為支持其運(yùn)行而為信息生存周期的所有步驟所建立的一整套原則、目標(biāo)和業(yè)務(wù)要求。


控制


控制的定義是改變或維持風(fēng)險(xiǎn)的措施。本文件中的某些控制是修改風(fēng)險(xiǎn),而其他控制則是維持風(fēng)險(xiǎn)。例如,信息安全方針只能維持風(fēng)險(xiǎn),而遵守信息安全方針則能改變風(fēng)險(xiǎn)。此外,某些控制描述了不同風(fēng)險(xiǎn)環(huán)境下相同的通用措施。本文件提供了源于國際公認(rèn)最佳實(shí)踐的一系列組織、人員、物理和技術(shù)信息安全控制。


控制的確定


控制的確定取決于組織在風(fēng)險(xiǎn)評(píng)估后做出的決策,并有一個(gè)明確定義的范圍。與已識(shí)別風(fēng)險(xiǎn)相關(guān)的決策宜基于風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處置選項(xiàng)和組織所采用的風(fēng)險(xiǎn)管理方法??刂频拇_定還宜考慮所有相關(guān)的國家和國際法律法規(guī)??刂频拇_定還取決于不同控制的協(xié)同,以實(shí)現(xiàn)縱深防御。


組織可根據(jù)需要來設(shè)計(jì)控制,或從任何來源識(shí)別控制。在指定此類控制時(shí),組織宜考慮相對(duì)于所實(shí)現(xiàn)的業(yè)務(wù)價(jià)值,實(shí)施和運(yùn)行控制所需要的資源和投資。參見ISO/IEC TR 27016,了解有關(guān)ISMS投資的決策指南,以及這些決策在資源相互沖突的境下帶來的經(jīng)濟(jì)后果。


在為實(shí)施控制而部署的資源與因缺乏這些控制而發(fā)生安全事件所導(dǎo)致的潛在業(yè)務(wù)影響之間宜取得平衡。風(fēng)險(xiǎn)評(píng)估的結(jié)果宜有助于指導(dǎo)和確定適當(dāng)?shù)墓芾泶胧?、管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序,以及實(shí)施為防范這些風(fēng)險(xiǎn)而確定的必要控制。


本文件中的某些控制可被視為信息安全管理的指導(dǎo)原則,適用于大多數(shù)組織。