13.1 網(wǎng)絡(luò)安全管理
控制措施
實(shí)施指南
a)應(yīng)建立網(wǎng)絡(luò)設(shè)備管理職責(zé)和程序�����;
c)具體的控制措施應(yīng)被建立,以保護(hù)通過(guò)公網(wǎng)或無(wú)線網(wǎng)的數(shù)據(jù)的保密性和完整性����,且保護(hù)被連接的系統(tǒng)和應(yīng)用程序(見 10 和 13.2)。具體的控制措施也被要求���,以維護(hù)網(wǎng)絡(luò)服務(wù)和計(jì)算機(jī)連接的可用性���;
e)管理活動(dòng)應(yīng)緊密地協(xié)調(diào)對(duì)組織服務(wù)的優(yōu)化和確??刂拼胧┍灰回灥貞?yīng)用于信息處理基礎(chǔ)設(shè)施��;
g)系統(tǒng)連接到網(wǎng)絡(luò)應(yīng)受限制���。
關(guān)于網(wǎng)絡(luò)安全的另外信息可以在ISO/IEC 27033找到。
13.1.2 網(wǎng)絡(luò)服務(wù)的安全(原 10.6.2)
所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制��、服務(wù)水平和管理要求���,應(yīng)予以明確并列入網(wǎng)絡(luò)服務(wù)協(xié)議中����,無(wú)論這些服務(wù)是否由公司內(nèi)部提供還是外包�。
網(wǎng)絡(luò)服務(wù)提供商以安全方式管理商定服務(wù)的能力應(yīng)予以確定并定期監(jiān)視,還應(yīng)商定審核的權(quán)利�。應(yīng)識(shí)別特殊服務(wù)的安全約定,例如安全特性����、服務(wù)級(jí)別和管理要求����。組織應(yīng)確保網(wǎng)絡(luò)服務(wù)提供商實(shí)施了這些措施����。
網(wǎng)絡(luò)服務(wù)包括連接的提供、私有網(wǎng)絡(luò)服務(wù)����、增值網(wǎng)絡(luò)和使用的網(wǎng)絡(luò)安全解決方案,例如防火墻和入侵檢測(cè)系統(tǒng)���。這些服務(wù)既包括的范圍從簡(jiǎn)單的未受控的帶寬到復(fù)雜的增值產(chǎn)品��。
a) 為網(wǎng)絡(luò)服務(wù)應(yīng)用的安全技術(shù)�,例如身份認(rèn)證���、加密和網(wǎng)絡(luò)連接控制�;
c) 若需要���,使用網(wǎng)絡(luò)服務(wù)程序來(lái)限制對(duì)網(wǎng)絡(luò)服務(wù)或應(yīng)用的訪問�。
13.1.3
控制措施
實(shí)施指南
其它信息
目標(biāo):維護(hù)組織與任何外部實(shí)體的信息傳輸安全����。
13.2.1
控制措施
實(shí)施指南
a) 設(shè)計(jì)用來(lái)防止交換信息遭受截取�����、復(fù)制�����、修改、錯(cuò)誤路由和破壞的程序���;
c) 保護(hù)以附件形式傳輸?shù)拿舾须娮有畔⒌某绦颍?/span>
e) 員工�����、外部團(tuán)體和任何其他用戶的不危害組織的職責(zé)��,例如誹謗���、擾亂、扮演�、連鎖信件轉(zhuǎn)發(fā)、未授權(quán)購(gòu)買等����;
g) 所有業(yè)務(wù)通信(包括消息)的保持和處理指南�����,要與相關(guān)國(guó)家和地方法律法規(guī)一致�;
i)提醒工作人員來(lái)采取相應(yīng)的預(yù)防措施不泄露秘密信息����;
k) 通告員工關(guān)于使用傳真機(jī)或服務(wù)的問題,也就是:
2)故意或意外的機(jī)器編程來(lái)發(fā)送消息到具體的號(hào)碼�;
信息交換服務(wù)應(yīng)符合所有相關(guān)的法律要求(見 18.1)。
可能通過(guò)使用很多不同類型的通信設(shè)施進(jìn)行信息交換����,包括電子郵件、語(yǔ)音���、傳真和視頻��。可能通過(guò)很多不同類型的介質(zhì)進(jìn)行軟件交換����,包括從互聯(lián)網(wǎng)下載和從出售現(xiàn)貨供應(yīng)產(chǎn)品的廠商處獲得����。應(yīng)考慮與電子數(shù)據(jù)交換����、電子商務(wù)��、電子通信和控制要求相關(guān)的業(yè)務(wù)��、法律和安全影響�。
13.2.2 信息傳輸協(xié)議(原 10.8.2)
協(xié)議應(yīng)處理組織與外部方傳輸商業(yè)信息的安全傳輸。
信息交換協(xié)議應(yīng)包含如下條款:
b) 確?���?勺匪菪院筒豢傻仲囆缘某绦?��;
d) 有條件轉(zhuǎn)讓契約���;
f) 信息安全事件結(jié)果的責(zé)任和義務(wù),例如數(shù)據(jù)丟失��;
h) 記錄和閱讀信息和軟件的技術(shù)標(biāo)準(zhǔn)���;
j) 在信息傳輸期間維護(hù)一個(gè)監(jiān)管鏈�����;
應(yīng)建立和保持策略�����、程序和標(biāo)準(zhǔn)���,以保護(hù)傳輸中的信息和物理介質(zhì)(見 8.3.3)�,并在交換協(xié)議中引用�����。任何協(xié)議的安全內(nèi)容應(yīng)反映涉及的業(yè)務(wù)信息的敏感性���。
協(xié)議可以是電子的或手寫的�,可能采取正式合同的形式���。對(duì)秘密信息而言�����,這樣的信息交換使用的特定機(jī)制對(duì)于所有組織和各種協(xié)議應(yīng)是一致的���。
13.2.3 電子消息(原 10.8.3)
涉及電子消息的信息應(yīng)適當(dāng)保護(hù)�����。
電子消息的信息安全考慮應(yīng)包括以下方面:
b) 確保正確的處理和消息傳輸�;
d) 法律方面的考慮���,例如電子簽名的要求�����;
f) 更強(qiáng)壯的身份認(rèn)證級(jí)別用于控制來(lái)自公共可訪問網(wǎng)絡(luò)的訪問����。
很多種電子消息(例如電子郵件����、電子數(shù)據(jù)交換(EDI)��、交際網(wǎng)絡(luò))在業(yè)務(wù)通信中充當(dāng)一個(gè)角色���。
13.2.4 保密或不泄露協(xié)議(原 6.1.5)
應(yīng)確定組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求���,定期審查并記錄���。
保密或不泄露協(xié)議應(yīng)使用法律強(qiáng)行的期限來(lái)解決保護(hù)機(jī)密信息的要求。保密或不泄露協(xié)議應(yīng)用到外部各方或組織的雇員��。其它方類型��、和它的允許訪問或秘密信息的處理要素考慮應(yīng)被選擇或增加����。為識(shí)別保密或不泄露協(xié)議的要求,需考慮下列因素:
b) 協(xié)議的期望持續(xù)時(shí)間���,包括保密性需要不定期維護(hù)的情形��;
d) 為避免未授權(quán)信息泄露的簽署者的職責(zé)和行為����;
f) 機(jī)密信息的允許使用���,及簽署者使用信息的權(quán)力��;
h) 未授權(quán)泄露或機(jī)密信息破壞的通知和報(bào)告過(guò)程�;
j )違反協(xié)議后期望采取的措施。
其它信息
對(duì)于一個(gè)組織來(lái)說(shuō)��,可能需要在不同環(huán)境中使用保密性或不泄密協(xié)議的不同格式��。
