前言
ISO(国际标准化组织)和IEC（国际电工委员会）形成了一个专门体系，进行世界性的标准化工作。 ISO或IEC

成员体国家通过各自机构建立的技术委员会参与了国际标准制订和推广，这些技术委员会要设法应对一些特

殊领域的技术活动。 ISO和IEC技术委员会在共同感兴趣的领域中合作。其他与ISO和IEC有联络的国际性组织

、政府和非政府机构也参与了这项工作。

国际标准是根据ISO/IEC指导方针第3部分中的规定起草的。

在信息技术领域，ISO和IEC已经建立了一个联合技术委员会，叫做ISO/IEC JTC 1. 该联合技术委员会采纳的

国际标准草案要经由成员体投票。 若作为国际标准正式出版，则需要至少百分之七十五的成员体投票赞成。

请您注意，该国际标准中的一些内容可能涉及专利权问题。ISO和IEC不负责辨别任何或者所有这样的专利权

。

国际标准ISO/IEC 17799由英国标准协会筹备起草（BS 7799），

随后被联合技术委员会——信息技术ISO/IEC JTC 1按照特殊的“快速程序”所采纳。该标准同时得到了ISO

和IEC各个成员体的批准。

介绍

什么是信息安全？

信息是一种资产，同其他重要的商业资产一样，它对一个组织而言具有一定价值，因而需要适当地保护。信

息安全是要在很大的范围内保护信息免受各种威胁，从而确保业务的连续性、减少业务损失并且使投资和商

务机会获得最大的回报。

信息可以以多种形式存在。它能被打印或者写在纸上，能够电化存储；也可以由邮局或者用电子方式发送；

还可以在电影中展示或者在交谈中提到。无论以任何形式存在，或者以何种方式共享或存储， 信息都应当得

到恰当的保护。
在这里，信息安全特指保护：
a） 保密性：确保信息只能够由得到授权的人访问。
b） 完整性：保护信息的正确性和完整性以及信息处理方法。
c） 有效性：保证经授权的用户可以访问到信息。如果需要的话，还能够访问相关资产。
信息安全通过实施一整套的控制达到。这些控制措施可能是策略、做法、程序、组织结构或者软件功能。需

要建立这些控制措施以确保实现该机构特殊的安全目标。

为什么需要信息安全？

信息及其辅助程序、系统和网络，是重要的商业资产。信息的保密性、完整性和有效性对于保持竞争能力、

资金流动、盈利率、法律柔量和商业形象都十分关键。

各种组织和它们的信息系统及网络日益面临着来自四面八方的安全威胁。 这些威胁的来源有计算机诈骗、间

谍活动、蓄意破坏、火灾和水灾等等。 能够损坏信息的因素比如计算机病毒、计算机黑客和拒绝服务，已经

越来越常见、越来越富于挑战性并且愈加复杂。

这些组织对信息系统及其服务的依赖，意味着它们更容易受到安全威胁。 公众网络和私有网络的互相链接和

信息共享增加了实现访问控制的难度。 分布式计算的趋势已经逐渐削弱了集中化专家控制模式的效率。

很多信息系统的设计并不安全。 通过技术手段可以得到的安全是很有限的，还应当有适当的管理和程序的帮

助。 为确认采用何种控制措施，需要进行认真规划而且要关注细节问题。信息安全管理至少要求组织中所有

雇员参与其中。 它可能还需要供应商、客户和股东的参与。也可能需要来自组织以外的专家的建议。

如果在需求分析和设计阶段进行合作，信息安全管理的成本就会相当便宜， 而且也会更加有效。

如何确定安全需要？

确定安全需要对一个组织机构来说，是十分关键的。安全需要有三个主要来源。

第一个来源是组织风险的评估。通过风险评估，辨别出对资产的威胁、评价了组织对这种威胁的易损性和威

胁发生的可能性，并且对可能的冲击进行了估计。

第二个来源是法律的、规定的和合同约定的要求。这些要求是一个组织、它的贸易伙伴、立约人和服务提供

商都要满足的。

第三个来源是一个组织已经制订的特殊原则、目标和需要，它们是用来支持信息处理操作的。

评估安全风险

安全需要是由一个有系统的安全风险评估确定的。 在安全管理上的花费要同安全故障可能造成的商业利益损

失相平衡。 风险评估方法可以用于整个组织，也可以只是用于它的某些部分，还可以用在独立的信息系统、

特殊系统部件或者服务上。 在此范围内进行风险评估是具有可操作性的、实际的和有帮助的。

风险评估是对下面因素的系统考虑：
a) 安全事故可能造成的商业损失。要把信息和其它资产的保密性、完整性和安全性的损失的潜在后果也

考虑进去;
b) 在极为普遍的危害和采取的相应管理措施的共同作用下，这样的故障实际发生的可能性。

评估的结果能够帮助指导和确定适当的管理行为， 并有助于确定管理信息安全风险的优先权和执行抵御这些

风险的安全措施的优先级。风险评估和管理措施的选择可能需要重复进行多次，以便保护组织或者独立信息

系统的不同部分。

对安全风险和实行的管理措施进行定期复查，是非常重要的。 这样就可以：
a) 考虑到商务需求和优先级的变化；
b) 考虑到新的威胁和危害；
c) 确认所采取的管制仍然有效、适合。

应当根据以前评估，在不同的深度层次进行复查。 而且，还要根据管理所要承受风险的不同，在变化了的层

次上做考查。风险评估常常是先在一个较高的水平进行的，这是一种在高风险领域确定优先级的方式，从而

能够在更细致的水平上确定特殊的风险。

选择控制措施
安全需要一旦确定了，就应当选择并实施控制措施，来确保风险降低到可以接受的程度。 控制措施可以从本

文件或其它控制措施的资料中选择， 或者从那些制订出的用来满足特殊需要的新控制措施中间选择。 有很

多不同的风险管理方式，本文件给出了一些常用方式的例子。然而，有一些方法并不能够适用于每一个信息

系统或者环境，并且也可能对所有组织都不合适。注意到这点是十分重要的。例如，8.1.4阐述了怎样通过划

分责任来防止错误和失误的发生。 对于比较小组织就不太可能把所有的责任都做明确划分，必须通过其它途

径来达到相同的控制目标。 再比如，9.7和12.1阐述了如何检测系统使用状况以及如何收集证据。其中所提

到的控制措施，例如事件记录，可能与现行规范相抵触，比如要对客户或者工作间的私密性进行保护。

管理措施的选择应当根据实施成本与所减少风险的关系和执行成本与出现一个安全漏洞时可能造成损失的关

系进行。非资金损失因素，比如声誉损失，也应当考虑进去。

本文件中的一些安全管理措施可以当作信息安全管理的指导性原则，并且适用于大多数组织。下面标题为“

信息安全起点”一节中会更加详细地解释这些措施。
信息安全起点
有一些管理措施可以看作是指导性的原则，它们为实施信息安全提供了一个出发点。这些原则要么基于根本

性的立法要求，要么被认为是应对信息安全的常用的好办法。

从法律角度看，对一个组织具有根本性的管理措施包括：
a) 数据保护和个人信息的保密性（见12.1.4）
b) 组织的档案资料的保护；
c) 知识产权。（见12.1.2）

被认为对信息安全是常用的好方法的管理措施有：
a) 信息安全策略文件（见3.1）;
b) 信息安全责任的划分（见4.1.3）;
c) 信息安全教育和培训（见6.2.1）；
d) 安全事故报告（见6.3.1）；
e) 业务连续性管理（见11.1）.
这些管理措施可以用在大多数的组织和多数环境之中。 应当注意的是，尽管本文件中的所有管理措施都重要

，还是应当根据一个组织所面临的特殊风险来确定任何相关的管理措施。因此，尽管上述途径被认为是一个

很好的起点，它并不能替代根据风险评估所做出的管理措施的选择。

关键的成功因素
经验表明，要在一个组织内部成功的实现信息安全，下面一些因素常常是非常关键的：
a） 反映业务目标的安全策略、目的和活动；
b） 实现与组织文化相协调的安全的途径；
c） 管理方面明显的支持和承诺；
d） 对安全需要、风险评估和风险管理的清晰理解；
e） 向所有的管理者和雇员有效地传播安全知识；
f） 向所有的雇员和立约人发布信息安全策略和标准的指导；
g） 进行适当的培训和教育；
h） 综合的、平衡的测量系统。 该系统要用于评价在信息安全管理和反馈改进意见中的表现。

制订自己的准则

这个实施规则可以看成是制订组织专门准则的一个起点。 并不是所有在该实施准则中的指导和管理措施都可

行。而且，还可能需要其它不包括在该文件中的管理措施。这种情况一旦发生，保持交叉引用很有用处，这

将有助于审计人员和业务伙伴进行符合性审计。

信息技术－信息安全管理的业务规范

1 范围
该标准为那些在组织内的负责建立、实现或者维护安全保密性的工作人员提供推行信息安全管理的建议。其

目的是为制订组织的安全标准和进行有效的安全管理实践提供公共的基础，并且为组织间的交易建立必要的

信任。应当根据适用的法律法规选择使用该标准推荐的内容。

2 名词和定义
本文中使用以下定义：

2.1 信息安全
对信息保密性、完整性和有效性的保护。
保密性：确保信息只能由那些被授权的人访问。
完整性：保护信息的正确性和完整性以及信息的处理方法。
有效性：保证经授权的用户可以访问到信息。 在需要时，还能够访问其它相关资产。

2.2 风险评估
评估对信息和信息处理程序的威胁、冲击和危害，以及这些情况发生的可能性。
2.3 风险管理
在可以接受的成本范围内，识别、控制并减少或者消除可能影响信息系统的安全风险。

3 安全策略
3.1 信息安全策略
目标： 为信息安全提供管理指导和支持。

管理层应当提出一套清晰的策略指导，并且通过在组织内发布和维护信息安全策略来表明对信息安全的支持

和承诺。

3.1.1 信息安全策略文档
一部策略文档经管理层批准后被公开发布并以适当的方式传达给所有雇员。 它应当声明管理承诺，并且阐明

该组织实现信息安全的途径。该策略文档至少应当包括以下指导性内容：
a) 信息安全的定义，它的总体目标和范围以及安全保密性作为信息共享的许可机制的重要性（参加介绍

）
b) 对管理意图、总体信息安全的目标和原理的简单说明。
c) 简短的说明安全策略、原理、标准和对该组织具有特殊重要意义的符合性要求，例如：
1) 符合法律规定和合同要求；
2) 安全教育的需求；
3) 病毒和其它恶意软件的阻止及检测；
4) 业务连续性管理；
5) 违反安全管理策略的后果。
d) 定义信息安全管理包括报告安全事故的一般性责任和特殊性责任。
e) 参考可能支持该策略的文献资料，例如针对特殊的信息系统或者用户应当遵守的安全规则的更为详尽

的安全策略和程序。
在整个组织中以一种相关的、容易理解的和易于接受的方式，把这一策略方针传达给有意的读者。

3.1.2 复查和评价
应当有一个所有者负责该策略的维护，并根据已经确定的程序对其进行检查。该程序应当确保在影响原始风

险评估基础发生任何改变时，都会进行检测。例如，出现了重大安全事故、发现了新的易损性或者有新的组

织或技术的基本结构的变更。还应当经常安排有以下内容的定期检查：
a) 策略的效率，由所记录的安全事故的性质、次数和影响来表示；
b) 对业务效率的管理的成本和影响；
c) 技术变革的影响；

4 组织的安全
4.1 信息安全的基本架构
目标：在一个组织内管理信息的安全。

应当建立适当管理架构，在组织内部启动和控制信息安全的实施。
管理层领导应当建立适当的管理问题论坛，以便确认信息安全策略、指派安全角色并在组织中协调安全措施

的实施。如果需要的话，应当建立一个信息安全专家建议的资料来源并使其在组织内部是可以利用的。应当

加强与外部的信息安全专家的联系，以跟上工业发展趋势、监控安全标准和测评方法并在处理意外安全事故

时提供适当的联络点。 应当鼓励发展那些综合了各学科知识的信息安全解决方案，例如此综合解决方案可能

涉及经理、用户、管理员、应用程序设计人员、审计人员和安全人员的协调和合作，以及在一些领域的专门

技术，比如保险和风险管理。

4.1.1 管理信息安全论坛
信息安全是一项由所有管理层成员共同承担的运营责任。因此应当考虑建立一个管理论坛，以确保从管理上

对安全能动性进行明显地支持，而且这种支持有一个清晰的方向。该论坛应当通过适当的承诺责任和足够的

资源配置来提高组织内部的安全性。此论坛可以是现有管理机构的一部分。在通常情况下，这样的论坛承担

以下责任：
a） 检查并批准信息安全策略和总的责任；
b） 当信息资产暴露在大多数威胁之下时，检测所发生的重要变动；
c） 复查并监测信息安全事故；
d） 支持重要的创新，以加强信息安全。
应当有一个经理负责所有相关活动的安全。

4.1.2 信息安全协作
在一个大型组织中，一个管理层代表们的多功能论坛对于协调处理信息安全策略的执行是十分必要的。这些

管理层的代表都来自于组织的相关部门。一般而言，这样的论坛：
a） 批准在整个组织内安全管理的特殊角色和责任。
b） 批准信息安全的特殊方法和程序，例如：风险评估，安全分级系统；
c） 批准并支持整个组织范围内的信息安全能动性，例如安全意识计划。
d） 确保安全性是信息规划过程的一部分。
e） 评价适当性并协调对新系统或者服务的特殊安全管理措施的实施；
f） 检查信息安全事故；
g） 提高在整个组织内对信息安全业务支持的可见性；

4.1.3 信息安全责任的分配
应当清楚地定义保护个人资产的责任和执行特殊安全程序的责任。

信息安全策略（见第3句）应当提供在组织中确定安全角色和分配安全责任的一般性指导。如果需要的话，这

些指导还应当针对特殊的地点、系统或者范围补充上更为详细的指导。应当清晰界定对个人生命财产和信息

资产所承担的局部责任， 也应当明确定义对安全程序比如业务连续性规划所承担的局部责任。

很多的组织会指定一个信息安全负责人，由其总体负责信息安全的发展和实现并管理措施的确定。

然而，资源配置和实现管理措施的责任常常留给单独的管理者。通常的做法是为每项信息资产指派一个所有

权人来负责其日常安全。

信息资产的所有权人可以把他们的安全责任委派给单独的管理者或者服务提供商。尽管如此， 所有权人仍然

对此资产的安全负有最终的责任，并且所有权人应当能够确定任何错误分配责任的情况。

要清晰地阐明每一个管理者所负责的领域，这一点非常重要。特别是在下述情况发生时：
a） 对于不同种类资产的安全程序和与各自系统相关的安全程序，都应当进行识别并清楚地定义。
b） 负责每项资产或者安全过程的管理者都应当得到批准，而且应当把此项责任的细节记录在案。
c） 应当清楚地定义并记录授权等级；

4.1.4 信息处理方法的授权过程。
应当建立对新的信息处理方法的管理授权过程。
应当考虑以下的措施：
a） 新的信息处理方法应当有相应的客户授权，赞同其目的和用途。还应当获得负责维护当地信息系统安

全环境的管理人员的同意，以确保满足所有相关策略和需要。
b） 在需要的时候，应当检测硬件和软件以确保它们和系统的其它组成部分互相兼容。
注意：某些连接可能需要定型。
c） 对处理业务信息的个人信息处理程序的使用和任何必需的控制手段都应当经过授权。
d） 在工作场所中使用个人信息处理程序可能导致新的危险，因此应当进行评估和授权。
这些管理措施在网络化的环境中尤其重要。

4.1.5 专家信息安全建议
许多组织可能都需要专家安全建议。理想的状况是，一位有经验的内部信息安全专家可以提供这些建议。并

不是所有的组织都愿意雇用一个咨询专家。这种情况下，建议确定一个专门人员来协调内部安全知识和安全

经验，以确保处理问题时的连续性并协助做出安全决策。他们还应当能够找到适当的外部咨询专家来提供超

出他们经验范围的专业建议。

信息安全建议者或者具有相同作用的接触点应当担负就信息安全的所有方面提供建议的任务。他们要么自己

提出建议，要么利用来自外部的建议。他们对安全威胁所做评估的质量和对管理措施的意见决定了该组织的

信息安全的效果。为了达到最大的效用、产生最好影响，应当允许他们直接接触整个组织的管理。

应当在预测到可能的安全事故或者漏洞的最早阶段就向信息安全建议者或者具有相同作用的接触点咨询，以

便获得专家指导原则和调查资源。尽管正常情况下大多数内部安全调查要按照管理措施执行，仍然可以召集

信息安全咨询专家来提出建议、主持或指导此类调查。

4.1.6 组织间的合作
应当保持与执法部门、管理机构、信息服务提供商和电信运营商的适当联络，以确保在发生安全事故时能够

及时采取适当措施并能够及时通知。类似的，也应当考虑到与安全组成员和行业协会进行合作。

安全信息的交换应当限制在确保组织的保密信息不会发送给未经授权的个人。

4.1.7 信息安全的独立检查
信息安全策略文献（参见3.1）宣布了信息安全策略和责任。应当独立地检查其执行情况，以确保组织的实践

恰当地反映了这一策略，而且该策略是可行的和有效的。（见12.2）

可以由内部的审查功能执行这样的检查。 此外，独立的经理或者在此种检测方面有特殊专长的第三方也可以

做这种检查。这些候选人要具有检查所必备的技能和经验。

4.2第三方访问的安全
目标：保护组织信息处理程序的安全和被第三方访问的信息资产的安全。

应当控制第三方对组织信息处理程序的访问。
如果有这样的第三方访问的业务需要，应当进行风险评估以确定安全隐患和管理对策。 所要采取的管理措施

应当得到第三方的同意，并在与之签订的合同中加以定义。
第三方访问还可能包括其它的参与者。授予第三方访问权限的协议应当包括准许指定其它具备资格的参与者

和相应访问的条件。
这一标准可以作为此类合同的基础，并且也可以作为考虑外购信息处理的基本原则。

4.2.1 判断第三方访问的风险
4.2.1.1 访问的类型
允许第三方使用的访问类型非常重要。例如：通过网络连接进行访问的风险不同于物理访问的风险。应当考

虑的访问类型包括：
a） 物理访问，例如：访问办公室、计算机机房和档案柜。
b） 逻辑访问，例如：访问组织的数据库和信息系统。

4.2.1.2 访问的原因
可能出于多种原因授予第三方访问权限。 例如，向组织提供访问的第三方并不在现场，但是可以给以物理访

问和逻辑访问的权利，比如：
a) 硬件和软件支持人员， 他们需要访问系统层次或者低层次的应用程序功能。
b) 贸易合作伙伴或者联合经营方， 他们可能交换信息、访问信息系统或者共享数据库。
如果缺乏足够的安全管理，第三方访问信息时就会将其置于危险的境地。若是有与第三方地点建立联络的业

务需要，就要进行风险评估，以确定任何特殊管理措施的要求。应当考虑到所需的访问类型、信息的价值、

第三方采取的管理措施和这种访问对组织信息的安全所造成的影响。
4.2.1.3 现场承包方
第三方可能按照合同规定在现场驻扎一段时间，这会增加信息系统安全隐患。现场承包方的例子包括：
a） 硬件和软件维护和支持人员。
b） 保洁、看护、安全警卫和其它外包的服务项目承包方。
c） 学生安置和其它临时的短期安排；
d） 咨询人员；
究竟要采取什么措施来管理第三方对信息处理设备的访问，理解这一点十分重要。一般说来，所有的由于第

三方访问或者内部管理措施导致的安全要求，都应当反映在与第三方签订的合同中（又见2.2）。例如，如果

对信息的保密性有特殊要求，就应采用不泄露信息协议（见6.1.3）。
在采取了适当的管理措施和签署了定义有连接或者访问相关条款的合同之前，不应当向第三方提供对信息和

信息处理设备的访问。
4.2.2 第三方合同的安全要求
涉及第三方访问组织信息和信息处理设备的有关安排应当建立在一份正式的合同基础上，这一合同应当包括

或者涉及所有的安全要求，以求符合组织的安全策略和安全标准。该合同应当保证在组织和第三方之间没有

误解。组织应当对供应商做满意的补偿。应当考虑把以下各项条款写入合同中：
a） 总的信息管理策略
b） 资产保护，包括：
1. 保护组织资产的措施方法，包括对信息和软件的保护；
2. 确定资产是否受到什么损害的方法手段，比如确定数据是否丢失或者被修改。
3. 在合同期结束或者合同期中某个协商同意的时间，确保信息或者资产被返回或者销毁。
4. 完整性和有效性；
5. 对于信息复制和信息披露的限制；
c） 对所要采用的每项访问的一个详细描述；
d） 服务的目标水平和无法接受的服务水平；
e） 适当的人员调任的规定；
f） 合同各方各自所应承担的义务；
g） 对相关法律问题所承担的责任，例如，数据保护立法。特别是如果该合同涉及与其它国家中组织的合

作，就要考虑不同国家法律体系（又见12.1）;
h） 知识产权（IPR）和产权责任（见12.1.2）以及对所有合作项目的保护（见6.1.3）。
i） 服务控制协议，包括
1. 许可的访问方法、对唯一标识，比如用户ID和密码，的管理和使用；
2. 对用户访问和特权的授权程序；
3. 要求保留一份列表，记录得到授权可以使用现有服务的个人、他们的权限与这种使用的关系。
j) 定义可以验证的业绩标准，以及对它们的给监测和报告；
k) 监测和废除用户活动的权力
l)审查合同责任的权利，或者由第三方执行审查；
m) 为问题解决建立一个扩大程序；在适当的地方也应当考虑对偶然性事件的处置。
n) 有关硬件和软件的安装与维护的责任；
o)清晰的报告结构和协商一致的报告格式；
p) 一个清晰的和专门化的变更管理程序；
q) 任何要求的物理保护措施和机制，确保那些管理措施得到落实；
r)对客户和管理员的培训，包括方式方法、处理程序和安全性；
s) 确保能够防范恶意软件的管理措施（见8.3）;
t）有关安全事故和安全漏洞的报告、通知和调查的安排；
u）分包合同第三方的卷入；

4.3 外包
目标：当信息处理外包给另外一个组织的时候，维护信息的安全性；

在各方签订的合同中，外包安排应当致力于解决信息系统、网络和/或者桌面环境的风险、安全管理和处置程

序。

4.3.1 外包合同的安全要求
当组织将其全部的或者部分信息系统、网络和/或者桌面环境的管理控制承包给其它单位时，应当在各方同意

的合同中提及相应的安全要求。
例如，此种合同应当包括：
a） 如何满足法律方面的要求，例如数据保护法规；
b） 采取什么样的措施才能够确保外包合同各个签约方包括分包合同签约方都清楚他们的安全责任；
c） 怎样维护和测试组织的业务资产的完整性和保密性；
d） 对授权的用户采取什么物理和逻辑的管理措施来限制和约束对组织的敏感业务信息的访问；
e） 如何在发生灾难性事故时维持服务的有效性；
f） 为外包的设备提供什么层次的物理安全保护；
g） 审查的权力；

还应当考虑把4.2.2中给出的条款作为此项合同中的一部分。该合同应当允许在即将得到双方同样的安全管理

计划中扩展安全要求和安全管理程序。
尽管外包合同可能引起一些复杂的安全问题，此项操作规范中的管理措施能够作为一个起点，以获得对安全

管理计划的架构和内容的认可。
5资产分类和管理
5.1 资产的可计量性
目标：为组织的资产提供适当的保护。

应当考虑到所有主要的信息资产，并为它们指定所有权人。
资产的可计量性可以帮助确保有适当的维护措施。应当为所有主要财产确定所有权人，并且为维护适当的管

理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当保持资产的可计量性。

5.1.1 资产清单
资产清单帮助确保进行了有效的资产保护，并且其它的业务目的，例如出于健康和安全、保险或者金融（资

产管理）原因，也可能要用到资产清单。编写资产清单的过程是风险评估的一个重要方面。组织要能够确定

其资产、资产的相对价值和这些资产的重要性。根据该信息，组织可以提供与资产价值及其重要性相符的安

全保护等级。应当为每个信息系统的重要资产都建立并保有一份资产清单。对于每种资产，都要清楚地进行

确认，其所有权和安全等级划分（见5.2），以及资产目前所处位置（当需要恢复损失和毁坏的信息时，这点

就非常重要）都应当得到批准并记录在案。与信息系统密切相关的资产包括：
a） 信息资产：数据库和数据文件、系统文件、用户操作手册、培训材料、操作或执行的程序、连续性计

划、撤退安排、归档的信息；
b） 软件资产：应用软件、系统软件、开发工具和设备；
c） 实物资产：计算机设备（处理器、显示器、膝上电脑、调制解调器），通信设备（路由器、专用自动

交换分机、传真机、录音电话），磁性存储介质（磁带和磁盘），其它技术设备（电源、空调设备），家具

、通融资金；
d） 服务：计算和通信服务、公共服务例如供暖、照明、供电、空气调节。
5.2 信息分类

目标：取保信息资产得到适当程度的保护。

应当将信息分类，指出其安全保护的需要、优先级和保护程度。
不同信息有不同的敏感性和重要性。有的信息资产可能需要额外保护或者特殊处理。应当采用信息分类系统

来定义适当的安全保护等级范围，并传达特殊处理措施的需要。

5.2.1 分类原则
信息的分类和相关保护措施应当考虑到信息共享和信息限制的业务需要，还要考虑这些需要对业务的冲击，

例如对信息未经授权的访问或者对信息的破坏。一般说来，信息分类是一种确定应当如何处理和保护该信息

的简捷方法。

信息和处理分类数据的系统输出应当按照其对于组织的价值和敏感性加以标识。根据信息对组织的关键程度

对其进行标识，比如按照其完整性和有效性进行标识，这样做也是可取的。
经过一段时间以后，信息常常会变得不再敏感或者重要了，例如在信息公开发布以后。这些方面都应当考虑

到。如果把安全保护的分类划定得过高就会导致不必要的业务开支。对于任何信息的分类都不一定自始至终

固定不变，可能按照一些预定的策略发生改变。信息分类指南应当预料到这些结论并认可这一实际情况（见9

.1）。
应当考虑分类范畴的数量以及使用这种分类所带来的好处。 过于复杂的分类规划可能很累赘而且使用和执行

起来也不经济。解释其它组织发送过来的文件上的标签时应当十分小心，相同或者相似的标签名称可能具有

不同的含义。
信息的始发人或指定的所有权人应当承担确定一则信息类别的责任，例如对一份文件、数据记录、数据文件

或者磁盘进行分类的责任，以及定期检查这些分类的责任。
5.2.2 信息标识和处理
为信息标识和处理定义一个符合组织所采用分类计划的适当处理程序集合是非常重要的。这些程序要涵盖实

物形式和电子形式的信息。对于每种分类，应当定义包含以下信息处理活动的数据处理程序：
a） 复制
b） 存储
c） 通过邮局、传真和电子邮件的信息发送
d） 通过口头语言的信息传递，包括通过移动电话、语音邮件和录音电话传送的信息。
e） 销毁
对于那些含有被划定为敏感或者重要信息的系统，其输出应当带有适当的分类标识。该标识应当反映根据5.2

.1中规则而建立的分类。 需要考虑的项目包括打印的报告、屏幕显示、存储介质（磁带、磁盘、CD、卡式盒

带）、电子消息和文档传输。
一般来说，物理标识是最合适的标识形式。然而，一些信息资产例如电子文档无法加上物理标识，这时可以

采用电子标识。

6 人员安全
6.1 工作定义和外包的安全

目标：减少人为失误、盗贼、欺诈或者设备误用所造成的风险。

在招聘时就要提到安全责任的问题，将其包括在合同中，并在雇佣期内监测这种安全责任。
应当对应聘人员进行充分的筛选（见6.2.1）,对敏感的工作尤其如此。所有雇员和使用信息处理设备的第三

方都应当签署一份信息保密（不泄露）协议。

6.1.1把安全包括在工作责任中
应当在适当的地方记录组织安全策略（见3.1）中所设定的安全角色和安全责任。它们应当包含执行或者维护

安全策略的所有总体责任，还包含保护特殊信息资产的专门责任，或者执行特殊安全管理程序或者活动的责

任。
6.1.2 人员筛选和策略

在工作申请时应当严格审查长期雇员。包括采取以下措施：
a） 有满意的特征比对，例如一项业务和一个人；
b） 对申请人履历的审查（完整性和准确性）；
c） 对其所宣称的学术和职业资质进行确认；
d） 单独的身份检查（护照或者类似文件）；
当一项工作涉及到能够访问信息处理设备的个人时，无论是最初指派还是后来晋升，组织还应当做专门的信

用检查，尤其对于那些处理敏感信息的设备更是如此，比如处理财务信息或者高度机密信息的设备。对于那

些处于相当权力岗位的人员应当定期重复进行检查。
对合同签约方和临时雇员也要进行类似的检查。如果这些雇员是通过代理机构提供的，在与代理机构的合同

中应当清楚定义该代理方所要承担的筛选责任，以及如果筛选没有完成或者对筛选的结果仍然存有疑虑时代

理机构应当遵循的通知程序。
管理层应当评价对有权访问敏感系统的新雇员和没有经验的雇员所做检查监督。所有雇员的工作都要由更高

级的雇员做定期检查并遵循一定的批准程序。
管理人员应当清楚他们员工的个人环境会影响到他们的工作。私人问题和财务问题、他们行动或者生活方式

的改变、不断出现的消极情绪和精神压力异常，都可能导致欺诈、盗窃、失误或者其它安全隐患。这类信息

应当做符合相关法规的处理。
6.1.3 保密协议
保密协议或者不泄露协议用于提醒人们注意该信息是保密的。通常情况下，雇员应当签署这样的协议以作为

雇佣他们起码条件和要求。
授权尚未受合同（包含保密协议）约束的临时职员和第三方使用信息处理设备之前，还应当要求他们签订一

份保密协议。
当用工合同或者协议发生变动时还要对保密协议进行检查，尤其是雇员要离开该组织或者合同即将接受的时

候。
6.1.4 用工条款
用工合同条款应当阐明雇员对于信息安全所负的责任。适当的时候，在雇佣期结束后的一段确定时期内仍然

要承担这种责任。其中包括如果雇员不遵守安全要求时组织所要采取的行动。
在用工合同条款中应当包括并清楚界定员工的法律责任和权利，例如：涉及到的版权法或者数据保护法规方

面的责任和权利。还包括员工信息的分类和管理责任。只要情况适当，用工合同中就应当清楚阐明这些责任

要延伸到组织规定范围之外并拓展到正常的工作时间之外，例如在家工作时就要考虑这些问题（又见7.2.5和

9.8.1）。
6.2 用户培训
目标：确保用户清楚信息安全威胁和利害关系。使用户准备好在正常工作过程中能够支持组织的安全策略。

应当在安全程序中、在信息处理设备的正确使用过程中培训用户，以降低可能的安全风险。

6.2.1 信息安全教育和培训
组织的所有雇员和相关的第三方用户都应当接受适当的培训并定期向它们传达组织更新的策略和程序。这包

括安全要求，法律责任和业务管理措施，以及在授权访问信息和使用服务之前所要接受的正确使用信息处理

程序的培训，例如：登录程序、软件包的使用等。
6.3 对安全事故和故障做出反应

目标：把安全事故和安全故障的损失降到最低程度，监测这些事故并从中吸取教训。

对于影响安全的事故，应当通过适当的管理途径尽快报告。
所有的雇员和签约人应当清楚报告不同类型的事故（安全漏洞、安全威胁、弱点或者故障）的程序，这些事

故可能对组织资产的安全构成威胁。应当要求他们把所发现的或者预测的任何事故尽快向合同中指定的地点

报告。组织应当建立一个正式的处罚制度，以处理那些造成安全漏洞的职员。为了恰当地对事故做出处理，

要在事故发生之后迅速地收集证据，这一点非常重要。

6.3.1 报告安全事故
应当尽可能快速地通过适当管理渠道报告安全事故。
应当建立起正式的报告程序，还应当建立事故反应机制，以便设定在接到事故报告时所应当采取的措施。应

当让所有的雇员和签约人都明白报告安全事故的程序，还应当要求他们尽快报告。应当实行适当的反馈机制

，确保在处理完事故之后能够知道所报告事故的处理结果。可以用这些事故来训练用户的安全意识（见6.2）

，使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这些事故（见12.1.7）。

6.3.2 报告安全缺陷
应当要求信息服务的用户注意并报告任何观察到或者预测到的系统或者服务的弱点、或者是对系统或服务的

威胁。他们应当尽快向他们的管理层或者服务供应商报告此类事件。应当通知用户，无论在任何情况下，都

不要试图去证实可疑缺陷。这是出于对他们自身的保护，因为测试系统缺陷的行为可能被当作对系统的潜在

所误用。
6.3.3报告软件故障
应当建立报告软件故障的程序。应当考虑采取以下的措施：
a） 应当记录出现问题的特征和出现在屏幕上的任何信息；
b） 如果可能的话，应当将计算机隔离并停止使用。应当立即变更所用的连接。如果要检测机器，还应当

在重新启动之前断开与组织中其它网络的连接。其磁盘不应当用在其它计算机上。
c） 应当立即把该事件向信息安全管理人员报告。
除非得到授权，否则用户不能试图删除可疑软件。应当由受过适当训练的有经验的人员做恢复工作。
6.3.4 吸取事故教训
应当有相应的机制来量化并监测事故和故障的类型、大小和造成的损失。这些信息可以用来确认再次发生的

事故或者故障及其造成的冲击。这些信息显示出对强化和附加管理措施的需求程度。可以用这些管理措施来

限制未来发生事故的频率、事故造成的损失和破坏，或者将其放入安全策略复查过程(见3.1.2)。
6.3.5 惩处程序
对那些违反组织安全管理政策和程序的雇员（见6.1.4, 在12.1.7中有关于证据保留期的内容），应当有一个

正式的惩戒手段。这样的管理程序可以作为对那些易于忽视安全程序人员的警示。另外，应当确保对怀疑犯

下严重或者持续安全错误的雇员做出正确的、公平的处理。
7 物理的和环境的安全
7.1 安全区域

目标：防止未经授权的访问，预防对业务基础和业务信息的破坏以及干扰。

应当把关键的和敏感的业务信息处理设备放在安全区域，受到确定的安全范围的保护，并有适当的安全屏障

和接入控制。应当对他们从实体上加以保护，以防未经授权的访问并免于干扰和破坏。
所提供的保护应当与确认的风险向适应。推荐使用清楚桌面和清晰屏幕的策略，以减少未经授权情况下访问

文件、存储介质和信息处理设备或者它们造成破坏的风险。
7.1.1 物理安全界线
通过在业务基础和信息处理设备的周围设立多个实体的安全屏障，可以实现对它们实体上的保护。每一个安

全屏障建立了一个安全界线来保护含有信息处理设备的区域（见7.1.3）。安全界线是指这样以下东西：它们

建立了某种屏障，例如墙、要刷卡出入的大门或者人工接待前台。每种屏障的位置和保护力度取决于风险评

估的结果。

适当的时候，应当考虑并执行以下的原则和管理措施：
a） 应当清楚定义安全范围；
b） 含有信息处理设备的建筑物或者场所的周边应当受到妥善保护（例如，在该安全范围和易于被闯入的

区域之间不应当有明显缺口）。该场所的外墙应当建筑得十分坚固，所有入口都应当加以适当保护以防未经

授权的访问，例如采用适当管理机制、障碍物、警报器、锁等等。
c） 应当有人工值守的接待区域或者其它措施控制对这些地点或者建筑的访问。应当把对这些地点或者建

筑的访问限制在经过授权的人员之内。
d） 如果需要的话，应当把物理保护扩展到从地板到天花板的范围，以便防止未经授权的访问和环境污染

，例如由火灾或者水灾引起的破坏。
e） 安全范围以内的所有门窗入口都应当设立警报器并把它们关严。

7.1.2 物理进入控制
应当通过适当进入管理措施保护安全区域，确保只有得到授权的用户才能访问。应当考虑以下的管理措施：
a） 应当监视进入安全区域的访问者或者将其带离安全区域，而且要把他们进入和离开的时间记录在案。

只应当授权他们进行出于特殊的、得到批准的目的的访问。还应当向他们传达该安全区域的安全要求和紧急

处理程序。
b） 应当控制对敏感信息和信息处理程序的访问，并只将其限制在得到授权的个人。应当使用认证管理，

例如：swipe卡和个人身份号码，对所有访问进行授权和验证。应当安全地保持对所有访问的审查跟踪。
c） 应当要求所有人员佩戴某种形式的可见标识，并鼓励他们盘查没有护送人员的陌生人和任何没有佩戴

明显标识的人员。
d） 应当定期检查和更新对安全区域的访问权限。
7.1.3 保护办公室、房间和设施
安全区域可能是一个锁着的办公室或者在物理保护范围内的多个房间，这些房间可能锁着或者其中有上锁的

橱柜或保险箱。安全区域的选择和设计应当考虑到防止可能发生的火灾、水灾、爆炸、民众动乱和其它形式

的自然或人为灾难。还应当考虑到相关的健康和安全规范和标准。 应当考虑任何邻近房屋的所带来的安全风

险，比如其它地方的渗水。

应当考虑以下管理措施：
a） 关键设备应当安置在避免公众访问的地方；
b） 建筑物应当那么不显眼，只有最低限度地指出其用途。没有明显标记，建筑内外也没有明显地指出里

面正在进行信息处理活动。
c） 支持功能和设备例如复印机、传真机应当适当地放置在安全区域内以避免有人要求使用，因为那样会

损坏信息。
d） 无人值守时门窗应当上锁，对门窗应当进行外部保护，尤其是对靠近地面的门窗。
e） 按照专业标准安装上适当的入侵者侦测系统并进行定期测试， 该系统应当保护所有可以通过的门窗

入口。应当全时监测没有使用的区域。还应当提供对其它地区的保护，例如计算机房或者通讯设备间。
f） 应当把组织管理的信息处理设施与第三方管理的其它设备从实体上隔离开。
g） 不应当让公众很容易得知晓能够确定敏感信息处理设备位置的电话本和内部通讯录。
h） 应当把危险或者易燃材料安全地存放在距安全区域有一定距离的地方。除非有相应的要求，否则不应

当把大量储备资料比如文件纸张存放在安全区域内。
i） 应当把回撤的设备和备份存储介质放置在一定安全距离以外，以免主要基地发生的灾难性事故对其造

成破坏。
7.1.4 在安全区域工作
可能需要额外的管理措施和指导原则来加强安全区域的安全性。这些措施包括对在安全区域工作的人员和第

三方的管理，还包括对在该地区发生的第三方活动的管理。应当考虑以下管理措施。
a) 工作人员只应当知道需要他们了解的有关安全区域的存在或者其中活动的信息。
b) 出于安全原因和为了防止给恶意活动以可乘之机，应当避免在安全区域内进行不是监督的工作。
c) 应当对空的安全区域加以物理上的保护并进行定期检查。
d) 只是在需要的时候，才授予第三方支持服务人员受严格限制的访问安全区域和敏感信息处理设备的权

利。这些访问应当得到授权并对其进行监测。安全界线内部不同安全要求的区域之间可能需要建立附加屏障

和界线以便控制实体接触。
e) 除非得到授权，否则不允许使用摄影、录像、录音或其它记录设备。
7.1.5 隔离的送货和装载区域
应当对交货和装货区域进行管理，如果可能的话，要把它们与信息处理设备隔离开以避免未经授权的接触。

应当通过风险评估来决定此种区域的安全要求。应当考虑以下的安全措施。
a) 从建筑物外面访问一个物资储存区域时，应当将其限制在经过确认和授权的人员之内。
b) 该物资存储区域的设计应当使得送货人员能够在不必进入建筑物其它部分的情况下卸下供应物资。
c) 当物资存储区域内部通道打开的时候，应当保护外部通道。
d) 在把送来的物资从存放地点运送到使用场所之前，应当对其进行检查，看是否有潜在风险（见7.2.1d

）。
e) 如果合适的话，应当在物资存储区域的入口对送来的物资进行登记。
7.2 设备安全
目标：防止资产流失、被损坏或者破坏，防止对业务活动的破坏。

应当对设备加以实体上的保护，使其免于安全风险和环境灾难。
为减少对数据未经授权访问所造成的危险并保护其免受损失或破坏，设备保护（包括所用的外部设备）是十

分必要的。这还应当包括设备的安置和处理。为防止未经授权的访问、保护其免受灾难性事故的毁坏和保护

辅助设备例如电力供应设备和电缆基本架构，可能要采用一些专门管理措施。
7.2.1 设备定位和保护
应当妥善安置或保护设备，以降低环境威胁和灾难的风险、减少未经授权的访问的机会。应考虑以下管理措

施：
a） 妥善安置设备，把对工作区不必要的访问降低到最低限度。
b） 处理敏感数据的信息处理和存储设备应当妥善放置以减少其使用期间忽视对其监督的风险。
c） 应当把需要特殊保护的物品隔离开，以降低所用保护等级。
d） 应当采取措施降低潜在风险，包括：
a) 盗窃；
b) 火灾；
c) 爆炸
d) 吸烟；
e) 水灾（或者供水终端）
f) 尘土；
g) 振动；
h) 化学效应；
i) 电力供应中断；
j) 电磁辐射；
e） 组织应当考虑对在信息处理设施附近就餐、饮水和吸烟的政策规定。
f） 应当监测那些可能对信息处理设备有负面影响的环境条件；
g） 应当为工业化环境中的设备而采用专门的保护方法，比如键盘保护膜。
h） 应当考虑到在房屋附近发生灾难所产生的影响，例如邻近建筑物的火灾、屋顶或者地表的渗水或者街

道上发生的爆炸。
7.2.2 电力供应
应当对设备加以保护使其免于电力中断或者其它电力异常的影响。应当提供符合设备制造商要求的适宜电力

供应。

为实现电力供应的连续性，所应采取的措施包括：
a） 有多路供电途径以避免单点电力供应发生故障的危险；
b） 不间断电源（UPS）；
c） 备用发电机。
对于辅助关键业务运营的设备推荐使用不间断电源（UPS）以支持有序的断电或者继续运行。 突发事件处理

计划应当包括在不间断电源发生故障时所要采取的措施。 应当定期检查UPS设备，确保其有足够能力并按照

制造商的建议对其进行测试。

如果长期停电的情况下还有继续处理信息，就需要考虑备用发电机。发电机安装上以后，应当按照制造商的

指导对其做定期检测。应当有充足的燃料可供利用，以确保长期停电时发电机仍然能够运行。

另外，应当把应急电力开关安放在设备间的紧急出口处，以便于在发生紧急事故时迅速关掉电源开关。主要

电力系统出现故障时应当提供应急照明。应当对所有建筑物提供照明保护，并且应当为所有外部通信线路安

装照明保护滤光器。
7.2.3 电缆安全
应当保护传输数据和辅助信息服务的电缆和通讯线路，使其免于截取或者破坏。应当考虑采取以下的管理措

施。
a) 应当把连接到信息处理设备的电缆和通讯线路埋入地下。在可能的地方，还要给予足够的选择性保护

；
b) 应当保护网络连线，防止被未经授权地截听或者被毁坏。例如可以使用专门管线或者避免线路通过公

共地带。
c) 应当把供电线路与通讯线路隔离开，以防相互干扰；
d) 对于敏感或关键系统，还应当考虑采取进一步的管理措施，包括：
a) 在观测点和终点安装包皮的管线并将房间或者箱子上锁；
b) 使用替代的路径选择或者信息传送媒介；
c) 使用光纤；
d) 开始清除那些连接到线路上的未经授权的设备。
7.2.4 设备维护
设备应当得到正确的维护，以确保其持续有效性和完整性。应当考虑以下管理措施：
a） 应当按照设备制造商推荐的维护间隔和规定对设备进行维护；
b） 只有得到授权的维护人员才能够对设备进行维修和保养；
c） 应当把所有可疑故障和实际发生的事故记录下来，还应当记录下所有的预防性措施和矫正维护；
d） 把设备运到工作地点以外的地方进行维修的时候，应当采取适当措施（又见7.2.6, 其中有关于删除

、擦写和覆盖数据的内容）。应当遵守所有保险政策的强制要求。
7.2.5 外部设备的安全
无论所有权归谁，任何在组织外部使用的信息处理设备都应当得到管理层的授权。提供的安全保护措施应当

等同与组织内部用于相同目的的设备所受到保护，还要考虑到在组织房产之外工作的风险。信息处理设备包

括所有形式的个人电脑、组织者、移动电话、纸张或者其它形式，它们用于在家工作或者被人从正常工作场

所运走。应当考虑以下指导性原则。
a) 从房屋中搬走的设备和存储介质不应当放在公共场所而无人看守。在旅行的时候，应当把便携式电脑

掩饰为手提箱携带。
b) 任何时候都要遵循制造商所提供的设备保护指导，例如保护设备免受强电磁场的危害。
c) 应当由风险评估来确定对在家工作的管理措施，应当实行适当的管理控制，例如：可上锁的文件柜、

清洁桌面计划和对计算机的访问控制。
d) 应当有足够的保险覆盖面来保护基地以外的设备。
安全风险比如被盗、被毁和被窃听的风险，随地点不同可能有很大变化。在采取最佳保护措施的时候应当考

虑到这一点。关于保护移动设备的其它更多信息可以在9.8.1节找到。
7.2.6 设备的安全处置或者再利用
对设备不经意的处置和重复使用可能会损害信息（又见8.6.4）。存有敏感信息的存储介质应当从实体上加以

销毁，或者是安全地加以覆盖而不只是使用标准的删除程序。

所有设备，包括存储介质例如固定硬盘，应当加以检测，以确保在处置之前将所有敏感数据和许可软件都被

抹掉或者覆盖掉。毁坏了的存有敏感信息的设备需要进行风险评估，以确定应当销毁、维修或是丢弃该物。
7.3 一般性管理措施
目标：防止对信息和信息处理设备的损坏和盗窃。

应当保护信息和信息处理设备，避免把它们暴露给未经授权的个人或者被他们修改或盗走。应当有管理措施

来降低损失或者风险。
在8.6.3中应当考虑处理和存储程序。
7.3.1 清洁桌面和清洁屏幕策略
组织应当考虑采用一项清洁桌面计划，以整理纸张和可移动的存储介质。在正常工作时间内和工作时间外，

为了降低对信息未经授权的访问所造成的损失和对信息的毁坏，还应当考虑为信息处理设备采用一项清洁屏

幕计划。该策略考虑到信息安全分类（见5.2）、相应的风险和企业文化方面。

放在桌面上的信息也可能在灾害中被损坏，比如被火灾、水灾或者爆炸所毁坏。

应当考虑以下管理措施：
a） 如果合适的话，应当把不用的纸张和计算机存储介质存放在适当的可以锁上的柜橱和/或其它有安全

保护的存放设施中，特别是在工作时间之外更应如此。
b） 如果不用的话，应当把敏感或者关键的业务信息锁上（放在放火的保险柜或者柜子里就很理想）。离

开办公室时尤其要注意这点。
c） 无人看守的时候，不应当把个人计算机和计算机终端以及打印机置于登录状态，而在不用的时候应当