GB/T 22080—2008《信息安全管理体系 要求》解析

李艳杰

GB/T 22080—2008《信息安全管理体系 要求》解析

李艳杰

解析系列五：GB/T 22080—2008信息安全管理体系 要求附录A.11—A.15解析

国家标准GB/T 22080—2008标准等同采用ISO 27001：2005《信息安全管理体系要求》。标准由引言、范围、术语和定义以及第4章到第8章正文及附录五部分组成。本部分针对附录A.11—A.15进行解析。

国家标准GB/T 22080—2008附录A涉及信息安全管理的11个领域，共列出了39个控制目标和133项信息安全控制措施。这些控制措施汇集了信息安全管理的最佳实践，组织应根据信息安全风险评估并结合组织的内部和外部的环境，以及整体业务要求从中进行选择。

A.11 访问控制

A.11.1 访问控制的业务要求

A.11.1.1 访问控制策略

【内容解析】

管理层应制定并发布一份访问控制策略文件，访问控制策略应满足组织对业务运行、法律法规、合同和其他特殊情况下的要求。

访问控制是信息安全的关键概念，组织应十分关注访问控制的运行，并将当前实施状况与标准本条款的要求进行比较以改进访问安全。

A.11.2 用户访问管理

【内容解析】

组织信息处理设施的用户应按照访问控制策略并结合相应的方法加以鉴别和授权。

A.11.2.1 用户注册

【内容解析】

管理层应依据访问控制策略对需要访问信息处理系统和应用的用户实施注册和注销账户的规程。

A.11.2.2 特殊权限管理

【内容解析】

特殊权限在信息安全中十分重要，因为特权是基于信任，通常只授予管理层和特定人员。特殊权限会给组织的资产带来安全风险，应按照规定策略和指南严格控制其分配和使用。

在企业内控方面可以借鉴最小特权原则，即将访问权限制在履行其职责所需的最低限度。

A.11.2.3 用户口令管理

【内容解析】

口令是用来鉴别用户身份的一组秘密字符串，用来控制对数据、系统和网络的访问。口令管理是一个过程，包含对口令策略（规则）和管理规程的定义、实施和维护。有效的口令管理可降低对信息处理设施和信息的损害风险，保护口令的保密性、完整性和可用性。

A.11.2.4 用户访问权的复查【内容解析】

对访问权应由不负责建立账户的有资质的人员进行定期的复查，以确保现有的访问权符合其角色和职责。

A.11.3 用户职责

A.11.3.1 口令使用

【内容解析】

组织应基于良好的口令实践建立口令结构，用户要遵守组织的要求，并建立良好的口令使用习惯。

A.11.3.2 无人值守的用户设备

【内容解析】

当信息处理设施和应用系统处于无人值守时，管理层应有必要的措施确保无人值守的设备得到适当的保护。如当非工作时间，由值班人员对工作场所和设施进行定期巡查等。

A.11.3.3 清空桌面和屏幕策略

【内容解析】

当员工一段时间（如开会）不在工作区时，他们的工作区域应确保安全，任何形式的敏感信息未被非授权访问。对此组织应规定相应的策略或制度。

A.11.4 网络访问控制

A.11.4.1 使用网络服务的策略

【内容解析】

网络连接，特别是因特网和无线网连接，需要在信息处理环境中识别风险。管理层对使用网络服务以及日常监视网络环境应规定有明确的策略，以确保用户仅能访问得到授权的服务。

A.11.4.2 外部连接的用户鉴别

【内容解析】

应采用安全的鉴别方式来控制远程用户对信息处理设施的外部网络连接。常用的鉴别方法有：登录时要求用户名和口令。但对重要的系统组织应基于风险考虑其他鉴别方式，如生物鉴别等。

A.11.4.3 网络上的设备标识

【内容解析】

适当时，对网络上的设备进行标识，是鉴别来自一个特定受控环境和设备的网络通讯的安全手段。

A.11.4.4 远程诊断和配置端口的保护

【内容解析】

对网络和通信设备的诊断和远程端口，组织应严密控制，防止未授权的物理和逻辑访问。

A.11.4.5 网络隔离

【内容解析】

网络服务是基于网络的服务，包括因特网服务、内部网络、无线网络、IP电话和视频广播等。在可能的情况下应将网络服务在逻辑网络中进行隔离，以增强控制的深度。

A.11.4.6 网络连接控制

【内容解析】

网络扩展到组织的边界之外通常是为了便利与外部第三方供应商或外部商业合作伙伴开展业务活动。从信息安全的角度，对这种网络连接控制是一种挑战，而且常被忽略，因为供应商和业务伙伴在使用组织网络时是受信的。所以组织应实施控制措施来限制用户的连接能力和对网络的访问能力。

A.11.4.7 网络路由控制

【内容解析】

网络路由的逻辑控制对数据和信息流的控制十分关键。网络路由的控制应与对特定应用和服务的访问控制相结合。

网络路由控制通常需要在IT部门选择具有相关知识的人员来设计和实施本项所要求的控制措施，并最好经过相关专家的确认。

A.11.5 操作系统访问控制

A.11.5.1 安全登录规程

【内容解析】

操作系统的访问应通过安全设计的登录和鉴别规程来加以保护，将未授权访问的机会降低到最小。

A.11.5.2 用户标识和鉴别

【内容解析】

对组织信息处理系统访问的用户应有唯一的用户账户，并在允许其访问系统前采用安全的方式来确认用户的身份。

A.11.5.3 口令管理系统

【内容解析】

应采用系统来管理口令并强制实施口令策略。口令管理系统通常与网络相关联，但也可应用于应用系统和数据库。

A.11.5.4 系统实用工具的使用

【内容解析】

对于超越系统控制的实用工具应限制安装，如需安装使用，其使用权限应仅限于指定的管理员。对实用工具的使用应加以监视并保留记录。

A.11.5.5 会话超时

【内容解析】

操作系统和终端在预定的时间段内，如会话没有活动应自动加锁，以防止未授权访问。

A.11.5.6 联机时间的限定

【内容解析】

对识别为高风险的应用系统，在联机时间上要有限制，超过约定联机时间应加锁或断开联机。

A.11.6 应用和信息访问控制

A.11.6.1 信息访问限制

【内容解析】

应用系统具有储存和处理关键、敏感信息和数据的能力。组织对这类数据和信息应依照已确定的访问控制策略采取保护性的控制措施（例如，限制访问权限，包括读、写、删除等），以防止未授权的访问及信息损毁。

A.11.6.2 敏感系统隔离

【内容解析】

如果识别为高敏感性的应用系统，应加以隔离、严密控制并监视。同时对信息处理系统或应用系统的责任人，也应有相应的隔离要求。

A.11.7 移动计算和远程工作

A.11.7.1 移动计算和通信

【内容解析】

移动计算是指可改变位置的计算装置，通常包括便携式计算机（wearablEComputer）、PDA、超级移动电脑、智能手机、车载计算机（carputer）。

移动计算的使用，因为处在受控的网络环境之外，所以是组织面临的特殊风险。需要组织策划相

应的控制措施。

A.11.7.2 远程工作

【内容解析】

远程工作是指利用信息通信技术（ICT）使工作能在远离工作结果产生的地点进行，例如，居家远程工作（Home-based telework）。

远程工作者需要访问组织的资源，包括内部应用系统和信息。所以组织应明确远程工作策略，并针对从外部访问组织资源的相关风险，开发和实施特定的控制和防护措施。

A.12 信息系统获取、开发和维护

A.12.1 信息系统的安全要求

A.12.1.1 安全要求分析和说明

【内容解析】

在建设一个新的信息系统前或是对现有系统进行升级时，必须要识别和定义信息安全的需求和控制措施。信息安全的要求和控制措施进入设计过程最为有效，决不能放在以后再说。

A.12.2 应用中的正确处理

A.12.2.1 输入数据确认

【内容解析】

数据和信息是业务应用系统的核心和灵魂。对输入信息处理系统或应用系统中的数据应确认其正确性（包括数据的边界、长度和业务逻辑等），并对系统可接受的输入类型进行确认检查以保证数据是恰当的，避免不符合要求的数据进入系统。

在软件开发中通常都会对输入数据进行确认，但对通过自动捕获得到的数据和信息却容易忽略。所以在对输入数据进行确认时，需同时需要关注自动捕获的数据和信息。

A.12.2.2 内部处理的控制

【内容解析】

正确输入的数据可能会因硬件错误、处理出错或故意的行为而破坏。应用系统应在数据的处理过程设置错误检查，必要时提供数据变更、中断处理及恢复功能。

A.12.2.3 消息完整性

【内容解析】

许多应用系统使用内部消息进行运行和处理。这些应用消息应加以保护以确保对数据不发生未授权的修改或损坏。

A.12.2.4 输出数据确认

【内容解析】

对关键应用系统的输出应进行确认，以确保输出数据是准确适当的。

A.12.3 密码控制

A.12.3.1 使用密码控制的策略

【内容解析】

密码控制是保护信息和数据防止未授权的访问或破坏的防护措施。尽管其对保护信息和数据的保密性和完整性十分有效，但组织还应基于风险评估来拟定其使用范围。在组织管理方面应制定和发布使用密码的策略。

A.12.3.2 密钥管理

【内容解析】

对于使用密钥的组织应具备一个正式的密钥管理系统来保护密钥，防止密钥被盗、误用和修改。

A.12.4 系统文件的安全

A.12.4.1 运行软件的控制

【内容解析】

确保只有经过授权的软件、应用程序或系统才能安装在运行的信息处理系统中。

A.12.4.2 系统测试数据的保护

【内容解析】

系统测试是对系统投入运行前或变更后的验证和确认，应谨慎设计和选择测试用例和数据，其中不应包含敏感信息（如个人的信息，业务数据等）。系统测试数据也是一种历史资源，有助于系统的运行维护人员对系统的故障和安全事态快速应对。所以测试数据应加以妥善保护和控制。

A.12.4.3 对程序源代码的访问控制

【内容解析】

源代码是软件程序和应用系统的核心机密，在开发过程中应通过配置管理（及工具）实施严格的配置控制；软件产品或应用系统进入生产环境后还应纳入最终软件库；通过软件开发和运行中的访问控制和变更控制防止对源代码的未授权的访问、修改或损毁。

A.12.5 开发和支持过程中的安全

A.12.5.1 变更控制规程

【内容解析】

对系统、应用、数据和网络装置的变更应通过正式的变更控制过程加以严格控制。

A.12.5.2 操作系统变更后应用的技术评审

【内容解析】

在核心运行系统发生变更后，组织应就其对一些关键应用系统的影响，组织正式的技术评审，识别对信息安全和业务产生的其他负面影响，以便采取措施尽快消除问题。

A.12.5.3 软件包变更的限制

【内容解析】

无论是通过购买还是组织内自主研发的应用软件，都应尽可能避免修改以有助于控制那些未识别的或未预期的安全漏洞。对必要的变更组织应做好策划和组织，最好将多项变更组合在一起，一次实施。以降低变更带来的风险。

A.12.5.4 信息泄露

【内容解析】

通过介质、应用、系统和其他渠道泄露的敏感信息，会对组织造成严重的负面影响。信息泄露的方式较多，例如：在逻辑方面包括网络连接、存储介质；在物理方面包括纸片或文件；人员方面包括员工失误、恶意行为等，需要组织谨慎设计和实施多种控制措施防止信息泄露。

A.12.5.5 外包软件开发

【内容解析】

确定将应用软件系统开发部分或全部发包给外部机构时，需要拟定对承包方的管理和控制措施。

A.12.6 技术脆弱性管理

A.12.6.1 技术脆弱性的控制

【内容解析】

组织应通过对系统和应用软件制造商有关安全脆弱性公告的监视或与有关的权威检测机构确立脆弱性通告机制来及时获取新的技术脆弱性信息，并针对发布的这类信息审查组织的系统、评价暴露程度并采取适当的处理措施（如安装补丁）。

A.13 信息安全事件管理

A.13.1 报告信息安全事态和弱点

A.13.1.1 报告信息安全事态

【内容解析】

信息安全事态是已识别的或受怀疑但尚未确认的安全事件。对信息安全事态的报告，组织应规定适当的报告渠道；依组织规模和结构，可统一渠道或分层级报告。

报告安全事态是启动整个信息安全事件处理过程的触发点，应使所有的员工或用户都能清楚地了解安全事件的报告渠道和过程，以便一旦发现安全事态，尽快报告。

A.13.1.2 报告安全弱点

【内容解析】

所有受怀疑的或识别的安全弱点都应该按规定的过程报告给管理层。在执行控制措施过程中需要两个维度。

第一：建立环境和过程使得信息系统的用户对观察到的安全弱点或威胁上报管理层。

第二：意识和培训，持续警醒用户可能身处的各类弱点和威胁。

A.13.2 信息安全事件和改进的管理

A.13.2.1 职责和规程

【内容解析】

信息安全事件可能对相关各方产生压力甚至恐慌。组织应预先制定处理信息安全事件的管理职责、过程及相关的规程。确保在发生安全事件，尤其是在信息系统遭到攻击时能及时有效地做出响应。

A.13.2.2 对信息安全事件的总结

【内容解析】

管理层应采用某种方法或系统，确保能采集到安全事件处理过程中的适当信息，以便在事后做出分析总结，吸取教训和评价改进。

对信息安全事件的总结可作为安全事件处理过程的一部分，也可形成单独的规程。通常在重大事件后要求提交正式的报告，分析事件原因和模式，量化直接和间接成本或损失，建议后续的行动方案等；评审现有相关的策略和控制措施，包括实施范围和适用性，提出改进建议。

A.13.2.3 证据的收集

【内容解析】

在很多情况下，信息安全事件会产生法律牵连。在信息安全事件处理过程中需要采集和保留相关的证据。组织对此应制定规程和指南。

A.14 业务连续性管理

A.14.1 业务连续性管理的信息安全方面

A.14.1.1 在业务连续性管理过程中包含信息安全

【内容解析】

为了保持组织在重大事件和灾害后的业务运行能力，组织应制定和保持一个业务连续性管理过程，其中包括业务连续性计划或恢复计划。当业务运行中断时，按照业务连续性计划恢复的运行环境应能在某种程度上保持对原生产环境的保护和恢复。组织应基于风险评估确立在业务系统恢复过程中以及在恢复的系统运行中对信息安全要求，以便将所需的资源和措施纳入计划。

A.14.1.2 业务连续性和风险评估

【内容解析】

风险评估是业务连续性管理的关键要素之一。对业务连续性进行风险评估时，需关联与信息安全相关的风险，如重大信息安全事件的发生及其后果等，作为策划业务连续性计划或恢复计划的输入。

A.14.1.3 制定和实施包含信息安全的连续性计划

【内容解析】

组织在制定业务连续性计划时应基于对信息安全的要求、安全风险及其后果，并将相关的控制措施融入计划。在业务连续性计划的落实活动中应评估所实施的安全控制措施是否能确保恢复的系统、应用和环境的安全运营。

A.14.1.4 业务连续性计划框架

【内容解析】

基于组织关键业务的规模和范围，业务连续性计划可以是一个综合性的计划，包括多项业务、多个领域的恢复职责和工作计划（如场所设施、系统环境、数据和业务运行恢复等）。组织应保持统一的业务连续性计划架构，确保信息安全的要求和控制措施能在各项计划的实施过程中保持协调。

A.14.1.5 测试、维护和再评估业务连续性计划

【内容解析】

为了确保在发生业务中断时，信息处理环境和业务能有序地恢复，组织应定期对计划进行演练和评审，以测试计划的有效性，培训人员意识，发现实施能力和计划的不足，以便相应地作出改进。

A.15 符合性

A.15.1 符合法律要求

A.15.1.1 可用法律的识别

【内容解析】

识别与信息安全相关的全部法律法规和合同的要求是执行管理层的职责，组织应将为满足这些要求而采用的策略、方法、措施和相关人员的职责形成文件。

A.15.1.2 知识产权（IPR）

【内容解析】

知识产权是指对智力劳动成果依法所享有的占有、使用、处置和收益的权利。组织应制定有关规程，确保对涉及知识产权的事项符合法律、法规和合同的要求。

A.15.1.3 保护组织的记录

【内容解析】

组织的业务和管理活动产生的大量记录，其中可能包含敏感信息。组织应按照法律法规、合同以及业务要求制定并实施有关记录管理的规定和规程，以保护组织的记录，防止未授权的访问、修改、损坏和销毁。

A.15.1.4 数据保护和个人信息的隐私

【内容解析】

组织应按照法律法规的要求保护员工和顾客的个人信息。通常应制定并实施保护数据和个人信息隐私策略，并由指定的责任人负责处理相关事宜。

A.15.1.5 防止滥用信息处理设施

【内容解析】

组织建立的信息处理设施的目的是为了进行业务以及业务相关活动的。组织应规定哪种非业务需要而使用信息处理设施的行为是不恰当或滥用（例如，未经授权试图进入非授权访问的系统，在上班时间炒股或玩网络游戏等），并告知用户对使用信息处理设施的行为是否有监视手段。组织使用的监视工具或监视记录应符合相关法律法规的要求。

A.15.1.6 密码控制措施的规则

【内容解析】

密码控制措施的使用是为了保护组织资产的保密性和完整性，但首先要了解国际上和我国有关密码控制的法律法规要求（例如，对执行密码功能的计算机软硬件的进出口限制，以及使用密码的限制）。在涉及密码控制领域开展业务活动和安全管理时确保符合法律法规的限制要求。为此组织应制定有关使用密码控制措施的文件，对密码控制措施的使用提供指南。

A.15.2 符合安全策略和标准以及技术符合性

A.15.2.1 符合安全策略和标准

【内容解析】

管理层为确保组织发布的各项安全方针策略和标准的到普遍的遵循，应有适当的检查或审核手段，组织的各级管理者对其职责范围内安全管理除了日常关注还应定期进行评审。

A.15.2.2 技术符合性核查

【内容解析】

为确保敏感信息和信息处理设施的安全，组织会采取各种措施，其中包括技术方法和手段在内的技术措施。这些技术措施是否达到了预定的安全标准和要求，组织需在安全技术人员（包括外部专家或第三方机构）的参与下对信息系统进行定期的核查，以验证技术安全保护和控制措施持续有效、满足要求。对系统进行必要的测试（如，渗透测试）和评估（如，脆弱性评估）。核查结果形成报告并提交管理层。

A.15.3 信息系统审计考虑

A.15.3.1 信息系统审计控制措施

【内容解析】

对信息系统可进行内部或外部审计，外部审计通常为满足特定要求而进行的。组织的相关人员应与审计方进行仔细的策划和协调，使审计过程尽量避免或减少对组织业务运行的影响，并满足审计目标和要求。

A.15.3.2 信息系统审计工具的保护

【内容解析】

审计工具具有揭示受保护信息和隐私信息的能力。组织对此应特别小心，防止审计工具受到未授权的安装、使用或是被滥用。

中国电子技术标准化研究院）