國家標準《信息安全技術 信息安全控制》征求意見稿發(fā)布

發(fā)布時間 2023-04-11

本文件適用于所有類型和規(guī)模的組織。組織在實施基于GB/T 22080信息安全管理體系的信息安全風險處置時,本文件可作為其確定和實施所需控制的參考;本文件還可作為組織在確定和實施普遍接受的信息安全控制時的指導文件。此外,本文件旨在用于制定行業(yè)和特定組織的信息安全管理指南,同時考慮其具體的信息安全風險環(huán)境。除本文件包含的控制外,可通過風險評估來確定特定于組織或環(huán)境所需要的控制。


所有類型和規(guī)模的組織(包括公共和私營部門、商業(yè)和非營利性組織)都會以多種形式創(chuàng)建、收集、處理、存儲、傳輸和處置信息,包括電子的、物理的和口頭的(如對話—會話和演示)。信息的價值超出了字、數(shù)字和圖像的本身:如知識、概念、觀點和品牌都是無形信息。


在互聯(lián)的世界中,信息和相關資產(chǎn)都值得或需要保護,以防范各種風險源,無論該風險是源自自然界,還是意外或故意破壞。信息安全是通過實施一組適宜的控制來實現(xiàn)的,包括策略、規(guī)則、過程、規(guī)程、組織結構和軟硬件功能。組織宜在必要時定義、實施、監(jiān)視、評審和改進這些控制,以滿足其特定的安全和業(yè)務目標。


GB/T 22080中規(guī)定的ISMS從整體、協(xié)調的視角審視組織的信息安全風險,在協(xié)調一致的管理體系總框架內確定和實施一套全面的信息安全控制。許多信息系統(tǒng),包括其管理和運營,并沒有按照GB/T 22080所規(guī)定的ISMS和本文件來進行安全的設計。只通過技術措施所能實現(xiàn)的安全水平是有限的,宜通過適當?shù)墓芾砘顒雍徒M織過程給予支持。在進行風險處置時,需要仔細規(guī)劃、注意細節(jié),來確定宜實施哪些控制。


成功的ISMS需要得到組織內所有人員的支持,還可能需要股東或供應商等其他利益相關方的參與,同時也需要業(yè)內專家的建議。一個適宜、充分和有效的信息安全管理體系,為組織的管理層及其他利益相關方提供以下保證:它們的信息及其他相關資產(chǎn)處于合理的安全狀態(tài)并免受威脅和損害,從而使組織能夠實現(xiàn)既定的業(yè)務目標。


信息安全要求


組織確定其信息安全要求是必要的。信息安全要求有三個主要來源:

  1. a) 考慮組織的整體業(yè)務戰(zhàn)略與目標來對組織風險進行評估。這能通過特定于信息安全的風險評估來給予幫助或支持。這宜得出對必要控制的確定,以確保組織面臨的殘余風險符合其風險接受準則;

  2. b) 組織及其利益相關方(貿(mào)易伙伴、服務提供者等)必須遵守的法律、法規(guī)、規(guī)章和合同要求及其社會文化環(huán)境;

  3. c) 組織為支持其運行而為信息生存周期的所有步驟所建立的一整套原則、目標和業(yè)務要求。


控制


控制的定義是改變或維持風險的措施。本文件中的某些控制是修改風險,而其他控制則是維持風險。例如,信息安全方針只能維持風險,而遵守信息安全方針則能改變風險。此外,某些控制描述了不同風險環(huán)境下相同的通用措施。本文件提供了源于國際公認最佳實踐的一系列組織、人員、物理和技術信息安全控制。


控制的確定


控制的確定取決于組織在風險評估后做出的決策,并有一個明確定義的范圍。與已識別風險相關的決策宜基于風險接受準則、風險處置選項和組織所采用的風險管理方法??刂频拇_定還宜考慮所有相關的國家和國際法律法規(guī)。控制的確定還取決于不同控制的協(xié)同,以實現(xiàn)縱深防御。


組織可根據(jù)需要來設計控制,或從任何來源識別控制。在指定此類控制時,組織宜考慮相對于所實現(xiàn)的業(yè)務價值,實施和運行控制所需要的資源和投資。參見ISO/IEC TR 27016,了解有關ISMS投資的決策指南,以及這些決策在資源相互沖突的境下帶來的經(jīng)濟后果。


在為實施控制而部署的資源與因缺乏這些控制而發(fā)生安全事件所導致的潛在業(yè)務影響之間宜取得平衡。風險評估的結果宜有助于指導和確定適當?shù)墓芾泶胧?、管理信息安全風險的優(yōu)先順序,以及實施為防范這些風險而確定的必要控制。


本文件中的某些控制可被視為信息安全管理的指導原則,適用于大多數(shù)組織。