國家標準《信息安全技術(shù) 信息安全控制》征求意見稿發(fā)布

發(fā)布時間 2023-04-11

本文件適用于所有類型和規(guī)模的組織。組織在實施基于GB/T 22080信息安全管理體系的信息安全風(fēng)險處置時,本文件可作為其確定和實施所需控制的參考;本文件還可作為組織在確定和實施普遍接受的信息安全控制時的指導(dǎo)文件。此外,本文件旨在用于制定行業(yè)和特定組織的信息安全管理指南,同時考慮其具體的信息安全風(fēng)險環(huán)境。除本文件包含的控制外,可通過風(fēng)險評估來確定特定于組織或環(huán)境所需要的控制。


所有類型和規(guī)模的組織(包括公共和私營部門、商業(yè)和非營利性組織)都會以多種形式創(chuàng)建、收集、處理、存儲、傳輸和處置信息,包括電子的、物理的和口頭的(如對話—會話和演示)。信息的價值超出了字、數(shù)字和圖像的本身:如知識、概念、觀點和品牌都是無形信息。


在互聯(lián)的世界中,信息和相關(guān)資產(chǎn)都值得或需要保護,以防范各種風(fēng)險源,無論該風(fēng)險是源自自然界,還是意外或故意破壞。信息安全是通過實施一組適宜的控制來實現(xiàn)的,包括策略、規(guī)則、過程、規(guī)程、組織結(jié)構(gòu)和軟硬件功能。組織宜在必要時定義、實施、監(jiān)視、評審和改進這些控制,以滿足其特定的安全和業(yè)務(wù)目標。


GB/T 22080中規(guī)定的ISMS從整體、協(xié)調(diào)的視角審視組織的信息安全風(fēng)險,在協(xié)調(diào)一致的管理體系總框架內(nèi)確定和實施一套全面的信息安全控制。許多信息系統(tǒng),包括其管理和運營,并沒有按照GB/T 22080所規(guī)定的ISMS和本文件來進行安全的設(shè)計。只通過技術(shù)措施所能實現(xiàn)的安全水平是有限的,宜通過適當(dāng)?shù)墓芾砘顒雍徒M織過程給予支持。在進行風(fēng)險處置時,需要仔細規(guī)劃、注意細節(jié),來確定宜實施哪些控制。


成功的ISMS需要得到組織內(nèi)所有人員的支持,還可能需要股東或供應(yīng)商等其他利益相關(guān)方的參與,同時也需要業(yè)內(nèi)專家的建議。一個適宜、充分和有效的信息安全管理體系,為組織的管理層及其他利益相關(guān)方提供以下保證:它們的信息及其他相關(guān)資產(chǎn)處于合理的安全狀態(tài)并免受威脅和損害,從而使組織能夠?qū)崿F(xiàn)既定的業(yè)務(wù)目標。


信息安全要求


組織確定其信息安全要求是必要的。信息安全要求有三個主要來源:

  1. a) 考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標來對組織風(fēng)險進行評估。這能通過特定于信息安全的風(fēng)險評估來給予幫助或支持。這宜得出對必要控制的確定,以確保組織面臨的殘余風(fēng)險符合其風(fēng)險接受準則;

  2. b) 組織及其利益相關(guān)方(貿(mào)易伙伴、服務(wù)提供者等)必須遵守的法律、法規(guī)、規(guī)章和合同要求及其社會文化環(huán)境;

  3. c) 組織為支持其運行而為信息生存周期的所有步驟所建立的一整套原則、目標和業(yè)務(wù)要求。


控制


控制的定義是改變或維持風(fēng)險的措施。本文件中的某些控制是修改風(fēng)險,而其他控制則是維持風(fēng)險。例如,信息安全方針只能維持風(fēng)險,而遵守信息安全方針則能改變風(fēng)險。此外,某些控制描述了不同風(fēng)險環(huán)境下相同的通用措施。本文件提供了源于國際公認最佳實踐的一系列組織、人員、物理和技術(shù)信息安全控制。


控制的確定


控制的確定取決于組織在風(fēng)險評估后做出的決策,并有一個明確定義的范圍。與已識別風(fēng)險相關(guān)的決策宜基于風(fēng)險接受準則、風(fēng)險處置選項和組織所采用的風(fēng)險管理方法??刂频拇_定還宜考慮所有相關(guān)的國家和國際法律法規(guī)??刂频拇_定還取決于不同控制的協(xié)同,以實現(xiàn)縱深防御。


組織可根據(jù)需要來設(shè)計控制,或從任何來源識別控制。在指定此類控制時,組織宜考慮相對于所實現(xiàn)的業(yè)務(wù)價值,實施和運行控制所需要的資源和投資。參見ISO/IEC TR 27016,了解有關(guān)ISMS投資的決策指南,以及這些決策在資源相互沖突的境下帶來的經(jīng)濟后果。


在為實施控制而部署的資源與因缺乏這些控制而發(fā)生安全事件所導(dǎo)致的潛在業(yè)務(wù)影響之間宜取得平衡。風(fēng)險評估的結(jié)果宜有助于指導(dǎo)和確定適當(dāng)?shù)墓芾泶胧?、管理信息安全風(fēng)險的優(yōu)先順序,以及實施為防范這些風(fēng)險而確定的必要控制。


本文件中的某些控制可被視為信息安全管理的指導(dǎo)原則,適用于大多數(shù)組織。