13.1 网络安全管理
控制措施
实施指南
a)应建立网络设备管理职责和程序;
c)具体的控制措施应被建立,以保护通过公网或无线网的数据的保密性和完整性,且保护被连接的系统和应用程序(见 10 和 13.2)。具体的控制措施也被要求,以维护网络服务和计算机连接的可用性;
e)管理活动应紧密地协调对组织服务的优化和确保控制措施被一贯地应用于信息处理基础设施;
g)系统连接到网络应受限制。
关于网络安全的另外信息可以在ISO/IEC 27033找到。
13.1.2 网络服务的安全(原 10.6.2)
所有网络服务的安全机制、服务水平和管理要求,应予以明确并列入网络服务协议中,无论这些服务是否由公司内部提供还是外包。
网络服务提供商以安全方式管理商定服务的能力应予以确定并定期监视,还应商定审核的权利。应识别特殊服务的安全约定,例如安全特性、服务级别和管理要求。组织应确保网络服务提供商实施了这些措施。
网络服务包括连接的提供、私有网络服务、增值网络和使用的网络安全解决方案,例如防火墙和入侵检测系统。这些服务既包括的范围从简单的未受控的带宽到复杂的增值产品。
a) 为网络服务应用的安全技术,例如身份认证、加密和网络连接控制;
c) 若需要,使用网络服务程序来限制对网络服务或应用的访问。
13.1.3
控制措施
实施指南
其它信息
目标:维护组织与任何外部实体的信息传输安全。
13.2.1
控制措施
实施指南
a) 设计用来防止交换信息遭受截取、复制、修改、错误路由和破坏的程序;
c) 保护以附件形式传输的敏感电子信息的程序;
e) 员工、外部团体和任何其他用户的不危害组织的职责,例如诽谤、扰乱、扮演、连锁信件转发、未授权购买等;
g) 所有业务通信(包括消息)的保持和处理指南,要与相关国家和地方法律法规一致;
i)提醒工作人员来采取相应的预防措施不泄露秘密信息;
k) 通告员工关于使用传真机或服务的问题,也就是:
2)故意或意外的机器编程来发送消息到具体的号码;
信息交换服务应符合所有相关的法律要求(见 18.1)。
可能通过使用很多不同类型的通信设施进行信息交换,包括电子邮件、语音、传真和视频。可能通过很多不同类型的介质进行软件交换,包括从互联网下载和从出售现货供应产品的厂商处获得。应考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全影响。
13.2.2 信息传输协议(原 10.8.2)
协议应处理组织与外部方传输商业信息的安全传输。
信息交换协议应包含如下条款:
b) 确保可追溯性和不可抵赖性的程序;
d) 有条件转让契约;
f) 信息安全事件结果的责任和义务,例如数据丢失;
h) 记录和阅读信息和软件的技术标准;
j) 在信息传输期间维护一个监管链;
应建立和保持策略、程序和标准,以保护传输中的信息和物理介质(见 8.3.3),并在交换协议中引用。任何协议的安全内容应反映涉及的业务信息的敏感性。
协议可以是电子的或手写的,可能采取正式合同的形式。对秘密信息而言,这样的信息交换使用的特定机制对于所有组织和各种协议应是一致的。
13.2.3 电子消息(原 10.8.3)
涉及电子消息的信息应适当保护。
电子消息的信息安全考虑应包括以下方面:
b) 确保正确的处理和消息传输;
d) 法律方面的考虑,例如电子签名的要求;
f) 更强壮的身份认证级别用于控制来自公共可访问网络的访问。
很多种电子消息(例如电子邮件、电子数据交换(EDI)、交际网络)在业务通信中充当一个角色。
13.2.4 保密或不泄露协议(原 6.1.5)
应确定组织信息保护需要的保密性或不泄露协议的要求,定期审查并记录。
保密或不泄露协议应使用法律强行的期限来解决保护机密信息的要求。保密或不泄露协议应用到外部各方或组织的雇员。其它方类型、和它的允许访问或秘密信息的处理要素考虑应被选择或增加。为识别保密或不泄露协议的要求,需考虑下列因素:
b) 协议的期望持续时间,包括保密性需要不定期维护的情形;
d) 为避免未授权信息泄露的签署者的职责和行为;
f) 机密信息的允许使用,及签署者使用信息的权力;
h) 未授权泄露或机密信息破坏的通知和报告过程;
j )违反协议后期望采取的措施。
其它信息
对于一个组织来说,可能需要在不同环境中使用保密性或不泄密协议的不同格式。
