國家標準《信息安全技術 信息安全控制》征求意見稿發布
發布時間 2023-04-11本文件適用于所有類型和規模的組織。組織在實施基于GB/T 22080信息安全管理體系的信息安全風險處置時,本文件可作為其確定和實施所需控制的參考;本文件還可作為組織在確定和實施普遍接受的信息安全控制時的指導文件。此外,本文件旨在用于制定行業和特定組織的信息安全管理指南,同時考慮其具體的信息安全風險環境。除本文件包含的控制外,可通過風險評估來確定特定于組織或環境所需要的控制。
所有類型和規模的組織(包括公共和私營部門、商業和非營利性組織)都會以多種形式創建、收集、處理、存儲、傳輸和處置信息,包括電子的、物理的和口頭的(如對話—會話和演示)。信息的價值超出了字、數字和圖像的本身:如知識、概念、觀點和品牌都是無形信息。
在互聯的世界中,信息和相關資產都值得或需要保護,以防范各種風險源,無論該風險是源自自然界,還是意外或故意破壞。信息安全是通過實施一組適宜的控制來實現的,包括策略、規則、過程、規程、組織結構和軟硬件功能。組織宜在必要時定義、實施、監視、評審和改進這些控制,以滿足其特定的安全和業務目標。
GB/T 22080中規定的ISMS從整體、協調的視角審視組織的信息安全風險,在協調一致的管理體系總框架內確定和實施一套全面的信息安全控制。許多信息系統,包括其管理和運營,并沒有按照GB/T 22080所規定的ISMS和本文件來進行安全的設計。只通過技術措施所能實現的安全水平是有限的,宜通過適當的管理活動和組織過程給予支持。在進行風險處置時,需要仔細規劃、注意細節,來確定宜實施哪些控制。
成功的ISMS需要得到組織內所有人員的支持,還可能需要股東或供應商等其他利益相關方的參與,同時也需要業內專家的建議。一個適宜、充分和有效的信息安全管理體系,為組織的管理層及其他利益相關方提供以下保證:它們的信息及其他相關資產處于合理的安全狀態并免受威脅和損害,從而使組織能夠實現既定的業務目標。
信息安全要求
組織確定其信息安全要求是必要的。信息安全要求有三個主要來源:
a) 考慮組織的整體業務戰略與目標來對組織風險進行評估。這能通過特定于信息安全的風險評估來給予幫助或支持。這宜得出對必要控制的確定,以確保組織面臨的殘余風險符合其風險接受準則;
b) 組織及其利益相關方(貿易伙伴、服務提供者等)必須遵守的法律、法規、規章和合同要求及其社會文化環境;
c) 組織為支持其運行而為信息生存周期的所有步驟所建立的一整套原則、目標和業務要求。
控制
控制的定義是改變或維持風險的措施。本文件中的某些控制是修改風險,而其他控制則是維持風險。例如,信息安全方針只能維持風險,而遵守信息安全方針則能改變風險。此外,某些控制描述了不同風險環境下相同的通用措施。本文件提供了源于國際公認最佳實踐的一系列組織、人員、物理和技術信息安全控制。
控制的確定
控制的確定取決于組織在風險評估后做出的決策,并有一個明確定義的范圍。與已識別風險相關的決策宜基于風險接受準則、風險處置選項和組織所采用的風險管理方法。控制的確定還宜考慮所有相關的國家和國際法律法規。控制的確定還取決于不同控制的協同,以實現縱深防御。
組織可根據需要來設計控制,或從任何來源識別控制。在指定此類控制時,組織宜考慮相對于所實現的業務價值,實施和運行控制所需要的資源和投資。參見ISO/IEC TR 27016,了解有關ISMS投資的決策指南,以及這些決策在資源相互沖突的境下帶來的經濟后果。
在為實施控制而部署的資源與因缺乏這些控制而發生安全事件所導致的潛在業務影響之間宜取得平衡。風險評估的結果宜有助于指導和確定適當的管理措施、管理信息安全風險的優先順序,以及實施為防范這些風險而確定的必要控制。
本文件中的某些控制可被視為信息安全管理的指導原則,適用于大多數組織。
