国家标准《信息安全技术 信息安全控制》征求意见稿发布
发布时间 2023-04-11本文件适用于所有类型和规模的组织。组织在实施基于GB/T 22080信息安全管理体系的信息安全风险处置时,本文件可作为其确定和实施所需控制的参考;本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。此外,本文件旨在用于制定行业和特定组织的信息安全管理指南,同时考虑其具体的信息安全风险环境。除本文件包含的控制外,可通过风险评估来确定特定于组织或环境所需要的控制。
所有类型和规模的组织(包括公共和私营部门、商业和非营利性组织)都会以多种形式创建、收集、处理、存储、传输和处置信息,包括电子的、物理的和口头的(如对话—会话和演示)。信息的价值超出了字、数字和图像的本身:如知识、概念、观点和品牌都是无形信息。
在互联的世界中,信息和相关资产都值得或需要保护,以防范各种风险源,无论该风险是源自自然界,还是意外或故意破坏。信息安全是通过实施一组适宜的控制来实现的,包括策略、规则、过程、规程、组织结构和软硬件功能。组织宜在必要时定义、实施、监视、评审和改进这些控制,以满足其特定的安全和业务目标。
GB/T 22080中规定的ISMS从整体、协调的视角审视组织的信息安全风险,在协调一致的管理体系总框架内确定和实施一套全面的信息安全控制。许多信息系统,包括其管理和运营,并没有按照GB/T 22080所规定的ISMS和本文件来进行安全的设计。只通过技术措施所能实现的安全水平是有限的,宜通过适当的管理活动和组织过程给予支持。在进行风险处置时,需要仔细规划、注意细节,来确定宜实施哪些控制。
成功的ISMS需要得到组织内所有人员的支持,还可能需要股东或供应商等其他利益相关方的参与,同时也需要业内专家的建议。一个适宜、充分和有效的信息安全管理体系,为组织的管理层及其他利益相关方提供以下保证:它们的信息及其他相关资产处于合理的安全状态并免受威胁和损害,从而使组织能够实现既定的业务目标。
信息安全要求
组织确定其信息安全要求是必要的。信息安全要求有三个主要来源:
a) 考虑组织的整体业务战略与目标来对组织风险进行评估。这能通过特定于信息安全的风险评估来给予帮助或支持。这宜得出对必要控制的确定,以确保组织面临的残余风险符合其风险接受准则;
b) 组织及其利益相关方(贸易伙伴、服务提供者等)必须遵守的法律、法规、规章和合同要求及其社会文化环境;
c) 组织为支持其运行而为信息生存周期的所有步骤所建立的一整套原则、目标和业务要求。
控制
控制的定义是改变或维持风险的措施。本文件中的某些控制是修改风险,而其他控制则是维持风险。例如,信息安全方针只能维持风险,而遵守信息安全方针则能改变风险。此外,某些控制描述了不同风险环境下相同的通用措施。本文件提供了源于国际公认最佳实践的一系列组织、人员、物理和技术信息安全控制。
控制的确定
控制的确定取决于组织在风险评估后做出的决策,并有一个明确定义的范围。与已识别风险相关的决策宜基于风险接受准则、风险处置选项和组织所采用的风险管理方法。控制的确定还宜考虑所有相关的国家和国际法律法规。控制的确定还取决于不同控制的协同,以实现纵深防御。
组织可根据需要来设计控制,或从任何来源识别控制。在指定此类控制时,组织宜考虑相对于所实现的业务价值,实施和运行控制所需要的资源和投资。参见ISO/IEC TR 27016,了解有关ISMS投资的决策指南,以及这些决策在资源相互冲突的境下带来的经济后果。
在为实施控制而部署的资源与因缺乏这些控制而发生安全事件所导致的潜在业务影响之间宜取得平衡。风险评估的结果宜有助于指导和确定适当的管理措施、管理信息安全风险的优先顺序,以及实施为防范这些风险而确定的必要控制。
本文件中的某些控制可被视为信息安全管理的指导原则,适用于大多数组织。