ISO27002守则之信息安全组织

6.信息安全组织。

6.1内部组织。

目标：建立管理框架，启动和控制组织内信息安全的实施和运行。

6.1.1信息安全的角色和职责(原6.1.3)

控制措施。

应定义和分配所有信息安全责任。

实施指南。

信息安全职责的分配应与信息安全政策(见5.1.1)一致。保护和执行各种资产的特定安全过程的职责应明确识别。信息安全风险管理活动的职责，特别是接受残余风险。必要时应补充这些职责，为特定场所和信息处理设施提供更详细的指导。应明确界定资产保护和执行特定安全过程的局部职责。分配有安全责任的人员可以将安全任务委托给其他人员。尽管如此，他们仍然有责任，他们应该能够确定任何委托的任务已经正确执行。明确规定个人负责的领域；特别是，应进行以下工作：

a)资产和信息安全过程应识别并明确定义；

b)每个资产或安全过程的实体责任应分配，责任的细节应形成文件(见8.1.2)；

c)授权级别应明确界定并形成文件；

d)被指定为能够在信息安全领域履行职责的个人，应该有能力在这一领域给予最新的发展机会；

e)应确定供应商关系信息安全的协调和监督，并形成文档。

其他信息。

许多组织任命信息安全管理人员全面负责信息安全的开发和实施，并支持控制措施的识别。但是，资源和控制措施的实施责任属于个别管理者。通常的做法是为每个资产指定一个所有人，他对信息资产的日常保护负责。

6.1.2职责分离(原10.1.3)

控制措施。

冲突的责任和权限应分开，以减少未经授权或无意修改或误用组织资产。

实施指南。

需要注意的是，在没有授权或监控的情况下，个人不能访问、修改或使用资产。事件的启动应与其授权分离。设计控制措施时应考虑勾结的可能性。小组织可能觉得很难实现这种责任分割，但就可能性和可行性而言，这一原则是适用的。如难以分割，应考虑其他控制措施，如活动监控、审计跟踪和管理监督。

其他信息。

职责分离是减少无意或故意滥用组织资产的一种方法。

6.1.3与监管机构的联系(原6.1.6)

控制措施。

应与监管机构保持适当的联系。

实施指南。

组织应有程序说明何时联系哪个部门(如执法部门、监管机构、监管机构)，以及如何及时确认信息安全事件的报告(如怀疑可能违法)。

其他信息。

来自互联网攻击的组织可能需要授权采取行动制攻击源。可能是支持信息安全事件管理(第16)或业务连续性和应急计划过程(第17)的要求。与监管机构的联系有助于提前了解组织必须遵循的法律法规的预期变化，并为这些变化做好准备。与其他监管部门的联系包括公用事业、应急服务、电力供应、健康和安全。例如，消防部门(与业务连续性连接有关)、电信提供商(与路由连接和可用性有关)、供水部门(与设备冷却设施有关)。

6.1.4与特定利益集团的联系(原6.1.7)

控制措施。

与特殊权益集团、其他专业安全论坛和行业协会保持适当联系。

实施指南。

为了成为特定利益集团或论坛的成员，应考虑：

加强对最佳实践和最新相关安全信息的了解；

确保对当前信息安全环境的了解是最近和完整的；

c)尽快收到攻击和脆弱性的预警、建议和补丁；

获取信息安全专家的建议；

e)分享和交换关于新技术、产品、威胁或脆弱性的信息；

f)在处理信息安全事件时提供适当的联系点(见16)。

其他信息。

建立信息共享协议，改进安全问题的合作与协调。本协议应识别保护保密信息的要求。

6.1.5项目管理中的信息安全(新增)

控制措施。

信息安全应纳入项目管理，与项目类型无关。

实施指南。

信息安全应集成到组织的项目管理方法中，以确保信息安全风险得到识别和部分项目的处理。无论项目用于任何项目，无论项目的性质如核心业务流程、IT、设备管理等支持流程。项目管理方法应要求：

a)项目目标包括信息安全目标；

b)在项目早期阶段实施信息安全风险评估，以识别必要的控制措施；

信息安全是应用项目方法各个阶段的一部分。所有项目都应定期处理信息安全影响。在项目管理方法中，应定义和分配信息安全的职责。

6.2移动设备和远程工作。

目标：确保远程工作和移动设备的安全。

6.2.1移动设备策略(原11.7.1)

控制措施。

应采取策略和配套的安全措施来管理使用移动设备带来的风险。

实施指南。

使用移动设备时，应特别小心，以确保业务信息不被破坏。移动设备策略应考虑在不受保护的环境中使用移动设备的风险。应考虑移动设备策略：

注册移动设备；

b)物理保护要求；

限制软件安装；

d)移动设备软件版本和应用补丁的要求；

e)限制连接到信息服务；

f)访问控制；

g)密码技术；

恶意软件保护；

远程禁用，删除或锁定；

备份；j)备份；

使用Web服务和web应用程序。

在公共场所、会议室和其他未受保护的区域使用移动设备时应特别小心。应保护在这些地方的设备避免未经授权访问或泄露这些设施存储和处理的信息，如使用密码技术(见10)和强制使用秘密身份认证信息(见9.2.4)。

移动设备也要物理保护，避免被盗，尤其是离开(如汽车等运输形式、酒店、会议中心、会议室)时。在移动设备被盗或丢失的情况下，应建立明确的程序，考虑法律、保险和组织的其他安全要求。设备携带重要、敏感或关键的业务信息，不得离开无人看管。如有可能，应使用物理锁或特殊锁来保护设备。对于使用移动计算设施的人员，应安排培训，以提高他们对这种工作方式造成的附加风险的意识，并实施控制措施。移动设备策略允许有移动设备的个人使用。还应考虑此策略及相关安全测量:

a)个人设备和业务使用分离，包括使用软件支持个人设备上的业务数据分离和保护；

b)提供业务信息访问，只有在用户签署终端用户协议了解其职责(物理保护、软件更新等)后。)，并宣布放弃业务数据的所有权。当设备被盗或丢失时，组织可以远程擦除数据，或者当设备不再被授权使用时。这个策略需要考虑隐私法。

其他信息。

移动设备的无线网络连接类似于其他类型的网络连接，但在确定控制措施时，应考虑两者之间的重要区别。典型区别如下:

a)有些无线安全协议不成熟，有已知的弱点；

b)存储在移动设备上的信息可能无法备份，因为有限的网络带宽和/或者移动设备无法在规定的备份时间连接。移动设备通常共享普通功能，如网络、互联网访问、e-mail和文件处理、固定设备。移动设备的信息安全控制措施通常是指在组织附属建筑外使用的固定设备和威胁增加的设备。

6.2.2远程工作(原11.7.2)

控制措施。

实施战略和配套安全措施，保护信息被访问、处理或存储在远程工作站。

实施指南。

组织允许远程工作活动发布策略。