13.1 網絡安全管理
控制措施
實施指南
a)應建立網絡設備管理職責和程序�����;
c)具體的控制措施應被建立�,以保護通過公網或無線網的數據的保密性和完整性��,且保護被連接的系統和應用程序(見 10 和 13.2)。具體的控制措施也被要求����,以維護網絡服務和計算機連接的可用性���;
e)管理活動應緊密地協調對組織服務的優化和確?��?刂拼胧┍灰回灥貞糜谛畔⑻?span style="margin: 0px; padding: 0px; line-height: 2;">理基礎設施�����;
g)系統連接到網絡應受限制����。
關于網絡安全的另外信息可以在ISO/IEC 27033找到��。
13.1.2 網絡服務的安全(原 10.6.2)
所有網絡服務的安全機制��、服務水平和管理要求,應予以明確并列入網絡服務協議中�����,無論這些服務是否由公司內部提供還是外包�����。
網絡服務提供商以安全方式管理商定服務的能力應予以確定并定期監視�����,還應商定審核的權利��。應識別特殊服務的安全約定����,例如安全特性�����、服務級別和管理要求�����。組織應確保網絡服務提供商實施了這些措施。
網絡服務包括連接的提供、私有網絡服務����、增值網絡和使用的網絡安全解決方案��,例如防火墻和入侵檢測系統。這些服務既包括的范圍從簡單的未受控的帶寬到復雜的增值產品��。
a) 為網絡服務應用的安全技術����,例如身份認證、加密和網絡連接控制�;
c) 若需要����,使用網絡服務程序來限制對網絡服務或應用的訪問����。
13.1.3
控制措施
實施指南
其它信息
目標:維護組織與任何外部實體的信息傳輸安全。
13.2.1
控制措施
實施指南
a) 設計用來防止交換信息遭受截取、復制、修改��、錯誤路由和破壞的程序���;
c) 保護以附件形式傳輸的敏感電子信息的程序�;
e) 員工���、外部團體和任何其他用戶的不危害組織的職責���,例如誹謗���、擾亂�、扮演、連鎖信件轉發���、未授權購買等;
g) 所有業務通信(包括消息)的保持和處理指南,要與相關國家和地方法律法規一致�����;
i)提醒工作人員來采取相應的預防措施不泄露秘密信息��;
k) 通告員工關于使用傳真機或服務的問題�,也就是:
2)故意或意外的機器編程來發送消息到具體的號碼;
信息交換服務應符合所有相關的法律要求(見 18.1)。
可能通過使用很多不同類型的通信設施進行信息交換,包括電子郵件�、語音�、傳真和視頻��。可能通過很多不同類型的介質進行軟件交換����,包括從互聯網下載和從出售現貨供應產品的廠商處獲得�����。應考慮與電子數據交換�、電子商務�����、電子通信和控制要求相關的業務、法律和安全影響�����。
13.2.2 信息傳輸協議(原 10.8.2)
協議應處理組織與外部方傳輸商業信息的安全傳輸����。
信息交換協議應包含如下條款:
b) 確保可追溯性和不可抵賴性的程序�����;
d) 有條件轉讓契約����;
f) 信息安全事件結果的責任和義務,例如數據丟失�����;
h) 記錄和閱讀信息和軟件的技術標準�����;
j) 在信息傳輸期間維護一個監管鏈�;
應建立和保持策略�、程序和標準,以保護傳輸中的信息和物理介質(見 8.3.3)����,并在交換協議中引用。任何協議的安全內容應反映涉及的業務信息的敏感性。
協議可以是電子的或手寫的��,可能采取正式合同的形式�����。對秘密信息而言����,這樣的信息交換使用的特定機制對于所有組織和各種協議應是一致的���。
13.2.3 電子消息(原 10.8.3)
涉及電子消息的信息應適當保護�。
電子消息的信息安全考慮應包括以下方面:
b) 確保正確的處理和消息傳輸;
d) 法律方面的考慮��,例如電子簽名的要求�;
f) 更強壯的身份認證級別用于控制來自公共可訪問網絡的訪問。
很多種電子消息(例如電子郵件�����、電子數據交換(EDI)�、交際網絡)在業務通信中充當一個角色。
13.2.4 保密或不泄露協議(原 6.1.5)
應確定組織信息保護需要的保密性或不泄露協議的要求����,定期審查并記錄����。
保密或不泄露協議應使用法律強行的期限來解決保護機密信息的要求。保密或不泄露協議應用到外部各方或組織的雇員����。其它方類型����、和它的允許訪問或秘密信息的處理要素考慮應被選擇或增加�����。為識別保密或不泄露協議的要求,需考慮下列因素:
b) 協議的期望持續時間����,包括保密性需要不定期維護的情形��;
d) 為避免未授權信息泄露的簽署者的職責和行為;
f) 機密信息的允許使用�����,及簽署者使用信息的權力����;
h) 未授權泄露或機密信息破壞的通知和報告過程;
j )違反協議后期望采取的措施。
其它信息
對于一個組織來說����,可能需要在不同環境中使用保密性或不泄密協議的不同格式�。
