18 符合性
18.1 符合法律和合同要求
目标:避免违反相关信息安全的法律、法规、规章、合同义务以及任何安全要求。
18.1.1 识别使用的法律和合同的要求(原 15.1.1)
控制措施
对每一个信息系统和组织而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新。
实施指南
为满足这些要求的特定控制措施和人员的职责应同样加以定义并形成文件。管理者应识别所有为满足他们业务需要的可用的法律法规。如果组织在其它国家开展业务,管理者应考虑所有有关国家的符合性。
18.1.2 知识产权(IPR)(原 15.1.2)
控制措施
应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。
实施指南
在保护被认为具有知识产权的材料时,应考虑下面的指南:
a) 发布一个知识产权符合性策略,该策略定义了软件和信息产品的合法使用;
b) 仅通过知名的和声誉好的渠道获得软件,以确保不侵犯版权;
c) 保持对保护知识产权的策略的意识,并通知对违规人员采取惩罚措施的意向;
d) 维护适当的资产登记簿,识别具有保护知识产权要求的所有资产;
e) 维护许可证、主盘、手册等所有权的证明和证据;
f) 实施控制措施,以确保不超过所允许的最大用户数目;
g) 进行检查,确保仅安装已授权的软件和具有许可证的产品;
h) 提供维护适当的许可证条件的策略;
i) 提供处理软件或转移软件给其他人的策略;
j) 符合从公共网络获得软件和信息的条款和条件;
k) 不对版权法不允许的商业录音带进行复制、格式转换或摘取内容;
l) 不对版权法不允许的书籍、文章、报告和其它文件中进行全部或部分地拷贝。
其它信息
知识产权包括软件或文档的版权、设计权、商标、专利权和源代码许可证。
通常具有所有权的软件产品的供应是根据许可协议进行的,该许可协议规定了许可条款和条件,例如,限制产品用于指定的机器或限制只能拷贝到创建的备份副本上。组织所开发的软件的知识产权的重要性和意识需要跟员工阐述清楚。法律、法规和合同的要求可以对具有所有权的材料的拷贝进行限制。特别是,这些限制可能要求只能使用组织自己开发的资料,或者开发者许可组织使用或提供给组织的资料。版权侵害可能导致法律行为,这可能涉及罚款和刑事诉讼。
18.1.3
记录的保护(原 15.1.3)
控制措施
按照法律、法规、合同和业务需求保护记录,以免遭受损失、破坏、篡改、未经授权的访问和未授权的发布。
实施指南
当决定保护特定的时候,应考虑基于组织分类规划进行适当的分类。例如,帐号记录、数据库记录、事务日志、审计日志和运行程序,每个程序都带有详细的保存周期和存储介质的类型,例如,纸质、缩微胶片、磁介质、光介质。还应保存与已加密的归档文件或数字签名(见 10)相关的任何有关密码密钥材料,以使得记录在保存期限满后能够脱密。应考虑存储记录的介质性能下降的可能性。应按照制造商的建议实施存储和处理程
序。若选择了电子存储介质,应建立程序,以确保在整个保存周期内能够访问数据(介质和格式的可读性),以防范由于未来技术变化而造成的损失。应选择数据存储系统,使得所需要的数据能根据要满足的要求,在可接受的时间内、以可接受的格式检索出来。存储和处理系统应确保能按照国家或地区法律或法规的规定,清晰地标识出记录及其保存期限。该系统应允许在保存期后恰当地销毁记录,如果组织不需要这些记录的话。为满足记录防护目标,应在组织范围内采取下列步骤:
a) 应颁发关于保存、存储、处理和处置记录和信息的指南;
b) 应起草一个保存时间计划,以标识记录及其应被保存的时间周期;
c) 应维护关键信息源的清单;
其它信息
某些记录可能需要安全地保存,以满足法令、法规或合同的要求,支持必要的业务活动。举例来说,可以要求这些记录作为组织在法令或法规规则下运行的证据,以确保充分防御潜在的民事或刑事诉讼,或者和股份持有者、外部方和审核员确认组织的财务状况。可以根据国家法律或规章来设置信息保存的时间和数据内容。关于管理组织记录的更多信息可以参见 ISO 15489-1.[5]。
18.1.4 隐私和个人可识别信息的保护(原 15.1.4)
控制措施
应依照相关的法律、法规和合同条款的要求,确保隐私和个人可识别信息的保护。
实施指南
应制定和实施组织的隐私和个人可识别信息保护的数据策略。该策略应通知到涉及私人可识别信息处理的所有人员。符合该策略和所有相关的数据保护法律法规需要合适的管理结构和控制。通常,这一
点最好通过任命一个负责人来实现,如隐私官员,该官员应向管理人员、用户和服务提供商提供他们各自的职责以及应遵守的特定程序的指南。处理个人可识别信息和确保隐私意识保护原则的职责应根据相关法律法规来确定。应实施适当的技术和组织措施以保护个人可识别信息。
其它信息
ISO/IEC 29100[25] 提供一个在信息和通信技术保护系统中个人可识别信息保护的高层次的框架。一些国家已经立法将个人可识别信息的控制着眼于收集、处理和传输过程中(一般居住的人可以从这个信息中识别出来)。根据各自国家的法律,这样的控制可以对那些收集、处理和传播的个人可识别信息的人承担责任,也可以限制个人信息转移到其他国家的能力。
18.1.5
密码控制措施的监管(原 15.1.6)
控制措施
使用密码控制措施应遵从相关的协议、法律和法规。
实施指南
为符合相关的协议、法律和法规,应考虑下面的事项:
a) 限制执行密码功能的计算机硬件和软件的出入口;
b) 限制被设计用以增加密码功能的计算机硬件和软件的出入口;
c) 限制密码的使用;
d) 利用国家对硬件或软件加密的信息的授权的强制或任意的访问方法提供内容的保密性。
应征求法律建议,以确保符合国家法律法规。在将加密信息或密码控制措施转移越过司法边界之前,也应获得法律建议。
18.2 信息安全审查
目标:确保信息安全依照组织的策略和程序运行和实施。
18.2.1 信息安全的独立审查(原 6.1.8)
控制措施
组织管理信息安全的方法及实施(例如信息安全的控制目标、控制措施、策略、过程和规程)应按照计划的时间间隔或发生重大变更时进行独立评审。
实施指南
独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要,包括策略和控制目标。这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。如果独立评审识别出组织管理信息安全的方法和实施不充分,例如:文档化的目标和要求不满足或不符合信息安全方针文件(见 5.1.1)中声明的信息安全的方向,管理者应考虑纠正措施。
其它信息
ISO/IEC 27007[12], “信息安全管理体系审核指南”和 ISO/IEC TR 27008[13], “信息安全控制措施审核员指南” 也提供了独立评审的指导。
18.2.2 符合安全策略和标准(原 15.2.1)
控制措施
管理者应定期审查其职责范围内的信息安全处理和规程被正确的执行,以确保符合安全策略、标准和其他安全要求。
实施指南
管理者应确定如何来检查在策略、标准和其它合适规程中定义的信息安全要求被满足。自动测量和报告工具应被考虑为有效的定期检查。如果检查结果发现任何不符合,管理者应:
a) 确定不符合的原因;
b) 评价达到符合所采取措施的必要性;
c) 实施适当的纠正措施;
d) 检查所采取的纠正措施来验证它的有效性,并确定缺陷或弱点。
评审结果和管理者采取的纠正措施应被记录,且这些记录应予以维护。当在管理者的职责范围内进行独立评审时,管理者应将结果报告给执行独立评审的人员(见 18.2.1)。
其它信息
12.4中包括了系统使用的运行监视。
18.2.3 技术符合性检查(原 15.2.2)
控制措施
应定期检查信息系统与组织安全策略和标准的符合性。
实施指南
技术符合性检查应优选自动化工具的支持,生成由技术专家后续解释的技术报告。另外,手动检查(如果需要的话,通过适当的软件工具的支持)由有经验的系统工程师执行。如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划、形成文件和可重复的。任何技术符合性检查应仅由有能力的、已授权的人员或在他们的监督下完成。
其它信息
技术符合性检查包括检查运行系统,以确保硬件和软件控制措施被正确实施。这种类型的符合性检查需要技术专业的专家。符合性检查还包括,例如渗透测试和脆弱性评估,该项工作可以由针对此目的而专门签约的独立专家来完成。符合性检查有助于检测系统的脆弱性,和检查为预防由于这些脆弱性引起的未授权访问而采取的控制措施的有效性。渗透测试和脆弱性评估提供系统在特定时间特定状态的快照。这个快照被限制在渗透
企图时实际测试系统的那些部分中。渗透测试和脆弱性评估不能代替风险评估。
ISO/IEC TR 27008[13] 提供了有关技术符合性检查的具体指导。
