<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 22081-2016 信息技術 安全技術 信息安全控制實踐指南
    展開或關閉
    前言
    前言
    引言
    0.1 背景和環境 0.2 信息安全要求 0.3 控制的選擇 0.4 編制組織自己的指南 0.5 生命周期的考慮 0.6 相關標準
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 標準結構
    4.1 章節 4.2 控制類別
    5 信息安全策略
    5.1 信息安全管理指導
    6 信息安全組織
    6.1 內部組織 6.2移動設備和遠程工作
    7 人力資源安全
    7.1 任用前 7.2任用中 7.3任用的終止和變更
    8 資產管理
    8.1有關資產的責任 8.2 信息分級 8.3介質處理
    9 訪問控制
    9.1訪問控制的業務要求 9.2用戶訪問管理 9.3用戶責任 9.4系統和應用訪問控制
    10 密碼
    10.1 密碼控制
    11 物理和環境安全
    11.1安全區域 11.2 設備
    12 運行安全
    12.1運行規程和責任 12.2惡意軟件防范 12.3備份 12.4日志和監視 12.5運行軟件控制 12.6技術方面的脆弱性管理 12.7信息系統審計的考慮
    13 通信安全
    13.1 網絡安全管理 13.2信息傳輸
    14 系統獲取、開發和維護
    14.1信息系統的安全要求 14.2開發和支持過程中的安全 14.3 測試數據
    15 供應商關系
    15.1供應商關系中的信息安全 15.2供應商服務交付管理
    16 信息安全事件管理
    16.1信息安全事件的管理和改進
    17 業務連續性管理的信息安全方面
    17.1信息安全的連續性 17.2冗余
    18 符合性
    18.1符合法律和合同要求 18.2信息安全評審
    附錄NA(資料性附錄)GB/T22081-XXXX與GB/T22081-2008對比
    附錄NA(資料性附錄)GB/T22081-XXXX與GB/T22081-2008對比
    附錄NB(資料性附錄)
    附錄NB(資料性附錄)
    參考文獻
    參考文獻

    15.1供應商關系中的信息安全

    GB/T 22081-2016 信息技術 安全技術 信息安全控制實踐指南 /

    15.1供應商關系中的信息安全

    15.1.1供應商關系的信息安全策略

    控制
    為降低供應商訪問組織資產的相關風險,宜與供應商就信息安全要求達成一致,并形成文件。
    實現指南
    組織宜有策略來識別和落實信息安全控制,以專門解決供應商訪問組織信息的問題。
    這些控制強調組織要實現的以及組織要求供應商要實現的過程和規程,包括:
    a) 識別并記錄組織允許訪問其信息的供應商類型,如IT服務、物流、金融服務、IT基礎設施組件;
    b) 用于管理供應商關系的標準化過程和生命周期;
    c) 確定不同類型供應商被允許的信息訪問類型,并對信息訪問進行監視和控制;
    d) 將各類信息和各類訪問的最低信息安全要求作為單個供應商協議的基礎,該協議基于組織的業務需求和要求及其風險狀況;
    e) 對各類供應商和各類訪問遵守所建立的信息安全要求進行監視的過程和規程,包括第三方評審和產品確認;
    f) 準確和完備的控制,以確保任何一方所提供的信息或信息處理的完整性;
    g) 可用于供應商保護組織信息的義務類型;
    h) 處理與供應商訪問相關的事件和應急狀況,包括組織和供應商的雙方責任;
    i) 恢復力,必要時,恢復和應急安排以確保任何一方提供的信息或信息處理的可用性;
    j) 對參與采購的組織人員進行適用的策略、過程和規程的意識培訓;
    k) 對與供應商人員接洽的組織人員進行適當的約定和行為準則的意識培訓,該準則基于供應商類型及其對組織系統和信息的訪問級別;
    l) 在雙方簽字的協議中記錄信息安全要求和控制的條件;
    m) 管理信息、信息處理設施和任何需要移動的其他設施的必要切換變遷,并確保維護整個變遷過程中的信息安全。
    其他信息

    15.1.2在供應商協議中強調安全

    控制
    宜與每個可能訪問、處理、存儲、傳遞組織信息或為組織信息提供IT基礎設施組件的供應商建立所有相關的信息安全要求,并達成一致。
    實現指南
    宜建立供應商協議并形成文件,以確保組織和供應商雙方在履行相關信息安全要求的義務上不存在誤解。
    為滿足已識別的信息安全要求,宜在協議中考慮:
    a) 對要提供或訪問的信息的描述,以及提供或訪問信息的方法;
    b) 根據組織分級方案(見8.2)進行信息分級,必要時,在組織的分級方案和供應商的分級方案之間建立映射關系;
    c) 法律法規要求,包括數據保護、知識產權和版權,以及對如何確保滿足這些要求的描述;
    d) 合同各方實現已商定控制的義務(包括訪問控制、性能評審、監視、報告和審計等);
    e) 信息的可接受使用規則,必要時,包括不可接受的使用;
    f) 對于供應商人員訪問或接收組織信息,或者給出被授權訪問或接收組織信息的供應商人員的明確名單,或者給出授權和取消授權的規程或條件;
    g) 與具體合同相關的信息安全策略;
    h) 事件管理要求和規程(尤其是在事件補救過程中的通知和協作);
    i) 具體規程以及信息安全要求的培訓和學習要求,如事件響應、授權規程;
    j) 分包的相關規定,包括需要實現的控制;
    k) 相關的協議合作伙伴,包括信息安全問題的聯絡人;
    l) 如果有,提出對供應商人員的篩選要求,包括執行篩選的責任,以及當篩選未完成或者出現令人疑問或關注的結果時的通告規程;
    m) 對與協議相關的供應商過程和控制進行審核的權利;
    n) 缺陷解決和爭執解決的過程
    o) 供應商定期遞交控制有效性的獨立報告和及時糾正報告中提出的有關問題的協議的義務;
    p) 供應商遵守組織安全要求的義務。
    其他信息
    不同組織和不同類型供應商的協議可能有很大不同。因此,宜注意包含所有相關的信息安全風險和要求。供應商協議也可能涉及其他方(如分包商)。

    15.1.3信息與通信技術供應鏈

    控制
    供應商協議宜包括信息與通信技術服務以及產品供應鏈相關的信息安全風險處理要求。
    實現指南
    就涉及供應鏈安全的供應商協議的內容,宜考慮以下主題:
    a) 除了對供應商關系的一般信息安全要求外,確定適用于信息與通信技術產品或服務獲取的信息安全要求;
    b) 對于信息與通信技術服務,若供應商分包部分的組織信息與通信技術服務,則要求供應商在整個供應鏈中傳播組織的安全要求;
    c) 對于信息與通信技術產品,若這些產品包括從其他供應商購買的組件,則要求供應商在整個供應鏈中傳播適當的安全實踐;
    d) 實現監視過程和可接受的方法,以確認信息與通信技術產品和服務遵守了所聲明的安全要求;
    e) 實現一個過程來標識對維護功能至關重要的產品或服務組件,并當這些產品或服務組件在組織外部構建時,尤其是如果總供應商將產品或服務組件的某些部分分包至其他供應商時,需要更多的關注和審查;
    f) 獲得關鍵組件及其來源在供應鏈中可追溯的保障;
    g) 獲得對交付的信息與通信技術產品按預期工作無任何意外的或不需要的功能的保障;
    h) 確定與供應鏈及在組織和供應商中任何潛在的問題和妥協有關的信息共享規則
    i) 實現管理信息與通信技術組件生命周期、可用性和相關安全風險的具體過程,包括管理因供應商不在經營導致組件不可用的風險或因技術進步供應商不再提供這些組件的風險。
    其他信息
    特定的信息與通信技術供應鏈風險管理實踐是建立一般的信息安全、質量、項目管理和系統工程實踐之上,而不是替代它們。
    建議組織與供應商合作,以知曉信息與通信技術供應鏈及對所提供產品和服務有重要影響的任何事宜。組織通過在與供應商的協議中明確在信息與通信技術供應鏈中宜由其他供應商解決的問題,可影響信息與通信技術供應鏈的信息安全實踐。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类