<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 22081-2016 信息技術 安全技術 信息安全控制實踐指南
    展開或關閉
    前言
    前言
    引言
    0.1 背景和環境 0.2 信息安全要求 0.3 控制的選擇 0.4 編制組織自己的指南 0.5 生命周期的考慮 0.6 相關標準
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 標準結構
    4.1 章節 4.2 控制類別
    5 信息安全策略
    5.1 信息安全管理指導
    6 信息安全組織
    6.1 內部組織 6.2移動設備和遠程工作
    7 人力資源安全
    7.1 任用前 7.2任用中 7.3任用的終止和變更
    8 資產管理
    8.1有關資產的責任 8.2 信息分級 8.3介質處理
    9 訪問控制
    9.1訪問控制的業務要求 9.2用戶訪問管理 9.3用戶責任 9.4系統和應用訪問控制
    10 密碼
    10.1 密碼控制
    11 物理和環境安全
    11.1安全區域 11.2 設備
    12 運行安全
    12.1運行規程和責任 12.2惡意軟件防范 12.3備份 12.4日志和監視 12.5運行軟件控制 12.6技術方面的脆弱性管理 12.7信息系統審計的考慮
    13 通信安全
    13.1 網絡安全管理 13.2信息傳輸
    14 系統獲取、開發和維護
    14.1信息系統的安全要求 14.2開發和支持過程中的安全 14.3 測試數據
    15 供應商關系
    15.1供應商關系中的信息安全 15.2供應商服務交付管理
    16 信息安全事件管理
    16.1信息安全事件的管理和改進
    17 業務連續性管理的信息安全方面
    17.1信息安全的連續性 17.2冗余
    18 符合性
    18.1符合法律和合同要求 18.2信息安全評審
    附錄NA(資料性附錄)GB/T22081-XXXX與GB/T22081-2008對比
    附錄NA(資料性附錄)GB/T22081-XXXX與GB/T22081-2008對比
    附錄NB(資料性附錄)
    附錄NB(資料性附錄)
    參考文獻
    參考文獻

    18.1符合法律和合同要求

    GB/T 22081-2016 信息技術 安全技術 信息安全控制實踐指南 /

    18.1符合法律和合同要求

    18.1.1適用的法律和合同要求的識別

    控制
    對每一個信息系統和組織而言,所有相關的法律、法規、規章和合同要求,以及為滿足這些要求組織所采用的方法,宜加以明確地定義、形成文件并保持更新。
    實現指南
    為滿足這些要求的特定控制和人員的責任宜同樣加以定義并形成文件。

    18.1.2知識產權

    控制
    宜實現適當的規程,以確保在使用具有知識產權的材料和具有所有權的軟件產品時,符合法律、法規和合同的要求。
    實現指南
    在保護被認為具有知識產權的材料時,宜考慮下列指南:
    a) 發布一個知識產權符合性策略,該策略定義了軟件和信息產品的合法使用;
    b) 僅通過知名的和聲譽好的渠道獲得軟件,以確保不侵犯版權;
    c) 保持對保護知識產權的策略的了解,并通知對違規人員采取懲罰措施的意向;
    d) 維護適當的資產登記簿,識別具有保護知識產權要求的所有資產;
    e) 維護許可證、原版盤、手冊等所有權的證明和證據;
    f) 實現控制,以確保不超過所允許的最大用戶數目;
    g) 進行評審,確保僅安裝已授權的軟件和具有許可證的產品;
    h) 提供維護適當的許可證條件的策略;
    i) 提供處理軟件或轉移軟件給其他人的策略;
    j) 符合從公共網絡獲得軟件和信息的條款和條件;
    k) 不對版權法不允許的商業錄音帶(膠片、音頻)進行復制、格式轉換或摘取內容;
    l) 不對版權法不允許的書籍、文章、報告或其他文件中進行全部或部分地拷貝。
    其他信息
    知識產權包括軟件或文件的版權、設計權、商標、專利權和源代碼許可證。
    通常具有所有權的軟件產品的供應是根據許可協議進行的,該許可協議規定了許可條款和條件,例如,限制產品用于指定的機器或限制只能拷貝到創建的備份副本上。組織所開發的軟件的知識產權重要性及其保護意識傳達給員工。
    法律、法規和合同的要求可以對具有所有權的材料的拷貝進行限制。特別是,這些限制可能要求只能使用組織自己開發的資料,或者開發者許可組織使用或提供給組織的資料。版權侵害可能導致法律行為,這可能涉及罰款和犯罪訴訟。
    18.1.3記錄的保護
    控制
    宜根據法律、法規、規章、合同和業務要求,對記錄進行保護以防其丟失、毀壞、偽造、未授權訪問和未授權發布。
    實現指南
    當決定保護特定的組織記錄后,宜基于該組織分級方案考慮其相應級別。宜將記錄按類型分類,例如,帳號記錄、數據庫記錄、事務日志、審計日志和運行規程,每個記錄都帶有詳細的保存周期和存儲介質的類型,例如,紙質、縮微膠片、磁介質、光介質。還宜保存與已加密的歸檔文件或數字簽名(見第10章)相關的任何有關密鑰材料,以使得記錄在保存期內能夠解密。
    宜考慮存儲記錄的介質性能下降的可能性。宜按照制造商的建議實現存儲和處理規程。
    若選擇了電子存儲介質,宜建立規程,以確保在整個保存周期內能夠訪問數據(介質和格式的可讀性),以防護由于未來技術變化而造成的損失。
    宜選擇數據存儲系統,使得所需要的數據能根據要滿足的要求,在可接受的時間內、以可接受的格式檢索出來。
    存儲和處理系統宜確保能按照國家或地區法律或法規的規定,清晰地標識出記錄及其保存期限。如果組織不再需要這些記錄,該系統宜允許在保存期后恰當地銷毀記錄。
    為滿足這些記錄防護目標,宜在組織范圍內采取下列步驟:
    a) 宜頒發關于保存、存儲、處理和處置記錄和信息的指南;
    b) 宜起草一個保存時間計劃,以標識記錄及其要被保存的時間周期;
    c) 宜維護關鍵信息來源的清單。
    其他信息
    某些記錄可能需要安全地保存,以滿足法令、法規或合同的要求,以及支持必要的業務活動。舉例來說,可以要求這些記錄作為組織在法令或法規規則下運行的證據,以確保充分防御潛在的民事或刑事訴訟,或者和股份持有者、外部方和審核員確認組織的財務狀況。可以根據國家法律或規章來設置信息保存的時間和數據內容。

    18.1.4隱私和個人可識別信息保護

    控制
    宜依照相關的法律、法規和合同條款的要求,以確保隱私和個人可識別信息得到保護。
    實現指南
    針對隱私和個人可識別信息保護,宜制定和實現組織的數據策略。該策略宜通知到涉及個人可識別信息處理的所有人員。
    符合該策略和所有相關的涉及個人隱私保護和個人可識別信息保護的法律法規需要合適的管理結構和控制。通常,這一點最好通過任命一個負責人來實現,如數據保護官員,該數據保護官員宜向管理人員、用戶和服務提供商提供他們各自的職責以及宜遵守的特定規程的指南。處理個人可識別信息和確保了解數據保護原則的責任宜根據相關法律法規來確定。宜實現適當的技術和組織措施以保護個人可識別信息。
    其他信息

    18.1.5密碼控制規則

    控制
    密碼控制的使用宜遵從所有相關的協議、法律和法規。
    實現指南
    為符合相關的協議、法律和法規,宜考慮以下事項:
    a) 限制執行密碼功能的計算機硬件和軟件的入口或出口;
    b) 限制被設計用以增加密碼功能的計算機硬件和軟件的入口或出口;
    c) 限制加密技術的使用;
    d) 國家主管部門對加密信息的強制或自主訪問方法,該信息通過硬件或軟件加密來提供其內容保密性。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类