BS7799-1 1999

要对第三方使用信息处理设备进行管理，了解要使用什么控制措施是至关重要的。通常，第三方访问会带来新的安全要求或内部控制措施，这些都应该在与第三方的合同中体现出来（另请参见 4.2.2）。例如，如果对信息的保密性有特殊的要求，应签署保密协议（参见 6.1.3）。

只有实施了相应的控制措施，并在合同中明确规定了连接或访问的条款，才能允许第三方访问信息和使用信息处理设备。

4.2.2 第三方合同的安全要求

第三方对组织信息处理设施的访问，应该根据包含所有必要安全要求的正式合同进行，确保符合组织的安全策略和标准。应确保组织和第三方之间对合同内容不存在任何歧义。为满足供应商，组织应首先满足自己。在合约中应考虑以下条款：

a) 信息安全的常规策略； b) 对资产的保护，包括：

1) 保护包括信息和软件在内的组织资产的步骤；

2) 确认资产的安全是否受到威胁的步骤，如数据丢失或被修改； 3) 相应的控制措施，以保证在合同终止时，或在合同执行期间某个双方

认可的时间点，将信息和资产归还或销毁； 4) 完整性和可用性；

5) 严格限制复制信息和泄露信息；

c) 说明每个可提供的服务；

d) 期望的服务水平和不可接受的服务水平； e) 在适当的时候撤换员工的规定； f) 达成各方义务的协议；

g) 与法律事务相关的责任（例如，数据保护法规）。如果合同涉及到与其它国家的组织进行合作，应考虑到各个国家法律系统之间的差异（另请参见 12.1）； h) 知识产权 (IPRs) 和版权转让（参见 12.1.2）以及对合著的保护（另请参见 6.1.3）； i) 访问控制协议，包括：

1) 允许使用的访问方法，以及控制措施和对唯一标识符的使用，如用户

ID 和口令； 2) 用户访问和权限的授权程序；

17

3) 保留得到有权使用服务的人员清单，以及他们具体享有那些权限和权

限；

j) 确定可核实的执行标准、监视及报告功能； k) 监视、撤消用户活动的权限；

l) 审计合同责任或将审计工作交由第三方执行的权限；

m) 建立一种解决问题的渐进过程；在需要时应要考虑如何执行应急措施； n) 与硬件和软件安装维护相关的责任； o) 明晰的报告结构和双方认可的报告格式； p) 变更管理的明确制定过程；

q) 所需的物理保护控制措施和机制，以确保所有操作都符合控制措施的要求； r) 对用户和管理员进行的方法、步骤和安全方面的培训； s) 保证免受恶意软件攻击的控制措施（参见 8.3）； t) 规定如何报告、通知和调查安全事故以及安全违反行为； u) 第三方与分包商之间的参与关系。

4.3

外包 目标：在将信息处理责任外包给另一组织时保障信息安全。 在双方的合同中，外包协议应阐明信息系统、网络和/或桌面环境中存在的风险、安全控制措施以及方法步骤。 4.3.1 外包合同的安全要求

如果将所有或部分信息系统、网络和/或桌面环境的管理和控制进行外包，则应在双方签定的合同中反映组织的安全要求。 例如，合同中应阐明：

a) 如何符合法律要求，如数据保护法规；

b) 应该如何规定保证外包合同中的参与方（包括转包商）都了解各自的安全责任； c) 如何维护并检测组织的业务资产的完整性和保密性；

d) 应该使用何种物理和逻辑控制措施，限制授权用户对组织的敏感业务信息的访问； e) 在发生灾难事故时，如何维护服务的可用性； f) 为外包出去的设备提供何种级别的物理安全保护；

18

g) 审计人员的权限。

合同中应该包括 4.2.2 中的列表列出的条款。合同应允许在安全管理计划详细说明安全要求和程序步骤移植，使合同双方就此达成一致。

尽管外包合同会带来一些复杂的安全问题，本业务规则中的控制措施可以作为一个认可安全管理计划的结构和内容的起点。

5 资产分类管理

5.1

资产责任 目标：对组织资产进行适当的保护。 所有主要的信息资产应进行登记，并指定资产的所有人。 确定资产的责任帮助确保能够提供适当的保护。 应确定所有主要资产的所有者，并分配维护该资产的责任。 可以委托负责实施控制措施的责任。资产的责任由资产的指定所有责负责。 5.1.1 资产目录

资产清单能帮助您确保对资产实施有效的保护，也可以用于其它商业目的，如保健、金融保险等（资产评估）。编辑资产清单的过程是资产评估的一个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息，组织可以根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。应该明确确认每项资产及其所有权和安全分类。（参见 5.2）各方就此达成一致并将其当前状况进行备案（这一点在资产发生损坏，进行索赔时非常重要）。与信息系统相关联的资产示例有：

a) 信息资产：数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息； b) 软件资产：应用程序软件、系统软件、开发工具以及实用程序； c) 物质资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源 、空调器）、家具、机房； d) 服务：计算和通讯服务、常用设备，如加热器、照明设备、电源、空调。

5.2

信息分类 目标：保证信息资产得到适当的保护。 应该对信息分类，指明其需要、优先顺序和保护级别。

19

信息的敏感程度和关键程度各不相同。有些信息需要加强保护或进行特别对待。可以使用信息分类系统定义合适的保护级别，并解释对特别处理手段的需要。 5.2.1 分类原则

在对信息进行分类并制定相关的保护性控制措施时，应该考虑以下问题：对共享信息或限制信息共享的业务需求，以及与这种需求相关的业务影响，如对信息未经授权的访问或损害。通常，对信息的分类是确定如何处理和保护信息的简略方法。应按照信息的价值和对于组织的敏感程度，对信息和系统处理分类数据的结果进行分类。也可以按信息对组织的关键程度分类，如按照其可用性和完整性分类。

经过一段时间后，例如该信息已被公之于众，信息就变得不那么敏感和重要了。必须将这些问题考虑在内，分类过粗会导致不必要的额外业务开销。分类指导原则预计到并接受这样一个事实：信息的分类不是固定不变的，可以根据预定策略进行更改（参见 9.1）。

也应该考虑到信息类别的数量和进行分类的优点。过于复杂的分类会使人感觉非常麻烦，使用起来很不合算或没有实用价值。在解释其它组织文档中的分类标记时也应该注意，因为相同或相似的标记的定义可能不同。对信息进行分类，如对文档、数据记录、数据文件或磁盘进行分类，以及对分类定期审查等，仍由该信息的最初所有者或指定所有者负责执行。

5.2.2 信息标识和处理

根据组织采用的分类方法，明确标记和处理信息的妥善步骤，是非常重要的。这些步骤应包括实际存在的信息和电子形式的信息的标记和处理步骤。对于每个类别，应明确说明，处理步骤包括以下类别的信息处理活动：

a) 复制； b) 存储；

c) 通过邮寄、传真和电子邮件进行传输；

d) 通过移动电话、语音邮件、应答机等交谈方式进行传输； e) 破坏。

系统输出结果包含敏感或关键信息，应带有相应的分类标记（输出结果中）。标记应能反映根据 5.2.1 中创建的规则进行分类的结果。需要考虑的问题包括：打印出的报告、屏幕显示结果、记录信息的介质（磁带、磁盘、CD、磁盘）、电子消息和文件的传输问题。最合适的标记形式就是贴上一张看的见、摸的着的标签。但是，有些信息资产（如电子格式的文档）不能贴上实际的标签，需要使用电子方式的标记方法。

20