华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27001标准“A. 13.2 信息传输”条款讲解

信息安全认证:ISO27001标准“A. 13.2 信息传输”条款讲解

文章录入:华道众合   文章来源:华道众合   添加时间:2021-1-30
【标准条款】
A. 13.2 信息传输
目的∶维护在组织内及与外部实体间传输信息的安全。
A.13.2.1 信息传输策略和规程
应有正式的传输策略、规程和控制,以保护通过使用各种类型通信设施进行的信息传输。
【理解与应用】
使用通信设施进行信息传输的规程和控制宜考虑下列条款∶
(1)设计用来防止传输信息遭受截取、复制、修改、错误寻址和破坏的规程;
(2)检测和防止可能通过使用电子通信传输的恶意软件的规程(见A.12.2.1恶意软件的控制);
(3)保护以附件形式传输的敏感电子信息的规程;
(4)通信设施可接受使用的策略或指南的概述(见 A.8.1.3资产的可接受使用);
(5)员工、合同方人员和任何其他用户不危害组织的责任,例如诽谤、扰乱、冒名、连锁信转发、未授权购买等;
(6)加密技术的使用,例如保护信息的保密性、完整性和真实性(见 A.10 密码);
(7)所有业务通信(包括消息)的保留和处理指南,要与国家和地方法律法规一致;
(8)与使用通信设施相关的控制和限制,例如将电子邮件自动转发到外部邮件地址;
(9)建议员工采取适当的预防措施以防泄露保密信息;
(10)不将包含保密信息的消息留在应答机上,因为可能被未授权个人重放,也不能留在公用系统或者由于误拨号而被不正确地存储;
(11)建议员工有关传真机的使用或服务问题,即:
——未授权访问内置消息存储器,以检索消息;
——有意的或无意的对机器编程,将消息发送给特定的电话号码;
——由于误拨号或使用错误存储的号码将文件和消息发送给错误的电话号码。
另外,宜提醒员工,不要在公共场所、通过不安全的通信方式、开放的办公室和会场进行保密会谈。
信息传输服务宜符合所有相关的法律要求(见 A.18.1符合法律和合同要求)。
需要关注的是:
可通过使用多种不同类型的通信设施进行信息传输,例如电子邮件、声音、传真和视频。
可通过多种不同类型的介质进行软件传输,包括从互联网下载和从出售现货的供应商处获得。
宜考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全的含义。
 
【标准条款】
A. 13.2.2 信息传输协议
协议应解决组织与外部方之间业务信息的安全传输。
【理解与应用】
信息传输协议宜包括∶
(1)对传输、分发、接收进行控制和通知的管理责任;
(2)确保可追溯性和不可抵赖性的规程;
(3)打包和传输的最低技术标准;
(4)托管协议;
(5)信使标识标准;
(6)信息安全事态发生时的责任和义务,例如数据丢失;
(7)为敏感或关键信息使用商定的标记系统,确保标记的含义被快速理解,信息得到适当的保护(见 A.8.2 信息分级);
(8)用于记录和读取信息和软件的技术标准;
(9)为保护敏感项(例如密钥,见 A.10密码),可以要求任何专门的控制;
(10)维护信息在传输过程中的监管链;
(11)访问控制的可接受级别。
为保护传输中的信息和物理介质(见 A.8.3.3物理介质的转移),宜建立和保持策略、规程和标准,并宜在传输协议中予以引用。
任何协议的信息安全内容宜反映所涉及业务信息的敏感度。
需要关注协议可以是电子的或手写的,并可采取正式合同或任用条款的形式。对保密信息而言,信息传输使用的特定机制对于所有组织和各种协议宜是一致的。
 
【标准条款】
A.13.2.3 电子消息发送
应适当保护包含在电子消息发送中的的信息。
【理解与应用】
电子消息发送的信息安全考虑宜包括以下方面:
(1)保护消息免遭未授权访问、修改,或与组织所采用的分级模式相称的拒绝服务;
(2)确保正确的寻址和消息传输;
(3)服务的可靠性和可用性;
(4)法律方面的考虑,例如电子签名的要求;
(5)在使用外部公共服务(例如即时消息或文件共享)前获得批准;
(6)加强鉴别级别,控制来自公共可访问网络的访问。
需要关注的是存在多种类型的电子消息发送,例如电子邮件、电子数据交换以及社交网络,在业务通信中扮演了一个角色。
 
【标准条款】
A. 13.2.4 保密或不泄露协议
应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。
【理解与应用】
保密或不泄露协议宜使用法律强制条款来保护保密信息。保密或不泄露协议适用于外部方或组织的员工。宜基于其他方的类型及其被允许访问或处理的保密信息,来选择或添加要素。为识别保密性或不泄露协议的要求,宜考虑下列因素∶
(1)要保护的信息(例如保密信息)的定义;
(2)协议的期望持续时间,包括不确定地需要维护保密性的情况;
(3)协议终止时所需的措施;
(4)签署者的责任和行为,以避免未授权信息泄露;
(5)信息、商业秘密和知识产权的所有权,及其如何与保密信息的保护相关;
(6)保密信息的许可使用,及签署者使用信息的权力;
(7)对涉及保密信息的活动的审核和监视的权力;
(8)未授权泄露或保密信息破坏的通知和报告过程;
(9)协议终止时,要返还或销毁的信息项;
(10)违反协议时期望采取的措施。
基于一个组织的信息安全要求,在保密性或不泄露协议中可能需要其他因素。
保密性和不泄露协议宜针对其适用的管辖范围遵循所有适用的法律法规(见 A. 18.1符合法律和合同要求)。
保密性和不泄露协议的要求宜进行周期性评审,当发生影响这些要求的变更时,也宜进行评审。
需要关注的是保密性和不泄密协议有保护组织信息,并告知签署者以授权、负责的方式来保护、使用和披露信息的责任。
对于一个组织来说,可能需要在不同环境中使用保密性或不泄密协议的不同形式。
想了解更多的关于信息安全认证信息可以经常关注我们