SVENSK STANDARD SS 62 77 99-2 Handläggande organ Fastställd Utgåva Sida Standardiseringsgruppen STG 1999-06-02 1 1 (1+19+19) Copyright SIS. Reproduction in any form without permission is prohibited. Ledningssystem för informationssäkerhet Del 2: Specifikation för ledningssystem för informationssäkerhet Information security management Part 2: Specification for information security management systems ICS 01.140.30; 03.120.10; 33.040.40; 35.020.00; 35.080.00 Standarder kan beställas hos SIS som även lämnar allmänna upplysningar om svensk och utländsk standard. Postadress: SIS, Box 6455, 113 82 STOCKHOLM Telefon: 08-610 30 00. Telefax: 08-30 77 57 Upplysningar om sakinnehållet i standarden lämnas av STG. Telefon: 08-13 62 50. Telefax: 08-618 61 28 E-post: info@stg.se Prisgrupp S Tryckt i augusti 1999
Page 2 SS 62 77 99-2, edition 1 Provläsningsexemplar / Preview Foreword... 4 1 Scope... 5 2 Terms and definitions... 5 2.1 statement of applicability... 5 3 Information security management system requirements... 5 3.1 General... 5 3.2 Establishing management framework... 5 3.3 Implementation... 7 3.4 Documentation... 7 3.5 Document control... 7 3.6 Records... 7 4 Detailed controls... 8 4.1 Security policy... 8 4.1.1 Information security policy... 8 4.2 Security organization... 8 4.2.1 Information security infrastructure... 8 4.2.2 Security of third party access... 8 4.2.3 Outsourcing... 9 4.3 Asset classification and control... 9 4.3.1 Accountability for assets... 9 4.3.2 Information classification... 9 4.4 Personnel security... 9 4.4.1 Security in job definition and resourcing... 9 4.4.2 User training... 10 4.4.3 Responding to security incidents and malfunctions... 10 4.5 Physical and environmental security... 10 4.5.1 Secure areas... 10 4.5.2 Equipment security... 11 4.5.3 General controls... 11 4.6 Communications and operations management... 12 4.6.1 Operational procedures and responsibilities... 12 4.6.2 System planning and acceptance... 12 4.6.3 Protection against malicious software... 12 4.6.4 Housekeeping... 12 4.6.5 Network management... 13 4.6.6 Media handling and security... 13 4.6.7 Exchanges of information and software... 13 4.7 Access control... 14 4.7.1 Business requirement for access control... 14 4.7.2 User access management... 14 4.7.3 User responsibilities... 14 4.7.4 Network access control... 15 4.7.5 Operating system access control... 15 4.7.6 Application access control... 16 4.7.7 Monitoring system access and use... 16 4.7.8 Mobile computing and teleworking... 16 4.8 Systems development and maintenance... 17 4.8.1 Security requirements of systems... 17 4.8.2 Security in application systems... 17 4.8.3 Cryptographic controls... 17 4.8.4 Security of system files... 18 4.8.5 Security in development and support processes... 18
Sida 2 SS 62 77 99-2, utgåva 1 Förord... 4 Orientering... 4 1 Omfattning... 5 2 Termer och definitioner... 5 2.1 uttalande om tillämplighet... 5 3 Krav på ledningssystem för informationssäkerhet... 5 3.1 Allmänt... 5 3.2 Etablerandet av ett ramverk för styrning... 5 3.3 Införande... 7 3.4 Dokumentation... 7 3.5 Dokumentstyrning... 7 3.6 Redovisande dokument... 7 4 Detaljerade krav... 8 4.1 Säkerhetspolicy... 8 4.1.1 Informationssäkerhetspolicy... 8 4.2 Säkerhetsorganisation... 8 4.2.1 Infrastruktur för informationssäkerhet... 8 4.2.2 Säkerhet vid tredjepartsåtkomst... 8 4.2.3 Utläggning... 9 4.3 Klassificering och kontroll av tillgångar... 9 4.3.1 Ansvar för tillgångar... 9 4.3.2 Klassificering av information... 9 4.4 Personal och säkerhet... 9 4.4.1 Säkerhet i beskrivning av befattningar och vid rekrytering och omplacering... 9 4.4.2 Användarutbildning... 10 4.4.3 Reaktion på säkerhetsincidenter och funktionsfel... 10 4.5 Fysisk och miljörelaterad säkerhet... 10 4.5.1 Säkra utrymmen... 10 4.5.2 Skydd av utrustning... 11 4.5.3 Allmänna åtgärder... 11 4.6 Styrning av kommunikation och drift... 12 4.6.1 Driftrutiner och driftansvar... 12 4.6.2 Systemplanering och systemgodkännande... 12 4.6.3 Skydd mot skadliga program... 12 4.6.4 Ordning och reda... 12 4.6.5 Styrning av nätverk... 13 4.6.6 Mediahantering och mediasäkerhet... 13 4.6.7 Utbyte av information och program... 13 4.7 Styrning av åtkomst... 14 4.7.1 Verksamhetskrav på styrning av åtkomst... 14 4.7.2 Styrning av användares åtkomst... 14 4.7.3 Användares ansvar... 14 4.7.4 Styrning av åtkomst till nätverk... 15 4.7.5 Styrning av åtkomst till operativsystem... 15 4.7.6 Styrning av åtkomst till tillämpningar... 16 4.7.7 Övervakning av systemåtkomst och systemanvändning... 16 4.7.8 Mobil datoranvändning och distansarbete... 16 4.8 Systemutveckling och systemunderhåll... 17 4.8.1 Säkerhetskrav på system... 17 4.8.2 Säkerhet i tillämpningssystem... 17 4.8.3 Krypteringsåtgärder... 17 4.8.4 Säkerhet i databaser och filer... 18 4.8.5 Säkerhet i utvecklings- och underhållsprocesser... 18
Page 3 SS 62 77 99-2, edition 1 Provläsningsexemplar / Preview 4.9 Business continuity management... 18 4.9.1 Aspects of business continuity management... 18 4.10 Compliance... 19 4.10.1 Compliance with legal requirements... 19 4.10.2 Review of security policy and technical compliance... 20 4.10.3 System audit consideration... 20
Sida 3 SS 62 77 99-2, utgåva 1 4.9 Avbrottsplanering... 18 4.9.1 Aspekter på avbrottsplanering... 18 4.10 Efterlevnad... 19 4.10.1 Efterlevnad av rättsliga krav... 19 4.10.2 Granskning av säkerhetspolicy och teknisk efterlevnad... 20 4.10.3 Hänsynstaganden vid revision av system... 20
Page 4 SS 62 77 99-2, edition 1 Provläsningsexemplar / Preview Foreword This part of BS 7799 has been prepared by BDD/2, Information security management. It supersedes BS 7799-2:1998, which is withdrawn. BS 7799 is issued in two parts: Part 1: Code of practice for information security management; Part 2: Specification for information security management systems. This new edition is required because the numbering system, the control objectives, and the controls given in clause 4 of this part of BS 7799 are directly derived from and aligned with those listed in clauses 3 to 12 of BS 7799-1 which has been revised. No other changes have been introduced. As a new edition, this does not represent a full review or revision of the standard, which will be undertaken in due course. It forms the basis for an assessment of the information security management system (ISMS) of the whole, or part, of an organization. It may be used as a basis for a formal certification scheme. This specification is based on BS 7799-1, Information security management Part 1: Code of practice for information security management, which provides guidance on best practice in support of the requirements of this specification. However, the list of control objectives and controls in clause 4 of this part of BS 7799 is not exhaustive and an organization may consider that additional control objectives and controls are necessary. Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organization. Organizations need to undertake a risk assessment to identify the most appropriate control objectives and controls to be implemented which are applicable to their own needs. Once identified, these need to be recorded in a statement of applicability. The statement of applicability needs to be accessible to managers, personnel and any third party (e.g. auditors, certifiers, etc.) authorized to have access to it. The control objectives and controls recorded in the statement of applicability, together with the policy and procedure documents and all other relevant records, are known as the organization s ISMS. The requirements given in clause 4 of this part of BS 7799 are deliberately general in their nature. It is expected that organizations seeking certification will adopt those elements of best practice given in Part 1 that the risk assessment demonstrates are most appropriate to their needs. Any conditions associated with a certification scheme will be issued separately under the authority of the scheme owner and do not fall within the scope of this standard. To be certifiable against this British Standard the ISMS will be implemented and maintained to the satisfaction of the third party certification body. It has been assumed in the drafting of this British Standard that the execution of its provisions is entrusted to appropriately qualified and experienced people. Annex A is informative and contains a table showing the relationship between the sections of the 1998 edition and the clauses of the 1999 edition. A British Standard does not purport to include all the necessary provisions of a contract. Users of British Standards are responsible for their correct application. Compliance with a British Standard does not of itself confer immunity from legal obligations.
Sida 4 SS 62 77 99-2, utgåva 1 Förord Denna del av BS 7799 har utarbetats av BBD/2, Information security management. Den ersätter BS 7799-2:1998 som har dragits in. BS 7799 omfattar två delar: Part 1: Code of practice for information security management; Part 2: Specification for information security management systems. Denna nya utgåva behövs eftersom kapitelindelningen, detaljmålen och åtgärderna i avsnitt 4 av denna del av BS 7799 direkt härhör från och överensstämmer med dem som finns upptagna i avsnitt 3 till 12 i BS 7799-1 som har reviderats. Inga andra förändringar har gjorts. Denna nya utgåva är inte resultatet av en total granskning och revidering. Detta kommer att göras längre fram. Denna standard utgör grunden för en bedömning av ledningssystem för informationssäkerhet (LIS) inom en organisation eller del av en organisation. Den kan användas som grund för en formell certifieringsordning. Standarden baseras på BS 7799-1, Code of practice for information security management, som anvisar tillvägagångssätt för att uppfylla kraven i denna standard. Numrering, detaljmål och metoder som anvisas i avsnitt 4 överensstämmer med dem som anges i del 1. Det bör noteras att detaljmål och -metoder i avsnitt 4 av denna del av BS 7799 inte är heltäckande och att en organisation kan behöva överväga om ytterligare mål och metoder är nödvändiga. Alla styrmetoder som beskrivs är inte relevanta i alla situationer och inte heller kan de ta i beaktande lokala begränsningar i miljö eller teknik eller uttryckas i en form som passar varje tänkbar användare i en organisation. Organisationer måste utföra riskanalys för att identifiera de detaljmål och -metoder som passar de egna behoven bäst och därför är lämpligast att införa. När dessa behov har identifierats skall de formuleras i dokument som beskriver vilka detaljmål och -metoder som är tillämpliga. Dessa dokument måste vara tillgängliga för chefer och medarbetare liksom för vissa utomstående (t.ex. revisorer och certifieringspersonal) som är behöriga att få tillgång till dem. Detaljmål och -metoder som redovisas i denna standard utgör, tillsammans med säkerhetspolicyn, dokumenterade rutiner och andra relevanta dokument, organisationens ledningssystem för informationssäkerhet. De krav som anges i avsnitt 4 är avsiktligt allmänt formulerade. Det förväntas att organisationer som söker certifiering antar de delar av riktlinjerna redovisade i Del 1 som riskanalysen visar är bäst anpassade till deras behov. Villkor som förknippas med ett certifieringsförfarande kommer att utfärdas separat av ackrediteringsorganisationen och omfattas inte av denna standard. För att kunna certifieras mot denna brittiska standard måste ledningssystemet för informationssäkerhet införas och vidmakthållas på sätt som tillfredsställer det oberoende certifieringsorganet. Det har förutsatts vid utformning av standarden att den kommer att tillämpas av personer med tillräckliga och relevanta kvalifikationer och erfarenheter. Ambitionen är inte att en brittisk standard skall innehålla alla nödvändiga delar i ett avtal. Användare av brittisk standard är ansvariga för dess korrekta tillämpning. Efterlevnad av brittisk standard medför inte immunitet mot rättsliga krav. Orientering Detta avsnitt är ett tillägg i den svenska översättningen. Översättningen följer i övrigt den engelska utgåvan, med följande undantag: a) Avsnitt 4.10.1.7 är ej tillämpligt i Sverige, eftersom fri bevisprövning gäller.
Page 5 SS 62 77 99-2, edition 1 Provläsningsexemplar / Preview 1 Scope This part of BS 7799 specifies requirements for establishing, implementing and documenting information security management systems (ISMSs). It specifies requirements for security controls to be implemented according to the needs of individual organizations. NOTE Part 1 gives recommendations for best practice in support of the requirements of this specification. The control objectives and controls given in clause 4 of this part of BS 7799 are derived from and aligned with the objectives and controls listed in BS 7799-1:1999. 2 Terms and definitions For the purposes of this part of BS 7799, the definitions given in BS 7799-1 apply, together with the following. 2.1.1 statement of applicability critique of the objectives and controls applicable to the needs of the organization 3 Information security management system requirements 3.1 General The organization shall establish and maintain a documented ISMS. This shall address the assets to be protected, the organization s approach to risk management, the control objectives and controls, and the degree of assurance required. 3.2 Establishing management framework The following steps shall be undertaken to identify and document the control objectives and controls (see Figure 1). a) The information security policy shall be defined. b) The scope of the information security management system shall be defined. The boundaries shall be defined in terms of the characteristics of the organization, its location, assets and technology. c) An appropriate risk assessment shall be undertaken. The risk assessment shall identify the threats to assets, vulnerabilities and impacts on the organization and shall determine the degree of risk. d) The areas of risk to be managed shall be identified based on the organization s information security policy and the degree of assurance required. e) Appropriate control objectives and controls shall be selected from clause 4 for implementation by the organization, and the selection shall be justified. NOTE Guidance on the selection of control objectives and controls can be found in BS 7799-1. The control objectives and controls listed in clause 4 of this part of BS 7799 are not exhaustive and additional controls may also be selected. f) A statement of applicability shall be prepared. The selected control objectives and controls, and the reasons for their selection shall be documented in the statement of applicability. This statement shall also record the exclusion of any controls listed in clause 4. These steps shall be reviewed at appropriately defined intervals as required.
Sida 5 SS 62 77 99-2, utgåva 1 1 Omfattning Denna del av BS 7799 specificerar kraven för att upprätta, införa och dokumentera ledningssystem för informationssäkerhet (LIS). Den specificerar kraven för de styrmetoder för säkerhet som skall införas i enlighet med behoven hos enskilda organisationer. ANM. Del 1 rekommenderar lämpliga åtgärder som stöd för denna specifikation. Mål och krav i avsnitt 4 av denna del av BS 7799 har utvecklats från och samordnats med mål och styrmedel upptagna i BS 7799-1. 2 Termer och definitioner För denna del av BS 7799 gäller de definitioner som anges i BS 7799-1, tillsammans med följande: 2.1 uttalande om tillämplighet bestämning av de mål och metoder som är tillämpliga för organisationens behov 3 Krav på ledningssystem för informationssäkerhet 3.1 Allmänt Organisationen skall utveckla och vidmakthålla ett dokumenterat ledningssystem för informationssäkerhet. Systemet skall omfatta de tillgångar som skall skyddas, organisationens sätt att arbeta med riskhantering, mål och styrmedel samt vilken grad av säkring som krävs. 3.2 Etablerandet av ett ramverk för styrning Följande steg skall genomföras för att identifiera och dokumentera mål och styrmedel (se figur 1). a) Informationssäkerhetspolicyn skall vara definierad. b) Omfattningen av ledningssystemet för informationssäkerhet skall definieras. Gränserna skall anges i termer av organisationens egenskaper, dess lokalisering, tillgångar och tillämpad teknologi. c) Lämplig riskanalys skall göras. Riskanalysen skall identifiera hoten mot tillgångar, sårbarhet och påverkan på organisationen och skall bestämma graden av risktagande. d) De riskområden som skall styras skall identifieras utifrån organisationens informationssäkerhetspolicy och den grad av säkring som behövs. e) Lämpliga mål och krav skall väljas från avsnitt 4 för införande av organisationen och urvalet skall motiveras. ANM. Riktlinjer för urval av mål och styrmetoder återfinns i BS 7799-1. De mål och styrmedel som anges i avsnitt 4 i denna del av BS 7799 är inte uttömmande och ytterligare mål och styrmedel kan tillföras. f) Ett uttalande om tillämplighet skall formuleras. Urval av mål och styrmedel samt motiven för valet skall dokumenteras i uttalandet. I uttalandet skall redovisas de styrmedel som listas i avsnitt 4 som inte kommer att tillämpas. Dessa steg skall granskas med lämpliga intervall alltefter behov.
Page 6 SS 62 77 99-2, edition 1 Provläsningsexemplar / Preview Step 1 Define the policy Policy document Step 2 Define the scope of the ISMS Scope of the ISMS Information assets Step 3 Threats, vulnerabilities, impacts Undertake a risk assessment Risk assessment Results and conclusions Step 4 Organization s approach to risk management Degree of assurance required Manage the risk Selected control options Step 5 Clause 4 of this part of BS 7799, control objectives and controls Additional controls not in BS 7799 Select control objectives and controls to be implemented Selected control objectives and controls Step 6 Prepare a statement of applicability Statement of applicability Figure 1 - Establishing a management framework
Sida 6 SS 62 77 99-2, utgåva 1 Steg 1 Definiera policyn Policydokument Steg 2 Definiera omfattningen av LIS LIS omfattning Informationstillgångar Steg 3 Hot, sårbarhet, påverkan Genomför en riskanalys Riskanalys Resultat och slutsatser Steg 4 Organisationens syn på riskhantering Grad av säkerhet som krävs Styr riskerna Valda styralternativ Steg 5 Avsnitt 4 av denna del av BS 7799, styrmål och styrmedel Kompletterande styrmedel utanför BS 7799 Välj de styrmål och styrmedel som skall införas Valda styrmål och styrmedel Steg 6 Upprätta ett uttalande om tillämplighet Uttalande om tillämplighet Figur 1 - Etablerandet av ett ramverk för styrning