249本句的原文为:A policy and supporting security measures should be adopted to manage the risks introduced by using mobile devices。控制措施的描述与ISO/IEC 27001:2005中A.11.7.1中不太一样。有几个点需要强调:1)adopt这个词汇在ISO/IEC 27001: 2005和ISO/IEC 27001: 2013中都有,在GB/T 22080-'2008/ISO/IEC 27001: 2005中没有专门翻译出来,我们也延续了这个做法;2)supporting security measures,我们将supporting翻译为“支持性的”,这里想突出的意思应该是有策略还要有相应的措施,因为移动设备的管理,大部分组织就发布了策略,但是并没有考虑实际的技术措施。 在现在这个应用状况下,这个强调是对的;3)introduced,用作“引来的”、“引导的”等含义不太常见,用在这里显得有点生动。
250在相应的ISO/IEC 27002: 2013中根据移动设备的特点特别强调了在未受保护的环境中(in unprotected environments)的使用问题。
251对移动设备要考虑的要点,ISO/IEC 27002: 2013中列举的很好:a)registration of mobile devices(移动设备注册))re -quirements for physical protection(物理保护要求)j c)restriction of software installation(限制软件安装);d)requirements for mobile device software versions and for applying patches(移动设备软件版本及其补丁安装的要求);e)restriction of connection to information services(连接信息服务的限制);f)access controls(访问控制);g)cryptographic techniques(加密技术);h)malware protection(恶意软件防范)川remote disabling, erasure or lockout(远程停用、擦除或锁定);j)back-ups(备份);k)usage of web services and web apps(Web服务与Web应用的使用)。看起来已经足够全面了。
252鉴于移动设备信息安全的重要性和管理困难,ISO/IEC 27002: 2013中不止给出了管理的要点,还有一堆可能的问题。