信息安全新版标准培训

信息安全新版标准培训 2015.5 目 录 信息安全重要性 信息安全管理体系标准 （ ISO27001:2013） 信息安全管理体系内审及管理评审 信息技术的便利性与安全威胁 业务 人 员 客 户 A 客 户 B 互联网 Internet信息系 统 业务 人 员 客 户 客 户 互联网 信息安全的概念 保密性 (Confidentiality) 信息不能被未授权的个人，实体或者过程利 用或知悉的特性。 完整性 (Integrity) 保护资产的准确和完整的特性。 可用性 (Availability) 根据授权实体的要求可访问和利用的特性。 信息安全 CIA 信息安全的发展态势 信息技术的发展颠覆了传统的数据存储和处 理方式 业务运营愈加依赖信息系统的安全稳定运行 信息系统存在着未知的安全漏洞，受到来自 多方面的安全威胁 信息安全有赖于安全技术和管理的结合 2015年 全球信息安全现状调研报告 2014年被侦测到的 安全事件数量 高达 4280万件，比 2013 年 增长 48%。 安全事件给企业带来的 财务损失 也急速飙升， 2014年比 2013年 增长 34%。 报告中指出，今天的企业面临持续增长的安全威胁，企 业需要考虑通过基于 风险评估 的方式提升安全防卫水 平，对最重要的资产进行优先级排序，并 主动应对 最 直接的安全威胁。 信息安全现状特征 p网络风险成为主要的商业风险 p事件和经济影响彪升 p员工成为最引人注目的事件肇事者 p事件增加，安全投入却减少 p基础安全措施较少 p采取安全举措取得的成绩 p从安全管理到网络风险管理的升级 信息安全事件的影响 信息系统遭受破坏无法运行 、业务中断 泄露机密信息 而产生社会影响 经济或资金 /资产 损失 组织的 信誉受损 丧失商 业 机 会 降低业 务 伙伴对 组织 的信任度 保障信息安全的途径？ IT治理治理 安全风险测评安全风险测评 信息安全管理体系信息安全管理体系 强化安全技术强化安全技术 信息系统安全等级保护信息系统安全等级保护 亡羊补牢 ? 还是打打补丁 ? 系统地全面整改 ? 10 信息安全管理体系（ ISMS） 信息安全追求的目标 p确保业务连续性 p业务风险最小化 p保护信息免受各种威胁的损害 p投资回报和商业机遇最大化 信息安全管理体系（ ISMS） 国际标准化组织（ ISO）于 2013年 10月 1日 发布 了 ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements ，该标准 代替了 ISO/IEC 27001:2005。 我国采用 GB/T 22080-2008 信息技术 安全技 术 信息安全 管理体系 要求（等同采用 ISO/IEC 27001:2005 ） 信息安全管理体系的架构 三级文件 二级文件 一级文件 信息安全手册 安全方针策略文件 适用性声明（ SOA） 过程 /规程 /制度文件 作业指导书、 检查单、表格 方针方针 目目 标标 机构职责机构职责 风险评估风险评估 描述工作流程描述工作流程 Who, What, When, Where 描述任务、活动是如何完成的描述任务、活动是如何完成的 13 信息安全管理体系的特点 重点关注，全面布防 p基于对关键资产的风险评估，确定保护重点； p通过对 114项控制的选择和落实，实现对信息 安全的全面保障 通过 PDCA的持续循环，确保管理体系适应内外 环境的变化 规范性附录表 A.1 控制目的和控制 A.5 信息安全策略 A.6 信息安全组织 A.8 资产管理 A.9 访问控制 A.10 密码 A.11 物理和 环境安全 A.12 运行安 全 A.13 通信安 全 A.14 系统获取 、开发和维护 A.15 供应商关系 A.16 信息安全事件管理 A.17业务连续性管理的信息安全方面 A.18 符合性 高层管理者要做什么？ 确保 建立 了信息安全 策略 和信息安全 目的 ，并与组织战略方向一致； 确保将信息安全管理体系要求 整合 到组织过程中； 确保信息安全管理体系所需 资源 可用 ； 沟通 有效的信息安全管理及符合信息安全管理体系要求的 重要性； 确保信息安全管理体系 达到 预期 结果 ； 指导 并 支持 相关人员为信息安全管理体系的有效性做出贡献； 促进 持续改进； 支持 其他相关管理角色，以证实他们的领导按角色应用于其责任范围。（ 5.1 领导和承诺） 最高管理层应建立信息安全方针（ 5.2 方针） 最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。（ 5.3 组织的角色，责 任和权限） 最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分 性和有效性。（ 9.3管理评审） 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。（ 6.1.3 信 息安全风险处置） 高层管理者要做什么？ 制定信息安全方针、目的，并批准发布； 批准信息安全管理体系文件； 明确信息安全管理体系组织构架及职责； 保障信息安全体系运行所需的人员、技术、资金等资源； 表达领导层对信息安全重要性的关注； 了解信息安全管理运行情况（日常检查结果和内外审结果）； 参与管理评审，提出信息安全改进的方向； 批准风险处置计划 中层管理者要做什么？ 了解自己的信息安全管理职责； 编制自己职责内的信息安全管理体系文件； 按文件要求进行信息安全管理活动 （资产识别、风险评价、内审、管理评审、不符合纠正等）； 检查安全措施的实施效果 员工要做什么？ 应了解信息安全方针； 其对信息安全管理体系有效性的贡献，包括改进信息安全 绩效带来的益处； 不符合信息安全管理体系要求带来的影响。（ 7.3意识） 管理使用职责内的资产 执行安全措施要求 资 产 识 别 p 主要资产： 业务过程和活动； 信息。 p 各种类型的支撑性资产（范围内的主要要素所依赖的）： 硬件； 软件； 网络； 人员； 场所； 组织结构。 资 产 清 单 硬件 数据处理设备（主动的） 自动信息处理设备，包括独立运行所需的项目。 可移动设备 便携式计算机设备。 笔记本电脑、平板、手机 固定设备 组织场所内所用的计算机设备。 服务器、作为工作站使用的微 机 外围处理设备 为输入、传送或传输数据，通过通信端口（串行、并行链接等 ）连接到计算机的设备。 打印机、可移动硬盘驱动器 数据介质（被动的） 存储数据或功能的介质。 电子介质 可连接到计算机或计算机网络用于数据存储的信息介质。尽管 体积小巧，这些介质可能含有大量的数据。它们可与标准的计 算设备一起使用。 软盘、 CD ROM、备份磁带、 可移动硬盘、存储钥匙、磁带 。 其他介质 含有数据的静态的、非电子的介质。 纸张、幻灯片，胶片，文件， 传真。 资 产 威 胁 类型 威胁 来源 物理损害 火灾 A、 D、 E 水灾 A、 D、 E 污染 A、 D、 E 重大事故 A、 D、 E 设备或介质毁坏 A、 D、 E 灰尘、腐蚀、冻结 A、 D、 E 自然灾害 气候现象 E 地震现象 E 火山现象 E 气象现象 E 洪水 E 基本服务丧 失 空调或供水系统故障 A、 D 电力供应失去 A、 D、 E 电信设备故障 A、 D 资 产 脆 弱 性 类型 脆弱性示例 威胁示例 硬件 存储介质的维护不足 /错误安 装 信息系统可维护性破坏 定期更换计划的缺乏 设备或介质毁坏 对潮湿、灰尘、污染的敏感 性 灰尘、腐蚀、冻结 对电磁辐射的敏感性 电磁辐射 有效配置变更控制的缺乏 使用中的错误 对电压变化的敏感性 电力供应失去 对温度变化的敏感性 气候现象 未保护的存储器 介质或文件偷窃 废物谨慎处置的缺乏 介质或文件偷窃 未控制的复制 介质或文件偷窃 风 险 值 计 算 威胁发生的可能性 低 中 高 脆弱性利用的容易度 低 中 高 低 中 高 低 中 高 资产价值 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 风 险 管 理 风险评 估 风险 分析 语 境建立 风险识别 风险 估算 风险评 价 风险 接受 否 是 风险 决策点 1 评 估是否 满 意 否 是 风险 决策点 2 处 置是否 满 意 风险 监视 与 评 审 风险处 置 风险 沟通 第一次或后 续 迭代的 终 点 风 险 管 理 风险处 置 风险 降低 评 估 是否 满 意 风险 决策点 1 风险处 置 风险评 估 结 果 风险 保留 风险规 避 风险转 移 处 置 是否 满 意 风险 决策点 2 风险评 估 结 果 控制举例： A.18 符合性 A.18.1 符合法律和合同要求 目的： 避免违反与信息安全有关的法律、法规、 规章或合同义务以及任何安全要求。 控 制 A.18.1.1 适用的法律 和合同要求 的 识别 对 每一个信息系 统 和 组织 而言，所有相关的法律、法 规 、 规 章和 合同要求，以及 为满 足 这 些要求 组织 所采用的方法， 应 加以明确 地定 义 、形成文件并保持更新。 A.18.1.2 知 识产权 应 实现 适当的 规 程，以确保在使用具有知 识产权 的材料和具有所 有 权 的 软 件 产 品 时 ，符合法律、法 规 和合同的要求。 A.18.1.3 记录 的保 护 应 根据法律、法 规 、 规 章、合同和 业务 要求， 对记录进 行保 护 以 防其 丢 失、 毁 坏、 伪 造、未授 权访问 和未授 权发 布。 A.18.1.4 隐 私和个人 可 识别 信息 保 护 应 依照相关的法律、法 规 和合同条款的要求，以确保 隐 私和个人 可 识别 信息得到保 护 。 A.18.1.5 密 码 控制 规 则 密 码 控制的使用 应 遵从所有相关的 协议 、法律和法 规 。 起因：为全国 4500多家酒店 提供网络服务 的浙江慧达驿站 网络有限公司，由于 安全漏洞 问题，导致 2000万条入住酒 店的客户信息泄露。 结果： 2014年某先生由于开房信息泄露，到当地法院起诉 了汉庭星空（上海）酒店管理有限公司和浙江慧达驿站网 络公司，索赔 20万元。 点评：本案中，浙江慧达驿站公司为酒店提供技术系统服 务，因此该公司对消费者信息有安全保障义务，如泄露也 要 承担侵权责任 。 控制举例： A.18 符合性 控制举例： A . 7人力资源安全 人力资源安全领域强调如何 降低人员交互作用对组织造成 的内在风险，包括任用前的考 察，任用中的管理和培训以及 任用终止 或变化 的处置。 根据 公安部统计 70的泄密犯罪来自于内部； 计算机 应用单位 80未设立相应的安全管理体系 ； 58无严格的管理制度。 如果相关技术人员违规操作（如管理员泄露密 码），即便组织有最好的安全技术的支持，也保证 不了信息安全。 控制举例： A . 7人力资源安全 目 的 A.7.1 任用前 确保员工和合同方理解其责任，并适合其角色 A.7.2 任用中 确保员工和合同方意识到并履行其信息安全责 任。 A.7.3 任用的终止 和变更 在任用变更或终止过程中保护组织的利益。 控制举例： A . 7人力资源安全 标 准 正 文 1.范围 2.规范性引用文件 3.术语和定义 4.组织环境 5.领导力 6.策划 7.支持 8.运行 9.绩效评价 10.改进 PLAN DO CHECK ACT 4.组织环境 5. 领导 6. 规划 6.1应对风险和机会的措施 7 支持 8.运行 9.绩效评价 10.改进 安 全 控 制 A.5 安全方针 A.6 信息安全组织 A.7 人力资源安全 A.8 资产管理 A.9 访问控制 A.10 密码学 (新增 ) A.11 物理与环境安全 A.12 操作安全 (由旧版 A.10 独立出来 ) A.13 通信安全 (由旧版 A.10 独立出来 ) A.14 信息系统获取、开发和维护 A.15 供应关系 (新增 ) A.16 信息安全事件管理 A.17 信息安全 方面的业务连续性管理 A.18 符合性 A.5 信息安全策略 A.5.1 信息安全管理指导 目的：依据业务要求和相关法律法规，为信息安全提供管理指导和支持。 A.5.1.1 信息安全 策略 控制 信息安全策略集应被定义，由管理者批准，并发 布、传达给所有员工和外部相关方。 A.5.1.2 信息安全 策略的评 审 控制 应 按计划的时间间隔或当重大变化发生时进行信 息安全策略评审，以确保其持续的适宜性、充分 性和有效性。 A.6 信息安全组织 A.6.1 内部组织 目的：建立一个管理框架，以启动和控制组织内信息安全的实现和运行。 A.6.1.1 信息安全的角色和责 任 控制 所有的信息安全责任应予以定义和分配。 A.6.1.2 职责分离 控制 应 分离冲突的职责及其责任范围，以减少未授权或无意的修 改或者不当使用组织资产的机会。 A.6.1.3 与职能机构的联系 控制 应维护与相关职能机构的适当联系。 A.6.1.4 与特定相关方的联系 控制 应 维护与特定相关方、其他专业安全论坛和专业协会的适当 联系。 A.6.1.5 项目管理中的信息安 全 控制 应关注项目管理中的信息安全问题，无论何种类型的项目。 A.6 信息安全组织 A.6.2 移动设备和远程工作 目的： 确保移动设备远程工作及其使用的安全 。 A.6.2.1 移动设备 策略 控制 应 采用相应的策略及其支持性的安全措施以管理由于使 用移动设备所带来的风险。 A.6.2.2 远程工作 控制 应实现相应的策略及其支持性的安全措施，以保护在远 程工作地点上所访问的、处理的或存储的信息。 A.7人力资源安全 A.7.1 任用前 目的： 确保员工和合同方理解其责任，并适合其角色 A.7.1.1 审查 控制 应按照相关法律法规和道德规范，对所有任用候选者的 背景进行验证核查，并与业务要求、访问信息的等级和 察觉的风险相适宜 A.7.1.2 任用条款及 条件 控制 应在员工和合同方的合同协议中声明他们和组织对信息 安全的责任。 A.7人力资源安全A.7.2 任用中 目的：确保员工和合同方意识到并履行其信息安全责任。 A.7.2.1 管理责任 控制 管理者应宜要求所有员工和合同方按照组织已建立的 策略和规程应用信息安全 。 A.7.2.2 信息安全意 识、教育和 培训 控制 组织所有员工和相关的合同方，应按其工作职能，接 受适当的意识教育和培训，及组织策略及规程的定期 更新的信息。 A.7.2.3 违规处理过 程 控制 应有正式的、且已被传达的违规处理过程以对信息安 全违规的员工采取措施。 A.7人力资源安全 A.7.3 任用的终止和变更 目的：在任用变更或终止过程中保护组织的利益。 A.7.3.1 任用终止或变更的 责任 控制 应 确定任用终止或变更后仍有效的信息 安全责任及其职责，传达至员工或合同 方并执行。 A.8 资产管理A.8.1有关资产的责任 目的： 识别组织资产并定义适当的保护责任。 A.8.1.1 资产清单 控制 应识别信息，以及与信息和信息处理设施相关的其他 资产，并编制和维护这些资产的清单。 A.8.1.2 资产的所属 关系 控制 应维护资产清单中资产的所属关系。 A.8.1.3 资产的可接 受使用 控制 应识别可接受的信息使用规则，以及与信息和信息处 理设施有关的资产的可接受的使用规则，形成文件并 加以实现 A.8.1.4 资产归还 控制 所有员工和外部用户在任用、合同或协议终止时，应 归还其占用的所有组织资产。 A.8 资产管理 A.8.2 信息分级 目的：确保信息按照其对组织的重要程度受到适当级别的保护。 A.8.2.1 信息的分 级 控制 信息应按照法律要求、价值、重要性及其对未授权泄露 或修改的敏感性进行分级。 A.8.2.2 信息的标 记 控制 应按照组织采用的信息分级方案，制定并实现一组适当 的信息标记规程。 A.8.2.3 资产的处 理 控制 应按照组织采用的信息分级方案，制定并实现资产处理 规程。 A.8 资产管理A.8.3 介质处理 目的：防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。 A.8.3.1 移动介质的管 理 控制 应按照组织采用的分级方案，实现移动介质管 理规程。 A.8.3.2 介质的处置 控制 应使用正式的规程安全地处置不再需要的介质 。 A.8.3.3 物理介质的转 移 控制 包含信息的介质在运送中应受到保护，以防止 未授权访问、不当使用或毁坏。 A.9 访问控制 A.9.1访问控制的业务要求 目的：限制对信息和信息处理设施的访问。 A.9.1.1 访问控制策略 控制 应基于业务和信息安全要求，建立访问控制策略 ，形成文件并进行评审。 A.9.1.2 网络和网络服 务的访问 控制 应 仅向用户提供他们已获专门授权使用的网络和 网络服务的访问 。 A.9 访问控制A.9.2用户访问管理 目的：确保授权用户对系统和服务的访问，并防止未授权的访问。 A.9.2.1 用户注册和注销 控制 应 实现正式的用户注册及注销过程，以便可分配访问权 。 A.9.2.2 用户访问供给 控制 应 对所有系统和服务的所有类型用户，实现一个正式的用户访问供给过程以 分配或撤销访问权。 A.9.2.3 特许访问权管理 控制 应 限制并控制特许访问权的分配和使用 。 A.9.2.4 用户的秘密鉴别信息 管理 控制 应 通过正式的管理过程控制秘密鉴别信息的分配 。 A.9.2.5 用户访问权的评审 控制 资产拥有者应定期对用户的访问权进行评审。 A.9.2.6 访问权的移除或调整 控制 所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终 止时，应予以移除，或在变更时予以调整。 A.9 访问控制 A.9.3 用户责任 目的：让用户承担保护其鉴别信息的责任。 A.9.3.1 秘密鉴别信息的使用 控制 应要求用户遵循组织在使用秘密鉴别信 息时的惯例。 A.9 访问控制 A.9.4系统和应用访问控制 目的：防止对系统和应用的未授权访问。 A.9.4.1 信息访问限制 控制 应按照访问控制策略限制对信息和应用系统功能的访问。 A.9.4.2 安全登录规程 控制 当访问控制策略要求时，应通过安全登录规程控制对系统和应 用的访问。 A.9.4.3 口令管理系统 控制 口令管理系统应是交互式的，并应确保优质的口令。 A.9.4.4 特权实用程序的使 用 控制 对于可能超越系统和应用控制的实用程序的使用应予以限制并 严格控制。 A.9.4.5 程序源代码的访问 控制 控制 应限制对程序源代码的访问。 A.10 密码 A.10.1 密码控制 目的： 确保适当和有效地使用密码技术以保护信息的保密性、真实性和（或）完 整性。 A.10.1.1 密码控制的使用 策略 控制 应开发和实现用于保护信息的密码控制使用策略。 A.10.1.2 密钥管理 控制 应制定和实现贯穿其全生命周期的密钥使用、保护 和生存期策略。 A.11 物理和环境安全A.11.1 安全区域 目的：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。 A.11.1.1 物理安全边界 控制 应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域。 A.11.1.2 物理入口控制 控制 安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。 A.11.1.3 办公室、房间和设 施的安全保护 控制 应为办公室、房间和设施设计并采取物理安全措施。 A.11.1.4 外部和环境威胁的 安全防护 控制 应设计和应用物理保护以防自然灾害、恶意攻击和意外。 A.11.1.5 在安全区域工作 控制 应设计和应用安全区域工作规程。 A.11.1.6 交接区 控制 访问点（例如交接区）和未授权人员可进入的其他点应加以控制，如果可能 ，应与信息处理设施隔离，以避免未授权访问。 A.11 物理和环境安全A.11.2 设备 目的：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 A.11.2.1 设备安置和保护 控制 应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 A.11.2.2 支持性设施 控制 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 A.11.2.3 布缆安全 控制 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏 A.11.2.4 设备维护 控制 设备应予以正确地维护，以确保其持续的可用性和完整性。 A.11.2.5 资产的移动 控制 设备、信息或软件在授权之前不应带出组织场所。 A.11.2.6 组织场所外的设备 与资产安全 控制 应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险 A.11.2.7 设备的安全处置或 再利用 控制 包含储存介质的设备的所有部分应进行核查，以确保在处置或再利用之前，任何敏感信息和注册软件已被删除或安 全的重写。 A.11.2.8 无人值守的用户设 备 控制 用户应确保无人值守的用户设备有适当的保护。 A.11.2.9 清理桌面和屏幕策 略 控制 应 针对纸质和可移动存储介质，采取清理桌面策略；应针对信息处理设施，采用清理屏幕策略 。 A.12 运行安全A.12.1 运行规程和责任 目的：确保正确、安全的操作信息处理设施。 A.12.1.1 文件化的操作规 程 控制 操作规程应形成文件，并对所需用户可用。 A.12.1.2 变更管理 控制 应控制影响信息安全的变更，包括组织、业务过程、信息处理设 施和系统变更。 A.12.1.3 容量管理 控制 应对资源的使用进行监视，调整和预测未来的容量需求，以确保 所需的系统性能。 A.12.1.4 开发、测试和运 行环境的分离 控制 应分离开发、测试和运行环境，以降低对运行环境未授权访问或 变更的风险。 A.12 运行安全 A.12.2恶意软件防范 目的：确保信息和信息处理设施防范恶意软件。 A.12.2.1 恶意软件的控 制 控制 应实现检测、预防和恢复控制以 防范恶意软件，并结合适当的用 户意识教育。 A.12 运行安全 A.12.3 备份 目的：防止数据丢失 A.12.3.1 信息备份 控制 应按照既定的备份策略，对信息 、软件和系统镜像进行备份，并 定期测试。 A.12 运行安全A.12.4 日志和监视 目的：记录事态并生成证据。 A.12.4.1 事态日志 控制 应产生、保持并定期评审记录用户活动、异常、错误和 信息安全事态的事态日志。 A.12.4.2 日志信息的保护 控制 记录日志的设施和日志信息应加以保护，以防止篡改和 未授权的访问。 A.12.4.3 管理员和操作员日 志 控制 系统管理员和系统操作员活动应记入日志，并对日志进 行保护和定期评审。 A.12.4.4 时钟同步 控制 一个组织或安全域内的所有相关信息处理设施的时钟， 应与单一一个基准的时间源同步。 A.12 运行安全 A.12.5 运行软件控制 目的：确保运行系统的完整性。 A.12.5.1 运行系统的软 件安装 控制 应实现运行系统软件安装控制规程 。 A.12 运行安全 A.12.6 技术脆弱性管理 目的：防止对技术脆弱性的利用。 A.12.6.1 技术脆弱性的管理 控制 应及时获取在用的信息系统的技术脆弱性信息， 评价组织对这些脆弱性的暴露状况并采取适当的 措施来应对相关风险。 A.12.6.2 软件安装限制 控制 应建立并实现控制用户安装软件的规则。 A.12 运行安全 A.12.7 信息系统审计的考虑 目的：使审计活动对运行系统的影响最小化。 A.12.7.1 信息系统 审计的控 制 控制 涉及运行系统验证的审计要求和活动，应谨慎地 加以规划并取得批准，以便最小化业务过程的中 断。 A.13 通信安全 A.13.1 网络安全管理 目的：确保网络中的信息及其支持性的信息处理设施得到保护。 A.13.1.1 网络控制 控制 应管理和控制网络以保护系统和应用中的信息。 A.13.1.2 网络服务的 安全 控制 所有网络服务的安全机制、服务级别和管理要求应予以确定并包 括在网络服务协议中，无论这些服务是由内部提供的还是外包的 。 A.13.1.3 网络隔离 控制 应在网络中隔离信息服务、用户及信息系统。 A.13 通信安全 A.13.2 信息传输 目的： 保持在组织内及与外部实体间传输信息的安全。 A.13.2.1 信息传输策略 和规程 控制 应有正式的传输策略、规程和控制，以保护通过使用各种 类型通信设施进行的信息传输。 A.13.2.2 信息传输协议 控制 协议应解决组织与外部方之间业务信息的安全传输。 A.13.2.3 电子消息发送 控制 应适当保护包含在电子消息发送中的信息。 A.13.2.4 保密或不泄露 协议 控制 应识别、定期评审和文件化反映组织信息保护需要的保密 性或不泄露协议的要求。 A.14 系统获取、开发和维护 A.14.1信息系统的安全要求 目的： 确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服 务的信息系统的要求 A.14.1.1 信息安全要求 分析和说明 控制 新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求 。 A.14.1.2 公共网络上应 用服务的安全 保护 控制 应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷 以及未经授权的泄露和修改。 A.14.1.3 应用服务事务 的保护 控制 应保护应用服务事务中的信息，以防止不完整的传输、错误路由、未 授权的消息变更、未授权的泄露、未授权的消息复制或重放。 A.14 系统获取、开发和维护A.14.2开发和支持过程中的安全 目的：确保信息安全在信息系统开发生命周期中得到设计和实现。 A.14.2.1 安全的开发策略 控制 针对组织内的开发，应建立软件和系统开发规则并应用。 A.14.2.2 系统变更控制规程 控制 应使用正式的变更控制规程来控制开发生命周期内的系统变更。 A.14.2.3 运行平台变更后对应 用的技术评审 控制 当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响 。 A.14.2.4 软件包变更的限制 控制 应不鼓励对软件包进行修改，仅限于必要的变更，且对所有变更加以严格控制 A.14.2.5 系统安全工程原则 控制 应建立、文件化和维护系统安全工程原则，并应用到任何信息系统实现工作中 A.14.2.6 安全的开发环境 控制 组织应针对覆盖系统开发生命周期的系统开发和集成活动，建立安全开发环境，并予以适当保护。 A.14.2.7 外包开发 控制 组织应督导和监视外包系统开发活动 A.14.2.8 系统安全测试 控制 应在开发过程中进行安全功能测试。 A.14.2.9 系统验收测试 控制 应建立对新的信息系统、升级及新版本的验收测试方案和相关准则。 A.14 系统获取、开发和维护 A.14.3 测试数据 目的：确保用于测试的数据得到保护。 A.14.3.1 测试数据的 保护 控制 测试数据应认真地加以选择、保护和控制 。 A.15 供应商关系 A.15.1 供应商关系中的信息安全 目的：确保供应商可访问的组织资产得到保护。 A.15.1.1 供应商关系的 信息安全策略 控制 为降低供应商访问组织资产的相关风险，应与供应商就信息安 全要求达成一致，并形成文件 A.15.1.2 在供应商协议 中强调安全 控制 应与每个可能访问、处理、存储、传递组织信息或为组织信息 提供 IT基础设施组件的供应商建立所有相关的信息安全要求， 并达成一致。 A.15.1.3 信息与通信技 术供应链 控制 供应商协议应包括信息与通信技术服务以及产品供应链相关的 信息安全风险处理要求。 A.15 供应商关系 A.15.2 供应商服务交付管理 目的：维护与供应商协议一致的信息安全和服务交付的商定级别。 A.15.2.1 供应商服务 的监视和评 审 控制 组织应定期监视、评审和审核供应商服务交付。 A.15.2.2 供应商服务 的变更管理 控制 应管理供应商所提供服务的变更，包括维护和改进现有的信息安全 策略、规程和控制，管理应考虑变更涉及到的业务信息、系统和过 程的关键程度及风险的再评估。 A.16 信息安全事件管理 A.16.1 信息安全事件的管理和改进 目的： 确保采用一致和有效的方法对信息安全事件进行管理，包括对安全事态和弱点的沟通。 A.16.1.1 责任和规程 控制 应建立管理责任和规程，以确保快速、有效和有序地响应信息安全事件。 A.16.1.2 报告信息安全事 态 控制 应通过适当的管理渠道尽快地报告信息安全事态。 A.16.1.3 报告信息安全弱 点 控制 应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统 或服务中的信息安全弱点。 A.16.1.4 信息安全事态的 评估和决策 控制 应评估信息安全事态并决定其是否属于信息安全事件。 A.16.1.5 信息安全事件的 响应 控制 应按照文件化的规程响应信息安全事件。 A.16.1.6 从信息安全事件 中学习 控制 应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响。 A.16.1.7 证据的收集 控制 组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。 A.17业务连续性管理的信息安全方面 A.17.1 信息安全的连续性 目的：应将信息安全连续性纳入组织业务连续性管理之中。 A.17.1.1 规划信息安全连 续性 控制 组织应确定在不利情况（如危机或灾难）下，对信息安全及信息安 全管理连续性的要求。 A.17.1.2 实现信息安全连 续性 控制 组织应建立、文件化、实现并维护过程、规程和控制，以确保在不 利情况下信息安全连续性达到要求的级别。 A.17.1.3 验证、评审和评 价信息安全连续 性 控制 组织应定期验证已建立和实现的信息安全连续性控制，以确保这些 控制在不利情况下是正当和有效的。 A.17业务连续性管理的信息安全方面 A.17.2 冗余 目的：确保信息处理设施的可用性。 A.17.2.1 信息处理设施的 可用性 控制 信息处理设施应具有足够的冗余以满足可用性要求。 A.18 符合性 A.18.1 符合法律和合同要求 目的：避免 违 反与信息安全有关的法律、法 规 、 规 章或合同 义务 以及任何安全要求。 A.18.1.1 适用的法律和合 同要求的 识别 控制 对 每一个信息系 统 和 组织 而言，所有相关的法律、法 规 、 规 章和合同要求，以及 为满 足 这 些要求 组织 所采用的方法， 应 加以明确地定 义 、形成文件并保持更新。 A.18.1.2 知 识产权 控制 应实现 适当的 规 程，以确保在使用具有知 识产权 的材料和具有所有 权 的 软 件 产 品 时 ，符合法律、法 规 和合同的要求。 A.18.1.3 记录 的保 护 控制 应 根据法律、法 规 、 规 章、合同和 业务 要求， 对记录进 行保 护 以防其 丢 失、 毁 坏、 伪 造、未授 权访问 和未授 权发 布。 A.18.1.4 隐 私和个人可 识 别 信息保 护 控制 应 依照相关的法律、法 规 和合同条款的要求，以确保 隐 私和个人可 识别 信息得到 保 护 。 A.18.1.5 密 码 控制 规则 控制 密 码 控制的使用