版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、ISO27001:2013ISO27001:2013ISO27001:2005ISO27001:2005A.5A.5信信息息安安全全方方针针A.5A.5信信息息安安全全方方针针A.5.1A.5.1信信息息安安全全管管理理指指引引A.5.1A.5.1信信息息安安全全管管理理指指引引目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。A.5.1.1信息安全方针应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。A.5.1.1信息安全方针A.5.1.2信息安全方针的评审应定期或在发生重大的变化时评
2、审方针文件,确保方针的持续性、稳定性、充分性和有效性。A.5.1.2信息安全方针的评审A.6A.6信信息息安安全全组组织织A.6A.6信信息息安安全全组组织织A.6.1A.6.1内内部部组组织织A.6.1A.6.1内内部部组组织织目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。目标:在组织内管理信息安全。A.6.1.1信息安全的角色和职责应定义和分配所有信息安全职责。A.6.1.1信息安全的管理承诺A.6.1.2职责分离有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。A.6.1.2信息安全协调A.6.1.3与监管机构的联系应与相关监管机构保持适当
3、联系。A.6.1.3信息安全职责的分配A.6.1.4与特殊利益团体的联系与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。A.6.1.4信息处理设施的授权过程A.6.1.5项目管理中的信息安全实施任何项目时应考虑信息安全相关要求。A.6.1.5保密性协议A.6.1.6与政府部门的联系A.6.1.7与特定权益团体的联系A.6.1.8信息安全的独立评审A.6.2A.6.2外外部部各各方方目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。A.6.2.1与外部各方相关风险的识别A.6.2.2处理与顾客有关的安全问题A.6.2.3处理第三方协议中的安全问题A.
4、6.2A.6.2移移动动设设备备和和远远程程办办公公A.11.7A.11.7移移动动计计算算和和远远程程工工作作目标:应确保远程办公和使用移动设备的安全性。目标:应确保远程办公和使用移动设备的安全性。A.6.2.1移动设备策略应采取安全策略和配套的安全措施控制使用移动设备带来的风险。A.11.7.1移动计算和通信A.6.2.2远程办公应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。A.11.7.2远程工作A.7A.7人人力力资资源源安安全全A.8A.8人人力力资资源源安安全全A.7.1A.7.1任任用用前前A.8.1A.8.1任任用用前前目标:确保员工、合同方人员理
5、解他们的职责并适合他们所承担的角色。目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。A.7.1.1人员筛选根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。A.8.1.1角色和职责A.7.1.2任用条款和条件与员工和承包商的合同协议应当规定他们对组织的信息安全责任。A.8.1.2审查A.8.1.3任用条款和条件A.7.2A.7.2任任用用中中A.8.2A.8.2任任用用中中目标:确保员工和合同方了解并履行他们的信息安全责任。目标:确保所有的雇员、承包方人员和第三方
6、人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。A.7.2.1管理职责管理层应要求员工、合同方符合组织建立的信息安全策略和程序。A.8.2.1管理职责A.7.2.2信息安全意识、教育与培训组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。A.8.2.2信息安全意识、教育与培训A.7.2.3纪律处理过程应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。A.8.2.3纪律处理过程A.7.3A.7.3任任用用终终止止和和变变更更A.8.3A.8.3任任用用终终止止和
7、和变变更更目标:保证组织利益是雇佣终止和变更的一部分目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。A.7.3.1任用终止或变更的责任应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。A.8.3.1终止职责A.8.3.2资产的归还A.8.3.3撤销访问权A.8A.8资资产产管管理理A.7A.7资资产产管管理理A.8.1A.8.1资资产产的的责责任任A.7.1A.7.1资资产产的的责责任任目标:确定组织资产,并确定适当的保护责任。目标:实现和保持对组织资产的适当保护。A.8.1.1资产清单应制定和维护信息资产和信息处理设施相关资产
8、的资产清单。A.7.1.1资产清单A.8.1.2资产责任人资产清单中的资产应指定资产责任人(OWNER)。A.7.1.2资产责任人A.8.1.3资产的合理使用应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。A.7.1.3资产的允许使用A.8.1.4资产的归还在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。A.8.2A.8.2信信息息分分类类A.7.2A.7.2信信息息分分类类目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。目标:确保信息受到适当级别的保护。A.8.2.1信息分类应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授
9、权泄露或篡改。A.7.2.1分类指南A.8.2.2信息标识应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。A.7.2.2信息的标记和处理A.8.2.3资产处理应根据组织采用的资产分类方法制定和实施资产处理程序A.8.3A.8.3介介质质处处理理A.10.7A.10.7介介质质处处理理目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。A.8.3.1可移动介质管理应实施移动介质的管理程序,并与组织的分类方案相匹配。A.10.7.1可移动介质管理A.8.3.2介质处置当介质不再需要时,应按照正式程序进行可靠的、
10、安全的处置。A.10.7.2介质处置A.8.3.3物理介质传输含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。A.10.7.3信息处理程序A.10.7.4系统文件安全A.9A.9访访问问控控制制A.11A.11访访问问控控制制A.9.1A.9.1访访问问控控制制的的业业务务需需求求A.11.1A.11.1访访问问控控制制的的业业务务需需求求目标:限制对信息和信息处理设施的访问。目标:控制对信息的访问。A.9.1.1访问控制策略应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。A.11.1.1访问控制策略A.9.1.2对网络和网络服务的访问应只允许用户访问被
11、明确授权使用的网络和网络服务。A.9.2A.9.2用用户户访访问问管管理理A.11.2A.11.2用用户户访访问问管管理理目标:确保已授权用户的访问,预防对系统和服务的非授权访问。目标:确保授权用户访问信息系统,并防止未授权的访问。A.9.2.1用户注册和注销应实施正式的用户注册和注销程序来分配访问权限。A.11.2.1用户注册A.9.2.2用户访问权限提供无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。A.11.2.2特权管理A.9.2.3特权管理应限制及控制特权的分配及使用。A.11.2.3用户口令管理A.9.2.4用户认证信息的安全管理用
12、户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。A.11.2.4用户访问权的复查A.9.2.5用户访问权限的评审资产所有者应定期审查用户访问权限。A.9.2.6撤销或调整访问权限在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。A.9.3A.9.3用用户户责责任任A.11.3A.11.3用用户户职职责责目标:用户应保护他们的认证信息。目标:防止未授权用户对信息和信息处理设施的访问、危害或窃取。A.9.3.1认证信息的使用应要求用户遵循组织的做法使用其认证信息。A.11.3.1口令使用A.11.3.2无人值守的用户设备A.11.3.
13、3清空桌面和屏幕策略A.11.4A.11.4网网络络访访问问控控制制目标:防止对网络服务的未授权访问。A.11.4.1使用网络服务的策略A.11.4.2外部连接的用户鉴别A.11.4.3网络上的设备标识A.11.4.4远程诊断和配置端口的保护A.11.4.5网络隔离A.11.4.6网络连接控制A.11.4.7网络路由控制A.11.5A.11.5操操作作系系统统访访问问控控制制目标:防止对操作系统的未授权访问。A.11.5.1安全登录程序A.11.5.2用户标识和鉴别A.11.5.3口令管理系统A.11.5.4系统实用工具的使用A.11.5.5会话超时A.11.5.6联机时间的限定A.9.4A.
14、9.4系系统统和和应应用用访访问问控控制制A.11.6A.11.6系系统统和和应应用用访访问问控控制制目标:防止对系统和应用的未授权访问。目标:防止对系统和应用的未授权访问。A.9.4.1信息访问限制应基于访问控制策略限制对信息和应用系统功能的访问。A.11.6.1信息访问限制A.9.4.2安全登录程序在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。A.11.6.2敏感系统隔离A.9.4.3密码管理系统应使用交互式口令管理系统,确保口令质量。A.9.4.4特权程序的使用对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。A.9.4.5对程序源码的访问控制对程序
15、源代码的访问应进行限制。A.10A.10密密码码学学A.10.1A.10.1密密码码控控制制A.12.3A.12.3密密码码控控制制目标:确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。目标:通过密码方法保护信息的保密性、真实性或完整性。A.10.1.1使用加密控制的策略应开发和实施加密控制措施的策略以保护信息。A.12.3.1使用密码控制的策略A.10.1.2密钥管理对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。A.12.3.2密钥管理A.11A.11物物理理和和环环境境安安全全A.9A.9物物理理和和环环境境安安全全A.11.1A.11.1安
16、安全全区区域域A.9.1A.9.1安安全全区区域域目标:防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。A.11.1.1物理安全边界应定义安全边界,用来保护包含敏感或关键信息和信A.9.1.1物理安全边界A.11.1.2物理进入控制安全区域应有适当的进入控制保护,以确保只有授权A.9.1.2物理入口控制A.11.1.3办公室、房间及设施和安全应设计和实施保护办公室、房间及所及设备的物理安全。A.9.1.3办公室、房间及设施和安全A.11.1.4防范外部和环境威胁应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。A.9.1
17、.4外部和环境威胁的安全防护A.11.1.5在安全区域工作应设计和应用在安全区域工作的程序。A.9.1.5在安全区域工作A.11.1.6送货和装卸区访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。A.9.1.6公共访问、交接区安全A.11.2A.11.2设设备备安安全全A.9.2A.9.2设设备备安安全全目标:防止资产的遗失、损坏、偷窃或损失和组织业务中断。目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.11.2.1设备安置及保护应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。A
18、.9.2.1设备安置及保护A.11.2.2支持设施应保护设备免于电力中断及其它因支持设施失效导致的中断。A.9.2.2支持设施A.11.2.3线缆安全应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。A.9.2.3线缆安全A.11.2.4设备维护应正确维护设备,以确保其持续的可用性及完整性。A.9.2.4设备维护A.11.2.5资产转移未经授权,不得将设备、信息及软件带离。A.9.2.5组织场所外的设备安全A.11.2.6场外设备和资产安全应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。A.9.2.6设备的安全处置或再利用A.11.2.7设备报废或重用含有存储介质的所有
19、设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。A.9.2.7资产的移动A.11.2.8无人值守的设备用户应确保无人值守的设备有适当的保护。A.11.2.9桌面清空及清屏策略应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。A.12A.12操操作作安安全全A.10A.10通通信信和和操操作作管管理理A.12.1A.12.1操操作作程程序序及及职职责责A.10.1A.10.1操操作作程程序序及及职职责责目标:确保信息处理设施正确和安全的操作。目标:确保正确、安全的操作信息处理设施。A.12.1.1文件化的操作程序应编制文件化的操作程序,并确保
20、所有需要的用户可以获得。A.10.1.1文件化的操作程序A.12.1.2变更管理应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。A.10.1.2变更管理A.12.1.3容量管理应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。A.10.1.3责任分割A.12.1.4开发、测试与运行环境的分离应分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险。A.10.1.4开发、测试与运行环境的分离A.10.3.1容量管理A.12.2A.12.2防防范范恶恶意意软软件件A.10.4A.10.4防防范范恶恶意意和和移移动动代代码码目标:确保对信息和信息处理设施的保护,防止
21、恶意软件。目标:保护软件和信息的完整性。A.12.2.1控制恶意软件应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序。A.10.4.1控制恶意代码A.10.4.2控制移动代码A.12.3A.12.3备备份份A.10.5A.10.5备备份份目标:防止数据丢失目标:保持信息和信息处理设施的完整性和可用性。A.12.3.1信息备份根据既定的备份策略备份信息,软件及系统镜像,并定期测试。A.10.5.1信息备份A.12.4A.12.4日日志志记记录录和和监监控控A.10.10A.10.10监监视视目标:记录事件和生成的证据目标:检测未授权的信息处理活动。A.12.4.1事件日志应产生记
22、录用户活动、意外和信息安全事件的日志,保留日志并定期评审。A.10.10.1审计日志A.12.4.2日志信息保护应保护日志设施和日志信息免受篡改和未授权访问。A.10.10.2监视系统的使用A.12.4.3管理员和操作者日志应记录系统管理员和系统操作者的活动,进行日志保护及定期评审。A.10.10.3日志信息的保护A.12.4.4时钟同步在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。A.10.10.4管理员和操作员日志A.10.10.5故障日志A.10.10.6时钟同步A.12.5A.12.5操操作作软软件件控控制制A.12.4A.12.4系系统统文文件件的
23、的安安全全目标:确保系统的完整性。目标:确保系统文件的安全A.12.5.1运营系统的软件安装应建立程序对运营中的系统的软件安装进行控制。 A.12.4.1运行软件的控制A.12.4.2系统测试数据的保护A.12.4.3对程序源代码的访问控制A.12.6A.12.6技技术术漏漏洞洞管管理理A.12.6A.12.6技技术术脆脆弱弱性性管管理理目标:防止技术漏洞被利用目标:降低利用公布的技术脆弱性导致的风险。A.12.6.1管理技术漏洞应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当的措施去解决相关风险。A.12.6.1技术脆弱性的控制A.12.6.2软件安装限制应建立并实
24、施用户软件安装规则。A.12.7A.12.7信信息息系系统统审审计计的的考考虑虑因因素素目标:最小审计活动对系统运行影响。A.12.7.1信息系统审核控制应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。A.13A.13通通信信安安全全A.13.1A.13.1网网络络安安全全管管理理A.10.6A.10.6网网络络安安全全管管理理目标:确保网络及信息处理设施中信息的安全。目标:确保网络中信息的安全性并保护支持性的基础设施。A.13.1.1网络控制应对网络进行管理和控制,以保护系统和应用程序的信息。A.10.6.1网络控制A.13.1.2网络服务安全应识别所有网络服
25、务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。A.10.6.2网络服务安全A.13.1.3网络隔离应在网络中按组(GROUP)隔离信息服务、用户和信息系统。A.13.2A.13.2信信息息传传输输A.10.8A.10.8信信息息的的交交换换目标:应确保信息在组织内部或与外部组织之间传输的安全。目标:保持组织内信息和软件交换及与外部组织信息和软件交换的安全。A.13.2.1信息传输策略和程序应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。A.10.8.1信息交换策略和程序A.13.2.2信息传输协议建立组织和外部各方
26、之间的业务信息的安全传输协议。A.10.8.2交换协议A.13.2.3电子消息应适当保护电子消息的信息。?A.10.8.3运输中的物理介质A.13.2.4保密或非扩散协议应制定并定期评审组织的信息安全保密协议或非扩散协议(NDA),该协议应反映织对信息保护的要求。A.10.8.4电子消息发送A.10.8.5业务信息系统A.10.9A.10.9电电子子商商务务服服务务目标:确保电子商务服务的安全及其安全使用。A.10.9.1电子商务A.10.9.2在线交易A.10.9.3公共可用信息A.14A.14系系统统的的获获取取、开开发发及及维维护护A.12A.12系系统统的的获获取取、开开发发及及维维护
27、护A.14.1A.14.1信信息息系系统统安安全全需需求求A.12.1A.12.1信信息息系系统统安安全全需需求求目标:确保信息安全成为信息系统生命周期的组成部分,包括向公共网络提供服务的信息系统的要求。目标:确保安全是信息系统的一个有机组成部分。A.14.1.1信息安全需求分析和规范新建信息系统或改进现有信息系统应包括信息安全相关的要求。A.12.1.1安全要求分析和说明A.14.1.2公共网络应用服务的安全应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。A.14.1.3保护在线交易应保护应用服务传输中的信息,以防止不完整的传输、路由错误、未授权的消息修改、
28、未经授权的泄漏、未授权的信息复制和重放。A.12.2A.12.2应应用用中中的的正正确确处处理理目标:防止应用系统中的信息的错误、遗失、未授权的修改及误用。A.12.2.1输入数据的验证A.12.2.2内部处理的控制A.12.2.3消息完整性A.12.2.4输出数据的验证A.14.2A.14.2开开发发和和支支持持过过程程的的安安全全A.12.5A.12.5开开发发和和支支持持过过程程的的安安全全目标:确保信息系统开发生命周期中设计和实施信息安全。目标:维护应用系统软件和信息的安全。A.14.2.1安全开发策略应建立组织内部的软件和系统开发准则。A.12.5.1变更控制程序A.14.2.2系统
29、变更控制程序应通过正式的变更控制程序,控制在开发生命周期中的系统变更实施。A.12.5.2操作系统变更后应用的技术评审A.14.2.3操作平台变更后的技术评审当操作平台变更后,应评审并测试关键的业务应用系统,以确保变更不会对组织的运营或安全产生负面影响。A.12.5.3软件包变更的限制A.14.2.4软件包变更限制不鼓励对软件包进行变更,对必要的更改需严格控制。A.12.5.4信息泄露A.14.2.5涉密系统的工程原则应建立、记录、维护和应用安全系统的工程原则,并执行于任何信息系统。A.12.5.5外包软件开发A.14.2.6开发环境安全应在整个系统开发生命周期的系统开发和集成工作,建立并妥善
30、保障开发环境的安全。A.14.2.7外包开发组织应监督和监控系统外包开发的活动。A.14.2.8系统安全测试在开发过程中,应进行安全性的测试。A.14.2.9系统验收测试应建立新信息系统、系统升级及新版本的验收测试程序和相关标准。A.10.3.2系统验收A.14.3A.14.3测测试试数数据据目标:确保测试数据安全。A.14.3.1测试数据的保护应谨慎选择测试数据,并加以保护和控制。A.15A.15供供应应商商关关系系A.15.1A.15.1供供应应商商关关系系的的信信息息安安全全A.10.2A.10.2第第三三方方服服务务交交付付管管理理目标:确保组织被供应商访问的信息的安全。目标:实施和保
31、持符合第三方服务交付协议的信息安全和服务交付的适当水准。A.15.1.1供应商关系的信息安全策略为降低供应商使用该组织的资产相关的风险的信息安全要求应获得许可并记录。A.10.2.1服务交付A.15.1.2在供应商协议中强调安全与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。A.10.2.2第三方服务的监视和评审A.15.1.3信息和通信技术的供应链供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。A.10.2.3第三方服务的变更管理A.15.2A.15.2供供应应商商服服务务交交付付管管理理目标:保持一致的信
32、息安全水平,确保服务交付符合服务协议要求。A.15.2.1供应商服务的监督和评审 组织应定期监控、评审和审核供应商的服务交付。A.15.2.2供应商服务的变更管理应管理供应商服务的变更,包括保持和改进现有信息安全策略、程序和控制措施,考虑对业务信息、系统、过程的关键性和风险的再评估。A.16A.16信信息息安安全全事事件件管管理理A.13A.13信信息息安安全全事事件件管管理理A.16.1A.16.1信信息息安安全全事事件件的的管管理理和和改改进进A.13.1A.13.1报报告告信信息息安安全全事事件件和和弱弱点点目标:确保持续、有效地管理信息安全事件,包括对安全事件和弱点的沟通。目标:确保与
33、信息系统有关的信息安全事件和弱点能够以某种方式传达,以便及时采取纠正措施。A.16.1.1职责和程序应建立管理职责和程序,以快速、有效和有序的响应信息安全事件。A.13.1.1报告信息安全事件A.16.1.2报告信息安全事件应通过适当的管理途径尽快报告信息安全事件。A.13.1.2报告安全弱点A.16.1.3报告信息安全弱点应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。A.13.2A.13.2信信息息安安全全事事故故和和改改进进的的管管理理A.16.1.4评估和决策信息安全事件应评估信息安全事件,以决定其是否被认定为信息安全事故。目标:确保采用
34、一致和有效的方法对信息安全事故进行管理。A.16.1.5响应信息安全事故应按照文件化程序响应信息安全事故。A.13.2.1职责和程序A.16.1.6从信息安全事故中学习分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。A.13.2.2对信息安全事故的总结A.16.1.7收集证据组织应建立和采取程序,识别、收集、采集和保存可以作为证据的信息。A.13.2.3证据的收集A.17A.17业业务务连连续续性性管管理理中中的的信信息息安安全全A.14A.14业业务务连连续续性性管管理理中中的的信信息息安安全全A.17.1A.17.1信信息息安安全全的的连连续续性性A.14.1A.14.1
35、业业务务连连续续性性管管理理的的信信息息安安全全方方面面目标:信息安全的连续性应嵌入组织的业务连续性管理体系。目标:防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。A.17.1.1规划信息安全的连续性组织应确定其需求,以保证在不利情况下的信息安全和信息安全管理的连续性,如在危机或灾难时。A.14.1.1业务连续性管理过程中包含的信息安全A.17.1.2实现信息安全的连续性组织应建立,记录,实施,维护程序和控制过程,以确保一个不利的情况过程中所需的连续性的信息安全。A.14.1.2业务连续性和风险评估A.17.1.3验证,评审和评估信息安全的连续性组织应
36、定期验证已建立并实施的信息安全连续性控制,以确保它们是有效的,并在不利的情况下同样有效。A.14.1.3制定和实施包含信息安全的连续性计划A.14.1.4业务连续性计划框架A.14.1.5测试、保持和再评估业务连续性计划A.17.2A.17.2冗冗余余目标:确保信息处理设施的可用性。A.17.2.1信息处理设施的可用性信息处理设施应具备足够的冗余,以满足可用性要求。A.18A.18符符合合性性A.15A.15符符合合性性A.18.1A.18.1法法律律和和合合同同规规定定的的符符合合性性A.15.1A.15.1符符合合法法律律要要求求目标:避免违反有关信息安全的法律、法规、规章或合同要求以及任
37、何安全要求。目标:避免违反任何法律、法令、法规或合同义务,以及任何安全要求。A.18.1.1识别适用的法律法规和合同要求应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新。A.15.1.1可用法律的识别A.18.1.2知识产权应实施适当的程序,以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求。A.15.1.2知识产权A.18.1.3保护记录应按照法律法规、合同和业务要求,保护记录免受损坏、破坏、未授权访问和未授权发布,或伪造篡改。A.15.1.3保护组织的记录A.18.1.4个人信息和隐私的保护个人身份信息和隐私的保护应满
38、足相关法律法规的要求。A.15.1.4数据保护和个人信息的隐私A.18.1.5加密控制法规使用加密控制应确保遵守相关的协议、法律法规。 A.15.1.5防止滥用信息处理设施A.15.1.6密码控制措施的规则A.18.2A.18.2信信息息安安全全评评审审A.15.2A.15.2符符合合安安全全策策略略和和标标准准,以以及及技技术术符符合合性性目标:确保依照组织策略和程序实施信息安全。目标:确保系统符合组织的安全策略及标准。A.18.2.1信息安全的独立评审应在计划的时间间隔或发生重大变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。A
39、.15.2.1符合安全策略和标准A.18.2.2符合安全策略和标准管理层应定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求。A.15.2.2技术符合性检查A.18.2.3技术符合性评审应定期评审信息系统与组织的信息安全策略、标准的符合程度。A.15.3A.15.3信信息息系系统统审审核核考考虑虑目标:将信息系统审核过程的有效性最大化,干扰最小化。A.15.3.1信息系统审核控制措施A.15.3.2信息系统审核工具的保护信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、
40、充分性和有效性。管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。所有的信息安全职责应予以清晰地定义。新信息处理设施应定义和实施一个管理授权过程。应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。应保持与政府相关部门的适当联系。应保持与特定权益团体、其他安全专家组和专业协会的适当联系。组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。应识别涉及外部各方业务过程
41、中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。应有正式策略并且采用适当的安全措施,以防范使用可移动计算和通信设施时所造成的风险。应为远程工作活动开发和实施策略、操作计划和程序。雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。ISO27001:2005ISO27001:2005A.5A.5信信息息安安全全方方针针A.5.1A.5.1信信息息安
42、安全全管管理理指指引引目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。A.6A.6信信息息安安全全组组织织A.6.1A.6.1内内部部组组织织目标:在组织内管理信息安全。A.6.2A.6.2外外部部各各方方目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。A.11.7A.11.7移移动动计计算算和和远远程程工工作作目标:应确保远程办公和使用移动设备的安全性。A.8A.8人人力力资资源源安安全全A.8.1A.8.1任任用用前前目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。关于所有任用
43、的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。对于安全违规的雇员,应有一个正式的纪律处理过程。任用终止或任用变化的职责应清晰的定义和分配。所有的雇员、承包方人员和第三
44、方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。应清晰的识别所有资产,编制并维护所有重要资产的清单。与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任 。与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。应有适当的可移动介质的管理程序。不再需要的介质,应使用正式的程序可靠并安全地处置。A.8.2A.8.2任任用用
45、中中目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。A.8.3A.8.3任任用用终终止止和和变变更更目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。A.7A.7资资产产管管理理A.7.1A.7.1资资产产的的责责任任目标:实现和保持对组织资产的适当保护。A.7.2A.7.2信信息息分分类类目标:确保信息受到适当级别的保护。A.10.7A.10.7介介质质处处理理目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。应建立信息的处理及存储程
46、序,以防止信息的未授权的泄漏或不当使用。应保护系统文件以防止未授权的访问。访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。应限制和控制特殊权限的分配及使用。应通过正式的管理过程控制口令的分配。管理者应定期使用正式过程对用户的访问权进行复查。应要求用户在选择及使用口令时,遵循良好的安全习惯。用户应确保无人值守的用户设备有适当的保护。应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。用户应仅能访问已获专门授权使用的服务。应使用适当的鉴别方法以控制远程用户的访问。应考虑自动设备标识,将其作为
47、鉴别特定位置和设备连接的方法。对于诊断和配置端口的物理和逻辑访问应加以控制。应在网络中隔离信息服务、用户及信息系统。对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见11.1)。应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应用的访问控制策略。访问操作系统应通过安全登录程序加以控制。所有用户应有唯一的、专供其个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户所宣称的身份。A.11A.11访访问问控控制制A.11.1A.11.1访访问问控控制制的的业业务务需需求求目标:控制对信息的访问。A.11.2A.11.2用用户户访访
48、问问管管理理目标:确保授权用户访问信息系统,并防止未授权的访问。A.11.3A.11.3用用户户职职责责目标:防止未授权用户对信息和信息处理设施的访问、危害或窃取。A.11.4A.11.4网网络络访访问问控控制制目标:防止对网络服务的未授权访问。A.11.5A.11.5操操作作系系统统访访问问控控制制目标:防止对操作系统的未授权访问。口令管理系统应是交互式的,并应确保优质的口令。可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制。不活动会话应在一个设定的休止期后关闭。应使用联机时间的限制,为高风险应用程序提供额外的安全。用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制
49、策略加以限制。敏感系统应有专用的(隔离的)运算环境。应开发和实施使用密码控制措施来保护信息的策略。对应有密钥管理以支持组织使用密码技术。应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。应为办公室、房间和设施设计并采取物理安全措施。为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。应设计和运用用于安全区域工作的物理保护和指南。访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未
50、授权访问。应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。设备应予以正确地维护,以确保其持续的可用性和完整性。应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。A.11.6A.11.6系系统统和和应应用用访访问问控控制制目标:防止对系统和应用的未授权访问。A.12.3A.12.3密密码码控控制制目标:通过密码方法保护信息的保密性、真实性或完整性。A.9A.9物物理理和和环环境境安安全全A.9.1A.9.1安安全全区区域域
51、目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。A.9.2A.9.2设设备备安安全全目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。设备、信息或软件在授权之前不应带出组织场所。操作程序应形成文件、保持并对所有需要的用户可用。对信息处理设施和系统的变更应加以控制。各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以
52、确保拥有所需的系统性能。应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。应按照已设的备份策略,定期备份和测试信息和软件。应产生记录用户活动、异常和信息安全事件的审计日志,并要保持一个已设的周期以支持将来的调查和访问控制监视。应建立信息处理设施的监视使用程序,监视活动的结果要经常评审记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。系统管理员和系统操作员活动应记入日志。故障应被记录、分析,并采取适当的措施。一个组织或安全域内的所有相关信息处理设施的时钟
53、应使用已设的精确时间源进行同步。应有程序来控制在运行系统上安装软件。测试数据应认真地加以选择、保护和控制。A.10A.10通通信信和和操操作作管管理理A.10.1A.10.1操操作作程程序序及及职职责责目标:确保正确、安全的操作信息处理设施。A.10.4A.10.4防防范范恶恶意意和和移移动动代代码码目标:保护软件和信息的完整性。A.10.5A.10.5备备份份目标:保持信息和信息处理设施的完整性和可用性。A.10.10A.10.10监监视视目标:检测未授权的信息处理活动。A.12.4A.12.4系系统统文文件件的的安安全全目标:确保系统文件的安全应限制访问程序源代码。应及时得到现用信息系统技
54、术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的应用程序的安全,包括传输中的信息。安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。应有正式的交换策略、程序和控制措施,以保护通过使用各种类型通信设施的信息交换。应建立组织与外部团体交换信息和软件的协议。包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。包含在电子消息发送中的信息应给予适当的保护。应建立和实施策略和程序以保护与业务信息系统互联的信息。包含在使
55、用公共网络的电子商务中的信息应受保护,以防止欺诈活动、合同争议和未授权的泄露和修改。包含在在线交易中的信息应受保护,以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。在公共可用系统中可用信息的完整性应受保护,以防止未授权的修改。在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施的要求。A.12.6A.12.6技技术术脆脆弱弱性性管管理理目标:降低利用公布的技术脆弱性导致的风险。A.10.6A.10.6网网络络安安全全管管理理目标:确保网络中信息的安全性并保护支持性的基础设施。A.10.8A.10.8信信息息的的交交换换目标:保持组织内信息和软件交换及与外部组织信息和软件交换的安全。A.10.9A.10.9电电子子商商务务服服务务目标:确保电子商务服务的安全及其安全使用。A.12A.12系系统统的的获获取取、开开发发及及维维护护A.12.1A.12.1信信息息系系统统安安全全需需求求目标:确保安全是信息系统的一个有机组成部分。输入应用系统的数据应加以验证,以确保数据是正确且恰当的。验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026南京市江苏建邺区教育局所属南京师范大学附属中学栋梁学校招聘高层次人才11人考试参考题库及答案详解
- 2026年大连市西岗区住房和城乡建设局人员招聘笔试备考题库及答案详解
- 2026年泰州市高港区住房和城乡建设局人员招聘考试备考题库及答案详解
- 南宁市福利中医医院2026年第一批编外人员招聘29人考试备考题库及答案详解
- 2026年阜新市清河门区住房和城乡建设局人员招聘笔试备考试题及答案详解
- 保险AI算法透明度提升-第28篇
- 2026年国药大连机车医院三季度招聘9人考试参考题库及答案详解
- 2026年河池市金城江区住房和城乡建设局人员招聘笔试备考试题及答案详解
- 2026年茂名市茂港区住房和城乡建设局人员招聘笔试备考题库及答案详解
- 保险AI模型可追溯性研究-第14篇
- 《工业管道安全技术规程》(TSG31-2025)监督检验规则培训
- 施工人员安全教育与培训方案
- 2026年及未来5年市场数据中国不良资产处置市场竞争态势及行业投资潜力预测报告
- 销售岗试用期考核制度
- 2026 新版教材八年级下册英语必背词汇表
- 质量安全总监配备培训考核制度
- 跨越高速架线专项施工方案
- 变配电设备维护保养技术规程标准版
- 2025-2026学年北京市海淀区七年级(上)期中英语试卷
- 三方协议退货合同模板
- 港口码头消防巡检机器人应用分析方案
评论
0/150
提交评论