ISO-IEC 27002-2022中文版完整详细_第1页
ISO-IEC 27002-2022中文版完整详细_第2页
ISO-IEC 27002-2022中文版完整详细_第3页
ISO-IEC 27002-2022中文版完整详细_第4页
ISO-IEC 27002-2022中文版完整详细_第5页
已阅读5页,还剩241页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

ISO/IEC27002:2022信息安全,网络安全与隐私保护——信息安全控制日期更新日志2022年3月18日v0.12022年4月30日v0.2,修正少量文字错误和前后不一的用词;2022年5月09日v0.3,修正少量排版错误,修正部分措辞;说明2022年2月,国际标准化组织发布更新发布了信息安全、网络安全和隐私保护——信息安全控制(ISO/IEC27002:2022),以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。新标准的更新变化为新环境下的网络安全、数据安全治理和管理提供了先进的思路和参考框架,为尽快将新标纳入我司数据安全治理咨询服务知识库,安全咨询事业部组织专家力量进行了翻译整理。本文件主要翻译人员为安全咨询事业部高级安全顾问汤季洪(CISSP/CISP/CCSP/CCSI/CEH/RHCA/RHCE/MCSE/MCDBA/VCP),并得到了盘茜(CISSP/CISP)女士的大力支持。由于译者水平有限,错误或不当之处在所难免,请参照英文原版以准,并请拨冗批评指正。可联系汤季微信)或\htangjihong@。闪捷信息科技有限公司•安全咨询事业部2022年3月18日序ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门体系。作为ISO或IEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定,以处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域进行合作。与ISO和IEC保持联系的其他政府和非政府国际组织也参与此项工作。ISO/IEC指令第1部分描述了用于编制本文件的程序以及旨在进一步维护本文件的程序。特别是,应注意不同类型的文件需要不同的审批标准。本文件根据ISO/IEC2部分的编辑规则起草(\h/directives或\hwww.iec.ch/members_experts/refdocs)。请注意,本文件中的某些内容可能是专利权的主题。ISO和IEC不负责识别任何或所有此类专利权。在文档开发过程中确定的任何专利权的详细信息将在引言和/或收到的ISO专利声明列表中列出(参见\h/patents)或收到的IEC专利声明列表(参见patents.iec.ch)。本文件中使用的任何商品名称都是为了方便用户而提供的信息,并不构成认可。有关标准的自愿性质的解释、与合格评定相关的ISO特定术语和表述的含义,以及有关ISO遵守《技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则》的信息,请参见\h/iso/foreword.html。IEC的有关信息请参见\hwww.iec.ch/understanding-standards。本文件由ISO/IECJTC1联合技术委员会信息技术分委员会SC27信息安全、网络安全和隐私保护编写。第三版取消并取代了第二版(ISO/IEC27002:2013),包含第二版的技术修订ISO/IEC27002:2013/Cor.1:2014和ISO/IEC27002:2013/Cor.2:2015。主要变化如下:修改了标题;改变了文档的结构,使用简单的分类法和相关属性来呈现控制;一些控制被合并,一些被删除,一些新的控制被引入。完整的对照见附件B。关于本文件的任何反馈或问题应提交给使用者所在国家或地区的标准机构。这些机构的完整清单可在以下网址找到:\h/members.html\hwww.iec.ch/national-committees介绍背景和语境本文件适用于各种类型和规模的组织。它将用作在基于ISO/IEC27001的信息安全管理体系(ISMS)中确定和实施信息安全风险处理控制的参考。它还可以用作组织确定和实施普遍接受的信息安全控制措施的指导文档。此外,考虑到特定的信息安全风险环境,本文件旨在用于制定行业和组织特定的信息安全管理准则。本文件中未包括的组织或环境特定的控制措施可根据需要通过风险评估来确定。各种类型和规模的组织(包括公共和私营部门、商业和非营利组织)以多种形式创建、收集、处理、存储、传输和处置信息,包括电子、物理和口头形式(例如对话和演示)。信息的价值超越了文字、数字和图像:知识、概念、想法和品牌都是信息的无形形式。在一个相互关联的世界中,信息和其他相关资产值得或需要针对各种风险源进行保护,无论这些风险源是自然的、意外的还是蓄意的。信息安全是通过实施一套适当的控制措施来实现的,包括策略、规则、流程、程ISO/IEC27001中规定的ISMS确定和实施一套全面的信息安全控制。许多信息系统,包括它们的管理和操作,都没有按照ISO/IEC27001和本文件中规定的ISMS来设计安全性。仅通过技术措施实现的安全级别是有限的,应该得到适当的管理活动和组织流程的支持。在进行风险处理时,确定哪些控制措施应该到位需要仔细规划并注意细节。成功的ISMS需要组织中所有人员的支持。它还可能需要其他相关方的参与,如股东或供应商。也可能需要相关领域专家的建议。一个适当、充分和有效的信息安全管理体系为组织的管理层和其他相关方提供保够实现既定的业务目标。信息安全要求组织必须确定其信息安全要求。信息安全要求有三个主要来源:确保本组织的剩余风险符合其风险接受标准;组织及其相关方(贸易伙伴、服务提供商等)合同要求,以及他们的社会文化环境;要求。控制控制被定义为改变或保持风险的措施。本文件中的一些控制措施是改变风险的控制措施,而其他控制措施则保持风险。例如,信息安全策略只能保持风险,而遵守信息安全策略可以改变风险。此外,一些控制表现为在不同的风险语境下相同的通用措施。本文件提供了从国际公认的最佳实践中总结出来的组织、人员、物理和技术信息安全控制的通用组合。确定控制确定控制取决于组织在风险评估后做出的决策,并具有明确定义的范围。与已识别风险相关的决策应基于组织采用的风险接受标准、风险处理方案和风险管理方法。控制措施的确定还应考虑到所有相关的国家和国际法律和法规。控制措施的确定还取决于控制措施相互作用以提供深度防御的方式。组织可以根据需要设计控制或从任何来源识别控制。在指定此类控制措施时,组织应根据实现的业务价值考虑实施和运行控制措施所需的资源和投资。请参见ISO/IEC27016ISMS果。为实施控制措施而部署的资源应该与在没有这些控制的情况下安全事故可能产生的业务影响之间寻求平衡。风险评估的结果应有助于指导和确定适当的管理措施、管理信息安全风险的优先级以及实施防范这些风险所需的控制措施。本文件中的一些控制措施可视为信息安全管理的指导原则,适用于大多数组织。有关确定控制和其他风险处理选项的更多信息,请参见ISO/IEC27005。制定组织的个性化指南该文件可被视为制定组织的个性化指南的起点。并不是本文件中的所有控制和指导都适用于所有组织。还可能需要本文件中未包含的其他控制措施和指南来满足组织的特定需求和已识别的风险。当制定的文件包含额外的指南或控制措施时,包含本文件中条款的交叉引用以供将来参考会很有帮助。生命周期考虑因素信息有一个生命周期,从创建到处置。在整个生命周期中,信息的价值和风险可能会有所不同(例如,未经授权披露或窃取公司的财务账目在发布后并不严重,但完整性仍然至关重要)。因此,在所有阶段,信息安全在某种程度上都很重要。信息系统和与信息安全相关的其他资产都有生命周期,在这些生命周期内,它们被构思、规定、设计、开发、测试、实施、使用、维护,并最终退役和处置。每个阶段都应该考虑信息安全。新的系统开发项目和对现有系统的改变提供了改善安全控制的机会,同时考虑到本组织的风险和从事故中吸取的教训。相关国际标准本文件提供了许多不同组织中普遍应用的各种信息安全控制的指南,而ISO/IEC27000系列中的其他文档提供了有关信息安全管理整体流程的其他方面的补充建议或要求。有关ISMS和文件系列的一般介绍,请参考ISO/IEC27000。ISO/IEC27000提供了一个词汇表,定义了ISO/IEC27000文件系列中使用的大多数术语,并描述了该系列每个成员的范围和目标。还有一些针对特定行业的标准,这些标准包含针对特定领域的额外控制措施(例ISO/IEC27017ISO/IEC27701标准、针对能源的ISO/IEC27019标准、针对电信组织的ISO/IEC27011标准以及针对健康的ISO799标准)。此类标准包含在参考书目中,其中一些参考了第5-8条中的指南和其他信息部分。范围本文件提供了一套通用的信息安全控制参考,包括实施指南。旨在供组织用来:ISO/IEC27001的信息安全管理体系(ISMS)的范围内;根据国际公认的最佳实践实施信息安全控制;制定特定于组织的信息安全管理准则。规范性引用文件本文件中没有规范性引用文件。术语,定义和缩写词术语和定义就本文件而言,以下术语和定义适用。ISO和IEC在以下地址维护用于标准化的术语数据库:ISO在线浏览平台:htt\hps:///obpIEC电子词典:https:/\h//访问控制accesscontrol确保基于业务和信息安全要求授权和限制对资产(3.1.2)的物理和逻辑访问的方法。资产asset任何对组织有价值的事物。条目注释1:在信息安全环境中,可以区分两种资产:主要资产:信息;—业务流程(3.1.27)和活动;所有类型的支持资产(主要资产所依赖的),例如:硬件;软件;网络;—工作人员(3.1.20);站点;组织结构。攻击attack未授权的破坏、更改、禁用、访问资产(3.1.2)的成功或不成功的尝试,或任何试图暴露、窃取或未经授权使用资产(3.1.2)的行为。鉴别authentication保证实体(3.1.11)声称的特征属性是正确的。真实性authenticity一个实体(3.1.11)是它所声称的那样的属性。监管链chainofcustody从一个时间点到另一个时间点,材料的可证明的持有、移动、处理和定位条目注释1:在ISO/IEC27002环境下,材料包括信息和其他相关资产(3.1.2)。[资料来源:ISO/IEC27050-1:2019,3.1,另含修订——添加“条目注释1”]机密消息confidentialinformation不打算对未经授权的个人、实体(3.1.11)或过程(3.1.27)可用或向其披露的信息。控制control保持和/或改变风险的措施条目注释1:控制包括但不限于任何过程(3.1.27)、策略(3.1.24)、设备、实践或其他保持和/或改变风险的条件和/或行动。条目注释2:控制可能并不总是产生预期或假定的改变效果。[资料来源:ISO31000:2018,3.8]中断disruption一种事故,无论是预期的还是未预期的,都会导致产品和服务的预期交付相对于组织的目标发生计划外的负面偏离。[资料来源:ISO22301:2019,3.10]终端设备endpointdevice联网的信通技术(ICT)硬件设备。条目注释1:端点设备可以指台式计算机、笔记本电脑、智能手机、平板电脑、瘦客户机、打印机或其他专用硬件,包括智能电表和物联网(IoT)设备。实体entity与具有可识别的独特存在的领域的运营目的相关的项目。条目注释1:一个实体应有一个物理或逻辑的具象化实例。例如个人、组织、设备、一组像这样罗列的事物、电信服务的个人订户、SIM卡、护照、网络接口卡、软件应用、服务或网站等。[资料来源:国际标准化组织/IEC24760-1:2019,3.1.1]信息处理设施informationprocessingfacility任何信息处理系统、服务或基础设施,或容纳信息的物理位置。[资料来源:ISO/IEC27000:2018,3.27,修改——“设施facilities”替换为“设施facility”。]信息安全的违背informationsecuritybreach危及信息安全,导致传输、存储或以其他方式处理的受保护信息遭到意外破坏、丢失、篡改、泄露或访问。信息安全事件informationsecurityevent表明可能发生信息安全的破坏(3.1.13)或控制失败(3.1.8)的事件[资料来源:ISO/IEC27035-1:2016,3.3,修改——“breachofinformationsecurity”替换为“informationsecuritybreach”]信息安全事故informationsecurityincident一个或多个相关且已确定的信息安全事件(3.1.14),可能会损害组织的资产(3.1.2)或干扰其运营[资料来源:ISO/IEC27035-1:2016,3.4]信息安全事故管理informationsecurityincidentmanagement采用一贯的、有效的方法处理信息安全事故(3.1.15)[资料来源:ISO/IEC27035-1:2016,3.5]信息系统informationsystem一组应用程序、服务、信息技术资产(3.1.2)或其他信息处理部件。[资料来源:国际标准化组织/IEC27000:2018,3.35]利益相关方interestedparty/stakeholder能够影响决策或活动、被决策或活动影响或认为自己受决策或活动影响的个人或组织。[资料来源:国际标准化组织/IEC27000:2018,3.37]不可否认性non-repudiation证明声称的事件或行动及其发起实体发生的能力(3.1.11)工作人员personnel在组织的指导下工作的人员条目注释1:工作人员的概念包括组织的成员,如理事机构、最高管理层、雇员、临时工作人员、承包商和志愿者。个人可识别信息personallyidentifiableinformation/PII可用于在信息和与信息相关的自然人之间建立联系的任何信息,或直接或间接与自然人相关联的任何信息。条目注释1:定义中的“自然人”是指PII主体(3.1.22)。要确定PII主体是否可识别,应考虑持有数据的隐私利益相关方或任何其他方可以合理使用的所有方法,以建立PII集和自然人之间的联系。[资料来源:ISO/IEC29100:2011/Amd.1:2018,2.9]PII主体PIIprincipal与PII个人可识别信息(3.1.21)相关的自然人。条目注释1:根据司法管辖区和特定的数据保护和隐私立法,也可以使用同义词“数据主体”代替术语“PII主体”。[资料来源:国际标准化组织/IEC29100:2011,2.11]PII处理者PIIprocessor代表PII控制者并根据其指示处理PII个人可识别信息(3.1.21)的隐私利益相关方。[资料来源:国际标准化组织/IEC29100:2011,2.12]策略policy由最高管理者正式表达的组织的意图和方向[资料来源:ISO/IEC27000:2018,3.53]隐私影响评估privacyimpactassessment识别、分析、评估、咨询、沟通和规划处理PII个人可识别信息(3.1.21)的潜在隐私影响的整体流程(3.1.27),在组织更广泛的风险管理框架内制定[资料来源:ISO/IEC29134:2017,3.7,修改——删除条目注释1。]程序procedure开展活动或过程(3.1.27)的特定方式。[资料来源:ISO30000:2009,3.12]过程process使用或转换输入以交付结果的一组相互关联或相互作用的活动[资料来源:ISO9000:2015,3.4.1,修改——删除条目注释]。记录record组织或个人在履行法律义务或业务交易中,被作为证据、同时也作为资产创建、接收和维护的信息(3.1.2)条目注释1:此处的法律义务包括所有法律、法规、监管和合同要求。[资料来源:ISO15489-1:2016,3.14,修改——添加“条目注释1”。]恢复点目标recoverypointobjective/RPO发生中断(3.1.9)后数据将要恢复到的时间点。[资料来源:ISO/IEC27031:2011,3.12,修改——“必须must”替换为“将要aretobe”。]恢复时间目标recoverytimeobjective/RTO发生中断(3.1.9)后,服务和/或产品以及支持系统、应用程序或功能恢复到最低水平所历经的时长。[资料来源:ISO/IEC27031:2011,3.13,修改——“必须must”替换为“将要aretobe”。]可靠性reliability与预期行为和结果一致的特性。规则rule被接受的原则或指示,说明组织要求做什么、允许什么或不允许什么。条目注释1:规则可以在专题策略(3.1.35)和其他类型的文件中正式表述。敏感信息sensitiveinformation由于对个人、组织、国家安全或公共安全的潜在不利影响,需要防止其不可用、未经授权的访问、修改或公开披露的信息。威胁threat可能对系统或组织造成损害的意外事故的潜在原因[来源:ISO/IEC27000:2018,3.74]专题策略由适当层级的管理者正式表达的,关于特定对象或主题的意图和方向。条目注释1:专题策略可以正式表达规则(3.1.32)或组织标准。条目注释2:一些组织对这些专题策略使用其他术语。条目注释3:本文档中提及的专题策略与信息安全相关。关于访问控制的专题策略示例(3.1.1),关于桌面清晰和屏幕清晰的专题策略。用户user有权访问组织信息系统(3.1.17)的相关方(3.1.18)。比如工作人员(3.1.20)、客户、供应商。用户终端设备userendpointdevice用户用来访问信息处理服务的终端设备(3.1.10)。条目注释1:用户终端设备可以指台式计算机、膝上型计算机、智能电话、平板电脑、瘦客户机等。脆弱性vulnerability可能被一个或多个威胁(3.1.34)利用的资产(3.1.2)或控制(3.1.8)的弱点[资料来源:国际标准化组织/IEC27000:2018,3.77]缩写词ABACattribute-basedaccesscontrol基于属性的访问控制ACLaccesscontrollist访问控制列表BIAbusinessimpactanalysis业务影响分析BYODbringyourowndevice自带设备办公CAPTCHAcompletelyautomatedpublicTuringtesttotellcomputersandhumansapart全自动公共图灵测试,区分计算机和人类CPUcentralprocessingunit中央处理单元DACdiscretionaryaccesscontrol自主访问控制DNSdomainnamesystem域名系统GPSglobalpositioningsystem全球定位系统IAMidentityandaccessmanagement身份与访问管理ICTinformationandcommunicationtechnology信息与通讯技术IDIdentifier标识符IDEintegrateddevelopmentenvironment集成开发环境IDSintrusiondetectionsystem入侵检测系统IoTinternetofthings物联网IPinternetprotocol互联网协议IPSintrusionpreventionsystem入侵防御系统ITinformationtechnology信息技术ISMSinformationsecuritymanagementsystem信息安全管理体系MACmandatoryaccesscontrol强制访问控制NTPnetworktimeprotocol网络时间协议PIAprivacyimpactassessment隐私影响分析PIIpersonallyidentifiableinformation个人可识别信息PINpersonalidentificationnumber个人识别码PKIpublickeyinfrastructure公钥基础设施PTPprecisiontimeprotocol精密时钟协议RBACrole-basedaccesscontrol基于角色的访问控制RPOrecoverypointobjective恢复点目标RTOrecoverytimeobjective恢复时间目标SASTstaticapplicationsecuritytesting静态应用程序安全测试SDsecuredigital安全数字SDNsoftware-definednetworking软件定义网络SD-WANsoftware-definedwideareanetworking软件定义广域网SIEMsecurityinformationandeventmanagement安全信息与事件管理SMSshortmessageservice短消息服务SQLstructuredquerylanguage结构化查询语言SSOsinglesignon单点登录SWIDsoftwareidentification软件识别UEBAuserandentitybehaviouranalytics用户和实体行为分析UPSuninterruptiblepowersupply不间断电源URLuniformresourcelocator统一资源定位符USBuniversalserialbus通用串行总线VMvirtualmachine虚拟机VPNvirtualprivatenetwork虚拟专用网WiFiwirelessfidelity无线相容性认证本文件的结构章节本文件基于如下结构:a)组织控制(第5章)b)人员控制(第6章)c)物理控制(第7章)d)技术控制(第8章)并包含两个附录:附录A——使用属性附录B——与ISO/IEC27002:2013的对应关系附录A解释了组织如何使用属性(参见4.2),根据本文件中定义的控制属性或自己创建的控制属性创建自己的视图。附录B显示了本版ISO/IEC27002与之前的2013版之间的对应关系。主题和属性第5章至第8章中给出的控制分类被称为主题。控制分为以下几类:人,如果涉及个人;物理的,如果涉及物理对象;技术,如果涉及技术;否则,被归类为组织。组织可以使用属性来创建不同的视图,这些视图是从主题的不同角度对控制的不同分类。属性可用于在不同的视图中为不同的受众筛选、排序或呈现控制。附录A如何实现这一点,并提供了一个视图示例。举例来说,本文件中的每个控制都与具有相应属性值的五个属性相关联(以“#”开头以使其可搜索),如下所示:控制类型控制类型是一种属性,用于从是何时以及如何改变风险的角度来认识控制,这些风险与信息安全事件的发生相关。属性值包括预防性:旨在防止信息安全事件发生的控制措施;检测性:信息安全事件发生时起作用的控制措施;纠正性:信息安全事件发生后起作用的控制措施。信息安全特性信息安全特性是用于从有助于保护信息的哪一项品质的角度来认识控制的一种属性。属性值由机密性、完整性和可用性组成。网络安全概念网络安全概念是用于从与ISO/IEC27110所描述的网络安全框架中定义的网络安全概念的关联的角度来认识控制的属性。属性值包括识别、保护、检测、响应和恢复。运营能力15个,包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安合规性、信息安全事件管理和信息安全保证。安全域安全域属性从四个信息安全域角度来认识控制,属性值包括治理与生态系统、保护、防御和韧性。治理与生态系统包括“信息系统安全治理&风险管理”和“生态系统网络安全管理”(包括内部和外部利益相关者);保护包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”和“物理和环境安全”;防御包括“检测”和“计算机安全事件管理”;韧性包括“业务连续性”和“危机管理”。选择本文件中给出的属性是因为它们被认为是通用的,足以供不同类型的组织使用。组织可以选择忽略本文件中给出的一个或多个属性。他们还可以创建自己的属性(带有相应的属性值)来创建自己的组织视图。附件A.2包括了这些属性的例子。控制的布局抬头:控制的简称;属性表:控制:控制是什么;目的:为什么要实施控制;指南:应该如何实施控制;其他信息:说明性文本或对其他相关文档的引用。另外,由于某些控制的指南很长且涉及多个主题,文本中会使用副标题以提高可读性。此类标题不一定在所有指南文本中使用。副标题加了下划线。组织控制信息安全策略控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#治理#治理与生态系统#韧性控制应定义信息安全策略和专题策略,由管理层批准,发布,传达给相关人员和利益相关方并得到他们的认可,并在计划的时间间隔和发生重大变化时进行审查。目的根据业务、法律、法规、监管和合同要求,确保管理方向和信息安全支持的持续适用性、充分性和有效性。指南在最高级别,组织应定义由最高管理层批准的“信息安全策略”,该策略规定了组织管理其信息安全的方法。信息安全策略应顾及来自以下方面的要求:业务战略和要求;法规、立法和合同;当前和预计的信息安全风险和威胁。a)信息安全的定义;信息安全目标或设定信息安全目标的框架;指导所有信息安全相关活动的原则;d)e)将信息安全管理的职责指派给规定的角色;处理豁免和例外的程序。对信息安全策略的任何更改应经最高管理层批准。在较低层次上,根据需要,信息安全策略应得到专题策略的支持,以进一步授权实施信息安全控制措施。专题策略通常旨在满足组织内特定目标群体的需求,或者涵盖特定的安全领域。专题策略应与组织的信息安全策略保持一致并对其起到补充作用。此类主题的示例包括:访问控制;物理和环境安全;资产管理;信息传递;用户终端设备的安全配置和处理;网络安全;信息安全事件管理;备份;j)信息分类和处理;k)安全开发。应根据相关人员的适当权限和技术能力,指派制定、评审和批准专题策略的责任。评审应包括评估改进组织信息安全策略和专题策略的机会,并管理信息安全以应对以下变化:组织的业务战略;组织的技术环境;法规、法令、法律和合同;信息安全风险;当前和预计的信息安全威胁环境;从信息安全事件和事故中吸取的教训。信息安全策略和专题策略的评审应考虑管理评审和审计的结果。当一项策略发生变化时,应考虑对其他相关策略进行评审和更新,以保持一致性。信息安全策略和专题策略应以相关的、可访问的和目标读者可理解的形式传达给相关人员和相关方。应要求策略的接受者承认他们理解并同意遵守适用的策略。组织可以确定满足组织需要的这些策略文件的格式和名称。在一些组织中,信息安全策略和特定于主题的策略可以放在一个文档中。组织可以将这些专题策略命名为标准、指令、策略或其他。如果信息安全策略或任何专题策略在组织外分发,应注意不要不当披露机密信息。表1说明了信息安全策略和专题策略之间的区别。表1——信息安全策略和专题策略之间的差异信息安全策略专题策略细节层次一般或高级具体而详细文件化和正式批准人最高管理层适当的管理层级其他信息专题策略可能因组织而异。信息安全角色和职责控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#治理##保护韧性控制应根据组织需求定义和分配信息安全角色和职责。目的为组织内信息安全的实施、运营和管理建立一个定义明确、得到批准和理解的结构。指南应根据信息安全策略和专题策略分配信息安全角色和职责(参见5.1)。组织应当定义和管理以下方面的职责:保护信息和其他相关资产;执行特定的信息安全流程;信息安全风险管理活动,特别是对残余风险的接受(例如对风险所有人)。使用组织信息和其他相关资产的所有人员。必要时,应对这些职责进行补充,为特定站点和信息处理设施提供更详细的指导。被分配了信息安全职责的个人可以将安全任务指派给其他人,但是他们仍须担责,并且应该确定任何委派的任务都已正确执行。应定义、记录和沟通个人负责的每个安全领域。应该定义和记录授权级别。担任特定信息安全角色的个人应具备该角色所需的知识和技能,并应得到支持以跟上与该角色相关的发展,以及履行该角色职责所需的发展。其他信息许多组织任命一名信息安全管理人员,全面负责信息安全的开发和实施,并支持风险识别和缓解控制措施。然而,配置资源和实施控制的责任通常由各个管理人员分别承担。一种常见的做法是为每项资产指定一名所有者,由其负责该资产的日常保护。根据组织的规模和资源配置,信息安全可以由除现有角色之外的专门角色或职责来负责。职责分离控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#治理#身份和访问管理#治理与生态系统控制相互冲突的职责和相互冲突的责任领域应该被分离。目的降低欺诈、出错和绕过信息安全控制的风险。指南职责和责任领域的分离旨在分离不同个人之间的职责冲突,以防止一个人独自执行潜在冲突的职责。组织应该确定哪些职责和责任范围需要分离。以下是可能需要隔离的活动示例:发起、批准和执行变更;请求、批准和实施访问权限;设计、实施和审查代码;d)e)使用和管理应用程序;使用应用程序和管理数据库;设计、审计和确保信息安全控制。在设计隔离控制时,应考虑共谋的可能性。小型组织可能会发现职责分离很难实活动监控、审计跟踪和管理监督。使用基于角色的访问控制系统时应小心谨慎,以确保人员不会被授予冲突的角色。当组织有大量的角色时,应该考虑使用自动化工具来识别冲突并促进冲突的消除。应该仔细定义和设置角色,以便在删除或重新分配角色时最大限度减少权限问题。其他信息没有其他信息。管理层责任控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#治理#治理与生态系统控制管理层应要求所有人员根据组织的既定信息安全策略、专题策略和程序来应用信息安全。目的确保管理层了解其在信息安全中的角色,并采取措施确保所有人员了解并履行其信息安全职责。指南管理层应对信息安全策略、专题策略、程序和信息安全控制措施提供可证实的支持。管理层责任应包括确保人员:职责;获得了指南,规定了他们在组织内的角色的信息安全要求;被授权履行组织的信息安全策略和专题策略;(参见6.3);e)方法;通过专业继续教育持续拥有适当的信息安全技能和资格;在可行的情况下,为报告违反信息安全策略、专题信息安全策略或程序的行为(“举报”)提供保密渠道。这可以是允许匿名举报,或者有预置措施确保只有需要处理此类举报的人才知晓举报人身份;为实施组织的安全相关流程和控制提供充足的资源和项目规划时间。其他信息没有其他信息。与职能机构的联系控制类型信息安全特性网络安全概念运营能力安全域#预防性#纠正性#机密性#完整性#可用性##恢复#治理#防御#韧性控制组织应当与相关职能机构建立并保持联系。目的确保组织与相关法律、监管和监督机构之间在信息安全方面有适当的信息沟通。指南组织应指定何时联系职能部门(如执法机关、监管部门、监督机构)以及由谁联系,以及如何及时报告已发现的信息安全事件。还应利用与职能机构的联系来促进对这些职能机构当前和未来的期望的理解(例如适用的信息安全法规)。其他信息受到攻击的组织可以请求职能机构对攻击源采取行动。维护此类联系可能是支持信息安全事件管理(参见5.24至5.28)或应急计划和业务连续性流程(参见5.29和5.30)的一项要求。与监管机构的联系也有助于预测和准备影响组织的相关法律或法规即将发生的变化。与其他机构的联系包括公用事业、应急服务、电力供应商以及健康和安全部门[如消防部门(与业务连续性相关)、电信提供商(与线路路由和可用性相关)和水供应商(与设备冷却设施相关)]。与特定相关方的联系控制类型信息安全特性网络安全概念运营能力安全域#预防性#纠正性#可用性#恢复#治理#防御控制组织应与特定相关方或其他专业安全论坛、专业协会建立并保持联系。目的确保在信息安全方面有适当的信息沟通。指南应把特定的相关方或论坛中的成员关系视作一种手段,用来a)增进对最佳实践的了解,并掌握最新的相关安全信息;b)确保对信息安全环境的了解是最新的;接收与攻击和漏洞相关的预警、建议和补丁;获得专家信息安全建议;分享和交流有关新技术、产品、服务、威胁或漏洞的信息;在处理信息安全事件时提供合适的联系人(参见5.245.28)。其他信息没有其他信息。威胁情报控制类型信息安全特性网络安全概念运营能力安全域#纠正性#可用性#响应#威胁和漏洞能力管理#防御#韧性控制应收集并分析与信息安全威胁相关的信息,以产生威胁情报。目的提供组织威胁环境的意识,以便采取适当的缓解措施。指南收集和分析关于现有或新出现的威胁的信息,以便:a)促进对行动的知情,以防止威胁对组织造成伤害;b)降低威胁的影响。威胁情报可分为三个层次:战略威胁情报:交换关于不断变化的威胁形势的高级别信息(型或攻击的类型);c)作战威胁情报:关于特定攻击的详细信息,包括技术指标。以上三个层次的威胁情报都应该被顾及。威胁情报应该是:相关的(即与保护本组织相关);有洞察力的(即向组织提供对威胁形势的准确而详细的了解);上下文的,提供情境意识(似组织中的流行程度为信息添加上下文);可操作的(即组织可以快速有效地对信息采取行动)威胁情报活动应包括:建立生产威胁情报的目标;需的信息;从选定的内部和外部来源收集信息;处理收集的信息,为分析做准备(例如翻译、格式化或确证信息);分析信息,了解它与组织的关系以及对组织的意义;应对威胁情报进行分析,并在以后使用:程;加输入;作为信息安全测试流程和技术的输入。组织应在互利合作的基础上与其他组织共享威胁情报,以改进整体威胁情报。其他信息组织可以使用威胁情报来预防、检测或响应威胁。组织可以生成威胁情报,但更常见的是接收和利用其他来源生成的威胁情报。项目管理中的信息安全控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#保护#治理#治理与生态系统#保护控制项目管理中应纳入信息安全。目的贯穿整个项目生命周期,确保在在项目管理中有效解决与项目和可交付成果相关的信息安全风险。指南应将信息安全集成到项目管理中,以确保信息安全风险作为项目管理的一部分得到解决。这可适用于任何类型的项目,无论其复杂程度、规模、持续时间、学科或应用领域如何(如核心业务流程、ICT、设施管理或其他支持流程的项目)。正在执行的项目管理中应要求:期得到评估和处理;[如应用安全要求(8.26)、遵守知识产权的要求(5.32)等。]在项目的早期阶段得到解决;和外部通信方面的安全;审查信息安全风险处理的进展,并评估和测试处理的有效性。应由合适的人员或治理机构(如项目指导委员会)在预定义的阶段持续核查信息安全考虑因素和活动的适当性。应定义与项目相关的信息安全责任和权限,并分配给指定的角色。应使用各种方法确定项目交付的产品或服务的信息安全要求,包括从信息安全策审查、使用漏洞阈值或应急计划等活动中得出,从而确保信息系统的体系结构和设计能够抵御基于运营环境的已知威胁。应该为所有类型的项目确定信息安全要求,而不仅仅是ICT开发项目。确定这些要求时,还应顾及以下因素:涉及哪些信息(信息判定),对应的信息安全需求有哪些(分类;参见以及缺乏足够的安全性可能导致的潜在负面业务影响。方面;为了得出身份鉴别要求,对所声称的实体身份所需的信任或保证级别;为客户和其他潜在业务用户以及特权或技术用户(人员或外部供应商)提供访问和授权流程;告知用户他们的义务和责任;源自业务流程的需求,如交易记录和监控、不可否认性需求;其他信息安全控制措施规定的要求(口);遵守组织运作的法律、法规、规章和合同环境;第三方满足组织的信息安全策略和专题策略(全条款)所需的信心或保证级别。其他信息项目开发方法,如瀑布生命周期或敏捷生命周期,应该以结构化的方式支持信息安全,可以根据项目的特征进行调整,以适应评估信息安全风险的严重程度的要求。应尽早考虑产品或服务的信息安全要求(例如在规划和设计阶段),这样可以为质量和信息安全提供更有效、更具成本效益的解决方案。ISO21500和ISO21502就项目管理的概念和过程提供了指南,这些概念和过程对于项目的绩效非常重要。ISO/IEC27005提供了有关使用风险管理流程来确定控制措施以满足信息安全要求的指南。信息和其他相关资产的清单控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#资产管理#治理与生态系统#保护

应开发和维护信息和其他相关资产(包括所有者)的清单。识别组织的信息和其他相关资产,以保护其信息安全并分配适当的所有权。组织应确定其信息和其他相关资产,并确定它们在信息安全方面的重要性。文件应酌情保存在专用或现有的清单中。信息和其他相关资产的清单应准确、最新、一致,并与其他清单保持一致。确保信息和其他相关资产清单准确性的选项包括:a)根据资产清单定期审查已识别的信息和其他相关资产;b)在安装、更改或删除资产的过程中自动执行清单更新。资产的位置应适当地包括在清单中。因此可将其视为一组动态清单,如信息资产、硬件、软件、虚拟机、设施、人员、能力、功能和记录的清单。应根据与资产相关的信息分类(参见5.12)对每项资产进行分类。信息和其他相关资产清单的粒度应符合组织的需求。有时,由于资产的性质,信息生命周期中资产的特定实例不适合记录。短期资产的一个例子是生命周期可能很短的VM实例。所有权对于已识别的信息和其他相关资产,资产的所有权应分配给个人或团体,并应识别其分类(参见5.12、5.13)。应实施确保及时分配资产所有权的流程。当创建资产或将资产转移到组织时,应分配所有权。当当前资产所有者离开或改变工作角色时,应根据需要重新分配资产所有权。所有者职责资产所有者应负责在整个资产生命周期内对资产进行适当管理,确保:对信息和其他相关资产进行编目;信息和其他相关资产得到适当的分类和保护;定期审查分类;列出并链接支持技术资产的组件,如数据库、存储、软件组件和子组件;建立了信息和其他相关资产的可接受的使用要求(参见f)访问限制符合分类,并且是有效的,并定期审查;除;他们参与识别和管理与其资产相关的风险;他们支持承担管理其信息的角色和责任的人员。其他信息信息和其他相关资产的清单通常是确保有效保护信息所必需的,也可能出于其他目的,如健康和安全、保险或财务原因。信息和其他相关资产的清单还支持风险管理、审计活动、漏洞管理、事件响应和恢复计划。任务和责任可以委派(例如,委派给负责日常资产的保管人),但委派的人或团队仍然有责任。指定共同提供特定服务的信息集合和其他相关资产是很有用的。在这种情况下,这些服务的所有者负责服务的交付,包括其资产的操作。有关信息技术(IT)资产管理的更多信息,请参见ISO/IEC19770-1。有关资产管理的更多信息,请参见ISO55001。信息和其他相关资产的可接受的使用控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#资产管理#信息保护#治理与生态系统#保护控制应确定、记录和实施处理信息和其他相关资产的可接受的使用规则和程序。目的确保信息和其他相关资产得到适当的保护、使用和处理。指南对使用或有权访问组织信息和其他相关资产的所有人员,包括外部用户,应令其知晓保护和处理组织信息和其他相关资产的信息安全要求。他们应对自己使用的任何信息处理设施负责。组织应就信息和其他相关资产的可接受的使用建立专题策略,并将其传达给使用或处理信息和其他相关资产的任何人。关于可接受的使用的专题策略应该为个人如何使用信息和其他相关资产提供明确的指南。专题策略应说明:从信息安全的角度看,个人的期望的和不可接受的行为;对信息和其他相关资产的允许或禁止使用;组织实施的监控活动。应根据信息的分类(参见5.12)和确定的风险,为整个信息生命周期制定可接受的使用程序。应顾及以下事项:支持每个分类级别的保护要求的访问限制;维护信息和其他相关资产的授权用户记录;对信息的临时或永久拷贝的保护水平与对原始信息的保护水平一致;根据制造商的规范存储与信息相关的资产(参见7.8);清晰标记存储介质(电子或物理)的所有副本,以引起授权接收者的注意(见7.10);作废信息和其他相关资产的授权以及支持的删除方法(参见8.10)。其他信息可能出现相关资产不直接属于组织的情况,例如公共云服务。此类第三方资产以及与此类外部资产(如信息、软件)相关联的任何组织资产的使用应被确定为适用并受到控制,例如通过与云服务提供商签订协议。当使用协作工作环境时,也应该谨慎。资产返还控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#资产管理#保护控制员工和其他相关方在变更或终止其雇佣关系、合同或协议时,应归还其拥有的所有组织资产。目的在变更或终止雇佣关系、合同或协议的过程中保护组织的资产。指南应正式发布雇佣变更或终止流程,以包括归还本组织拥有或委托给本组织的所有先前发放的实物和电子资产。如果相关人员和其他相关方买下组织的设备或原本是使用他们自己的个人设备,应遵循相应的程序,确保所有相关信息被追溯并转移到组织,并从设备中安全地删除(参见7.14)。如果相关人员和其他相关方掌握对继续运行至关重要的知识,该信息应形成文件并传递给组织。在通知期间及之后,组织应防止收到雇佣终止通知的人员未经授权复制相关信息(例如知识产权)。组织应明确标识和记录要归还的所有信息和其他相关资产,其中可能包括:a)用户终端设备;b)便携式存储设备;c)专业设备;信息系统、站点和物理档案的身份鉴别硬件(卡);信息的物理副本。其他信息如果信息存在于不归组织所拥有的资产中,将很难索回。在这种情况下,有必要使用其他信息安全控制措施来限制信息的使用,如访问权限管理(5.18)或加密技术的使用(8.24)。信息分类控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#信息保护#保护#防御控制应根据组织的信息安全需求,基于机密性、完整性、可用性和利益相关方的要求,对信息进行分类。目的根据信息对组织的重要性,确保识别和理解信息的保护需求。指南组织应建立关于信息分类的专题策略,并将其传达给所有利益相关方。组织应当考虑分类方案中的机密性、完整性和可用性要求。信息的分类和相关保护控制措施应考虑共享或限制信息、保护信息完整性和确保可用性的业务需求,以及有关信息机密性、完整性或可用性的法律要求。除了信息之外的资产也可以按照其存储的、处理的或者掌控或保护的信息的分类来分类。信息的所有者应对其分类负责。分类方案应包括分类惯例和随着时间的推移对分类进行审查的标准。分类结果应根据信息在其生命周期中的价值、敏感性和重要性的变化进行更新。该方案应符合关于访问控制的专题策略(参见5.1),并应能够满足组织的特定业务需求。分类可以根据信息泄露对组织的影响程度来确定。方案中定义的每个级别都应该有一个在分类方案应用环境中有意义的名称。分类方案应该在整个组织中保持一致,并包含在其程序中,以便每个人都以相同的方式对信息和适用的其他相关资产进行分类。通过这种方式,每个人都对保护要求有共同的理解,并应用适当的保护。外,在组织之间移动的信息在分类上可能有所不同,这取决于它在每个组织中的上下效性,可以确定不同方案之间的一致性。其他信息分类为处理信息的人提供了如何处理和保护信息的简明指示。创建具有相似保护需求的信息集合并指定适用于每个集合中所有信息的信息安全程序有助于实现这一点。这种方法减少了逐一进行风险评估和定制控制设计的需要。经过一段时间后,信息可能不再敏感或重要。例如,当信息公开后,它就不再有机密性要求,但仍然需要保护其完整性和可用性。应考虑这些方面,因为过度分类可能导致实施不必要的控制措施,从而导致额外的费用;或者相反的,分类不足可能导致控制措施不足以保护信息不被泄露。例如,信息机密性分类方案可以基于以下四个级别,如下所示:泄露不会造成伤害;泄露会造成轻微的声誉损害或轻微的运营影响;泄露对运营或业务目标有重大的短期影响;泄露会对长期业务目标产生严重影响,或使组织的生存面临风险。信息标签控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#信息保护#保护#防御控制应当根据组织采用的信息分类方案,制定并实施一套适当的信息标签程序。目的促进信息分类的交流,支持信息处理和管理的自动化。指南信息标签程序应涵盖所有格式的信息和其他相关资产。标签应反映5.12中建立的分类方案。标签应容易辨识。考虑到如何根据存储介质的类型访问信息或处理资产,这些程序应就标签的粘贴位置和方式提供指南。这些程序可以定义:省略标记的情况(例如略过标记非机密信息以减少工作量);如何标记通过电子或物理方式或任何其他格式发送或存储的信息;如何处理无法标签的情况(例如,由于技术限制)标签技术的例子包括:a)物理标签;b)页眉和页脚;c)元数据;水印;橡皮图章。数字信息应利用元数据来识别、管理和控制信息,特别是在机密性方面。元数据还应支持高效和正确的信息搜索,便于系统根据相关的分类标签进行交互和决策。这些程序应说明如何根据组织的信息模型和ICT架构,将元数据附加到信息上,使用什么标签,以及如何处理数据。系统在处理信息时,应根据信息的安全属性添加额外的相关元数据。应使员工和其他相关方了解标签程序。应向所有人员提供必要的培训,以确保正确标记信息并进行相应的处理。包含敏感或关键信息的系统的输出应带有适当的分类标签。其他信息分类信息的标签是信息共享的一个关键要求。可以附加到信息的其他有效元数据是——哪个组织过程、在什么时间创建了该信息。信息和其他相关资产的标签有时会产生负面影响。恶意人员可以更容易地识别机密资产从而更容易导致潜在的滥用。有些系统不在单个文件或数据库记录上标注它们的分类,而是以包含或允许包含的任何信息的最高分类级别来保护所有信息。在这种系统中,通常在导出信息时确定并标记信息。信息传递控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#资产管理#信息保护#保护控制组织内部以及组织与其他方之间所有类型的信息传递设施都应当有信息传递的规则、程序或协议。目的

维护在组织内部以及与任何外部相关方之间传输的信息的安全性。组织应当建立并向所有相关方传达关于信息传递的专题策略。保护传输中的信息的规则、程序和协议应反映所涉信息的分类。当信息在组织和第三方之间传递时,应建立并维护传递协议(包括接收方身份鉴别),以保护传递的所有形式的信息(参见5.10)。信息传递可以通过电子传递、物理存储介质传递和口头传递来进行。对于所有类型的信息传递,规则、程序和协议应包括:及保护敏感信息所需的任何特殊控制措施,如使用加密技术(参见8.24)。链;保管人(如适用);发生信息安全事故(如物理存储介质或数据丢失)时的责任和义务;到适当保护(5.13);传递服务的可靠性和可用性;关于信息传递设施的可接受使用的专题策略或指南(参见h)(包括邮件)的保留和作废指南;注意:关于业务记录保留和处置,可能存在地方性法律法规。i)顾及与信息传递相关的任何其他相关法律、法规、监管和合同要求(参见5.31、5.32、5.33、5.34)(如电子签名要求)。电子传递在使用电子通信设施进行信息传递时,规则、程序和协议还应顾及以下事项:a)检测和防范可能通过使用电子通信传播的恶意软件(参见8.7);b)保护以附件形式传递的敏感电子信息;防止在通信中将文件和消息发送到错误的地址或号码;准;通过可公开访问的网络传递信息时,身份鉴别级别应更高;与电子通信设施相关的限制(址);建议员工和其他相关方不要发送包含重要信息的短消息服务(SMS)或即时消息,因为这些信息可能会在公共场所被读取(因此会被未授权人员读取)储在未受到充分保护的设备中;向员工和其他相关方警示使用传真机或服务的问题,包括:未经授权访问设备内置存储以检索消息;有意或无意地对机器进行编程,以向特定号码发送消息。物理存储介质传递当传递物理存储介质(包括纸张)时,规则、程序和协议还应包括:控制和通知传输、发送和接收的职责;确保消息的正确寻址和传输;的影响,如暴露于热、潮湿或电磁场中;使用包装和运输的最低技术标准(如使用不透明的信封);管理层批准的授权可靠快递员名单;快递员标识标准;装置(如袋子、容器);核实快递员身份的程序;根据信息分类提供运输或快递服务的第三方的核准名单;列表、向转运保管人传递以及在目的地接收的时间。口头传递为保护信息的口头传递,应提醒员工和其他相关方:会被未经授权的人偷听;经授权的人重播、在公共系统中存储、或因误拨而导致不当的存储;筛选合适级别的人员去听对话;确保实施适当的房间控制(例如隔音、关门);保密级别和任何处理要求。其他信息没有其他信息。访问控制控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#身份和访问管理#保护控制应根据业务和信息安全要求建立和实施控制规则,控制对信息和其他相关资产的物理和逻辑访问。目的确保授权访问,防止未经授权访问信息和其他相关资产。指南信息和其他相关资产的所有者应确定与访问控制相关的信息安全和业务要求。应定义关于访问控制的专题策略,该策略应考虑这些要求,并应传达给所有相关利益方。这些要求和专题策略应顾及以下几点:确定哪些实体需要对信息和其他相关资产的哪种类型的访问;应用程序的安全性(参见8.26);物理访问,由适当的物理入口控制来支持(7.2、7.3、7.4);信息传播和授权(如“按需知晓”原则)以及信息安全级别和信息分类(0、5.12、5.13);对特权访问的限制(参见f)职责分离(参见5.3);关于限制访问数据或服务的相关法律、法规和任何合同义务(参见5.31、2、5.33、5.34、8.3);访问控制功能的分离(如访问请求、访问授权、访问管理);访问请求的正式授权(参见5.16和j)访问权限的管理(参见5.18);k)记录(参见8.15)。应定义适当的访问权限和限制,并通过将其映射到相关实体来实施访问控制规则(参见5.16)。实体可以是人类用户以及技术或逻辑项目(例如,机器、设备或服务)。为了简化访问控制管理,可以为实体的分组分配特定的角色。在定义和实施访问控制规则时,应顾及以下因素:访问权限和信息分类之间的一致性;访问权限与物理周界安全需求和要求之间的一致性;的信息和其他相关资产(包括网络和网络服务)的访问;考虑如何反映与动态访问控制相关的元素或因素。其他信息在访问控制的上下文中,通常会用到一些支配性的原则。两个最常用的原则是:按需知晓:一个实体只被授权访问该实体执行其任务所需的信息(或角色意味着不同的必需信息,因此有不同的访问权限);设施的权限。在指定访问控制规则时,应注意顾及:以最小特权为前提建立规则,“未经明确允许,则一律禁止”,而不是更弱的规则“未经明确禁止,一律允许”;由信息处理设施自动发起和由用户自行决定发起的信息标签的变化(参见3);由信息系统自动发起和由管理员发起的用户权限变更;何时定义规则和定期审查对规则的批准。访问控制规则应由书面程序(参见5.16、5.17、5.18、8.2、8.3、8.4、8.5、8.18)和规定的职责(参见5.2、5.17)支持。实现访问控制有多种方式,如MAC(强制访问控制)、DAC(自主访问控制)、RBAC(基于角色的访问控制)和ABAC(基于属性的访问控制)。访问控制规则还可以包含动态元素(的函数)访问控制粒度会对成本产生重大影响。更强的规则和更多的粒度通常会导致更高的成本。应根据业务需求和风险因素来定义应用哪些访问控制规则以及需要哪些粒度。身份管理控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#身份和访问管理#保护控制应该管理身份的整个生命周期。目的对访问组织信息和其他相关资产的个人和系统进行唯一标识,并适当分配访问权限。指南身份管理环境中使用的流程应确保:使用该特定身份执行的行为负责;分配给多人的身份(如共享身份)并需经过专门的批准和记录。分配给非人类实体的身份要经过适当的分离的批准和独立的持续监督;如果不再需要,则应及时禁用或移除身份(删除或不再使用,或者如果与身份相关联的人已经离开组织或改变了角色[文中的同一实体(重复身份);所有关于使用和管理用户身份和鉴别信息的重要事件的记录都得到保留。组织应该有一个支持流程来处理与用户身份相关的信息更改。这些过程可以包括重新验证与个人相关的可信文档。当使用由第三方提供或颁发的身份(例如社交媒体凭据)时,组织应确保第三方身份提供所需的信任级别,并且任何相关风险都是已知的并得到了充分的处理。这可以包括与第三方相关的控制(参见5.19)以及与相关鉴别信息相关的控制(参见5.17)。其他信息提供或撤销对信息和其他相关资产的访问通常是一个多步骤的过程::确认待建立身份的业务要求;在给实体分配逻辑身份之前验证实体的身份;建立身份;配置和激活身份。这还包括相关身份鉴别服务的配置和初始设置;根据适当的授权或权利做出决定,提供或撤销对身份的特定访问权限(参见8)。鉴别信息控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#身份和访问管理#保护控制身份鉴别信息的分配和管理应由管理流程控制,包括就身份鉴别信息的适当处理向员工提供建议。目的确保正确的实体鉴别并防止鉴别流程失败。指南鉴别信息的分配分配和管理流程应确保:在注册过程中自动生成的个人口令或个人识别码(PIN)是不可猜测的,并且对每个人都是唯一的,用户需要在第一次使用后进行更改;建立在提供新的、替换的或临时的鉴别信息之前验证用户身份的程序;鉴别信息,包括临时鉴别信息,以安全的方式(信道)传输给用户,并且避免为此目的使用未受保护的(明文)电子邮件消息;用户确认收到鉴别信息;安装系统或软件后,立即更改供应商预定义或提供的默认身份验证信息;性,以及其保存方法获得批准(例如使用经批准的口令仓库工具)。用户责任应建议有权访问或使用身份鉴别信息的任何人确保:权人员共享;在收到受侵害通知或任何其他指示时,立即改变受影响的或侵害的鉴别信息;当口令用作身份验证信息时,将根据最佳实践建议选择强口令,例如:口令不是基于其他人可以轻易猜测或使用个人相关信息(码和出生日期)获得的任何信息;口令不是基于字典单词或其组合;使用容易记忆的口令,并尽量包括字母数字和特殊字符;口令有最小长度要求;不同的服务和系统不使用相同的口令;遵守这些规则的义务也包含在雇佣条款和条件中(参见6.2).口令管理系统当口令用作身份验证信息时,口令管理系统应该:允许用户选择和更改自己的口令,并包括一个确认程序,以解决输入错误;根据“用户责任”[参见c]实施强口令;强制用户在首次登录时更改口令;时,如果用户知道保持活动状态的身份(例如共享身份)的口令;防止重复使用以前的口令;防止使用已被攻陷系统的常用口令和已受侵害的用户名、口令组合;输入口令时不在屏幕上显示口令;以受保护的形式存储和传输口令。应根据批准的口令加密技术对口令进行加密和哈希处理(参见8.24)。其他信息口令是一种常用的身份验证信息,也是验证用户身份的常用方法。其他类型的鉴别信息是密钥、存储在硬件令牌(例如智能卡)上的数据,这些硬件令牌产生鉴别代码和生物特征数据,例如虹膜扫描或指纹。更多信息可在ISO/IEC24760系列中找到。要求频繁更改口令可能不妥,因为用户可能会对频繁的更改感到厌烦,或忘记新口令,或将它们记在不安全的地方,或选择不安全的口令等。提供单点登录(SSO)或其他身份鉴别管理工具(如口令仓库)可以减少用户需要保护的身份鉴别信息量,从而提高这种控制的有效性。但是,这些工具也会增加身份鉴别信息泄露的影响。一些应用程序要求用户口令由独立机构分配。在这种情况下,“口令管理系统”的c)和d)不适用。访问权限控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#保护#身份和访问管理#保护控制应根据组织关于访问控制的专题策略和规则来提供、审查、修改和删除对信息和其他相关资产的访问权限。目的确保根据业务要求定义和授权对信息和其他相关资产的访问。指南访问权限的提供和撤销分配或撤销授予实体已验证身份的物理和逻辑访问权限的配置过程应包括:从信息和其他相关资产的所有者处获得使用信息和其他相关资产的授权(参见5.9);由管理层单独批准访问权限也是合适的;顾及业务需求和组织关于访问控制的专题策略和规则;顾及职责分离,包括分离访问权限的批准和实施角色,以及分离冲突角色;移除已离开组织的用户的访问权限;或人员需要的临时准入;验证授予的访问级别符合关于访问控制的专题策略(5.15)信息安全要求,如职责分离(参见5.3);确保只有在成功完成授权程序后才激活访问权限(例如由服务提供商激活);维护一个集中的记录,记录授予用户标识(ID、逻辑或物理)相关资产的访问权限;修改已更改角色或工作的用户的访问权限;辑访问权限,;维护用户的逻辑和物理访问权限的变更记录。审核访问权限对物理和逻辑访问权限的定期审核应顾及以下内容:在同一组织内发生任何变化(如工作变动、晋升、降职)用户的访问权限(6.1至6.5);特殊访问权的授权。变更或终止雇佣关系前的考虑在变更或终止雇佣关系之前,应根据对以下风险因素的评估,审查、调整或移除用户对信息和其他相关资产的访问权限:终止或变更是由用户发起还是由管理层发起,以及终止的原因;用户的当前职责;当前可访问的资产的价值。其他信息应考虑根据业务需求建立用户访问角色,将一组访问权限汇总到典型的用户访问配置文件中。访问请求和访问权限的审查在这种角色级别比在特定权限级别更容易管理。应考虑在人员合同和服务合同中加入条款,规定人员试图未经授权访问时的惩罚措施(参见5.20、6.2、6.4、6.6)。在管理层发起解雇的情况下,心怀不满的人员或外部方用户可能会故意破坏信息或破坏信息处理设施。在有人辞职或被解雇的情况下,他们可能会收集信息供将来使用。克隆是组织向用户分配访问权限的有效方式。但是,应该根据组织确定的不同角色谨慎进行,而不只是克隆一个具有所有相关访问权限的身份。克隆具有导致对信息和其他相关资产过度访问的固有风险。供应商关系中的信息安全控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#供应商关系安全#治理与生态系统#保护控制应定义和实施流程和程序,以管理与使用供应商产品或服务相关的信息安全风险。目的在供应商关系中保持一致的信息安全水平。指南组织应当建立并向所有利益相关方传达关于供方关系的专题策略。组织应当确定并实施过程和程序,以解决与使用供应商提供的产品和服务相关的安全风险。这也应该适用于组织对云服务提供商资源的使用。这些过程和程序应包括组织实施的过程和程序,以及组织要求供方实施的、开始使用供方的产品或服务、或者终止使用供方的产品和服务的过程和程序,如:确定并记录可能影响组织信息的机密性、完整性和可用性的供应商类型(ICT服务、物流、公用事业、金融服务、ICT基础设施组件);确定如何根据信息、产品和服务的敏感性评估和选择供应商(分析、客户参考、文件审查、现场评估、认证);别是供方实施的控制的准确性和完整性,以确保供方信息和信息处理的完整性,从而确保组织的信息安全;界定组织的信息、ICT施;ICT设施组件和服务的类型;评估和管理与以下方面相关的信息安全风险:险;供应商提供的产品(包括这些产品中使用的软件组件和子组件)故障或漏洞;查和产品验证;减少供应商的不合规行为,无论这是通过监控还是通过其他方式发现的;处理与供应商产品和服务相关的事故和突发事件,包括组织和供应商的责任;而确保组织信息的可用性;培训;个传递期间维护信息安全;确保安全的终止供应商关系,包括如下需求:取消访问权限;信息处理;确定项目期间开发的知识产权的所有权;供应商或内包变更情况下的信息可移植性;记录管理;资产的返还;安全处置信息和其他相关资产;持续的保密要求;对供应商人员和设施的人身安全和物理安全的预期水平。应考虑在供应商变得无法提供其产品或服务的情况下(如由于事故、供应商不再经营、或由于技术进步不再提供某些组件)继续信息处理的程序,以避免在安排替代产品或服务时的任何延迟(例如,提前确定替代供应商或始终使用替代供应商)。其他信息当组织不可能对供应方提出要求时,组织应该:在决定选择供应商及其产品或服务时,考虑本控制中给出的指南;根据风险评估实施必要的补偿控制。信息安全管理不足的供应商可能会将信息置于风险之中。应确定并应用控制措施来管理供应商对信息和其他相关资产的访问。例如,如果有对信息保密的特殊需要,可以使用保密协议或加密技术。另一个例子是当供应商协议涉及跨境信息传递或访问时的个人数据保护风险。组织需要意识到保护信息的法律或合同责任仍由组织承担。供应商提供的ICT的组件或服务可能会导致组织或其他实体的信息安全违背(例如,它们可能会导致恶意软件感染、攻击或对组织以外的实体造成其他伤害)。更多细节见ISO/IEC27036-2。解决供应商协议中的信息安全问题控制类型信息安全特性网络安全概念运营能力安全域#预防性#可用性#识别#供应商关系安全#治理与生态系统#保护控制应建立相关的信息安全要求,并根据供应商关系的类型与每个供应商达成一致。目的在供应商关系中保持一致的信息安全水平。指南应当建立供方协议并形成文件,以确保组织和供方对双方履行相关信息安全要求的义务有明确的理解。为了满足确定的信息安全要求,可以考虑在协议中包含以下条款:对要提供或访问的信息以及提供或访问信息的方法的描述;根据组织的分类方案对信息进行分类(参见5.10、5.12、c)组织自身的分类方案和供方的分类方案之间的映射;法律、法规、监管和合同要求,包括数据保护、个人可识别信息(PII)理、知识产权和版权,以及如何确保满足这些要求的说明;控、报告和审计,以及供应商遵守组织信息安全要求的义务;信息和其他相关资产的可接受使用规则,必要时包括不可接受的使用;供方人员使用组织信息和其他相关资产的授权和撤销授权的程序或条件(过授权使用组织信息和其他相关资产的供方人员的明确名单);ICT最低信息安全要求,作为根据组织的业务需求和风险标准签订个别供应商协议的基础;承包商未能满足要求的赔偿和补救;事故管理要求和程序(尤其是事故补救期间的通知和协作);特定程序和信息安全要求的培训和意识要求(如事故响应、授权程序);分包的相关规定,包括需要实施的控制措施,如关于使用次级供应商的协议(如要求次级供应商承担与供应商相同的义务,要求拥有次级供应商清单并在任何变更前发出通知);相关联系人,包括负责信息安全问题的联系人;果引起怀疑或担忧时进行筛选和通知程序的责任;控制有效性的独立报告;对与协议相关的供应商的流程和控制发起审核权利;题;缺陷解决和冲突解决过程;提供符合组织需求的备份(在频率、类型和存储位置方面);确保备用设施(即灾难恢复站点)同的威胁,并考虑在主控制失效时的应变控制(备用控制)。拥有变更管理流程,确保提前通知组织,并确保组织可以不接受变更;与信息分类相称的物理安全控制;信息传递控制,用于在物理传递或逻辑传递过程中保护信息;全处置以及任何持续的保密义务;毁这些信息;确保在合同结束时,将支持移交给另一个供应商或组织本身。组织应建立并维护与外部各方的协议(如合同、谅解备忘录、信息共享协议)的登记册,以跟踪其信息的去向。组织还

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论