ISO27001標(biāo)準(zhǔn)詳解

1、ISO27001標(biāo)準(zhǔn)詳解主題信息安全管理體系管理框架ISO27001控制措施ISO27001與知識(shí)產(chǎn)權(quán)保護(hù) 信息安全管理體系背景介紹信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問(wèn)世及網(wǎng)上交易的啟用，許多信息安全的問(wèn)題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營(yíng)管理、生存甚至國(guó)家安全都帶來(lái)嚴(yán)重的影響。 安全問(wèn)題所帶來(lái)的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失： 一.直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率； 二.間接損失：恢復(fù)成本，競(jìng)爭(zhēng)力受損，品牌

2、、聲譽(yù)受損，負(fù)面的公眾影響，失去未來(lái)的業(yè)務(wù)機(jī)會(huì)，影響股票市值或政治聲譽(yù)； 三.法律損失：法律、法規(guī)的制裁，帶來(lái)相關(guān)聯(lián)的訴訟或追索等。ISO27001的內(nèi)容 信息安全管理體系背景介紹所以，在享用現(xiàn)代信息系統(tǒng)帶來(lái)的快捷、方便的同時(shí)，如何充分防范信息的損壞和泄露，已成為當(dāng)前企業(yè)迫切需要解決的問(wèn)題。 俗話說(shuō)三分技術(shù)七分管理。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信

3、息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問(wèn)題。所以，我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。 ISO27001的內(nèi)容 信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史目前，在信息安全管理體系方面，ISO/IEC27001:2005-信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國(guó)標(biāo)準(zhǔn)BS7799轉(zhuǎn)換而成的。 BS7799標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于1995年英國(guó)首次出版BS 7799-1：1995信息安全管理實(shí)施細(xì)則，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)

4、施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，適用于大、中、小組織。2000年12月，BS7799-1：1999信息安全管理實(shí)施細(xì)則通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)- ISO/IEC17799：2000信息技術(shù)-信息安全管理實(shí)施細(xì)則，后來(lái)該標(biāo)準(zhǔn)已升版為ISO27001的內(nèi)容 信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式發(fā)布，2002版標(biāo)準(zhǔn)主要在結(jié)構(gòu)上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過(guò)程管理模式，建立了與ISO 9001、ISO 14001和OHSA

5、S 18000等管理體系標(biāo)準(zhǔn)相同的結(jié)構(gòu)和運(yùn)行模式。2005年，BS 7799-2: 2002正式轉(zhuǎn)換為國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：2005。 ISO27001的內(nèi)容 信息安全管理體系要求 11個(gè)控制領(lǐng)域 39個(gè)控制目標(biāo) 133個(gè)控制措施ISO27001的內(nèi)容 必須的ISMS文件：1、ISMS方針文件，包括ISMS的范圍； 2、風(fēng)險(xiǎn)評(píng)估程序和風(fēng)險(xiǎn)處理程序； 3、文件控制程序和記錄控制程序； 4、內(nèi)部審核程序和管理評(píng)審程序（盡管沒(méi)有強(qiáng)制）； 5、糾正措施和預(yù)防措施控制程序； 6、控制措施有效性的測(cè)量程序； 7、適用性聲明ISO27001的內(nèi)容對(duì)外 增強(qiáng)顧客信心和滿意 改善對(duì)安全方針及要求的符

6、合性 提供競(jìng)爭(zhēng)優(yōu)勢(shì)對(duì)內(nèi) 改善總體安全 管理并減少安全事件的影響 便利持續(xù)改進(jìn) 提高員工動(dòng)力與參與 提高盈利能力形成文件的ISMS的益處 PDCA方法 糾正和預(yù)防措施 內(nèi)部審核 ISMS管理評(píng)審ISMS的持續(xù)改進(jìn) 0.1總則 0.2過(guò)程方法 過(guò)程方法的定義：組織內(nèi)各過(guò)程系統(tǒng)的應(yīng)用，連同這些過(guò)程的識(shí)別和相互作用及其管理，可以被稱為“過(guò)程方法”。 過(guò)程方法鼓勵(lì)其使用者以強(qiáng)調(diào)以下方面的重要性：理解業(yè)務(wù)信息安全要求以及建立信息安全方針和目標(biāo)的需求在管理組織的整體業(yè)務(wù)風(fēng)險(xiǎn)中實(shí)施并運(yùn)作控制監(jiān)控并評(píng)審ISMS的績(jī)效及有效性在客觀測(cè)量基礎(chǔ)上持續(xù)改進(jìn)0 介紹PDCA模型 1.1總則 本標(biāo)準(zhǔn)規(guī)定了在組織整體業(yè)務(wù)風(fēng)險(xiǎn)

7、的范圍內(nèi)制定、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持和改進(jìn)文件化信息安全管理系統(tǒng)的要求 1.2應(yīng)用 適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織 可以考慮刪減，但條款4、5、6、7和8是不能刪減的1 范圍 ISO/IEC 17799：2005 信息技術(shù)安全技術(shù)信息安全管理實(shí)施指南2 引用標(biāo)準(zhǔn) 信息 是經(jīng)過(guò)加工的數(shù)據(jù)或消息，信息是對(duì)決策者有價(jià)值的數(shù)據(jù) 資產(chǎn) 任何對(duì)組織有價(jià)值的事物 可用性 確保授權(quán)用戶可以在需要時(shí)可以獲得信息和相關(guān)資產(chǎn) 保密性 確保信息僅為被授權(quán)的用戶獲得3 術(shù)語(yǔ)和定義 完整性 確保信息及其處理方法的準(zhǔn)確性和完整性 信息安全 保護(hù)信息的保密性、完整性、可用性；另外也包括其他屬 性，如：真實(shí)

8、性、可核查性、不可抵賴性和可靠性 信息安全事件 已識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)表明可能違反信息安全策略或防護(hù)措施失效的事件，或以前未知的與安全相關(guān)的情況3術(shù)語(yǔ)和定義（續(xù)） 信息安全事故 信息安全事故是指一個(gè)或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對(duì)業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重影響或威脅信息安全。 信息安全管理體系（ISMS） 全面管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)方法，旨在建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維持和改進(jìn)信息安全 適用性聲明 基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果和結(jié)論，描述與組織的信息安全管理體系相關(guān)并適用的控制目標(biāo)和控制的文件 3 術(shù)語(yǔ)和定義（續(xù)）殘余風(fēng)險(xiǎn) 實(shí)施風(fēng)險(xiǎn)處置后仍舊殘留

9、的風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受 接受風(fēng)險(xiǎn)的決定。風(fēng)險(xiǎn)分析 系統(tǒng)地使用信息以識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。3 術(shù)語(yǔ)和定義（續(xù)）風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。風(fēng)險(xiǎn)評(píng)價(jià) 將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理 指導(dǎo)和控制一個(gè)組織關(guān)于風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)處置 選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的過(guò)程。143術(shù)語(yǔ)和定義（續(xù)）組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持并改進(jìn)文件化的信息安全管理體系。為了適應(yīng)標(biāo)準(zhǔn)的需要，過(guò)程運(yùn)用PDCA模式4.1 總要求 確定ISMS范圍（劃分業(yè)務(wù)或重要資產(chǎn)均可） 確定信息安全方針 定義系統(tǒng)化的風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)評(píng)估 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理，并對(duì)

10、其處理進(jìn)行選擇 選擇風(fēng)險(xiǎn)處理的控制目標(biāo)和控制方式 編制適用性聲明 獲得剩余風(fēng)險(xiǎn)的管理認(rèn)可，并授權(quán)實(shí)施和運(yùn)行ISMS4.2.1 建立和管理 ISMS 闡明風(fēng)險(xiǎn)處理計(jì)劃，它為信息安全風(fēng)險(xiǎn)管理（見(jiàn)第5章）指出了適當(dāng)?shù)墓芾泶胧⒙氊?zé)和優(yōu)先級(jí)；實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到確定的控制目標(biāo)，應(yīng)考慮資金需求以及角色和職責(zé)分配；實(shí)施所選擇的控制方法以滿足控制目標(biāo).確定如何測(cè)量所選擇的一個(gè)/組控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果實(shí)施培訓(xùn)和教育運(yùn)作管理資源管理實(shí)施過(guò)程和其它控制以便能對(duì)安全事故及時(shí)檢查并做出反應(yīng)4.2.2 實(shí)施和運(yùn)行 ISMS 執(zhí)行監(jiān)視和評(píng)審程序和其它控

11、制措施 對(duì)ISMS的有效性進(jìn)行定期的評(píng)審 測(cè)量控制措施的有效性，以證實(shí)安全要求已得到滿足 評(píng)審剩余風(fēng)險(xiǎn)水平和可接受風(fēng)險(xiǎn) 按照計(jì)劃的間隔實(shí)施內(nèi)部ISMS的審核 對(duì)ISMS實(shí)施規(guī)律性的管理評(píng)審 更新安全計(jì)劃，考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn) 記錄對(duì)ISMS的有效性或績(jī)效可能會(huì)產(chǎn)生影響的行為和事件4.2.3 監(jiān)控和評(píng)審 ISMS 實(shí)施ISMS中已識(shí)別的改進(jìn)措施 采用合適的糾正性和預(yù)防性措施 與所有相關(guān)方交流結(jié)果、行為和協(xié)議 確保改進(jìn)活動(dòng)達(dá)到預(yù)想的目標(biāo)4.2.4 維持和改進(jìn) ISMS 4.3.1 總則 4.3.2文件控制 4.3.3記錄控制4.3 文件要求 ISMS文件應(yīng)包括： 文件化的安全方針和控制目標(biāo) ；

12、 ISMS的范圍，支持ISMS的程序和控制措施 ； 支持ISMS 的程序和控制措施； 風(fēng)險(xiǎn)評(píng)估方法的描述 風(fēng)險(xiǎn)評(píng)估報(bào)告； 風(fēng)險(xiǎn)處理計(jì)劃； 組織需要文件化的過(guò)程以確保信息安全過(guò)程得到有效計(jì)劃、運(yùn)行和實(shí)施； 本標(biāo)準(zhǔn)所要求的記錄 適用性聲明4.3.1 總則文件發(fā)布前要得到批準(zhǔn)，以確保文件的適當(dāng)性；根據(jù)需要評(píng)審和修訂文件，并重新批準(zhǔn)確保文件的更改和現(xiàn)行修訂情況得到識(shí)別；確保在使用時(shí)能得到有關(guān)文件的適當(dāng)版本；確保文件保持清晰，易于識(shí)別；確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀；確保外來(lái)文件得到識(shí)別；確保文件的分發(fā)受控；防止廢舊文件的非預(yù)期使用；若因任何原因而保留作

13、廢文件時(shí)，應(yīng)做適當(dāng)?shù)臉?biāo)識(shí)4.3.2 文件控制 應(yīng)建立并保持記錄，以提供滿足本規(guī)范的要求和信息安全管理體系有效運(yùn)行的證據(jù) 建立程序文件，以規(guī)定記錄的識(shí)別、貯存、保護(hù)、恢復(fù)、保存時(shí)間和處置所需的控制 如：記錄控制程序 記錄應(yīng)清晰易讀，具有標(biāo)識(shí)和可追溯性 考慮任何相關(guān)的法律要求如：來(lái)訪登記表（本）、審核記錄、授權(quán)訪問(wèn)記錄4.3.3 記錄控制ISMS 文 件方針?lè)秶L(fēng)險(xiǎn)評(píng)價(jià)適用性聲明描述過(guò)程：who,what,when,where描述任務(wù)及具體的活動(dòng)如何完成提供符合ISMS條款3.6要求的可感證據(jù)第一層次第二層次第三層次第四層次安全手冊(cè)程序作業(yè)指導(dǎo)書檢查表、表格記錄管理框架與ISO27001條款4有

14、關(guān)的方針 第一層次（安全手冊(cè)）：管理框架概要，包括信息安全方針、控制目標(biāo)以及在適用性聲明上給出的實(shí)施的控制方法。應(yīng)引用下一層次的文件 第二層次（程序）：采用的程序，規(guī)定實(shí)施要求的控制方法。描述安全過(guò)程的“WHO、WHAT、WHEN、WHERE”以及部門間的控制方法；可以按照ISO27001順序，也可按照過(guò)程順序；引用下一層次文件25ISMS 文 件 第三層次：解釋具體任務(wù)或活動(dòng)的細(xì)節(jié)如何執(zhí)行具體的任務(wù)。包括詳細(xì)的作業(yè)指導(dǎo)書、表格、流程圖、服務(wù)標(biāo)準(zhǔn)、系統(tǒng)手冊(cè)，等等。 第四層次（記錄）：按照第一、二、三層次文件開展的活動(dòng)的客觀證據(jù)?？赡苁菑?qiáng)制性的，或者是ISO27001各個(gè)條款隱含的要求。例如：訪

15、問(wèn)者登記簿、審核記錄、訪問(wèn)的授權(quán)。26ISMS 文 件5.1管理承諾 5.2資源管理 5.2.1提供資源 5.2.2培訓(xùn)、意識(shí)和能力5 管理職責(zé) 管理者應(yīng)通過(guò)如下所示向ISMS的建立、實(shí)施、運(yùn)作、監(jiān)管、審核、維持和改進(jìn)提供承諾的證據(jù)：a) 建立信息安全方針；b) 確保信息安全目標(biāo)和計(jì)劃的建立；c) 為信息安全定崗并建立崗位職責(zé)；d) 向本組織宣傳達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性，以及本組織的法律責(zé)任和持續(xù)改進(jìn)的需求；e) 為ISMS的發(fā)展、實(shí)施、運(yùn)作和維持提供充足的資源；f )確定接受風(fēng)險(xiǎn)的準(zhǔn)則和可接受的風(fēng)險(xiǎn)等級(jí)；g)確保ISMS內(nèi)部審核的實(shí)施；h)進(jìn)行ISMS管理評(píng)審。5.1 管理

16、承諾 組織應(yīng)確定并提供以下方面所需資源： 建立、實(shí)施、運(yùn)作和維持ISMS； 確保信息安全程序支持業(yè)務(wù)需要； 識(shí)別和定位法律法規(guī)要求和合同安全責(zé)任； 通過(guò)正確的應(yīng)用所有的已被實(shí)施的控制方法來(lái)維持適當(dāng)?shù)陌踩?必要時(shí)進(jìn)行評(píng)審，并對(duì)審核結(jié)果采取適當(dāng)?shù)男袆?dòng) ； 在有需要的地方改進(jìn)ISMS的有效性5.2.1 提供資源確定員工在執(zhí)行與ISMS相關(guān)的工作時(shí)所必需具備的能力；提供能力培訓(xùn)，必要時(shí)，聘請(qǐng)專業(yè)人士以滿足需要；評(píng)價(jià)所提供的培訓(xùn)和采取的行動(dòng)的有效性；保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄組織應(yīng)確保所有相關(guān)人員認(rèn)識(shí)其信息安全活動(dòng)的相關(guān)性和重要性，并知道怎樣為實(shí)現(xiàn)ISMS的目標(biāo)做出貢獻(xiàn)305.2.2 培訓(xùn)

17、、意識(shí)和能力 組織應(yīng)按策劃的時(shí)間間隔對(duì)ISMS進(jìn)行內(nèi)審,以決定ISMS的控制目標(biāo)、控制行為、過(guò)程和程序是否 與本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)相適應(yīng) 與已識(shí)別信息安全需求相適應(yīng) 有效地實(shí)施和維護(hù) 達(dá)到預(yù)期目標(biāo) 文件化內(nèi)審程序、保持內(nèi)審記錄316 ISMS內(nèi)部審核 7.1 總則 7.2 評(píng)審輸入 7.3 評(píng)審輸出7 ISMS的管理評(píng)審 定期管理評(píng)審，以確保適宜性、充分性和有效性 評(píng)審應(yīng)包括評(píng)價(jià)ISMS的改進(jìn)機(jī)會(huì)和變更需要，包括安全 方針和安全目標(biāo) 評(píng)審結(jié)果應(yīng)清楚地寫入文件，保持評(píng)審的記錄337.1總則ISMS審核和評(píng)審的結(jié)果；相關(guān)方的反饋；在組織中被用于改進(jìn)ISMS性能和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防

18、和糾正措施的狀況；以前風(fēng)險(xiǎn)評(píng)估中沒(méi)有準(zhǔn)確定位的薄弱點(diǎn)或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；任何可能影響ISMS的變更；改進(jìn)的建議7.2評(píng)審輸入 ISMS有效性的改進(jìn)信息 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新 修改影響信息安全的程序，必要時(shí)，對(duì)可能影響ISMS的內(nèi)部或外部事件做出反應(yīng)，變更包括如下 ：業(yè)務(wù)需求安全需求影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程法律法規(guī)環(huán)境風(fēng)險(xiǎn)等級(jí)或/和可接受風(fēng)險(xiǎn)水平 資源需求 對(duì)如何測(cè)量控制措施的有效性的改進(jìn)7.3評(píng)審輸出8.1 持續(xù)改進(jìn)8.2 糾正措施8.3 預(yù)防措施8 ISMS的改進(jìn) 組織應(yīng)通過(guò)信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)督事件的分析、糾正和預(yù)防措施以及管理評(píng)審來(lái)

19、持續(xù)改進(jìn)ISMS的有效性8.1持續(xù)改進(jìn) 建立文件化的糾正措施程序以滿足如下要求 識(shí)別ISMS的實(shí)施和/或運(yùn)行的不合格 確定不合格原因 評(píng)價(jià)確保不合格不再發(fā)生的措施的需求 確定和實(shí)施所需的糾正措施 記錄所采取的措施結(jié)果 評(píng)審所采取的糾正措施8.2糾正措施 建立文件化的預(yù)防措施程序以滿足如下要求： 識(shí)別潛在的不合格及其原因 評(píng)價(jià)預(yù)防不符合發(fā)生所需的措施 確定和實(shí)施所需的預(yù)防措施 記錄所采取的措施的結(jié)果 評(píng)審所采取的預(yù)防措施8.3 預(yù)防措施預(yù)防 預(yù)防是主動(dòng)的 意圖為防止問(wèn)題發(fā)生 在過(guò)程策劃和設(shè)計(jì)階段控制 增值 成本更低 更大的顧客信心 所有ISO標(biāo)準(zhǔn)的主要關(guān)注點(diǎn)預(yù)防與探測(cè)探測(cè)探測(cè)是被動(dòng)的意圖為探測(cè)發(fā)

20、生的問(wèn)題在過(guò)程輸出階段控制不增加價(jià)值成本很大顧客信心有限需要，但遠(yuǎn)不是重點(diǎn)管理者承諾組織資源關(guān)注預(yù)防培訓(xùn)溝通參與系統(tǒng)評(píng)審ISMS的有效實(shí)施主題信息安全管理體系管理框架ISO27001控制方法ISO27001與知識(shí)產(chǎn)權(quán)保護(hù)ISO27001:2005ISO27001:2005控制目標(biāo)和控制方法控制目標(biāo)和控制方法附錄：A11大控制域信息資產(chǎn)保密性完整性可用性安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信與操作安全信息安全事件管理信息系統(tǒng)的獲取開發(fā)和維護(hù)訪問(wèn)控制業(yè)務(wù)持續(xù)性管理符合性A.5 安全方針 評(píng)審與評(píng)價(jià)A.5 信息安全方針?lè)结樂(lè)e極預(yù)防、全面管理、積極預(yù)防、全面管理、控制風(fēng)險(xiǎn)、保障安全

21、。控制風(fēng)險(xiǎn)、保障安全。目標(biāo)：根據(jù)業(yè)務(wù)需求和相關(guān)法律、法規(guī)，為信息安全提供管理指 導(dǎo)和支持。 信息安全方針文件 信息安全方針文件應(yīng)經(jīng)管理層批準(zhǔn)認(rèn)可，并向所有雇員和有關(guān)外部組織發(fā)布、傳達(dá)。47A.5.1信息安全方針文件 應(yīng)按策劃的時(shí)間間隔或當(dāng)發(fā)生重大變化時(shí)，對(duì)信息安全方針文檔進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。48A.5.2信息安全方針評(píng)審A.6 信息安全組織A.6.1 內(nèi)部組織目標(biāo)：在組織內(nèi)部管理信息安全。 信息安全的管理承諾 信息安全協(xié)調(diào) 信息安全職責(zé)劃分 信息處理設(shè)備的授權(quán)過(guò)程 保密協(xié)議 與權(quán)威機(jī)構(gòu)的聯(lián)系 與專業(yè)的利益團(tuán)體保持聯(lián)系 信息安全的獨(dú)立評(píng)審A.6.1.1 信息安全的管理

22、承諾A.6.1.2 信息安全協(xié)調(diào)A.6.1.3 信息安全職責(zé)劃分A.6.1.4 信息處理設(shè)施的授權(quán)過(guò)程A.6.1.5 保密協(xié)議A.6.1.6 與權(quán)威機(jī)構(gòu)的聯(lián)系A(chǔ).6.1.7 與專業(yè)的利益團(tuán)體保持聯(lián)系A(chǔ).6.1.8 信息安全的獨(dú)立評(píng)審控制措施：管理應(yīng)通過(guò)明確的指導(dǎo)、已證實(shí)的承諾、明確的任務(wù)委派和信息安全職責(zé)的確認(rèn)來(lái)積極支持組織內(nèi)部的安全?？刂拼胧簛?lái)自組織不同部門的代表應(yīng)保持信息安全活動(dòng)與有關(guān)角色和工作職責(zé)的協(xié)調(diào)?？刂拼胧簯?yīng)明確規(guī)定所有的信息安全職責(zé)?？刂拼胧簯?yīng)定義和實(shí)施對(duì)新的信息處理設(shè)施的管理授權(quán)過(guò)程?？刂拼胧簯?yīng)識(shí)別和定期評(píng)審反映組織信息保護(hù)需要的保密或不許泄露協(xié)議的需求控制措施：應(yīng)保持

23、與相關(guān)權(quán)威機(jī)構(gòu)的適當(dāng)聯(lián)系?？刂拼胧簯?yīng)與專業(yè)的利益團(tuán)體或?qū)＜野踩搲约皩I(yè)協(xié)會(huì)保持適當(dāng)?shù)穆?lián)系?？刂拼胧簩?duì)組織信息安全的管理方法和實(shí)施情況（如信息安全的控制目標(biāo)、措施、方針、過(guò)程、流程）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審，或是在信息安全實(shí)施發(fā)生重大變更時(shí)進(jìn)行獨(dú)立評(píng)審。A.6.2外部組織目標(biāo)：保持被外部組織訪問(wèn)、處理、通信或管理的組織信息和信息處理設(shè)施的安全。 關(guān)于外部組織風(fēng)險(xiǎn)的識(shí)別 當(dāng)與顧客接觸時(shí)強(qiáng)調(diào)安全 第三方合同中的安全要求A.6.2.1關(guān)于外部組織風(fēng)險(xiǎn)的識(shí)別控制措施：在被允許訪問(wèn)前，應(yīng)對(duì)涉及外部組織的業(yè)務(wù)過(guò)程中的組織信息和信息處理設(shè)施的風(fēng)險(xiǎn)進(jìn)行識(shí)別并采取適當(dāng)?shù)目刂拼胧?。A.6.2.2當(dāng)與顧

24、客接觸時(shí)強(qiáng)調(diào)安全控制措施：應(yīng)在允許顧客訪問(wèn)組織的信息或資產(chǎn)前強(qiáng)調(diào)所有的安全要求。A.6.2.3在第三方合同中強(qiáng)調(diào)安全控制措施：與第三方簽訂的合同中涉及到訪問(wèn)、處理、通信或管理組織信息和信息設(shè)施，或增加產(chǎn)品、服務(wù)到組織信息設(shè)施，合同應(yīng)覆蓋所有相關(guān)安全的要求。A.7 資產(chǎn)管理A.7.1資產(chǎn)責(zé)任目標(biāo)：實(shí)現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)。 資產(chǎn)的清單 資產(chǎn)所有者關(guān)系 可接受的資產(chǎn)使用A.7.1.1資產(chǎn)的清單控制措施：所有資產(chǎn)應(yīng)予以清楚的識(shí)別，并且應(yīng)編制并保持所有重要資產(chǎn)的目錄。A.7.1.2資產(chǎn)所有者關(guān)系控制措施：與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織指定的部門或人員（所有者）1承擔(dān)責(zé)任。A.7.1.3

25、可接受的資產(chǎn)使用控制措施：與信息處理設(shè)施有關(guān)的信息和資產(chǎn)的可接受的使用準(zhǔn)則應(yīng)被識(shí)別、形成文件并加以實(shí)施。1術(shù)語(yǔ)“所有者”是為控制生產(chǎn)、開發(fā)、保持、使用和保護(hù)資產(chǎn)而賦予管理職責(zé)的個(gè)人或?qū)嶓w。術(shù)語(yǔ) “所有者”不指對(duì)資產(chǎn)有實(shí)際所有權(quán)的人員。 分類指南 信息的標(biāo)識(shí)與處理目標(biāo)：確保信息受到適當(dāng)程度的保護(hù)。限制高度機(jī)密秘保密密限制直到2007/1/1保護(hù)標(biāo)識(shí)A.7.2 資產(chǎn)分類與控制A.7.2.1分類指南控制措施：信息應(yīng)根據(jù)其對(duì)組織的價(jià)值、法律要求、敏感性和危險(xiǎn)程度進(jìn)行分類。A.7.2.2信息的標(biāo)識(shí)與處理控制措施：根據(jù)組織采用的分類方案，應(yīng)開發(fā)和實(shí)施用于信息標(biāo)識(shí)與處理的適當(dāng)?shù)娜壮绦?。A.8 人力資源安全

26、 目標(biāo)：確保員工、合同方和第三方用戶明白他們的職責(zé)，適合于他們被賦予的任務(wù)，減少因盜竊、欺詐或設(shè)施誤用造成的風(fēng)險(xiǎn)。 任務(wù)和職責(zé) 人員考察 雇用條款和條件A.8.1雇傭前A.8.1.1任務(wù)和職責(zé)控制措施：?jiǎn)T工、合同方和第三方用戶的安全任務(wù)和職責(zé)應(yīng)給予定義和形成文件，并應(yīng)與組織信息安全方針保持一致。A.8.1.2人員考察控制措施：應(yīng)根據(jù)相關(guān)的法律、法規(guī)和道德，對(duì)所有的求職者、合同方和第三方用戶進(jìn)行背景驗(yàn)證檢查，該檢查應(yīng)與業(yè)務(wù)要求、接觸信息的類別及已知風(fēng)險(xiǎn)相適宜。A.8.1.3雇用條款和條件控制措施：作為合同責(zé)任的一部分，員工、合同方和第三方用戶應(yīng)統(tǒng)一并簽署他們的雇傭合同的條款和條件。這些條款和條件

27、應(yīng)規(guī)定他們和組織對(duì)于信息安全的責(zé)任。A.8.2雇傭期間 目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)。 管理職責(zé) 信息安全意識(shí)、教育與培訓(xùn) 懲戒程序A.8.2.1管理職責(zé)控制措施：管理者應(yīng)要求所有的員工、合同方和第三方用戶按照組織已建立的方針和程序?qū)嵤┌踩?。A.8.2.2信息安全意識(shí)、教育與培訓(xùn)控制措施：組織的所有員工，適當(dāng)時(shí)，包括合同方和第三方用戶，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針及程序的定期更新培訓(xùn)。A.8.2.3懲戒程序控制措施：應(yīng)建立一個(gè)正式的員工違反安全的懲戒程序。

28、A.8.3雇傭的終止或變更 目標(biāo)：確保員工、合同方和第三方用戶離開組織或雇傭變更時(shí)以一種有序的方式進(jìn)行應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問(wèn)權(quán)力。終止職責(zé)資產(chǎn)歸還撤銷訪問(wèn)權(quán)限66A.8.3.1終止職責(zé)控制措施：履行雇用關(guān)系終止或改變的職責(zé)應(yīng)得到清楚的定義和分配。A.8.3.2資產(chǎn)歸還控制措施：當(dāng)終止雇用關(guān)系、合同或協(xié)議時(shí)，員工、合同方和第三方用戶應(yīng)歸還其占有的組織資產(chǎn)。A.8.3.3撤銷訪問(wèn)權(quán)限控制措施：當(dāng)終止雇用關(guān)系、合同或協(xié)議時(shí)，員工、合同方和第三方用戶對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)限應(yīng)予以撤銷，或當(dāng)雇用關(guān)系、合同或協(xié)議發(fā)生變更

29、時(shí)，訪問(wèn)權(quán)限應(yīng)予以調(diào)整。A.9 物理與環(huán)境安全A.9.1安全區(qū)域目標(biāo)：防止對(duì)組織辦公場(chǎng)所和信息的非授權(quán)物理訪問(wèn)、破壞和干擾。 物理安全邊界 物理進(jìn)入控制 辦公室、房間和設(shè)施的安全 防范外部和環(huán)境的威脅 在安全區(qū)域工作 公共訪問(wèn)和裝卸區(qū)域A.9.1.1 物理安全邊界控制措施：組織應(yīng)使用安全邊界（障礙物，如墻、控制進(jìn)入大門的卡或人工接待臺(tái)）來(lái)保護(hù)包含信息和信息處理設(shè)施的區(qū)域。A.9.1.2 物理進(jìn)入控制控制措施：應(yīng)通過(guò)適當(dāng)?shù)倪M(jìn)入控制對(duì)安全區(qū)域進(jìn)行保護(hù)，以確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)。A.9.1.3 辦公室、房間和設(shè)施的安全控制措施：應(yīng)設(shè)計(jì)并實(shí)施保護(hù)辦公室、房間和設(shè)施的物理安全。A.9.1.4

30、防范外部和環(huán)境的威脅控制措施：應(yīng)設(shè)計(jì)并實(shí)施針對(duì)火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施。A.9.1.5 在安全區(qū)域工作控制措施：應(yīng)設(shè)計(jì)并實(shí)施在安全區(qū)域工作的物理保護(hù)和指南。A.9.1.6 公共訪問(wèn)和裝卸區(qū)域控制措施：訪問(wèn)區(qū)域如裝卸區(qū)域及其他未經(jīng)授權(quán)人員可能進(jìn)入辦公場(chǎng)所的地點(diǎn)應(yīng)加以控制，如果可能的話，與信息處理設(shè)施加以隔離以防止非授權(quán)的訪問(wèn)。A.9.2 設(shè)備安全 目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織活動(dòng)的中斷。 設(shè)備的定置和保護(hù) 支持性設(shè)施 線纜安全 設(shè)備維護(hù) 場(chǎng)外設(shè)備的安全 設(shè)備的安全處理或再利用 資產(chǎn)遷移A.9.2.1 設(shè)備的安置與保護(hù)控制措施：應(yīng)對(duì)設(shè)備進(jìn)

31、行安置或保護(hù)，以減少來(lái)自環(huán)境的威脅或危害，并減少非授權(quán)訪問(wèn)的機(jī)會(huì)。A.9.2.2 支持性設(shè)施控制措施：應(yīng)保護(hù)設(shè)備免受電力中斷或其他因?yàn)橹С中栽O(shè)施失效所導(dǎo)致的中斷。A.9.2.3 電纜安全控制措施：應(yīng)保護(hù)承載數(shù)據(jù)或支持信息服務(wù)的電力和通訊電纜免遭中斷或破壞。A.9.2.4 設(shè)備維護(hù)控制措施：應(yīng)正確維護(hù)設(shè)備，以確保其持續(xù)的可用性和完整性。A.9.2.5 場(chǎng)外設(shè)備的安全控制措施：應(yīng)對(duì)場(chǎng)外設(shè)備進(jìn)行安全防護(hù)，考慮在組織邊界之外工作的不同風(fēng)險(xiǎn)。A.9.2.6 設(shè)備處置或重用的安全控制措施：應(yīng)檢查包所有含存儲(chǔ)介質(zhì)的設(shè)備，以確保在處置前所有敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被移除或安全重寫。A.9.2.7 資產(chǎn)遷移控制措

32、施：未經(jīng)授權(quán)，不得將設(shè)備、信息或軟件帶離。A.10 通信與操作管理74A.10.1操作程序及職責(zé)目標(biāo)：確保信息處理設(shè)施的正確和安全操作。 文件化的操作程序 變更管理 職責(zé)分離 開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離A.10.1.1文件化的操作程序控制措施：應(yīng)編制并保持文件化的操作程序，并確保所有需要的用戶可以獲得。A.10.1.2變更管理控制措施：應(yīng)控制信息處理設(shè)施及系統(tǒng)的變更。A.10.1.3職責(zé)分離控制措施：應(yīng)分離職責(zé)和責(zé)任區(qū)域，以降低非授權(quán)訪問(wèn)、無(wú)意識(shí)修改或?yàn)E用組織資產(chǎn)的機(jī)會(huì)。A.10.1.4開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離控制措施：應(yīng)分離開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施，以降低非授權(quán)訪問(wèn)或?qū)Σ僮飨到y(tǒng)變更所帶來(lái)的風(fēng)險(xiǎn)

33、。A.10.2第三方服務(wù)交付管理 目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。 服務(wù)交付 監(jiān)控和評(píng)審第三方服務(wù) 管理第三方服務(wù)的變更A.10.2.1服務(wù)交付控制措施：確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包含的安全控制、服務(wù)定義和交付等級(jí)。A.10.2.2監(jiān)控和評(píng)審第三方服務(wù)控制措施：應(yīng)對(duì)服務(wù)和第三方提交的報(bào)告定期進(jìn)行監(jiān)控和評(píng)審，并定期進(jìn)行審核。A.10.2.3管理第三方服務(wù)的變更控制措施：應(yīng)管理服務(wù)提供的變更（包括保持和改進(jìn)現(xiàn)有信息安全方針、程序和控制措施），考慮對(duì)業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、涉及的過(guò)程和風(fēng)險(xiǎn)的再評(píng)估。A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的

34、風(fēng)險(xiǎn)。 容量管理 系統(tǒng)驗(yàn)收A.10.3.1容量管理控制措施：應(yīng)監(jiān)督、調(diào)整資源的使用情況，并反應(yīng)將來(lái)容量的要求，以確保系統(tǒng)的性能。A.10.3.2系統(tǒng)驗(yàn)收控制措施：應(yīng)建立新的信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，并在開發(fā)過(guò)程中及接收前進(jìn)行適當(dāng)?shù)南到y(tǒng)測(cè)試。A.10.4 防范惡意代碼和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。 防范惡意代碼 防范移動(dòng)代碼A.10.4.1防范惡意代碼控制措施：應(yīng)實(shí)施防范惡意代碼的檢測(cè)、預(yù)防和恢復(fù)，以及適當(dāng)?shù)挠脩粢庾R(shí)程序。A.10.4.2防范移動(dòng)代碼控制措施：當(dāng)使用移動(dòng)代碼獲得授權(quán)時(shí)，配置管理應(yīng)確保授權(quán)的移動(dòng)代碼按照明確定義的安全方針運(yùn)行，并防止未經(jīng)授權(quán)移動(dòng)代碼的執(zhí)行。A.

35、10.5 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。 信息備份A.10.5.1信息備份控制措施：應(yīng)根據(jù)既定的備份策略對(duì)信息和軟件進(jìn)行備份并定期測(cè)試。 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)服務(wù)的安全A.10.6 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。A.10.6.1網(wǎng)絡(luò)控制控制措施：應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行充分的管理和控制，以防范威脅、保持使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全，包括信息傳輸。A.10.6.2網(wǎng)絡(luò)服務(wù)的安全控制措施：應(yīng)識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)和管理要求，并包含在網(wǎng)絡(luò)服務(wù)協(xié)議中，無(wú)論這種服務(wù)是由內(nèi)部提供的還是外包的。A.10.7 媒介處置目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄漏、修改、移動(dòng)或損

36、壞，及對(duì)業(yè)務(wù)活動(dòng)的干擾。 可移動(dòng)計(jì)算機(jī)介質(zhì)的管理 介質(zhì)處理 信息處理程序 系統(tǒng)文檔的安全A.10.7.1可移動(dòng)介質(zhì)的管理控制措施：應(yīng)建立可移動(dòng)介質(zhì)的管理程序。A.10.7.2介質(zhì)處置控制措施：當(dāng)介質(zhì)不再需要時(shí)，應(yīng)按照正式的程序進(jìn)行安全可靠的銷毀。A.10.7.3信息處理程序控制措施：應(yīng)建立信息處理和存儲(chǔ)程序，以防范該信息的未授權(quán)泄漏或誤用。A.10.7.4系統(tǒng)文檔安全控制措施：應(yīng)保護(hù)系統(tǒng)文檔免受非授權(quán)的訪問(wèn)。A.10.8 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。 信息交換策略和程序 交換協(xié)議 物理媒體傳輸 電子信息 業(yè)務(wù)信息系統(tǒng)A.10.8.1信息交換策略和程序控

37、制措施：應(yīng)建立正式的交換策略、程序和控制，以保護(hù)通過(guò)所有類型的通訊設(shè)施交換信息的安全。A.10.8.2交換協(xié)議控制措施：應(yīng)建立組織和外部組織信息和軟件交換的協(xié)議。A.10.8.3物理介質(zhì)傳輸控制措施：在組織的物理邊界之外進(jìn)行傳輸?shù)倪^(guò)程中，應(yīng)保護(hù)包含信息的媒體免受非授權(quán)的訪問(wèn)、誤用或破壞。A.10.8.4電子消息控制措施：應(yīng)適當(dāng)保護(hù)包含電子消息的信息。A.10.8.5業(yè)務(wù)信息系統(tǒng)控制措施：應(yīng)開發(fā)并實(shí)施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)的信息。 在線交易 公共可用信息A.10.9 電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)的安全及他們的安全使用。 電子商務(wù)A.10.9.1電子商務(wù)控制措施：應(yīng)保護(hù)電子商務(wù)中通

38、過(guò)公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭(zhēng)議、非授權(quán)的泄漏和修改。A.10.9.2在線交易控制措施：應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、非授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。A.10.9.3公共可用信息控制措施：應(yīng)保護(hù)公共可用系統(tǒng)中信息的完整性，以防止未經(jīng)授權(quán)的修改。A.10.10 監(jiān)控目標(biāo)：檢測(cè)非授權(quán)的信息處理活動(dòng)。 審計(jì)日志 監(jiān)視系統(tǒng)的使用 日志信息保護(hù) 管理員和操作者日志 故障記錄 時(shí)鐘同步A.10.10.1審計(jì)日志控制措施：應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常和信息安全事件的日志，并按照約定的期限進(jìn)行保留，以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視。A.10.10.2監(jiān)視

39、系統(tǒng)的使用控制措施：應(yīng)建立監(jiān)視信息處理系統(tǒng)使用的程序，并定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。A.10.10.3日志信息保護(hù)控制措施：應(yīng)保護(hù)日志設(shè)施和日志信息免受破壞和未授權(quán)的訪問(wèn)。A.10.10.4管理員和操作者日志控制措施：應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作者的活動(dòng)。A.10.10.5故障記錄控制措施：應(yīng)記錄并分析故障記錄，并采取適當(dāng)?shù)拇胧?。A.10.10.6時(shí)鐘同步控制措施：組織內(nèi)或統(tǒng)一安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)按照約定的正確時(shí)間源保持同步。A.11 訪問(wèn)控制A.11.1 訪問(wèn)控制業(yè)務(wù)需求目標(biāo)：控制對(duì)信息的訪問(wèn)。 訪問(wèn)控制策略系統(tǒng)管理員菜 單A.11.1.1訪問(wèn)控制策略控制措施：應(yīng)建立文件化的訪問(wèn)

40、控制策略，并根據(jù)對(duì)訪問(wèn)的業(yè)務(wù)和安全要求進(jìn)行評(píng)審。 用戶注冊(cè) 特權(quán)管理 用戶口令管理 用戶訪問(wèn)權(quán)限的評(píng)審A.11.2 用戶訪問(wèn)管理你無(wú)權(quán)訪問(wèn)本系統(tǒng)目標(biāo)：確保授權(quán)用戶的訪問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪問(wèn)。A.11.2.1用戶注冊(cè)控制措施：應(yīng)建立正式的用戶注冊(cè)和解除注冊(cè)程序，以允許和撤銷對(duì)于所有信息系統(tǒng)和服務(wù)的訪問(wèn)。A.11.2.2特權(quán)管理控制措施：應(yīng)限制和控制特權(quán)的使用和分配。A.11.2.3用戶口令管理控制措施：應(yīng)通過(guò)正式的管理流程控制口令的分配。A.11.2.4用戶訪問(wèn)權(quán)限的評(píng)審控制措施：管理者應(yīng)按照策劃的時(shí)間間隔通過(guò)正式的流程對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行評(píng)審。A.11.3 用戶責(zé)任目標(biāo)：預(yù)防未授權(quán)用戶

41、的訪問(wèn)，信息和信息處理設(shè)施的破壞或被盜。 口令使用 無(wú)人值守的用戶設(shè)備 清理桌面及清除屏幕策略A.11.3.1口令使用控制措施：應(yīng)要求用戶在選擇和使用口令時(shí)遵循良好的安全慣例。A.11.3.2無(wú)人值守的用戶設(shè)備控制措施：用戶應(yīng)確保無(wú)人值守的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)。A.11.3.3清理桌面及清除屏幕策略控制措施：應(yīng)采用針對(duì)紙質(zhì)文件和可移動(dòng)存儲(chǔ)介質(zhì)的桌面清理策略以及針對(duì)信息處理設(shè)施屏幕的清除策略。A.11.4 網(wǎng)絡(luò)訪問(wèn)控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問(wèn)。 網(wǎng)絡(luò)服務(wù)使用策略 外部連接用戶的鑒別 網(wǎng)絡(luò)設(shè)備的識(shí)別 遠(yuǎn)程診斷和配置端口保護(hù) 網(wǎng)內(nèi)隔離 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制A.11.4.1網(wǎng)絡(luò)服務(wù)使用策

42、略控制措施：用戶應(yīng)只能訪問(wèn)經(jīng)過(guò)明確授權(quán)使用的服務(wù)。A.11.4.2外部連接用戶的鑒別控制措施：應(yīng)使用適當(dāng)?shù)蔫b別方法控制遠(yuǎn)程用戶的訪問(wèn)。A.11.4.3網(wǎng)絡(luò)設(shè)備的識(shí)別控制措施：應(yīng)考慮采用自動(dòng)設(shè)備識(shí)別方法鑒別從特定區(qū)域和設(shè)備的連接。A.11.4.4遠(yuǎn)程診斷和配置端口保護(hù)控制措施：應(yīng)控制對(duì)診斷和配置端口的物理和邏輯訪問(wèn)。A.11.4.5網(wǎng)內(nèi)隔離控制措施：應(yīng)隔離信息系統(tǒng)內(nèi)的信息服務(wù)組、用戶和信息系統(tǒng)。A.11.4.6網(wǎng)絡(luò)連接控制控制措施：在公共網(wǎng)絡(luò)中，尤其是那些延展到組織邊界之外的網(wǎng)絡(luò)，應(yīng)限制用戶聯(lián)接的能力，并與業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)控制策略和要求一致（見(jiàn)11.1）。A.11.4.7網(wǎng)絡(luò)路由控制控制措施：

43、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行路由控制，以確保信息聯(lián)接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)控制策略。A.11.5 操作系統(tǒng)訪問(wèn)控制目標(biāo)：防止對(duì)操作系統(tǒng)的非授權(quán)訪問(wèn)。 安全登陸程序 用戶標(biāo)識(shí)和鑒別 口令管理系統(tǒng) 系統(tǒng)實(shí)用程序的使用 終端時(shí)限 連接時(shí)間限制A.11.5.1安全登陸程序控制措施：應(yīng)通過(guò)安全登陸程序?qū)Σ僮飨到y(tǒng)的訪問(wèn)進(jìn)行控制。A.11.5.2用戶標(biāo)識(shí)和鑒別控制措施：所有的用戶應(yīng)有一個(gè)只供本人使用的唯一識(shí)別碼（用戶ID），應(yīng)使用適當(dāng)?shù)蔫b別技術(shù)來(lái)證實(shí)用戶所聲稱的身份。A.11.5.3口令管理系統(tǒng)控制措施：應(yīng)是使用交互式口令管理系統(tǒng)，并確?？诹钯|(zhì)量。A.11.5.4系統(tǒng)實(shí)用程序的使用控制措施：使用的實(shí)用程序可能會(huì)超

44、越系統(tǒng)的能力，所以應(yīng)限制并嚴(yán)格控制系統(tǒng)實(shí)用程序的使用。A.11.5.5會(huì)話超時(shí)控制措施：不活動(dòng)的會(huì)話應(yīng)在一個(gè)設(shè)定的不活動(dòng)周期后關(guān)閉。A.11.5.6連接時(shí)間限制控制措施：應(yīng)使用連接時(shí)間限制作為高風(fēng)險(xiǎn)應(yīng)用的額外安全保護(hù)。A.11.6應(yīng)用系統(tǒng)和信息訪問(wèn)控制目標(biāo)：防止對(duì)應(yīng)用系統(tǒng)中信息的非授權(quán)訪問(wèn)。 信息訪問(wèn)限制 敏感系統(tǒng)隔離A.11.6.1信息訪問(wèn)限制控制措施：應(yīng)根據(jù)規(guī)定的訪問(wèn)控制策略，限制用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)。A.11.6.2敏感系統(tǒng)隔離控制措施：敏感系統(tǒng)應(yīng)使用獨(dú)立的計(jì)算環(huán)境。A.11.7 移動(dòng)計(jì)算與遠(yuǎn)程工作目標(biāo)：確保在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)信息的安全。 移動(dòng)計(jì)算和通信

45、遠(yuǎn)程工作A.11.7.1移動(dòng)計(jì)算和通信控制措施：應(yīng)建立正式的策略并實(shí)施適當(dāng)?shù)目刂疲苑婪妒褂靡苿?dòng)計(jì)算和通訊設(shè)施的風(fēng)險(xiǎn)。A.11.7.2遠(yuǎn)程工作控制措施：應(yīng)開發(fā)并實(shí)施遠(yuǎn)程工作的策略、操作計(jì)劃和程序。A.12 信息系統(tǒng)的獲取、開發(fā)和維護(hù) 安全要求分析與規(guī)范A.12.1 信息系統(tǒng)的安全要求 規(guī) 范 商務(wù)案例。如企業(yè)新購(gòu)的。如企業(yè)新購(gòu)的ERP系統(tǒng)在購(gòu)買之后就系統(tǒng)在購(gòu)買之后就進(jìn)行常規(guī)的測(cè)試和進(jìn)行常規(guī)的測(cè)試和需求處理。需求處理。安全要求目標(biāo)：確保安全成為信息系統(tǒng)的一部分。A.12.1.1安全需求分析與規(guī)范控制措施：新的信息系統(tǒng)或?qū)ΜF(xiàn)有信息系統(tǒng)的擴(kuò)展的業(yè)務(wù)需求說(shuō)明書中應(yīng)規(guī)定安全控制的要求。A.12.2 應(yīng)用

46、系統(tǒng)的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯(cuò)誤、丟失、非授權(quán)的修改或誤用。 輸入數(shù)據(jù)確認(rèn) 內(nèi)部處理的控制 消息完整性 輸出數(shù)據(jù)確認(rèn)A.12.2.1 輸入數(shù)據(jù)確認(rèn)控制措施：應(yīng)驗(yàn)證應(yīng)用系統(tǒng)輸入數(shù)據(jù)，以確保正確和適當(dāng)。A.12.2.2 內(nèi)部處理控制控制措施：應(yīng)用系統(tǒng)中應(yīng)包含確認(rèn)檢查，以檢測(cè)數(shù)據(jù)處理過(guò)程中的錯(cuò)誤。A.12.2.3 消息完整性控制措施：應(yīng)識(shí)別應(yīng)用系統(tǒng)中確保鑒別和保護(hù)消息完整性的要求，識(shí)別并實(shí)施適當(dāng)?shù)目刂啤.12.2.4 輸出數(shù)據(jù)確認(rèn)控制措施：應(yīng)確認(rèn)應(yīng)用系統(tǒng)輸出的數(shù)據(jù)，以確保存儲(chǔ)的信息的處理是正確的并與環(huán)境相適宜。A.12.3 加密控制保密信息34dfjon45?P目標(biāo)：通過(guò)加密手段來(lái)保護(hù)信

47、息的保密性、真實(shí)性或完整性。 使用加密控制的策略 密鑰管理A.12.3.1使用加密控制的策略控制措施：為保護(hù)信息，應(yīng)開發(fā)并實(shí)施加密控制的使用策略。A.12.3.2密鑰管理控制措施：應(yīng)進(jìn)行密鑰管理，以支持組織對(duì)密碼技術(shù)的使用(加密狗）。A.12.4 系統(tǒng)文檔的安全目標(biāo)：確保系統(tǒng)文檔的安全。 操作軟件的控制 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù) 源代碼的訪問(wèn)控制A.12.4.1操作軟件控制控制措施：應(yīng)建立程序，以控制在操作系統(tǒng)中安裝軟件。A.12.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)控制措施：應(yīng)謹(jǐn)慎選擇測(cè)試數(shù)據(jù)，并加以保護(hù)和控制。A.12.4.3源代碼的訪問(wèn)控制控制措施：應(yīng)限制對(duì)源代碼的訪問(wèn)（一系列人類可讀的語(yǔ)言指令）。變更控

48、制程序操作系統(tǒng)變更后的技術(shù)評(píng)審軟件包變更限制信息泄漏軟件開發(fā)外包A.12.5 開發(fā)與支持過(guò)程中的安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全。A.12.5.1變更控制程序控制措施：應(yīng)通過(guò)正式的變更控制程序，控制變更的實(shí)施。A.12.5.2操作系統(tǒng)變更后應(yīng)用系統(tǒng)的技術(shù)評(píng)審控制措施：當(dāng)操作系統(tǒng)變更后，應(yīng)評(píng)審并測(cè)試關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對(duì)組織的運(yùn)營(yíng)或安全產(chǎn)生負(fù)面影響。A.12.5.3軟件包變更限制控制措施：除非確實(shí)有必要，不鼓勵(lì)對(duì)軟件包進(jìn)行變更。所有的變更應(yīng)被嚴(yán)格控制。A.12.5.4信息泄漏控制措施：防止信息泄漏的機(jī)會(huì)。A.12.5.5軟件開發(fā)外包控制措施：組織應(yīng)對(duì)軟件開發(fā)外包進(jìn)行監(jiān)控。A.

49、12.6技術(shù)漏洞管理目標(biāo)：減少由利用公開的技術(shù)漏洞帶來(lái)的風(fēng)險(xiǎn)。 控制技術(shù)漏洞A.12.6.1 控制技術(shù)漏洞控制措施：應(yīng)及時(shí)獲得組織所使用的信息系統(tǒng)的技術(shù)漏洞的信息，評(píng)估組織對(duì)此類技術(shù)漏洞的保護(hù)，并采取適當(dāng)?shù)拇胧?。A.13 信息安全事件管理A.13.1 報(bào)告信息事件和弱點(diǎn)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施。 報(bào)告安全事件 報(bào)告安全弱點(diǎn)A.13.1.1報(bào)告信息安全事件控制措施：應(yīng)通過(guò)適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事件。A.13.1.2報(bào)告信息安全弱點(diǎn)控制措施：應(yīng)要求所有的員工、合同方和第三方用戶注意并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全弱點(diǎn)。A.13.2 對(duì)安全事件與

50、故障做出響應(yīng)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施。 職責(zé)和程序 從信息安全事故中學(xué)習(xí) 收集證據(jù)A.13.2.1職責(zé)和程序控制措施：應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事故。A.13.2.2從信息安全事件中學(xué)習(xí)控制措施：應(yīng)建立能夠量化和監(jiān)控信息安全事件的類型、數(shù)量、成本的機(jī)制。A.13.2.3收集證據(jù)控制措施：事件發(fā)生后，應(yīng)根據(jù)相關(guān)法律的規(guī)定（無(wú)論是民法還是刑法）跟蹤個(gè)人或組織的行動(dòng)，應(yīng)收集、保留證據(jù)，并以符合法律規(guī)定的形式提交。A.14 業(yè)務(wù)持續(xù)性管理目標(biāo):防止業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不會(huì)受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并確保他們的及時(shí)恢

51、復(fù) 在業(yè)務(wù)連續(xù)性管理過(guò)程中包含的信息安全 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估 制定并實(shí)施包含信息安全的連續(xù)性計(jì)劃 業(yè)務(wù)連續(xù)性計(jì)劃框架 BCP 的測(cè)試、保持和再評(píng)估A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面A.14.1.1在業(yè)務(wù)連續(xù)性管理過(guò)程中包含信息安全控制措施：應(yīng)在組織內(nèi)制定并保持業(yè)務(wù)連續(xù)性管理過(guò)程，該過(guò)程滿足組織的業(yè)務(wù)連續(xù)性對(duì)信息安全的要求。A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估控制措施：應(yīng)識(shí)別可能導(dǎo)致業(yè)務(wù)過(guò)程中斷的事件，這類中斷發(fā)生的可能性，以及它們對(duì)信息安全所造成的后果。A.14.1.3制定并實(shí)施包含信息安全的連續(xù)性計(jì)劃控制措施：應(yīng)制定并實(shí)施計(jì)劃，以確保在關(guān)鍵業(yè)務(wù)流程中斷或失效后能夠在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營(yíng)并確保信息的可用性。A.14.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架控制措施：應(yīng)保持一個(gè)單一的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃的一致性，以維護(hù)信息安全要求的一致性并識(shí)別測(cè)試和保持的優(yōu)先級(jí)。A.14.1.5BCP 的測(cè)試、保持和再評(píng)估控制措施：應(yīng)定期測(cè)試并更新BCP，以確保BCP 的及時(shí)性和有效性。A.15 符合性目標(biāo)：避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求 適用法律要求的識(shí)別 知識(shí)產(chǎn)權(quán)