安全合規(guī)ISO27001介紹（附錄）

安全合規(guī)ISO27001介紹（附錄）五信息安全戰(zhàn)略5.1信息安全的管理方向目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)?供管理方向并支持信息安全。章節(jié)概要說明5.1.1信息安全策略控制措施信息安全策略集應(yīng)由管理者定義、批準(zhǔn)、發(fā)布并傳達(dá)給員工和相關(guān)外部方5.1.2信息安全策略的評審控制措施信息安全策略應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行評審，以確保其持續(xù)的適宜性、充分性和有效性。六信息安全組織6.1內(nèi)部組織目標(biāo)：建立管理框架，以啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施和運(yùn)行。章節(jié)概要說明6.1.1信息安全角色和職責(zé)控制措施所有的信息安全職責(zé)應(yīng)予以定義和分配。6.1.2職責(zé)分離控制措施分離相沖突的責(zé)任及職責(zé)范圍，以降低未授權(quán)或無意識的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會。6.1.3與政府部門的聯(lián)系控制措施應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。6.1.4與特定利益集團(tuán)的聯(lián)系控制措施應(yīng)保持與特定利益集團(tuán)、其他安全論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系。6.1.5項(xiàng)目管理中的信息安全控制措施無論項(xiàng)目是什么類型，在項(xiàng)目管理中都應(yīng)處理信息安全問題。6.2移動(dòng)設(shè)備和遠(yuǎn)程工作目標(biāo)：確保遠(yuǎn)程工作和使用移動(dòng)設(shè)備時(shí)的安全。章節(jié)概要說明6.2.1移動(dòng)設(shè)備策略控制措施應(yīng)采用策略和支持性安全措施來管理由于使用移動(dòng)設(shè)備帶來的風(fēng)險(xiǎn)。6.2.2遠(yuǎn)程工作控制措施應(yīng)實(shí)施策略和支持性安全措施來保護(hù)在遠(yuǎn)程工作場地訪問、處理或存儲的信息。七人力資源安全7.1任用之前目標(biāo)：確保雇員和承包方人員理解其職責(zé)、適于考慮讓其承擔(dān)的角色。章節(jié)概要說明7.1.1審查控制措施關(guān)于所有任用候選者的背景驗(yàn)證核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求、被訪問信息的類別和察覺的風(fēng)險(xiǎn)來執(zhí)行。7.1.2任用條款和條件控制措施與雇員和承包方人員的合同協(xié)議應(yīng)聲明他們和組織的信息安全職責(zé)。7.2任用中目標(biāo)：確保雇員和承包方人員知悉并履行其信息安全職責(zé)。章節(jié)概要說明7.2.1管理職責(zé)控制措施管理者應(yīng)要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對信息安全盡心盡力。7.2.2信息安全意識、教育和培訓(xùn)控制措施組織的所有雇員，適當(dāng)時(shí)，包括承包方人員，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R培訓(xùn)和組織策略及規(guī)程的定期更新培訓(xùn)。7.2.3紀(jì)律處理過程控制措施應(yīng)有一個(gè)正式的、已傳達(dá)的紀(jì)律處理過程，來對信息安全違規(guī)的雇員采取措施。7.3任用的終止或變更目標(biāo)：將保護(hù)組織利益作為變更或終止任用過程的一部分。章節(jié)概要說明7.3.1任用終止或變更職責(zé)控制措施應(yīng)定義信息安全職責(zé)和義務(wù)在任用終止或變更后保持有效的要求，并傳達(dá)給雇員或承包方人員，予以執(zhí)行。八資產(chǎn)管理8.1對資產(chǎn)負(fù)責(zé)目標(biāo)：識別組織資產(chǎn)，并定義適當(dāng)?shù)谋Ｗo(hù)職責(zé)。章節(jié)概要說明8.1.1資產(chǎn)清單控制措施應(yīng)識別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單。8.1.2資產(chǎn)所有權(quán)控制措施清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。8.1.3資產(chǎn)的可接受使用控制措施信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。8.1.4資產(chǎn)的歸還控制措施所有的雇員和外部方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。8.2信息分類目標(biāo)：確保信息按照其對組織的重要性受到適當(dāng)級別的保護(hù)。章節(jié)概要說明8.2.1信息的分類控制措施信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它對未授權(quán)泄露或修改的敏感性予以分類。8.2.2信息的標(biāo)記控制措施應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記規(guī)程。8.2.3信息的處理控制措施應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施處理資產(chǎn)的規(guī)程。8.3介質(zhì)處置目標(biāo)：防止存儲在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動(dòng)或銷毀。章節(jié)概要說明8.3.1可移動(dòng)介質(zhì)的管理控制措施應(yīng)按照組織所采納的分類機(jī)制實(shí)施可移動(dòng)介質(zhì)的管理規(guī)程。8.3.2介質(zhì)的處置控制措施不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。8.3.3物理介質(zhì)傳輸控制措施包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或毀壞。九訪問控制9.1安全區(qū)域目標(biāo)：限制對信息和信息處理設(shè)施的訪問。章節(jié)概要說明9.1.1訪問控制策略控制措施訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和信息安全要求進(jìn)行評審。9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制措施用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。9.2用戶訪問管理目標(biāo)：確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問。章節(jié)概要說明9.2.1用戶注冊及注銷控制措施應(yīng)實(shí)施正式的用戶注冊及注銷規(guī)程，使訪問權(quán)限得以分配。9.2.2用戶訪問開通控制措施應(yīng)實(shí)施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務(wù)所有用戶類型的訪問權(quán)限。9.2.3特殊訪問權(quán)限管理控制措施應(yīng)限制和控制特殊訪問權(quán)限的分配及使用。9.2.4用戶秘密鑒別信息管理控制措施應(yīng)通過正式的管理過程控制秘密鑒別信息的分配。9.2.5用戶訪問權(quán)限的復(fù)查控制措施資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問權(quán)限。9.2.6撤銷或調(diào)整訪問權(quán)限控制措施所有雇員、外部方人員對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在任用、合同或協(xié)議終止時(shí)撤銷，或在變化時(shí)調(diào)整。9.3用戶職責(zé)目標(biāo)：使用戶承擔(dān)保護(hù)認(rèn)證信息安全的責(zé)任。章節(jié)概要說明9.3.1使用秘密鑒別信息控制措施應(yīng)要求用戶在使用秘密鑒別信息時(shí)，遵循組織的實(shí)踐。9.4系統(tǒng)和應(yīng)用訪問控制目標(biāo)：防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。章節(jié)概要說明9.4.1信息訪問控制控制措施應(yīng)依照訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪問。9.4.2安全登錄規(guī)程控制措施在訪問控制策略要求下，訪問操作系統(tǒng)和應(yīng)用應(yīng)通過安全登錄規(guī)程加以控制。9.4.3口令管理系統(tǒng)控制措施口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。9.4.4特殊權(quán)限使用工具軟件的使用控制措施對于可能超越系統(tǒng)和應(yīng)用程序控制措施的適用工具軟件的使用應(yīng)加以限制并嚴(yán)格控制。9.4.5對程序源代碼的訪問控制控制措施應(yīng)限制訪問程序源代碼。十密碼學(xué)10.1密碼控制目標(biāo)：恰當(dāng)和有效的利用密碼學(xué)保護(hù)信息的保密性、真實(shí)性或完整性。章節(jié)概要說明10.1.1使用密碼控制的策略控制措施應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略。10.1.2密鑰管理控制措施宜開發(fā)和實(shí)施貫穿整個(gè)密鑰生命周期的關(guān)于密鑰使用、保護(hù)和生存期的策略。十一物理和環(huán)境安全11.1安全區(qū)域目標(biāo)：防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。章節(jié)概要說明11.1.1物理安全周邊控制措施應(yīng)定義安全周邊和所保護(hù)的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設(shè)施的區(qū)域。11.1.2物理入口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。11.1.3辦公室、房間和設(shè)施的安全保護(hù)控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施。11.1.4外部環(huán)境威脅的安全防護(hù)控制措施為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。11.1.5在安全區(qū)域工作控制措施應(yīng)設(shè)計(jì)和應(yīng)用工作在安全區(qū)域的規(guī)程。11.1.6交接區(qū)安全控制措施訪問點(diǎn)(例如交接區(qū))和未授權(quán)人員可進(jìn)入辦公場所的其他點(diǎn)應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問。11.2設(shè)備目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷。章節(jié)概要說明11.2.1設(shè)備安置和保護(hù)控制措施應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會。11.2.2支持性設(shè)施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。11.2.3布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。11.2.4設(shè)備維護(hù)控制措施設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。11.2.5資產(chǎn)的移動(dòng)控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。11.2.6組織場外設(shè)備和資產(chǎn)的安全控制措施應(yīng)對組織場所外的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風(fēng)險(xiǎn)。11.2.7設(shè)備的安全處置或在利用控制措施包含儲存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行驗(yàn)證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。11.2.8無人值守的用戶設(shè)備控制措施用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。11.2.9清空桌面和屏幕策略控制措施應(yīng)采取清空桌面上文件、可移動(dòng)存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。十二操作安全12.1操作規(guī)程和職責(zé)目標(biāo)：確保正確、安全的操作信息處理設(shè)施。章節(jié)概要說明12.1.1文件化的操作規(guī)程控制措施操作規(guī)程應(yīng)形成文件并對所有需要的用戶可用。12.1.2變更管理控制措施對影響信息安全的組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)等的變更應(yīng)加以控制。12.1.3容量管理控制措施資源的使用應(yīng)加以監(jiān)視、調(diào)整，并作出對于未來容量要求的預(yù)測，以確保擁有所需的系統(tǒng)性能。12.1.4開發(fā)、測試和運(yùn)行環(huán)境分離控制措施開發(fā)、測試和運(yùn)行環(huán)境應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行環(huán)境的風(fēng)險(xiǎn)。12.2惡意軟件防護(hù)目標(biāo)：確保對信息和信息處理設(shè)施進(jìn)行惡意軟件防護(hù)。章節(jié)概要說明12.2.1控制惡意軟件控制措施應(yīng)實(shí)施惡意軟件的檢測、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R。12.3備份目標(biāo)：為了防止數(shù)據(jù)丟失。章節(jié)概要說明12.3.1信息備份控制措施應(yīng)按照已設(shè)的備份策略，定期備份和測試信息和軟件。12.4日志和監(jiān)視目標(biāo)：記錄事態(tài)和生成證據(jù)。章節(jié)概要說明12.4.1事態(tài)記錄控制措施應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常情況、故障和信息安全事態(tài)的事態(tài)日志，并保持定期評審。12.4.2日志信息的保護(hù)控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。12.4.3管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)應(yīng)記入日志，保護(hù)日志并定期評審。12.4.4時(shí)鐘同步控制措施一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用單一參考時(shí)間源進(jìn)行同步。12.5運(yùn)行軟件的控制目標(biāo)：確保運(yùn)行系統(tǒng)的完整性。章節(jié)概要說明12.5.1在運(yùn)行系統(tǒng)上安裝軟件控制措施應(yīng)實(shí)施規(guī)程來控制在運(yùn)行系統(tǒng)上安裝軟件。12.6技術(shù)脆弱性管理目標(biāo)：防止技術(shù)脆弱性被利用。章節(jié)概要說明12.6.1技術(shù)脆弱性的控制控制措施應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評價(jià)組織對這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險(xiǎn)。12.6.2限制軟件安裝控制措施應(yīng)建立和實(shí)施軟件安裝的用戶管理規(guī)則。12.7信息系統(tǒng)審計(jì)考慮目標(biāo)：將運(yùn)行系統(tǒng)審計(jì)活動(dòng)的影響最小化。章節(jié)概要說明12.7.1信息系統(tǒng)審計(jì)控制措施控制措施涉及對運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便使造成業(yè)務(wù)過程中斷最小化。十三通信安全13.1網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性信息處理設(shè)施。章節(jié)概要說明13.1.1網(wǎng)絡(luò)控制控制措施應(yīng)管理和控制網(wǎng)絡(luò)，以保護(hù)系統(tǒng)中信息和應(yīng)用程序的安全。13.1.2網(wǎng)絡(luò)服務(wù)安全控制措施安全機(jī)制、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部?供的還是外包的。13.1.3網(wǎng)絡(luò)隔離控制措施應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。13.2信息傳遞目標(biāo)：保持組織內(nèi)以及與組織外信息傳遞的安全。章節(jié)概要說明13.2.1信息傳遞策略和規(guī)程控制措施應(yīng)有正式的傳遞策略、規(guī)程和控制措施，以保護(hù)通過使用各種類型通信設(shè)施的信息傳遞。13.2.2信息傳遞協(xié)議控制措施協(xié)議應(yīng)解決組織與外部方之間業(yè)務(wù)信息的安全傳遞。13.2.3電子消息發(fā)送控制措施包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)。13.2.4保密性或不泄露協(xié)議控制措施應(yīng)識別、定期評審并記錄反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。十四系統(tǒng)獲取、開發(fā)和維護(hù)14.1信息系統(tǒng)的安全需求目標(biāo)：確保信息安全是信息系統(tǒng)整個(gè)生命周期中的一個(gè)有機(jī)組成部分。這也包括?供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求。章節(jié)概要說明14.1.1信息安全要求分析和說明控制措施信息安全相關(guān)要求應(yīng)包括新的信息系統(tǒng)要求或增強(qiáng)已有信息系統(tǒng)的要求。14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)安全控制措施應(yīng)保護(hù)公共網(wǎng)絡(luò)中的應(yīng)用服務(wù)信息，以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改。14.1.3保護(hù)應(yīng)用服務(wù)交易控制措施應(yīng)保護(hù)涉及應(yīng)用服務(wù)交易的信息，以防止不完整傳送、錯(cuò)誤路由、未授權(quán)消息變更、未授權(quán)泄露、未授權(quán)消息復(fù)制或重放。14.2開發(fā)和支持過程中的安全目標(biāo)：應(yīng)確保進(jìn)行信息安全設(shè)計(jì)，并確保其在信息系統(tǒng)開發(fā)生命周期中實(shí)施。章節(jié)概要說明14.2.1安全開發(fā)策略控制措施應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則，并應(yīng)用于組織內(nèi)的開發(fā)。14.2.2系統(tǒng)變更控制規(guī)程控制措施應(yīng)通過使用正式變更控制程序控制開發(fā)生命周期中的系統(tǒng)變更。14.2.3運(yùn)行平臺變更后應(yīng)用的技術(shù)評審控制措施當(dāng)運(yùn)行平臺發(fā)生變更時(shí)，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運(yùn)行和安全沒有負(fù)面影響。14.2.4軟件包變更的限制控制措施應(yīng)對軟件包的修改進(jìn)行勸阻，只限于必要的變更，且對所有的變更加以嚴(yán)格控制。14.2.5安全系統(tǒng)工程原則控制措施應(yīng)建立、記錄和維護(hù)安全系統(tǒng)工程原則，并應(yīng)用到任何信息系統(tǒng)實(shí)施工作。14.2.6安全開發(fā)環(huán)境控制措施組織應(yīng)建立并適當(dāng)保護(hù)系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境，覆蓋整個(gè)系統(tǒng)開發(fā)生命周期。14.2.7外包開發(fā)控制措施組織應(yīng)管理和監(jiān)視外包系統(tǒng)開發(fā)活動(dòng)。14.2.8系統(tǒng)安全測試控制措施在開發(fā)過程中，應(yīng)進(jìn)行安全功能測試。14.2.9系統(tǒng)驗(yàn)收測試控制措施對于新建信息系統(tǒng)和新版本升級系統(tǒng)，應(yīng)建立驗(yàn)收測試方案和相關(guān)準(zhǔn)則。14.3測試數(shù)據(jù)目標(biāo)：確保保護(hù)測試數(shù)據(jù)。章節(jié)概要說明14.3.1系統(tǒng)測試數(shù)據(jù)的保護(hù)控制措施測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。十五供應(yīng)商關(guān)系15.1供應(yīng)商關(guān)系的信息安全目標(biāo)：確保保護(hù)可被供應(yīng)商訪問的組織資產(chǎn)。章節(jié)概要說明15.1.1供應(yīng)商關(guān)系的信息安全策略控制措施為減緩供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險(xiǎn)，應(yīng)與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求。15.1.2處理供應(yīng)商協(xié)議的安全問題控制措施應(yīng)與每個(gè)可能訪問、處理、存儲組織信息、與組織進(jìn)行通信或?yàn)榻M織提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立并協(xié)商所有相關(guān)的信息安全要求。15.1.3信息和通信技術(shù)供應(yīng)鏈控制措施供應(yīng)商協(xié)議應(yīng)包括信息和通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)信息安全風(fēng)險(xiǎn)處理的要求。15.2供應(yīng)商服務(wù)交付管理目標(biāo)：保持符合供應(yīng)商交付協(xié)議的信息安全和服務(wù)交付的商定水準(zhǔn)。章節(jié)概要說明15.2.1供應(yīng)商服務(wù)的監(jiān)視和評審控制措施組織應(yīng)定期監(jiān)視、評審和審計(jì)供應(yīng)商服務(wù)交付。15.2.2供應(yīng)商服務(wù)的變更管理控制措施應(yīng)管理供應(yīng)商服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)信息、系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評估。十六信息安全事件管理16.1信息安全事件和改進(jìn)的管理目標(biāo)：確保采用一致和有效的方法對信息安全事件進(jìn)行管理，包括安全事件和弱點(diǎn)的傳達(dá)。章節(jié)概要說明16.1.1職責(zé)和規(guī)程控制措施應(yīng)建立管理職責(zé)和規(guī)程，以確?？焖佟⒂行Ш陀行虻仨憫?yīng)信息安全事件。16.1.2報(bào)告信息安全事態(tài)控制措施信息安全事態(tài)應(yīng)盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告。16.1.3報(bào)告信息安全弱點(diǎn)控制措施應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的所有雇員和承包方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。16.1.4評估和確定信息安全事態(tài)控制措施信息安全事態(tài)應(yīng)被評估，并且確定是否劃分成信息安全事件。16.1.5信息安全事件響應(yīng)控制措施應(yīng)具有與信息安全事件響應(yīng)相一致的文件化規(guī)程。16.1.6對信息安全事件的總結(jié)控制措施獲取信息安全事件分析和解決的知識應(yīng)被用戶降低將來事件發(fā)生的可能性或影響。16.1.7證據(jù)的收集控制措施組織應(yīng)定義和應(yīng)用識別、收集、獲取和保存信息的程序，這些信息可以作為證據(jù)。十七業(yè)務(wù)連續(xù)性管理的信息安全方面17.1信息安全連續(xù)性目標(biāo)：組織的業(yè)務(wù)連續(xù)性管理體系中應(yīng)體現(xiàn)信息安全連續(xù)性。章節(jié)概要說明17.1.1信息安全連續(xù)性計(jì)劃控制措施組織應(yīng)確定不利情況下(例如，一個(gè)危機(jī)或危難時(shí))信息安全的要求和信息安全管理連續(xù)性。17.1.2實(shí)施信息安全連續(xù)性計(jì)劃控制措施組織應(yīng)建立、文件化、實(shí)施和維護(hù)過程、規(guī)程和控制措施，確保在負(fù)面情況下要求的信息安全連續(xù)性級