汽車行業(yè)組織 信息安全管理體系 要求

1GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求。本標(biāo)準(zhǔn)還包括了通信技術(shù)服務(wù)商、汽車運營商、汽車數(shù)據(jù)服務(wù)商等組織建立信息GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于ISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（InformationGB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求3術(shù)語和定義對本文件特定條款的解釋或與該條款有關(guān)的2發(fā)生信息交換、信息發(fā)送、信息訪問、信息接收、信息交流等信息交互行為GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求4.1理解組織及其環(huán)境GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求4.2理解相關(guān)方的需求和期望3GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求4.3確定信息安全管理體系的范圍組織應(yīng)確定信息安全管理體系的邊界及其適用性，GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求4.4信息安全管理體系根據(jù)組織提供的產(chǎn)品和服務(wù)以及組織的性質(zhì)，本文件中基于GB/T22080GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求5.1領(lǐng)導(dǎo)和承諾a)確保建立了信息安全策略和信息安全b)確保信息安全管理體系要求整合到組織過程中；c)確保信息安全管理體系所需資源可用；4d)溝通有效的信息安全管理及符合信息安全管理體系要求的重要性；e)確保信息安全管理體系達(dá)到其預(yù)期結(jié)果；h)支持其他相關(guān)管理者角色，以證實他們的領(lǐng)導(dǎo)按角色應(yīng)用與其責(zé)任范圍。GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求5.2方針b)包括信息安全目標(biāo)（見6.2）或為設(shè)定信息安全目標(biāo)提供框架；GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求5.3組織的角色、責(zé)任和權(quán)限和服務(wù)，職責(zé)權(quán)限至少覆蓋組織運營、產(chǎn)品、服務(wù)等5GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求6.1.1總則GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求6.1.2信息安全風(fēng)險評估信息安全風(fēng)險評估組織應(yīng)定義并應(yīng)用信息安全風(fēng)險評估a)建立并維護(hù)信息安全風(fēng)險準(zhǔn)則，包括：b)確保反復(fù)的信息安全風(fēng)險評估產(chǎn)生一致的、有1）應(yīng)用信息安全風(fēng)險評估過程，以識別信息安全管理體系范圍內(nèi)與信息1)評估6.l.2c)1)中所識別的風(fēng)險發(fā)生后,可能導(dǎo)致的潛在2)評估6.1.2c)1)中所識別的風(fēng)險實際發(fā)生的可能性；6.1.2.1汽車行業(yè)組織信息安全風(fēng)6GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求6.1.3信息安全風(fēng)險處置a)在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上，選擇適合b)確定實現(xiàn)己選的信息安全風(fēng)險處置選項所注2：附錄A包含了控制目標(biāo)和控制的綜合d)制定一個適用性聲明，包含必要的控制［見6.1.3b)和6.1.3.1汽車行業(yè)組織信息安全風(fēng)GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃）；76.2.1信息安全目標(biāo)及其實現(xiàn)策劃--GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.1資源GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.2能力8組織應(yīng)有形成文件的信息，明確汽車首席信息安全數(shù)據(jù)安全管理人員能力的維持與改進(jìn)可通過從歷史的數(shù)據(jù)安全業(yè)務(wù)經(jīng)驗或從業(yè)界同類產(chǎn)品的經(jīng)驗網(wǎng)絡(luò)安全管理人員能力的維持與改進(jìn)可通過從歷史的網(wǎng)絡(luò)安全業(yè)務(wù)經(jīng)驗或從業(yè)界同類產(chǎn)品的經(jīng)驗9信息安全事件管理人員能力的維持與改進(jìn)應(yīng)通過信息安全事件的演練或參與信息安全事件處理進(jìn)GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.3意識組織應(yīng)建立并維護(hù)包括信息安全意識管理和持續(xù)改進(jìn)在內(nèi)的GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.4溝通組織應(yīng)確定與信息安全管理體系相關(guān)的內(nèi)部和外GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.5.1總則GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.5.2創(chuàng)建和更新）；b)格式（例如語言、軟件版本、圖表）和介質(zhì)（GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求7.5.3文件化信息的控制8.1運行規(guī)則和控制GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求8.1運行規(guī)則和控制為了滿足信息安全要求以及實現(xiàn)6.1中確定的措施，組織應(yīng)規(guī)劃、實現(xiàn)和控制所需要的過程。組組織應(yīng)保持文件化信息達(dá)到必要的程度，以確信這些過程按8.1.3汽車產(chǎn)品網(wǎng)絡(luò)信息安全運行控制8.1.4汽車數(shù)據(jù)安全運行控制GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求8.2信息安全風(fēng)險和評估組織應(yīng)考慮6.l.2a）所建立的準(zhǔn)則，按計劃的時間間隔，或當(dāng)重大變更提出或發(fā)生時，執(zhí)行信息GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求8.3信息安全風(fēng)險處置GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求9.1監(jiān)視、測量、分析和評價a)需要被監(jiān)視和測量的內(nèi)容，包括信b)適用的監(jiān)視、測量、分析和評價的方法，以確保得到有效9.1.1監(jiān)視與測量9.1.2分析與評價GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求9.2內(nèi)部審核組織應(yīng)依據(jù)信息安全風(fēng)險、內(nèi)部和外部信息安全反饋確定9.2.2技術(shù)符合性評審9.3管理評審GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求9.3管理評審9.3.1管理評審--補(bǔ)充GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求10.1不符合及糾正措施b)通過以下活動，評價采取消除不符合原因的措施的需求，以防止不符合再發(fā)生，或在其他組織應(yīng)在組織內(nèi)部傳達(dá)分析結(jié)果，如顧客有要求，應(yīng)向顧客GB/T22080—2016，信息技術(shù)安全技術(shù)信息安全管理體系要求10.2持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性A.5信息安全策略A.5.1信息安全管理指導(dǎo)A.5.1.1信息安全策略集應(yīng)被定義，由管理者批準(zhǔn)，并發(fā)布、傳達(dá)給所有員A.5.1.1.1信息安全策略--補(bǔ)充A.5.1.2應(yīng)按計劃的時間間隔或當(dāng)重大變化發(fā)生時進(jìn)行信息安全策略評審，A.6信息安全組織A.6.1.1A6.1.1.1信息安全的角色和責(zé)任--補(bǔ)充A.6.1.2A.6.1.3系A(chǔ).6.1.4應(yīng)維護(hù)與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的A.6.1.5A.6.2移動設(shè)備和遠(yuǎn)程工作A.6.2.1應(yīng)采用相應(yīng)的策略及其支持性的安全措施以管理由于使用移動設(shè)A.6.2.1.1移動設(shè)備策略--補(bǔ)充組織應(yīng)采用相應(yīng)的策略及其支持性的安全措施以管理生產(chǎn)環(huán)境下使用分布式的信息采集或控制設(shè)A.6.2.2應(yīng)實現(xiàn)相應(yīng)的策略及其支持性的安全措施，以保護(hù)在遠(yuǎn)程工作地點A.6.2.2.1遠(yuǎn)程工作--補(bǔ)充A.7人力資源安全A.7.1任用前A.7.1.1應(yīng)按照相關(guān)法律法規(guī)和道德規(guī)范，對所有任用候選者的背景進(jìn)行驗A.7.1.2應(yīng)在員工和合同方的合同協(xié)議中聲明他們和組織對信息安全的責(zé)A.7.2任用中A.7.2.1管理者應(yīng)宜要求所有員工和合同方按照組織已建立的策略和規(guī)程A.7.2.2A.7.2.2.1信息安全意識、教育和培訓(xùn)--補(bǔ)充A.7.2.3應(yīng)有正式的、旦已被傳達(dá)的違規(guī)處理過程以對信息安全違規(guī)的員工A.7.3任用的終止和變更A.7.3.1應(yīng)確定任用終止或變更后仍有效的信息安全責(zé)任及其職責(zé)，傳達(dá)至A.8.1有關(guān)資產(chǎn)的責(zé)任A.8.1.1應(yīng)識別信息，以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)，并編制A.8.1.1.1資產(chǎn)清單--補(bǔ)充A.8.1.2A.8.1.3用A.8.1.4所有員工和外部用戶在任用、合同或協(xié)議終止時，應(yīng)歸還其占用A.8.1.5顧客資產(chǎn)管理況的成文信息，如資產(chǎn)現(xiàn)狀、損失的影響、原A.8.1.6云資產(chǎn)管理A.8.2信息分級A.8.2.1A.8.2.1信息分級--補(bǔ)充A.8.2.2應(yīng)按照組織采用的信息分級方案，制定并實現(xiàn)一組適當(dāng)?shù)男畔?biāo)記A.8.2.3應(yīng)按照組織采用的信息分級方案，制定并實現(xiàn)A.8.2.4信息刪除A.8.2.5數(shù)據(jù)屏蔽A.8.2.6數(shù)據(jù)泄露防護(hù)A.8.3介質(zhì)處理A.8.3.1A.8.3.2A.8.3.3A.8.3.3.1樣車/樣件的運輸組織應(yīng)明確對樣車/樣件的運輸過程中的安全管理要求，對樣車/樣件進(jìn)行A.9訪問控制A.9.1訪問控制的業(yè)務(wù)要求A.9.1.1A.9.1.2應(yīng)僅向用戶提供他們已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服A.9.2用戶訪問管理A.9.2.1A.9.2.2A.9.2.3A.9.2.4A.9.2.5審A.9.2.6所有員工和外部用戶對信息和信息處理設(shè)施的訪問權(quán)在任用、合同A.9.3用戶責(zé)任A.9.3.1A.9.4系統(tǒng)和應(yīng)用訪問控制目標(biāo)：防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。A.9.4.1A.9.4.2A.9.4.3A.9.4.4對于可能超越系統(tǒng)和應(yīng)用控制的實用程序的使用應(yīng)予以限制并嚴(yán)格A.9.4.5A.10.1密碼控制A.10.1.1A.10.1.2應(yīng)制定和實現(xiàn)貫穿其全生命周期的密鑰使用、保A.10.1.2.1密鑰管理--補(bǔ)充應(yīng)定義和使用安全邊界來保護(hù)包含敏感或關(guān)鍵信息和信息處理設(shè)施A.11.1.2.1物理入口控制--補(bǔ)充A.11.1.3.1辦公室、房間和設(shè)施的安全保護(hù)--應(yīng)對保密級別較高的工業(yè)控制系統(tǒng)的安全區(qū)域采取更為嚴(yán)格的物理安應(yīng)設(shè)計和應(yīng)用物理保護(hù)以防自然災(zāi)害、惡意訪問點（例如交接區(qū)）和未授權(quán)人員可進(jìn)入的其他點應(yīng)加以控制，應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽、應(yīng)針對紙質(zhì)和可移動存儲介質(zhì)，采取清理桌面策略；應(yīng)針對信息處A.12運行安全A.12.1運行規(guī)程和責(zé)任A.12.1.1文件化的操作規(guī)程A.12.1.2應(yīng)控制影響信息安全的變更，包括組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更。A.12.1.3容量管理應(yīng)對資源的使用進(jìn)行監(jiān)視，調(diào)整和預(yù)測未來的容量需求，以確保所A.12.2.4應(yīng)分離開發(fā)、測試和運行環(huán)境，以降低對運行環(huán)境未授權(quán)訪問或變A.12.2惡意軟件防范A.12.2惡意軟件防范A.12.2.1應(yīng)實現(xiàn)檢測、預(yù)防和恢復(fù)控制以防范惡意軟件，并結(jié)合適當(dāng)?shù)挠脩鬉.12.3.1應(yīng)按照既定的備份策略，對信息、軟件和系統(tǒng)鏡像進(jìn)行備份，并定適用時，應(yīng)識別并滿足顧客對包括車載等系統(tǒng)信息備份的A.12.4.1應(yīng)產(chǎn)生、保持并定期評審記錄用戶活動、異常、錯誤和信息安全事A.12.4.2記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪A.12.4.3系統(tǒng)管理員和系統(tǒng)操作員活動應(yīng)記入日志，并對日志進(jìn)行保護(hù)和定對可獲得車輛關(guān)鍵信息訪問權(quán)限的管理員和操作員活動應(yīng)記入日志，并對日志進(jìn)行保護(hù)和定期評A.12.4.4A.12.5運行軟件控制A.12.5.1A.12.6技術(shù)方面的脆弱性管理A.12.6.1A.12.6.2A.12.7信息系統(tǒng)審計的考慮A.12.7.1A.13通信安全A.13.1.1A.13.1.2所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)級別和管理要求應(yīng)予以確定并包括A.13.1.3當(dāng)車載網(wǎng)絡(luò)采用域控時，組織應(yīng)明確網(wǎng)絡(luò)域A.13.2信息傳輸A.13.2.1應(yīng)有正式的傳輸策略、規(guī)程和控制，以保護(hù)通過使用各種類型通信A.13.2.2A.13.2.3A.13.2.4議應(yīng)識別、定期評審和文件化反映組織信息保護(hù)需要的保密性或不泄A.14系統(tǒng)獲取、開發(fā)和維護(hù)A.14.1信息系統(tǒng)的安全要求A.14.1.1新建信息系統(tǒng)或增強(qiáng)現(xiàn)有信息系統(tǒng)的要求中應(yīng)包括信息安全相關(guān)要A.14.1.1.1信息安全要求分析和說明-A.14.1.2應(yīng)保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)中的信息以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的泄露和修改。A.14.1.2公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全A.14.1.3應(yīng)保護(hù)應(yīng)用服務(wù)事務(wù)中的信息，以防止不完整的傳輸、錯誤路由、A.14.2開發(fā)和支持過程中的安全A.14.2.1A.14.2.2程A.14.2.3審A.14.2.3運行平臺變更后對應(yīng)用的運行平臺變更時，應(yīng)以包括工業(yè)控制系統(tǒng)和車載系統(tǒng)在內(nèi)的關(guān)鍵應(yīng)A.14.2.4制A.14.2.5則應(yīng)建立、文件化和維護(hù)系統(tǒng)安全工程原則，并應(yīng)用到任何信息系統(tǒng)A.14.2.6組織應(yīng)針對覆蓋系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成活動，建立安A.14.2.7外包開發(fā)A.14.2.8A.14.2.9應(yīng)建立對新的信息系統(tǒng)、升級及新版本的驗收測試方案和相關(guān)準(zhǔn)A.14.3測試數(shù)據(jù)A.14.3.1A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系中的信息安全A.15.1.1為降低供應(yīng)商訪問組織資產(chǎn)的相關(guān)風(fēng)險，應(yīng)與供應(yīng)商就信息安全要A.15.1.2應(yīng)與每個可能訪問、處理、存儲、傳遞組織信息或為組織信息提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立所有相關(guān)的信息安全要求，并達(dá)成A.15.1.3應(yīng)商協(xié)議應(yīng)包括信息與通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)的信息安A.15.1.4供應(yīng)商能力確認(rèn)應(yīng)對各類供應(yīng)商及其訪問的信息安全進(jìn)行監(jiān)視和評價。適用時，開展供應(yīng)A.15.2供應(yīng)商服務(wù)交付管理A.15.2.1A.15.2.2應(yīng)管理供應(yīng)商所提供服務(wù)的變更，包括維護(hù)和改進(jìn)現(xiàn)有的信息安全A.16信息安全事件管理A.16.1信息安全事件的管理和改進(jìn)A.16.1.1應(yīng)建立管理責(zé)任和規(guī)程，以確?？焖佟⒂行Ш陀行虻仨憫?yīng)信息安全A.16.1.2態(tài)A.16.1.3點應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和合同方注意并報告任何觀A.16.1.4A.16.1.5應(yīng)按照文件化的規(guī)程響應(yīng)信息安全事件。A.16.1.6從信息安全事件應(yīng)利用在分析和解決信息安全事件中得到的知識來減少未來事件發(fā)A.16.1.7組織