信息安全、網(wǎng)絡安全和隱私保護-信息安全控制清單

值息安全、網(wǎng)絡安全和隱私保護一值息安全控制清單

(基于IS0/IEC270O2-2022《信息安全、網(wǎng)絡安全和隱私保掙一信息安全控制》娟制)

要素歸號子要素館息安全控制目標18息安全控IW拄網(wǎng)要點信惠安全控制技制內(nèi)容與要求

⑴定義信息安全方豺：

?煙料應明IMS息安全的核心此則WHte.這紇蛇則和11標位＞綱織的業(yè)務H求加法律法加展求H一致.

??，：為乜定更具體的侑息安全策降提供指導.

(1)嫡立第織的信◎安全指導必明.明

⑵初定特定土地策略：

卡甘理以對傷鹿安全的承諾和支招：

檢定義但￡1安全方什和特?根州信息安全方計，41統(tǒng)應識別關鍵.資產(chǎn)并刎定相應的佻護措蛤.

⑵制定特定主脖鍍略以保護關《!化

定主對策筆.由甘理層依.特定土密或略可能包括(H不碌T怎M保護.訪問拴也.秦線安全,M格通忖安全崢“

。皆產(chǎn).嫡保伯￡1例機潴性.先攀性

5

準K發(fā)布.愴達并讓槍關⑶皆丹房批準與發(fā)布：

和可用性：

信息女儻策略工作人貝和相關方知悉,?佑必安全策修和方針必縝御劑it理型的正式批準，并碣保其內(nèi)容與綱織的牧略”鈾和業(yè)務需求舊吸.

5.1(3)通過有效傳達策略，提升全員信息

如織

按計劃的時同同m以及在?批范a的心，J安全策略疲通過正式柒詢發(fā)h.班％wr〃｛工書人員和相關方能魴在取并理解，

交全通識和行為臺視性：

柱M發(fā)生加大變更時刻共進行⑷策略傳達與培訓：

(。定期挪中和更新SWh以造檄8織

評審?稅加應通過培訓、幺議、內(nèi)部通解等方式,向相關工作人員和機關方有效除達信慰安全薇略的內(nèi)部和要求.

變化和外部環(huán)埴,從而生護佑息次全

?貨_1收接曳天Ttfl總■安金坡6田用1L開I3如實向＜1.作中限儲送受氽略“

訐理體家的持續(xù)有效性和道立性.

⑸定期普中與史新：

?佑息安全潴略應按計以的時何間隔在行定期評審.以譜僅其仍然有效井近應諭雙當前的傷息安全需求.

.在發(fā)生m大變史(如核木叱葉.業(yè)務授式變化普)時,也應時伍恩支至策略進行坦時評審和史教.

(D明確用色》聯(lián)好：造保沮織內(nèi)部有

叫璃的信息安全用色和職費分配，a

(1)定義信恩安全角色1根W組投的業(yè)務能來租找校,明晚諛立知信恩安全盲(CISO).信息安全分析Mh安全管理員等關電信息安全角色，

他在俏息安全事件發(fā)生時掛夠迅速枸

U以安全角色(30安全角色和貨任向楸媯⑵分配明編的愷息安全費任：為每個愷息安會角色分配清防的貨任依陽.班保各個州色之間的職,不由&IL弒船所才關緘僧.0安全鋤域.

5.2電

加責任祖織需求迸后定義和分配(3)建立責任班昨：制定一個詳細的貨任班陣，列出作個信息安全職隨及其對應的負費人員?以便干竹理。邊貨?

(2)有效管理：通過合理分配信.□安全

G)定則評審和更新角色與我任，的曾姐想發(fā)艮和外郃環(huán)域的變化，定期才本和史新(S恩安全角色和揖住分配.

的色相選任.實現(xiàn)信電安全的仃效管

?.降低交攵風險.

“｝業(yè)務活動的核準.記京，經(jīng)辦及“(D識別沖突職費，

物的分寓：要求業(yè)務役作的各個環(huán)節(jié)..怨枳我識別那些在執(zhí)行過雙中可能存在冷突或濫用W險的職防和訪任翹IH.

如核4、記聚，姓辦以及財物的計理.這包括但不限于?財務審妣、m統(tǒng)檢理和審計等美鍵職能.

應分典相無?!?突的我戲和去

5.3W的分高號，應由不w的人員負由，a實現(xiàn)相⑵切定分離計劃：

仔依眼

.設計井實的一個明確的計劃.珞沖突的職責分配給不同的個人成㈤隊.

(2)防止權力阻廢鬃中:通過職員分.耐保沒。人能就象強控切一個海程的全的美健環(huán)節(jié),從而降低內(nèi)部欺詐和帽狀的時險.

%.就免埴-人/或部門柳行過冬的(3)實施總儕和M存仲UM：

??編號子要素估息安金控X目標信息安全按1M控制要點值患安全控制控制內(nèi)容與要求

以〃和俗M?從而M少內(nèi)卻欺祥和■.世豈獨立的陷餌機別?珈內(nèi)部中計的門,以品仔和驗任職責分離的突傕俯況.

用取權M3陵.?碓僅XIU貨之何悌內(nèi)切衡.圖先出現(xiàn)不一權力點.

⑶提詢信恩安全管理的有效性和透“)定劃評審和更新1

W慢：明加的脫奇分離H助丁增必的.定期許中職說分醫(yī)的實陸情況.助優(yōu)乳?仍然的效并培液虱織的殳化.

0安全鐘理的效果,井確保相關操作?根t?業(yè)務發(fā)改和外部W境的變化.及時聘祭職費分配和初衡WIL

的透明性和可迫需性.(5)記求和監(jiān)控，

.記錄職音分!E刊變更情況.以便迫踩和審計，

?收校職？i分圖的實(6效果.及時發(fā)現(xiàn)何a并進行肉祭.

(1)明造優(yōu)包安全選任，姐姐應確保所盯工作人員那浩比理斛并接受他打在信總支全方卸的責任.這包括有保他打卯解組織的信息安全方計.

特定主1S的儂略以及他們」:作所落虎御由規(guī)界.

管理層應嬰求所”工作人

(2)優(yōu)總安全方斜的傳達：管理層應購保優(yōu)電安全方“用列充分的傳達和解酢,以使所有工作人員就住腳狎甘足含義。并在日常工作中忌用.

隔保管理以要求所在工作人員通篦出

員根1K機織已建點的倍g

織既定的信息安全力計、策咕和猊特定主魁策略和規(guī)程的女俺：除了信息安全方計外,竹理層還應跑呢所盯工作人員了道井邊仍適用『他打織我的將定主睡策略和規(guī)程,這

次全方針?特定主魅策略

5.4靜理我任

出.以㈱行能力的怙恁安全貨任.從可能包括忖川制定系及.應用或數(shù)期處理帔將正安全復求，

粕胡程.履行倡恩及全費

而簫護州以信息資產(chǎn)的安仝和完整性(3)培訓和較fi：為了支持工作人3履行M怕總發(fā)生責任,組綱應提供城力的培川和軟〃機會.以確保他必要的加正和技能.

'

“)依存和審核：轉理層應定期判工作人為信恩安全貢任的情況進行跣％和審核,以確保籽介饑織的：電安全方斜、成路和觀程.這nJ能

包括松森”金.進行安全審計以及許枯工作人員對信息安全姿求的愛守情況，

(D坳定相關職能機構：

(D建立和維護。肌能機構的聯(lián)票：組.41段應首光明南見”機能機構與大業(yè)多機關,包括但不以卜數(shù)據(jù)俱護機構、行業(yè)監(jiān)甘機構,執(zhí)法能門的.

班應叼相關的職能機構(G盤管機構、⑵it"我樂機Bh

執(zhí)法部門、行業(yè)協(xié)會等)也立正式的.設立專門的雙系人聯(lián)用隊負責與達人職娥機構進行溝刈.

聯(lián)系乘道.并的保這些公道的暢通和?胡定并定叫史新與這些機構聯(lián)系的只體力式和架道，如電子他件、電話、幺議等.

行效性.(3)黃護聯(lián)茶?

(2)及附昧取和狗足扭導：地過與職倭.定期組織會設或通話.以驗保雙方2間的溝歡暢必.

機構的聯(lián)系，ill依總能好及時荻JU關?及時響應職能機構的會詢和請求?提供必要的信息和支持-

叼雙能機構的制織鹿比豆并蛭護“樹關隊

5.5于信息安全.M絡安全和R14保滬的3)俏恩共享與史新?

聯(lián)痂能機構的獻票

MWISS?.政策變化和要求.以便及.向相關職住磯和提佻如織的信.0安多政策、實成和11件南次計劃￥怕￡?

H洶整門JJ的安全溫格和濟瓶.?從職能機構獲取最新的泄憂、拒后方甘和安全健議?也保組織的倍思安全插時符合最新的認和EL業(yè)JML

(3)合作與位您我Mi與職般機構保排(5)合作與的調(diào)，

超切我素.力助于組猊在面臨安全成.在面臨底火伯口喪全串11或械臥射.與職能機構竄潴合作.共同應對.

協(xié)或事件時，陵/快速獲得支持和特?參與職能機構加現(xiàn)的研討幺、增利小文薄利動，提升稅次的信恩安全彥識和質力.

助,同時也帷夠St進俏總共享和悔忡.⑹記錄和監(jiān)控，

共同以“整個行業(yè)的安全水平..記雜叼職1ft機構的所右山要溝通和合作活動.

?此也與職能機構狀系⑦軟梁.以及時M整聯(lián)篇策略.

??編號子要素估息安金控&目標信息安全控1M控制要點值患安全控制控制內(nèi)容與要求

(1)增定關僦相大方：

C)建立方雄儼聯(lián)取月斗.蛆加修忖定?明陶組加第變硬在我家的特定和大才，如大逑伐4”，業(yè)務介作伙伴、行業(yè)協(xié)會等?

相關方(如傀應海、客戶.合作伙ft?設切并列出這空相關方的聯(lián)系方式「溝道集迤，

等)或t?業(yè)我全論壇及防會保神宓切(2)建立聯(lián)家機澗：

聯(lián)耒,構建?個優(yōu)題共享和協(xié)作的網(wǎng)?貝立專門俏聯(lián)愛人或團隊,負友與特定相關方班什溝通與徐謂?

行.?IH定并定期更新與這些相關方的聯(lián)系計劃.包括定用公火.通訊交流等.

(2)及附&取學業(yè)知識和支持：通道以(3)信慰共享與的作，

這N好定相關方的聯(lián)系.加織健螃及.與相關方分享加織的怡◎.安全政策和實踐.以便彼此了解外出同工作.

時次取外狂的行業(yè)動態(tài).安全或的佻?及時從相關力慶取以新的安全成的仲報、行業(yè)動怎和會找要來.

報以及力業(yè)的技術支將.從而提升門陰織應噩立并雄護與特定“)檢與力業(yè)論域和協(xié)會，

F存定相關力

5.6號的佇息安全防護能力.相關力或其他專業(yè)安全論?積世疊加怡@安全相關的專業(yè)論壇、研館會和出金活動.

的聯(lián)嬴

@)增強廢但響應隨力：在面伍次全事壇和書業(yè)附會的聯(lián)條?訂閩行業(yè)內(nèi)的專業(yè)期刊、新聞資訊，保持“行業(yè)動態(tài)的她!?性.

件或成物時,能修快速從相關方在取⑸if立底芻響應機刎，

衲助.攆B41投的庖名哨血速度和效?與相X方共同網(wǎng)定應您叫皎計劃.乂便在面臨發(fā)生事件時能算快速出同應對.

.定期遂行應總響應演練,曲保各方：何的林作流物仃軟.

(的此理；『魏巧初；鼻陽實如?41IJ14V16J1；定叼林隹的益(tti

業(yè)論壇和協(xié)會的女源.了解并垠?劃過與弘業(yè)論％和出去的交由.及時了解并遽新的伯恩安全標準和合規(guī)要求.

新的信電安全標滯和合規(guī)要求，班許?確佻州爾的俏。安全女踐符合行業(yè)強任實踐，并極州需要進行調(diào)整和改也.

相織的伉◎.安全父現(xiàn)符合行業(yè)第住女(力記求和監(jiān)控?

踐..記錄與特定相關方的所*PR要溝通/合作活動.

?定期評估與特定相關方或樂的效果,以使及時餌常聯(lián)殺了略.

(1)讓立或的情報收案機制，

?歡文專門的帙物外報救生集道?包打出不僅R4F安全公缶.行業(yè)報告、加彳論壇等.

?利用技術手段，如入侵檢潴系統(tǒng)(呸)、安全信電和事件it理＜SIDI)泵統(tǒng)等，自動化收集岐的桁關佑”

(2)分析或脅餓報，

賄保ifl加能夠及時收集、分析和用

.設立歲門的接物結報分析團隊或委抵第三方透行分析.

川信息支全峨的相關的傷恩,從而應僅夔井分析傷總安全城的

?對收集列的成物相關傷總進行渾入分析，識別潛在的故構和攻擊模火.

H效識別、評估和血對泄在的信◎相關的估息.以生成成馬怖

?將分析結果。如織的伍慰泰統(tǒng)神仍環(huán)堆相結合，評枯潛在風陂.

安全風險.提升加權的信.已安全防報

(3)制定成對錯旅2

步能力和響應注陵,

?根據(jù)戒格情報的分析飭果,的

?定期“姐織的安全策咕送行審友和小新?以跑保其有效性。

⑷瓏立反俄機制，

?將威脅情報的才析”果。用稅的實際安全小件相結合.形成反饋循環(huán).

??編號子要素估思安金控8目標信息安全按1M控制要點值患安全控制控制內(nèi)容與要求

.根據(jù)實際安全串件的發(fā)生情況.不斷調(diào)都和優(yōu)化峻脅儲報的收集和分析方法.

C)與相大施打介作.

?與行業(yè)內(nèi)的其他組織.政府機構等更立令拈關后,共享喊脅情掇史源.

?及時關注并修總m家和行業(yè)發(fā)布的女全預警和?報.

(1)信恩安全規(guī)劃與項目計劃隘臺：

.在項目規(guī)劃階段.明確倡思安全而義和目標,并相幾納入⑷目計劃中.

?M定徉細的愷息安全策略.訪問蛻制和tl州&田等.

⑵風險討估與It理：

?在項目開始之防進行伯恩安全M除評Pi.M別潛在的偽急安全風蹂，

.刖定風為趣對搞的.并總控同命狀北.及附調(diào)壑安全策略.

(3)安全開發(fā)與他帶：

曲保信息安全在項H管理中褥到充分?在項U開發(fā)和實施過程中,果陽安全能碼灰雙,防止安全制湖的產(chǎn)生.

項目管理中的才培和實tr從而II抵伯恩發(fā)個12黑崗格俏息安全祭令列項目竹.對項H中所怏用的JJ1和平價班行安全足FL埼保乂符令怕屈女至標準.

5.8

信息安全保鮑項n收據(jù)的安全，井提高項目團理中⑷效據(jù)保護與蹌拄:

隊的信息安至點識和健力?女雁產(chǎn)恪的坎密保護擄住,包括:SIX加總.訪問杈融管理等,的保依H數(shù)卅的機焦性,完禁性收可用性.

?戌皇浜金也投機切.實附收測利id木欣H中的13黜正使那門?

(5)應領響血計劃:

?M定項H信息安全應您響應計劃，以應對可能的信息安全事件.

?定期進行向；a響應演練,嫌保團隊成員熟方火力剪梗流雙和指獨.

⑹合規(guī)與審計：

?溫佻項H符合相關的信U安全法廢國標價貨未，

?定期進行伯恩安全審計，檢衣并險iE81H的偽電安全控制推住是否有效.

(1)建在資產(chǎn)清制：

?設立專門的潘林來識別和記錄如織內(nèi)的所有信息和K他相關交產(chǎn).

確保饑織能籽全面識別和記錄其.消續(xù)皎包臺費產(chǎn)的佯招貓述.如筋產(chǎn)名彌.英里,何黃、快用％和所H者等伯息.

信息和其他相關資產(chǎn),包括資產(chǎn)⑵定期更新和漁護：

?定期市式和史新資產(chǎn)淌中,以班保真準峋性和時效性.

的所有者.以支持"效的資產(chǎn)希京編制和海m信◎及其他相

ee?及H她相

.當竹新的皺產(chǎn)m入或現(xiàn)的佳聲發(fā)生變化時.竣及時更然施求.

理和信慰安全保護茶晞的交箱，關資產(chǎn)(包柘資產(chǎn)加孫行)

5.9關燙產(chǎn)的濟飲

(3)明耍資產(chǎn)到。才：

預助數(shù)據(jù)漱露.濫M成根失.并的清單

師保在發(fā)生安全那件時候清?快遑?在謫他中明哨記錄依個貨產(chǎn)的所列者或使用部門.

而準確地響隔.徜保僑產(chǎn)的所有存對僑產(chǎn)的安全和使護例有選任.

(力分員和標記:

?根娓資產(chǎn)的價(ft.取名性和服安性對其選行分類.

信息安全按控制要點值患安全控制控制內(nèi)容與要求

??編號子要素估思安金控8目標1M

.對不同於事的成產(chǎn)選行斥記.以便二犯別和管理.

C)訪X為整刊權雙代理.

?根據(jù)資產(chǎn)的分類利標記,設定不問姬別的訪何控劃和杈意《

.價保只褥經(jīng)過授權的人父才能訪問收逃取小耍的窗產(chǎn).

(6)備份與恢復：

?莉?斐臣產(chǎn)進行定劃占份,以防止Q罪去失或投環(huán).

.明定災》保乂計劃.以酒供在發(fā)生克外情況舊能夠快過怪發(fā)鎏產(chǎn).

⑴旗制和文心化使用理則：

?明跑說JW和文檔化俏息和兄他相關戈產(chǎn)的可捱變使用雙則，

.雙卿應涵制援產(chǎn)的訪網(wǎng).使用、共牛、HW.修改構B除等方面.

⑵力r培訓和歡漢蜒升：

?前S工迸行關于信恩和其他機關資產(chǎn)可接受使用視劃的培訓.

.俄保員工了解并i?M達蛀規(guī)則.意識到不當使用的后來.

(3)訪同也制加權未計理：

?女施嚴格的訪問控切W杈附代理機iM?

確保信息卬11他相關資產(chǎn)在組織?儀尼開經(jīng)耳收秋田人加訪〃嫉潛駛小密的用.Mt?N觸相天負產(chǎn).

信忠及其也相內(nèi)耗得刊合理.安全和盯效的使應識別、文件化井實住伯(?1)質控和審計：

關標產(chǎn)的可依用,通過明痢可按變使用的規(guī)則?設立監(jiān)控機制.定班檢森信此和其他相關登產(chǎn)的使用情況.

5.10息及其他相關資產(chǎn)的可按

?實施審計也好.確保規(guī)則泡到謂守.并及時發(fā)現(xiàn)和糾正任何母母行為.

免住用和處理規(guī)程,防止資產(chǎn)的不力使爻使用城則川處理規(guī)程

in.at用成朱如授權的訪問⑸鎮(zhèn)觀處理：

?明卻違諼使用的G果，井M定相成的處罰措施.

.君班反可接受伙用規(guī)則的行為進行為時調(diào)我和處理.