信息技術(shù)安全技術(shù)信息安全管理體系要求

1、謝謝你的觀賞信息技術(shù)安全技術(shù)信息安全管理體系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements(IDTISO/IEC27001:2005)（征求意見稿，2006年3月27日）前言II引言III1范圍12規(guī)范性引用文件13術(shù)語和定義14信息安全管理體系（ISMS）35管理職責(zé)66內(nèi)部ISMS審核77ISMS的管理評(píng)審7（規(guī)范性附錄） （資料性附錄） （資料性附錄）8ISMS改進(jìn)8控制目標(biāo)和控制措施9OECD原則和本標(biāo)準(zhǔn)2021ISO9001:2000,ISO140

2、01:2004和本標(biāo)準(zhǔn)之間的對(duì)照謝謝你的觀賞II0.1總則本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系(InformationSecurityManagementSystem,簡稱ISMS)提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需要實(shí)施ISMS,是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估。0.2過程方法本標(biāo)準(zhǔn)采用一種過程方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審

3、、保持和改進(jìn)一個(gè)組織的ISMSo一個(gè)組織必須識(shí)別和管理眾多活動(dòng)使之有效運(yùn)作。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的任意活動(dòng)，可以視為一個(gè)過程。通常，一個(gè)過程的輸出可直接構(gòu)成下一過程的輸入。一個(gè)組織內(nèi)諸過程的系統(tǒng)的運(yùn)用，連同這些過程的識(shí)別和相互作用及其管理，可稱之為過程方法本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵(lì)其用戶強(qiáng)調(diào)以下方面的重要性：a)理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要；b)從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險(xiǎn)；c)監(jiān)視和評(píng)審ISMS的執(zhí)行情況和有效性；d)基于客觀測量的持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用了規(guī)劃(Plan)-實(shí)施(Do)-檢查(C

4、heck)-處置(Act)"(PDCA)模型，該模型可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動(dòng)和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖1也描述了4、5、6、7和8章所提出的過程間的聯(lián)系。采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南(2002版)1中所設(shè)置的原則。本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估的原則提供了一個(gè)強(qiáng)健的模型。例1:某些信息安全缺陷不至于給組織造成嚴(yán)重的財(cái)務(wù)損失和/或使組織陷入困境，這可能是一種要求。例2:如果發(fā)生了嚴(yán)重的事故可能是組織的電子商務(wù)網(wǎng)

5、站被黑客入侵一一應(yīng)有經(jīng)充分培訓(xùn)的員工按照適當(dāng)?shù)某绦颍瑢⑹录挠绊懡抵磷钚?。這可能是一種期望。OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南一一面向安全文化。巴黎：OECD,2002年7月。III規(guī)劃Plan建立ISMS相關(guān)方相關(guān)方實(shí)施實(shí)施和保持和處置Do運(yùn)行ISMS改進(jìn)ISMSAct受控的信息安全監(jiān)視和信息安全要求和期望評(píng)審ISMS檢查Check圖1應(yīng)用于ISMS過程的PDCA模型0.3與其它管理體系的兼容性本標(biāo)準(zhǔn)與GB/T19001-2000及GB/T24001-1996相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)GB/T施和運(yùn)行。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1說明了本標(biāo)準(zhǔn)

6、、19001-2000(ISO9001:2000)和GB/T24001-1996(ISO14001:2004)的各條款之間的關(guān)系。本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。規(guī)劃（建立ISMS）建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。實(shí)施（實(shí)施和運(yùn)行ISMS）實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序。檢查（監(jiān)視和評(píng)審ISMS）對(duì)口ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。處置（保持和改進(jìn)ISMS）基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他

7、相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMSoIV信息技術(shù)安全技術(shù)信息安全管理體系要求重點(diǎn)：本出版物不聲稱包括一個(gè)合同所有必要的規(guī)定。用戶負(fù)責(zé)對(duì)其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。1范圍1.1 總則本標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。本標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。注1:本標(biāo)準(zhǔn)中的業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生

8、存的核心活動(dòng)。注2:ISO/IEC17799提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。1.2 應(yīng)用本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對(duì)于4、5、6、7和8章的要求不能刪減。為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評(píng)估和適用法律法規(guī)要求所確定的安全要求的能力和/或責(zé)任，否則不能聲稱符合本標(biāo)準(zhǔn)。注：如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與ISO9001或者ISO14001相關(guān)的），那么在大多數(shù)情況下，更可取的是在這個(gè)現(xiàn)有的管理體系內(nèi)滿足本

9、標(biāo)準(zhǔn)的要求。2規(guī)范性引用文件下列參考文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。ISO/IEC17799:2005,信息技術(shù)一安全技術(shù)一信息安全管理實(shí)用規(guī)則。3術(shù)語和定義本標(biāo)準(zhǔn)采用以下術(shù)語和定義。3.1資產(chǎn)asset任何對(duì)組織有彳值的東西ISO/IEC13335-1:2004。3.2可用性availability根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性ISO/IEC13335-1:2004。3.3保密性confidentialityISO/IEC 13335-1:2004。信息不能被未授權(quán)的個(gè)人

10、，實(shí)體或者過程利用或知悉的特性3.4信息安全informationsecurity保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性ISO/IEC17799:2005。3.5信息、安全事件informationsecurityevent信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)ISO/IECTR18044:2004。3.6信息、安全事故informationsecurityincident一個(gè)信息安全事故由單個(gè)的或一系列的有害或意外信息安全事件組成，它們具有

11、損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性ISO/IECTR18044:2004。3.7信息安全管理體系(ISMS)informationsecuritymanagementsystem(ISMS)是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。3.8完整性integrity保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性ISO/IEC13335-1:2004。3.9殘余風(fēng)險(xiǎn)residualrisk經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)ISO/IECGuide73:2002。3.10風(fēng)險(xiǎn)接受riskacc

12、eptance接受風(fēng)險(xiǎn)的決定ISO/IECGuide73:2002。3.11風(fēng)險(xiǎn)分析riskanalysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)ISO/IECGuide73:2002。3.12風(fēng)險(xiǎn)評(píng)估riskassessment風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程ISO/IECGuide73:2002。3.13風(fēng)險(xiǎn)評(píng)價(jià)riskevaluation將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程ISO/IECGuide73:20023.14風(fēng)險(xiǎn)管理riskmanagement指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)ISO/IECGuide73:2002。3.15風(fēng)險(xiǎn)處理risktreatment

13、選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程ISO/IECGuide73:2002注：在本標(biāo)準(zhǔn)中，術(shù)語控制措施”被用作措施”的同義詞3.16適用性聲明statementofapplicability描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。注：控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求。4信息安全管理體系（ISMS）一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。4.2建立和管理ISMS4.2.1 建立I

14、SMS組織應(yīng)：a）根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS的范圍和邊界，包括對(duì)例外于此范圍的對(duì)象作出詳情和合理性的說明（見1.2）。b）根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS方針，應(yīng)：1）為其目標(biāo)建立一個(gè)框架并為信息安全行動(dòng)建立整體的方向和原則；2）考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；3）在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS;4） 建立風(fēng)險(xiǎn)評(píng)彳的準(zhǔn)則見4.2.1c;5）獲得管理者批準(zhǔn)。注：就本標(biāo)準(zhǔn)的目的而言，ISMS方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在一個(gè)文件中進(jìn)行描述。c）確定組織的風(fēng)險(xiǎn)評(píng)估方法1）識(shí)別適合ISMS、已識(shí)別的

15、業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別（見5.1f）。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IECTR13335-3信息技術(shù)IT安全管理指南：IT安全管理技術(shù)中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。d）識(shí)別風(fēng)險(xiǎn)1）識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人2；2）識(shí)別資產(chǎn)所面臨的威脅；3）識(shí)別可能被威脅利用的脆弱點(diǎn)；4）識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。e）分析和評(píng)價(jià)風(fēng)險(xiǎn)1）在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評(píng)估安全失誤可能造成的對(duì)組織的影響。2）評(píng)估由主要威脅和

16、脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施。3）估計(jì)風(fēng)險(xiǎn)的級(jí)別。4）確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在4.2.1c）2）中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處2術(shù)語“責(zé)任人”標(biāo)識(shí)了已經(jīng)獲得管理者的批準(zhǔn)，負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個(gè)人或?qū)嶓w。術(shù)語“責(zé)任人”不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán)。3理。f）識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施可能的措施包括：1）采用適當(dāng)?shù)目刂拼胧?）在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn)見4.2.1c）2）；3）避免風(fēng)險(xiǎn)；4）將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等。g）為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和

17、控制措施應(yīng)選擇和實(shí)施控制目標(biāo)和控制措施以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則（見4.2.1c）2）以及法律法規(guī)和合同要求。從附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識(shí)別的要求。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。注：附錄A包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的可選控制措施。h）獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)i）獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)j）準(zhǔn)備適用性聲明（SoA）

18、應(yīng)從以下幾方面準(zhǔn)備適用性聲明：1）從4.2.1g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；2）當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見4.2.1e）2）;3）對(duì)附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。注：適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會(huì)因疏忽而遺漏控制措施。4.2.2實(shí)施和運(yùn)行ISMS組織應(yīng)：a）為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧①Y源、職責(zé)和優(yōu)先順序，即：制定風(fēng)險(xiǎn)處理計(jì)劃（見第5章）。b）實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。c）實(shí)施4.2.1g）中所選擇的控制措施，以滿足控制目標(biāo)。d）確定

19、如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評(píng)估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見4.2.3c）。注：測量控制措施的有效性可使管理者和員工確定控制措施達(dá)到計(jì)劃的控制目標(biāo)的程度。e） 4.2.3f）g）實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見5.2.2）。管理ISMS的運(yùn)行。管理ISMS的資源（見5.2）。實(shí)施能夠迅速檢測安全事件和響應(yīng)安全事故的程序和其他控制措施（見4.2.3）a）。監(jiān)視和評(píng)審ISMS組織應(yīng)：4a）執(zhí)行監(jiān)視和評(píng)審程序和其它控制措施，以：1） 迅速檢測過程運(yùn)行結(jié)果中的錯(cuò)誤；2） 迅速識(shí)別試圖的和得逞的安全違規(guī)和事故；3）使管理者確定分配給人員的安全活動(dòng)或通過信息

20、技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行；4）通過使用指標(biāo)，幫助檢測安全事件并預(yù)防安全事故；5）確定解決安全違規(guī)的措施是否有效。ISMS7.1)b）在考慮安全審核結(jié)果、事故、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行有效性的定期評(píng)審（包括滿足ISMS方針和目標(biāo)，以及安全控制措施的評(píng)審）。c）測量控制措施的有效性以驗(yàn)證安全要求是否被滿足。d）按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審，應(yīng)考慮以下方面的變化：1）組織結(jié)構(gòu)；3） 技術(shù)；3）業(yè)務(wù)目標(biāo)和過程；4）已識(shí)別的威脅；5）已實(shí)施控制措施的有效性；6）外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社

21、會(huì)環(huán)境的變更。e）按計(jì)劃的時(shí)間間隔，對(duì)ISMS進(jìn)行內(nèi)部審核（見第6章）。注：內(nèi)部審核，有時(shí)稱為第一方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的審核。f）定期對(duì)ISMS進(jìn)行管理評(píng)審，以確保ISMS范圍保持充分，ISMS過程的改進(jìn)得到識(shí)別g）考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃。h）記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事件（見4.3.3）。4.2.4保持和改進(jìn)ISMS組織應(yīng)經(jīng)常：a）實(shí)施已識(shí)別的ISMS改進(jìn)措施。b）依8.2和8.3采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。c）向所有相關(guān)方溝通措施和改進(jìn)措施，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定

22、如何進(jìn)行。d）確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。4.3文件要求4.3.1 總則文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。至關(guān)重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果、并進(jìn)而回溯到ISMS方針和目標(biāo)之間的關(guān)系。ISMS文件應(yīng)包括：a）形成文件的ISMS方針見4.2.1b）和目標(biāo)；b）ISMS的范圍見4.2.la）；c）支持ISMS的程序和控制措施；d）風(fēng)險(xiǎn)評(píng)估方法的描述見4.2.1c）;e）風(fēng)險(xiǎn)評(píng)估報(bào)告見4.2.1c）到4.2.1g）;f）風(fēng)險(xiǎn)處理計(jì)劃見4.2.2b）;g）組織為確保其信息安全過程的有效規(guī)劃、運(yùn)行和

23、控制以及描述如何測量控制措施的有效性所需的形成文件的程序（見4.2.3c）;h）本標(biāo)準(zhǔn)所要求的記錄（見4.3.3）;5i）適用性聲明。注1：本標(biāo)準(zhǔn)出現(xiàn)形成文件的程序”之處，即要求建立該程序，形成文件，并加以實(shí)施和保持。注2:不同組織的ISMS文件的詳略程度取決于：- 組織的規(guī)模和活動(dòng)的類型；- 安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度；注3:文件和記錄可以采用任何形式或類型的介質(zhì)。4.3.2 文件控制ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施:a）文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)?；b）必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；c）確保文件的更改和現(xiàn)行

24、修訂狀態(tài)得到標(biāo)識(shí)；d）確保在使用處可獲得適用文件的相關(guān)版本；e）確保文件保持清晰、易于識(shí)別；f）確保文件對(duì)需要的人員可用，并依照文件適用的類別程序進(jìn)行傳輸、貯存和最終銷毀；g）確保外來文件得到標(biāo)識(shí)；h）確保文件的分發(fā)得到控制；i）防止作廢文件的非預(yù)期使用；j）若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4.3.3 記錄控制記錄應(yīng)建立并加以保持，以提供符合ISMS要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。ISMS的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。記錄的詳略程度應(yīng)通過管理

25、過程確定。應(yīng)保留4.2中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的安全事故的記錄。例如：記錄包括訪客登記薄、審核報(bào)告和已完成的訪問授權(quán)單。5 管理職責(zé)5.1 管理承諾管理者應(yīng)通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的承諾提供證據(jù)：a）制定ISMS方針；b）確保ISMS目標(biāo)和計(jì)劃得以制定；c）建立信息安全的角色和職責(zé)；d）向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e）提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS（見5.2.1）；f）決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；g）確保ISMS內(nèi)部審核的執(zhí)行（見第6章）；

26、h）實(shí)施ISMS的管理評(píng)審（見第7章）。5.2 資源管理5.2.1 資源提供組織應(yīng)確定并提供所需的資源，以：a）建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS;b）確保信息安全程序支持業(yè)務(wù)要求；c）識(shí)別和滿足法律法規(guī)要求、以及合同中的安全義務(wù);d）通過正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩?；e）必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)響應(yīng)評(píng)審的結(jié)果；f）在需要時(shí)，改進(jìn)ISMS的有效性。5.2.2 培訓(xùn)、意識(shí)和能力組織應(yīng)通過以下方式，確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：a）確定從事影響ISMS工作的人員所必要的能力；b）提供能力培訓(xùn)，必要時(shí)，聘用有能力的人員以滿足這些需求；c）評(píng)價(jià)所提供的

27、培訓(xùn)和所采取的措施的有效性；d）保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見4.3.3）。組織也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。6 內(nèi)部ISMS審核組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過程和程序是否：a）符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合已確定的信息安全要求；c）得到有效地實(shí)施和保持；d）按預(yù)期執(zhí)行。應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不

28、應(yīng)審核自己的工作。策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時(shí)采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動(dòng)應(yīng)包括對(duì)所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告（見第8章）。注：GB/T19011:2003給出了管理體系審核的基本指南，也可作為認(rèn)證機(jī)構(gòu)的指南。7 ISMS的管理評(píng)審管理者應(yīng)按計(jì)劃的時(shí)間間隔（至少每年1次）評(píng)審組織的ISMS,以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見4.3.3）。7.2評(píng)審

29、輸入管理評(píng)審的輸入應(yīng)包括：a）ISMS審核和評(píng)審的結(jié)果；b）相關(guān)方的反饋；c）組織用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；f）有效性測量的結(jié)果；g）以往管理評(píng)審的跟蹤措施;h）可能影響ISMS的任何變更；i）改進(jìn)的建議。7.3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：a）ISMS有效性的改進(jìn)；b）風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新；c）必要時(shí)修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響ISMS的事件，包括以下的變更:1） 業(yè)務(wù)要求；2）安全要求；3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4）法律法規(guī)環(huán)境；5

30、） 合同義務(wù)；6） 風(fēng)險(xiǎn)級(jí)別和/或接受風(fēng)險(xiǎn)的準(zhǔn)則。d）資源需求；e）正在被測量的控制措施的有效性的改進(jìn)。1.1 ISMS改進(jìn)組織應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評(píng)審（見第7章），持續(xù)改進(jìn)ISMS的有效性。1.2 糾正措施組織應(yīng)采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，應(yīng)規(guī)定以下方面的要求：a）識(shí)別不符合；b）確定不符合的原因；c）評(píng)價(jià)確保不符合不再發(fā)生的措施需求；d）確定和實(shí)施所需要的糾正措施；e）記錄所采取措施的結(jié)果（見4.3.3）;f）評(píng)審所采取的糾正措施。1.3 預(yù)防措施組織應(yīng)確定措施，以消除潛在不

31、符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。形成文件的預(yù)防措施程序，應(yīng)規(guī)定以下方面的要求：a）識(shí)別潛在的不符合及其原因；b）評(píng)價(jià)防止不符合發(fā)生的措施需求；c）確定和實(shí)施所需要的預(yù)防措施；d）記錄所采取措施的結(jié)果（見4.3.3）；e）評(píng)審所采取的預(yù)防措施。組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn)，并識(shí)別針對(duì)重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求。預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。注：預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。附錄A（規(guī)范性附錄）控制目標(biāo)和控制措施表A-1所列的控制目標(biāo)和控制措施是直接引用并與ISO/IEC17799:2005第5到15章一致。表A.1中的清單并不完備，一個(gè)組織可能考

32、慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款4.2.1規(guī)定的ISMS過程的一部分。ISO/IEC17799:2005第5至15章提供了最佳實(shí)踐的實(shí)施建議和指南，以支持A.5到A.15列出的控制措施。表A.1控制目標(biāo)和控制措施A.5安全方針A.5.1信息安全方針目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全。A.5.1.1信息安全方針文件控制措施信息安全方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。A.5.1.2信息安全方針的評(píng)審控制措施應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審，以確保它持續(xù)的適宜性、充分性和有效性。A.6信息安全

33、組織A.6.1內(nèi)部組織目標(biāo)：在組織內(nèi)管理信息安全。A.6.1.1信息安全的管理承諾控制措施管理者應(yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn)，來積極支持組織內(nèi)的安全。A.6.1.2信息安全協(xié)調(diào)控制措施信息安全活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào)。A.6.1.3信息安全職責(zé)的分配控制措施所有的信息安全職責(zé)應(yīng)予以清晰地定義。A.6.1.4信息處理設(shè)施的授權(quán)過程控制措施新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán)過程。A.6.1.5保密性協(xié)議控制措施應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。A.6.1.6與政府部門的聯(lián)系控制措施應(yīng)保持與政府相

34、關(guān)部門的適當(dāng)聯(lián)系。A.6.1.7與特定權(quán)益團(tuán)體的聯(lián)系控制措施應(yīng)保持與特定權(quán)益團(tuán)體、其他安全專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。A.6.1.8信息安全的獨(dú)立評(píng)審控制措施組織管理信息安全的方法及其實(shí)施（例如信息安全的控制目標(biāo)、控制措施、策略、過程和程序）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審，當(dāng)安全實(shí)施發(fā)生重大變化時(shí)，也要進(jìn)行獨(dú)立評(píng)審。5m黑2用息指以下不同的館后：人員任用（暫叫,的或長期的）、工作角色的指定、工作,角色的變化、日問曲就深求客方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全。A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別控制措施應(yīng)識(shí)別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允

35、許訪問前實(shí)施適當(dāng)?shù)目刂拼胧.6.2.2處理與顧客有關(guān)的安全問題控制措施應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求。A.6.2.3處理第三方協(xié)議中的安全問題控制措施涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議，應(yīng)涵蓋所有相關(guān)的安全要求。A.7資產(chǎn)管理A.7.1對(duì)資產(chǎn)負(fù)責(zé)目標(biāo)：實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。A.7.1.1資產(chǎn)清單控制措施應(yīng)清晰的識(shí)別所有資產(chǎn)，編制并維護(hù)所有重要資產(chǎn)的清單。A.7.1.2資產(chǎn)責(zé)任人控制措施與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé)任3。A.7.1.3資產(chǎn)的合

36、格使用控制措施與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。A.7.2信息分類目標(biāo)：確保信息受到適當(dāng)級(jí)別的保護(hù)。A.7.2.1分類指南控制措施信息應(yīng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類。A.7.2.2信息的標(biāo)記和處理控制措施應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處理程序。A.8人力資源安全4A.8.1任用之前目標(biāo)：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)。A.8.1.1角色和職責(zé)控制措施雇員、承包方人員和第三方人員的安全角色和職責(zé)應(yīng)按照組織的信息安全方針定義并形成文件。A

37、.8.1.2審查控制措施關(guān)于所有任用的候選者、承包方人員和第三方人員的背景驗(yàn)證檢查應(yīng)按照相關(guān)法律法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求、被訪問信息的類別和察覺的風(fēng)險(xiǎn)來執(zhí)行。10解釋：術(shù)語“責(zé)任人”是被認(rèn)可，具后控制生產(chǎn)、開發(fā)、保持、使用和資產(chǎn)安全的個(gè)人或?qū)嶓w。術(shù)語“責(zé)任人”/、指實(shí)際上對(duì)資產(chǎn)具有財(cái)產(chǎn)權(quán)的人。A.8.1.3任用條款和條件控制措施作為他們合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他們和組織的信息安全職責(zé)。A.8.2任用匚目標(biāo)：確保義務(wù)、并準(zhǔn)令=1所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和領(lǐng)子在其

38、正常工作過程中支持組織的安全方針，以減少人為過失的風(fēng)險(xiǎn)。A.8.2.1管理職責(zé)控制措施管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和程序?qū)Π踩M心盡力。A.8.2.2信息安全意識(shí)、教育和培訓(xùn)控制措施組織的所有雇員，適當(dāng)時(shí)，包括承包方人員和第三方人員，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針策略及程序的定期更新培訓(xùn)。A.8.2.3紀(jì)律處理過程控制措施對(duì)于安全違規(guī)的雇員，應(yīng)有一個(gè)正式的紀(jì)律處理過程。A.8.3目標(biāo)：任用的終止或變化確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系。A.8.3.1終止職責(zé)控制措施任用終止或任用變化的職責(zé)應(yīng)清晰的定

39、義和分配。A.8.3.2資產(chǎn)的歸還控制措施所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。A.8.3.3撤銷訪問權(quán)控制措施所有雇員、承包方人員和第三方人員對(duì)信息和信息處理設(shè)施的訪問權(quán)應(yīng)在任用、合同或協(xié)議終止時(shí)刪除，或在變化時(shí)調(diào)整。A.9物理和環(huán)境安全A.9.1目標(biāo)：安全區(qū)域防止對(duì)組織場所和信息的未授權(quán)物理訪問、損壞和干擾。A.9.1.1物理安全邊界控制措施應(yīng)使用安全邊界（諸如墻、卡控制的入口或有人管理的接待臺(tái)等屏障）來保護(hù)包含信息和信息處理設(shè)施的區(qū)域。A.9.1.2物理人口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。A

40、.9.1.3辦公室、房間和設(shè)施的安全保護(hù)控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施。A.9.1.4外部和環(huán)境威脅的安全防護(hù)控制措施為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。A.9.1.5在安全區(qū)域工作控制措施應(yīng)設(shè)計(jì)和運(yùn)用用于安全區(qū)域工作的物理保護(hù)和指南。11A.9.1.6公共訪問、交接區(qū)安全控制措施訪問點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場所的其他點(diǎn)應(yīng)加以控制，如果可能，要與信息處理設(shè)施隔離，以避免未授權(quán)訪問。A.9.2設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷。A.9.2.1設(shè)備安置和保護(hù)控

41、制措施應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會(huì)。A.9.2.2支持性設(shè)施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。A.9.2.3布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。A.9.2.4設(shè)備維護(hù)控制措施設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。A.9.2.5組織場所外的設(shè)備安全控制措施應(yīng)對(duì)組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風(fēng)險(xiǎn)。A.9.2.6設(shè)備的安全處置或再利用控制措施包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊(cè)軟件已被刪除或

42、安全重寫。A.9.2.7資產(chǎn)的移動(dòng)控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。A.10通信和操作管理A.10.1操作程序和職責(zé)目標(biāo)：確保正確、安全的操作信息處理設(shè)施。A.10.1.1文件化的操作程序控制措施操作程序應(yīng)形成文件、保持并對(duì)所有需要的用戶可用。A.10.1.2變更管理控制措施對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。A.10.1.3責(zé)任分割控制措施各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。A.10.1.4開發(fā)、測試和運(yùn)行設(shè)施分離控制措施開發(fā)、測試和運(yùn)行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。A.10.2第三方服務(wù)交付管理目標(biāo)：實(shí)

43、施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn)。A.10.2.1服務(wù)交付控制措施應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。A.10.2.2第三方服務(wù)的監(jiān)視和評(píng)審控制措施應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄，審核也應(yīng)定期執(zhí)行。A.10.2.3第三方服務(wù)的變更管理控制措施應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小。A.10.3.1容量管理控制措施資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來

44、容量要求的預(yù)測，以確保擁有所需的系統(tǒng)性能。A.10.3.2系統(tǒng)驗(yàn)收控制措施應(yīng)建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則，并且在開發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y試。A.10.4防范惡意和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。A.10.4.1控制惡意代碼控制措施應(yīng)實(shí)施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。A.10.4.2控制移動(dòng)代碼控制措施當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。A.10.5備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。A.10.5.1信息備份控制措施應(yīng)按照已設(shè)的備份策略，定期備份和

45、測試信息和軟件。A.10.6網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施。A.10.6.1網(wǎng)絡(luò)控制控制措施應(yīng)充分管理和控制網(wǎng)絡(luò)，以防止威脅的發(fā)生，維護(hù)系統(tǒng)和使用網(wǎng)絡(luò)的應(yīng)用程序的安全，包括傳輸中的信息。A.10.6.2網(wǎng)絡(luò)服務(wù)的安全控制措施安全特性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部提供的還是外包的。A.10.7介質(zhì)處置目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷。A.10.7.1可移動(dòng)介質(zhì)的管理控制措施應(yīng)有適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序。A.10.7.2介質(zhì)的處置控制措施不再需要的介質(zhì)，應(yīng)使用正式的程序

46、可靠并安全地處置。A.10.7.3信息處理程序控制措施應(yīng)建立信息的處理及存儲(chǔ)程序，以防止信息的未授權(quán)的泄漏或不當(dāng)使用。A.10.7.4系統(tǒng)文件安全控制措施應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問。A.10.8信息的交換目標(biāo)：保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全。A.10.8.1信息交換策略和程序控制措施應(yīng)有正式的交換策略、程序和控制措施，以保護(hù)通過使用各種類型通信設(shè)施的信息交換。A.10.8.2交換協(xié)議控制措施應(yīng)建立組織與外部團(tuán)體交換信息和軟件的協(xié)議。A.10.8.3運(yùn)輸中的物理介質(zhì)控制措施包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或毀壞。A.10.8.

47、4電子消息發(fā)送控制措施包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)。A.10.8.5業(yè)務(wù)信息系統(tǒng)控制措施應(yīng)建立和實(shí)施策略和程序以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)的信息。A.10.9電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)服務(wù)的安全及其安全使用。A.10.9.1電子商務(wù)控制措施包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護(hù)，以防止欺詐活動(dòng)、合同爭議和未授權(quán)的泄露和修改。A.10.9.2在線交易控制措施包含在在線交易中的信息應(yīng)受保護(hù)，以防止不完全傳輸、錯(cuò)誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。A.10.9.3公共可用信息控制措施在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改。A.10

48、.10監(jiān)視目標(biāo)：檢測未授權(quán)的信息處理活動(dòng)。A.10.10.1審核日志控制措施應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常和信息安全事件的審核日志，并要保持一個(gè)已設(shè)的周期以支持將來的調(diào)查和訪問控制監(jiān)視。A.10.10.2監(jiān)視系統(tǒng)的使用控制措施應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的結(jié)果要經(jīng)常評(píng)審A.10.10.3日志信息的保護(hù)控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。A.10.10.4管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。A.10.10.5故障日志控制措施故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧?。A.10.10.6時(shí)鐘同步控制措施一個(gè)組織或安全域內(nèi)的所有相關(guān)信息

49、處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。A.11訪問控制A.11.1訪問控制的業(yè)務(wù)要求目標(biāo)：控制對(duì)信息的訪問。A.11.1.1訪問控制策略控制措施訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和訪問的安全要求進(jìn)行評(píng)審。A.11.2用戶訪問管理目標(biāo)：確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問。A.11.2.1用戶注冊(cè)控制措施應(yīng)有正式的用戶注冊(cè)及注銷程序，來授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服務(wù)的訪問。A.11.2.2特權(quán)管理控制措施應(yīng)限制和控制特殊權(quán)限的分配及使用。A.11.2.3用戶口令管理控制措施應(yīng)通過正式的管理過程控制口令的分配。A.11.2.4用戶訪問權(quán)的復(fù)查控制措施管理者應(yīng)定期使用正式過程對(duì)

50、用戶的訪問權(quán)進(jìn)行復(fù)查。A.11.3用戶職責(zé)目標(biāo)：防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問、危害或竊取。A.11.3.1口令使用控制措施應(yīng)要求用戶在選擇及使用口令時(shí)，遵循良好的安全習(xí)慣。A.11.3.2無人值守的用戶設(shè)備控制措施用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。A.11.3.3清空桌面和屏幕策略控制措施應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。A.11.4網(wǎng)絡(luò)訪問控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。A.11.4.1使用網(wǎng)絡(luò)服務(wù)的策略控制措施用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。A.11.4.2外部連接的用戶鑒別控制措施應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪

51、問。A.11.4.3網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)控制措施應(yīng)考慮自動(dòng)設(shè)備標(biāo)識(shí)，將其作為鑒別特定位置和設(shè)備連接的方法。A.11.4.4遠(yuǎn)程診斷和配置端口的保護(hù)控制措施對(duì)于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制。A.11.4.5網(wǎng)絡(luò)隔離控制措施應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。A.11.4.6網(wǎng)絡(luò)連接控制控制措施對(duì)于共享的網(wǎng)絡(luò)，特別是越過組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制（見11.1）。A.11.4.7網(wǎng)絡(luò)路由控制控制措施應(yīng)在網(wǎng)絡(luò)中實(shí)施路由控制，以確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問控制策略。A.11.5操作系統(tǒng)訪問控制目標(biāo)：防止對(duì)操作系統(tǒng)的未授權(quán)訪問。A.11

52、.5.1安全登錄程序控制措施訪問操作系統(tǒng)應(yīng)通過安全登錄程序加以控制。A.11.5.2用戶標(biāo)識(shí)和鑒別控制措施所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符（用戶ID）,應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。A.11.5.3口令管理系統(tǒng)控制措施口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。A.11.5.4系統(tǒng)實(shí)用工具的使用控制措施可能超越系統(tǒng)和應(yīng)用程序控制的實(shí)用工具的使用應(yīng)加以限制并嚴(yán)格控制。A.11.5.5會(huì)話超時(shí)控制措施不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉。A.11.5.6聯(lián)機(jī)時(shí)間的限士控制措施應(yīng)使用聯(lián)機(jī)時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。A.11.6應(yīng)用和信息訪問控制目標(biāo)：防止對(duì)

53、應(yīng)用系統(tǒng)中信息的未授權(quán)訪問。A.11.6.1信息訪問限制控制措施用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制。A.11.6.2敏感系統(tǒng)隔離控制措施敏感系統(tǒng)應(yīng)有專用的（隔離的）運(yùn)算環(huán)境。A.11.7移動(dòng)計(jì)算和遠(yuǎn)程工作目標(biāo)：確保使用可移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全。A.11.7.1移動(dòng)計(jì)算和通信控制措施應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧苑婪妒褂每梢苿?dòng)計(jì)算和通信設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。A.11.7.2遠(yuǎn)程工作控制措施應(yīng)為遠(yuǎn)程工作活動(dòng)開發(fā)和實(shí)施策略、操作計(jì)劃和程序。A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)A.12.1信息系統(tǒng)的安全要求目標(biāo)：確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分。A.12.1.1安全要求分析和說明控制措施在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對(duì)安全控制措施的要求。A.12.2應(yīng)用中的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改及誤用。A.12.2.1輸入數(shù)據(jù)的驗(yàn)證控制措施輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保數(shù)據(jù)