精品推薦ISO27001信息安全管理體系全套文件

1、目錄 前言（30引言（40.1總則（40.2與其他管理系統(tǒng)標準的兼容性（41.范圍（52規(guī)范性引用文件（53術(shù)語和定義（54組織景況（54.1 了解組織及其景況（54.2 了解相關(guān)利益方的需求和期望（54.3確立信息安全管理體系的范圍（64.4信息安全管理體系（65領(lǐng)導(dǎo)（65.1領(lǐng)導(dǎo)和承諾（65.2方針（65.3組織的角色，職責(zé)和權(quán)限（76.計劃（7 6.1應(yīng)對風(fēng)險和機遇的行為（76.2信息安全目標及達成目標的計劃（97支持（97.1資源（97.2權(quán)限（97.3意識（107.4溝通（107.5記錄信息（108操作（118.1操作的計劃和控制措施（118.2信息安全風(fēng)險評估（118.3信息安全風(fēng)

2、險處置（119性能評價（129.1監(jiān)測、測量、分析和評價（129.2內(nèi)部審核（129.3管理評審（1210改進（1310.1不符合和糾正措施（1310.2持續(xù)改進（14參考文獻（28.、八、-刖言0引言0.1總則本標準提供建立、實施、保持和持續(xù)改進信息安全管理體系的要求。采用信息 安全管理體系是組織的一項戰(zhàn)略性決策。組織信息安全管理體系的建立和實施受組 織的需要和目標、安全要求、所采用的過程、規(guī)模和結(jié)構(gòu)的影響。所有這些影響因 素可能隨時間發(fā)生變化。信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用 性，并給相關(guān)方建立風(fēng)險得到充分管理的信心。重要的是，信息安全管理體系是組織的過

3、程和整體管理結(jié)構(gòu)的一部分并集成在 其中，并且在過程、信息系統(tǒng)和控制措施的設(shè)計中要考慮到信息安全。信息安全管 理體系的實施要與組織的需要相符合。本標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要 求。本標準中表述要求的順序不反映各要求的重要性或?qū)嵤╉樞?。條款編號僅為方 便引用。ISO/IEC 27000參考信息安全管理體系標準族（包括ISO/IEC 270032、ISO/IEC 270043、ISO/IEC 270054及相關(guān)術(shù)語和定義，給出了信息安全管理體系的概述和 詞匯。0.2與其他管理體系標準的兼容性本標準應(yīng)用了 ISO/IEC導(dǎo)則第一部分的ISO補充部分附錄SL中定義的高

4、層結(jié) 構(gòu)、同一子條款標題、同一文本、通用術(shù)語和核心定義，因此保持了與其它采用附錄SL的管理體系標準的兼容性。附錄SL定義的通用方法有助于組織選擇實施單一管理體系來滿足兩個或多個 管理體系標準要求。信息技術(shù)一一安全技術(shù)一一信息安全管理體系一一要求1.范圍本標準規(guī)定了在組織環(huán)境（context下建立、實施、運行、保持和持續(xù)改進信息 安全管理體系的要求。本標準還包括了根據(jù)組織需求而進行的信息安全風(fēng)險評估和 處置的要求。本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)?；蛐再|(zhì)的組織。 組織聲稱符合本標準時，對于第4章到第10章的要求不能刪減。2規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標準化引用

5、 ，對于本文件的應(yīng)用必 不可少。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引 用文件，其最新版本（包括任何修改適用于本標準。ISO/IEC 27000信息技術(shù)一一安全技術(shù)一一信息安全管理體系一一概述和詞 匯。3術(shù)語和定義ISO/IEC 27000中界定的術(shù)語和定義適用于本文件。4組織環(huán)境（context4.1理解組織及其環(huán)境（context組織應(yīng)確定與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的 外部和內(nèi)部情況（issue注:對這些情況的確定，參見£031000:20095,5.3中建立外部和內(nèi)部環(huán)境的內(nèi) 容。4.2理解相關(guān)方的需求和期望組織應(yīng)確定：

6、a信息安全管理體系相關(guān)方；b這些相關(guān)方的信息安全要求。注:相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。4.3確定信息安全管理體系范圍組織應(yīng)確定信息安全管理體系的邊界及其適用性以建立其范圍。在確定范圍時，組織應(yīng)考慮：a 4.1中提到的外部和內(nèi)部情況；b 4.2中提到的要求；c組織執(zhí)行活動之間以及與其他組織執(zhí)行活動之間的接口和依賴關(guān)系。該范圍應(yīng)形成文件化信息并可用。4.4信息安全管理體系組織應(yīng)按照本標準的要求，建立、實施、保持和持續(xù)改進信息安全管理體系。5領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力和承諾最高管理者應(yīng)通過以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾a確保信息安全方針和信息安全目標已建立，并與組織戰(zhàn)略方向一致b確

7、保將信息安全管理體系要求整合到組織過程中；c確保信息安全管理體系所需資源可用；d傳達有效的信息安全管理及符合信息安全管理體系要求的重要性e確保信息安全管理體系達到預(yù)期結(jié)果；f指導(dǎo)并支持相關(guān)人員為信息安全管理體系有效性做出貢獻；g促進持續(xù)改進；h支持其他相關(guān)管理者角色，在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力。5.2方針最高管理者應(yīng)建立信息安全方針，方針應(yīng)：a與組織意圖相適宜；b包括信息安全目標（見6.2或為信息安全目標的設(shè)定提供框架；c包括對滿足適用的信息安全要求的承諾；d包括持續(xù)改進信息安全管理體系的承諾。信息安全方針應(yīng)：e形成文件化信息并可用；f在組織內(nèi)得到溝通g適當時，對相關(guān)方可用5.3組織的角色，職責(zé)

8、和權(quán)限最高管理者應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。最高管理者應(yīng)分配職責(zé)和權(quán)限，以：a確保信息安全管理體系符合本標準的要求；b向最高管理者報告信息安全管理體系績效。注:最高管理者也可為組織內(nèi)報告信息安全管理體系績效，分配職責(zé)和權(quán)限。6.規(guī)劃6.1應(yīng)對風(fēng)險和機會的措施6.1.1總貝U當規(guī)劃信息安全管理體系時，組織應(yīng)考慮4.1中提到的問題和4.2中提到的要求， 確定需要應(yīng)對的風(fēng)險和機會，以：a確保信息安全管理體系能實現(xiàn)預(yù)期結(jié)果；b預(yù)防或減少意外的影響；c實現(xiàn)持續(xù)改進。組織應(yīng)規(guī)劃：d應(yīng)對這些風(fēng)險和機會的措施；e如何：1將這些措施整合到信息安全管理體系過程中，并予以實施;2評價這些措施

9、的有效性。6.1.2信息安全風(fēng)險評估組織應(yīng)定義并應(yīng)用信息安全風(fēng)險評估過程，以：a建立和維護信息安全風(fēng)險準則，包括：1風(fēng)險接受準則；2信息安全風(fēng)險評估實施準則。b確保重復(fù)的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較的結(jié)果c識別信息安全風(fēng)險：1應(yīng)用信息安全風(fēng)險評估過程，以識別信息安全管理體系范圍內(nèi)與信息保密 性、完整性和可用性損失有關(guān)的風(fēng)險；2識別風(fēng)險責(zé)任人；d分析信息安全風(fēng)險：1評估6.1.2 c 1中所識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果；2評估6.1.2 c 1中所識別的風(fēng)險實際發(fā)生的可能性；3確定風(fēng)險級別；e評價信息安全風(fēng)險：1將風(fēng)險分析結(jié)果與6.1.2 a中建立的風(fēng)險準則進行比較；2排

10、列已分析風(fēng)險的優(yōu)先順序，以便于風(fēng)險處置。6.1.3信息安全風(fēng)險處置組織應(yīng)定義并應(yīng)用信息安全風(fēng)險處置過程，以：a在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險處置選項；b確定實施已選的信息安全風(fēng)險處置選項所必需的全部控制措施；注:組織可根據(jù)需要設(shè)計控制措施，或從任何來源識別控制措施。c將6.1.3 b確定的控制措施與附錄 A中的控制措施進行比較，以核實沒有遺漏必要的控制措施；注1:附錄A包含了控制目標和控制措施的綜合列表。本標準用戶可使用附錄 A,以確保沒有忽略必要的控制措施。注2:控制目標包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要

11、另外的控制目標和控制措 施。d制定適用性聲明，包含必要的控制措施（見6.1.3 b和c及其選擇的合理性說明（無論該控制措施是否已實施，以及對附錄A控制措施刪減的合理性說明e制定信息安全風(fēng)險處置計劃；f獲得風(fēng)險責(zé)任人對信息安全風(fēng)險處置計劃的批準，及對信息安全殘余風(fēng)險的接受。組織應(yīng)保留信息安全風(fēng)險處置過程的文件化信息。注:本標準中的信息安全風(fēng)險評估和處置過程與ISO 310005中給出的原則和 通用指南6.2信息安全目標和實現(xiàn)規(guī)劃組織應(yīng)在相關(guān)職能和層次上建立信息安全目標。信息安全目標應(yīng)：a與信息安全方針一致；b可測量（如可行；c考慮適用的信息安全要求，以及風(fēng)險評估和風(fēng)險處置的結(jié)果d得到溝通；e在適

12、當時更新。組織應(yīng)保留信息安全目標的文件化信息。在規(guī)劃如何實現(xiàn)信息安全目標時，組織應(yīng)確定：f要做什么；g需要什么資源；h由誰負責(zé)；i什么時候完成；j如何評價結(jié)果。7支持7.1資源組織應(yīng)確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資7.2能力組織應(yīng)：a確定從事在組織控制下且會影響組織的信息安全績效的工作的人員的必要能力；b確保上述人員在適當?shù)慕逃?、培?xùn)或經(jīng)驗的基礎(chǔ)上能夠勝任其工作；c適用時，采取措施以獲得必要的能力，并評估所采取措施的有效性；d保留適當?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注:適用的措施可包括，例如針對現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配；雇傭或簽 約有7.3意識在組織控制下工作的

13、人員應(yīng)了解：a信息安全方針；b其對信息安全管理體系有效性的貢獻，包括改進信息安全績效帶來的益處；c不符合信息安全管理體系要求帶來的影響。7.4溝通組織應(yīng)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：a溝通內(nèi)容；b溝通時間；c溝通對象；d誰應(yīng)負責(zé)溝通;e影響溝通的過程。7.5文件化信息7.5.1總貝U組織的信息安全管理體系應(yīng)包括：a本標準要求的文件化信息；b組織為有效實施信息安全管理體系所確定的必要的文件化信息。注:不同組織的信息安全管理體系文件化信息的詳略程度取決于：1組織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型；2過程的復(fù)雜性及其相互作用；3人員的能力。7.5.2創(chuàng)建和更新創(chuàng)建和更新

14、文件化信息時，組織應(yīng)確保適當?shù)模篴標識和描述（例如標題、日期、作者或編號；b格式（例如語言、軟件版本、圖表和介質(zhì)（例如紙質(zhì)、電子介質(zhì)；c對適宜性和充分性的評審和批準。7.5.3文件化信息的控制信息安全管理體系及本標準所要求的文件化信息應(yīng)予以控制，以確保:b得到充分的保護（如避免保密性損失、不恰當使用、完整性損失等。為控制文件化信息，適用時,組織應(yīng)開展以下活動：c分發(fā),訪問，檢索和使用；d存儲和保護,包括保持可讀性；e控制變更（例如版本控制；f保留和處置。組織確定的為規(guī)劃和運行信息安全管理體系所必需的外來的文件化信息，應(yīng)得到適當?shù)淖R別，并予以控制。注:訪問隱含著允許僅瀏覽文件化信息，或允許和授權(quán)

15、瀏覽及更改文件化信息等 決定。8運行8.1運行規(guī)劃和控制組織應(yīng)對滿足信息安全要求及實施 6.1中確定的措施所需的過程予以規(guī)劃、實 施和控制。組織也應(yīng)實施計劃以實現(xiàn) 6.2中確定的信息安全目標。組織應(yīng)保持文件化信息達到必要的程度，以確信過程按計劃得到執(zhí)行。組織應(yīng)控制計劃內(nèi)的變更并評審非預(yù)期變更的后果，必要時采取措施減輕負面影響。組織應(yīng)確保外包過程得到確定和控制。8.2信息安全風(fēng)險評估組織應(yīng)考慮6.1.2 a建立的準則，按計劃的時間間隔，或當重大變更提出或發(fā)生時 執(zhí)行信息安全風(fēng)險評估。組織應(yīng)保留信息安全風(fēng)險評估結(jié)果的文件化信息。8.3信息安全風(fēng)險處置組織應(yīng)實施信息安全風(fēng)險處置計劃。組織應(yīng)保留信息安

16、全風(fēng)險處置結(jié)果的文件化信息。9績效評價9.1監(jiān)視、測量、分析和評價組織應(yīng)評價信息安全績效和信息安全管理體系的有效性。組織應(yīng)確定：a需要被監(jiān)視和測量的內(nèi)容，包括信息安全過程和控制措施；b監(jiān)視、測量、分析和評價的方法，適用時，以確保得到有效的結(jié)果。注:所選的方法宜產(chǎn)生可比較和可再現(xiàn)的有效結(jié)果。c何時應(yīng)執(zhí)行監(jiān)視和測量；d誰應(yīng)監(jiān)視和測量；e何時應(yīng)分析和評價監(jiān)視和測量的結(jié)果；f誰應(yīng)分析和評價這些結(jié)果。組織應(yīng)保留適當?shù)奈募畔⒆鳛楸O(jiān)視和測量結(jié)果的證據(jù)。9.2內(nèi)部審核組織應(yīng)按計劃的時間間隔進行內(nèi)部審核，提供信息以確定信息安全管理體系是 否：a符合1組織自身對信息安全管理體系的要求；2本標準的要求。b得到有

17、效實施和保持。組織應(yīng)：c規(guī)劃、建立、實施和保持審核方案（一個或多個,包括審核頻次、方法、職責(zé)、規(guī)劃要求和報告。審核方案應(yīng)考慮相關(guān)過程的重要性和以往審核的結(jié)果d確定每次審核的審核準則和范圍；e選擇審核員,實施審核，確保審核過程的客觀性和公正性；f確保將審核結(jié)果報告至相關(guān)管理者；g保留文件化信息作為審核方案和審核結(jié)果的證據(jù)。9.3管理評審最高管理者應(yīng)按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評審應(yīng)考慮：b與信息安全管理體系相關(guān)的外部和內(nèi)部情況的變化a以往管理評審要求采取措施的狀態(tài)；c信息安全績效有關(guān)的反饋，包括以下方面的趨勢：1不符合和糾正措施；2監(jiān)視和

18、測量結(jié)果；3審核結(jié)果；4信息安全目標完成情況；d相關(guān)方反饋；e風(fēng)險評估結(jié)果及風(fēng)險處置計劃的狀態(tài)；f持續(xù)改進的機會。管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系 的任何需求。組織應(yīng)保留文件化信息作為管理評審結(jié)果的證據(jù)。10改進10.1不符合和糾正措施當發(fā)生不符合時，組織應(yīng)：a對不符合做出反應(yīng)，適用時：1米取措施控制并糾正不符合；2處理后果；b通過以下方法，評價采取消除不符合原因的措施的需求，防止不符合再發(fā)生或在其他地方發(fā)生1評審不符合；2確定不符合的原因；3確定類似的不符合是否存在，或可能發(fā)生；c實施需要的措施；d評審所采取的糾正措施的有效性；e必要時，對信息安全管理體系

19、進行變更。糾正措施應(yīng)與所遇到的不符合的影響程度相適應(yīng)。組織應(yīng)保留文件化信息作為以下方面的證據(jù)：f不符合的性質(zhì)及所采取的后續(xù)措施；g糾正措施的結(jié)果。10.2持續(xù)改進組織應(yīng)持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。附錄A（規(guī)范性附錄參考控制目標和控制措施表A.1所列的控制目標和控制措施是直接源自并與ISO/IEC DIS 270021第5到18章一致，并在6.1.3環(huán)境中被使用。表A.1控制目標和控制措施A.5信息安全方針和策略（POLICESA.5.1信息安全管理指導(dǎo)目標:依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)為信息安全提供管理指導(dǎo)和支持。A.5.1.1信息安全方針和策略控制措施信息安全方針和策略應(yīng)

20、由管理者批準、發(fā)布并傳達給所有員工和外部相關(guān)方。A.5.1.2信息安全方針和策略的評審控制措施應(yīng)按計劃的時間間隔或當重大變化發(fā)生時進行信息安全方針和策略評審，以確保其持續(xù)的適宜性、 充分性和有效性。A.6信息安全組織A.6.1內(nèi)部組織目標:建立一個管理框架，以啟動和控制組織內(nèi)信息安全的實施和運行A.6.1.1信息安全角色和職責(zé)控制措施所有的信息安全職責(zé)應(yīng)予以定義和分配。A.6.1.2責(zé)任分割控制措施應(yīng)分割沖突的責(zé)任和職責(zé)范圍，以降低未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會。A.6.1.3與政府部門的聯(lián)系控制措施應(yīng)保持與政府相關(guān)部門的適當聯(lián)系。應(yīng)保持與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的

21、適當聯(lián)系。A.6.1.5項目管理中的信息安全控制措施 應(yīng)解決項目管理中的信息安全問題，無論項目類 型。A.6.2移動設(shè)備和遠程工作目標:確保遠程工作和移動設(shè)備使用的安全。A.6.2.1移動設(shè)備策略控制措施應(yīng)采用策略和支持性安全措施以管理使用移動設(shè) 備時帶來的風(fēng)險。A.6.2.2遠程工作控制措施應(yīng)實施策略和支持性安全措施以保護在遠程工作 地點訪問、處理或存儲的信息。A.7人力資源安全A.7.1任用前目標:確保員工和承包方理解其職責(zé)，并適合其角色。A.7.1.1審查控制措施對所有任用候選者的背景驗證核查應(yīng)按照相關(guān)法律法規(guī)和道德規(guī)范進行，并與業(yè)務(wù)要求、訪問信息的等級（8.2和察覺的風(fēng)險相適宜。A.7

22、.1.2任用條款及條件控制措施應(yīng)在員工和承包商的合同協(xié)議中聲明他們和組織對信息安全的職責(zé)。A.7.2任用中目標:確保員工和承包方意識到并履行其信息安全職責(zé)。A.7.2.1管理職責(zé)控制措施管理者應(yīng)要求所有員工和承包商按照組織已建立的方針策略和規(guī)程應(yīng)用信息安全。A.7.2.2信息安全意識、教育和培訓(xùn)控制措施組織所有員工，適當時包括承包商，應(yīng)接受與其 工作職能相關(guān)的適宜的意識教育和培訓(xùn)，及組織 方針策略及規(guī)程的定期更新的信息。A.7.2.3紀律處理過程控制措施應(yīng)建立正式的且被傳達的紀律處理過程以對信息安全違規(guī)的員工采取措施。A.7.3任用的終止和變更目標:在任用變更或終止過程中保護組織的利益。（PA

23、RT未體現(xiàn)應(yīng)確定任用終止或變更后仍有效的信息安全職責(zé)和責(zé)任，傳達至員工或承包商并執(zhí)行。A.8資產(chǎn)管理A.8.1資產(chǎn)職責(zé)目標:識別組織資產(chǎn)并確定適當?shù)谋Ｗo職責(zé)。A.8.1.1資產(chǎn)清單控制措施 應(yīng)識別與信息和信息處理設(shè)施相關(guān)的資產(chǎn)，并編 制、維護這些資產(chǎn)的清單。A.8.1.2資產(chǎn)責(zé)任主體控制措施應(yīng)確定資產(chǎn)清單中的資產(chǎn)責(zé)任主體。A.8.1.3資產(chǎn)的可接受使用控制措施 應(yīng)確定信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn) 的可接受使用規(guī)則，形成文件并加以實施。A.8.1.4資產(chǎn)歸還控制措施 所有員工和外部用戶在任用、合同或協(xié)議終止時， 應(yīng)歸還其占用的所有組織資產(chǎn)。A.8.2信息分級目標:確保信息按照其對組織的重

24、要程度受到適當級別的保護A.8.2.1信息的分級控制措施信息應(yīng)按照法律要求、價值、關(guān)鍵性及其對未授權(quán)泄露或修改的敏感性進行分級。A.8.2.2信息的標記控制措施應(yīng)按照組織采用的信息分級方案，制定并實施一組適當?shù)男畔擞浺?guī)程。A.8.2.3資產(chǎn)的處理控制措施應(yīng)按照組織采用的信息分級方案，制定并實施資產(chǎn)處理規(guī)程。A.8.3介質(zhì)處理目的:防止存儲在介質(zhì)中的信息遭受未授權(quán)的泄露、修改、移除或破壞。A.8.3.1移動介質(zhì)的管理控制措施應(yīng)按照組織采用的分級方案，實施移動介質(zhì)管理規(guī)程。A.8.3.2介質(zhì)的處置控制措施應(yīng)使用正式的規(guī)程安全地處置不再需要的介質(zhì)。A.8.3.3物理介質(zhì)的轉(zhuǎn)移控制措施包含信息的介質(zhì)

25、在運送中應(yīng)受到保護，以防止未授權(quán)訪問、不當使用或毀壞。A.9訪問控制A.9.2.4用戶的秘密鑒別信息管理控制措施A.9.1訪問控制的業(yè)務(wù)要求目標:限制對信息和信息處理設(shè)施的訪問。A.9.1.1訪問控制策略控制措施 應(yīng)基于業(yè)務(wù)和信息安全要求，建立訪問控制策略， 形成文件并進行評審。A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問訪問控制 用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò) 服務(wù)。A.9.2用戶訪問管理目標:確保授權(quán)用戶對系統(tǒng)和服務(wù)的訪問，并防止未授權(quán)的訪問A.9.2.1用戶注冊和注銷控制措施應(yīng)實施正式的用戶注冊及注銷過程來分配訪問權(quán) 限。A.9.2.2用戶訪問配置控制措施 應(yīng)對所有系統(tǒng)和服務(wù)的所有類型

26、用戶實施正式的 用戶訪問配置過程以分配或撤銷訪問權(quán)限。A.9.2.3特殊訪問權(quán)限管理控制措施 應(yīng)限制和控制特殊訪問權(quán)限的分配和使用。應(yīng)通過正式的管理過程控制秘密鑒別信息的分配。A.9.2.5用戶訪問權(quán)限的復(fù)查控制措施 資產(chǎn)責(zé)任主體應(yīng)定期對用戶的訪問權(quán)限進行復(fù) 查。A.9.2.6訪問權(quán)限的移除或調(diào)整控制措施 所有員工和外部用戶對信息和信息處理設(shè)施的訪 問權(quán)限在任用、合同或協(xié)議終止時，應(yīng)予以移除, 或在變更時予以調(diào)整。A.9.3用戶職責(zé)目標:使用戶承擔保護其鑒別信息的責(zé)任。A.9.3.1秘密鑒別信息的使用控制措施 應(yīng)要求用戶遵循組織在使用秘密鑒別信息時的慣 例。A.9.4系統(tǒng)和應(yīng)用訪問控制目的:防

27、止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。A.9.4.1信息訪問限制控制措施 應(yīng)按照訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪問。A.9.4.2安全登錄規(guī)程控制措施當訪問控制策略要求時，應(yīng)通過安全登錄規(guī)程控制對系統(tǒng)和應(yīng)用的訪冋。A.9.4.3 口令管理系統(tǒng)控制措施口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。A.9.4.4特權(quán)實用程序的使用控制措施對于可能超越系統(tǒng)和應(yīng)用控制措施的實用程序的使用應(yīng)予以限制并嚴格控制。A.9.4.5程序源代碼的訪問控制控制措施應(yīng)限制對程序源代碼的訪問。A.10密碼A.10.1密碼控制目標:確保適當和有效地使用密碼技術(shù)以保護信息的保密性、真實性和（或完整 性。A.10.1.1密碼控

28、制的使用策略控制措施應(yīng)開發(fā)和實施用于保護信息的密碼控制使用策略。應(yīng)制定和實施貫穿其全生命周期的密鑰使用、保護和生存期策略A.11物理和環(huán)境安全A.11.1安全區(qū)域目標:防止對組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾A.11.1.1物理安全邊界控制措施應(yīng)定義和使用安全邊界來保護包含敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域。A.11.1.2物理入口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護，以確保只有授權(quán)的人員才允許訪問。A.11.1.3辦公室、房間和設(shè)施的安全保護控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計并采取物理安全措施。A.11.1.4外部和環(huán)境威脅的安全防護A.11.1.5在安全區(qū)域工作控制

29、措施應(yīng)設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程。A.11.1.6交接區(qū)控制措施訪問點（例如交接區(qū)和未授權(quán)人員可進入的其他點應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問A.11.2設(shè)備目標:防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷 A.11.2.1設(shè)備安置和保護控制措施應(yīng)安置或保護設(shè)備，以減少由環(huán)境威脅和危險所造成的各種風(fēng)險以及未授權(quán)訪問的機會。A.11.2.2支持性設(shè)施控制措施應(yīng)保護設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。A.11.2.3布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽、干擾或損壞A.11.2.4設(shè)備維護控制措施設(shè)備

30、應(yīng)予以正確地維護，以確保其持續(xù)的可用性和完整性。A.11.2.5資產(chǎn)的移動控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。全控制措施A.11.2.6組織場所外的設(shè)備與資產(chǎn)安應(yīng)對組織場所外的資產(chǎn)采取安全措施，要考慮工作在組織場所外的不同風(fēng)險A.11.2.7設(shè)備的安全處置或再利用控制措施包含儲存介質(zhì)的設(shè)備的所有部分應(yīng)進行核查，以確保在處置或再利用之前，任何敏感信息和注冊 軟件已被刪除或安全地寫覆蓋。A.11.2.8無人值守的用戶設(shè)備控制措施用戶應(yīng)確保無人值守的用戶設(shè)備有適當?shù)谋Ｗo。A.11.2.9清空桌面和屏幕策略控制措施應(yīng)采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。

31、A.12操作安全A.12.1操作規(guī)程和職責(zé)目標:確保正確、安全的操作信息處理設(shè)施。A.12.1.1文件化的操作規(guī)程控制措施操作規(guī)程應(yīng)形成文件，并對所需用戶可用。A.12.1.2變更管理控制措施 應(yīng)控制影響信息安全的變更，包括組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更。應(yīng)對資源的使用進行監(jiān)視，調(diào)整和預(yù)測未來的容A.12.1.3容量管理控制措施量需求，以確保所需的系統(tǒng)性能A.12.1.4開發(fā)、測試和運行環(huán)境的分離控制措施應(yīng)分離開發(fā)、測試和運行環(huán)境，以降低對運行環(huán)境未授權(quán)訪問或變更的風(fēng)險。A.12.2惡意代碼防范目標:確保信息和信息處理設(shè)施防范惡意代碼。A.12.2.1惡意代碼的控制控制措施應(yīng)實施檢測、

32、預(yù)防和恢復(fù)控制措施以防范惡意代碼，并結(jié)合適當?shù)挠脩粢庾R教育。A.12.3備份目標:防止數(shù)據(jù)丟失A.12.3.1信息備份控制措施應(yīng)按照既定的備份策略，對信息、軟件和系統(tǒng)鏡像進行備份，并定期測試。A.12.4日志和監(jiān)視目的:記錄事態(tài)并生成證據(jù)。A.12.4.1事態(tài)日志控制措施錯誤和信息安全事態(tài)的事態(tài)日志應(yīng)產(chǎn)生、保持并定期評審記錄用戶活動、異常、A.12.4.2日志信息的保護控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護，以防止 篡改和未授權(quán)的訪問。A.12.4.3管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員活動應(yīng)記入日志，并對 日志進行保護和定期評審。A.12.4.4時鐘同步控制措施一個組織或安全

33、域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)與單一的參考源進行同步。A.12.5運行軟件控制目標:確保運行系統(tǒng)的完整性。A.12.5.1運行系統(tǒng)的軟件安裝控制措施應(yīng)實施運行系統(tǒng)軟件安裝控制規(guī)程。A.12.6技術(shù)脆弱性管理目標:防止對技術(shù)脆弱性的利用。A.12.6.1技術(shù)脆弱性的管理控制措施 應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)脆弱性信息, 評價組織對這些脆弱性的暴露狀況并采取適當?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險A.12.6.2軟件安裝限制控制措施應(yīng)建立并實施控制用戶安裝軟件的規(guī)則。A.12.7信息系統(tǒng)審計的考慮目標:使審計活動對運行系統(tǒng)的影響最小化。A.12.7.1信息系統(tǒng)審計的控制控制措施涉及運行系統(tǒng)驗證的審計要求和活

34、動，應(yīng)謹慎地 加以規(guī)劃并取得批準，以便最小化造成業(yè)務(wù)過程 中斷的風(fēng)險。A.13通信安全A.13.1網(wǎng)絡(luò)安全管理目標:確保網(wǎng)絡(luò)及其支持性信息處理設(shè)施中的信息得到保護。A.13.1.1網(wǎng)絡(luò)控制控制措施應(yīng)管理和控制網(wǎng)絡(luò)以保護系統(tǒng)和應(yīng)用中的信息。A.13.1.2網(wǎng)絡(luò)服務(wù)的安全控制措施所有網(wǎng)絡(luò)服務(wù)的安全機制、服務(wù)級別和管理要求應(yīng)予以確定并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些 服務(wù)是由內(nèi)部提供的還是外包的。A.13.1.3網(wǎng)絡(luò)隔離控制措施應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)A.13.2信息傳輸目標:保持在組織內(nèi)及與外部實體間傳輸信息的安全A.13.2.1信息傳輸策略和規(guī)程控制措施應(yīng)有正式的傳輸策略、規(guī)程和控制

35、措施，以保護通過使用各種類型通信設(shè)施進行的信息傳輸。 A.13.2.2信息傳輸協(xié)議控制措施 協(xié)議應(yīng)解決組織與外部方業(yè)務(wù)信息的安全傳輸。A.13.2.3電子消息發(fā)送控制措施應(yīng)適當保護包含在電子消息發(fā)送中的信息。A.13.2.4保密或不泄露協(xié)議控制措施應(yīng)識別、定期評審和文件化反映組織信息保護需要的保密性或不泄露協(xié)議的要求。A.14系統(tǒng)獲取、開發(fā)和維護A.14.1信息系統(tǒng)的安全要求目標:確保信息安全是信息系統(tǒng)整個生命周期中的一個有機組成部分。這也包括提供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求A.14.1.1信息安全要求分析和說明控制措施新建信息系統(tǒng)或增強現(xiàn)有信息系統(tǒng)的要求中應(yīng)包括信息安全相關(guān)要求。保護控制措施

36、A.14.1.2公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全應(yīng)保護在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)中的信息以防止欺詐行為、合同糾紛以及未經(jīng) 授權(quán)的泄露和修改。A.14.1.3應(yīng)用服務(wù)交易的保護控制措施應(yīng)保護應(yīng)用服務(wù)交易中的信息，以防止不完整的傳輸、錯誤路由、未授權(quán)的消息變更、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。A.14.2開發(fā)和支持過程中的安全目標:確保信息安全在信息系統(tǒng)開發(fā)生命周期中得到設(shè)計和實施。A.14.2.1安全的開發(fā)策略控制措施針對組織內(nèi)的開發(fā)，應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則并應(yīng)用。A.14.2.2系統(tǒng)變更控制規(guī)程控制措施應(yīng)使用正式的變更控制規(guī)程來控制開發(fā)生命周期內(nèi)的系統(tǒng)變更。A.14.2.3運行平臺變更后對應(yīng)用的技

37、術(shù)評審控制措施當運行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行評審和測試，以確保對組織的 運行和安全沒有負面影響。A.14.2.4軟件包變更的限制控制措施應(yīng)不鼓勵對軟件包進行修改，僅限于必要的變更,且對所有變更加以嚴格控制A.14.2.5安全的系統(tǒng)工程原則控制措施應(yīng)建立、文件化和維護安全的系統(tǒng)工程原則，并應(yīng)用到任何信息系統(tǒng)實施工作中A.14.2.6安全的開發(fā)環(huán)境控制措施組織應(yīng)針對覆蓋系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和 集成活動，建立安全開發(fā)環(huán)境，并予以適當保護。A.14.2.7外包開發(fā)控制措施組織應(yīng)督導(dǎo)和監(jiān)視外包系統(tǒng)開發(fā)活動A.14.2.8系統(tǒng)安全測試控制措施應(yīng)在開發(fā)過程中進行安全功能測試。A.14.2

38、.9系統(tǒng)驗收測試控制措施應(yīng)建立對新的信息系統(tǒng)、升級及新版本的驗收測試方案和相關(guān)準則。A.14.3測試數(shù)據(jù)目標:確保用于測試的數(shù)據(jù)得到保護。測試數(shù)據(jù)應(yīng)認真地加以選擇、保護和控制A.14.3.1測試數(shù)據(jù)的保護控制措施A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系中的信息安全目標:確保供應(yīng)商可訪問的組織資產(chǎn)受到保護。A.15.1.1供應(yīng)商關(guān)系的信息安全策略控制措施 為降低供應(yīng)商訪問組織資產(chǎn)的相關(guān)風(fēng)險，應(yīng)與供 應(yīng)商就信息安全要求達成一致，并形成文件A.15.1.2在供應(yīng)商協(xié)議中解決安全控制措施應(yīng)與每個可能訪問、處理、存儲、傳遞組織信息或為組織信息提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立所有相關(guān)的信息安全要求，并達成

39、一致。A.15.1.3信息與通信技術(shù)供應(yīng)鏈控制措施供應(yīng)商協(xié)議應(yīng)包括信息與通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)的信息安全風(fēng)險處理要求。A.15.2供應(yīng)商服務(wù)交付管理目標:保持與供應(yīng)商協(xié)議一致的信息安全和服務(wù)交付的商定級別A.15.2.1供應(yīng)商服務(wù)的監(jiān)視和評審控制措施組織應(yīng)定期監(jiān)視、評審和審核供應(yīng)商服務(wù)交付。進現(xiàn)有的信息安全策略、規(guī)程和控制措施，管理應(yīng)考慮變更涉及到的業(yè)務(wù)信息、系統(tǒng)和過程的關(guān)鍵程度及風(fēng)險的再評估。A.16信息安全事件管理A.16.1信息安全事件的管理和改進目標:確保采用一致和有效的方法對信息安全事件進行管理，包括對安全事態(tài)和 弱點的溝通。A.16.1.1職責(zé)和規(guī)程控制措施應(yīng)建立管理職責(zé)和

40、規(guī)程，以確?？焖佟⒂行Ш陀行虻仨憫?yīng)信息安全事件。A.16.1.2報告信息安全事態(tài)控制措施應(yīng)通過適當?shù)墓芾砬辣M快地報告信息安全事態(tài)0A.16.1.3報告信息安全弱點控制措施應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報告任何觀察到的或可疑的系統(tǒng)或服務(wù)中ISO/IEC 27001:2013(E的信息安全弱點。A.16.1.4信息安全事態(tài)的評估和決策控制措施 應(yīng)評估信息安全事態(tài)并決定其是否屬于信息安全 事件。A.16.1.5信息安 全事件的響應(yīng) 控制措施 應(yīng)按照文件化的規(guī)程響應(yīng)信息安全事件。A.16.1.6從信息安全事件中學(xué)習(xí)控制措施應(yīng)利用在分析和解決信息安全事件中得到的知識 來減少未來事件發(fā)生的可能性和影響。A.16.1.7證據(jù)的收集 控制措施 組織應(yīng)確定和應(yīng)用規(guī)程來識別、收集、獲取和保 存可用作證據(jù)的信息。A.17業(yè)務(wù)連續(xù)性管