ISO27001-2013信息安全管理體系要求.

1、目錄前言 (30 引言 (40.1 總則 (40.2 與其他管理系統(tǒng)標(biāo)準(zhǔn)的兼容性 (41. 范圍 (52 規(guī)范性引用文件 (53 術(shù)語和定義 (54 組織景況 (54.1 了解組織及其景況 (54.2 了解相關(guān)利益方的需求和期望 (54.3 確立信息安全管理體系的范圍 (64.4 信息安全管理體系 (65 領(lǐng)導(dǎo) (65.1 領(lǐng)導(dǎo)和承諾 (65.2 方針 (65.3 組織的角色,職責(zé)和權(quán)限 (76. 計劃 (76.1 應(yīng)對風(fēng)險和機(jī)遇的行為 (76.2 信息安全目標(biāo)及達(dá)成目標(biāo)的計劃 (97 支持 (97.1 資源 (97.2 權(quán)限 (97.3 意識 (107.4 溝通 (107.5 記錄信息 (1

2、08 操作 (118.1 操作的計劃和控制措施 (118.2 信息安全風(fēng)險評估 (118.3 信息安全風(fēng)險處置 (119 性能評價 (129.1監(jiān)測、測量、分析和評價 (129.2 內(nèi)部審核 (129.3 管理評審 (1210 改進(jìn) (1310.1 不符合和糾正措施 (1310.2 持續(xù)改進(jìn) (14附錄A(規(guī)范參考控制目標(biāo)和控制措施 (15參考文獻(xiàn) (28前言0 引言0.1 總則本標(biāo)準(zhǔn)提供建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系的要求。采用信息安全管理體系是組織的一項戰(zhàn)略性決策。組織信息安全管理體系的建立和實施受組織的需要和目標(biāo)、安全要求、所采用的過程、規(guī)模和結(jié)構(gòu)的影響。所有這些影響因素可能

3、隨時間發(fā)生變化。信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用性,并給相關(guān)方建立風(fēng)險得到充分管理的信心。重要的是,信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中,并且在過程、信息系統(tǒng)和控制措施的設(shè)計中要考慮到信息安全。信息安全管理體系的實施要與組織的需要相符合。本標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求。本標(biāo)準(zhǔn)中表述要求的順序不反映各要求的重要性或?qū)嵤╉樞颉l款編號僅為方便引用。ISO/IEC 27000參考信息安全管理體系標(biāo)準(zhǔn)族(包括ISO/IEC 270032、ISO/IEC 270043、ISO/IEC 270054及相關(guān)術(shù)

4、語和定義,給出了信息安全管理體系的概述和詞匯。0.2 與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)應(yīng)用了ISO/IEC 導(dǎo)則第一部分的ISO補(bǔ)充部分附錄SL中定義的高層結(jié)構(gòu)、同一子條款標(biāo)題、同一文本、通用術(shù)語和核心定義,因此保持了與其它采用附錄SL的管理體系標(biāo)準(zhǔn)的兼容性。附錄SL定義的通用方法有助于組織選擇實施單一管理體系來滿足兩個或多個管理體系標(biāo)準(zhǔn)要求。信息技術(shù)安全技術(shù)信息安全管理體系要求1. 范圍本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境(context下建立、實施、運(yùn)行、保持和持續(xù)改進(jìn)信息安全管理體系的要求。本標(biāo)準(zhǔn)還包括了根據(jù)組織需求而進(jìn)行的信息安全風(fēng)險評估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模或

5、性質(zhì)的組織。組織聲稱符合本標(biāo)準(zhǔn)時,對于第4章到第10章的要求不能刪減。2 規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用,對于本文件的應(yīng)用必不可少。凡是注日期的引用文件,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件,其最新版本(包括任何修改適用于本標(biāo)準(zhǔn)。ISO/IEC 27000,信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯。3 術(shù)語和定義ISO/IEC 27000中界定的術(shù)語和定義適用于本文件。4 組織環(huán)境(context4.1 理解組織及其環(huán)境(context組織應(yīng)確定與其意圖相關(guān)的,且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部情況(issue。注:對這些情況的

6、確定,參見ISO31000:20095,5.3中建立外部和內(nèi)部環(huán)境的內(nèi)容。4.2 理解相關(guān)方的需求和期望組織應(yīng)確定:a信息安全管理體系相關(guān)方;b這些相關(guān)方的信息安全要求。注:相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。4.3 確定信息安全管理體系范圍組織應(yīng)確定信息安全管理體系的邊界及其適用性以建立其范圍。在確定范圍時,組織應(yīng)考慮:a 4.1中提到的外部和內(nèi)部情況;b 4.2中提到的要求;c組織執(zhí)行活動之間以及與其他組織執(zhí)行活動之間的接口和依賴關(guān)系。該范圍應(yīng)形成文件化信息并可用。4.4 信息安全管理體系組織應(yīng)按照本標(biāo)準(zhǔn)的要求,建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系。5 領(lǐng)導(dǎo)力5.1 領(lǐng)導(dǎo)力和承

7、諾最高管理者應(yīng)通過以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾:a確保信息安全方針和信息安全目標(biāo)已建立,并與組織戰(zhàn)略方向一致;b確保將信息安全管理體系要求整合到組織過程中;c確保信息安全管理體系所需資源可用;d傳達(dá)有效的信息安全管理及符合信息安全管理體系要求的重要性;e確保信息安全管理體系達(dá)到預(yù)期結(jié)果;f指導(dǎo)并支持相關(guān)人員為信息安全管理體系有效性做出貢獻(xiàn);g促進(jìn)持續(xù)改進(jìn);h支持其他相關(guān)管理者角色,在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力。5.2 方針最高管理者應(yīng)建立信息安全方針,方針應(yīng):a與組織意圖相適宜;b包括信息安全目標(biāo)(見6.2或為信息安全目標(biāo)的設(shè)定提供框架;c包括對滿足適用的信息安全要求的承諾;d包括持

8、續(xù)改進(jìn)信息安全管理體系的承諾。信息安全方針應(yīng):e形成文件化信息并可用;f在組織內(nèi)得到溝通;g適當(dāng)時,對相關(guān)方可用。5.3 組織的角色,職責(zé)和權(quán)限最高管理者應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限得到分配和溝通。最高管理者應(yīng)分配職責(zé)和權(quán)限,以:a確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求;b向最高管理者報告信息安全管理體系績效。注:最高管理者也可為組織內(nèi)報告信息安全管理體系績效,分配職責(zé)和權(quán)限。6. 規(guī)劃6.1 應(yīng)對風(fēng)險和機(jī)會的措施6.1.1 總則當(dāng)規(guī)劃信息安全管理體系時,組織應(yīng)考慮4.1中提到的問題和4.2中提到的要求,確定需要應(yīng)對的風(fēng)險和機(jī)會,以:a確保信息安全管理體系能實現(xiàn)預(yù)期結(jié)果;b預(yù)防或減少意外

9、的影響;c實現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃:d應(yīng)對這些風(fēng)險和機(jī)會的措施;e如何:1將這些措施整合到信息安全管理體系過程中,并予以實施;2評價這些措施的有效性。6.1.2 信息安全風(fēng)險評估組織應(yīng)定義并應(yīng)用信息安全風(fēng)險評估過程,以:a建立和維護(hù)信息安全風(fēng)險準(zhǔn)則,包括:1風(fēng)險接受準(zhǔn)則;2信息安全風(fēng)險評估實施準(zhǔn)則。b確保重復(fù)的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較的結(jié)果;c識別信息安全風(fēng)險:1應(yīng)用信息安全風(fēng)險評估過程,以識別信息安全管理體系范圍內(nèi)與信息保密性、完整性和可用性損失有關(guān)的風(fēng)險;2識別風(fēng)險責(zé)任人;d分析信息安全風(fēng)險:1評估6.1.2 c 1中所識別的風(fēng)險發(fā)生后,可能導(dǎo)致的潛在后果;2評估6.1

10、.2 c 1中所識別的風(fēng)險實際發(fā)生的可能性;3確定風(fēng)險級別;e評價信息安全風(fēng)險:1將風(fēng)險分析結(jié)果與6.1.2 a中建立的風(fēng)險準(zhǔn)則進(jìn)行比較;2排列已分析風(fēng)險的優(yōu)先順序,以便于風(fēng)險處置。組織應(yīng)保留信息安全風(fēng)險評估過程的文件化信息。6.1.3 信息安全風(fēng)險處置組織應(yīng)定義并應(yīng)用信息安全風(fēng)險處置過程,以:a在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上,選擇適合的信息安全風(fēng)險處置選項;b確定實施已選的信息安全風(fēng)險處置選項所必需的全部控制措施;注:組織可根據(jù)需要設(shè)計控制措施,或從任何來源識別控制措施。c將6.1.3 b確定的控制措施與附錄A中的控制措施進(jìn)行比較,以核實沒有遺漏必要的控制措施;注1:附錄A包含了控制目標(biāo)和控制措

11、施的綜合列表。本標(biāo)準(zhǔn)用戶可使用附錄A,以確保沒有忽略必要的控制措施。注2:控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施,組織也可能需要另外的控制目標(biāo)和控制措施。d制定適用性聲明,包含必要的控制措施(見6.1.3 b和c及其選擇的合理性說明(無論該控制措施是否已實施,以及對附錄A控制措施刪減的合理性說明;e制定信息安全風(fēng)險處置計劃;f獲得風(fēng)險責(zé)任人對信息安全風(fēng)險處置計劃的批準(zhǔn),及對信息安全殘余風(fēng)險的接受。組織應(yīng)保留信息安全風(fēng)險處置過程的文件化信息。注:本標(biāo)準(zhǔn)中的信息安全風(fēng)險評估和處置過程與ISO 310005中給出的原則和通用指南6.2 信息安全

12、目標(biāo)和實現(xiàn)規(guī)劃組織應(yīng)在相關(guān)職能和層次上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng):a與信息安全方針一致;b可測量(如可行;c考慮適用的信息安全要求,以及風(fēng)險評估和風(fēng)險處置的結(jié)果;d得到溝通;e在適當(dāng)時更新。組織應(yīng)保留信息安全目標(biāo)的文件化信息。在規(guī)劃如何實現(xiàn)信息安全目標(biāo)時,組織應(yīng)確定:f要做什么;g需要什么資源;h由誰負(fù)責(zé);i什么時候完成;j如何評價結(jié)果。7 支持7.1 資源組織應(yīng)確定并提供建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。7.2 能力組織應(yīng):a確定從事在組織控制下且會影響組織的信息安全績效的工作的人員的必要能力;b確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗的基礎(chǔ)上能夠勝任其工作;c適用時,

13、采取措施以獲得必要的能力,并評估所采取措施的有效性;d保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注:適用的措施可包括,例如針對現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配;雇傭或簽約有7.3 意識在組織控制下工作的人員應(yīng)了解:a信息安全方針;b其對信息安全管理體系有效性的貢獻(xiàn),包括改進(jìn)信息安全績效帶來的益處;c不符合信息安全管理體系要求帶來的影響。7.4 溝通組織應(yīng)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求,包括:a溝通內(nèi)容;b溝通時間;c溝通對象;d誰應(yīng)負(fù)責(zé)溝通;e影響溝通的過程。7.5 文件化信息7.5.1 總則組織的信息安全管理體系應(yīng)包括:a本標(biāo)準(zhǔn)要求的文件化信息;b組織為有效實施信息安全管理體系所

14、確定的必要的文件化信息。注:不同組織的信息安全管理體系文件化信息的詳略程度取決于:1 組織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型;2 過程的復(fù)雜性及其相互作用;3 人員的能力。7.5.2 創(chuàng)建和更新創(chuàng)建和更新文件化信息時,組織應(yīng)確保適當(dāng)?shù)?a標(biāo)識和描述(例如標(biāo)題、日期、作者或編號;b格式(例如語言、軟件版本、圖表和介質(zhì)(例如紙質(zhì)、電子介質(zhì);c對適宜性和充分性的評審和批準(zhǔn)。7.5.3 文件化信息的控制信息安全管理體系及本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制,以確保:a在需要的地點(diǎn)和時間,是可用和適宜的;b得到充分的保護(hù)(如避免保密性損失、不恰當(dāng)使用、完整性損失等。為控制文件化信息,適用時,組織應(yīng)開展

15、以下活動:c分發(fā),訪問,檢索和使用;d存儲和保護(hù),包括保持可讀性;e控制變更(例如版本控制;f保留和處置。組織確定的為規(guī)劃和運(yùn)行信息安全管理體系所必需的外來的文件化信息,應(yīng)得到適當(dāng)?shù)淖R別,并予以控制。注:訪問隱含著允許僅瀏覽文件化信息,或允許和授權(quán)瀏覽及更改文件化信息等決定。8 運(yùn)行8.1 運(yùn)行規(guī)劃和控制組織應(yīng)對滿足信息安全要求及實施6.1中確定的措施所需的過程予以規(guī)劃、實施和控制。組織也應(yīng)實施計劃以實現(xiàn)6.2中確定的信息安全目標(biāo)。組織應(yīng)保持文件化信息達(dá)到必要的程度,以確信過程按計劃得到執(zhí)行。組織應(yīng)控制計劃內(nèi)的變更并評審非預(yù)期變更的后果,必要時采取措施減輕負(fù)面影響。組織應(yīng)確保外包過程得到確定和

16、控制。8.2 信息安全風(fēng)險評估組織應(yīng)考慮6.1.2 a建立的準(zhǔn)則,按計劃的時間間隔,或當(dāng)重大變更提出或發(fā)生時,執(zhí)行信息安全風(fēng)險評估。組織應(yīng)保留信息安全風(fēng)險評估結(jié)果的文件化信息。8.3 信息安全風(fēng)險處置組織應(yīng)實施信息安全風(fēng)險處置計劃。組織應(yīng)保留信息安全風(fēng)險處置結(jié)果的文件化信息。9 績效評價9.1監(jiān)視、測量、分析和評價組織應(yīng)評價信息安全績效和信息安全管理體系的有效性。組織應(yīng)確定:a需要被監(jiān)視和測量的內(nèi)容,包括信息安全過程和控制措施;b監(jiān)視、測量、分析和評價的方法,適用時,以確保得到有效的結(jié)果。注:所選的方法宜產(chǎn)生可比較和可再現(xiàn)的有效結(jié)果。c何時應(yīng)執(zhí)行監(jiān)視和測量;d誰應(yīng)監(jiān)視和測量;e何時應(yīng)分析和評價

17、監(jiān)視和測量的結(jié)果;f誰應(yīng)分析和評價這些結(jié)果。組織應(yīng)保留適當(dāng)?shù)奈募畔⒆鳛楸O(jiān)視和測量結(jié)果的證據(jù)。9.2 內(nèi)部審核組織應(yīng)按計劃的時間間隔進(jìn)行內(nèi)部審核,提供信息以確定信息安全管理體系是否:a符合1組織自身對信息安全管理體系的要求;2本標(biāo)準(zhǔn)的要求。b得到有效實施和保持。組織應(yīng):c規(guī)劃、建立、實施和保持審核方案(一個或多個,包括審核頻次、方法、職責(zé)、規(guī)劃要求和報告。審核方案應(yīng)考慮相關(guān)過程的重要性和以往審核的結(jié)果;d確定每次審核的審核準(zhǔn)則和范圍;e選擇審核員,實施審核,確保審核過程的客觀性和公正性;f確保將審核結(jié)果報告至相關(guān)管理者;g保留文件化信息作為審核方案和審核結(jié)果的證據(jù)。9.3 管理評審最高管理者

18、應(yīng)按計劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。管理評審應(yīng)考慮:a以往管理評審要求采取措施的狀態(tài);b與信息安全管理體系相關(guān)的外部和內(nèi)部情況的變化;c信息安全績效有關(guān)的反饋,包括以下方面的趨勢:1不符合和糾正措施;2監(jiān)視和測量結(jié)果;3審核結(jié)果;4信息安全目標(biāo)完成情況;d相關(guān)方反饋;e風(fēng)險評估結(jié)果及風(fēng)險處置計劃的狀態(tài);f持續(xù)改進(jìn)的機(jī)會。管理評審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會相關(guān)的決定以及變更信息安全管理體系的任何需求。組織應(yīng)保留文件化信息作為管理評審結(jié)果的證據(jù)。10 改進(jìn)10.1 不符合和糾正措施當(dāng)發(fā)生不符合時,組織應(yīng):a對不符合做出反應(yīng),適用時:1采取措施控制并糾

19、正不符合;2處理后果;b通過以下方法,評價采取消除不符合原因的措施的需求,防止不符合再發(fā)生,或在其他地方發(fā)生:1評審不符合;2確定不符合的原因;3確定類似的不符合是否存在,或可能發(fā)生;c實施需要的措施;d評審所采取的糾正措施的有效性;e必要時,對信息安全管理體系進(jìn)行變更。糾正措施應(yīng)與所遇到的不符合的影響程度相適應(yīng)。組織應(yīng)保留文件化信息作為以下方面的證據(jù):f不符合的性質(zhì)及所采取的后續(xù)措施;g糾正措施的結(jié)果。10.2 持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。附錄A(規(guī)范性附錄參考控制目標(biāo)和控制措施表A.1所列的控制目標(biāo)和控制措施是直接源自并與ISO/IEC DIS 2700

20、21第5到18章一致,并在6.1.3環(huán)境中被使用。表A.1 控制目標(biāo)和控制措施A.5 信息安全方針和策略(POLICESA.5.1 信息安全管理指導(dǎo)目標(biāo):依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)為信息安全提供管理指導(dǎo)和支持。A.5.1.1 信息安全方針和策略控制措施信息安全方針和策略應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。A.5.1.2 信息安全方針和策略的評審控制措施應(yīng)按計劃的時間間隔或當(dāng)重大變化發(fā)生時進(jìn)行信息安全方針和策略評審,以確保其持續(xù)的適宜性、充分性和有效性。A.6 信息安全組織A.6.1 內(nèi)部組織目標(biāo):建立一個管理框架,以啟動和控制組織內(nèi)信息安全的實施和運(yùn)行。A.6.1.1 信息安全角

21、色和職責(zé)控制措施所有的信息安全職責(zé)應(yīng)予以定義和分配。A.6.1.2 責(zé)任分割控制措施應(yīng)分割沖突的責(zé)任和職責(zé)范圍,以降低未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會。A.6.1.3 與政府部門的聯(lián)系控制措施應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。A.6.1.4 與特定相關(guān)方的聯(lián)系控制措施應(yīng)保持與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系。A.6.1.5 項目管理中的信息安全控制措施應(yīng)解決項目管理中的信息安全問題,無論項目類型。A.6.2 移動設(shè)備和遠(yuǎn)程工作目標(biāo):確保遠(yuǎn)程工作和移動設(shè)備使用的安全。A.6.2.1 移動設(shè)備策略控制措施應(yīng)采用策略和支持性安全措施以管理使用移動設(shè)備時帶來的風(fēng)險。A.6.2

22、.2 遠(yuǎn)程工作控制措施應(yīng)實施策略和支持性安全措施以保護(hù)在遠(yuǎn)程工作地點(diǎn)訪問、處理或存儲的信息。A.7 人力資源安全A.7.1 任用前目標(biāo):確保員工和承包方理解其職責(zé),并適合其角色。A.7.1.1 審查控制措施對所有任用候選者的背景驗證核查應(yīng)按照相關(guān)法律法規(guī)和道德規(guī)范進(jìn)行,并與業(yè)務(wù)要求、訪問信息的等級(8.2和察覺的風(fēng)險相適宜。A.7.1.2 任用條款及條件控制措施應(yīng)在員工和承包商的合同協(xié)議中聲明他們和組織對信息安全的職責(zé)。A.7.2 任用中目標(biāo):確保員工和承包方意識到并履行其信息安全職責(zé)。A.7.2.1 管理職責(zé)控制措施管理者應(yīng)要求所有員工和承包商按照組織已建立的方針策略和規(guī)程應(yīng)用信息安全。A.

23、7.2.2 信息安全意識、教育和培訓(xùn)控制措施組織所有員工,適當(dāng)時包括承包商,應(yīng)接受與其工作職能相關(guān)的適宜的意識教育和培訓(xùn),及組織方針策略及規(guī)程的定期更新的信息。A.7.2.3 紀(jì)律處理過程控制措施應(yīng)建立正式的且被傳達(dá)的紀(jì)律處理過程以對信息安全違規(guī)的員工采取措施。A.7.3 任用的終止和變更目標(biāo):在任用變更或終止過程中保護(hù)組織的利益。(PART未體現(xiàn)A.7.3.1 任用職責(zé)的終止或變更控制措施應(yīng)確定任用終止或變更后仍有效的信息安全職責(zé)和責(zé)任,傳達(dá)至員工或承包商并執(zhí)行。A.8 資產(chǎn)管理A.8.1資產(chǎn)職責(zé)目標(biāo):識別組織資產(chǎn)并確定適當(dāng)?shù)谋Ｗo(hù)職責(zé)。A.8.1.1 資產(chǎn)清單控制措施應(yīng)識別與信息和信息處理設(shè)

24、施相關(guān)的資產(chǎn),并編制、維護(hù)這些資產(chǎn)的清單。A.8.1.2 資產(chǎn)責(zé)任主體控制措施應(yīng)確定資產(chǎn)清單中的資產(chǎn)責(zé)任主體。A.8.1.3 資產(chǎn)的可接受使用控制措施應(yīng)確定信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則,形成文件并加以實施。A.8.1.4 資產(chǎn)歸還控制措施所有員工和外部用戶在任用、合同或協(xié)議終止時,應(yīng)歸還其占用的所有組織資產(chǎn)。A.8.2 信息分級目標(biāo):確保信息按照其對組織的重要程度受到適當(dāng)級別的保護(hù)。A.8.2.1 信息的分級控制措施信息應(yīng)按照法律要求、價值、關(guān)鍵性及其對未授權(quán)泄露或修改的敏感性進(jìn)行分級。A.8.2.2 信息的標(biāo)記控制措施應(yīng)按照組織采用的信息分級方案,制定并實施一組適當(dāng)?shù)?/p>

25、信息標(biāo)記規(guī)程。A.8.2.3 資產(chǎn)的處理控制措施應(yīng)按照組織采用的信息分級方案,制定并實施資產(chǎn)處理規(guī)程。A.8.3 介質(zhì)處理目的:防止存儲在介質(zhì)中的信息遭受未授權(quán)的泄露、修改、移除或破壞。A.8.3.1 移動介質(zhì)的管理控制措施應(yīng)按照組織采用的分級方案,實施移動介質(zhì)管理規(guī)程。A.8.3.2 介質(zhì)的處置控制措施應(yīng)使用正式的規(guī)程安全地處置不再需要的介質(zhì)。A.8.3.3 物理介質(zhì)的轉(zhuǎn)移控制措施包含信息的介質(zhì)在運(yùn)送中應(yīng)受到保護(hù),以防止未授權(quán)訪問、不當(dāng)使用或毀壞。A.9 訪問控制A.9.1訪問控制的業(yè)務(wù)要求目標(biāo):限制對信息和信息處理設(shè)施的訪問。A.9.1.1 訪問控制策略控制措施應(yīng)基于業(yè)務(wù)和信息安全要求,建

26、立訪問控制策略,形成文件并進(jìn)行評審。A.9.1.2 網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問訪問控制用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。A.9.2用戶訪問管理目標(biāo):確保授權(quán)用戶對系統(tǒng)和服務(wù)的訪問,并防止未授權(quán)的訪問。A.9.2.1 用戶注冊和注銷控制措施應(yīng)實施正式的用戶注冊及注銷過程來分配訪問權(quán)限。A.9.2.2 用戶訪問配置控制措施應(yīng)對所有系統(tǒng)和服務(wù)的所有類型用戶實施正式的用戶訪問配置過程以分配或撤銷訪問權(quán)限。A.9.2.3 特殊訪問權(quán)限管理控制措施應(yīng)限制和控制特殊訪問權(quán)限的分配和使用。A.9.2.4 用戶的秘密鑒別信息管理控制措施應(yīng)通過正式的管理過程控制秘密鑒別信息的分配。A.9.2.5 用戶訪問

27、權(quán)限的復(fù)查控制措施資產(chǎn)責(zé)任主體應(yīng)定期對用戶的訪問權(quán)限進(jìn)行復(fù)查。A.9.2.6 訪問權(quán)限的移除或調(diào)整控制措施所有員工和外部用戶對信息和信息處理設(shè)施的訪問權(quán)限在任用、合同或協(xié)議終止時,應(yīng)予以移除,或在變更時予以調(diào)整。A.9.3 用戶職責(zé)目標(biāo):使用戶承擔(dān)保護(hù)其鑒別信息的責(zé)任。A.9.3.1 秘密鑒別信息的使用控制措施應(yīng)要求用戶遵循組織在使用秘密鑒別信息時的慣例。A.9.4系統(tǒng)和應(yīng)用訪問控制目的:防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。A.9.4.1 信息訪問限制控制措施應(yīng)按照訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪問。A.9.4.2 安全登錄規(guī)程控制措施當(dāng)訪問控制策略要求時,應(yīng)通過安全登錄規(guī)程控制對系統(tǒng)和應(yīng)用

28、的訪問。A.9.4.3 口令管理系統(tǒng)控制措施口令管理系統(tǒng)應(yīng)是交互式的,并應(yīng)確保優(yōu)質(zhì)的口令。A.9.4.4 特權(quán)實用程序的使用控制措施對于可能超越系統(tǒng)和應(yīng)用控制措施的實用程序的使用應(yīng)予以限制并嚴(yán)格控制。A.9.4.5 程序源代碼的訪問控制控制措施應(yīng)限制對程序源代碼的訪問。A.10 密碼A.10.1 密碼控制目標(biāo):確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實性和(或完整性。A.10.1.1 密碼控制的使用策略控制措施應(yīng)開發(fā)和實施用于保護(hù)信息的密碼控制使用策略。A.10.1.2 密鑰管理控制措施應(yīng)制定和實施貫穿其全生命周期的密鑰使用、保護(hù)和生存期策略。A.11 物理和環(huán)境安全A.11.1 安

29、全區(qū)域目標(biāo):防止對組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾。A.11.1.1 物理安全邊界控制措施應(yīng)定義和使用安全邊界來保護(hù)包含敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域。A.11.1.2 物理入口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護(hù),以確保只有授權(quán)的人員才允許訪問。A.11.1.3 辦公室、房間和設(shè)施的安全保護(hù)控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計并采取物理安全措施。A.11.1.4 外部和環(huán)境威脅的安全防護(hù)A.11.1.5 在安全區(qū)域工作控制措施應(yīng)設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程。A.11.1.6 交接區(qū)控制措施訪問點(diǎn)(例如交接區(qū)和未授權(quán)人員可進(jìn)入的其他點(diǎn)應(yīng)加以控制,如果可能,應(yīng)與信息處理

30、設(shè)施隔離,以避免未授權(quán)訪問。A.11.2 設(shè)備目標(biāo):防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷。A.11.2.1 設(shè)備安置和保護(hù)控制措施應(yīng)安置或保護(hù)設(shè)備,以減少由環(huán)境威脅和危險所造成的各種風(fēng)險以及未授權(quán)訪問的機(jī)會。A.11.2.2 支持性設(shè)施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。A.11.2.3 布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽、干擾或損壞A.11.2.4 設(shè)備維護(hù)控制措施設(shè)備應(yīng)予以正確地維護(hù),以確保其持續(xù)的可用性和完整性。A.11.2.5 資產(chǎn)的移動控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。A

31、.11.2.6 組織場所外的設(shè)備與資產(chǎn)安全控制措施應(yīng)對組織場所外的資產(chǎn)采取安全措施,要考慮工作在組織場所外的不同風(fēng)險A.11.2.7 設(shè)備的安全處置或再利用控制措施包含儲存介質(zhì)的設(shè)備的所有部分應(yīng)進(jìn)行核查,以確保在處置或再利用之前,任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。A.11.2.8 無人值守的用戶設(shè)備控制措施用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。A.11.2.9 清空桌面和屏幕策略控制措施應(yīng)采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。A.12 操作安全A.12.1 操作規(guī)程和職責(zé)目標(biāo):確保正確、安全的操作信息處理設(shè)施。A.12.1.1 文件化的操作規(guī)程控

32、制措施操作規(guī)程應(yīng)形成文件,并對所需用戶可用。A.12.1.2 變更管理控制措施應(yīng)控制影響信息安全的變更,包括組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更。A.12.1.3 容量管理控制措施應(yīng)對資源的使用進(jìn)行監(jiān)視,調(diào)整和預(yù)測未來的容量需求,以確保所需的系統(tǒng)性能。A.12.1.4 開發(fā)、測試和運(yùn)行環(huán)境的分離控制措施應(yīng)分離開發(fā)、測試和運(yùn)行環(huán)境,以降低對運(yùn)行環(huán)境未授權(quán)訪問或變更的風(fēng)險。A.12.2惡意代碼防范目標(biāo):確保信息和信息處理設(shè)施防范惡意代碼。A.12.2.1 惡意代碼的控制控制措施應(yīng)實施檢測、預(yù)防和恢復(fù)控制措施以防范惡意代碼,并結(jié)合適當(dāng)?shù)挠脩粢庾R教育。A.12.3 備份目標(biāo):防止數(shù)據(jù)丟失A.12.3

33、.1 信息備份控制措施應(yīng)按照既定的備份策略,對信息、軟件和系統(tǒng)鏡像進(jìn)行備份,并定期測試。A.12.4 日志和監(jiān)視目的:記錄事態(tài)并生成證據(jù)。A.12.4.1 事態(tài)日志控制措施應(yīng)產(chǎn)生、保持并定期評審記錄用戶活動、異常、錯誤和信息安全事態(tài)的事態(tài)日志。A.12.4.2 日志信息的保護(hù)控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪問。A.12.4.3 管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員活動應(yīng)記入日志,并對日志進(jìn)行保護(hù)和定期評審。A.12.4.4 時鐘同步控制措施一個組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)與單一的參考源進(jìn)行同步。A.12.5 運(yùn)行軟件控制目標(biāo):確保運(yùn)

34、行系統(tǒng)的完整性。A.12.5.1 運(yùn)行系統(tǒng)的軟件安裝控制措施應(yīng)實施運(yùn)行系統(tǒng)軟件安裝控制規(guī)程。A.12.6 技術(shù)脆弱性管理目標(biāo):防止對技術(shù)脆弱性的利用。A.12.6.1 技術(shù)脆弱性的管理控制措施應(yīng)及時獲取在用的信息系統(tǒng)的技術(shù)脆弱性信息,評價組織對這些脆弱性的暴露狀況并采取適當(dāng)?shù)拇胧﹣響?yīng)對相關(guān)風(fēng)險。A.12.6.2 軟件安裝限制控制措施應(yīng)建立并實施控制用戶安裝軟件的規(guī)則。A.12.7 信息系統(tǒng)審計的考慮目標(biāo):使審計活動對運(yùn)行系統(tǒng)的影響最小化。A.12.7.1 信息系統(tǒng)審計的控制控制措施涉及運(yùn)行系統(tǒng)驗證的審計要求和活動,應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險。A.13 通信安全

35、A.13.1 網(wǎng)絡(luò)安全管理目標(biāo):確保網(wǎng)絡(luò)及其支持性信息處理設(shè)施中的信息得到保護(hù)。A.13.1.1 網(wǎng)絡(luò)控制控制措施應(yīng)管理和控制網(wǎng)絡(luò)以保護(hù)系統(tǒng)和應(yīng)用中的信息。A.13.1.2 網(wǎng)絡(luò)服務(wù)的安全控制措施所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)級別和管理要求應(yīng)予以確定并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中,無論這些服務(wù)是由內(nèi)部提供的還是外包的。A.13.1.3 網(wǎng)絡(luò)隔離控制措施應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)A.13.2 信息傳輸目標(biāo):保持在組織內(nèi)及與外部實體間傳輸信息的安全。A.13.2.1 信息傳輸策略和規(guī)程控制措施應(yīng)有正式的傳輸策略、規(guī)程和控制措施,以保護(hù)通過使用各種類型通信設(shè)施進(jìn)行的信息傳輸。A.13.2.2 信息

36、傳輸協(xié)議控制措施協(xié)議應(yīng)解決組織與外部方業(yè)務(wù)信息的安全傳輸。A.13.2.3 電子消息發(fā)送控制措施應(yīng)適當(dāng)保護(hù)包含在電子消息發(fā)送中的信息。A.13.2.4 保密或不泄露協(xié)議控制措施應(yīng)識別、定期評審和文件化反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。A.14 系統(tǒng)獲取、開發(fā)和維護(hù)A.14.1信息系統(tǒng)的安全要求目標(biāo):確保信息安全是信息系統(tǒng)整個生命周期中的一個有機(jī)組成部分。這也包括提供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求A.14.1.1 信息安全要求分析和說明控制措施新建信息系統(tǒng)或增強(qiáng)現(xiàn)有信息系統(tǒng)的要求中應(yīng)包括信息安全相關(guān)要求。A.14.1.2 公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)控制措施應(yīng)保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服

37、務(wù)中的信息以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的泄露和修改。A.14.1.3 應(yīng)用服務(wù)交易的保護(hù)控制措施應(yīng)保護(hù)應(yīng)用服務(wù)交易中的信息,以防止不完整的傳輸、錯誤路由、未授權(quán)的消息變更、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。A.14.2開發(fā)和支持過程中的安全目標(biāo):確保信息安全在信息系統(tǒng)開發(fā)生命周期中得到設(shè)計和實施。A.14.2.1 安全的開發(fā)策略控制措施針對組織內(nèi)的開發(fā),應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則并應(yīng)用。A.14.2.2 系統(tǒng)變更控制規(guī)程控制措施應(yīng)使用正式的變更控制規(guī)程來控制開發(fā)生命周期內(nèi)的系統(tǒng)變更。A.14.2.3 運(yùn)行平臺變更后對應(yīng)用的技術(shù)評審控制措施當(dāng)運(yùn)行平臺發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評

38、審和測試,以確保對組織的運(yùn)行和安全沒有負(fù)面影響。A.14.2.4 軟件包變更的限制控制措施應(yīng)不鼓勵對軟件包進(jìn)行修改,僅限于必要的變更,且對所有變更加以嚴(yán)格控制A.14.2.5 安全的系統(tǒng)工程原則控制措施應(yīng)建立、文件化和維護(hù)安全的系統(tǒng)工程原則,并應(yīng)用到任何信息系統(tǒng)實施工作中A.14.2.6 安全的開發(fā)環(huán)境控制措施組織應(yīng)針對覆蓋系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成活動,建立安全開發(fā)環(huán)境,并予以適當(dāng)保護(hù)。A.14.2.7 外包開發(fā)控制措施組織應(yīng)督導(dǎo)和監(jiān)視外包系統(tǒng)開發(fā)活動A.14.2.8 系統(tǒng)安全測試控制措施應(yīng)在開發(fā)過程中進(jìn)行安全功能測試。A.14.2.9 系統(tǒng)驗收測試控制措施應(yīng)建立對新的信息系統(tǒng)、升級及

39、新版本的驗收測試方案和相關(guān)準(zhǔn)則。A.14.3 測試數(shù)據(jù)目標(biāo):確保用于測試的數(shù)據(jù)得到保護(hù)。A.14.3.1 測試數(shù)據(jù)的保護(hù)控制措施測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。A.15 供應(yīng)商關(guān)系A(chǔ).15.1 供應(yīng)商關(guān)系中的信息安全目標(biāo):確保供應(yīng)商可訪問的組織資產(chǎn)受到保護(hù)。A.15.1.1 供應(yīng)商關(guān)系的信息安全策略控制措施為降低供應(yīng)商訪問組織資產(chǎn)的相關(guān)風(fēng)險,應(yīng)與供應(yīng)商就信息安全要求達(dá)成一致,并形成文件A.15.1.2 在供應(yīng)商協(xié)議中解決安全控制措施應(yīng)與每個可能訪問、處理、存儲、傳遞組織信息或為組織信息提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立所有相關(guān)的信息安全要求,并達(dá)成一致。A.15.1.3 信息與通信技術(shù)供應(yīng)

40、鏈控制措施供應(yīng)商協(xié)議應(yīng)包括信息與通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)的信息安全風(fēng)險處理要求。A.15.2 供應(yīng)商服務(wù)交付管理目標(biāo):保持與供應(yīng)商協(xié)議一致的信息安全和服務(wù)交付的商定級別。A.15.2.1 供應(yīng)商服務(wù)的監(jiān)視和評審控制措施組織應(yīng)定期監(jiān)視、評審和審核供應(yīng)商服務(wù)交付。A.15.2.2 供應(yīng)商服務(wù)的變更管理控制措施應(yīng)管理供應(yīng)商所提供服務(wù)的變更,包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施,管理應(yīng)考慮變更涉及到的業(yè)務(wù)信息、系統(tǒng)和過程的關(guān)鍵程度及風(fēng)險的再評估。A.16 信息安全事件管理A.16.1 信息安全事件的管理和改進(jìn)目標(biāo):確保采用一致和有效的方法對信息安全事件進(jìn)行管理,包括對安全事態(tài)和弱點(diǎn)的

41、溝通。A.16.1.1 職責(zé)和規(guī)程控制措施應(yīng)建立管理職責(zé)和規(guī)程,以確?？焖佟⒂行Ш陀行虻仨憫?yīng)信息安全事件。A.16.1.2 報告信息安全事態(tài)控制措施應(yīng)通過適當(dāng)?shù)墓芾砬辣M快地報告信息安全事態(tài)。A.16.1.3 報告信息安全弱點(diǎn)控制措施應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報告任何觀察到的或可疑的系統(tǒng)或服務(wù)中ISO/IEC 27001:2013(E 的信息安全弱點(diǎn)。 A.16.1.4 信息安全事態(tài)的評估和決策 控制措施 應(yīng)評估信息安全事態(tài)并決定其是否屬于信息安全 事件。 A.16.1.5 信息安全事件的響應(yīng) 控制措施 應(yīng)按照文件化的規(guī)程響應(yīng)信息安全事件。 A.16.1.6 從信息安全事件中學(xué)習(xí) 控制措施 應(yīng)利用在分析和解決信息安全事件中得到的知識 來減少未來事件發(fā)生的可能性和影響。 A.16.1.7 證據(jù)的收集 控制措施 組織應(yīng)確定和應(yīng)用規(guī)程來識別、收集、獲取和保 存可用作證據(jù)的信息。 A.17 業(yè)務(wù)連續(xù)性管理的信息安全方面” A.17.1 信息安全