ISO27001標(biāo)準(zhǔn)詳解PPT課件

1、2021/3/91ISO27001標(biāo)準(zhǔn)詳解2021/3/92 信息安全管理體系背景介紹信息安全管理體系背景介紹 信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，特別是特別是Internet的問(wèn)世及網(wǎng)上交易的啟用，許多信息安全的問(wèn)題也紛紛出現(xiàn)：系統(tǒng)的問(wèn)世及網(wǎng)上交易的啟用，許多信息安全的問(wèn)題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫、客戶資料的流失及公司內(nèi)部資料的泄露等癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營(yíng)管理、生存甚至國(guó)家安全都帶來(lái)嚴(yán)重的影響。等

2、。這些已給組織的經(jīng)營(yíng)管理、生存甚至國(guó)家安全都帶來(lái)嚴(yán)重的影響。 安全問(wèn)題所安全問(wèn)題所帶來(lái)的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法帶來(lái)的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：律損失： 一一.直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率；直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率； 二二.間接損失：恢復(fù)成本，競(jìng)爭(zhēng)力受損，品牌、聲譽(yù)受損，負(fù)面的公眾影響，失間接損失：恢復(fù)成本，競(jìng)爭(zhēng)力受損，品牌、聲譽(yù)受損，負(fù)面的公眾影響，失去未來(lái)的業(yè)務(wù)機(jī)會(huì)，影響股票市值或政治聲譽(yù)；去未來(lái)的業(yè)務(wù)機(jī)會(huì)，影響股票市值或政治聲譽(yù)； 三三.法律損失：法律、法規(guī)的制裁

3、，帶來(lái)相關(guān)聯(lián)的訴訟或追索等。法律損失：法律、法規(guī)的制裁，帶來(lái)相關(guān)聯(lián)的訴訟或追索等。ISO27001的內(nèi)容2021/3/93 信息安全管理體系背景介紹信息安全管理體系背景介紹所以，在享用現(xiàn)代信息系統(tǒng)帶來(lái)的快捷、方便的同時(shí)，如何充分防范信息的損所以，在享用現(xiàn)代信息系統(tǒng)帶來(lái)的快捷、方便的同時(shí)，如何充分防范信息的損壞和泄露，已成為當(dāng)前企業(yè)迫切需要解決的問(wèn)題。壞和泄露，已成為當(dāng)前企業(yè)迫切需要解決的問(wèn)題。 俗話說(shuō)俗話說(shuō)三分技術(shù)七分管理三分技術(shù)七分管理。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的

4、嚴(yán)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問(wèn)題。所以，我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防重要的問(wèn)題。所以，我們

5、需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。 ISO27001的內(nèi)容2021/3/94 信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史目前，在信息安全管理體系方面，目前，在信息安全管理體系方面，ISO/IEC27001:2005-信息安全管理體系標(biāo)準(zhǔn)信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國(guó)標(biāo)是由英國(guó)標(biāo)準(zhǔn)準(zhǔn)BS7799轉(zhuǎn)換而成的。轉(zhuǎn)換而成的。 BS7799

6、標(biāo)準(zhǔn)于標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于1995年英國(guó)首次出版年英國(guó)首次出版BS 7799-1：1995信息安全管理實(shí)施細(xì)則信息安全管理實(shí)施細(xì)則，它提供了一套綜合的、由信息安全最佳，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，適用于大、中、小組織。圍的參考基準(zhǔn)，適用于大、中、小組織。2000年年12月，月，BS7799-1：1999信息安信息安全管理實(shí)施細(xì)則全管理實(shí)施細(xì)則通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO

7、的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)- ISO/IEC17799：2000信息技術(shù)信息技術(shù)-信息安全管理實(shí)施細(xì)則信息安全管理實(shí)施細(xì)則，后來(lái)該標(biāo)準(zhǔn)已升版為，后來(lái)該標(biāo)準(zhǔn)已升版為ISO27001的內(nèi)容2021/3/95 信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史ISO/IEC17799：2005。2002年年9月月5日，日，BS7799-2:2002正式發(fā)布，正式發(fā)布，2002版標(biāo)版標(biāo)準(zhǔn)主要在結(jié)構(gòu)上做了修訂，引入了準(zhǔn)主要在結(jié)構(gòu)上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過(guò)程管理模式，建的過(guò)程管理模式，建立了與立了與ISO 9001、ISO 14001和

8、和OHSAS 18000等管理體系標(biāo)準(zhǔn)相同的結(jié)構(gòu)和運(yùn)行模等管理體系標(biāo)準(zhǔn)相同的結(jié)構(gòu)和運(yùn)行模式。式。2005年，年，BS 7799-2: 2002正式轉(zhuǎn)換為國(guó)際標(biāo)準(zhǔn)正式轉(zhuǎn)換為國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：2005。 ISO27001的內(nèi)容2021/3/96 信息安全管理體系要求信息安全管理體系要求 11 11個(gè)控制領(lǐng)域個(gè)控制領(lǐng)域 39 39個(gè)控制目標(biāo)個(gè)控制目標(biāo) 133133個(gè)控制措施個(gè)控制措施ISO27001的內(nèi)容2021/3/97 必須的必須的ISMSISMS文件：文件： 1 1、ISMSISMS方針文件，包括方針文件，包括ISMSISMS的范圍；的范圍； 2 2、風(fēng)險(xiǎn)評(píng)估程序和風(fēng)險(xiǎn)處理程序

9、；、風(fēng)險(xiǎn)評(píng)估程序和風(fēng)險(xiǎn)處理程序； 3 3、文件控制程序和記錄控制程序；、文件控制程序和記錄控制程序； 4 4、內(nèi)部審核程序和管理評(píng)審程序（盡管沒有強(qiáng)制）；、內(nèi)部審核程序和管理評(píng)審程序（盡管沒有強(qiáng)制）； 5 5、糾正措施和預(yù)防措施控制程序；、糾正措施和預(yù)防措施控制程序； 6 6、控制措施有效性的測(cè)量程序；、控制措施有效性的測(cè)量程序； 7 7、適用性聲明、適用性聲明ISO27001的內(nèi)容2021/3/98對(duì)外對(duì)外 增強(qiáng)顧增強(qiáng)顧客信心和滿意客信心和滿意 改善對(duì)安全方針及要求改善對(duì)安全方針及要求的符合性的符合性 提供競(jìng)爭(zhēng)優(yōu)勢(shì)提供競(jìng)爭(zhēng)優(yōu)勢(shì)對(duì)內(nèi)對(duì)內(nèi) 改善總改善總體安全體安全 管理并減少安全管理并減少安全事

10、件的影響事件的影響 便利持續(xù)改進(jìn)便利持續(xù)改進(jìn) 提高員工動(dòng)力與提高員工動(dòng)力與參與參與 提高盈利能力提高盈利能力形成文件的ISMS的益處2021/3/99 PDCA方法方法 糾正和糾正和預(yù)防措施預(yù)防措施 內(nèi)部審核內(nèi)部審核 ISMS管理評(píng)審管理評(píng)審ISMS的持續(xù)改進(jìn)2021/3/910 PDCA（戴明環(huán)）lPDCA（Plan、Do、Check 和和Act）是管理學(xué)慣用的一個(gè)過(guò)程模型，最早是由休）是管理學(xué)慣用的一個(gè)過(guò)程模型，最早是由休哈特（哈特（WalterShewhart）于）于19 世紀(jì)世紀(jì)30 年代構(gòu)想的，后來(lái)被戴明（年代構(gòu)想的，后來(lái)被戴明（Edwards Deming）采納、宣傳并運(yùn)用于持續(xù)改

11、善產(chǎn)品質(zhì)量的過(guò)程當(dāng)中。）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程當(dāng)中。p1、P（Plan）-計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；p2、D（Do）-執(zhí)行，實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容執(zhí)行，實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；p3、C（Check）-檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問(wèn)題果，找出問(wèn)題；p4、A（Action）-行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問(wèn)題放到下一個(gè)訓(xùn)加以總結(jié)，以免

12、重現(xiàn)，未解決的問(wèn)題放到下一個(gè)PDCA循環(huán)循環(huán)。2021/3/911 PDCA特點(diǎn)l 大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán) pPDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整個(gè)企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級(jí)部門根據(jù)企業(yè)的方針目個(gè)企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級(jí)部門根據(jù)企業(yè)的方針目標(biāo)，都有自己的標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和

13、保證。各級(jí)部門的小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級(jí)部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過(guò)循環(huán)把企業(yè)上下或工程項(xiàng)環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過(guò)循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來(lái)，彼此協(xié)同，互相促進(jìn)。以上特點(diǎn)。目的各項(xiàng)工作有機(jī)地聯(lián)系起來(lái)，彼此協(xié)同，互相促進(jìn)。以上特點(diǎn)。 2021/3/912 PDCA特點(diǎn)(續(xù))l 不斷前進(jìn)、不斷提高不斷前進(jìn)、不斷提高 p PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，

14、不斷提高，是一個(gè)螺然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過(guò)程。旋式上升的過(guò)程。PDCA質(zhì)量水平質(zhì)量水平螺旋上升的螺旋上升的PDCAPDCA2021/3/913 PDCA和ISMS的結(jié)合2021/3/914 重點(diǎn)章節(jié)l本標(biāo)準(zhǔn)的重點(diǎn)章節(jié)是本標(biāo)準(zhǔn)的重點(diǎn)章節(jié)是48章。章。 l前三章的內(nèi)容結(jié)構(gòu)如下所示：前三章的內(nèi)容結(jié)構(gòu)如下所示：引言引言0.1 總則總則0.2 過(guò)程方法過(guò)程方法0.3 與其他管理體系的兼容性與其他管理體系的兼容性1 范圍范圍1.1 總則總則1.2 應(yīng)用應(yīng)用2 規(guī)范性引用文件規(guī)范性引用文件3 術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義2021/3/915 0.1總則 0.2過(guò)

15、程方法 過(guò)程方法的定義：組織內(nèi)各過(guò)程系統(tǒng)的應(yīng)用，連同這些過(guò)程的識(shí)別和相互作用及其管理，可以被稱為“過(guò)程方法”。 過(guò)程方法鼓勵(lì)其使用者以強(qiáng)調(diào)以下方面的重要性：理解業(yè)務(wù)信息安全要求以及建立信息安全方針和目標(biāo)的需求在管理組織的整體業(yè)務(wù)風(fēng)險(xiǎn)中實(shí)施并運(yùn)作控制監(jiān)控并評(píng)審ISMS的績(jī)效及有效性在客觀測(cè)量基礎(chǔ)上持續(xù)改進(jìn)0 引言2021/3/916 1.1總則 本標(biāo)準(zhǔn)規(guī)定了在組織整體業(yè)務(wù)風(fēng)險(xiǎn)的范圍內(nèi)制定、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持和改進(jìn)文件化信息安全管理系統(tǒng)的要求 1.2應(yīng)用 適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織 可以考慮刪減，但條款4、5、6、7和8是不能刪減的1 范圍2021/3/917 ISO/

16、IEC 17799ISO/IEC 17799：2005 2005 信息技術(shù)安全技術(shù)信息安信息技術(shù)安全技術(shù)信息安全管理實(shí)施指南全管理實(shí)施指南2 引用標(biāo)準(zhǔn)2021/3/918 信息 是經(jīng)過(guò)加工的數(shù)據(jù)或消息，信息是對(duì)決策者有價(jià)值的數(shù)據(jù) 資產(chǎn) 任何對(duì)組織有價(jià)值的事物 可用性 確保授權(quán)用戶可以在需要時(shí)可以獲得信息和相關(guān)資產(chǎn) 保密性 確保信息僅為被授權(quán)的用戶獲得3 術(shù)語(yǔ)和定義2021/3/919 完整性 確保信息及其處理方法的準(zhǔn)確性和完整性 信息安全 保護(hù)信息的保密性、完整性、可用性；另外也包括其他屬 性，如：真實(shí)性、可核查性、不可抵賴性和可靠性 信息安全事件 已識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)表明可能

17、違反信息安全策略或防護(hù)措施失效的事件，或以前未知的與安全相關(guān)的情況3術(shù)語(yǔ)和定義（續(xù)）2021/3/920 信息安全事故 信息安全事故是指一個(gè)或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對(duì)業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重影響或威脅信息安全。 信息安全管理體系（ISMS） 全面管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)方法，旨在建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維持和改進(jìn)信息安全 適用性聲明 基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果和結(jié)論，描述與組織的信息安全管理體系相關(guān)并適用的控制目標(biāo)和控制的文件 3 術(shù)語(yǔ)和定義（續(xù)）2021/3/921殘余風(fēng)險(xiǎn) 實(shí)施風(fēng)險(xiǎn)處置后仍舊殘留的風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受 接受風(fēng)險(xiǎn)的決定。風(fēng)險(xiǎn)分析 系統(tǒng)地使用

18、信息以識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。3 術(shù)語(yǔ)和定義（續(xù)）2021/3/922風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。風(fēng)險(xiǎn)評(píng)價(jià) 將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理 指導(dǎo)和控制一個(gè)組織關(guān)于風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)處置 選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的過(guò)程。3術(shù)語(yǔ)和定義（續(xù)）2021/3/923 4信息安全管理體系l4.1 總要求總要求 一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于圖。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基

19、于圖1所示的所示的PDCA模型。模型。l4. 2 建立和管理建立和管理ISMSp4.2.1 建立ISMS(PLAN)n定義定義ISMS 的范圍的范圍n定義定義ISMS 策略策略n定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑n識(shí)別風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)n評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)n識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施n選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制n準(zhǔn)備適用性聲明（準(zhǔn)備適用性聲明（SoA）n取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMSPDCA2021/3/924 4信息安全管理體系(續(xù))p4.2.2 實(shí)施和運(yùn)行實(shí)施和運(yùn)行I

20、SMS(DO)n制定風(fēng)險(xiǎn)處理計(jì)劃制定風(fēng)險(xiǎn)處理計(jì)劃n實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃n實(shí)施所選的控制措施以滿足控制目標(biāo)實(shí)施所選的控制措施以滿足控制目標(biāo)n實(shí)施培訓(xùn)和意識(shí)程序?qū)嵤┡嘤?xùn)和意識(shí)程序n管理操作管理操作n管理資源（參見管理資源（參見5.2）n實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制PDCA2021/3/925 4信息安全管理體系(續(xù))p4.2.3 監(jiān)控和評(píng)審監(jiān)控和評(píng)審ISMS(CHECK)n執(zhí)行監(jiān)視程序和控制執(zhí)行監(jiān)視程序和控制n對(duì)對(duì)ISMS 的效力進(jìn)行定期復(fù)審的效力進(jìn)行定期復(fù)審n復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平n按照預(yù)定

21、計(jì)劃進(jìn)行內(nèi)部按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS 審計(jì)審計(jì)n定期對(duì)定期對(duì)ISMS 進(jìn)行管理復(fù)審進(jìn)行管理復(fù)審n記錄活動(dòng)和事件可能對(duì)記錄活動(dòng)和事件可能對(duì)ISMS 的效力或執(zhí)行力度造成影響的效力或執(zhí)行力度造成影響PDCA2021/3/926 4信息安全管理體系(續(xù))p4.2.4 保持和改進(jìn)保持和改進(jìn)ISMS(ACT)n對(duì)對(duì)ISMS 實(shí)施可識(shí)別的改進(jìn)實(shí)施可識(shí)別的改進(jìn)n采取恰當(dāng)?shù)募m正和預(yù)防措施采取恰當(dāng)?shù)募m正和預(yù)防措施n與所有利益伙伴溝通與所有利益伙伴溝通n確保改進(jìn)成果滿足其預(yù)期目標(biāo)確保改進(jìn)成果滿足其預(yù)期目標(biāo)PDCA2021/3/927 4信息安全管理體系(續(xù))p4.3 文件要求文件要求n總則總則n文件控制文件控

22、制n記錄控制記錄控制ISO27001 標(biāo)準(zhǔn)所要求建立的標(biāo)準(zhǔn)所要求建立的ISMS 是一個(gè)文件化的體系，是一個(gè)文件化的體系，ISO27001 認(rèn)證第一階認(rèn)證第一階段就是進(jìn)行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所段就是進(jìn)行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所以，在整個(gè)以，在整個(gè)ISO27001認(rèn)證項(xiàng)目實(shí)施過(guò)程中，逐步建立并完善文件體系非常重認(rèn)證項(xiàng)目實(shí)施過(guò)程中，逐步建立并完善文件體系非常重要。要。2021/3/928ISMS 文 件方針范圍、風(fēng)險(xiǎn)評(píng)價(jià)適用性聲明描述過(guò)程：who,what,when,where描述任務(wù)及具體的活動(dòng)如何完成提供符合ISMS條款3.6要求

23、的可感證據(jù)第一層次第二層次第三層次第四層次安全手冊(cè)程序作業(yè)指導(dǎo)書檢查表、表格記錄管理框架與ISO27001條款4有關(guān)的方針2021/3/929 4信息安全管理體系(續(xù))lISO27001 標(biāo)準(zhǔn)要求的標(biāo)準(zhǔn)要求的ISMS 文件體系應(yīng)該是一個(gè)層次化的體系，通常是由四個(gè)層次構(gòu)成的：文件體系應(yīng)該是一個(gè)層次化的體系，通常是由四個(gè)層次構(gòu)成的：l信息安全手冊(cè)信息安全手冊(cè)：該手冊(cè)由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對(duì)信息安全管理體系框架的整體描述，以此表：該手冊(cè)由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對(duì)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)明確定范圍內(nèi)ISMS 是按照是按照ISO27001 標(biāo)準(zhǔn)要求建立并運(yùn)

24、行的。信息安全手冊(cè)包含各個(gè)一級(jí)文件。標(biāo)準(zhǔn)要求建立并運(yùn)行的。信息安全手冊(cè)包含各個(gè)一級(jí)文件。l一級(jí)文件一級(jí)文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。一級(jí)文件至少包括（可能不限：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。一級(jí)文件至少包括（可能不限于此）：于此）：p信息安全方針信息安全方針p風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告p適用性聲明（適用性聲明（SoA）l二級(jí)文件二級(jí)文件：各類程序文件。至少包括（可能不限于此）：各類程序文件。至少包括（可能不限于此）：p風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)管理流程風(fēng)險(xiǎn)管理流程風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)處理計(jì)劃管理評(píng)審程管理評(píng)審程序序p信息設(shè)備管理程序信息

25、設(shè)備管理程序信息安全組織建設(shè)規(guī)定信息安全組織建設(shè)規(guī)定新設(shè)施管理程序新設(shè)施管理程序內(nèi)部審核程序內(nèi)部審核程序p第三方和外包管理規(guī)定第三方和外包管理規(guī)定信息資產(chǎn)管理規(guī)定信息資產(chǎn)管理規(guī)定工作環(huán)境安全管理規(guī)定工作環(huán)境安全管理規(guī)定介質(zhì)處理與安全規(guī)定介質(zhì)處理與安全規(guī)定p系統(tǒng)開發(fā)與維護(hù)程序系統(tǒng)開發(fā)與維護(hù)程序業(yè)務(wù)連續(xù)性管理程序業(yè)務(wù)連續(xù)性管理程序法律符合性管理規(guī)定法律符合性管理規(guī)定信息系統(tǒng)安全審計(jì)規(guī)定信息系統(tǒng)安全審計(jì)規(guī)定p文件及材料控制程序文件及材料控制程序安全事件處理流程安全事件處理流程l三級(jí)文件三級(jí)文件：具體的作業(yè)指導(dǎo)書。描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)：具體的作業(yè)指導(dǎo)書。描

26、述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。工作的細(xì)化。l四級(jí)文件四級(jí)文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS 得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。2021/3/9305.1管理承諾5.2資源管理5.2.1提供資源5.2.2培訓(xùn)、意識(shí)和能力5 管理職責(zé)2021/3/931 管理者應(yīng)通過(guò)如下所示向ISMS的建立、實(shí)施、運(yùn)作、監(jiān)管、審核、維持和改進(jìn)提供承諾的證據(jù)：a) 建立信息

27、安全方針；b) 確保信息安全目標(biāo)和計(jì)劃的建立；c) 為信息安全定崗并建立崗位職責(zé)；d) 向本組織宣傳達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性，以及本組織的法律責(zé)任和持續(xù)改進(jìn)的需求；e) 為ISMS的發(fā)展、實(shí)施、運(yùn)作和維持提供充足的資源；f )確定接受風(fēng)險(xiǎn)的準(zhǔn)則和可接受的風(fēng)險(xiǎn)等級(jí)；g)確保ISMS內(nèi)部審核的實(shí)施；h)進(jìn)行ISMS管理評(píng)審。5.1 管理承諾2021/3/932 組織應(yīng)確定并提供以下方面所需資源： 建立、實(shí)施、運(yùn)作和維持ISMS； 確保信息安全程序支持業(yè)務(wù)需要； 識(shí)別和定位法律法規(guī)要求和合同安全責(zé)任； 通過(guò)正確的應(yīng)用所有的已被實(shí)施的控制方法來(lái)維持適當(dāng)?shù)陌?全； 必要時(shí)進(jìn)行評(píng)審，并對(duì)

28、審核結(jié)果采取適當(dāng)?shù)男袆?dòng) ； 在有需要的地方改進(jìn)ISMS的有效性5.2.1 提供資源2021/3/933確定員工在執(zhí)行與ISMS相關(guān)的工作時(shí)所必需具備的能力；提供能力培訓(xùn)，必要時(shí)，聘請(qǐng)專業(yè)人士以滿足需要；評(píng)價(jià)所提供的培訓(xùn)和采取的行動(dòng)的有效性；保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄組織應(yīng)確保所有相關(guān)人員認(rèn)識(shí)其信息安全活動(dòng)的相關(guān)性和重要性，并知道怎樣為實(shí)現(xiàn)ISMS的目標(biāo)做出貢獻(xiàn)5.2.2 培訓(xùn)、意識(shí)和能力2021/3/934 組織應(yīng)按策劃的時(shí)間間隔對(duì)ISMS進(jìn)行內(nèi)審,以決定ISMS的控制目標(biāo)、控制行為、過(guò)程和程序是否 與本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)相適應(yīng) 與已識(shí)別信息安全需求相適應(yīng) 有效地實(shí)施和維護(hù)

29、達(dá)到預(yù)期目標(biāo) 文件化內(nèi)審程序、保持內(nèi)審記錄6 ISMS內(nèi)部審核2021/3/935 7.1 總則 7.2 評(píng)審輸入 7.3 評(píng)審輸出7 ISMS的管理評(píng)審2021/3/936 定期管理評(píng)審，以確保適宜性、充分性和有效性 評(píng)審應(yīng)包括評(píng)價(jià)ISMS的改進(jìn)機(jī)會(huì)和變更需要，包括安全 方針和安全目標(biāo) 評(píng)審結(jié)果應(yīng)清楚地寫入文件，保持評(píng)審的記錄7.1總則2021/3/937ISMS審核和評(píng)審的結(jié)果；相關(guān)方的反饋；在組織中被用于改進(jìn)ISMS性能和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以前風(fēng)險(xiǎn)評(píng)估中沒有準(zhǔn)確定位的薄弱點(diǎn)或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；任何可能影響ISMS的變更；改進(jìn)的建

30、議7.2評(píng)審輸入2021/3/938 ISMS有效性的改進(jìn)信息 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新 修改影響信息安全的程序，必要時(shí)，對(duì)可能影響ISMS的內(nèi)部或外部事件做出反應(yīng)，變更包括如下 ：業(yè)務(wù)需求安全需求影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程法律法規(guī)環(huán)境風(fēng)險(xiǎn)等級(jí)或/和可接受風(fēng)險(xiǎn)水平 資源需求 對(duì)如何測(cè)量控制措施的有效性的改進(jìn)7.3評(píng)審輸出2021/3/9398.1 持續(xù)改進(jìn)8.2 糾正措施8.3 預(yù)防措施8 ISMS的改進(jìn)2021/3/940 組織應(yīng)通過(guò)信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)督事件的分析、糾正和預(yù)防措施以及管理評(píng)審來(lái)持續(xù)改進(jìn)ISMS的有效性8.1持續(xù)改進(jìn)2021/3/941 建立文件化的糾正措

31、施程序以滿足如下要求 識(shí)別ISMS的實(shí)施和/或運(yùn)行的不合格 確定不合格原因 評(píng)價(jià)確保不合格不再發(fā)生的措施的需求 確定和實(shí)施所需的糾正措施 記錄所采取的措施結(jié)果 評(píng)審所采取的糾正措施8.2糾正措施2021/3/942 建立文件化的預(yù)防措施程序以滿足如下要求： 識(shí)別潛在的不合格及其原因 評(píng)價(jià)預(yù)防不符合發(fā)生所需的措施 確定和實(shí)施所需的預(yù)防措施 記錄所采取的措施的結(jié)果 評(píng)審所采取的預(yù)防措施8.3 預(yù)防措施2021/3/943預(yù)防 預(yù)防是主動(dòng)的 意圖為防止問(wèn)題發(fā)生 在過(guò)程策劃和設(shè)計(jì)階段 控制 增值 成本更低 更大的顧客信心 所有ISO標(biāo)準(zhǔn)的主要關(guān) 注點(diǎn)預(yù)防與探測(cè)探測(cè)探測(cè)是被動(dòng)的意圖為探測(cè)發(fā)生的問(wèn)題在過(guò)程

32、輸出階段控制不增加價(jià)值成本很大顧客信心有限需要，但遠(yuǎn)不是重點(diǎn)2021/3/944管理者承諾組織資源關(guān)注預(yù)防培訓(xùn)溝通參與系統(tǒng)評(píng)審ISMS的有效實(shí)施2021/3/945ISO27001:2005ISO27001:2005控制目標(biāo)和控制方法控制目標(biāo)和控制方法附錄：A2021/3/94611大控制域信息資產(chǎn)保密性完整性可用性安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信與操作安全信息安全事件管理信息系統(tǒng)的獲取開發(fā)和維護(hù)訪問(wèn)控制業(yè)務(wù)持續(xù)性管理符合性2021/3/947 評(píng)審與評(píng)價(jià)A.5 信息安全方針方針積極預(yù)防、全面管理、積極預(yù)防、全面管理、控制風(fēng)險(xiǎn)、保障安全?？刂骑L(fēng)險(xiǎn)、保障安全。目標(biāo)：根據(jù)

33、業(yè)務(wù)需求和相關(guān)法律、法規(guī)，為信息安全提供管理指 導(dǎo)和支持。 信息安全方針文件2021/3/948A.6 信息安全組織2021/3/949A.6.1 內(nèi)部組織目標(biāo)：在組織內(nèi)部管理信息安全。 信息安全的管理承諾 信息安全協(xié)調(diào) 信息安全職責(zé)劃分 信息處理設(shè)備的授權(quán)過(guò)程 保密協(xié)議 與權(quán)威機(jī)構(gòu)的聯(lián)系 與專業(yè)的利益團(tuán)體保持聯(lián)系 信息安全的獨(dú)立評(píng)審2021/3/950A.6.2外部組織目標(biāo)：保持被外部組織訪問(wèn)、處理、通信或管 理的組織信息和信息處理設(shè)施的安全。 關(guān)于外部組織風(fēng)險(xiǎn)的識(shí)別 當(dāng)與顧客接觸時(shí)強(qiáng)調(diào)安全 第三方合同中的安全要求2021/3/951A.7 資產(chǎn)管理2021/3/952A.7.1資產(chǎn)責(zé)任目標(biāo)

34、：實(shí)現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)。 資產(chǎn)的清單 資產(chǎn)所有者關(guān)系 可接受的資產(chǎn)使用2021/3/953 分類指南 信息的標(biāo)識(shí)與處理目標(biāo)：確保信息受到適當(dāng)程度的保護(hù)。限制高度機(jī)密秘保密密限制直到2007/1/1保護(hù)標(biāo)識(shí)A.7.2 資產(chǎn)分類與控制2021/3/954A.8 人力資源安全2021/3/955 目標(biāo)：確保員工、合同方和第三方用戶明白他們的職責(zé)，適合于他們被賦予的任務(wù)，減少因盜竊、欺詐或設(shè)施誤用造成的風(fēng)險(xiǎn)。 任務(wù)和職責(zé) 人員考察 雇用條款和條件A.8.1雇傭前2021/3/956A.8.2雇傭期間 目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們

35、的日常工作中支持組織的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)。 管理職責(zé) 信息安全意識(shí)、教育與培訓(xùn) 懲戒程序2021/3/957A.8.3雇傭的終止或變更 目標(biāo)：確保員工、合同方和第三方用戶離開組織或雇傭變更時(shí)以一種有序的方式進(jìn)行應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問(wèn)權(quán)力。終止職責(zé)資產(chǎn)歸還撤銷訪問(wèn)權(quán)限2021/3/958A.9 物理與環(huán)境安全2021/3/959A.9.1安全區(qū)域目標(biāo)：防止對(duì)組織辦公場(chǎng)所和信息的非授權(quán)物理 訪問(wèn)、破壞和干擾。 物理安全邊界 物理進(jìn)入控制 辦公室、房間和設(shè)施的安全 防范外部和環(huán)境的威脅 在安全區(qū)域工作 公共

36、訪問(wèn)和裝卸區(qū)域2021/3/960A.9.2 設(shè)備安全 目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì) 組織活動(dòng)的中斷。 設(shè)備的定置和保護(hù) 支持性設(shè)施 線纜安全 設(shè)備維護(hù) 場(chǎng)外設(shè)備的安全 設(shè)備的安全處理或再利用 資產(chǎn)遷移2021/3/961A.10 通信與操作管理2021/3/962A.10.1操作程序及職責(zé)目標(biāo)：確保信息處理設(shè)施的正確和安全操作。 文件化的操作程序 變更管理 職責(zé)分離 開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離2021/3/963A.10.2第三方服務(wù)交付管理 目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保 第三方交付的服務(wù)符合協(xié)議要求。 服務(wù)交付 監(jiān)控和評(píng)審第三方服務(wù) 管理第三方服務(wù)的變更2021/3

37、/964A.10.3系統(tǒng)規(guī)劃和驗(yàn)收 目標(biāo)：最小化系統(tǒng)失效的風(fēng)險(xiǎn)。 容量管理 系統(tǒng)驗(yàn)收2021/3/965A.10.4 防范惡意代碼和移動(dòng)代碼 目標(biāo)：保護(hù)軟件和信息的完整性。 防范惡意代碼 防范移動(dòng)代碼2021/3/966A.10.5 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。 信息備份2021/3/967 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)服務(wù)的安全A.10.6 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。2021/3/968A.10.7 媒介處置 目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄漏、修改、移動(dòng) 或損壞，及對(duì)業(yè)務(wù)活動(dòng)的干擾。 可移動(dòng)計(jì)算機(jī)介質(zhì)的管理 介質(zhì)處理 信息處理程序 系統(tǒng)文檔的安全2021

38、/3/969A.10.8 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部 組織之間交換信息和軟件的安全。 信息交換策略和程序 交換協(xié)議 物理媒體傳輸 電子信息 業(yè)務(wù)信息系統(tǒng)2021/3/970 在線交易 公共可用信息A.10.9 電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)的安全及他們的安全使用。 電子商務(wù)2021/3/971A.10.10 監(jiān)控目標(biāo)：檢測(cè)非授權(quán)的信息處理活動(dòng)。 審計(jì)日志 監(jiān)視系統(tǒng)的使用 日志信息保護(hù) 管理員和操作者日志 故障記錄 時(shí)鐘同步2021/3/972A.11 訪問(wèn)控制2021/3/973A.11.1 訪問(wèn)控制業(yè)務(wù)需求目標(biāo)：控制對(duì)信息的訪問(wèn)。 訪問(wèn)控制策略系統(tǒng)管理員菜 單2021/3/97

39、4 用戶注冊(cè) 特權(quán)管理 用戶口令管理 用戶訪問(wèn)權(quán)限的評(píng)審A.11.2 用戶訪問(wèn)管理你無(wú)權(quán)訪問(wèn)本系統(tǒng)目標(biāo)：確保授權(quán)用戶的訪問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪問(wèn)。2021/3/975A.11.3 用戶責(zé)任目標(biāo)：預(yù)防未授權(quán)用戶的訪問(wèn)，信息和信息處理設(shè)施的破壞或被盜。 口令使用 無(wú)人值守的用戶設(shè)備 清理桌面及清除屏幕策略2021/3/976A.11.4 網(wǎng)絡(luò)訪問(wèn)控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問(wèn)。 網(wǎng)絡(luò)服務(wù)使用策略 外部連接用戶的鑒別 網(wǎng)絡(luò)設(shè)備的識(shí)別 遠(yuǎn)程診斷和配置端口保護(hù) 網(wǎng)內(nèi)隔離 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制2021/3/977A.11.5 操作系統(tǒng)訪問(wèn)控制目標(biāo)：防止對(duì)操作系統(tǒng)的非授權(quán)訪問(wèn)。 安全登陸

40、程序 用戶標(biāo)識(shí)和鑒別 口令管理系統(tǒng) 系統(tǒng)實(shí)用程序的使用 終端時(shí)限 連接時(shí)間限制2021/3/978A.11.6應(yīng)用系統(tǒng)和信息訪問(wèn)控制目標(biāo)：防止對(duì)應(yīng)用系統(tǒng)中信息的非授權(quán)訪問(wèn)。 信息訪問(wèn)限制 敏感系統(tǒng)隔離2021/3/979A.11.7 移動(dòng)計(jì)算與遠(yuǎn)程工作目標(biāo)：確保在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)信息的安全。 移動(dòng)計(jì)算和通信 遠(yuǎn)程工作2021/3/980A.12 信息系統(tǒng)的獲取、開發(fā)和維護(hù)2021/3/981A.12.2 應(yīng)用系統(tǒng)的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯(cuò)誤、丟失、非授權(quán)的修改或誤用。 輸入數(shù)據(jù)確認(rèn) 內(nèi)部處理的控制 消息完整性 輸出數(shù)據(jù)確認(rèn)2021/3/982A.12.3 加密控制保密信息34dfjon45?P目標(biāo)：通過(guò)加密手段來(lái)保護(hù)信息的保密性、真 實(shí)性或完整性。 使用加密控制的策略 密鑰管理2021/3/983A.12.4 系統(tǒng)文檔的安全目標(biāo)：確保系統(tǒng)文檔的安全。 操作軟件的控制 系統(tǒng)