標(biāo)準(zhǔn)解讀

《GB/T 22081-2016 信息技術(shù) 安全技術(shù) 信息安全控制實踐指南》與《GB/T 22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》相比,在多個方面進(jìn)行了更新和改進(jìn)。新版本標(biāo)準(zhǔn)更加注重提供具體的信息安全控制措施指導(dǎo),旨在幫助組織更好地理解和應(yīng)用這些控制措施來保護(hù)其信息資產(chǎn)。

首先,《GB/T 22081-2016》對信息安全管理體系(ISMS)的構(gòu)建提供了更為詳細(xì)的說明,包括如何定義范圍、進(jìn)行風(fēng)險評估以及選擇適當(dāng)?shù)陌踩刂频炔襟E。這有助于用戶根據(jù)自身情況定制化地實施ISMS,從而提高體系的有效性和適用性。

其次,該版本增加了對于新興技術(shù)和應(yīng)用場景下信息安全挑戰(zhàn)的關(guān)注,如云計算服務(wù)中的數(shù)據(jù)保護(hù)問題、移動設(shè)備管理等方面的內(nèi)容。通過引入針對這些領(lǐng)域的新控制措施或強(qiáng)化現(xiàn)有措施,使得標(biāo)準(zhǔn)能夠更好地應(yīng)對當(dāng)前復(fù)雜多變的信息環(huán)境。

此外,《GB/T 22081-2016》還加強(qiáng)了與其他國際標(biāo)準(zhǔn)之間的協(xié)調(diào)一致性,比如ISO/IEC 27001:2013《信息安全管理體系 要求》。這種做法不僅便于國內(nèi)外企業(yè)之間的交流合作,也有利于促進(jìn)中國信息安全管理水平向國際化接軌。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2016-08-29 頒布
  • 2017-03-01 實施
?正版授權(quán)
GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南_第1頁
GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南_第2頁
GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南_第3頁
GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南_第4頁
GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南_第5頁
已閱讀5頁,還剩71頁未讀 繼續(xù)免費閱讀

下載本文檔

GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T22081—2016/ISO/IEC270022013

代替:

GB/T22081—2008

信息技術(shù)安全技術(shù)

信息安全控制實踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

informationsecuritycontrols

(ISO/IEC27002:2013,IDT)

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T22081—2016/ISO/IEC270022013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

背景和環(huán)境

0.1…………………………Ⅳ

信息安全要求

0.2………………………Ⅳ

控制的選擇

0.3…………………………Ⅴ

編制組織自己的指南

0.4………………Ⅴ

生命周期的考慮

0.5……………………Ⅴ

相關(guān)標(biāo)準(zhǔn)

0.6……………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

標(biāo)準(zhǔn)結(jié)構(gòu)

4…………………1

章節(jié)

4.1…………………1

控制類別

4.2……………1

信息安全策略

5……………2

信息安全管理指導(dǎo)

5.1…………………2

信息安全組織

6……………3

內(nèi)部組織

6.1……………3

移動設(shè)備和遠(yuǎn)程工作

6.2………………5

人力資源安全

7……………7

任用前

7.1………………7

任用中

7.2………………8

任用的終止和變更

7.3…………………10

資產(chǎn)管理

8…………………10

有關(guān)資產(chǎn)的責(zé)任

8.1……………………10

信息分級

8.2……………11

介質(zhì)處理

8.3……………13

訪問控制

9…………………14

訪問控制的業(yè)務(wù)要求

9.1………………14

用戶訪問管理

9.2………………………15

用戶責(zé)任

9.3……………18

系統(tǒng)和應(yīng)用訪問控制

9.4………………19

密碼

10……………………21

密碼控制

10.1…………………………21

物理和環(huán)境安全

11………………………23

GB/T22081—2016/ISO/IEC270022013

:

安全區(qū)域

11.1…………………………23

設(shè)備

11.2………………25

運行安全

12………………28

運行規(guī)程和責(zé)任

12.1…………………28

惡意軟件防范

12.2……………………30

備份

12.3………………31

日志和監(jiān)視

12.4………………………32

運行軟件控制

12.5……………………34

技術(shù)方面的脆弱性管理

12.6…………34

信息系統(tǒng)審計的考慮

12.7……………36

通信安全

13………………36

網(wǎng)絡(luò)安全管理

13.1……………………36

信息傳輸

13.2…………………………38

系統(tǒng)獲取開發(fā)和維護(hù)

14、…………………40

信息系統(tǒng)的安全要求

14.1……………40

開發(fā)和支持過程中的安全

14.2………………………42

測試數(shù)據(jù)

14.3…………………………45

供應(yīng)商關(guān)系

15……………46

供應(yīng)商關(guān)系中的信息安全

15.1………………………46

供應(yīng)商服務(wù)交付管理

15.2……………48

信息安全事件管理

16……………………49

信息安全事件的管理和改進(jìn)

16.1……………………49

業(yè)務(wù)連續(xù)性管理的信息安全方面

17……………………52

信息安全的連續(xù)性

17.1………………52

冗余

17.2………………54

符合性

18…………………54

符合法律和合同要求

18.1……………54

信息安全評審

18.2……………………56

附錄資料性附錄與對比

NA()GB/T22081—2016GB/T22081—2008…………58

附錄資料性附錄與主要關(guān)鍵詞變化

NB()GB/T22081—2016GB/T22081—2008……………64

參考文獻(xiàn)

……………………65

GB/T22081—2016/ISO/IEC270022013

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

GB/T22081—2008《》。

本標(biāo)準(zhǔn)與相比主要技術(shù)變化如下

GB/T22081—2008,:

結(jié)構(gòu)變化見附錄

———NA;

術(shù)語變化見附錄

———NB。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全控制實踐指

ISO/IEC27002:2013《

南及其相應(yīng)的技術(shù)勘誤

》(ISO/IEC27002:2013/COR1:2014)。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012(ISO/IEC27000:

2009,IDT)。

本標(biāo)準(zhǔn)做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國信息安全認(rèn)

:、、

證中心山東省標(biāo)準(zhǔn)化研究院廣州賽寶認(rèn)證中心服務(wù)有限公司北京江南天安科技有限公司上海三零

、、、、

衛(wèi)士信息安全有限公司中國合格評定國家認(rèn)可中心北京時代新威信息技術(shù)有限公司黑龍江電子信

、、、

息產(chǎn)品監(jiān)督檢驗院浙江遠(yuǎn)望電子有限公司杭州在信科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人許玉娜上官曉麗閔京華尤其公偉盧列文倪文靜王連強(qiáng)陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽

、、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22081—2008。

GB/T22081—2016/ISO/IEC270022013

:

引言

01背景和環(huán)境

.

本標(biāo)準(zhǔn)可作為組織基于[10]實現(xiàn)信息安全管理體系過程中選擇控制時的參考

GB/T22080(ISMS),

或作為組織在實現(xiàn)通用信息安全控制時的指南在考慮具體信息安全風(fēng)險環(huán)境后本標(biāo)準(zhǔn)也可用于制

。,

定特定行業(yè)和特定組織的信息安全管理指南

所有類型和規(guī)模的組織包括公共和私營部門商業(yè)組織非盈利性組織都會收集處理存儲和傳

(、、)、、

輸包括電子物理和語音如會談和演講等多種形式的信息

、()。

信息的價值超越文字?jǐn)?shù)字和圖像的本身例如知識概念觀點和品牌都是無形信息在互聯(lián)世

、,:、、。

界中對于組織業(yè)務(wù)而言信息和相關(guān)過程系統(tǒng)網(wǎng)絡(luò)及其操作處理與保護(hù)活動中所涉及的人員都是資

,、、、

產(chǎn)與其他重要的業(yè)務(wù)資產(chǎn)一樣對組織的業(yè)務(wù)至關(guān)重要因此值得或需要保護(hù)以防范各種危害

,,,。

資產(chǎn)易遭受故意和意外的威脅且相關(guān)的過程系統(tǒng)網(wǎng)絡(luò)和人員均有其固有脆弱性業(yè)務(wù)過程和

;、、。

系統(tǒng)的變更或其他外部變更如新的法律法規(guī)可能產(chǎn)生新的信息安全風(fēng)險因此考慮到威脅利用脆

()。,

弱性損害組織的途徑多種多樣信息安全風(fēng)險始終存在有效的信息安全通過防范威脅和脆弱性使組

,。

織得到保護(hù)來減少風(fēng)險從而降低對其資產(chǎn)的影響

,。

信息安全可通過實現(xiàn)一組合適的控制來達(dá)到包括策略過程規(guī)程組織結(jié)構(gòu)和軟硬件功能必要時需

,、、、。,

要建立實現(xiàn)監(jiān)視評審和改進(jìn)這些控制以確保其滿足組織特定的安全和業(yè)務(wù)目標(biāo)[10]

、、、,。GB/T22080

規(guī)定的采用整體的協(xié)調(diào)的觀點看待組織的信息安全風(fēng)險以便在一致的管理體系總體框架下實

ISMS、,

現(xiàn)一套全面的信息安全控制

。

從[10]和本標(biāo)準(zhǔn)來看許多信息系統(tǒng)的設(shè)計未達(dá)到是安全的通過技術(shù)手段可獲得的

GB/T22080,。

安全是有限的宜通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持確定哪些控制應(yīng)該存在這需要仔細(xì)規(guī)劃并注意細(xì)

,。,

節(jié)一個成功的信息安全管理體系需要得到組織內(nèi)的所有員工的支持股東供應(yīng)商或其他外部各方的

。,、

參與也需要外部各方的專家建議

,。

在更一般的意義上有效的信息安全也向管理者及其他相關(guān)方保證組織資產(chǎn)處于合理的安全并受

,,

到保護(hù)不被損害因此其角色等同于業(yè)務(wù)推動者

,。

02信息安全要求

.

組織識別其安全要求是必要的安全要求的個主要來源是

。3:

考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標(biāo)對組織風(fēng)險的評估通過風(fēng)險評估識別資產(chǎn)受到的威脅

a),。,,

評價易受威脅利用的脆弱性和威脅發(fā)生的可能性估計潛在的影響

,;

組織及其貿(mào)易伙伴合同方和服務(wù)提供商必須滿足的法律法規(guī)規(guī)章制度和合同要求以及他

b)、、、,

們的社會文化環(huán)境

;

組織為支持其運行針對信息的操作處理存儲通信和歸檔而建立的原則目標(biāo)和業(yè)務(wù)要求

c),、、、、。

實現(xiàn)控制所使用的資源必須權(quán)衡缺少這些控制而導(dǎo)致的安全問題以及可能導(dǎo)致的業(yè)務(wù)危害風(fēng)

,。

險評估的結(jié)果將有助于指導(dǎo)和確定合適的管理措施信息安全風(fēng)險管理的優(yōu)先級以及為防范這些風(fēng)險

、

所選擇控制實現(xiàn)的優(yōu)先級

[11]提供了信息安全風(fēng)險管理指南包括風(fēng)險評估風(fēng)險處置風(fēng)險接受風(fēng)險溝通

ISO/IEC27005,、、、、

風(fēng)險監(jiān)視和風(fēng)險評審各方面的建議

GB/T22081—2016/ISO/IEC270022013

:

03控制的選擇

.

控制可以選自本標(biāo)準(zhǔn)或其他控制集或適當(dāng)時針對特定的需求設(shè)計新的控制

,。

控制的選擇取決于組織決策該決策基于風(fēng)險接受準(zhǔn)則風(fēng)險處置選項組織采用的通用風(fēng)險管理

,、、

方法控制的選擇也必須遵守所有相關(guān)的國家法律法規(guī)同時控制的選擇也取決于控制交互方式以提

;。

供縱深防御

本標(biāo)準(zhǔn)中的某些控制可被當(dāng)作信息安全管理的指導(dǎo)原則并且可用于大多數(shù)組織在每個控制之

,。

下詳細(xì)地給出了其實現(xiàn)指南有關(guān)選擇控制的更詳細(xì)信息以及其他的風(fēng)險的處置選項可參見

,。,

[11]

ISO/IEC27005。

04編制組織自己的指南

.

本標(biāo)準(zhǔn)可作為組織制定其特定指南的起點對一個組織來說本標(biāo)準(zhǔn)中的控制和指南并非全部適

。,

用另外可能還需要增加一些不包含在本標(biāo)準(zhǔn)中的控制和指南當(dāng)制定包含一些增加的控制和指南

。,。

的組織文件時給出一些對本標(biāo)準(zhǔn)可用條款的交叉應(yīng)用這可能是有用的以支持審核員和和業(yè)務(wù)伙伴

,,,

的符合性檢查

。

05生命周期的考慮

.

信息有其固有的生命周期即從其創(chuàng)建和產(chǎn)生經(jīng)過存儲處理使用和傳輸?shù)狡渥罱K銷毀或消失

,,、、。

在其生命周期中信息資產(chǎn)的價值和所面臨的風(fēng)險可能會變化如在公司賬目正式公布后對它的竊取

,(,

和未授權(quán)泄露所產(chǎn)生的危害將極大的降低但在所有階段信息安全仍存在一定程度的重要性

),,。

信息系統(tǒng)的生命周期包括構(gòu)思規(guī)約設(shè)計開發(fā)測試實現(xiàn)使用維護(hù)并最終退役和銷毀在每

、、、、、、、,。

一階段均應(yīng)考慮到信息安全在每一階段上均應(yīng)考慮信息安全開發(fā)新的系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的改變

。。,

為組織升級和改進(jìn)安全控制提供了機(jī)會同時應(yīng)考慮實際的安全事件以及當(dāng)前和預(yù)測的信息安全風(fēng)險

,。

06相關(guān)標(biāo)準(zhǔn)

.

本標(biāo)準(zhǔn)就一個廣泛的可通用于不同組織的信息安全控制集提供了相應(yīng)的指南而信息安全管理

、,;

體系標(biāo)準(zhǔn)族中的其他標(biāo)準(zhǔn)就信息安全管理全過程的其他方面提供了補(bǔ)充建議或要求

。

信息安全管理體系標(biāo)準(zhǔn)的總體介紹參見中提供的詞匯表確定了

ISO/IEC27000。ISO/IEC27000

信息安全管理體系標(biāo)準(zhǔn)中使用的絕大部分術(shù)語并描述了每個標(biāo)準(zhǔn)的范圍和目標(biāo)

,。

GB/T22081—2016/ISO/IEC270022013

:

信息技術(shù)安全技術(shù)

信息安全控制實踐指南

1范圍

本標(biāo)準(zhǔn)為組織的信息安全標(biāo)準(zhǔn)和信息安全管理實踐提供了指南包括考慮了組織信息安全風(fēng)險環(huán)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論