GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T22081—2016/ISO/IEC270022013

代替:

GB/T22081—2008

信息技術(shù)安全技術(shù)

信息安全控制實(shí)踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

informationsecuritycontrols

(ISO/IEC27002:2013,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T22081—2016/ISO/IEC270022013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

背景和環(huán)境

0.1…………………………Ⅳ

信息安全要求

0.2………………………Ⅳ

控制的選擇

0.3…………………………Ⅴ

編制組織自己的指南

0.4………………Ⅴ

生命周期的考慮

0.5……………………Ⅴ

相關(guān)標(biāo)準(zhǔn)

0.6……………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

標(biāo)準(zhǔn)結(jié)構(gòu)

4…………………1

章節(jié)

4.1…………………1

控制類別

4.2……………1

信息安全策略

5……………2

信息安全管理指導(dǎo)

5.1…………………2

信息安全組織

6……………3

內(nèi)部組織

6.1……………3

移動(dòng)設(shè)備和遠(yuǎn)程工作

6.2………………5

人力資源安全

7……………7

任用前

7.1………………7

任用中

7.2………………8

任用的終止和變更

7.3…………………10

資產(chǎn)管理

8…………………10

有關(guān)資產(chǎn)的責(zé)任

8.1……………………10

信息分級(jí)

8.2……………11

介質(zhì)處理

8.3……………13

訪問控制

9…………………14

訪問控制的業(yè)務(wù)要求

9.1………………14

用戶訪問管理

9.2………………………15

用戶責(zé)任

9.3……………18

系統(tǒng)和應(yīng)用訪問控制

9.4………………19

密碼

10……………………21

密碼控制

10.1…………………………21

物理和環(huán)境安全

11………………………23

Ⅰ

GB/T22081—2016/ISO/IEC270022013

:

安全區(qū)域

11.1…………………………23

設(shè)備

11.2………………25

運(yùn)行安全

12………………28

運(yùn)行規(guī)程和責(zé)任

12.1…………………28

惡意軟件防范

12.2……………………30

備份

12.3………………31

日志和監(jiān)視

12.4………………………32

運(yùn)行軟件控制

12.5……………………34

技術(shù)方面的脆弱性管理

12.6…………34

信息系統(tǒng)審計(jì)的考慮

12.7……………36

通信安全

13………………36

網(wǎng)絡(luò)安全管理

13.1……………………36

信息傳輸

13.2…………………………38

系統(tǒng)獲取開發(fā)和維護(hù)

14、…………………40

信息系統(tǒng)的安全要求

14.1……………40

開發(fā)和支持過程中的安全

14.2………………………42

測(cè)試數(shù)據(jù)

14.3…………………………45

供應(yīng)商關(guān)系

15……………46

供應(yīng)商關(guān)系中的信息安全

15.1………………………46

供應(yīng)商服務(wù)交付管理

15.2……………48

信息安全事件管理

16……………………49

信息安全事件的管理和改進(jìn)

16.1……………………49

業(yè)務(wù)連續(xù)性管理的信息安全方面

17……………………52

信息安全的連續(xù)性

17.1………………52

冗余

17.2………………54

符合性

18…………………54

符合法律和合同要求

18.1……………54

信息安全評(píng)審

18.2……………………56

附錄資料性附錄與對(duì)比

NA()GB/T22081—2016GB/T22081—2008…………58

附錄資料性附錄與主要關(guān)鍵詞變化

NB()GB/T22081—2016GB/T22081—2008……………64

參考文獻(xiàn)

……………………65

Ⅱ

GB/T22081—2016/ISO/IEC270022013

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

GB/T22081—2008《》。

本標(biāo)準(zhǔn)與相比主要技術(shù)變化如下

GB/T22081—2008,:

結(jié)構(gòu)變化見附錄

———NA;

術(shù)語變化見附錄

———NB。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指

ISO/IEC27002:2013《

南及其相應(yīng)的技術(shù)勘誤

》(ISO/IEC27002:2013/COR1:2014)。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對(duì)應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012(ISO/IEC27000:

2009,IDT)。

本標(biāo)準(zhǔn)做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國信息安全認(rèn)

:、、

證中心山東省標(biāo)準(zhǔn)化研究院廣州賽寶認(rèn)證中心服務(wù)有限公司北京江南天安科技有限公司上海三零

、、、、

衛(wèi)士信息安全有限公司中國合格評(píng)定國家認(rèn)可中心北京時(shí)代新威信息技術(shù)有限公司黑龍江電子信

、、、

息產(chǎn)品監(jiān)督檢驗(yàn)院浙江遠(yuǎn)望電子有限公司杭州在信科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人許玉娜上官曉麗閔京華尤其公偉盧列文倪文靜王連強(qiáng)陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽

、、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22081—2008。

Ⅲ

GB/T22081—2016/ISO/IEC270022013

:

引言

01背景和環(huán)境

.

本標(biāo)準(zhǔn)可作為組織基于[10]實(shí)現(xiàn)信息安全管理體系過程中選擇控制時(shí)的參考

GB/T22080(ISMS),

或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南在考慮具體信息安全風(fēng)險(xiǎn)環(huán)境后本標(biāo)準(zhǔn)也可用于制

。,

定特定行業(yè)和特定組織的信息安全管理指南

。

所有類型和規(guī)模的組織包括公共和私營部門商業(yè)組織非盈利性組織都會(huì)收集處理存儲(chǔ)和傳

(、、)、、

輸包括電子物理和語音如會(huì)談和演講等多種形式的信息

、()。

信息的價(jià)值超越文字?jǐn)?shù)字和圖像的本身例如知識(shí)概念觀點(diǎn)和品牌都是無形信息在互聯(lián)世

、,:、、。

界中對(duì)于組織業(yè)務(wù)而言信息和相關(guān)過程系統(tǒng)網(wǎng)絡(luò)及其操作處理與保護(hù)活動(dòng)中所涉及的人員都是資

,、、、

產(chǎn)與其他重要的業(yè)務(wù)資產(chǎn)一樣對(duì)組織的業(yè)務(wù)至關(guān)重要因此值得或需要保護(hù)以防范各種危害

,,,。

資產(chǎn)易遭受故意和意外的威脅且相關(guān)的過程系統(tǒng)網(wǎng)絡(luò)和人員均有其固有脆弱性業(yè)務(wù)過程和

;、、。

系統(tǒng)的變更或其他外部變更如新的法律法規(guī)可能產(chǎn)生新的信息安全風(fēng)險(xiǎn)因此考慮到威脅利用脆

()。,

弱性損害組織的途徑多種多樣信息安全風(fēng)險(xiǎn)始終存在有效的信息安全通過防范威脅和脆弱性使組

,。

織得到保護(hù)來減少風(fēng)險(xiǎn)從而降低對(duì)其資產(chǎn)的影響

,。

信息安全可通過實(shí)現(xiàn)一組合適的控制來達(dá)到包括策略過程規(guī)程組織結(jié)構(gòu)和軟硬件功能必要時(shí)需

,、、、。,

要建立實(shí)現(xiàn)監(jiān)視評(píng)審和改進(jìn)這些控制以確保其滿足組織特定的安全和業(yè)務(wù)目標(biāo)[10]

、、、,。GB/T22080

規(guī)定的采用整體的協(xié)調(diào)的觀點(diǎn)看待組織的信息安全風(fēng)險(xiǎn)以便在一致的管理體系總體框架下實(shí)

ISMS、,

現(xiàn)一套全面的信息安全控制

。

從[10]和本標(biāo)準(zhǔn)來看許多信息系統(tǒng)的設(shè)計(jì)未達(dá)到是安全的通過技術(shù)手段可獲得的

GB/T22080,。

安全是有限的宜通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持確定哪些控制應(yīng)該存在這需要仔細(xì)規(guī)劃并注意細(xì)

,。,

節(jié)一個(gè)成功的信息安全管理體系需要得到組織內(nèi)的所有員工的支持股東供應(yīng)商或其他外部各方的

。,、

參與也需要外部各方的專家建議

,。

在更一般的意義上有效的信息安全也向管理者及其他相關(guān)方保證組織資產(chǎn)處于合理的安全并受

,,

到保護(hù)不被損害因此其角色等同于業(yè)務(wù)推動(dòng)者

,。

02信息安全要求

.

組織識(shí)別其安全要求是必要的安全要求的個(gè)主要來源是

。3:

考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標(biāo)對(duì)組織風(fēng)險(xiǎn)的評(píng)估通過風(fēng)險(xiǎn)評(píng)估識(shí)別資產(chǎn)受到的威脅

a),。,,

評(píng)價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性估計(jì)潛在的影響

,;

組織及其貿(mào)易伙伴合同方和服務(wù)提供商必須滿足的法律法規(guī)規(guī)章制度和合同要求以及他

b)、、、,

們的社會(huì)文化環(huán)境

;

組織為支持其運(yùn)行針對(duì)信息的操作處理存儲(chǔ)通信和歸檔而建立的原則目標(biāo)和業(yè)務(wù)要求

c),、、、、。

實(shí)現(xiàn)控制所使用的資源必須權(quán)衡缺少這些控制而導(dǎo)致的安全問題以及可能導(dǎo)致的業(yè)務(wù)危害風(fēng)

,。

險(xiǎn)評(píng)估的結(jié)果將有助于指導(dǎo)和確定合適的管理措施信息安全風(fēng)險(xiǎn)管理的優(yōu)先級(jí)以及為防范這些風(fēng)險(xiǎn)

、

所選擇控制實(shí)現(xiàn)的優(yōu)先級(jí)

。

[11]提供了信息安全風(fēng)險(xiǎn)管理指南包括風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)溝通

ISO/IEC27005,、、、、

風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評(píng)審各方面的建議

。

Ⅳ

GB/T22081—2016/ISO/IEC270022013

:

03控制的選擇

.

控制可以選自本標(biāo)準(zhǔn)或其他控制集或適當(dāng)時(shí)針對(duì)特定的需求設(shè)計(jì)新的控制

,。

控制的選擇取決于組織決策該決策基于風(fēng)險(xiǎn)接受準(zhǔn)則風(fēng)險(xiǎn)處置選項(xiàng)組織采用的通用風(fēng)險(xiǎn)管理

,、、

方法控制的選擇也必須遵守所有相關(guān)的國家法律法規(guī)同時(shí)控制的選擇也取決于控制交互方式以提

;。

供縱深防御

。

本標(biāo)準(zhǔn)中的某些控制可被當(dāng)作信息安全管理的指導(dǎo)原則并且可用于大多數(shù)組織在每個(gè)控制之

,。

下詳細(xì)地給出了其實(shí)現(xiàn)指南有關(guān)選擇控制的更詳細(xì)信息以及其他的風(fēng)險(xiǎn)的處置選項(xiàng)可參見

,。,

[11]

ISO/IEC27005。

04編制組織自己的指南

.

本標(biāo)準(zhǔn)可作為組織制定其特定指南的起點(diǎn)對(duì)一個(gè)組織來說本標(biāo)準(zhǔn)中的控制和指南并非全部適

。,

用另外可能還需要增加一些不包含在本標(biāo)準(zhǔn)中的控制和指南當(dāng)制定包含一些增加的控制和指南

。,。

的組織文件時(shí)給出一些對(duì)本標(biāo)準(zhǔn)可用條款的交叉應(yīng)用這可能是有用的以支持審核員和和業(yè)務(wù)伙伴

,,,

的符合性檢查

。

05生命周期的考慮

.

信息有其固有的生命周期即從其創(chuàng)建和產(chǎn)生經(jīng)過存儲(chǔ)處理使用和傳輸?shù)狡渥罱K銷毀或消失

,,、、。

在其生命周期中信息資產(chǎn)的價(jià)值和所面臨的風(fēng)險(xiǎn)可能會(huì)變化如在公司賬目正式公布后對(duì)它的竊取

,(,

和未授權(quán)泄露所產(chǎn)生的危害將極大的降低但在所有階段信息安全仍存在一定程度的重要性

),,。

信息系統(tǒng)的生命周期包括構(gòu)思規(guī)約設(shè)計(jì)開發(fā)測(cè)試實(shí)現(xiàn)使用維護(hù)并最終退役和銷毀在每

、、、、、、、,。

一階段均應(yīng)考慮到信息安全在每一階段上均應(yīng)考慮信息安全開發(fā)新的系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的改變

。。,

為組織升級(jí)和改進(jìn)安全控制提供了機(jī)會(huì)同時(shí)應(yīng)考慮實(shí)際的安全事件以及當(dāng)前和預(yù)測(cè)的信息安全風(fēng)險(xiǎn)

,。

06相關(guān)標(biāo)準(zhǔn)

.

本標(biāo)準(zhǔn)就一個(gè)廣泛的可通用于不同組織的信息安全控制集提供了相應(yīng)的指南而信息安全管理

、,;

體系標(biāo)準(zhǔn)族中的其他標(biāo)準(zhǔn)就信息安全管理全過程的其他方面提供了補(bǔ)充建議或要求

。

信息安全管理體系標(biāo)準(zhǔn)的總體介紹參見中提供的詞匯表確定了

ISO/IEC27000。ISO/IEC27000

信息安全管理體系標(biāo)準(zhǔn)中使用的絕大部分術(shù)語并描述了每個(gè)標(biāo)準(zhǔn)的范圍和目標(biāo)

,。

Ⅴ

GB/T22081—2016/ISO/IEC270022013

:

信息技術(shù)安全技術(shù)

信息安全控制實(shí)踐指南

1范圍

本標(biāo)準(zhǔn)為組織的信息安全標(biāo)準(zhǔn)和信息安全管理實(shí)踐提供了指南包括考慮了組織信息安全風(fēng)險(xiǎn)環(huán)