ISO27001-2022 信息安全適用性聲明

編號：ISMS-M02-2023版本號： V1.0受控狀態(tài)： 受控密級： 內(nèi)部公開【組織名稱】適用性聲明（StatementofApplicability）版權(quán)聲明和保密須知本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬【組織名稱】所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何單位和個人未經(jīng)【組織名稱】的書面授權(quán)許可，不得復(fù)制或引用本文件的任何片斷，無論通過電子形式或非電子形式。Copyright?2023【組織名稱】版權(quán)所有

文檔信息文檔編號：ISMS-M02-2023文檔分類：內(nèi)部公開–受控編寫：審核：批準(zhǔn)：初次發(fā)布日期：2022-12-1修改日期：2022-12-1發(fā)布日期：2022-12-1版本記錄版本號版本日期修改審批人修改履歷V1.0//創(chuàng)建文檔適用性聲明（StatementofApplicability）不適用說明：沒有外包開發(fā)相關(guān)業(yè)務(wù)：ISO/IECFIDS27001:2022控制適用性控制描述相關(guān)文件A.5組織控制A.5.1信息安全的策略集是信息安全策略和特定主題的策略應(yīng)由管理層定義、批準(zhǔn)、發(fā)布、傳達給相關(guān)人員和相關(guān)利益方，并由其確認(rèn)，如果發(fā)生重大變化，應(yīng)按計劃的時間間隔進行審查。信息安全策略應(yīng)滿足以下要求：a)業(yè)務(wù)戰(zhàn)略和要求；b)法律、法規(guī)和合同；c)當(dāng)前和預(yù)計的信息安全威脅環(huán)境。信息安全策略應(yīng)包含以下內(nèi)容的聲明：a)對信息安全的定義；b)信息安全目標(biāo)或設(shè)置信息安全目標(biāo)的框架；c)指導(dǎo)與信息安全有關(guān)的所有活動的原則；d)承諾滿足有關(guān)信息安全的適用要求；e)承諾持續(xù)改進信息安全管理系統(tǒng)；f)將信息安全管理的職責(zé)分配給已定義的角色；g)處理偏差和異常的程序?！缎畔踩呗晕募稟.5.2信息安全角色和職責(zé)是應(yīng)根據(jù)組織需要定義和分配信息安全角色和職責(zé)?！秿徫宦氊?zé)說明書》A.5.3職責(zé)分離是相相互沖突的職責(zé)和相互沖突的責(zé)任范圍應(yīng)分離。《崗位職責(zé)說明書》A.5.4管理者職責(zé)是管理層應(yīng)要求所有人員按照組織制定的信息安全策略、特定主題的策略和程序應(yīng)用信息安全。管理職責(zé)應(yīng)包括確保人員：a)在被授權(quán)訪問組織的信息和其他相關(guān)資產(chǎn)之前，適當(dāng)?shù)叵蛩麄兘榻B了他們的信息安全角色和職責(zé)；b)提供了指南，說明其在組織內(nèi)的角色的信息安全期望；c)被授權(quán)執(zhí)行組織的信息安全政策和特定主題的政策；d)達到與其在組織內(nèi)的角色和職責(zé)相關(guān)的信息安全意識水平(見6.3)；e)符合雇傭、合同或協(xié)議的條款和條件，包括組織的信息安全政策和適當(dāng)?shù)墓ぷ鞣椒ǎ籪)通過持續(xù)的專業(yè)教育，繼續(xù)擁有適當(dāng)?shù)男畔踩寄芎唾Y格；g)在可行的情況下，為舉報違反信息安全政策、特定主題政策或信息安全程序的行為提供保密渠道。這可以允許匿名舉報，或者規(guī)定確保只有需要處理此類舉報的人知道舉報人的身份；h)為實施組織的安全相關(guān)過程和控制提供足夠的資源和項目規(guī)劃時間?！缎畔踩芾硎謨浴稟.5.5與職能機構(gòu)的聯(lián)系是組織應(yīng)指定何時和由誰聯(lián)系相關(guān)部門(例如執(zhí)法、監(jiān)管機構(gòu)、監(jiān)督機構(gòu))，以及如何及時報告已識別的信息安全事件。還應(yīng)通過與當(dāng)局的聯(lián)系來促進了解他們當(dāng)前和未來的期望(例如適用的信息安全法規(guī))?！堵毮軝C構(gòu)聯(lián)系單》A.5.6與特定相關(guān)方的聯(lián)系是應(yīng)維護與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系。特殊利益集團或論壇的成員資格應(yīng)被視為一種手段：a)提高有關(guān)最佳實踐的知識并及時了解相關(guān)安全信息；b)確保對信息安全環(huán)境的理解是最新的；c)接收有關(guān)攻擊和漏洞的警報、建議和補丁的早期警告；d)獲得專家信息安全建議；e)共享和交換有關(guān)新技術(shù)、產(chǎn)品、服務(wù)、威脅或漏洞的信息；f)在處理信息安全事件時提供合適的聯(lián)絡(luò)點?！短囟ㄏ嚓P(guān)方聯(lián)系單》A.5.7威脅情報是應(yīng)收集、分析與信息安全威脅有關(guān)的信息，以產(chǎn)生威脅情報。威脅情報活動應(yīng)包括：a)建立威脅情報生成的目標(biāo)；b)識別、審查和選擇為威脅情報的生成提供所需信息的必要和適當(dāng)?shù)膬?nèi)部和外部信息源；c)從選定的來源收集信息，可以是內(nèi)部的也可以是外部的；d)處理收集到的信息以準(zhǔn)備分析(例如通過翻譯、格式化或證實信息)；e)分析信息以了解其與組織的關(guān)系和意義；f)以一種可以理解的格式與相關(guān)個人進行交流和分享。應(yīng)分析威脅情報并在以后使用：a)通過實施過程，將從威脅情報來源收集的信息納入組織的信息安全風(fēng)險管理過程；b)作為防火墻、入侵檢測系統(tǒng)或反惡意軟件解決方案等技術(shù)預(yù)防和檢測控制的額外輸入；c)作為信息安全測試過程和技術(shù)的輸入。《威脅情報清單》A.5.8項目管理中的信息安全是信息安全應(yīng)融入項目管理中。在使用中的項目管理應(yīng)要求：a)信息安全風(fēng)險在早期階段進行了評估和處理，并在整個項目生命周期中，定期作為項目風(fēng)險的一部分；b)信息安全要求[例如應(yīng)用程序安全要求(8.26)、遵守知識產(chǎn)權(quán)的要求(5.32)等]在項目的早期階段得到解決；c)在整個項目生命周期中考慮和處理與項目執(zhí)行相關(guān)的信息安全風(fēng)險，例如內(nèi)部和外部通信方面的安全；d)評審信息安全風(fēng)險處理的進展，評估和測試處理的有效性?！俄椖匡L(fēng)險管理表》A.5.9信息和其它相關(guān)資產(chǎn)清單是應(yīng)編制和維護信息和其他相關(guān)資產(chǎn)清單，清單中應(yīng)包含所有者?！缎畔①Y產(chǎn)密級管理程序》A.5.10信息和其他相關(guān)資產(chǎn)的可接受使用是應(yīng)確定、記錄和實施信息和其他相關(guān)資產(chǎn)的可接受使用規(guī)則和處理程序《信息資產(chǎn)密級管理程序》A.5.11資產(chǎn)歸還是員工和其他相關(guān)方在任用、合同或協(xié)議終止時，應(yīng)歸還其占用的所有組織資產(chǎn)?！度肆Y源管理程序》A.5.12信息的分級是信息應(yīng)基于組織的信息安全需求，基于保密性、完整性、可用性和相關(guān)方要求進行分級《信息資產(chǎn)密級管理程序》A.5.13信息的標(biāo)記是應(yīng)按照組織采用的信息分級方案，制定并實現(xiàn)一組適當(dāng)?shù)男畔?biāo)記規(guī)程。信息標(biāo)記程序應(yīng)涵蓋所有格式的信息和其他相關(guān)資產(chǎn)。標(biāo)簽應(yīng)反映5.12中建立的分類方案。標(biāo)簽應(yīng)易于識別?？紤]到信息的訪問方式或資產(chǎn)的處理方式（取決于存儲介質(zhì)的類型），這些程序應(yīng)就標(biāo)簽的粘貼位置和方式提供指導(dǎo)。這些程序可以定義：a)省略標(biāo)記的情況（例如標(biāo)記非機密信息以減少工作量）；b)如何標(biāo)記通過電子或物理方式或任何其他格式發(fā)送或存儲的信息；c)如何處理無法貼標(biāo)簽的情況（例如由于技術(shù)限制）?！缎畔①Y產(chǎn)密級管理程序》A.5.14信息傳輸是組織應(yīng)建立并與所有相關(guān)方溝通特定主題的信息傳輸政策。保護傳輸信息的規(guī)則、程序和協(xié)議應(yīng)反映所涉及信息的分類。在組織和第三方之間傳輸信息時，應(yīng)建立和維護傳輸協(xié)議（包括接收者身份驗證）以保護傳輸中所有形式的信息《信息傳遞管理程序》A.5.15訪問控制是應(yīng)根據(jù)業(yè)務(wù)和信息安全要求制定和實施控制信息和其他相關(guān)資產(chǎn)的物理和邏輯訪問的規(guī)則。訪問控制包括邏輯的和物理的，它們宜一起考慮。應(yīng)給用戶和服務(wù)提供商提供一份訪問控制要滿足的業(yè)務(wù)要求的清晰說明。策略宜考慮到下列內(nèi)容：b）信息分發(fā)和授權(quán)的策略，例如“需要則知道”的原則、信息安全級別和信息分類；c）不同系統(tǒng)和網(wǎng)絡(luò)的訪問權(quán)限和信息分類策略之間的一致性；d）關(guān)于限制訪問數(shù)據(jù)或服務(wù)的相關(guān)法律和合同義務(wù)；e）在認(rèn)可各種可用連接類型的分布式和網(wǎng)絡(luò)化環(huán)境中的訪問權(quán)限的管理；f）訪問控制角色的分離，例如訪問請求、訪問授權(quán)、訪問管理；g）訪問請求的正式授權(quán)要求；h）訪問權(quán)限的定期評審要求；i）訪問權(quán)限的撤銷；j）關(guān)于用戶身份和秘密鑒別信息使用和管理的所有重大事件記錄的存檔；k）具有特權(quán)的訪問角色。《訪問控制管理程序》A.5.16身份管理是應(yīng)管理身份的整個生命周期。身份管理上下文中使用的流程應(yīng)確保：a)對于分配給人員的身份，特定身份僅與單個人員相關(guān)聯(lián)，以便能夠讓該人員對使用此特定身份執(zhí)行的操作負責(zé)；b)分配給多人的身份（例如共享身份）僅在出于業(yè)務(wù)或運營原因需要時才允許使用，并且需要經(jīng)過專門的批準(zhǔn)和文件；c)分配給非人類實體的身份受到適當(dāng)隔離的批準(zhǔn)和獨立的持續(xù)監(jiān)督；d)如果不再需要身份（例如，如果其關(guān)聯(lián)實體被刪除或不再使用，或者與身份相關(guān)聯(lián)的人已離開組織或改變角色），則會及時禁用或刪除身份；e)在特定域中，單個身份映射到單個實體，[即避免將多個身份映射到同一上下文中的同一實體（重復(fù)身份）]；f)保存有關(guān)用戶身份和認(rèn)證信息的使用和管理的所有重大事件的記錄?！对L問控制管理程序》A.5.17身份驗證信息是身份驗證信息的分配和管理應(yīng)通過一個管理過程進行控制，包括建議人員對認(rèn)證信息進行適當(dāng)?shù)奶幚?。《訪問控制管理程序》A.5.18訪問權(quán)限是信息和其他相關(guān)資產(chǎn)的訪問權(quán)限應(yīng)按照組織特定主題策略和訪問控制規(guī)則進行設(shè)置、評審、修改和刪除。《訪問控制管理程序》A.5.19供應(yīng)商關(guān)系中的信息安全是應(yīng)定義和實施流程和程序，管理供應(yīng)商產(chǎn)品或服務(wù)使用相關(guān)的信息安全風(fēng)險。組織應(yīng)識別和實施過程和程序，以解決與使用供應(yīng)商提供的產(chǎn)品和服務(wù)相關(guān)的安全風(fēng)險。這也應(yīng)適用于組織對云服務(wù)提供商資源的使用。這些過程和程序應(yīng)包括由組織實施的過程和程序，以及組織要求供應(yīng)商為開始使用供應(yīng)商的產(chǎn)品或服務(wù)或終止使用供應(yīng)商的產(chǎn)品和服務(wù)而實施的過程和程序。《供應(yīng)商管理程序》A.5.20在供應(yīng)商協(xié)議中的強調(diào)信息安全是應(yīng)基于供應(yīng)商關(guān)系的類型，與每個供應(yīng)商建立相關(guān)信息安全要求并達成一致。應(yīng)建立并記錄供應(yīng)商協(xié)議，以確保組織和供應(yīng)商之間清楚地了解雙方履行相關(guān)信息安全要求的義務(wù)?！豆?yīng)商管理程序》A.5.21ICT供應(yīng)鏈的信息安全管理是應(yīng)定義和實施流程和程序，管理ICT產(chǎn)品和服務(wù)供應(yīng)鏈的相關(guān)信息安全風(fēng)險。《供應(yīng)商管理程序》A.5.22供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理是組織應(yīng)定期監(jiān)控、審查、評估和管理供應(yīng)商信息安全慣例和服務(wù)交付方面的變化?！豆?yīng)商管理程序》A.5.23使用云服務(wù)的信息安全是應(yīng)按照組織的信息安全要求，建立從云服務(wù)獲取、使用、管理和退出的流程。應(yīng)建立并就使用云服務(wù)的主題特定政策與所有相關(guān)方進行溝通。應(yīng)定義并傳達其打算如何管理與使用云服務(wù)相關(guān)的信息安全風(fēng)險。它可以是組織如何管理外部方提供的服務(wù)的現(xiàn)有方法的擴展或一部分。云服務(wù)的使用可能涉及信息安全的共同責(zé)任以及云服務(wù)提供商和充當(dāng)云服務(wù)客戶的組織之間的協(xié)作努力。云服務(wù)提供商和作為云服務(wù)客戶的組織的職責(zé)必須得到適當(dāng)?shù)亩x和實施，這一點至關(guān)重要?！对品?wù)安全管理程序》A.5.24信息安全事件管理策劃和準(zhǔn)備是組織應(yīng)該通過定義、建立并傳達信息安全事件管理流程、角色和責(zé)任，為信息安全事件的管理做好計劃和準(zhǔn)備?！妒录芾沓绦颉稟.5.25信息安全事態(tài)的評估與決策是組織應(yīng)評估信息安全事態(tài)，并決定它們是否歸類為信息安全事件?！妒录芾沓绦颉稟.5.26信息安全事件響應(yīng)是信息安全事件應(yīng)按照文件記錄的程序進行響應(yīng)?！妒录芾沓绦颉稟.5.27從信息安全事件中學(xué)習(xí)是應(yīng)利用從信息安全事故中取得的知識加強和改進信息安全控制?！妒录芾沓绦颉稟.5.28證據(jù)收集是組織應(yīng)建立并實施與信息安全事件相關(guān)證據(jù)的識別、收集、采集和維護程序。《事件管理程序》A.5.29中斷期間的信息安全是在中斷期間，組織應(yīng)規(guī)劃如何將信息安全維持在適當(dāng)?shù)乃??！妒录芾沓绦颉稟.5.30ICT業(yè)務(wù)連續(xù)性準(zhǔn)備是應(yīng)基于業(yè)務(wù)連續(xù)性目標(biāo)和ICT連續(xù)性要求，規(guī)劃、實施、維護和測試ICT預(yù)備狀態(tài)?！稑I(yè)務(wù)連續(xù)性管理程序》A.5.31法律、法規(guī)、監(jiān)管和合同要求是與信息安全、組織滿足這些要求的方法相關(guān)的法律、法定、監(jiān)管和合同要求應(yīng)識別、記錄在案并保持更新?！斗闲怨芾沓绦颉稟.5.32知識產(chǎn)權(quán)是組織應(yīng)實施保護知識產(chǎn)權(quán)的適當(dāng)程序?！吨R產(chǎn)權(quán)管理規(guī)定》A.5.33記錄的保護是應(yīng)保護記錄免受損失、破壞、偽造、未經(jīng)授權(quán)的訪問和未經(jīng)授權(quán)的泄露。組織應(yīng)采取以下步驟來保護記錄的真實性、可靠性、完整性和可用性，因為它們的業(yè)務(wù)環(huán)境和對其管理的要求會隨著時間的推移而發(fā)生變化：a)發(fā)布有關(guān)記錄存儲、處理監(jiān)管鏈和處置的指南，包括防止篡改記錄。這些指南應(yīng)與組織關(guān)于記錄管理的特定主題政策和其他記錄要求保持一致；b)制定保留計劃，定義記錄及其應(yīng)保留的時間段。《記錄控制程序》A.5.34隱私和個人可識別信息保護是組織應(yīng)根據(jù)適用的法律法規(guī)和合同要求，識別并滿足有關(guān)隱私保護和PII保護的要求?！秱€人信息安全管理規(guī)范》A.5.35信息安全獨立審核是組織的信息安全管理方法及其實施，包括人員、流程和技術(shù)，應(yīng)定期或在出現(xiàn)重大變化時進行獨立評審?！秲?nèi)部審核管理程序》A.5.36信息安全策略、規(guī)程和標(biāo)準(zhǔn)合規(guī)是應(yīng)定期檢查對組織信息安全策略、特定主題策略、規(guī)則和標(biāo)準(zhǔn)的遵守情況。管理、服務(wù)、產(chǎn)品或信息所有者應(yīng)確定如何審查信息安全政策、特定主題政策、規(guī)則、標(biāo)準(zhǔn)和其他適用法規(guī)中定義的信息安全要求是否得到滿足。應(yīng)考慮使用自動測量和報告工具進行有效的定期審查。如果審查結(jié)果發(fā)現(xiàn)任何不合規(guī)，管理人員應(yīng)：a)識別不合規(guī)的原因；b)評估為實現(xiàn)合規(guī)而采取改進措施的必要性；c)實施適當(dāng)?shù)母倪M措施；d)審查為驗證其有效性和識別任何缺陷或弱點而采取的改進措施。應(yīng)記錄審查結(jié)果和由管理、服務(wù)、產(chǎn)品或信息所有者實施的改進措施，并保存這些記錄?！斗闲怨芾沓绦颉稟.5.37文件化的操作規(guī)程是信息處理設(shè)施的操作程序應(yīng)記錄在案，并提供給有需要的人員。應(yīng)為組織與信息安全相關(guān)的業(yè)務(wù)活動準(zhǔn)備文件化程序，例如：a)當(dāng)活動需要多人以相同的方式進行時；b)當(dāng)活動很少進行時，下次進行時，程序很可能已被遺忘；c)當(dāng)活動是新的，如果執(zhí)行不正確會帶來風(fēng)險時；d)在將活動移交給新人員之前。操作程序應(yīng)明確規(guī)定：a)責(zé)任人；b)系統(tǒng)的安全安裝和配置；c)自動和手動的信息處理和處置；d)備份(見8.13)和恢復(fù)力；e)調(diào)度要求，包括與其他系統(tǒng)的相互依賴關(guān)系；f)處理錯誤或其他可能在作業(yè)執(zhí)行期間出現(xiàn)的異常情況[例如對實用程序的使用限制(見8.18)]的說明；g)支持和升級聯(lián)系，包括在出現(xiàn)意外操作或技術(shù)困難時的外部支持聯(lián)系；h)存儲介質(zhì)處理說明(見7.10和7.14)；i)系統(tǒng)故障時使用的系統(tǒng)重啟和恢復(fù)程序；j)審計跟蹤和系統(tǒng)日志信息(見8.15和8.17)和視頻監(jiān)控系統(tǒng)(見7.4)的管理；k)諸如容量、性能和安全性的監(jiān)控程序(見8.6和8.16)；l)維護說明。應(yīng)在需要時審查和更新文件化的操作程序。應(yīng)授權(quán)對文件化操作程序的更改。在技術(shù)上可行的情況下，應(yīng)使用相同的程序、工具和實用程序?qū)π畔⑾到y(tǒng)進行一致的管理?！段募刂瞥绦颉贰队涗浛刂瞥绦颉稟.6人員控制A.6.1審查是在加入組織之前，應(yīng)持續(xù)進行背景審核，檢查所有候選人員，同時考慮適用法律、法規(guī)和道德，并按業(yè)務(wù)要求、訪問信息的分類和感知風(fēng)險進行。《人力資源管理程序》A.6.2任用條款及條件是勞動合同協(xié)議應(yīng)明確員工和組織在信息安全方面的責(zé)任?！度肆Y源管理程序》A.6.3信息安全意識、教育和培訓(xùn)是組織和相關(guān)方人員應(yīng)接受與工作職能相關(guān)的適當(dāng)?shù)男畔踩庾R、教育和培訓(xùn)，并定期更新組織的信息安全政策、特定主題的政策和程序。《人力資源管理程序》A.6.4違規(guī)處理過程是應(yīng)正式建立紀(jì)律程序并進行溝通，以對違反信息安全政策的人員和其他相關(guān)方采取行動?！度肆Y源管理程序》A.6.5任用終止或變更的責(zé)任是終止或變更雇傭關(guān)系后仍有效的信息安全責(zé)任和義務(wù)應(yīng)明確、執(zhí)行并傳達給相關(guān)人員和其他相關(guān)方?！度肆Y源管理程序》A.6.6保密或不泄露協(xié)議是應(yīng)確定、記錄、定期審查由人員和其他相關(guān)方簽署、反映組織保護信息需求的保密協(xié)議或保密協(xié)議?！度肆Y源管理程序》A.6.7遠程工作是當(dāng)員工進行遠程工作時，應(yīng)實施安全措施，保護在組織場所外訪問、處理或儲存的信息。《訪問控制管理程序》A.6.8報告信息安全事態(tài)是組織應(yīng)提供一種機制，讓員工通過適當(dāng)?shù)那兰皶r報告已發(fā)現(xiàn)或懷疑的信息安全事件?！妒录芾沓绦颉稟.7物理控制A.7.1物理安全邊界是應(yīng)定義和使用安全邊界來保護包含信息和其他相關(guān)資產(chǎn)。在適合物理安全邊界的情況下，應(yīng)考慮并實施以下準(zhǔn)則：a)根據(jù)與邊界內(nèi)資產(chǎn)相關(guān)的信息安全要求，定義安全邊界以及每個邊界的位置和強度；b)包含信息處理設(shè)施的建筑物或場地具有物理上健全的邊界（即邊界或容易發(fā)生闖入的區(qū)域不應(yīng)有間隙）。工地的外部屋頂、墻壁、天花板和地板應(yīng)該是堅固的結(jié)構(gòu)，所有外門都應(yīng)該通過控制機制（例如欄桿、警報器、鎖）進行適當(dāng)?shù)谋Ｗo，以防止未經(jīng)授權(quán)的訪問。無人看管時應(yīng)鎖上門窗，并考慮對窗戶進行外部保護，特別是在地面上；還應(yīng)考慮通風(fēng)點；c)警報、監(jiān)控和測試安全周邊的所有防火門以及墻壁，以根據(jù)適當(dāng)?shù)臉?biāo)準(zhǔn)確定所需的阻力水平。它們應(yīng)該以故障安全方式運行?！段锢砼c環(huán)境安全管理程序》A.7.2物理入口是安全區(qū)域和接入點應(yīng)通過適當(dāng)?shù)娜肟诳刂七M行保護。《物理與環(huán)境安全管理程序》A.7.3辦公室、房間和設(shè)施的安全是應(yīng)為辦公室、房間和設(shè)施設(shè)計并采取物理安全措施.《物理與環(huán)境安全管理程序》A.7.4物理安全監(jiān)控是營業(yè)場所應(yīng)持續(xù)被監(jiān)控，防止未經(jīng)授權(quán)的物理訪問。物理場所應(yīng)由監(jiān)控系統(tǒng)監(jiān)控，其中包括警衛(wèi)、入侵者警報、閉路電視等視頻監(jiān)控系統(tǒng)以及內(nèi)部或監(jiān)控服務(wù)提供商管理的物理安全信息管理軟件《物理與環(huán)境安全管理程序》A.7.5外部和環(huán)境威脅的安全防護是應(yīng)設(shè)計和實施針對物理和環(huán)境威脅的保護措施，如自然災(zāi)害和對基礎(chǔ)設(shè)施的其他有意或無意的物理威脅。《物理與環(huán)境安全管理程序》A.7.6在安全區(qū)域工作是應(yīng)設(shè)計并實施在安全區(qū)域工作的安全措施?！段锢砼c環(huán)境安全管理程序》A.7.7清理桌面和屏幕是應(yīng)針對紙質(zhì)和可移動存儲介質(zhì)，采取清理桌面規(guī)則；針對信息處理設(shè)施，采用清理屏幕規(guī)則，并適當(dāng)?shù)膱?zhí)行?！肚鍧嵶烂婧颓迤敛呗浴稟.7.8設(shè)備選址和保護是設(shè)備應(yīng)安全放置并加以保護。應(yīng)考慮以下準(zhǔn)則來保護設(shè)備：a)選址設(shè)備以盡量減少不必要的進入工作區(qū)域并避免未經(jīng)授權(quán)的進入；b)仔細定位處理敏感數(shù)據(jù)的信息處理設(shè)施，以減少未經(jīng)授權(quán)的人員在使用過程中查看信息的風(fēng)險；c)采取控制措施將潛在的物理和環(huán)境威脅的風(fēng)險降至最低[例如盜竊、火災(zāi)、爆炸物、煙霧、水（或供水故障）、灰塵、振動、化學(xué)影響、供電干擾、通信干擾、電磁輻射和故意破壞]；d)制定信息處理設(shè)施附近的飲食和吸煙指南；e)監(jiān)測可能對信息處理設(shè)施的運行產(chǎn)生不利影響的環(huán)境條件，例如溫度和濕度；f)對所有建筑物實施防雷保護，并在所有輸入電源和通信線路上安裝防雷過濾器；g)考慮對工業(yè)環(huán)境中的設(shè)備使用特殊的保護方法，例如鍵盤膜；h)保護處理機密信息的設(shè)備，以盡量減少因電磁輻射而導(dǎo)致信息泄露的風(fēng)險；i)在物理上將組織管理的信息處理設(shè)施與非組織管理的信息處理設(shè)施分開?！掇k公資產(chǎn)管理辦法》A.7.9組織場所外的資產(chǎn)安全是應(yīng)保護組織場所外的資產(chǎn)。任何在組織場所外使用的存儲或處理信息的設(shè)備（例如移動設(shè)備），包括組織擁有的設(shè)備和私人擁有并代表組織使用的設(shè)備(BYOD)都需要保護。這些設(shè)備的使用應(yīng)得到管理層的授權(quán)。A.7.10存儲介質(zhì)是應(yīng)根據(jù)組織的分級方案和處理要求，對存儲介質(zhì)的獲取、使用、運輸和處置的整個生命周期進行管理。《介質(zhì)及信息交換管理規(guī)定》A.7.11支持性設(shè)施是應(yīng)保護信息處理設(shè)施不受電力故障和支持性設(shè)施故障造成的其他中斷的影響。A.7.12布纜安全是應(yīng)保護承載電力、數(shù)據(jù)或支持信息服務(wù)的布纜免受截獲、干擾或破壞。A.7.13設(shè)備維護是應(yīng)正確維護設(shè)備，以確保信息的可用性、完整性和保密性。A.7.14設(shè)備的安全處置或再利用是應(yīng)驗證包含存儲介質(zhì)的設(shè)備項目，以確保任何敏感數(shù)據(jù)和許可軟件在處置或重新使用前已被刪除或安全覆蓋。A.8技術(shù)控制A.8.1用戶終端設(shè)備是應(yīng)保護存儲在用戶終端設(shè)備上、由用戶終端設(shè)備處理或通過用戶終端設(shè)備訪問的信息。A.8.2特許訪問權(quán)是應(yīng)限制并控制特許訪問權(quán)的分配和使用?！对L問控制管理程序》A.8.3信息訪問限制是信息和其他相關(guān)資產(chǎn)的訪問應(yīng)根據(jù)既定的訪問控制專題策略加以限制?！对L問控制管理程序》A.8.4源代碼的訪問是應(yīng)適當(dāng)管理對源代碼、開發(fā)工具和軟件庫的讀寫訪問?！缎畔⑾到y(tǒng)開發(fā)與維護管理程序》A.8.5安全的身份驗證是根據(jù)信息訪問限制和訪問控制的專題策略，實施安全的身份驗證技術(shù)和流程?！对L問控制管理程序》A.8.6容量管理是資源的使用應(yīng)根據(jù)當(dāng)前和預(yù)期的容量要求進行監(jiān)測和調(diào)整。A.8.7惡意軟件防范是應(yīng)實施惡意軟件的防范并通過適當(dāng)?shù)挠脩粢庾R支持?！稅阂廛浖刂乒芾硪?guī)定》A.8.8技術(shù)脆弱性管理是應(yīng)獲得使用中的信息系統(tǒng)的技術(shù)脆弱性信息，應(yīng)評估組織對此類脆弱性的暴露，并采取適當(dāng)措施。A.8.9配置管理是應(yīng)建立、記錄、實施、監(jiān)控和審查硬件、軟件、服務(wù)和網(wǎng)絡(luò)的配置，包括安全配置。A.8.10信息刪除是當(dāng)不再需要時，應(yīng)刪除存儲在信息系統(tǒng)、設(shè)備或任何其他存儲介質(zhì)中的信息。敏感信息的保存時間不應(yīng)超過減少不良披露風(fēng)險所需的時間。在刪除有關(guān)系統(tǒng)、應(yīng)用程序和服務(wù)的信息時，應(yīng)考慮以下幾點：a)根據(jù)業(yè)務(wù)需求并考慮相關(guān)法律法規(guī)，選擇刪除方式（如電子覆蓋或加密擦除）；b)記錄刪除結(jié)果作為證據(jù)；c)在使用信息刪除服務(wù)商時，向其獲取信息刪除證據(jù)。如果第三方代表其存儲組織的信息，則組織應(yīng)考慮將信息刪除要求納入第三方協(xié)議，以在此類服務(wù)期間和終止時強制執(zhí)行。A.8.11數(shù)據(jù)屏蔽是數(shù)據(jù)屏蔽應(yīng)根據(jù)組織的特定主題訪問控制策略和其他相關(guān)特定主題策略以及業(yè)務(wù)要求使用，并考慮適用法律要求。如果需要考慮保護敏感數(shù)據(jù)（例如PII），組織應(yīng)考慮使用數(shù)據(jù)屏蔽、假名化或匿名化等技術(shù)隱藏此類數(shù)據(jù)。假名化或匿名化技術(shù)可以隱藏PII，偽裝PII主體或其他敏感信息的真實身份，斷開PII與PII主體身份或其他敏感信息之間的聯(lián)系。使用假名或匿名技術(shù)時，應(yīng)驗證數(shù)據(jù)已被充分假名或匿名化。數(shù)據(jù)匿名化應(yīng)考慮敏感信息的所有元素是有效的。例如，如果考慮不當(dāng)，即使可以直接識別該人的數(shù)據(jù)是匿名的，也可以通過存在允許間接識別該人的進一步數(shù)據(jù)來識別該人。A.8.12數(shù)據(jù)泄露防護是數(shù)據(jù)泄漏防護措施應(yīng)適用于處理、存儲或傳輸敏感信息的系統(tǒng)、網(wǎng)絡(luò)和任何其他設(shè)備。組織應(yīng)考慮以下事項以降低數(shù)據(jù)泄露的風(fēng)險：a)識別和分類信息以防止泄露（例如個人信息、定價模型和產(chǎn)品設(shè)計）；b)監(jiān)控數(shù)據(jù)泄漏渠道（例如電子郵件、文件傳輸、移動設(shè)備和便攜式存儲設(shè)備）；c)采取措施防止信息泄露（例如，隔離包含敏感信息的電子郵件）。A.8.13信息備份是信息、軟件和系統(tǒng)的備份副本應(yīng)按照既定的特定主題備份策略進行維護和定期測試。《數(shù)據(jù)備份管理規(guī)定》A.8.14信息處理設(shè)施的冗余是信息處理設(shè)施的實施應(yīng)具有足夠的冗余，以滿足可用性要求。A.8.15日志是應(yīng)生成、存儲、保護和分析記錄活動、異常、故障和其他相關(guān)事件的日志。A.8.16監(jiān)控活動是應(yīng)監(jiān)控網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的異常行為，并采取適當(dāng)措施評估潛在的信息安全事件。A.8.17時鐘同步是組織使用的信息處理系統(tǒng)的時鐘應(yīng)與批準(zhǔn)的時間源同步。A.8.18特權(quán)實用程序的使用是對于可能超越系統(tǒng)和應(yīng)用控制的實用程序的使用應(yīng)予以限制并嚴(yán)格控制?！对L問控制管理程序》A.8.19在操作系統(tǒng)上安裝軟件是應(yīng)實施操作系統(tǒng)軟件安裝的安全管理程序和措施?！丁稟.8.20網(wǎng)絡(luò)安全是應(yīng)保護、管理和控制網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備，以保護系統(tǒng)和應(yīng)用程序中的信息?！队嬎銠C網(wǎng)絡(luò)管理制度》A.8.21網(wǎng)絡(luò)服務(wù)的安全是應(yīng)識別、實施和監(jiān)控網(wǎng)絡(luò)服務(wù)的安全機制、服務(wù)級別和服務(wù)要求?！队嬎銠C網(wǎng)絡(luò)管理制度》A.8.22網(wǎng)絡(luò)隔離是應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。組織應(yīng)考慮通過將大型網(wǎng)絡(luò)劃分為單獨的網(wǎng)絡(luò)域并將它們與公共網(wǎng)絡(luò)（即互聯(lián)網(wǎng)）分開來管理大型網(wǎng)絡(luò)的安全性。可以根據(jù)信任級別、關(guān)鍵性和敏感性（例如公共訪問域、桌面域、服務(wù)器域、低風(fēng)險和高風(fēng)險系統(tǒng)）以及組織單位（例如人力資源、財務(wù)、營銷）或某種組合來選擇域（例如連接到多個組織單位的服務(wù)器域）?？梢允褂梦锢砩喜煌木W(wǎng)絡(luò)或使用不同的邏輯網(wǎng)絡(luò)來完成隔離。如果允許網(wǎng)絡(luò)域之間的訪問，則應(yīng)使用網(wǎng)關(guān)（例如防火墻、過濾路由器）在外圍對其進行控制。將網(wǎng)絡(luò)劃分為域的標(biāo)準(zhǔn)，以及通過網(wǎng)關(guān)允許的訪問，應(yīng)基于對每個域的安全要求的評估。評估應(yīng)符合特定主題的訪問控制政策（見5.15）、訪問要求、處理信息的價值和分類，并考慮結(jié)合適當(dāng)網(wǎng)關(guān)技術(shù)的相對成本和性能影響。無線網(wǎng)絡(luò)的隔離應(yīng)考慮無線電覆蓋調(diào)整?！队嬎銠C網(wǎng)絡(luò)管理制度》A.8.23網(wǎng)頁過濾是應(yīng)對外部網(wǎng)站的訪問進行管理，以減少惡意內(nèi)容的暴露。組織應(yīng)降低員工訪問包含非法信息或已知包含病毒或網(wǎng)絡(luò)釣魚材料的網(wǎng)站的風(fēng)險。一種通過阻止相關(guān)網(wǎng)站的IP地址或域來實現(xiàn)此目的的技術(shù)。一些瀏覽器和反惡意軟件技術(shù)會自動執(zhí)行此操作或可以配置為執(zhí)行此操作。組織應(yīng)確定人員應(yīng)該或不應(yīng)該訪問的網(wǎng)站類型。A.8.24加密技術(shù)的使用是應(yīng)定義和實施有效的加密技術(shù)使用規(guī)則，包括密鑰管理。《密碼管理程序》A.8.25安全開發(fā)生命周期是應(yīng)制定和應(yīng)用軟件和系統(tǒng)的安全開發(fā)規(guī)則。安全開發(fā)是構(gòu)建安全服務(wù)、架構(gòu)、軟件和系統(tǒng)的必要條件。為此，應(yīng)考慮以下幾個方面：a)開發(fā)、測試和