2024年-ISO標準詳解學習課件

ISO27001標準詳解15/10/2024

信息安全管理體系背景介紹

信息作為組織的重要資產(chǎn)，需要得到妥善保護。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問世及網(wǎng)上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴重的影響。安全問題所帶來的損失遠大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：

一.直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率；

二.間接損失：恢復(fù)成本，競爭力受損，品牌、聲譽受損，負面的公眾影響，失去未來的業(yè)務(wù)機會，影響股票市值或政治聲譽；

三.法律損失：法律、法規(guī)的制裁，帶來相關(guān)聯(lián)的訴訟或追索等。

ISO27001的內(nèi)容25/10/2024

信息安全管理體系背景介紹

所以，在享用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當前企業(yè)迫切需要解決的問題。

俗話說"三分技術(shù)七分管理"。目前組織普遍采用現(xiàn)代通信、計算機、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運行、維護、開發(fā)等崗位不清，職責不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個重要的問題。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運作。

ISO27001的內(nèi)容35/10/2024

信息安全管理體系標準發(fā)展歷史

目前，在信息安全管理體系方面，ISO/IEC27001:2005--信息安全管理體系標準已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準。ISO/IEC27001是由英國標準BS7799轉(zhuǎn)換而成的。

BS7799標準于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準，適用于大、中、小組織。2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC17799：2000《信息技術(shù)-信息安全管理實施細則》，后來該標準已升版為

ISO27001的內(nèi)容45/10/2024

信息安全管理體系標準發(fā)展歷史

ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式發(fā)布，2002版標準主要在結(jié)構(gòu)上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過程管理模式，建立了與ISO9001、ISO14001和OHSAS18000等管理體系標準相同的結(jié)構(gòu)和運行模式。2005年，BS7799-2:2002正式轉(zhuǎn)換為國際標準ISO/IEC27001：2005。

ISO27001的內(nèi)容55/10/2024

信息安全管理體系要求11個控制領(lǐng)域39個控制目標

133個控制措施

ISO27001的內(nèi)容65/10/2024

必須的ISMS文件：

1、ISMS方針文件，包括ISMS的范圍；

2、風險評估程序和風險處理程序；

3、文件控制程序和記錄控制程序；

4、內(nèi)部審核程序和管理評審程序（盡管沒有強制）；

5、糾正措施和預(yù)防措施控制程序；

6、控制措施有效性的測量程序；

7、適用性聲明

ISO27001的內(nèi)容75/10/2024對外

增強顧客信心和滿意

改善對安全方針及要求的符合性

提供競爭優(yōu)勢對內(nèi)

改善總體安全

管理并減少安全事件的影響

便利持續(xù)改進

提高員工動力與參與

提高盈利能力

形成文件的ISMS的益處85/10/2024

PDCA方法

糾正和預(yù)防措施

內(nèi)部審核

ISMS管理評審

ISMS的持續(xù)改進95/10/2024PPDCA（戴明環(huán)）PDCA（Plan、Do、Check和Act）是管理學慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19世紀30年代構(gòu)想的，后來被戴明（Edwards

Deming）采納、宣傳并運用于持續(xù)改善產(chǎn)品質(zhì)量的過程當中。1、P（Plan）--計劃，確定方針和目標，確定活動計劃；2、D（Do）--執(zhí)行，實地去做，實現(xiàn)計劃中的內(nèi)容；3、C（Check）--檢查，總結(jié)執(zhí)行計劃的結(jié)果，注意效果，找出問題；4、A（Action）--行動，對總結(jié)檢查的結(jié)果進行處理，成功的經(jīng)驗加以肯定并適當推廣、標準化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問題放到下一個PDCA循環(huán)。10PPDCA特點

大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動大循環(huán)

PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個工程項目，也適應(yīng)于整個企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個人。各級部門根據(jù)企業(yè)的方針目標，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標朝著同一方向轉(zhuǎn)動。通過循環(huán)把企業(yè)上下或工程項目的各項工作有機地聯(lián)系起來，彼此協(xié)同，互相促進。以上特點。

11PPDCA特點(續(xù))

不斷前進、不斷提高

PDCA循環(huán)就像爬樓梯一樣，一個循環(huán)運轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會提高一步，然后再制定下一個循環(huán)，再運轉(zhuǎn)、再提高，不斷前進，不斷提高，是一個螺旋式上升的過程。PDCA質(zhì)量水平螺旋上升的PDCA12PPDCA和ISMS的結(jié)合13P重點章節(jié)本標準的重點章節(jié)是4－8章。前三章的內(nèi)容結(jié)構(gòu)如下所示：

引言 0.1總則 0.2過程方法 0.3與其他管理體系的兼容性 1范圍 1.1總則 1.2應(yīng)用 2規(guī)范性引用文件 3術(shù)語和定義14

0.1總則

0.2過程方法

過程方法的定義：組織內(nèi)各過程系統(tǒng)的應(yīng)用，連同這些過程 的識別和相互作用及其管理，可以被稱為“過程方法”。

過程方法鼓勵其使用者以強調(diào)以下方面的重要性：

理解業(yè)務(wù)信息安全要求以及建立信息安全方針和目標的需求在管理組織的整體業(yè)務(wù)風險中實施并運作控制監(jiān)控并評審ISMS的績效及有效性在客觀測量基礎(chǔ)上持續(xù)改進0引言155/10/2024

1.1總則

本標準規(guī)定了在組織整體業(yè)務(wù)風險的范圍內(nèi)制定、實施、運行、監(jiān)控、評審、保持和改進文件化信息安全管理系統(tǒng)的要求

1.2應(yīng)用

適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織

可以考慮刪減，但條款4、5、6、7和8是不能刪減的

1范圍165/10/2024

ISO/IEC17799：2005信息技術(shù)－安全技術(shù)－信息安全管理實施指南2引用標準175/10/2024

信息是經(jīng)過加工的數(shù)據(jù)或消息，信息是對決策者有價值的數(shù)據(jù)

資產(chǎn)

任何對組織有價值的事物

可用性

確保授權(quán)用戶可以在需要時可以獲得信息和相關(guān)資產(chǎn)

保密性

確保信息僅為被授權(quán)的用戶獲得

3術(shù)語和定義185/10/2024

完整性

確保信息及其處理方法的準確性和完整性

信息安全

保護信息的保密性、完整性、可用性；另外也包括其他屬性，如：真實性、可核查性、不可抵賴性和可靠性

信息安全事件

已識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)表明可能違反信息安全策略或防護措施失效的事件，或以前未知的與安全相關(guān)的情況

3術(shù)語和定義（續(xù)）195/10/2024

信息安全事故

信息安全事故是指一個或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運營造成嚴重影響或威脅信息安全。

信息安全管理體系（ISMS）

全面管理體系的一部分，基于業(yè)務(wù)風險方法，旨在建立、實施、運行、監(jiān)控、評審、維持和改進信息安全

適用性聲明

基于風險評估和風險處理過程的結(jié)果和結(jié)論，描述與組織的信息安全管理體系相關(guān)并適用的控制目標和控制的文件

3術(shù)語和定義（續(xù)）205/10/2024

殘余風險

實施風險處置后仍舊殘留的風險

風險接受

接受風險的決定。

風險分析

系統(tǒng)地使用信息以識別來源和估計風險。

3術(shù)語和定義（續(xù)）215/10/2024

風險評估

風險分析和風險評價的全過程。

風險評價

將估計的風險與既定的風險準則進行比較以確定重要風險的過程。

風險管理

指導(dǎo)和控制一個組織關(guān)于風險的協(xié)調(diào)活動。

風險處置

選擇和實施措施以改變風險的過程。

3術(shù)語和定義（續(xù)）225/10/2024P4信息安全管理體系4.1總要求

一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。4.2建立和管理ISMS4.2.1建立ISMS(PLAN)定義ISMS的范圍定義ISMS策略定義系統(tǒng)的風險評估途徑識別風險評估風險識別并評價風險處理措施選擇用于風險處理的控制目標和控制準備適用性聲明（SoA）取得管理層對殘留風險的承認，并授權(quán)實施和操作ISMSPDCA23P4信息安全管理體系(續(xù))4.2.2實施和運行ISMS(DO)制定風險處理計劃實施風險處理計劃實施所選的控制措施以滿足控制目標實施培訓(xùn)和意識程序管理操作管理資源（參見5.2）實施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制PDCA24P4信息安全管理體系(續(xù))4.2.3監(jiān)控和評審ISMS(CHECK)執(zhí)行監(jiān)視程序和控制對ISMS的效力進行定期復(fù)審復(fù)審殘留風險和可接受風險的水平按照預(yù)定計劃進行內(nèi)部ISMS審計定期對ISMS進行管理復(fù)審記錄活動和事件可能對ISMS的效力或執(zhí)行力度造成影響PDCA25P4信息安全管理體系(續(xù))4.2.4保持和改進ISMS(ACT)對ISMS實施可識別的改進采取恰當?shù)募m正和預(yù)防措施與所有利益伙伴溝通確保改進成果滿足其預(yù)期目標PDCA26P4信息安全管理體系(續(xù))4.3文件要求總則文件控制記錄控制ISO27001標準所要求建立的ISMS是一個文件化的體系，ISO27001認證第一階段就是進行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所以，在整個ISO27001認證項目實施過程中，逐步建立并完善文件體系非常重要。27ISMS文件

方針范圍、風險評價 適用性聲明描述過程：who,what,when,where描述任務(wù)及具體的活動如何 完成提供符合ISMS條款3.6要求的可感證據(jù)第一層次第二層次第三層次第四層次安全手冊程序作業(yè)指導(dǎo)書檢查表、表格記錄管理框架與ISO27001條款

4有關(guān)的方針285/10/2024P4信息安全管理體系(續(xù))ISO27001標準要求的ISMS

文件體系應(yīng)該是一個層次化的體系，通常是由四個層次構(gòu)成的：信息安全手冊：該手冊由信息安全委員會負責制定和修改，是對信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS是按照ISO27001標準要求建立并運行的。信息安全手冊包含各個一級文件。一級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個方面的策略方針等。一級文件至少包括（可能不限于此）：信息安全方針風險評估報告適用性聲明（SoA）二級文件：各類程序文件。至少包括（可能不限于此）：風險評估流程

風險管理流程

風險處理計劃

管理評審程序信息設(shè)備管理程序

信息安全組織建設(shè)規(guī)定

新設(shè)施管理程序

內(nèi)部審核程序第三方和外包管理規(guī)定

信息資產(chǎn)管理規(guī)定

工作環(huán)境安全管理規(guī)定

介質(zhì)處理與安全規(guī)定系統(tǒng)開發(fā)與維護程序

業(yè)務(wù)連續(xù)性管理程序

法律符合性管理規(guī)定

信息系統(tǒng)安全審計規(guī)定文件及材料控制程序

安全事件處理流程三級文件：具體的作業(yè)指導(dǎo)書。描述了某項任務(wù)具體的操作步驟和方法，是對各個程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細化。四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS

得以持續(xù)運行的有力證據(jù)，由各個相關(guān)部門自行維護。295.1管理承諾5.2資源管理

5.2.1提供資源

5.2.2培訓(xùn)、意識和能力

5管理職責305/10/2024

管理者應(yīng)通過如下所示向ISMS的建立、實施、運作、監(jiān)管、審核、維持和改進提供承諾的證據(jù)：a)建立信息安全方針；b)確保信息安全目標和計劃的建立；c)為信息安全定崗并建立崗位職責；d)向本組織宣傳達到信息安全目標和符合信息安全方針的重要性， 以及本組織的法律責任和持續(xù)改進的需求；e)為ISMS的發(fā)展、實施、運作和維持提供充足的資源；f)確定接受風險的準則和可接受的風險等級；g)確保ISMS內(nèi)部審核的實施；h)進行ISMS管理評審。5.1管理承諾315/10/2024

組織應(yīng)確定并提供以下方面所需資源：

建立、實施、運作和維持ISMS；

確保信息安全程序支持業(yè)務(wù)需要；

識別和定位法律法規(guī)要求和合同安全責任；

通過正確的應(yīng)用所有的已被實施的控制方法來維持適當?shù)陌? 全；

必要時進行評審，并對審核結(jié)果采取適當?shù)男袆樱?/p>

在有需要的地方改進ISMS的有效性

5.2.1提供資源325/10/2024

確定員工在執(zhí)行與ISMS相關(guān)的工作時所必需具備的能力；提供能力培訓(xùn)，必要時，聘請專業(yè)人士以滿足需要；評價所提供的培訓(xùn)和采取的行動的有效性；保持教育、培訓(xùn)、技能、經(jīng)驗和資格的記錄組織應(yīng)確保所有相關(guān)人員認識其信息安全活動的相關(guān)性和重要性，并知道怎樣為實現(xiàn)ISMS的目標做出貢獻

5.2.2培訓(xùn)、意識和能力335/10/2024

組織應(yīng)按策劃的時間間隔對ISMS進行內(nèi)審,以決定ISMS的控制目標、控制行為、過程和程序是否

與本標準的要求和相關(guān)法律法規(guī)相適應(yīng)

與已識別信息安全需求相適應(yīng)

有效地實施和維護

達到預(yù)期目標

文件化內(nèi)審程序、保持內(nèi)審記錄

6ISMS內(nèi)部審核345/10/2024

7.1總則

7.2評審輸入

7.3評審輸出

7ISMS的管理評審355/10/2024

定期管理評審，以確保適宜性、充分性和有效性

評審應(yīng)包括評價ISMS的改進機會和變更需要，包括安全方針和安全目標

評審結(jié)果應(yīng)清楚地寫入文件，保持評審的記錄

7.1總則365/10/2024

ISMS審核和評審的結(jié)果；相關(guān)方的反饋；在組織中被用于改進ISMS性能和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以前風險評估中沒有準確定位的薄弱點或威脅；有效性測量的結(jié)果；以往管理評審的跟蹤措施；任何可能影響ISMS的變更；改進的建議7.2評審輸入375/10/2024

ISMS有效性的改進信息

風險評估和風險處理計劃的更新

修改影響信息安全的程序，必要時，對可能影響ISMS的內(nèi)部或外部事件做出反應(yīng)，變更包括如下：

業(yè)務(wù)需求安全需求影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程法律法規(guī)環(huán)境風險等級或/和可接受風險水平

資源需求

對如何測量控制措施的有效性的改進

7.3評審輸出385/10/20248.1持續(xù)改進8.2糾正措施8.3預(yù)防措施

8ISMS的改進395/10/2024

組織應(yīng)通過信息安全方針、安全目標、審核結(jié)果、監(jiān)督事件的分析、糾正和預(yù)防措施以及管理評審來持續(xù)改進ISMS的有效性

8.1持續(xù)改進405/10/2024

建立文件化的糾正措施程序以滿足如下要求

識別ISMS的實施和/或運行的不合格

確定不合格原因

評價確保不合格不再發(fā)生的措施的需求

確定和實施所需的糾正措施

記錄所采取的措施結(jié)果

評審所采取的糾正措施

8.2糾正措施415/10/2024

建立文件化的預(yù)防措施程序以滿足如下要求：

識別潛在的不合格及其原因

評價預(yù)防不符合發(fā)生所需的措施

確定和實施所需的預(yù)防措施

記錄所采取的措施的結(jié)果

評審所采取的預(yù)防措施

8.3預(yù)防措施425/10/2024

預(yù)防

預(yù)防是主動的

意圖為防止問題發(fā)生

在過程策劃和設(shè)計階段 控制

增值

成本更低

更大的顧客信心

所有ISO標準的主要關(guān) 注點預(yù)防與探測

探測

探測是被動的

意圖為探測發(fā)生的問題

在過程輸出階段控制

不增加價值

成本很大

顧客信心有限

需要，但遠不是重點435/10/2024

管理者承諾組織資源關(guān)注預(yù)防培訓(xùn)溝通參與系統(tǒng)評審ISMS的有效實施445/10/2024ISO27001:2005控制目標和控制方法附錄：A455/10/202411大控制域信息資產(chǎn)保密性完整性可用性安全方針信息安全組織資產(chǎn)管理

人力資源安全 物理和環(huán)境安全通信與操作安全信息安全事件管理

信息系統(tǒng)的獲取 開發(fā)和維護

訪問控制業(yè)務(wù)持續(xù)性管理符合性465/10/2024

評審與評價

A.5信息安全方針方針積極預(yù)防、全面管理、控制風險、保障安全。目標：根據(jù)業(yè)務(wù)需求和相關(guān)法律、法規(guī)，為信息安全提供管理指

導(dǎo)和支持。

信息安全方針文件475/10/2024A.6信息安全組織485/10/2024A.6.1內(nèi)部組織目標：在組織內(nèi)部管理信息安全。

信息安全的管理承諾

信息安全協(xié)調(diào)

信息安全職責劃分

信息處理設(shè)備的授權(quán)過程

保密協(xié)議

與權(quán)威機構(gòu)的聯(lián)系

與專業(yè)的利益團體保持聯(lián)系

信息安全的獨立評審

495/10/2024A.6.2外部組織目標：保持被外部組織訪問、處理、通信或管 理的組織信息和信息處理設(shè)施的安全。

關(guān)于外部組織風險的識別

當與顧客接觸時強調(diào)安全

第三方合同中的安全要求

505/10/2024A.7資產(chǎn)管理515/10/2024A.7.1資產(chǎn)責任目標：實現(xiàn)并保持組織資產(chǎn)的適當保護。

資產(chǎn)的清單

資產(chǎn)所有者關(guān)系

可接受的資產(chǎn)使用

525/10/2024

分類指南

信息的標識與處理目標：確保信息受到適當程度的保護。限制高度機密秘保密密限制直到2007/1/1

保護標識

A.7.2資產(chǎn)分類與控制535/10/2024A.8人力資源安全545/10/2024目標：確保員工、合同方和第三方用戶明白他們的職責， 適合于他們被賦予的任務(wù)，減少因盜竊、欺詐或設(shè)施 誤用造成的風險。

任務(wù)和職責

人員考察

雇用條款和條件

A.8.1雇傭前555/10/2024A.8.2雇傭期間目標：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，

減少人為錯誤的風險。

管理職責信息安全意識、教育與培訓(xùn)懲戒程序

565/10/2024A.8.3雇傭的終止或變更目標：確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進行應(yīng)有合適的職責確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問權(quán)力。

終止職責

資產(chǎn)歸還

撤銷訪問權(quán)限

575/10/2024A.9物理與環(huán)境安全585/10/2024A.9.1安全區(qū)域目標：防止對組織辦公場所和信息的非授權(quán)物理 訪問、破壞和干擾。

物理安全邊界

物理進入控制

辦公室、房間和設(shè)施的安全

防范外部和環(huán)境的威脅

在安全區(qū)域工作

公共訪問和裝卸區(qū)域

595/10/2024A.9.2設(shè)備安全目標：防止資產(chǎn)的丟失、損壞或被盜，以及對組織活動的中斷。

設(shè)備的定置和保護

支持性設(shè)施

線纜安全

設(shè)備維護

場外設(shè)備的安全

設(shè)備的安全處理或再利用

資產(chǎn)遷移

605/10/2024A.10通信與操作管理615/10/2024A.10.1操作程序及職責目標：確保信息處理設(shè)施的正確和安全操作。

文件化的操作程序

變更管理

職責分離

開發(fā)、測試和運營設(shè)施的 分離

625/10/2024A.10.2第三方服務(wù)交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務(wù)符合協(xié)議要求。

服務(wù)交付

監(jiān)控和評審第三方服務(wù)

管理第三方服務(wù)的變更

635/10/2024A.10.3系統(tǒng)規(guī)劃和驗收目標：最小化系統(tǒng)失效的風險。

容量管理

系統(tǒng)驗收

645/10/2024A.10.4防范惡意代碼和移動代碼目標：保護軟件和信息的完整性。

防范惡意代碼

防范移動代碼

655/10/2024A.10.5備份目標：保持信息和信息處理設(shè)施的完整性和可用性。

信息備份665/10/2024

網(wǎng)絡(luò)控制

網(wǎng)絡(luò)服務(wù)的安全

A.10.6網(wǎng)絡(luò)安全管理目標：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護。675/10/2024A.10.7媒介處置目標：防止對資產(chǎn)的未授權(quán)泄漏、修改、移動 或損壞，及對業(yè)務(wù)活動的干擾。

可移動計算機介質(zhì)的管理

介質(zhì)處理

信息處理程序

系統(tǒng)文檔的安全

685/10/2024A.10.8信息交換目標：應(yīng)保持組織內(nèi)部或組織與外部 組織之間交換信息和軟件的安全。

信息交換策略和程序

交換協(xié)議

物理媒體傳輸

電子信息

業(yè)務(wù)信息系統(tǒng)

695/10/2024

在線交易

公共可用信息A.10.9電子商務(wù)服務(wù)

目標：確保電子商務(wù)的安全及他們的安全使用。

電子商務(wù)705/10/2024A.10.10監(jiān)控目標：檢測非授權(quán)的信息處理活動。

審計日志

監(jiān)視系統(tǒng)的使用

日志信息保護

管理員和操作者日志

故障記錄

時鐘同步

715/10/2024A.11訪問控制725/10/2024A.11.1訪問控制業(yè)務(wù)需求

目標：控制對信息的訪問。

訪問控制策略

系統(tǒng)管理員 菜單735/10/2024

用戶注冊

特權(quán)管理

用戶口令管理

用戶訪問權(quán)限的評審

A.11.2用戶訪問管理你無權(quán)訪問 本系統(tǒng)目標：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。745/10/2024A.11.3用戶責任目標：預(yù)防未授權(quán)用戶的訪問，信息和信 息處理設(shè)施的破壞或被盜。

口令使用

無人值守的用戶設(shè)備

清理桌面及清除屏幕 策略755/10/2024A.11.4網(wǎng)絡(luò)訪問控制

目標：防止對網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問。

網(wǎng)絡(luò)服務(wù)使用策略

外部連接用戶的鑒別

網(wǎng)絡(luò)設(shè)備的識別

遠程診斷和配置端口保護

網(wǎng)內(nèi)隔離

網(wǎng)絡(luò)連接控制

網(wǎng)絡(luò)路由控制

765/10/2024A.11.5操作系統(tǒng)訪問控制目標：防止對操作系統(tǒng)的非授權(quán)訪問。

安全登陸程序

用戶標識和鑒別

口令管理系統(tǒng)

系統(tǒng)實用程序的使用

終端時限

連接時間限制

775/10/2024A.11.6應(yīng)用系統(tǒng)和信息訪問控制目標：防止對應(yīng)用系統(tǒng)中信息的非授權(quán)訪問。

信息訪問限制

敏感系統(tǒng)隔離

785/10/2024A.11.7移動計算與遠程工作目標：確保在使用移動計算和遠程工作設(shè)施時信息的安全。

移動計算和通信

遠程工作

795/10/2024A.12信息系統(tǒng)的獲取、開發(fā)和維護805/10/2024A.12.2應(yīng)用系統(tǒng)的正確處理√√√目標：防止應(yīng)用系統(tǒng)信息的錯誤、丟失、非授 權(quán)的修改或誤用。

輸入數(shù)據(jù)確認

內(nèi)部處理的控制

消息完整性

輸出數(shù)據(jù)確認815/10/2024A.12.3加密控制保密信息34dfjon45?P目標：通過加密手段來保護信息的保密性、真 實性或完整性。

使用加密控制的策略

密鑰管理825/10/2024A.12.4系統(tǒng)文檔的安全目標：確保系統(tǒng)文檔的安全。

操作軟件的控制

系統(tǒng)測試數(shù)據(jù)的保護

源代碼的訪問控制

835/10/2024

變更控制程序操作系統(tǒng)變更后的