ISO 27001-2022“信息安全控制”實施和審核指南（雷澤佳編制-2024）

ISO27001-2022“信息安全控制”實施和審核指南5組織控制實施指南審核指南5.1信息安全方針控制

應規(guī)定信息安全方針（即最高層級策略）和特定主題策略，由管理層批準、發(fā)布、傳達給相關人員和相關方并得到他們的認可，并在策劃的時間間隔和發(fā)生重大變化時進行評審。ISO/IEC27002的5.1部分就信息安全方針應包含的內容提供了指導。組織方針應簡潔明了。由于不適宜將所有層級的方針合并到一份文件中，因此最高層級的信息安全方針應鏈接到更詳細的特定主題策略。實際上，最高層級策略通常應只有一頁長。它也可能是一份更一般性策略文件的一部分。最高層級信息安全方針應分發(fā)給所有員工，并傳達給所有相關的外部方，包括經常在組織場所工作的其他人員。信息安全方針應受到版本控制，并成為信息安全管理體系（ISMS）文件的一部分。特定主題的策略應根據員工的工作職能和相關的安全要求，在需要時提供給適當?shù)膯T工，并據此進行分類。信息安全方針還應根據請求提供給任何具有適當授權的人員，并且應防止篡改和意外損壞。當信息安全方針在組織外部分發(fā)時，應先進行編輯，刪除其中可能包含的任何敏感信息，然后再進行分發(fā)。最高層級信息安全方針和若干或全部低級策略可在安全策略手冊中一并提供給員工。方針評審是信息安全管理體系持續(xù)保持、評審和更新的重要組成部分，這在ISO/IEC27001的“9績效評價”中也有述及。該保持過程應發(fā)現(xiàn)影響信息安全管理體系的所有變化，并酌情更新信息安全方針和特定主題的策略，以保持其時效性，并確保它們準確反映組織如何管理其風險。安排定期評審和規(guī)定評審程序對于確保迄今為止尚未發(fā)現(xiàn)的任何變化都被發(fā)現(xiàn)并納入標準文件控制流程也是至關重要的。為信息安全方針指定一名負責人，并負責其評審，有助于確保定期進行評審。還應讓員工了解可能影響其角色的策略變化。最高層級信息安全方針無需冗長，但應明確闡述最高管理者對信息安全的承諾，并置于變更和版本控制之下，且由適當?shù)淖罡吖芾碚吆炇?。該方針至少應涵蓋以下主題：信息安全的明確定義，包括其總體范圍和目標；信息安全對組織的重要性；最高管理者對信息安全的支持聲明；風險評估、風險管理和選擇控制目標與控制的實踐框架的摘要；安全方針、原則、標準和合規(guī)要求的摘要；所有相關信息安全職責的規(guī)定（另見5.2）；對支持性文件的引用，例如更詳細的方針；如何處理不合規(guī)和例外情況。審核員應確認該方針對所有員工和所有相關外部方都易于獲取，并已傳達給所有相關人員，同時檢查他們是否知曉該方針的存在并理解其內容。該方針可能是一份獨立的聲明，也可能是規(guī)定組織如何實施信息安全方針的更廣泛文件（例如安全方針手冊）的一部分。通常，如果不是全部，那么大多數(shù)受ISMS范圍覆蓋的員工都將對信息安全承擔一些職責，審核員應仔細評審任何與此相反的聲明。審核員還應確認該方針有負責人負責其保持（另見5.2），并且在影響組織信息安全要求的任何變更（如初始風險評估的變更）后，該方針都得到了適當?shù)母?。支撐最高層級方針的特定主題策略應與其目標群體的需求明確關聯(lián)，并涵蓋為其他安全控制提供基礎所必需的所有主題和概念。審核員應確認組織已為其信息安全方針指定了負責評審的負責人，或者如果尚未指定，則確保已制定其他明確的評審職責。審核員還應確認組織已制定程序，以應對任何事件、新的漏洞或威脅、技術變更或與ISMS相關且可能使方針評審成為必要的任何其他情況。還應安排定期評審，以確保該政策仍然適用，并且在實現(xiàn)的保護方面具有成本效益。審核員應確認此類評審的時間表適合組織的總體風險情況。最后，審核員應檢查組織分發(fā)更新方針的計劃，并驗證所有員工是否都已了解這些變更。5.2信息安全角色和職責控制

應根據組織需求規(guī)定和分配信息安全角色和職責。如果員工、承包商和第三方不了解他們必須遵守的規(guī)則以及期望他們的行為，組織將處于脆弱狀態(tài)。所有員工、承包商和第三方用戶的信息安全角色和職責都應得到明確界定，并清晰地傳達給他們。這些角色和職責還應與組織的安全方針相一致。應根據信息安全方針（見5.9）明確界定并記錄保護個別資產和執(zhí)行特定安全過程的職責。這不是一項微不足道的任務，而應涵蓋每個員工。至關重要的是，應告知管理層和員工對他們的期望，尤其是在信息安全不太可能成為他們首要關注點的情況下。一般來說，所有員工的職位描述中都應注明他們負有基本的安全職責（另見6.2），并且他們應理解其安全職責是其工作職責不可或缺的一部分。那些負有重大和復雜安全職責的員工、承包商和第三方用戶，應在他們的職位描述或聘用條款和條件（見6.2）中對此進行記錄。這份文件可由員工、承包商、第三方用戶及其管理者簽署，以表明他們已接受并理解。應向所有員工、承包商和第三方用戶提供一份個人副本。當信息安全職責發(fā)生變化時，應及時通知受影響的人員，并提供適當?shù)呐嘤?，以確保他們能夠履行其改變后的職責（見6.3）。在工作過程中，信息安全職責也可能委托給他人。在這種情況下，重要的是，委托職責的人員應意識到他們仍然要承擔職責，并且確定任何委托的任務和職責是否已正確執(zhí)行是他們職責的一部分。當組織將活動外包給另一個實體時（見5.21），這一點也同樣適用。組織中的一名成員應負責管理這種關系，并確保第三方執(zhí)行其支持ISMS的活動部分。審核員應確認是否已任命對信息安全負有總體職責的人員（例如信息安全主管或首席信息安全官）。該角色可能與組織內對信息風險擁有總體所有權的角色分開。信息安全方針和/或風險應對計劃通常用于定義更高層次的職責和報告結構，但信息安全職責的明確細節(jié)通常包含在職位描述或其他等效文件中。因此，每個對信息安全負有特定角色和職責的員工都應有一份文件，定義他們的安全角色和職責，以及他們在履行職責時需要了解的其他角色（例如事件管理小組）。審核員應檢查相關員工是否都能獲得這些文件，并且員工是否充分了解他們的角色和職責。證明這一點的一種方法是檢查角色/職責文件是否已由員工和相應的管理者簽署，以表明他們已理解并接受。審核員應檢查的另一個要點是文件的日期，以及它是否包含與信息安全職能相關且正確一致的信息。檢查方針聲明和個別程序中提及的安全職責應與相關角色所持文件（如職位描述）中列出的職責完全一致。如果自個人承擔當前角色以來，安全任務和任務分配已發(fā)生變化，審核員應查找重新頒發(fā)的文件或原始文件的附錄，并再次由員工和相關經理簽署。不同組織在描述角色和職責的文件的存放位置方面可能有所不同；有些可能存放在個人處，而有些則存放在人事/人力資源部門。在后一種情況下，審核員應檢查個人是否可以方便地訪問這些信息——他們應有自己的副本，因為一個人不太可能遵守一年多前最后一次看到的文件。對于具有特定安全要求的工作（如網絡管理員），應確保職位描述或附加文件充分反映這一點——在這種情況下，涵蓋所有員工的一般性陳述是不可接受的。對于負有特殊信息安全職責的個人，還可能設定明確的信息安全目標，并定期在績效評價中記錄這些目標的進展情況。審核員應確認所有此類性質的文件都是最新的并得到了適當控制（見5.9）。對于那些新入職的員工來說，充分了解他們的職責尤為重要。應在任命時完成相關的培訓和行動（如簽署文件），以確認他們既理解又打算遵守其職責，而不是在下一次方便的評審時，以免新員工在無意中違反政策。審核員應特別注意臨時工、承包商和第三方用戶。同樣的規(guī)則也應適用于他們；不可接受例外情況。應為在ISMS范圍內工作的每個人提供充分的安全角色和職責描述。應仔細調查信息安全角色和職責的明確界定和分配情況，因為這可能是一個潛在的薄弱環(huán)節(jié)。如果沒有指定具體人員對正在進行的活動承擔主要職責，職責重疊可能會導致所有相關方都相互推諉，最終沒有人執(zhí)行這些活動或驗證它們是否已經完成。5.3職責分離控制

相互沖突的職責和相互沖突的責任領域應該被分離。職責分離是一種傳統(tǒng)的業(yè)務控制措施，用于減少人為錯誤和蓄意濫用的風險。盡管大多數(shù)員工本質上是誠實的，但也可能會有些員工不是。同樣，誠實的人也可能會被置于一種表現(xiàn)出不符合其性格特征行為的位置（例如，在脅迫之下）。如果不對人們的活動加以限制，隨著時間的推移，他們中的一部分人可能會變得越來越疏忽大意。這可能會導致誠信（包括人和信息的誠信）問題、機密信息泄露，以及資源無法用于其正當用途。確保風險評估能夠正確識別和跟蹤未分離活動的風險。在兩個或更多員工之間分配一個過程，可以在交接點進行檢查，因為一個人可以看到另一個人是否完成了他們應該做的事情。例如，在敏感領域，由不同的員工分別使用兩把鑰匙或兩個密碼，可以確保沒有人在未經第二人授權或確認其權限的情況下訪問資源。許多欺詐行為和會計舞弊都是由單個人實施的，這些人獲得了會計系統(tǒng)中過多功能的訪問權限，或者無需對其活動進行單獨授權。此類事件的一個眾所周知的案例是巴林銀行事件。1995年，單個交易員尼克·里森在被發(fā)現(xiàn)之前造成了8.27億英鎊的損失，這導致了整個企業(yè)的倒閉。隨后英格蘭銀行的報告指出，這是由“巴林集團內部控制和管理方面的嚴重問題”造成的。職責分離可防止員工單獨行動而造成此類事件。盡管串通的可能性仍然存在，但很少會有兩個人或更多人冒這樣的個人風險。在小型組織中，可能難以實施職責分離，應盡可能采用這一原則，并實施額外的控制措施，如加強監(jiān)控，以彌補任何缺乏分離的情況。如果無法實現(xiàn)職責分離，那么至少可以幫助使用一種不易篡改的方法來記錄所有活動（另見8.15），并制定程序對這些記錄進行獨立評審，以便在事后發(fā)現(xiàn)任何可疑或未經授權的活動；知道存在這些記錄可以起到威懾作用。小型組織可能難以實施這一職責分離控制措施。這可能是由于資源缺乏。至少對于關鍵角色，應制定一些規(guī)定——如果其他措施都不可能實施，則應對關鍵活動進行記錄，并由獨立個人定期評審這些日志，以檢查是否存在不允許的特定活動序列（另見8.15）。審核員應要求查看這些日志和評審過程的證據。還應表明，其活動正在被記錄的個人無法更改或刪除這些日志，例如，通過將日志以不可更改的格式存儲，然后由日志主題之外的其他人按順序編號，并作為內部審核活動的一部分檢查是否有缺失條目（見9.2）。對于大型組織，這一控制措施應在其程序中得到充分確立和適當證實。在應考慮用于獨立操作、安全管理和審核的程序中，安全管理和審核可能是最關鍵的，并應首先予以考慮。審核員應評審在處理階段之間或發(fā)布之前對數(shù)據進行獨立驗證的情況。作為其風險評估的一部分，組織應考慮關鍵流程，以及是否由某一個人負責執(zhí)行過多的制衡措施。評審關鍵任務的工作安排：病假或假期是如何安排的？這是否會影響獨立性？組織可能需要強制執(zhí)行最低限度的年度假期，以實現(xiàn)有效的職責分離。這種方法在一些金融行業(yè)的組織中是標準的。5.4管理層職責控制

管理層應要求所有人員根據組織的既定信息安全方針、特定主題策略和程序來應用信息安全。所有安全計劃成功的關鍵因素之一是管理層的支持。管理層通過意識到他們有責任確保他們職責范圍內的每個人（包括他們自己）都按照既定的方針和程序行事，并支持/應用已實施的控制措施，從而能夠提供這種支持。ISO/IEC27002中5.4的實施指導中列出了典型的管理職責。除了通常的管理職能外，這些職責的一個重要部分是向員工、承包商和第三方用戶傳達這樣一個信息：他們的信息安全活動得到了認可、重視，并且與其工作職能的其他要素同等重要。另一個關鍵方面是執(zhí)行控制職能，并在日常工作中驗證對控制措施、策略和程序的遵守情況。這可能不需要復雜的監(jiān)管活動——如果管理人員意識到控制措施、策略和程序的正確應用，他們將很容易發(fā)現(xiàn)他們職責范圍內的人員是否偏離了這些要求。審核員應首先檢查管理人員是否意識到他們的職責，并理解他們有責任確保員工、承包商和第三方用戶遵守控制措施、策略和程序。下一步是尋找管理人員認真對待這一職責的證據——可能有幾個跡象，如在會議常設議程中提到信息安全，或當被問及管理層關于信息安全的信息時員工的反應。以前的意識評估記錄（如釣魚測試）也是令人鼓舞的指標。另一個高價值的指標是員工是否覺得管理層在以身作則。擔任高級職務的個人是否遵守適用于一般員工的同樣規(guī)則（例如，在離開辦公桌時鎖定他們的電腦），還是他們似乎有特殊豁免權可以忽略這些規(guī)則？詢問管理層為那些被發(fā)現(xiàn)不遵守控制措施、策略或程序的員工、承包商或第三方用戶制定的補救培訓計劃，以及啟動這些計劃的原因，也是有幫助的。另一個話題是管理層如何激勵員工，是否有獎勵良好建議的計劃，或其他積極鼓勵員工支持信息安全的方式。5.5與職能機構的聯(lián)系控制

組織應當與相關職能機構建立并保持聯(lián)系。組織應制定程序，以確定和建立與外部監(jiān)管機構、服務提供商以及其他對信息安全至關重要的組織之間的所有適當聯(lián)絡關系。此外，應定義并批準必要的審批、保密協(xié)議、報告程序和格式，以確保盡可能多地交換相關信息。設立聯(lián)絡官職能可能有所幫助，該聯(lián)絡官負責與外部機構進行聯(lián)系和聯(lián)絡。此人可以從當局接收可能有助于防范某些事件的信息，并為新的立法或法規(guī)做好準備。在發(fā)生事件的情況下，他們還可以管理與當局的溝通（見5.24和5.26）。該控制措施要求與外部監(jiān)管機構、服務提供商以及其他可能在預防安全事件或減輕其影響方面發(fā)揮關鍵作用的實體建立適當?shù)年P系。因此，審核員應尋找業(yè)務連續(xù)性計劃、應急計劃和基礎設施支持文件中存在必要聯(lián)系的證據。應定期檢查和更新聯(lián)系信息，以確保其準確性。對于每個聯(lián)系人，應明確聯(lián)系的目的。根據具體情況，審核員可以要求相關聯(lián)絡人進行聯(lián)系，以表明已建立溝通鏈，并檢查聯(lián)系信息是否準確。審核員還可以檢查聯(lián)系人是否由事件驅動（例如，在發(fā)生事件后）或由時間驅動（例如，每季度）。根據聯(lián)系的目的，這兩種關系都可能是適當?shù)模绻?lián)系人確實在使用中，聯(lián)絡人應非常清楚如何以及由誰發(fā)起。審核員還應尋找證據，證明法律、行業(yè)、運營和技術要求正在得到適當?shù)谋O(jiān)控，以確保符合性。審核員應確保組織能夠證實其了解并記錄了所有適用的法律要求，并且為符合這些要求而進行的所有聯(lián)系都已到位且是最新的。審核員還應評審協(xié)議和審批，以確保向相關當局提供的信息是合適的、及時的和經過授權的。5.6與特定相關方的聯(lián)系控制

組織應與特定相關方或其他專業(yè)安全論壇、專業(yè)協(xié)會建立并保持聯(lián)系。通過與來自不同組織和部門的信息安全專業(yè)人士交流，可以獲得很多好的想法，他們中的許多人在這一領域擁有豐富而寶貴的經驗。同時，加入專業(yè)小組、標準委員會等也是獲取好想法的途徑。還有一些封閉的論壇，專門服務于特定的社區(qū)或部門（例如公共部門）；這些論壇可能要求通過認可或評審程序才能獲得成員資格。盡管一些機構要求支付會員費，但通常在決定之前，他們會讓你先體驗他們所提供的服務。其他機構雖然沒有會員，但它們是信息的有用來源。還有一些個人通過提供有趣、準確和及時的信息而聲名鵲起。關注他們的活動，是了解新威脅、機會和趨勢的絕佳方式。安全信息的交流應受到控制，以確保機密信息不會傳遞給未經授權的人員。一些機構在嚴格的保密基礎上運作，以進行機密討論。通過記錄關于最佳實踐的討論，以及分享有關威脅和管理威脅的方法的知識，可以提供參與專業(yè)興趣小組的適當證據。一個大型組織可以參與其自身環(huán)境之外的安全專家小組、標準委員會或類似活動。小型組織可能無法支持廣泛的參與，但參加適當?shù)拿赓M會議和研討會可以在一定程度上解決這一問題。無論在哪種情況下，審核員都應檢查是否制定了程序，以在組織內部以最有利的方式共享和分發(fā)從此類參與中獲得的信息。這些程序還應確保未經適當授權，不得交換任何機密信息。5.7威脅情報控制

應收集并分析與信息安全威脅相關的信息，以產生威脅情報。威脅情報可以通過在線研究、與同行聯(lián)絡以及采購專業(yè)服務來獲得。在所有情況下，這項工作都涉及調查針對特定行業(yè)、地緣政治區(qū)域或具體組織的威脅，將這些信息置于組織的背景下以得出可操作的見解，并保持這些信息的準確性和完整性（參見ISO/IEC27001，4.1）。至關重要的是，要保持對（例如）在線搜索中共享或提供給人工智能工具的信息的警覺，因為這些信息可能會泄露組織的活動、風險狀況和防護措施給潛在的攻擊者。這些元素隨后可能會被攻擊者拼湊起來，用于改進他們的戰(zhàn)術。將威脅情報與風險管理活動聯(lián)系起來（參見ISO/IEC27001，6.1.1）能夠對那些尚未實現(xiàn)但很可能發(fā)生的風險做出決策，其可靠性要高于僅基于組織數(shù)據做出的預測。為了確定組織是否正在有效獲取和使用威脅信息來創(chuàng)建威脅情報，審核員應采訪負責確定風險和選擇控制措施的工作人員，以了解他們從哪里獲取外部證據來支持他們的決策。信息安全簡報和其他向管理層提供的更新也可能包括威脅情報，甚至可能包括一些地緣政治實體所發(fā)布的威脅級別，以表示國家風險水平。在所有情況下，關于威脅的信息都應置于組織的背景下（“這對我們意味著什么？”），并由組織的管理層在設計和運行與信息安全相關的活動時進行參考。還應有一個可證明的過程來支持情報的重復生產，以便對其進行更新并保持盡可能準確。關于如何驗證或確認情報的支持過程/常設指導是這一領域有效性的良好標志，因為即使是由可信來源提供的威脅情報，其準確性也可能存在很大差異。最后，組織應向任何負責直接在線威脅情報研究的人員提供適當?shù)闹笇Ш团嘤?，以遵守適用的法律和法規(guī)要求，保護組織，并保護進行研究的個人。5.8項目管理中的信息安全控制

項目管理中應納入信息安全。項目中的信息安全：項目是組織工作的主要組成部分。在項目執(zhí)行過程中，如果信息安全控制不當，可能會使組織面臨無法控制的業(yè)務風險，從而導致信息安全事件。同樣，項目旨在交付的產品和服務也必須具有適當?shù)陌踩?。如果交付物雖然滿足了客戶的要求，但同時也為環(huán)境帶來了安全隱患，那么它就不適合其用途。通過將信息安全適當?shù)丶傻巾椖拷桓吨校梢怨芾磉@種結果的可能性。信息安全要求的識別：應從信息系統(tǒng)獲取或開發(fā)的最初階段就認識到信息安全要求，并應與功能要求一起指定所有相關的信息安全要求。信息系統(tǒng)的開發(fā)或獲取應遵循一個明確且記錄良好的程序，以確保所有已識別的安全要求都得到適當處理。需求分析應參考風險評估的結果，并應進行測試以驗證所開發(fā)或購買的信息系統(tǒng)是否滿足已識別的要求。ISO/IEC27002,5.8包含了一個有用的具體主題列表，以供考慮。風險評估：為了確保項目在其生命周期內保持安全性，并產生安全的交付物，應在項目開始時進行兩種類型的風險評估。一種類型的風險評估應考慮與項目活動本身相關的風險，另一種應考慮與其交付物相關的風險。它們都應產生安全控制措施，這些措施應合并到一個列表中，并記錄為項目要求的一部分。然后，應根據控制措施旨在應對的風險對這些要求進行優(yōu)先排序，并作為標準項目活動的一部分實施。區(qū)分項目風險與信息安全風險：應注意區(qū)分“項目風險”和信息安全風險的概念。項目可能有一個風險登記冊，列出了項目交付的風險，但這可能不是記錄和管理信息安全風險的合適工具?？紤]建立一個信息安全風險登記冊，該登記冊與組織的ISMS集成，并從項目風險登記冊中明確引用。這樣，信息安全風險登記冊就不太可能受到可能壓倒局部項目要求的驅動因素的影響。例如，項目可能會選擇刪除操作要求以提高其按時交付的機會。對信息安全控制的擬議更改應在適當?shù)慕M織層面提出，以便對組織的風險進行適當管理。項目變更中的信息安全：由于項目在其生命周期內不可避免地會發(fā)生變化，因此應作為任何項目變更過程的一部分重新評估信息安全，以確保風險緩解措施仍然合適。還應在項目的所有關鍵階段考慮信息安全。交付物的過渡階段：應非常仔細地管理交付物的過渡階段，以確保項目安全要求在從項目中幸存下來的交付物中得到適當實現(xiàn)。檢查項目方法論：審核員應首先檢查所使用的項目方法論的文件，并檢查其是否包含識別信息安全目標、風險（與項目風險不同）和控制措施的要求。方法論還應在整個項目生命周期中包含檢查點，以確保定期解決信息安全問題。項目中的任何更改都應自動啟動對現(xiàn)有信息安全風險評估工作的評審，以確定是否需要對其進行修訂。應對現(xiàn)有控制措施進行適當更改，添加新控制措施，或刪除控制措施。應有一項聲明，大意是信息安全的責任必須得到定義，并與特定角色相關聯(lián)。文件記錄：對于每個項目應記錄什么，審核員應尋求證據表明有信息安全目標和每個項目的信息風險評估的記錄。他們還應獲得證據表明信息安全風險可以追溯到特定的控制措施。應定義項目每個階段的信息安全責任，并應將角色與這些責任相關聯(lián)。信息系統(tǒng)開發(fā)與獲取中的信息安全：組織應能夠向審核員證明，現(xiàn)有和新信息系統(tǒng)的信息安全要求已被識別，并在應用程序、新系統(tǒng)、系統(tǒng)增強和升級的開發(fā)和獲取中得到了考慮。這分為兩類：一類是為組織專門開發(fā)或由其開發(fā)的定制應用程序軟件；另一類是組織獲取用于其使用的商用現(xiàn)貨（COTS）軟件。（請注意，不安全的外加組件或自定義可能會破壞整個應用程序。）要求分析與跟蹤：組織對要求的分析應確定新系統(tǒng)的適當信息安全要求（例如，在給定應用程序內保持完整性），并應將這些要求納入組織的要求文件中。對于所有開發(fā)和購買的信息系統(tǒng)來說，這一過程的發(fā)生至關重要。在確認了這一點后，審核員應檢查在系統(tǒng)開發(fā)或獲取、測試、配置和安裝過程中如何跟蹤、監(jiān)控和評審這些要求。審核員應確認在必要時對信息系統(tǒng)進行測試，以檢查是否滿足要求。應分析任何已識別的缺陷，在適當?shù)墓芾韺用嫣岢?，并令人滿意地解決。5.9信息和其他相關資產的清單控制

應開發(fā)和維護信息和其他相關資產（包括所有者）的清單。會計準則要求編制實物資產清單。因此，以及出于信息安全的原因，所有組織都應編制這樣的清單。出于信息安全的目的，組織所持有的信息資產也應包含在清單中。這可以在同一系統(tǒng)或單獨的系統(tǒng)中進行，只要它們能適當?shù)叵嗷リP聯(lián)（例如，能夠識別哪些服務器存儲了哪些信息）。如果知道組織擁有哪些資產，就可以對其應用適當?shù)谋Ｗo，因為這樣就可以評估其信息安全、業(yè)務和法律要求。資產清單的詳細程度應考慮組織的要求，以及支持有效風險評估所必需的詳細程度。信息可以按業(yè)務目的進行分組，例如，作為數(shù)據庫或文件名的列表。關于資產責任和保護的最重要概念可能是指定資產所有權。有必要為所有主要資產以及附有特殊要求的資產（如個人數(shù)據）任命資產所有者。該資產所有者負責資產本身及其保護。這包括：確定資產的分類（見5.12）；通過提供有關資產的商業(yè)價值及其對組織業(yè)務活動的重要性的信息來支持風險評估；確保在日常使用中對資產進行適當保護；以及保持安全分類和控制安排的最新狀態(tài)。有關資產所有者活動的更多信息，請參見ISO/IEC27002,5.9。資產所有者可能并不負責日常與資產相關的工作。在這種情況下，最好由資產所有者指定一個保管人，該保管人負責與資產相關的工作并代表資產所有者照管資產。然后，該保管人在日常業(yè)務中負責保護資產。重要的是要注意，所有者最終仍需承擔責任，并需要核實保管人是否正在認真履行職責。由于大多數(shù)組織擁有許多資產或復雜的系統(tǒng)，因此將多個資產組合在一起可能會有所幫助，例如，將參與特定過程或提供特定服務的所有資產組合在一起。然后，該過程或服務的所有者可能負責該過程或服務中涉及的所有資產，以及它們的正常運行和保護。重要的是要注意，一些“資產”可能需要由組織保留，并且可能構成更多的負債而非資產。例如，需要保留的身份證明文件，以證明員工有權在該國家工作。這些資產不能用于為組織創(chuàng)造收入或帶來積極價值。它們應與其他資產一樣對待，特別注意其使用壽命結束時，此時應及時處置。對于每個信息和相關資產的實例，清單應包含有關其業(yè)務價值和分類（另見5.12）的信息，以及其備份和災難恢復安排。實物資產清單還應包含設備的完整身份信息，包括所有者、位置、制造商、型號、通用類型（例如打印機、PC）、序列號、購置日期和庫存標簽。還需要記錄實物和虛擬處置的情況，包括何時以及如何/由誰進行處置，并且每當處置一個項目時，都應更新資產清單。應將組織庫存標簽（徽標、庫存編號）附加到清單中出現(xiàn)的所有項目上。組織應確保所有文件（包括系統(tǒng)文件）、合同、程序和業(yè)務恢復計劃都包含在清單中；并指明所有者和具有運營責任的人員。應以技術格式（例如，在CD上）記錄信息，同時也應以非技術格式（例如，在紙上）記錄信息。資產清單中還應列出所有軟件產品，包括它們的使用地點以及如何獲得參考副本（在相關情況下），以及許可信息。應制定充分的程序來保持清單的準確性，包括將清單更新作為變更管理和項目活動的一部分。應至少每年進行一次“庫存檢查”。審核員應確認組織是否維護了完整且準確的資產清單（或相互關聯(lián)的實物資產和信息清單）。這應包括所有需要保護的主要信息（無論以何種形式，包括軟件）、實物資產、服務和流程。評估將首先需要確定資產是否已得到適當?shù)淖R別和分類（另見5.12）。審核員應評估清單的充分性。它是否足夠完整和準確？它是否包含所有必要的細節(jié)，以及何時和如何更新？是否記錄了處置情況，何時以及處置給了誰？審核員應確認是否已為所有重要資產分配了所有者，并且每個所有者都了解其資產所有權所帶來的任務和責任。評審資產分類和風險評估的記錄可能有助于驗證資產所有者是否已適當參與了這些活動。審核員還應檢查將日常任務或資產的日常使用和保護委托給保管人的程序，以及在委托的情況下，所有者如何檢查所有任務是否正確完成。由于資產清單只有在最新時才有用，因此審核員應檢查更新資產清單的程序，以及新資產的引入和資產的處置如何反映在資產清單中。應檢查項目管理和變更管理流程，以確定它們是否包含在發(fā)生影響資產清單的變更時更新資產清單的步驟。審核員應檢查是否已分配角色負責資產清單及其開發(fā)和維護。他們還應檢查如何保護清單。如果清單是基于計算機的，那么訪問控制和備份情況如何？如果是紙質的，那么它保存在哪里，如何防止丟失，以及更換記錄時會發(fā)生什么？是否保留了舊副本？如果是，保留多久，保存在哪里？資產清單應確定：項目、格式以及適用的唯一序列號、日期等；其業(yè)務價值和安全分類；可能吸引要求的任何特殊特征（例如，如果涉及個人數(shù)據）；所有者；位置；媒體（如果是信息）；許可證（軟件）；保留期限/使用壽命；有關備份和災難恢復的信息；以及輸入和/或審核檢查的日期。5.10信息和其他相關資產的可接受的使用控制

應確定、記錄和實施處理信息和其他相關資產的可接受的使用規(guī)則和程序。每個組織都易受其員工和其他人員濫用資產的影響，即以不同于其授權業(yè)務目的的方式使用它們。這可能是無意或故意的。無論哪種情況，濫用都可能影響數(shù)據和系統(tǒng)的完整性，威脅可用性，并暴露機密信息。此外，信息處理系統(tǒng)可能被濫用來攻擊其他組織。一個典型的例子是互聯(lián)網。它可用于工作時間的隨意瀏覽（這可能不是授權的業(yè)務用途），或從組織的網絡對其他網絡發(fā)起攻擊——組織可能因此要承擔責任。在某些情況下，濫用計算機可能構成刑事犯罪，例如在英國的《1990年計算機濫用法》中就有規(guī)定。許多其他國家也有類似的立法。應檢查適用的立法細節(jié)，以便為控制選擇提供依據。為確保資產僅用于其預定的業(yè)務目的，組織應識別、制定和實施描述其可接受使用的規(guī)則、程序和指南。這些規(guī)則可能因所考慮的資產而有很大差異。在制定可接受使用的規(guī)則時，預定的業(yè)務用途、過去的事件和資產所有者可提供寶貴的意見。任何不同的使用都應被視為不當使用，所有員工都應意識到這一點。這些程序應與所處理信息的敏感度級別相適應，并與所應用的分類相一致。同樣重要的是，這些程序應涵蓋所有敏感信息，無論其形式如何。使用資產的所有人都必須遵守這些規(guī)則，這不僅包括組織的員工，還包括任何承包商、第三方用戶或使用資產的其他人。審核師應確認可接受使用規(guī)則是否明確描述了資產的預定用途以及此預定用途的限制。在信息分類被使用的情況下（見5.12），審核師應確認，對于每個分類標簽，都有支持該分類信息的程序，例如安全處理、存儲和傳輸?shù)某绦颉＝M織應實施控制措施以檢測濫用行為。懲戒程序應處理在發(fā)現(xiàn)故意濫用（另見6.4）和非故意不合規(guī)行為時采取的行動。調查其他、外圍或相關設備（如打印機、復印機等）的使用情況。這方面的政策是什么？是否在登錄時顯示簡潔且易讀的警告信息，使用戶意識到不允許未經授權使用信息處理設施？審核師還應確認資產用戶是否了解這些規(guī)則。證據可以是，在獲得資產訪問權限之前，用戶已簽署這些規(guī)則。與用戶交談也很重要，以了解他們是否仍然意識到什么構成不當使用。審核師應評審事故報告，以確定是否存在未遵守或未按預期運作的可接受使用規(guī)則的情況。報告還應導致對規(guī)則或傳播方法的更改，視情況而定。如果組織沒有制定關于資產可接受使用的規(guī)則，那么應有不這樣做的正當理由，并且這應得到風險評估結果的支持。同樣，查看事故報告以確定制定可接受使用的規(guī)則將有助于哪些領域可能是有幫助的。審核師應確認已制定程序來保護敏感信息（無論其形式如何），且符合組織使用的分類方案。是否已記錄？誰負責這些信息？誰授權其發(fā)布？誰接收了這些信息，誰被授權訪問？是否應用了清晰的標簽？是否僅在有必要知情的情況下才分發(fā)敏感信息？當信息由員工不認識的人員（如快遞員）處理時，會進行哪些額外的身份驗證？是否實施了訪問限制，如果是，實施了哪些？檢查與外部方的協(xié)議是否支持要求內部員工遵循的分類和處理程序，并且他們是否為分類提供了適當?shù)慕忉?。還需要進行保密或保密協(xié)議的檢查（見6.6）。觀察組織內人員如何處理敏感、關鍵和可識別個人身份的信息，以及規(guī)避或忽視這些程序的難易程度。5.11資產歸還控制

員工和其他相關方在變更或終止其聘用關系、合同或協(xié)議時，應歸還其擁有的所有組織資產。組織應制定程序，確保在員工、承包商和第三方用戶的聘用關系終止或變更時（另見6.5），他們所占有的所有資產都被歸還。這一點非常重要，因為它涵蓋了所有資產：不僅包括設備和軟件，還包括組織的所有文件以及存儲在媒體上的任何信息。根據組織、其業(yè)務以及特定的工作職能，還可能涉及其他資產，例如信用卡、門禁卡、手冊和移動設備等。所有可能存儲在非組織資產上的組織信息，如私人設備、第三方組織或承包商的設備，也應被歸還，并從這些設備上安全地刪除。資產歸還應作為合同的一部分。審核員應評審組織的程序，以確保資產的歸還和知識的轉移。這些程序應解決以下幾個問題。它們應涵蓋所有資產，從硬件和設備到任何形式的信息（電子、紙質、存儲媒體、幻燈片、膠片等），還應包括用于訪問控制的鑰匙或卡片。它們應涵蓋存儲在非組織設備或媒體上的任何信息的轉移，以及從設備或媒體上安全刪除這些信息。它們應適用于員工、承包商和第三方用戶。審核員還應檢查這些程序是否不僅適用于離職情況，還適用于職位變動且資產在新職位中不再需要的情況。對于每個離職或調動的員工、承包商和第三方用戶，都應有記錄來驗證資產的歸還。5.12信息分類控制

應根據組織的信息安全需求，基于機密性、完整性、可用性和相關方的要求，對信息進行分類。對保密性、完整性和可用性有不同要求的信息將需要不同的處理方式。為了簡化這一過程，通常會將具有相似保護要求的信息進行分組。將特定信息分配給特定組的過程稱為“分類”，而它所屬的組則稱為其“分類”。例如，一份醫(yī)療記錄可以被分類為“高度機密”。政府以及大型和小型組織都在使用不同的分類方案，并且相同的分類術語（例如“公司機密”）在不同的組織中可能有不同的含義——有時甚至在單個組織內也是如此，比如當客戶要求其數(shù)據使用自己的方案進行分類時。信息分類沒有國際標準。通常不會對除信息以外的任何內容進行分類，但可以指定另一種資產（例如服務器）被允許處理的信息分類。應首先明確決定是否所有信息都必須進行主動分類，或者分類行為是可選的，以及這意味著什么（例如，除非另有說明，否則所有信息自動具有“公司內部”分類）。分類方案應以書面形式存在，并可供所有有權應用它的人員使用，即所有創(chuàng)建文檔和數(shù)據的人員。它還應可供那些需要了解將分類應用于信息時的含義的人員使用。分類方案應易于理解，并且能夠清晰地區(qū)分不同級別，以支持正確分配分類級別。級別過多會導致不一致，因為工作人員無法區(qū)分定義。級別過少，工作人員則會發(fā)現(xiàn)他們需要過度或不足地分類。應指定每個分類的處理、存儲和處置要求，并制定相關程序。應考慮到需要定期評審已分配的分類，并在敏感性發(fā)生變化時/如果敏感性發(fā)生變化，更改分類級別。提供更改和到期日期以記錄這些。資產所有者應負責對其資產進行分類，確保遵守處理規(guī)則，并在適當情況下更新分類（另見5.37）。審核員應確認組織已經開發(fā)或選擇并實施了一個充分且一致的分類方案，該方案得到了培訓和處理規(guī)則的支持。為了適當保護資產，應根據其對保密性、完整性和可用性的個別要求，對其進行某種形式的分級。分配給資產的分類以及相關的處理要求，應考慮業(yè)務交換和共享信息的需求，以及資產的安全要求。分類方案應應用于信息安全管理系統(tǒng)范圍內考慮的所有資產。沒有明確的分類，資產可能無法得到妥善保護。該方案不應過于復雜，并且應得到與其他組織的安排的支持，以確保理解不同分類方案之間的相互作用。程序是否考慮了如何檢查正確的分類？是否存在評審和升級或降級分類級別的程序？審核員應確認分類和處理方案易于訪問，所有員工都理解，并且會定期對其進行評審。資產所有者應負責分配其分類，應用/監(jiān)督適當?shù)奶幚?，并在發(fā)生任何變化時更新分類。5.13信息標簽控制

應當根據組織采用的信息分類方案，制定并實施一套適當?shù)男畔撕灣绦?。所有信息資產都應（視情況而定）以適合其形式的方式進行顯著標記，以確保它們可以與使用、存儲和傳輸（見5.10）中必要的處理指導相關聯(lián)。所有印刷和裝訂的文檔都應包含適當?shù)姆诸悩撕灒ǔ恰拔捶诸悺痹诮M織中是一個有意義的概念；見5.12），活頁文檔應在每一頁上都進行標記。以在線/數(shù)字形式保存的信息也應進行分類，盡管有時對其進行標記具有挑戰(zhàn)性；標記可能發(fā)生在文檔級別，或更高級別（文件夾/目錄），甚至通過相關策略在卷級別進行（例如，“云3環(huán)境中的所有數(shù)據均被分類為官方”）。一些安全系統(tǒng)可能還包括安全標記功能。處理要求應得到適當技術控制的支持，如用戶訪問管理（見5.15）。在任何情況下，組織都應確保從給定位置傳輸（例如，通過電子郵件）或形式已更改（例如，打印件）的任何信息都保留其標簽。一個可能顯著影響此建議的考慮因素是，當不宜使某些信息顯得最有價值或最敏感時，因為這本質上為攻擊者提供了購物清單。在這種情況下，只有需要了解最敏感信息的角色才應知曉其存在，并且標記可能是隱蔽的。當然，這可能導致信息落入錯誤之手后無意中被誤用的風險，因此，控制此類信息的分發(fā)以及對處理此類信息的角色進行全面培訓至關重要。在解釋來自其他組織的文檔上的分類標簽時，應謹慎行事，因為不同的組織可能對相同（或聽起來相似）的標簽有不同的定義。同樣，請確保發(fā)送到其他組織時，您的分類將得到適當?shù)淖鹬?。信息在一段時間后可能不再敏感，例如，當其已被公開時。在這種情況下，請?zhí)峁┑狡谌掌?，以避免不必要的保護費用。審核師應確認組織具有與分類方案兼容的分類信息標記程序。審核師還應確認標記是否適當?shù)卮砹藢嶓w（例如，信息處理系統(tǒng)或數(shù)據庫）中最敏感的項目。標記物理項目（如文檔、磁帶、硬件等）很簡單，但信息系統(tǒng)中持有的信息以及電子傳輸?shù)臅拍?？審核師應確認組織為電子格式標記所選的解決方案已經過充分性檢查。這是否清晰易懂？它是否向信息接收者傳達了正確的標簽，并隨后導致對該信息的足夠安全的訪問、使用或存儲？物理資產的標簽是否適當？標簽可能難以在顯眼的位置找到；粘膠標簽可能會脫落，導致物品未標記且未受保護。審核師還應驗證當信息改變形式時（例如，打印出來時），標簽是否仍與信息一起保留。5.14信息傳遞控制

組織內部以及組織與其他方之間所有類型的信息傳遞設施都應當有信息傳遞的規(guī)則、程序或協(xié)議。無論以何種形式，信息的交換都存在許多泄露風險。組織應制定信息交換政策并支持實施程序，描述交換信息時應遵循的規(guī)則，這些規(guī)則和程序的開發(fā)應支持預期和可能使用的方法。在制定此政策和支持程序時，應考慮ISO/IEC27002,5.14中列出的內容。應向所有員工傳達此政策，并使用現(xiàn)實生活中的例子進行意識培訓，以說明所涉及的風險。所有人員還應意識到以下可能性：信息發(fā)送到錯誤地址（物理或虛擬）而被泄露；信息在未受保護的情況下發(fā)送而被未經授權的人員攔截；紙質形式的信息在打印機或傳真機中無人看管時被泄露；員工在公共場所（如火車）使用手機時被竊聽；盡管撥打了正確的號碼，但錯誤的人取走了傳真或聽到了錄音電話的信息。電子郵件和其他形式的電子消息傳遞復雜且具有多個級別，攻擊者可能在這些級別上破壞正在交換的信息。因此，應仔細選擇保護措施來保護消息免受故意或意外的丟失、損壞/篡改和暴露。內部消息可能會無意中發(fā)送給外部方，可能會隱含合同，消息和附件可能會在超過其授權保留期的備份中保留。附加到電子消息的標準免責聲明可能有所幫助，但其作為保護的法律地位尚不清楚。與第三方的協(xié)議或合同應明確規(guī)定組織和第三方在交換敏感信息時應適用的控制措施。協(xié)議應在組織內的適當級別獲得授權并定期評審。實踐中的變更應始終受到控制，并在必要時反映在協(xié)議中。審核員應檢查組織是否有信息交換策略和支持程序，以及這些政策和支持程序是否解決了組織使用的不同類型的交換。審核員還應通過評審程序或技術手段檢查是否不允許違反政策的信息交換。政策和支持程序應涵蓋所有形式的通信設施，包括網絡、移動計算設備、電話和移動電話、傳真機和錄音電話。審核員應根據ISO/IEC27002,5.14中描述的內容評審程序。審核員應確認員工是否了解這些程序，例如，通過詢問他們使用電子郵件、短信或消息傳遞應用程序的情況，以了解他們是否了解所涉及的風險以及他們是否應該以及如何使用這些服務。審核員應：檢查哪些第三方組織參與了敏感信息的傳輸；確認存在必要的合同文件；驗證這些文件是否解決了傳輸中敏感和機密信息的正確處理問題。審核員應檢查組織在與其供方、客戶和合作伙伴通信時所調查的控制措施，并調查組織如何處理第三方保護要求和控制措施與組織認為適當?shù)拇胧┎煌那闆r。審核員還應驗證交換敏感信息或軟件的組織之間是否存在協(xié)議。審核員應檢查組織對電子消息傳遞的安全安排，詢問以下問題：如何控制包含在電子消息中并附加到電子消息的信息？如何驗證傳入數(shù)據的來源和完整性？如果適用，應用了哪些加密方法（另見8.24）？從電子消息中接收的信息在使用前是否檢查過惡意軟件？允許哪些服務用于哪種類型的數(shù)據？如果允許使用外部消息傳遞平臺，審核員應檢查組織的安全安排。對特定消息傳遞平臺的訪問可能僅限于某些角色或用例。如果是這樣，如何監(jiān)控和執(zhí)行？5.15訪問控制控制

應根據業(yè)務和信息安全要求建立和實施控制規(guī)則，控制對信息和其他相關資產的物理和邏輯訪問。訪問控制是保護信息處理系統(tǒng)上的信息或服務的基本前提，也是保護包含各種形式信息的物理場所的必要措施。組織的業(yè)務信息以及其他業(yè)務資產（如聲譽）均面臨風險。用戶訪問權限的分配應由業(yè)務需求驅動，由資產所有者批準并定期評審，并在訪問控制策略中明確規(guī)定。對于分配給角色的活動不需要的任何訪問都應被拒絕。這種方法稱為“最小權限”原則。組織應制定、記錄并實施一項訪問控制策略，該策略根據業(yè)務需求定義用戶訪問權限，同時考慮所訪問的信息、服務、網絡和/或應用程序的分類和處理要求（見5.12），以及任何法律或法規(guī)要求。為特定角色制定標準用戶訪問配置文件是管理眾多用戶訪問（這稱為“基于角色的訪問”）的一種有效方式。重要的是要定期評審訪問控制策略，并刪除不再必要的任何訪問權限。請注意，也應考慮業(yè)務信息存儲庫，如日歷系統(tǒng)。良好的變更控制和管理對于保持訪問權限的更新至關重要，并且需要定期進行監(jiān)控以提供保證。審核人員應確認訪問控制權限和規(guī)則在訪問控制策略中有明確定義，并且它們與信息的分類和處理要求一致。應制定并實施適合此策略的執(zhí)行機制，例如系統(tǒng)和網絡訪問控制。對資產的訪問權限應可追溯至風險評估，并由正確的資產所有者授權（可能通過權利分組，而非單個資產）。對敏感信息（另見5.12）或信息處理設施的任何訪問都應基于“需要知道”和“需要使用”的原則，即由業(yè)務需求證明其合理性并且是完成當前任務所必需的。應盡可能實施基于角色的訪問。訪問資源（例如應用程序）的用戶應僅獲得完成任務所需的信息和服務。應詢問為什么某些角色，尤其是高級角色，可以訪問某些信息，如果這種訪問沒有足夠的理由。還應檢查對敏感信息的訪問是否符合給定的分類，并且已經評審了所給予的訪問權限，以確保它們符合適用的法律和法規(guī)。還應檢查接觸敏感或機密信息的人員是否已接受適當培訓，因為未經培訓的人員無限制地使用此類信息可能會造成災難性的后果。審核人員還應檢查組織是否有程序來評審現(xiàn)有的訪問控制，考慮到員工離開組織、工作職能和要求發(fā)生變化等情況。應存在記錄以證明訪問權限已及時更新，以反映組織的當前要求。5.16身份管理控制

應該管理身份的整個生命周期。組織應正式且唯一地注冊每個用戶，并維護他們所訪問的每個信息系統(tǒng)、網絡或服務的記錄。無法控制注冊可能會導致機密泄露、未經授權的修改和/或損失。共享用戶身份幾乎肯定會喪失可追責性，因為無法明確地將行為追溯到個人。這可能會導致機密性、完整性和可用性的喪失。因此，對于用戶有權訪問的每個系統(tǒng)，他們都應該有一個唯一的標識符，即身份。在那些無法擁有個人身份的情況下（例如，因為系統(tǒng)不具備所需的功能），組織應實施一個手動流程來跟蹤在任何給定時間使用身份的人，確保在任何時候它都不能被超過一個人使用，并在身份傳遞給新的保管人時更改身份驗證憑據。審核員應收集和檢查相關證據，以確保用戶注冊和注銷流程有效運行。這可能包括新入職者、調動者和離職者的記錄、過程文檔以及系統(tǒng)授權列表。審核員還應檢查系統(tǒng)權限是否與記錄的授權相匹配，以及系統(tǒng)上的用戶身份是否與注冊用戶相匹配?！坝脩簟币辉~應包括所有信息處理設施的用戶，包括系統(tǒng)管理員、經理、應用程序用戶、技術支持人員和程序員。創(chuàng)建和刪除用戶身份的流程應得到記錄和記錄，員工離職的流程應包括及時刪除用戶身份。還應有一個定期審核活躍身份的流程，以捕捉任何可能在不再需要時意外保留的活躍身份。由于存在無意中給予過多和未經授權的資源訪問權限的風險，因此不應將冗余的用戶身份重新分配給其他用戶。審核員應檢查用戶身份是唯一的還是共享的。如果是共享的，為什么這是必要的？查看風險評估以及對此的管理和授權。是否應用了額外的控制來提供可追責性，并且這些額外的控制是否足夠？5.17認證信息控制

身份認證信息的分配和管理應由管理流程控制，包括就身份認證信息的適當處理向員工提供建議。用戶識別與認證與訪問控制、用戶注冊和權限分配緊密相關。這通常通過密碼來實現(xiàn)，密碼仍然是用戶認證的常用機制，但并非唯一機制。秘密認證信息還包括生物識別數(shù)據和PIN碼，但不包括用戶ID或電子郵件地址（因為這些不是秘密的）。它還包括常用于允許個人進行自助密碼重置的問題的答案。暴露（寫下）的秘密認證信息或明顯且容易被猜到的密碼，可能導致未經授權的人員濫用系統(tǒng)，并帶來機密性、完整性和可用性喪失的相關風險。無論使用何種過程來分配秘密認證信息，它都應基于用戶的積極識別，并應用正式過程強制用戶更改初始臨時密碼。用戶應確認收到其憑證。需要制定一項程序，以確保僅向那些有業(yè)務訪問需求的人員發(fā)放用戶ID和密碼（見5.15），并且由所訪問資源的所有者進行適當授權。如果使用其他用戶認證方法，將需要類似的控制措施，但可能還需要適合所采用方法的額外控制措施。還應讓用戶意識到，如果他們的敏感認證信息被其他人使用來執(zhí)行操作，他們可能會被追究責任。密碼管理不善會導致未經授權的人員濫用系統(tǒng)的風險，進而帶來機密性、完整性和信息可用性喪失的風險。如果系統(tǒng)可以用來強制實施密碼質量、生命周期和更改頻率，則應使用這些系統(tǒng)。如果情況并非如此，則可能需要補償控制和監(jiān)控。使用風險評估來確定這是否有必要。ISO/IEC27002，5.17列出了良好密碼管理系統(tǒng)、密碼管理以及相關用戶責任的指導方針。審核員應檢查整個組織是否有涵蓋密碼使用的政策，包括確保使用足夠安全的密碼管理系統(tǒng)。該政策應與組織的安全要求和受保護的信息相一致。任何對特別敏感區(qū)域的要求都應作為此政策的補充，并與其保持一致。審核員應檢查的內容包括：密碼的長度和內容；密碼更改的頻率（包括最大和最小限制）；使用個人用戶ID；個人之間或同一人在不同應用程序中使用常用密碼；密碼的安全處理和存儲；以及默認密碼的更改。ISO/IEC27002，5.17中給出了密碼管理系統(tǒng)的其他理想屬性。一些系統(tǒng)強制執(zhí)行此類規(guī)則；其他系統(tǒng)則不執(zhí)行。用于驗證敏感認證信息的技術規(guī)則是否與記錄的政策相一致？如果系統(tǒng)不自動強制執(zhí)行此類規(guī)則，請檢查還采取了哪些其他措施。審核員應檢查秘密認證信息是如何最初分配和控制的。在某些情況下，分配可能由用戶自己完成，但并非所有情況都是如此，例如，初始密碼可能是隨機生成的。如果進行集中控制，則信息保存在哪里？是否安全？誰有權訪問？如果分配由用戶控制，他們是否了解自己的責任（另見5.2）？是否有程序來確保立即更改臨時或默認供方密碼？如果合適，請要求員工向您展示他們如何更改其敏感認證信息。審核員需要評審記錄，以驗證用戶是否已簽署聲明，承諾對其秘密認證信息保密，并對隨機選定的用戶組進行訪談，以檢查他們是否了解并理解這一責任。應在組織的不同層級測試這種意識。還應記錄在提供信息時如何驗證每個用戶的身份，以及可接受的身份證明形式列表。查找記錄，以顯示用戶首次使用時已更改其初始秘密認證信息。詢問用戶當他們忘記密碼時會發(fā)生什么。如何提供新密碼？如果問題緊迫，是否有額外的密碼重置途徑？是否有后續(xù)流程來評審緊急密碼重置的使用情況（見5.29）？審核員還應記錄任何將敏感認證信息寫在備忘錄上、貼在顯示器上等行為。詢問組織可能用于檢查用戶密碼質量的密碼破解工具的結果也是有益的。審核員在調查敏感認證信息的使用情況時，應確保獲得適當?shù)墓芾頇嘞蕖?.18訪問權限控制

應根據組織關于訪問控制的特定主題策略和規(guī)則來提供、評審、修改和刪除對信息和其他相關資產的訪問權限。不恰當?shù)脑L問權限分配會增加故意或意外濫用的風險。因此，訪問權限應始終基于業(yè)務需求。然而，盡管有意為之，但仍可能出錯，導致不恰當?shù)厥谟杌虮Ａ粼L問權限，當用戶離職或變更角色時尤其如此。因此，應定期評審訪問需求，如果發(fā)現(xiàn)不再需要訪問權限，則應在此時撤銷。這一點在用戶能夠訪問敏感信息或擁有更高權限的情況下尤為重要。在用戶使用共享密碼訪問資源的情況下，當其中任何一人不再需要訪問相關資源時，必須更改該密碼；個人憑據可能是一個更可取的選擇。應準備一份用戶注冊表，描述所需的信息系統(tǒng)、網絡、服務或應用程序，以及訪問條件。申請人應簽署該表，以表明其接受這些條件，系統(tǒng)所有者或管理員也應簽署，以表明其授權申請人進行注冊。此表應添加用戶ID，然后存檔。重要的是，當用戶不再有任何業(yè)務理由訪問資源時，例如終止聘用或內部崗位變動，應及時禁用其對資源的訪問。應制定程序以確保這一點。應有通知程序，并明確定義員工離職或變更角色時的責任和行動。這應考慮到物理訪問權限（即歸還門禁卡、鑰匙、身份證等；另見7.10），以及登錄組織網絡、用戶賬戶、密碼、電子郵件地址和任何其他形式許可訪問的權限。還將有必要評審和更新列出擁有訪問權限的個人、被分配角色的個人、與他們相關的任何訂閱以及興趣小組成員資格的文檔。應考慮基于角色的訪問控制，因為這可能更易于管理，并降低“特殊情況”的機會；或者，如果出現(xiàn)“特殊情況”，它會使這些情況更加明顯，因此在沒有充分理由的情況下更難授權。如果管理層啟動終止聘用程序，或者這與心懷不滿的員工、承包商或第三方用戶有關，則可能需要采取特殊程序，以避免在個人意識到其聘用關系即將終止到其失去對信息和信息系統(tǒng)的訪問權限之間的這段時間內，收集、披露、修改或銷毀信息或服務。審核員應收集和檢查注冊和授權記錄，并檢查用戶訪問級別是否基于用戶的正式注冊和授權，并已記錄。審核員還應檢查這些記錄與實施情況是否一致。已經離職或轉至其他職責的工作人員是否已從相關系統(tǒng)中立即移除其授權？對已經變更角色的員工進行訪談——他們是否保留了不再需要的之前權限？接受訪談的人員應包括在組織內任職時間最長的員工以及在同一職能內獲得晉升的員工。審核員應檢查的另一個方面是，變更角色的用戶是否及時獲得了任何必要的額外訪問權限。如果不這樣做，用戶將傾向于開始共享ID，以便能夠完成其工作。如果經常延遲添加所需權限，這種臨時憑據共享可能是一種廣泛接受的變通方法，但尚未進行風險評估。如果共享憑據是一種授權方法，那么審核員應驗證上次共享訪問權限的用戶不再需要訪問時（例如，因為他們已離職），憑據是否已更改。審核員應與系統(tǒng)管理員一起查看特定組和個人的操作系統(tǒng)訪問控制設置，確保只有注冊和授權的用戶才能訪問。ISO/IEC27002，5.16提供了關于管理用戶ID的更多信息。檢查用戶是否了解其訪問權限和限制，并理解他們不應試圖繞過訪問控制，這也是值得的。審核員應檢查是否已制定并定期遵循評審所有類型的用戶訪問權限和特權的程序。這些程序可能是檢查合規(guī)性的正式審核，隨后是由管理層進行的評審，以檢查是否符合業(yè)務和策略要求。審核員應檢查是否記錄了評審情況，是否將實際訪問與授權訪問進行了比較，以及系統(tǒng)授權人是否已驗證授權訪問是否適當。應定期評審變更情況。審核員應檢查組織是否制定了程序，以定義在終止聘用時采取的所有行動，以移除訪問權限。這些程序應適用于任何終止情況，無論其是否涉及員工、承包商、第三方用戶或曾訪問過組織場所或資產的任何其他人員。應考慮移除的所有訪問權限應包括所有物理和邏輯訪問、對服務的訪問以及用戶或興趣小組的參與。它們應涵蓋通知員工和其他相關方用戶離職的情況，并指示其停止與該用戶共享其不應再訪問的信息。5.19供方關系中的信息安全控制

應規(guī)定和實施流程和程序，以管理與使用供方產品或服務相關的信息安全風險。供方可以通過多種方式給組織的信息和信息處理設施帶來風險。這可能是通過物理訪問以及邏輯訪問，例如使用在線連接或與組織的資產進行遠程工作。也可能是由于偶然接觸到敏感材料，例如某人在辦公室給植物澆水時，桌上的文件被看到。除了上述情況，使用供方的服務可能包括向該供方提供敏感信息，或者使用供方生成的信息來做出對業(yè)務至關重要的決策。因此，即使供方無法訪問組織的系統(tǒng)，它仍然可能是一個重要的風險來源。如果組織打算使用供方的信息來輔助其決策，或者允許供方訪問敏感數(shù)據或安全環(huán)境，它需要制定一項總體政策，規(guī)定供方必須做什么和不能做什么。它還應該有一份供方總清單。需要識別和評估與每個供方工作關系相關的風險。為了管理這一政策的實施，組織應該為管理供方安全創(chuàng)建一個標準和程序，該程序需根據供方將接觸到的信息的安全級別，以及供方的活動和信息對組織的影響進行定制。該程序應考慮到供方本身可能還有其他受其委托進行某些活動的第三方。審核員應確認有一套原則、一項頂級政策和程序來處理供方安全。ISO/IEC27002，5.19包含了政策中可以包含的信息類型清單。審核員還應檢查是否進行了風險評估，以評估與供方相關的風險。要求提供一份供方總清單。這應該表明每個供方被授權接觸的信息的安全級別，并應引用與該供方達成的具體協(xié)議（見5.20）。5.20在供方協(xié)議中強調信息安全控制

應建立相關的信息安全要求，并根據供方關系的類型與每個供方達成一致。對于能夠訪問組織物理或邏輯環(huán)境的供方員工，應適用與組織員工相同的安全級別，包括用戶ID、密碼、數(shù)據訪問控制、物理安全等。在制定規(guī)范供方訪問的協(xié)議時，需要考慮的是，組織無法直接控制供方的管理、人員控制、信息技術以及安全政策和做法。供方也可能有不同的風險承受能力和業(yè)務做法。在確定是否與另一方合作時，應將這些差異作為盡職調查的一部分進行識別和評估。在任何信息共享或訪問之前，必須到位的關鍵文件是一份合同或協(xié)議。它應提供關于每一方將向對方提供的設施、將實施的安全控制，以及哪個實體負責哪些安全控制的詳細信息。在實施適當?shù)陌踩刂浦?，不應允許供方訪問組織的信息和/或信息處理設施。ISO/IEC27002，5.20中的實施指導提供了一個根據風險評估結果要求實施的建議項目清單。合同或協(xié)議條款也可以規(guī)定符合ISO/IEC27001的要求，甚至規(guī)定認證，這同樣取決于具體的要求。確保雙方簽字人都經過適當?shù)淖R別和授權。安全文檔應包括所有相關合同或協(xié)議的副本，并可能包括描述雙方關系具體要素的若干其他文件。將安全控制、政策和程序納入可以提供給第三方的安全計劃中，可能會有所幫助。任何偏離這些要求的情況都應得到合理的解釋并有相應的記錄。審核員可以檢查組織為其供方進行的風險評估結果。風險可能來自對主機或服務器軟件的遠程訪問、互聯(lián)網連接、隔離不良的內部網絡或對安全區(qū)域的物理訪問。審核員還可以檢查，兩家組織之間的正式合同或服務級別協(xié)議中是否已識別和解決了與供方安排相關的所有安全要求和風險。ISO/IEC27002，5.20中的實施指導提供了一個應考慮納入此類協(xié)議的問題清單。審核員可以檢查組織是否有充分的程序來確保在允許供方訪問組織的任何資產之前，所有安全問題都已得到解決。還有必要確保供方了解他們必須實施的所有安全安排，并理解并同意這些安排。一種方法是要求供方提供其信息安全管理體系（ISMS）認證。審核員還可以詢問組織，協(xié)議如何涵蓋供方未按照組織的期望進行操作的情況。審核員可以檢查是否已識別所有相關的責任和潛在的干擾，并已適當?shù)丶右越鉀Q。必要時修改協(xié)議的條款，以及協(xié)議終止的條款都需要到位。5.21管理ICT供應鏈中的信息安全控制

應規(guī)定和實施流程和程序，以管理與ICT產品和服務供應鏈相關的信息安全風險。與ICT供方（例如應用程序供方或云托管提供商）建立關系，通常意味著組織會因此暴露于由該一級供方的其他供方所帶來的風險之中。例如，某項技術的供方可能會將維護工作外包給作為特許經營商運營的另一家公司。當需要專業(yè)建議時，特許經營商工作人員可能會請來制造商的工作人員。制造商將擁有會計和人力資源軟件，并且可能還會使用云服務來存儲客戶數(shù)據——“供應鏈”實際上是一個多重連接的網絡。這些實體中的每一個都可能犯錯或采取故意行動，從而影響組織的安全性。應通過與組織有直接合同關系的供方簽訂的協(xié)議來管理這個供方網絡。ISO/IEC27001，A.5.21包含了在設計供方協(xié)議以管理這種“繼承”風險時需要考慮的一系列事項。組織還應根據其風險水平積極調查其ICT供應網絡的詳細情況，并確定任何關注程度增加的領域。一個關鍵領域是這些供方如何變更以及如何選擇它們。網絡中的每個實體可能會以不同的方式執(zhí)行此操作，從而產生可能的安全漏洞。審核員可以要求評審供方協(xié)議，并將其與ISO/IEC27001，A.5.21中的列表進行比較。是否考慮了所有相關主題？是否對所有供應鏈進行了風險評估？是否已確定并實施了適當?shù)目刂拼胧?？如何評估其有效性？審核員可以尋找那些其活動可能間接影響信息安全的供方，例如那些與敏感廢物處理、服務器機房維護或實驗室清潔相關的供方。5.22供方服務的監(jiān)視、評審和變更管理控制

組織應當定期監(jiān)視、評審、評估和管理供方信息安全實踐和服務提供方面的變化。一旦服務提供商開始運營，組織就需要確保所提供的服務符合合同中規(guī)定的要求。確保按照供方的規(guī)定提供安全控制、服務定義和服務交付水平（見5.19）的最重要手段之一，就是對這些控制和服務進行監(jiān)控和評審。這可能包括檢查顯而易見的問題，如所提供服務的可用性水平，或者可能涉及更為復雜的內容，如直接或間接驗證供方環(huán)境中的技術安全控制。組織應制定程序來監(jiān)控服務交付情況，并評審供方提供的服務報告。ISO/IEC27002，5.22提供了供方服務管理流程應包含的一系列活動。ISO/IEC27002，5.22中列出了供方服務中可能發(fā)生的變更類型。組織應制定程序來應對并積極管理這些變更。這包括重新評估新/變更安排所涉及的風險，就變更進行談判，并修改供方合同或簽訂新的協(xié)議或合同。重要的是，這一過程應遵循明確的程序，并獲得適當?shù)氖跈?。在改變風險水平的情況下，應特別小心。如果供方內部或用于提供服務的技術發(fā)生變化，組織應啟動對現(xiàn)有安全控制的評審，并根據需要做出更改，以將信息安全風險維持在組織可接受的水平。還應評審其他方（如客戶）對組織提出的要求，以確保在變更后仍能滿足這些要求。另一個需要管理的問題是供方如何應對信息安全事件。合同或協(xié)議應規(guī)定，供方需向組織提供關于信息安全事件的通知，而組織則應分配責任、提供足夠的資源和程序來評審這些報告，并在需要時啟動自己的事件管理流程。還應評審事件管理報告，以驗證供方是否充分應對了這些事件。對于可能對組織的信息或提供給組織的服務產生影響的任何其他問題、故障、事件等，也同樣如此。如果協(xié)議或合同允許進行審核，那么組織就可以通過這一方式來驗證供方是否按照合同或協(xié)議行事。審核員可以尋找證據表明，組織正在接收所有相關的服務提供報告、記錄和日志，并且已制定程序來評審這些材料。為了檢查這一點，審核員可以要求提供記錄或報告，以及組織評審活動所產生的任何記錄。這些文件還應表明，例如ISO/IEC27002，5.22中所列的相關活動正在進行。此外，審核員可以查看組織為檢查安全控制、服務定義和服務交付水平而采取的行動記錄，以確保程序得到正確應用。組織還應制定程序來應對供方不符合合同或協(xié)議規(guī)定要求的情況。組織應制定程序來管理供方提供的服務的任何變更。審核員應檢查這些程序是否包括重新評估風險，同時考慮到可能已經改變的業(yè)務需求和所涉及的系統(tǒng)。審核員還應檢查該流程是否要求在做出任何變更之前獲得管理層的批準，以及是否讓所有相關的利益相關者（例如負責法律事務的角色）都有機會評審合同或協(xié)議的變更。審核員還可以確認組織已分配監(jiān)控和評審責任，并且執(zhí)行評審的人員具備足夠的技能和時間來進行他們的評審活動。如果協(xié)議或合同允許組織對供方進行審核，審核員應通過查看審核報告等方式來確定組織確實對供方進行了審核，并且任何審核結果都已積極傳達給供方，并得到了跟進和滿意解決。5.23使用云服務的信息安全控制

應根據組織的信息安全要求建立獲取、使用、管理和退出云服務的流程。當組織使用云服務時，應像對待其他第三方供應商一樣對待云服務供應商，同時考慮到云服務的一些特殊特性。例如，在大型云服務供應商的情況下，信息的地理位置通常非常靈活；這在彈性方面提供了顯著的優(yōu)勢，因為單個位置的損失可能對服務的可用性影響很小。然而，信息的位置決定了適用于它的法律法規(guī)，這給任何面臨“我們的數(shù)據存放在哪里？”這一問題時得到“視情況而定”答案的組織帶來了重大挑戰(zhàn)。許多云服務供應商在設計其服務時已經考慮到了這一因素，以便可以對位置進行約束。更一般地說，組織應始終確保所實施的云服務包含滿足其要求的精確標準，因為加密、數(shù)據位置約束和支持團隊位置約束等功能通常會產生額外的成本。ISO/IEC27002，5.23提供了應包含的標準類型列表。云服務在第三方提供的信息安全與客戶預期將提供的信息安全方面經常存在高度差異；對于所有當事方（尤其是當這是一個涉及三個或四個實體的關系時）而言，明確界定一套責任和管轄范圍至關重要。還有一個常見的假設，即云服務供應商將是永恒的解決方案，但如果組織想要更換供應商，或者云服務供應商意外地停止運營，又該如何？在與云服務供應商合作時，退出策略與合作策略同樣重要。在許多情況下，審核人員在評審云服務時應預期組織不得不接受標準供應商安全控制，從而導致風險狀況與其風險承受能力不匹配。他們應核實組織內正確的管理層級是否已理解并接受了超出容忍度的任何風險。ISO/IEC27002，5.23中的標準和考慮事項清單列出了審核人員在云服務供應商協(xié)議中應尋找的主要領域。重要的是要注意，除了這些協(xié)議可能具有通用性之外，它們還可能復雜且冗長，審核人員應在適當情況下尋求相關法律專家的協(xié)助。關于確定組織與云服務供應商之間的接觸程度，審核人員應尋找服務評審會議的記錄和績效評價。如果這些不存在（例如，當小型客戶從全球云服務供應商那里消費標準服務時），則應有一個儀表板或標準報告流程，通過該流程與組織共享自動化的服務性能數(shù)據。在所有情況下，都應主動提供事件通知，組織不應需要訪問門戶才能發(fā)現(xiàn)已發(fā)生事件。如果已發(fā)生事件，應有云服務供應商提供的建議和指導的記錄，以及組織已接收、評審并依據這些建議采取行動的證據。5.24信息安全事件管理的策劃與準備控制

組織應通過規(guī)定、建立和溝通信息安全事件管理流程、角色和職責，以策劃和準備好管理信息安全事件。信息安全事件可能導致機密性泄露、設備和數(shù)據完整性失效以及可用性喪失。這些事件提供了寶貴的機會，以改進程序和流程，防止事件再次發(fā)生，或者確保當它們再次發(fā)生時，造成的影響處于可接受的水平。示例包括火災或洪水、電力故障、硬件故障、軟件故障、病毒感染、對受控場所或計算機系統(tǒng)的未經授權訪問（實際或嘗試）。還包括數(shù)據損壞或丟失、郵件誤投以及任何安全控制的失效。組織應制定程序，以確保對報告的信息安全事件和弱點做出有序和有效的反應。這些程序應確保所有報告的事件都得到評審和適當?shù)恼{查，觸發(fā)恢復程序，并讓適當級別的人員參與評審。ISO/IEC27002,5.24提供了一系列措施，用于妥善管理信息安全事件。審核員應檢查信息安全事件管理程序是否到位，以及它們是否與可能的報告場景兼容，例如ISO/IEC27002,6.8中所述。他們還應檢查所有報告的信息安全事件和弱點是否得到了適當?shù)姆磻?。ISO/IEC27002,5.24描述了應制定的程序，用于處理和恢復系統(tǒng)故障、錯誤、安全漏洞等，包括應急安排和審核活動。5.25信息安全事態(tài)的評估和決策控制

組織應評估信息安全事態(tài)，并決定是否將其歸類為信息安全事件。每個報告的事件都應由接收報告的信息安全聯(lián)系人進行評審，以確定其影響程度。這應用于判斷該事件是否應歸類為信息安全事件，并將此決定及支持理由記錄在事件報告系統(tǒng)中。聯(lián)系人可能不是分類的最終裁定者。如果組織有一個負責處理信息安全事件的團隊，該團隊應確認初步的分類。這是信息安全事件管理的初步分流階段，它確保事件響應團隊的努力集中在正確的事件上，并且嚴重事件能夠得到及時處理。為確保決策的一致性，組織應定義事件類別（如：重大事件、輕微事件等），并提供相應的支持性指導。應定期評審這些類別的清晰度、相關性和實用性，并根據需要進行更新。負責分流的人員應基于組織的法律和合同要求，即通知客戶/其他實體有關違規(guī)行為的要求，對組織及時分流的需求有清晰的理解。審核員應要求提供事件記錄和時間線文檔，并檢查是否有一個明確的判斷點來確定一個事件是否應歸類為事件。他們應詢問這是如何確定的，并核實是否存在一個一致、可重復的過程。解釋如何分類事件的指導文件應可供所有聯(lián)系人隨時查閱，并且所有員工都應可獲得一份聯(lián)系人名單。審核員應訪談聯(lián)系人，以核實他們是否了解事件分類和報告流程。如果指導發(fā)生變化，還應有一個通知聯(lián)系人的流程。應有與組織聲明的通知時限相一致的目標。5.26應對信息安全事件控制

應根據記錄的程序應對信息安全事件。信息安全事件的響應應符合管理要求，并按照相關文檔執(zhí)行（見5.24）。ISO/IEC27002的5.26部分列出了一系列應執(zhí)行的動作，以妥善管理信息安全事件。組織應指定一個（或多個）聯(lián)系人，以確保使用清晰的報告渠道。關于事件響應的一個特別重要的考慮是，組織必須盡早決定是否需要收集證據（見5.28）。這將影響整個事件響應過程。審核員應確認相關活動，如ISO/IEC27002的5.26部分所述，是否在程序中得到了妥善記錄。程序應明確所有職責。事件記錄應證明已實施了適當?shù)墓芾砜刂?，審核員應確認所有信息安全事件及其后續(xù)活動都得到了妥善記錄。5.27從信息安全事件中吸取教訓控制

從信息安全事件中獲得的知識應用于加強和改進信息安全控制。除了發(fā)現(xiàn)和采取行動解決信息安全事件外，組織（以及組織內的相關角色）從這些事件中學習以避免未來再次發(fā)生也是非常重要的，或者如果它們不能（或不應該）被避免，則確保可以更有效地處理它們。這也是ISMS績效評價和改進方面的一部分（見ISO/IEC27001的第9章和第10章），因為對事件的評估有助于確定哪些控制措施沒有按預期工作，以及哪些地方需要改進。從信息安全事件中學習將提供有關需要采取的行動以增強安全性的有用信息，并且應該在培訓和宣傳計劃中審慎地使用適當匿名的案例研究。審核員應評審組織過去如何應對信息安全事件、軟件和系統(tǒng)弱點的例子，并驗證是否存在一致的方法，以確保從事件中吸取教訓并及時應用。從事件中學習的過程應包括實施額外的控制措施或程序，以避免再次發(fā)生，限制損害，收集證據，或允許在未來做出更快、更高效的反應。例如，應在培訓和宣傳計劃中使用匿名的信息安全事件作為現(xiàn)實生活中的例子。如果似乎發(fā)生的信息安全事件數(shù)量不足，或者沒有可用的信息或證據可供學習，審核員應檢查信息安全事件和弱點的報告程序是否正在正確使用，并且是否旨在支持改進工作。5.28收集證據控制

組織應建立并實施識別、收集、獲取和保存信息安全事態(tài)相關證據的程序。對于可能導致正式法律程序的任何信息安全事件，組織確保收集可采納和完整的證據是非常重要的。組織應制定關于證據收集的指南和程序，以確保證據的適當可采納性和完整性。當為法律目的收集證據時，應管理和存儲證據以維持監(jiān)管鏈，并保證未經授權，任何人不得修改或銷毀證據。組織還應確保證據能夠及時提供，并且以法庭所需的形式提供。ISO/IEC27002的5.28部分描述了編寫證據收集程序時應考慮的因素。如果組織正在進行任何調查或取證工作，那么應僅使用以后可能需要的任何證據的取證可靠副本來進行，以確?？梢宰C明證據未被更改或篡改。收集證據對于在法律程序和可能因信息安全事件（如違反民法或