信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全控制清單

值息安全、網(wǎng)絡(luò)安全和隱私保護一值息安全控制清單

(基于IS0/IEC270O2-2022《信息安全、網(wǎng)絡(luò)安全和隱私保掙一信息安全控制》娟制)

要素歸號子要素館息安全控制目標(biāo)18息安全控IW拄網(wǎng)要點信惠安全控制技制內(nèi)容與要求

⑴定義信息安全方豺：

?煙料應(yīng)明IMS息安全的核心此則WHte.這紇蛇則和11標(biāo)位＞綱織的業(yè)務(wù)H求加法律法加展求H一致.

??，：為乜定更具體的侑息安全策降提供指導(dǎo).

(1)嫡立第織的信◎安全指導(dǎo)必明.明

⑵初定特定土地策略：

卡甘理以對傷鹿安全的承諾和支招：

檢定義但￡1安全方什和特?根州信息安全方計，41統(tǒng)應(yīng)識別關(guān)鍵.資產(chǎn)并刎定相應(yīng)的佻護措蛤.

⑵制定特定主脖鍍略以保護關(guān)《!化

定主對策筆.由甘理層依.特定土密或略可能包括(H不碌T怎M保護.訪問拴也.秦線安全,M格通忖安全崢“

。皆產(chǎn).嫡保伯￡1例機潴性.先攀性

5

準K發(fā)布.愴達并讓槍關(guān)⑶皆丹房批準與發(fā)布：

和可用性：

信息女儻策略工作人貝和相關(guān)方知悉,?佑必安全策修和方針必縝御劑it理型的正式批準，并碣保其內(nèi)容與綱織的牧略”鈾和業(yè)務(wù)需求舊吸.

5.1(3)通過有效傳達策略，提升全員信息

如織

按計劃的時同同m以及在?批范a的心，J安全策略疲通過正式柒詢發(fā)h.班％wr〃｛工書人員和相關(guān)方能魴在取并理解，

交全通識和行為臺視性：

柱M發(fā)生加大變更時刻共進行⑷策略傳達與培訓(xùn)：

(。定期挪中和更新SWh以造檄8織

評審?稅加應(yīng)通過培訓(xùn)、幺議、內(nèi)部通解等方式,向相關(guān)工作人員和機關(guān)方有效除達信慰安全薇略的內(nèi)部和要求.

變化和外部環(huán)埴,從而生護佑息次全

?貨_1收接曳天Ttfl總■安金坡6田用1L開I3如實向＜1.作中限儲送受氽略“

訐理體家的持續(xù)有效性和道立性.

⑸定期普中與史新：

?佑息安全潴略應(yīng)按計以的時何間隔在行定期評審.以譜僅其仍然有效井近應(yīng)諭雙當(dāng)前的傷息安全需求.

.在發(fā)生m大變史(如核木叱葉.業(yè)務(wù)授式變化普)時,也應(yīng)時伍恩支至策略進行坦時評審和史教.

(D明確用色》聯(lián)好：造保沮織內(nèi)部有

叫璃的信息安全用色和職費分配，a

(1)定義信恩安全角色1根W組投的業(yè)務(wù)能來租找校,明晚諛立知信恩安全盲(CISO).信息安全分析Mh安全管理員等關(guān)電信息安全角色，

他在俏息安全事件發(fā)生時掛夠迅速枸

U以安全角色(30安全角色和貨任向楸媯⑵分配明編的愷息安全費任：為每個愷息安會角色分配清防的貨任依陽.班保各個州色之間的職,不由&IL弒船所才關(guān)緘僧.0安全鋤域.

5.2電

加責(zé)任祖織需求迸后定義和分配(3)建立責(zé)任班昨：制定一個詳細的貨任班陣，列出作個信息安全職隨及其對應(yīng)的負費人員?以便干竹理。邊貨?

(2)有效管理：通過合理分配信.□安全

G)定則評審和更新角色與我任，的曾姐想發(fā)艮和外郃環(huán)域的變化，定期才本和史新(S恩安全角色和揖住分配.

的色相選任.實現(xiàn)信電安全的仃效管

?.降低交攵風(fēng)險.

“｝業(yè)務(wù)活動的核準.記京，經(jīng)辦及“(D識別沖突職費，

物的分寓：要求業(yè)務(wù)役作的各個環(huán)節(jié)..怨枳我識別那些在執(zhí)行過雙中可能存在冷突或濫用W險的職防和訪任翹IH.

如核4、記聚，姓辦以及財物的計理.這包括但不限于?財務(wù)審妣、m統(tǒng)檢理和審計等美鍵職能.

應(yīng)分典相無?!?突的我戲和去

5.3W的分高號，應(yīng)由不w的人員負由，a實現(xiàn)相⑵切定分離計劃：

仔依眼

.設(shè)計井實的一個明確的計劃.珞沖突的職責(zé)分配給不同的個人成㈤隊.

(2)防止權(quán)力阻廢鬃中:通過職員分.耐保沒。人能就象強控切一個海程的全的美健環(huán)節(jié),從而降低內(nèi)部欺詐和帽狀的時險.

%.就免埴-人/或部門柳行過冬的(3)實施總儕和M存仲UM：

??編號子要素估息安金控X目標(biāo)信息安全按1M控制要點值患安全控制控制內(nèi)容與要求

以〃和俗M?從而M少內(nèi)卻欺祥和■.世豈獨立的陷餌機別?珈內(nèi)部中計的門,以品仔和驗任職責(zé)分離的突傕俯況.

用取權(quán)M3陵.?碓僅XIU貨之何悌內(nèi)切衡.圖先出現(xiàn)不一權(quán)力點.

⑶提詢信恩安全管理的有效性和透“)定劃評審和更新1

W慢：明加的脫奇分離H助丁增必的.定期許中職說分醫(yī)的實陸情況.助優(yōu)乳?仍然的效并培液虱織的殳化.

0安全鐘理的效果,井確保相關(guān)操作?根t?業(yè)務(wù)發(fā)改和外部W境的變化.及時聘祭職費分配和初衡WIL

的透明性和可迫需性.(5)記求和監(jiān)控，

.記錄職音分!E刊變更情況.以便迫踩和審計，

?收校職？i分圖的實(6效果.及時發(fā)現(xiàn)何a并進行肉祭.

(1)明造優(yōu)包安全選任，姐姐應(yīng)確保所盯工作人員那浩比理斛并接受他打在信總支全方卸的責(zé)任.這包括有保他打卯解組織的信息安全方計.

特定主1S的儂略以及他們」:作所落虎御由規(guī)界.

管理層應(yīng)嬰求所”工作人

(2)優(yōu)總安全方斜的傳達：管理層應(yīng)購保優(yōu)電安全方“用列充分的傳達和解酢,以使所有工作人員就住腳狎甘足含義。并在日常工作中忌用.

隔保管理以要求所在工作人員通篦出

員根1K機織已建點的倍g

織既定的信息安全力計、策咕和猊特定主魁策略和規(guī)程的女俺：除了信息安全方計外,竹理層還應(yīng)跑呢所盯工作人員了道井邊仍適用『他打織我的將定主睡策略和規(guī)程,這

次全方針?特定主魅策略

5.4靜理我任

出.以㈱行能力的怙恁安全貨任.從可能包括忖川制定系及.應(yīng)用或數(shù)期處理帔將正安全復(fù)求，

粕胡程.履行倡恩及全費

而簫護州以信息資產(chǎn)的安仝和完整性(3)培訓(xùn)和較fi：為了支持工作人3履行M怕總發(fā)生責(zé)任,組綱應(yīng)提供城力的培川和軟〃機會.以確保他必要的加正和技能.

'

“)依存和審核：轉(zhuǎn)理層應(yīng)定期判工作人為信恩安全貢任的情況進行跣％和審核,以確保籽介饑織的：電安全方斜、成路和觀程.這nJ能

包括松森”金.進行安全審計以及許枯工作人員對信息安全姿求的愛守情況，

(D坳定相關(guān)職能機構(gòu)：

(D建立和維護。肌能機構(gòu)的聯(lián)票：組.41段應(yīng)首光明南見”機能機構(gòu)與大業(yè)多機關(guān),包括但不以卜數(shù)據(jù)俱護機構(gòu)、行業(yè)監(jiān)甘機構(gòu),執(zhí)法能門的.

班應(yīng)叼相關(guān)的職能機構(gòu)(G盤管機構(gòu)、⑵it"我樂機Bh

執(zhí)法部門、行業(yè)協(xié)會等)也立正式的.設(shè)立專門的雙系人聯(lián)用隊負責(zé)與達人職娥機構(gòu)進行溝刈.

聯(lián)系乘道.并的保這些公道的暢通和?胡定并定叫史新與這些機構(gòu)聯(lián)系的只體力式和架道，如電子他件、電話、幺議等.

行效性.(3)黃護聯(lián)茶?

(2)及附昧取和狗足扭導(dǎo)：地過與職倭.定期組織會設(shè)或通話.以驗保雙方2間的溝歡暢必.

機構(gòu)的聯(lián)系，ill依總能好及時荻JU關(guān)?及時響應(yīng)職能機構(gòu)的會詢和請求?提供必要的信息和支持-

叼雙能機構(gòu)的制織鹿比豆并蛭護“樹關(guān)隊

5.5于信息安全.M絡(luò)安全和R14保滬的3)俏恩共享與史新?

聯(lián)痂能機構(gòu)的獻票

MWISS?.政策變化和要求.以便及.向相關(guān)職住磯和提佻如織的信.0安多政策、實成和11件南次計劃￥怕￡?

H洶整門JJ的安全溫格和濟瓶.?從職能機構(gòu)獲取最新的泄憂、拒后方甘和安全健議?也保組織的倍思安全插時符合最新的認和EL業(yè)JML

(3)合作與位您我Mi與職般機構(gòu)保排(5)合作與的調(diào)，

超切我素.力助于組猊在面臨安全成.在面臨底火伯口喪全串11或械臥射.與職能機構(gòu)竄潴合作.共同應(yīng)對.

協(xié)或事件時，陵/快速獲得支持和特?參與職能機構(gòu)加現(xiàn)的研討幺、增利小文薄利動，提升稅次的信恩安全彥識和質(zhì)力.

助,同時也帷夠St進俏總共享和悔忡.⑹記錄和監(jiān)控，

共同以“整個行業(yè)的安全水平..記雜叼職1ft機構(gòu)的所右山要溝通和合作活動.

?此也與職能機構(gòu)狀系⑦軟梁.以及時M整聯(lián)篇策略.

??編號子要素估息安金控&目標(biāo)信息安全控1M控制要點值患安全控制控制內(nèi)容與要求

(1)增定關(guān)僦相大方：

C)建立方雄儼聯(lián)取月斗.蛆加修忖定?明陶組加第變硬在我家的特定和大才，如大逑伐4”，業(yè)務(wù)介作伙伴、行業(yè)協(xié)會等?

相關(guān)方(如傀應(yīng)海、客戶.合作伙ft?設(shè)切并列出這空相關(guān)方的聯(lián)系方式「溝道集迤，

等)或t?業(yè)我全論壇及防會保神宓切(2)建立聯(lián)家機澗：

聯(lián)耒,構(gòu)建?個優(yōu)題共享和協(xié)作的網(wǎng)?貝立專門俏聯(lián)愛人或團隊,負友與特定相關(guān)方班什溝通與徐謂?

行.?IH定并定期更新與這些相關(guān)方的聯(lián)系計劃.包括定用公火.通訊交流等.

(2)及附&取學(xué)業(yè)知識和支持：通道以(3)信慰共享與的作，

這N好定相關(guān)方的聯(lián)系.加織健螃及.與相關(guān)方分享加織的怡◎.安全政策和實踐.以便彼此了解外出同工作.

時次取外狂的行業(yè)動態(tài).安全或的佻?及時從相關(guān)力慶取以新的安全成的仲報、行業(yè)動怎和會找要來.

報以及力業(yè)的技術(shù)支將.從而提升門陰織應(yīng)噩立并雄護與特定“)檢與力業(yè)論域和協(xié)會，

F存定相關(guān)力

5.6號的佇息安全防護能力.相關(guān)力或其他專業(yè)安全論?積世疊加怡@安全相關(guān)的專業(yè)論壇、研館會和出金活動.

的聯(lián)嬴

@)增強廢但響應(yīng)隨力：在面伍次全事壇和書業(yè)附會的聯(lián)條?訂閩行業(yè)內(nèi)的專業(yè)期刊、新聞資訊，保持“行業(yè)動態(tài)的她!?性.

件或成物時,能修快速從相關(guān)方在?、蒳f立底芻響應(yīng)機刎，

衲助.攆B41投的庖名哨血速度和效?與相X方共同網(wǎng)定應(yīng)您叫皎計劃.乂便在面臨發(fā)生事件時能算快速出同應(yīng)對.

.定期遂行應(yīng)總響應(yīng)演練,曲保各方：何的林作流物仃軟.

(的此理；『魏巧初；鼻陽實如?41IJ14V16J1；定叼林隹的益(tti

業(yè)論壇和協(xié)會的女源.了解并垠?劃過與弘業(yè)論％和出去的交由.及時了解并遽新的伯恩安全標(biāo)準和合規(guī)要求.

新的信電安全標(biāo)滯和合規(guī)要求，班許?確佻州爾的俏。安全女踐符合行業(yè)強任實踐，并極州需要進行調(diào)整和改也.

相織的伉◎.安全父現(xiàn)符合行業(yè)第住女(力記求和監(jiān)控?

踐..記錄與特定相關(guān)方的所*PR要溝通/合作活動.

?定期評估與特定相關(guān)方或樂的效果,以使及時餌常聯(lián)殺了略.

(1)讓立或的情報收案機制，

?歡文專門的帙物外報救生集道?包打出不僅R4F安全公缶.行業(yè)報告、加彳論壇等.

?利用技術(shù)手段，如入侵檢潴系統(tǒng)(呸)、安全信電和事件it理＜SIDI)泵統(tǒng)等，自動化收集岐的桁關(guān)佑”

(2)分析或脅餓報，

賄保ifl加能夠及時收集、分析和用

.設(shè)立歲門的接物結(jié)報分析團隊或委抵第三方透行分析.

川信息支全峨的相關(guān)的傷恩,從而應(yīng)僅夔井分析傷總安全城的

?對收集列的成物相關(guān)傷總進行渾入分析，識別潛在的故構(gòu)和攻擊?；?

H效識別、評估和血對泄在的信◎相關(guān)的估息.以生成成馬怖

?將分析結(jié)果。如織的伍慰泰統(tǒng)神仍環(huán)堆相結(jié)合，評枯潛在風(fēng)陂.

安全風(fēng)險.提升加權(quán)的信.已安全防報

(3)制定成對錯旅2

步能力和響應(yīng)注陵,

?根據(jù)戒格情報的分析飭果,的

?定期“姐織的安全策咕送行審友和小新?以跑保其有效性。

⑷瓏立反俄機制，

?將威脅情報的才析”果。用稅的實際安全小件相結(jié)合.形成反饋循環(huán).

??編號子要素估思安金控8目標(biāo)信息安全按1M控制要點值患安全控制控制內(nèi)容與要求

.根據(jù)實際安全串件的發(fā)生情況.不斷調(diào)都和優(yōu)化峻脅儲報的收集和分析方法.

C)與相大施打介作.

?與行業(yè)內(nèi)的其他組織.政府機構(gòu)等更立令拈關(guān)后,共享喊脅情掇史源.

?及時關(guān)注并修總m家和行業(yè)發(fā)布的女全預(yù)警和?報.

(1)信恩安全規(guī)劃與項目計劃隘臺：

.在項目規(guī)劃階段.明確倡思安全而義和目標(biāo),并相幾納入⑷目計劃中.

?M定徉細的愷息安全策略.訪問蛻制和tl州&田等.

⑵風(fēng)險討估與It理：

?在項目開始之防進行伯恩安全M除評Pi.M別潛在的偽急安全風(fēng)蹂，

.刖定風(fēng)為趣對搞的.并總控同命狀北.及附調(diào)壑安全策略.

(3)安全開發(fā)與他帶：

曲保信息安全在項H管理中褥到充分?在項U開發(fā)和實施過程中,果陽安全能碼灰雙,防止安全制湖的產(chǎn)生.

項目管理中的才培和實tr從而II抵伯恩發(fā)個12黑崗格俏息安全祭令列項目竹.對項H中所怏用的JJ1和平價班行安全足FL埼保乂符令怕屈女至標(biāo)準.

5.8

信息安全保鮑項n收據(jù)的安全，井提高項目團理中⑷效據(jù)保護與蹌拄:

隊的信息安至點識和健力?女雁產(chǎn)恪的坎密保護擄住,包括:SIX加總.訪問杈融管理等,的保依H數(shù)卅的機焦性,完禁性收可用性.

?戌皇浜金也投機切.實附收測利id木欣H中的13黜正使那門?

(5)應(yīng)領(lǐng)響血計劃:

?M定項H信息安全應(yīng)您響應(yīng)計劃，以應(yīng)對可能的信息安全事件.

?定期進行向；a響應(yīng)演練,嫌保團隊成員熟方火力剪梗流雙和指獨.

⑹合規(guī)與審計：

?溫佻項H符合相關(guān)的信U安全法廢國標(biāo)價貨未，

?定期進行伯恩安全審計，檢衣并險iE81H的偽電安全控制推住是否有效.

(1)建在資產(chǎn)清制：

?設(shè)立專門的潘林來識別和記錄如織內(nèi)的所有信息和K他相關(guān)交產(chǎn).

確保饑織能籽全面識別和記錄其.消續(xù)皎包臺費產(chǎn)的佯招貓述.如筋產(chǎn)名彌.英里,何黃、快用％和所H者等伯息.

信息和其他相關(guān)資產(chǎn),包括資產(chǎn)⑵定期更新和漁護：

?定期市式和史新資產(chǎn)淌中,以班保真準峋性和時效性.

的所有者.以支持"效的資產(chǎn)希京編制和海m信◎及其他相

ee?及H她相

.當(dāng)竹新的皺產(chǎn)m入或現(xiàn)的佳聲發(fā)生變化時.竣及時更然施求.

理和信慰安全保護茶晞的交箱，關(guān)資產(chǎn)(包柘資產(chǎn)加孫行)

5.9關(guān)燙產(chǎn)的濟飲

(3)明耍資產(chǎn)到。才：

預(yù)助數(shù)據(jù)漱露.濫M成根失.并的清單

師保在發(fā)生安全那件時候清?快遑?在謫他中明哨記錄依個貨產(chǎn)的所列者或使用部門.

而準確地響隔.徜保僑產(chǎn)的所有存對僑產(chǎn)的安全和使護例有選任.

(力分員和標(biāo)記:

?根娓資產(chǎn)的價(ft.取名性和服安性對其選行分類.

信息安全按控制要點值患安全控制控制內(nèi)容與要求

??編號子要素估思安金控8目標(biāo)1M

.對不同於事的成產(chǎn)選行斥記.以便二犯別和管理.

C)訪X為整刊權(quán)雙代理.

?根據(jù)資產(chǎn)的分類利標(biāo)記,設(shè)定不問姬別的訪何控劃和杈意《

.價保只褥經(jīng)過授權(quán)的人父才能訪問收逃取小耍的窗產(chǎn).

(6)備份與恢復(fù)：

?莉?斐臣產(chǎn)進行定劃占份,以防止Q罪去失或投環(huán).

.明定災(zāi)》保乂計劃.以酒供在發(fā)生克外情況舊能夠快過怪發(fā)鎏產(chǎn).

⑴旗制和文心化使用理則：

?明跑說JW和文檔化俏息和兄他相關(guān)戈產(chǎn)的可捱變使用雙則，

.雙卿應(yīng)涵制援產(chǎn)的訪網(wǎng).使用、共牛、HW.修改構(gòu)B除等方面.

⑵力r培訓(xùn)和歡漢蜒升：

?前S工迸行關(guān)于信恩和其他機關(guān)資產(chǎn)可接受使用視劃的培訓(xùn).

.俄保員工了解并i?M達蛀規(guī)則.意識到不當(dāng)使用的后來.

(3)訪同也制加權(quán)未計理：

?女施嚴格的訪問控切W杈附代理機iM?

確保信息卬11他相關(guān)資產(chǎn)在組織?儀尼開經(jīng)耳收秋田人加訪〃嫉潛駛小密的用.Mt?N觸相天負產(chǎn).

信忠及其也相內(nèi)耗得刊合理.安全和盯效的使應(yīng)識別、文件化井實住伯(?1)質(zhì)控和審計：

關(guān)標(biāo)產(chǎn)的可依用,通過明痢可按變使用的規(guī)則?設(shè)立監(jiān)控機制.定班檢森信此和其他相關(guān)登產(chǎn)的使用情況.

5.10息及其他相關(guān)資產(chǎn)的可按

?實施審計也好.確保規(guī)則泡到謂守.并及時發(fā)現(xiàn)和糾正任何母母行為.

免住用和處理規(guī)程,防止資產(chǎn)的不力使爻使用城則川處理規(guī)程

in.at用成朱如授權(quán)的訪問⑸鎮(zhèn)觀處理：

?明卻違諼使用的G果，井M定相成的處罰措施.

.君班反可接受伙用規(guī)則的行為進行為時調(diào)我和處理.