最新版信息安全體系.

1、ISO/IEC 27001：2013版信息技術-安全技術-信息安全管理體系-要求廣州長東信息科技有限公司 第 2 頁，共 2 頁ISO 27001:2013版翻譯版目 錄前言1引言10.1總則10.2與其他管理體系的兼容性1信息技術-安全技術-信息安全管理體系-要求11 范圍12 規(guī)范性引用文件13 術語和定義14 組織環(huán)境14.1理解組織及其環(huán)境14.2理解相關方的需求和期望14.3確定信息安全管理體系的范圍14.4信息安全管理體系15領導15.1領導和承諾15.2方針15.3組織角色、職責和權限16規(guī)劃16.1應對風險和機會的措施16.1.1總則16.1.2信息安全風險評估16.1.3信息

2、安全風險處置16.2信息安全目標和規(guī)劃實現(xiàn)17支持17.1資源17.2能力17.3意識17.4溝通17.5文件記錄信息17.5.1總則17.5.2創(chuàng)建和更新17.5.3文件記錄信息的控制18運行18.1運行的規(guī)劃和控制18.2信息安全風險評估18.3信息安全風險處置19績效評價19.1監(jiān)視、測量、分析和評價19.2內部審核19.3管理評審110改進110.1不符合和糾正措施110.2持續(xù)改進1附 錄 A1表 A.1控制目標和控制措施1第 27 頁，共 27 頁前言ISO（國際標準化組織）和IEC（國際電工委員會）是為國際標準化制定專門體制的國際組織。國家機構是ISO或IEC的成員，他們通過各自

3、的組織建立技術委員會參與國際標準的制定，來處理特定領域的技術活動。ISO和IEC技術委員會在共同感興趣的領域合作。其他國際組織、政府和非政府等機構，通過聯(lián)絡ISO和IEC參與這項工作。ISO和IEC已經在信息技術領域建立了一個聯(lián)合技術委員會 ISO/IECJTC1。國際標準的制定遵循ISO/IEC導則第2部分的規(guī)則。聯(lián)合技術委員會的主要任務是起草國際標準，并將國際標準草案提交給國家機構投票表決。國際標準的出版發(fā)行必須至少75%以上的成員投票通過。本文件中的某些內容有可能涉及一些專利權問題，這一點應該引起注意。 ISO和IEC不負責識別任何這樣的專利權問題。ISO/IEC 27001由聯(lián)合技術委

4、員會ISO/IEC JTC1（信息技術）分委員會SC27（安全技術）起草。第二版進行了技術上的修訂，并取消和替代第一版（ISO/IEC 27001:2005）。引言0.1總則本標準用于為建立、實施、保持和持續(xù)改進信息安全管理體系提供要求。采用信息安全管理體系是組織的一項戰(zhàn)略性決策。一個組織信息安全管理體系的建立和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響。所有這些影響因素會不斷發(fā)生變化。信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性，以充分管理風險并給予相關方信心。信息安全管理體系是組織過程和整體管理結構的一部分并與其整合在一起是非常重要的。信

5、息安全在設計過程、信息系統(tǒng)、控制措施時就要考慮信息安全。按照組織的需要實施信息安全管理體系，是本標準所期望的。本標準可被內部和外部相關方使用，評估組織的能力是否滿足組織自身信息安全要求。本標準中要求的順序并不能反映他們的重要性或意味著他們的實施順序。列舉的條目僅用于參考目的。ISO/IEC27000描述了信息安全管理體系的概述和詞匯，參考了信息安全管理體系標準族（包括ISO/IEC 27003、ISO/IEC 27004和 ISO/IEC 27005）以及相關的術語和定義。0.2與其他管理體系的兼容性本標準應用了 ISO/IEC導則第一部分 ISO補充部分附錄SL中定義的高層結構、相同的子章節(jié)

6、標題、相同文本、通用術語和核心定義。因此保持了與其它采用附錄 SL的管理體系標準的兼容性。附錄 SL定義的通用方法對那些選擇運作單一管理體系（可同時滿足兩個或多個管理體系標準要求）的組織來說是十分有益的。信息技術-安全技術-信息安全管理體系-要求1 范圍本標準從組織環(huán)境的角度，為建立、實施、運行、保持和持續(xù)改進信息安全管理體系規(guī)定了要求。本標準還規(guī)定了為適應組織需要而定制的信息安全風險評估和處置的要求。本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標準時，對于第 4章到第 10章的要求不能刪減。2 規(guī)范性引用文件下列文件的全部或部分內容在本文件中進行了規(guī)范引用，對于

7、其應用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。ISO/IEC 27000，信息技術安全技術信息安全管理體系概述和詞匯3 術語和定義ISO/IEC 27000中的術語和定義適用于本標準。4 組織環(huán)境4.1理解組織及其環(huán)境組織應確定與其目標相關并影響其實現(xiàn)信息安全管理體系預期結果的能力的外部和內部問題。注：確定這些問題涉及到建立組織的外部和內部環(huán)境，在ISO 31000:20095的5.3節(jié)考慮了這一事項。4.2理解相關方的需求和期望組織應確定：a) 與信息安全管理體系有關的相關方；b) 這些相關方與信息安全有

8、關的要求注：相關方的要求可能包括法律法規(guī)要求和合同義務。4.3確定信息安全管理體系的范圍組織應確定信息安全管理體系的邊界和適用性，以建立其范圍。當確定該范圍時，組織應考慮：c) 在4.1中提及的外部和內部問題；d) 在4.2中提及的要求；e) 組織所執(zhí)行的活動之間以及與其它組織的活動之間的接口和依賴性范圍應文件化并保持可用性。4.4信息安全管理體系組織應按照本標準的要求建立、實施、保持和持續(xù)改進信息安全管理體系。5領導5.1領導和承諾高層管理者應通過下列方式展示其關于信息安全管理體系的領導力和承諾：a) 確保建立信息安全方針和信息安全目標，并與組織的戰(zhàn)略方向保持一致；b) 確保將信息安全管理體

9、系要求整合到組織的業(yè)務過程中；c) 確保信息安全管理體系所需資源可用；d) 傳達信息安全管理有效實施、符合信息安全管理體系要求的重要性；e) 確保信息安全管理體系實現(xiàn)其預期結果；f) 指揮并支持人員為信息安全管理體系的有效實施作出貢獻；g) 促進持續(xù)改進；h) 支持其他相關管理角色在其職責范圍內展示他們的領導力。5.2方針高層管理者應建立信息安全方針，以：a) 適于組織的目標；b) 包含信息安全目標（見6.2）或設置信息安全目標提供框架；c) 包含滿足適用的信息安全相關要求的承諾；d) 包含信息安全管理體系持續(xù)改進的承諾。信息安全方針應：e) 文件化并保持可用性；f) 在組織內部進行傳達；g)

10、 適當時，對相關方可用。5.3組織角色、職責和權限高層管理者應確保分配并傳達了信息安全相關角色的職責和權限。高層管理者應分配下列職責和權限：a) 確保信息安全管理體系符合本標準的要求；b) 將信息安全管理體系的績效報告給高層管理者。注：高層管理者可能還要分配在組織內部報告信息安全管理體系績效的職責和權限。6規(guī)劃6.1應對風險和機會的措施6.1.1總則當規(guī)劃信息安全管理體系時，組織應考慮4.1中提及的問題和4.2中提及的要求，確定需要應對的風險和機會，以：a) 確保信息安全管理體系能實現(xiàn)其預期結果；b) 防止或減少意外的影響；c) 實現(xiàn)持續(xù)改進。組織應規(guī)劃：d) 應對這些風險和機會的措施；e)

11、如何1) 整合和實施這些措施并將其納入信息安全管理體系過程；2) 評價這些措施的有效性。6.1.2信息安全風險評估組織應定義并應用風險評估過程，以：a) 建立并保持信息安全風險準則，包括：1) 風險接受準則；2) 執(zhí)行信息安全風險評估的準則；b) 確保重復性的信息安全風險評估可產生一致的、有效的和可比較的結果；c) 識別信息安全風險：1) 應用信息安全風險評估過程來識別信息安全管理體系范圍內的信息喪失保密性、完整性和可用性的相關風險；2) 識別風險負責人；d) 分析信息安全風險：1) 評估 6.1.2 c）1）中所識別風險發(fā)生后將導致的潛在影響；2) 評估 6.1.2 c）1）中所識別風險發(fā)生

12、的現(xiàn)實可能性；3) 確定風險級別；e) 評價信息安全風險；1) 將風險分析結果同 6.1.2 a）建立的風險準則進行比較；2) 為實施風險處置確定已分析風險的優(yōu)先級。組織應保留信息安全風險評估過程的文件記錄信息。6.1.3信息安全風險處置組織應定義并應用信息安全風險處置過程，以：a) 在考慮風險評估結果的前提下，選擇適當的信息安全風險處置選項：b) 為實施所選擇的信息安全風險處置選項，確定所有必需的控制措施；注：組織可按要求設計控制措施，或從其他來源識別控制措施。c) 將6.1.3 b）所確定的控制措施與附錄 A的控制措施進行比較，以核實沒有遺漏必要的控制措施；注1：附錄A包含了一份全面的控制

13、目標和控制措施的列表。本標準用戶可利用附錄A以確保不會遺漏必要的控制措施。注2：控制目標包含于所選擇的控制措施內。附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要另外的控制目標和控制措施。d) 產生適用性聲明。適用性聲明要包含必要的控制措施（見6.1.3 b）和 c）、對包含的合理性說明（無論是否已實施）以及對附錄 A控制措施刪減的合理性說明；e) 制定信息安全風險處置計劃；f) 獲得風險負責人對信息安全風險處置計劃以及接受信息安全殘余風險的批準。組織應保留信息安全風險處置過程的文件記錄信息。注：本標準中的信息安全風險評估和處置過程可與ISO 310005中規(guī)定的原

14、則和通用指南相結合。6.2信息安全目標和規(guī)劃實現(xiàn)組織應在相關職能和層次上建立信息安全目標。信息安全目標應：a) 與信息安全方針一致；b) 可測量（如可行）；c) 考慮適用的信息安全要求以及風險評估和風險處置結果；d) 被傳達；e) 適當時進行更新。組織應保留關于信息安全目標的文件記錄信息。當規(guī)劃如何實現(xiàn)其信息安全目標時，組織應確定：f) 要做什么；g) 需要什么資源；h) 由誰負責；i) 什么時候完成；j) 如何評價結果。7支持7.1資源組織應確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資源。7.2能力組織應：a) 確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要

15、能力；b) 確保人員在適當教育，培訓和經驗的基礎上能夠勝任工作；c) 適用時，采取措施來獲得必要的能力，并評價所采取措施的有效性；d) 保留適當的文件記錄信息作為能力方面的證據。注：例如適當措施可能包括為現(xiàn)有員工提供培訓、對其進行指導或重新分配工作；雇用或簽約有能力的人員。7.3意識人員在組織的控制下從事其工作時應意識到：a) 信息安全方針；b) 他們對有效實施信息安全管理體系的貢獻，包括信息安全績效改進后的益處；c) 不符合信息安全管理體系要求可能的影響。7.4溝通組織應確定有關信息安全管理體系在內部和外部進行溝通的需求，包括：a) 什么需要溝通；b) 什么時候溝通；c) 跟誰進行溝通；d)

16、 由誰負責溝通；e) 影響溝通的過程。7.5文件記錄信息7.5.1總則組織的信息安全管理體系應包括：a) 本標準要求的文件記錄信息；b) 組織為有效實施信息安全管理體系確定的必要的文件記錄信息。注：不同組織的信息安全管理體系文件記錄信息的詳略程度取決于：1) 組織的規(guī)模及其活動、過程、產品和服務的類型；2) 過程的復雜性及其相互作用；3) 人員的能力。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件記錄信息時，組織應確保適當的：a) 標識和描述（例如：標題、日期、作者或參考編號）；b) 格式（例如：語言，軟件版本，圖表）和介質（例如：紙質介質，電子介質）；c) 評審和批準其適用性和充分性。7.5.3文件記錄

17、信息的控制信息安全管理體系和本標準所要求的文件記錄信息應予以控制，以確保：a) 無論何時何地需要，它都是可用并適合使用的；b) 它被充分保護（例如避免喪失保密性、使用不當或喪失完整性）。對于文件記錄信息的控制，適用時，組織應處理下列問題：c) 分發(fā)、訪問、檢索和使用；d) 存儲和保存，包括可讀性的保持；e) 變更控制（例如版本控制）；f) 保留和和處置。組織為規(guī)劃和實施信息安全管理體系確定的必要的外部原始文件記錄信息，適當時應予以識別并進行控制。注：訪問隱含一個權限決策：僅能查看文件記錄信息，或有權去查看和變更文件記錄信息等。8運行8.1運行的規(guī)劃和控制組織應規(guī)劃、實施和控制滿足信息安全要求所

18、需的過程，并實施 6.1中確定的措施。組織還應實施這些規(guī)劃來實現(xiàn)6.2中所確定的信息安全目標。組織應保持文件記錄信息達到必要的程度：有信心證明過程是按計劃執(zhí)行的。組織應控制計劃了的變更，評審非預期變更的后果，必要時采取措施減緩負面影響。組織應確保外包的過程已確定，并處于可控狀態(tài)。8.2信息安全風險評估考慮到6.1.2 a）中建立的風險評估執(zhí)行準則，組織應按計劃的時間間隔執(zhí)行信息安全風險評估，當重大變更被提出或發(fā)生時也應執(zhí)行信息安全風險評估。組織應保留信息安全風險評估結果的文件記錄信息。8.3信息安全風險處置組織應實施信息安全風險處置計劃。組織應保留信息安全風險處置結果的文件記錄信息。9績效評價

19、9.1監(jiān)視、測量、分析和評價組織應評價信息安全績效和信息安全管理體系的有效性。組織應確定：a) 什么需要監(jiān)視和測量，包括信息安全過程和控制措施；b) 監(jiān)視、測量、分析和評價的方法，適用時，確保結果有效；注：選擇的方法最好產生可比較和可再現(xiàn)的結果，這樣才能被認為是有效的。c) 什么時候應執(zhí)行監(jiān)視和測量；d) 誰應實施監(jiān)視和測量；e) 什么時候應對監(jiān)視和測量的結果進行分析和評價；f) 誰應分析和評價這些結果。組織應保留適當的文件記錄信息作為監(jiān)視和測量結果的證據。9.2內部審核組織應按計劃的時間間隔進行內部審核，以提供信息確定信息安全管理體系是否：a) 符合1) 組織自身信息安全管理體系的要求；2)

20、 本標準的要求；b) 得到有效的實施和保持。組織應：c) 規(guī)劃、建立、實施和保持審核方案，包括頻次、方法、職責、計劃要求和報告。審核方案應考慮所關注過程的重要性以及以往審核的結果；d) 為每次審核定義審核準則和審核范圍；e) 審核員的選擇和審核的實施應確保審核過程的客觀性和公正性；f) 確保審核結果報告給相關的管理者；g) 保留文件記錄信息作為審核方案和審核結果的證據。9.3管理評審管理者應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評審應包括下列方面的考慮：a) 以往管理評審的措施的狀態(tài)；b) 與信息安全管理體系相關的外部和內部問題的變更；c) 信息

21、安全績效的反饋，包括下列方面的趨勢：1) 不符合和糾正措施；2) 監(jiān)視和測量結果；3) 審核結果；4) 信息安全目標的實現(xiàn)；d) 相關方的反饋；e) 風險評估的結果和風險處置計劃的狀態(tài)；f) 持續(xù)改進的機會。管理評審的輸出應包括與持續(xù)改進機會有關的決定，以及變更信息安全管理體系的所有需求。組織應保留文件記錄信息作為管理評審結果的證據。10改進10.1不符合和糾正措施當發(fā)生不符合時，組織應：a) 對不符合作出反應，適用時：1) 采取措施控制并糾正不符合；2) 處理后果；b) 為確保不符合不再發(fā)生或不在其他地方發(fā)生，通過下列方式評價消除不符合原因的措施需求：1) 評審不符合；2) 確定不符合的原因

22、；3) 確定是否存在或可能發(fā)生相似的不符合；c) 實施所需的措施；d) 評審所采取糾正措施的有效性；e) 必要時，對信息安全管理體系實施變更。糾正措施應與所遇不符合的影響相適應。組織應保留文件記錄信息作為下列事項的證據：f) 不符合的性質以及所采取的所有后續(xù)措施；g) 所有糾正措施的結果。10.2持續(xù)改進組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性。附 錄 A（規(guī)范性附錄）參考控制目標和控制措施表A.1所列的控制目標和控制措施是直接源自并與ISO/IEC DIS 27002:20131第5到18章一致，可用于 6.1.3節(jié)的情境。表 A.1控制目標和控制措施A.5 信息安全策略A.5

23、.1 信息安全的管理方向目標：依據業(yè)務要求和相關法律法規(guī)提供管理方向并支持信息安全。A.5.1.1信息安全策略控制措施信息安全策略集應由管理者定義、批準、發(fā)布并傳達給員工和相關外部方。A.5.1.2信息安全策略的評審控制措施信息安全策略應按計劃的時間間隔或當重大變化發(fā)生時進行評審，以確保其持續(xù)的適宜性、充分性和有效性。A.6信息安全組織A.6.1內部組織目標：建立管理框架，以啟動和控制組織范圍內的信息安全的實施和運行。A.6.1.1信息安全角色和職責控制措施所有的信息安全職責應予以定義和分配。A.6.1.2職責分離控制措施分離相沖突的責任及職責范圍，以降低未授權或無意識的修改或者不當使用組織資

24、產的機會。A.6.1.3與政府部門的聯(lián)系控制措施應保持與政府相關部門的適當聯(lián)系。A.6.1.4與特定利益集團的聯(lián)系控制措施應保持與特定利益集團、其他安全論壇和專業(yè)協(xié)會的適當聯(lián)系。A.6.1.5項目管理中的信息安全控制措施無論項目是什么類型，在項目管理中都應處理信息安全問題。A.6.2移動設備和遠程工作目標：確保遠程工作和使用移動設備時的安全。A.6.2.1移動設備策略控制措施應采用策略和支持性安全措施來管理由于使用移動設備帶來的風險。A.6.2.2遠程工作控制措施應實施策略和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。A.7 人力資源安全A.7.1任用之前目標：確保雇員和承包方人

25、員理解其職責、適于考慮讓其承擔的角色。A.7.1.1審查控制措施關于所有任用候選者的背景驗證核查應按照相關法律、法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行。A.7.1.2任用條款和條件控制措施與雇員和承包方人員的合同協(xié)議應聲明他們和組織的信息安全職責。A.7.2任用中目標：確保雇員和承包方人員知悉并履行其信息安全職責。A.7.2.1管理職責控制措施管理者應要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對信息安全盡心盡力。A.7.2.2信息安全意識、教育和培訓控制措施組織的所有雇員，適當時，包括承包方人員，應受到與其工作職能相關的適當的意識培訓和組織策略及規(guī)程的定期更

26、新培訓。A.7.2.3紀律處理過程控制措施應有一個正式的、已傳達的紀律處理過程，來對信息安全違規(guī)的雇員采取措施。A.7.3 任用的終止或變更目標：將保護組織利益作為變更或終止任用過程的一部分。A.7.3.1任用終止或變更職責應定義信息安全職責和義務在任用終止或變更后保持有效的要求，并傳達給雇員或承包方人員，予以執(zhí)行。A.8 資產管理A.8.1 對資產負責目標：識別組織資產，并定義適當的保護職責。A.8.1.1資產清單控制措施應識別與信息和信息處理設施的資產，編制并維護這些資產的清單。A.8.1.2資產所有權控制措施清單中所維護的資產應分配所有權。A.8.1.3資產的可接受使用控制措施信息及與信

27、息和信息處理設施有關的資產的可接受使用規(guī)則應被確定、形成文件并加以實施。A.8.1.4資產的歸還控制措施所有的雇員和外部方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產。A.8.2 信息分類目標：確保信息按照其對組織的重要性受到適當級別的保護。A.8.2.1信息的分類控制措施信息應按照法律要求、價值、關鍵性以及它對未授權泄露或修改的敏感性予以分類。A.8.2.2信息的標記控制措施應按照組織所采納的信息分類機制建立和實施一組合適的信息標記規(guī)程。A.8.2.3信息的處理控制措施應按照組織所采納的信息分類機制建立和實施處理資產的規(guī)程。A.8.3 介質處置目標：防止存儲在介質上的信息遭受未

28、授權泄露、修改、移動或銷毀。A.8.3.1可移動介質的管理控制措施應按照組織所采納的分類機制實施可移動介質的管理規(guī)程。A.8.3.2介質的處置控制措施不再需要的介質，應使用正式的規(guī)程可靠并安全地處置。A.8.3.3物理介質傳輸控制措施包含信息的介質在運送時，應防止未授權的訪問、不當使用或毀壞。A.9 訪問控制A.9.1 安全區(qū)域目標：限制對信息和信息處理設施的訪問。A.9.1.1訪問控制策略控制措施訪問控制策略應建立、形成文件，并基于業(yè)務和信息安全要求進行評審。A.9.1.2網絡和網絡服務的訪問控制措施用戶應僅能訪問已獲專門授權使用的網絡和網絡服務。A.9.2 用戶訪問管理目標：確保授權用戶訪

29、問系統(tǒng)和服務，并防止未授權的訪問。A.9.2.1用戶注冊及注銷控制措施應實施正式的用戶注冊及注銷規(guī)程，使訪問權限得以分配。A.9.2.2用戶訪問開通控制措施應實施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務所有用戶類型的訪問權限。A.9.2.3特殊訪問權限管理控制措施應限制和控制特殊訪問權限的分配及使用。A.9.2.4用戶秘密鑒別信息管理控制措施應通過正式的管理過程控制秘密鑒別信息的分配。A.9.2.5用戶訪問權限的復查控制措施資產所有者應定期復查用戶的訪問權限。A.9.2.6撤銷或調整訪問權限控制措施所有雇員、外部方人員對信息和信息處理設施的訪問權限應在任用、合同或協(xié)議終止時撤銷，或在

30、變化時調整。A.9.3 用戶職責目標：使用戶承擔保護認證信息安全的責任。A.9.3.1使用秘密鑒別信息控制措施應要求用戶在使用秘密鑒別信息時，遵循組織的實踐。A.9.4 系統(tǒng)和應用訪問控制目標：防止對系統(tǒng)和應用的未授權訪問。A.9.4.1信息訪問控制控制措施應依照訪問控制策略限制對信息和應用系統(tǒng)功能的訪問。A.9.4.2安全登錄規(guī)程控制措施在訪問控制策略要求下，訪問操作系統(tǒng)和應用應通過安全登錄規(guī)程加A.9.4.3口令管理系統(tǒng)控制措施口令管理系統(tǒng)應是交互式的，并應確保優(yōu)質的口令。A.9.4.4特殊權限使用工具軟件的使用控制措施對于可能超越系統(tǒng)和應用程序控制措施的適用工具軟件的使用應加以限制并嚴格

31、控制。A.9.4.5對程序源代碼的訪問控制控制措施應限制訪問程序源代碼。A.10 密碼學A.10.1 密碼控制目標：恰當和有效的利用密碼學保護信息的保密性、真實性或完整性。A.10.1.1使用密碼控制的策略控制措施應開發(fā)和實施使用密碼控制措施來保護信息的策略。A.10.1.2密鑰管理控制措施宜開發(fā)和實施貫穿整個密鑰生命周期的關于密鑰使用、保護和生存期的策略。A.11 物理和環(huán)境安全A.11.1 安全區(qū)域目標：防止對組織場所和信息的未授權物理訪問、損壞和干擾。A.11.1.1物理安全周邊控制措施應定義安全周邊和所保護的區(qū)域，包括敏感或關鍵的信息和信息處理設施的區(qū)域。A.11.1.2物理入口控制控

32、制措施安全區(qū)域應由適合的入口控制所保護，以確保只有授權的人員才允許訪問。A.11.1.3辦公室、房間和設施的安全保護控制措施應為辦公室、房間和設施設計并采取物理安全措施。A.11.1.4外部環(huán)境威脅的安全防護控制措施為防止自然災難、惡意攻擊或事件，應設計和采取物理保護措施。A.11.1.5在安全區(qū)域工作控制措施應設計和應用工作在安全區(qū)域的規(guī)程。A.11.1.6交接區(qū)安全控制措施訪問點（例如交接區(qū)）和未授權人員可進入辦公場所的其他點應加以控制，如果可能，應與信息處理設施隔離，以避免未授權訪問。A.11.2 設備目標：防止資產的丟失、損壞、失竊或危及資產安全以及組織活動的中斷。A.11.2.1設備

33、安置和保護控制措施應安置或保護設備，以減少由環(huán)境威脅和危險所造成的各種風險以及未授權訪問的機會。A.11.2.2支持性設施控制措施應保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷。A.11.2.3布纜安全控制措施應保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。A.11.2.4設備維護控制措施設備應予以正確地維護，以確保其持續(xù)的可用性和完整性。A.11.2.5資產的移動控制措施設備、信息或軟件在授權之前不應帶出組織場所。A.11.2.6組織場外設備和資產的安全控制措施應對組織場所外的設備采取安全措施，要考慮工作在組織場所以外的不同風險。A.11.2.7設備的安全處置

34、或在利用控制措施包含儲存介質的設備的所有項目應進行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。A.11.2.8無人值守的用戶設備控制措施用戶應確保無人值守的用戶設備有適當的保護。A.11.2.9清空桌面和屏幕策略控制措施應采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略。A.12 操作安全A.12.1 操作規(guī)程和職責目標：確保正確、安全的操作信息處理設施A.12.1.1文件化的操作規(guī)程控制措施操作規(guī)程應形成文件并對所有需要的用戶可用。A.12.1.2變更管理控制措施對影響信息安全的組織、業(yè)務過程、信息處理設施和系統(tǒng)等的變更應加以控制。A.12.1.

35、3容量管理控制措施資源的使用應加以監(jiān)視、調整，并作出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。A.12.1.4開發(fā)、測試和運行環(huán)境分離控制措施開發(fā)、測試和運行環(huán)境應分離，以減少未授權訪問或改變運行環(huán)境的風險。A.12.2 惡意軟件防護目標：確保對信息和信息處理設施進行惡意軟件防護。A.12.2.1控制惡意軟件控制措施應實施惡意軟件的檢測、預防和恢復的控制措施，以及適當的提高用戶安全意識。A.12.3 備份目標：為了防止數據丟失A.12.3.1信息備份控制措施應按照已設的備份策略，定期備份和測試信息和軟件。A.12.4 日志和監(jiān)視目標：記錄事態(tài)和生成證據。A.12.4.1事態(tài)記錄控制措施

36、應產生記錄用戶活動、異常情況、故障和信息安全事態(tài)的事態(tài)日志，并保持定期評審。A.12.4.2日志信息的保護控制措施記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問。A.12.4.3管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員的活動應記入日志，保護日志并定期評審。A.12.4.4時鐘同步控制措施一個組織或安全域內的所有相關信息處理設施的時鐘應使用單一參考時間源進行同步。A.12.5 運行軟件的控制目標：確保運行系統(tǒng)的完整性。A.12.5.1在運行系統(tǒng)上安裝軟件控制措施應實施規(guī)程來控制在運行系統(tǒng)上安裝軟件。A.12.6 技術脆弱性管理目標：防止技術脆弱性被利用。A.12.6.1技術

37、脆弱性的控制控制措施應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當的措施來處理相關的風險。A.12.6.2限制軟件安裝控制措施應建立和實施軟件安裝的用戶管理規(guī)則。A.12.7 信息系統(tǒng)審計考慮目標：將運行系統(tǒng)審計活動的影響最小化。A.12.7.1信息系統(tǒng)審計控制措施控制措施涉及對運行系統(tǒng)驗證的審計要求和活動，應謹慎地加以規(guī)劃并取得批準，以便使造成業(yè)務過程中斷最小化。A.13 通信安全A.13.1 網絡安全管理目標：確保網絡中信息的安全性并保護支持性信息處理設施。A.13.1.1網絡控制控制措施應管理和控制網絡，以保護系統(tǒng)中信息和應用程序的安全。A.13.1.

38、2網絡服務安全控制措施安全機制、服務級別以及所有網絡服務的管理要求應予以確定并包括在所有網絡服務協(xié)議中，無論這些服務是由內部提供的還是外包的。A.13.1.3網絡隔離控制措施應在網絡中隔離信息服務、用戶及信息系統(tǒng)。A.13.2 信息傳遞目標：保持組織內以及與組織外信息傳遞的安全。A.13.2.1信息傳遞策略和規(guī)程控制措施應有正式的傳遞策略、規(guī)程和控制措施，以保護通過使用各種類型通信設施的信息傳遞。A.13.2.2信息傳遞協(xié)議控制措施協(xié)議應解決組織與外部方之間業(yè)務信息的安全傳遞。A.13.2.3電子消息發(fā)送控制措施包含在電子消息發(fā)送中的信息應給予適當的保護。A.13.2.4保密性或不泄露協(xié)議控制

39、措施應識別、定期評審并記錄反映組織信息保護需要的保密性或不泄露協(xié)議的要求。A.14 系統(tǒng)獲取、開發(fā)和維護A.14.1 信息系統(tǒng)的安全需求目標：確保信息安全是信息系統(tǒng)整個生命周期中的一個有機組成部分。這也包括提供公共網絡服務的信息系統(tǒng)的要求。A.14.1.1信息安全要求分析和說明控制措施信息安全相關要求應包括新的信息系統(tǒng)要求或增強已有信息系統(tǒng)的要求。A.14.1.2公共網絡應用服務安全控制措施應保護公共網絡中的應用服務信息，以防止欺騙行為、合同糾紛、未授權泄露和修改。A.14.1.3保護應用服務交易控制措施應保護涉及應用服務交易的信息，以防止不完整傳送、錯誤路由、未授權消息變更、未授權泄露、未授

40、A.14.2 開發(fā)和支持過程中的安全目標：應確保進行信息安全設計，并確保其在信息系統(tǒng)開發(fā)生命周期中實施。A.14.2.1安全開發(fā)策略控制措施應建立軟件和系統(tǒng)開發(fā)規(guī)則，并應用于組織內的開發(fā)。A.14.2.2系統(tǒng)變更控制規(guī)程控制措施應通過使用正式變更控制程序控制開發(fā)生命周期中的系統(tǒng)變更。A.14.2.3運行平臺變更后應用的技術評審控制措施當運行平臺發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。A.14.2.4軟件包變更的限制控制措施應對軟件包的修改進行勸阻，只限于必要的變更，且對所有的變更加以嚴格控制。A.14.2.5安全系統(tǒng)工程原則控制措施應建立、記錄和維護

41、安全系統(tǒng)工程原則，并應用到任何信息系統(tǒng)實施工作。A.14.2.6安全開發(fā)環(huán)境控制措施組織應建立并適當保護系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境，覆蓋整個系統(tǒng)開發(fā)生命周期。A.14.2.7外包開發(fā)控制措施組織應管理和監(jiān)視外包系統(tǒng)開發(fā)活動。A.14.2.8系統(tǒng)安全測試控制措施在開發(fā)過程中，應進行安全功能測試。A.14.2.9系統(tǒng)驗收測試控制措施對于新建信息系統(tǒng)和新版本升級系統(tǒng)，應建立驗收測試方案和相關準則。A.14.3 測試數據目標：確保保護測試數據。A.14.3.1系統(tǒng)測試數據的保護控制措施測試數據應認真地加以選擇、保護和控制。A.15 供應商關系A.15.1 供應商關系的信息安全目標：確保保護可被供

42、應商訪問的組織資產。A.15.1.1供應商關系的信息安全策略控制措施為減緩供應商訪問組織資產帶來的風險，應與供應商協(xié)商并記錄相關信息安全要求。A.15.1.2處理供應商協(xié)議的安全問題控制措施應與每個可能訪問、處理、存儲組織信息、與組織進行通信或為組織提供IT基礎設施組件的供應商建立并協(xié)商所有相關的信息安全要求。A.15.1.3信息和通信技術供應鏈控制措施供應商協(xié)議應包括信息和通信技術服務以及產品供應鏈相關信息安全風險處理的要求。A.15.2 供應商服務交付管理目標：保持符合供應商交付協(xié)議的信息安全和服務交付的商定水準。A.15.2.1供應商服務的監(jiān)視和評審控制措施組織應定期監(jiān)視、評審和審計供應商服務交付。A.15.2.2供應商服務的變更管理控制措施應管理供應商服務提供的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)