iso271：213中英文對照

1、Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技術(shù)-安全技術(shù)-信息安全管理體系-要求ForewordISO（theInternationalOrganizationforStandardization）andIEC（theInternationalElectrotechnicalCommission）formthespecializedsystemforworldwidestandardization.Nationalbodiesthataremembers

2、ofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental,i

3、nliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.ISO（國際標(biāo)準(zhǔn)化組織） 和IEC（國際電工委員會） 是為國際標(biāo)準(zhǔn)化制定專門體制的國際組織。 國家機(jī)構(gòu)是ISO或IEC的成員，他們通過各自的組織建立技術(shù)委員會參與國際標(biāo)準(zhǔn)的制定，來處理特定領(lǐng)域的技術(shù)活動(dòng)。ISO和IEC技術(shù)委員會在共同感興趣的領(lǐng)域合作。其他國際組織、政府和非政府等機(jī)構(gòu)，通過聯(lián)絡(luò)ISO和IEC參與這項(xiàng)工作。

4、ISO和IEC已經(jīng)在信息技術(shù)領(lǐng)域建立了一個(gè)聯(lián)合技術(shù)委員會ISO/IECJTC1。InternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IECDirectives,Part2.國際標(biāo)準(zhǔn)的制定遵循ISO/IEC導(dǎo)則第2部分的規(guī)則。ThemaintaskofthejointtechnicalcommitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalcommitteearecircul

5、atedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.聯(lián)合技術(shù)委員會的主要任務(wù)是起草國際標(biāo)準(zhǔn)，并將國際標(biāo)準(zhǔn)草案提交給國家機(jī)構(gòu)投票表決。國際標(biāo)準(zhǔn)的出版發(fā)行必須至少75%以上的成員投票通過。l，一j-_11iIAttentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.I

6、SOandIECshallnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.本文件中的某些內(nèi)容有可能涉及一些專利權(quán)問題，這一點(diǎn)應(yīng)該引起注意。ISO和IEC不負(fù)責(zé)識別任何這樣的專利權(quán)問題。ISO/IEC27001waspreparedbyJointTechnicalCommitteeISO/IECJTC1,Informationtechnology,SubcommitteeSC27,ITSecuritytechniques.ISO/IEC27001由聯(lián)合技術(shù)委員會ISO/IECJTC1（信息技術(shù)）分委員會SC27（安全技術(shù)）起草

7、。Thissecondeditioncancelsandreplacesthefirstedition(ISO/IEC27001:2005),whichhasbeentechnicallyrevised.第二版進(jìn)行了技術(shù)上的修訂，并取消和替代第一版(ISO/IEC27001:2005)。I，II0Introduction引言1.1 General0.1總則ThisInternationalStandardhasbeenpreparedtoproviderequirementsforestablishing,implementing,maintainingandcontinuallyimprov

8、inganinformationsecuritymanagementsystem.Theadoptionofaninformationsecuritymanagementsystemisastrategicdecisionforanorganization.Theestablishmentandimplementationofanorganizationsinformationsecuritymaiagementsystemisinfluencedbytheorganizationsneenlsdobjectives,securityrequirements,theorganizational

9、processesusedandthesizeandstructureoftheorganization.Alloftheseinfluencingfactorsareexpectedtochangeovertime.本標(biāo)準(zhǔn)用于為建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系提供要求。采用信息安全管理體系是組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織信息安全管理體系的建立和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響。所有這些影響因素會不斷發(fā)生變化。Theinformationsecuritymanagementsystempreservestheconfidentiality,inte

10、grityandavailabilityofinformationbyapplyingariskmanagementprocessandgivesconfidencetointerestedpartiesthatrisksareadequatelymanaged.信息安全管理體系通過應(yīng)用風(fēng)險(xiǎn)管理過程來保持信息的保密性、-完整性和可用性，以充分管理風(fēng)險(xiǎn)并給予相關(guān)方信心。Itisimportantthattheinformationsecuritymanagementsystemispartofandintegratedwiththeorganizationsprocessandoverallma

11、nagementstructureandthatinformationsecurityisconsideredinthedesignofprocesses,informationsystems,andcontrols.Itisexpectedthataninformationsecuritymanagementsystemimplementationwillbescaledinaccordancewiththeneedsoftheorganization.信息安全管理體系是組織過程和整體管理結(jié)構(gòu)的一部分并與其整合在一起是非常重要的。信息安全在設(shè)計(jì)過程、信息系統(tǒng)、控制措施時(shí)就要考慮信息安全。按照

12、組織的需要實(shí)施信息安全管理體系，是本標(biāo)準(zhǔn)所期望的。ThisInternationalStandardcanbeusedbyinternalandexternalpartiestoassesstheorganizationsabilitytomeettheorganizationsowninformationsecurityrequirements.本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方使用，評估組織的能力是否滿足組織自身信息安全要求。TheorderinwhichrequirementsarepresentedinthisInternationalStandarddoesnotreflecttheirim

13、portanceorimplytheorderinwhichtheyaretobeimplemented.Thelistitemsareenumeratedforreferencepurposeonly.本標(biāo)準(zhǔn)中要求的順序并不能反映他們的重要性或意味著他們的實(shí)施順序。列舉的條目僅用于參考目的。ISO/IEC27000describestheoverviewandthevocabularyofinformationsecuritymanagementsystems,referencingtheinformationsecuritymanagementsystemfamilyofstandards

14、(includingISO/IEC270032,ISO/IEC270043andISO/IEC270054),withrelatedtermsanddefinitions.ISO/IEC27000描述了信息安全管理體系的概述和詞匯，參考了信息安全管理體系標(biāo)準(zhǔn)族(包括ISO/IEC27003、ISO/IEC27004和ISO/IEC27005)以及相關(guān)的術(shù)語和定義。1.2 Compatibilitywithothermanagementsystemstandards0.2與其他管理體系的兼容性ThisInternationalStandardappliesthehigh-levelstructu

15、re,identicalsub- I Iclausetitles,identicaltext,commonterms,andcoredefinitionsdefinedinAnnexSLofISO/IECDirei1i1r r-I-I ctives,Part1,ConsolidatedISOSupplement,andthereforemaintainscompatibilitywithothermanagementsystemstandardsthathaveadoptedtheAnnexSL.本標(biāo)準(zhǔn)應(yīng)用了ISO/IEC導(dǎo)則第一部分ISO補(bǔ)充部分附錄SL中定義的高層結(jié)構(gòu)、 相同的子章節(jié)標(biāo)題、

16、相同文本、通用術(shù)語和核心定義。因此保持了與其它采用附錄SL的管理體系標(biāo)準(zhǔn)的兼容性。ThiscommonapproachdefinedintheAnnexSLwillbeusefulforthoseorganizationsthatchoosetoFq尸7J Joperateasinglemanagementsystemthatmeetstherequirementsoftwoormoremanagementsystemstandards.附錄SL定義的通用方法對那些選擇運(yùn)作單一管理體系(可同時(shí)滿足兩個(gè)或多個(gè)管理體系標(biāo)準(zhǔn)要求)的組織來說是十分有益的。InformationtechnologySe

17、curitytechniquesInformationsecuritymanagementsystemsRequirements信息技術(shù)-安全技術(shù)-信息安全管理體系要求1Scope1范圍ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.本標(biāo)準(zhǔn)從組織環(huán)境的角度，為建立、實(shí)施、運(yùn)行、保持

18、和持續(xù)改進(jìn)信息安全管理體系規(guī)定了要求。ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.Excludi

19、nganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.本標(biāo)準(zhǔn)還規(guī)定了為適應(yīng)組織需要而定制的信息安全風(fēng)險(xiǎn)評估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對于第4章到第10章的要求不能刪減。2Normativereferences2規(guī)范性引用文件Thefollowingdocuments,inwholeorinpart,arenormativelyrefere

20、ncedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendments)applies.下列文件的全部或部分內(nèi)容在本文件中進(jìn)行了規(guī)范引用，對于其應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本(包括任何修改)適用于本標(biāo)準(zhǔn)。ISO/IEC27000,

21、InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsOverviewandvocabularyISO/IEC27000，信息技術(shù)一安全技術(shù)一信息安全管理體系一概述和詞匯3Termsanddefinitions3術(shù)語和定義Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply.ISO/IEC27000中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。4Contextoftheorganization4組織環(huán)境4.1Unders

22、tandingtheorganizationanditscontexta理解組織及其環(huán)境Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome(s)ofitsinformationsecuritymanagementsystem.組織應(yīng)確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。NOTEDeterminingtheseissuesreferstoestabl

23、ishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:20095.注：確定這些問題涉及到建立組織的外部和內(nèi)部環(huán)境，在ISO31000:20095的5.3節(jié)考慮了這一事項(xiàng)。aUnderstandingtheneedsandexpectationsofinterestedparties4.2理解相關(guān)方的需求和期望Theorganizationshalldetermine:組織應(yīng)確定：a)interestedpartiesthatarerelevanttotheinformationse

24、curitymanagementsystem;andb)therequirementsoftheseinterestedpartiesrelevanttoinformationsecurity.a)與信息安全管理體系有關(guān)的相關(guān)方；b)這些相關(guān)方與信息安全有關(guān)的要求NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。aDeterminingthescopeoftheinformationsecu

25、ritymanagementsystema確定信息安全管理體系的范圍Theorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.-組織應(yīng)確定信息安全管理體系的邊界和適用性，以建立其范圍。Whendeterminingthisscope,theorganizationshallconsider:當(dāng)確定該范圍時(shí)，組織應(yīng)考慮：1) theexternalandinternalissuesreferredtoin4.1;2) t

26、herequirementsreferredtoin4.2;and3) interfacesanddependenciesbetweenactivitiesperformedbytheorganization,andthosethatareperformedbyotherorganizations.Thescopeshallbeavailableasdocumentedinformation.a）在4.1中提及的外部和內(nèi)部問題；b）在4.2中提及的要求；c）組織所執(zhí)行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴性范圍應(yīng)文件化并保持可用性。aInformationsecuritymanagem

27、entsystema信息安全管理體系Theorganizationshallestablish,implement,maintainandcontinuallyimproveaninformationsecuAtymanagementsystemjnaccordancewiththerequirementsofthisInternationalStandard.組織應(yīng)按照本標(biāo)準(zhǔn)的要求建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系。.UI15Leadership5領(lǐng)導(dǎo)1)Leadershipandcommitment5.1領(lǐng)導(dǎo)和承諾Topmanagementshalldemonstrateleade

28、rshipandcommitmentwithrespecttotheinformationsecuritymanagementsystemby:高層管理者應(yīng)通過下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：4.%2ensuringtheinformationsecuritypolicyandtheinformationsecurityobjectivesareestablishedandarecompatiblewiththestrategicdirectionoftheorganization;5.%2ensuringtheintegrationoftheinformationsecur

29、itymanagementsystemrequirementsintotheorganizationsprocesses;6.%2ensuringthattheresourcesneededfortheinformationsecuritymanagementsystemareavailable;7.%2communicatingtheimportanceofeffectiveinformationsecuritymanagementandofconformingtotheinformationsecuritymanagementsystemrequirements;8.%2ensuringt

30、hattheinformationsecuritymanagementsystemachievesitsintendedoutcome(s);9.%2directingandsupportingpersonstocontributetotheeffectivenessoftheinformationsecuritymanagementsystem;10.%2promotingcontinualimprovement;and11.%2supportingotherrelevantmanagementrolestodemonstratetheirleadershipasitappliestothe

31、irareasofresponsibility.a)確保建立信息安全方針和信息安全目標(biāo)，并與組織的戰(zhàn)略方向保持一致；b)確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過程中；c)確保信息安全管理體系所需資源可用；d)傳達(dá)信息安全管理有效實(shí)施、符合信息安全管理體系要求的重要性；e)確保信息安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；f)指揮并支持人員為信息安全管理體系的有效實(shí)施作出貢獻(xiàn)；g)促進(jìn)持續(xù)改進(jìn)；h)支持其他相關(guān)管理角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。1)Policy1)方針Topmanagementshallestablishaninformationsecuritypolicythat:高層管理者應(yīng)建立

32、信息安全方針，以：1.%2.%3 isappropriatetothepurposeoftheorganization;I2.%2.%3 includesinformationsecurityobjectives(see6.2)orprovidestheframeworkforsettinginformationsecurityobjectives;3.%2.%3 includesacommitmenttosatisfyapplicablerequirementsrelatedtoinformationsecurity;4.%2.%3 includesacommitmenttocontinua

33、limprovementoftheinformationsecuritymanagementsystem.Theinformationsecuritypolicyshall:5.%2.%3 beavailableasdocumentedinformation;6.%2.%3 becommunicatedwithintheorganization;and7.%2.%3 beavailabletointerestedparties,asappropriate.a）適于組織的目標(biāo)；b）包含信息安全目標(biāo)（見6.2）或設(shè)置信息安全目標(biāo)提供框架；c）包含滿足適用的信息安全相關(guān)要求的承諾；d）包含信息安全管

34、理體系持續(xù)改進(jìn)的承諾。信息安全方針應(yīng)：e）文件化并保持可用性；f）在組織內(nèi)部進(jìn)行傳達(dá)；g）適當(dāng)時(shí)，對相關(guān)方可用。1)Organizationalroles,responsibilitiesandauthorities5.3組織角色、職責(zé)和權(quán)限Topmanagementshallensurethattheresponsibilitiesandauthoritiesforrolesrelevanttoinformationsecurityareassignedandcommunicated.高層管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。應(yīng)實(shí)施正式的用戶注冊及注銷流程來分配訪問權(quán)限。Us

35、eraccessprovisioning用戶訪問提供Aformaluseraccessprovisioningprocessshallbeimplementedtoassignor-1revokeaccessrightsforallusertypestoallsystemsandservices.無論什么類型的用戶，在對其分配或撤銷所有系統(tǒng)和服務(wù)的權(quán)限時(shí)，都應(yīng)實(shí)施一個(gè)正式的用戶訪問提供流程.,?1Managementofprivilegedaccessrights特殊權(quán)限管理Theallocationanduseofprivilegedaccessrightsshallberestricted

36、andcontrolled.應(yīng)限制和控制特殊訪問權(quán)限的分配及使用。Managementofsecretauthenticationinform1ationofusers用戶安全鑒別信息的管理Theallocationofsecretauthenticationinformationshallbecontrolledthroughaformalmanagementprocess.應(yīng)通過一個(gè)正式的管理過程對安全鑒別信息的分配進(jìn)行控制。Reviewofuseraccessrights用戶訪問權(quán)的復(fù)查Assetownersshallreviewusersaccessrighasregularinter

37、vals.資產(chǎn)所有者應(yīng)定期對用戶的訪問權(quán)進(jìn)行復(fù)查。Removaloradjustmentofaccessrights撤銷或調(diào)整訪問權(quán)限Theaccessrightsofallemployeesandexternalpartyuserstoinformationandinformationprocessingfacilitiesshallberemoveduponterminationoftheiremployment,contractoragreement,oradjusteduponchange.所有雇員和第二方人員對信息和信息處理設(shè)施的訪問權(quán)應(yīng)在任用、合同或協(xié)議終止時(shí)刪除，或在變化時(shí)調(diào)整。

38、A.9.3Userresponsibilities用戶職責(zé)Objective:Tomakeusersaccountableforsafeguardingtheirauthenticationinformation.目標(biāo)：確保用戶對保護(hù)他們的鑒別信息負(fù)有責(zé)任。Useofsecretauthenticationinformation安全鑒別信息的使用Usersshallberequiredtofollowtheorganizationssecuritypracticetstheuseofsecretauthenticationinformation.應(yīng)要求用戶遵循組織的安全防護(hù)措施來使用安全鑒別信

39、息。,111/-1A.9.4Systemandapplicationaccesscontrol系統(tǒng)和應(yīng)用訪問控制Objective:Topreventunauthorizedaccesstosystemsandapplications.1;1J11目標(biāo)：防止對系統(tǒng)和應(yīng)用的非授權(quán)訪問。Informationaccessrestriction信息訪問限制Accesstoinformationandapplicationsystemfunctionsshallberestrictedinaccordancewiththeaccesscontrolpolicy.信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照訪問控制策

40、略加以限制。Securelogonprocedures安全登陸規(guī)程Whererequiredbytheaccesscontrolpolicy,accesstosystemsandapplicationsshallbecontrolledbyasecurelog-onprocedure.訪問控制策略要求時(shí)，訪問系統(tǒng)和應(yīng)用應(yīng)通過安全登錄規(guī)程加以控制。Passwordmanagementsystem口令管理系統(tǒng)：.：,1Passwordsmanagementsystemsshallbeinteractiveandshallensurequalitypasswords.口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確

41、保優(yōu)質(zhì)的口令。11一Useofprivilegedutilityprograms特權(quán)使用程序的使用Theuseofutilityprogramsthatmightbecapableofoverridingsystemandapplicationcontrolsshallberestrictedandtightlycontrolled.對于能超越系統(tǒng)和應(yīng)用程序控制措施的實(shí)用工具的使用應(yīng)加以限制并嚴(yán)格控制。Accesscontroltoprogramsourcecode對程序源代碼的訪問控制Accesstoprogramsourcecodeshallberestricted.應(yīng)限制訪問程序源代碼。

42、A.10Cryptography密碼學(xué)A.10.1Cryptographiccontrols密碼控制Objective:Toensureproperandeffectiveuseofcryptographytoprotecttheconfidentialityauthenticityorintegrityofinformation.目標(biāo)：確保適當(dāng)并有效的密碼的使用來保護(hù)信息的保密性、真實(shí)性或完整性。Policyontheuseofcryptographiccontrols使用密碼控制的策略Apolicyontheuseofcryptographiccontrolsforprotectionof

43、informationshallbedevelopedandimplemented.應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略。1Keymanagement密鑰管理Apolicyontheuse,protectionandlifetimeofcryptographickeysshallbedevelopedandimplementedthroughtheirwholelifecycle.應(yīng)開發(fā)和實(shí)施一個(gè)貫穿生命周期的密碼密鑰使用、保護(hù)和生命期管理策略。A.11Physicalandenvironmentalsecurity.i;I物理和環(huán)境安全-1A.11.1Secureareas安全區(qū)域O

44、bjective:Topreventunauthorizedphysicalaccess,damageandinterferencetotheorganizationsinformationndinformationprocessingfacilities.目標(biāo)：防止對組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾。,工j.2Physicalsecurityperimeter物理安全周邊|11Securityperimetersshallbedefinedandusedtoprotectareasthatcontaineithersensitiveororcriticalinformati

45、onandinformationprocessingfacilities.應(yīng)定義并使用安全周邊來保護(hù)包含任何敏感或關(guān)鍵的信息和信息處理設(shè)施的區(qū)域。Physicalentrycontrols物理入口控制Secureareasshallbeprotectedbyappropriateentrycontrolstoensurethatonlyauthorizedpersonnelareallowedaccess.安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。Securingoffice,roomandfacilities辦公室、房間和設(shè)施Physicalsecurityforof

46、fices,roomsandfacilitiesshallbedesignedandapplied.的安全保護(hù)應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)普米取物理安全措施。Protectingagainstexternalendenvironmentalthreats外部和環(huán)境威脅的安全防護(hù)Physicalprotectionagainstnaturaldisasters,maliciousattackoraccidentsshallbedesignedandapplied.為防止自然災(zāi)害，惡意攻擊或以外事件引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。Workinginsecureareas在女全區(qū)域工作Proce

47、duresforworkinginsecureareasshallbedesignedandapplied應(yīng)設(shè)計(jì)和應(yīng)用在安全區(qū)域工作的規(guī)程。Deliveryandloadingareas交接區(qū)Accesspointssuchasdeliveryandloadingareasandotherpointswhereunauthorizedpersonsmayenterthepremisesshallbecontrolledand,ifpossible,isolatedfrominformationprocessingfacilitiestoavoidunauthorizedacces1/J_.11

48、,7s.訪問點(diǎn) （例如交接區(qū)） 和未授權(quán)人員可進(jìn)入辦公場所的其他地點(diǎn)應(yīng)加以控制， 如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問。.1；I1/1.1y;A.11.2Equipment設(shè)備安全Objective:Topreventloss,damage,theftorcompromiseofassetsandinterruptiontotheorganizationsopes.目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織的運(yùn)營。Equipmentsitingandprotection設(shè)備安置和保護(hù)1%.JEquipmentshallbesitedandprotectedtoreduc

49、etherisksfromenvironmentalthreatsandhazards,andopportunitiesforunauthorizedaccess.應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會。Supportingutilities支持性設(shè)施1Equipmentshallbeprotectedfrompowerfailuresandotherdisruptionscausedbyfailuresinsupportingutilities.應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失敗而引起的電源故障和其他中斷。Cablingsecurity布纜安全Powe

50、randtelecommunicationscablingcarryingdataorsupportinginformationservicesshallbeprotectedfrominterception,interferenceordamage.應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽、干擾或損壞。EquipmentEquipmentshallbecorrectlymaintainedtoensureitscontinuedationmaintenance設(shè)備維護(hù)availabilityandintegrity.設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。Remo

51、valofassets資產(chǎn)的移動(dòng)Equipment,informationorsoftwareshallnotbetakenoff-sitewithoutpriorauthorization.設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。Securityofequipmentandassetsoff-premises組織場所外的設(shè)備和資產(chǎn)安全Securityshallbeappliedtooff-siteassetstakingintoaccountthedifferentrisksofworkingoutsidetheorganizationspremises.應(yīng)對組織場所的設(shè)備采取安全措施，

52、要考慮工作在組織場所以外的不向風(fēng)險(xiǎn)。Securedisposalorre-useofequipment設(shè)備的安全處置或再利用Allitemsofequipmentcontainingstoragemediashallbeverifiedtoensurethatanysensitivedataandlicensedsoftwarehasbeenremovedorsecurelyoverwrittenpriortodisposalorre-use.包含存儲介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行驗(yàn)證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。Unattendeduserequipment無

53、人值守的用戶設(shè)備Usersshallensurethatunattendedequipmenthasappropriateprotection.用戶應(yīng)確保無人職守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。1-1一|:JCleardeskandclearscreenpolicy清空桌面和屏幕策略Acleardeskpolicyforpapersandremovablestoragemediaandaclearscreenpolicyforinformationprocessingfacilitiesshallbeadopted.應(yīng)采取清空桌面上文件、可移動(dòng)存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。A.12Ope

54、rationssecurity操作安全A.12.1Operationalproceduresandresponsibilities操作程序和職責(zé)Objective:Toensurecorrectandsecureoperationsofinformationprocessingfacilities.目標(biāo)：確保正確、安全的操作信息處理設(shè)施。Documentedoperatingprocedures文件化的操作程序Operatingproceduresshallbedocumentedandmadeavailabletoalluserswhoneedthem.操作程序應(yīng)形成文件并對所有需要的用戶可

55、用。ChangemanagementChangestotheorganization,businessprocesses,information變更營埋processingfacilitiesandsystemsthataffectinformationsecurityshallbecontrolled.對組織、業(yè)務(wù)流程、信息處理設(shè)施和系統(tǒng)中影響信息安全方面的變更應(yīng)加以捽制；：；Capacitymanagement容量管理Theuseofresourcesshallbemonitored,tunedandprojectionsmadeoffuturecapacityrequirementsto

56、ensuretherequiredsystemperformance.資源的使用應(yīng)加以監(jiān)視、調(diào)整，并作出對于未來容量要求的預(yù)測，以確保擁啟所需的系統(tǒng)性能。Separationofdevelopment,testingandoperationalenvironments開發(fā)、測試和運(yùn)行設(shè)施分離Development,testing,andoperationalenvironmentsshallbeseparatedtoreducetherisksofunauthorizedaccessorchangestotheoperationalenviron1ment.開發(fā)、測試和運(yùn)行環(huán)境應(yīng)分離，以減少未

57、授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。,I：l,r.111*1711A12.2ProtectionfrommalwareWu/t/防范惡意軟件Objective:Toensurethatinformationandinformationprocessingfacilitiesareprotectedagainstmalware.目標(biāo)：確保對信息和信息處理設(shè)施的保護(hù)，防止惡意軟件。m-1Controlsagainstmalware控制惡意軟件Detection,preventionandrecoverycontrolstoprotectagainstmalwareshallbeimplemented,c

58、ombinedwithappropriateuserawareness.應(yīng)結(jié)合適當(dāng)?shù)挠脩粢庾R實(shí)施惡意軟件的檢測、預(yù)防和恢復(fù)的控制措施。A.12.3Backup備份Objective:Toprotectagainstlossofdata.目標(biāo)：防止數(shù)據(jù)丟失Informationbackup信息備份Backupcopiesofinformation,softwareandsystemimagesshallbetakenandtestedregularlyinaccordancewiththeagreedbackuppolicy.應(yīng)按照已設(shè)的備份策略，定期備份和測試信息、軟件和系統(tǒng)鏡像。A.12.4

59、Loggingandmonitoring日志記錄和監(jiān)視Objective:Torecordeventsandgenerateevidence.目標(biāo)：記錄事件并生成證據(jù)Eventlogging事件日志Eventlogsrecordinguseractivities,exceptions,faultsandinformationsecurityeventsshallbeproduced,keptandregularlyreviewed.應(yīng)產(chǎn)生并保持記錄用戶活動(dòng)、異常情況、故障和信息安全事態(tài)的審計(jì)日志，并定期對事件日志進(jìn)行評審。Protectionofloginformation日志信息的保護(hù)Log

60、gingfacilitiesandloginformationshallbeprotectedagainsttamperingandunauthorizedaccess記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。Administratorandoperatorlogs管理員和操作員日志Systemadministratorandsystemoperatoractivitiesshallbelogged,protectedandregularlyreviewed.系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志，并對其進(jìn)行保護(hù)和定期評審。.；.r1：Clocksynchronisaton時(shí)