ISO27001-2013信息安全管理體系要求.

1、目錄前言(30引言(40.1總則(40.2與其他管理系統(tǒng)標(biāo)準(zhǔn)的兼容性(41.范圍(52規(guī)范性引用文件(53術(shù)語和定義(54組織景況(54.1了解組織及其景況(54.2了解相關(guān)利益方的需求和期望(54.3確立信息安全管理體系的范圍(64.4信息安全管理體系(65領(lǐng)導(dǎo)(65.1領(lǐng)導(dǎo)和承諾(65.2方針(65.3組織的角色,職責(zé)和權(quán)限(76.計(jì)劃(76.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的行為(76.2信息安全目標(biāo)及達(dá)成目標(biāo)的計(jì)劃(97支持(97.1資源(97.2權(quán)限(97.3意識(shí)(107.4溝通(107.5記錄信息(108操作(118.1操作的計(jì)劃和控制措施(118.2信息安全風(fēng)險(xiǎn)評(píng)估(118.3信息安全風(fēng)險(xiǎn)處置(

2、119性能評(píng)價(jià)(129.1監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)(129.2內(nèi)部審核(129.3管理評(píng)審(1210改進(jìn)(1310.1不符合和糾正措施(1310.2持續(xù)改進(jìn)(14附錄A(規(guī)范參考控制目標(biāo)和控制措施(15參考文獻(xiàn)(28、p、前言0引言0.1總則本標(biāo)準(zhǔn)提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系的要求。采用信息安全管理體系是組織的一項(xiàng)戰(zhàn)略性決策。組織信息安全管理體系的建立和實(shí)施受組織的需要和目標(biāo)、安全要求、所采用的過程、規(guī)模和結(jié)構(gòu)的影響。所有這些影響因素可能隨時(shí)間發(fā)生變化。信息安全管理體系通過應(yīng)用風(fēng)險(xiǎn)管理過程來保持信息的保密性、完整性和可用性,并給相關(guān)方建立風(fēng)險(xiǎn)得到充分管理的信心。重要的是,信息安

3、全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中,并且在過程、信息系統(tǒng)和控制措施的設(shè)計(jì)中要考慮到信息安全。信息安全管理體系的實(shí)施要與組織的需要相符合。本標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評(píng)估組織的能力是否滿足自身的信息安全要求。本標(biāo)準(zhǔn)中表述要求的順序不反映各要求的重要性或?qū)嵤╉樞?。條款編號(hào)僅為方便引用。ISO/IEC27000參考信息安全管理體系標(biāo)準(zhǔn)族(包括ISO/IEC270032、ISO/IEC270043、ISO/IEC270054及相關(guān)術(shù)語和定義,給出了信息安全管理體系的概述和詞匯。0.2與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)應(yīng)用了ISO/IEC導(dǎo)則第一部分的ISO補(bǔ)充部分附錄SL中定義的高

4、層結(jié)構(gòu)、同一子條款標(biāo)題、同一文本、通用術(shù)語和核心定義,因此保持了與其它采用附錄SL的管理體系標(biāo)準(zhǔn)的兼容性。附錄SL定義的通用方法有助于組織選擇實(shí)施單一管理體系來滿足兩個(gè)或多個(gè)管理體系標(biāo)準(zhǔn)要求。信息技術(shù)安全技術(shù)信息安全管理體系要求1.范圍本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境（context下建立、實(shí)施、運(yùn)行、保持和持續(xù)改進(jìn)信息安全管理體系的要求。本標(biāo)準(zhǔn)還包括了根據(jù)組織需求而進(jìn)行的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)?；蛐再|(zhì)的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí),對(duì)于第4章到第10章的要求不能刪減。2規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用,對(duì)于本文件的應(yīng)用必不

5、可少。凡是注日期的引用文件,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件,其最新版本（包括任何修改適用于本標(biāo)準(zhǔn)。ISO/IEC27000,信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯。3術(shù)語和定義ISO/IEC27000中界定的術(shù)語和定義適用于本文件。4組織環(huán)境（context4.1理解組織及其環(huán)境（context組織應(yīng)確定與其意圖相關(guān)的,且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部情況（issue。注:對(duì)這些情況的確定，參見IS031000:20095,5.3中建立外部和內(nèi)部環(huán)境的內(nèi)容。4.2理解相關(guān)方的需求和期望組織應(yīng)確定:a信息安全管理體系相關(guān)方;b這些相關(guān)方的信息安全要求。

6、 注:相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。4.3確定信息安全管理體系范圍組織應(yīng)確定信息安全管理體系的邊界及其適用性以建立其范圍。在確定范圍時(shí),組織應(yīng)考慮:a4.1中提到的外部和內(nèi)部情況;b4.2中提到的要求;c組織執(zhí)行活動(dòng)之間以及與其他組織執(zhí)行活動(dòng)之間的接口和依賴關(guān)系。該范圍應(yīng)形成文件化信息并可用。4.4信息安全管理體系組織應(yīng)按照本標(biāo)準(zhǔn)的要求,建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系。5領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力和承諾最高管理者應(yīng)通過以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾:a確保信息安全方針和信息安全目標(biāo)已建立，并與組織戰(zhàn)略方向一致;b確保將信息安全管理體系要求整合到組織過程中；c確保信息

7、安全管理體系所需資源可用;d傳達(dá)有效的信息安全管理及符合信息安全管理體系要求的重要性;e確保信息安全管理體系達(dá)到預(yù)期結(jié)果；f指導(dǎo)并支持相關(guān)人員為信息安全管理體系有效性做出貢獻(xiàn);g促進(jìn)持續(xù)改進(jìn)；h支持其他相關(guān)管理者角色，在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力。5.2方針最高管理者應(yīng)建立信息安全方針，方針應(yīng):a與組織意圖相適宜;b包括信息安全目標(biāo)（見6.2或?yàn)樾畔踩繕?biāo)的設(shè)定提供框架;c包括對(duì)滿足適用的信息安全要求的承諾；d包括持續(xù)改進(jìn)信息安全管理體系的承諾。信息安全方針應(yīng):e形成文件化信息并可用；f在組織內(nèi)得到溝通;g適當(dāng)時(shí)，對(duì)相關(guān)方可用5.3組織的角色,職責(zé)和權(quán)限最高管理者應(yīng)確保與信息安全相關(guān)角色的職責(zé)和

8、權(quán)限得到分配和溝通。最高管理者應(yīng)分配職責(zé)和權(quán)限，以:a確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求；b向最高管理者報(bào)告信息安全管理體系績(jī)效。注:最高管理者也可為組織內(nèi)報(bào)告信息安全管理體系績(jī)效，分配職責(zé)和權(quán)限。6.規(guī)劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1總則當(dāng)規(guī)劃信息安全管理體系時(shí)，組織應(yīng)考慮4.1中提到的問題和4.2中提到的要求，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以:a確保信息安全管理體系能實(shí)現(xiàn)預(yù)期結(jié)果；b預(yù)防或減少意外的影響；c實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃:d應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；e如何:1將這些措施整合到信息安全管理體系過程中，并予以實(shí)施；2評(píng)價(jià)這些措施的有效性6.1.2信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)定義并應(yīng)用信

9、息安全風(fēng)險(xiǎn)評(píng)估過程,以:a建立和維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則,包括:1風(fēng)險(xiǎn)接受準(zhǔn)則;2信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。b確保重復(fù)的信息安全風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的、有效的和可比較的結(jié)果；c識(shí)別信息安全風(fēng)險(xiǎn)：1應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過程,以識(shí)別信息安全管理體系范圍內(nèi)與信息保密性、 完整性和可用性損失有關(guān)的風(fēng)險(xiǎn)；2識(shí)別風(fēng)險(xiǎn)責(zé)任人；d分析信息安全風(fēng)險(xiǎn)：1評(píng)估6.1.2c1中所識(shí)別的風(fēng)險(xiǎn)發(fā)生后,可能導(dǎo)致的潛在后果；2評(píng)估6.1.2c1中所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性；3確定風(fēng)險(xiǎn)級(jí)別；e評(píng)價(jià)信息安全風(fēng)險(xiǎn)：1將風(fēng)險(xiǎn)分析結(jié)果與6.1.2a中建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；2排列已分析風(fēng)險(xiǎn)的優(yōu)先順序,以便于風(fēng)險(xiǎn)處置。組織應(yīng)保留信息安全風(fēng)險(xiǎn)

10、評(píng)估過程的文件化信息。6.1.3信息安全風(fēng)險(xiǎn)處置組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過程,以:a在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng)；b確定實(shí)施已選的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的全部控制措施;注:組織可根據(jù)需要設(shè)計(jì)控制措施，或從任何來源識(shí)別控制措施。c將6.1.3b確定的控制措施與附錄A中的控制措施進(jìn)行比較，以核實(shí)沒有遺漏必要的控制措施；注1：附錄A包含了控制目標(biāo)和控制措施的綜合列表。本標(biāo)準(zhǔn)用戶可使用附錄A,以確保沒有忽略必要的控制措施。注2:控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施

11、。d制定適用性聲明,包含必要的控制措施（見6.1.3b和c及其選擇的合理性說明（無論該控制措施是否已實(shí)施，以及對(duì)附錄A控制措施刪減的合理性說明;e制定信息安全風(fēng)險(xiǎn)處置計(jì)劃；f獲得風(fēng)險(xiǎn)責(zé)任人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃的批準(zhǔn)，及對(duì)信息安全殘余風(fēng)險(xiǎn)的接受。組織應(yīng)保留信息安全風(fēng)險(xiǎn)處置過程的文件化信息。注:本標(biāo)準(zhǔn)中的信息安全風(fēng)險(xiǎn)評(píng)估和處置過程與ISO31000中給出的原則和通用指南6.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃組織應(yīng)在相關(guān)職能和層次上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng):a與信息安全方針一致;b可測(cè)量(如可行;c考慮適用的信息安全要求,以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果;d得到溝通；e在適當(dāng)時(shí)更新。組織應(yīng)保留信息安全目

12、標(biāo)的文件化信息。在規(guī)劃如何實(shí)現(xiàn)信息安全目標(biāo)時(shí),組織應(yīng)確定:f要做什么；g需要什么資源;h由誰負(fù)責(zé)；i什么時(shí)候完成;j如何評(píng)價(jià)結(jié)果。7支持7.1資源組織應(yīng)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。7.2能力組織應(yīng):a確定從事在組織控制下且會(huì)影響組織的信息安全績(jī)效的工作的人員的必要能力;b確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；c適用時(shí)，采取措施以獲得必要的能力，并評(píng)估所采取措施的有效性；d保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注:適用的措施可包括，例如針對(duì)現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配；雇傭或簽約有7.3意識(shí)在組織控制下工作的人員應(yīng)了解:a信息安全方針；

13、b其對(duì)信息安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)信息安全績(jī)效帶來的益處；c不符合信息安全管理體系要求帶來的影響。7.4溝通組織應(yīng)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括:a溝通內(nèi)容；b溝通時(shí)間；c溝通對(duì)象；d誰應(yīng)負(fù)責(zé)溝通;e影響溝通的過程。7.5文件化信息7.5.1總則組織的信息安全管理體系應(yīng)包括:a本標(biāo)準(zhǔn)要求的文件化信息;b組織為有效實(shí)施信息安全管理體系所確定的必要的文件化信息。注:不同組織的信息安全管理體系文件化信息的詳略程度取決于:1組織的規(guī)模及其活動(dòng)、過程、產(chǎn)品和服務(wù)的類型;2過程的復(fù)雜性及其相互作用;3人員的能力。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí),組織應(yīng)確保適當(dāng)?shù)?/p>

14、:a標(biāo)識(shí)和描述(例如標(biāo)題、日期、作者或編號(hào)；b格式(例如語言、軟件版本、圖表和介質(zhì)(例如紙質(zhì)、電子介質(zhì);c對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。7.5.3文件化信息的控制信息安全管理體系及本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制,以確保:a在需要的地點(diǎn)和時(shí)間，是可用和適宜的;b得到充分的保護(hù)（如避免保密性損失、不恰當(dāng)使用、完整性損失等為控制文件化信息,適用時(shí),組織應(yīng)開展以下活動(dòng):c分發(fā)，訪問，檢索和使用；d存儲(chǔ)和保護(hù)，包括保持可讀性；e控制變更（例如版本控制；f保留和處置。組織確定的為規(guī)劃和運(yùn)行信息安全管理體系所必需的外來的文件化信息，應(yīng)得到適當(dāng)?shù)淖R(shí)別，并予以控制。注:訪問隱含著允許僅瀏覽文件化信息，或允許

15、和授權(quán)瀏覽及更改文件化信息等決定。8運(yùn)行8.1運(yùn)行規(guī)劃和控制組織應(yīng)對(duì)滿足信息安全要求及實(shí)施6.1中確定的措施所需的過程予以規(guī)劃、實(shí)施和控制。組織也應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)6.2中確定的信息安全目標(biāo)。組織應(yīng)保持文件化信息達(dá)到必要的程度，以確信過程按計(jì)劃得到執(zhí)行。組織應(yīng)控制計(jì)劃內(nèi)的變更并評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減輕負(fù)面影響。組織應(yīng)確保外包過程得到確定和控制。8.2信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)考慮6.1.2a建立的準(zhǔn)則，按計(jì)劃的時(shí)間間隔，或當(dāng)重大變更提出或發(fā)生時(shí),執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息。8.3信息安全風(fēng)險(xiǎn)處置組織應(yīng)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。組織應(yīng)保留信息安全風(fēng)

16、險(xiǎn)處置結(jié)果的文件化信息。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)評(píng)價(jià)信息安全績(jī)效和信息安全管理體系的有效性。組織應(yīng)確定:a需要被監(jiān)視和測(cè)量的內(nèi)容，包括信息安全過程和控制措施;b監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，適用時(shí)，以確保得到有效的結(jié)果。注:所選的方法宜產(chǎn)生可比較和可再現(xiàn)的有效結(jié)果。c何時(shí)應(yīng)執(zhí)行監(jiān)視和測(cè)量；d誰應(yīng)監(jiān)視和測(cè)量；e何時(shí)應(yīng)分析和評(píng)價(jià)監(jiān)視和測(cè)量的結(jié)果；f誰應(yīng)分析和評(píng)價(jià)這些結(jié)果。組織應(yīng)保留適當(dāng)?shù)奈募畔⒆鳛楸O(jiān)視和測(cè)量結(jié)果的證據(jù)。9.2內(nèi)部審核組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核,提供信息以確定信息安全管理體系是否:a符合1組織自身對(duì)信息安全管理體系的要求;2本標(biāo)準(zhǔn)的要求。b得到有效實(shí)施

17、和保持組織應(yīng):c規(guī)劃、建立、實(shí)施和保持審核方案（一個(gè)或多個(gè),包括審核頻次、方法、職責(zé)、規(guī)劃要求和報(bào)告。審核方案應(yīng)考慮相關(guān)過程的重要性和以往審核的結(jié)果;d確定每次審核的審核準(zhǔn)則和范圍;e選擇審核員，實(shí)施審核,確保審核過程的客觀性和公正性；f確保將審核結(jié)果報(bào)告至相關(guān)管理者；g保留文件化信息作為審核方案和審核結(jié)果的證據(jù)。9.3管理評(píng)審最高管理者應(yīng)按計(jì)劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審應(yīng)考慮:a以往管理評(píng)審要求采取措施的狀態(tài)；b與信息安全管理體系相關(guān)的外部和內(nèi)部情況的變化；c信息安全績(jī)效有關(guān)的反饋,包括以下方面的趨勢(shì):1不符合和糾正措施;2監(jiān)視和測(cè)量

18、結(jié)果;3審核結(jié)果;4信息安全目標(biāo)完成情況;d相關(guān)方反饋;e風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f持續(xù)改進(jìn)的機(jī)會(huì)。管理評(píng)審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及變更信息安全管理體系的任何需求。組織應(yīng)保留文件化信息作為管理評(píng)審結(jié)果的證據(jù)。10改進(jìn)10.1不符合和糾正措施當(dāng)發(fā)生不符合時(shí),組織應(yīng):a對(duì)不符合做出反應(yīng),適用時(shí):1采取措施控制并糾正不符合；2處理后果；b通過以下方法，評(píng)價(jià)采取消除不符合原因的措施的需求，防止不符合再發(fā)生，或在其他地方發(fā)生:1評(píng)審不符合;2確定不符合的原因;3確定類似的不符合是否存在,或可能發(fā)生;c實(shí)施需要的措施;d評(píng)審所采取的糾正措施的有效性;e必要時(shí)，對(duì)信息安全管理體系進(jìn)

19、行變更。糾正措施應(yīng)與所遇到的不符合的影響程度相適應(yīng)。組織應(yīng)保留文件化信息作為以下方面的證據(jù):f不符合的性質(zhì)及所采取的后續(xù)措施；g糾正措施的結(jié)果。10.2持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。附錄A（規(guī)范性附錄參考控制目標(biāo)和控制措施表A.1所列的控制目標(biāo)和控制措施是直接源自并與ISO/IECDIS27002第5到18章一致，并在6.1.3環(huán)境中被使用。表A.1控制目標(biāo)和控制措施A.5信息安全方針和策略（POLICESA.5.1信息安全管理指導(dǎo)A.6.1.4與特定相關(guān)方的聯(lián)系控制措施目標(biāo):依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)為信息安全提供管理指導(dǎo)和支持A.5.1.1信息安全方針和策

20、略控制措施信息安全方針和策略應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。A.5.1.2信息安全方針和策略的評(píng)審控制措施應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針和策略評(píng)審,以確保其持續(xù)的適宜性、充分性和有效性。A.6信息安全組織A.6.1內(nèi)部組織目標(biāo):建立一個(gè)管理框架,以啟動(dòng)和控制組織內(nèi)信息安全的實(shí)施和運(yùn)行A.6.1.1信息安全角色和職責(zé)控制措施所有的信息安全職責(zé)應(yīng)予以定義和分配。A.6.1.2責(zé)任分割控制措施應(yīng)分割沖突的責(zé)任和職責(zé)范圍,以降低未授權(quán)或無意的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。A.6.1.3與政府部門的聯(lián)系控制措施應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。應(yīng)保持與特定相關(guān)方、

21、其他專業(yè)安全論壇和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。A.6.1.5項(xiàng)目管理中的信息安全控制措施應(yīng)解決項(xiàng)目管理中的信息安全問題,無論項(xiàng)目類型。A.6.2移動(dòng)設(shè)備和遠(yuǎn)程工作目標(biāo):確保遠(yuǎn)程工作和移動(dòng)設(shè)備使用的安全。A.6.2.1移動(dòng)設(shè)備策略控制措施應(yīng)采用策略和支持性安全措施以管理使用移動(dòng)設(shè)備時(shí)帶來的風(fēng)險(xiǎn)。A.6.2.2遠(yuǎn)程工作控制措施應(yīng)實(shí)施策略和支持性安全措施以保護(hù)在遠(yuǎn)程工作地點(diǎn)律法規(guī)和道德規(guī)范進(jìn)行,并與業(yè)務(wù)要求、訪問信訪問、處理或存儲(chǔ)的信息。A.7人力資源安全A.7.1任用前目標(biāo):確保員工和承包方理解其職責(zé),并適合其角色A.7.1.1審查控制措施對(duì)所有任用候選者的背景驗(yàn)證核查應(yīng)按照相關(guān)法A.7.3.1任用職責(zé)的

22、終止或變更控制措施息的等級(jí)（8.2和察覺的風(fēng)險(xiǎn)相適宜A.7.1.2任用條款及條件控制措施應(yīng)在員工和承包商的合同協(xié)議中聲明他們和組織對(duì)信息安全的職責(zé)。A.7.2任用中目標(biāo):確保員工和承包方意識(shí)到并履行其信息安全職責(zé)。A.7.2.1管理職責(zé)控制措施管理者應(yīng)要求所有員工和承包商按照組織已建立的方針策略和規(guī)程應(yīng)用信息安全。A.7.2.2信息安全意識(shí)、教育和培訓(xùn)控制措施組織所有員工,適當(dāng)時(shí)包括承包商,應(yīng)接受與其工作職能相關(guān)的適宜的意識(shí)教育和培訓(xùn),及組織方針策略及規(guī)程的定期更新的信息。A.7.2.3紀(jì)律處理過程控制措施應(yīng)建立正式的且被傳達(dá)的紀(jì)律處理過程以對(duì)信息安全違規(guī)的員工采取措施。A.7.3任用的終止和

23、變更目標(biāo):在任用變更或終止過程中保護(hù)組織的利益。（PART未體現(xiàn)應(yīng)確定任用終止或變更后仍有效的信息安全職責(zé)和責(zé)任,傳達(dá)至員工或承包商并執(zhí)行。A.8資產(chǎn)管理A.8.1資產(chǎn)職責(zé)目標(biāo):識(shí)別組織資產(chǎn)并確定適當(dāng)?shù)谋Ｗo(hù)職責(zé)。A.8.1.1資產(chǎn)清單控制措施A.8.2.1信息的分級(jí)控制措施應(yīng)識(shí)別與信息和信息處理設(shè)施相關(guān)的資產(chǎn),并編制、維護(hù)這些資產(chǎn)的清單。A.8.1.2資產(chǎn)責(zé)任主體控制措施應(yīng)確定資產(chǎn)清單中的資產(chǎn)責(zé)任主體。A.8.1.3資產(chǎn)的可接受使用控制措施應(yīng)確定信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則,形成文件并加以實(shí)施。A.8.1.4資產(chǎn)歸還控制措施所有員工和外部用戶在任用、合同或協(xié)議終止時(shí),應(yīng)

24、歸還其占用的所有組織資產(chǎn)。A.8.2信息分級(jí)目標(biāo):確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性及其對(duì)未授權(quán)泄露或修改的敏感性進(jìn)行分級(jí)。A.8.2.2信息的標(biāo)記控制措施應(yīng)按照組織采用的信息分級(jí)方案,制定并實(shí)施一組適當(dāng)?shù)男畔?biāo)記規(guī)程。A.8.2.3資產(chǎn)的處理控制措施應(yīng)按照組織采用的信息分級(jí)方案,制定并實(shí)施資產(chǎn)處理規(guī)程。A.8.3介質(zhì)處理目的:防止存儲(chǔ)在介質(zhì)中的信息遭受未授權(quán)的泄露、修改、移除或破壞A.8.3.1移動(dòng)介質(zhì)的管理控制措施應(yīng)按照組織采用的分級(jí)方案,實(shí)施移動(dòng)介質(zhì)管理規(guī)程。A.8.3.2介質(zhì)的處置控制措施應(yīng)使用正式的規(guī)程安全地處置不再需要的介質(zhì)。A.8.3

25、.3物理介質(zhì)的轉(zhuǎn)移控制措施包含信息的介質(zhì)在運(yùn)送中應(yīng)受到保護(hù),以防止未授權(quán)訪問、不當(dāng)使用或毀壞。A.9訪問控制A.9.2.4用戶的秘密鑒別信息管理控制措施A.9.1訪問控制的業(yè)務(wù)要求目標(biāo):限制對(duì)信息和信息處理設(shè)施的訪問。A.9.1.1訪問控制策略控制措施應(yīng)基于業(yè)務(wù)和信息安全要求,建立訪問控制策略,形成文件并進(jìn)行評(píng)審。A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問訪問控制用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。A.9.2用戶訪問管理目標(biāo):確保授權(quán)用戶對(duì)系統(tǒng)和服務(wù)的訪問,并防止未授權(quán)的訪問A.9.2.1用戶注冊(cè)和注銷控制措施應(yīng)實(shí)施正式的用戶注冊(cè)及注銷過程來分配訪問權(quán)限。A.9.2.2用戶訪問配置控制措施

26、應(yīng)對(duì)所有系統(tǒng)和服務(wù)的所有類型用戶實(shí)施正式的用戶訪問配置過程以分配或撤銷訪問權(quán)限。A.9.2.3特殊訪問權(quán)限管理控制措施應(yīng)限制和控制特殊訪問權(quán)限的分配和使用。應(yīng)通過正式的管理過程控制秘密鑒別信息的分配。A.9.2.5用戶訪問權(quán)限的復(fù)查控制措施資產(chǎn)責(zé)任主體應(yīng)定期對(duì)用戶的訪問權(quán)限進(jìn)行復(fù)查。A.9.2.6訪問權(quán)限的移除或調(diào)整控制措施所有員工和外部用戶對(duì)信息和信息處理設(shè)施的訪問權(quán)限在任用、合同或協(xié)議終止時(shí),應(yīng)予以移除,或在變更時(shí)予以調(diào)整。A.9.3用戶職責(zé)目標(biāo):使用戶承擔(dān)保護(hù)其鑒別信息的責(zé)任。A.9.3.1秘密鑒別信息的使用控制措施應(yīng)要求用戶遵循組織在使用秘密鑒別信息時(shí)的慣例。A.9.4系統(tǒng)和應(yīng)用訪問控

27、制目的:防止對(duì)系統(tǒng)和應(yīng)用的未授權(quán)訪問。A.9.4.1信息訪問限制控制措施應(yīng)按照訪問控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪問。A.9.4.2安全登錄規(guī)程控制措施當(dāng)訪問控制策略要求時(shí),應(yīng)通過安全登錄規(guī)程控制對(duì)系統(tǒng)和應(yīng)用的訪問。A.9.4.3口令管理系統(tǒng)控制措施口令管理系統(tǒng)應(yīng)是交互式的,并應(yīng)確保優(yōu)質(zhì)的口令。A.9.4.4特權(quán)實(shí)用程序的使用控制措施對(duì)于可能超越系統(tǒng)和應(yīng)用控制措施的實(shí)用程序的使用應(yīng)予以限制并嚴(yán)格控制。A.9.4.5程序源代碼的訪問控制控制措施應(yīng)限制對(duì)程序源代碼的訪問。A.10密碼A.10.1密碼控制目標(biāo):確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實(shí)性和（或完整性。A.10.1.1密

28、碼控制的使用策略控制措施應(yīng)開發(fā)和實(shí)施用于保護(hù)信息的密碼控制使用策略。A.10.1.2密鑰管理控制措施應(yīng)制定和實(shí)施貫穿其全生命周期的密鑰使用、保護(hù)和生存期策略A.11物理和環(huán)境安全A.11.1安全區(qū)域目標(biāo):防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)物理訪問、損壞和干擾A.11.1.1物理安全邊界控制措施應(yīng)定義和使用安全邊界來保護(hù)包含敏感或關(guān)鍵信息和信息處理設(shè)施的區(qū)域。A.11.1.2物理入口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護(hù),以確保只有授權(quán)的人員才允許訪問。他點(diǎn)應(yīng)加以控制,如果可能,應(yīng)與信息處理設(shè)施A.11.1.3辦公室、房間和設(shè)施的安全保護(hù)控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措

29、施。A.11.1.4外部和環(huán)境威脅的安全防護(hù)A.11.1.5在安全區(qū)域工作控制措施應(yīng)設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程。A.11.1.6交接區(qū)控制措施訪問點(diǎn)（例如交接區(qū)和未授權(quán)人員可進(jìn)入的其隔離,以避免未授權(quán)訪問A.11.2設(shè)備目標(biāo):防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷A.11.2.1設(shè)備安置和保護(hù)控制措施應(yīng)安置或保護(hù)設(shè)備,以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會(huì)。A.11.2.2支持性設(shè)施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。A.11.2.3布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽、干擾或損壞A

30、.11.2.4設(shè)備維護(hù)控制措施設(shè)備應(yīng)予以正確地維護(hù),以確保其持續(xù)的可用性和完整性。A.11.2.5資產(chǎn)的移動(dòng)控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。A.11.2.6組織場(chǎng)所外的設(shè)備與資產(chǎn)安全控制措施應(yīng)對(duì)資源的使用進(jìn)行監(jiān)視，調(diào)整和預(yù)測(cè)未來的容應(yīng)對(duì)組織場(chǎng)所外的資產(chǎn)采取安全措施,要考慮工作在組織場(chǎng)所外的不同風(fēng)險(xiǎn)A.11.2.7設(shè)備的安全處置或再利用控制措施包含儲(chǔ)存介質(zhì)的設(shè)備的所有部分應(yīng)進(jìn)行核查,以確保在處置或再利用之前,任何敏感信息和注冊(cè)軟件已被刪除或安全地寫覆蓋。A.11.2.8無人值守的用戶設(shè)備控制措施用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。A.11.2.9清空桌面和屏幕策略控制措

31、施應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。A.12操作安全A.12.1操作規(guī)程和職責(zé)目標(biāo):確保正確、安全的操作信息處理設(shè)施。A.12.1.1文件化的操作規(guī)程控制措施操作規(guī)程應(yīng)形成文件，并對(duì)所需用戶可用。A.12.1.2變更管理控制措施應(yīng)控制影響信息安全的變更,包括組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)變更。A.12.1.3容量管理控制措施量需求,以確保所需的系統(tǒng)性能A.12.1.4開發(fā)、測(cè)試和運(yùn)行環(huán)境的分離控制措施應(yīng)分離開發(fā)、 測(cè)試和運(yùn)行環(huán)境,以降低對(duì)運(yùn)行環(huán)境未授權(quán)訪問或變更的風(fēng)險(xiǎn)A.12.2惡意代碼防范目標(biāo):確保信息和信息處理設(shè)施防范惡意代碼。A.12.2.1惡意

32、代碼的控制控制措施應(yīng)實(shí)施檢測(cè)、預(yù)防和恢復(fù)控制措施以防范惡意代碼,并結(jié)合適當(dāng)?shù)挠脩粢庾R(shí)教育。A.12.3備份目標(biāo):防止數(shù)據(jù)丟失A.12.3.1信息備份控制措施應(yīng)按照既定的備份策略,對(duì)信息、軟件和系統(tǒng)鏡像進(jìn)行備份,并定期測(cè)試。A.12.4日志和監(jiān)視目的:記錄事態(tài)并生成證據(jù)。A.12.4.1事態(tài)日志控制措施應(yīng)產(chǎn)生、保持并定期評(píng)審記錄用戶活動(dòng)、異常、錯(cuò)誤和信息安全事態(tài)的事態(tài)日志A.12.4.2日志信息的保護(hù)控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪問。A.12.4.3管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志,并對(duì)日志進(jìn)行保護(hù)和定期評(píng)審。A.12.4.4時(shí)鐘

33、同步控制措施一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)與單一的參考源進(jìn)行同步。A.12.5運(yùn)行軟件控制目標(biāo):確保運(yùn)行系統(tǒng)的完整性。A.12.5.1運(yùn)行系統(tǒng)的軟件安裝控制措施應(yīng)實(shí)施運(yùn)行系統(tǒng)軟件安裝控制規(guī)程。A.12.6技術(shù)脆弱性管理目標(biāo):防止對(duì)技術(shù)脆弱性的利用。A.12.6.1技術(shù)脆弱性的管理控制措施應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)脆弱性信息,評(píng)價(jià)組織對(duì)這些脆弱性的暴露狀況并采取適當(dāng)?shù)拇胧﹣響?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)A.12.6.2軟件安裝限制控制措施應(yīng)建立并實(shí)施控制用戶安裝軟件的規(guī)則。A.12.7信息系統(tǒng)審計(jì)的考慮目標(biāo):使審計(jì)活動(dòng)對(duì)運(yùn)行系統(tǒng)的影響最小化。A.12.7.1信息系統(tǒng)審計(jì)的控制控制措施涉及運(yùn)行

34、系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng),應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。A.13通信安全A.13.1網(wǎng)絡(luò)安全管理目標(biāo):確保網(wǎng)絡(luò)及其支持性信息處理設(shè)施中的信息得到保護(hù)A.13.1.1網(wǎng)絡(luò)控制控制措施應(yīng)管理和控制網(wǎng)絡(luò)以保護(hù)系統(tǒng)和應(yīng)用中的信息。A.13.1.2網(wǎng)絡(luò)服務(wù)的安全控制措施所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)級(jí)別和管理要求應(yīng)予以確定并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中,無論這些服務(wù)是由內(nèi)部提供的還是外包的。A.13.1.3網(wǎng)絡(luò)隔離控制措施應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)A.13.2信息傳輸A.14.1.2公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)控制措施目標(biāo):保持在組織內(nèi)及與外部實(shí)體間傳輸信息的安全A.1

35、3.2.1信息傳輸策略和規(guī)程控制措施應(yīng)有正式的傳輸策略、規(guī)程和控制措施,以保護(hù)通過使用各種類型通信設(shè)施進(jìn)行的信息傳輸。A.13.2.2信息傳輸協(xié)議控制措施協(xié)議應(yīng)解決組織與外部方業(yè)務(wù)信息的安全傳輸。A.13.2.3電子消息發(fā)送控制措施應(yīng)適當(dāng)保護(hù)包含在電子消息發(fā)送中的信息。A.13.2.4保密或不泄露協(xié)議控制措施應(yīng)識(shí)別、定期評(píng)審和文件化反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。A.14系統(tǒng)獲取、開發(fā)和維護(hù)A.14.1信息系統(tǒng)的安全要求目標(biāo):確保信息安全是信息系統(tǒng)整個(gè)生命周期中的一個(gè)有機(jī)組成部分。這也包括提供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求A.14.1.1信息安全要求分析和說明控制措施新建信息系統(tǒng)

36、或增強(qiáng)現(xiàn)有信息系統(tǒng)的要求中應(yīng)包括信息安全相關(guān)要求。應(yīng)保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)中的信息以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的泄露和修改。A.14.1.3應(yīng)用服務(wù)交易的保護(hù)控制措施應(yīng)保護(hù)應(yīng)用服務(wù)交易中的信息,以防止不完整的傳輸、錯(cuò)誤路由、未授權(quán)的消息變更、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。A.14.2開發(fā)和支持過程中的安全目標(biāo):確保信息安全在信息系統(tǒng)開發(fā)生命周期中得到設(shè)計(jì)和實(shí)施。A.14.2.1安全的開發(fā)策略控制措施針對(duì)組織內(nèi)的開發(fā),應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則并應(yīng)用。A.14.2.2系統(tǒng)變更控制規(guī)程控制措施應(yīng)使用正式的變更控制規(guī)程來控制開發(fā)生命周期內(nèi)的系統(tǒng)變更。A.14.2.3運(yùn)行平臺(tái)變更后對(duì)

37、應(yīng)用的技術(shù)評(píng)審控制措施當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí),應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試,以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響。A.14.2.4軟件包變更的限制控制措施A.14.3.1測(cè)試數(shù)據(jù)的保護(hù)控制措施應(yīng)不鼓勵(lì)對(duì)軟件包進(jìn)行修改,僅限于必要的變更,且對(duì)所有變更加以嚴(yán)格控制A.14.2.5安全的系統(tǒng)工程原則控制措施應(yīng)建立、 文件化和維護(hù)安全的系統(tǒng)工程原則,并應(yīng)用到任何信息系統(tǒng)實(shí)施工作中A.14.2.6安全的開發(fā)環(huán)境控制措施組織應(yīng)針對(duì)覆蓋系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成活動(dòng),建立安全開發(fā)環(huán)境,并予以適當(dāng)保護(hù)。A.14.2.7外包開發(fā)控制措施組織應(yīng)督導(dǎo)和監(jiān)視外包系統(tǒng)開發(fā)活動(dòng)A.14.2.8系統(tǒng)安全測(cè)試控制措施

38、應(yīng)在開發(fā)過程中進(jìn)行安全功能測(cè)試。A.14.2.9系統(tǒng)驗(yàn)收測(cè)試控制措施應(yīng)建立對(duì)新的信息系統(tǒng)、 升級(jí)及新版本的驗(yàn)收測(cè)試方案和相關(guān)準(zhǔn)則。A.14.3測(cè)試數(shù)據(jù)目標(biāo):確保用于測(cè)試的數(shù)據(jù)得到保護(hù)。測(cè)試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制A.15.2.2供應(yīng)商服務(wù)的變更管理控制措施應(yīng)管理供應(yīng)商所提供服務(wù)的變更,包括保持和改A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系中的信息安全目標(biāo):確保供應(yīng)商可訪問的組織資產(chǎn)受到保護(hù)。A.15.1.1供應(yīng)商關(guān)系的信息安全策略控制措施為降低供應(yīng)商訪問組織資產(chǎn)的相關(guān)風(fēng)險(xiǎn),應(yīng)與供應(yīng)商就信息安全要求達(dá)成一致,并形成文件A.15.1.2在供應(yīng)商協(xié)議中解決安全控制措施應(yīng)與每個(gè)可能訪問、處理、存

39、儲(chǔ)、傳遞組織信息或?yàn)榻M織信息提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立所有相關(guān)的信息安全要求,并達(dá)成一致。A.15.1.3信息與通信技術(shù)供應(yīng)鏈控制措施供應(yīng)商協(xié)議應(yīng)包括信息與通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)處理要求。A.15.2供應(yīng)商服務(wù)交付管理目標(biāo):保持與供應(yīng)商協(xié)議一致的信息安全和服務(wù)交付的商定級(jí)別A.15.2.1供應(yīng)商服務(wù)的監(jiān)視和評(píng)審控制措施組織應(yīng)定期監(jiān)視、 評(píng)審和審核供應(yīng)商服務(wù)交付。進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施,管理應(yīng)考慮變更涉及到的業(yè)務(wù)信息、系統(tǒng)和過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。A.16信息安全事件管理A.16.1信息安全事件的管理和改進(jìn)目標(biāo):確保采用一致和有效的方法對(duì)信息安全事

40、件進(jìn)行管理,包括對(duì)安全事態(tài)和弱點(diǎn)的溝通。A.16.1.1職責(zé)和規(guī)程控制措施應(yīng)建立管理職責(zé)和規(guī)程,以確?？焖?、有效和有序地響應(yīng)信息安全事件。A.16.1.2報(bào)告信息安全事態(tài)控制措施應(yīng)通過適當(dāng)?shù)墓芾砬辣M快地報(bào)告信息安全事態(tài)。A.16.1.3報(bào)告信息安全弱點(diǎn)控制措施應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報(bào)告任何觀察到的或可疑的系統(tǒng)或服務(wù)中ISO/IEC27001:2013(E的信息安全弱點(diǎn)。A.16.1.4信息安全事態(tài)的評(píng)估和決策控制措施應(yīng)評(píng)估信息安全事態(tài)并決定其是否屬于信息安全事件。A.16.1.5信息安全事件的響應(yīng)控制措施應(yīng)按照文件化的規(guī)程響應(yīng)信息安全事件。A.16.1.6從信息安全事件中學(xué)習(xí)控制措施應(yīng)利用在分析和解決信息安全事件中得到的知識(shí)來減少未來事件發(fā)生的可能性和影響