ISO27001標(biāo)準(zhǔn)詳解

1、ISO27001標(biāo)準(zhǔn)詳解主題信息安全管理體系管理框架ISO27001控制措施ISO27001與知識產(chǎn)權(quán)保護(hù) 信息安全管理體系背景介紹信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問世及網(wǎng)上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴(yán)重的影響。 安全問題所帶來的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失： 一.直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率； 二.間接損失：恢復(fù)成本，競爭力受損，品牌

2、、聲譽(yù)受損，負(fù)面的公眾影響，失去未來的業(yè)務(wù)機(jī)會，影響股票市值或政治聲譽(yù)； 三.法律損失：法律、法規(guī)的制裁，帶來相關(guān)聯(lián)的訴訟或追索等。ISO27001的內(nèi)容 信息安全管理體系背景介紹所以，在享用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當(dāng)前企業(yè)迫切需要解決的問題。 俗話說三分技術(shù)七分管理。目前組織普遍采用現(xiàn)代通信、計算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信

3、息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個重要的問題。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。 ISO27001的內(nèi)容 信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史目前，在信息安全管理體系方面，ISO/IEC27001:2005-信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國標(biāo)準(zhǔn)BS7799轉(zhuǎn)換而成的。 BS7799標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS 7799-1：1995信息安全管理實施細(xì)則，它提供了一套綜合的、由信息安全最佳慣例組成的實

4、施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，適用于大、中、小組織。2000年12月，BS7799-1：1999信息安全管理實施細(xì)則通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)- ISO/IEC17799：2000信息技術(shù)-信息安全管理實施細(xì)則，后來該標(biāo)準(zhǔn)已升版為ISO27001的內(nèi)容 信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式發(fā)布，2002版標(biāo)準(zhǔn)主要在結(jié)構(gòu)上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過程管理模式，建立了與ISO 9001、ISO 14001和OHSA

5、S 18000等管理體系標(biāo)準(zhǔn)相同的結(jié)構(gòu)和運(yùn)行模式。2005年，BS 7799-2: 2002正式轉(zhuǎn)換為國際標(biāo)準(zhǔn)ISO/IEC27001：2005。 ISO27001的內(nèi)容 信息安全管理體系要求 11個控制領(lǐng)域 39個控制目標(biāo) 133個控制措施ISO27001的內(nèi)容 必須的ISMS文件：1、ISMS方針文件，包括ISMS的范圍； 2、風(fēng)險評估程序和風(fēng)險處理程序； 3、文件控制程序和記錄控制程序； 4、內(nèi)部審核程序和管理評審程序（盡管沒有強(qiáng)制）； 5、糾正措施和預(yù)防措施控制程序； 6、控制措施有效性的測量程序； 7、適用性聲明ISO27001的內(nèi)容對外 增強(qiáng)顧客信心和滿意 改善對安全方針及要求的符

6、合性 提供競爭優(yōu)勢對內(nèi) 改善總體安全 管理并減少安全事件的影響 便利持續(xù)改進(jìn) 提高員工動力與參與 提高盈利能力形成文件的ISMS的益處 PDCA方法 糾正和預(yù)防措施 內(nèi)部審核 ISMS管理評審ISMS的持續(xù)改進(jìn) 0.1總則 0.2過程方法 過程方法的定義：組織內(nèi)各過程系統(tǒng)的應(yīng)用，連同這些過程的識別和相互作用及其管理，可以被稱為“過程方法”。 過程方法鼓勵其使用者以強(qiáng)調(diào)以下方面的重要性：理解業(yè)務(wù)信息安全要求以及建立信息安全方針和目標(biāo)的需求在管理組織的整體業(yè)務(wù)風(fēng)險中實施并運(yùn)作控制監(jiān)控并評審ISMS的績效及有效性在客觀測量基礎(chǔ)上持續(xù)改進(jìn)0 介紹PDCA模型 1.1總則 本標(biāo)準(zhǔn)規(guī)定了在組織整體業(yè)務(wù)風(fēng)險

7、的范圍內(nèi)制定、實施、運(yùn)行、監(jiān)控、評審、保持和改進(jìn)文件化信息安全管理系統(tǒng)的要求 1.2應(yīng)用 適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織 可以考慮刪減，但條款4、5、6、7和8是不能刪減的1 范圍 ISO/IEC 17799：2005 信息技術(shù)安全技術(shù)信息安全管理實施指南2 引用標(biāo)準(zhǔn) 信息 是經(jīng)過加工的數(shù)據(jù)或消息，信息是對決策者有價值的數(shù)據(jù) 資產(chǎn) 任何對組織有價值的事物 可用性 確保授權(quán)用戶可以在需要時可以獲得信息和相關(guān)資產(chǎn) 保密性 確保信息僅為被授權(quán)的用戶獲得3 術(shù)語和定義 完整性 確保信息及其處理方法的準(zhǔn)確性和完整性 信息安全 保護(hù)信息的保密性、完整性、可用性；另外也包括其他屬 性，如：真實

8、性、可核查性、不可抵賴性和可靠性 信息安全事件 已識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)表明可能違反信息安全策略或防護(hù)措施失效的事件，或以前未知的與安全相關(guān)的情況3術(shù)語和定義（續(xù)） 信息安全事故 信息安全事故是指一個或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運(yùn)營造成嚴(yán)重影響或威脅信息安全。 信息安全管理體系（ISMS） 全面管理體系的一部分，基于業(yè)務(wù)風(fēng)險方法，旨在建立、實施、運(yùn)行、監(jiān)控、評審、維持和改進(jìn)信息安全 適用性聲明 基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論，描述與組織的信息安全管理體系相關(guān)并適用的控制目標(biāo)和控制的文件 3 術(shù)語和定義（續(xù)）殘余風(fēng)險 實施風(fēng)險處置后仍舊殘留

9、的風(fēng)險風(fēng)險接受 接受風(fēng)險的決定。風(fēng)險分析 系統(tǒng)地使用信息以識別來源和估計風(fēng)險。3 術(shù)語和定義（續(xù)）風(fēng)險評估 風(fēng)險分析和風(fēng)險評價的全過程。風(fēng)險評價 將估計的風(fēng)險與既定的風(fēng)險準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險的過程。風(fēng)險管理 指導(dǎo)和控制一個組織關(guān)于風(fēng)險的協(xié)調(diào)活動。風(fēng)險處置 選擇和實施措施以改變風(fēng)險的過程。143術(shù)語和定義（續(xù)）組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險，建立、實施、運(yùn)行、監(jiān)控、評審、保持并改進(jìn)文件化的信息安全管理體系。為了適應(yīng)標(biāo)準(zhǔn)的需要，過程運(yùn)用PDCA模式4.1 總要求 確定ISMS范圍（劃分業(yè)務(wù)或重要資產(chǎn)均可） 確定信息安全方針 定義系統(tǒng)化的風(fēng)險評估方法 風(fēng)險識別 風(fēng)險評估 識別并評價風(fēng)險處理，并對

10、其處理進(jìn)行選擇 選擇風(fēng)險處理的控制目標(biāo)和控制方式 編制適用性聲明 獲得剩余風(fēng)險的管理認(rèn)可，并授權(quán)實施和運(yùn)行ISMS4.2.1 建立和管理 ISMS 闡明風(fēng)險處理計劃，它為信息安全風(fēng)險管理（見第5章）指出了適當(dāng)?shù)墓芾泶胧?、職?zé)和優(yōu)先級；實施風(fēng)險處理計劃以達(dá)到確定的控制目標(biāo)，應(yīng)考慮資金需求以及角色和職責(zé)分配；實施所選擇的控制方法以滿足控制目標(biāo).確定如何測量所選擇的一個/組控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果實施培訓(xùn)和教育運(yùn)作管理資源管理實施過程和其它控制以便能對安全事故及時檢查并做出反應(yīng)4.2.2 實施和運(yùn)行 ISMS 執(zhí)行監(jiān)視和評審程序和其它控

11、制措施 對ISMS的有效性進(jìn)行定期的評審 測量控制措施的有效性，以證實安全要求已得到滿足 評審剩余風(fēng)險水平和可接受風(fēng)險 按照計劃的間隔實施內(nèi)部ISMS的審核 對ISMS實施規(guī)律性的管理評審 更新安全計劃，考慮監(jiān)視和評審活動的發(fā)現(xiàn) 記錄對ISMS的有效性或績效可能會產(chǎn)生影響的行為和事件4.2.3 監(jiān)控和評審 ISMS 實施ISMS中已識別的改進(jìn)措施 采用合適的糾正性和預(yù)防性措施 與所有相關(guān)方交流結(jié)果、行為和協(xié)議 確保改進(jìn)活動達(dá)到預(yù)想的目標(biāo)4.2.4 維持和改進(jìn) ISMS 4.3.1 總則 4.3.2文件控制 4.3.3記錄控制4.3 文件要求 ISMS文件應(yīng)包括： 文件化的安全方針和控制目標(biāo) ；

12、 ISMS的范圍，支持ISMS的程序和控制措施 ； 支持ISMS 的程序和控制措施； 風(fēng)險評估方法的描述 風(fēng)險評估報告； 風(fēng)險處理計劃； 組織需要文件化的過程以確保信息安全過程得到有效計劃、運(yùn)行和實施； 本標(biāo)準(zhǔn)所要求的記錄 適用性聲明4.3.1 總則文件發(fā)布前要得到批準(zhǔn)，以確保文件的適當(dāng)性；根據(jù)需要評審和修訂文件，并重新批準(zhǔn)確保文件的更改和現(xiàn)行修訂情況得到識別；確保在使用時能得到有關(guān)文件的適當(dāng)版本；確保文件保持清晰，易于識別；確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最終的銷毀；確保外來文件得到識別；確保文件的分發(fā)受控；防止廢舊文件的非預(yù)期使用；若因任何原因而保留作

13、廢文件時，應(yīng)做適當(dāng)?shù)臉?biāo)識4.3.2 文件控制 應(yīng)建立并保持記錄，以提供滿足本規(guī)范的要求和信息安全管理體系有效運(yùn)行的證據(jù) 建立程序文件，以規(guī)定記錄的識別、貯存、保護(hù)、恢復(fù)、保存時間和處置所需的控制 如：記錄控制程序 記錄應(yīng)清晰易讀，具有標(biāo)識和可追溯性 考慮任何相關(guān)的法律要求如：來訪登記表（本）、審核記錄、授權(quán)訪問記錄4.3.3 記錄控制ISMS 文 件方針范圍、風(fēng)險評價適用性聲明描述過程：who,what,when,where描述任務(wù)及具體的活動如何完成提供符合ISMS條款3.6要求的可感證據(jù)第一層次第二層次第三層次第四層次安全手冊程序作業(yè)指導(dǎo)書檢查表、表格記錄管理框架與ISO27001條款4有

14、關(guān)的方針 第一層次（安全手冊）：管理框架概要，包括信息安全方針、控制目標(biāo)以及在適用性聲明上給出的實施的控制方法。應(yīng)引用下一層次的文件 第二層次（程序）：采用的程序，規(guī)定實施要求的控制方法。描述安全過程的“WHO、WHAT、WHEN、WHERE”以及部門間的控制方法；可以按照ISO27001順序，也可按照過程順序；引用下一層次文件25ISMS 文 件 第三層次：解釋具體任務(wù)或活動的細(xì)節(jié)如何執(zhí)行具體的任務(wù)。包括詳細(xì)的作業(yè)指導(dǎo)書、表格、流程圖、服務(wù)標(biāo)準(zhǔn)、系統(tǒng)手冊，等等。 第四層次（記錄）：按照第一、二、三層次文件開展的活動的客觀證據(jù)。可能是強(qiáng)制性的，或者是ISO27001各個條款隱含的要求。例如：訪

15、問者登記簿、審核記錄、訪問的授權(quán)。26ISMS 文 件5.1管理承諾 5.2資源管理 5.2.1提供資源 5.2.2培訓(xùn)、意識和能力5 管理職責(zé) 管理者應(yīng)通過如下所示向ISMS的建立、實施、運(yùn)作、監(jiān)管、審核、維持和改進(jìn)提供承諾的證據(jù)：a) 建立信息安全方針；b) 確保信息安全目標(biāo)和計劃的建立；c) 為信息安全定崗并建立崗位職責(zé)；d) 向本組織宣傳達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性，以及本組織的法律責(zé)任和持續(xù)改進(jìn)的需求；e) 為ISMS的發(fā)展、實施、運(yùn)作和維持提供充足的資源；f )確定接受風(fēng)險的準(zhǔn)則和可接受的風(fēng)險等級；g)確保ISMS內(nèi)部審核的實施；h)進(jìn)行ISMS管理評審。5.1 管理

16、承諾 組織應(yīng)確定并提供以下方面所需資源： 建立、實施、運(yùn)作和維持ISMS； 確保信息安全程序支持業(yè)務(wù)需要； 識別和定位法律法規(guī)要求和合同安全責(zé)任； 通過正確的應(yīng)用所有的已被實施的控制方法來維持適當(dāng)?shù)陌踩?必要時進(jìn)行評審，并對審核結(jié)果采取適當(dāng)?shù)男袆?； 在有需要的地方改進(jìn)ISMS的有效性5.2.1 提供資源確定員工在執(zhí)行與ISMS相關(guān)的工作時所必需具備的能力；提供能力培訓(xùn)，必要時，聘請專業(yè)人士以滿足需要；評價所提供的培訓(xùn)和采取的行動的有效性；保持教育、培訓(xùn)、技能、經(jīng)驗和資格的記錄組織應(yīng)確保所有相關(guān)人員認(rèn)識其信息安全活動的相關(guān)性和重要性，并知道怎樣為實現(xiàn)ISMS的目標(biāo)做出貢獻(xiàn)305.2.2 培訓(xùn)

17、、意識和能力 組織應(yīng)按策劃的時間間隔對ISMS進(jìn)行內(nèi)審,以決定ISMS的控制目標(biāo)、控制行為、過程和程序是否 與本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)相適應(yīng) 與已識別信息安全需求相適應(yīng) 有效地實施和維護(hù) 達(dá)到預(yù)期目標(biāo) 文件化內(nèi)審程序、保持內(nèi)審記錄316 ISMS內(nèi)部審核 7.1 總則 7.2 評審輸入 7.3 評審輸出7 ISMS的管理評審 定期管理評審，以確保適宜性、充分性和有效性 評審應(yīng)包括評價ISMS的改進(jìn)機(jī)會和變更需要，包括安全 方針和安全目標(biāo) 評審結(jié)果應(yīng)清楚地寫入文件，保持評審的記錄337.1總則ISMS審核和評審的結(jié)果；相關(guān)方的反饋；在組織中被用于改進(jìn)ISMS性能和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防

18、和糾正措施的狀況；以前風(fēng)險評估中沒有準(zhǔn)確定位的薄弱點或威脅；有效性測量的結(jié)果；以往管理評審的跟蹤措施；任何可能影響ISMS的變更；改進(jìn)的建議7.2評審輸入 ISMS有效性的改進(jìn)信息 風(fēng)險評估和風(fēng)險處理計劃的更新 修改影響信息安全的程序，必要時，對可能影響ISMS的內(nèi)部或外部事件做出反應(yīng)，變更包括如下 ：業(yè)務(wù)需求安全需求影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程法律法規(guī)環(huán)境風(fēng)險等級或/和可接受風(fēng)險水平 資源需求 對如何測量控制措施的有效性的改進(jìn)7.3評審輸出8.1 持續(xù)改進(jìn)8.2 糾正措施8.3 預(yù)防措施8 ISMS的改進(jìn) 組織應(yīng)通過信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)督事件的分析、糾正和預(yù)防措施以及管理評審來

19、持續(xù)改進(jìn)ISMS的有效性8.1持續(xù)改進(jìn) 建立文件化的糾正措施程序以滿足如下要求 識別ISMS的實施和/或運(yùn)行的不合格 確定不合格原因 評價確保不合格不再發(fā)生的措施的需求 確定和實施所需的糾正措施 記錄所采取的措施結(jié)果 評審所采取的糾正措施8.2糾正措施 建立文件化的預(yù)防措施程序以滿足如下要求： 識別潛在的不合格及其原因 評價預(yù)防不符合發(fā)生所需的措施 確定和實施所需的預(yù)防措施 記錄所采取的措施的結(jié)果 評審所采取的預(yù)防措施8.3 預(yù)防措施預(yù)防 預(yù)防是主動的 意圖為防止問題發(fā)生 在過程策劃和設(shè)計階段控制 增值 成本更低 更大的顧客信心 所有ISO標(biāo)準(zhǔn)的主要關(guān)注點預(yù)防與探測探測探測是被動的意圖為探測發(fā)

20、生的問題在過程輸出階段控制不增加價值成本很大顧客信心有限需要，但遠(yuǎn)不是重點管理者承諾組織資源關(guān)注預(yù)防培訓(xùn)溝通參與系統(tǒng)評審ISMS的有效實施主題信息安全管理體系管理框架ISO27001控制方法ISO27001與知識產(chǎn)權(quán)保護(hù)ISO27001:2005ISO27001:2005控制目標(biāo)和控制方法控制目標(biāo)和控制方法附錄：A11大控制域信息資產(chǎn)保密性完整性可用性安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信與操作安全信息安全事件管理信息系統(tǒng)的獲取開發(fā)和維護(hù)訪問控制業(yè)務(wù)持續(xù)性管理符合性A.5 安全方針 評審與評價A.5 信息安全方針方針積極預(yù)防、全面管理、積極預(yù)防、全面管理、控制風(fēng)險、保障安全

21、。控制風(fēng)險、保障安全。目標(biāo)：根據(jù)業(yè)務(wù)需求和相關(guān)法律、法規(guī)，為信息安全提供管理指 導(dǎo)和支持。 信息安全方針文件 信息安全方針文件應(yīng)經(jīng)管理層批準(zhǔn)認(rèn)可，并向所有雇員和有關(guān)外部組織發(fā)布、傳達(dá)。47A.5.1信息安全方針文件 應(yīng)按策劃的時間間隔或當(dāng)發(fā)生重大變化時，對信息安全方針文檔進(jìn)行評審，以確保其持續(xù)的適宜性、充分性和有效性。48A.5.2信息安全方針評審A.6 信息安全組織A.6.1 內(nèi)部組織目標(biāo)：在組織內(nèi)部管理信息安全。 信息安全的管理承諾 信息安全協(xié)調(diào) 信息安全職責(zé)劃分 信息處理設(shè)備的授權(quán)過程 保密協(xié)議 與權(quán)威機(jī)構(gòu)的聯(lián)系 與專業(yè)的利益團(tuán)體保持聯(lián)系 信息安全的獨立評審A.6.1.1 信息安全的管理

22、承諾A.6.1.2 信息安全協(xié)調(diào)A.6.1.3 信息安全職責(zé)劃分A.6.1.4 信息處理設(shè)施的授權(quán)過程A.6.1.5 保密協(xié)議A.6.1.6 與權(quán)威機(jī)構(gòu)的聯(lián)系A(chǔ).6.1.7 與專業(yè)的利益團(tuán)體保持聯(lián)系A(chǔ).6.1.8 信息安全的獨立評審控制措施：管理應(yīng)通過明確的指導(dǎo)、已證實的承諾、明確的任務(wù)委派和信息安全職責(zé)的確認(rèn)來積極支持組織內(nèi)部的安全?？刂拼胧簛碜越M織不同部門的代表應(yīng)保持信息安全活動與有關(guān)角色和工作職責(zé)的協(xié)調(diào)?？刂拼胧簯?yīng)明確規(guī)定所有的信息安全職責(zé)。控制措施：應(yīng)定義和實施對新的信息處理設(shè)施的管理授權(quán)過程?？刂拼胧簯?yīng)識別和定期評審反映組織信息保護(hù)需要的保密或不許泄露協(xié)議的需求控制措施：應(yīng)保持

23、與相關(guān)權(quán)威機(jī)構(gòu)的適當(dāng)聯(lián)系?？刂拼胧簯?yīng)與專業(yè)的利益團(tuán)體或?qū)＜野踩搲约皩I(yè)協(xié)會保持適當(dāng)?shù)穆?lián)系?？刂拼胧簩M織信息安全的管理方法和實施情況（如信息安全的控制目標(biāo)、措施、方針、過程、流程）應(yīng)按計劃的時間間隔進(jìn)行獨立評審，或是在信息安全實施發(fā)生重大變更時進(jìn)行獨立評審。A.6.2外部組織目標(biāo)：保持被外部組織訪問、處理、通信或管理的組織信息和信息處理設(shè)施的安全。 關(guān)于外部組織風(fēng)險的識別 當(dāng)與顧客接觸時強(qiáng)調(diào)安全 第三方合同中的安全要求A.6.2.1關(guān)于外部組織風(fēng)險的識別控制措施：在被允許訪問前，應(yīng)對涉及外部組織的業(yè)務(wù)過程中的組織信息和信息處理設(shè)施的風(fēng)險進(jìn)行識別并采取適當(dāng)?shù)目刂拼胧?。A.6.2.2當(dāng)與顧

24、客接觸時強(qiáng)調(diào)安全控制措施：應(yīng)在允許顧客訪問組織的信息或資產(chǎn)前強(qiáng)調(diào)所有的安全要求。A.6.2.3在第三方合同中強(qiáng)調(diào)安全控制措施：與第三方簽訂的合同中涉及到訪問、處理、通信或管理組織信息和信息設(shè)施，或增加產(chǎn)品、服務(wù)到組織信息設(shè)施，合同應(yīng)覆蓋所有相關(guān)安全的要求。A.7 資產(chǎn)管理A.7.1資產(chǎn)責(zé)任目標(biāo)：實現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)。 資產(chǎn)的清單 資產(chǎn)所有者關(guān)系 可接受的資產(chǎn)使用A.7.1.1資產(chǎn)的清單控制措施：所有資產(chǎn)應(yīng)予以清楚的識別，并且應(yīng)編制并保持所有重要資產(chǎn)的目錄。A.7.1.2資產(chǎn)所有者關(guān)系控制措施：與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織指定的部門或人員（所有者）1承擔(dān)責(zé)任。A.7.1.3

25、可接受的資產(chǎn)使用控制措施：與信息處理設(shè)施有關(guān)的信息和資產(chǎn)的可接受的使用準(zhǔn)則應(yīng)被識別、形成文件并加以實施。1術(shù)語“所有者”是為控制生產(chǎn)、開發(fā)、保持、使用和保護(hù)資產(chǎn)而賦予管理職責(zé)的個人或?qū)嶓w。術(shù)語 “所有者”不指對資產(chǎn)有實際所有權(quán)的人員。 分類指南 信息的標(biāo)識與處理目標(biāo)：確保信息受到適當(dāng)程度的保護(hù)。限制高度機(jī)密秘保密密限制直到2007/1/1保護(hù)標(biāo)識A.7.2 資產(chǎn)分類與控制A.7.2.1分類指南控制措施：信息應(yīng)根據(jù)其對組織的價值、法律要求、敏感性和危險程度進(jìn)行分類。A.7.2.2信息的標(biāo)識與處理控制措施：根據(jù)組織采用的分類方案，應(yīng)開發(fā)和實施用于信息標(biāo)識與處理的適當(dāng)?shù)娜壮绦颉.8 人力資源安全

26、 目標(biāo)：確保員工、合同方和第三方用戶明白他們的職責(zé)，適合于他們被賦予的任務(wù)，減少因盜竊、欺詐或設(shè)施誤用造成的風(fēng)險。 任務(wù)和職責(zé) 人員考察 雇用條款和條件A.8.1雇傭前A.8.1.1任務(wù)和職責(zé)控制措施：員工、合同方和第三方用戶的安全任務(wù)和職責(zé)應(yīng)給予定義和形成文件，并應(yīng)與組織信息安全方針保持一致。A.8.1.2人員考察控制措施：應(yīng)根據(jù)相關(guān)的法律、法規(guī)和道德，對所有的求職者、合同方和第三方用戶進(jìn)行背景驗證檢查，該檢查應(yīng)與業(yè)務(wù)要求、接觸信息的類別及已知風(fēng)險相適宜。A.8.1.3雇用條款和條件控制措施：作為合同責(zé)任的一部分，員工、合同方和第三方用戶應(yīng)統(tǒng)一并簽署他們的雇傭合同的條款和條件。這些條款和條件

27、應(yīng)規(guī)定他們和組織對于信息安全的責(zé)任。A.8.2雇傭期間 目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風(fēng)險。 管理職責(zé) 信息安全意識、教育與培訓(xùn) 懲戒程序A.8.2.1管理職責(zé)控制措施：管理者應(yīng)要求所有的員工、合同方和第三方用戶按照組織已建立的方針和程序?qū)嵤┌踩?。A.8.2.2信息安全意識、教育與培訓(xùn)控制措施：組織的所有員工，適當(dāng)時，包括合同方和第三方用戶，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R培訓(xùn)和組織方針及程序的定期更新培訓(xùn)。A.8.2.3懲戒程序控制措施：應(yīng)建立一個正式的員工違反安全的懲戒程序。

28、A.8.3雇傭的終止或變更 目標(biāo)：確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進(jìn)行應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問權(quán)力。終止職責(zé)資產(chǎn)歸還撤銷訪問權(quán)限66A.8.3.1終止職責(zé)控制措施：履行雇用關(guān)系終止或改變的職責(zé)應(yīng)得到清楚的定義和分配。A.8.3.2資產(chǎn)歸還控制措施：當(dāng)終止雇用關(guān)系、合同或協(xié)議時，員工、合同方和第三方用戶應(yīng)歸還其占有的組織資產(chǎn)。A.8.3.3撤銷訪問權(quán)限控制措施：當(dāng)終止雇用關(guān)系、合同或協(xié)議時，員工、合同方和第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)予以撤銷，或當(dāng)雇用關(guān)系、合同或協(xié)議發(fā)生變更

29、時，訪問權(quán)限應(yīng)予以調(diào)整。A.9 物理與環(huán)境安全A.9.1安全區(qū)域目標(biāo)：防止對組織辦公場所和信息的非授權(quán)物理訪問、破壞和干擾。 物理安全邊界 物理進(jìn)入控制 辦公室、房間和設(shè)施的安全 防范外部和環(huán)境的威脅 在安全區(qū)域工作 公共訪問和裝卸區(qū)域A.9.1.1 物理安全邊界控制措施：組織應(yīng)使用安全邊界（障礙物，如墻、控制進(jìn)入大門的卡或人工接待臺）來保護(hù)包含信息和信息處理設(shè)施的區(qū)域。A.9.1.2 物理進(jìn)入控制控制措施：應(yīng)通過適當(dāng)?shù)倪M(jìn)入控制對安全區(qū)域進(jìn)行保護(hù)，以確保只有經(jīng)過授權(quán)的人員才可以訪問。A.9.1.3 辦公室、房間和設(shè)施的安全控制措施：應(yīng)設(shè)計并實施保護(hù)辦公室、房間和設(shè)施的物理安全。A.9.1.4

30、防范外部和環(huán)境的威脅控制措施：應(yīng)設(shè)計并實施針對火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施。A.9.1.5 在安全區(qū)域工作控制措施：應(yīng)設(shè)計并實施在安全區(qū)域工作的物理保護(hù)和指南。A.9.1.6 公共訪問和裝卸區(qū)域控制措施：訪問區(qū)域如裝卸區(qū)域及其他未經(jīng)授權(quán)人員可能進(jìn)入辦公場所的地點應(yīng)加以控制，如果可能的話，與信息處理設(shè)施加以隔離以防止非授權(quán)的訪問。A.9.2 設(shè)備安全 目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對組織活動的中斷。 設(shè)備的定置和保護(hù) 支持性設(shè)施 線纜安全 設(shè)備維護(hù) 場外設(shè)備的安全 設(shè)備的安全處理或再利用 資產(chǎn)遷移A.9.2.1 設(shè)備的安置與保護(hù)控制措施：應(yīng)對設(shè)備進(jìn)

31、行安置或保護(hù)，以減少來自環(huán)境的威脅或危害，并減少非授權(quán)訪問的機(jī)會。A.9.2.2 支持性設(shè)施控制措施：應(yīng)保護(hù)設(shè)備免受電力中斷或其他因為支持性設(shè)施失效所導(dǎo)致的中斷。A.9.2.3 電纜安全控制措施：應(yīng)保護(hù)承載數(shù)據(jù)或支持信息服務(wù)的電力和通訊電纜免遭中斷或破壞。A.9.2.4 設(shè)備維護(hù)控制措施：應(yīng)正確維護(hù)設(shè)備，以確保其持續(xù)的可用性和完整性。A.9.2.5 場外設(shè)備的安全控制措施：應(yīng)對場外設(shè)備進(jìn)行安全防護(hù)，考慮在組織邊界之外工作的不同風(fēng)險。A.9.2.6 設(shè)備處置或重用的安全控制措施：應(yīng)檢查包所有含存儲介質(zhì)的設(shè)備，以確保在處置前所有敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被移除或安全重寫。A.9.2.7 資產(chǎn)遷移控制措

32、施：未經(jīng)授權(quán)，不得將設(shè)備、信息或軟件帶離。A.10 通信與操作管理74A.10.1操作程序及職責(zé)目標(biāo)：確保信息處理設(shè)施的正確和安全操作。 文件化的操作程序 變更管理 職責(zé)分離 開發(fā)、測試和運(yùn)營設(shè)施的分離A.10.1.1文件化的操作程序控制措施：應(yīng)編制并保持文件化的操作程序，并確保所有需要的用戶可以獲得。A.10.1.2變更管理控制措施：應(yīng)控制信息處理設(shè)施及系統(tǒng)的變更。A.10.1.3職責(zé)分離控制措施：應(yīng)分離職責(zé)和責(zé)任區(qū)域，以降低非授權(quán)訪問、無意識修改或濫用組織資產(chǎn)的機(jī)會。A.10.1.4開發(fā)、測試和運(yùn)營設(shè)施的分離控制措施：應(yīng)分離開發(fā)、測試和運(yùn)營設(shè)施，以降低非授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更所帶來的風(fēng)險

33、。A.10.2第三方服務(wù)交付管理 目標(biāo)：實施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。 服務(wù)交付 監(jiān)控和評審第三方服務(wù) 管理第三方服務(wù)的變更A.10.2.1服務(wù)交付控制措施：確保第三方實施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包含的安全控制、服務(wù)定義和交付等級。A.10.2.2監(jiān)控和評審第三方服務(wù)控制措施：應(yīng)對服務(wù)和第三方提交的報告定期進(jìn)行監(jiān)控和評審，并定期進(jìn)行審核。A.10.2.3管理第三方服務(wù)的變更控制措施：應(yīng)管理服務(wù)提供的變更（包括保持和改進(jìn)現(xiàn)有信息安全方針、程序和控制措施），考慮對業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、涉及的過程和風(fēng)險的再評估。A.10.3系統(tǒng)規(guī)劃和驗收目標(biāo)：最小化系統(tǒng)失效的

34、風(fēng)險。 容量管理 系統(tǒng)驗收A.10.3.1容量管理控制措施：應(yīng)監(jiān)督、調(diào)整資源的使用情況，并反應(yīng)將來容量的要求，以確保系統(tǒng)的性能。A.10.3.2系統(tǒng)驗收控制措施：應(yīng)建立新的信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準(zhǔn)則，并在開發(fā)過程中及接收前進(jìn)行適當(dāng)?shù)南到y(tǒng)測試。A.10.4 防范惡意代碼和移動代碼目標(biāo)：保護(hù)軟件和信息的完整性。 防范惡意代碼 防范移動代碼A.10.4.1防范惡意代碼控制措施：應(yīng)實施防范惡意代碼的檢測、預(yù)防和恢復(fù)，以及適當(dāng)?shù)挠脩粢庾R程序。A.10.4.2防范移動代碼控制措施：當(dāng)使用移動代碼獲得授權(quán)時，配置管理應(yīng)確保授權(quán)的移動代碼按照明確定義的安全方針運(yùn)行，并防止未經(jīng)授權(quán)移動代碼的執(zhí)行。A.

35、10.5 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。 信息備份A.10.5.1信息備份控制措施：應(yīng)根據(jù)既定的備份策略對信息和軟件進(jìn)行備份并定期測試。 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)服務(wù)的安全A.10.6 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。A.10.6.1網(wǎng)絡(luò)控制控制措施：應(yīng)對網(wǎng)絡(luò)進(jìn)行充分的管理和控制，以防范威脅、保持使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全，包括信息傳輸。A.10.6.2網(wǎng)絡(luò)服務(wù)的安全控制措施：應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級和管理要求，并包含在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的。A.10.7 媒介處置目標(biāo)：防止對資產(chǎn)的未授權(quán)泄漏、修改、移動或損

36、壞，及對業(yè)務(wù)活動的干擾。 可移動計算機(jī)介質(zhì)的管理 介質(zhì)處理 信息處理程序 系統(tǒng)文檔的安全A.10.7.1可移動介質(zhì)的管理控制措施：應(yīng)建立可移動介質(zhì)的管理程序。A.10.7.2介質(zhì)處置控制措施：當(dāng)介質(zhì)不再需要時，應(yīng)按照正式的程序進(jìn)行安全可靠的銷毀。A.10.7.3信息處理程序控制措施：應(yīng)建立信息處理和存儲程序，以防范該信息的未授權(quán)泄漏或誤用。A.10.7.4系統(tǒng)文檔安全控制措施：應(yīng)保護(hù)系統(tǒng)文檔免受非授權(quán)的訪問。A.10.8 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。 信息交換策略和程序 交換協(xié)議 物理媒體傳輸 電子信息 業(yè)務(wù)信息系統(tǒng)A.10.8.1信息交換策略和程序控

37、制措施：應(yīng)建立正式的交換策略、程序和控制，以保護(hù)通過所有類型的通訊設(shè)施交換信息的安全。A.10.8.2交換協(xié)議控制措施：應(yīng)建立組織和外部組織信息和軟件交換的協(xié)議。A.10.8.3物理介質(zhì)傳輸控制措施：在組織的物理邊界之外進(jìn)行傳輸?shù)倪^程中，應(yīng)保護(hù)包含信息的媒體免受非授權(quán)的訪問、誤用或破壞。A.10.8.4電子消息控制措施：應(yīng)適當(dāng)保護(hù)包含電子消息的信息。A.10.8.5業(yè)務(wù)信息系統(tǒng)控制措施：應(yīng)開發(fā)并實施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)的信息。 在線交易 公共可用信息A.10.9 電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)的安全及他們的安全使用。 電子商務(wù)A.10.9.1電子商務(wù)控制措施：應(yīng)保護(hù)電子商務(wù)中通

38、過公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭議、非授權(quán)的泄漏和修改。A.10.9.2在線交易控制措施：應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯誤、非授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。A.10.9.3公共可用信息控制措施：應(yīng)保護(hù)公共可用系統(tǒng)中信息的完整性，以防止未經(jīng)授權(quán)的修改。A.10.10 監(jiān)控目標(biāo)：檢測非授權(quán)的信息處理活動。 審計日志 監(jiān)視系統(tǒng)的使用 日志信息保護(hù) 管理員和操作者日志 故障記錄 時鐘同步A.10.10.1審計日志控制措施：應(yīng)產(chǎn)生記錄用戶活動、異常和信息安全事件的日志，并按照約定的期限進(jìn)行保留，以支持將來的調(diào)查和訪問控制監(jiān)視。A.10.10.2監(jiān)視

39、系統(tǒng)的使用控制措施：應(yīng)建立監(jiān)視信息處理系統(tǒng)使用的程序，并定期評審監(jiān)視活動的結(jié)果。A.10.10.3日志信息保護(hù)控制措施：應(yīng)保護(hù)日志設(shè)施和日志信息免受破壞和未授權(quán)的訪問。A.10.10.4管理員和操作者日志控制措施：應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作者的活動。A.10.10.5故障記錄控制措施：應(yīng)記錄并分析故障記錄，并采取適當(dāng)?shù)拇胧?。A.10.10.6時鐘同步控制措施：組織內(nèi)或統(tǒng)一安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)按照約定的正確時間源保持同步。A.11 訪問控制A.11.1 訪問控制業(yè)務(wù)需求目標(biāo)：控制對信息的訪問。 訪問控制策略系統(tǒng)管理員菜 單A.11.1.1訪問控制策略控制措施：應(yīng)建立文件化的訪問

40、控制策略，并根據(jù)對訪問的業(yè)務(wù)和安全要求進(jìn)行評審。 用戶注冊 特權(quán)管理 用戶口令管理 用戶訪問權(quán)限的評審A.11.2 用戶訪問管理你無權(quán)訪問本系統(tǒng)目標(biāo)：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。A.11.2.1用戶注冊控制措施：應(yīng)建立正式的用戶注冊和解除注冊程序，以允許和撤銷對于所有信息系統(tǒng)和服務(wù)的訪問。A.11.2.2特權(quán)管理控制措施：應(yīng)限制和控制特權(quán)的使用和分配。A.11.2.3用戶口令管理控制措施：應(yīng)通過正式的管理流程控制口令的分配。A.11.2.4用戶訪問權(quán)限的評審控制措施：管理者應(yīng)按照策劃的時間間隔通過正式的流程對用戶的訪問權(quán)限進(jìn)行評審。A.11.3 用戶責(zé)任目標(biāo)：預(yù)防未授權(quán)用戶

41、的訪問，信息和信息處理設(shè)施的破壞或被盜。 口令使用 無人值守的用戶設(shè)備 清理桌面及清除屏幕策略A.11.3.1口令使用控制措施：應(yīng)要求用戶在選擇和使用口令時遵循良好的安全慣例。A.11.3.2無人值守的用戶設(shè)備控制措施：用戶應(yīng)確保無人值守的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)。A.11.3.3清理桌面及清除屏幕策略控制措施：應(yīng)采用針對紙質(zhì)文件和可移動存儲介質(zhì)的桌面清理策略以及針對信息處理設(shè)施屏幕的清除策略。A.11.4 網(wǎng)絡(luò)訪問控制目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問。 網(wǎng)絡(luò)服務(wù)使用策略 外部連接用戶的鑒別 網(wǎng)絡(luò)設(shè)備的識別 遠(yuǎn)程診斷和配置端口保護(hù) 網(wǎng)內(nèi)隔離 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制A.11.4.1網(wǎng)絡(luò)服務(wù)使用策

42、略控制措施：用戶應(yīng)只能訪問經(jīng)過明確授權(quán)使用的服務(wù)。A.11.4.2外部連接用戶的鑒別控制措施：應(yīng)使用適當(dāng)?shù)蔫b別方法控制遠(yuǎn)程用戶的訪問。A.11.4.3網(wǎng)絡(luò)設(shè)備的識別控制措施：應(yīng)考慮采用自動設(shè)備識別方法鑒別從特定區(qū)域和設(shè)備的連接。A.11.4.4遠(yuǎn)程診斷和配置端口保護(hù)控制措施：應(yīng)控制對診斷和配置端口的物理和邏輯訪問。A.11.4.5網(wǎng)內(nèi)隔離控制措施：應(yīng)隔離信息系統(tǒng)內(nèi)的信息服務(wù)組、用戶和信息系統(tǒng)。A.11.4.6網(wǎng)絡(luò)連接控制控制措施：在公共網(wǎng)絡(luò)中，尤其是那些延展到組織邊界之外的網(wǎng)絡(luò)，應(yīng)限制用戶聯(lián)接的能力，并與業(yè)務(wù)應(yīng)用系統(tǒng)的訪問控制策略和要求一致（見11.1）。A.11.4.7網(wǎng)絡(luò)路由控制控制措施：

43、應(yīng)對網(wǎng)絡(luò)進(jìn)行路由控制，以確保信息聯(lián)接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪問控制策略。A.11.5 操作系統(tǒng)訪問控制目標(biāo)：防止對操作系統(tǒng)的非授權(quán)訪問。 安全登陸程序 用戶標(biāo)識和鑒別 口令管理系統(tǒng) 系統(tǒng)實用程序的使用 終端時限 連接時間限制A.11.5.1安全登陸程序控制措施：應(yīng)通過安全登陸程序?qū)Σ僮飨到y(tǒng)的訪問進(jìn)行控制。A.11.5.2用戶標(biāo)識和鑒別控制措施：所有的用戶應(yīng)有一個只供本人使用的唯一識別碼（用戶ID），應(yīng)使用適當(dāng)?shù)蔫b別技術(shù)來證實用戶所聲稱的身份。A.11.5.3口令管理系統(tǒng)控制措施：應(yīng)是使用交互式口令管理系統(tǒng)，并確保口令質(zhì)量。A.11.5.4系統(tǒng)實用程序的使用控制措施：使用的實用程序可能會超

44、越系統(tǒng)的能力，所以應(yīng)限制并嚴(yán)格控制系統(tǒng)實用程序的使用。A.11.5.5會話超時控制措施：不活動的會話應(yīng)在一個設(shè)定的不活動周期后關(guān)閉。A.11.5.6連接時間限制控制措施：應(yīng)使用連接時間限制作為高風(fēng)險應(yīng)用的額外安全保護(hù)。A.11.6應(yīng)用系統(tǒng)和信息訪問控制目標(biāo)：防止對應(yīng)用系統(tǒng)中信息的非授權(quán)訪問。 信息訪問限制 敏感系統(tǒng)隔離A.11.6.1信息訪問限制控制措施：應(yīng)根據(jù)規(guī)定的訪問控制策略，限制用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問。A.11.6.2敏感系統(tǒng)隔離控制措施：敏感系統(tǒng)應(yīng)使用獨立的計算環(huán)境。A.11.7 移動計算與遠(yuǎn)程工作目標(biāo)：確保在使用移動計算和遠(yuǎn)程工作設(shè)施時信息的安全。 移動計算和通信

45、遠(yuǎn)程工作A.11.7.1移動計算和通信控制措施：應(yīng)建立正式的策略并實施適當(dāng)?shù)目刂?，以防范使用移動計算和通訊設(shè)施的風(fēng)險。A.11.7.2遠(yuǎn)程工作控制措施：應(yīng)開發(fā)并實施遠(yuǎn)程工作的策略、操作計劃和程序。A.12 信息系統(tǒng)的獲取、開發(fā)和維護(hù) 安全要求分析與規(guī)范A.12.1 信息系統(tǒng)的安全要求 規(guī) 范 商務(wù)案例。如企業(yè)新購的。如企業(yè)新購的ERP系統(tǒng)在購買之后就系統(tǒng)在購買之后就進(jìn)行常規(guī)的測試和進(jìn)行常規(guī)的測試和需求處理。需求處理。安全要求目標(biāo)：確保安全成為信息系統(tǒng)的一部分。A.12.1.1安全需求分析與規(guī)范控制措施：新的信息系統(tǒng)或?qū)ΜF(xiàn)有信息系統(tǒng)的擴(kuò)展的業(yè)務(wù)需求說明書中應(yīng)規(guī)定安全控制的要求。A.12.2 應(yīng)用

46、系統(tǒng)的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯誤、丟失、非授權(quán)的修改或誤用。 輸入數(shù)據(jù)確認(rèn) 內(nèi)部處理的控制 消息完整性 輸出數(shù)據(jù)確認(rèn)A.12.2.1 輸入數(shù)據(jù)確認(rèn)控制措施：應(yīng)驗證應(yīng)用系統(tǒng)輸入數(shù)據(jù)，以確保正確和適當(dāng)。A.12.2.2 內(nèi)部處理控制控制措施：應(yīng)用系統(tǒng)中應(yīng)包含確認(rèn)檢查，以檢測數(shù)據(jù)處理過程中的錯誤。A.12.2.3 消息完整性控制措施：應(yīng)識別應(yīng)用系統(tǒng)中確保鑒別和保護(hù)消息完整性的要求，識別并實施適當(dāng)?shù)目刂啤.12.2.4 輸出數(shù)據(jù)確認(rèn)控制措施：應(yīng)確認(rèn)應(yīng)用系統(tǒng)輸出的數(shù)據(jù)，以確保存儲的信息的處理是正確的并與環(huán)境相適宜。A.12.3 加密控制保密信息34dfjon45?P目標(biāo)：通過加密手段來保護(hù)信

47、息的保密性、真實性或完整性。 使用加密控制的策略 密鑰管理A.12.3.1使用加密控制的策略控制措施：為保護(hù)信息，應(yīng)開發(fā)并實施加密控制的使用策略。A.12.3.2密鑰管理控制措施：應(yīng)進(jìn)行密鑰管理，以支持組織對密碼技術(shù)的使用(加密狗）。A.12.4 系統(tǒng)文檔的安全目標(biāo)：確保系統(tǒng)文檔的安全。 操作軟件的控制 系統(tǒng)測試數(shù)據(jù)的保護(hù) 源代碼的訪問控制A.12.4.1操作軟件控制控制措施：應(yīng)建立程序，以控制在操作系統(tǒng)中安裝軟件。A.12.4.2系統(tǒng)測試數(shù)據(jù)的保護(hù)控制措施：應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù)，并加以保護(hù)和控制。A.12.4.3源代碼的訪問控制控制措施：應(yīng)限制對源代碼的訪問（一系列人類可讀的語言指令）。變更控

48、制程序操作系統(tǒng)變更后的技術(shù)評審軟件包變更限制信息泄漏軟件開發(fā)外包A.12.5 開發(fā)與支持過程中的安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全。A.12.5.1變更控制程序控制措施：應(yīng)通過正式的變更控制程序，控制變更的實施。A.12.5.2操作系統(tǒng)變更后應(yīng)用系統(tǒng)的技術(shù)評審控制措施：當(dāng)操作系統(tǒng)變更后，應(yīng)評審并測試關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會對組織的運(yùn)營或安全產(chǎn)生負(fù)面影響。A.12.5.3軟件包變更限制控制措施：除非確實有必要，不鼓勵對軟件包進(jìn)行變更。所有的變更應(yīng)被嚴(yán)格控制。A.12.5.4信息泄漏控制措施：防止信息泄漏的機(jī)會。A.12.5.5軟件開發(fā)外包控制措施：組織應(yīng)對軟件開發(fā)外包進(jìn)行監(jiān)控。A.

49、12.6技術(shù)漏洞管理目標(biāo)：減少由利用公開的技術(shù)漏洞帶來的風(fēng)險。 控制技術(shù)漏洞A.12.6.1 控制技術(shù)漏洞控制措施：應(yīng)及時獲得組織所使用的信息系統(tǒng)的技術(shù)漏洞的信息，評估組織對此類技術(shù)漏洞的保護(hù)，并采取適當(dāng)?shù)拇胧?。A.13 信息安全事件管理A.13.1 報告信息事件和弱點目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施。 報告安全事件 報告安全弱點A.13.1.1報告信息安全事件控制措施：應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報告信息安全事件。A.13.1.2報告信息安全弱點控制措施：應(yīng)要求所有的員工、合同方和第三方用戶注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全弱點。A.13.2 對安全事件與

50、故障做出響應(yīng)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施。 職責(zé)和程序 從信息安全事故中學(xué)習(xí) 收集證據(jù)A.13.2.1職責(zé)和程序控制措施：應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事故。A.13.2.2從信息安全事件中學(xué)習(xí)控制措施：應(yīng)建立能夠量化和監(jiān)控信息安全事件的類型、數(shù)量、成本的機(jī)制。A.13.2.3收集證據(jù)控制措施：事件發(fā)生后，應(yīng)根據(jù)相關(guān)法律的規(guī)定（無論是民法還是刑法）跟蹤個人或組織的行動，應(yīng)收集、保留證據(jù)，并以符合法律規(guī)定的形式提交。A.14 業(yè)務(wù)持續(xù)性管理目標(biāo):防止業(yè)務(wù)活動的中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不會受信息系統(tǒng)重大失誤或災(zāi)難的影響，并確保他們的及時恢

51、復(fù) 在業(yè)務(wù)連續(xù)性管理過程中包含的信息安全 業(yè)務(wù)連續(xù)性和風(fēng)險評估 制定并實施包含信息安全的連續(xù)性計劃 業(yè)務(wù)連續(xù)性計劃框架 BCP 的測試、保持和再評估A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面A.14.1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全控制措施：應(yīng)在組織內(nèi)制定并保持業(yè)務(wù)連續(xù)性管理過程，該過程滿足組織的業(yè)務(wù)連續(xù)性對信息安全的要求。A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險評估控制措施：應(yīng)識別可能導(dǎo)致業(yè)務(wù)過程中斷的事件，這類中斷發(fā)生的可能性，以及它們對信息安全所造成的后果。A.14.1.3制定并實施包含信息安全的連續(xù)性計劃控制措施：應(yīng)制定并實施計劃，以確保在關(guān)鍵業(yè)務(wù)流程中斷或失效后能夠在要求的時間內(nèi)和要求的等級上保持和恢復(fù)運(yùn)營并確保信息的可用性。A.14.1.4業(yè)務(wù)連續(xù)性計劃框架控制措施：應(yīng)保持一個單一的業(yè)務(wù)連續(xù)性計劃框架，以確保所有計劃的一致性，以維護(hù)信息安全要求的一致性并識別測試和保持的優(yōu)先級。A.14.1.5BCP 的測試、保持和再評估控制措施：應(yīng)定期測試并更新BCP，以確保BCP 的及時性和有效性。A.15 符合性目標(biāo)：避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求 適用法律要求的識別 知識產(chǎn)權(quán)