GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南

ICS35040

L80.

中華人民共和國國家標準

GB/T22081—2016/ISO/IEC270022013

代替:

GB/T22081—2008

信息技術(shù)安全技術(shù)

信息安全控制實踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

informationsecuritycontrols

(ISO/IEC27002:2013,IDT)

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T22081—2016/ISO/IEC270022013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

背景和環(huán)境

0.1…………………………Ⅳ

信息安全要求

0.2………………………Ⅳ

控制的選擇

0.3…………………………Ⅴ

編制組織自己的指南

0.4………………Ⅴ

生命周期的考慮

0.5……………………Ⅴ

相關(guān)標準

0.6……………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

標準結(jié)構(gòu)

4…………………1

章節(jié)

4.1…………………1

控制類別

4.2……………1

信息安全策略

5……………2

信息安全管理指導

5.1…………………2

信息安全組織

6……………3

內(nèi)部組織

6.1……………3

移動設(shè)備和遠程工作

6.2………………5

人力資源安全

7……………7

任用前

7.1………………7

任用中

7.2………………8

任用的終止和變更

7.3…………………10

資產(chǎn)管理

8…………………10

有關(guān)資產(chǎn)的責任

8.1……………………10

信息分級

8.2……………11

介質(zhì)處理

8.3……………13

訪問控制

9…………………14

訪問控制的業(yè)務(wù)要求

9.1………………14

用戶訪問管理

9.2………………………15

用戶責任

9.3……………18

系統(tǒng)和應用訪問控制

9.4………………19

密碼

10……………………21

密碼控制

10.1…………………………21

物理和環(huán)境安全

11………………………23

Ⅰ

GB/T22081—2016/ISO/IEC270022013

:

安全區(qū)域

11.1…………………………23

設(shè)備

11.2………………25

運行安全

12………………28

運行規(guī)程和責任

12.1…………………28

惡意軟件防范

12.2……………………30

備份

12.3………………31

日志和監(jiān)視

12.4………………………32

運行軟件控制

12.5……………………34

技術(shù)方面的脆弱性管理

12.6…………34

信息系統(tǒng)審計的考慮

12.7……………36

通信安全

13………………36

網(wǎng)絡(luò)安全管理

13.1……………………36

信息傳輸

13.2…………………………38

系統(tǒng)獲取開發(fā)和維護

14、…………………40

信息系統(tǒng)的安全要求

14.1……………40

開發(fā)和支持過程中的安全

14.2………………………42

測試數(shù)據(jù)

14.3…………………………45

供應商關(guān)系

15……………46

供應商關(guān)系中的信息安全

15.1………………………46

供應商服務(wù)交付管理

15.2……………48

信息安全事件管理

16……………………49

信息安全事件的管理和改進

16.1……………………49

業(yè)務(wù)連續(xù)性管理的信息安全方面

17……………………52

信息安全的連續(xù)性

17.1………………52

冗余

17.2………………54

符合性

18…………………54

符合法律和合同要求

18.1……………54

信息安全評審

18.2……………………56

附錄資料性附錄與對比

NA()GB/T22081—2016GB/T22081—2008…………58

附錄資料性附錄與主要關(guān)鍵詞變化

NB()GB/T22081—2016GB/T22081—2008……………64

參考文獻

……………………65

Ⅱ

GB/T22081—2016/ISO/IEC270022013

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

GB/T22081—2008《》。

本標準與相比主要技術(shù)變化如下

GB/T22081—2008,:

結(jié)構(gòu)變化見附錄

———NA;

術(shù)語變化見附錄

———NB。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全控制實踐指

ISO/IEC27002:2013《

南及其相應的技術(shù)勘誤

》(ISO/IEC27002:2013/COR1:2014)。

與本標準中規(guī)范性引用的國際文件有一致性對應關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012(ISO/IEC27000:

2009,IDT)。

本標準做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院中電長城網(wǎng)際系統(tǒng)應用有限公司中國信息安全認

:、、

證中心山東省標準化研究院廣州賽寶認證中心服務(wù)有限公司北京江南天安科技有限公司上海三零

、、、、

衛(wèi)士信息安全有限公司中國合格評定國家認可中心北京時代新威信息技術(shù)有限公司黑龍江電子信

、、、

息產(chǎn)品監(jiān)督檢驗院浙江遠望電子有限公司杭州在信科技有限公司

、、。

本標準主要起草人許玉娜上官曉麗閔京華尤其公偉盧列文倪文靜王連強陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽

、、、、、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T22081—2008。

Ⅲ

GB/T22081—2016/ISO/IEC270022013

:

引言

01背景和環(huán)境

.

本標準可作為組織基于[10]實現(xiàn)信息安全管理體系過程中選擇控制時的參考

GB/T22080(ISMS),

或作為組織在實現(xiàn)通用信息安全控制時的指南在考慮具體信息安全風險環(huán)境后本標準也可用于制

。,

定特定行業(yè)和特定組織的信息安全管理指南

。

所有類型和規(guī)模的組織包括公共和私營部門商業(yè)組織非盈利性組織都會收集處理存儲和傳

(、、)、、

輸包括電子物理和語音如會談和演講等多種形式的信息

、()。

信息的價值超越文字數(shù)字和圖像的本身例如知識概念觀點和品牌都是無形信息在互聯(lián)世

、,:、、。

界中對于組織業(yè)務(wù)而言信息和相關(guān)過程系統(tǒng)網(wǎng)絡(luò)及其操作處理與保護活動中所涉及的人員都是資

,、、、

產(chǎn)與其他重要的業(yè)務(wù)資產(chǎn)一樣對組織的業(yè)務(wù)至關(guān)重要因此值得或需要保護以防范各種危害

,,,。

資產(chǎn)易遭受故意和意外的威脅且相關(guān)的過程系統(tǒng)網(wǎng)絡(luò)和人員均有其固有脆弱性業(yè)務(wù)過程和

;、、。

系統(tǒng)的變更或其他外部變更如新的法律法規(guī)可能產(chǎn)生新的信息安全風險因此考慮到威脅利用脆

()。,

弱性損害組織的途徑多種多樣信息安全風險始終存在有效的信息安全通過防范威脅和脆弱性使組

,。

織得到保護來減少風險從而降低對其資產(chǎn)的影響

,。

信息安全可通過實現(xiàn)一組合適的控制來達到包括策略過程規(guī)程組織結(jié)構(gòu)和軟硬件功能必要時需

,、、、。,

要建立實現(xiàn)監(jiān)視評審和改進這些控制以確保其滿足組織特定的安全和業(yè)務(wù)目標[10]

、、、,。GB/T22080

規(guī)定的采用整體的協(xié)調(diào)的觀點看待組織的信息安全風險以便在一致的管理體系總體框架下實

ISMS、,

現(xiàn)一套全面的信息安全控制

。

從[10]和本標準來看許多信息系統(tǒng)的設(shè)計未達到是安全的通過技術(shù)手段可獲得的

GB/T22080,。

安全是有限的宜通過適當?shù)墓芾砗鸵?guī)程給予支持確定哪些控制應該存在這需要仔細規(guī)劃并注意細

,。,

節(jié)一個成功的信息安全管理體系需要得到組織內(nèi)的所有員工的支持股東供應商或其他外部各方的

。,、

參與也需要外部各方的專家建議

,。

在更一般的意義上有效的信息安全也向管理者及其他相關(guān)方保證組織資產(chǎn)處于合理的安全并受

,,

到保護不被損害因此其角色等同于業(yè)務(wù)推動者

,。

02信息安全要求

.

組織識別其安全要求是必要的安全要求的個主要來源是

。3:

考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標對組織風險的評估通過風險評估識別資產(chǎn)受到的威脅

a),。,,

評價易受威脅利用的脆弱性和威脅發(fā)生的可能性估計潛在的影響

,;

組織及其貿(mào)易伙伴合同方和服務(wù)提供商必須滿足的法律法規(guī)規(guī)章制度和合同要求以及他

b)、、、,

們的社會文化環(huán)境

;

組織為支持其運行針對信息的操作處理存儲通信和歸檔而建立的原則目標和業(yè)務(wù)要求

c),、、、、。

實現(xiàn)控制所使用的資源必須權(quán)衡缺少這些控制而導致的安全問題以及可能導致的業(yè)務(wù)危害風

,。

險評估的結(jié)果將有助于指導和確定合適的管理措施信息安全風險管理的優(yōu)先級以及為防范這些風險

、

所選擇控制實現(xiàn)的優(yōu)先級

。

[11]提供了信息安全風險管理指南包括風險評估風險處置風險接受風險溝通

ISO/IEC27005,、、、、

風險監(jiān)視和風險評審各方面的建議

。

Ⅳ

GB/T22081—2016/ISO/IEC270022013

:

03控制的選擇

.

控制可以選自本標準或其他控制集或適當時針對特定的需求設(shè)計新的控制

,。

控制的選擇取決于組織決策該決策基于風險接受準則風險處置選項組織采用的通用風險管理

,、、

方法控制的選擇也必須遵守所有相關(guān)的國家法律法規(guī)同時控制的選擇也取決于控制交互方式以提

;。

供縱深防御

。

本標準中的某些控制可被當作信息安全管理的指導原則并且可用于大多數(shù)組織在每個控制之

,。

下詳細地給出了其實現(xiàn)指南有關(guān)選擇控制的更詳細信息以及其他的風險的處置選項可參見

,。,

[11]

ISO/IEC27005。

04編制組織自己的指南

.

本標準可作為組織制定其特定指南的起點對一個組織來說本標準中的控制和指南并非全部適

。,

用另外可能還需要增加一些不包含在本標準中的控制和指南當制定包含一些增加的控制和指南

。,。

的組織文件時給出一些對本標準可用條款的交叉應用這可能是有用的以支持審核員和和業(yè)務(wù)伙伴

,,,

的符合性檢查

。

05生命周期的考慮

.

信息有其固有的生命周期即從其創(chuàng)建和產(chǎn)生經(jīng)過存儲處理使用和傳輸?shù)狡渥罱K銷毀或消失

,,、、。

在其生命周期中信息資產(chǎn)的價值和所面臨的風險可能會變化如在公司賬目正式公布后對它的竊取

,(,

和未授權(quán)泄露所產(chǎn)生的危害將極大的降低但在所有階段信息安全仍存在一定程度的重要性

),,。

信息系統(tǒng)的生命周期包括構(gòu)思規(guī)約設(shè)計開發(fā)測試實現(xiàn)使用維護并最終退役和銷毀在每

、、、、、、、,。

一階段均應考慮到信息安全在每一階段上均應考慮信息安全開發(fā)新的系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的改變

。。,

為組織升級和改進安全控制提供了機會同時應考慮實際的安全事件以及當前和預測的信息安全風險

,。

06相關(guān)標準

.

本標準就一個廣泛的可通用于不同組織的信息安全控制集提供了相應的指南而信息安全管理

、,;

體系標準族中的其他標準就信息安全管理全過程的其他方面提供了補充建議或要求

。

信息安全管理體系標準的總體介紹參見中提供的詞匯表確定了

ISO/IEC27000。ISO/IEC27000

信息安全管理體系標準中使用的絕大部分術(shù)語并描述了每個標準的范圍和目標

,。

Ⅴ

GB/T22081—2016/ISO/IEC270022013

:

信息技術(shù)安全技術(shù)

信息安全控制實踐指南

1范圍

本標準為組織的信息安全標準和信息安全管理實踐提供了指南包括考慮了組織信息安全風險環(huán)