ISO-IEC 27002-2022中文版完整詳細(xì)

ISO/IEC27002:2022信息安全，網(wǎng)絡(luò)安全與隱私保護(hù)——信息安全控制日期更新日志2022年3月18日v0.12022年4月30日v0.2，修正少量文字錯誤和前后不一的用詞；2022年5月09日v0.3，修正少量排版錯誤，修正部分措辭；說明2022年2月，國際標(biāo)準(zhǔn)化組織發(fā)布更新發(fā)布了信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)——信息安全控制（ISO/IEC27002:2022），以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。新標(biāo)準(zhǔn)的更新變化為新環(huán)境下的網(wǎng)絡(luò)安全、數(shù)據(jù)安全治理和管理提供了先進(jìn)的思路和參考框架，為盡快將新標(biāo)納入我司數(shù)據(jù)安全治理咨詢服務(wù)知識庫，安全咨詢事業(yè)部組織專家力量進(jìn)行了翻譯整理。本文件主要翻譯人員為安全咨詢事業(yè)部高級安全顧問湯季洪(CISSP/CISP/CCSP/CCSI/CEH/RHCA/RHCE/MCSE/MCDBA/VCP)，并得到了盤茜(CISSP/CISP)女士的大力支持。由于譯者水平有限，錯誤或不當(dāng)之處在所難免，請參照英文原版以準(zhǔn)，并請撥冗批評指正?？陕?lián)系湯季微信)或\htangjihong@。閃捷信息科技有限公司?安全咨詢事業(yè)部2022年3月18日序ISO（國際標(biāo)準(zhǔn)化組織）和IEC（國際電工委員會）構(gòu)成了全球標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的國家機(jī)構(gòu)通過各自組織建立的技術(shù)委員會參與國際標(biāo)準(zhǔn)的制定，以處理特定領(lǐng)域的技術(shù)活動。ISO和IEC技術(shù)委員會在共同感興趣的領(lǐng)域進(jìn)行合作。與ISO和IEC保持聯(lián)系的其他政府和非政府國際組織也參與此項工作。ISO/IEC指令第1部分描述了用于編制本文件的程序以及旨在進(jìn)一步維護(hù)本文件的程序。特別是，應(yīng)注意不同類型的文件需要不同的審批標(biāo)準(zhǔn)。本文件根據(jù)ISO/IEC2部分的編輯規(guī)則起草（\h/directives或\hwww.iec.ch/members_experts/refdocs）。請注意，本文件中的某些內(nèi)容可能是專利權(quán)的主題。ISO和IEC不負(fù)責(zé)識別任何或所有此類專利權(quán)。在文檔開發(fā)過程中確定的任何專利權(quán)的詳細(xì)信息將在引言和/或收到的ISO專利聲明列表中列出（參見\h/patents）或收到的IEC專利聲明列表（參見patents.iec.ch）。本文件中使用的任何商品名稱都是為了方便用戶而提供的信息，并不構(gòu)成認(rèn)可。有關(guān)標(biāo)準(zhǔn)的自愿性質(zhì)的解釋、與合格評定相關(guān)的ISO特定術(shù)語和表述的含義，以及有關(guān)ISO遵守《技術(shù)性貿(mào)易壁壘（TBT）中遵守世界貿(mào)易組織（WTO）原則》的信息，請參見\h/iso/foreword.html。IEC的有關(guān)信息請參見\hwww.iec.ch/understanding-standards。本文件由ISO/IECJTC1聯(lián)合技術(shù)委員會信息技術(shù)分委員會SC27信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)編寫。第三版取消并取代了第二版（ISO/IEC27002：2013），包含第二版的技術(shù)修訂ISO/IEC27002:2013/Cor.1:2014和ISO/IEC27002:2013/Cor.2:2015。主要變化如下：修改了標(biāo)題；改變了文檔的結(jié)構(gòu)，使用簡單的分類法和相關(guān)屬性來呈現(xiàn)控制；一些控制被合并，一些被刪除，一些新的控制被引入。完整的對照見附件B。關(guān)于本文件的任何反饋或問題應(yīng)提交給使用者所在國家或地區(qū)的標(biāo)準(zhǔn)機(jī)構(gòu)。這些機(jī)構(gòu)的完整清單可在以下網(wǎng)址找到：\h/members.html\hwww.iec.ch/national-committees介紹背景和語境本文件適用于各種類型和規(guī)模的組織。它將用作在基于ISO/IEC27001的信息安全管理體系（ISMS）中確定和實(shí)施信息安全風(fēng)險處理控制的參考。它還可以用作組織確定和實(shí)施普遍接受的信息安全控制措施的指導(dǎo)文檔。此外，考慮到特定的信息安全風(fēng)險環(huán)境，本文件旨在用于制定行業(yè)和組織特定的信息安全管理準(zhǔn)則。本文件中未包括的組織或環(huán)境特定的控制措施可根據(jù)需要通過風(fēng)險評估來確定。各種類型和規(guī)模的組織（包括公共和私營部門、商業(yè)和非營利組織）以多種形式創(chuàng)建、收集、處理、存儲、傳輸和處置信息，包括電子、物理和口頭形式（例如對話和演示）。信息的價值超越了文字、數(shù)字和圖像：知識、概念、想法和品牌都是信息的無形形式。在一個相互關(guān)聯(lián)的世界中，信息和其他相關(guān)資產(chǎn)值得或需要針對各種風(fēng)險源進(jìn)行保護(hù)，無論這些風(fēng)險源是自然的、意外的還是蓄意的。信息安全是通過實(shí)施一套適當(dāng)?shù)目刂拼胧﹣韺?shí)現(xiàn)的，包括策略、規(guī)則、流程、程ISO/IEC27001中規(guī)定的ISMS確定和實(shí)施一套全面的信息安全控制。許多信息系統(tǒng)，包括它們的管理和操作，都沒有按照ISO/IEC27001和本文件中規(guī)定的ISMS來設(shè)計安全性。僅通過技術(shù)措施實(shí)現(xiàn)的安全級別是有限的，應(yīng)該得到適當(dāng)?shù)墓芾砘顒雍徒M織流程的支持。在進(jìn)行風(fēng)險處理時，確定哪些控制措施應(yīng)該到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。成功的ISMS需要組織中所有人員的支持。它還可能需要其他相關(guān)方的參與，如股東或供應(yīng)商。也可能需要相關(guān)領(lǐng)域?qū)＜业慕ㄗh。一個適當(dāng)、充分和有效的信息安全管理體系為組織的管理層和其他相關(guān)方提供保夠?qū)崿F(xiàn)既定的業(yè)務(wù)目標(biāo)。信息安全要求組織必須確定其信息安全要求。信息安全要求有三個主要來源：確保本組織的剩余風(fēng)險符合其風(fēng)險接受標(biāo)準(zhǔn)；組織及其相關(guān)方（貿(mào)易伙伴、服務(wù)提供商等）合同要求，以及他們的社會文化環(huán)境；要求。控制控制被定義為改變或保持風(fēng)險的措施。本文件中的一些控制措施是改變風(fēng)險的控制措施，而其他控制措施則保持風(fēng)險。例如，信息安全策略只能保持風(fēng)險，而遵守信息安全策略可以改變風(fēng)險。此外，一些控制表現(xiàn)為在不同的風(fēng)險語境下相同的通用措施。本文件提供了從國際公認(rèn)的最佳實(shí)踐中總結(jié)出來的組織、人員、物理和技術(shù)信息安全控制的通用組合。確定控制確定控制取決于組織在風(fēng)險評估后做出的決策，并具有明確定義的范圍。與已識別風(fēng)險相關(guān)的決策應(yīng)基于組織采用的風(fēng)險接受標(biāo)準(zhǔn)、風(fēng)險處理方案和風(fēng)險管理方法?？刂拼胧┑拇_定還應(yīng)考慮到所有相關(guān)的國家和國際法律和法規(guī)。控制措施的確定還取決于控制措施相互作用以提供深度防御的方式。組織可以根據(jù)需要設(shè)計控制或從任何來源識別控制。在指定此類控制措施時，組織應(yīng)根據(jù)實(shí)現(xiàn)的業(yè)務(wù)價值考慮實(shí)施和運(yùn)行控制措施所需的資源和投資。請參見ISO/IEC27016ISMS果。為實(shí)施控制措施而部署的資源應(yīng)該與在沒有這些控制的情況下安全事故可能產(chǎn)生的業(yè)務(wù)影響之間尋求平衡。風(fēng)險評估的結(jié)果應(yīng)有助于指導(dǎo)和確定適當(dāng)?shù)墓芾泶胧?、管理信息安全風(fēng)險的優(yōu)先級以及實(shí)施防范這些風(fēng)險所需的控制措施。本文件中的一些控制措施可視為信息安全管理的指導(dǎo)原則，適用于大多數(shù)組織。有關(guān)確定控制和其他風(fēng)險處理選項的更多信息，請參見ISO/IEC27005。制定組織的個性化指南該文件可被視為制定組織的個性化指南的起點(diǎn)。并不是本文件中的所有控制和指導(dǎo)都適用于所有組織。還可能需要本文件中未包含的其他控制措施和指南來滿足組織的特定需求和已識別的風(fēng)險。當(dāng)制定的文件包含額外的指南或控制措施時，包含本文件中條款的交叉引用以供將來參考會很有幫助。生命周期考慮因素信息有一個生命周期，從創(chuàng)建到處置。在整個生命周期中，信息的價值和風(fēng)險可能會有所不同（例如，未經(jīng)授權(quán)披露或竊取公司的財務(wù)賬目在發(fā)布后并不嚴(yán)重，但完整性仍然至關(guān)重要）。因此，在所有階段，信息安全在某種程度上都很重要。信息系統(tǒng)和與信息安全相關(guān)的其他資產(chǎn)都有生命周期，在這些生命周期內(nèi)，它們被構(gòu)思、規(guī)定、設(shè)計、開發(fā)、測試、實(shí)施、使用、維護(hù)，并最終退役和處置。每個階段都應(yīng)該考慮信息安全。新的系統(tǒng)開發(fā)項目和對現(xiàn)有系統(tǒng)的改變提供了改善安全控制的機(jī)會，同時考慮到本組織的風(fēng)險和從事故中吸取的教訓(xùn)。相關(guān)國際標(biāo)準(zhǔn)本文件提供了許多不同組織中普遍應(yīng)用的各種信息安全控制的指南，而ISO/IEC27000系列中的其他文檔提供了有關(guān)信息安全管理整體流程的其他方面的補(bǔ)充建議或要求。有關(guān)ISMS和文件系列的一般介紹，請參考ISO/IEC27000。ISO/IEC27000提供了一個詞匯表，定義了ISO/IEC27000文件系列中使用的大多數(shù)術(shù)語，并描述了該系列每個成員的范圍和目標(biāo)。還有一些針對特定行業(yè)的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)包含針對特定領(lǐng)域的額外控制措施（例ISO/IEC27017ISO/IEC27701標(biāo)準(zhǔn)、針對能源的ISO/IEC27019標(biāo)準(zhǔn)、針對電信組織的ISO/IEC27011標(biāo)準(zhǔn)以及針對健康的ISO799標(biāo)準(zhǔn)）。此類標(biāo)準(zhǔn)包含在參考書目中，其中一些參考了第5-8條中的指南和其他信息部分。范圍本文件提供了一套通用的信息安全控制參考，包括實(shí)施指南。旨在供組織用來：ISO/IEC27001的信息安全管理體系（ISMS）的范圍內(nèi)；根據(jù)國際公認(rèn)的最佳實(shí)踐實(shí)施信息安全控制；制定特定于組織的信息安全管理準(zhǔn)則。規(guī)范性引用文件本文件中沒有規(guī)范性引用文件。術(shù)語，定義和縮寫詞術(shù)語和定義就本文件而言，以下術(shù)語和定義適用。ISO和IEC在以下地址維護(hù)用于標(biāo)準(zhǔn)化的術(shù)語數(shù)據(jù)庫：ISO在線瀏覽平臺：htt\hps:///obpIEC電子詞典：https:/\h//訪問控制accesscontrol確?；跇I(yè)務(wù)和信息安全要求授權(quán)和限制對資產(chǎn)（3.1.2）的物理和邏輯訪問的方法。資產(chǎn)asset任何對組織有價值的事物。條目注釋1：在信息安全環(huán)境中，可以區(qū)分兩種資產(chǎn)：主要資產(chǎn)：信息；—業(yè)務(wù)流程（3.1.27）和活動；所有類型的支持資產(chǎn)（主要資產(chǎn)所依賴的），例如：硬件；軟件；網(wǎng)絡(luò)；—工作人員（3.1.20）；站點(diǎn)；組織結(jié)構(gòu)。攻擊attack未授權(quán)的破壞、更改、禁用、訪問資產(chǎn)（3.1.2）的成功或不成功的嘗試，或任何試圖暴露、竊取或未經(jīng)授權(quán)使用資產(chǎn)（3.1.2）的行為。鑒別authentication保證實(shí)體（3.1.11）聲稱的特征屬性是正確的。真實(shí)性authenticity一個實(shí)體（3.1.11）是它所聲稱的那樣的屬性。監(jiān)管鏈chainofcustody從一個時間點(diǎn)到另一個時間點(diǎn)，材料的可證明的持有、移動、處理和定位條目注釋1：在ISO/IEC27002環(huán)境下，材料包括信息和其他相關(guān)資產(chǎn)（3.1.2）。[資料來源：ISO/IEC27050-1：2019，3.1，另含修訂——添加“條目注釋1”]機(jī)密消息confidentialinformation不打算對未經(jīng)授權(quán)的個人、實(shí)體（3.1.11）或過程（3.1.27）可用或向其披露的信息?？刂芻ontrol保持和/或改變風(fēng)險的措施條目注釋1：控制包括但不限于任何過程（3.1.27）、策略（3.1.24）、設(shè)備、實(shí)踐或其他保持和/或改變風(fēng)險的條件和/或行動。條目注釋2：控制可能并不總是產(chǎn)生預(yù)期或假定的改變效果。[資料來源：ISO31000：2018，3.8]中斷disruption一種事故，無論是預(yù)期的還是未預(yù)期的，都會導(dǎo)致產(chǎn)品和服務(wù)的預(yù)期交付相對于組織的目標(biāo)發(fā)生計劃外的負(fù)面偏離。[資料來源：ISO22301：2019，3.10]終端設(shè)備endpointdevice聯(lián)網(wǎng)的信通技術(shù)（ICT）硬件設(shè)備。條目注釋1：端點(diǎn)設(shè)備可以指臺式計算機(jī)、筆記本電腦、智能手機(jī)、平板電腦、瘦客戶機(jī)、打印機(jī)或其他專用硬件，包括智能電表和物聯(lián)網(wǎng)（IoT）設(shè)備。實(shí)體entity與具有可識別的獨(dú)特存在的領(lǐng)域的運(yùn)營目的相關(guān)的項目。條目注釋1：一個實(shí)體應(yīng)有一個物理或邏輯的具象化實(shí)例。例如個人、組織、設(shè)備、一組像這樣羅列的事物、電信服務(wù)的個人訂戶、SIM卡、護(hù)照、網(wǎng)絡(luò)接口卡、軟件應(yīng)用、服務(wù)或網(wǎng)站等。[資料來源：國際標(biāo)準(zhǔn)化組織/IEC24760-1：2019，3.1.1]信息處理設(shè)施informationprocessingfacility任何信息處理系統(tǒng)、服務(wù)或基礎(chǔ)設(shè)施，或容納信息的物理位置。[資料來源：ISO/IEC27000：2018，3.27，修改——“設(shè)施facilities”替換為“設(shè)施facility”。]信息安全的違背informationsecuritybreach危及信息安全，導(dǎo)致傳輸、存儲或以其他方式處理的受保護(hù)信息遭到意外破壞、丟失、篡改、泄露或訪問。信息安全事件informationsecurityevent表明可能發(fā)生信息安全的破壞（3.1.13）或控制失?。?.1.8）的事件[資料來源：ISO/IEC27035-1：2016，3.3，修改——“breachofinformationsecurity”替換為“informationsecuritybreach”]信息安全事故informationsecurityincident一個或多個相關(guān)且已確定的信息安全事件（3.1.14）,可能會損害組織的資產(chǎn)（3.1.2）或干擾其運(yùn)營[資料來源：ISO/IEC27035-1：2016，3.4]信息安全事故管理informationsecurityincidentmanagement采用一貫的、有效的方法處理信息安全事故（3.1.15）[資料來源：ISO/IEC27035-1：2016，3.5]信息系統(tǒng)informationsystem一組應(yīng)用程序、服務(wù)、信息技術(shù)資產(chǎn)（3.1.2）或其他信息處理部件。[資料來源：國際標(biāo)準(zhǔn)化組織/IEC27000：2018，3.35]利益相關(guān)方interestedparty/stakeholder能夠影響決策或活動、被決策或活動影響或認(rèn)為自己受決策或活動影響的個人或組織。[資料來源：國際標(biāo)準(zhǔn)化組織/IEC27000：2018，3.37]不可否認(rèn)性non-repudiation證明聲稱的事件或行動及其發(fā)起實(shí)體發(fā)生的能力（3.1.11）工作人員personnel在組織的指導(dǎo)下工作的人員條目注釋1：工作人員的概念包括組織的成員，如理事機(jī)構(gòu)、最高管理層、雇員、臨時工作人員、承包商和志愿者。個人可識別信息personallyidentifiableinformation/PII可用于在信息和與信息相關(guān)的自然人之間建立聯(lián)系的任何信息，或直接或間接與自然人相關(guān)聯(lián)的任何信息。條目注釋1：定義中的“自然人”是指PII主體（3.1.22）。要確定PII主體是否可識別，應(yīng)考慮持有數(shù)據(jù)的隱私利益相關(guān)方或任何其他方可以合理使用的所有方法，以建立PII集和自然人之間的聯(lián)系。[資料來源：ISO/IEC29100：2011/Amd.1：2018，2.9]PII主體PIIprincipal與PII個人可識別信息（3.1.21）相關(guān)的自然人。條目注釋1：根據(jù)司法管轄區(qū)和特定的數(shù)據(jù)保護(hù)和隱私立法，也可以使用同義詞“數(shù)據(jù)主體”代替術(shù)語“PII主體”。[資料來源：國際標(biāo)準(zhǔn)化組織/IEC29100：2011，2.11]PII處理者PIIprocessor代表PII控制者并根據(jù)其指示處理PII個人可識別信息（3.1.21）的隱私利益相關(guān)方。[資料來源：國際標(biāo)準(zhǔn)化組織/IEC29100：2011，2.12]策略policy由最高管理者正式表達(dá)的組織的意圖和方向[資料來源：ISO/IEC27000：2018，3.53]隱私影響評估privacyimpactassessment識別、分析、評估、咨詢、溝通和規(guī)劃處理PII個人可識別信息（3.1.21）的潛在隱私影響的整體流程（3.1.27），在組織更廣泛的風(fēng)險管理框架內(nèi)制定[資料來源：ISO/IEC29134：2017，3.7，修改——刪除條目注釋1。]程序procedure開展活動或過程（3.1.27）的特定方式。[資料來源：ISO30000：2009，3.12]過程process使用或轉(zhuǎn)換輸入以交付結(jié)果的一組相互關(guān)聯(lián)或相互作用的活動[資料來源：ISO9000：2015，3.4.1，修改——刪除條目注釋]。記錄record組織或個人在履行法律義務(wù)或業(yè)務(wù)交易中，被作為證據(jù)、同時也作為資產(chǎn)創(chuàng)建、接收和維護(hù)的信息（3.1.2）條目注釋1：此處的法律義務(wù)包括所有法律、法規(guī)、監(jiān)管和合同要求。[資料來源：ISO15489-1：2016，3.14，修改——添加“條目注釋1”。]恢復(fù)點(diǎn)目標(biāo)recoverypointobjective/RPO發(fā)生中斷（3.1.9）后數(shù)據(jù)將要恢復(fù)到的時間點(diǎn)。[資料來源：ISO/IEC27031：2011，3.12，修改——“必須must”替換為“將要aretobe”。]恢復(fù)時間目標(biāo)recoverytimeobjective/RTO發(fā)生中斷（3.1.9）后，服務(wù)和/或產(chǎn)品以及支持系統(tǒng)、應(yīng)用程序或功能恢復(fù)到最低水平所歷經(jīng)的時長。[資料來源：ISO/IEC27031：2011，3.13，修改——“必須must”替換為“將要aretobe”。]可靠性reliability與預(yù)期行為和結(jié)果一致的特性。規(guī)則rule被接受的原則或指示，說明組織要求做什么、允許什么或不允許什么。條目注釋1：規(guī)則可以在專題策略（3.1.35）和其他類型的文件中正式表述。敏感信息sensitiveinformation由于對個人、組織、國家安全或公共安全的潛在不利影響，需要防止其不可用、未經(jīng)授權(quán)的訪問、修改或公開披露的信息。威脅threat可能對系統(tǒng)或組織造成損害的意外事故的潛在原因[來源：ISO/IEC27000：2018，3.74]專題策略由適當(dāng)層級的管理者正式表達(dá)的，關(guān)于特定對象或主題的意圖和方向。條目注釋1：專題策略可以正式表達(dá)規(guī)則（3.1.32）或組織標(biāo)準(zhǔn)。條目注釋2：一些組織對這些專題策略使用其他術(shù)語。條目注釋3：本文檔中提及的專題策略與信息安全相關(guān)。關(guān)于訪問控制的專題策略示例（3.1.1），關(guān)于桌面清晰和屏幕清晰的專題策略。用戶user有權(quán)訪問組織信息系統(tǒng)（3.1.17）的相關(guān)方（3.1.18）。比如工作人員（3.1.20）、客戶、供應(yīng)商。用戶終端設(shè)備userendpointdevice用戶用來訪問信息處理服務(wù)的終端設(shè)備（3.1.10）。條目注釋1：用戶終端設(shè)備可以指臺式計算機(jī)、膝上型計算機(jī)、智能電話、平板電腦、瘦客戶機(jī)等。脆弱性vulnerability可能被一個或多個威脅（3.1.34）利用的資產(chǎn)（3.1.2）或控制（3.1.8）的弱點(diǎn)[資料來源：國際標(biāo)準(zhǔn)化組織/IEC27000：2018，3.77]縮寫詞ABACattribute-basedaccesscontrol基于屬性的訪問控制ACLaccesscontrollist訪問控制列表BIAbusinessimpactanalysis業(yè)務(wù)影響分析BYODbringyourowndevice自帶設(shè)備辦公CAPTCHAcompletelyautomatedpublicTuringtesttotellcomputersandhumansapart全自動公共圖靈測試，區(qū)分計算機(jī)和人類CPUcentralprocessingunit中央處理單元DACdiscretionaryaccesscontrol自主訪問控制DNSdomainnamesystem域名系統(tǒng)GPSglobalpositioningsystem全球定位系統(tǒng)IAMidentityandaccessmanagement身份與訪問管理ICTinformationandcommunicationtechnology信息與通訊技術(shù)IDIdentifier標(biāo)識符IDEintegrateddevelopmentenvironment集成開發(fā)環(huán)境IDSintrusiondetectionsystem入侵檢測系統(tǒng)IoTinternetofthings物聯(lián)網(wǎng)IPinternetprotocol互聯(lián)網(wǎng)協(xié)議IPSintrusionpreventionsystem入侵防御系統(tǒng)ITinformationtechnology信息技術(shù)ISMSinformationsecuritymanagementsystem信息安全管理體系MACmandatoryaccesscontrol強(qiáng)制訪問控制NTPnetworktimeprotocol網(wǎng)絡(luò)時間協(xié)議PIAprivacyimpactassessment隱私影響分析PIIpersonallyidentifiableinformation個人可識別信息PINpersonalidentificationnumber個人識別碼PKIpublickeyinfrastructure公鑰基礎(chǔ)設(shè)施PTPprecisiontimeprotocol精密時鐘協(xié)議RBACrole-basedaccesscontrol基于角色的訪問控制RPOrecoverypointobjective恢復(fù)點(diǎn)目標(biāo)RTOrecoverytimeobjective恢復(fù)時間目標(biāo)SASTstaticapplicationsecuritytesting靜態(tài)應(yīng)用程序安全測試SDsecuredigital安全數(shù)字SDNsoftware-definednetworking軟件定義網(wǎng)絡(luò)SD-WANsoftware-definedwideareanetworking軟件定義廣域網(wǎng)SIEMsecurityinformationandeventmanagement安全信息與事件管理SMSshortmessageservice短消息服務(wù)SQLstructuredquerylanguage結(jié)構(gòu)化查詢語言SSOsinglesignon單點(diǎn)登錄SWIDsoftwareidentification軟件識別UEBAuserandentitybehaviouranalytics用戶和實(shí)體行為分析UPSuninterruptiblepowersupply不間斷電源URLuniformresourcelocator統(tǒng)一資源定位符USBuniversalserialbus通用串行總線VMvirtualmachine虛擬機(jī)VPNvirtualprivatenetwork虛擬專用網(wǎng)WiFiwirelessfidelity無線相容性認(rèn)證本文件的結(jié)構(gòu)章節(jié)本文件基于如下結(jié)構(gòu)：a）組織控制（第5章）b）人員控制（第6章）c）物理控制（第7章）d）技術(shù)控制（第8章）并包含兩個附錄：附錄A——使用屬性附錄B——與ISO/IEC27002：2013的對應(yīng)關(guān)系附錄A解釋了組織如何使用屬性（參見4.2），根據(jù)本文件中定義的控制屬性或自己創(chuàng)建的控制屬性創(chuàng)建自己的視圖。附錄B顯示了本版ISO/IEC27002與之前的2013版之間的對應(yīng)關(guān)系。主題和屬性第5章至第8章中給出的控制分類被稱為主題?？刂品譃橐韵聨最悾喝?，如果涉及個人；物理的，如果涉及物理對象；技術(shù)，如果涉及技術(shù)；否則，被歸類為組織。組織可以使用屬性來創(chuàng)建不同的視圖，這些視圖是從主題的不同角度對控制的不同分類。屬性可用于在不同的視圖中為不同的受眾篩選、排序或呈現(xiàn)控制。附錄A如何實(shí)現(xiàn)這一點(diǎn)，并提供了一個視圖示例。舉例來說，本文件中的每個控制都與具有相應(yīng)屬性值的五個屬性相關(guān)聯(lián)（以“#”開頭以使其可搜索），如下所示：控制類型控制類型是一種屬性，用于從是何時以及如何改變風(fēng)險的角度來認(rèn)識控制，這些風(fēng)險與信息安全事件的發(fā)生相關(guān)。屬性值包括預(yù)防性：旨在防止信息安全事件發(fā)生的控制措施；檢測性：信息安全事件發(fā)生時起作用的控制措施；糾正性：信息安全事件發(fā)生后起作用的控制措施。信息安全特性信息安全特性是用于從有助于保護(hù)信息的哪一項品質(zhì)的角度來認(rèn)識控制的一種屬性。屬性值由機(jī)密性、完整性和可用性組成。網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全概念是用于從與ISO/IEC27110所描述的網(wǎng)絡(luò)安全框架中定義的網(wǎng)絡(luò)安全概念的關(guān)聯(lián)的角度來認(rèn)識控制的屬性。屬性值包括識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。運(yùn)營能力15個，包括治理、資產(chǎn)管理、信息保護(hù)、人力資源安全、物理安全、系統(tǒng)和網(wǎng)絡(luò)安全、應(yīng)用安合規(guī)性、信息安全事件管理和信息安全保證。安全域安全域?qū)傩詮乃膫€信息安全域角度來認(rèn)識控制，屬性值包括治理與生態(tài)系統(tǒng)、保護(hù)、防御和韌性。治理與生態(tài)系統(tǒng)包括“信息系統(tǒng)安全治理&風(fēng)險管理”和“生態(tài)系統(tǒng)網(wǎng)絡(luò)安全管理”（包括內(nèi)部和外部利益相關(guān)者）；保護(hù)包括“IT安全架構(gòu)”、“IT安全管理”、“身份和訪問管理”、“IT安全維護(hù)”和“物理和環(huán)境安全”；防御包括“檢測”和“計算機(jī)安全事件管理”；韌性包括“業(yè)務(wù)連續(xù)性”和“危機(jī)管理”。選擇本文件中給出的屬性是因為它們被認(rèn)為是通用的，足以供不同類型的組織使用。組織可以選擇忽略本文件中給出的一個或多個屬性。他們還可以創(chuàng)建自己的屬性（帶有相應(yīng)的屬性值）來創(chuàng)建自己的組織視圖。附件A.2包括了這些屬性的例子。控制的布局抬頭：控制的簡稱；屬性表：控制：控制是什么；目的：為什么要實(shí)施控制；指南：應(yīng)該如何實(shí)施控制；其他信息：說明性文本或?qū)ζ渌嚓P(guān)文檔的引用。另外，由于某些控制的指南很長且涉及多個主題，文本中會使用副標(biāo)題以提高可讀性。此類標(biāo)題不一定在所有指南文本中使用。副標(biāo)題加了下劃線。組織控制信息安全策略控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#治理#治理與生態(tài)系統(tǒng)#韌性控制應(yīng)定義信息安全策略和專題策略，由管理層批準(zhǔn)，發(fā)布，傳達(dá)給相關(guān)人員和利益相關(guān)方并得到他們的認(rèn)可，并在計劃的時間間隔和發(fā)生重大變化時進(jìn)行審查。目的根據(jù)業(yè)務(wù)、法律、法規(guī)、監(jiān)管和合同要求，確保管理方向和信息安全支持的持續(xù)適用性、充分性和有效性。指南在最高級別，組織應(yīng)定義由最高管理層批準(zhǔn)的“信息安全策略”，該策略規(guī)定了組織管理其信息安全的方法。信息安全策略應(yīng)顧及來自以下方面的要求：業(yè)務(wù)戰(zhàn)略和要求；法規(guī)、立法和合同；當(dāng)前和預(yù)計的信息安全風(fēng)險和威脅。a）信息安全的定義；信息安全目標(biāo)或設(shè)定信息安全目標(biāo)的框架；指導(dǎo)所有信息安全相關(guān)活動的原則；d）e）將信息安全管理的職責(zé)指派給規(guī)定的角色；處理豁免和例外的程序。對信息安全策略的任何更改應(yīng)經(jīng)最高管理層批準(zhǔn)。在較低層次上，根據(jù)需要，信息安全策略應(yīng)得到專題策略的支持，以進(jìn)一步授權(quán)實(shí)施信息安全控制措施。專題策略通常旨在滿足組織內(nèi)特定目標(biāo)群體的需求，或者涵蓋特定的安全領(lǐng)域。專題策略應(yīng)與組織的信息安全策略保持一致并對其起到補(bǔ)充作用。此類主題的示例包括：訪問控制；物理和環(huán)境安全；資產(chǎn)管理；信息傳遞；用戶終端設(shè)備的安全配置和處理；網(wǎng)絡(luò)安全；信息安全事件管理；備份；j）信息分類和處理；k）安全開發(fā)。應(yīng)根據(jù)相關(guān)人員的適當(dāng)權(quán)限和技術(shù)能力，指派制定、評審和批準(zhǔn)專題策略的責(zé)任。評審應(yīng)包括評估改進(jìn)組織信息安全策略和專題策略的機(jī)會，并管理信息安全以應(yīng)對以下變化：組織的業(yè)務(wù)戰(zhàn)略；組織的技術(shù)環(huán)境；法規(guī)、法令、法律和合同；信息安全風(fēng)險；當(dāng)前和預(yù)計的信息安全威脅環(huán)境；從信息安全事件和事故中吸取的教訓(xùn)。信息安全策略和專題策略的評審應(yīng)考慮管理評審和審計的結(jié)果。當(dāng)一項策略發(fā)生變化時，應(yīng)考慮對其他相關(guān)策略進(jìn)行評審和更新，以保持一致性。信息安全策略和專題策略應(yīng)以相關(guān)的、可訪問的和目標(biāo)讀者可理解的形式傳達(dá)給相關(guān)人員和相關(guān)方。應(yīng)要求策略的接受者承認(rèn)他們理解并同意遵守適用的策略。組織可以確定滿足組織需要的這些策略文件的格式和名稱。在一些組織中，信息安全策略和特定于主題的策略可以放在一個文檔中。組織可以將這些專題策略命名為標(biāo)準(zhǔn)、指令、策略或其他。如果信息安全策略或任何專題策略在組織外分發(fā)，應(yīng)注意不要不當(dāng)披露機(jī)密信息。表1說明了信息安全策略和專題策略之間的區(qū)別。表1——信息安全策略和專題策略之間的差異信息安全策略專題策略細(xì)節(jié)層次一般或高級具體而詳細(xì)文件化和正式批準(zhǔn)人最高管理層適當(dāng)?shù)墓芾韺蛹壠渌畔ｎ}策略可能因組織而異。信息安全角色和職責(zé)控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#治理##保護(hù)韌性控制應(yīng)根據(jù)組織需求定義和分配信息安全角色和職責(zé)。目的為組織內(nèi)信息安全的實(shí)施、運(yùn)營和管理建立一個定義明確、得到批準(zhǔn)和理解的結(jié)構(gòu)。指南應(yīng)根據(jù)信息安全策略和專題策略分配信息安全角色和職責(zé)（參見5.1）。組織應(yīng)當(dāng)定義和管理以下方面的職責(zé)：保護(hù)信息和其他相關(guān)資產(chǎn)；執(zhí)行特定的信息安全流程；信息安全風(fēng)險管理活動，特別是對殘余風(fēng)險的接受（例如對風(fēng)險所有人）。使用組織信息和其他相關(guān)資產(chǎn)的所有人員。必要時，應(yīng)對這些職責(zé)進(jìn)行補(bǔ)充，為特定站點(diǎn)和信息處理設(shè)施提供更詳細(xì)的指導(dǎo)。被分配了信息安全職責(zé)的個人可以將安全任務(wù)指派給其他人，但是他們?nèi)皂殦?dān)責(zé)，并且應(yīng)該確定任何委派的任務(wù)都已正確執(zhí)行。應(yīng)定義、記錄和溝通個人負(fù)責(zé)的每個安全領(lǐng)域。應(yīng)該定義和記錄授權(quán)級別。擔(dān)任特定信息安全角色的個人應(yīng)具備該角色所需的知識和技能，并應(yīng)得到支持以跟上與該角色相關(guān)的發(fā)展，以及履行該角色職責(zé)所需的發(fā)展。其他信息許多組織任命一名信息安全管理人員，全面負(fù)責(zé)信息安全的開發(fā)和實(shí)施，并支持風(fēng)險識別和緩解控制措施。然而，配置資源和實(shí)施控制的責(zé)任通常由各個管理人員分別承擔(dān)。一種常見的做法是為每項資產(chǎn)指定一名所有者，由其負(fù)責(zé)該資產(chǎn)的日常保護(hù)。根據(jù)組織的規(guī)模和資源配置，信息安全可以由除現(xiàn)有角色之外的專門角色或職責(zé)來負(fù)責(zé)。職責(zé)分離控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#治理#身份和訪問管理#治理與生態(tài)系統(tǒng)控制相互沖突的職責(zé)和相互沖突的責(zé)任領(lǐng)域應(yīng)該被分離。目的降低欺詐、出錯和繞過信息安全控制的風(fēng)險。指南職責(zé)和責(zé)任領(lǐng)域的分離旨在分離不同個人之間的職責(zé)沖突，以防止一個人獨(dú)自執(zhí)行潛在沖突的職責(zé)。組織應(yīng)該確定哪些職責(zé)和責(zé)任范圍需要分離。以下是可能需要隔離的活動示例：發(fā)起、批準(zhǔn)和執(zhí)行變更；請求、批準(zhǔn)和實(shí)施訪問權(quán)限；設(shè)計、實(shí)施和審查代碼；d）e）使用和管理應(yīng)用程序；使用應(yīng)用程序和管理數(shù)據(jù)庫；設(shè)計、審計和確保信息安全控制。在設(shè)計隔離控制時，應(yīng)考慮共謀的可能性。小型組織可能會發(fā)現(xiàn)職責(zé)分離很難實(shí)活動監(jiān)控、審計跟蹤和管理監(jiān)督。使用基于角色的訪問控制系統(tǒng)時應(yīng)小心謹(jǐn)慎，以確保人員不會被授予沖突的角色。當(dāng)組織有大量的角色時，應(yīng)該考慮使用自動化工具來識別沖突并促進(jìn)沖突的消除。應(yīng)該仔細(xì)定義和設(shè)置角色，以便在刪除或重新分配角色時最大限度減少權(quán)限問題。其他信息沒有其他信息。管理層責(zé)任控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#治理#治理與生態(tài)系統(tǒng)控制管理層應(yīng)要求所有人員根據(jù)組織的既定信息安全策略、專題策略和程序來應(yīng)用信息安全。目的確保管理層了解其在信息安全中的角色，并采取措施確保所有人員了解并履行其信息安全職責(zé)。指南管理層應(yīng)對信息安全策略、專題策略、程序和信息安全控制措施提供可證實(shí)的支持。管理層責(zé)任應(yīng)包括確保人員：職責(zé)；獲得了指南，規(guī)定了他們在組織內(nèi)的角色的信息安全要求；被授權(quán)履行組織的信息安全策略和專題策略；（參見6.3）；e）方法；通過專業(yè)繼續(xù)教育持續(xù)擁有適當(dāng)?shù)男畔踩寄芎唾Y格；在可行的情況下，為報告違反信息安全策略、專題信息安全策略或程序的行為（“舉報”）提供保密渠道。這可以是允許匿名舉報，或者有預(yù)置措施確保只有需要處理此類舉報的人才知曉舉報人身份；為實(shí)施組織的安全相關(guān)流程和控制提供充足的資源和項目規(guī)劃時間。其他信息沒有其他信息。與職能機(jī)構(gòu)的聯(lián)系控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#糾正性#機(jī)密性#完整性#可用性##恢復(fù)#治理#防御#韌性控制組織應(yīng)當(dāng)與相關(guān)職能機(jī)構(gòu)建立并保持聯(lián)系。目的確保組織與相關(guān)法律、監(jiān)管和監(jiān)督機(jī)構(gòu)之間在信息安全方面有適當(dāng)?shù)男畔贤?。指南組織應(yīng)指定何時聯(lián)系職能部門（如執(zhí)法機(jī)關(guān)、監(jiān)管部門、監(jiān)督機(jī)構(gòu)）以及由誰聯(lián)系，以及如何及時報告已發(fā)現(xiàn)的信息安全事件。還應(yīng)利用與職能機(jī)構(gòu)的聯(lián)系來促進(jìn)對這些職能機(jī)構(gòu)當(dāng)前和未來的期望的理解（例如適用的信息安全法規(guī)）。其他信息受到攻擊的組織可以請求職能機(jī)構(gòu)對攻擊源采取行動。維護(hù)此類聯(lián)系可能是支持信息安全事件管理（參見5.24至5.28）或應(yīng)急計劃和業(yè)務(wù)連續(xù)性流程（參見5.29和5.30）的一項要求。與監(jiān)管機(jī)構(gòu)的聯(lián)系也有助于預(yù)測和準(zhǔn)備影響組織的相關(guān)法律或法規(guī)即將發(fā)生的變化。與其他機(jī)構(gòu)的聯(lián)系包括公用事業(yè)、應(yīng)急服務(wù)、電力供應(yīng)商以及健康和安全部門[如消防部門（與業(yè)務(wù)連續(xù)性相關(guān)）、電信提供商（與線路路由和可用性相關(guān)）和水供應(yīng)商（與設(shè)備冷卻設(shè)施相關(guān)）]。與特定相關(guān)方的聯(lián)系控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#糾正性#可用性#恢復(fù)#治理#防御控制組織應(yīng)與特定相關(guān)方或其他專業(yè)安全論壇、專業(yè)協(xié)會建立并保持聯(lián)系。目的確保在信息安全方面有適當(dāng)?shù)男畔贤?。指南?yīng)把特定的相關(guān)方或論壇中的成員關(guān)系視作一種手段，用來a）增進(jìn)對最佳實(shí)踐的了解，并掌握最新的相關(guān)安全信息；b）確保對信息安全環(huán)境的了解是最新的；接收與攻擊和漏洞相關(guān)的預(yù)警、建議和補(bǔ)??；獲得專家信息安全建議；分享和交流有關(guān)新技術(shù)、產(chǎn)品、服務(wù)、威脅或漏洞的信息；在處理信息安全事件時提供合適的聯(lián)系人（參見5.245.28）。其他信息沒有其他信息。威脅情報控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#糾正性#可用性#響應(yīng)#威脅和漏洞能力管理#防御#韌性控制應(yīng)收集并分析與信息安全威脅相關(guān)的信息，以產(chǎn)生威脅情報。目的提供組織威脅環(huán)境的意識，以便采取適當(dāng)?shù)木徑獯胧Ｖ改鲜占头治鲫P(guān)于現(xiàn)有或新出現(xiàn)的威脅的信息，以便：a）促進(jìn)對行動的知情，以防止威脅對組織造成傷害；b）降低威脅的影響。威脅情報可分為三個層次：戰(zhàn)略威脅情報：交換關(guān)于不斷變化的威脅形勢的高級別信息（型或攻擊的類型）；c）作戰(zhàn)威脅情報：關(guān)于特定攻擊的詳細(xì)信息，包括技術(shù)指標(biāo)。以上三個層次的威脅情報都應(yīng)該被顧及。威脅情報應(yīng)該是：相關(guān)的（即與保護(hù)本組織相關(guān)）；有洞察力的（即向組織提供對威脅形勢的準(zhǔn)確而詳細(xì)的了解）；上下文的，提供情境意識（似組織中的流行程度為信息添加上下文）；可操作的（即組織可以快速有效地對信息采取行動）威脅情報活動應(yīng)包括：建立生產(chǎn)威脅情報的目標(biāo)；需的信息；從選定的內(nèi)部和外部來源收集信息；處理收集的信息，為分析做準(zhǔn)備（例如翻譯、格式化或確證信息）；分析信息，了解它與組織的關(guān)系以及對組織的意義；應(yīng)對威脅情報進(jìn)行分析，并在以后使用：程；加輸入；作為信息安全測試流程和技術(shù)的輸入。組織應(yīng)在互利合作的基礎(chǔ)上與其他組織共享威脅情報，以改進(jìn)整體威脅情報。其他信息組織可以使用威脅情報來預(yù)防、檢測或響應(yīng)威脅。組織可以生成威脅情報，但更常見的是接收和利用其他來源生成的威脅情報。項目管理中的信息安全控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#保護(hù)#治理#治理與生態(tài)系統(tǒng)#保護(hù)控制項目管理中應(yīng)納入信息安全。目的貫穿整個項目生命周期，確保在在項目管理中有效解決與項目和可交付成果相關(guān)的信息安全風(fēng)險。指南應(yīng)將信息安全集成到項目管理中，以確保信息安全風(fēng)險作為項目管理的一部分得到解決。這可適用于任何類型的項目，無論其復(fù)雜程度、規(guī)模、持續(xù)時間、學(xué)科或應(yīng)用領(lǐng)域如何（如核心業(yè)務(wù)流程、ICT、設(shè)施管理或其他支持流程的項目）。正在執(zhí)行的項目管理中應(yīng)要求：期得到評估和處理；[如應(yīng)用安全要求（8.26）、遵守知識產(chǎn)權(quán)的要求（5.32）等。]在項目的早期階段得到解決；和外部通信方面的安全；審查信息安全風(fēng)險處理的進(jìn)展，并評估和測試處理的有效性。應(yīng)由合適的人員或治理機(jī)構(gòu)（如項目指導(dǎo)委員會）在預(yù)定義的階段持續(xù)核查信息安全考慮因素和活動的適當(dāng)性。應(yīng)定義與項目相關(guān)的信息安全責(zé)任和權(quán)限，并分配給指定的角色。應(yīng)使用各種方法確定項目交付的產(chǎn)品或服務(wù)的信息安全要求，包括從信息安全策審查、使用漏洞閾值或應(yīng)急計劃等活動中得出，從而確保信息系統(tǒng)的體系結(jié)構(gòu)和設(shè)計能夠抵御基于運(yùn)營環(huán)境的已知威脅。應(yīng)該為所有類型的項目確定信息安全要求，而不僅僅是ICT開發(fā)項目。確定這些要求時，還應(yīng)顧及以下因素：涉及哪些信息（信息判定），對應(yīng)的信息安全需求有哪些（分類；參見以及缺乏足夠的安全性可能導(dǎo)致的潛在負(fù)面業(yè)務(wù)影響。方面；為了得出身份鑒別要求，對所聲稱的實(shí)體身份所需的信任或保證級別；為客戶和其他潛在業(yè)務(wù)用戶以及特權(quán)或技術(shù)用戶（人員或外部供應(yīng)商）提供訪問和授權(quán)流程；告知用戶他們的義務(wù)和責(zé)任；源自業(yè)務(wù)流程的需求，如交易記錄和監(jiān)控、不可否認(rèn)性需求；其他信息安全控制措施規(guī)定的要求（口）；遵守組織運(yùn)作的法律、法規(guī)、規(guī)章和合同環(huán)境；第三方滿足組織的信息安全策略和專題策略（全條款）所需的信心或保證級別。其他信息項目開發(fā)方法，如瀑布生命周期或敏捷生命周期，應(yīng)該以結(jié)構(gòu)化的方式支持信息安全，可以根據(jù)項目的特征進(jìn)行調(diào)整，以適應(yīng)評估信息安全風(fēng)險的嚴(yán)重程度的要求。應(yīng)盡早考慮產(chǎn)品或服務(wù)的信息安全要求（例如在規(guī)劃和設(shè)計階段），這樣可以為質(zhì)量和信息安全提供更有效、更具成本效益的解決方案。ISO21500和ISO21502就項目管理的概念和過程提供了指南，這些概念和過程對于項目的績效非常重要。ISO/IEC27005提供了有關(guān)使用風(fēng)險管理流程來確定控制措施以滿足信息安全要求的指南。信息和其他相關(guān)資產(chǎn)的清單控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#資產(chǎn)管理#治理與生態(tài)系統(tǒng)#保護(hù)

應(yīng)開發(fā)和維護(hù)信息和其他相關(guān)資產(chǎn)（包括所有者）的清單。識別組織的信息和其他相關(guān)資產(chǎn)，以保護(hù)其信息安全并分配適當(dāng)?shù)乃袡?quán)。組織應(yīng)確定其信息和其他相關(guān)資產(chǎn)，并確定它們在信息安全方面的重要性。文件應(yīng)酌情保存在專用或現(xiàn)有的清單中。信息和其他相關(guān)資產(chǎn)的清單應(yīng)準(zhǔn)確、最新、一致，并與其他清單保持一致。確保信息和其他相關(guān)資產(chǎn)清單準(zhǔn)確性的選項包括：a）根據(jù)資產(chǎn)清單定期審查已識別的信息和其他相關(guān)資產(chǎn)；b）在安裝、更改或刪除資產(chǎn)的過程中自動執(zhí)行清單更新。資產(chǎn)的位置應(yīng)適當(dāng)?shù)匕ㄔ谇鍐沃?。因此可將其視為一組動態(tài)清單，如信息資產(chǎn)、硬件、軟件、虛擬機(jī)、設(shè)施、人員、能力、功能和記錄的清單。應(yīng)根據(jù)與資產(chǎn)相關(guān)的信息分類（參見5.12）對每項資產(chǎn)進(jìn)行分類。信息和其他相關(guān)資產(chǎn)清單的粒度應(yīng)符合組織的需求。有時，由于資產(chǎn)的性質(zhì)，信息生命周期中資產(chǎn)的特定實(shí)例不適合記錄。短期資產(chǎn)的一個例子是生命周期可能很短的VM實(shí)例。所有權(quán)對于已識別的信息和其他相關(guān)資產(chǎn)，資產(chǎn)的所有權(quán)應(yīng)分配給個人或團(tuán)體，并應(yīng)識別其分類（參見5.12、5.13）。應(yīng)實(shí)施確保及時分配資產(chǎn)所有權(quán)的流程。當(dāng)創(chuàng)建資產(chǎn)或?qū)①Y產(chǎn)轉(zhuǎn)移到組織時，應(yīng)分配所有權(quán)。當(dāng)當(dāng)前資產(chǎn)所有者離開或改變工作角色時，應(yīng)根據(jù)需要重新分配資產(chǎn)所有權(quán)。所有者職責(zé)資產(chǎn)所有者應(yīng)負(fù)責(zé)在整個資產(chǎn)生命周期內(nèi)對資產(chǎn)進(jìn)行適當(dāng)管理，確保：對信息和其他相關(guān)資產(chǎn)進(jìn)行編目；信息和其他相關(guān)資產(chǎn)得到適當(dāng)?shù)姆诸惡捅Ｗo(hù)；定期審查分類；列出并鏈接支持技術(shù)資產(chǎn)的組件，如數(shù)據(jù)庫、存儲、軟件組件和子組件；建立了信息和其他相關(guān)資產(chǎn)的可接受的使用要求（參見f）訪問限制符合分類，并且是有效的，并定期審查；除；他們參與識別和管理與其資產(chǎn)相關(guān)的風(fēng)險；他們支持承擔(dān)管理其信息的角色和責(zé)任的人員。其他信息信息和其他相關(guān)資產(chǎn)的清單通常是確保有效保護(hù)信息所必需的，也可能出于其他目的，如健康和安全、保險或財務(wù)原因。信息和其他相關(guān)資產(chǎn)的清單還支持風(fēng)險管理、審計活動、漏洞管理、事件響應(yīng)和恢復(fù)計劃。任務(wù)和責(zé)任可以委派（例如，委派給負(fù)責(zé)日常資產(chǎn)的保管人），但委派的人或團(tuán)隊仍然有責(zé)任。指定共同提供特定服務(wù)的信息集合和其他相關(guān)資產(chǎn)是很有用的。在這種情況下，這些服務(wù)的所有者負(fù)責(zé)服務(wù)的交付，包括其資產(chǎn)的操作。有關(guān)信息技術(shù)（IT）資產(chǎn)管理的更多信息，請參見ISO/IEC19770-1。有關(guān)資產(chǎn)管理的更多信息，請參見ISO55001。信息和其他相關(guān)資產(chǎn)的可接受的使用控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#資產(chǎn)管理#信息保護(hù)#治理與生態(tài)系統(tǒng)#保護(hù)控制應(yīng)確定、記錄和實(shí)施處理信息和其他相關(guān)資產(chǎn)的可接受的使用規(guī)則和程序。目的確保信息和其他相關(guān)資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)、使用和處理。指南對使用或有權(quán)訪問組織信息和其他相關(guān)資產(chǎn)的所有人員，包括外部用戶，應(yīng)令其知曉保護(hù)和處理組織信息和其他相關(guān)資產(chǎn)的信息安全要求。他們應(yīng)對自己使用的任何信息處理設(shè)施負(fù)責(zé)。組織應(yīng)就信息和其他相關(guān)資產(chǎn)的可接受的使用建立專題策略，并將其傳達(dá)給使用或處理信息和其他相關(guān)資產(chǎn)的任何人。關(guān)于可接受的使用的專題策略應(yīng)該為個人如何使用信息和其他相關(guān)資產(chǎn)提供明確的指南。專題策略應(yīng)說明：從信息安全的角度看，個人的期望的和不可接受的行為；對信息和其他相關(guān)資產(chǎn)的允許或禁止使用；組織實(shí)施的監(jiān)控活動。應(yīng)根據(jù)信息的分類（參見5.12）和確定的風(fēng)險，為整個信息生命周期制定可接受的使用程序。應(yīng)顧及以下事項：支持每個分類級別的保護(hù)要求的訪問限制；維護(hù)信息和其他相關(guān)資產(chǎn)的授權(quán)用戶記錄；對信息的臨時或永久拷貝的保護(hù)水平與對原始信息的保護(hù)水平一致；根據(jù)制造商的規(guī)范存儲與信息相關(guān)的資產(chǎn)（參見7.8）；清晰標(biāo)記存儲介質(zhì)（電子或物理）的所有副本，以引起授權(quán)接收者的注意（見7.10）；作廢信息和其他相關(guān)資產(chǎn)的授權(quán)以及支持的刪除方法（參見8.10）。其他信息可能出現(xiàn)相關(guān)資產(chǎn)不直接屬于組織的情況，例如公共云服務(wù)。此類第三方資產(chǎn)以及與此類外部資產(chǎn)（如信息、軟件）相關(guān)聯(lián)的任何組織資產(chǎn)的使用應(yīng)被確定為適用并受到控制，例如通過與云服務(wù)提供商簽訂協(xié)議。當(dāng)使用協(xié)作工作環(huán)境時，也應(yīng)該謹(jǐn)慎。資產(chǎn)返還控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#資產(chǎn)管理#保護(hù)控制員工和其他相關(guān)方在變更或終止其雇傭關(guān)系、合同或協(xié)議時，應(yīng)歸還其擁有的所有組織資產(chǎn)。目的在變更或終止雇傭關(guān)系、合同或協(xié)議的過程中保護(hù)組織的資產(chǎn)。指南應(yīng)正式發(fā)布雇傭變更或終止流程，以包括歸還本組織擁有或委托給本組織的所有先前發(fā)放的實(shí)物和電子資產(chǎn)。如果相關(guān)人員和其他相關(guān)方買下組織的設(shè)備或原本是使用他們自己的個人設(shè)備，應(yīng)遵循相應(yīng)的程序，確保所有相關(guān)信息被追溯并轉(zhuǎn)移到組織，并從設(shè)備中安全地刪除（參見7.14）。如果相關(guān)人員和其他相關(guān)方掌握對繼續(xù)運(yùn)行至關(guān)重要的知識，該信息應(yīng)形成文件并傳遞給組織。在通知期間及之后，組織應(yīng)防止收到雇傭終止通知的人員未經(jīng)授權(quán)復(fù)制相關(guān)信息（例如知識產(chǎn)權(quán)）。組織應(yīng)明確標(biāo)識和記錄要?dú)w還的所有信息和其他相關(guān)資產(chǎn)，其中可能包括：a）用戶終端設(shè)備；b）便攜式存儲設(shè)備；c）專業(yè)設(shè)備；信息系統(tǒng)、站點(diǎn)和物理檔案的身份鑒別硬件（卡）；信息的物理副本。其他信息如果信息存在于不歸組織所擁有的資產(chǎn)中，將很難索回。在這種情況下，有必要使用其他信息安全控制措施來限制信息的使用，如訪問權(quán)限管理（5.18）或加密技術(shù)的使用（8.24）。信息分類控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#信息保護(hù)#保護(hù)#防御控制應(yīng)根據(jù)組織的信息安全需求，基于機(jī)密性、完整性、可用性和利益相關(guān)方的要求，對信息進(jìn)行分類。目的根據(jù)信息對組織的重要性，確保識別和理解信息的保護(hù)需求。指南組織應(yīng)建立關(guān)于信息分類的專題策略，并將其傳達(dá)給所有利益相關(guān)方。組織應(yīng)當(dāng)考慮分類方案中的機(jī)密性、完整性和可用性要求。信息的分類和相關(guān)保護(hù)控制措施應(yīng)考慮共享或限制信息、保護(hù)信息完整性和確?？捎眯缘臉I(yè)務(wù)需求，以及有關(guān)信息機(jī)密性、完整性或可用性的法律要求。除了信息之外的資產(chǎn)也可以按照其存儲的、處理的或者掌控或保護(hù)的信息的分類來分類。信息的所有者應(yīng)對其分類負(fù)責(zé)。分類方案應(yīng)包括分類慣例和隨著時間的推移對分類進(jìn)行審查的標(biāo)準(zhǔn)。分類結(jié)果應(yīng)根據(jù)信息在其生命周期中的價值、敏感性和重要性的變化進(jìn)行更新。該方案應(yīng)符合關(guān)于訪問控制的專題策略（參見5.1），并應(yīng)能夠滿足組織的特定業(yè)務(wù)需求。分類可以根據(jù)信息泄露對組織的影響程度來確定。方案中定義的每個級別都應(yīng)該有一個在分類方案應(yīng)用環(huán)境中有意義的名稱。分類方案應(yīng)該在整個組織中保持一致，并包含在其程序中，以便每個人都以相同的方式對信息和適用的其他相關(guān)資產(chǎn)進(jìn)行分類。通過這種方式，每個人都對保護(hù)要求有共同的理解，并應(yīng)用適當(dāng)?shù)谋Ｗo(hù)。外，在組織之間移動的信息在分類上可能有所不同，這取決于它在每個組織中的上下效性，可以確定不同方案之間的一致性。其他信息分類為處理信息的人提供了如何處理和保護(hù)信息的簡明指示。創(chuàng)建具有相似保護(hù)需求的信息集合并指定適用于每個集合中所有信息的信息安全程序有助于實(shí)現(xiàn)這一點(diǎn)。這種方法減少了逐一進(jìn)行風(fēng)險評估和定制控制設(shè)計的需要。經(jīng)過一段時間后，信息可能不再敏感或重要。例如，當(dāng)信息公開后，它就不再有機(jī)密性要求，但仍然需要保護(hù)其完整性和可用性。應(yīng)考慮這些方面，因為過度分類可能導(dǎo)致實(shí)施不必要的控制措施，從而導(dǎo)致額外的費(fèi)用；或者相反的，分類不足可能導(dǎo)致控制措施不足以保護(hù)信息不被泄露。例如，信息機(jī)密性分類方案可以基于以下四個級別，如下所示：泄露不會造成傷害；泄露會造成輕微的聲譽(yù)損害或輕微的運(yùn)營影響；泄露對運(yùn)營或業(yè)務(wù)目標(biāo)有重大的短期影響；泄露會對長期業(yè)務(wù)目標(biāo)產(chǎn)生嚴(yán)重影響，或使組織的生存面臨風(fēng)險。信息標(biāo)簽控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#信息保護(hù)#保護(hù)#防御控制應(yīng)當(dāng)根據(jù)組織采用的信息分類方案，制定并實(shí)施一套適當(dāng)?shù)男畔?biāo)簽程序。目的促進(jìn)信息分類的交流，支持信息處理和管理的自動化。指南信息標(biāo)簽程序應(yīng)涵蓋所有格式的信息和其他相關(guān)資產(chǎn)。標(biāo)簽應(yīng)反映5.12中建立的分類方案。標(biāo)簽應(yīng)容易辨識?？紤]到如何根據(jù)存儲介質(zhì)的類型訪問信息或處理資產(chǎn)，這些程序應(yīng)就標(biāo)簽的粘貼位置和方式提供指南。這些程序可以定義：省略標(biāo)記的情況（例如略過標(biāo)記非機(jī)密信息以減少工作量）；如何標(biāo)記通過電子或物理方式或任何其他格式發(fā)送或存儲的信息；如何處理無法標(biāo)簽的情況（例如，由于技術(shù)限制）標(biāo)簽技術(shù)的例子包括：a）物理標(biāo)簽；b）頁眉和頁腳；c）元數(shù)據(jù)；水?。幌鹌D章。數(shù)字信息應(yīng)利用元數(shù)據(jù)來識別、管理和控制信息，特別是在機(jī)密性方面。元數(shù)據(jù)還應(yīng)支持高效和正確的信息搜索，便于系統(tǒng)根據(jù)相關(guān)的分類標(biāo)簽進(jìn)行交互和決策。這些程序應(yīng)說明如何根據(jù)組織的信息模型和ICT架構(gòu)，將元數(shù)據(jù)附加到信息上，使用什么標(biāo)簽，以及如何處理數(shù)據(jù)。系統(tǒng)在處理信息時，應(yīng)根據(jù)信息的安全屬性添加額外的相關(guān)元數(shù)據(jù)。應(yīng)使員工和其他相關(guān)方了解標(biāo)簽程序。應(yīng)向所有人員提供必要的培訓(xùn)，以確保正確標(biāo)記信息并進(jìn)行相應(yīng)的處理。包含敏感或關(guān)鍵信息的系統(tǒng)的輸出應(yīng)帶有適當(dāng)?shù)姆诸悩?biāo)簽。其他信息分類信息的標(biāo)簽是信息共享的一個關(guān)鍵要求?？梢愿郊拥叫畔⒌钠渌行г獢?shù)據(jù)是——哪個組織過程、在什么時間創(chuàng)建了該信息。信息和其他相關(guān)資產(chǎn)的標(biāo)簽有時會產(chǎn)生負(fù)面影響。惡意人員可以更容易地識別機(jī)密資產(chǎn)從而更容易導(dǎo)致潛在的濫用。有些系統(tǒng)不在單個文件或數(shù)據(jù)庫記錄上標(biāo)注它們的分類，而是以包含或允許包含的任何信息的最高分類級別來保護(hù)所有信息。在這種系統(tǒng)中，通常在導(dǎo)出信息時確定并標(biāo)記信息。信息傳遞控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#資產(chǎn)管理#信息保護(hù)#保護(hù)控制組織內(nèi)部以及組織與其他方之間所有類型的信息傳遞設(shè)施都應(yīng)當(dāng)有信息傳遞的規(guī)則、程序或協(xié)議。目的

維護(hù)在組織內(nèi)部以及與任何外部相關(guān)方之間傳輸?shù)男畔⒌陌踩?。組織應(yīng)當(dāng)建立并向所有相關(guān)方傳達(dá)關(guān)于信息傳遞的專題策略。保護(hù)傳輸中的信息的規(guī)則、程序和協(xié)議應(yīng)反映所涉信息的分類。當(dāng)信息在組織和第三方之間傳遞時，應(yīng)建立并維護(hù)傳遞協(xié)議（包括接收方身份鑒別），以保護(hù)傳遞的所有形式的信息（參見5.10）。信息傳遞可以通過電子傳遞、物理存儲介質(zhì)傳遞和口頭傳遞來進(jìn)行。對于所有類型的信息傳遞，規(guī)則、程序和協(xié)議應(yīng)包括：及保護(hù)敏感信息所需的任何特殊控制措施，如使用加密技術(shù)（參見8.24）。鏈；保管人（如適用）；發(fā)生信息安全事故（如物理存儲介質(zhì)或數(shù)據(jù)丟失）時的責(zé)任和義務(wù)；到適當(dāng)保護(hù)（5.13）；傳遞服務(wù)的可靠性和可用性；關(guān)于信息傳遞設(shè)施的可接受使用的專題策略或指南（參見h）（包括郵件）的保留和作廢指南；注意：關(guān)于業(yè)務(wù)記錄保留和處置，可能存在地方性法律法規(guī)。i）顧及與信息傳遞相關(guān)的任何其他相關(guān)法律、法規(guī)、監(jiān)管和合同要求（參見5.31、5.32、5.33、5.34）（如電子簽名要求）。電子傳遞在使用電子通信設(shè)施進(jìn)行信息傳遞時，規(guī)則、程序和協(xié)議還應(yīng)顧及以下事項：a）檢測和防范可能通過使用電子通信傳播的惡意軟件（參見8.7）；b）保護(hù)以附件形式傳遞的敏感電子信息；防止在通信中將文件和消息發(fā)送到錯誤的地址或號碼；準(zhǔn)；通過可公開訪問的網(wǎng)絡(luò)傳遞信息時，身份鑒別級別應(yīng)更高；與電子通信設(shè)施相關(guān)的限制（址）；建議員工和其他相關(guān)方不要發(fā)送包含重要信息的短消息服務(wù)（SMS）或即時消息，因為這些信息可能會在公共場所被讀?。ㄒ虼藭晃词跈?quán)人員讀取）儲在未受到充分保護(hù)的設(shè)備中；向員工和其他相關(guān)方警示使用傳真機(jī)或服務(wù)的問題，包括：未經(jīng)授權(quán)訪問設(shè)備內(nèi)置存儲以檢索消息；有意或無意地對機(jī)器進(jìn)行編程，以向特定號碼發(fā)送消息。物理存儲介質(zhì)傳遞當(dāng)傳遞物理存儲介質(zhì)（包括紙張）時，規(guī)則、程序和協(xié)議還應(yīng)包括：控制和通知傳輸、發(fā)送和接收的職責(zé)；確保消息的正確尋址和傳輸；的影響，如暴露于熱、潮濕或電磁場中；使用包裝和運(yùn)輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn)（如使用不透明的信封）；管理層批準(zhǔn)的授權(quán)可靠快遞員名單；快遞員標(biāo)識標(biāo)準(zhǔn)；裝置（如袋子、容器）；核實(shí)快遞員身份的程序；根據(jù)信息分類提供運(yùn)輸或快遞服務(wù)的第三方的核準(zhǔn)名單；列表、向轉(zhuǎn)運(yùn)保管人傳遞以及在目的地接收的時間?？陬^傳遞為保護(hù)信息的口頭傳遞，應(yīng)提醒員工和其他相關(guān)方：會被未經(jīng)授權(quán)的人偷聽；經(jīng)授權(quán)的人重播、在公共系統(tǒng)中存儲、或因誤撥而導(dǎo)致不當(dāng)?shù)拇鎯Γ缓Y選合適級別的人員去聽對話；確保實(shí)施適當(dāng)?shù)姆块g控制（例如隔音、關(guān)門）；保密級別和任何處理要求。其他信息沒有其他信息。訪問控制控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#身份和訪問管理#保護(hù)控制應(yīng)根據(jù)業(yè)務(wù)和信息安全要求建立和實(shí)施控制規(guī)則，控制對信息和其他相關(guān)資產(chǎn)的物理和邏輯訪問。目的確保授權(quán)訪問，防止未經(jīng)授權(quán)訪問信息和其他相關(guān)資產(chǎn)。指南信息和其他相關(guān)資產(chǎn)的所有者應(yīng)確定與訪問控制相關(guān)的信息安全和業(yè)務(wù)要求。應(yīng)定義關(guān)于訪問控制的專題策略，該策略應(yīng)考慮這些要求，并應(yīng)傳達(dá)給所有相關(guān)利益方。這些要求和專題策略應(yīng)顧及以下幾點(diǎn)：確定哪些實(shí)體需要對信息和其他相關(guān)資產(chǎn)的哪種類型的訪問；應(yīng)用程序的安全性（參見8.26）；物理訪問，由適當(dāng)?shù)奈锢砣肟诳刂苼碇С郑?.2、7.3、7.4）；信息傳播和授權(quán)（如“按需知曉”原則）以及信息安全級別和信息分類（0、5.12、5.13）；對特權(quán)訪問的限制（參見f）職責(zé)分離（參見5.3）；關(guān)于限制訪問數(shù)據(jù)或服務(wù)的相關(guān)法律、法規(guī)和任何合同義務(wù)（參見5.31、2、5.33、5.34、8.3）；訪問控制功能的分離（如訪問請求、訪問授權(quán)、訪問管理）；訪問請求的正式授權(quán)（參見5.16和j）訪問權(quán)限的管理（參見5.18）；k）記錄（參見8.15）。應(yīng)定義適當(dāng)?shù)脑L問權(quán)限和限制，并通過將其映射到相關(guān)實(shí)體來實(shí)施訪問控制規(guī)則（參見5.16）。實(shí)體可以是人類用戶以及技術(shù)或邏輯項目（例如，機(jī)器、設(shè)備或服務(wù)）。為了簡化訪問控制管理，可以為實(shí)體的分組分配特定的角色。在定義和實(shí)施訪問控制規(guī)則時，應(yīng)顧及以下因素：訪問權(quán)限和信息分類之間的一致性；訪問權(quán)限與物理周界安全需求和要求之間的一致性；的信息和其他相關(guān)資產(chǎn)（包括網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)）的訪問；考慮如何反映與動態(tài)訪問控制相關(guān)的元素或因素。其他信息在訪問控制的上下文中，通常會用到一些支配性的原則。兩個最常用的原則是：按需知曉：一個實(shí)體只被授權(quán)訪問該實(shí)體執(zhí)行其任務(wù)所需的信息（或角色意味著不同的必需信息，因此有不同的訪問權(quán)限）；設(shè)施的權(quán)限。在指定訪問控制規(guī)則時，應(yīng)注意顧及：以最小特權(quán)為前提建立規(guī)則，“未經(jīng)明確允許，則一律禁止”，而不是更弱的規(guī)則“未經(jīng)明確禁止，一律允許”；由信息處理設(shè)施自動發(fā)起和由用戶自行決定發(fā)起的信息標(biāo)簽的變化（參見3）；由信息系統(tǒng)自動發(fā)起和由管理員發(fā)起的用戶權(quán)限變更；何時定義規(guī)則和定期審查對規(guī)則的批準(zhǔn)。訪問控制規(guī)則應(yīng)由書面程序（參見5.16、5.17、5.18、8.2、8.3、8.4、8.5、8.18）和規(guī)定的職責(zé)（參見5.2、5.17）支持。實(shí)現(xiàn)訪問控制有多種方式，如MAC（強(qiáng)制訪問控制）、DAC（自主訪問控制）、RBAC（基于角色的訪問控制）和ABAC（基于屬性的訪問控制）。訪問控制規(guī)則還可以包含動態(tài)元素（的函數(shù)）訪問控制粒度會對成本產(chǎn)生重大影響。更強(qiáng)的規(guī)則和更多的粒度通常會導(dǎo)致更高的成本。應(yīng)根據(jù)業(yè)務(wù)需求和風(fēng)險因素來定義應(yīng)用哪些訪問控制規(guī)則以及需要哪些粒度。身份管理控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#身份和訪問管理#保護(hù)控制應(yīng)該管理身份的整個生命周期。目的對訪問組織信息和其他相關(guān)資產(chǎn)的個人和系統(tǒng)進(jìn)行唯一標(biāo)識，并適當(dāng)分配訪問權(quán)限。指南身份管理環(huán)境中使用的流程應(yīng)確保：使用該特定身份執(zhí)行的行為負(fù)責(zé)；分配給多人的身份（如共享身份）并需經(jīng)過專門的批準(zhǔn)和記錄。分配給非人類實(shí)體的身份要經(jīng)過適當(dāng)?shù)姆蛛x的批準(zhǔn)和獨(dú)立的持續(xù)監(jiān)督；如果不再需要，則應(yīng)及時禁用或移除身份（刪除或不再使用，或者如果與身份相關(guān)聯(lián)的人已經(jīng)離開組織或改變了角色[文中的同一實(shí)體（重復(fù)身份）；所有關(guān)于使用和管理用戶身份和鑒別信息的重要事件的記錄都得到保留。組織應(yīng)該有一個支持流程來處理與用戶身份相關(guān)的信息更改。這些過程可以包括重新驗證與個人相關(guān)的可信文檔。當(dāng)使用由第三方提供或頒發(fā)的身份（例如社交媒體憑據(jù)）時，組織應(yīng)確保第三方身份提供所需的信任級別，并且任何相關(guān)風(fēng)險都是已知的并得到了充分的處理。這可以包括與第三方相關(guān)的控制（參見5.19）以及與相關(guān)鑒別信息相關(guān)的控制（參見5.17）。其他信息提供或撤銷對信息和其他相關(guān)資產(chǎn)的訪問通常是一個多步驟的過程：：確認(rèn)待建立身份的業(yè)務(wù)要求；在給實(shí)體分配邏輯身份之前驗證實(shí)體的身份；建立身份；配置和激活身份。這還包括相關(guān)身份鑒別服務(wù)的配置和初始設(shè)置；根據(jù)適當(dāng)?shù)氖跈?quán)或權(quán)利做出決定，提供或撤銷對身份的特定訪問權(quán)限（參見8）。鑒別信息控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#身份和訪問管理#保護(hù)控制身份鑒別信息的分配和管理應(yīng)由管理流程控制，包括就身份鑒別信息的適當(dāng)處理向員工提供建議。目的確保正確的實(shí)體鑒別并防止鑒別流程失敗。指南鑒別信息的分配分配和管理流程應(yīng)確保：在注冊過程中自動生成的個人口令或個人識別碼（PIN）是不可猜測的，并且對每個人都是唯一的，用戶需要在第一次使用后進(jìn)行更改；建立在提供新的、替換的或臨時的鑒別信息之前驗證用戶身份的程序；鑒別信息，包括臨時鑒別信息，以安全的方式（信道）傳輸給用戶，并且避免為此目的使用未受保護(hù)的（明文）電子郵件消息；用戶確認(rèn)收到鑒別信息；安裝系統(tǒng)或軟件后，立即更改供應(yīng)商預(yù)定義或提供的默認(rèn)身份驗證信息；性，以及其保存方法獲得批準(zhǔn)（例如使用經(jīng)批準(zhǔn)的口令倉庫工具）。用戶責(zé)任應(yīng)建議有權(quán)訪問或使用身份鑒別信息的任何人確保：權(quán)人員共享；在收到受侵害通知或任何其他指示時，立即改變受影響的或侵害的鑒別信息；當(dāng)口令用作身份驗證信息時，將根據(jù)最佳實(shí)踐建議選擇強(qiáng)口令，例如：口令不是基于其他人可以輕易猜測或使用個人相關(guān)信息（碼和出生日期）獲得的任何信息；口令不是基于字典單詞或其組合；使用容易記憶的口令，并盡量包括字母數(shù)字和特殊字符；口令有最小長度要求；不同的服務(wù)和系統(tǒng)不使用相同的口令；遵守這些規(guī)則的義務(wù)也包含在雇傭條款和條件中（參見6.2）.口令管理系統(tǒng)當(dāng)口令用作身份驗證信息時，口令管理系統(tǒng)應(yīng)該：允許用戶選擇和更改自己的口令，并包括一個確認(rèn)程序，以解決輸入錯誤；根據(jù)“用戶責(zé)任”[參見c]實(shí)施強(qiáng)口令；強(qiáng)制用戶在首次登錄時更改口令；時，如果用戶知道保持活動狀態(tài)的身份（例如共享身份）的口令；防止重復(fù)使用以前的口令；防止使用已被攻陷系統(tǒng)的常用口令和已受侵害的用戶名、口令組合；輸入口令時不在屏幕上顯示口令；以受保護(hù)的形式存儲和傳輸口令。應(yīng)根據(jù)批準(zhǔn)的口令加密技術(shù)對口令進(jìn)行加密和哈希處理（參見8.24）。其他信息口令是一種常用的身份驗證信息，也是驗證用戶身份的常用方法。其他類型的鑒別信息是密鑰、存儲在硬件令牌（例如智能卡）上的數(shù)據(jù)，這些硬件令牌產(chǎn)生鑒別代碼和生物特征數(shù)據(jù)，例如虹膜掃描或指紋。更多信息可在ISO/IEC24760系列中找到。要求頻繁更改口令可能不妥，因為用戶可能會對頻繁的更改感到厭煩，或忘記新口令，或?qū)⑺鼈冇浽诓话踩牡胤剑蜻x擇不安全的口令等。提供單點(diǎn)登錄（SSO）或其他身份鑒別管理工具（如口令倉庫）可以減少用戶需要保護(hù)的身份鑒別信息量，從而提高這種控制的有效性。但是，這些工具也會增加身份鑒別信息泄露的影響。一些應(yīng)用程序要求用戶口令由獨(dú)立機(jī)構(gòu)分配。在這種情況下，“口令管理系統(tǒng)”的c）和d）不適用。訪問權(quán)限控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#保護(hù)#身份和訪問管理#保護(hù)控制應(yīng)根據(jù)組織關(guān)于訪問控制的專題策略和規(guī)則來提供、審查、修改和刪除對信息和其他相關(guān)資產(chǎn)的訪問權(quán)限。目的確保根據(jù)業(yè)務(wù)要求定義和授權(quán)對信息和其他相關(guān)資產(chǎn)的訪問。指南訪問權(quán)限的提供和撤銷分配或撤銷授予實(shí)體已驗證身份的物理和邏輯訪問權(quán)限的配置過程應(yīng)包括：從信息和其他相關(guān)資產(chǎn)的所有者處獲得使用信息和其他相關(guān)資產(chǎn)的授權(quán)（參見5.9）；由管理層單獨(dú)批準(zhǔn)訪問權(quán)限也是合適的；顧及業(yè)務(wù)需求和組織關(guān)于訪問控制的專題策略和規(guī)則；顧及職責(zé)分離，包括分離訪問權(quán)限的批準(zhǔn)和實(shí)施角色，以及分離沖突角色；移除已離開組織的用戶的訪問權(quán)限；或人員需要的臨時準(zhǔn)入；驗證授予的訪問級別符合關(guān)于訪問控制的專題策略（5.15）信息安全要求，如職責(zé)分離（參見5.3）；確保只有在成功完成授權(quán)程序后才激活訪問權(quán)限（例如由服務(wù)提供商激活）；維護(hù)一個集中的記錄，記錄授予用戶標(biāo)識（ID、邏輯或物理）相關(guān)資產(chǎn)的訪問權(quán)限；修改已更改角色或工作的用戶的訪問權(quán)限；輯訪問權(quán)限，；維護(hù)用戶的邏輯和物理訪問權(quán)限的變更記錄。審核訪問權(quán)限對物理和邏輯訪問權(quán)限的定期審核應(yīng)顧及以下內(nèi)容：在同一組織內(nèi)發(fā)生任何變化（如工作變動、晉升、降職）用戶的訪問權(quán)限（6.1至6.5）；特殊訪問權(quán)的授權(quán)。變更或終止雇傭關(guān)系前的考慮在變更或終止雇傭關(guān)系之前，應(yīng)根據(jù)對以下風(fēng)險因素的評估，審查、調(diào)整或移除用戶對信息和其他相關(guān)資產(chǎn)的訪問權(quán)限：終止或變更是由用戶發(fā)起還是由管理層發(fā)起，以及終止的原因；用戶的當(dāng)前職責(zé)；當(dāng)前可訪問的資產(chǎn)的價值。其他信息應(yīng)考慮根據(jù)業(yè)務(wù)需求建立用戶訪問角色，將一組訪問權(quán)限匯總到典型的用戶訪問配置文件中。訪問請求和訪問權(quán)限的審查在這種角色級別比在特定權(quán)限級別更容易管理。應(yīng)考慮在人員合同和服務(wù)合同中加入條款，規(guī)定人員試圖未經(jīng)授權(quán)訪問時的懲罰措施（參見5.20、6.2、6.4、6.6）。在管理層發(fā)起解雇的情況下，心懷不滿的人員或外部方用戶可能會故意破壞信息或破壞信息處理設(shè)施。在有人辭職或被解雇的情況下，他們可能會收集信息供將來使用?？寺∈墙M織向用戶分配訪問權(quán)限的有效方式。但是，應(yīng)該根據(jù)組織確定的不同角色謹(jǐn)慎進(jìn)行，而不只是克隆一個具有所有相關(guān)訪問權(quán)限的身份?？寺【哂袑?dǎo)致對信息和其他相關(guān)資產(chǎn)過度訪問的固有風(fēng)險。供應(yīng)商關(guān)系中的信息安全控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#供應(yīng)商關(guān)系安全#治理與生態(tài)系統(tǒng)#保護(hù)控制應(yīng)定義和實(shí)施流程和程序，以管理與使用供應(yīng)商產(chǎn)品或服務(wù)相關(guān)的信息安全風(fēng)險。目的在供應(yīng)商關(guān)系中保持一致的信息安全水平。指南組織應(yīng)當(dāng)建立并向所有利益相關(guān)方傳達(dá)關(guān)于供方關(guān)系的專題策略。組織應(yīng)當(dāng)確定并實(shí)施過程和程序，以解決與使用供應(yīng)商提供的產(chǎn)品和服務(wù)相關(guān)的安全風(fēng)險。這也應(yīng)該適用于組織對云服務(wù)提供商資源的使用。這些過程和程序應(yīng)包括組織實(shí)施的過程和程序，以及組織要求供方實(shí)施的、開始使用供方的產(chǎn)品或服務(wù)、或者終止使用供方的產(chǎn)品和服務(wù)的過程和程序，如：確定并記錄可能影響組織信息的機(jī)密性、完整性和可用性的供應(yīng)商類型（ICT服務(wù)、物流、公用事業(yè)、金融服務(wù)、ICT基礎(chǔ)設(shè)施組件）；確定如何根據(jù)信息、產(chǎn)品和服務(wù)的敏感性評估和選擇供應(yīng)商（分析、客戶參考、文件審查、現(xiàn)場評估、認(rèn)證）；別是供方實(shí)施的控制的準(zhǔn)確性和完整性，以確保供方信息和信息處理的完整性，從而確保組織的信息安全；界定組織的信息、ICT施；ICT設(shè)施組件和服務(wù)的類型；評估和管理與以下方面相關(guān)的信息安全風(fēng)險：險；供應(yīng)商提供的產(chǎn)品（包括這些產(chǎn)品中使用的軟件組件和子組件）故障或漏洞；查和產(chǎn)品驗證；減少供應(yīng)商的不合規(guī)行為，無論這是通過監(jiān)控還是通過其他方式發(fā)現(xiàn)的；處理與供應(yīng)商產(chǎn)品和服務(wù)相關(guān)的事故和突發(fā)事件，包括組織和供應(yīng)商的責(zé)任；而確保組織信息的可用性；培訓(xùn)；個傳遞期間維護(hù)信息安全；確保安全的終止供應(yīng)商關(guān)系，包括如下需求：取消訪問權(quán)限；信息處理；確定項目期間開發(fā)的知識產(chǎn)權(quán)的所有權(quán)；供應(yīng)商或內(nèi)包變更情況下的信息可移植性；記錄管理；資產(chǎn)的返還；安全處置信息和其他相關(guān)資產(chǎn)；持續(xù)的保密要求；對供應(yīng)商人員和設(shè)施的人身安全和物理安全的預(yù)期水平。應(yīng)考慮在供應(yīng)商變得無法提供其產(chǎn)品或服務(wù)的情況下（如由于事故、供應(yīng)商不再經(jīng)營、或由于技術(shù)進(jìn)步不再提供某些組件）繼續(xù)信息處理的程序，以避免在安排替代產(chǎn)品或服務(wù)時的任何延遲（例如，提前確定替代供應(yīng)商或始終使用替代供應(yīng)商）。其他信息當(dāng)組織不可能對供應(yīng)方提出要求時，組織應(yīng)該：在決定選擇供應(yīng)商及其產(chǎn)品或服務(wù)時，考慮本控制中給出的指南；根據(jù)風(fēng)險評估實(shí)施必要的補(bǔ)償控制。信息安全管理不足的供應(yīng)商可能會將信息置于風(fēng)險之中。應(yīng)確定并應(yīng)用控制措施來管理供應(yīng)商對信息和其他相關(guān)資產(chǎn)的訪問。例如，如果有對信息保密的特殊需要，可以使用保密協(xié)議或加密技術(shù)。另一個例子是當(dāng)供應(yīng)商協(xié)議涉及跨境信息傳遞或訪問時的個人數(shù)據(jù)保護(hù)風(fēng)險。組織需要意識到保護(hù)信息的法律或合同責(zé)任仍由組織承擔(dān)。供應(yīng)商提供的ICT的組件或服務(wù)可能會導(dǎo)致組織或其他實(shí)體的信息安全違背（例如，它們可能會導(dǎo)致惡意軟件感染、攻擊或?qū)M織以外的實(shí)體造成其他傷害）。更多細(xì)節(jié)見ISO/IEC27036-2。解決供應(yīng)商協(xié)議中的信息安全問題控制類型信息安全特性網(wǎng)絡(luò)安全概念運(yùn)營能力安全域#預(yù)防性#可用性#識別#供應(yīng)商關(guān)系安全#治理與生態(tài)系統(tǒng)#保護(hù)控制應(yīng)建立相關(guān)的信息安全要求，并根據(jù)供應(yīng)商關(guān)系的類型與每個供應(yīng)商達(dá)成一致。目的在供應(yīng)商關(guān)系中保持一致的信息安全水平。指南應(yīng)當(dāng)建立供方協(xié)議并形成文件，以確保組織和供方對雙方履行相關(guān)信息安全要求的義務(wù)有明確的理解。為了滿足確定的信息安全要求，可以考慮在協(xié)議中包含以下條款：對要提供或訪問的信息以及提供或訪問信息的方法的描述；根據(jù)組織的分類方案對信息進(jìn)行分類（參見5.10、5.12、c）組織自身的分類方案和供方的分類方案之間的映射；法律、法規(guī)、監(jiān)管和合同要求，包括數(shù)據(jù)保護(hù)、個人可識別信息（PII）理、知識產(chǎn)權(quán)和版權(quán)，以及如何確保滿足這些要求的說明；控、報告和審計，以及供應(yīng)商遵守組織信息安全要求的義務(wù)；信息和其他相關(guān)資產(chǎn)的可接受使用規(guī)則，必要時包括不可接受的使用；供方人員使用組織信息和其他相關(guān)資產(chǎn)的授權(quán)和撤銷授權(quán)的程序或條件（過授權(quán)使用組織信息和其他相關(guān)資產(chǎn)的供方人員的明確名單）；ICT最低信息安全要求，作為根據(jù)組織的業(yè)務(wù)需求和風(fēng)險標(biāo)準(zhǔn)簽訂個別供應(yīng)商協(xié)議的基礎(chǔ)；承包商未能滿足要求的賠償和補(bǔ)救；事故管理要求和程序（尤其是事故補(bǔ)救期間的通知和協(xié)作）；特定程序和信息安全要求的培訓(xùn)和意識要求（如事故響應(yīng)、授權(quán)程序）；分包的相關(guān)規(guī)定，包括需要實(shí)施的控制措施，如關(guān)于使用次級供應(yīng)商的協(xié)議（如要求次級供應(yīng)商承擔(dān)與供應(yīng)商相同的義務(wù)，要求擁有次級供應(yīng)商清單并在任何變更前發(fā)出通知）；相關(guān)聯(lián)系人，包括負(fù)責(zé)信息安全問題的聯(lián)系人；果引起懷疑或擔(dān)憂時進(jìn)行篩選和通知程序的責(zé)任；控制有效性的獨(dú)立報告；對與協(xié)議相關(guān)的供應(yīng)商的流程和控制發(fā)起審核權(quán)利；題；缺陷解決和沖突解決過程；提供符合組織需求的備份（在頻率、類型和存儲位置方面）；確保備用設(shè)施（即災(zāi)難恢復(fù)站點(diǎn)）同的威脅，并考慮在主控制失效時的應(yīng)變控制（備用控制）。擁有變更管理流程，確保提前通知組織，并確保組織可以不接受變更；與信息分類相稱的物理安全控制；信息傳遞控制，用于在物理傳遞或邏輯傳遞過程中保護(hù)信息；全處置以及任何持續(xù)的保密義務(wù)；毀這些信息；確保在合同結(jié)束時，將支持移交給另一個供應(yīng)商或組織本身。組織應(yīng)建立并維護(hù)與外部各方的協(xié)議（如合同、諒解備忘錄、信息共享協(xié)議）的登記冊，以跟蹤其信息的去向。組織還