安全合規(guī)ISO27001介紹（附錄）

安全合規(guī)ISO27001介紹（附錄）五信息安全戰(zhàn)略5.1信息安全的管理方向目標：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)?供管理方向并支持信息安全。章節(jié)概要說明5.1.1信息安全策略控制措施信息安全策略集應(yīng)由管理者定義、批準、發(fā)布并傳達給員工和相關(guān)外部方5.1.2信息安全策略的評審控制措施信息安全策略應(yīng)按計劃的時間間隔或當(dāng)重大變化發(fā)生時進行評審，以確保其持續(xù)的適宜性、充分性和有效性。六信息安全組織6.1內(nèi)部組織目標：建立管理框架，以啟動和控制組織范圍內(nèi)的信息安全的實施和運行。章節(jié)概要說明6.1.1信息安全角色和職責(zé)控制措施所有的信息安全職責(zé)應(yīng)予以定義和分配。6.1.2職責(zé)分離控制措施分離相沖突的責(zé)任及職責(zé)范圍，以降低未授權(quán)或無意識的修改或者不當(dāng)使用組織資產(chǎn)的機會。6.1.3與政府部門的聯(lián)系控制措施應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。6.1.4與特定利益集團的聯(lián)系控制措施應(yīng)保持與特定利益集團、其他安全論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系。6.1.5項目管理中的信息安全控制措施無論項目是什么類型，在項目管理中都應(yīng)處理信息安全問題。6.2移動設(shè)備和遠程工作目標：確保遠程工作和使用移動設(shè)備時的安全。章節(jié)概要說明6.2.1移動設(shè)備策略控制措施應(yīng)采用策略和支持性安全措施來管理由于使用移動設(shè)備帶來的風(fēng)險。6.2.2遠程工作控制措施應(yīng)實施策略和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。七人力資源安全7.1任用之前目標：確保雇員和承包方人員理解其職責(zé)、適于考慮讓其承擔(dān)的角色。章節(jié)概要說明7.1.1審查控制措施關(guān)于所有任用候選者的背景驗證核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求、被訪問信息的類別和察覺的風(fēng)險來執(zhí)行。7.1.2任用條款和條件控制措施與雇員和承包方人員的合同協(xié)議應(yīng)聲明他們和組織的信息安全職責(zé)。7.2任用中目標：確保雇員和承包方人員知悉并履行其信息安全職責(zé)。章節(jié)概要說明7.2.1管理職責(zé)控制措施管理者應(yīng)要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對信息安全盡心盡力。7.2.2信息安全意識、教育和培訓(xùn)控制措施組織的所有雇員，適當(dāng)時，包括承包方人員，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R培訓(xùn)和組織策略及規(guī)程的定期更新培訓(xùn)。7.2.3紀律處理過程控制措施應(yīng)有一個正式的、已傳達的紀律處理過程，來對信息安全違規(guī)的雇員采取措施。7.3任用的終止或變更目標：將保護組織利益作為變更或終止任用過程的一部分。章節(jié)概要說明7.3.1任用終止或變更職責(zé)控制措施應(yīng)定義信息安全職責(zé)和義務(wù)在任用終止或變更后保持有效的要求，并傳達給雇員或承包方人員，予以執(zhí)行。八資產(chǎn)管理8.1對資產(chǎn)負責(zé)目標：識別組織資產(chǎn)，并定義適當(dāng)?shù)谋Ｗo職責(zé)。章節(jié)概要說明8.1.1資產(chǎn)清單控制措施應(yīng)識別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護這些資產(chǎn)的清單。8.1.2資產(chǎn)所有權(quán)控制措施清單中所維護的資產(chǎn)應(yīng)分配所有權(quán)。8.1.3資產(chǎn)的可接受使用控制措施信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實施。8.1.4資產(chǎn)的歸還控制措施所有的雇員和外部方人員在終止任用、合同或協(xié)議時，應(yīng)歸還他們使用的所有組織資產(chǎn)。8.2信息分類目標：確保信息按照其對組織的重要性受到適當(dāng)級別的保護。章節(jié)概要說明8.2.1信息的分類控制措施信息應(yīng)按照法律要求、價值、關(guān)鍵性以及它對未授權(quán)泄露或修改的敏感性予以分類。8.2.2信息的標記控制措施應(yīng)按照組織所采納的信息分類機制建立和實施一組合適的信息標記規(guī)程。8.2.3信息的處理控制措施應(yīng)按照組織所采納的信息分類機制建立和實施處理資產(chǎn)的規(guī)程。8.3介質(zhì)處置目標：防止存儲在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動或銷毀。章節(jié)概要說明8.3.1可移動介質(zhì)的管理控制措施應(yīng)按照組織所采納的分類機制實施可移動介質(zhì)的管理規(guī)程。8.3.2介質(zhì)的處置控制措施不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置。8.3.3物理介質(zhì)傳輸控制措施包含信息的介質(zhì)在運送時，應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或毀壞。九訪問控制9.1安全區(qū)域目標：限制對信息和信息處理設(shè)施的訪問。章節(jié)概要說明9.1.1訪問控制策略控制措施訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和信息安全要求進行評審。9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制措施用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。9.2用戶訪問管理目標：確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問。章節(jié)概要說明9.2.1用戶注冊及注銷控制措施應(yīng)實施正式的用戶注冊及注銷規(guī)程，使訪問權(quán)限得以分配。9.2.2用戶訪問開通控制措施應(yīng)實施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務(wù)所有用戶類型的訪問權(quán)限。9.2.3特殊訪問權(quán)限管理控制措施應(yīng)限制和控制特殊訪問權(quán)限的分配及使用。9.2.4用戶秘密鑒別信息管理控制措施應(yīng)通過正式的管理過程控制秘密鑒別信息的分配。9.2.5用戶訪問權(quán)限的復(fù)查控制措施資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問權(quán)限。9.2.6撤銷或調(diào)整訪問權(quán)限控制措施所有雇員、外部方人員對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在任用、合同或協(xié)議終止時撤銷，或在變化時調(diào)整。9.3用戶職責(zé)目標：使用戶承擔(dān)保護認證信息安全的責(zé)任。章節(jié)概要說明9.3.1使用秘密鑒別信息控制措施應(yīng)要求用戶在使用秘密鑒別信息時，遵循組織的實踐。9.4系統(tǒng)和應(yīng)用訪問控制目標：防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。章節(jié)概要說明9.4.1信息訪問控制控制措施應(yīng)依照訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪問。9.4.2安全登錄規(guī)程控制措施在訪問控制策略要求下，訪問操作系統(tǒng)和應(yīng)用應(yīng)通過安全登錄規(guī)程加以控制。9.4.3口令管理系統(tǒng)控制措施口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。9.4.4特殊權(quán)限使用工具軟件的使用控制措施對于可能超越系統(tǒng)和應(yīng)用程序控制措施的適用工具軟件的使用應(yīng)加以限制并嚴格控制。9.4.5對程序源代碼的訪問控制控制措施應(yīng)限制訪問程序源代碼。十密碼學(xué)10.1密碼控制目標：恰當(dāng)和有效的利用密碼學(xué)保護信息的保密性、真實性或完整性。章節(jié)概要說明10.1.1使用密碼控制的策略控制措施應(yīng)開發(fā)和實施使用密碼控制措施來保護信息的策略。10.1.2密鑰管理控制措施宜開發(fā)和實施貫穿整個密鑰生命周期的關(guān)于密鑰使用、保護和生存期的策略。十一物理和環(huán)境安全11.1安全區(qū)域目標：防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。章節(jié)概要說明11.1.1物理安全周邊控制措施應(yīng)定義安全周邊和所保護的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設(shè)施的區(qū)域。11.1.2物理入口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護，以確保只有授權(quán)的人員才允許訪問。11.1.3辦公室、房間和設(shè)施的安全保護控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計并采取物理安全措施。11.1.4外部環(huán)境威脅的安全防護控制措施為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計和采取物理保護措施。11.1.5在安全區(qū)域工作控制措施應(yīng)設(shè)計和應(yīng)用工作在安全區(qū)域的規(guī)程。11.1.6交接區(qū)安全控制措施訪問點(例如交接區(qū))和未授權(quán)人員可進入辦公場所的其他點應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問。11.2設(shè)備目標：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷。章節(jié)概要說明11.2.1設(shè)備安置和保護控制措施應(yīng)安置或保護設(shè)備，以減少由環(huán)境威脅和危險所造成的各種風(fēng)險以及未授權(quán)訪問的機會。11.2.2支持性設(shè)施控制措施應(yīng)保護設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。11.2.3布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。11.2.4設(shè)備維護控制措施設(shè)備應(yīng)予以正確地維護，以確保其持續(xù)的可用性和完整性。11.2.5資產(chǎn)的移動控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。11.2.6組織場外設(shè)備和資產(chǎn)的安全控制措施應(yīng)對組織場所外的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風(fēng)險。11.2.7設(shè)備的安全處置或在利用控制措施包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。11.2.8無人值守的用戶設(shè)備控制措施用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo。11.2.9清空桌面和屏幕策略控制措施應(yīng)采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。十二操作安全12.1操作規(guī)程和職責(zé)目標：確保正確、安全的操作信息處理設(shè)施。章節(jié)概要說明12.1.1文件化的操作規(guī)程控制措施操作規(guī)程應(yīng)形成文件并對所有需要的用戶可用。12.1.2變更管理控制措施對影響信息安全的組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)等的變更應(yīng)加以控制。12.1.3容量管理控制措施資源的使用應(yīng)加以監(jiān)視、調(diào)整，并作出對于未來容量要求的預(yù)測，以確保擁有所需的系統(tǒng)性能。12.1.4開發(fā)、測試和運行環(huán)境分離控制措施開發(fā)、測試和運行環(huán)境應(yīng)分離，以減少未授權(quán)訪問或改變運行環(huán)境的風(fēng)險。12.2惡意軟件防護目標：確保對信息和信息處理設(shè)施進行惡意軟件防護。章節(jié)概要說明12.2.1控制惡意軟件控制措施應(yīng)實施惡意軟件的檢測、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R。12.3備份目標：為了防止數(shù)據(jù)丟失。章節(jié)概要說明12.3.1信息備份控制措施應(yīng)按照已設(shè)的備份策略，定期備份和測試信息和軟件。12.4日志和監(jiān)視目標：記錄事態(tài)和生成證據(jù)。章節(jié)概要說明12.4.1事態(tài)記錄控制措施應(yīng)產(chǎn)生記錄用戶活動、異常情況、故障和信息安全事態(tài)的事態(tài)日志，并保持定期評審。12.4.2日志信息的保護控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護，以防止篡改和未授權(quán)的訪問。12.4.3管理員和操作員日志控制措施系統(tǒng)管理員和系統(tǒng)操作員的活動應(yīng)記入日志，保護日志并定期評審。12.4.4時鐘同步控制措施一個組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用單一參考時間源進行同步。12.5運行軟件的控制目標：確保運行系統(tǒng)的完整性。章節(jié)概要說明12.5.1在運行系統(tǒng)上安裝軟件控制措施應(yīng)實施規(guī)程來控制在運行系統(tǒng)上安裝軟件。12.6技術(shù)脆弱性管理目標：防止技術(shù)脆弱性被利用。章節(jié)概要說明12.6.1技術(shù)脆弱性的控制控制措施應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險。12.6.2限制軟件安裝控制措施應(yīng)建立和實施軟件安裝的用戶管理規(guī)則。12.7信息系統(tǒng)審計考慮目標：將運行系統(tǒng)審計活動的影響最小化。章節(jié)概要說明12.7.1信息系統(tǒng)審計控制措施控制措施涉及對運行系統(tǒng)驗證的審計要求和活動，應(yīng)謹慎地加以規(guī)劃并取得批準，以便使造成業(yè)務(wù)過程中斷最小化。十三通信安全13.1網(wǎng)絡(luò)安全管理目標：確保網(wǎng)絡(luò)中信息的安全性并保護支持性信息處理設(shè)施。章節(jié)概要說明13.1.1網(wǎng)絡(luò)控制控制措施應(yīng)管理和控制網(wǎng)絡(luò)，以保護系統(tǒng)中信息和應(yīng)用程序的安全。13.1.2網(wǎng)絡(luò)服務(wù)安全控制措施安全機制、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部?供的還是外包的。13.1.3網(wǎng)絡(luò)隔離控制措施應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。13.2信息傳遞目標：保持組織內(nèi)以及與組織外信息傳遞的安全。章節(jié)概要說明13.2.1信息傳遞策略和規(guī)程控制措施應(yīng)有正式的傳遞策略、規(guī)程和控制措施，以保護通過使用各種類型通信設(shè)施的信息傳遞。13.2.2信息傳遞協(xié)議控制措施協(xié)議應(yīng)解決組織與外部方之間業(yè)務(wù)信息的安全傳遞。13.2.3電子消息發(fā)送控制措施包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo。13.2.4保密性或不泄露協(xié)議控制措施應(yīng)識別、定期評審并記錄反映組織信息保護需要的保密性或不泄露協(xié)議的要求。十四系統(tǒng)獲取、開發(fā)和維護14.1信息系統(tǒng)的安全需求目標：確保信息安全是信息系統(tǒng)整個生命周期中的一個有機組成部分。這也包括?供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求。章節(jié)概要說明14.1.1信息安全要求分析和說明控制措施信息安全相關(guān)要求應(yīng)包括新的信息系統(tǒng)要求或增強已有信息系統(tǒng)的要求。14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)安全控制措施應(yīng)保護公共網(wǎng)絡(luò)中的應(yīng)用服務(wù)信息，以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改。14.1.3保護應(yīng)用服務(wù)交易控制措施應(yīng)保護涉及應(yīng)用服務(wù)交易的信息，以防止不完整傳送、錯誤路由、未授權(quán)消息變更、未授權(quán)泄露、未授權(quán)消息復(fù)制或重放。14.2開發(fā)和支持過程中的安全目標：應(yīng)確保進行信息安全設(shè)計，并確保其在信息系統(tǒng)開發(fā)生命周期中實施。章節(jié)概要說明14.2.1安全開發(fā)策略控制措施應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則，并應(yīng)用于組織內(nèi)的開發(fā)。14.2.2系統(tǒng)變更控制規(guī)程控制措施應(yīng)通過使用正式變更控制程序控制開發(fā)生命周期中的系統(tǒng)變更。14.2.3運行平臺變更后應(yīng)用的技術(shù)評審控制措施當(dāng)運行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行評審和測試，以確保對組織的運行和安全沒有負面影響。14.2.4軟件包變更的限制控制措施應(yīng)對軟件包的修改進行勸阻，只限于必要的變更，且對所有的變更加以嚴格控制。14.2.5安全系統(tǒng)工程原則控制措施應(yīng)建立、記錄和維護安全系統(tǒng)工程原則，并應(yīng)用到任何信息系統(tǒng)實施工作。14.2.6安全開發(fā)環(huán)境控制措施組織應(yīng)建立并適當(dāng)保護系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境，覆蓋整個系統(tǒng)開發(fā)生命周期。14.2.7外包開發(fā)控制措施組織應(yīng)管理和監(jiān)視外包系統(tǒng)開發(fā)活動。14.2.8系統(tǒng)安全測試控制措施在開發(fā)過程中，應(yīng)進行安全功能測試。14.2.9系統(tǒng)驗收測試控制措施對于新建信息系統(tǒng)和新版本升級系統(tǒng)，應(yīng)建立驗收測試方案和相關(guān)準則。14.3測試數(shù)據(jù)目標：確保保護測試數(shù)據(jù)。章節(jié)概要說明14.3.1系統(tǒng)測試數(shù)據(jù)的保護控制措施測試數(shù)據(jù)應(yīng)認真地加以選擇、保護和控制。十五供應(yīng)商關(guān)系15.1供應(yīng)商關(guān)系的信息安全目標：確保保護可被供應(yīng)商訪問的組織資產(chǎn)。章節(jié)概要說明15.1.1供應(yīng)商關(guān)系的信息安全策略控制措施為減緩供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險，應(yīng)與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求。15.1.2處理供應(yīng)商協(xié)議的安全問題控制措施應(yīng)與每個可能訪問、處理、存儲組織信息、與組織進行通信或為組織提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立并協(xié)商所有相關(guān)的信息安全要求。15.1.3信息和通信技術(shù)供應(yīng)鏈控制措施供應(yīng)商協(xié)議應(yīng)包括信息和通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)信息安全風(fēng)險處理的要求。15.2供應(yīng)商服務(wù)交付管理目標：保持符合供應(yīng)商交付協(xié)議的信息安全和服務(wù)交付的商定水準。章節(jié)概要說明15.2.1供應(yīng)商服務(wù)的監(jiān)視和評審控制措施組織應(yīng)定期監(jiān)視、評審和審計供應(yīng)商服務(wù)交付。15.2.2供應(yīng)商服務(wù)的變更管理控制措施應(yīng)管理供應(yīng)商服務(wù)提供的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)信息、系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的再評估。十六信息安全事件管理16.1信息安全事件和改進的管理目標：確保采用一致和有效的方法對信息安全事件進行管理，包括安全事件和弱點的傳達。章節(jié)概要說明16.1.1職責(zé)和規(guī)程控制措施應(yīng)建立管理職責(zé)和規(guī)程，以確保快速、有效和有序地響應(yīng)信息安全事件。16.1.2報告信息安全事態(tài)控制措施信息安全事態(tài)應(yīng)盡可能快地通過適當(dāng)?shù)墓芾砬肋M行報告。16.1.3報告信息安全弱點控制措施應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的所有雇員和承包方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點。16.1.4評估和確定信息安全事態(tài)控制措施信息安全事態(tài)應(yīng)被評估，并且確定是否劃分成信息安全事件。16.1.5信息安全事件響應(yīng)控制措施應(yīng)具有與信息安全事件響應(yīng)相一致的文件化規(guī)程。16.1.6對信息安全事件的總結(jié)控制措施獲取信息安全事件分析和解決的知識應(yīng)被用戶降低將來事件發(fā)生的可能性或影響。16.1.7證據(jù)的收集控制措施組織應(yīng)定義和應(yīng)用識別、收集、獲取和保存信息的程序，這些信息可以作為證據(jù)。十七業(yè)務(wù)連續(xù)性管理的信息安全方面17.1信息安全連續(xù)性目標：組織的業(yè)務(wù)連續(xù)性管理體系中應(yīng)體現(xiàn)信息安全連續(xù)性。章節(jié)概要說明17.1.1信息安全連續(xù)性計劃控制措施組織應(yīng)確定不利情況下(例如，一個危機或危難時)信息安全的要求和信息安全管理連續(xù)性。17.1.2實施信息安全連續(xù)性計劃控制措施組織應(yīng)建立、文件化、實施和維護過程、規(guī)程和控制措施，確保在負面情況下要求的信息安全連續(xù)性級