ISO 27001-2022“信息安全控制”實施和審核指南（雷澤佳編制-2024）

ISO27001-2022“信息安全控制”實施和審核指南5組織控制實施指南審核指南5.1信息安全方針控制

應(yīng)規(guī)定信息安全方針（即最高層級策略）和特定主題策略，由管理層批準、發(fā)布、傳達給相關(guān)人員和相關(guān)方并得到他們的認可，并在策劃的時間間隔和發(fā)生重大變化時進行評審。ISO/IEC27002的5.1部分就信息安全方針應(yīng)包含的內(nèi)容提供了指導(dǎo)。組織方針應(yīng)簡潔明了。由于不適宜將所有層級的方針合并到一份文件中，因此最高層級的信息安全方針應(yīng)鏈接到更詳細的特定主題策略。實際上，最高層級策略通常應(yīng)只有一頁長。它也可能是一份更一般性策略文件的一部分。最高層級信息安全方針應(yīng)分發(fā)給所有員工，并傳達給所有相關(guān)的外部方，包括經(jīng)常在組織場所工作的其他人員。信息安全方針應(yīng)受到版本控制，并成為信息安全管理體系（ISMS）文件的一部分。特定主題的策略應(yīng)根據(jù)員工的工作職能和相關(guān)的安全要求，在需要時提供給適當?shù)膯T工，并據(jù)此進行分類。信息安全方針還應(yīng)根據(jù)請求提供給任何具有適當授權(quán)的人員，并且應(yīng)防止篡改和意外損壞。當信息安全方針在組織外部分發(fā)時，應(yīng)先進行編輯，刪除其中可能包含的任何敏感信息，然后再進行分發(fā)。最高層級信息安全方針和若干或全部低級策略可在安全策略手冊中一并提供給員工。方針評審是信息安全管理體系持續(xù)保持、評審和更新的重要組成部分，這在ISO/IEC27001的“9績效評價”中也有述及。該保持過程應(yīng)發(fā)現(xiàn)影響信息安全管理體系的所有變化，并酌情更新信息安全方針和特定主題的策略，以保持其時效性，并確保它們準確反映組織如何管理其風險。安排定期評審和規(guī)定評審程序?qū)τ诖_保迄今為止尚未發(fā)現(xiàn)的任何變化都被發(fā)現(xiàn)并納入標準文件控制流程也是至關(guān)重要的。為信息安全方針指定一名負責人，并負責其評審，有助于確保定期進行評審。還應(yīng)讓員工了解可能影響其角色的策略變化。最高層級信息安全方針無需冗長，但應(yīng)明確闡述最高管理者對信息安全的承諾，并置于變更和版本控制之下，且由適當?shù)淖罡吖芾碚吆炇?。該方針至少?yīng)涵蓋以下主題：信息安全的明確定義，包括其總體范圍和目標；信息安全對組織的重要性；最高管理者對信息安全的支持聲明；風險評估、風險管理和選擇控制目標與控制的實踐框架的摘要；安全方針、原則、標準和合規(guī)要求的摘要；所有相關(guān)信息安全職責的規(guī)定（另見5.2）；對支持性文件的引用，例如更詳細的方針；如何處理不合規(guī)和例外情況。審核員應(yīng)確認該方針對所有員工和所有相關(guān)外部方都易于獲取，并已傳達給所有相關(guān)人員，同時檢查他們是否知曉該方針的存在并理解其內(nèi)容。該方針可能是一份獨立的聲明，也可能是規(guī)定組織如何實施信息安全方針的更廣泛文件（例如安全方針手冊）的一部分。通常，如果不是全部，那么大多數(shù)受ISMS范圍覆蓋的員工都將對信息安全承擔一些職責，審核員應(yīng)仔細評審任何與此相反的聲明。審核員還應(yīng)確認該方針有負責人負責其保持（另見5.2），并且在影響組織信息安全要求的任何變更（如初始風險評估的變更）后，該方針都得到了適當?shù)母隆Ｖ巫罡邔蛹壏结樀奶囟ㄖ黝}策略應(yīng)與其目標群體的需求明確關(guān)聯(lián)，并涵蓋為其他安全控制提供基礎(chǔ)所必需的所有主題和概念。審核員應(yīng)確認組織已為其信息安全方針指定了負責評審的負責人，或者如果尚未指定，則確保已制定其他明確的評審職責。審核員還應(yīng)確認組織已制定程序，以應(yīng)對任何事件、新的漏洞或威脅、技術(shù)變更或與ISMS相關(guān)且可能使方針評審成為必要的任何其他情況。還應(yīng)安排定期評審，以確保該政策仍然適用，并且在實現(xiàn)的保護方面具有成本效益。審核員應(yīng)確認此類評審的時間表適合組織的總體風險情況。最后，審核員應(yīng)檢查組織分發(fā)更新方針的計劃，并驗證所有員工是否都已了解這些變更。5.2信息安全角色和職責控制

應(yīng)根據(jù)組織需求規(guī)定和分配信息安全角色和職責。如果員工、承包商和第三方不了解他們必須遵守的規(guī)則以及期望他們的行為，組織將處于脆弱狀態(tài)。所有員工、承包商和第三方用戶的信息安全角色和職責都應(yīng)得到明確界定，并清晰地傳達給他們。這些角色和職責還應(yīng)與組織的安全方針相一致。應(yīng)根據(jù)信息安全方針（見5.9）明確界定并記錄保護個別資產(chǎn)和執(zhí)行特定安全過程的職責。這不是一項微不足道的任務(wù)，而應(yīng)涵蓋每個員工。至關(guān)重要的是，應(yīng)告知管理層和員工對他們的期望，尤其是在信息安全不太可能成為他們首要關(guān)注點的情況下。一般來說，所有員工的職位描述中都應(yīng)注明他們負有基本的安全職責（另見6.2），并且他們應(yīng)理解其安全職責是其工作職責不可或缺的一部分。那些負有重大和復(fù)雜安全職責的員工、承包商和第三方用戶，應(yīng)在他們的職位描述或聘用條款和條件（見6.2）中對此進行記錄。這份文件可由員工、承包商、第三方用戶及其管理者簽署，以表明他們已接受并理解。應(yīng)向所有員工、承包商和第三方用戶提供一份個人副本。當信息安全職責發(fā)生變化時，應(yīng)及時通知受影響的人員，并提供適當?shù)呐嘤枺源_保他們能夠履行其改變后的職責（見6.3）。在工作過程中，信息安全職責也可能委托給他人。在這種情況下，重要的是，委托職責的人員應(yīng)意識到他們?nèi)匀灰袚氊?，并且確定任何委托的任務(wù)和職責是否已正確執(zhí)行是他們職責的一部分。當組織將活動外包給另一個實體時（見5.21），這一點也同樣適用。組織中的一名成員應(yīng)負責管理這種關(guān)系，并確保第三方執(zhí)行其支持ISMS的活動部分。審核員應(yīng)確認是否已任命對信息安全負有總體職責的人員（例如信息安全主管或首席信息安全官）。該角色可能與組織內(nèi)對信息風險擁有總體所有權(quán)的角色分開。信息安全方針和/或風險應(yīng)對計劃通常用于定義更高層次的職責和報告結(jié)構(gòu)，但信息安全職責的明確細節(jié)通常包含在職位描述或其他等效文件中。因此，每個對信息安全負有特定角色和職責的員工都應(yīng)有一份文件，定義他們的安全角色和職責，以及他們在履行職責時需要了解的其他角色（例如事件管理小組）。審核員應(yīng)檢查相關(guān)員工是否都能獲得這些文件，并且員工是否充分了解他們的角色和職責。證明這一點的一種方法是檢查角色/職責文件是否已由員工和相應(yīng)的管理者簽署，以表明他們已理解并接受。審核員應(yīng)檢查的另一個要點是文件的日期，以及它是否包含與信息安全職能相關(guān)且正確一致的信息。檢查方針聲明和個別程序中提及的安全職責應(yīng)與相關(guān)角色所持文件（如職位描述）中列出的職責完全一致。如果自個人承擔當前角色以來，安全任務(wù)和任務(wù)分配已發(fā)生變化，審核員應(yīng)查找重新頒發(fā)的文件或原始文件的附錄，并再次由員工和相關(guān)經(jīng)理簽署。不同組織在描述角色和職責的文件的存放位置方面可能有所不同；有些可能存放在個人處，而有些則存放在人事/人力資源部門。在后一種情況下，審核員應(yīng)檢查個人是否可以方便地訪問這些信息——他們應(yīng)有自己的副本，因為一個人不太可能遵守一年多前最后一次看到的文件。對于具有特定安全要求的工作（如網(wǎng)絡(luò)管理員），應(yīng)確保職位描述或附加文件充分反映這一點——在這種情況下，涵蓋所有員工的一般性陳述是不可接受的。對于負有特殊信息安全職責的個人，還可能設(shè)定明確的信息安全目標，并定期在績效評價中記錄這些目標的進展情況。審核員應(yīng)確認所有此類性質(zhì)的文件都是最新的并得到了適當控制（見5.9）。對于那些新入職的員工來說，充分了解他們的職責尤為重要。應(yīng)在任命時完成相關(guān)的培訓和行動（如簽署文件），以確認他們既理解又打算遵守其職責，而不是在下一次方便的評審時，以免新員工在無意中違反政策。審核員應(yīng)特別注意臨時工、承包商和第三方用戶。同樣的規(guī)則也應(yīng)適用于他們；不可接受例外情況。應(yīng)為在ISMS范圍內(nèi)工作的每個人提供充分的安全角色和職責描述。應(yīng)仔細調(diào)查信息安全角色和職責的明確界定和分配情況，因為這可能是一個潛在的薄弱環(huán)節(jié)。如果沒有指定具體人員對正在進行的活動承擔主要職責，職責重疊可能會導(dǎo)致所有相關(guān)方都相互推諉，最終沒有人執(zhí)行這些活動或驗證它們是否已經(jīng)完成。5.3職責分離控制

相互沖突的職責和相互沖突的責任領(lǐng)域應(yīng)該被分離。職責分離是一種傳統(tǒng)的業(yè)務(wù)控制措施，用于減少人為錯誤和蓄意濫用的風險。盡管大多數(shù)員工本質(zhì)上是誠實的，但也可能會有些員工不是。同樣，誠實的人也可能會被置于一種表現(xiàn)出不符合其性格特征行為的位置（例如，在脅迫之下）。如果不對人們的活動加以限制，隨著時間的推移，他們中的一部分人可能會變得越來越疏忽大意。這可能會導(dǎo)致誠信（包括人和信息的誠信）問題、機密信息泄露，以及資源無法用于其正當用途。確保風險評估能夠正確識別和跟蹤未分離活動的風險。在兩個或更多員工之間分配一個過程，可以在交接點進行檢查，因為一個人可以看到另一個人是否完成了他們應(yīng)該做的事情。例如，在敏感領(lǐng)域，由不同的員工分別使用兩把鑰匙或兩個密碼，可以確保沒有人在未經(jīng)第二人授權(quán)或確認其權(quán)限的情況下訪問資源。許多欺詐行為和會計舞弊都是由單個人實施的，這些人獲得了會計系統(tǒng)中過多功能的訪問權(quán)限，或者無需對其活動進行單獨授權(quán)。此類事件的一個眾所周知的案例是巴林銀行事件。1995年，單個交易員尼克·里森在被發(fā)現(xiàn)之前造成了8.27億英鎊的損失，這導(dǎo)致了整個企業(yè)的倒閉。隨后英格蘭銀行的報告指出，這是由“巴林集團內(nèi)部控制和管理方面的嚴重問題”造成的。職責分離可防止員工單獨行動而造成此類事件。盡管串通的可能性仍然存在，但很少會有兩個人或更多人冒這樣的個人風險。在小型組織中，可能難以實施職責分離，應(yīng)盡可能采用這一原則，并實施額外的控制措施，如加強監(jiān)控，以彌補任何缺乏分離的情況。如果無法實現(xiàn)職責分離，那么至少可以幫助使用一種不易篡改的方法來記錄所有活動（另見8.15），并制定程序?qū)@些記錄進行獨立評審，以便在事后發(fā)現(xiàn)任何可疑或未經(jīng)授權(quán)的活動；知道存在這些記錄可以起到威懾作用。小型組織可能難以實施這一職責分離控制措施。這可能是由于資源缺乏。至少對于關(guān)鍵角色，應(yīng)制定一些規(guī)定——如果其他措施都不可能實施，則應(yīng)對關(guān)鍵活動進行記錄，并由獨立個人定期評審這些日志，以檢查是否存在不允許的特定活動序列（另見8.15）。審核員應(yīng)要求查看這些日志和評審過程的證據(jù)。還應(yīng)表明，其活動正在被記錄的個人無法更改或刪除這些日志，例如，通過將日志以不可更改的格式存儲，然后由日志主題之外的其他人按順序編號，并作為內(nèi)部審核活動的一部分檢查是否有缺失條目（見9.2）。對于大型組織，這一控制措施應(yīng)在其程序中得到充分確立和適當證實。在應(yīng)考慮用于獨立操作、安全管理和審核的程序中，安全管理和審核可能是最關(guān)鍵的，并應(yīng)首先予以考慮。審核員應(yīng)評審在處理階段之間或發(fā)布之前對數(shù)據(jù)進行獨立驗證的情況。作為其風險評估的一部分，組織應(yīng)考慮關(guān)鍵流程，以及是否由某一個人負責執(zhí)行過多的制衡措施。評審關(guān)鍵任務(wù)的工作安排：病假或假期是如何安排的？這是否會影響?yīng)毩⑿?？組織可能需要強制執(zhí)行最低限度的年度假期，以實現(xiàn)有效的職責分離。這種方法在一些金融行業(yè)的組織中是標準的。5.4管理層職責控制

管理層應(yīng)要求所有人員根據(jù)組織的既定信息安全方針、特定主題策略和程序來應(yīng)用信息安全。所有安全計劃成功的關(guān)鍵因素之一是管理層的支持。管理層通過意識到他們有責任確保他們職責范圍內(nèi)的每個人（包括他們自己）都按照既定的方針和程序行事，并支持/應(yīng)用已實施的控制措施，從而能夠提供這種支持。ISO/IEC27002中5.4的實施指導(dǎo)中列出了典型的管理職責。除了通常的管理職能外，這些職責的一個重要部分是向員工、承包商和第三方用戶傳達這樣一個信息：他們的信息安全活動得到了認可、重視，并且與其工作職能的其他要素同等重要。另一個關(guān)鍵方面是執(zhí)行控制職能，并在日常工作中驗證對控制措施、策略和程序的遵守情況。這可能不需要復(fù)雜的監(jiān)管活動——如果管理人員意識到控制措施、策略和程序的正確應(yīng)用，他們將很容易發(fā)現(xiàn)他們職責范圍內(nèi)的人員是否偏離了這些要求。審核員應(yīng)首先檢查管理人員是否意識到他們的職責，并理解他們有責任確保員工、承包商和第三方用戶遵守控制措施、策略和程序。下一步是尋找管理人員認真對待這一職責的證據(jù)——可能有幾個跡象，如在會議常設(shè)議程中提到信息安全，或當被問及管理層關(guān)于信息安全的信息時員工的反應(yīng)。以前的意識評估記錄（如釣魚測試）也是令人鼓舞的指標。另一個高價值的指標是員工是否覺得管理層在以身作則。擔任高級職務(wù)的個人是否遵守適用于一般員工的同樣規(guī)則（例如，在離開辦公桌時鎖定他們的電腦），還是他們似乎有特殊豁免權(quán)可以忽略這些規(guī)則？詢問管理層為那些被發(fā)現(xiàn)不遵守控制措施、策略或程序的員工、承包商或第三方用戶制定的補救培訓計劃，以及啟動這些計劃的原因，也是有幫助的。另一個話題是管理層如何激勵員工，是否有獎勵良好建議的計劃，或其他積極鼓勵員工支持信息安全的方式。5.5與職能機構(gòu)的聯(lián)系控制

組織應(yīng)當與相關(guān)職能機構(gòu)建立并保持聯(lián)系。組織應(yīng)制定程序，以確定和建立與外部監(jiān)管機構(gòu)、服務(wù)提供商以及其他對信息安全至關(guān)重要的組織之間的所有適當聯(lián)絡(luò)關(guān)系。此外，應(yīng)定義并批準必要的審批、保密協(xié)議、報告程序和格式，以確保盡可能多地交換相關(guān)信息。設(shè)立聯(lián)絡(luò)官職能可能有所幫助，該聯(lián)絡(luò)官負責與外部機構(gòu)進行聯(lián)系和聯(lián)絡(luò)。此人可以從當局接收可能有助于防范某些事件的信息，并為新的立法或法規(guī)做好準備。在發(fā)生事件的情況下，他們還可以管理與當局的溝通（見5.24和5.26）。該控制措施要求與外部監(jiān)管機構(gòu)、服務(wù)提供商以及其他可能在預(yù)防安全事件或減輕其影響方面發(fā)揮關(guān)鍵作用的實體建立適當?shù)年P(guān)系。因此，審核員應(yīng)尋找業(yè)務(wù)連續(xù)性計劃、應(yīng)急計劃和基礎(chǔ)設(shè)施支持文件中存在必要聯(lián)系的證據(jù)。應(yīng)定期檢查和更新聯(lián)系信息，以確保其準確性。對于每個聯(lián)系人，應(yīng)明確聯(lián)系的目的。根據(jù)具體情況，審核員可以要求相關(guān)聯(lián)絡(luò)人進行聯(lián)系，以表明已建立溝通鏈，并檢查聯(lián)系信息是否準確。審核員還可以檢查聯(lián)系人是否由事件驅(qū)動（例如，在發(fā)生事件后）或由時間驅(qū)動（例如，每季度）。根據(jù)聯(lián)系的目的，這兩種關(guān)系都可能是適當?shù)?，但如果?lián)系人確實在使用中，聯(lián)絡(luò)人應(yīng)非常清楚如何以及由誰發(fā)起。審核員還應(yīng)尋找證據(jù)，證明法律、行業(yè)、運營和技術(shù)要求正在得到適當?shù)谋O(jiān)控，以確保符合性。審核員應(yīng)確保組織能夠證實其了解并記錄了所有適用的法律要求，并且為符合這些要求而進行的所有聯(lián)系都已到位且是最新的。審核員還應(yīng)評審協(xié)議和審批，以確保向相關(guān)當局提供的信息是合適的、及時的和經(jīng)過授權(quán)的。5.6與特定相關(guān)方的聯(lián)系控制

組織應(yīng)與特定相關(guān)方或其他專業(yè)安全論壇、專業(yè)協(xié)會建立并保持聯(lián)系。通過與來自不同組織和部門的信息安全專業(yè)人士交流，可以獲得很多好的想法，他們中的許多人在這一領(lǐng)域擁有豐富而寶貴的經(jīng)驗。同時，加入專業(yè)小組、標準委員會等也是獲取好想法的途徑。還有一些封閉的論壇，專門服務(wù)于特定的社區(qū)或部門（例如公共部門）；這些論壇可能要求通過認可或評審程序才能獲得成員資格。盡管一些機構(gòu)要求支付會員費，但通常在決定之前，他們會讓你先體驗他們所提供的服務(wù)。其他機構(gòu)雖然沒有會員，但它們是信息的有用來源。還有一些個人通過提供有趣、準確和及時的信息而聲名鵲起。關(guān)注他們的活動，是了解新威脅、機會和趨勢的絕佳方式。安全信息的交流應(yīng)受到控制，以確保機密信息不會傳遞給未經(jīng)授權(quán)的人員。一些機構(gòu)在嚴格的保密基礎(chǔ)上運作，以進行機密討論。通過記錄關(guān)于最佳實踐的討論，以及分享有關(guān)威脅和管理威脅的方法的知識，可以提供參與專業(yè)興趣小組的適當證據(jù)。一個大型組織可以參與其自身環(huán)境之外的安全專家小組、標準委員會或類似活動。小型組織可能無法支持廣泛的參與，但參加適當?shù)拿赓M會議和研討會可以在一定程度上解決這一問題。無論在哪種情況下，審核員都應(yīng)檢查是否制定了程序，以在組織內(nèi)部以最有利的方式共享和分發(fā)從此類參與中獲得的信息。這些程序還應(yīng)確保未經(jīng)適當授權(quán)，不得交換任何機密信息。5.7威脅情報控制

應(yīng)收集并分析與信息安全威脅相關(guān)的信息，以產(chǎn)生威脅情報。威脅情報可以通過在線研究、與同行聯(lián)絡(luò)以及采購專業(yè)服務(wù)來獲得。在所有情況下，這項工作都涉及調(diào)查針對特定行業(yè)、地緣政治區(qū)域或具體組織的威脅，將這些信息置于組織的背景下以得出可操作的見解，并保持這些信息的準確性和完整性（參見ISO/IEC27001，4.1）。至關(guān)重要的是，要保持對（例如）在線搜索中共享或提供給人工智能工具的信息的警覺，因為這些信息可能會泄露組織的活動、風險狀況和防護措施給潛在的攻擊者。這些元素隨后可能會被攻擊者拼湊起來，用于改進他們的戰(zhàn)術(shù)。將威脅情報與風險管理活動聯(lián)系起來（參見ISO/IEC27001，6.1.1）能夠?qū)δ切┥形磳崿F(xiàn)但很可能發(fā)生的風險做出決策，其可靠性要高于僅基于組織數(shù)據(jù)做出的預(yù)測。為了確定組織是否正在有效獲取和使用威脅信息來創(chuàng)建威脅情報，審核員應(yīng)采訪負責確定風險和選擇控制措施的工作人員，以了解他們從哪里獲取外部證據(jù)來支持他們的決策。信息安全簡報和其他向管理層提供的更新也可能包括威脅情報，甚至可能包括一些地緣政治實體所發(fā)布的威脅級別，以表示國家風險水平。在所有情況下，關(guān)于威脅的信息都應(yīng)置于組織的背景下（“這對我們意味著什么？”），并由組織的管理層在設(shè)計和運行與信息安全相關(guān)的活動時進行參考。還應(yīng)有一個可證明的過程來支持情報的重復(fù)生產(chǎn)，以便對其進行更新并保持盡可能準確。關(guān)于如何驗證或確認情報的支持過程/常設(shè)指導(dǎo)是這一領(lǐng)域有效性的良好標志，因為即使是由可信來源提供的威脅情報，其準確性也可能存在很大差異。最后，組織應(yīng)向任何負責直接在線威脅情報研究的人員提供適當?shù)闹笇?dǎo)和培訓，以遵守適用的法律和法規(guī)要求，保護組織，并保護進行研究的個人。5.8項目管理中的信息安全控制

項目管理中應(yīng)納入信息安全。項目中的信息安全：項目是組織工作的主要組成部分。在項目執(zhí)行過程中，如果信息安全控制不當，可能會使組織面臨無法控制的業(yè)務(wù)風險，從而導(dǎo)致信息安全事件。同樣，項目旨在交付的產(chǎn)品和服務(wù)也必須具有適當?shù)陌踩?。如果交付物雖然滿足了客戶的要求，但同時也為環(huán)境帶來了安全隱患，那么它就不適合其用途。通過將信息安全適當?shù)丶傻巾椖拷桓吨?，可以管理這種結(jié)果的可能性。信息安全要求的識別：應(yīng)從信息系統(tǒng)獲取或開發(fā)的最初階段就認識到信息安全要求，并應(yīng)與功能要求一起指定所有相關(guān)的信息安全要求。信息系統(tǒng)的開發(fā)或獲取應(yīng)遵循一個明確且記錄良好的程序，以確保所有已識別的安全要求都得到適當處理。需求分析應(yīng)參考風險評估的結(jié)果，并應(yīng)進行測試以驗證所開發(fā)或購買的信息系統(tǒng)是否滿足已識別的要求。ISO/IEC27002,5.8包含了一個有用的具體主題列表，以供考慮。風險評估：為了確保項目在其生命周期內(nèi)保持安全性，并產(chǎn)生安全的交付物，應(yīng)在項目開始時進行兩種類型的風險評估。一種類型的風險評估應(yīng)考慮與項目活動本身相關(guān)的風險，另一種應(yīng)考慮與其交付物相關(guān)的風險。它們都應(yīng)產(chǎn)生安全控制措施，這些措施應(yīng)合并到一個列表中，并記錄為項目要求的一部分。然后，應(yīng)根據(jù)控制措施旨在應(yīng)對的風險對這些要求進行優(yōu)先排序，并作為標準項目活動的一部分實施。區(qū)分項目風險與信息安全風險：應(yīng)注意區(qū)分“項目風險”和信息安全風險的概念。項目可能有一個風險登記冊，列出了項目交付的風險，但這可能不是記錄和管理信息安全風險的合適工具?？紤]建立一個信息安全風險登記冊，該登記冊與組織的ISMS集成，并從項目風險登記冊中明確引用。這樣，信息安全風險登記冊就不太可能受到可能壓倒局部項目要求的驅(qū)動因素的影響。例如，項目可能會選擇刪除操作要求以提高其按時交付的機會。對信息安全控制的擬議更改應(yīng)在適當?shù)慕M織層面提出，以便對組織的風險進行適當管理。項目變更中的信息安全：由于項目在其生命周期內(nèi)不可避免地會發(fā)生變化，因此應(yīng)作為任何項目變更過程的一部分重新評估信息安全，以確保風險緩解措施仍然合適。還應(yīng)在項目的所有關(guān)鍵階段考慮信息安全。交付物的過渡階段：應(yīng)非常仔細地管理交付物的過渡階段，以確保項目安全要求在從項目中幸存下來的交付物中得到適當實現(xiàn)。檢查項目方法論：審核員應(yīng)首先檢查所使用的項目方法論的文件，并檢查其是否包含識別信息安全目標、風險（與項目風險不同）和控制措施的要求。方法論還應(yīng)在整個項目生命周期中包含檢查點，以確保定期解決信息安全問題。項目中的任何更改都應(yīng)自動啟動對現(xiàn)有信息安全風險評估工作的評審，以確定是否需要對其進行修訂。應(yīng)對現(xiàn)有控制措施進行適當更改，添加新控制措施，或刪除控制措施。應(yīng)有一項聲明，大意是信息安全的責任必須得到定義，并與特定角色相關(guān)聯(lián)。文件記錄：對于每個項目應(yīng)記錄什么，審核員應(yīng)尋求證據(jù)表明有信息安全目標和每個項目的信息風險評估的記錄。他們還應(yīng)獲得證據(jù)表明信息安全風險可以追溯到特定的控制措施。應(yīng)定義項目每個階段的信息安全責任，并應(yīng)將角色與這些責任相關(guān)聯(lián)。信息系統(tǒng)開發(fā)與獲取中的信息安全：組織應(yīng)能夠向?qū)徍藛T證明，現(xiàn)有和新信息系統(tǒng)的信息安全要求已被識別，并在應(yīng)用程序、新系統(tǒng)、系統(tǒng)增強和升級的開發(fā)和獲取中得到了考慮。這分為兩類：一類是為組織專門開發(fā)或由其開發(fā)的定制應(yīng)用程序軟件；另一類是組織獲取用于其使用的商用現(xiàn)貨（COTS）軟件。（請注意，不安全的外加組件或自定義可能會破壞整個應(yīng)用程序。）要求分析與跟蹤：組織對要求的分析應(yīng)確定新系統(tǒng)的適當信息安全要求（例如，在給定應(yīng)用程序內(nèi)保持完整性），并應(yīng)將這些要求納入組織的要求文件中。對于所有開發(fā)和購買的信息系統(tǒng)來說，這一過程的發(fā)生至關(guān)重要。在確認了這一點后，審核員應(yīng)檢查在系統(tǒng)開發(fā)或獲取、測試、配置和安裝過程中如何跟蹤、監(jiān)控和評審這些要求。審核員應(yīng)確認在必要時對信息系統(tǒng)進行測試，以檢查是否滿足要求。應(yīng)分析任何已識別的缺陷，在適當?shù)墓芾韺用嫣岢?，并令人滿意地解決。5.9信息和其他相關(guān)資產(chǎn)的清單控制

應(yīng)開發(fā)和維護信息和其他相關(guān)資產(chǎn)（包括所有者）的清單。會計準則要求編制實物資產(chǎn)清單。因此，以及出于信息安全的原因，所有組織都應(yīng)編制這樣的清單。出于信息安全的目的，組織所持有的信息資產(chǎn)也應(yīng)包含在清單中。這可以在同一系統(tǒng)或單獨的系統(tǒng)中進行，只要它們能適當?shù)叵嗷リP(guān)聯(lián)（例如，能夠識別哪些服務(wù)器存儲了哪些信息）。如果知道組織擁有哪些資產(chǎn)，就可以對其應(yīng)用適當?shù)谋Ｗo，因為這樣就可以評估其信息安全、業(yè)務(wù)和法律要求。資產(chǎn)清單的詳細程度應(yīng)考慮組織的要求，以及支持有效風險評估所必需的詳細程度。信息可以按業(yè)務(wù)目的進行分組，例如，作為數(shù)據(jù)庫或文件名的列表。關(guān)于資產(chǎn)責任和保護的最重要概念可能是指定資產(chǎn)所有權(quán)。有必要為所有主要資產(chǎn)以及附有特殊要求的資產(chǎn)（如個人數(shù)據(jù)）任命資產(chǎn)所有者。該資產(chǎn)所有者負責資產(chǎn)本身及其保護。這包括：確定資產(chǎn)的分類（見5.12）；通過提供有關(guān)資產(chǎn)的商業(yè)價值及其對組織業(yè)務(wù)活動的重要性的信息來支持風險評估；確保在日常使用中對資產(chǎn)進行適當保護；以及保持安全分類和控制安排的最新狀態(tài)。有關(guān)資產(chǎn)所有者活動的更多信息，請參見ISO/IEC27002,5.9。資產(chǎn)所有者可能并不負責日常與資產(chǎn)相關(guān)的工作。在這種情況下，最好由資產(chǎn)所有者指定一個保管人，該保管人負責與資產(chǎn)相關(guān)的工作并代表資產(chǎn)所有者照管資產(chǎn)。然后，該保管人在日常業(yè)務(wù)中負責保護資產(chǎn)。重要的是要注意，所有者最終仍需承擔責任，并需要核實保管人是否正在認真履行職責。由于大多數(shù)組織擁有許多資產(chǎn)或復(fù)雜的系統(tǒng)，因此將多個資產(chǎn)組合在一起可能會有所幫助，例如，將參與特定過程或提供特定服務(wù)的所有資產(chǎn)組合在一起。然后，該過程或服務(wù)的所有者可能負責該過程或服務(wù)中涉及的所有資產(chǎn)，以及它們的正常運行和保護。重要的是要注意，一些“資產(chǎn)”可能需要由組織保留，并且可能構(gòu)成更多的負債而非資產(chǎn)。例如，需要保留的身份證明文件，以證明員工有權(quán)在該國家工作。這些資產(chǎn)不能用于為組織創(chuàng)造收入或帶來積極價值。它們應(yīng)與其他資產(chǎn)一樣對待，特別注意其使用壽命結(jié)束時，此時應(yīng)及時處置。對于每個信息和相關(guān)資產(chǎn)的實例，清單應(yīng)包含有關(guān)其業(yè)務(wù)價值和分類（另見5.12）的信息，以及其備份和災(zāi)難恢復(fù)安排。實物資產(chǎn)清單還應(yīng)包含設(shè)備的完整身份信息，包括所有者、位置、制造商、型號、通用類型（例如打印機、PC）、序列號、購置日期和庫存標簽。還需要記錄實物和虛擬處置的情況，包括何時以及如何/由誰進行處置，并且每當處置一個項目時，都應(yīng)更新資產(chǎn)清單。應(yīng)將組織庫存標簽（徽標、庫存編號）附加到清單中出現(xiàn)的所有項目上。組織應(yīng)確保所有文件（包括系統(tǒng)文件）、合同、程序和業(yè)務(wù)恢復(fù)計劃都包含在清單中；并指明所有者和具有運營責任的人員。應(yīng)以技術(shù)格式（例如，在CD上）記錄信息，同時也應(yīng)以非技術(shù)格式（例如，在紙上）記錄信息。資產(chǎn)清單中還應(yīng)列出所有軟件產(chǎn)品，包括它們的使用地點以及如何獲得參考副本（在相關(guān)情況下），以及許可信息。應(yīng)制定充分的程序來保持清單的準確性，包括將清單更新作為變更管理和項目活動的一部分。應(yīng)至少每年進行一次“庫存檢查”。審核員應(yīng)確認組織是否維護了完整且準確的資產(chǎn)清單（或相互關(guān)聯(lián)的實物資產(chǎn)和信息清單）。這應(yīng)包括所有需要保護的主要信息（無論以何種形式，包括軟件）、實物資產(chǎn)、服務(wù)和流程。評估將首先需要確定資產(chǎn)是否已得到適當?shù)淖R別和分類（另見5.12）。審核員應(yīng)評估清單的充分性。它是否足夠完整和準確？它是否包含所有必要的細節(jié)，以及何時和如何更新？是否記錄了處置情況，何時以及處置給了誰？審核員應(yīng)確認是否已為所有重要資產(chǎn)分配了所有者，并且每個所有者都了解其資產(chǎn)所有權(quán)所帶來的任務(wù)和責任。評審資產(chǎn)分類和風險評估的記錄可能有助于驗證資產(chǎn)所有者是否已適當參與了這些活動。審核員還應(yīng)檢查將日常任務(wù)或資產(chǎn)的日常使用和保護委托給保管人的程序，以及在委托的情況下，所有者如何檢查所有任務(wù)是否正確完成。由于資產(chǎn)清單只有在最新時才有用，因此審核員應(yīng)檢查更新資產(chǎn)清單的程序，以及新資產(chǎn)的引入和資產(chǎn)的處置如何反映在資產(chǎn)清單中。應(yīng)檢查項目管理和變更管理流程，以確定它們是否包含在發(fā)生影響資產(chǎn)清單的變更時更新資產(chǎn)清單的步驟。審核員應(yīng)檢查是否已分配角色負責資產(chǎn)清單及其開發(fā)和維護。他們還應(yīng)檢查如何保護清單。如果清單是基于計算機的，那么訪問控制和備份情況如何？如果是紙質(zhì)的，那么它保存在哪里，如何防止丟失，以及更換記錄時會發(fā)生什么？是否保留了舊副本？如果是，保留多久，保存在哪里？資產(chǎn)清單應(yīng)確定：項目、格式以及適用的唯一序列號、日期等；其業(yè)務(wù)價值和安全分類；可能吸引要求的任何特殊特征（例如，如果涉及個人數(shù)據(jù)）；所有者；位置；媒體（如果是信息）；許可證（軟件）；保留期限/使用壽命；有關(guān)備份和災(zāi)難恢復(fù)的信息；以及輸入和/或?qū)徍藱z查的日期。5.10信息和其他相關(guān)資產(chǎn)的可接受的使用控制

應(yīng)確定、記錄和實施處理信息和其他相關(guān)資產(chǎn)的可接受的使用規(guī)則和程序。每個組織都易受其員工和其他人員濫用資產(chǎn)的影響，即以不同于其授權(quán)業(yè)務(wù)目的的方式使用它們。這可能是無意或故意的。無論哪種情況，濫用都可能影響數(shù)據(jù)和系統(tǒng)的完整性，威脅可用性，并暴露機密信息。此外，信息處理系統(tǒng)可能被濫用來攻擊其他組織。一個典型的例子是互聯(lián)網(wǎng)。它可用于工作時間的隨意瀏覽（這可能不是授權(quán)的業(yè)務(wù)用途），或從組織的網(wǎng)絡(luò)對其他網(wǎng)絡(luò)發(fā)起攻擊——組織可能因此要承擔責任。在某些情況下，濫用計算機可能構(gòu)成刑事犯罪，例如在英國的《1990年計算機濫用法》中就有規(guī)定。許多其他國家也有類似的立法。應(yīng)檢查適用的立法細節(jié)，以便為控制選擇提供依據(jù)。為確保資產(chǎn)僅用于其預(yù)定的業(yè)務(wù)目的，組織應(yīng)識別、制定和實施描述其可接受使用的規(guī)則、程序和指南。這些規(guī)則可能因所考慮的資產(chǎn)而有很大差異。在制定可接受使用的規(guī)則時，預(yù)定的業(yè)務(wù)用途、過去的事件和資產(chǎn)所有者可提供寶貴的意見。任何不同的使用都應(yīng)被視為不當使用，所有員工都應(yīng)意識到這一點。這些程序應(yīng)與所處理信息的敏感度級別相適應(yīng)，并與所應(yīng)用的分類相一致。同樣重要的是，這些程序應(yīng)涵蓋所有敏感信息，無論其形式如何。使用資產(chǎn)的所有人都必須遵守這些規(guī)則，這不僅包括組織的員工，還包括任何承包商、第三方用戶或使用資產(chǎn)的其他人。審核師應(yīng)確認可接受使用規(guī)則是否明確描述了資產(chǎn)的預(yù)定用途以及此預(yù)定用途的限制。在信息分類被使用的情況下（見5.12），審核師應(yīng)確認，對于每個分類標簽，都有支持該分類信息的程序，例如安全處理、存儲和傳輸?shù)某绦?。組織應(yīng)實施控制措施以檢測濫用行為。懲戒程序應(yīng)處理在發(fā)現(xiàn)故意濫用（另見6.4）和非故意不合規(guī)行為時采取的行動。調(diào)查其他、外圍或相關(guān)設(shè)備（如打印機、復(fù)印機等）的使用情況。這方面的政策是什么？是否在登錄時顯示簡潔且易讀的警告信息，使用戶意識到不允許未經(jīng)授權(quán)使用信息處理設(shè)施？審核師還應(yīng)確認資產(chǎn)用戶是否了解這些規(guī)則。證據(jù)可以是，在獲得資產(chǎn)訪問權(quán)限之前，用戶已簽署這些規(guī)則。與用戶交談也很重要，以了解他們是否仍然意識到什么構(gòu)成不當使用。審核師應(yīng)評審事故報告，以確定是否存在未遵守或未按預(yù)期運作的可接受使用規(guī)則的情況。報告還應(yīng)導(dǎo)致對規(guī)則或傳播方法的更改，視情況而定。如果組織沒有制定關(guān)于資產(chǎn)可接受使用的規(guī)則，那么應(yīng)有不這樣做的正當理由，并且這應(yīng)得到風險評估結(jié)果的支持。同樣，查看事故報告以確定制定可接受使用的規(guī)則將有助于哪些領(lǐng)域可能是有幫助的。審核師應(yīng)確認已制定程序來保護敏感信息（無論其形式如何），且符合組織使用的分類方案。是否已記錄？誰負責這些信息？誰授權(quán)其發(fā)布？誰接收了這些信息，誰被授權(quán)訪問？是否應(yīng)用了清晰的標簽？是否僅在有必要知情的情況下才分發(fā)敏感信息？當信息由員工不認識的人員（如快遞員）處理時，會進行哪些額外的身份驗證？是否實施了訪問限制，如果是，實施了哪些？檢查與外部方的協(xié)議是否支持要求內(nèi)部員工遵循的分類和處理程序，并且他們是否為分類提供了適當?shù)慕忉尅＿€需要進行保密或保密協(xié)議的檢查（見6.6）。觀察組織內(nèi)人員如何處理敏感、關(guān)鍵和可識別個人身份的信息，以及規(guī)避或忽視這些程序的難易程度。5.11資產(chǎn)歸還控制

員工和其他相關(guān)方在變更或終止其聘用關(guān)系、合同或協(xié)議時，應(yīng)歸還其擁有的所有組織資產(chǎn)。組織應(yīng)制定程序，確保在員工、承包商和第三方用戶的聘用關(guān)系終止或變更時（另見6.5），他們所占有的所有資產(chǎn)都被歸還。這一點非常重要，因為它涵蓋了所有資產(chǎn)：不僅包括設(shè)備和軟件，還包括組織的所有文件以及存儲在媒體上的任何信息。根據(jù)組織、其業(yè)務(wù)以及特定的工作職能，還可能涉及其他資產(chǎn)，例如信用卡、門禁卡、手冊和移動設(shè)備等。所有可能存儲在非組織資產(chǎn)上的組織信息，如私人設(shè)備、第三方組織或承包商的設(shè)備，也應(yīng)被歸還，并從這些設(shè)備上安全地刪除。資產(chǎn)歸還應(yīng)作為合同的一部分。審核員應(yīng)評審組織的程序，以確保資產(chǎn)的歸還和知識的轉(zhuǎn)移。這些程序應(yīng)解決以下幾個問題。它們應(yīng)涵蓋所有資產(chǎn)，從硬件和設(shè)備到任何形式的信息（電子、紙質(zhì)、存儲媒體、幻燈片、膠片等），還應(yīng)包括用于訪問控制的鑰匙或卡片。它們應(yīng)涵蓋存儲在非組織設(shè)備或媒體上的任何信息的轉(zhuǎn)移，以及從設(shè)備或媒體上安全刪除這些信息。它們應(yīng)適用于員工、承包商和第三方用戶。審核員還應(yīng)檢查這些程序是否不僅適用于離職情況，還適用于職位變動且資產(chǎn)在新職位中不再需要的情況。對于每個離職或調(diào)動的員工、承包商和第三方用戶，都應(yīng)有記錄來驗證資產(chǎn)的歸還。5.12信息分類控制

應(yīng)根據(jù)組織的信息安全需求，基于機密性、完整性、可用性和相關(guān)方的要求，對信息進行分類。對保密性、完整性和可用性有不同要求的信息將需要不同的處理方式。為了簡化這一過程，通常會將具有相似保護要求的信息進行分組。將特定信息分配給特定組的過程稱為“分類”，而它所屬的組則稱為其“分類”。例如，一份醫(yī)療記錄可以被分類為“高度機密”。政府以及大型和小型組織都在使用不同的分類方案，并且相同的分類術(shù)語（例如“公司機密”）在不同的組織中可能有不同的含義——有時甚至在單個組織內(nèi)也是如此，比如當客戶要求其數(shù)據(jù)使用自己的方案進行分類時。信息分類沒有國際標準。通常不會對除信息以外的任何內(nèi)容進行分類，但可以指定另一種資產(chǎn)（例如服務(wù)器）被允許處理的信息分類。應(yīng)首先明確決定是否所有信息都必須進行主動分類，或者分類行為是可選的，以及這意味著什么（例如，除非另有說明，否則所有信息自動具有“公司內(nèi)部”分類）。分類方案應(yīng)以書面形式存在，并可供所有有權(quán)應(yīng)用它的人員使用，即所有創(chuàng)建文檔和數(shù)據(jù)的人員。它還應(yīng)可供那些需要了解將分類應(yīng)用于信息時的含義的人員使用。分類方案應(yīng)易于理解，并且能夠清晰地區(qū)分不同級別，以支持正確分配分類級別。級別過多會導(dǎo)致不一致，因為工作人員無法區(qū)分定義。級別過少，工作人員則會發(fā)現(xiàn)他們需要過度或不足地分類。應(yīng)指定每個分類的處理、存儲和處置要求，并制定相關(guān)程序。應(yīng)考慮到需要定期評審已分配的分類，并在敏感性發(fā)生變化時/如果敏感性發(fā)生變化，更改分類級別。提供更改和到期日期以記錄這些。資產(chǎn)所有者應(yīng)負責對其資產(chǎn)進行分類，確保遵守處理規(guī)則，并在適當情況下更新分類（另見5.37）。審核員應(yīng)確認組織已經(jīng)開發(fā)或選擇并實施了一個充分且一致的分類方案，該方案得到了培訓和處理規(guī)則的支持。為了適當保護資產(chǎn)，應(yīng)根據(jù)其對保密性、完整性和可用性的個別要求，對其進行某種形式的分級。分配給資產(chǎn)的分類以及相關(guān)的處理要求，應(yīng)考慮業(yè)務(wù)交換和共享信息的需求，以及資產(chǎn)的安全要求。分類方案應(yīng)應(yīng)用于信息安全管理系統(tǒng)范圍內(nèi)考慮的所有資產(chǎn)。沒有明確的分類，資產(chǎn)可能無法得到妥善保護。該方案不應(yīng)過于復(fù)雜，并且應(yīng)得到與其他組織的安排的支持，以確保理解不同分類方案之間的相互作用。程序是否考慮了如何檢查正確的分類？是否存在評審和升級或降級分類級別的程序？審核員應(yīng)確認分類和處理方案易于訪問，所有員工都理解，并且會定期對其進行評審。資產(chǎn)所有者應(yīng)負責分配其分類，應(yīng)用/監(jiān)督適當?shù)奶幚恚⒃诎l(fā)生任何變化時更新分類。5.13信息標簽控制

應(yīng)當根據(jù)組織采用的信息分類方案，制定并實施一套適當?shù)男畔撕灣绦?。所有信息資產(chǎn)都應(yīng)（視情況而定）以適合其形式的方式進行顯著標記，以確保它們可以與使用、存儲和傳輸（見5.10）中必要的處理指導(dǎo)相關(guān)聯(lián)。所有印刷和裝訂的文檔都應(yīng)包含適當?shù)姆诸悩撕灒ǔ恰拔捶诸悺痹诮M織中是一個有意義的概念；見5.12），活頁文檔應(yīng)在每一頁上都進行標記。以在線/數(shù)字形式保存的信息也應(yīng)進行分類，盡管有時對其進行標記具有挑戰(zhàn)性；標記可能發(fā)生在文檔級別，或更高級別（文件夾/目錄），甚至通過相關(guān)策略在卷級別進行（例如，“云3環(huán)境中的所有數(shù)據(jù)均被分類為官方”）。一些安全系統(tǒng)可能還包括安全標記功能。處理要求應(yīng)得到適當技術(shù)控制的支持，如用戶訪問管理（見5.15）。在任何情況下，組織都應(yīng)確保從給定位置傳輸（例如，通過電子郵件）或形式已更改（例如，打印件）的任何信息都保留其標簽。一個可能顯著影響此建議的考慮因素是，當不宜使某些信息顯得最有價值或最敏感時，因為這本質(zhì)上為攻擊者提供了購物清單。在這種情況下，只有需要了解最敏感信息的角色才應(yīng)知曉其存在，并且標記可能是隱蔽的。當然，這可能導(dǎo)致信息落入錯誤之手后無意中被誤用的風險，因此，控制此類信息的分發(fā)以及對處理此類信息的角色進行全面培訓至關(guān)重要。在解釋來自其他組織的文檔上的分類標簽時，應(yīng)謹慎行事，因為不同的組織可能對相同（或聽起來相似）的標簽有不同的定義。同樣，請確保發(fā)送到其他組織時，您的分類將得到適當?shù)淖鹬亍Ｐ畔⒃谝欢螘r間后可能不再敏感，例如，當其已被公開時。在這種情況下，請?zhí)峁┑狡谌掌?，以避免不必要的保護費用。審核師應(yīng)確認組織具有與分類方案兼容的分類信息標記程序。審核師還應(yīng)確認標記是否適當?shù)卮砹藢嶓w（例如，信息處理系統(tǒng)或數(shù)據(jù)庫）中最敏感的項目。標記物理項目（如文檔、磁帶、硬件等）很簡單，但信息系統(tǒng)中持有的信息以及電子傳輸?shù)臅拍?？審核師?yīng)確認組織為電子格式標記所選的解決方案已經(jīng)過充分性檢查。這是否清晰易懂？它是否向信息接收者傳達了正確的標簽，并隨后導(dǎo)致對該信息的足夠安全的訪問、使用或存儲？物理資產(chǎn)的標簽是否適當？標簽可能難以在顯眼的位置找到；粘膠標簽可能會脫落，導(dǎo)致物品未標記且未受保護。審核師還應(yīng)驗證當信息改變形式時（例如，打印出來時），標簽是否仍與信息一起保留。5.14信息傳遞控制

組織內(nèi)部以及組織與其他方之間所有類型的信息傳遞設(shè)施都應(yīng)當有信息傳遞的規(guī)則、程序或協(xié)議。無論以何種形式，信息的交換都存在許多泄露風險。組織應(yīng)制定信息交換政策并支持實施程序，描述交換信息時應(yīng)遵循的規(guī)則，這些規(guī)則和程序的開發(fā)應(yīng)支持預(yù)期和可能使用的方法。在制定此政策和支持程序時，應(yīng)考慮ISO/IEC27002,5.14中列出的內(nèi)容。應(yīng)向所有員工傳達此政策，并使用現(xiàn)實生活中的例子進行意識培訓，以說明所涉及的風險。所有人員還應(yīng)意識到以下可能性：信息發(fā)送到錯誤地址（物理或虛擬）而被泄露；信息在未受保護的情況下發(fā)送而被未經(jīng)授權(quán)的人員攔截；紙質(zhì)形式的信息在打印機或傳真機中無人看管時被泄露；員工在公共場所（如火車）使用手機時被竊聽；盡管撥打了正確的號碼，但錯誤的人取走了傳真或聽到了錄音電話的信息。電子郵件和其他形式的電子消息傳遞復(fù)雜且具有多個級別，攻擊者可能在這些級別上破壞正在交換的信息。因此，應(yīng)仔細選擇保護措施來保護消息免受故意或意外的丟失、損壞/篡改和暴露。內(nèi)部消息可能會無意中發(fā)送給外部方，可能會隱含合同，消息和附件可能會在超過其授權(quán)保留期的備份中保留。附加到電子消息的標準免責聲明可能有所幫助，但其作為保護的法律地位尚不清楚。與第三方的協(xié)議或合同應(yīng)明確規(guī)定組織和第三方在交換敏感信息時應(yīng)適用的控制措施。協(xié)議應(yīng)在組織內(nèi)的適當級別獲得授權(quán)并定期評審。實踐中的變更應(yīng)始終受到控制，并在必要時反映在協(xié)議中。審核員應(yīng)檢查組織是否有信息交換策略和支持程序，以及這些政策和支持程序是否解決了組織使用的不同類型的交換。審核員還應(yīng)通過評審程序或技術(shù)手段檢查是否不允許違反政策的信息交換。政策和支持程序應(yīng)涵蓋所有形式的通信設(shè)施，包括網(wǎng)絡(luò)、移動計算設(shè)備、電話和移動電話、傳真機和錄音電話。審核員應(yīng)根據(jù)ISO/IEC27002,5.14中描述的內(nèi)容評審程序。審核員應(yīng)確認員工是否了解這些程序，例如，通過詢問他們使用電子郵件、短信或消息傳遞應(yīng)用程序的情況，以了解他們是否了解所涉及的風險以及他們是否應(yīng)該以及如何使用這些服務(wù)。審核員應(yīng)：檢查哪些第三方組織參與了敏感信息的傳輸；確認存在必要的合同文件；驗證這些文件是否解決了傳輸中敏感和機密信息的正確處理問題。審核員應(yīng)檢查組織在與其供方、客戶和合作伙伴通信時所調(diào)查的控制措施，并調(diào)查組織如何處理第三方保護要求和控制措施與組織認為適當?shù)拇胧┎煌那闆r。審核員還應(yīng)驗證交換敏感信息或軟件的組織之間是否存在協(xié)議。審核員應(yīng)檢查組織對電子消息傳遞的安全安排，詢問以下問題：如何控制包含在電子消息中并附加到電子消息的信息？如何驗證傳入數(shù)據(jù)的來源和完整性？如果適用，應(yīng)用了哪些加密方法（另見8.24）？從電子消息中接收的信息在使用前是否檢查過惡意軟件？允許哪些服務(wù)用于哪種類型的數(shù)據(jù)？如果允許使用外部消息傳遞平臺，審核員應(yīng)檢查組織的安全安排。對特定消息傳遞平臺的訪問可能僅限于某些角色或用例。如果是這樣，如何監(jiān)控和執(zhí)行？5.15訪問控制控制

應(yīng)根據(jù)業(yè)務(wù)和信息安全要求建立和實施控制規(guī)則，控制對信息和其他相關(guān)資產(chǎn)的物理和邏輯訪問。訪問控制是保護信息處理系統(tǒng)上的信息或服務(wù)的基本前提，也是保護包含各種形式信息的物理場所的必要措施。組織的業(yè)務(wù)信息以及其他業(yè)務(wù)資產(chǎn)（如聲譽）均面臨風險。用戶訪問權(quán)限的分配應(yīng)由業(yè)務(wù)需求驅(qū)動，由資產(chǎn)所有者批準并定期評審，并在訪問控制策略中明確規(guī)定。對于分配給角色的活動不需要的任何訪問都應(yīng)被拒絕。這種方法稱為“最小權(quán)限”原則。組織應(yīng)制定、記錄并實施一項訪問控制策略，該策略根據(jù)業(yè)務(wù)需求定義用戶訪問權(quán)限，同時考慮所訪問的信息、服務(wù)、網(wǎng)絡(luò)和/或應(yīng)用程序的分類和處理要求（見5.12），以及任何法律或法規(guī)要求。為特定角色制定標準用戶訪問配置文件是管理眾多用戶訪問（這稱為“基于角色的訪問”）的一種有效方式。重要的是要定期評審訪問控制策略，并刪除不再必要的任何訪問權(quán)限。請注意，也應(yīng)考慮業(yè)務(wù)信息存儲庫，如日歷系統(tǒng)。良好的變更控制和管理對于保持訪問權(quán)限的更新至關(guān)重要，并且需要定期進行監(jiān)控以提供保證。審核人員應(yīng)確認訪問控制權(quán)限和規(guī)則在訪問控制策略中有明確定義，并且它們與信息的分類和處理要求一致。應(yīng)制定并實施適合此策略的執(zhí)行機制，例如系統(tǒng)和網(wǎng)絡(luò)訪問控制。對資產(chǎn)的訪問權(quán)限應(yīng)可追溯至風險評估，并由正確的資產(chǎn)所有者授權(quán)（可能通過權(quán)利分組，而非單個資產(chǎn)）。對敏感信息（另見5.12）或信息處理設(shè)施的任何訪問都應(yīng)基于“需要知道”和“需要使用”的原則，即由業(yè)務(wù)需求證明其合理性并且是完成當前任務(wù)所必需的。應(yīng)盡可能實施基于角色的訪問。訪問資源（例如應(yīng)用程序）的用戶應(yīng)僅獲得完成任務(wù)所需的信息和服務(wù)。應(yīng)詢問為什么某些角色，尤其是高級角色，可以訪問某些信息，如果這種訪問沒有足夠的理由。還應(yīng)檢查對敏感信息的訪問是否符合給定的分類，并且已經(jīng)評審了所給予的訪問權(quán)限，以確保它們符合適用的法律和法規(guī)。還應(yīng)檢查接觸敏感或機密信息的人員是否已接受適當培訓，因為未經(jīng)培訓的人員無限制地使用此類信息可能會造成災(zāi)難性的后果。審核人員還應(yīng)檢查組織是否有程序來評審現(xiàn)有的訪問控制，考慮到員工離開組織、工作職能和要求發(fā)生變化等情況。應(yīng)存在記錄以證明訪問權(quán)限已及時更新，以反映組織的當前要求。5.16身份管理控制

應(yīng)該管理身份的整個生命周期。組織應(yīng)正式且唯一地注冊每個用戶，并維護他們所訪問的每個信息系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的記錄。無法控制注冊可能會導(dǎo)致機密泄露、未經(jīng)授權(quán)的修改和/或損失。共享用戶身份幾乎肯定會喪失可追責性，因為無法明確地將行為追溯到個人。這可能會導(dǎo)致機密性、完整性和可用性的喪失。因此，對于用戶有權(quán)訪問的每個系統(tǒng)，他們都應(yīng)該有一個唯一的標識符，即身份。在那些無法擁有個人身份的情況下（例如，因為系統(tǒng)不具備所需的功能），組織應(yīng)實施一個手動流程來跟蹤在任何給定時間使用身份的人，確保在任何時候它都不能被超過一個人使用，并在身份傳遞給新的保管人時更改身份驗證憑據(jù)。審核員應(yīng)收集和檢查相關(guān)證據(jù)，以確保用戶注冊和注銷流程有效運行。這可能包括新入職者、調(diào)動者和離職者的記錄、過程文檔以及系統(tǒng)授權(quán)列表。審核員還應(yīng)檢查系統(tǒng)權(quán)限是否與記錄的授權(quán)相匹配，以及系統(tǒng)上的用戶身份是否與注冊用戶相匹配?！坝脩簟币辉~應(yīng)包括所有信息處理設(shè)施的用戶，包括系統(tǒng)管理員、經(jīng)理、應(yīng)用程序用戶、技術(shù)支持人員和程序員。創(chuàng)建和刪除用戶身份的流程應(yīng)得到記錄和記錄，員工離職的流程應(yīng)包括及時刪除用戶身份。還應(yīng)有一個定期審核活躍身份的流程，以捕捉任何可能在不再需要時意外保留的活躍身份。由于存在無意中給予過多和未經(jīng)授權(quán)的資源訪問權(quán)限的風險，因此不應(yīng)將冗余的用戶身份重新分配給其他用戶。審核員應(yīng)檢查用戶身份是唯一的還是共享的。如果是共享的，為什么這是必要的？查看風險評估以及對此的管理和授權(quán)。是否應(yīng)用了額外的控制來提供可追責性，并且這些額外的控制是否足夠？5.17認證信息控制

身份認證信息的分配和管理應(yīng)由管理流程控制，包括就身份認證信息的適當處理向員工提供建議。用戶識別與認證與訪問控制、用戶注冊和權(quán)限分配緊密相關(guān)。這通常通過密碼來實現(xiàn)，密碼仍然是用戶認證的常用機制，但并非唯一機制。秘密認證信息還包括生物識別數(shù)據(jù)和PIN碼，但不包括用戶ID或電子郵件地址（因為這些不是秘密的）。它還包括常用于允許個人進行自助密碼重置的問題的答案。暴露（寫下）的秘密認證信息或明顯且容易被猜到的密碼，可能導(dǎo)致未經(jīng)授權(quán)的人員濫用系統(tǒng)，并帶來機密性、完整性和可用性喪失的相關(guān)風險。無論使用何種過程來分配秘密認證信息，它都應(yīng)基于用戶的積極識別，并應(yīng)用正式過程強制用戶更改初始臨時密碼。用戶應(yīng)確認收到其憑證。需要制定一項程序，以確保僅向那些有業(yè)務(wù)訪問需求的人員發(fā)放用戶ID和密碼（見5.15），并且由所訪問資源的所有者進行適當授權(quán)。如果使用其他用戶認證方法，將需要類似的控制措施，但可能還需要適合所采用方法的額外控制措施。還應(yīng)讓用戶意識到，如果他們的敏感認證信息被其他人使用來執(zhí)行操作，他們可能會被追究責任。密碼管理不善會導(dǎo)致未經(jīng)授權(quán)的人員濫用系統(tǒng)的風險，進而帶來機密性、完整性和信息可用性喪失的風險。如果系統(tǒng)可以用來強制實施密碼質(zhì)量、生命周期和更改頻率，則應(yīng)使用這些系統(tǒng)。如果情況并非如此，則可能需要補償控制和監(jiān)控。使用風險評估來確定這是否有必要。ISO/IEC27002，5.17列出了良好密碼管理系統(tǒng)、密碼管理以及相關(guān)用戶責任的指導(dǎo)方針。審核員應(yīng)檢查整個組織是否有涵蓋密碼使用的政策，包括確保使用足夠安全的密碼管理系統(tǒng)。該政策應(yīng)與組織的安全要求和受保護的信息相一致。任何對特別敏感區(qū)域的要求都應(yīng)作為此政策的補充，并與其保持一致。審核員應(yīng)檢查的內(nèi)容包括：密碼的長度和內(nèi)容；密碼更改的頻率（包括最大和最小限制）；使用個人用戶ID；個人之間或同一人在不同應(yīng)用程序中使用常用密碼；密碼的安全處理和存儲；以及默認密碼的更改。ISO/IEC27002，5.17中給出了密碼管理系統(tǒng)的其他理想屬性。一些系統(tǒng)強制執(zhí)行此類規(guī)則；其他系統(tǒng)則不執(zhí)行。用于驗證敏感認證信息的技術(shù)規(guī)則是否與記錄的政策相一致？如果系統(tǒng)不自動強制執(zhí)行此類規(guī)則，請檢查還采取了哪些其他措施。審核員應(yīng)檢查秘密認證信息是如何最初分配和控制的。在某些情況下，分配可能由用戶自己完成，但并非所有情況都是如此，例如，初始密碼可能是隨機生成的。如果進行集中控制，則信息保存在哪里？是否安全？誰有權(quán)訪問？如果分配由用戶控制，他們是否了解自己的責任（另見5.2）？是否有程序來確保立即更改臨時或默認供方密碼？如果合適，請要求員工向您展示他們?nèi)绾胃钠涿舾姓J證信息。審核員需要評審記錄，以驗證用戶是否已簽署聲明，承諾對其秘密認證信息保密，并對隨機選定的用戶組進行訪談，以檢查他們是否了解并理解這一責任。應(yīng)在組織的不同層級測試這種意識。還應(yīng)記錄在提供信息時如何驗證每個用戶的身份，以及可接受的身份證明形式列表。查找記錄，以顯示用戶首次使用時已更改其初始秘密認證信息。詢問用戶當他們忘記密碼時會發(fā)生什么。如何提供新密碼？如果問題緊迫，是否有額外的密碼重置途徑？是否有后續(xù)流程來評審緊急密碼重置的使用情況（見5.29）？審核員還應(yīng)記錄任何將敏感認證信息寫在備忘錄上、貼在顯示器上等行為。詢問組織可能用于檢查用戶密碼質(zhì)量的密碼破解工具的結(jié)果也是有益的。審核員在調(diào)查敏感認證信息的使用情況時，應(yīng)確保獲得適當?shù)墓芾頇?quán)限。5.18訪問權(quán)限控制

應(yīng)根據(jù)組織關(guān)于訪問控制的特定主題策略和規(guī)則來提供、評審、修改和刪除對信息和其他相關(guān)資產(chǎn)的訪問權(quán)限。不恰當?shù)脑L問權(quán)限分配會增加故意或意外濫用的風險。因此，訪問權(quán)限應(yīng)始終基于業(yè)務(wù)需求。然而，盡管有意為之，但仍可能出錯，導(dǎo)致不恰當?shù)厥谟杌虮Ａ粼L問權(quán)限，當用戶離職或變更角色時尤其如此。因此，應(yīng)定期評審訪問需求，如果發(fā)現(xiàn)不再需要訪問權(quán)限，則應(yīng)在此時撤銷。這一點在用戶能夠訪問敏感信息或擁有更高權(quán)限的情況下尤為重要。在用戶使用共享密碼訪問資源的情況下，當其中任何一人不再需要訪問相關(guān)資源時，必須更改該密碼；個人憑據(jù)可能是一個更可取的選擇。應(yīng)準備一份用戶注冊表，描述所需的信息系統(tǒng)、網(wǎng)絡(luò)、服務(wù)或應(yīng)用程序，以及訪問條件。申請人應(yīng)簽署該表，以表明其接受這些條件，系統(tǒng)所有者或管理員也應(yīng)簽署，以表明其授權(quán)申請人進行注冊。此表應(yīng)添加用戶ID，然后存檔。重要的是，當用戶不再有任何業(yè)務(wù)理由訪問資源時，例如終止聘用或內(nèi)部崗位變動，應(yīng)及時禁用其對資源的訪問。應(yīng)制定程序以確保這一點。應(yīng)有通知程序，并明確定義員工離職或變更角色時的責任和行動。這應(yīng)考慮到物理訪問權(quán)限（即歸還門禁卡、鑰匙、身份證等；另見7.10），以及登錄組織網(wǎng)絡(luò)、用戶賬戶、密碼、電子郵件地址和任何其他形式許可訪問的權(quán)限。還將有必要評審和更新列出擁有訪問權(quán)限的個人、被分配角色的個人、與他們相關(guān)的任何訂閱以及興趣小組成員資格的文檔。應(yīng)考慮基于角色的訪問控制，因為這可能更易于管理，并降低“特殊情況”的機會；或者，如果出現(xiàn)“特殊情況”，它會使這些情況更加明顯，因此在沒有充分理由的情況下更難授權(quán)。如果管理層啟動終止聘用程序，或者這與心懷不滿的員工、承包商或第三方用戶有關(guān)，則可能需要采取特殊程序，以避免在個人意識到其聘用關(guān)系即將終止到其失去對信息和信息系統(tǒng)的訪問權(quán)限之間的這段時間內(nèi)，收集、披露、修改或銷毀信息或服務(wù)。審核員應(yīng)收集和檢查注冊和授權(quán)記錄，并檢查用戶訪問級別是否基于用戶的正式注冊和授權(quán)，并已記錄。審核員還應(yīng)檢查這些記錄與實施情況是否一致。已經(jīng)離職或轉(zhuǎn)至其他職責的工作人員是否已從相關(guān)系統(tǒng)中立即移除其授權(quán)？對已經(jīng)變更角色的員工進行訪談——他們是否保留了不再需要的之前權(quán)限？接受訪談的人員應(yīng)包括在組織內(nèi)任職時間最長的員工以及在同一職能內(nèi)獲得晉升的員工。審核員應(yīng)檢查的另一個方面是，變更角色的用戶是否及時獲得了任何必要的額外訪問權(quán)限。如果不這樣做，用戶將傾向于開始共享ID，以便能夠完成其工作。如果經(jīng)常延遲添加所需權(quán)限，這種臨時憑據(jù)共享可能是一種廣泛接受的變通方法，但尚未進行風險評估。如果共享憑據(jù)是一種授權(quán)方法，那么審核員應(yīng)驗證上次共享訪問權(quán)限的用戶不再需要訪問時（例如，因為他們已離職），憑據(jù)是否已更改。審核員應(yīng)與系統(tǒng)管理員一起查看特定組和個人的操作系統(tǒng)訪問控制設(shè)置，確保只有注冊和授權(quán)的用戶才能訪問。ISO/IEC27002，5.16提供了關(guān)于管理用戶ID的更多信息。檢查用戶是否了解其訪問權(quán)限和限制，并理解他們不應(yīng)試圖繞過訪問控制，這也是值得的。審核員應(yīng)檢查是否已制定并定期遵循評審所有類型的用戶訪問權(quán)限和特權(quán)的程序。這些程序可能是檢查合規(guī)性的正式審核，隨后是由管理層進行的評審，以檢查是否符合業(yè)務(wù)和策略要求。審核員應(yīng)檢查是否記錄了評審情況，是否將實際訪問與授權(quán)訪問進行了比較，以及系統(tǒng)授權(quán)人是否已驗證授權(quán)訪問是否適當。應(yīng)定期評審變更情況。審核員應(yīng)檢查組織是否制定了程序，以定義在終止聘用時采取的所有行動，以移除訪問權(quán)限。這些程序應(yīng)適用于任何終止情況，無論其是否涉及員工、承包商、第三方用戶或曾訪問過組織場所或資產(chǎn)的任何其他人員。應(yīng)考慮移除的所有訪問權(quán)限應(yīng)包括所有物理和邏輯訪問、對服務(wù)的訪問以及用戶或興趣小組的參與。它們應(yīng)涵蓋通知員工和其他相關(guān)方用戶離職的情況，并指示其停止與該用戶共享其不應(yīng)再訪問的信息。5.19供方關(guān)系中的信息安全控制

應(yīng)規(guī)定和實施流程和程序，以管理與使用供方產(chǎn)品或服務(wù)相關(guān)的信息安全風險。供方可以通過多種方式給組織的信息和信息處理設(shè)施帶來風險。這可能是通過物理訪問以及邏輯訪問，例如使用在線連接或與組織的資產(chǎn)進行遠程工作。也可能是由于偶然接觸到敏感材料，例如某人在辦公室給植物澆水時，桌上的文件被看到。除了上述情況，使用供方的服務(wù)可能包括向該供方提供敏感信息，或者使用供方生成的信息來做出對業(yè)務(wù)至關(guān)重要的決策。因此，即使供方無法訪問組織的系統(tǒng)，它仍然可能是一個重要的風險來源。如果組織打算使用供方的信息來輔助其決策，或者允許供方訪問敏感數(shù)據(jù)或安全環(huán)境，它需要制定一項總體政策，規(guī)定供方必須做什么和不能做什么。它還應(yīng)該有一份供方總清單。需要識別和評估與每個供方工作關(guān)系相關(guān)的風險。為了管理這一政策的實施，組織應(yīng)該為管理供方安全創(chuàng)建一個標準和程序，該程序需根據(jù)供方將接觸到的信息的安全級別，以及供方的活動和信息對組織的影響進行定制。該程序應(yīng)考慮到供方本身可能還有其他受其委托進行某些活動的第三方。審核員應(yīng)確認有一套原則、一項頂級政策和程序來處理供方安全。ISO/IEC27002，5.19包含了政策中可以包含的信息類型清單。審核員還應(yīng)檢查是否進行了風險評估，以評估與供方相關(guān)的風險。要求提供一份供方總清單。這應(yīng)該表明每個供方被授權(quán)接觸的信息的安全級別，并應(yīng)引用與該供方達成的具體協(xié)議（見5.20）。5.20在供方協(xié)議中強調(diào)信息安全控制

應(yīng)建立相關(guān)的信息安全要求，并根據(jù)供方關(guān)系的類型與每個供方達成一致。對于能夠訪問組織物理或邏輯環(huán)境的供方員工，應(yīng)適用與組織員工相同的安全級別，包括用戶ID、密碼、數(shù)據(jù)訪問控制、物理安全等。在制定規(guī)范供方訪問的協(xié)議時，需要考慮的是，組織無法直接控制供方的管理、人員控制、信息技術(shù)以及安全政策和做法。供方也可能有不同的風險承受能力和業(yè)務(wù)做法。在確定是否與另一方合作時，應(yīng)將這些差異作為盡職調(diào)查的一部分進行識別和評估。在任何信息共享或訪問之前，必須到位的關(guān)鍵文件是一份合同或協(xié)議。它應(yīng)提供關(guān)于每一方將向?qū)Ψ教峁┑脑O(shè)施、將實施的安全控制，以及哪個實體負責哪些安全控制的詳細信息。在實施適當?shù)陌踩刂浦?，不?yīng)允許供方訪問組織的信息和/或信息處理設(shè)施。ISO/IEC27002，5.20中的實施指導(dǎo)提供了一個根據(jù)風險評估結(jié)果要求實施的建議項目清單。合同或協(xié)議條款也可以規(guī)定符合ISO/IEC27001的要求，甚至規(guī)定認證，這同樣取決于具體的要求。確保雙方簽字人都經(jīng)過適當?shù)淖R別和授權(quán)。安全文檔應(yīng)包括所有相關(guān)合同或協(xié)議的副本，并可能包括描述雙方關(guān)系具體要素的若干其他文件。將安全控制、政策和程序納入可以提供給第三方的安全計劃中，可能會有所幫助。任何偏離這些要求的情況都應(yīng)得到合理的解釋并有相應(yīng)的記錄。審核員可以檢查組織為其供方進行的風險評估結(jié)果。風險可能來自對主機或服務(wù)器軟件的遠程訪問、互聯(lián)網(wǎng)連接、隔離不良的內(nèi)部網(wǎng)絡(luò)或?qū)Π踩珔^(qū)域的物理訪問。審核員還可以檢查，兩家組織之間的正式合同或服務(wù)級別協(xié)議中是否已識別和解決了與供方安排相關(guān)的所有安全要求和風險。ISO/IEC27002，5.20中的實施指導(dǎo)提供了一個應(yīng)考慮納入此類協(xié)議的問題清單。審核員可以檢查組織是否有充分的程序來確保在允許供方訪問組織的任何資產(chǎn)之前，所有安全問題都已得到解決。還有必要確保供方了解他們必須實施的所有安全安排，并理解并同意這些安排。一種方法是要求供方提供其信息安全管理體系（ISMS）認證。審核員還可以詢問組織，協(xié)議如何涵蓋供方未按照組織的期望進行操作的情況。審核員可以檢查是否已識別所有相關(guān)的責任和潛在的干擾，并已適當?shù)丶右越鉀Q。必要時修改協(xié)議的條款，以及協(xié)議終止的條款都需要到位。5.21管理ICT供應(yīng)鏈中的信息安全控制

應(yīng)規(guī)定和實施流程和程序，以管理與ICT產(chǎn)品和服務(wù)供應(yīng)鏈相關(guān)的信息安全風險。與ICT供方（例如應(yīng)用程序供方或云托管提供商）建立關(guān)系，通常意味著組織會因此暴露于由該一級供方的其他供方所帶來的風險之中。例如，某項技術(shù)的供方可能會將維護工作外包給作為特許經(jīng)營商運營的另一家公司。當需要專業(yè)建議時，特許經(jīng)營商工作人員可能會請來制造商的工作人員。制造商將擁有會計和人力資源軟件，并且可能還會使用云服務(wù)來存儲客戶數(shù)據(jù)——“供應(yīng)鏈”實際上是一個多重連接的網(wǎng)絡(luò)。這些實體中的每一個都可能犯錯或采取故意行動，從而影響組織的安全性。應(yīng)通過與組織有直接合同關(guān)系的供方簽訂的協(xié)議來管理這個供方網(wǎng)絡(luò)。ISO/IEC27001，A.5.21包含了在設(shè)計供方協(xié)議以管理這種“繼承”風險時需要考慮的一系列事項。組織還應(yīng)根據(jù)其風險水平積極調(diào)查其ICT供應(yīng)網(wǎng)絡(luò)的詳細情況，并確定任何關(guān)注程度增加的領(lǐng)域。一個關(guān)鍵領(lǐng)域是這些供方如何變更以及如何選擇它們。網(wǎng)絡(luò)中的每個實體可能會以不同的方式執(zhí)行此操作，從而產(chǎn)生可能的安全漏洞。審核員可以要求評審供方協(xié)議，并將其與ISO/IEC27001，A.5.21中的列表進行比較。是否考慮了所有相關(guān)主題？是否對所有供應(yīng)鏈進行了風險評估？是否已確定并實施了適當?shù)目刂拼胧?？如何評估其有效性？審核員可以尋找那些其活動可能間接影響信息安全的供方，例如那些與敏感廢物處理、服務(wù)器機房維護或?qū)嶒炇仪鍧嵪嚓P(guān)的供方。5.22供方服務(wù)的監(jiān)視、評審和變更管理控制

組織應(yīng)當定期監(jiān)視、評審、評估和管理供方信息安全實踐和服務(wù)提供方面的變化。一旦服務(wù)提供商開始運營，組織就需要確保所提供的服務(wù)符合合同中規(guī)定的要求。確保按照供方的規(guī)定提供安全控制、服務(wù)定義和服務(wù)交付水平（見5.19）的最重要手段之一，就是對這些控制和服務(wù)進行監(jiān)控和評審。這可能包括檢查顯而易見的問題，如所提供服務(wù)的可用性水平，或者可能涉及更為復(fù)雜的內(nèi)容，如直接或間接驗證供方環(huán)境中的技術(shù)安全控制。組織應(yīng)制定程序來監(jiān)控服務(wù)交付情況，并評審供方提供的服務(wù)報告。ISO/IEC27002，5.22提供了供方服務(wù)管理流程應(yīng)包含的一系列活動。ISO/IEC27002，5.22中列出了供方服務(wù)中可能發(fā)生的變更類型。組織應(yīng)制定程序來應(yīng)對并積極管理這些變更。這包括重新評估新/變更安排所涉及的風險，就變更進行談判，并修改供方合同或簽訂新的協(xié)議或合同。重要的是，這一過程應(yīng)遵循明確的程序，并獲得適當?shù)氖跈?quán)。在改變風險水平的情況下，應(yīng)特別小心。如果供方內(nèi)部或用于提供服務(wù)的技術(shù)發(fā)生變化，組織應(yīng)啟動對現(xiàn)有安全控制的評審，并根據(jù)需要做出更改，以將信息安全風險維持在組織可接受的水平。還應(yīng)評審其他方（如客戶）對組織提出的要求，以確保在變更后仍能滿足這些要求。另一個需要管理的問題是供方如何應(yīng)對信息安全事件。合同或協(xié)議應(yīng)規(guī)定，供方需向組織提供關(guān)于信息安全事件的通知，而組織則應(yīng)分配責任、提供足夠的資源和程序來評審這些報告，并在需要時啟動自己的事件管理流程。還應(yīng)評審事件管理報告，以驗證供方是否充分應(yīng)對了這些事件。對于可能對組織的信息或提供給組織的服務(wù)產(chǎn)生影響的任何其他問題、故障、事件等，也同樣如此。如果協(xié)議或合同允許進行審核，那么組織就可以通過這一方式來驗證供方是否按照合同或協(xié)議行事。審核員可以尋找證據(jù)表明，組織正在接收所有相關(guān)的服務(wù)提供報告、記錄和日志，并且已制定程序來評審這些材料。為了檢查這一點，審核員可以要求提供記錄或報告，以及組織評審活動所產(chǎn)生的任何記錄。這些文件還應(yīng)表明，例如ISO/IEC27002，5.22中所列的相關(guān)活動正在進行。此外，審核員可以查看組織為檢查安全控制、服務(wù)定義和服務(wù)交付水平而采取的行動記錄，以確保程序得到正確應(yīng)用。組織還應(yīng)制定程序來應(yīng)對供方不符合合同或協(xié)議規(guī)定要求的情況。組織應(yīng)制定程序來管理供方提供的服務(wù)的任何變更。審核員應(yīng)檢查這些程序是否包括重新評估風險，同時考慮到可能已經(jīng)改變的業(yè)務(wù)需求和所涉及的系統(tǒng)。審核員還應(yīng)檢查該流程是否要求在做出任何變更之前獲得管理層的批準，以及是否讓所有相關(guān)的利益相關(guān)者（例如負責法律事務(wù)的角色）都有機會評審合同或協(xié)議的變更。審核員還可以確認組織已分配監(jiān)控和評審責任，并且執(zhí)行評審的人員具備足夠的技能和時間來進行他們的評審活動。如果協(xié)議或合同允許組織對供方進行審核，審核員應(yīng)通過查看審核報告等方式來確定組織確實對供方進行了審核，并且任何審核結(jié)果都已積極傳達給供方，并得到了跟進和滿意解決。5.23使用云服務(wù)的信息安全控制

應(yīng)根據(jù)組織的信息安全要求建立獲取、使用、管理和退出云服務(wù)的流程。當組織使用云服務(wù)時，應(yīng)像對待其他第三方供應(yīng)商一樣對待云服務(wù)供應(yīng)商，同時考慮到云服務(wù)的一些特殊特性。例如，在大型云服務(wù)供應(yīng)商的情況下，信息的地理位置通常非常靈活；這在彈性方面提供了顯著的優(yōu)勢，因為單個位置的損失可能對服務(wù)的可用性影響很小。然而，信息的位置決定了適用于它的法律法規(guī)，這給任何面臨“我們的數(shù)據(jù)存放在哪里？”這一問題時得到“視情況而定”答案的組織帶來了重大挑戰(zhàn)。許多云服務(wù)供應(yīng)商在設(shè)計其服務(wù)時已經(jīng)考慮到了這一因素，以便可以對位置進行約束。更一般地說，組織應(yīng)始終確保所實施的云服務(wù)包含滿足其要求的精確標準，因為加密、數(shù)據(jù)位置約束和支持團隊位置約束等功能通常會產(chǎn)生額外的成本。ISO/IEC27002，5.23提供了應(yīng)包含的標準類型列表。云服務(wù)在第三方提供的信息安全與客戶預(yù)期將提供的信息安全方面經(jīng)常存在高度差異；對于所有當事方（尤其是當這是一個涉及三個或四個實體的關(guān)系時）而言，明確界定一套責任和管轄范圍至關(guān)重要。還有一個常見的假設(shè)，即云服務(wù)供應(yīng)商將是永恒的解決方案，但如果組織想要更換供應(yīng)商，或者云服務(wù)供應(yīng)商意外地停止運營，又該如何？在與云服務(wù)供應(yīng)商合作時，退出策略與合作策略同樣重要。在許多情況下，審核人員在評審云服務(wù)時應(yīng)預(yù)期組織不得不接受標準供應(yīng)商安全控制，從而導(dǎo)致風險狀況與其風險承受能力不匹配。他們應(yīng)核實組織內(nèi)正確的管理層級是否已理解并接受了超出容忍度的任何風險。ISO/IEC27002，5.23中的標準和考慮事項清單列出了審核人員在云服務(wù)供應(yīng)商協(xié)議中應(yīng)尋找的主要領(lǐng)域。重要的是要注意，除了這些協(xié)議可能具有通用性之外，它們還可能復(fù)雜且冗長，審核人員應(yīng)在適當情況下尋求相關(guān)法律專家的協(xié)助。關(guān)于確定組織與云服務(wù)供應(yīng)商之間的接觸程度，審核人員應(yīng)尋找服務(wù)評審會議的記錄和績效評價。如果這些不存在（例如，當小型客戶從全球云服務(wù)供應(yīng)商那里消費標準服務(wù)時），則應(yīng)有一個儀表板或標準報告流程，通過該流程與組織共享自動化的服務(wù)性能數(shù)據(jù)。在所有情況下，都應(yīng)主動提供事件通知，組織不應(yīng)需要訪問門戶才能發(fā)現(xiàn)已發(fā)生事件。如果已發(fā)生事件，應(yīng)有云服務(wù)供應(yīng)商提供的建議和指導(dǎo)的記錄，以及組織已接收、評審并依據(jù)這些建議采取行動的證據(jù)。5.24信息安全事件管理的策劃與準備控制

組織應(yīng)通過規(guī)定、建立和溝通信息安全事件管理流程、角色和職責，以策劃和準備好管理信息安全事件。信息安全事件可能導(dǎo)致機密性泄露、設(shè)備和數(shù)據(jù)完整性失效以及可用性喪失。這些事件提供了寶貴的機會，以改進程序和流程，防止事件再次發(fā)生，或者確保當它們再次發(fā)生時，造成的影響處于可接受的水平。示例包括火災(zāi)或洪水、電力故障、硬件故障、軟件故障、病毒感染、對受控場所或計算機系統(tǒng)的未經(jīng)授權(quán)訪問（實際或嘗試）。還包括數(shù)據(jù)損壞或丟失、郵件誤投以及任何安全控制的失效。組織應(yīng)制定程序，以確保對報告的信息安全事件和弱點做出有序和有效的反應(yīng)。這些程序應(yīng)確保所有報告的事件都得到評審和適當?shù)恼{(diào)查，觸發(fā)恢復(fù)程序，并讓適當級別的人員參與評審。ISO/IEC27002,5.24提供了一系列措施，用于妥善管理信息安全事件。審核員應(yīng)檢查信息安全事件管理程序是否到位，以及它們是否與可能的報告場景兼容，例如ISO/IEC27002,6.8中所述。他們還應(yīng)檢查所有報告的信息安全事件和弱點是否得到了適當?shù)姆磻?yīng)。ISO/IEC27002,5.24描述了應(yīng)制定的程序，用于處理和恢復(fù)系統(tǒng)故障、錯誤、安全漏洞等，包括應(yīng)急安排和審核活動。5.25信息安全事態(tài)的評估和決策控制

組織應(yīng)評估信息安全事態(tài)，并決定是否將其歸類為信息安全事件。每個報告的事件都應(yīng)由接收報告的信息安全聯(lián)系人進行評審，以確定其影響程度。這應(yīng)用于判斷該事件是否應(yīng)歸類為信息安全事件，并將此決定及支持理由記錄在事件報告系統(tǒng)中。聯(lián)系人可能不是分類的最終裁定者。如果組織有一個負責處理信息安全事件的團隊，該團隊應(yīng)確認初步的分類。這是信息安全事件管理的初步分流階段，它確保事件響應(yīng)團隊的努力集中在正確的事件上，并且嚴重事件能夠得到及時處理。為確保決策的一致性，組織應(yīng)定義事件類別（如：重大事件、輕微事件等），并提供相應(yīng)的支持性指導(dǎo)。應(yīng)定期評審這些類別的清晰度、相關(guān)性和實用性，并根據(jù)需要進行更新。負責分流的人員應(yīng)基于組織的法律和合同要求，即通知客戶/其他實體有關(guān)違規(guī)行為的要求，對組織及時分流的需求有清晰的理解。審核員應(yīng)要求提供事件記錄和時間線文檔，并檢查是否有一個明確的判斷點來確定一個事件是否應(yīng)歸類為事件。他們應(yīng)詢問這是如何確定的，并核實是否存在一個一致、可重復(fù)的過程。解釋如何分類事件的指導(dǎo)文件應(yīng)可供所有聯(lián)系人隨時查閱，并且所有員工都應(yīng)可獲得一份聯(lián)系人名單。審核員應(yīng)訪談聯(lián)系人，以核實他們是否了解事件分類和報告流程。如果指導(dǎo)發(fā)生變化，還應(yīng)有一個通知聯(lián)系人的流程。應(yīng)有與組織聲明的通知時限相一致的目標。5.26應(yīng)對信息安全事件控制

應(yīng)根據(jù)記錄的程序應(yīng)對信息安全事件。信息安全事件的響應(yīng)應(yīng)符合管理要求，并按照相關(guān)文檔執(zhí)行（見5.24）。ISO/IEC27002的5.26部分列出了一系列應(yīng)執(zhí)行的動作，以妥善管理信息安全事件。組織應(yīng)指定一個（或多個）聯(lián)系人，以確保使用清晰的報告渠道。關(guān)于事件響應(yīng)的一個特別重要的考慮是，組織必須盡早決定是否需要收集證據(jù)（見5.28）。這將影響整個事件響應(yīng)過程。審核員應(yīng)確認相關(guān)活動，如ISO/IEC27002的5.26部分所述，是否在程序中得到了妥善記錄。程序應(yīng)明確所有職責。事件記錄應(yīng)證明已實施了適當?shù)墓芾砜刂?，審核員應(yīng)確認所有信息安全事件及其后續(xù)活動都得到了妥善記錄。5.27從信息安全事件中吸取教訓控制

從信息安全事件中獲得的知識應(yīng)用于加強和改進信息安全控制。除了發(fā)現(xiàn)和采取行動解決信息安全事件外，組織（以及組織內(nèi)的相關(guān)角色）從這些事件中學習以避免未來再次發(fā)生也是非常重要的，或者如果它們不能（或不應(yīng)該）被避免，則確?？梢愿行У靥幚硭鼈儭＿@也是ISMS績效評價和改進方面的一部分（見ISO/IEC27001的第9章和第10章），因為對事件的評估有助于確定哪些控制措施沒有按預(yù)期工作，以及哪些地方需要改進。從信息安全事件中學習將提供有關(guān)需要采取的行動以增強安全性的有用信息，并且應(yīng)該在培訓和宣傳計劃中審慎地使用適當匿名的案例研究。審核員應(yīng)評審組織過去如何應(yīng)對信息安全事件、軟件和系統(tǒng)弱點的例子，并驗證是否存在一致的方法，以確保從事件中吸取教訓并及時應(yīng)用。從事件中學習的過程應(yīng)包括實施額外的控制措施或程序，以避免再次發(fā)生，限制損害，收集證據(jù)，或允許在未來做出更快、更高效的反應(yīng)。例如，應(yīng)在培訓和宣傳計劃中使用匿名的信息安全事件作為現(xiàn)實生活中的例子。如果似乎發(fā)生的信息安全事件數(shù)量不足，或者沒有可用的信息或證據(jù)可供學習，審核員應(yīng)檢查信息安全事件和弱點的報告程序是否正在正確使用，并且是否旨在支持改進工作。5.28收集證據(jù)控制

組織應(yīng)建立并實施識別、收集、獲取和保存信息安全事態(tài)相關(guān)證據(jù)的程序。對于可能導(dǎo)致正式法律程序的任何信息安全事件，組織確保收集可采納和完整的證據(jù)是非常重要的。組織應(yīng)制定關(guān)于證據(jù)收集的指南和程序，以確保證據(jù)的適當可采納性和完整性。當為法律目的收集證據(jù)時，應(yīng)管理和存儲證據(jù)以維持監(jiān)管鏈，并保證未經(jīng)授權(quán)，任何人不得修改或銷毀證據(jù)。組織還應(yīng)確保證據(jù)能夠及時提供，并且以法庭所需的形式提供。ISO/IEC27002的5.28部分描述了編寫證據(jù)收集程序時應(yīng)考慮的因素。如果組織正在進行任何調(diào)查或取證工作，那么應(yīng)僅使用以后可能需要的任何證據(jù)的取證可靠副本來進行，以確?？梢宰C明證據(jù)未被更改或篡改。收集證據(jù)對于在法律程序和可能因信息安全事件（如違反民法或