信息技術(shù) 安全技術(shù) 信息安全管理體系 要求

信息技術(shù)安全技術(shù)信息安全管理體系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements 2規(guī)范性引用文件 因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需要實(shí)施ISMS，是本標(biāo)0.2過程方法本標(biāo)準(zhǔn)采用一種過程方法來建立、實(shí)施、運(yùn)行、監(jiān)視、活動(dòng)，可以視為一個(gè)過程。通常，一個(gè)過程的輸出可直本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵(lì)其用戶強(qiáng)調(diào)以下b)從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，以管理本標(biāo)準(zhǔn)采用了“規(guī)劃（Plan）-實(shí)施（可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估的原則例2：如果發(fā)生了嚴(yán)重的事故——可能是組織的電子商務(wù)網(wǎng)站被黑客入侵工按照適當(dāng)?shù)某绦?，將事件的影響降至最小。這可Act實(shí)施（實(shí)施和運(yùn)行ISMS）檢查（監(jiān)視和評(píng)審ISMS）處置（保持和改進(jìn)ISMS）本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施注1：本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的核信息安全事件informationsecuri信息安全事故informationsecurity信息安全管理體系（ISMS）informationsecuritymanagement注：在本標(biāo)準(zhǔn)中，術(shù)語“控制措施”被用作2適用性聲明statementofapplicab描述與組織的信息安全管理體系相關(guān)的和適用的控制目注：控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對(duì)于2)考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；3)在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS；注：就本標(biāo)準(zhǔn)的目的而言，ISMS方針被認(rèn)為是信息安全方針的一2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的4)識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。4)確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在4.2.1c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處2術(shù)語“責(zé)任人”標(biāo)識(shí)了已經(jīng)獲得管理者的批準(zhǔn)，負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個(gè)人或?qū)嶓w“責(zé)任人”不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán)。34)將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等。應(yīng)選擇和實(shí)施控制目標(biāo)和控制措施以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中所識(shí)注：附錄A包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A作為注：適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說明提供交叉檢查，以b)實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排注：測(cè)量控制措施的有效性可使管理者和員工確定控制措施達(dá)到計(jì)劃的控制h)實(shí)施能夠迅速檢測(cè)安全事件和響應(yīng)安全事故的程序和其他控制措施（見4.2.3）a。43)使管理者確定分配給人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行；4)通過使用指標(biāo)，幫助檢測(cè)安全事件并預(yù)防安全事故；6)外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。注：內(nèi)部審核，有時(shí)稱為第一方審核，是用于內(nèi)部目的h)本標(biāo)準(zhǔn)所要求的記錄（見4.3.35注2：不同組織的ISMS文件的詳略程度取決?組織的規(guī)模和活動(dòng)的類型；注3：文件和記錄可以采用任何形式或類型f)確保文件對(duì)需要的人員可用，并依照文件適的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。例如：記錄包括訪客登記薄、審核報(bào)告和已完成的d)向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方g)確保ISMS內(nèi)部審核的執(zhí)行（見第a)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS；6組織應(yīng)通過以下方式，確保所有分配有ISMS職責(zé)組織也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到ISMS目標(biāo)策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)有效性。評(píng)審應(yīng)包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。評(píng)審的7），e)記錄所采取措施的結(jié)果（見4.3.3d)記錄所采取措施的結(jié)果（見4.3.3組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn)，并識(shí)別針對(duì)重大變化的風(fēng)8中的清單并不完備，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和A.5.1信息安全方針控制措施信息安全方針控制措施A.6信息安全組織信息安全的管控制措施控制措施信息安全活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的信息安全職責(zé)控制措施信息處理設(shè)施控制措施控制措施應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的與政府部門的控制措施與特定權(quán)益團(tuán)控制措施信息安全的獨(dú)控制措施A.6.2外部各方與外部各方相控制措施處理與顧客有控制措施應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的處理第三方協(xié)議中的安全問題控制措施A.7.1對(duì)資產(chǎn)負(fù)責(zé)控制措施控制措施用控制措施控制措施控制措施應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組A.8人力資源安全A.8.1任用4之前目標(biāo)：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降低控制措施控制措施3解釋：術(shù)語“責(zé)任人”是被認(rèn)可，具有控制生產(chǎn)、任用條款和條件控制措施A.8.2任用中目標(biāo)：確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，以減少人控制措施控制措施其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針策控制措施對(duì)于安全違規(guī)的雇員，應(yīng)有一個(gè)正式的紀(jì)律A.8.3任用的終止或變化控制措施任用終止或任用變化的職責(zé)應(yīng)清晰的定義和控制措施控制措施A.9物理和環(huán)境安全控制措施控制措施護(hù)控制措施外部和環(huán)境威控制措施作控制措施控制措施控制，如果可能，要與信息處理設(shè)施隔離，以避免未設(shè)備安置和保護(hù)控制措施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和控制措施組織場所外的控制措施設(shè)備的安全處控制措施控制措施A.10通信和操作管理A.10.1操作程序和職責(zé)控制措施控制措施控制措施控制措施A.10.2第三方服務(wù)交付管理控制措施第三方服務(wù)的控制措施第三方服務(wù)的控制措施A.10.3系統(tǒng)規(guī)劃和驗(yàn)收控制措施控制措施A.10.4防范惡意和移動(dòng)代碼控制措施控制措施控制措施控制措施網(wǎng)絡(luò)服務(wù)的安全控制措施A.10.7介質(zhì)處置控制措施控制措施控制措施控制措施A.10.8信息的交換控制措施控制措施控制措施包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)控制措施控制措施控制措施包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護(hù)，以防止欺詐活控制措施控制措施在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修A.10.10監(jiān)視控制措施用控制措施應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的護(hù)控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪控制措施控制措施控制措施一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施應(yīng)考慮自動(dòng)設(shè)備標(biāo)識(shí)，將其作為鑒別特定位置和設(shè)備連控制措施控制措施控制措施控制措施控制措施別控制措施所有用戶應(yīng)有唯一的、專供其個(gè)人使用的識(shí)別碼（用戶ID應(yīng)選擇控制措施控制措施可能超越系統(tǒng)和應(yīng)用程序控制的實(shí)用工具的控制措施定控制措施控制措施用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問控制措施移動(dòng)計(jì)算和通信控制措施控制措施A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)A.12.1信息系統(tǒng)的安全要求安全要求分析控制措施A.12.2應(yīng)用中的正確處理證控制措施制控制措施控制措施證控制措施A.12.3密碼控制控制措施控制措施A.12.4系統(tǒng)文件的安全制控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施A.12.6技術(shù)脆弱性管理控制措施A.13信息安全事故管理A.13.1報(bào)告信息安全事件和弱點(diǎn)控制措施信息安全事件應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬刂拼胧〢.13.2信息安全事故和改進(jìn)的管理控制措施控制措施應(yīng)有一套機(jī)制量化和監(jiān)視信息安全事故的類型控制措施當(dāng)一個(gè)信息安全事故涉及到訴訟（民事的或刑A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面目標(biāo)：防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并確保它們控制措施控制措施控制措施控制措施控制措施A.15.1符合法律要求別控制措施控制措施錄控制措施控制措施控制措施控制措施A.15.2符合安全策略和標(biāo)準(zhǔn)，以及技術(shù)符合性控制措施查控制措施A.15.3信息系統(tǒng)審計(jì)考慮控制措施控制措施在OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南中給出的原則適用于治理信息系統(tǒng)和網(wǎng)本標(biāo)準(zhǔn)提供信息安全管理體系框架，通過使用PDCA模型以及4、5、6和8所述的過程，來實(shí)現(xiàn)的某0.2過程方法0.2過程方法2規(guī)范性引用文件2規(guī)范性引用文件2規(guī)范性引用文件4信息安全管理體系4.3.2文件控制4.3.3