深圳ISO27001:2013認(rèn)證控制目標(biāo)和控制措施
發(fā)布時間:2025-06-09 點擊:56
深圳ISO27001:2013認(rèn)證控制目標(biāo)和控制措施
A.5信息安全方針
A.5.1信息安全管理指引
目標(biāo):提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。
A.5.1.1 信息安全方針 應(yīng)定義信息安全方針,信息安全方針文件應(yīng)經(jīng)過管理
層批準(zhǔn),并向所有員工和相關(guān)方發(fā)布和溝通。
A.5.1.2 信息安全方針的評審 應(yīng)定期或在發(fā)生重大的變化時評審方針文件,確
保方針的持續(xù)性、穩(wěn)定性、充分性和有效性。
A.6信息安全組織
A.6.1內(nèi)部組織
目標(biāo):建立信息安全管理框架,在組織內(nèi)部啟動和控制信息安全實施。
A.6.1.1 信息安全的角色和職責(zé) 應(yīng)定義和分配所有信息安全職責(zé)。
A.6.1.2 職責(zé)分離 有沖突的職責(zé)和責(zé)任范圍應(yīng)分離,以減少對組織資產(chǎn)未
經(jīng)授權(quán)訪問、無意修改或誤用的機(jī)會。
A.6.1.3 與監(jiān)管機(jī)構(gòu)的聯(lián)系 應(yīng)與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)聯(lián)系。
A.6.1.4 與特殊利益團(tuán)體的聯(lián)系 與特殊利益團(tuán)體、其他專業(yè)安全協(xié)會或行業(yè)
協(xié)會應(yīng)保持適當(dāng)聯(lián)系。
A.6.1.5 項目管理中的信息安全 實施任何項目時應(yīng)考慮信息安全相關(guān)要求。
A.6.2移動設(shè)備和遠(yuǎn)程辦公
目標(biāo):應(yīng)確保遠(yuǎn)程辦公和使用移動設(shè)備的安全性。
A.6.2.1 移動設(shè)備策略 應(yīng)采取安全策略和配套的安全措施控制使用移動設(shè)備
帶來的風(fēng)險。
A.6.2.2 遠(yuǎn)程辦公 應(yīng)實施安全策略和配套的安全措施以保障遠(yuǎn)程辦公時信
息的訪問、處理和存儲的安全。
A.7人力資源安全
A.7.1任用前
目標(biāo):確保員工、合同方人員理解他們的職責(zé)并適合他們所承擔(dān)的角色。
A.7.1.1 人員篩選 根據(jù)相關(guān)法律、法規(guī)、道德規(guī)范,對員工、合同
人員及承包商人員進(jìn)行背景調(diào)查,調(diào)查應(yīng)符合業(yè)務(wù)需求、訪問的信息類別及已知
風(fēng)險。
A.7.1.2 任用條款和條件 與員工和承包商的合同協(xié)議應(yīng)當(dāng)規(guī)定他們對組
織的信息安全責(zé)任。
A.7.2任用中
目標(biāo):確保員工和合同方了解并履行他們的信息安全責(zé)任。
A.7.2.1 管理職責(zé) 管理層應(yīng)要求員工、合同方符合組織建立的信息安全策
略和程序。
A.7.2.2 信息安全意識、教育與培訓(xùn) 組織內(nèi)所有員工、相關(guān)合同人員及合同
方人員應(yīng)接受適當(dāng)?shù)囊庾R培訓(xùn),并定期更新與他們工作相關(guān)的組織策略及程序。
A.7.2.3 紀(jì)律處理過程 應(yīng)建立并傳達(dá)正式的懲戒程序,據(jù)此對違反安全策略
的員工進(jìn)行懲戒。
A.7.3任用終止和變更
A.7.3.1 任用終止或變更的責(zé)任 應(yīng)定義信息安全責(zé)任和義務(wù)在雇用終止或變
更后仍然有效,并向員工和合同方傳達(dá)并執(zhí)行。
A.8資產(chǎn)管理
A.8.1資產(chǎn)的責(zé)任
目標(biāo):確定組織資產(chǎn),并確定適當(dāng)?shù)谋Wo(hù)責(zé)任。
A.8.1.1 資產(chǎn)清單 應(yīng)制定和維護(hù)信息資產(chǎn)和信息處理設(shè)施相關(guān)資產(chǎn)的資產(chǎn)
清單。
A.8.1.2 資產(chǎn)責(zé)任人 資產(chǎn)清單中的資產(chǎn)應(yīng)指定資產(chǎn)責(zé)任人(OWNER)。
A.8.1.3 資產(chǎn)的合理使用 應(yīng)識別信息和信息處理設(shè)施相關(guān)資產(chǎn)的合理使用準(zhǔn)則
,形成文件并實施。
A.8.1.4 資產(chǎn)的歸還 在勞動合同或協(xié)議終止后,所有員工和外部方人員應(yīng)退還
所有他們使用的組織資產(chǎn)。
A.8.2信息分類
目標(biāo):確保信息資產(chǎn)是按照其對組織的重要性受到適當(dāng)級別的保護(hù)。
A.8.2.1 信息分類 應(yīng)根據(jù)法規(guī)、價值、重要性和敏感性對信息進(jìn)行分類,
保護(hù)信息免受未授權(quán)泄露或篡改。
A.8.2.2 信息標(biāo)識 應(yīng)制定和實施合適的信息標(biāo)識程序,并與組織的信息分類
方案相匹配。
A.8.2.3 資產(chǎn)處理 應(yīng)根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程
序
A.8.3介質(zhì)處理
目標(biāo):防止存儲在介質(zhì)上的信息被未授權(quán)泄露、修改、刪除或破壞。
A.8.3.1 可移動介質(zhì)管理 應(yīng)實施移動介質(zhì)的管理程序,并與組織的分類方案相
匹配。
A.8.3.2 介質(zhì)處置 當(dāng)介質(zhì)不再需要時,應(yīng)按照正式程序進(jìn)行可靠的、安全
的處置。
A.8.3.3 物理介質(zhì)傳輸 含有信息的介質(zhì)應(yīng)加以保護(hù),防止未經(jīng)授權(quán)的訪問、
濫用或在運輸過程中的損壞。
A.9訪問控制
A.9.1訪問控制的業(yè)務(wù)需求
目標(biāo):限制對信息和信息處理設(shè)施的訪問。
A.9.1.1 訪問控制策略 應(yīng)建立文件化的訪問控制策略,并根據(jù)業(yè)務(wù)和安全要
求對策略進(jìn)行評審。
A.9.1.2 對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問 應(yīng)只允許用戶訪問被明確授權(quán)使用的網(wǎng)絡(luò)和
網(wǎng)絡(luò)服務(wù)。
A.9.2用戶訪問管理
目標(biāo):確保已授權(quán)用戶的訪問,預(yù)防對系統(tǒng)和服務(wù)的非授權(quán)訪問。
9.2.1 用戶注冊和注銷 應(yīng)實施正式的用戶注冊和注銷程序來分配訪問權(quán)限。
9.2.2 用戶訪問權(quán)限提供 無論什么類型的用戶,在對其授予或撤銷對所有
系統(tǒng)和服務(wù)的權(quán)限時,都應(yīng)實施一個正式的用戶訪問配置程序。
9.2.3 特權(quán)管理 應(yīng)限制及控制特權(quán)的分配及使用。
9.2.4 用戶認(rèn)證信息的安全管理 用戶鑒別信息的權(quán)限分配應(yīng)通過一個正式的
管理過程進(jìn)行安全控制。
9.2.5 用戶訪問權(quán)限的評審 資產(chǎn)所有者應(yīng)定期審查用戶訪問權(quán)限。
9.2.6 撤銷或調(diào)整訪問權(quán)限 在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終
止和調(diào)整后,應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限。
9.3用戶責(zé)任
標(biāo):用戶應(yīng)保護(hù)他們的認(rèn)證信息。
9.3.1 認(rèn)證信息的使用 應(yīng)要求用戶遵循組織的做法使用其認(rèn)證信息。
9.4系統(tǒng)和應(yīng)用訪問控制
標(biāo):防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。
9.4.1 信息訪問限制 應(yīng)基于訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪
問。
9.4.2 安全登錄程序 在需要進(jìn)行訪問控制時,應(yīng)通過安全的登錄程序,控
制對系統(tǒng)和應(yīng)用的訪問。
9.4.3 密碼管理系統(tǒng) 應(yīng)使用交互式口令管理系統(tǒng),確保口令質(zhì)量。
9.4.4 特權(quán)程序的使用 對于可以覆蓋系統(tǒng)和應(yīng)用權(quán)限控制的工具程序的使用
,應(yīng)限制和嚴(yán)格控制。
9.4.5 對程序源碼的訪問控制 對程序源代碼的訪問應(yīng)進(jìn)行限制。
A.10密碼學(xué)
A.10.1密碼控制
目標(biāo):確保適當(dāng)和有效地使用密碼來保護(hù)信息的機(jī)密性、真實性和/或完整
性。
A.10.1.1 使用加密控制的策略 應(yīng)開發(fā)和實施加密控制措施的策略以保護(hù)信
息。
A.10.1.2 密鑰管理 對加密密鑰的使用、保護(hù)和有效期管理,應(yīng)開發(fā)和
實施一個貫穿密鑰全生命周期的策略。
A.11物理和環(huán)境安全
A.11.1安全區(qū)域
目標(biāo):防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾
。
A.11.1.1 物理安全邊界 應(yīng)定義安全邊界,用來保護(hù)包含敏感或關(guān)鍵信
息和信
A.11.1.2 物理進(jìn)入控制 安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)入控制保護(hù),以確保只
有授權(quán)
A.11.1.3 辦公室、房間及設(shè)施和安全 應(yīng)設(shè)計和實施保護(hù)辦公室、房間及
所及設(shè)備的物理安全。
A.11.1.4 防范外部和環(huán)境威脅 應(yīng)設(shè)計和應(yīng)用物理保護(hù)措施以應(yīng)對自然災(zāi)害
、惡意攻擊或意外。
A.11.1.5 在安全區(qū)域工作 應(yīng)設(shè)計和應(yīng)用在安全區(qū)域工作的程序。
A.11.1.6 送貨和裝卸區(qū) 訪問區(qū)域如裝卸區(qū)域,及其他未經(jīng)授權(quán)人員可
能進(jìn)入的地點應(yīng)加以控制,如果可能的話,信息處理設(shè)施應(yīng)隔離以防止未授權(quán)的
訪問。
A.11.2設(shè)備安全
目標(biāo):防止資產(chǎn)的遺失、損壞、偷竊或損失和組織業(yè)務(wù)中斷。
A.11.2.1 設(shè)備安置及保護(hù) 應(yīng)妥善安置及保護(hù)設(shè)備,以減少來自環(huán)境的威脅
與危害,并減少未授權(quán)訪問的機(jī)會。
A.11.2.2 支持設(shè)施 應(yīng)保護(hù)設(shè)備免于電力中斷及其它因支持設(shè)施失效導(dǎo)
致的中斷。
A.11.2.3 線纜安全 應(yīng)保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的電力及通訊電纜
,免遭中斷或破壞。
A.11.2.4 設(shè)備維護(hù) 應(yīng)正確維護(hù)設(shè)備,以確保其持續(xù)的可用性及完整性
。
A.11.2.5 資產(chǎn)轉(zhuǎn)移 未經(jīng)授權(quán),不得將設(shè)備、信息及軟件帶離。
A.11.2.6 場外設(shè)備和資產(chǎn)安全 應(yīng)對場外資產(chǎn)進(jìn)行安全防護(hù),考慮在組織邊
界之外工作的不同風(fēng)險。
A.11.2.7 設(shè)備報廢或重用 含有存儲介質(zhì)的所有設(shè)備在報廢或重用前,應(yīng)進(jìn)
行檢查,確保任何敏感數(shù)據(jù)和授權(quán)軟件被刪除或被安全重寫。
A.11.2.8 無人值守的設(shè)備 用戶應(yīng)確保無人值守的設(shè)備有適當(dāng)?shù)谋Wo(hù)。
A.11.2.9 桌面清空及清屏策略 應(yīng)采用清除桌面紙質(zhì)和可移動存儲介質(zhì)的策
略,以及清除信息處理設(shè)施屏幕的策略。
A.12操作安全
A.12.1操作程序及職責(zé)
目標(biāo):確保信息處理設(shè)施正確和安全的操作。
A.12.1.1 文件化的操作程序 應(yīng)編制文件化的操作程序,并確保所有需
要的用戶可以獲得。
A.12.1.2 變更管理 應(yīng)控制組織、業(yè)務(wù)流程、信息處理設(shè)施和影響信息
安全的系統(tǒng)的變更
A.12.1.3 容量管理 應(yīng)監(jiān)控、調(diào)整資源的使用,并反映將來容量的需求
以確保系統(tǒng)性能
A.12.1.4 開發(fā)、測試與運行環(huán)境的分離 應(yīng)分離開發(fā)、測試和運行環(huán)
境,以降低未授權(quán)訪問或?qū)Σ僮鳝h(huán)境變更的風(fēng)險。
A.12.2防范惡意軟件
目標(biāo):確保對信息和信息處理設(shè)施的保護(hù),防止惡意軟件。
A.12.2.1 控制惡意軟件 應(yīng)實施檢測、預(yù)防和恢復(fù)措施以應(yīng)對惡意軟件
,結(jié)合適當(dāng)?shù)挠脩粢庾R程序。
A.12.3備份
目標(biāo):防止數(shù)據(jù)丟失
A.12.3.1 信息備份 根據(jù)既定的備份策略備份信息,軟件及系統(tǒng)鏡像,
并定期測試。
A.12.4日志記錄和監(jiān)控
目標(biāo):記錄事件和生成的證據(jù)
A.12.4.1 事件日志 應(yīng)產(chǎn)生記錄用戶活動、意外和信息安全事件的日志
,保留日志并定期評審。
A.12.4.2 日志信息保護(hù) 應(yīng)保護(hù)日志設(shè)施和日志信息免受篡改和未授權(quán)
訪問。
A.12.4.3 管理員和操作者日志 應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作者的活動,進(jìn)
行日志保護(hù)及定期評審。
A.12.4.4 時鐘同步 在組織內(nèi)或安全域內(nèi)的所有相關(guān)信息處理系統(tǒng)的時
鐘應(yīng)按照一個單一的參考時間源保持同步。
A.12.5操作軟件控制
目標(biāo):確保系統(tǒng)的完整性。
A.12.5.1 運營系統(tǒng)的軟件安裝 應(yīng)建立程序?qū)\營中的系統(tǒng)的軟件安裝進(jìn)行
控制。
A.12.6技術(shù)漏洞管理
目標(biāo):防止技術(shù)漏洞被利用
A.12.6.1 管理技術(shù)漏洞 應(yīng)及時獲得組織所使用的信息系統(tǒng)的技術(shù)漏洞
的信息,對漏洞進(jìn)行評估,并采取適當(dāng)?shù)拇胧┤ソ鉀Q相關(guān)風(fēng)險。
A.12.6.2 軟件安裝限制 應(yīng)建立并實施用戶軟件安裝規(guī)則。
A.12.7信息系統(tǒng)審計的考慮因素
目標(biāo):最小審計活動對系統(tǒng)運行影響。
A.12.7.1 信息系統(tǒng)審核控制 應(yīng)謹(jǐn)慎策劃對系統(tǒng)運行驗證所涉及的審核
要求和活動并獲得許可,以最小化中斷業(yè)務(wù)過程。
A.13通信安全
A.13.1網(wǎng)絡(luò)安全管理
目標(biāo):確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。
A.13.1.1 網(wǎng)絡(luò)控制 應(yīng)對網(wǎng)絡(luò)進(jìn)行管理和控制,以保護(hù)系統(tǒng)和應(yīng)用程序
的信息。
A.13.1.2 網(wǎng)絡(luò)服務(wù)安全 應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級和
管理要求,并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中,無論這種服務(wù)是由內(nèi)部提供的還是外包的
。
A.13.1.3 網(wǎng)絡(luò)隔離 應(yīng)在網(wǎng)絡(luò)中按組(GROUP)隔離信息服務(wù)、用戶和
信息系統(tǒng)。
A.13.2信息傳輸
目標(biāo):應(yīng)確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?br>A.13.2.1 信息傳輸策略和程序 應(yīng)建立正式的傳輸策略、程序和控制,以保
護(hù)通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒌陌踩?
A.13.2.2 信息傳輸協(xié)議 建立組織和外部各方之間的業(yè)務(wù)信息的安全傳
輸協(xié)議。
A.13.2.3 電子消息 應(yīng)適當(dāng)保護(hù)電子消息的信息。?
A.13.2.4 保密或非擴(kuò)散協(xié)議 應(yīng)制定并定期評審組織的信息安全保密協(xié)
議或非擴(kuò)散協(xié)議(NDA),該協(xié)議應(yīng)反映織對信息保護(hù)的要求。
A.14系統(tǒng)的獲取、開發(fā)及維護(hù)
A.14.1信息系統(tǒng)安全需求
目標(biāo):確保信息安全成為信息系統(tǒng)生命周期的組成部分,包括向公共網(wǎng)絡(luò)
提供服務(wù)的信息系統(tǒng)的要求。
A.14.1.1 信息安全需求分析和規(guī)范 新建信息系統(tǒng)或改進(jìn)現(xiàn)有信息系統(tǒng)應(yīng)包
括信息安全相關(guān)的要求。
A.14.1.2 公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全 應(yīng)保護(hù)應(yīng)用服務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)?br>信息,以防止欺詐、合同爭議、未授權(quán)的泄漏和修改。
A.14.1.3 保護(hù)在線交易 應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息,以防止不完整
的傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和
重放。
A.14.2開發(fā)和支持過程的安全
目標(biāo):確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安全。
A.14.2.1 安全開發(fā)策略 應(yīng)建立組織內(nèi)部的軟件和系統(tǒng)開發(fā)準(zhǔn)則。
A.14.2.2 系統(tǒng)變更控制程序 應(yīng)通過正式的變更控制程序,控制在開發(fā)
生命周期中的系統(tǒng)變更實施。
A.14.2.3 操作平臺變更后的技術(shù)評審 當(dāng)操作平臺變更后,應(yīng)評審并測試
關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng),以確保變更不會對組織的運營或安全產(chǎn)生負(fù)面影響。
A.14.2.4 軟件包變更限制 不鼓勵對軟件包進(jìn)行變更,對必要的更改需嚴(yán)格
控制。
A.14.2.5 涉密系統(tǒng)的工程原則 應(yīng)建立、記錄、維護(hù)和應(yīng)用安全系統(tǒng)的工程
原則,并執(zhí)行于任何信息系統(tǒng)。
A.14.2.6 開發(fā)環(huán)境安全 應(yīng)在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工
作,建立并妥善保障開發(fā)環(huán)境的安全。
A.14.2.7 外包開發(fā) 組織應(yīng)監(jiān)督和監(jiān)控系統(tǒng)外包開發(fā)的活動。
A.14.2.8 系統(tǒng)安全測試 在開發(fā)過程中,應(yīng)進(jìn)行安全性的測試。
A.14.2.9 系統(tǒng)驗收測試 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級及新版本的驗收
測試程序和相關(guān)標(biāo)準(zhǔn)。
A.14.3測試數(shù)據(jù)
目標(biāo):確保測試數(shù)據(jù)安全。
A.14.3.1 測試數(shù)據(jù)的保護(hù) 應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù),并加以保護(hù)和控制。
A.15供應(yīng)商關(guān)系
A.15.1供應(yīng)商關(guān)系的信息安全
目標(biāo):確保組織被供應(yīng)商訪問的信息的安全。
A.15.1.1 供應(yīng)商關(guān)系的信息安全策略 為降低供應(yīng)商使用該組織的資產(chǎn)相
關(guān)的風(fēng)險的信息安全要求應(yīng)獲得許可并記錄。
A.15.1.2 在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全 與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有
相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存
儲、溝通。
A.15.1.3 信息和通信技術(shù)的供應(yīng)鏈 供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)
和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險。
A.15.2供應(yīng)商服務(wù)交付管理
目標(biāo):保持一致的信息安全水平,確保服務(wù)交付符合服務(wù)協(xié)議要求。
A.15.2.1 供應(yīng)商服務(wù)的監(jiān)督和評審 組織應(yīng)定期監(jiān)控、評審和審核供應(yīng)商的
服務(wù)交付。
A.15.2.2 供應(yīng)商服務(wù)的變更管理 應(yīng)管理供應(yīng)商服務(wù)的變更,包括保持
和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施,考慮對業(yè)務(wù)信息、系統(tǒng)、過程的關(guān)
鍵性和風(fēng)險的再評估。
A.16信息安全事件管理
A.16.1信息安全事件的管理和改進(jìn)
目標(biāo):確保持續(xù)、有效地管理信息安全事件,包括對安全事件和弱點的溝
通。
A.16.1.1 職責(zé)和程序 應(yīng)建立管理職責(zé)和程序,以快速、有效和有序的響
應(yīng)信息安全事件。
A.16.1.2 報告信息安全事件 應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報告信息安全
事件。
A.16.1.3 報告信息安全弱點 應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和
承包商注意并報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點。
A.16.1.4 評估和決策信息安全事件 應(yīng)評估信息安全事件,以決定其是否被
認(rèn)定為信息安全事故。
A.16.1.5 響應(yīng)信息安全事故 應(yīng)按照文件化程序響應(yīng)信息安全事故。
A.16.1.6 從信息安全事故中學(xué)習(xí) 分析和解決信息安全事故獲得的知識
應(yīng)用來減少未來事故的可能性或影響。
A.16.1.7 收集證據(jù) 組織應(yīng)建立和采取程序,識別、收集、采集和保存
可以作為證據(jù)的信息。
A.17業(yè)務(wù)連續(xù)性管理中的信息安全
A.17.1信息安全的連續(xù)性
目標(biāo):信息安全的連續(xù)性應(yīng)嵌入組織的業(yè)務(wù)連續(xù)性管理體系。
A.17.1.1 規(guī)劃信息安全的連續(xù)性 組織應(yīng)確定其需求,以保證在不利情
況下的信息安全和信息安全管理的連續(xù)性,如在危機(jī)或災(zāi)難時。
A.17.1.2 實現(xiàn)信息安全的連續(xù)性 組織應(yīng)建立,記錄,實施,維護(hù)程序
和控制過程,以確保一個不利的情況過程中所需的連續(xù)性的信息安全。
A.17.1.3 驗證,評審和評估信息安全的連續(xù)性 組織應(yīng)定期驗證已建立并
實施的信息安全連續(xù)性控制,以確保它們是有效的,并在不利的情況下同樣有效
。
A.17.2冗余
目標(biāo):確保信息處理設(shè)施的可用性。
A.17.2.1 信息處理設(shè)施的可用性 信息處理設(shè)施應(yīng)具備足夠的冗余,以
滿足可用性要求。
A.18符合性
A.18.1法律和合同規(guī)定的符合性
目標(biāo):避免違反有關(guān)信息安全的法律、法規(guī)、規(guī)章或合同要求以及任何安
全要求
A.18.1.1 識別適用的法律法規(guī)和合同要求 應(yīng)清晰規(guī)定所有相關(guān)的法律、
法規(guī)和合同要求以及組織滿足這些要求的方法并形成文件,并針對每個信息系統(tǒng)
和組織進(jìn)行更新。
A.18.1.2 知識產(chǎn)權(quán) 應(yīng)實施適當(dāng)?shù)某绦颍源_保對知識產(chǎn)權(quán)軟件產(chǎn)品的
使用符合相關(guān)的法律、法規(guī)和合同要求。
A.18.1.3 保護(hù)記錄 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求,保護(hù)記錄免受
損壞、破壞、未授權(quán)訪問和未授權(quán)發(fā)布,或偽造篡改。
A.18.1.4 個人信息和隱私的保護(hù) 個人身份信息和隱私的保護(hù)應(yīng)滿足相
關(guān)法律法規(guī)的要求。
A.18.1.5 加密控制法規(guī) 使用加密控制應(yīng)確保遵守相關(guān)的協(xié)議、法律法
規(guī)。
A.18.2信息安全評審
目標(biāo):確保依照組織策略和程序?qū)嵤┬畔踩?
A.18.2.1 信息安全的獨立評審 應(yīng)在計劃的時間間隔或發(fā)生重大變化時,對
組織的信息安全管理方法及其實施情況(如,信息安全控制目標(biāo)、控制措施、策略
、過程和程序)進(jìn)行獨立評審。
A.18.2.2 符合安全策略和標(biāo)準(zhǔn) 管理層應(yīng)定期審核信息處理和程序符合他們
的責(zé)任范圍內(nèi)適當(dāng)?shù)陌踩摺?biāo)準(zhǔn)和任何其他安全要求。
A.18.2.3 技術(shù)符合性評審 應(yīng)定期評審信息系統(tǒng)與組織的信息安全策略、標(biāo)
準(zhǔn)的符合程度。
班組管理的“四宜”與“四不宜”,你中招了哪些?
國內(nèi)專利申請流程詳解
知識產(chǎn)權(quán)法律法規(guī)是怎么規(guī)定的
深圳企業(yè)信用等級證書AAA信用證書
企業(yè)有效推行ISO9001:2008質(zhì)量管理體系
申請專利圖片要求
OHSAS18001體系認(rèn)證小常識
福建省建設(shè)工程消防監(jiān)督管理規(guī)定
A.5信息安全方針
A.5.1信息安全管理指引
目標(biāo):提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。
A.5.1.1 信息安全方針 應(yīng)定義信息安全方針,信息安全方針文件應(yīng)經(jīng)過管理
層批準(zhǔn),并向所有員工和相關(guān)方發(fā)布和溝通。
A.5.1.2 信息安全方針的評審 應(yīng)定期或在發(fā)生重大的變化時評審方針文件,確
保方針的持續(xù)性、穩(wěn)定性、充分性和有效性。
A.6信息安全組織
A.6.1內(nèi)部組織
目標(biāo):建立信息安全管理框架,在組織內(nèi)部啟動和控制信息安全實施。
A.6.1.1 信息安全的角色和職責(zé) 應(yīng)定義和分配所有信息安全職責(zé)。
A.6.1.2 職責(zé)分離 有沖突的職責(zé)和責(zé)任范圍應(yīng)分離,以減少對組織資產(chǎn)未
經(jīng)授權(quán)訪問、無意修改或誤用的機(jī)會。
A.6.1.3 與監(jiān)管機(jī)構(gòu)的聯(lián)系 應(yīng)與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)聯(lián)系。
A.6.1.4 與特殊利益團(tuán)體的聯(lián)系 與特殊利益團(tuán)體、其他專業(yè)安全協(xié)會或行業(yè)
協(xié)會應(yīng)保持適當(dāng)聯(lián)系。
A.6.1.5 項目管理中的信息安全 實施任何項目時應(yīng)考慮信息安全相關(guān)要求。
A.6.2移動設(shè)備和遠(yuǎn)程辦公
目標(biāo):應(yīng)確保遠(yuǎn)程辦公和使用移動設(shè)備的安全性。
A.6.2.1 移動設(shè)備策略 應(yīng)采取安全策略和配套的安全措施控制使用移動設(shè)備
帶來的風(fēng)險。
A.6.2.2 遠(yuǎn)程辦公 應(yīng)實施安全策略和配套的安全措施以保障遠(yuǎn)程辦公時信
息的訪問、處理和存儲的安全。
A.7人力資源安全
A.7.1任用前
目標(biāo):確保員工、合同方人員理解他們的職責(zé)并適合他們所承擔(dān)的角色。
A.7.1.1 人員篩選 根據(jù)相關(guān)法律、法規(guī)、道德規(guī)范,對員工、合同
人員及承包商人員進(jìn)行背景調(diào)查,調(diào)查應(yīng)符合業(yè)務(wù)需求、訪問的信息類別及已知
風(fēng)險。
A.7.1.2 任用條款和條件 與員工和承包商的合同協(xié)議應(yīng)當(dāng)規(guī)定他們對組
織的信息安全責(zé)任。
A.7.2任用中
目標(biāo):確保員工和合同方了解并履行他們的信息安全責(zé)任。
A.7.2.1 管理職責(zé) 管理層應(yīng)要求員工、合同方符合組織建立的信息安全策
略和程序。
A.7.2.2 信息安全意識、教育與培訓(xùn) 組織內(nèi)所有員工、相關(guān)合同人員及合同
方人員應(yīng)接受適當(dāng)?shù)囊庾R培訓(xùn),并定期更新與他們工作相關(guān)的組織策略及程序。
A.7.2.3 紀(jì)律處理過程 應(yīng)建立并傳達(dá)正式的懲戒程序,據(jù)此對違反安全策略
的員工進(jìn)行懲戒。
A.7.3任用終止和變更
A.7.3.1 任用終止或變更的責(zé)任 應(yīng)定義信息安全責(zé)任和義務(wù)在雇用終止或變
更后仍然有效,并向員工和合同方傳達(dá)并執(zhí)行。
A.8資產(chǎn)管理
A.8.1資產(chǎn)的責(zé)任
目標(biāo):確定組織資產(chǎn),并確定適當(dāng)?shù)谋Wo(hù)責(zé)任。
A.8.1.1 資產(chǎn)清單 應(yīng)制定和維護(hù)信息資產(chǎn)和信息處理設(shè)施相關(guān)資產(chǎn)的資產(chǎn)
清單。
A.8.1.2 資產(chǎn)責(zé)任人 資產(chǎn)清單中的資產(chǎn)應(yīng)指定資產(chǎn)責(zé)任人(OWNER)。
A.8.1.3 資產(chǎn)的合理使用 應(yīng)識別信息和信息處理設(shè)施相關(guān)資產(chǎn)的合理使用準(zhǔn)則
,形成文件并實施。
A.8.1.4 資產(chǎn)的歸還 在勞動合同或協(xié)議終止后,所有員工和外部方人員應(yīng)退還
所有他們使用的組織資產(chǎn)。
A.8.2信息分類
目標(biāo):確保信息資產(chǎn)是按照其對組織的重要性受到適當(dāng)級別的保護(hù)。
A.8.2.1 信息分類 應(yīng)根據(jù)法規(guī)、價值、重要性和敏感性對信息進(jìn)行分類,
保護(hù)信息免受未授權(quán)泄露或篡改。
A.8.2.2 信息標(biāo)識 應(yīng)制定和實施合適的信息標(biāo)識程序,并與組織的信息分類
方案相匹配。
A.8.2.3 資產(chǎn)處理 應(yīng)根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程
序
A.8.3介質(zhì)處理
目標(biāo):防止存儲在介質(zhì)上的信息被未授權(quán)泄露、修改、刪除或破壞。
A.8.3.1 可移動介質(zhì)管理 應(yīng)實施移動介質(zhì)的管理程序,并與組織的分類方案相
匹配。
A.8.3.2 介質(zhì)處置 當(dāng)介質(zhì)不再需要時,應(yīng)按照正式程序進(jìn)行可靠的、安全
的處置。
A.8.3.3 物理介質(zhì)傳輸 含有信息的介質(zhì)應(yīng)加以保護(hù),防止未經(jīng)授權(quán)的訪問、
濫用或在運輸過程中的損壞。
A.9訪問控制
A.9.1訪問控制的業(yè)務(wù)需求
目標(biāo):限制對信息和信息處理設(shè)施的訪問。
A.9.1.1 訪問控制策略 應(yīng)建立文件化的訪問控制策略,并根據(jù)業(yè)務(wù)和安全要
求對策略進(jìn)行評審。
A.9.1.2 對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問 應(yīng)只允許用戶訪問被明確授權(quán)使用的網(wǎng)絡(luò)和
網(wǎng)絡(luò)服務(wù)。
A.9.2用戶訪問管理
目標(biāo):確保已授權(quán)用戶的訪問,預(yù)防對系統(tǒng)和服務(wù)的非授權(quán)訪問。
9.2.1 用戶注冊和注銷 應(yīng)實施正式的用戶注冊和注銷程序來分配訪問權(quán)限。
9.2.2 用戶訪問權(quán)限提供 無論什么類型的用戶,在對其授予或撤銷對所有
系統(tǒng)和服務(wù)的權(quán)限時,都應(yīng)實施一個正式的用戶訪問配置程序。
9.2.3 特權(quán)管理 應(yīng)限制及控制特權(quán)的分配及使用。
9.2.4 用戶認(rèn)證信息的安全管理 用戶鑒別信息的權(quán)限分配應(yīng)通過一個正式的
管理過程進(jìn)行安全控制。
9.2.5 用戶訪問權(quán)限的評審 資產(chǎn)所有者應(yīng)定期審查用戶訪問權(quán)限。
9.2.6 撤銷或調(diào)整訪問權(quán)限 在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終
止和調(diào)整后,應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限。
9.3用戶責(zé)任
標(biāo):用戶應(yīng)保護(hù)他們的認(rèn)證信息。
9.3.1 認(rèn)證信息的使用 應(yīng)要求用戶遵循組織的做法使用其認(rèn)證信息。
9.4系統(tǒng)和應(yīng)用訪問控制
標(biāo):防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。
9.4.1 信息訪問限制 應(yīng)基于訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪
問。
9.4.2 安全登錄程序 在需要進(jìn)行訪問控制時,應(yīng)通過安全的登錄程序,控
制對系統(tǒng)和應(yīng)用的訪問。
9.4.3 密碼管理系統(tǒng) 應(yīng)使用交互式口令管理系統(tǒng),確保口令質(zhì)量。
9.4.4 特權(quán)程序的使用 對于可以覆蓋系統(tǒng)和應(yīng)用權(quán)限控制的工具程序的使用
,應(yīng)限制和嚴(yán)格控制。
9.4.5 對程序源碼的訪問控制 對程序源代碼的訪問應(yīng)進(jìn)行限制。
A.10密碼學(xué)
A.10.1密碼控制
目標(biāo):確保適當(dāng)和有效地使用密碼來保護(hù)信息的機(jī)密性、真實性和/或完整
性。
A.10.1.1 使用加密控制的策略 應(yīng)開發(fā)和實施加密控制措施的策略以保護(hù)信
息。
A.10.1.2 密鑰管理 對加密密鑰的使用、保護(hù)和有效期管理,應(yīng)開發(fā)和
實施一個貫穿密鑰全生命周期的策略。
A.11物理和環(huán)境安全
A.11.1安全區(qū)域
目標(biāo):防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾
。
A.11.1.1 物理安全邊界 應(yīng)定義安全邊界,用來保護(hù)包含敏感或關(guān)鍵信
息和信
A.11.1.2 物理進(jìn)入控制 安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)入控制保護(hù),以確保只
有授權(quán)
A.11.1.3 辦公室、房間及設(shè)施和安全 應(yīng)設(shè)計和實施保護(hù)辦公室、房間及
所及設(shè)備的物理安全。
A.11.1.4 防范外部和環(huán)境威脅 應(yīng)設(shè)計和應(yīng)用物理保護(hù)措施以應(yīng)對自然災(zāi)害
、惡意攻擊或意外。
A.11.1.5 在安全區(qū)域工作 應(yīng)設(shè)計和應(yīng)用在安全區(qū)域工作的程序。
A.11.1.6 送貨和裝卸區(qū) 訪問區(qū)域如裝卸區(qū)域,及其他未經(jīng)授權(quán)人員可
能進(jìn)入的地點應(yīng)加以控制,如果可能的話,信息處理設(shè)施應(yīng)隔離以防止未授權(quán)的
訪問。
A.11.2設(shè)備安全
目標(biāo):防止資產(chǎn)的遺失、損壞、偷竊或損失和組織業(yè)務(wù)中斷。
A.11.2.1 設(shè)備安置及保護(hù) 應(yīng)妥善安置及保護(hù)設(shè)備,以減少來自環(huán)境的威脅
與危害,并減少未授權(quán)訪問的機(jī)會。
A.11.2.2 支持設(shè)施 應(yīng)保護(hù)設(shè)備免于電力中斷及其它因支持設(shè)施失效導(dǎo)
致的中斷。
A.11.2.3 線纜安全 應(yīng)保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的電力及通訊電纜
,免遭中斷或破壞。
A.11.2.4 設(shè)備維護(hù) 應(yīng)正確維護(hù)設(shè)備,以確保其持續(xù)的可用性及完整性
。
A.11.2.5 資產(chǎn)轉(zhuǎn)移 未經(jīng)授權(quán),不得將設(shè)備、信息及軟件帶離。
A.11.2.6 場外設(shè)備和資產(chǎn)安全 應(yīng)對場外資產(chǎn)進(jìn)行安全防護(hù),考慮在組織邊
界之外工作的不同風(fēng)險。
A.11.2.7 設(shè)備報廢或重用 含有存儲介質(zhì)的所有設(shè)備在報廢或重用前,應(yīng)進(jìn)
行檢查,確保任何敏感數(shù)據(jù)和授權(quán)軟件被刪除或被安全重寫。
A.11.2.8 無人值守的設(shè)備 用戶應(yīng)確保無人值守的設(shè)備有適當(dāng)?shù)谋Wo(hù)。
A.11.2.9 桌面清空及清屏策略 應(yīng)采用清除桌面紙質(zhì)和可移動存儲介質(zhì)的策
略,以及清除信息處理設(shè)施屏幕的策略。
A.12操作安全
A.12.1操作程序及職責(zé)
目標(biāo):確保信息處理設(shè)施正確和安全的操作。
A.12.1.1 文件化的操作程序 應(yīng)編制文件化的操作程序,并確保所有需
要的用戶可以獲得。
A.12.1.2 變更管理 應(yīng)控制組織、業(yè)務(wù)流程、信息處理設(shè)施和影響信息
安全的系統(tǒng)的變更
A.12.1.3 容量管理 應(yīng)監(jiān)控、調(diào)整資源的使用,并反映將來容量的需求
以確保系統(tǒng)性能
A.12.1.4 開發(fā)、測試與運行環(huán)境的分離 應(yīng)分離開發(fā)、測試和運行環(huán)
境,以降低未授權(quán)訪問或?qū)Σ僮鳝h(huán)境變更的風(fēng)險。
A.12.2防范惡意軟件
目標(biāo):確保對信息和信息處理設(shè)施的保護(hù),防止惡意軟件。
A.12.2.1 控制惡意軟件 應(yīng)實施檢測、預(yù)防和恢復(fù)措施以應(yīng)對惡意軟件
,結(jié)合適當(dāng)?shù)挠脩粢庾R程序。
A.12.3備份
目標(biāo):防止數(shù)據(jù)丟失
A.12.3.1 信息備份 根據(jù)既定的備份策略備份信息,軟件及系統(tǒng)鏡像,
并定期測試。
A.12.4日志記錄和監(jiān)控
目標(biāo):記錄事件和生成的證據(jù)
A.12.4.1 事件日志 應(yīng)產(chǎn)生記錄用戶活動、意外和信息安全事件的日志
,保留日志并定期評審。
A.12.4.2 日志信息保護(hù) 應(yīng)保護(hù)日志設(shè)施和日志信息免受篡改和未授權(quán)
訪問。
A.12.4.3 管理員和操作者日志 應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作者的活動,進(jìn)
行日志保護(hù)及定期評審。
A.12.4.4 時鐘同步 在組織內(nèi)或安全域內(nèi)的所有相關(guān)信息處理系統(tǒng)的時
鐘應(yīng)按照一個單一的參考時間源保持同步。
A.12.5操作軟件控制
目標(biāo):確保系統(tǒng)的完整性。
A.12.5.1 運營系統(tǒng)的軟件安裝 應(yīng)建立程序?qū)\營中的系統(tǒng)的軟件安裝進(jìn)行
控制。
A.12.6技術(shù)漏洞管理
目標(biāo):防止技術(shù)漏洞被利用
A.12.6.1 管理技術(shù)漏洞 應(yīng)及時獲得組織所使用的信息系統(tǒng)的技術(shù)漏洞
的信息,對漏洞進(jìn)行評估,并采取適當(dāng)?shù)拇胧┤ソ鉀Q相關(guān)風(fēng)險。
A.12.6.2 軟件安裝限制 應(yīng)建立并實施用戶軟件安裝規(guī)則。
A.12.7信息系統(tǒng)審計的考慮因素
目標(biāo):最小審計活動對系統(tǒng)運行影響。
A.12.7.1 信息系統(tǒng)審核控制 應(yīng)謹(jǐn)慎策劃對系統(tǒng)運行驗證所涉及的審核
要求和活動并獲得許可,以最小化中斷業(yè)務(wù)過程。
A.13通信安全
A.13.1網(wǎng)絡(luò)安全管理
目標(biāo):確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。
A.13.1.1 網(wǎng)絡(luò)控制 應(yīng)對網(wǎng)絡(luò)進(jìn)行管理和控制,以保護(hù)系統(tǒng)和應(yīng)用程序
的信息。
A.13.1.2 網(wǎng)絡(luò)服務(wù)安全 應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級和
管理要求,并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中,無論這種服務(wù)是由內(nèi)部提供的還是外包的
。
A.13.1.3 網(wǎng)絡(luò)隔離 應(yīng)在網(wǎng)絡(luò)中按組(GROUP)隔離信息服務(wù)、用戶和
信息系統(tǒng)。
A.13.2信息傳輸
目標(biāo):應(yīng)確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?br>A.13.2.1 信息傳輸策略和程序 應(yīng)建立正式的傳輸策略、程序和控制,以保
護(hù)通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒌陌踩?
A.13.2.2 信息傳輸協(xié)議 建立組織和外部各方之間的業(yè)務(wù)信息的安全傳
輸協(xié)議。
A.13.2.3 電子消息 應(yīng)適當(dāng)保護(hù)電子消息的信息。?
A.13.2.4 保密或非擴(kuò)散協(xié)議 應(yīng)制定并定期評審組織的信息安全保密協(xié)
議或非擴(kuò)散協(xié)議(NDA),該協(xié)議應(yīng)反映織對信息保護(hù)的要求。
A.14系統(tǒng)的獲取、開發(fā)及維護(hù)
A.14.1信息系統(tǒng)安全需求
目標(biāo):確保信息安全成為信息系統(tǒng)生命周期的組成部分,包括向公共網(wǎng)絡(luò)
提供服務(wù)的信息系統(tǒng)的要求。
A.14.1.1 信息安全需求分析和規(guī)范 新建信息系統(tǒng)或改進(jìn)現(xiàn)有信息系統(tǒng)應(yīng)包
括信息安全相關(guān)的要求。
A.14.1.2 公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全 應(yīng)保護(hù)應(yīng)用服務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)?br>信息,以防止欺詐、合同爭議、未授權(quán)的泄漏和修改。
A.14.1.3 保護(hù)在線交易 應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息,以防止不完整
的傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和
重放。
A.14.2開發(fā)和支持過程的安全
目標(biāo):確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安全。
A.14.2.1 安全開發(fā)策略 應(yīng)建立組織內(nèi)部的軟件和系統(tǒng)開發(fā)準(zhǔn)則。
A.14.2.2 系統(tǒng)變更控制程序 應(yīng)通過正式的變更控制程序,控制在開發(fā)
生命周期中的系統(tǒng)變更實施。
A.14.2.3 操作平臺變更后的技術(shù)評審 當(dāng)操作平臺變更后,應(yīng)評審并測試
關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng),以確保變更不會對組織的運營或安全產(chǎn)生負(fù)面影響。
A.14.2.4 軟件包變更限制 不鼓勵對軟件包進(jìn)行變更,對必要的更改需嚴(yán)格
控制。
A.14.2.5 涉密系統(tǒng)的工程原則 應(yīng)建立、記錄、維護(hù)和應(yīng)用安全系統(tǒng)的工程
原則,并執(zhí)行于任何信息系統(tǒng)。
A.14.2.6 開發(fā)環(huán)境安全 應(yīng)在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工
作,建立并妥善保障開發(fā)環(huán)境的安全。
A.14.2.7 外包開發(fā) 組織應(yīng)監(jiān)督和監(jiān)控系統(tǒng)外包開發(fā)的活動。
A.14.2.8 系統(tǒng)安全測試 在開發(fā)過程中,應(yīng)進(jìn)行安全性的測試。
A.14.2.9 系統(tǒng)驗收測試 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級及新版本的驗收
測試程序和相關(guān)標(biāo)準(zhǔn)。
A.14.3測試數(shù)據(jù)
目標(biāo):確保測試數(shù)據(jù)安全。
A.14.3.1 測試數(shù)據(jù)的保護(hù) 應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù),并加以保護(hù)和控制。
A.15供應(yīng)商關(guān)系
A.15.1供應(yīng)商關(guān)系的信息安全
目標(biāo):確保組織被供應(yīng)商訪問的信息的安全。
A.15.1.1 供應(yīng)商關(guān)系的信息安全策略 為降低供應(yīng)商使用該組織的資產(chǎn)相
關(guān)的風(fēng)險的信息安全要求應(yīng)獲得許可并記錄。
A.15.1.2 在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全 與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有
相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存
儲、溝通。
A.15.1.3 信息和通信技術(shù)的供應(yīng)鏈 供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)
和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險。
A.15.2供應(yīng)商服務(wù)交付管理
目標(biāo):保持一致的信息安全水平,確保服務(wù)交付符合服務(wù)協(xié)議要求。
A.15.2.1 供應(yīng)商服務(wù)的監(jiān)督和評審 組織應(yīng)定期監(jiān)控、評審和審核供應(yīng)商的
服務(wù)交付。
A.15.2.2 供應(yīng)商服務(wù)的變更管理 應(yīng)管理供應(yīng)商服務(wù)的變更,包括保持
和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施,考慮對業(yè)務(wù)信息、系統(tǒng)、過程的關(guān)
鍵性和風(fēng)險的再評估。
A.16信息安全事件管理
A.16.1信息安全事件的管理和改進(jìn)
目標(biāo):確保持續(xù)、有效地管理信息安全事件,包括對安全事件和弱點的溝
通。
A.16.1.1 職責(zé)和程序 應(yīng)建立管理職責(zé)和程序,以快速、有效和有序的響
應(yīng)信息安全事件。
A.16.1.2 報告信息安全事件 應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報告信息安全
事件。
A.16.1.3 報告信息安全弱點 應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和
承包商注意并報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點。
A.16.1.4 評估和決策信息安全事件 應(yīng)評估信息安全事件,以決定其是否被
認(rèn)定為信息安全事故。
A.16.1.5 響應(yīng)信息安全事故 應(yīng)按照文件化程序響應(yīng)信息安全事故。
A.16.1.6 從信息安全事故中學(xué)習(xí) 分析和解決信息安全事故獲得的知識
應(yīng)用來減少未來事故的可能性或影響。
A.16.1.7 收集證據(jù) 組織應(yīng)建立和采取程序,識別、收集、采集和保存
可以作為證據(jù)的信息。
A.17業(yè)務(wù)連續(xù)性管理中的信息安全
A.17.1信息安全的連續(xù)性
目標(biāo):信息安全的連續(xù)性應(yīng)嵌入組織的業(yè)務(wù)連續(xù)性管理體系。
A.17.1.1 規(guī)劃信息安全的連續(xù)性 組織應(yīng)確定其需求,以保證在不利情
況下的信息安全和信息安全管理的連續(xù)性,如在危機(jī)或災(zāi)難時。
A.17.1.2 實現(xiàn)信息安全的連續(xù)性 組織應(yīng)建立,記錄,實施,維護(hù)程序
和控制過程,以確保一個不利的情況過程中所需的連續(xù)性的信息安全。
A.17.1.3 驗證,評審和評估信息安全的連續(xù)性 組織應(yīng)定期驗證已建立并
實施的信息安全連續(xù)性控制,以確保它們是有效的,并在不利的情況下同樣有效
。
A.17.2冗余
目標(biāo):確保信息處理設(shè)施的可用性。
A.17.2.1 信息處理設(shè)施的可用性 信息處理設(shè)施應(yīng)具備足夠的冗余,以
滿足可用性要求。
A.18符合性
A.18.1法律和合同規(guī)定的符合性
目標(biāo):避免違反有關(guān)信息安全的法律、法規(guī)、規(guī)章或合同要求以及任何安
全要求
A.18.1.1 識別適用的法律法規(guī)和合同要求 應(yīng)清晰規(guī)定所有相關(guān)的法律、
法規(guī)和合同要求以及組織滿足這些要求的方法并形成文件,并針對每個信息系統(tǒng)
和組織進(jìn)行更新。
A.18.1.2 知識產(chǎn)權(quán) 應(yīng)實施適當(dāng)?shù)某绦颍源_保對知識產(chǎn)權(quán)軟件產(chǎn)品的
使用符合相關(guān)的法律、法規(guī)和合同要求。
A.18.1.3 保護(hù)記錄 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求,保護(hù)記錄免受
損壞、破壞、未授權(quán)訪問和未授權(quán)發(fā)布,或偽造篡改。
A.18.1.4 個人信息和隱私的保護(hù) 個人身份信息和隱私的保護(hù)應(yīng)滿足相
關(guān)法律法規(guī)的要求。
A.18.1.5 加密控制法規(guī) 使用加密控制應(yīng)確保遵守相關(guān)的協(xié)議、法律法
規(guī)。
A.18.2信息安全評審
目標(biāo):確保依照組織策略和程序?qū)嵤┬畔踩?
A.18.2.1 信息安全的獨立評審 應(yīng)在計劃的時間間隔或發(fā)生重大變化時,對
組織的信息安全管理方法及其實施情況(如,信息安全控制目標(biāo)、控制措施、策略
、過程和程序)進(jìn)行獨立評審。
A.18.2.2 符合安全策略和標(biāo)準(zhǔn) 管理層應(yīng)定期審核信息處理和程序符合他們
的責(zé)任范圍內(nèi)適當(dāng)?shù)陌踩摺?biāo)準(zhǔn)和任何其他安全要求。
A.18.2.3 技術(shù)符合性評審 應(yīng)定期評審信息系統(tǒng)與組織的信息安全策略、標(biāo)
準(zhǔn)的符合程度。
班組管理的“四宜”與“四不宜”,你中招了哪些?
國內(nèi)專利申請流程詳解
知識產(chǎn)權(quán)法律法規(guī)是怎么規(guī)定的
深圳企業(yè)信用等級證書AAA信用證書
企業(yè)有效推行ISO9001:2008質(zhì)量管理體系
申請專利圖片要求
OHSAS18001體系認(rèn)證小常識
福建省建設(shè)工程消防監(jiān)督管理規(guī)定