| ISO27001:2013 | ISO27001:2005 | ||||
| A.5信息安全方针 | A.5信息安全方针 | ||||
| A.5.1信息安全管理指引 | A.5.1信息安全管理指引 | ||||
| 目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。 | 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 | ||||
| A.5.1.1 | 信息安全方针 | 应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。 | A.5.1.1 | 信息安全方针 | 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 |
| A.5.1.2 | 信息安全方针的评审 | 应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。 | A.5.1.2 | 信息安全方针的评审 | 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。 |
| A.6信息安全组织 | A.6信息安全组织 | ||||
| A.6.1内部组织 | A.6.1内部组织 | ||||
| 目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。 | 目标:在组织内管理信息安全。 | ||||
| A.6.1.1 | 信息安全的角色和职责 | 应定义和分配所有信息安全职责。 | A.6.1.1 | 信息安全的管理承诺 | 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。 |
| A.6.1.2 | 职责分离 | 有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。 | A.6.1.2 | 信息安全协调 | 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 |
| A.6.1.3 | 与监管机构的联系 | 应与相关监管机构保持适当联系。 | A.6.1.3 | 信息安全职责的分配 | 所有的信息安全职责应予以清晰地定义。 |
| A.6.1.4 | 与特殊利益团体的联系 | 与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。 | A.6.1.4 | 信息处理设施的授权过程 | 新信息处理设施应定义和实施一个管理授权过程。 |
| A.6.1.5 | 项目管理中的信息安全 | 实施任何项目时应考虑信息安全相关要求。 | A.6.1.5 | 保密性协议 | 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 |
| A.6.1.6 | 与政府部门的联系 | 应保持与政府相关部门的适当联系。 | |||
| A.6.1.7 | 与特定权益团体的联系 | 应保持与特定权益团体、其他安全专家组和专业协会的适当联系。 | |||
| A.6.1.8 | 信息安全的独立评审 | 组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。 | |||
| A.6.2外部各方 | |||||
| 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 | |||||
| A.6.2.1 | 与外部各方相关风险的识别 | 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。 | |||
| A.6.2.2 | 处理与顾客有关的安全问题 | 应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。 | |||
| A.6.2.3 | 处理第三方协议中的安全问题 | 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。 | |||
| A.6.2移动设备和远程办公 | A.11.7移动计算和远程工作 | ||||
| 目标:应确保远程办公和使用移动设备的安全性。 | 目标:应确保远程办公和使用移动设备的安全性。 | ||||
| A.6.2.1 | 移动设备策略 | 应采取安全策略和配套的安全措施控制使用移动设备带来的风险。 | A.11.7.1 | 移动计算和通信 | 应有正式策略并且采用适当的安全措施,以防范使用可移动计算和通信设施时所造成的风险。 |
| A.6.2.2 | 远程办公 | 应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。 | A.11.7.2 | 远程工作 | 应为远程工作活动开发和实施策略、操作计划和程序。 |
| A.7人力资源安全 | A.8人力资源安全 | ||||
| A.7.1任用前 | A.8.1任用前 | ||||
| 目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 | 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。 | ||||
| A.7.1.1 | 人员筛选 | 根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。 | A.8.1.1 | 角色和职责 | 雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。 |
| A.7.1.2 | 任用条款和条件 | 与员工和承包商的合同协议应当规定他们对组织的信息安全责任。 | A.8.1.2 | 审查 | 关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 |
| A.8.1.3 | 任用条款和条件 | 作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。 | |||
| A.7.2任用中 | A.8.2任用中 | ||||
| 目标:确保员工和合同方了解并履行他们的信息安全责任。 | 目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。 | ||||
| A.7.2.1 | 管理职责 | 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。 | A.8.2.1 | 管理职责 | 管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。 |
| A.7.2.2 | 信息安全意识、教育与培训 | 组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。 | A.8.2.2 | 信息安全意识、教育与培训 | 组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。 |
| A.7.2.3 | 纪律处理过程 | 应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。 | A.8.2.3 | 纪律处理过程 | 对于安全违规的雇员,应有一个正式的纪律处理过程。 |
| A.7.3任用终止和变更 | A.8.3任用终止和变更 | ||||
| 目标:保证组织利益是雇佣终止和变更的一部分 | 目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 | ||||
| A.7.3.1 | 任用终止或变更的责任 | 应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。 | A.8.3.1 | 终止职责 | 任用终止或任用变化的职责应清晰的定义和分配。 |
| A.8.3.2 | 资产的归还 | 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 | |||
| A.8.3.3 | 撤销访问权 | 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。 | |||
| A.8资产管理 | A.7资产管理 | ||||
| A.8.1资产的责任 | A.7.1资产的责任 | ||||
| 目标:确定组织资产,并确定适当的保护责任。 | 目标:实现和保持对组织资产的适当保护。 | ||||
| A.8.1.1 | 资产清单 | 应制定和维护信息资产和信息处理设施相关资产的资产清单。 | A.7.1.1 | 资产清单 | 应清晰的识别所有资产,编制并维护所有重要资产的清单。 |
| A.8.1.2 | 资产责任人 | 资产清单中的资产应指定资产责任人(OWNER)。 | A.7.1.2 | 资产责任人 | 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任 。 |
| A.8.1.3 | 资产的合理使用 | 应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。 | A.7.1.3 | 资产的允许使用 | 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 |
| A.8.1.4 | 资产的归还 | 在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。 | |||
| A.8.2信息分类 | A.7.2信息分类 | ||||
| 目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。 | 目标:确保信息受到适当级别的保护。 | ||||
| A.8.2.1 | 信息分类 | 应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。 | A.7.2.1 | 分类指南 | 信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。 |
| A.8.2.2 | 信息标识 | 应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。 | A.7.2.2 | 信息的标记和处理 | 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。 |
| A.8.2.3 | 资产处理 | 应根据组织采用的资产分类方法制定和实施资产处理程序 | |||
| A.8.3介质处理 | A.10.7介质处理 | ||||
| 目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。 | 目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 | ||||
| A.8.3.1 | 可移动介质管理 | 应实施移动介质的管理程序,并与组织的分类方案相匹配。 | A.10.7.1 | 可移动介质管理 | 应有适当的可移动介质的管理程序。 |
| A.8.3.2 | 介质处置 | 当介质不再需要时,应按照正式程序进行可靠的、安全的处置。 | A.10.7.2 | 介质处置 | 不再需要的介质,应使用正式的程序可靠并安全地处置。 |
| A.8.3.3 | 物理介质传输 | 含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。 | A.10.7.3 | 信息处理程序 | 应建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。 |
| A.10.7.4 | 系统文件安全 | 应保护系统文件以防止未授权的访问。 | |||
| A.9访问控制 | A.11访问控制 | ||||
| A.9.1访问控制的业务需求 | A.11.1访问控制的业务需求 | ||||
| 目标:限制对信息和信息处理设施的访问。 | 目标:控制对信息的访问。 | ||||
| A.9.1.1 | 访问控制策略 | 应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。 | A.11.1.1 | 访问控制策略 | 访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。 |
| A.9.1.2 | 对网络和网络服务的访问 | 应只允许用户访问被明确授权使用的网络和网络服务。 | |||
| A.9.2用户访问管理 | A.11.2用户访问管理 | ||||
| 目标:确保已授权用户的访问,预防对系统和服务的非授权访问。 | 目标:确保授权用户访问信息系统,并防止未授权的访问。 | ||||
| A.9.2.1 | 用户注册和注销 | 应实施正式的用户注册和注销程序来分配访问权限。 | A.11.2.1 | 用户注册 | 应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。 |
| A.9.2.2 | 用户访问权限提供 | 无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。 | A.11.2.2 | 特权管理 | 应限制和控制特殊权限的分配及使用。 |
| A.9.2.3 | 特权管理 | 应限制及控制特权的分配及使用。 | A.11.2.3 | 用户口令管理 | 应通过正式的管理过程控制口令的分配。 |
| A.9.2.4 | 用户认证信息的安全管理 | 用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。 | A.11.2.4 | 用户访问权的复查 | 管理者应定期使用正式过程对用户的访问权进行复查。 |
| A.9.2.5 | 用户访问权限的评审 | 资产所有者应定期审查用户访问权限。 | |||
| A.9.2.6 | 撤销或调整访问权限 | 在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。 | |||
| A.9.3用户责任 | A.11.3用户职责 | ||||
| 目标:用户应保护他们的认证信息。 | 目标:防止未授权用户对信息和信息处理设施的访问、危害或窃取。 | ||||
| A.9.3.1 | 认证信息的使用 | 应要求用户遵循组织的做法使用其认证信息。 | A.11.3.1 | 口令使用 | 应要求用户在选择及使用口令时,遵循良好的安全习惯。 |
| A.11.3.2 | 无人值守的用户设备 | 用户应确保无人值守的用户设备有适当的保护。 | |||
| A.11.3.3 | 清空桌面和屏幕策略 | 应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。 | |||
| A.11.4网络访问控制 | |||||
| 目标:防止对网络服务的未授权访问。 | |||||
| A.11.4.1 | 使用网络服务的策略 | 用户应仅能访问已获专门授权使用的服务。 | |||
| A.11.4.2 | 外部连接的用户鉴别 | 应使用适当的鉴别方法以控制远程用户的访问。 | |||
| A.11.4.3 | 网络上的设备标识 | 应考虑自动设备标识,将其作为鉴别特定位置和设备连接的方法。 | |||
| A.11.4.4 | 远程诊断和配置端口的保护 | 对于诊断和配置端口的物理和逻辑访问应加以控制。 | |||
| A.11.4.5 | 网络隔离 | 应在网络中隔离信息服务、用户及信息系统。 | |||
| A.11.4.6 | 网络连接控制 | 对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见11.1)。 | |||
| A.11.4.7 | 网络路由控制 | 应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应用的访问控制策略。 | |||
| A.11.5操作系统访问控制 | |||||
| 目标:防止对操作系统的未授权访问。 | |||||
| A.11.5.1 | 安全登录程序 | 访问操作系统应通过安全登录程序加以控制。 | |||
| A.11.5.2 | 用户标识和鉴别 | 所有用户应有唯一的、专供其个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户所宣称的身份。 | |||
| A.11.5.3 | 口令管理系统 | 口令管理系统应是交互式的,并应确保优质的口令。 | |||
| A.11.5.4 | 系统实用工具的使用 | 可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制。 | |||
| A.11.5.5 | 会话超时 | 不活动会话应在一个设定的休止期后关闭。 | |||
| A.11.5.6 | 联机时间的限定 | 应使用联机时间的限制,为高风险应用程序提供额外的安全。 | |||
| A.9.4系统和应用访问控制 | A.11.6系统和应用访问控制 | ||||
| 目标:防止对系统和应用的未授权访问。 | 目标:防止对系统和应用的未授权访问。 | ||||
| A.9.4.1 | 信息访问限制 | 应基于访问控制策略限制对信息和应用系统功能的访问。 | A.11.6.1 | 信息访问限制 | 用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。 |
| A.9.4.2 | 安全登录程序 | 在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。 | A.11.6.2 | 敏感系统隔离 | 敏感系统应有专用的(隔离的)运算环境。 |
| A.9.4.3 | 密码管理系统 | 应使用交互式口令管理系统,确保口令质量。 | |||
| A.9.4.4 | 特权程序的使用 | 对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。 | |||
| A.9.4.5 | 对程序源码的访问控制 | 对程序源代码的访问应进行限制。 | |||
| A.10密码学 | |||||
| A.10.1密码控制 | A.12.3密码控制 | ||||
| 目标:确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。 | 目标:通过密码方法保护信息的保密性、真实性或完整性。 | ||||
| A.10.1.1 | 使用加密控制的策略 | 应开发和实施加密控制措施的策略以保护信息。 | A.12.3.1 | 使用密码控制的策略 | 应开发和实施使用密码控制措施来保护信息的策略。 |
| A.10.1.2 | 密钥管理 | 对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。 | A.12.3.2 | 密钥管理 | 对应有密钥管理以支持组织使用密码技术。 |
| A.11物理和环境安全 | A.9物理和环境安全 | ||||
| A.11.1安全区域 | A.9.1安全区域 | ||||
| 目标:防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。 | 目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。 | ||||
| A.11.1.1 | 物理安全边界 | 应定义安全边界,用来保护包含敏感或关键信息和信 | A.9.1.1 | 物理安全边界 | 应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。 |
| A.11.1.2 | 物理进入控制 | 安全区域应有适当的进入控制保护,以确保只有授权 | A.9.1.2 | 物理入口控制 | 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。 |
| A.11.1.3 | 办公室、房间及设施和安全 | 应设计和实施保护办公室、房间及所及设备的物理安全。 | A.9.1.3 | 办公室、房间及设施和安全 | 应为办公室、房间和设施设计并采取物理安全措施。 |
| A.11.1.4 | 防范外部和环境威胁 | 应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。 | A.9.1.4 | 外部和环境威胁的安全防护 | 为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。 |
| A.11.1.5 | 在安全区域工作 | 应设计和应用在安全区域工作的程序。 | A.9.1.5 | 在安全区域工作 | 应设计和运用用于安全区域工作的物理保护和指南。 |
| A.11.1.6 | 送货和装卸区 | 访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。 | A.9.1.6 | 公共访问、交接区安全 | 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。 |
| A.11.2设备安全 | A.9.2设备安全 | ||||
| 目标:防止资产的遗失、损坏、偷窃或损失和组织业务中断。 | 目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 | ||||
| A.11.2.1 | 设备安置及保护 | 应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。 | A.9.2.1 | 设备安置及保护 | 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 |
| A.11.2.2 | 支持设施 | 应保护设备免于电力中断及其它因支持设施失效导致的中断。 | A.9.2.2 | 支持设施 | 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 |
| A.11.2.3 | 线缆安全 | 应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。 | A.9.2.3 | 线缆安全 | 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。 |
| A.11.2.4 | 设备维护 | 应正确维护设备,以确保其持续的可用性及完整性。 | A.9.2.4 | 设备维护 | 设备应予以正确地维护,以确保其持续的可用性和完整性。 |
| A.11.2.5 | 资产转移 | 未经授权,不得将设备、信息及软件带离。 | A.9.2.5 | 组织场所外的设备安全 | 应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。 |
| A.11.2.6 | 场外设备和资产安全 | 应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。 | A.9.2.6 | 设备的安全处置或再利用 | 包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。 |
| A.11.2.7 | 设备报废或重用 | 含有存储介质的所有设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。 | A.9.2.7 | 资产的移动 | 设备、信息或软件在授权之前不应带出组织场所。 |
| A.11.2.8 | 无人值守的设备 | 用户应确保无人值守的设备有适当的保护。 | |||
| A.11.2.9 | 桌面清空及清屏策略 | 应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。 | |||
| A.12操作安全 | A.10通信和操作管理 | ||||
| A.12.1操作程序及职责 | A.10.1操作程序及职责 | ||||
| 目标:确保信息处理设施正确和安全的操作。 | 目标:确保正确、安全的操作信息处理设施。 | ||||
| A.12.1.1 | 文件化的操作程序 | 应编制文件化的操作程序,并确保所有需要的用户可以获得。 | A.10.1.1 | 文件化的操作程序 | 操作程序应形成文件、保持并对所有需要的用户可用。 |
| A.12.1.2 | 变更管理 | 应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。 | A.10.1.2 | 变更管理 | 对信息处理设施和系统的变更应加以控制。 |
| A.12.1.3 | 容量管理 | 应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。 | A.10.1.3 | 责任分割 | 各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。 |
| A.12.1.4 | 开发、测试与运行环境的分离 | 应分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险。 | A.10.1.4 | 开发、测试与运行环境的分离 | 开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。 |
| A.10.3.1 | 容量管理 | 资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以确保拥有所需的系统性能。 | |||
| A.12.2防范恶意软件 | A.10.4防范恶意和移动代码 | ||||
| 目标:确保对信息和信息处理设施的保护,防止恶意软件。 | 目标:保护软件和信息的完整性。 | ||||
| A.12.2.1 | 控制恶意软件 | 应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序。 | A.10.4.1 | 控制恶意代码 | 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 |
| A.10.4.2 | 控制移动代码 | 当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。 | |||
| A.12.3备份 | A.10.5备份 | ||||
| 目标:防止数据丢失 | 目标:保持信息和信息处理设施的完整性和可用性。 | ||||
| A.12.3.1 | 信息备份 | 根据既定的备份策略备份信息,软件及系统镜像,并定期测试。 | A.10.5.1 | 信息备份 | 应按照已设的备份策略,定期备份和测试信息和软件。 |
| A.12.4日志记录和监控 | A.10.10监视 | ||||
| 目标:记录事件和生成的证据 | 目标:检测未授权的信息处理活动。 | ||||
| A.12.4.1 | 事件日志 | 应产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审。 | A.10.10.1 | 审计日志 | 应产生记录用户活动、异常和信息安全事件的审计日志,并要保持一个已设的周期以支持将来的调查和访问控制监视。 |
| A.12.4.2 | 日志信息保护 | 应保护日志设施和日志信息免受篡改和未授权访问。 | A.10.10.2 | 监视系统的使用 | 应建立信息处理设施的监视使用程序,监视活动的结果要经常评审 |
| A.12.4.3 | 管理员和操作者日志 | 应记录系统管理员和系统操作者的活动,进行日志保护及定期评审。 | A.10.10.3 | 日志信息的保护 | 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。 |
| A.12.4.4 | 时钟同步 | 在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。 | A.10.10.4 | 管理员和操作员日志 | 系统管理员和系统操作员活动应记入日志。 |
| A.10.10.5 | 故障日志 | 故障应被记录、分析,并采取适当的措施。 | |||
| A.10.10.6 | 时钟同步 | 一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。 | |||
| A.12.5操作软件控制 | A.12.4系统文件的安全 | ||||
| 目标:确保系统的完整性。 | 目标:确保系统文件的安全 | ||||
| A.12.5.1 | 运营系统的软件安装 | 应建立程序对运营中的系统的软件安装进行控制。 | A.12.4.1 | 运行软件的控制 | 应有程序来控制在运行系统上安装软件。 |
| A.12.4.2 | 系统测试数据的保护 | 测试数据应认真地加以选择、保护和控制。 | |||
| A.12.4.3 | 对程序源代码的访问控制 | 应限制访问程序源代码。 | |||
| A.12.6技术漏洞管理 | A.12.6技术脆弱性管理 | ||||
| 目标:防止技术漏洞被利用 | 目标:降低利用公布的技术脆弱性导致的风险。 | ||||
| A.12.6.1 | 管理技术漏洞 | 应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当的措施去解决相关风险。 | A.12.6.1 | 技术脆弱性的控制 | 应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。 |
| A.12.6.2 | 软件安装限制 | 应建立并实施用户软件安装规则。 | |||
| A.12.7信息系统审计的考虑因素 | |||||
| 目标:最小审计活动对系统运行影响。 | |||||
| A.12.7.1 | 信息系统审核控制 | 应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。 | |||
| A.13通信安全 | |||||
| A.13.1网络安全管理 | A.10.6网络安全管理 | ||||
| 目标:确保网络及信息处理设施中信息的安全。 | 目标:确保网络中信息的安全性并保护支持性的基础设施。 | ||||
| A.13.1.1 | 网络控制 | 应对网络进行管理和控制,以保护系统和应用程序的信息。 | A.10.6.1 | 网络控制 | 应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的应用程序的安全,包括传输中的信息。 |
| A.13.1.2 | 网络服务安全 | 应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。 | A.10.6.2 | 网络服务安全 | 安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。 |
| A.13.1.3 | 网络隔离 | 应在网络中按组(GROUP)隔离信息服务、用户和信息系统。 | |||
| A.13.2信息传输 | A.10.8信息的交换 | ||||
| 目标:应确保信息在组织内部或与外部组织之间传输的安全。 | 目标:保持组织内信息和软件交换及与外部组织信息和软件交换的安全。 | ||||
| A.13.2.1 | 信息传输策略和程序 | 应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。 | A.10.8.1 | 信息交换策略和程序 | 应有正式的交换策略、程序和控制措施,以保护通过使用各种类型通信设施的信息交换。 |
| A.13.2.2 | 信息传输协议 | 建立组织和外部各方之间的业务信息的安全传输协议。 | A.10.8.2 | 交换协议 | 应建立组织与外部团体交换信息和软件的协议。 |
| A.13.2.3 | 电子消息 | 应适当保护电子消息的信息。? | A.10.8.3 | 运输中的物理介质 | 包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。 |
| A.13.2.4 | 保密或非扩散协议 | 应制定并定期评审组织的信息安全保密协议或非扩散协议(NDA),该协议应反映织对信息保护的要求。 | A.10.8.4 | 电子消息发送 | 包含在电子消息发送中的信息应给予适当的保护。 |
| A.10.8.5 | 业务信息系统 | 应建立和实施策略和程序以保护与业务信息系统互联的信息。 | |||
| A.10.9电子商务服务 | |||||
| 目标:确保电子商务服务的安全及其安全使用。 | |||||
| A.10.9.1 | 电子商务 | 包含在使用公共网络的电子商务中的信息应受保护,以防止欺诈活动、合同争议和未授权的泄露和修改。 | |||
| A.10.9.2 | 在线交易 | 包含在在线交易中的信息应受保护,以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。 | |||
| A.10.9.3 | 公共可用信息 | 在公共可用系统中可用信息的完整性应受保护,以防止未授权的修改。 | |||
| A.14系统的获取、开发及维护 | A.12系统的获取、开发及维护 | ||||
| A.14.1信息系统安全需求 | A.12.1信息系统安全需求 | ||||
| 目标:确保信息安全成为信息系统生命周期的组成部分,包括向公共网络提供服务的信息系统的要求。 | 目标:确保安全是信息系统的一个有机组成部分。 | ||||
| A.14.1.1 | 信息安全需求分析和规范 | 新建信息系统或改进现有信息系统应包括信息安全相关的要求。 | A.12.1.1 | 安全要求分析和说明 | 在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施的要求。 |
| A.14.1.2 | 公共网络应用服务的安全 | 应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。 | |||
| A.14.1.3 | 保护在线交易 | 应保护应用服务传输中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。 | |||
| A.12.2应用中的正确处理 | |||||
| 目标:防止应用系统中的信息的错误、遗失、未授权的修改及误用。 | |||||
| A.12.2.1 | 输入数据的验证 | 输入应用系统的数据应加以验证,以确保数据是正确且恰当的。 | |||
| A.12.2.2 | 内部处理的控制 | 验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。 | |||
| A.12.2.3 | 消息完整性 | 应用中的确保真实性和保护消息完整性的要求应得到识别,适当的控制措施也应得到识别并实施。 | |||
| A.12.2.4 | 输出数据的验证 | 从应用系统输出的数据应加以验证,以确保对所存储信息的处理是正确的且适于环境的。 | |||
| A.14.2开发和支持过程的安全 | A.12.5开发和支持过程的安全 | ||||
| 目标:确保信息系统开发生命周期中设计和实施信息安全。 | 目标:维护应用系统软件和信息的安全。 | ||||
| A.14.2.1 | 安全开发策略 | 应建立组织内部的软件和系统开发准则。 | A.12.5.1 | 变更控制程序 | 应使用正式的变更控制程序控制变更的实施。 |
| A.14.2.2 | 系统变更控制程序 | 应通过正式的变更控制程序,控制在开发生命周期中的系统变更实施。 | A.12.5.2 | 操作系统变更后应用的技术评审 | 当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行或安全没有负面影响。 |
| A.14.2.3 | 操作平台变更后的技术评审 | 当操作平台变更后,应评审并测试关键的业务应用系统,以确保变更不会对组织的运营或安全产生负面影响。 | A.12.5.3 | 软件包变更的限制 | 应对软件包的修改进行劝阻,限制必要的变更,且对所有的变更加以严格控制。 |
| A.14.2.4 | 软件包变更限制 | 不鼓励对软件包进行变更,对必要的更改需严格控制。 | A.12.5.4 | 信息泄露 | 应防止信息泄露的可能性。 |
| A.14.2.5 | 涉密系统的工程原则 | 应建立、记录、维护和应用安全系统的工程原则,并执行于任何信息系统。 | A.12.5.5 | 外包软件开发 | 组织应管理和监视外包软件的开发。 |
| A.14.2.6 | 开发环境安全 | 应在整个系统开发生命周期的系统开发和集成工作,建立并妥善保障开发环境的安全。 | |||
| A.14.2.7 | 外包开发 | 组织应监督和监控系统外包开发的活动。 | |||
| A.14.2.8 | 系统安全测试 | 在开发过程中,应进行安全性的测试。 | |||
| A.14.2.9 | 系统验收测试 | 应建立新信息系统、系统升级及新版本的验收测试程序和相关标准。 | A.10.3.2 | 系统验收 | 应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。 |
| A.14.3测试数据 | |||||
| 目标:确保测试数据安全。 | |||||
| A.14.3.1 | 测试数据的保护 | 应谨慎选择测试数据,并加以保护和控制。 | |||
| A.15供应商关系 | |||||
| A.15.1供应商关系的信息安全 | A.10.2第三方服务交付管理 | ||||
| 目标:确保组织被供应商访问的信息的安全。 | 目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。 | ||||
| A.15.1.1 | 供应商关系的信息安全策略 | 为降低供应商使用该组织的资产相关的风险的信息安全要求应获得许可并记录。 | A.10.2.1 | 服务交付 | 应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。 |
| A.15.1.2 | 在供应商协议中强调安全 | 与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。 | A.10.2.2 | 第三方服务的监视和评审 | 应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。 |
| A.15.1.3 | 信息和通信技术的供应链 | 供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。 | A.10.2.3 | 第三方服务的变更管理 | 应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估。 |
| A.15.2供应商服务交付管理 | |||||
| 目标:保持一致的信息安全水平,确保服务交付符合服务协议要求。 | |||||
| A.15.2.1 | 供应商服务的监督和评审 | 组织应定期监控、评审和审核供应商的服务交付。 | |||
| A.15.2.2 | 供应商服务的变更管理 | 应管理供应商服务的变更,包括保持和改进现有信息安全策略、程序和控制措施,考虑对业务信息、系统、过程的关键性和风险的再评估。 | |||
| A.16信息安全事件管理 | A.13信息安全事件管理 | ||||
| A.16.1信息安全事件的管理和改进 | A.13.1报告信息安全事件和弱点 | ||||
| 目标:确保持续、有效地管理信息安全事件,包括对安全事件和弱点的沟通。 | 目标:确保与信息系统有关的信息安全事件和弱点能够以某种方式传达,以便及时采取纠正措施。 | ||||
| A.16.1.1 | 职责和程序 | 应建立管理职责和程序,以快速、有效和有序的响应信息安全事件。 | A.13.1.1 | 报告信息安全事件 | 信息安全事件应该尽可能快地通过适当的管理渠道进行报告。 |
| A.16.1.2 | 报告信息安全事件 | 应通过适当的管理途径尽快报告信息安全事件。 | A.13.1.2 | 报告安全弱点 | 应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。 |
| A.16.1.3 | 报告信息安全弱点 | 应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。 | A.13.2信息安全事故和改进的管理 | ||
| A.16.1.4 | 评估和决策信息安全事件 | 应评估信息安全事件,以决定其是否被认定为信息安全事故。 | 目标:确保采用一致和有效的方法对信息安全事故进行管理。 | ||
| A.16.1.5 | 响应信息安全事故 | 应按照文件化程序响应信息安全事故。 | A.13.2.1 | 职责和程序 | 应建立管理职责和程序,以确保能对信息安全事故做出快速、有效和有序的响应。 |
| A.16.1.6 | 从信息安全事故中学习 | 分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。 | A.13.2.2 | 对信息安全事故的总结 | 应有一套机制量化和监视信息安全事故的类型、数量和代价。 |
| A.16.1.7 | 收集证据 | 组织应建立和采取程序,识别、收集、采集和保存可以作为证据的信息。 | A.13.2.3 | 证据的收集 | 当一个信息安全事故涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。 |
| A.17业务连续性管理中的信息安全 | A.14业务连续性管理中的信息安全 | ||||
| A.17.1信息安全的连续性 | A.14.1业务连续性管理的信息安全方面 | ||||
| 目标:信息安全的连续性应嵌入组织的业务连续性管理体系。 | 目标:防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。 | ||||
| A.17.1.1 | 规划信息安全的连续性 | 组织应确定其需求,以保证在不利情况下的信息安全和信息安全管理的连续性,如在危机或灾难时。 | A.14.1.1 | 业务连续性管理过程中包含的信息安全 | 应为贯穿于组织的业务连续性开发和保持一个管理过程,以解决组织的业务连续性所需的信息安全要求。 |
| A.17.1.2 | 实现信息安全的连续性 | 组织应建立,记录,实施,维护程序和控制过程,以确保一个不利的情况过程中所需的连续性的信息安全。 | A.14.1.2 | 业务连续性和风险评估 | 应识别能引起业务过程中断的事件,这种中断发生的概率和影响,以及它们对信息安全所造成的后果。 |
| A.17.1.3 | 验证,评审和评估信息安全的连续性 | 组织应定期验证已建立并实施的信息安全连续性控制,以确保它们是有效的,并在不利的情况下同样有效。 | A.14.1.3 | 制定和实施包含信息安全的连续性计划 | 应制定和实施计划来保持或恢复运行,以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。 |
| A.14.1.4 | 业务连续性计划框架 | 应保持一个唯一的业务连续性计划框架,以确保所有计划是一致的,能够协调地解决信息安全要求,并为测试和维护确定优先级。 | |||
| A.14.1.5 | 测试、保持和再评估业务连续性计划 | 业务连续性计划应定期测试和更新,以确保其及时性和有效性。 | |||
| A.17.2冗余 | |||||
| 目标:确保信息处理设施的可用性。 | |||||
| A.17.2.1 | 信息处理设施的可用性 | 信息处理设施应具备足够的冗余,以满足可用性要求。 | |||
| A.18符合性 | A.15符合性 | ||||
| A.18.1法律和合同规定的符合性 | A.15.1符合法律要求 | ||||
| 目标:避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。 | 目标:避免违反任何法律、法令、法规或合同义务,以及任何安全要求。 | ||||
| A.18.1.1 | 识别适用的法律法规和合同要求 | 应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新。 | A.15.1.1 | 可用法律的识别 | 对每一个信息系统和组织而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新。 |
| A.18.1.2 | 知识产权 | 应实施适当的程序,以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求。 | A.15.1.2 | 知识产权 | 应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。 |
| A.18.1.3 | 保护记录 | 应按照法律法规、合同和业务要求,保护记录免受损坏、破坏、未授权访问和未授权发布,或伪造篡改。 | A.15.1.3 | 保护组织的记录 | 应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。 |
| A.18.1.4 | 个人信息和隐私的保护 | 个人身份信息和隐私的保护应满足相关法律法规的要求。 | A.15.1.4 | 数据保护和个人信息的隐私 | 应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。 |
| A.18.1.5 | 加密控制法规 | 使用加密控制应确保遵守相关的协议、法律法规。 | A.15.1.5 | 防止滥用信息处理设施 | 应禁止用户使用信息处理设施用于未授权的目的。 |
| A.15.1.6 | 密码控制措施的规则 | 使用密码控制措施应遵从相关的协议、法律和法规。 | |||
| A.18.2信息安全评审 | A.15.2符合安全策略和标准,以及技术符合性 | ||||
| 目标:确保依照组织策略和程序实施信息安全。 | 目标:确保系统符合组织的安全策略及标准。 | ||||
| A.18.2.1 | 信息安全的独立评审 | 应在计划的时间间隔或发生重大变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。 | A.15.2.1 | 符合安全策略和标准 | 管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。 |
| A.18.2.2 | 符合安全策略和标准 | 管理层应定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求。 | A.15.2.2 | 技术符合性检查 | 信息系统应被定期检查是否符合安全实施标准。 |
| A.18.2.3 | 技术符合性评审 | 应定期评审信息系统与组织的信息安全策略、标准的符合程度。 | A.15.3信息系统审核考虑 | ||
| 目标:将信息系统审核过程的有效性最大化,干扰最小化。 | |||||
| A.15.3.1 | 信息系统审核控制措施 | 涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。 | |||
| A.15.3.2 | 信息系统审核工具的保护 | 对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。 | |||
扫一扫
02-22
430
430
07-13
12-01
2327
2327
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
