本文详细介绍了ISO27001附录A中的控制目标和控制项,涵盖信息安全策略、组织结构、人力资源安全、资产管理、访问控制、密码学等多个领域,旨在帮助企业构建全面的信息安全管理体系。
本文为ISO 27001官方文件的附录A,附录A所列的控制目标和控制项,直接与ISO/IEC 27002的第5-18章所对应。附录A是ISO 27002的精华版本,完整说明还要阅读ISO 27002的文档
普及:为什么是第5-18章?因为第1-4章都是类似文档说明,并没有实际作用。
信息安全管理体系结构
附录A
下载地址:https://download.csdn.net/download/wutianxu123/10991069
看了一下,不知道为啥,默认要 5 积分?!没有积分的同学请加我微信索要……
五 信息安全战略
5.1 信息安全的管理方向
目标:依据业务要求和相关法律法规?供管理方向并支持信息安全。
| 章节 | 概要 | 说明 |
|---|---|---|
| 5.1.1 | 信息安全策略 | 控制措施 信息安全策略集应由管理者定义、批准、发布并传达给员工和相关外部方 |
| 5.1.2 | 信息安全策略的评审 | 控制措施 信息安全策略应按计划的时间间隔或当重大变化发生时进行评审,以确保其持续的适宜性、充分性和有效性。 |
六 信息安全组织
6.1 内部组织
目标:建立管理框架,以启动和控制组织范围内的信息安全的实施和运行。
| 章节 | 概要 | 说明 |
|---|---|---|
| 6.1.1 | 信息安全角色和职责 | 控制措施 所有的信息安全职责应予以定义和分配。 |
| 6.1.2 | 职责分离 | 控制措施 分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。 |
| 6.1.3 | 与政府部门的联系 | 控制措施 应保持与政府相关部门的适当联系。 |
| 6.1.4 | 与特定利益集团的联系 | 控制措施 应保持与特定利益集团、其他安全论坛和专业协会的适当联系。 |
| 6.1.5 | 项目管理中的信息安全 | 控制措施 无论项目是什么类型,在项目管理中都应处理信息安全问题。 |
6.2 移动设备和远程工作
目标:确保远程工作和使用移动设备时的安全。
| 章节 | 概要 | 说明 |
|---|---|---|
| 6.2.1 | 移动设备策略 | 控制措施 应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。 |
| 6.2.2 | 远程工作 | 控制措施 应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。 |
七 人力资源安全
7.1 任用之前
目标:确保雇员和承包方人员理解其职责、适于考虑让其承担的角色。
| 章节 | 概要 | 说明 |
|---|---|---|
| 7.1.1 | 审查 | 控制措施 关于所有任用候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 |
| 7.1.2 | 任用条款和条件 | 控制措施 与雇员和承包方人员的合同协议应声明他们和组织的信息安全职责。 |
7.2 任用中
目标:确保雇员和承包方人员知悉并履行其信息安全职责。
| 章节 | 概要 | 说明 |
|---|---|---|
| 7.2.1 | 管理职责 | 控制措施 管理者应要求所有雇员和承包方人员按照组织已建立的策略和规程对信息安全尽心尽力。 |
| 7.2.2 | 信息安全意识、教育和培训 | 控制措施 组织的所有雇员,适当时,包括承包方人员,应受到与其工作职能相关的适当的意识培训和组织策略及规程的定期更新培训。 |
| 7.2.3 | 纪律处理过程 | 控制措施 应有一个正式的、已传达的纪律处理过程,来对信息安全违规的雇员采取措施。 |
7.3 任用的终止或变更
目标:将保护组织利益作为变更或终止任用过程的一部分。
| 章节 | 概要 | 说明 |
|---|---|---|
| 7.3.1 | 任用终止或变更职责 | 控制措施 应定义信息安全职责和义务在任用终止或变更后保持有效的要求,并传达给雇员或承包方人员,予以执行。 |
八 资产管理
8.1 对资产负责
目标:识别组织资产,并定义适当的保护职责。
| 章节 | 概要 | 说明 |
|---|---|---|
| 8.1.1 | 资产清单 | 控制措施 应识别与信息和信息处理设施的资产,编制并维护这些资产的清单。 |
| 8.1.2 | 资产所有权 | 控制措施 清单中所维护的资产应分配所有权。 |
| 8.1.3 | 资产的可接受使用 | 控制措施 信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。 |
| 8.1.4 | 资产的归还 | 控制措施 所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 |
8.2 信息分类
目标:确保信息按照其对组织的重要性受到适当级别的保护。
| 章节 | 概要 | 说明 |
|---|---|---|
| 8.2.1 | 信息的分类 | 控制措施 信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。 |
| 8.2.2 | 信息的标记 | 控制措施 应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。 |
| 8.2.3 | 信息的处理 | 控制措施 应按照组织所采纳的信息分类机制建立和实施处理资产的规程。 |
8.3 介质处置
目标:防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。
| 章节 | 概要 | 说明 |
|---|---|---|
| 8.3.1 | 可移动介质的管理 | 控制措施 应按照组织所采纳的分类机制实施可移动介质的管理规程。 |
| 8.3.2 | 介质的处置 | 控制措施 不再需要的介质,应使用正式的规程可靠并安全地处置。 |
| 8.3.3 | 物理介质传输 | 控制措施 包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。 |
九 访问控制
9.1 安全区域
目标:限制对信息和信息处理设施的访问。
| 章节 | 概要 | 说明 |
|---|---|---|
| 9.1.1 | 访问控制策略 | 控制措施 访问控制策略应建立、形成文件,并基于业务和信息安全要求进行评审。 |
| 9.1.2 | 网络和网络服务的访问 | 控制措施 用户应仅能访问已获专门授权使用的网络和网络服务。 |
9.2 用户访问管理
目标:确保授权用户访问系统和服务,并防止未授权的访问。
| 章节 | 概要 | 说明 |
|---|---|---|
| 9.2.1 | 用户注册及注销 | 控制措施 应实施正式的用户注册及注销规程,使访问权限得以分配。 |
| 9.2.2 | 用户访问开通 | 控制措施 应实施正式的用户访问开通过程,以分配或撤销所有系统和服务所有用户类型的访问权限。 |
| 9.2.3 | 特殊访问权限管理 | 控制措施 应限制和控制特殊访问权限的分配及使用。 |
| 9.2.4 | 用户秘密鉴别信息管理 | 控制措施 应通过正式的管理过程控制秘密鉴别信息的分配。 |
| 9.2.5 | 用户访问权限的复查 | 控制措施 资产所有者应定期复查用户的访问权限。 |
| 9.2.6 | 撤销或调整访问权限 | 控制措施所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销,或在变化时调整。 |
9.3 用户职责
目标:使用户承担保护认证信息安全的责任。
| 章节 | 概要 | 说明 |
|---|---|---|
| 9.3.1 | 使用秘密鉴别信息 | 控制措施 应要求用户在使用秘密鉴别信息时,遵循组织的实践。 |
9.4 系统和应用访问控制
目标:防止对系统和应用的未授权访问。
| 章节 | 概要 | 说明 |
|---|---|---|
| 9.4.1 | 信息访问控制 | 控制措施 应依照访问控制策略限制对信息和应用系统功能的访问。 |
| 9.4.2 | 安全登录规程 | 控制措施 在访问控制策略要求下,访问操作系统和应用应通过安全登录规程加以控制。 |
| 9.4.3 | 口令管理系统 | 控制措施 口令管理系统应是交互式的,并应确保优质的口令。 |
| 9.4.4 | 特殊权限使用工具软件的使用 | 控制措施 对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以限制并严格控制。 |
| 9.4.5 | 对程序源代码的访问控制 | 控制措施 应限制访问程序源代码。 |
十 密码学
10.1 密码控制
目标:恰当和有效的利用密码学保护信息的保密性、真实性或完整性。
| 章节 | 概要 | 说明 |
|---|---|---|
| 10.1.1 | 使用密码控制的策略 | 控制措施 应开发和实施使用密码控制措施来保护信息的策略。 |
| 10.1.2 | 密钥管理 | 控制措施 宜开发和实施贯穿整个密钥生命周期的关于密钥使用、保护和生存期的策略。 |
十一 物理和环境安全
11.1 安全区域
目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。
| 章节 | 概要 | 说明 |
|---|---|---|
| 11.1.1 | 物理安全周边 | 控制措施 应定义安全周边和所保护的区域,包括敏感或关键的信息和信息处理设施的区域。 |
| 11.1.2 | 物理入口控制 | 控制措施 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。 |
| 11.1.3 | 办公室、房间和设施的安全保护 | 控制措施 应为办公室、房间和设施设计并采取物理安全措施。 |
| 11.1.4 | 外部环境威胁的安全防护 | 控制措施 为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。 |
| 11.1.5 | 在安全区域工作 | 控制措施 应设计和应用工作在安全区域的规程。 |
| 11.1.6 | 交接区安全 | 控制措施 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 |
11.2 设备
目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
| 章节 | 概要 | 说明 |
|---|---|---|
| 11.2.1 | 设备安置和保护 | 控制措施 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 |
| 11.2.2 | 支持性设施 | 控制措施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 |
| 11.2.3 | 布缆安全 | 控制措施 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。 |
| 11.2.4 | 设备维护 | 控制措施 设备应予以正确地维护,以确保其持续的可用性和完整性。 |
| 11.2.5 | 资产的移动 | 控制措施 设备、信息或软件在授权之前不应带出组织场所。 |
| 11.2.6 | 组织场外设备 和资产的安全 | 控制措施 应对组织场所外的设备采取安全措施,要考虑工作在组织场所以外的不同风险。 |
| 11.2.7 | 设备的安全处置或在利用 | 控制措施 包含储存介质的设备的所有项目应进行验证,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。 |
| 11.2.8 | 无人值守的用户设备 | 控制措施 用户应确保无人值守的用户设备有适当的保护。 |
| 11.2.9 | 清空桌面和屏幕策略 | 控制措施应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。 |
十二 操作安全
12.1 操作规程和职责
目标:确保正确、安全的操作信息处理设施。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.1.1 | 文件化的操作规程 | 控制措施 操作规程应形成文件并对所有需要的用户可用。 |
| 12.1.2 | 变更管理 | 控制措施 对影响信息安全的组织、业务过程、信息处理设施和系统等的变更应加以控制。 |
| 12.1.3 | 容量管理 | 控制措施 资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能。 |
| 12.1.4 | 开发、测试和运行环境分离 | 控制措施 开发、测试和运行环境应分离,以减少未授权访问或改变运行环境的风险。 |
12.2 恶意软件防护
目标:确保对信息和信息处理设施进行恶意软件防护。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.2.1 | 控制恶意软件 | 控制措施 应实施恶意软件的检测、预防和恢复的控制措施,以及适当的提高用户安全意识。 |
12.3 备份
目标:为了防止数据丢失。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.3.1 | 信息备份 | 控制措施 应按照已设的备份策略,定期备份和测试信息和软件。 |
12.4 日志和监视
目标:记录事态和生成证据。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.4.1 | 事态记录 | 控制措施 应产生记录用户活动、异常情况、故障和信息安全事态的事态日志,并保持定期评审。 |
| 12.4.2 | 日志信息的保护 | 控制措施 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。 |
| 12.4.3 | 管理员和操作员日志 | 控制措施 系统管理员和系统操作员的活动应记入日志,保护日志并定期评审。 |
| 12.4.4 | 时钟同步 | 控制措施 一个组织或安全域内的所有相关信息处理设施的时钟应使用单一参考时间源进行同步。 |
12.5 运行软件的控制
目标:确保运行系统的完整性。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.5.1 | 在运行系统上安装软件 | 控制措施 应实施规程来控制在运行系统上安装软件。 |
12.6 技术脆弱性管理
目标:防止技术脆弱性被利用。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.6.1 | 技术脆弱性的控制 | 控制措施 应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。 |
| 12.6.2 | 限制软件安装 | 控制措施 应建立和实施软件安装的用户管理规则。 |
12.7 信息系统审计考虑
目标:将运行系统审计活动的影响最小化。
| 章节 | 概要 | 说明 |
|---|---|---|
| 12.7.1 | 信息系统审计控制措施 | 控制措施 涉及对运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便使造成业务过程中断最小化。 |
十三 通信安全
13.1 网络安全管理
目标:确保网络中信息的安全性并保护支持性信息处理设施。
| 章节 | 概要 | 说明 |
|---|---|---|
| 13.1.1 | 网络控制 | 控制措施 应管理和控制网络,以保护系统中信息和应用程序的安全。 |
| 13.1.2 | 网络服务安全 | 控制措施 安全机制、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部?供的还是外包的。 |
| 13.1.3 | 网络隔离 | 控制措施 应在网络中隔离信息服务、用户及信息系统。 |
13.2 信息传递
目标:保持组织内以及与组织外信息传递的安全。
| 章节 | 概要 | 说明 |
|---|---|---|
| 13.2.1 | 信息传递策略和规程 | 控制措施 应有正式的传递策略、规程和控制措施,以保护通过使用各种类型通信设施的信息传递。 |
| 13.2.2 | 信息传递协议 | 控制措施 协议应解决组织与外部方之间业务信息的安全传递。 |
| 13.2.3 | 电子消息发送 | 控制措施 包含在电子消息发送中的信息应给予适当的保护。 |
| 13.2.4 | 保密性或不泄露协议 | 控制措施 应识别、定期评审并记录反映组织信息保护需要的保密性或不泄露协议的要求。 |
十四 系统获取、开发和维护
14.1 信息系统的安全需求
目标:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括?供公共网络服务的信息系统的要求。
| 章节 | 概要 | 说明 |
|---|---|---|
| 14.1.1 | 信息安全要求分析和说明 | 控制措施 信息安全相关要求应包括新的信息系统要求或增强已有信息系统的要求。 |
| 14.1.2 | 公共网络应用服务安全 | 控制措施 应保护公共网络中的应用服务信息,以防止欺骗行为、合同纠纷、未授权泄露和修改。 |
| 14.1.3 | 保护应用服务交易 | 控制措施 应保护涉及应用服务交易的信息,以防止不完整传送、错误路由、未授权消息变更、未授权泄露、未授权消息复制或重放。 |
14.2 开发和支持过程中的安全
目标:应确保进行信息安全设计,并确保其在信息系统开发生命周期中实施。
| 章节 | 概要 | 说明 |
|---|---|---|
| 14.2.1 | 安全开发策略 | 控制措施 应建立软件和系统开发规则,并应用于组织内的开发。 |
| 14.2.2 | 系统变更控制规程 | 控制措施 应通过使用正式变更控制程序控制开发生命周期中的系统变更。 |
| 14.2.3 | 运行平台变更后应用的技术评审 | 控制措施 当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。 |
| 14.2.4 | 软件包变更的限制 | 控制措施 应对软件包的修改进行劝阻,只限于必要的变更,且对所有的变更加以严格控制。 |
| 14.2.5 | 安全系统工程原则 | 控制措施 应建立、记录和维护安全系统工程原则,并应用到任何信息系统实施工作。 |
| 14.2.6 | 安全开发环境 | 控制措施 组织应建立并适当保护系统开发和集成工作的安全开发环境,覆盖整个系统开发生命周期。 |
| 14.2.7 | 外包开发 | 控制措施 组织应管理和监视外包系统开发活动。 |
| 14.2.8 | 系统安全测试 | 控制措施 在开发过程中,应进行安全功能测试。 |
| 14.2.9 | 系统验收测试 | 控制措施 对于新建信息系统和新版本升级系统,应建立验收测试方案和相关准则。 |
14.3 测试数据
目标:确保保护测试数据。
| 章节 | 概要 | 说明 |
|---|---|---|
| 14.3.1 | 系统测试数据的保护 | 控制措施 测试数据应认真地加以选择、保护和控制。 |
十五 供应商关系
15.1 供应商关系的信息安全
目标:确保保护可被供应商访问的组织资产。
| 章节 | 概要 | 说明 |
|---|---|---|
| 15.1.1 | 供应商关系的信息安全策略 | 控制措施 为减缓供应商访问组织资产带来的风险,应与供应商协商并记录相关信息安全要求。 |
| 15.1.2 | 处理供应商协议的安全问题 | 控制措施 应与每个可能访问、处理、存储组织信息、与组织进行通信或为组织提供 IT 基础设施组件的供应商建立并协商所有相关的信息安全要求。 |
| 15.1.3 | 信息和通信技术供应链 | 控制措施 供应商协议应包括信息和通信技术服务以及产品供应链相关信息安全风险处理的要求。 |
15.2 供应商服务交付管理
目标:保持符合供应商交付协议的信息安全和服务交付的商定水准。
| 章节 | 概要 | 说明 |
|---|---|---|
| 15.2.1 | 供应商服务的监视和评审 | 控制措施 组织应定期监视、评审和审计供应商服务交付。 |
| 15.2.2 | 供应商服务的变更管理 | 控制措施 应管理供应商服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务信息、系统和涉及过程的关键程度及风险的再评估。 |
十六 信息安全事件管理
16.1 信息安全事件和改进的管理
目标:确保采用一致和有效的方法对信息安全事件进行管理,包括安全事件和弱点的传达。
| 章节 | 概要 | 说明 |
|---|---|---|
| 16.1.1 | 职责和规程 | 控制措施 应建立管理职责和规程,以确保快速、有效和有序地响应信息安全事件。 |
| 16.1.2 | 报告信息安全事态 | 控制措施 信息安全事态应尽可能快地通过适当的管理渠道进行报告。 |
| 16.1.3 | 报告信息安全弱点 | 控制措施 应要求使用组织信息系统和服务的所有雇员和承包方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。 |
| 16.1.4 | 评估和确定信息安全事态 | 控制措施 信息安全事态应被评估,并且确定是否划分成信息安全事件。 |
| 16.1.5 | 信息安全事件响应 | 控制措施 应具有与信息安全事件响应相一致的文件化规程。 |
| 16.1.6 | 对信息安全事件的总结 | 控制措施 获取信息安全事件分析和解决的知识应被用户降低将来事件发生的可能性或影响。 |
| 16.1.7 | 证据的收集 | 控制措施 组织应定义和应用识别、收集、获取和保存信息的程序,这些信息可以作为证据。 |
十七 业务连续性管理的信息安全方面
17.1 信息安全连续性
目标:组织的业务连续性管理体系中应体现信息安全连续性。
| 章节 | 概要 | 说明 |
|---|---|---|
| 17.1.1 | 信息安全连续性计划 | 控制措施 组织应确定不利情况下(例如,一个危机或危难时)信息安全的要求和信息安全管理连续性。 |
| 17.1.2 | 实施信息安全连续性计划 | 控制措施 组织应建立、文件化、实施和维护过程、规程和控制措施,确保在负面情况下要求的信息安全连续性级别。 |
| 17.1.3 | 验证、评审和评价信息安全连续性计划 | 控制措施 组织应定期验证已制定和实施信息安全业务连续性计划的控制措施,以确保在负面情况下控制措施的及时性和有效性。 |
17.2 冗余
目标:确保信息处理设施的有效性。
| 章节 | 概要 | 说明 |
|---|---|---|
| 17.2.1 | 信息处理设施的可用性 | 控制措施 信息处理设备应冗余部署,以满足高可用性需求。 |
十八 符合性
18.1 符合法律和合同要求
目标:避免违反任何法律、法令、法规或合同义务以及任何安全要求。
| 章节 | 概要 | 说明 |
|---|---|---|
| 18.1.1 | 可用法律及合同要求的识别 | 控制措施 对每一个信息系统和组织而言,所有相关的法律依据、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新。 |
| 18.1.2 | 知识产权 (IPR) | 控制措施 应实施适当的规程,以确保相关的知识产权和所有权的软件产品的使用,符合法律、法规和合同的要求。 |
| 18.1.3 | 保护记录 | 控制措施 应防止记录的遗失、毁坏、伪造、非授权访问和非授权删除,以满足法令、法规、合同和业务的要求。 |
| 18.1.4 | 隐私和个人身份信息保护 | 控制措施 隐私和个人身份信息保护应确保符合相关法律、法规的要求。 |
| 18.1.5 | 密码控制措施的规则 | 控制措施 使用密码控制措施应遵从相关的协议、法律和法规。 |
18.2 信息安全评审
目标:确保信息安全实施及运行符合组织策略和程序。
| 章节 | 概要 | 说明 |
|---|---|---|
| 18.2.1 | 独立的信息安全评审 | 控制措施 应定期或发生较大变更时对组织的信息安全处置和实施方法(即控制目标、控制、策略、过程和信息安全程序)进行评审。 |
| 18.2.2 | 符合安全策略和标准 | 控制措施 管理者应定期对所辖职责范围内的信息安全过程和规程评审,以确保符合相应的安全政策、标准及其他安全要求。 |
| 18.2.3 | 技术符合性评审 | 控制措施 信息系统应被定期评审是否符合组织的信息安全政策和标准。 |
扫一扫
1363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
