ISO IEC 27002：2022 信息安全控制（中英文）.pdf

ISO IEC 27002：2022 信息安全控制（中英文）.pdf

《ISO IEC 27002：2022 信息安全控制（中英文）.pdf》由会员分享，可在线阅读，更多相关《ISO IEC 27002：2022 信息安全控制（中英文）.pdf（326页珍藏版）》请在冰点文库上搜索。

版本说明：

本中英文对照版仅用于学习，任何组织、个人不得以任何形式和理由收取费用，版本说明：

本中英文对照版仅用于学习，任何组织、个人不得以任何形式和理由收取费用，如发现收费行为发布请在原链接下载：

知识星球-利刃信安如发现收费行为发布请在原链接下载：

知识星球-利刃信安ISO/IECJTC1SC27信息技术信息技术网络安全与隐私网络安全与隐私保护保护信息安全控制信息安全控制ISO/IEC270022022翻译樊山2022-3-3目录前言.140介绍.160.1Backgroundandcontext背景和环境.160.2Informationsecurityrequirements信息安全需求.170.3Controls控制.180.4Determiningcontrols确定控制.180.5Developingyourownguidelines开发自己的指南.190.6Lifecycleconsiderations生命周期注意事项.200.7Relatedstandards相关标准.201范围.212规范性引用.213术语，定义和缩写词.223.1术语和定义.223.1.1Accesscontrol访问控制.223.1.2Asset资产.233.1.3Attack攻击.233.1.4Authentication认证.243.1.5Authenticity真实性.243.1.6Chainofcustody监管链.243.1.7Confidentialinformation机密信息.243.1.8Control控制.253.1.9Disruption破坏.253.1.10Endpointdevice终端设备.253.1.11Entity实体.263.1.12Informationprocessingfacility信息处理设施.263.1.13Informationsecuritybreach信息安全漏洞.263.1.14Informationsecurityevent信息安全事件.273.1.15Informationsecurityincident信息安全事故.273.1.16Informationsecurityincidentmanagement信息安全事件管理.273.1.17Informationsystem信息系统.273.1.18Interestedparty（preferredterm）相关方（优先条款）.283.1.19Non-repudiation不可否认性.283.1.20Personnel员工.283.1.21PersonallyidentifiableinformationPII个人身份信息.283.1.22PIIprincipalPII主体.293.1.23PIIprocessorPII处理者.293.1.25PrivacyimpactassessmentPIA隐私影响评估.293.1.26Procedure程序.303.1.27Process过程.303.1.28Record记录.303.1.29Recoverypointobjective恢复点目标RPO.303.1.30Recoverytimeobjective恢复时间目标RTO.313.1.31Reliability可靠性.313.1.32Rule规则.313.1.33Sensitiveinformation敏感信息.313.1.34Threat威胁.313.1.35Topic-specificpolicy特定主题策略.323.1.36User用户.323.1.37Vulnerability脆弱性.323.2缩略语.334本文件的结构.344.1条款.344.2主题和属性.354.3控制设计.385组织控制.385.1Policiesforinformationsecurity信息安全策略.38Control控制.39Purpose目的.39Guidance指南.39Otherinformation其他信息.435.2Informationsecurityrolesandresponsibilities信息安全角色和职责.43Control控制.44Purpose目的.44Guidance指南.44Otherinformation其他信息.455.3Segregationofduties职责分工.46Control控制.46Purpose目的.46Guidance指南.46Otherinformation其他信息.485.4Managementresponsibilities管理职责.48Control控制.48Purpose目的.49Guidance指南.49Otherinformation其他信息.505.5Contactwithauthorities与当局联系.50Control控制.51Purpose目的.51Guidance指南.51Otherinformation其他信息.515.6Contactwithspecialinterestgroups与特殊利益团体联系.52Control控制.52Purpose目的.52Guidance指南.52Otherinformation其他信息.535.7Threatintelligence威胁情报.53Control控制.53Purpose目的.54Guidance指南.54Otherinformation其他信息.555.8Informationsecurityinprojectmanagement项目管理中的信息安全.56Control控制.56Purpose目的.56Guidance指南.56Otherinformation其他信息.595.9Inventoryofinformationandotherassociatedassets信息和其他相关资产清单.59Control控制.60Purpose目的.60Guidance指南.60Otherinformation其他信息.625.10Acceptableuseofinformationandotherassociatedassets信息和其他相关资产的可接受使用.63Control控制.63Purpose目的.63Guidance指南.63Otherinformation其他信息.655.11Returnofassets资产归还.65Control控制.65Purpose目的.65Guidance指南.66Otherinformation其他信息.675.12Classificationofinformation信息分级（类）.67Control控制.67Purpose目的.67Guidance指南.67Otherinformation其他信息.695.13Labellingofinformation信息标签.70Control控制.70Purpose目的.70Guidance指南.70Otherinformation其他信息.725.14InformationTransfer信息传输.72Control控制.73Purpose目的.73Guidance指南.73Otherinformation其他信息.775.15Accesscontrol访问控制.77Control控制.77Purpose目的.78Guidance指南.78Otherinformation其他信息.795.16Identitymanagement身份管理.81Control控制.81Purpose目的.81Guidance指南.82Otherinformation其他信息.835.17Authenticationinformation认证信息.83Control控制.84Purpose目的.84Guidance指南.84Otherinformation其他信息.865.18Accessrights访问权.87Control控制.87Purpose目的.88Guidance指南.88Otherinformation其他信息.905.19Informationsecurityinsupplierrelationships供应商关系中的信息安全.90Control控制.91Purpose目的.91Guidance指南.91Otherinformation其他信息.945.20AddressinginformationsecurityintheICTsupplychain解决ICT供应链中的信息安全问题.95Control控制.95Purpose目的.95Guidance指南.95Otherinformation其他信息.985.21ManaginginformationsecurityintheICTsupplychain.99Control控制.99Purpose目的.99Guidance指南.99Otherinformation其他信息.1015.22Monitoring,reviewandchangemanagementofsupplierservices供应商的监控，审查和变更.103Control控制.103Purpose目的.103Guidance指南.103Otherinformation其他信息.1055.23Informationsecurityforuseofcloudservices使用云服务的信息安全.106Control控制.106Purpose目的.106Guidance指南.106Otherinformation其他信息.1105.24Informationsecurityincidentmanagementplanningandpreparation信息安全事件管理计划与准备.110Control控制.111Purpose目的.111Guidance指南.111Otherinformation其他信息.1145.25Assessmentanddecisiononinformationsecurityevents信息安全事件评估与决策.114Control控制.114Purpose目的.114Guidance指南.115Otherinformation其他信息.1155.26Responsetoinformationsecurityincidents响应信息安全事件.115Control控制.115Purpose目的.116Guidance指南.116Otherinformation其他信息.1175.27Learningfrominformationsecurityincidents从信息安全事件中学习.117Control控制.117Purpose目的.118Guidance指南.118Otherinformation其他信息.1185.28Collectionofevidence收集证据.119Control控制.119Purpose目的.119Guidance指南.119Otherinformation其他信息.1205.29Informationsecurityduringdisruption中断期间的信息安全.121Control控制.121Purpose目的.121Guidance指南.121Otherinformation其他信息.1225.30ICTreadinessforbusinesscontinuityICT业务连续性准备.122Control控制.123Purpose目的.123Guidance指南.123Otherinformation其他信息.1255.31Identificationoflegal,statutory,regulatoryandcontractualrequirements.125Control控制.126Purpose目的.126Guidance指南.126Otherinformation其他信息.1285.32Intellectualpropertyrights知识产权.128Control控制.129Purpose目的.129Guidance指南.129Otherinformation其他信息.1305.33Protectionofrecords保护记录.131Control控制.131Purpose目的.131Guidance指南.132Otherinformation其他信息.1335.34PrivacyandprotectionofPIIPII隐私权和保护.134Control控制.134Purpose目的.134Guidance指南.134Otherinformation其他信息.1355.35Independentreviewofinformationsecurity信息安全独立审查.136Control控制.136Purpose目的.136Guidance指南.136Otherinformation其他信息.1385.36Compliancewithpoliciesandstandardsforinformationsecurity遵守信息安全政策和标准.138Control控制.138Purpose目的.138Guidance指南.138Otherinformation其他信息.1395.37Documentedoperatingprocedures记录操作程序.139Control控制.140Purpose目的.140Guidance指南.140Otherinformation其他信息.1426人员控制.1426.1Screening筛选.142Control控制.142Purpose目的.142Guidance指南.143Otherinformation其他信息.1446.2Termsandconditionsofemployment雇佣条款.144Control控制.145Purpose目的.145Guidance指南.145Otherinformation其他信息.1466.3Informationsecurityawareness,educationandtraining信息安全意识，教育和培训.147Control控制.147Purpose目的.147Guidance指南.148Otherinformation其他信息.1506.4Disciplinaryprocess惩戒条款.150Control控制.151Purpose目的.151Guidance指南.151Otherinformation其他信息.1526.5Responsibilitiesafterterminationorchangeofemployment终止和变更工作后的责任.152Control控制.152Purpose目的.153Guidance指南.153Otherinformation其他信息.1546.6Confidentialityornon-disclosureagreements保密和保密协议.154Control控制.154Purpose目的.155Guidance指南.155Otherinformation其他信息.1566.7Remoteworking远程工作.156Control控制.156Purpose目的.157Guidance指南.157Otherinformation其他信息.1596.8RemoteworkingInformationsecurityeventreporting远程办公信息安全事件报告.159Control控制.160Purpose目的.160Guidance指南.160Otherinformation其他信息.1617物理控制.1627.1Physicalsecurityperimeter物理安全边界.162Control控制.162Purpose目的.162Guidance指南.162Otherinformation其他信息.1637.2Physicalentrycontrols物理入口控制.163Control控制.164Purpose目的.164Guidance指南.164Otherinformation其他信息.1677.3Securingoffices,roomsandfacilities确保办公室，房间和设施的安全.167Control控制.167Purpose目的.167Guidance指南.168Otherinformation其他信息.1687.4Physicalsecuritymonitoring物理安全监控.168Control控制.169Purpose目的.169Guidance指南.169Otherinformation其他信息.1707.5Protectingagainstphysicalandenvironmentalthreats防范物理和环境威胁.171Control控制.171Purpose目的.171Guidance指南.171Otherinformation其他信息.1737.6Workinginsecureareas在安全区域工作.173Control控制.173Purpose目的.173Guidance指南.174Otherinformation其他信息.1747.7Cleardeskandclearscreen清空办公桌面和屏幕.174Control控制.175Purpose目的.175Guidance指南.175Otherinformation其他信息.1767.8Equipmentsitingandprotection设备选址和保护.176Control控制.177Purpose目的.177Guidance指南.177Otherinformation其他信息.1787.9Securityofassetsoff-premises离场资产的安全性.178Control控制.179Purpose目的.179Guidance指南.179Otherinformation其他信息.1807.10Storagemedia储存介质.181Control控制.181Purpose目的.181Guidance指南.181Otherinformation其他信息.1847.11Supportingutilities配套设施.184Control控制.184Purpose目的.184Guidance指南.184Otherinformation其他信息.1857.12Cablingsecurity布线安全.186Control控制.186Purpose目的.186Guidance指南.186Otherinformation其他信息.1877.13Equipmentmaintenance设备维护.187Control控制.188Purpose目的.188Guidance指南.188Otherinformation其他信息.1897.14Securitydisposalorre-useofequipment安全处置或设备的重复使用.189Control控制.190Purpose目的.190Guidance指南.190Otherinformation其他信息.1918技术控制.1928.1Userendpointdevices用户终端设备.192Control控制.192Purpose目的.192Guidance指南.192Otherinformation其他信息.1968.2Privilegedaccessrights特权访问权限.197Control控制.197Purpose目的.197Guidance指南.198Otherinformation其他信息.1998.3Informationaccessrestriction信息访问限制.200Control控制.200Purpose目的.200Guidance指南.201Otherinformation其他信息.2038.4Accesstosourcecode访问源代码.203Control控制.204Purpose目的.204Guidance指南.204Otherinformation其他信息.2058.5Secureauthentication安全认证.206Control控制.206Purpose目的.206Guidance指南.206Otherinformation其他信息.2098.6Capacitymanagement能力管理.209Control控制.209Purpose目的.209Guidance指南.209Otherinformation其他信息.2118.7Protectionagainstmalware防范恶意软件.211Control控制.212Purpose目的.212Guidance指南.212Otherinformation其他信息.2148.8Managementoftechnicalvulnerabilities技术漏洞管理.215Control控制.215Purpose目的.215Guidance指南.215Otherinf