ISO_IEC 27002_2022信息安全网络安全与隐私保护-中文版.pdf
《ISO_IEC 27002_2022信息安全网络安全与隐私保护-中文版.pdf》由会员分享,可在线阅读,更多相关《ISO_IEC 27002_2022信息安全网络安全与隐私保护-中文版.pdf(246页珍藏版)》请在冰点文库上搜索。
ISO/IEC27002:
2022信息安全,网络安全与隐私保护信息安全控制试译交流版汤季洪闪捷信息译日期日期更新日志更新日志2022年3月18日v0.12022年4月30日v0.2,修正少量文字错误和前后不一的用词;2022年5月09日v0.3,修正少量排版错误,修正部分措辞;说明说明2022年2月,国际标准化组织发布更新发布了信息安全、网络安全和隐私保护信息安全控制(ISO/IEC27002:
2022),以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。
新标准的更新变化为新环境下的网络安全、数据安全治理和管理提供了先进的思路和参考框架,为尽快将新标纳入我司数据安全治理咨询服务知识库,安全咨询事业部组织专家力量进行了翻译整理。
本文件主要翻译人员为安全咨询事业部高级安全顾问汤季洪(CISSP/CISP/CCSP/CCSI/CEH/RHCA/RHCE/MCSE/MCDBA/VCP),并得到了盘茜(CISSP/CISP)女士的大力支持。
由于译者水平有限,错误或不当之处在所难免,请参照英文原版以准,并请拨冗批评指正。
可联系汤季洪13372520776(微信)或。
闪捷信息科技有限公司安全咨询事业部2022年3月18日序序ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门体系。
作为ISO或IEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定,以处理特定领域的技术活动。
ISO和IEC技术委员会在共同感兴趣的领域进行合作。
与ISO和IEC保持联系的其他政府和非政府国际组织也参与此项工作。
ISO/IEC指令第1部分描述了用于编制本文件的程序以及旨在进一步维护本文件的程序。
特别是,应注意不同类型的文件需要不同的审批标准。
本文件根据ISO/IEC指令第2部分的编辑规则起草(参见www.iso.org/directives或www.iec.ch/members_experts/refdocs)。
请注意,本文件中的某些内容可能是专利权的主题。
ISO和IEC不负责识别任何或所有此类专利权。
在文档开发过程中确定的任何专利权的详细信息将在引言和/或收到的ISO专利声明列表中列出(参见www.iso.org/patents)或收到的IEC专利声明列表(参见patents.iec.ch)。
本文件中使用的任何商品名称都是为了方便用户而提供的信息,并不构成认可。
有关标准的自愿性质的解释、与合格评定相关的ISO特定术语和表述的含义,以及有关ISO遵守技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,请参见www.iso.org/iso/foreword.html。
IEC的有关信息请参见www.iec.ch/understanding-standards。
本文件由ISO/IECJTC1联合技术委员会信息技术分委员会SC27信息安全、网络安全和隐私保护编写。
第三版取消并取代了第二版(ISO/IEC27002:
2013),包含第二版的技术修订ISO/IEC27002:
2013/Cor.1:
2014和ISO/IEC27002:
2013/Cor.2:
2015。
主要变化如下:
修改了标题;改变了文档的结构,使用简单的分类法和相关属性来呈现控制;一些控制被合并,一些被删除,一些新的控制被引入。
完整的对照见附件B。
关于本文件的任何反馈或问题应提交给使用者所在国家或地区的标准机构。
这些机构的完整清单可在以下网址找到:
www.iso.org/members.htmlwww.iec.ch/national-committees0介绍介绍0.1背景和语境背景和语境本文件适用于各种类型和规模的组织。
它将用作在基于ISO/IEC27001的信息安全管理体系(ISMS)中确定和实施信息安全风险处理控制的参考。
它还可以用作组织确定和实施普遍接受的信息安全控制措施的指导文档。
此外,考虑到特定的信息安全风险环境,本文件旨在用于制定行业和组织特定的信息安全管理准则。
本文件中未包括的组织或环境特定的控制措施可根据需要通过风险评估来确定。
各种类型和规模的组织(包括公共和私营部门、商业和非营利组织)以多种形式创建、收集、处理、存储、传输和处置信息,包括电子、物理和口头形式(例如对话和演示)。
信息的价值超越了文字、数字和图像:
知识、概念、想法和品牌都是信息的无形形式。
在一个相互关联的世界中,信息和其他相关资产值得或需要针对各种风险源进行保护,无论这些风险源是自然的、意外的还是蓄意的。
信息安全是通过实施一套适当的控制措施来实现的,包括策略、规则、流程、程序、组织结构以及软件和硬件功能。
为了满足其特定的安全和业务目标,组织应在必要时定义、实施、监控、审查和改进这些控制措施。
诸如ISO/IEC27001中规定的ISMS对组织的信息安全风险采取整体的、协调的观点,以便在一致的管理系统的总体框架内确定和实施一套全面的信息安全控制。
许多信息系统,包括它们的管理和操作,都没有按照ISO/IEC27001和本文件中规定的ISMS来设计安全性。
仅通过技术措施实现的安全级别是有限的,应该得到适当的管理活动和组织流程的支持。
在进行风险处理时,确定哪些控制措施应该到位需要仔细规划并注意细节。
成功的ISMS需要组织中所有人员的支持。
它还可能需要其他相关方的参与,如股东或供应商。
也可能需要相关领域专家的建议。
一个适当、充分和有效的信息安全管理体系为组织的管理层和其他相关方提供保证,确保他们的信息和其他相关资产得到合理的保护,免受威胁和伤害,从而使组织能够实现既定的业务目标。
0.2信息安全要求信息安全要求组织必须确定其信息安全要求。
信息安全要求有三个主要来源:
a)考虑到组织的总体业务战略和目标,对组织面临的风险进行评估。
这可以通过特定于信息安全的风险评估来促进或支持。
这应导致确定必要的控制措施,以确保本组织的剩余风险符合其风险接受标准;b)组织及其相关方(贸易伙伴、服务提供商等)必须遵守的法律、法规、规章和合同要求,以及他们的社会文化环境;c)组织为支持其运营而开发的信息生命周期所有步骤的一系列原则、目标和业务要求。
0.3控制控制控制被定义为改变或保持风险的措施。
本文件中的一些控制措施是改变风险的控制措施,而其他控制措施则保持风险。
例如,信息安全策略只能保持风险,而遵守信息安全策略可以改变风险。
此外,一些控制表现为在不同的风险语境下相同的通用措施。
本文件提供了从国际公认的最佳实践中总结出来的组织、人员、物理和技术信息安全控制的通用组合。
0.4确定控制确定控制确定控制取决于组织在风险评估后做出的决策,并具有明确定义的范围。
与已识别风险相关的决策应基于组织采用的风险接受标准、风险处理方案和风险管理方法。
控制措施的确定还应考虑到所有相关的国家和国际法律和法规。
控制措施的确定还取决于控制措施相互作用以提供深度防御的方式。
组织可以根据需要设计控制或从任何来源识别控制。
在指定此类控制措施时,组织应根据实现的业务价值考虑实施和运行控制措施所需的资源和投资。
请参见ISO/IEC27016,了解有关ISMS投资决策的指导,以及这些决策在竞争资源需求背景下的经济后果。
为实施控制措施而部署的资源应该与在没有这些控制的情况下安全事故可能产生的业务影响之间寻求平衡。
风险评估的结果应有助于指导和确定适当的管理措施、管理信息安全风险的优先级以及实施防范这些风险所需的控制措施。
本文件中的一些控制措施可视为信息安全管理的指导原则,适用于大多数组织。
有关确定控制和其他风险处理选项的更多信息,请参见ISO/IEC27005。
0.5制定组织的个性化指南制定组织的个性化指南该文件可被视为制定组织的个性化指南的起点。
并不是本文件中的所有控制和指导都适用于所有组织。
还可能需要本文件中未包含的其他控制措施和指南来满足组织的特定需求和已识别的风险。
当制定的文件包含额外的指南或控制措施时,包含本文件中条款的交叉引用以供将来参考会很有帮助。
0.6生命周期考虑因素生命周期考虑因素信息有一个生命周期,从创建到处置。
在整个生命周期中,信息的价值和风险可能会有所不同(例如,未经授权披露或窃取公司的财务账目在发布后并不严重,但完整性仍然至关重要)。
因此,在所有阶段,信息安全在某种程度上都很重要。
信息系统和与信息安全相关的其他资产都有生命周期,在这些生命周期内,它们被构思、规定、设计、开发、测试、实施、使用、维护,并最终退役和处置。
每个阶段都应该考虑信息安全。
新的系统开发项目和对现有系统的改变提供了改善安全控制的机会,同时考虑到本组织的风险和从事故中吸取的教训。
0.7相关国际标准相关国际标准本文件提供了许多不同组织中普遍应用的各种信息安全控制的指南,而ISO/IEC27000系列中的其他文档提供了有关信息安全管理整体流程的其他方面的补充建议或要求。
有关ISMS和文件系列的一般介绍,请参考ISO/IEC27000。
ISO/IEC27000提供了一个词汇表,定义了ISO/IEC27000文件系列中使用的大多数术语,并描述了该系列每个成员的范围和目标。
还有一些针对特定行业的标准,这些标准包含针对特定领域的额外控制措施(例如,针对云服务的ISO/IEC27017标准、针对隐私的ISO/IEC27701标准、针对能源的ISO/IEC27019标准、针对电信组织的ISO/IEC27011标准以及针对健康的ISO27799标准)。
此类标准包含在参考书目中,其中一些参考了第5-8条中的指南和其他信息部分。
1范围范围本文件提供了一套通用的信息安全控制参考,包括实施指南。
旨在供组织用来:
a)在基于ISO/IEC27001的信息安全管理体系(ISMS)的范围内;b)根据国际公认的最佳实践实施信息安全控制;c)制定特定于组织的信息安全管理准则。
2规范性引用文件规范性引用文件本文件中没有规范性引用文件。
3术语,定义和缩写词术语,定义和缩写词3.1术语和定义术语和定义就本文件而言,以下术语和定义适用。
ISO和IEC在以下地址维护用于标准化的术语数据库:
ISO在线浏览平台:
https:
/www.iso.org/obpIEC电子词典:
https:
/www.electropedia.org/3.1.1访问控制访问控制accesscontrol确保基于业务和信息安全要求授权和限制对资产(3.1.2)的物理和逻辑访问的方法。
3.1.2资产资产asset任何对组织有价值的事物。
条目注释1:
在信息安全环境中,可以区分两种资产:
主要资产:
信息;业务流程(3.1.27)和活动;所有类型的支持资产(主要资产所依赖的),例如:
硬件;软件;网络;工作人员(3.1.20);站点;组织结构。
3.1.3攻击攻击attack未授权的破坏、更改、禁用、访问资产(3.1.2)的成功或不成功的尝试,或任何试图暴露、窃取或未经授权使用资产(3.1.2)的行为。
3.1.4鉴别鉴别authentication保证实体(3.1.11)声称的特征属性是正确的。
3.1.5真实性真实性authenticity一个实体(3.1.11)是它所声称的那样的属性。
3.1.6监管链监管链chainofcustody从一个时间点到另一个时间点,材料的可证明的持有、移动、处理和定位条目注释1:
在ISO/IEC27002环境下,材料包括信息和其他相关资产(3.1.2)。
资料来源:
ISO/IEC27050-1:
2019,3.1,另含修订添加“条目注释1”3.1.7机密消息机密消息confidentialinformation不打算对未经授权的个人、实体(3.1.11)或过程(3.1.27)可用或向其披露的信息。
3.1.8控制控制control保持和/或改变风险的措施条目注释1:
控制包括但不限于任何过程(3.1.27)、策略(3.1.24)、设备、实践或其他保持和/或改变风险的条件和/或行动。
条目注释2:
控制可能并不总是产生预期或假定的改变效果。
资料来源:
ISO31000:
2018,3.83.1.9中断中断disruption一种事故,无论是预期的还是未预期的,都会导致产品和服务的预期交付相对于组织的目标发生计划外的负面偏离。
资料来源:
ISO22301:
2019,3.103.1.10终端设备终端设备endpointdevice联网的信通技术(ICT)硬件设备。
条目注释1:
端点设备可以指台式计算机、笔记本电脑、智能手机、平板电脑、瘦客户机、打印机或其他专用硬件,包括智能电表和物联网(IoT)设备。
3.1.11实体实体entity与具有可识别的独特存在的领域的运营目的相关的项目。
条目注释1:
一个实体应有一个物理或逻辑的具象化实例。
例如个人、组织、设备、一组像这样罗列的事物、电信服务的个人订户、SIM卡、护照、网络接口卡、软件应用、服务或网站等。
资料来源:
国际标准化组织/IEC24760-1:
2019,3.1.13.1.12信息处理设施信息处理设施informationprocessingfacility任何信息处理系统、服务或基础设施,或容纳信息的物理位置。
资料来源:
ISO/IEC27000:
2018,3.27,修改“设施facilities”替换为“设施facility”。
3.1.13信息安全的违背信息安全的违背informationsecuritybreach危及信息安全,导致传输、存储或以其他方式处理的受保护信息遭到意外破坏、丢失、篡改、泄露或访问。
3.1.14信息安全事件信息安全事件informationsecurityevent表明可能发生信息安全的破坏(3.1.13)或控制失败(3.1.8)的事件资料来源:
ISO/IEC27035-1:
2016,3.3,修改“信息安全的违背breachofinformationsecurity”替换为“信息安全的违背informationsecuritybreach”3.1.15信息安全事故信息安全事故informationsecurityincident一个或多个相关且已确定的信息安全事件(3.1.14),可能会损害组织的资产(3.1.2)或干扰其运营资料来源:
ISO/IEC27035-1:
2016,3.43.1.16信息安全事故管理信息安全事故管理informationsecurityincidentmanagement采用一贯的、有效的方法处理信息安全事故(3.1.15)资料来源:
ISO/IEC27035-1:
2016,3.53.1.17信息系统信息系统informationsystem一组应用程序、服务、信息技术资产(3.1.2)或其他信息处理部件。
资料来源:
国际标准化组织/IEC27000:
2018,3.353.1.18利益相关方利益相关方interestedparty/stakeholder能够影响决策或活动、被决策或活动影响或认为自己受决策或活动影响的个人或组织。
资料来源:
国际标准化组织/IEC27000:
2018,3.373.1.19不可否认性不可否认性non-repudiation证明声称的事件或行动及其发起实体发生的能力(3.1.11)3.1.20工作人员工作人员personnel在组织的指导下工作的人员条目注释1:
工作人员的概念包括组织的成员,如理事机构、最高管理层、雇员、临时工作人员、承包商和志愿者。
3.1.21个人可识别信息个人可识别信息personallyidentifiableinformation/PII(a)可用于在信息和与信息相关的自然人之间建立联系的任何信息,或(b)直接或间接与自然人相关联的任何信息。
条目注释1:
定义中的“自然人”是指PII主体(3.1.22)。
要确定PII主体是否可识别,应考虑持有数据的隐私利益相关方或任何其他方可以合理使用的所有方法,以建立PII集和自然人之间的联系。
资料来源:
ISO/IEC29100:
2011/Amd.1:
2018,2.93.1.22PII主体主体PIIprincipal与PII个人可识别信息(3.1.21)相关的自然人。
条目注释1:
根据司法管辖区和特定的数据保护和隐私立法,也可以使用同义词“数据主体”代替术语“PII主体”。
资料来源:
国际标准化组织/IEC29100:
2011,2.113.1.23PII处理者处理者PIIprocessor代表PII控制者并根据其指示处理PII个人可识别信息(3.1.21)的隐私利益相关方。
资料来源:
国际标准化组织/IEC29100:
2011,2.123.1.24策略策略policy由最高管理者正式表达的组织的意图和方向资料来源:
ISO/IEC27000:
2018,3.533.1.25隐私影响评估隐私影响评估privacyimpactassessment识别、分析、评估、咨询、沟通和规划处理PII个人可识别信息(3.1.21)的潜在隐私影响的整体流程(3.1.27),在组织更广泛的风险管理框架内制定资料来源:
ISO/IEC29134:
2017,3.7,修改删除条目注释1。
3.1.26程序程序procedure开展活动或过程(3.1.27)的特定方式。
资料来源:
ISO30000:
2009,3.123.1.27过程过程process使用或转换输入以交付结果的一组相互关联或相互作用的活动资料来源:
ISO9000:
2015,3.4.1,修改删除条目注释。
3.1.28记录记录record组织或个人在履行法律义务或业务交易中,被作为证据、同时也作为资产创建、接收和维护的信息(3.1.2)条目注释1:
此处的法律义务包括所有法律、法规、监管和合同要求。
资料来源:
ISO15489-1:
2016,3.14,修改添加“条目注释1”。
3.1.29恢复点目标恢复点目标recoverypointobjective/RPO发生中断(3.1.9)后数据将要恢复到的时间点。
资料来源:
ISO/IEC27031:
2011,3.12,修改“必须must”替换为“将要aretobe”。
3.1.30恢复时间目标恢复时间目标recoverytimeobjective/RTO发生中断(3.1.9)后,服务和/或产品以及支持系统、应用程序或功能恢复到最低水平所历经的时长。
资料来源:
ISO/IEC27031:
2011,3.13,修改“必须must”替换为“将要aretobe”。
3.1.31可靠性可靠性reliability与预期行为和结果一致的特性。
3.1.32规则规则rule被接受的原则或指示,说明组织要求做什么、允许什么或不允许什么。
条目注释1:
规则可以在专题策略(3.1.35)和其他类型的文件中正式表述。
3.1.33敏感信息敏感信息sensitiveinformation由于对个人、组织、国家安全或公共安全的潜在不利影响,需要防止其不可用、未经授权的访问、修改或公开披露的信息。
3.1.34威胁威胁threat可能对系统或组织造成损害的意外事故的潜在原因来源:
ISO/IEC27000:
2018,3.743.1.35专题策略专题策略由适当层级的管理者正式表达的,关于特定对象或主题的意图和方向。
条目注释1:
专题策略可以正式表达规则(3.1.32)或组织标准。
条目注释2:
一些组织对这些专题策略使用其他术语。
条目注释3:
本文档中提及的专题策略与信息安全相关。
关于访问控制的专题策略示例(3.1.1),关于桌面清晰和屏幕清晰的专题策略。
3.1.36用户用户user有权访问组织信息系统(3.1.17)的相关方(3.1.18)。
比如工作人员(3.1.20)、客户、供应商。
3.1.37用户终端设备用户终端设备userendpointdevice用户用来访问信息处理服务的终端设备(3.1.10)。
条目注释1:
用户终端设备可以指台式计算机、膝上型计算机、智能电话、平板电脑、瘦客户机等。
3.1.38脆弱性脆弱性vulnerability可能被一个或多个威胁(3.1.34)利用的资产(3.1.2)或控制(3.1.8)的弱点资料来源:
国际标准化组织/IEC27000:
2018,3.773.2缩写词缩写词ABACattribute-basedaccesscontrol基于属性的访问控制ACLaccesscontrollist访问控制列表BIAbusinessimpactanalysis业务影响分析BYODbringyourowndevice自带设备办公CAPTCHAcompletelyautomatedpublicTuringtesttotellcomputersandhumansapart全自动公共图灵测试,区分计算机和人类CPUcentralprocessingunit中央处理单元DACdiscretionaryaccesscontrol自主访问控制DNSdomainnamesystem域名系统GPSglobalpositioningsystem全球定位系统IAMidentityandaccessmanagement身份与访问管理ICTinformationandcommunicationtechnology信息与通讯技术IDIdentifier标识符IDEintegrateddevelopmentenvironment集成开发环境IDSintrusiondetectionsystem入侵检测系统IoTinternetofthings物联网IPinternetprotocol互联网协议IPSintrusionpreventionsystem入侵防御系统ITinformationtechnology信息技术ISMSinformationsecuritymanagementsystem信息安全管理体系MACmandatoryaccesscontrol强制访问控制NTPnetworktimeprotocol网络时间协议PIAprivacyimpactassessment隐私影响分析PIIpersonallyidentifiableinformation个人可识别信息PINpersonalidentificationnumber个人识别码PKIpublickeyinfrastructure公钥基础设施PTPprecisiontimeprotocol精密时钟协议RBACrole-basedaccesscontrol基于角色的访问控制RPOrecoverypointobjective恢复点目标RTOrecoverytimeobjective恢复时间目标SASTstaticapplicationsecuritytesting静态应用程序安全测试SDsecuredigital安全数字SDNsoftware-definednetworking软件定义网络SD-WANsoftware-definedwideareanetworking软件定义广域网SIEMsecurityinformationandeventmanagement安全信息与事件管
升级会员 