ISO27001控制要求资料.docx

ISO27001控制要求资料.docx

《ISO27001控制要求资料.docx》由会员分享，可在线阅读，更多相关《ISO27001控制要求资料.docx（25页珍藏版）》请在冰点文库上搜索。

ISO27001控制要求资料

表A.1限制目标和限制举措

A.5平安方针

A.5.1信息平安方针

目标：

依据业务要求和相关法律法规提供治理指导并支持信息平安.

A.5.1.1

信息平安方针文件

限制举措

信息平安方针文件应由治理者批准、发布并传达给所有员工和外部相

美方.

A.5.1.2

信息平安方针的评审

限制举措

应按方案的时间间隔或当重大变化发生时进行信息平安方针评审,以

保证它持续的适宜性、充分性和成效性.

A.6/息平安组织

A.6.1内部组织

目标：

在组织内治理信息

A.6.1.1

信息平安的管理承诺

限制举措

治理者应通过清楚的说明、可证实的承诺、明确的信息平安责任分配及确认,来积极支持组织内的平安.

A.6.1.2

信息平安协调

限制举措

信息平安活动应由来自组织不同:

部门并具备相关角色和工作责任的代表进行协调.

A.6.1.3

『息平安责任的分配

限制举措

所有的信息平安责任应予以清楚地定义.

A.6.1.4

信息处理设施的授权过程

限制举措

新信息处理设施应定义和实施一个治理授权过程.

A.6.1.5

保密性协议

限制举措

应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求.

A.6.1.6

与政府部门的联系

限制举措

应保持与政府相关部门的适当联系.

A.6.1.7

与特定利益团体的联系

限制举措

应保持与特定利益团体、其他平安专家组和专业协会的适当联系.

A.6.1.8

『息平安的独立评审

限制举措

组织治理信息平安的方法及其实施〔例如信息平安的限制目标、限制举措、策略、过程和程序〕应按方案的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审.

A.6.2外部各方

目标：

保持组织的被外部各方访问、处理、治理或与外部进行通信的信息和信息处理设施的平安.

A.6.2.1

与外部各方相关风险的识别

限制举措

应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的限制举措.

A.6.2.2

处理与顾客后关的平安问题

限制举措

应在允许顾客访问组织信息或资产之前处理所有确定的平安要求.

A.6.2.3

处理第二方协议中的平安问题

限制举措

涉及访问、处理或治理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或效劳的第二方协议,应涵盖所有相关的平安要求.

A.7资产治理

A.7.1对资产负责

目标：

实现和保持对组织资产的适当保护.

A.7.1.1

资产清单

限制举措

应清楚的识别所有资产,编制并维护所有重要资产的清单.

A.7.1.2

资产责任人

限制举措

与信息处理设施有关的所有信息和资产应由组织的指定部门或人员

一・1■1

承当责任.

A.7.1.3

资产的合格使用

限制举措

与信息处理设施有美的信息和资产使用允许规那么应被确定、形成文件

并加以实施.

A.7.2信息分类

目标：

保证信息受到适当级别的保护.

A.7.2.1

分类指南

限制举措

信息应根据它对组织的价值、法律要求、敏感性和关键性予以分类.

A.7.2.2

信息的标记和处理

限制举措

应根据组织所采纳的分类机制建立和实施一组适宜的信息标记和处理程序.

A.8人力资源平安

A.8.1任用之前

目标：

保证雇员、承包方人员和第三方人员理解其责任、考虑对其承当的角色是适合的,以降低设施被窃、欺诈和误用的风险.

A.8.1.1

角色和责任

限制举措

雇员、承包方人员和第三方人员的平安角色和责任应根据组织的信息平安方针定义并形成文件.

A.8.1.2

审查

限制举措

关于所有任用的候选者、承包方人员和第二方人员的背景验证检查应

根据相关法律法规、道德标准和对应的业务要求、被访问信息的类别和发觉的风险来执行.

A.8.1.3

任用条款和条件

限制举措

作为他们合同义务的一局部,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和

组织的信息平安责任.

A.8.2任用中

目标：

保证所有的雇员、承包方人员和第三方人员知悉信息平安威胁和利害关系、他们的责任和义务、并准备好在其正常工作过程中支持组织的平安方针,以减少人为过失的风险.

1解释：

术语“责任人〞是被认可,具有限制生产、开发、保持、使用和资产平安的个人或实体.术语“责任人〞不指实际上对资产具有财产权的人.

2解释：

这里的“任用〞意指以下不同的情形：

人员任用〔暂时的或长期的〕、工作角色的指定、工作角色

的变化、合同的分配及所有这些安排的终止.

A.8.2.1

治理责任

限制举措

治理者应要求雇员、承包方人员和第三方人员根据组织已建立的方针策略和程序对平安尽心尽力.

A.8.2.2

信息平安意识、教育和培训

限制举措

组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训.

A.8.2.3

纪律处理过程

限制举措

对于平安违规的雇员,应正-个正式的纪律处理过程.

A.8.3任用的终止或变化

目标：

保证雇员、承包方人员和第三方人员以一个标准的方式退出一个组织或改变其任用关系.

A.8.3.1

终止责任

限制举措

任用终止或任用变化的责任应清楚的定义和分配.

A.8.3.2

资产的归还

限制举措

所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产.

A.8.3.3

撤销访问权

限制举措

所有雇员、承包方人员和第二方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整.

A.9物理和环境平安

A.9.1平安区域

目标：

预防对组织场所和信息的未授权物理访问、损坏和干扰.

A.9.1.1

物理平安边界

限制举措

应使用平安边界〔诸如墙、卡限制的入卬或有人治理的接待台等屏障〕来保护包含信息和信息处理设施的区域.

A.9.1.2

物理入口限制

限制举措

平安区域应由适合的入口限制所保护,以保证只有授权的人员才允许

访问.

A.9.1.3

办公室、房间和设施的平安保护

限制举措

应为办公室、房间和设施设计普采取物理平安举措.

A.9.1.4

外部和环境威胁的平安防护

限制举措

为预防火灾、洪水、地震、爆炸、社会动乱和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护举措.

A.9.1.5

在平安区域工作

限制举措

应设计和运用用于平安区域工作的物理保护和指南.

A.9.1.6

公共访问、交接区平安

限制举措

访问点〔例如交接区〕和未授权人员可进入办公场所的其他点应加以限制,如果可能,要与信息处理设施隔离,以预防未授权访问.

A.9.2设备平安

目标：

预防资产的丧失、损坏、失窃或危及资产平安以及组织活动的中断.

A.9.2.1

设备安置和保护

限制举措

应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及

未授权访问的时机.

A.9.2.2

支持性设施

限制举措

应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断.

A.9.2.3

布缆平安

限制举措

应保证传输数据或支持信息效劳的电源布缆和通信布缆免受窃听或损坏.

A.9.2.4

设备维护

限制举措

设备应予以正确地维护,以保证其持续的可用性和完整性.

A.9.2.5

组织场所外的设备平安

限制举措

应对组织场所的设备采取平安举措,要考虑工作在组织场所以外的不

同风险.

A.9.2.6

设备的平安处置或再利用

限制举措

包含储存介质的设备的所有工程应进行检查,以保证在销毁之前,任何敏感信息和注册软件已被删除或平安重写.

A.9.2.7

资产的移动

限制举措

设备、信息或软件在授权之前不应带出组织场所.

A.10通信和操作治理

A.10.1操作程序和责任

目标：

保证正确、平安的操作信息处理设施.

A.10.1.1

文件化的操作程序

限制举措

操作程序应形成文件、保持并对所有需要的用户可用.

A.10.1.2

变更臂埋

限制举措

对信息处理设施和系统的艾更应加以限制.

A.10.1.3

责任分割

限制举措

各类责任及责任范围应加以分割,以降低未授权或无意识的修改或者

不当使用组织资产的时机.

A.10.1.4

开发、测试和运行设施别离

限制举措

开发、测试和运行设施应别离,以减少未授权访问或改变运行系统的风险.

A.10.2第二方效劳交付治理

目标：

实施和保持符合第三方效劳交付协议的信息平安和效劳交付的适当水准.

A.10.2.1

效劳交付

限制举措

应保证第三方实施、运行和保持包含在第三方效劳交付协议中的平安限制举措、效劳定义和交付水准.

A.10.2.2

第二方效劳的监视和评审

限制举措

应定期监视和评审由第三方提供的效劳、报告和记录,审核也应定期执行.

A.10.2.3

第二方效劳的义更治理

限制举措

应治理效劳提供的变更,包括保持和改良现有的信息平安方针策略、程序和限制举措,要考虑业务系统和涉及过程的关键程度及风险的再评估.

A.10.3系统规划和验收

目标：

将系统失效的风险降至最小.

A.10.3.1

容量治理

限制举措

资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以保证拥启所需的系统性能.

A.10.3.2

系统验收

限制举措

应建立对新信息系统、升级及新版本的验收准那么,并且在开发中和验收前对系统进行适当的测试.

A.10.4防范恶意和移动代码目标：

保护软件和信息的完整性.

A.10.4.1

限制恶意代码

限制举措

应实施恶意代码的监测、预防和恢复的限制举措,以及适当的提升用户平安意识的程序.

A.10.4.2

限制移动代码

限制举措

当授权使用移动代码时,其配置应保证授权的移动代码根据清楚定义的平安策略运行,应阻止执行未授权的移动代码.

A.10.5备份

目标：

保持信息和信息处理设施的完整性及可用性.

A.10.5.1

信息备份

限制举措

应根据已设的备份策略,定期备份和测试信息和软件.

A.10.6网络平安治理

目标：

保证网络中信息的平安性并保护支持性的根底设施.

A.10.6.1

网络限制

限制举措

应充分治理和限制网络,以预防威胁的发生,维护系统和使用网络的应用程序的平安,包括传输中的信息.

A.10.6.2

网络效劳的安全

限制举措

平安特性、效劳级别以及所有网络效劳的治理要求应予以确定并包括在所有网络效劳协议中,无论这些效劳是由内部提供的还是外包的.

A.10.7介质处置

目标：

预防资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断.

A.10.7.1

可移动介质的治理

限制举措

应有适当的可移动介质的治理程序.

A.10.7.2

介质的处置

限制举措

/、再需要的介质,应使用正式的程序可靠并平安地处置.

A.10.7.3

信息处理程序

限制举措

应建立信息的处理及存储程序,以预防信息的未授权的泄漏或不当使

用.

A.10.7.4

系统文件平安

限制举措

应保护系统文件以预防未授权的访问.

A.10.8信息的交换

目标：

保持组织内信息和软件交换及与外部组织信息和软件交换的平安.

A.10.8.1

信息交换策略和程序

限制举措

应有正式的交换策略、程序和限制举措,以保护通过使用各种类型通信设施的信息交换.

A.10.8.2

交换协议

限制举措

应建立组织与外部团体交换信息和软件的协议.

A.10.8.3

运输中的物理介质

限制举措

包含信息的介质在组织的物理边界以外运送时,应预防未授权的访问、不当使用或毁坏.

A.10.8.4

电子消息发送

限制举措

包含在电子消息发送中的信息应给予适当的保护.

A.10.8.5

业务信息系统

限制举措

应建立并实施策略和程序,以保护与业务信息系统互联相关的信息.

A.10.9电子商务效劳

目标：

保证电子商务效劳的平安及其平安使用.

A.10.9.1

电子商务

限制举措

包含在使用公共网络的电子商务中的信息应受保护,以预防欺诈活动、合同争议和未授权的泄露和修改.

A.10.9.2

在线交易

限制举措

包含在在线交易中的信息应受保护,以预防不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放.

A.10.9.3

公共可用信息

限制举措

在公共可用系统中可用信息的完整性应受保护,以预防未授权的修改.

A.10.10监视

目标：

检测XX的信息处理活动.

A.10.10.1

审核日志

限制举措

应产生记录用户活动、异常和信息平安事态的审核日志,并要保挣一个已设的周期以支持将来的调查和访问限制监视.

A.10.10.2

监视系统的使用

限制举措

应建立信息处理设施的监视使用程序,监视活动的结果要经常评审.

A.10.10.3

日志信息的保护

限制举措

记录日志的设施和日志信息应加以保护,以预防篡改和未授权的访问.

A.10.10.4

治理员和操作员日志

限制举措

系统治理员和系统操作员活动应记入日志.

A.10.10.5

故障日志

限制举措

故障应被记录、分析,并采取适当的举措.

A.10.10.6

时钟同步

限制举措

一个组织或平安域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步.

A.11访问限制

A.11.1访问限制的业务要求目标：

限制对信息的访问.

A.11.1.1

访问限制策略

限制举措

访问限制策略应建立、形成文件,并基于业务和访问的平安要求进行评审.

A.11.2用户访问治理

目标：

保证授权用户访问信息系统,并预防未授权的访问.

A.11.2.1

用户注册

限制举措

应后止式的用户注册及注销程序,来授权和撤销对所有信息系统及服

务的访问.

A.11.2.2

特殊权限治理

限制举措

应限制和限制特殊权限的分配及使用.

A.11.2.3

用户口令治理

限制举措

应通过正式的治理过程限制口令的分配.

A.11.2.4

用户访问权的复查

限制举措

治理者应定期使用正式过程对用户的访问权进行复查.

A.11.3用户责任

目标：

预防未授权用户对信息和信息处理设施的访问、危害或窃取.

A.11.3.1

口令使用

限制举措

应要求用户在选择及使用口令时,遵循良好的平安习惯.

A.11.3.2

无人值守的用户设备

限制举措

用户应保证无人值守的用户设备有适当的保护.

A.11.3.3

清空桌面和屏幕策略

限制举措

应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略.

A.11.4网络访问限制

目标：

预防对网络效劳的未授权访问.

A.11.4.1

使用网络效劳的策略

限制举措

用户应仅能访问已获专门授权使用的效劳.

A.11.4.2

外部连接的用户鉴别

限制举措

应使用适当的鉴别方法以限制远程用户的访问.

A.11.4.3

网络上的设备标识

限制举措

应考虑自动设备标识,将其作为鉴别特定位置和设备连接的方法.

A.11.4.4

远程诊断和配置端口的保护

限制举措

对于诊断和配置端口的物理和逻辑访问应加以限制.

A.11.4.5

网络隔离

限制举措

应在网络中隔离信息效劳、用户及信息系统.

A.11.4.6

网络连接限制

限制举措

对于共享的网络,特别是越过组织边界的网络,用户的联网水平应按照访问限制策略和业务应用要求加以限制〔见11.1〕.

A.11.4.7

网络路由限制

限制举措

应在网络中实施路由限制,以保证计算机连接和信息流不违反业务应用的访问限制策略.

A.11.5操作系统访问限制

目标：

预防对操作系统的未授权访问.

A.11.5.1

平安登录程序

限制举措

访问操作系统应通过平安登录程序加以限制.

A.11.5.2

用户标识和鉴别

限制举措

所有用户应宥唯一的、专供其个人使用的标识符〔用户ID〕,应选择

一种适当的鉴别技术证实用户所宣称的身份.

A.11.5.3

口令治理系统

限制举措

口令治理系统应是交互式的,并应保证优质的口令.

A.11.5.4

系统实用工具的使用

限制举措

可能超越系统和应用程序限制的实用工具的使用应加以限制并严格限制.

A.11.5.5

会话超时

限制举措

不活动会话应在一个设定的休止期后关闭.

A.11.5.6

联机时间的限定

限制举措

应使用联机时间的限制,为高风险应用程序提供额外的平安.

A.11.6应用和信息访问限制

目标：

预防对应用系统中信息的未授权访问.

A.11.6.1

信息访问限制

限制举措

用户和支持人员对信息和应用系统功能的访问应依照已确定的访问限制策略加以限制.

A.11.6.2

敏感系统隔离

限制举措

敏感系统应有专用的〔隔离的〕运算环境.

A.11.7移药

目标：

保证在

J计算和远程工作

老用可移动计算和远程工作设施时的信息平安.

A.11.7.1

移动计算和通信

限制举措

应有正式策略并且采用适当的平安举措,以防范使用移动计算和通信

设施时所造成的风险.

A.11.7.2

远程工作

限制举措

应为远程工作活动开发和实施策略、操作方案和程序.

A.12信息系统获取、开发和维护

A.12.1信息系统的平安要求

目标：

保证平安是信息系统的一个有机组成局部.

A.12.1.1

平安要求分析和说明

限制举措

在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安

全限制举措的要求.

A.12.2应用中的正确处理

目标：

预防应用系统中的信息的错误、遗失、未授权的修改及误用.

A.12.2.1

输入数据验证

限制举措

输入应用系统的数据应加以验证,以保证数据是正确且恰当的.

A.12.2.2

内部处理的控制

限制举措

验证检查应整合到应用中,以检查由于处理的错误或成心的行为造成的信息的讹误.

A.12.2.3

消息完整性

限制举措

应用中确实保真实性和保护消息完整性的要求应得到识别,适当的控

制举措也应得到识别并实施.

A.12.2.4

输出数据验证

限制举措

从应用系统输出的数据应加以验证,以保证对所存储信息的处理是正

确的且适于环境的.

A.12.3密码限制

目标：

通过密码方法保护信息的保密性、真实性或完整性.

A.12.3.1

使用密码限制的策略

限制举措

应开发和实施使用密码限制举措来保护信息的策略.

A.12.3.2

密钥治理

限制举措

应有密钥治理以支持组织使用密码技术.

A.12.4系统文件的平安目标：

保证系统文件的平安

A.12.4.1

运行软件的控制

限制举措

应用程序来限制在运行系统上安装软件.

A.12.4.2

系统测试数据的保护

限制举措

测试数据应认真地加以选择、保护和限制.

A.12.4.3

对程序源代码的访问限制

限制举措

应限制访问程序源代码.

A.12.5开发和支持过程中的平安目标：

维护应用系统软件和信息的平安.

A.12.5.1

变更限制程序

限制举措

应使用正式的变更限制程序限制变更的实施.

A.12.5.2

操作系统变更后应用的技术评审

限制举措

当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和平安没有负面影响.

A.12.5.3

软件包变更的限制

限制举措

应对软件包的修改良行劝阻,限制必要的变更,且对所有的变更加以严格限制.

A.12.5.4

信息泄露

限制举措

应预防信息泄露的可能性.

A.12.5.5

外包软件开发

限制举措

组织应治理和监视外包软件的开发.

A.12.6技术脆弱性治理

目标：

降低利用公布的技术脆弱性导致的风险.

A.12.6.1

技术脆弱性的限制

限制举措

应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性

的暴露程度,并采取适当的举措来处理相关的风险.

A.13信息平安事件治理

A.13.1报告信息平安事态和弱点

目标：

保证与信息系统有夫的信息平安事态和弱点能够以某种方式传达,以便及时采取纠正举措.

A.13.1.1

报告信息平安事态

限制举措

信息平安事态应该尽可能快地通过适当的治理渠道进行报告.

A.13.1.2

报告平安弱点

限制举措

应要求信息系统和效劳的所有雇员、承包方人员和第二方人员记录并

报告他们观察到的或疑心的任何系统或效劳的平安弱点.

A.13.2信息平安事件和改良的治理

目标：

保证采用一致和有效的方法对信息平安事件进行治理.

A.13.2.1

职贝和程序

限制举措

应建立治理责任和程序,以保证能对信息平安事件做出快速、有效和

有序的响应.

A.13.2.2

对信息平安事件的总结

限制举措

叼L套机制量化和监视信息平安事件的类型、数量和代价.

A.13.2.3

证据的收集

限制举措

〜个信息平安事件涉及到诉讼（民事的或刑事的）,需要进一步对个人或组织进行起诉时,应收集、保存和呈递证据,以使证据符合相关诉讼管辖权.

A.14业务连续性治理

A.14.1业务连续性治理的信息平安方面

目标：

预防业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并保证它们的及时恢复.

A.14.1.1

业务连续性管理过程中包含的信息平安

限制举措

应为贯穿于组织的业务连续性开发和保持一个治理过程,以解决组织

的业务连续性所需的信息平安要求.

A.14.1.2

业务连续性和风险评估

限制举措

应识别能引起业务过程中断的事态,这种中断发生的概率和影响,以及它们对信息平安所造成的后果.

A.14.1.3

制定和实施包含信息平安的连续,住方案

限制举措

应制定和实施方案来保持或恢复运行,以在关键业务过程中断或失败

后能够在要求的水平和时间内保证信息的可用性.

A.14.1.4

业务连续,住计划框架

限制举措

应保持一个唯一的业务连续,住方案框架,以保证所有方案是一致的,能够协调地解决信息平安要求,并为测试和维护确定优先级.

A.14.1.5

测试、维护和再评估业务连续性方案

限制举措

业务连续,住方案应定期测试和更新,以保证其及时性和有效性.

A.15符合性

A.15.1符合法律要求

目标：

预防违反任何法律、法令、法规或合同义务,以及任何平安要求.

A.15.1.1

可用法律的识别

限制举措

对每一个信息系统和组织而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新.

A.15.1.2

知识产权

（IPR）

限制举措

应实施适当的程序,以保证在使用具有知识产权的材料和具有所有权的软件产品时,符合