导图社区 CCAA体系信息安全审核员27001:2013标准附录A表格汇总
按照CCAA信息安全技术考试大纲要求,依据信息安全技术27001:2013标准附录A表格汇总整理。
编辑于2021-02-04 11:02:25信息技术-服务管理-服务管理体系要求 iso/iec 20000-1:2018 是CCAA 审核员考试 ITSMS标准 本导图按照标准进行收集归纳整理而成,希望为备考中的人士提供标准依据。
ISO20000-1:2018版。这是信息技术服务管理的第一部分服务管理体系要求的思维导图,有组织环境、领导、规划、支持、运行和绩效评价等内容。
按照CCAA信息安全技术考试大纲要求,依据信息安全技术27001:2013标准附录A表格汇总整理。
社区模板帮助中心,点此进入>>
信息技术-服务管理-服务管理体系要求 iso/iec 20000-1:2018 是CCAA 审核员考试 ITSMS标准 本导图按照标准进行收集归纳整理而成,希望为备考中的人士提供标准依据。
ISO20000-1:2018版。这是信息技术服务管理的第一部分服务管理体系要求的思维导图,有组织环境、领导、规划、支持、运行和绩效评价等内容。
按照CCAA信息安全技术考试大纲要求,依据信息安全技术27001:2013标准附录A表格汇总整理。
27001 附录A
A 5 信息安全策略
A5.1 信息安全管理指导
目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持
A5.1.1 信息安全策略
控制:信息安全策略集应被定义,由管理者批并发布传达给所有员工和外部相关方
A5.1.2 信息安全策略的评审
控制:应按计划的时间间隔或重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性和有效性
A 6 信息安全组织
A 6.1 内部组织
目标:建立一个组织框架,以启动和控制组织内信息安全的实现和运行
A 6.1.1 信息安全的角色和责任
控制:所有的信息安全责任应予以定义和分配
A 6.1.2 职责分离
控制:应当分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会
A 6.1.3 与职能机构的联系
控制:应维护与相关职能机构的适当联系
A 6.1.4 与特定相关方的联系
控制:应维护与特定相关方、其他专业安全论坛和专业协会的适当联系
A 6.1.5 项目管理中的信息安全
控制:应关注项目管理中的信息安全问题,无论何种类型的项目
A 6.2 移动设备和远程工作
目标:确保移动设备远程工作及其使用的安全
A 6.2.1 移动设备策略
控制:应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险
A 6.2.2 远程工作
控制:应实现相应的策略及其支持性的安全措施,以保护在远程工作地点上所访问的、处理的、或存储的信息
A 7 人力资源安全
A 7.1 任用前
目标:确保员工和合同方理解其责任,并适合其角色
A 7.1.1 审查
控制:应按照相关法律法规和道德规范,对所有任用后选择的背景进行验证核查,并与业务要求、访问信息的等级和察觉的风险相适宜
A 7.1.2 任用条款及条件
控制:应在员工和合同方的合同协议中声明他们和组织对信息安全的责任
A 7.2 任用中
目标:确保员工和合同方意识到并履行其信息安全责任
A 7.2.1 管理责任
控制:管理者应宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全
A 7.2.2 信息安全意识、教育和培训
控制:组织所有员工和相关的合同方,应按其工作职能,接受适当的意识教育和培训,及组织策略及规程的定期更新的信息。
A 7.2.3 违规处理过程
控制:应有正式的且已被传达的违规处理过程以对信息安全违规的员工采取措施
A 7.3 任用的终止和变更
目标:在任用变更或终止过程中保护组织的利益
A 7.3.1 任用终止或变更的责任
控制:应确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行
A 8 资产管理
A 8.1 有关资产的责任
目标:识别组织资产并定义适当的保护责任
A 8.1.1 资产清单
控制:应识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产清单
A 8.1.2 资产所属关系
控制:应维护资产清单中资产的所属关系
A 8.1.3 资产的可接受使用
控制:应识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现
A 8.1.4 资产归还
控制:所有员工和外部用户在任用、合同和协议终止时,应归还其占用所有组织资产
A 8.2 信息分级
目标:确保信息按照其对组织的重要程度受到适当水平的保护
A 8.2.1 信息的分级
控制:信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级
A 8.2.2 信息的标记
控制:应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程
A 8.2.3 资产的处理
控制:应按照组织采用的信息分级方案,注定并实现资产处理规程
A 8.3 介质处理
目标:防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏
A 8.3.1 移动介质的管理
控制: 应按照组织采用的分级方案,实现移动介质管理规程
A 8.3.2 介质的处置
控制:应使用正式的规程安全地处置不再需要的介质
A 8.3.3 物理介质的转移
控制:包含信息的介质在运送中应受到保护,以防止未授权访问、不当使用或毁坏
A 9 访问控制
A 9.1 访问控制的业务要求
目标:限制对信息和信息处理设施的访问
A 9.1.1 访问控制策略
控制:应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审
A 9.1.2 网络和网络服务的访问
控制:应仅向用户提供他们已获专门授权使用的网络和网络服务的访问
A 9.2 用户访问管理
目标:确保授权用户对系统和服务的访问,并防止未授权的访问
A 9.2.1 用户注册和注销
控制:应实现正事的用户注册及注销过程,以便可分配访问权
A 9.2.2 用户访问供给
控制:应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权
A 9.2.3 特许访问权管理
控制:应限制并控制特许访问权的分配和使用
A 9.2.4 用户的秘密鉴别信息管理
控制:应通过正式的管理过程控制秘密鉴别信息的分配
A 9.2.5 用户访问权的评审
控制:资产拥有者应定期对用户的访问权进行评审
A 9.2.6 访问权的移除或调整
控制:所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整
A 9.3 用户责任
目标:让用户承担保护其信息的责任
A 9.3.1 秘密鉴别信息的使用
控制:应要求用户遵循组织在使用秘密鉴别信息时的惯例
A 9.4 系统和应用访问控制
目标:防止对系统和应用的未授权访问
A 9.4.1 信息访问权限
控制:应按照访问控制策略限制对信息和应用系统功能的访问
A 9.4.2 安全登录规程
控制:当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问
A 9.4.3 口令管理系统
控制:口令管理系统应是交互式的,并应确保优质的口令
A 9.4.4 特权使用程序的使用
控制:对于可能超越系统和应用控制的使用程序的使用应予以限制并严格控制
A 9.4.5 程序源代码的访问控制
控制:应限制对程序源代码的访问
A 10 密码
A 10.1 密码控制
目标:确保适当和有效地使用密码技术以保护信息的保密性、真实性和完整性
A 10.1.1 密码控制的使用策略
控制:应开发和实现用于保护信息的密码控制使用策略
A 10.1.2 秘钥管理
控制:应制定和实现贯穿其全生命周期的秘钥使用、保护和生存期策略
A 11 物理和环境安全
A 11.1 安全区域
目标:防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰
A 11.1.1 物理安全边界
控制:应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域
A 11.1.2 物理入口控制
控制:安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问
A 11.1.3 办公室、房间和设施的安全防护
控制:应为办公室、房间和设施设计并采取物理安全措施
A 11.1.4 外部和环境威胁的安全防护
控制:应设计和应用物理保护以防自然灾害、恶意攻击和意外
A 11.1.5 在安全区域工作
控制:应设计和应用安全区域工作规程
A11.1.6 交接区
控制:访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问
A 11.2 设备
目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断
A 11.2.1 设备安置和保护
控制:应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会
A 11.2.2 支持性设施
控制:应保护设备使其免于支持性设施的失效而引起的电源故障和其他中断
A 11.2.3 布缆安全
控制:应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听
A 11.2.4 设备维护
控制:设备应予以正确的维护,以确保其可持续的空性和完整性
A 11.2.5 资产的移动
控制:设备、信息或软件在收权之前不应带出组织场所
A 11.2.6 组织场所外的设备与资产安全
控制:应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险
A 11.2.7 设备的安全处置或再利用
控制:包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件以北删除或安全的重写
A 11.2.8 无人值守的用户设备
控制:用户应确保无人值守的用户设备有适当的保护
A 11.2.9 清理桌面和屏幕策略
控制:应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略
A 12 运行安全
A 12.1 运行规程和责任
目标:确保正确、安全的运行信息处理设施
A 12.1.1 文件化的操作规程
控制:操作规程应形成文件,并对所需用户可用
A 12.1.2 变更管理
控制:应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和系统变更
A 12.1.3 容量管理
控制:应对资源的使用进行监视,调整和预测未来的容量需求,以确保所需的系统性能
A 12.1.4 开发、测试和运行环境的分离
控制:应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险
A12.2 恶意软件防范
目标:确保信息和信息处理设施防范恶意软件
A 12.2.1 恶意软件的控制
控制:应实现检测、预防和恢复控制以防范恶意软件,并结合适当的用户意识教育
A 12.3 备份
目标:防止数据丢失
A 12.3.1 信息备份
控制:应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试
A 12.4 日志和监视
目标:记录事态并生成证据
A 12.4.1 事态日志
控制:应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志
A 12.4.2 日志信息的保护
控制:记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问
A 12.4.3 管理员和操作员日志
控制:系统管理员和系统操作员活动应记入日志,并对日志进行保护和定期评审
A 12.4.4 时钟同步
控制:一个组织或安全区域的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步
A 12.5 运行软件控制
目标:确保运行系统的完整性
A 12.5.1 运行系统的软件安装
控制:应实现运行系统软件安装控制规程
A 12.6 技术方面的脆弱性管理
目标:防止对技术脆弱性的利用
A 12.6.1 技术方面脆弱性的管理
控制:应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险
A 12.6.2 软件安装限制
控制:应建立并实现控制用户安装软件的规则
A 12.7 信息系统审计的考虑
目标:使审计活动对运行系统的影响最小化
A 12.7.1 信息系统审计的控制
控制:设计运行系统验证的审计要求和活动,应谨慎地加衣规划并取得批准,以便最小化业务过程的中断
A 13 通信安全
A 13.1 网络安全管理
目标:确保网络中的信息及其支持性的信息处理设施得到保护
A 13.1.1 网络控制
控制:应管理和控制网络以保护系统和应用中的信息
A 13.1.2 网络服务的安全
控制:所有网络服务的安全机制,服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的
A 13.1.3 网络中的隔离
控制:应在完工罗中隔离信息服务、用户及信息系统
A 13.2 信息传输
目标:维护在组织内及与外部实体间传输信息的安全
A 13.2.1 信息传输策略和规程
控制:应有正事的传输策略、规程和控制,以保护通过使用各种类型通信设施进行的信息传输
A 13.2.2 信息传输协议
控制:协议应解决组织与外部方之间业务信息的安全传输
A 13.2.3 电子信息发送
控制:应适当保护包含在电子信息发送中的信息
A 13.2.4 保密和不泄露协议
控制:应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求
A 14 系统获取、开发和维护
A 14.1信息系统的安全要求
目标:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求
A 14.1.1 信息安全要求分析和说明
控制: 新建信息系统或增强先有的信息系统的要求中应包括信息安全相关要求
A 14.1.2 公共网络上应用服务的安全保护
控制:应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄漏和修改
A 14.1.3 应用服务事物的保护
控制:应保护应用服务事务中的信息,以防止不完整的传输、错误路由、未经授权的信息变更、未授权的泄露、未授权的信息复制或重放
A 14.2 开发和支持过程中的安全
目标:确保信息安全在信息系统开发生命周期中得到设计和实现
A 14.2.1 安全的开发策略
控制:针对组织内的开发,应建立软件和系统开发规则并应用
A 14.2.2 系统变更控制规程
控制:应使用正式的变更控制规程来控制开发生命周期内的系统变更
A 14.2.3 运行平台变更后对应用的技术评审
控制:当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响
A 14.2.4 软件包变更的限制
控制:应不鼓励对软件包进行修改,仅限于必要的变更,且对所有变更加衣严格控制
A 14.2.5 系统安全工程原则
控制:应建立文件化和维护系统安全工程原则,并应用到任何信息系统实现工作中
A 14.2.6 安全的开发环境
控制:组织应针对覆盖系统开发生命周期的系统开发和集成活动,建立安全开发环境,并予以适当保护
A 14.2.7 外包开发
控制:组织应督导和监视外包系统开发活动
A 14.2.8 系统安全测试
控制:应在开发过程中进行安全功能测试
A 14.2.9 系统验收测试
控制:应建立对新的信息系统、升级及新版本的验收测试方案和相关准则
A 14.3 测试数据
目标:确保用于测试的数据得到保护
A 14.3.1 测试数据的保护
控制:测试数据应认真地加以选择、保护和控制
A 15 供应商关系
A 15.1 供应商关系中的信息安全
目标:确保供应商可访问的组织资产得到保护
A 15.1.1 供应商关系的信息安全策略
控制:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件
A 15.1.2 在供应商协议中强调安全
控制:应于每个可能访问、处理、存储、传递组织信息货位组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求,并达成一致
A 15.1.3 信息与通信技术供应链
控制:供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求
A 15.2 供应商服务交付管理
目标:维护与供应商协议一致的信息安全和服务交付的商定级别
A 15.2.1 供应商服务的监视和评审
控制:组织应定期监视、评审和审核供应商服务交付
A 15.2.2 供应商服务的变更管理
控制:应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估
A 16 信息安全事件管理
A 16.1 信息安全事件的管理和改进
目标:确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通
A 16.1.1 责任和规程
控制:应建立管理责任和规程,以确保快速、有效和有序地相应信息安全事件
A 16.1.2 报告信息安全事态
控制:应通过适当的管理渠道尽快地报告信息安全事态
A 16.1.3 报告信息安全弱点
控制:应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点
A 16.1.4 信息安全事态的评估和决策
控制:应评估信息安全事态并决定其是否属于信息安全事件
A 16.1.5 信息安全事件的响应
控制:应按照文件化的规程响应信息安全事件
A 16.1.6 从信息安全事件中学习
控制:应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性的影响
A 16.1.7 证据的收集
控制:组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息
A 17 业务连续性管理的信息安全方面
A 17.1 信息安全的连续性
目标:应将信息安全连续性纳入组织业务连续性管理之中
A 17.1.1 规划信息安全连续性
控制:组织应确定在不理情况(如危机或灾难)下,对信息安全及信息安全管理连续性的要求
A 17.1.2 实现信息安全连续性
控制:组织应建立、文件化、实现并维护过程、规程和控制,以确保在不利情况下信息安全连续性大到要求的级别
A 17.1.3 验证、评审和评价信息安全连续性
控制:组织应定期验证已建立和实现的信息安全连续性控制,以确保这些控制在不利情况下是正当和有效的
A 17.2 冗余
目标:确保信息处理设施的可用性
A 17.2.1 信息处理设施的可用性
控制:信息处理设施应当实现冗余,以满足可用性要求
A 18 符合性
A 18.1 符合法律和合同要求
目标:避免违反与信息安全有关的法律、法规、规章和合同义务以及任何安全要求
A 18.1.1 适用的法律和合同要求的识别
控制:对每一个信息系统和组织而言,所有相关的法律、法规、规章和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新
A 18.1.2 知识产权
控制:应实现适当的规程,以确保在使用其具有信息知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求
A 18.1.3 记录的保护
控制:应根据法律、法规、规章、合同和业务要求,对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布
A 18.1.4 隐私和个人可识别信息保护
控制:应依照相关的法律、法规和合同条款的要求,以确保隐私和个人可识别信息得到保护
A 18.1.5 密码控制规程
控制: 密码控制的使用应遵从所有相关的协议、法律和法规
A 18.2 信息安全评审
目标:确保一句组织策略和规程来实现和运行信息安全
A 18.2.1 信息安全的独立评审
控制:应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现(如信息安全的控制目标、控制、策略、过程和规程)进行独立评审
A 18.2.2 符合安全策略和标准
控制:管理者应定期评审其责任范围内的信息处理和规程与适当的安全策略、标准和任何其他安全要求的符合性
A 18.2.3 技术符合性评审
控制:应定期评审信息系统与组织的信息安全策略和标准的符合性