导图社区 ISO27001 附录A
- 361
- 14
- 0
- 举报
ISO27001 附录A
GB/T 22081-2016 ISO IEC27001信息安全管理体系附录A(请输入超过 15个单词的描述?)
编辑于2020-02-21 13:00:22- 相似推荐
- 大纲
02 GBT 22081-2016 ISO IEC 27001 信息安全管理体系附录A
5.信息安全策略
5.1信息安全管理指导
目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持。
5.1.1信息安全策略:
控制
信息安全策略集宜被定义,由管理者批准,并发布、传达给所有员工和外部相关方。
5.1.2信息安全策略的评审
控制
宜按照计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性和也有效性。
6.信息安全组织
6.1内部组织
目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。
6.1.1信息安全的角色和责任
控制
所有的信息安全责任宜予以定义和分配。
6.1.2职责分离
控制
宜分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。
6.1.3与职能机构的联系
控制
宜维护与相关职能机构的适当联系。
6.1.4与特定相关方的联系
控制
宜维护与特定相关方、其他专业安全论坛和专业协会的适当联系
6.1.5项目管理中的信息安全
控制
宜关注项目管理中的信息安全问题,无论何种类型的项目。
6.2移动设备和远程工作
目标:确保移动设备远程工作及其适用的安全。
6.2.1移动设备策略
控制
宜采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。
6.2.2远程工作
控制
宜实现相应的策略及其支持性的安全措施,以保护在远程工作地点上所访问的、处理的或存储的信息。
7.人力资源安全
7.1任用前
目标:确保员工和合同方理解其责任,并适合其角色。
7.1.1审查
控制:
宜按照相关法律法规和道德规范,对所有任用候选者的背景进行验证核查,并与业务要求、访问信息的登记和察觉的风险相适宜。
7.1.2任用条款及条件
控制:
宜在员工和合同方的合同协议中声明他们和组织对信息安全的责任。
7.2任用中
目标:管理层宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全。
7.2.1管理责任
控制:
管理层宜要求所有员工和合同方按照组织已建立的策略和规程应用想信息安全。
7.2.2信息安全意识、教育和培训
控制:
组织所有员工和相关的合同方,宜按其工作职能,接受适当的意识教育和培训,及组织策略及规程的定期更新的信息。
7.2.3违规处理过程
控制:
宜有正式的、且已被传达的违规处理过程以对信息安全违规的员工采取措施。
8.资产清单
8.1有关资产的责任
目标:识别组织资产并定义适当的保护责任
8.1.1资产清单
控制:应识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单。
8.1.2资产的所属关系
控制:应维护资产清单张总资产的所属关系。
8.1.3资产的可接受适用
控制:应识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现。
8.1.4资产归还
控制:所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。
8.2信息分级
目标:确保信息按照其对组织的重要程度受到适当水平的保护
8.2.1信息的分级
控制:信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。
8.2.2信息的标记
控制:应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程。
8.2.3资产的处理
控制:应按照组织采用的信息分级方案,制定并实现资产处理规程。
8.3介质处理
目标:防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。
8.3.1移动介质的处理
控制:应按照组织采用的分级方案,实现移动介质管理规程。
8.3.2 介质的处置
控制:应使用正式的规程安全地处置不再需要额的介质。
8.3.3物理介质的转移
控制:包括信息的介质在运送中应受到保护,以防止为授权访问、不当使用或毁坏。
9.访问控制
9.1访问控制的业务要求
目标:限制对信息和信息处理设施的访问。
9.1.1访问控制策略
控制:应基于业务和信息安全要求,建立访问控制策略,形成文件并形成评审。
9.1.2网络和网络服务的访问
控制:应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。
9.2用户访问管理
目标:确保授权用户对系统和服务的访问,并防止未授权的访问。
9.2.1 用户注册和注销
控制:应实现正式的用户注册机注销过程,以便可分配访问权。
9.2.2用户访问供给
控制:应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权。
9.2.3特许访问权管理
控制:应限制并控制特许访问权的分配和使用
9.2.4用户的秘密鉴别信息管理
控制:应通过正式的管理过程控制秘密鉴别信息的分配
9.2.5用户访问权的评审
控制:资产拥有者应定期对用户的访问权进行评审。
9.2.6访问权的移除或调整
控制:所有员工和外部 用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。
9.3用户责任
目标:让用户承担保护其鉴别信息的责任。
9.3.1秘密鉴别信息的使用
控制:应要求用户遵循组织在使用秘密鉴别信息时的惯例。
9.4系统和应用访问控制
目标:防止对系统和应用的未授权访问
9.4.1信息访问限制
控制:应按照访问控制策略限制对信息和应用系统功能的访问。
9.4.2安全登录规程
控制:当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问。
9.4.3口令管理系统
控制:口令管理系统应是交互式的,并应确保优质的口令。
9.4.4特权实用程序的使用
控制:对于可能超越系统和 应用控制的使用程序的使用应 予以限制并严格控制。
9.4.5程序源代码的访问控制
控制:应限制对程序源代码的访问
10.密码
10.1密码控制
目标:确保适当和 有效地使用密码基数 以保护信息的保密性、真实性和(或)完整性。
10.1.1密码控制的使用策略
控制:应开发和实现用于保护信息的密码控制使用策略。
10.1.2密钥管理
控制:应制定和实现贯穿其 全生命周期的密钥使用、保护和生存期策略。
11.物理和环境安全
11.1安全区域
目标:防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。
11.1.1物理安全边界
控制:应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域
11.1.2物理入口控制
控制:安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
11.1.3办公室、房间和设施的安全保护
控制:应为办公室、房间和设施设计并采取物理安全措施
11.1.4外部和环境威胁的安全防护
控制:应设计和应用物理保护以防自然灾害、恶意攻击和意外
11.1.5在安全区域工作
控制:应设计和应用安全区域工作规程
11.1.6交接区
控制:访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问
11.2设备
目标:防止资产的丢失、损坏、失窃或危及资产安全 以及组织活动的中断
11.2.1设备安置和保护
控制:应安置或保护设备,以减少由环境威胁和危险所造成的的各种风险以及未授权访问的机会
11.2.2支持性设施
控制:应该保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断
11.2.3 布缆安全
控制:应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏
11.2.4设备维护
控制:设备应予以正确地维护,以确保其持续的可用性和完整性
11.2.5资产的移动
控制:设备、信息或软件在授权之前不应带出组织场所
11.2.6组织场所外的设备与资产安全
控制:应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险
11.2.7设备的安全处置或再利用
控制:包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写
11.2.8无人值守的用户设备
控制:用户应确保无人值守的用户设备有适当的保护
11.2.9清理桌面和屏幕策略
控制:应针对纸质和可移动的存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略
12.运行安全
12,1运行规程和责任
目标:确保正确、安全的运行信息处理设施
12.1.1文件化的操作规程
控制:操作规程 应形成文件,并对所需用户可用
12.1.2变更管理
控制:应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和系统变更
12.1.3容量管理
控制:应对资源的使用进行监视,调整和预测未来的容量需求,宜以确保所需的系统性能
12.1.4开发、测试和运行环境的分离
控制:应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险
12.2恶意软件防范
目标:确保信息和信息处理设施防范恶意软件
12.2.1恶意软件的控制
控制:应实现检测、预防和恢复控制以防范恶意软件,并结合适当的用户意识教育
12.3备份
目标:防止数据丢失
12.3.1信息备份
控制:应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试
12.4日志和监视
目标:记录事态并生成证据
12.4.1事态日志
控制:应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志
12.4.2日志信息的保护
控制:记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问
12.4.3管理员和操作员日志
控制:系统管理员和操作员活动应记入日志,并对日志进行保护和定期评审
12.4.4时钟同步
控制:一个组织或安全域内的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步
12.5运行软件控制
目标:确保运行系统的完整性
12.5.1运行系统的软件安装
控制:应实现运行系统软件安装控制规程
12.6技术方面的脆弱性管理
目标:防止对技术脆弱性的利用
12.6.1技术方面脆弱性的管理
控制:应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险
12.6.2软件安装限制
控制:应建立并实现控制用户安装软件的规则
12.7信息系统审计的考虑
目标:使审计活动对于运行系统的影响最小化
12.7.1信息系统审计的控制
控制:设计运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断
主题
13通信安全
13.1网络安全管理
目标:确保网络中的信息及其支持性的信息处理设施得到保护
13.1.1网络控制
控制:应管理和控制网络以保护系统和应用中的信息
13.1.2网络服务的安全
控制:所有网络服务的安全机制、服务级别和管理要求应予以确定 并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的