ISO27001标准详解

1、ISO27001标准详解主题信息安全管理体系管理框架ISO27001控制措施ISO27001与知识产权保护 信息安全管理体系背景介绍信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 一.直接损失：丢失订单，减少直接收入，损失生产率； 二.间接损失：恢复成本，竞争力受损，品牌

2、、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。ISO27001的内容 信息安全管理体系背景介绍所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信

3、息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 ISO27001的内容 信息安全管理体系标准发展历史目前，在信息安全管理体系方面，ISO/IEC27001:2005-信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。 BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最佳惯例组成的实

4、施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999信息安全管理实施细则通过了国际标准化组织ISO的认可，正式成为国际标准- ISO/IEC17799：2000信息技术-信息安全管理实施细则，后来该标准已升版为ISO27001的内容 信息安全管理体系标准发展历史ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、ISO 14001和OHSA

5、S 18000等管理体系标准相同的结构和运行模式。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。 ISO27001的内容 信息安全管理体系要求 11个控制领域 39个控制目标 133个控制措施ISO27001的内容 必须的ISMS文件：1、ISMS方针文件，包括ISMS的范围； 2、风险评估程序和风险处理程序； 3、文件控制程序和记录控制程序； 4、内部审核程序和管理评审程序（尽管没有强制）； 5、纠正措施和预防措施控制程序； 6、控制措施有效性的测量程序； 7、适用性声明ISO27001的内容对外 增强顾客信心和满意 改善对安全方针及要求的符

6、合性 提供竞争优势对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力形成文件的ISMS的益处 PDCA方法 纠正和预防措施 内部审核 ISMS管理评审ISMS的持续改进 0.1总则 0.2过程方法 过程方法的定义：组织内各过程系统的应用，连同这些过程的识别和相互作用及其管理，可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性：理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进0 介绍PDCA模型 1.1总则 本标准规定了在组织整体业务风险

7、的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求 1.2应用 适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减，但条款4、5、6、7和8是不能删减的1 范围 ISO/IEC 17799：2005 信息技术安全技术信息安全管理实施指南2 引用标准 信息 是经过加工的数据或消息，信息是对决策者有价值的数据 资产 任何对组织有价值的事物 可用性 确保授权用户可以在需要时可以获得信息和相关资产 保密性 确保信息仅为被授权的用户获得3 术语和定义 完整性 确保信息及其处理方法的准确性和完整性 信息安全 保护信息的保密性、完整性、可用性；另外也包括其他属 性，如：真实

8、性、可核查性、不可抵赖性和可靠性 信息安全事件 已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件，或以前未知的与安全相关的情况3术语和定义（续） 信息安全事故 信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。 信息安全管理体系（ISMS） 全面管理体系的一部分，基于业务风险方法，旨在建立、实施、运行、监控、评审、维持和改进信息安全 适用性声明 基于风险评估和风险处理过程的结果和结论，描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件 3 术语和定义（续）残余风险 实施风险处置后仍旧残留

9、的风险风险接受 接受风险的决定。风险分析 系统地使用信息以识别来源和估计风险。3 术语和定义（续）风险评估 风险分析和风险评价的全过程。风险评价 将估计的风险与既定的风险准则进行比较以确定重要风险的过程。风险管理 指导和控制一个组织关于风险的协调活动。风险处置 选择和实施措施以改变风险的过程。143术语和定义（续）组织应根据整体业务活动和风险，建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系。为了适应标准的需要，过程运用PDCA模式4.1 总要求 确定ISMS范围（划分业务或重要资产均可） 确定信息安全方针 定义系统化的风险评估方法 风险识别 风险评估 识别并评价风险处理，并对

10、其处理进行选择 选择风险处理的控制目标和控制方式 编制适用性声明 获得剩余风险的管理认可，并授权实施和运行ISMS4.2.1 建立和管理 ISMS 阐明风险处理计划，它为信息安全风险管理（见第5章）指出了适当的管理措施、职责和优先级；实施风险处理计划以达到确定的控制目标，应考虑资金需求以及角色和职责分配；实施所选择的控制方法以满足控制目标.确定如何测量所选择的一个/组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果实施培训和教育运作管理资源管理实施过程和其它控制以便能对安全事故及时检查并做出反应4.2.2 实施和运行 ISMS 执行监视和评审程序和其它控

11、制措施 对ISMS的有效性进行定期的评审 测量控制措施的有效性，以证实安全要求已得到满足 评审剩余风险水平和可接受风险 按照计划的间隔实施内部ISMS的审核 对ISMS实施规律性的管理评审 更新安全计划，考虑监视和评审活动的发现 记录对ISMS的有效性或绩效可能会产生影响的行为和事件4.2.3 监控和评审 ISMS 实施ISMS中已识别的改进措施 采用合适的纠正性和预防性措施 与所有相关方交流结果、行为和协议 确保改进活动达到预想的目标4.2.4 维持和改进 ISMS 4.3.1 总则 4.3.2文件控制 4.3.3记录控制4.3 文件要求 ISMS文件应包括： 文件化的安全方针和控制目标 ；

12、 ISMS的范围，支持ISMS的程序和控制措施 ； 支持ISMS 的程序和控制措施； 风险评估方法的描述 风险评估报告； 风险处理计划； 组织需要文件化的过程以确保信息安全过程得到有效计划、运行和实施； 本标准所要求的记录 适用性声明4.3.1 总则文件发布前要得到批准，以确保文件的适当性；根据需要评审和修订文件，并重新批准确保文件的更改和现行修订情况得到识别；确保在使用时能得到有关文件的适当版本；确保文件保持清晰，易于识别；确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；确保外来文件得到识别；确保文件的分发受控；防止废旧文件的非预期使用；若因任何原因而保留作

13、废文件时，应做适当的标识4.3.2 文件控制 应建立并保持记录，以提供满足本规范的要求和信息安全管理体系有效运行的证据 建立程序文件，以规定记录的识别、贮存、保护、恢复、保存时间和处置所需的控制 如：记录控制程序 记录应清晰易读，具有标识和可追溯性 考虑任何相关的法律要求如：来访登记表（本）、审核记录、授权访问记录4.3.3 记录控制ISMS 文 件方针范围、风险评价适用性声明描述过程：who,what,when,where描述任务及具体的活动如何完成提供符合ISMS条款3.6要求的可感证据第一层次第二层次第三层次第四层次安全手册程序作业指导书检查表、表格记录管理框架与ISO27001条款4有

14、关的方针 第一层次（安全手册）：管理框架概要，包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件 第二层次（程序）：采用的程序，规定实施要求的控制方法。描述安全过程的“WHO、WHAT、WHEN、WHERE”以及部门间的控制方法；可以按照ISO27001顺序，也可按照过程顺序；引用下一层次文件25ISMS 文 件 第三层次：解释具体任务或活动的细节如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册，等等。 第四层次（记录）：按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的，或者是ISO27001各个条款隐含的要求。例如：访

15、问者登记簿、审核记录、访问的授权。26ISMS 文 件5.1管理承诺 5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力5 管理职责 管理者应通过如下所示向ISMS的建立、实施、运作、监管、审核、维持和改进提供承诺的证据：a) 建立信息安全方针；b) 确保信息安全目标和计划的建立；c) 为信息安全定岗并建立岗位职责；d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性，以及本组织的法律责任和持续改进的需求；e) 为ISMS的发展、实施、运作和维持提供充足的资源；f )确定接受风险的准则和可接受的风险等级；g)确保ISMS内部审核的实施；h)进行ISMS管理评审。5.1 管理

16、承诺 组织应确定并提供以下方面所需资源： 建立、实施、运作和维持ISMS； 确保信息安全程序支持业务需要； 识别和定位法律法规要求和合同安全责任； 通过正确的应用所有的已被实施的控制方法来维持适当的安全； 必要时进行评审，并对审核结果采取适当的行动 ； 在有需要的地方改进ISMS的有效性5.2.1 提供资源确定员工在执行与ISMS相关的工作时所必需具备的能力；提供能力培训，必要时，聘请专业人士以满足需要；评价所提供的培训和采取的行动的有效性；保持教育、培训、技能、经验和资格的记录组织应确保所有相关人员认识其信息安全活动的相关性和重要性，并知道怎样为实现ISMS的目标做出贡献305.2.2 培训

17、、意识和能力 组织应按策划的时间间隔对ISMS进行内审,以决定ISMS的控制目标、控制行为、过程和程序是否 与本标准的要求和相关法律法规相适应 与已识别信息安全需求相适应 有效地实施和维护 达到预期目标 文件化内审程序、保持内审记录316 ISMS内部审核 7.1 总则 7.2 评审输入 7.3 评审输出7 ISMS的管理评审 定期管理评审，以确保适宜性、充分性和有效性 评审应包括评价ISMS的改进机会和变更需要，包括安全 方针和安全目标 评审结果应清楚地写入文件，保持评审的记录337.1总则ISMS审核和评审的结果；相关方的反馈；在组织中被用于改进ISMS性能和有效性的技术、产品或程序；预防

18、和纠正措施的状况；以前风险评估中没有准确定位的薄弱点或威胁；有效性测量的结果；以往管理评审的跟踪措施；任何可能影响ISMS的变更；改进的建议7.2评审输入 ISMS有效性的改进信息 风险评估和风险处理计划的更新 修改影响信息安全的程序，必要时，对可能影响ISMS的内部或外部事件做出反应，变更包括如下 ：业务需求安全需求影响现有业务需求的业务过程法律法规环境风险等级或/和可接受风险水平 资源需求 对如何测量控制措施的有效性的改进7.3评审输出8.1 持续改进8.2 纠正措施8.3 预防措施8 ISMS的改进 组织应通过信息安全方针、安全目标、审核结果、监督事件的分析、纠正和预防措施以及管理评审来

19、持续改进ISMS的有效性8.1持续改进 建立文件化的纠正措施程序以满足如下要求 识别ISMS的实施和/或运行的不合格 确定不合格原因 评价确保不合格不再发生的措施的需求 确定和实施所需的纠正措施 记录所采取的措施结果 评审所采取的纠正措施8.2纠正措施 建立文件化的预防措施程序以满足如下要求： 识别潜在的不合格及其原因 评价预防不符合发生所需的措施 确定和实施所需的预防措施 记录所采取的措施的结果 评审所采取的预防措施8.3 预防措施预防 预防是主动的 意图为防止问题发生 在过程策划和设计阶段控制 增值 成本更低 更大的顾客信心 所有ISO标准的主要关注点预防与探测探测探测是被动的意图为探测发

20、生的问题在过程输出阶段控制不增加价值成本很大顾客信心有限需要，但远不是重点管理者承诺组织资源关注预防培训沟通参与系统评审ISMS的有效实施主题信息安全管理体系管理框架ISO27001控制方法ISO27001与知识产权保护ISO27001:2005ISO27001:2005控制目标和控制方法控制目标和控制方法附录：A11大控制域信息资产保密性完整性可用性安全方针信息安全组织资产管理人力资源安全物理和环境安全通信与操作安全信息安全事件管理信息系统的获取开发和维护访问控制业务持续性管理符合性A.5 安全方针 评审与评价A.5 信息安全方针方针积极预防、全面管理、积极预防、全面管理、控制风险、保障安全

21、。控制风险、保障安全。目标：根据业务需求和相关法律、法规，为信息安全提供管理指 导和支持。 信息安全方针文件 信息安全方针文件应经管理层批准认可，并向所有雇员和有关外部组织发布、传达。47A.5.1信息安全方针文件 应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。48A.5.2信息安全方针评审A.6 信息安全组织A.6.1 内部组织目标：在组织内部管理信息安全。 信息安全的管理承诺 信息安全协调 信息安全职责划分 信息处理设备的授权过程 保密协议 与权威机构的联系 与专业的利益团体保持联系 信息安全的独立评审A.6.1.1 信息安全的管理

22、承诺A.6.1.2 信息安全协调A.6.1.3 信息安全职责划分A.6.1.4 信息处理设施的授权过程A.6.1.5 保密协议A.6.1.6 与权威机构的联系A.6.1.7 与专业的利益团体保持联系A.6.1.8 信息安全的独立评审控制措施：管理应通过明确的指导、已证实的承诺、明确的任务委派和信息安全职责的确认来积极支持组织内部的安全。控制措施：来自组织不同部门的代表应保持信息安全活动与有关角色和工作职责的协调。控制措施：应明确规定所有的信息安全职责。控制措施：应定义和实施对新的信息处理设施的管理授权过程。控制措施：应识别和定期评审反映组织信息保护需要的保密或不许泄露协议的需求控制措施：应保持

23、与相关权威机构的适当联系。控制措施：应与专业的利益团体或专家安全论坛以及专业协会保持适当的联系。控制措施：对组织信息安全的管理方法和实施情况（如信息安全的控制目标、措施、方针、过程、流程）应按计划的时间间隔进行独立评审，或是在信息安全实施发生重大变更时进行独立评审。A.6.2外部组织目标：保持被外部组织访问、处理、通信或管理的组织信息和信息处理设施的安全。 关于外部组织风险的识别 当与顾客接触时强调安全 第三方合同中的安全要求A.6.2.1关于外部组织风险的识别控制措施：在被允许访问前，应对涉及外部组织的业务过程中的组织信息和信息处理设施的风险进行识别并采取适当的控制措施。A.6.2.2当与顾

24、客接触时强调安全控制措施：应在允许顾客访问组织的信息或资产前强调所有的安全要求。A.6.2.3在第三方合同中强调安全控制措施：与第三方签订的合同中涉及到访问、处理、通信或管理组织信息和信息设施，或增加产品、服务到组织信息设施，合同应覆盖所有相关安全的要求。A.7 资产管理A.7.1资产责任目标：实现并保持组织资产的适当保护。 资产的清单 资产所有者关系 可接受的资产使用A.7.1.1资产的清单控制措施：所有资产应予以清楚的识别，并且应编制并保持所有重要资产的目录。A.7.1.2资产所有者关系控制措施：与信息处理设施有关的所有信息和资产应由组织指定的部门或人员（所有者）1承担责任。A.7.1.3

25、可接受的资产使用控制措施：与信息处理设施有关的信息和资产的可接受的使用准则应被识别、形成文件并加以实施。1术语“所有者”是为控制生产、开发、保持、使用和保护资产而赋予管理职责的个人或实体。术语 “所有者”不指对资产有实际所有权的人员。 分类指南 信息的标识与处理目标：确保信息受到适当程度的保护。限制高度机密秘保密密限制直到2007/1/1保护标识A.7.2 资产分类与控制A.7.2.1分类指南控制措施：信息应根据其对组织的价值、法律要求、敏感性和危险程度进行分类。A.7.2.2信息的标识与处理控制措施：根据组织采用的分类方案，应开发和实施用于信息标识与处理的适当的全套程序。A.8 人力资源安全

26、 目标：确保员工、合同方和第三方用户明白他们的职责，适合于他们被赋予的任务，减少因盗窃、欺诈或设施误用造成的风险。 任务和职责 人员考察 雇用条款和条件A.8.1雇佣前A.8.1.1任务和职责控制措施：员工、合同方和第三方用户的安全任务和职责应给予定义和形成文件，并应与组织信息安全方针保持一致。A.8.1.2人员考察控制措施：应根据相关的法律、法规和道德，对所有的求职者、合同方和第三方用户进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适宜。A.8.1.3雇用条款和条件控制措施：作为合同责任的一部分，员工、合同方和第三方用户应统一并签署他们的雇佣合同的条款和条件。这些条款和条件

27、应规定他们和组织对于信息安全的责任。A.8.2雇佣期间 目标：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。 管理职责 信息安全意识、教育与培训 惩戒程序A.8.2.1管理职责控制措施：管理者应要求所有的员工、合同方和第三方用户按照组织已建立的方针和程序实施安全。A.8.2.2信息安全意识、教育与培训控制措施：组织的所有员工，适当时，包括合同方和第三方用户，应受到与其工作职能相关的适当的意识培训和组织方针及程序的定期更新培训。A.8.2.3惩戒程序控制措施：应建立一个正式的员工违反安全的惩戒程序。

28、A.8.3雇佣的终止或变更 目标：确保员工、合同方和第三方用户离开组织或雇佣变更时以一种有序的方式进行应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出，并确保他们归还所有设备及删除他们的所有访问权力。终止职责资产归还撤销访问权限66A.8.3.1终止职责控制措施：履行雇用关系终止或改变的职责应得到清楚的定义和分配。A.8.3.2资产归还控制措施：当终止雇用关系、合同或协议时，员工、合同方和第三方用户应归还其占有的组织资产。A.8.3.3撤销访问权限控制措施：当终止雇用关系、合同或协议时，员工、合同方和第三方用户对信息和信息处理设施的访问权限应予以撤销，或当雇用关系、合同或协议发生变更

29、时，访问权限应予以调整。A.9 物理与环境安全A.9.1安全区域目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰。 物理安全边界 物理进入控制 办公室、房间和设施的安全 防范外部和环境的威胁 在安全区域工作 公共访问和装卸区域A.9.1.1 物理安全边界控制措施：组织应使用安全边界（障碍物，如墙、控制进入大门的卡或人工接待台）来保护包含信息和信息处理设施的区域。A.9.1.2 物理进入控制控制措施：应通过适当的进入控制对安全区域进行保护，以确保只有经过授权的人员才可以访问。A.9.1.3 办公室、房间和设施的安全控制措施：应设计并实施保护办公室、房间和设施的物理安全。A.9.1.4

30、防范外部和环境的威胁控制措施：应设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。A.9.1.5 在安全区域工作控制措施：应设计并实施在安全区域工作的物理保护和指南。A.9.1.6 公共访问和装卸区域控制措施：访问区域如装卸区域及其他未经授权人员可能进入办公场所的地点应加以控制，如果可能的话，与信息处理设施加以隔离以防止非授权的访问。A.9.2 设备安全 目标：防止资产的丢失、损坏或被盗，以及对组织活动的中断。 设备的定置和保护 支持性设施 线缆安全 设备维护 场外设备的安全 设备的安全处理或再利用 资产迁移A.9.2.1 设备的安置与保护控制措施：应对设备进

31、行安置或保护，以减少来自环境的威胁或危害，并减少非授权访问的机会。A.9.2.2 支持性设施控制措施：应保护设备免受电力中断或其他因为支持性设施失效所导致的中断。A.9.2.3 电缆安全控制措施：应保护承载数据或支持信息服务的电力和通讯电缆免遭中断或破坏。A.9.2.4 设备维护控制措施：应正确维护设备，以确保其持续的可用性和完整性。A.9.2.5 场外设备的安全控制措施：应对场外设备进行安全防护，考虑在组织边界之外工作的不同风险。A.9.2.6 设备处置或重用的安全控制措施：应检查包所有含存储介质的设备，以确保在处置前所有敏感数据或授权软件已经被移除或安全重写。A.9.2.7 资产迁移控制措

32、施：未经授权，不得将设备、信息或软件带离。A.10 通信与操作管理74A.10.1操作程序及职责目标：确保信息处理设施的正确和安全操作。 文件化的操作程序 变更管理 职责分离 开发、测试和运营设施的分离A.10.1.1文件化的操作程序控制措施：应编制并保持文件化的操作程序，并确保所有需要的用户可以获得。A.10.1.2变更管理控制措施：应控制信息处理设施及系统的变更。A.10.1.3职责分离控制措施：应分离职责和责任区域，以降低非授权访问、无意识修改或滥用组织资产的机会。A.10.1.4开发、测试和运营设施的分离控制措施：应分离开发、测试和运营设施，以降低非授权访问或对操作系统变更所带来的风险

33、。A.10.2第三方服务交付管理 目标：实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。 服务交付 监控和评审第三方服务 管理第三方服务的变更A.10.2.1服务交付控制措施：确保第三方实施、运行并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级。A.10.2.2监控和评审第三方服务控制措施：应对服务和第三方提交的报告定期进行监控和评审，并定期进行审核。A.10.2.3管理第三方服务的变更控制措施：应管理服务提供的变更（包括保持和改进现有信息安全方针、程序和控制措施），考虑对业务系统的关键程度、涉及的过程和风险的再评估。A.10.3系统规划和验收目标：最小化系统失效的

34、风险。 容量管理 系统验收A.10.3.1容量管理控制措施：应监督、调整资源的使用情况，并反应将来容量的要求，以确保系统的性能。A.10.3.2系统验收控制措施：应建立新的信息系统、系统升级和新版本的验收准则，并在开发过程中及接收前进行适当的系统测试。A.10.4 防范恶意代码和移动代码目标：保护软件和信息的完整性。 防范恶意代码 防范移动代码A.10.4.1防范恶意代码控制措施：应实施防范恶意代码的检测、预防和恢复，以及适当的用户意识程序。A.10.4.2防范移动代码控制措施：当使用移动代码获得授权时，配置管理应确保授权的移动代码按照明确定义的安全方针运行，并防止未经授权移动代码的执行。A.

35、10.5 备份目标：保持信息和信息处理设施的完整性和可用性。 信息备份A.10.5.1信息备份控制措施：应根据既定的备份策略对信息和软件进行备份并定期测试。 网络控制 网络服务的安全A.10.6 网络安全管理目标：确保网络中的信息和支持性基础设施得到保护。A.10.6.1网络控制控制措施：应对网络进行充分的管理和控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输。A.10.6.2网络服务的安全控制措施：应识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中，无论这种服务是由内部提供的还是外包的。A.10.7 媒介处置目标：防止对资产的未授权泄漏、修改、移动或损

36、坏，及对业务活动的干扰。 可移动计算机介质的管理 介质处理 信息处理程序 系统文档的安全A.10.7.1可移动介质的管理控制措施：应建立可移动介质的管理程序。A.10.7.2介质处置控制措施：当介质不再需要时，应按照正式的程序进行安全可靠的销毁。A.10.7.3信息处理程序控制措施：应建立信息处理和存储程序，以防范该信息的未授权泄漏或误用。A.10.7.4系统文档安全控制措施：应保护系统文档免受非授权的访问。A.10.8 信息交换目标：应保持组织内部或组织与外部组织之间交换信息和软件的安全。 信息交换策略和程序 交换协议 物理媒体传输 电子信息 业务信息系统A.10.8.1信息交换策略和程序控

37、制措施：应建立正式的交换策略、程序和控制，以保护通过所有类型的通讯设施交换信息的安全。A.10.8.2交换协议控制措施：应建立组织和外部组织信息和软件交换的协议。A.10.8.3物理介质传输控制措施：在组织的物理边界之外进行传输的过程中，应保护包含信息的媒体免受非授权的访问、误用或破坏。A.10.8.4电子消息控制措施：应适当保护包含电子消息的信息。A.10.8.5业务信息系统控制措施：应开发并实施策略和程序，以保护与业务信息系统互联的信息。 在线交易 公共可用信息A.10.9 电子商务服务目标：确保电子商务的安全及他们的安全使用。 电子商务A.10.9.1电子商务控制措施：应保护电子商务中通

38、过公共网络传输的信息，以防止欺诈、合同争议、非授权的泄漏和修改。A.10.9.2在线交易控制措施：应保护在线交易中的信息，以防止不完整的传输、路由错误、非授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。A.10.9.3公共可用信息控制措施：应保护公共可用系统中信息的完整性，以防止未经授权的修改。A.10.10 监控目标：检测非授权的信息处理活动。 审计日志 监视系统的使用 日志信息保护 管理员和操作者日志 故障记录 时钟同步A.10.10.1审计日志控制措施：应产生记录用户活动、异常和信息安全事件的日志，并按照约定的期限进行保留，以支持将来的调查和访问控制监视。A.10.10.2监视

39、系统的使用控制措施：应建立监视信息处理系统使用的程序，并定期评审监视活动的结果。A.10.10.3日志信息保护控制措施：应保护日志设施和日志信息免受破坏和未授权的访问。A.10.10.4管理员和操作者日志控制措施：应记录系统管理员和系统操作者的活动。A.10.10.5故障记录控制措施：应记录并分析故障记录，并采取适当的措施。A.10.10.6时钟同步控制措施：组织内或统一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步。A.11 访问控制A.11.1 访问控制业务需求目标：控制对信息的访问。 访问控制策略系统管理员菜 单A.11.1.1访问控制策略控制措施：应建立文件化的访问

40、控制策略，并根据对访问的业务和安全要求进行评审。 用户注册 特权管理 用户口令管理 用户访问权限的评审A.11.2 用户访问管理你无权访问本系统目标：确保授权用户的访问，并预防信息系统的非授权访问。A.11.2.1用户注册控制措施：应建立正式的用户注册和解除注册程序，以允许和撤销对于所有信息系统和服务的访问。A.11.2.2特权管理控制措施：应限制和控制特权的使用和分配。A.11.2.3用户口令管理控制措施：应通过正式的管理流程控制口令的分配。A.11.2.4用户访问权限的评审控制措施：管理者应按照策划的时间间隔通过正式的流程对用户的访问权限进行评审。A.11.3 用户责任目标：预防未授权用户

41、的访问，信息和信息处理设施的破坏或被盗。 口令使用 无人值守的用户设备 清理桌面及清除屏幕策略A.11.3.1口令使用控制措施：应要求用户在选择和使用口令时遵循良好的安全惯例。A.11.3.2无人值守的用户设备控制措施：用户应确保无人值守的设备得到适当的保护。A.11.3.3清理桌面及清除屏幕策略控制措施：应采用针对纸质文件和可移动存储介质的桌面清理策略以及针对信息处理设施屏幕的清除策略。A.11.4 网络访问控制目标：防止对网络服务未经授权的访问。 网络服务使用策略 外部连接用户的鉴别 网络设备的识别 远程诊断和配置端口保护 网内隔离 网络连接控制 网络路由控制A.11.4.1网络服务使用策

42、略控制措施：用户应只能访问经过明确授权使用的服务。A.11.4.2外部连接用户的鉴别控制措施：应使用适当的鉴别方法控制远程用户的访问。A.11.4.3网络设备的识别控制措施：应考虑采用自动设备识别方法鉴别从特定区域和设备的连接。A.11.4.4远程诊断和配置端口保护控制措施：应控制对诊断和配置端口的物理和逻辑访问。A.11.4.5网内隔离控制措施：应隔离信息系统内的信息服务组、用户和信息系统。A.11.4.6网络连接控制控制措施：在公共网络中，尤其是那些延展到组织边界之外的网络，应限制用户联接的能力，并与业务应用系统的访问控制策略和要求一致（见11.1）。A.11.4.7网络路由控制控制措施：

43、应对网络进行路由控制，以确保信息联接和信息流不违反业务应用系统的访问控制策略。A.11.5 操作系统访问控制目标：防止对操作系统的非授权访问。 安全登陆程序 用户标识和鉴别 口令管理系统 系统实用程序的使用 终端时限 连接时间限制A.11.5.1安全登陆程序控制措施：应通过安全登陆程序对操作系统的访问进行控制。A.11.5.2用户标识和鉴别控制措施：所有的用户应有一个只供本人使用的唯一识别码（用户ID），应使用适当的鉴别技术来证实用户所声称的身份。A.11.5.3口令管理系统控制措施：应是使用交互式口令管理系统，并确保口令质量。A.11.5.4系统实用程序的使用控制措施：使用的实用程序可能会超

44、越系统的能力，所以应限制并严格控制系统实用程序的使用。A.11.5.5会话超时控制措施：不活动的会话应在一个设定的不活动周期后关闭。A.11.5.6连接时间限制控制措施：应使用连接时间限制作为高风险应用的额外安全保护。A.11.6应用系统和信息访问控制目标：防止对应用系统中信息的非授权访问。 信息访问限制 敏感系统隔离A.11.6.1信息访问限制控制措施：应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问。A.11.6.2敏感系统隔离控制措施：敏感系统应使用独立的计算环境。A.11.7 移动计算与远程工作目标：确保在使用移动计算和远程工作设施时信息的安全。 移动计算和通信

45、远程工作A.11.7.1移动计算和通信控制措施：应建立正式的策略并实施适当的控制，以防范使用移动计算和通讯设施的风险。A.11.7.2远程工作控制措施：应开发并实施远程工作的策略、操作计划和程序。A.12 信息系统的获取、开发和维护 安全要求分析与规范A.12.1 信息系统的安全要求 规 范 商务案例。如企业新购的。如企业新购的ERP系统在购买之后就系统在购买之后就进行常规的测试和进行常规的测试和需求处理。需求处理。安全要求目标：确保安全成为信息系统的一部分。A.12.1.1安全需求分析与规范控制措施：新的信息系统或对现有信息系统的扩展的业务需求说明书中应规定安全控制的要求。A.12.2 应用

46、系统的正确处理目标：防止应用系统信息的错误、丢失、非授权的修改或误用。 输入数据确认 内部处理的控制 消息完整性 输出数据确认A.12.2.1 输入数据确认控制措施：应验证应用系统输入数据，以确保正确和适当。A.12.2.2 内部处理控制控制措施：应用系统中应包含确认检查，以检测数据处理过程中的错误。A.12.2.3 消息完整性控制措施：应识别应用系统中确保鉴别和保护消息完整性的要求，识别并实施适当的控制。A.12.2.4 输出数据确认控制措施：应确认应用系统输出的数据，以确保存储的信息的处理是正确的并与环境相适宜。A.12.3 加密控制保密信息34dfjon45?P目标：通过加密手段来保护信

47、息的保密性、真实性或完整性。 使用加密控制的策略 密钥管理A.12.3.1使用加密控制的策略控制措施：为保护信息，应开发并实施加密控制的使用策略。A.12.3.2密钥管理控制措施：应进行密钥管理，以支持组织对密码技术的使用(加密狗）。A.12.4 系统文档的安全目标：确保系统文档的安全。 操作软件的控制 系统测试数据的保护 源代码的访问控制A.12.4.1操作软件控制控制措施：应建立程序，以控制在操作系统中安装软件。A.12.4.2系统测试数据的保护控制措施：应谨慎选择测试数据，并加以保护和控制。A.12.4.3源代码的访问控制控制措施：应限制对源代码的访问（一系列人类可读的语言指令）。变更控

48、制程序操作系统变更后的技术评审软件包变更限制信息泄漏软件开发外包A.12.5 开发与支持过程中的安全目标：保持应用系统软件和信息的安全。A.12.5.1变更控制程序控制措施：应通过正式的变更控制程序，控制变更的实施。A.12.5.2操作系统变更后应用系统的技术评审控制措施：当操作系统变更后，应评审并测试关键的业务应用系统，以确保变更不会对组织的运营或安全产生负面影响。A.12.5.3软件包变更限制控制措施：除非确实有必要，不鼓励对软件包进行变更。所有的变更应被严格控制。A.12.5.4信息泄漏控制措施：防止信息泄漏的机会。A.12.5.5软件开发外包控制措施：组织应对软件开发外包进行监控。A.

49、12.6技术漏洞管理目标：减少由利用公开的技术漏洞带来的风险。 控制技术漏洞A.12.6.1 控制技术漏洞控制措施：应及时获得组织所使用的信息系统的技术漏洞的信息，评估组织对此类技术漏洞的保护，并采取适当的措施。A.13 信息安全事件管理A.13.1 报告信息事件和弱点目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。 报告安全事件 报告安全弱点A.13.1.1报告信息安全事件控制措施：应通过适当的管理途径尽快报告信息安全事件。A.13.1.2报告信息安全弱点控制措施：应要求所有的员工、合同方和第三方用户注意并报告系统或服务中已发现或疑似的安全弱点。A.13.2 对安全事件与

50、故障做出响应目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。 职责和程序 从信息安全事故中学习 收集证据A.13.2.1职责和程序控制措施：应建立管理职责和程序，以快速、有效和有序的响应信息安全事故。A.13.2.2从信息安全事件中学习控制措施：应建立能够量化和监控信息安全事件的类型、数量、成本的机制。A.13.2.3收集证据控制措施：事件发生后，应根据相关法律的规定（无论是民法还是刑法）跟踪个人或组织的行动，应收集、保留证据，并以符合法律规定的形式提交。A.14 业务持续性管理目标:防止业务活动的中断，保护关键业务流程不会受信息系统重大失误或灾难的影响，并确保他们的及时恢

51、复 在业务连续性管理过程中包含的信息安全 业务连续性和风险评估 制定并实施包含信息安全的连续性计划 业务连续性计划框架 BCP 的测试、保持和再评估A.14.1 业务连续性管理的信息安全方面A.14.1.1在业务连续性管理过程中包含信息安全控制措施：应在组织内制定并保持业务连续性管理过程，该过程满足组织的业务连续性对信息安全的要求。A.14.1.2业务连续性和风险评估控制措施：应识别可能导致业务过程中断的事件，这类中断发生的可能性，以及它们对信息安全所造成的后果。A.14.1.3制定并实施包含信息安全的连续性计划控制措施：应制定并实施计划，以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性。A.14.1.4业务连续性计划框架控制措施：应保持一个单一的业务连续性计划框架，以确保所有计划的一致性，以维护信息安全要求的一致性并识别测试和保持的优先级。A.14.1.5BCP 的测试、保持和再评估控制措施：应定期测试并更新BCP，以确保BCP 的及时性和有效性。A.15 符合性目标：避免违反法律、法规、规章、合同要求和其他的安全要求 适用法律要求的识别 知识产权