iso27001主任审核员培训(PPT-75张)课件

1、ISO27001LeadAuditorTrainingCourseNeilYuShanghaiFeb.18-22,2008Version1.6UpdatedonJune19,2008ISO27001 LA Training CourseDay 1ShanghaiFeb. 18, 2008典型的信息安全事件HW事件HW到中东某国投标，、人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘LM事件LM一直与中国军方关系密切，承接过国家级信息安全项目骨干中

2、一人离职出国，带出很多涉密文件，结果LM被封杀艳照门很傻很天真什么叫管理体系System Set of interrelated or interacting elements 体系 一系列相关关联相互作用的元素Work systematically To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence系统地工作 为保证工作效率，事情必须按合适的/可行的方法进行组织，并以一定的顺序完成Management System S

3、ystem to establish policy and objectives and to achieve those objectives管理体系 建立方针和目标，并实现目标的体系管理体系的4大要素组织机构：明确职责、权限程序：告诉相关人员怎么做过程：具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？资源：可调配、使用的人员、设备等培训资源过程程序组织结构管理体系常见的管理体系质量管理：ISO9001环境管理：ISO14001职业安全：OHSAS18001社会责任：SA8000信息安全：ISO27001什么是质量质量3要素QCT符合客户的要求（Q）不能导致成本上升

4、（C）时间（T）以上三个方面的平衡的结果就是质量QualityCostTime质量管理体系一览国际标准 ISO9001汽车行业（比ISO9001多了项目管理方面的要求）TS16949（汽车行业的质量管理体系）QS9000（美国的汽车行业标准）VDA6.1（德国大众的质量管理体系）其他行业ISO22000（食品行业）TL9000（通讯业）ISO20000（可称为IT业的服务质量标准）CMMI（适合软件研发和新技术开发）信息安全的3要素Confidentiality the property that information is made available or disclosed to un

5、authorized individuals, entities or processes 保密性 信息被获取或泄漏给未经授权的个人、实体或流程Integrity the property of safeguarding the accuracy and completeness完整性 保护资产准确和完整Availability the property of being accessible and useable upon demand by an authorized entity可用性 资产仅对授权人员在需要的时候是可访问的或可用的什么叫ISMS信息安全管理体系Information

6、信息信息是一种重要资产，对组织的业务非常关键。 信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。Information Security信息安全对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。Information Security Management System信息安全管理体系是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。step1如果ISMS和其他体系的联系和区别联系所有管

7、理体系的共性（需要分析的5大要素）：人、机、料、法、环区别ISMS：%5的人：做95%的工作%95的人：执行（需要接受培训）本页及下页图片来源于BSI中国网站ISMS适用的行业以信息为生命线的行业：金融行业：银行、保险、证券、基金、期货等通信行业：电信、网通、移动、联通等皮包公司：外贸、进出口、HR、猎头、会计师事务所等对信息技术依赖度高的行业：钢铁、半导体、物流电力、能源外包（ITO或BPO）：IT、软件、电信IDC、Call Center等工艺技术要求高、竞争对手渴望得到的：医药、精细化工研究机构ISO27001, 20000 & CMMIRequirementOperateOptimiz

8、eDesignBuildDeployCMMIISO20000ISO27001ISO27001如何成为LA主任审核员？要成为LA，必须经过：2 MD observer - Junior Auditor20MD junior auditor - Auditor15MD auditor - Lead Auditor注意：后两项经验需分别从3个新的、不同的客户中获取上述每一段经验，均需在2年内获得DNV可以帮助进行IRCA注册什么是好的ISMSGood Information Security Management Systematic approachImproved understanding o

9、f business aspectsReduction in security breaches and/or claimsReduction in adverse publicityImproved insurance liability ratingIdentify critical assets via the business risk assessmentProvide a structure for continuous improvementBe a confidence factor internally as well as externallyEnhance the kno

10、wledge and importance of security-related issues at the management levelEnsure that “knowledge capital” will be “stored” and managed in a business management system实施ISMS的关键成功因素与组织文化一致的信息安全方法老板的支持对信息安全的要求、风险评估和风险管理有好的理解向所有员工和其他人分发信息安全指南有效的对员工和其他人推销信息安全（外部人员也被要求进行信息安全培训）足够的财务支持，以及满足要求的现有系统的能力和配置水平有效的

11、信息安全事故管理过程Tips1重要提示ISMS（信息安全管理体系）和ITSM（信息技术服务管理）的整合需求越来越大：来自最高管理者的关注增强来自客户的推动、压力政府的推动并提供资金的支持，如“十百千”工程行业的普遍关注，如电信IDC，移动，电力系统，海关总署，国家质监总局目前，各大银行和电力企业正在实施ITIL，每年有Very Large的市场。半导体业对ISMS的要求非常严格，甚至高过金融业！Tips2历史教训：保安和清洁工是信息安全的重要威胁！（无意伤害对“阶层” 感情的好恶）所有员工，包括所有外来人员，必须接受信息安全的培训小窍门：在门卫/传达室放一个外来人员安全须知， 外来人员在阅读后

12、要签字，这是对外来人员进行了信息安全培训的证据Tips3信息安全容易忽视的两个的地方Thumb drive （U盘，尽量禁用！）Domain controller（域控制器，加强管理！）Good practices: 人员发生变动的时候，一定要调整访问权限查看企业的财产保险合同审核完毕后一般都需要提高保险级别！很NB的缩写Black Belt：黑带#%！%！#￥#ERM：企业风险管理（目前最高级别的认证）BCM：业务持续性管理CSR：企业可持续发展报告（验证各项指标）RPN：风险优先指数BCM/BCP：业务持续战略Continual Improvement：持续改进RA：风险分析ITDRMCA

13、BIARTO：recovery time objectiveRPO：recovery point objectiveLBCBCP与灾难恢复等概念的比较影响公司层面业务持续性的因素供应链中断：重要原料、IT硬件高层的错误决策客户不满关键人员流失数据中心重大事故恐怖袭击、战争员工信心天灾人祸、火灾爆炸联动点法律法规公众反应BCM非常重要实施ITSM业务连续性管理的两条途径公司层面的BCM（适合于IT Outsourcing或BPO企业）信息安全层面的BCM，适合大型制造业及工艺流程复杂的企业BCM或BCP比“可用性管理”有更大的范围和规模！BCM: 一个好的平台Quality management

14、Public relationshipInvestment directionSecurity managementDisaster recoverySafety managementFacilities managementIT/Other disaster recoverySupply chain managementRisk managementBCM的步骤理解你的业务 BIA (Business Impact Assessment)业务持续性计划 BCP (Business Continuity Planning)研究并实施BCM行动建立并深入公司BCM文件演练/维护及审核BCMISO

15、27001 LA Training CourseDay 2ShanghaiFeb. 19, 2008建立ISMS的步骤制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理风险、威胁和脆弱性的概念风险Risk：特定的威胁利用资产漏洞的潜在可能，并可导致对组织的危害。它根据事件的可能性及后果进行测量。风险分析：评估风险数量的系统化流程风险评估：包括风险定义，风险分析和风险评估的流程。威胁Threat：引起事故的潜在因素，可能对组织或系统产生损害脆弱性Vulnerability：资产的弱点，可能被一个或多个威胁利用影响 Impa

16、ct：信息安全事故的结果风险产生的原因5大因素：自然环境社会经济环境政治及法制因素营运环境意识及沟通因素或者：人机：软硬件，需要维护料：输入，包括客户需求法：程序、方法，是否清楚、适当环：大环境资产类型通常：网络机房PC台式机笔记本普通营销部/中层干部高层管理人员人员文档电子书面客户要求整体实体（物理）安全分类：信息资产：数据文件、数据库软件资产：系统软件、应用软件物理资产：计算机、通讯设备服务资产：电力、消防、打印机、复印机人力资产：员工、工人纸面资产：协议、合同无形资产：公司形象、名誉、品牌注意：IT部门可能拥有上述所有资产，其他部门可能只拥有其中1至2项编制资产识别表资产？对组织有价值的

17、任何事物编制资产识别表的要点找对owner合并同类项，特性和风险相同的资产可以合并为一项小窍门：先按部门分别进行对资产项合并同类项后，可跨部门再进行一次合并同类项风险的计算第一种方法：风险=严重性*可能性影响程度的严重性（权重较大）威胁发生的可能性：按历史发生情况！第二种方法：严重性*可能性*脆弱性脆弱性：检验现有防护措施RPN=S*O*W (servility* occurrence* weakness)比如，美国地震工程研究所对“地震风险性”的定义是地震危险性（致灾因子）、社会财富（承灾性）和脆弱性三者的乘积FMEA：好方法！行业内的叫法：RPN（风险优先指数）风险的计算（续）（第二种方法

18、）根据资产识别的结果判断严重性威胁名称、威胁来源、威胁赋值脆弱性类别、已有控制措施、脆弱性赋值低：现有系统能够自动识别，且有充分有效的紧急响应中：通过检查/监控能够看出趋势或有较充分的紧急响应高：现有条件下不能探测或一旦发生问题没有有效风险计算风险处理指标：风险处置措施、责任部门、完成时间示例严重性风险接受/残余风险可能性脆弱性残余风险风险的计算（续）剩余风险剩余风险 资产严重性（不变的）可能性（改进后的）脆弱性（改进后的）脆弱性（需要自己定义，以下举例）低：现有系统能够自动识别，且有充分有效的紧急响应中：通过检查/监控能够看出趋势或有较充分的紧急响应高：现有条件下不能探测或一旦发生问题没有有

19、效响应严重性（需要自己定义，以下举例）低：不影响正常生产及客户满意度，对公司运营影响不大中：停止4小时生产以下，被用户投诉高：停止4小时生产以上，被用户投诉补充ISMS的范围和边界是建立ISMS的第一步，明确覆盖哪些业务流程ISMS Policy信息安全管理体系方针是信息安全策略（Information security policy）的扩展集根据组织的实际情况，如业务性质、地理位置、资产情况和技术水平来定义，例如：在线服务：对可用性要求高金融机构：对完整性要求高医院：对保密性要求高需要考虑业务、法规及合同责任方面的要求建立风险管理准则，明确可接受的风险水平得到管理层的批准Exercise 1

20、作业：讲解ISO27001 a10-a12以及12.5 和12.6ISO27001 LA Training CourseDay 3ShanghaiFeb. 20, 2008ISO27001的组成主体部分：Clause 4, 5, 6, 7, 8 （所有ISO标准都有的，不可删减）A5-A15 11 条大的安全控制条款39 个控制类（控制目标）133 项控制措施需验证的六大文件4.3.1 g中需验证以下文件：管理评审内审文件控制ISMS特殊要求：online的才是有效的，打印的仅供参考！标示文件的保密级别电子文档（网上流转）的保护质量记录控制重要性：备证纠正措施预防措施CHINA CISSP“易

21、水寒江雪”认为：信息安全策略 文件控制程序 记录控制程序 内部审核管理程序 纠正预防措施 标准中将纠正和预防是分别定义成两个文件的，因为这两个文件的结构基本类似，目的也相似，因此通常将其合并来一起编写。 就认证而言，并没有对文件的多少有强制性的要求，但是就惯例而言，二级程序文件通常还包括： 管理评审控制程序 信息安全风险评估管理程序 BCP DRP 适用性声明 计算机和网络安全控制程序 等等。 至于三级文件，因各个机构情况不一，在此就没有一一列举。 物理安全和人员安全的要点物理安全需检查：平面布局图标示出的敏感物理区域人员安全需注意：任何人发生变动而引起权限变更，都必须报告给HR文件管理Bes

22、t practices:绝密级的文件要受控发放（每页加“绝密”字样），当天发放、当天收回绝密级的电子文件不允许放到网上一句经典：online的才是有效的，打印的仅供参考！风险处置选项与适用性声明Risk Treatment Options降低风险 Risk reduction采取控制措施回避风险 Risk avoidance抛弃某种技术或生产方式转移风险 Risk transfer保险、外包接受风险 Risk acceptanceStatement of applicability概括了对风险处置的决定About FILES Audit关于文审Basic audit skills: 初审之前要

23、求企业提供Two Initial requirements:Organizational chart组织结构图Files list文件清单Files architecture:High level: Policy/ Manual（方针、手册）Medium level: Standard procedures (4W1H)Low Level: Working instructions (作业指导书，针对特定工艺、产品或岗位)Basic level: records（记录）Tips 4初审时最重要的一件事：找出“风险”点！针对核心系统进行风险评估，实施控制措施考试小窍门：很多问题的答案都应该选“P

24、olicy”审核类型Types of auditsFirst party/ internal audit内审，但不能审核与自己工作职责相同的范围Second party/ external audit客户对于供应商的审核Third party/ external audit独立、公正的认证机构的审核Other auditsProcess audit （一般表现为受委托对第二方进行审核）Product audit（一般表现为企业对自身产品的抽样、破坏性试验）认可/认证的层次关系由上至下：Department of Trade and Industry (DTI)世界工业联合会Accreditat

25、ion Body (e.g. UKAS)认可机构Certification Bodies (e.g. DNV)认证机构Organizations组织Suppliers供应商Certificate Processes预审Preliminary assessment (optional)文件审核Document review (stage 1)初访Initial visit (stage1)初审Initial audit (stage2) -follow-up visit-跟踪访问follow-up visit定期审核Periodic audits换证审核Recertification audit

26、另类的标准ISO 19011 审核标准系统性独立性公正性ISO 13335IT最佳实践VDA6.1质量的checklist，很有参考价值！ISO19011 - Auditor AttributesOpen minded：开放的思想Observant：观察力Diplomatic：外交能力Perceptive：理解力Versatile：多才多艺Tenacious：不屈不挠Decisive：坚定Self reliant：自信Observant：观察力Diplomatic：外交能力Perceptive：理解力Versatile：多才多艺Tenacious：不屈不挠Decisive：坚定Self rel

27、iant：自信Open minded：开放的思想AuditorAttributes审核输出与审核发现What is the output of an audit? 审核的输出WeaknessStrengthsOpportunitiesRisksFailuresFindings审核发现（需要定义）Noteworthy efforts值得努力（一般口头说说即可）Observations观察项Non-conformities一般不符合（如果无证据支撑，即使说做过了，也可认为是一般不符合）严重不符合（在同一个区域多次发生或造成严重事故或后果，有严重失效） 不符合定义 by DNVCategory I

28、(Major) Non-Conformity严重不符合The absence of, or the ineffective implementation of, one or more required system elements, or a situation which raises significant doubt that practices will meet specified requirements.一个或多个系统的要素缺失或无效实施;或目前的实践满足定义的需求的情况值得怀疑.A group of category 2 non-conformities indicatin

29、g inadequate implementation of the system relevant to an element of the standard. 针对标准的某个条款一组轻微不符合事项发现,说明需求没有得到充分的实施.A category 2 non-conformity that is persistent shall be treated (up-graded) as a category 1 non-conformity.轻微不符合事项持续下去应该判断为严重不符合事项不符合定义 by DNVCategory II (Minor) Non-Conformity轻微不符合A

30、lapse of either discipline or control during the implementation of system/procedural requirements, which does not indicate a system breakdown or raise doubt that practices will meet requirements.系统或程序需求方面的一种过失,这种过失不说明体系的崩溃,或引起实践满足需求的怀疑.不符合Non-conformity审核报告中必须附证据一个不符合事项是没有符合一个要求、失败和证据（很烂的翻译）要求 the r

31、equirement失败 the failing证据 the evidence尽量不要开条款4.2Source of the requirements:法令/法规的要求组织的过程和运营时间规范程序作业指导书客户要求详细说明时间规范体系标准组织的管理手册What is an observation?Potential problemRiskInefficiencyIneffectivenessFailure to apply best practiceMisunderstandingLack of communicationTips nHow to solve conflicts？LA职责：主持

32、、确认，解决冲突找对方的CISO！对方可以找LA！两条重要的审核路线：资产清单-风险评估文件审核（按4.3.1要求）要求有涉及信息安全的法律法规发现缺失的文件太多，企业基础太差怎么办？列出缺失项，告诉对方建议推迟审核审核准备启动阶段需要提前知道的：企业简况组织名称地点规模审核范围采用的标准（ISOXXXX）组织结构图审核时间审核理由（第几方）编制审核计划公司多sites的抽样方法：抽样数=地点数量开平方+1制订审核计划，发送给客户请他们确认Case Study: GetRich Bank绘制Department-Roles MatrixDay1高层访谈（15-30分钟了解高层关注的焦点问题）审

33、核前必须有一个opening meeting（30分钟）练习：四人分两组，分别审核GetRich银行各个部门每天审核结束前（4：00-4：30）开审核小组内部会议审核小组同客户交流审核发现（4：30-5：00），确认当天的问题Day2中午开close meeting内部会议由LA主持，审核师交流需要交接的内容，主要目的是合并共性的问题总结归纳准备审查清单（e.g.）服务器的型号、购买时间、保修期、上门服务响应时间有记录吗？服务器硬件配置、供应商联系方式有更新吗？服务器上的所有软件安装清单、版本有记录吗？供应商提供的软硬件维修/维护有记录吗？服务器administrator/su密码由专人负责维

34、护吗？服务器访问控制审计记录？对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级监控的系统弱点有监控吗？对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级时进行过测试吗？准备审查清单-continued审计失败的登录/存取日至的周期是多少？服务器上的外部USB端口是否禁用？通过什么方式监控服务器软件的漏洞，例如sql注入？服务器DOWN掉之后通常如何处理？处理流程？服务器上开放的端口共有几个？非常用端口的用途是什么？采用何种方式远程登录服务器？是否有服务器的系统备份？备份到哪里？多长时间检查一下登录服务器的帐户清单？各种帐户的权限是否满足IS

35、MS的要求？如何处理服务器故障警报（磁盘、内存或最大并发数?)ISO27001 LA Training CourseDay 4ShanghaiFeb. 21, 2008闪现的几道题的答案Policy经验每年都需要审查到的条款：（经验）4-8：每次都要审查到（每个部门都会涉及到）资产清单职责、权限事故管理BCP法律法规结束会议：交流信息，交接希望与他人沟通的内容，归纳不符合项！对于不符合项，Close meeting之前就应该进行了确认！Conduct an auditOpening meeting自我介绍/介绍对方领导致词LA要宣布和确认如下内容：目的、适用标准和文件关注焦点（不一定，之前和高

36、层领导交流）公司名称（最好包含部门）范围、地点（子公司、分公司，核心部门的外延，如机房、异地备份中心）审核计划LA介绍审核方法（抽样2-3个，若有问题再加1-2个）报告方法和不符合项的构成沟通方式、各种会议介绍末次会议时间及安排后勤事宜有无特殊区域、特殊穿戴、装备要求？LA作保密声明审核技巧Funnel technique漏斗技术Open问题What? How? Why?Closed问题Who? Is it?AlternativeConfirm: 抽样！审核开始时最好由对方多讲，从职责讲起切记不要当tutorPeter, CIOIT system and network support Ste

37、veSoftware application KarenSystem administrator James Senior programmerSystem administrator JasonProgrammer1Programmer2DBAGetRich Bank Organizational ChartJust for training drawingTo deathIf you are our enemyYou will be always tiredAlso 末次会议末次会议10分钟之前有一个audit team的会议，合并所有问题感谢通报审核结果总结：优势和劣势发现沟通/提问和确

38、认发现审核发现的行动要求（客户写原因，要有改进计划和证据）签署确认书/定期审核安排（ 再次确认公司名称、地点） 保密要求ISO27001 LA Training CourseDay 5ShanghaiFeb. 22, 2008Prepare for examination上午复习下午准备考试ISO27001主要条款一览4 信息安全管理体系4.1 总要求4.2 建立和管理ISMS4.2.1 建立ISMS4.2.2 实施和运作ISMS4.2.3 监控和评审ISMS4.2.4 维护和改进ISMS4.3 文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制5 管理职责5.1 管理承诺5.2

39、 资源管理5.2.1 提供资源5.2.2 培训、意识和能力6 信息安全管理体系内部审核7 信息安全管理体系管理评审7.1 总则7.2 评审输入7.3 评审输出8 ISMS改进8.1 持续改进8.2 纠正措施8.3 预防措施A.5 信息安全策略A.5.1 信息安全策略A5.1.1 信息安全策略文件 （DOC）A5.1.2 信息安全策略评审（Reviewed）A.6 信息安全组织A.6.1 内部组织A.6.1.1 信息安全管理承诺A.6.1.2 信息安全协作A.6.1.3 信息安全责任划分A.6.1.4 信息处理设施授权过程A.6.1.5 保密协议A.6.1.6 与监管机构的联系A.6.1.7 与

40、特殊利益团体适当的联系A.6.1.8 信息安全独立审查A.6.2 外部组织A.6.2.1 识别外部组织风险A.6.2.2 当与客户接触时强调安全A.6.2.3 在第三方协议中强调安全A.7 资产管理A.7.1 资产的责任A.7.1.1 资产清单A.7.1.2 资产所有权A.7.1.3 资产的合理使用（DOC）A.7.2 信息分类A.7.2.1 分类原则A.7.2.2 信息标识及处理A.8 人力资源的安全A.8.1 雇佣之前 （员工、合同人员、第三方人员）A.8.1.1 角色和职责 （DOC）A.8.1.2 人员筛选 （ 背景调查）A.8.1.3雇佣条款和条件A.8.2 雇佣中A.8.2.1 管

41、理职责（员工、合同人员、第三方人员）A.8.2.2 信息安全意识、教育与培训A.8.2.3 惩戒过程A.8.3 雇佣终止和变更A.8.3.1 终止责任A.8.3.2 资产归还A.8.3.3 删除访问权限A.9 物理和环境安全A.9.1 安全区域A.9.1.1 物理安全边界A.9.1.2 物理进入控制A.9.1.3 办公室、房间及设施和安全A.9.1.4防范外部和环境威胁A.9.1.5 在安全区域工作A.9.1.6 公共访问和装卸区域A.9.2设备安全A.9.2.1 设备安置及保护ISO27001主要条款一览A.9.2.2 支持设施A.9.2.3 电缆安全A.9.2.4 设备维护A.9.2.5

42、管辖区域外设备安全A.9.2.6 设备报废或重用A.9.2.7 财产转移A.10 通讯与操作管理A.10.1 操作程序及职责A.10.1.1 文件化的操作程序 （）A.10.1.2 变更管理 A.10.1.3 职责分离A.10.1.4 开发、测试与运营设施的分离A.10.2 第三方服务交付管理A.10.2.1 服务交付A.10.2.2 第三方服务的监督和评审（Review）A.10.2.3 第三方服务的变更管理A.10.3 系统规划和验收A.10.3.1 容量管理A.10.3.2 系统验收 （测试） A.10.4 防范恶意代码和移动代码A.10.4.1 控制恶意代码 （病毒）A.10.4.2

43、控制移动代码A.10.5 备份A.10.5.1 信息备份 （Regularly）A.10.6 网络安全管理A.10.6.1 网络控制A.10.6.2 网络服务安全 （网络服务级别）A.10.7 介质处理A.10.7.1 可移动介质管理A.10.7.2 媒体销毁A.10.7.3 信息处理程序A.10.7.4 系统文档安全A.10.8 信息交换A.10.8.1 信息交换策略和程序A.10.8.2 交换协议A.10.8.3 物理介质传输A.10.8.4 电子消息A.10.8.5 业务信息系统A.10.9电子商务A.10.9.1 电子商务A.10.9.2 在线交易A.10.9.3 公共可用信息A.10

44、.10 监督A.10.10.1 审核日志A.10.10.2 监控系统的使用A.10.10.3日志信息保护A.10.10.4 管理员和操作员日志A.10.10.5 错误日志A.10.10.6 时钟同步A.11 访问控制A.11.1 访问控制的业务需求A.11.1.1 访问控制策略 （DOC）A.11.2 用户访问管理A.11.2.1 用户注册A.11.2.2 特权管理A.11.2.3 用户口令管理A.11.2.4 用户访问权限的评审（Review）A.11.3 用户责任A.11.3.1 口令使用A.11.3.2无人值守的用户设备A.11.3.3 清除桌面机屏幕策略A.11.4 网络访问控制A.1

45、1.4.1 网络服务使用策略A.11.4.2 外部连接用户的鉴别（远程访问）A.11.4.3 网络设备的识别A.11.4.4 远程诊断和配置端口保护A.11.4.5 网内隔离A.11.4.6 网络连接控制A.11.4.7网络路由控制A.11.5 操作系统访问控制A.11.5.1 安全登录程序A.11.5.2 用户标识和鉴别 （唯一的UID）A.11.5.3 口令管理系统A.11.5.4 系统设施的使用A.11.5.5 会话超时A.11.5.6 联机时间限制A.11.6应用系统和信息访问控制A.11.6.1 信息访问限制A.11.6.2 敏感系统隔离ISO27001主要条款一览A.11.7 移动

46、计算和远程工作A.11.7.1 移动计算和通讯A.11.7.2 远程工作A.12 信息系统采集、开发及维护A.12.1 信息系统安全要求A.12.1.1安全要求分析及规范A.12.2 应用程序中的正确处理A.12.2.1 输入数据验证A.12.2.2 内部处理控制A.12.2.3 消息完整性A.12.2.4 输出数据验证A.12.3 加密控制A.12.3.1 使用加密控制的策略A.12.3.2 密钥管理A.12.4 系统文档安全A.12.4.1操作软件控制A.12.4.2系统测试数据的保护A.12.4.3 源代码库的访问控制A.12.5 开发及支持过程的安全A.12.5.1 变更控制程序A.1

47、2.5.2 操作系统变更的技术审查A.12.5.3 软件包变更限制A.12.5.4 信息泄露A.12.5.5 软件外包开发A.12.6 技术漏洞管理A.12.6.1 控制技术漏洞A.13 信息安全事故的管理A.13.1报告安全时间和弱点A.13.1.1 信息安全事件报告A.13.1.2 报告信息安全弱点（员工、合同人员、第三方人员）A.13.2 信息安全事故的管理和改进A.13.2.1职责和程序A.13.2.2 从安全事故中学习A.13.2.3 收集证据A.14 业务连续性管理A.14.1 业务连续管理信息的安全方面A.14.1.1 包含信息安全的业务连续性管理过程A.14.1.2 业务连续性及风险评估A.14.1.3开发和实施包括信息安全的持续计划A.14.1.4 业务连续性计划架构