ISO27001华为内部讲稿

1、马毅 900034542009年5月5日ISO/IEC 27001简介2022/10/15 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page2BS7799BS7799是是英国国标准协协会（British StandardsInstitute，BSI）针对对信息安安全管理理而制定定的一个个标准。1995年，BS7799-1:1995信息安全全管理实实施细则则首次出版版，它提提供了一一套综合合性的、由信息息安全最最佳惯例例构成的的实施细细则，目目的是为为确定各各类信息息系统通通用控制

2、制提供唯唯一的参参考基准准。1998年，BS7799-2:1998信息安全全管理体体系规范范公布，这这是对BS7799-1的有效补补充，它它规定了了信息安安全管理理体系的的要求和和对信息息安全控控制的要要求，是是一个组组织信息息安全管管理体系系评估的的基础，可以作作为认证证的依据据。1999年4月，BS7799的两个部部分被重重新修订订和扩展展，形成成了一个个完整版版的BS7799:1999。新版本本充分考考虑了信信息处理理技术应应用的最最新发展展，特别别是在网网络和通通信领域域。除了了涵盖以以前版本本所有内内容之外外，新版版本还补补充了很很多新的的控制，包括电电子商务务、移动动计算、远程工工

3、作等。Page3ISO/IEC 27002(17799)2000年12月，国际际标准化化组织ISO/IEC JTC1/SC27工作组认认可BS7799-1:1999，正式将将其转化化为国际际标准，即所颁颁布的ISO/IEC 17799:2000信息技术术信息安全全管理实实施细则则。2005年6月，ISO/IEC 17799:2000经过改版版，形成成了新的的ISO/IEC 17799:2005，新版本本较老版版本无论论是组织织编排还还是内容容完整性性上都有有了很大大增强和和提升。ISO/IEC 17799 :2005已更新并并在2007年7月1日正式发发布为ISO/IEC 27002:2005

4、，这次更更新只在在于标准准上的号号码,内容并没没有改变变。Page4ISO/IEC 270012002 年，BSI 对BS7799:2-1999 进行行了重新新修订，正式引引入PDCA过过程模模型，2004 年9 月5 日，BS7799-2:2002正式发布布。2005年，BS7799-2:2002终于被ISO组织所采采纳，于于同年10月推出了了ISO/IEC 27001:2005。Page5对应国内内标准大陆2005年6月15日，我国国发布了了国家标标准信息安全全管理实实用规则则(GB/T19716-2005)。该标准准修改采采用了ISO/IEC 17799:2000标准。2008年6月19

5、日，GB/T19716-2005作废，改改为GB/T 22081-2008。台湾省在台湾，BS7799-1:1999被引用为为CNS17799，而BS7799-2:2002则被引用用为CNS17800。Page6 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page717799标准内容容ISO/IEC17799:2005版包括11个方面、39个控制目目标和133项控制措措施1)安全方针针7)访问控制制2)信息安全全组织8)信息系统统获取、开发和和维护3)资产管理理9)信息安全全事故管

6、管理4)人力资源源安全10)业务连续续性管理理5)物理和环环境安全全11)符合性6)通信和操操作管理理注：详细细内容见见附录二二Page817799:2000 Vs 17799:2005ISO/IEC17799:2005版的内容容与2000版相比，新增加加了17项控制，在客户往来来安全、资产属属主定义义、人员员离职管管理、第第三方服服务交付付管理、漏洞管管理、取取证等方面对对原标准准做了全全新阐释释或补充充。去掉掉了原标标准中的的9项控制，这些控控制或者者是不再再适应信信息通信信技术的的发展，或者是是已经并并入到新新标准的的其他控控制内容容中了。Page917799的适用性性本实用规规则可认认

7、为是组组织开发发其详细细指南的的起点。对一个个组织来来说，本本实用规规则中的的控制措措施和指指南并非全部部适用，此外，很可能能还需要要本标准准中未包括的另外的的控制措措施和指指南。为为便于审审核员和和业务伙伙伴进行行符合性性检查，当开发发包含另另外的指指南或控控制措施施的文件件时，对对本标准准中条款款的相互互参考可可能是有有用的。（引用自ISO/IEC 17799:2005中 “0.8开开发你你自己的的指南”）Page10信息安全全起点实施细则则中有些些内容可可能并不不使用于于所有组组织和企企业，但但是有些些措施可可以使用用于大多多数的组组织，他他们被成成为“信息安安全起点点”。从法律的的观点

8、看看，根据据适用的的法律，对某个个组织重重要的控控制措施施包括：a)数据保护护和个人人信息的的隐私（见15.1.4）；b)保护组织织的记录录（见15.1.3）；c)知识产权权（见15.1.2）。被认为是是信息安安全的常常用惯例例的控制制措施包包括：a)信息安全全方针文文件（见见5.1.1）；b)信息安全全职责的的分配（见6.1.3）；c)信息安全全意识、教育和和培训（见8.2.2）；d)应用中的的正确处处理（见见12.2）；e)技术脆弱弱性管理理（见12.6）；f)业务连续续性管理理（见14）；g)信息安全全事故和和改进管管理（见见13.2）。这些控制制措施适适用于大大多数组组织和环环境。（引

9、用自ISO/IEC 17799:2005中 “0.6信息安全全起点”）Page11 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page12ISMS(信息安全全管理系系统)ISO/IEC27001:2005版通篇就就在讲一一件事，ISMS(信息安全全管理系系统)。本标准用用于为建建立、实实施、运运行、监监视、评评审、保保持和改改进信息息安全管管理体系系（InformationSecurity ManagementSystem，简称ISMS）提供模模型。采采用ISMS应当是一一个组织织

10、的一项项战略性性决策。一个组组织的ISMS的设计和和实施受受其需要要和目标标、安全全要求、所采用用的过程程以及组组织的规规模和结结构的影影响，上上述因素素及其支支持系统统会不断断发生变变化。按按照组织织的需要要实施ISMS，是本标标准所期期望的，例如，简单的的情况可可采用简简单的ISMS解决方案案。本标准可可被内部部和外部部相关方方用于一一致性评评估。（引用自ISO/IEC 27001:2005中 “0.1总则”）Page13PDCA（戴明环环）PDCA（Plan、Do、Check和和Act）是是管理学学惯用的的一个过过程模型型，最早早是由休休哈特（WalterShewhart）于19 世纪纪

11、30年年代构构想的，后来被被戴明（EdwardsDeming）采纳、宣传并并运用于于持续改改善产品品质量的的过程当当中。1、P（Plan）-计划划，确定定方针和和目标，确定活活动计划划；2、D（Do）-执执行，实实地去做做，实现现计划中中的内容容；3、C（Check）-检检查，总总结执行行计划的的结果，注意效效果，找出出问题；4、A（Action）-行动，对总结结检查的的结果进进行处理理，成功的经经验加以以肯定并并适当推推广、标标准化；失败的的教训加以总总结，以以免重现现，未解解决的问问题放到到下一个个PDCA循环。Page14PDCA特点大环套小小环，小小环保大大环，推推动大循循环PDCA循

12、环作作为质量量管理的的基本方方法，不不仅适用用于整个个工程项项目，也也适应于于整个企企业和企企业内的的科室、工段、班组以以至个人人。各级级部门根根据企业业的方针针目标，都有自自己的PDCA循环，层层循循环，形形成大环环套小环环，小环环里面又又套更小小的环。大环是是小环的的母体和和依据，小环是是大环的的分解和和保证。各级部部门的小小环都围围绕着企企业的总总目标朝朝着同一一方向转转动。通通过循环环把企业业上下或或工程项项目的各各项工作作有机地地联系起起来，彼彼此协同同，互相相促进。以上特特点。Page15PDCA特点(续)不断前进进、不断断提高PDCA循环就像像爬楼梯梯一样，一个循循环运转转结束，

13、生产的的质量就就会提高高一步，然后再再制定下下一个循循环，再再运转、再提高高，不断断前进，不断提提高，是是一个螺螺旋式上上升的过过程。PDCA质量水平平螺旋上升升的PDCAPage16PDCA和ISMS的结合Page17与其他标标准的兼兼容性本标准与与GB/T19001-2000及GB/T24001-1996相结结合，以以支持与与相关管管理标准准一致的的、整合合的实施施和运行行。因此此，一个个设计恰恰当的管管理体系系可以满满足所有有这些标标准的要要求。表表C.1说明了了本标准准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:20

14、04）的各条款款之间的的关系。本标准的的设计能能够使一一个组织织将其ISMS与其它它相关的的管理体体系要求求结合或或整合起起来。（引用自ISO/IEC 27001:2005中 “0.3与其它管管理体系系的兼容容性”）注：ISO14001:2004环境管管理体系系规范范及使用用指南ISO9001:2000国际性性质量管管理标准准Page18与其他标标准的兼兼容性(续)Page19 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page20重点章节节本标准的的重点章章节是48章。前三章的的

15、内容结结构如下下所示：引言0.1总则0.2过程方法法0.3与其他管管理体系系的兼容容性1范围1.1总则1.2应用2规范性引引用文件件3术语和定定义Page21第四章信信息安安全管理理体系4.1总要求一个组织织应在其其整体业业务活动动和所面面临风险险的环境境下建立立、实施施、运行行、监视视、评审审、保持持和改进进文件化化的ISMS。就本标标准而言言，使用用的过程程基于图图1所示的PDCA模型。4.2建立和管管理ISMS4.2.1建立ISMS(PLAN)定义ISMS的范围定义ISMS策略定义系统统的风险险评估途途径识别风险险评估风险险识别并评评价风险险处理措措施选择用于于风险处处理的控控制目标标和

16、控制制准备适用用性声明明（SoA）取得管理理层对残残留风险险的承认认，并授授权实施施和操作作ISMSPDCAPage22第四章信信息安安全管理理体系(续)4.2.2实施和运运行ISMS(DO)制定风险险处理计计划实施风险险处理计计划实施所选选的控制制措施以以满足控控制目标标实施培训训和意识识程序管理操作作管理资源源（参见见5.2）实施能够够激发安安全事件件检测和和响应的的程序和和控制PDCAPage23第四章信信息安安全管理理体系(续)4.2.3监控和评评审ISMS(CHECK)执行监视视程序和和控制对ISMS的效力进进行定期期复审复审残留留风险和和可接受受风险的的水平按照预定定计划进进行内部

17、部ISMS审计定期对ISMS进行管理理复审记录活动动和事件件可能对对ISMS的效力或或执行力力度造成成影响PDCAPage24第四章信信息安安全管理理体系(续)4.2.4保持和改改进ISMS(ACT)对ISMS实施可识识别的改改进采取恰当当的纠正正和预防防措施与所有利利益伙伴伴沟通确保改进进成果满满足其预预期目标标PDCAPage25第四章信信息安安全管理理体系(续)4.3文件要求求总则文件控制制记录控制制ISO27001标准所要要求建立立的ISMS是一个文文件化的的体系，ISO27001认证第一一阶段就就是进行行文件审审核，文文件是否否完整、足够、有效，都关乎乎审核的的成败，所以，在整个个I

18、SO27001认证项目目实施过过程中，逐步建建立并完完善文件件体系非非常重要要。Page26第四章信信息安安全管理理体系(续)ISO27001标标准要求求的ISMS文文件体体系应该该是一个个层次化化的体系系，通常常是由四四个层次次构成的的：信息安全全手册：该手册册由信息息安全委委员会负负责制定定和修改改，是对对信息安安全管理理体系框框架的整整体描述述，以此此表明确确定范围围内ISMS是是按照照ISO27001标标准要要求建立立并运行行的。信信息安全全手册包包含各个个一级文文件。一级文件件：全组织织范围内内的信息息安全方方针，以以及下属属各个方方面的策策略方针针等。一一级文件件至少包包括（可可能

19、不限限于此）：信息安全全方针风险评估估报告适用性声声明（SoA）二级文件件：各类程程序文件件。至少少包括（可能不不限于此此）：风险评估估流程风风险险管理流流程风风险处处理计划划管管理评审审程序信息设备备管理程程序信信息安全全组织建建设规定定新新设施管管理程序序内内部审核核程序第三方和和外包管管理规定定信息息资产管管理规定定工工作环境境安全管管理规定定介介质处理理与安全全规定系统开发发与维护护程序业业务连连续性管管理程序序法法律符合合性管理理规定信信息息系统安安全审计计规定文件及材材料控制制程序安安全事事件处理理流程三级文件件：具体的的作业指指导书。描述了了某项任任务具体体的操作作步骤和和方法，

20、是对各各个程序序文件所所规定的的领域内内工作的的细化。四级文件件：各种记记录文件件，包括括实施各各项流程程的记录录成果。这些文文件通常常表现为为记录表表格，应应该成为为ISMS得得以持续续运行的的有力证证据，由由各个相相关部门门自行维维护。Page27第五章管管理职职责5.1管管理层层责任说明管理理层在ISMS 建设设过程中中应该承承担的责责任。5.2对对资源源的管理理5.2.1资资源提供供 组组织应该该确定并并提供ISMS 相关关所有活活动必要要的资源源5.2.2培培训、意意识和能能力通过培培训，组组织应该该确保所所有在ISMS 中承承担责任任的人能能够胜任任其职Page28第六章ISMS内

21、部审计计组织应该该通过定定期的内内部审计计来确定定ISMS的的控制目目标、控控制、过过程和程程序满足足相关要要求。Page29第七章ISMS的管理评评审7.1概要管理层应应该对组组织的ISMS定期进行行评审，确保其其持续适适宜、充充分和有有效。7.2评审输入入评审时需需要的输输入资料料，包括括内审结结果。7.3评审输出出评审成果果，应该该包含任任何决策策及相关关行动。Page30第八章ISMS改进8.1持持续改改进组织应该该借助信信息安全全策略、安全目目标、审审计结果果、受监监视的事事件分析析、纠正正性和预预防性措措施、管管理复审审来持续续改进ISMS 的效效力。8.2纠纠正措措施组织应该该采

22、取措措施，消消除并实实施和操操作ISMS相相关的的不一致致因素，避免其其再次出出现。8.3预预防措措施为了防止止将来出出现不一一致，应应该确定定防护措措施。所所采取的的预防措措施应与与潜在问问题的影影响相适适宜。Page31 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page32建设ISMS第一步工工作是建建设ISMS系统，这这部分工工作可以以由组织织或者公公司自己己进行，前提是是该组织织拥有专专业的人人才。大大部分的的公司不不具备这这样的能能力，这这就需要要一些专专业的咨咨询公司

23、司或者安安全公司司等有27001专业实施施经验的的公司协协助进行行。建设ISMS的工作不不是一个个纯粹的的IT建设，而而是建立立一个循循序渐进进的体系系，需要要公司的的全员配配合，特特别是公公司领导导层重视视，需要要成立专专门的团团队来负负责这项项工作。Page33建设ISMS（续）文件化很很重要，针对标标准4.3的内容，各个层层次的文文件和记记录都需需要编写写完备，这些工工作也可可以由第第三方来来协助进进行。风险评估估，培训训等工作作的进行行也需要要在咨询询公司的的协助下下进行。ISMS初步建立立之后，需要运运行一段段时间，针对出出现的问问题进行行修正。Page34提出申请请待ISMS稳定定

24、运行一一段时间间之后，可以考考虑提出出审核申申请。可可以进行行27001审审核的机机构在国国内有BSI(英国标标准化协协会)和和DNV(挪威威船级社社)等等。Page35认证审核核预审审预审核（Pre-assessmentAudit）也称预预审，是是在第一一阶段审审核之前前执行的的一种非强制性性要求的的非正式式审核。从本质质上看，预审是是正式审审核的预预演或排排练。许许多组织织都没有有采用预预审核。预审是审审核员通通过使用用“差距距分析”方法，分析和和检查组组织的ISMS与ISO/IEC 27001：2005要求的差差距，包包括(但不仅限限于)：分析ISMS方针与程程序，组组织当前前的业务务保

25、护情情况；检查ISMS是否与其其实际业业务融合合一起；检查ISMS是否符合合正式审审核的基基本条件件；检查组织织还有哪哪些未能能按照标标准要求求进行运运行的领领域，包包括员工工的安全全意识和和员工是是否知道道ISMS等；检查ISMS运行的时时间长度度。注：预审审也是要要收费的的！Page36认证审核核桌面面审核强制性ISMS文件说明(1) ISMS方针文件，包括ISMS的范围根据ISO/IEC 27001:2005标准“4.3.1”a)和b)的要求。(2) 风险评估程序根据ISO/IEC 27001:2005标准“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估

26、报告”。为了减少文件量，可创建一个风险评估程序。该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生风险评估报告。(3) 风险处理程序根据ISO/IEC 27001:2005标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此，可创建一个风险处理程序。该程序文件运行的结果应产生风险处理计划。(4) 文件控制程序根据ISO/IEC 27001:2005标准的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。 (5) 记录控制程序根据ISO/IEC 27001:2005标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序”。(6) 内部审核程序根据I

27、SO/IEC 27001:2005标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。(7) 纠正措施与预防措施程序根据ISO/IEC 27001:2005标准的“8.2纠正措施”的要求，要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8) 控制措施有效性的测量程序根据ISO/IEC 27001:2005标准的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性的测量程序”。(9) 管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便

28、实际工作。(9) 适用性声明根据ISO/IEC 27001:2005标准的“4.3.1 i)” 的要求, 要有形成文件的适用性声明。Page37认证审核核现场场审核桌面审核核（文件件审核）的结果果作为现现场审核核输入。现场审核核的内容容包括会会议、现现场调查查、形成成审核发发现、举举行末次次会议和和报告审审核结果果等。审核内容容验证第一一阶段的的审核发发现是否否获得纠纠正。证实受审审核组织织是否按按照其方方针、目目标和程程序，执执行工作作。证实受审审核组织织的ISMS是否符合合ISO/IEC 27001:2005第4-8章的所有有要求Page38认证审核核获得得证书所有审核核工作结结束并达达到

29、要求求后，用用户会得得到证书书。半年或者者一年，用户需需要进行行复审三年时，证书期期满，需需要重新新审核。Page39 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page40区别ISO/IEC 17799信信息技术术信信息安全全管理实实施细则则ISO/IEC 27001信信息技术术信信息安全全管理体体系要求求17799重点点关注的的是实施施细则，同时，针对17799并没没有认证证机制。27001重重点关注注的是建建设体系系的要求求，并且且有认证证机制。Page41联系ISO/IEC

30、 27001的附录录中有ISO/IEC 17799中的5到15章的全全部内容容，也就就是说在在进行ISMS建设以以及27001认证时时，ISO/IEC 17799中11个方面面，39个控制制点，以以及133个控控制措施施都作为为重要的的参考点点，进行行差距分分析时，这些内内容都是是重要的的依据。所以，我我们经常常提到27001，实实际上27001应该该是ISO/IEC27001和和ISO/IEC17799的组组合体，两者缺缺一不可可。Page42举例为了方便便大家理理解，举举个例子子来进行行说明：华赛公司司要参加加上地地地区的一一个卫生生评比，评比通通过发放放上地地地区高高科技企企业卫生生红旗

31、。该次评比比有个评评比要求求上地地地区高高科技企企业卫生生评比要要求，要求内内容包括括，建立立长效的的卫生机机制，如如划定公公司卫生生范围，购买各各种卫生生用具，专门领领导负责责，成立立专门团团队，聘聘请专业业保洁公公司，组组织内部部检查，内部互互查等等等。Page43举例(续)该上地地区区高科技技企业卫卫生评比比要求还附带了了一个上地地区区高科技技企业卫卫生评比比细则，细则内内容包括括11个方面办公室卫卫生机房卫生生楼道卫生生卫生间卫卫生个人卫生生。Page44举例(续)评比由上上地地区区卫生检检疫所进进行，该该次评比比首先进进行预查查，确认认达到基基本要求求后开始始进行规规范评比比，检查查

32、公司的的各种卫卫生规范范，之后后进行现现场评比比，由专专门的检检查员深深入公司司检查卫卫生的实实际执行行情况，并和相相关责任任人进行行沟通。评比结束束，华赛赛公司各各种卫生生规范齐齐全，卫卫生情况况良好，得到了了海淀区区环卫局局颁发的的上地地地区高高科技企企业卫生生红旗，有效效期三年年，三年年后需要要重新申申请评比比检查。Page45举例(续)通过这个个例子，希望大大家可以以理解27001认证的流流程，以以及17799和27001的关系。上地地区区高科技技企业卫卫生红旗旗27001认证上地地区区高科技技企业卫卫生评比比要求ISO/IEC 27001上地地区区高科技技企业卫卫生评比比细则ISO/

33、IEC 17799专业保洁洁公司咨询公司司上地地区区卫生检检疫所授权评审审组织（BSI，DNV）海淀区环环卫局ISOPage46 目录背景介绍绍ISO/IEC 17799ISO/IEC 27001重点内容容重点章节节认证流程程17799&27001我司业务务与ISO/IEC 27001Page47安全集成成用户如果果后续有有进行27001认证证的需求求，在进进行集成成项目时时会关注注设备的的部署，配置等等情况。我们需要要作的工工作是，让用户户明确我我们的设设备部署署，功能能性能，日志审审计，安安全域划划分等是是符合ISO/IEC17799:2005中的的相关控控制措施施的，并并且，有有些功能能

34、特性还还是超出出了ISO/IEC17799:2005的范围围 ，极极大的支支持了用用户ISMS体体系的建建立，可可以让用用户在进进行27001认证时时更加容容易的通通过审核核。Page48风险评估估公司后续续需要建建立的安安全服务务团队，早期可可能更加加偏向于于技术评评估，业业务评估估等，那那么我们们就可以以协助用用户在建建立ISMS的的工作中中进行风风险评估估的工作作。在实际工工作中，有些咨咨询公司司的技术术评估能能力较差差，在ISMS的建设设过程中中，需要要专业的的安全公公司帮助助，这就就是我们们的切入入点。Page49咨询服务务公司的安安全服务务团队，在人力力，经验验足够情情况下，可以协

35、协助用户户进行完完整的ISMS体系建建设。我们需要要帮助用用户针对对IS0/IEC27001:2005的建设设步骤建建立完整整的ISMS体体系，并并且协助助用户通通过认证证。后续续还要协协助用户户维护并并修正ISMS体系，这是一一个长期期的工作作。Page50附录一Page51附录二ISO/IEC17799:2005版11个方面、39个控制目目标和133项控制措措施列表表1)安全方针针7)访问控制制2)信息安全全组织8)信息系统统获取、开发和和维护3)资产管理理9)信息安全全事故管管理4)人力资源源安全10)业务连续续性管理理5)物理和环环境安全全11)符合性6)通信和操操作管理理Page52

36、安全方针针控制目标标信息安全全方针（5.1）控制措施施信息安全全方针文文件（5.1.1）信息安全全方针评评审（5.1.2）Page53信息安全全组织控制目标标内部组织织（6.1）控制措施施信息安全全的管理理承诺（6.1.1）信息安全全协调（6.1.2）信息安全全职责的的分配（6.1.3）信息处理理设施的的授权过过程（6.1.4）保密性协协议（6.1.5）与政府部部门的联联系（6.1.6）与特定利利益集团团的联系系（6.1.7）信息安全全的独立立评审（6.1.8）Page54信息安全全组织（续）控制目标标外部各方方（6.2）控制措施施与外部各各方相关关风险的的识别（6.2.1）处理与顾顾客有关关

37、的安全全问题（6.2.2）处理第三三方协议议中的安安全问题题（6.2.3）Page55资产管理理控制目标标对资产负负责（7.1）控制措施施资产清单单（7.1.1）资产责任任人（7.1.2）资产的合合格使用用（7.1.3）Page56资产管理理(续)控制目标标信息分类类（7.2）控制措施施分类指南南（7.2.1）信息的标标记和处处理（7.2.2）Page57人力资源源安全控制目标标任用之前前（8.1）控制措施施角色和职职责（8.1.1）审查（8.1.2）任用条款款和条件件（8.1.3）Page58人力资源源安全（续）控制目标标任用中（8.2）控制措施施管理职责责（8.2.1）信息安全全意识、教育

38、和和培训（8.2.2）纪律处理理过程（8.2.3）Page59人力资源源安全（续）控制目标标任用的终终止或变变化（8.3）控制措施施终止职责责（8.3.1）资产的归归还（8.3.2）撤销访问问权（8.3.3）Page60物理与环环境安全全控制目标标安全区域域（9.1）控制措施施物理安全全边界（9.1.1）物理入口口控制（9.1.2）办公室、房间和和设施的的安全保保护（9.1.3）外部和环环境威胁胁的安全全防护（9.1.4）在安全区区域工作作（9.1.5）公共访问问、交接接区安全全（9.1.6）Page61物理与环环境安全全（续）控制目标标设备安全全（9.2）控制措施施设备安置置和保护护（9.2

39、.1）支持性设设施（9.2.2）布缆安全全（9.2.3）设备维护护（9.2.4）组织场所所外的设设备安全全（9.2.5）设备的安安全处置置和再利利用（9.2.6）资产的移移动（9.2.7）Page62通信与操操作管理理控制目标标操作程序序和职责责（10.1）控制措施施文件化的的操作程程序（10.1.1）变更管理理（10.1.2）责任分割割（10.1.3）开发、测测试和运运行设施施分离（10.1.4）Page63通信与操操作管理理（续）控制目标标第三方服服务交付付管理（10.2）控制措施施服务交付付（10.2.1）第三方服服务的监监视和评评审（10.2.2）第三方服服务的变变更管理理（10.2.

40、3）Page64通信与操操作管理理（续）控制目标标系统规划划和验收收（10.3）控制措施施容量管理理（10.3.1）系统验收收（10.3.2）Page65通信与操操作管理理（续）控制目标标防范恶意意和移动动代码（10.4）控制措施施控制恶意意代码（10.4.1）控制移动动代码（10.4.2）Page66通信与操操作管理理（续）控制目标标备份（10.5）控制措施施信息备份份（10.5.1）Page67通信与操操作管理理（续）控制目标标网络安全全管理（10.6）控制措施施网络控制制（10.6.1）网络服务务安全（10.6.2）Page68通信与操操作管理理（续）控制目标标介质处理理（10.7）控制

41、措施施可移动介介质的管管理（10.7.1）介质的处处置（10.7.2）信息处理理程序（10.7.3）系统文件件安全（10.7.4）Page69通信与操操作管理理（续）控制目标标信息的交交换（10.8）控制措施施信息交换换策略和和程序（10.8.1）交换协议议（10.8.2）运输中的的物理介介质（10.8.3）电子消息息发送（10.8.4）业务信息息系统（10.8.5）Page70通信与操操作管理理（续）控制目标标电子商务务服务（10.9）控制措施施电子商务务（10.9.1）在线交易易（10.9.2）公共可用用信息（10.9.3）Page71通信与操操作管理理（续）控制目标标监视（10.10）控

42、制措施施审计日志志（10.10.1）监视系统统的使用用（10.10.2）日志信息息的保护护（10.10.3）管理员和和操作员员日志（10.10.4）故障日志志（10.10.5）时钟同步步（10.10.6）Page72访问控制制控制目标标访问控制制的业务务要求（11.1）控制措施施访问控制制策略（11.1.1）Page73访问控制制（续）控制目标标用户访问问管理（11.2）控制措施施用户注册册（11.2.1）特殊权限限管理（11.2.2）用户口令令管理（11.2.3）用户访问问权的复复查（11.2.4）Page74访问控制制（续）控制目标标用户职责责（11.3）控制措施施口令使用用（11.3.1）无人值守守的用户户设备（11.3.2）清空桌面面和屏幕幕策略（11.3.3）Page75访问控制制（续）控制目标标网络访问问控制（11.4）控制措施施使用网络络服务的的策略（11.4.1）外部连接接的用户户鉴别（11.4.2）网络上的的设备标标识（11.4.3）远程诊断断和配置置端口的的保护（11.4.4）网络隔离离（11.4.5）网络连接接控制（11.4.6）网络路由由控制（11.4.7）Page76访问控制制（续）控制目标标操作系统统访问控控制（11.5）控制措施施安全登录录程序（11.5.1）用户标识识和鉴别别（11.5.2）口令管理理系统（11.5.3）系统实用用工具的的使用