ISO27001信息安全管理体系-附录A介绍课件

2022/12/22国家信息化测评中心InformationSecurityManagementSystem

信息安全管理体系(ISMS)

ISO27001:2005附录A2022/12/16国家信息化测评中心InformationChapter0:简介Chapter1:范围Chapter2:强制性应用标准Chapter3:术语和定义Chapter4:信息安全管理体系Chapter5:管理责任Chapter6:ISMS内部审查Chapter7:ISMS管理评审Chapter8:ISMS改善附件A（强制性）控制目标和控制措施信息安全管理体系ISO27001A.5安全策略(1)信息安全策略A.6信息安全组织(2)内部组织外部相关方A.7资产管理(2)资产责任信息资产分类A.8人力资源安全(3)雇佣前雇佣中雇佣终结或变更A.9物理与环境安全(2)A.10通讯与运作管理(10)A.11访问控制(7)A.12信息系统的获取、开发和维护(6)A.13信息安全事故管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(1)A.15符合性(3)Chapter0:简介信息安全管理体系ISO27001

信息安全管理体系ISO27001信息安全管理体系ISO27001ISO/27001:2005附录A控制域（Domain）11控制目标（Object）39控制措施（Control）1331、公司层面的目标2、部门级别的目标BS7799-2:2002与

ISO27001:2005附录A的比较信息安全管理体系ISO27001ISO/27001:2005附录A控制域（Domain）1Chapter0:简介

ISO27001控制目标和控制措施Chapter1:范围

安全方针Chapter2:强制性应用标准

安全组织Chapter3:术语和定义

资产分类与控制Chapter4:信息安全管理体系

人员安全物理与环境安全通信与运行管理系统获取开发与维护Chapter5:管理责任

访问控制Chapter6:ISMS内部审查

信息安全事件管理Chapter7:ISMS管理评审

业务持续性管理Chapter8:ISMS改善

符

合

性附件A(强制性)控制目标和控制措施

11个域、39个目标、133个控制措施。（1）是一个基于“风险管理为基础”的信息安全管理体系。（2）是一个“滴水不漏的”信息安全管理体系

信息安全管理体系ISO27001Chapter0:简介

ISO27001控制目标和控A.5、安全方针（SecurityPolicy）(1,2)（附注）A.6、安全组织（SecurityOrganization）(2,11)A.7、资产分类与控制(AssetclassificationandControl)(2,5)A.8、人员安全(PersonnelSecurity)(3,9)A.9、物理与环境安全(PhysicandEnvironmentSecurity)(2,13)A.10、通信与运行管理(CommunicationandOperationManagement)(10,32)A.12、系统开发与维护(Systemdevelopandmaintenance)(6,16)A.11、访问控制(Accesscontrol)(7,25)A.13、安全事件管理(Compliance)(2,5)A.14、业务持续性管理(Businesscontinuitymanagement)(1,5)A.15、符合性(Compliance)(3,10)附注：(m，n)－m：执行目标的数目n：控制方法的数目ISO27001:2005附录AA.5、安全方针（SecurityPolicy）(1,2)A.11.1访问控制的业务要求(1)A.11.2用户访问管理(4)A.11.3用户责任(3)A.11.4网络访问控制(7)A.11.5操作系统访问控制(6)A.11.6应用系统和信息访问控制(2)A.11.7移动计算和远程工作(2)A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)A.13.1报告信息安全事件和弱点(2)A.13.2信息安全事故的管理和改进(3)A.14.1业务连续性管理的信息安全方面(5)A.15.1与法律法规要求的符合性(6)A.15.2符合安全策略、标准，技术符合性(2)A.15.3信息系统审计的考虑因素(2)A.5.1信息安全策略(2)A.6.1内部组织(8)A.6.2外部组织(3)A.7.1资产责任(3)A.7.2资产分类(2)A.8.1雇佣前A.8.2雇佣中A.8.3雇佣终结或变更A.9.1安全区域(6)A.9.2设备安全(7)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监督(6)ISO27001:2005附录AA.11.1访问控制的业务要求(1)A.5.1信息安全策

11subjectdomains;39managementobjectives;133

controls;500detailcontrols.

A.5-A.15ISO27001:2005附录A确定十一个基本的指导原则作为信息安全管理体系的基础ISO27001:2005附录AA.5-A.15ISO27001:2005附录A确A.5安全方针SecurityPolicy5.1信息安全方针(策略)5.1.1信息安全策略文件5.1.2审查与评估

(1、2)A.5安全方针SecurityPolicy5.1信什么是信息安全方针？

信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。

信息安全方针A.5安全方针SecurityPolicy

(1、2)什么是信息安全方针？信息安全方针是由组织的最高管理者目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。A.5安全方针SecurityPolicy

(1、2)目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；A信息安全方针的内容，包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件A.5安全方针SecurityPolicy

(1、2)信息安全方针的内容，包括但不限于：组织对信息安全的定义A.5目标：为信息安全提供管理指导和支持。管理层应当提出一套清晰的策略指导，并且通过在组织内发布和维护信息安全策略来表明对信息安全的支持和承诺。A.5安全方针SecurityPolicy5.1信息安全方针(策略)5.1.1信息安全策略文件5.1.2审查与评估

(1、2)一基本理念XXXX公司把保护信息资产的安全作为一项重要的工作，确保公司的业务连续和信息的安全，并在公司活动中通过有效的管理与技术手段讨诸于行动。二信息安全方针贯彻落实信息安全方针，确保业务的连续性使所有的员工都接受信息安全的培训，提高全员的信息安全意识保护公司进行所有商务活动中获得的顾客・隐私・企业专有技术等的信息保护信息的保密性，确保不能通过故意或疏忽的行为泄露给未授权的人保护信息的完整性，防止未经授权的修改与破坏保护信息的可用性,确保授权的用户需要时可获得信息定期进行内部评审与管理评审，确保体系有效运行符合法律和法规要求目标：为信息安全提供管理指导和支持。A.5安全方针SeA.5安全方针SecurityPolicy5.1信息安全方针(策略)

(1、2)三信息安全目标确保重大、特大安全事件为“0”次/年；重要信息资产的可用率达到99％。编号名称权重Ti可用率CiTi*Ci1邮件服务器399％2.9702Web服务器298％1.9603源代码服务器599.5%4.9754网络699.2%5.952C总Σi=16ΣTi*Ci

=15.83799.1%A.5安全方针SecurityPolicy5.1信A.6安全组织SecurityOrganization

6信息安全组织6.1内部组织6.1.1信息安全管理委员会6.1.2信息安全协作6.1.3信息安全职责分配/划分6.1.4信息处理设施授权过程6.1.5保密协议6.1.6与监管机构的联系6.1.7与特殊利益团体的联系6.1.8信息安全的独立评审6.2外部组织6.2.1识别与外部组织有关的风险6.2.2当与顾客接触时强调安全6.2.3在第三方协议中强调安全

(2、11)A.6安全组织SecurityOrganizationA.6安全组织SecurityOrganization

(2、11)董事长/总裁执行副总裁(管理者代表)副总裁副总裁财务总监人力行政总监技术总监财务部商务部产品部人力行政部技术部运营服务部市场部国际业务部副总裁业务拓展部项目部A.6安全组织SecurityOrganization最高管理者职责负责信息安全管理体系方针及目标的批准、评审、实施和保持；负责信息安全手册的批准和颁布；负责公司信息安全组织结构的批准；负责信息安全管理体系管理者代表的任命；负责信息安全管理体系内审员的批准；负责公司级信息安全教育计划的批准；确保信息安全管理体系内部审计的实施；定期对信息安全管理体系进行管理评审；为本公司信息安全管理体系的建立、实施、运作、监视保持和改进配备必要的资源。人力资源部制定公司人员安全规定，包括人员招聘、转岗、离职流程及安全有关事宜；制定年度信息安全培训计划及培训的具体实施，提高公司所有员工的信息安全意识和应对安全事件的能力；负责人事课所有信息资产（如人事档案、合同、保密协议、员工工资信息等）的有效管理，确保信息的保密性，维持信息的完整性和可用性，防范对信息的泄密和未经授权访问。A.6.1.3信息安全职责分配A.6安全组织SecurityOrganization

(2、11)最高管理者职责A.6.1.3信息安全职责分配A.6安全组A.6安全组织SecurityOrganization

(2、11)6信息安全组织6.1内部组织6.1.1信息安全管理委员会6.1.2信息安全协作6.1.3信息安全职责分配/划分6.1.4信息处理设施授权过程6.1.5保密协议6.1.6与监管机构的联系6.1.7与特殊利益团体的联系6.1.8信息安全的独立评审6.2外部组织6.2.1识别与外部组织有关的风险6.2.2当与顾客接触时强调安全6.2.3在第三方协议中强调安全A.6安全组织SecurityOrganizationA.6安全组织SecurityOrganization

(2、11)法律及法规政府机关(监管机构)供应/外判国际互联网内部/外界人员客户客户意见及要求相关方投诉供应商的要求宣传公司的信息安全管理体系特殊利益团体信息服务提供商/认证机构/咨询机构信息安全管理委员会及公司内部各部门A.6安全组织SecurityOrganization资产的责任

目标：维护组织资产的相应保护资产分类

目标：确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责，这些资产必须是在信息安全管理体系范围之内的。A.7资产管理

(2、5)资产的责任A.7资产管理 (2、5)

(2、5)A.7资产管理7资产管理7.1资产责任7.1.1资产清单7.1.2资产所有权/使用者7.1.3资产的有效使用7.2资产分类7.2.1分类指南7.2.2信息标识和处置 (2、5)A.7资产管理7资产管理7.1资产责任7.

7.1资产的责任

(2、5)A.7资产管理控制目标：对组织的资产维持适当的保护。控制目标：确保信息资产受到适当等级的保护。7.1.1资产清单7.1.2资产的所有者7.1.3资产的有效使用7.2.1分类指南(分类、分级)7.2.2信息的标识与处理7.2信息的分类7.1资产的责任 (2、5)A.7资产管理控制目标：硬件软件数据(电子数据)文档(实体信息)

人员服务无形资产

(2、5)A.7资产管理 (2、3)ISO27001对信息资产的分类信息资产(电子信息、纸质信息)软件硬件人员服务无形资产信息资产分类：服务性设施硬件 (2、5)A.7资产管理 (2、3)ISO27001

7.1资产的责任

(2、5)A.7资产管理控制目标：对组织的资产维持适当的保护。控制目标：确保信息资产受到适当等级的保护。7.1.1资产清单7.1.2资产的所有者7.1.3资产的有效使用7.2.1分类指南(分类、分级)7.2.2信息的标识与处理7.2信息的分类绝密机密秘密内部公开外部公开7.1资产的责任 (2、5)A.7资产管理控制目标：

目标：减少人为的错误、偷盗、欺骗或错误使用设施带来的风险.A.8人力资源安全

(3、9) 目标：减少人为的错误、偷盗、欺骗或错误使用设施带来的风险.A.8人力资源安全(3,9)A.8.1雇佣前A.8.1.1角色和职责A.8.1.2筛选A.8.1.3雇佣条款和条件A.8.2雇佣中A.8.2.1管理职责A.8.2.2信息安全意识、教育和培训A.8.2.3惩戒流程A.8.3雇佣终结或变更A.8.3.1终结责任A.8.3.2归还资产A.8.3.3废除访问权限

(3、9)A.8人力资源安全A.8人力资源安全(3,9)A.8.1雇佣前A.8.1.A.8人力资源安全(3,9)A.8.1雇佣前A.8.1.1角色和职责A.8.1.2筛选A.8.1.3雇佣条款和条件A.8.2雇佣中A.8.2.1管理职责A.8.2.2信息安全意识、教育和培训A.8.2.3惩戒流程A.8.3雇佣终结或变更A.8.3.1终结责任A.8.3.2归还资产A.8.3.3废除访问权限

(3、9)A.8人力资源安全把安全放入工作责任中保密协议把信息安全作为聘用要求…A.8人力资源安全(3,9)A.8.1雇佣前A.8.1.A.8人力资源安全(3,9)A.8.1雇佣前A.8.1.1角色和职责A.8.1.2筛选A.8.1.3雇佣条款和条件A.8.2雇佣中A.8.2.1管理职责A.8.2.2信息安全意识、教育和培训A.8.2.3惩戒流程A.8.3雇佣终结或变更A.8.3.1终结责任A.8.3.2归还资产A.8.3.3废除访问权限

(3、9)A.8人力资源安全A.8人力资源安全(3,9)A.8.1雇佣前A.8.1.A.9物理与环境安全

(2、13)目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰；预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。A.9物理与环境安全 (2、13)目标：9.1安全区域Secureareas(6)I.D.A.9物理与环境安全

(2、13)9.2设备安全Equipmentareas(7)机房安全包括区域安全、设备安全。9.1安全区域Secureareas(6)I.D.A9.1安全区域A.9.1.1物理安全边界★A.9.1.2物理进入控制A.9.1.3办公室、场所和设施的安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作A.9.1.6公共访问、交付和装卸区域目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰A.9物理与环境安全控制措施：组织应使用安全边界（障碍物，如墙、控制进入大门的卡或人工接待台）来保护包含信息和信息处理设施的区域I.D.9.1安全区域A.9.1.1物理安全边界★A.9.1.29.1安全区域Secureareas(6)

(2、13)目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰。A.9物理与环境安全A.9.1.1物理安全边界★A.9.1.2物理进入控制A.9.1.3办公室、场所和设施的安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作A.9.1.6公共访问、交付和装卸区域a)边界定义清楚（企业的物理边界、楼的边界、部门的边界、每个员工的边界）b)边界或区域不能有潜入的缺口（围墙有缺口）c)人员接待处（只有授权的人才能进入：否则型同虚设）d)物理障碍/屏障可以防止未授权的访问和环境污染。e)边界的防火门应达到地区、国家标准，并了解当地的火警代号。f)安装入侵检测设备，进门、窗户、计算机房、通信机房g)公司的信息处理设施应该和第三方的设施分离开控制措施：组织应使用安全边界（障碍物，如墙、控制进入大门的卡或人工接待台）来保护包含信息和信息处理设施的区域9.1安全区域Secureareas(6) (2、19.1安全区域目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰A.9物理与环境安全控制措施：应通过适当进入控制措施对安全区域进行保护，以确保只有授权的人员才能进入A.9.1.1物理安全边界A.9.1.2物理进入控制★A.9.1.3办公室、场所和设施的安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作A.9.1.6公共访问、交付和装卸区域a)应该记录拜访者进入/离开的日期/时间，并告知拜访者在紧急事件流程和区域的安全要求。除非拜访者被事先核准进入的，否则应该受到监督和管理，而且也只能访问特定的、授权的内容.b)访问重要信息处理和存储区域，应该经过严格的授权；认证和访问证实时应该采用认证控制措施，如访问控制卡（门禁卡）、PIN;访问审计记录应该安全保管和维护。c)所有公司雇员、合作伙伴、第三方人员以及拜访者要求要求佩带显著的识别标志并且快速识别安全人员。d)在必要的时候，第三方的支持服务人员应该被严格限制访问安全区域或重要信息处理设备，他们访问应该被授权和监视。e)对安全区域的访问权限应定期回顾和更新，在必要时候可以撤消访问权限（合同终止、变更）。9.1安全区域目标：防止对组织办公场所和信息的非授权物理访9.1安全区域A.9.1.1物理安全边A.9.1.2物理进入控制A.9.1.3办公室、场所和设施的安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作★A.9.1.6公共访问、交付和装卸区域目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰A.9物理与环境安全控制措施：应设计并实施在安全区域工作的物理保护和指南

a)只有在有必要的前提下，才能让职员知道有一个安全区或安全区内所进行的活动。

b)出于安全原因和消除恶意行为发生的机会两方面考虑，不允许在安全区域内进行未经调查的工作。

c)关闭无人使用的安全区域，每隔一段时间，进行一次检查。

e)除非经过授权，不允许使用图象、视频、音频和其它记录设备。9.1安全区域A.9.1.1物理安全边A.9.1.2物9.1安全区域A.9.1.1物理安全边界A.9.1.2物理进入控制A.9.1.3办公室、场所和设施的安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作A.9.1.6公共访问、交付和装卸区域★目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰A.9物理与环境安全控制措施：应设计并实施在安全区域工作的物理保护和指南

a)从外面进入物品交付与装载区域进行访问，必须经过严格识别确认并授权；b)设计存放物品区域时，要达到如下效果：负责交货的人员不需要进入建筑物的其它部分，就可以将货物卸下；c)当存放物品的区域内部的门打开时，一定要保证外部的门是安全的；d)在将已收下的材料从存货区移到使用地点前，必须对其进行检查，以防止潜在的危险；e)按照资产管理流程，在入口处，应对进入的材料进行登记；f)在可能的情况下，进入货物应该与外出货物进行物理隔离。9.1安全区域A.9.1.1物理安全边界A.9.1.2A.9物理与环境安全目标：预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰.

要降低对信息的未经授权访问的风险并免受损失或损坏，必须对设备（包括不在现场使用的设备）进行保护。还需要考虑设备的位置和选址问题。可能需要特殊的控制措施来保护免遭危险或非法访问，并保护辅助设施，例如电源和电缆等基础设施。

9.2设备安全A.9物理与环境安全目标：预防资产的丢失、损坏或被盗，以及A.9物理与环境安全A.9.2.1设备选址和保护A.9.2.2支持设施SupportingutilitiesA.9.2.3电缆安全A.9.2.4设备维护A.9.2.5公司安全边界外设备的安全A.9.2.6设备的安全销毁或重用A.9.2.7财产转移9.2设备安全A.9物理与环境安全A.9.2.1设备选址和保护A.9.A.9物理与环境安全A.9.2.1设备选址和保护A.9.2.2支持设施A.9.2.3电缆安全A.9.2.4设备维护A.9.2.5公司安全边界外设备的安全A.9.2.6设备的安全销毁或重用A.9.2.7财产转移9.2设备安全a)设备应进行安置，以尽量减少不必要的对工作区域的访问；b)应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问；c)要求专门保护的设备要予以隔离，以降低所要求的总体保护等级；d)应采取控制以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；e)应建立在信息处理设施附近进食、喝饮料和抽烟的指南；f)对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视；g)所有建筑物都应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器；h)对于工业环境中的设备，要考虑使用专门的保护方法，例如键盘保护膜；i)应保护处理敏感信息的设备，以减少由于辐射而导致信息泄露的风险；控制措施：应对设备进行选址安置或保护，以减少来自环境的威胁或危害，并减少未授权访问的机会A.9物理与环境安全A.9.2.1设备选址和保护A.9.9.2设备安全A.9物理与环境安全A.9.2.1设备选址和保护A.9.2.2支持设施A.9.2.3电缆安全A.9.2.4设备维护A.9.2.5公司安全边界外设备的安全A.9.2.6设备的安全销毁或重用A.9.2.7财产转移控制措施：应检查所有包含存储介质的设备，以确保在销毁前所有敏感数据或授权软件已经被移除或安全重写。9.2设备安全A.9物理与环境安全A.9.2.1设备选9.2设备安全A.9物理与环境安全A.9.2.1设备选址和保护A.9.2.2支持设施A.9.2.3电缆安全A.9.2.4设备维护A.9.2.5公司安全边界外设备的安全A.9.2.6设备的安全销毁或重用A.9.2.7财产转移控制措施：未经授权，不得将设备、信息或软件带离工作场所。9.2设备安全A.9物理与环境安全A.9.2.1设备选A.9物理与环境安全A.9物理与环境安全(2,13)A.9.1安全区域(6)A.9.1.1物理安全边界A.9.1.2物理进入控制A.9.1.3办公室、场所和设施的安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作A.9.1.6公共访问、交付和装卸区域A.9.2设备安全(7)A.9.2.1设备选址和保护A.9.2.2支持设施SupportingutilitiesA.9.2.3电缆安全A.9.2.4设备维护A.9.2.5公司安全边界外设备的安全A.9.2.6设备的安全销毁或重用A.9.2.7财产转移

(2、13)A.9物理与环境安全A.9物理与环境安全(2,13)A.文件化操作程序操作变化控制事故管理程序责任分离开发和运营设备的分离外部设施的管理工作文件Operationalprocedures

A.9物理与环境安全防止未经授权的访问，破坏和干扰办公场所和信息。文件化操作程序工作文件OperationalproceA.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监督(6)A.10通信和运营管理(10、32)A.10通信与运营管理(10,32)A.10.1操作程序A.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.1.1文件化的操作程序A.10.1.2变更管理A.10.1.3职责分离A.10.1.4开发、测试和运营设施的分离A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监督(6)A.10通信和运营管理(10、32)A.10通信与运营管理(10,32)A.10.1操作程序A.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.2.1服务交付A.10.2.2第三方服务的监督和评审A.10.2.3第三方服务的变更管理A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监督(6)A.10通信和运营管理(10、32)A.10通信与运营管理(10,32)A.10.1操作程序A.10.3系统规划和验收目标：使系统故障的风险减到最小A.10.3.1容量管理A.10.3.2系统验收

20082005A.10通信和运营管理(10、32)A.10.3系统规划和验收目标：使系统故障的风险减到最小A.10.4防范恶意代码和移动代码(2)A.10.4.1控制恶意代码（软件）★A.10.4.2控制移动代码目标：保护软件和信息的完整性。控制措施：应实施防范恶意代码的检测、预防和恢复，以及适当的用户意识程序。

A.10通信和运营管理(10、32)A.10.4防范恶意代码和移动代码(2)A.10.4.1A.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监控(6)A.10通信和运营管理(10、32)A.10通信与运营管理(10,32)A.10.1操作程序A.10.5备份A.10.5.1信息备份★目标：维护信息处理和通信服务的完整性和可用性。A.10通信和运营管理(10、32)■备份介质:光盘、硬盘、磁带

■备份周期:天、星期、月

■备份方式:增量备份、完全备份A.10.5备份A.10.5.1信息备份★目标：维护信息A.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)来自A.8.4.1A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监控(6)A.10通信和运营管理(10、32)A.10通信与运营管理(10,32)A.10.1操作程序A.10.7介质的处理(4)A.10.7.1可移动介质的管理A.10.7.2介质销毁A.10.7.3信息处理程序A.10.7.4系统文档安全目标：防止对资产的未授权泄漏、修改、移动或损坏，以及对业务活动的干扰/中断。A.10通信和运营管理(10、32)A.10.7介质的处理(4)A.10.7.1可移动介质的A.10.7介质的处理(4)A.10.7.1可移动介质的管理★A.10.7.2介质的销毁A.10.7.3信息处理的程序A.10.7.4系统文档的安全目标：防止对资产的未授权泄漏、修改、移动或损坏，以及对业务活动的干扰/中断。A.10通信和运营管理(10、32)控制措施：应建立可移动介质的管理程序(可移动介质的管理应采用一些程序文件进行规范与管理)

。1、移动硬盘的管理与使用2、USB的使用与管理3、软盘的使用与管理4、光盘(CD/DVC--R/RW)A.10.7介质的处理(4)A.10.7.1可移动介质的A.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)来自A.8.4.1A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.9.1电子商务安全(8.7.3)A.10.9.2在线交易A.10.9.3公共可用系统(8.7.6)A.10.10监控(6)A.10通信和运营管理(10、32)A.10通信与运营管理(10,32)A.10.1操作程序A.10通信和运营管理A.10通信与运营管理(10,32)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)来自A.8.4.1A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监控(6)A.10.10.1审计日志A.10.10.2监视系统的使用A.10.10.3日志信息保护A.10.10.4管理员和操作者日志A.10.10.5错误日志A.10.10.6时钟同步(10、32)目标:

检测未经授权的(信息处理)活动。监视系统，记录信息安全事件。使用操作员日志和故障日志以确保识别出信息系统的问题。一个组织的监视和日志记录活动应遵守所有相关法律的要求。使用监视系统来检查所采用“控制措施”的有效性，并验证与访问策略的一致性。A.10通信和运营管理A.10通信与运营管理(10,32A.10通信和运营管理控制措施：应产生记录用户活动、以外和信息安全事件的日志，并按照约定的期限进行保留，以支持将来的调查和访问控制监视。(10、32)A.10.10.1审计日志A.10.10.2监视系统的使用A.10.10.3日志信息保护A.10.10.4管理员和操作者日志A.10.10.5错误日志A.10.10.6时钟同步A.10.10监控(6)目标:

检测未经授权的(信息处理)活动。用户ID；日期、时间和关键事件的细节，例如登录和退出；若有可能，终端身份或位置；成功的和被拒绝的对系统尝试访问的记录；成功的和被拒绝的对数据以及其他资源尝试访问的记录；系统配置的变化；访问的文件和访问类型；网络地址和协议；访问控制系统引发的警报；防护系统的激活和停用，例如防病毒系统和入侵检测系统。A.10通信和运营管理控制措施：应产生记录用户活动、以外和A.11.1访问控制的业务要求SystemAdministratorMenuA.11访问控制AccessControl

(7、25)11.1.1访问控制策略目标:控制对信息的访问。控制措施：应建立文件化的访问控制策略，并根据对访问的业务和安全要求进行评审。A.11.1访问控制的业务要求SystemAdminisA.11.1访问控制的业务要求SystemAdministratorMenuA.11访问控制AccessControl

(7、25)11.1.1访问控制策略目标:控制对信息的访问。1、考虑到每一个业务系统的安全要求；2、识别业务系统有关的信息以及信息面临的风险(风险评估系统方法)；3、不同系统和网络的信息分类策略与访问控制策略保持一致；4、访问要求的正式授权要求；5、访问控制的周期性评审/检查要求。在前提为"未经允许，必须一律禁止"的基础上建立规则，而不是弱的"未经明确禁止，一律允许"的规则；A.11.1访问控制的业务要求SystemAdminis11.2.1用户注册(登录)★11.2.2特权管理11.2.3用户口令管理11.2.4审核用户访问权限(定期审核访问权限)A.11.2使用者访问管理A.11访问控制AccessControl

(7、25)目标:确保授权用户的访问，并预防信息系统的非授权访问。11.2.1用户注册(登录)★11.2.2特权管理11.A.11.3用户职责(3)目标：预防未授权用户的访问，信息和信息处理设施的破坏或被盗。A.11.3用户职责(3)A.11.3.1口令使用A.11.3.2无人值守的用户设备A.11.3.3清除桌面及屏幕策略

(7、25)A.11访问控制AccessControlA.11.3用户职责(3)目标：预防未授权用户的访问，信息A.11.3用户职责(3)控制措施：在选择和使用口令时，应有良好的习惯和保密意识。A.11.3用户职责(3)A.11.3.1口令使用A.11.3.2无人值守的用户设备A.11.3.3清除桌面及屏幕策略

(7、25)A.11访问控制AccessControl目标：预防未授权用户的访问，信息和信息处理设施的破坏或被盗。保密口令；避免保留口令的副本（例如在纸上、软件文件中或手持设备中），除非可以安全地保存，存储方法得到批准；选择具有最小长度的优质口令，这些口令：不能基于别人可能易于猜出或获得的与使用人相关的信息，例如，名字、电话号码和生日等等。A.11.3用户职责(3)控制措施：在选择和使用口令时，应A.11.5操作系统访问控制(6)目标：防止对操作系统的未经授权访问A.11.5操作系统访问控制(6)A.11.5.1安全登陆程序A.11.5.2用户标识和鉴别A.11.5.3口令管理系统A.11.5.4系统设施的使用A.11.5.5会话超时Sessiontime-outA.11.5.6连接时间限制Limitationofconnectiontime

(7、25)A.11访问控制AccessControlA.11.5操作系统访问控制(6)目标：防止对操作系统的未A.11.6应用系统和信息访问控制(2)目标：防止对应用系统中信息的未授权访问。A.11.6应用系统和信息访问控制(2)A.11.6.1信息访问控制A.11.6.2敏感信息隔离

(7、25)A.11访问控制AccessControlA.11.6应用系统和信息访问控制(2)目标：防止对应用系A.11.6应用系统和信息访问控制(2)目标：防止对应用系统中信息的未授权访问。A.11.6应用系统和信息访问控制(2)A.11.6.1信息访问控制A.11.6.2敏感信息隔离

(7、25)A.11访问控制AccessControl控制措施：应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问。a）控制用户的访问权力，例如，读、写、删除和执行；b）控制其他应用的访问权力；c）确保处理敏感信息的应用系统的输出仅包含与使用输出相关的信息，并且仅发送给已授权的终端和地点，包括周期性评审这种输出，以确保去掉多余信息。A.11.6应用系统和信息访问控制(2)目标：防止对应用系A.11.7移动计算机和远程工作(2)目标：确保在使用移动计算和远程工作设施时信息的安全。

(7、25)A.11访问控制AccessControlA.11.7.1移动计算机设备和通信A.11.7.2远程工作A.11.7移动计算机和远程工作(2)目标：确保在使用移A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)A.12信息系统的获取、开发和维护

(6、16)A.12.1信息系统安全要求(1)A.12.2应用系统的A.12.1信息系统安全要求(1)A.12.1.1安全要求分析和规范目标：确保安全成为信息系统的不可缺少的一部分。Informationsystemsincludeoperatingsystems,infrastructure,businessapplications,off-the-shelfproducts,services,anduser-developedapplications.Thedesignandimplementationoftheinformationsystemsupportingthebusinessprocesscanbecrucialforsecurity.Securityrequirementsshouldbeidentifiedandagreedpriortothedevelopmentand/orimplementationofinformationsystems.在开发和实施信息系统之前应该识别安全要求。

Allsecurityrequirementsshouldbeidentifiedattherequirementsphaseofaprojectandjustified,agreed,anddocumentedaspartoftheoverallbusinesscaseforaninformationsystem.在项目的需求阶段就应该识别所有的安全要求。操作系统业务系统产品用户开发的应用程序(生管系统)不是可有可无的A.12信息系统的获取、开发和维护

(6、16)A.12.1信息系统安全要求(1)A.12.1.1安全要A.12.1信息系统安全要求(1)A.12.1.1安全要求分析和规范A.12.2应用系统的正确处理(4)A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)目标：确保安全成为信息系统的不可缺少的一部分。控制措施：新系统和改进系统的业务要求申明/陈述中应规定安全控制的要求。新、改进系统的业务要求陈述应指明控制措施的要求。包括自动控制措施，以及手空控制措施.（技术/管理）；评估业务应用软件时，也要做相似的考虑。必要时，使用经过独立评估和鉴定的产品；安全要求和控制措施应该反映信息资产的业务价值、同时反映由于故障或缺少安全保护措施造成的潜在地商业影响.分析安全要求并确定达到要求所采取得控制措施的指导方针是“风险评估和风险管理”；在设计阶段引入控制措施，实施和维护的代价要远远小于在实施过程中或之后引入控制措施。A.12信息系统的获取、开发和维护

(6、16)A.12.1信息系统安全要求(1)A.12.1.1安全要A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.2.1输入数据确认A.12.2.2内部处理控制A.12.2.3消息完整性 A.12.2.4输出数据确认A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)目标：防止应用系统信息的错误、丢失、未授权的修改或误用。放置应用系统信息的错误、丢失和未授权的修改或误用，需要应用程序中应设适当地控制措施，这些控制措施包括输入数据确认、内部数据控制等；处理敏感、有价值或重要的组织资产或者对这些资产构成影响的系统还需要补充其他控制措施。这些控制措施是根据安全要求和风险评估确定的。A.12信息系统的获取、开发和维护

(6、16)A.12.1信息系统安全要求(1)A.12.2应用系统的A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.3加密控制(2)A.12.3.1使用加密控制的策略A.12.3.2密钥管理A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)目标：通过加密手段来保护信息的保密性、真实性或完整性。A.12信息系统的获取、开发和维护

(6、16)A.12.1信息系统安全要求(1)A.12.2应用系统的A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.4.1操作软件控制A.12.4.2系统测试数据的保护A.12.4.3源代码库的访问控制A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)目标：确保系统文档的安全。A.12信息系统的获取、开发和维护

(6、16)A.12.1信息系统安全要求(1)A.12.2应用系统的A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.2.1输入数据确认A.12.2.2内部处理控制A.12.2.3消息完整性 A.12.2.4输出数据确认A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)A.12信息系统的获取、开发和维护

(6、16)目标：防止应用系统信息的错误、丢失、未授权的修改或误用控制措施：应及时获得组织所使用的信息系统的技术漏洞的信息，评估组织对此类技术漏洞的保护，并采取适当的措施组织应建立技术脆弱性管理的角色和责任，包括脆弱性监控、脆弱性风险评估、补丁程序，相关责任要求。软件、技术有关的信息源的识别一旦识别到潜在的技术脆弱性，组织应该识别相关的风险以及需要采取得措施，包括打补丁和其他的控制措施。根据技术脆弱性的紧急程度，采取相应的与变更管理有关的控制措施，或按照安全事件响应流程进行处理采用打补丁的方式来解决问题时，需要在安装补丁程序前识别可能的风险(其他程序不能正常使用)A.12.1信息系统安全要求(1)A.12.2应用系统的 13.1报告信息安全事件和弱点 13.2信息安全事故的管理和改进A.13信息安全事件管理

(2、5)确保（与信息系统有关的）安全事件和弱点的沟通能够及时采取纠正措施,保使用持续有效的方法管理信息安全事故。 13.1报告信息安全事件和弱点A.13信息安全事件管理A.13.1报告信息安全事件和弱点(2)A.13.1.1信息安全事件报告A.13.1.2报告信息安全弱点A.13.2信息安全事故的管理和改进(3)A.13.2.1职责与程序A.13.2.2从信息安全事故中学习A.13.2.3收集证据A.13信息安全事件管理

(2、5)目标:确保（与信息系统有关的）安全事件和弱点的沟通能够及时采取纠正措施。控制措施:(1)应通过适当的管理途径尽快报告信息安全事件.(2)应要求所有的员工、承包方和第三方用户注意并报告系统或服务中已发现或可疑的安全弱点。A.13.1报告信息安全事件和弱点(2)A.13.1报告信息安全事件和弱点(2)A.13.1.1A.13.1报告信息安全事件和弱点(2)A.13.1.1信息安全事件报告A.13.1.2报告信息安全弱点A.13.2信息安全事故的管理和改进(3)A.13.2.1职责与程序A.13.2.2从信息安全事故中学习A.13.2.3收集证据A.13信息安全事件管理

(2、5)目标:确保使用持续有效的方法管理信息安全事故。控制措施：(1)应通过适当的管理途径尽快报告信息安全事件.(2)应建立管理职责和程序，以快速、有效和有序的响应信息安全事故.(3)事故发生后，应根据相关法律的规定（无论是民法还是刑法）跟踪个人或组织的行动，应收集、保留证据，并以符合法律规定的形式提交。A.13.2信息安全事故的管理和改进(3)A.13.1报告信息安全事件和弱点(2)A.13.1.1A.13.1报告信息安全事件和弱点(2)A.13.1.1信息安全事件报告A.13.1.2报告信息安全弱点A.13.2信息安全事故的管理和改进(3)A.13.2.1职责与程序A.13.2.2从信息安全事故中学习A.13.2.3收集证据A.13信息安全事件管理

(2、5)发现报告响应跟踪评价惩戒公告备案培训A.13.1报告信息安全事件和弱点(2)A.13.1.1A.13.1报告信息安全事件和弱点(2)A.13.1.1信息安全事件报告A.13.1.2报告信息安全弱点A.13.2信息安全事故的管理和改进(3)A.13.2.1职责与程序A.13.2.2从信息安全事故中学习A.13.2.3收集证据A.13信息安全事件管理

(2、5)A.13.1报告信息安全事件和弱点(2)A.13.1.1

目的：降低重大事故和灾害对商业活动的干扰和保护关键商务过程

A.14商业活动的连续性

(1、5)A.14.1业务持续性管理的信息安全方面 A.14商业活动的连续性 (1、5)A.14.1业务持A.14.1业务持续性管理的信息安全方面A.14.1.1业务连续性管理过程中包含的信息安全A.14.1.2业务连续性和风险评估(影响分析)A.14.1.3编写和实施连续性计划A.14.1.4业务连续性计划框架A.14.1.5BCP的测试、维护和再评估A.14商业活动的连续性

(1、5)A.14.1业务持续性管理的信息安全方面A.14.1.1A.14.1.2业务连续性和影响分析A.14商业活动的连续性

(1、5)A.14.1.2业务连续性和影响分析A.14商业活动的连A.15符合性A.15.1符合法律法规的要求(6)目标：避免违犯任何刑法和民法、法定的或者合同约定的义务，避免破坏如何安全要求。信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下。应当从组织的法律顾问或者合适的权威法律执业人士那里寻求有关特殊法律规定的建议。各个国家对从一个国家产生又被传送到另一个国家的信息（例如过境的数据流）有不同的法律要求。A.15.1.1识别适用的法律法规

A.15.1.2知识产权IPR

A.15.1.3组织记录的保护

A.15.1.4数据保护和个人信息的隐私

A.15.1.5防止信息处理设施的误用

A.15.1.6加密控制法规

(3、10)每一个信息系统对所有的法令、法规以及和约的要求都应该清楚地定义和文件化。A.15符合性A.15.1符合法律法规的要求(6)目标：15.1.1识别适用的法律法规序号相关法律备注1中华人民共和国宪法2中华人民共和国刑法3中华人民共和国治安管理处罚条例4中华人民共和国民事诉讼法5中华人民共和国民法通则6中华人民共和国著作权法7中华人民共和国专利法8中华人民共和国商标法9中华人民共和国合同法10中华人民共和国国家安全法11中华人民共和国保守国家秘密法12中华人民共和国计算机信息系统安全保护条例13网上银行业务管理暂行办法14电子签名法A.15符合性

(3、10)15.1.1识别适用的法律法规序号相关法律备注1中华人民共A.15.2符合安全策略、标准和技术(2)目标：确保系统符合组织安全策略和标准。A.15.2.1符合安全策略和标准

A.15.2.2技术符合性检查

A.15符合性

(3、10)A.15.2符合安全策略、标准和技术(2)目标：确保系统符A.5 安全方针A.6 信息安全组织A.7 资产管理A.8 人力资源安全A.9 物理和环境安全A.10 通信和运营管理A.11 访问控制A.12 信息系统的获取、开发和维护A.13 信息安全事件管理A.14 业务连续性管理A.15 符合性安全条款小结A.5 安全方针安全条款小结2022/12/22国家信息化测评中心InformationSecurityManagementSystem

信息安全管理体系(ISMS)

ISO27001:2005附录A2022/12/16国家信息化测评中心InformationChapter0:简介Chapter1:范围Chapter2:强制性应用标准Chapter3:术语和定义Chapter4:信息安全管理体系Chapter5:管理责任Chapter6:ISMS内部审查Chapter7:ISMS管理评审Chapter8:ISMS改善附件A（强制性）控制目标和控制措施信息安全管理体系ISO27001A.5安全策略(1)信息安全策略A.6信息安全组织(2)内部组织外部相关方A.7资产管理(2)资产责任信息资产分类A.8人力资源安全(3)雇佣前雇佣中雇佣终结或变更A.9物理与环境安全(2)A.10通讯与运作管理(10)A.11访问控制(7)A.12信息系统的获取、开发和维护(6)A.13信息安全事故管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(1)A.15符合性(3)Chapter0:简介信息安全管理体系ISO27001

信息安全管理体系ISO27001信息安全管理体系ISO27001ISO/27001:2005附录A控制域（Domain）11控制目标（Object）39控制措施（Control）1331、公司层面的目标2、部门级别的目标BS7799-2:2002与

ISO27001:2005附录A的比较信息安全管理体系ISO27001ISO/27001:2005附录A控制域（Domain）1Chapter0:简介

ISO27001控制目标和控制措施Chapter1:范围

安全方针Chapter2:强制性应用标准

安全组织Chapter3:术语和定义

资产分类与控制Chapter4:信息安全管理体系

人员安全物理与环境安全通信与运行管理系统获取开发与维护Chapter5:管理责任

访问控制Chapter6:ISMS内部审查

信息安全事件管理Chapter7:ISMS管理评审

业务持续性管理Chapter8:ISMS改善

符

合

性附件A(强制性)控制目标和控制措施

11个域、39个目标、133个控制措施。（1）是一个基于“风险管理为基础”的信息安全管理体系。（2）是一个“滴水不漏的”信息安全管理体系

信息安全管理体系ISO27001Chapter0:简介

ISO27001控制目标和控A.5、安全方针（SecurityPolicy）(1,2)（附注）A.6、安全组织（SecurityOrganization）(2,11)A.7、资产分类与控制(AssetclassificationandControl)(2,5)A.8、人员安全(PersonnelSecurity)(3,9)A.9、物理与环境安全(PhysicandEnvironmentSecurity)(2,13)A.10、通信与运行管理(CommunicationandOperationManagement)(10,32)A.12、系统开发与维护(Systemdevelopandmaintenance)(6,16)A.11、访问控制(Accesscontrol)(7,25)A.13、安全事件管理(Compliance)(2,5)A.14、业务持续性管理(Businesscontinuitymanagement)(1,5)A.15、符合性(Compliance)(3,10)附注：(m，n)－m：执行目标的数目n：控制方法的数目ISO27001:2005附录AA.5、安全方针（SecurityPolicy）(1,2)A.11.1访问控制的业务要求(1)A.11.2用户访问管理(4)A.11.3用户责任(3)A.11.4网络访问控制(7)A.11.5操作系统访问控制(6)A.11.6应用系统和信息访问控制(2)A.11.7移动计算和远程工作(2)A.12.1信息系统安全要求(1)A.12.2应用系统的正确处理(4)A.12.3加密控制(2)A.12.4系统文档安全(3)A.12.5开发和支持过程的安全(5)A.12.6技术漏洞管理(1)A.13.1报告信息安全事件和弱点(2)A.13.2信息安全事故的管理和改进(3)A.14.1业务连续性管理的信息安全方面(5)A.15.1与法律法规要求的符合性(6)A.15.2符合安全策略、标准，技术符合性(2)A.15.3信息系统审计的考虑因素(2)A.5.1信息安全策略(2)A.6.1内部组织(8)A.6.2外部组织(3)A.7.1资产责任(3)A.7.2资产分类(2)A.8.1雇佣前A.8.2雇佣中A.8.3雇佣终结或变更A.9.1安全区域(6)A.9.2设备安全(7)A.10.1操作程序及职责(4)A.10.2第三方服务交付管理(3)A.10.3系统规划与验收(2)A.10.4防范恶意代码和移动代码(2)A.10.5备份(1)A.10.6网络安全管理(2)A.10.7介质处置(4)A.10.8信息交换(5)A.10.9电子商务服务(3)A.10.10监督(6)ISO27001:2005附录AA.11.1访问控制的业务要求(1)A.5.1信息安全策

11subjectdomains;39managementobjectives;133

controls;500detailcontrols.

A.5-A.15ISO27001:2005附录A确定十一个基本的指导原则作为信息安全管理体系的基础ISO27001:2005附录AA.5-A.15ISO27001:2005附录A确A.5安全方针SecurityPolicy5.1信息安全方针(策略)5.1.1信息安全策略文件5.1.2审查与评估

(1、2)A.5安全方针SecurityPolicy5.1信什么是信息安全方针？

信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。

信息安全方针A.5安全方针SecurityPolicy

(1、2)什么是信息安全方针？信息安全方针是由组织的最高管理者目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。A.5安全方针SecurityPolicy

(1、2)目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；A信息安全方针的内容，包括但不限于：组织对信息安全的定义