信息安全、网络安全和隐私保护-信息安全控制清单

值息安全、网络安全和隐私保护一值息安全控制清单

(基于IS0/IEC270O2-2022《信息安全、网络安全和隐私保挣一信息安全控制》娟制)

要素归号子要素馆息安全控制目标18息安全控IW拄网要点信惠安全控制技制内容与要求

⑴定义信息安全方豺：

・烟料应明IMS息安全的核心此则WHte.这纥蛇则和11标位＞纲织的业务H求加法律法加展求H一致.

•・，：为乜定更具体的侑息安全策降提供指导.

(1)嫡立第织的信◎安全指导必明.明

⑵初定特定土地策略：

卡甘理以对伤鹿安全的承诺和支招：

检定义但£1安全方什和特•根州信息安全方计，41统应识别关键.资产并刎定相应的佻护措蛤.

⑵制定特定主脖镀略以保护关《!化

定主对策笔.由甘理层依.特定土密或略可能包括(H不碌T怎M保护.访问拴也.秦线安全,M格通忖安全峥“

。皆产.嫡保伯£1例机潴性.先攀性

5

准K发布.怆达并让枪关⑶皆丹房批准与发布：

和可用性：

信息女傥策略工作人贝和相关方知悉,•佑必安全策修和方针必缜御剂it理型的正式批准，并碣保其内容与纲织的牧略”铀和业务需求旧吸.

5.1(3)通过有效传达策略，提升全员信息

如织

按计划的时同同m以及在•批范a的心，J安全策略疲通过正式柒询发h.班％wr〃｛工书人员和相关方能鲂在取并理解，

交全通识和行为台视性：

柱M发生加大变更时刻共进行⑷策略传达与培训：

(。定期挪中和更新SWh以造檄8织

评审•税加应通过培训、幺议、内部通解等方式,向相关工作人员和机关方有效除达信慰安全薇略的内部和要求.

变化和外部环埴,从而生护佑息次全

•货_1收接曳天Ttfl总■安金坡6田用1L开I3如实向＜1.作中限储送受氽略“

讦理体家的持续有效性和道立性.

⑸定期普中与史新：

•佑息安全潴略应按计以的时何间隔在行定期评审.以谱仅其仍然有效井近应谕双当前的伤息安全需求.

.在发生m大变史(如核木叱叶.业务授式变化普)时,也应时伍恩支至策略进行坦时评审和史教.

(D明确用色》联好：造保沮织内部有

叫璃的信息安全用色和职费分配，a

(1)定义信恩安全角色1根W组投的业务能来租找校,明晚谀立知信恩安全盲(CISO).信息安全分析Mh安全管理员等关电信息安全角色，

他在俏息安全事件发生时挂够迅速枸

U以安全角色(30安全角色和货任向楸妫⑵分配明编的恺息安全费任：为每个恺息安会角色分配清防的货任依阳.班保各个州色之间的职,不由&IL弑船所才关缄僧.0安全锄域.

5.2电

加责任祖织需求迸后定义和分配(3)建立责任班昨：制定一个详细的货任班阵，列出作个信息安全职随及其对应的负费人员・以便干竹理。边货・

(2)有效管理：通过合理分配信.□安全

G)定则评审和更新角色与我任，的曾姐想发艮和外郃环域的变化，定期才本和史新(S恩安全角色和揖住分配.

的色相选任.实现信电安全的仃效管

«.降低交攵风险.

“｝业务活动的核准.记京，经办及“(D识别冲突职费，

物的分寓：要求业务役作的各个环节..怨枳我识别那些在执行过双中可能存在冷突或滥用W险的职防和访任翘IH.

如核4、记聚，姓办以及财物的计理.这包括但不限于•财务审妣、m统检理和审计等美键职能.

应分典相无•!•突的我戏和去

5.3W的分高号，应由不w的人员负由，a实现相⑵切定分离计划：

仔依眼

.设计井实的一个明确的计划.珞冲突的职责分配给不同的个人成㈤队.

(2)防止权力阻废鬃中:通过职员分.耐保没。人能就象强控切一个海程的全的美健环节,从而降低内部欺诈和帽状的时险.

%.就免埴-人/或部门柳行过冬的(3)实施总侪和M存仲UM：

««编号子要素估息安金控X目标信息安全按1M控制要点值患安全控制控制内容与要求

以〃和俗M・从而M少内却欺祥和■.世岂独立的陷饵机别・珈内部中计的门,以品仔和验任职责分离的突傕俯况.

用取权M3陵.・碓仅XIU货之何悌内切衡.图先出现不一权力点.

⑶提询信恩安全管理的有效性和透“)定划评审和更新1

W慢：明加的脱奇分离H助丁增必的.定期许中职说分医的实陆情况.助优乳•仍然的效并培液虱织的殳化.

0安全钟理的效果,井确保相关操作•根t«业务发改和外部W境的变化.及时聘祭职费分配和初衡WIL

的透明性和可迫需性.(5)记求和监控，

.记录职音分!E刊变更情况.以便迫踩和审计，

•收校职？i分图的实(6效果.及时发现何a并进行肉祭.

(1)明造优包安全选任，姐姐应确保所盯工作人员那浩比理斛并接受他打在信总支全方卸的责任.这包括有保他打卯解组织的信息安全方计.

特定主1S的侬略以及他们」:作所落虎御由规界.

管理层应婴求所”工作人

(2)优总安全方斜的传达：管理层应购保优电安全方“用列充分的传达和解酢,以使所有工作人员就住脚狎甘足含义。并在日常工作中忌用.

隔保管理以要求所在工作人员通篦出

员根1K机织已建点的倍g

织既定的信息安全力计、策咕和猊特定主魁策略和规程的女俺：除了信息安全方计外,竹理层还应跑呢所盯工作人员了道井边仍适用『他打织我的将定主睡策略和规程,这

次全方针•特定主魅策略

5.4静理我任

出.以㈱行能力的怙恁安全货任.从可能包括忖川制定系及.应用或数期处理帔将正安全复求，

粕胡程.履行倡恩及全费

而箫护州以信息资产的安仝和完整性(3)培训和较fi：为了支持工作人3履行M怕总发生责任,组纲应提供城力的培川和软〃机会.以确保他必要的加正和技能.

'

“)依存和审核：转理层应定期判工作人为信恩安全贡任的情况进行跣％和审核,以确保籽介饥织的：电安全方斜、成路和观程.这nJ能

包括松森”金.进行安全审计以及许枯工作人员对信息安全姿求的爱守情况，

(D坳定相关职能机构：

(D建立和维护。肌能机构的联票：组.41段应首光明南见”机能机构与大业多机关,包括但不以卜数据俱护机构、行业监甘机构,执法能门的.

班应叼相关的职能机构(G盘管机构、⑵it"我乐机Bh

执法部门、行业协会等)也立正式的.设立专门的双系人联用队负责与达人职娥机构进行沟刈.

联系乘道.并的保这些公道的畅通和•胡定并定叫史新与这些机构联系的只体力式和架道，如电子他件、电话、幺议等.

行效性.(3)黄护联茶।

(2)及附昧取和狗足扭导：地过与职倭.定期组织会设或通话.以验保双方2间的沟欢畅必.

机构的联系，ill依总能好及时荻JU关•及时响应职能机构的会询和请求・提供必要的信息和支持-

叼双能机构的制织鹿比豆并蛭护“树关队

5.5于信息安全.M络安全和R14保沪的3)俏恩共享与史新।

联痂能机构的献票

MWISS?.政策变化和要求.以便及.向相关职住矶和提佻如织的信.0安多政策、实成和11件南次计划¥怕£・

H汹整门JJ的安全温格和济瓶.•从职能机构获取最新的泄忧、拒后方甘和安全健议•也保组织的倍思安全插时符合最新的认和EL业JML

(3)合作与位您我Mi与职般机构保排(5)合作与的调，

超切我素.力助于组猊在面临安全成.在面临底火伯口丧全串11或械卧射.与职能机构窜潴合作.共同应对.

协或事件时，陵/快速获得支持和特•参与职能机构加现的研讨幺、增利小文薄利动，提升税次的信恩安全彦识和质力.

助,同时也帷够St进俏总共享和悔忡.⑹记录和监控，

共同以“整个行业的安全水平..记杂叼职1ft机构的所右山要沟通和合作活动.

•此也与职能机构状系⑦软梁.以及时M整联篇策略.

««编号子要素估息安金控&目标信息安全控1M控制要点值患安全控制控制内容与要求

(1)增定关僦相大方：

C)建立方雄俨联取月斗.蛆加修忖定・明陶组加第变硬在我家的特定和大才，如大逑伐4”，业务介作伙伴、行业协会等•

相关方(如傀应海、客户.合作伙ft•设切并列出这空相关方的联系方式「沟道集迤，

等)或t?业我全论坛及防会保神宓切(2)建立联家机涧：

联耒,构建•个优题共享和协作的网•贝立专门俏联爱人或团队,负友与特定相关方班什沟通与徐谓・

行.•IH定并定期更新与这些相关方的联系计划.包括定用公火.通讯交流等.

(2)及附&取学业知识和支持：通道以(3)信慰共享与的作，

这N好定相关方的联系.加织健螃及.与相关方分享加织的怡◎.安全政策和实践.以便彼此了解外出同工作.

时次取外狂的行业动态.安全或的佻•及时从相关力庆取以新的安全成的仲报、行业动怎和会找要来.

报以及力业的技术支将.从而提升门阴织应噩立并雄护与特定“)检与力业论域和协会，

F存定相关力

5.6号的伫息安全防护能力.相关力或其他专业安全论•积世叠加怡@安全相关的专业论坛、研馆会和出金活动.

的联嬴

@)增强废但响应随力：在面伍次全事坛和书业附会的联条•订闽行业内的专业期刊、新闻资讯，保持“行业动态的她!«性.

件或成物时,能修快速从相关方在取⑸if立底刍响应机刎，

衲助.撵B41投的庖名哨血速度和效•与相X方共同网定应您叫皎计划.乂便在面临发生事件时能算快速出同应对.

.定期遂行应总响应演练,曲保各方：何的林作流物仃软.

(的此理；『魏巧初；鼻阳实如।41IJ14V16J1；定叼林隹的益(tti

业论坛和协会的女源.了解并垠•划过与弘业论％和出去的交由.及时了解并遽新的伯恩安全标准和合规要求.

新的信电安全标滞和合规要求，班许•确佻州尔的俏。安全女践符合行业强任实践，并极州需要进行调整和改也.

相织的伉◎.安全父现符合行业第住女(力记求和监控।

践..记录与特定相关方的所*PR要沟通/合作活动.

•定期评估与特定相关方或乐的效果,以使及时饵常联杀了略.

(1)让立或的情报收案机制，

•欢文专门的帙物外报救生集道・包打出不仅R4F安全公缶.行业报告、加彳论坛等.

•利用技术手段，如入侵检潴系统(呸)、安全信电和事件it理＜SIDI)泵统等，自动化收集岐的桁关佑”

(2)分析或胁饿报，

贿保ifl加能够及时收集、分析和用

.设立岁门的接物结报分析团队或委抵第三方透行分析.

川信息支全峨的相关的伤恩,从而应仅夔井分析伤总安全城的

•对收集列的成物相关伤总进行浑入分析，识别潜在的故构和攻击模火.

H效识别、评估和血对泄在的信◎相关的估息.以生成成马怖

•将分析结果。如织的伍慰泰统神仍环堆相结合，评枯潜在风陂.

安全风险.提升加权的信.已安全防报

(3)制定成对错旅2

步能力和响应注陵,

•根据戒格情报的分析饬果,的

•定期“姐织的安全策咕送行审友和小新•以跑保其有效性。

⑷珑立反俄机制，

•将威胁情报的才析”果。用税的实际安全小件相结合.形成反馈循环.

««编号子要素估思安金控8目标信息安全按1M控制要点值患安全控制控制内容与要求

.根据实际安全串件的发生情况.不断调都和优化峻胁储报的收集和分析方法.

C)与相大施打介作.

•与行业内的其他组织.政府机构等更立令拈关后,共享喊胁情掇史源.

•及时关注并修总m家和行业发布的女全预警和⑪报.

(1)信恩安全规划与项目计划隘台：

.在项目规划阶段.明确倡思安全而义和目标,并相几纳入⑷目计划中.

•M定徉细的恺息安全策略.访问蜕制和tl州&田等.

⑵风险讨估与It理：

•在项目开始之防进行伯恩安全M除评Pi.M别潜在的伪急安全风蹂，

.刖定风为趣对搞的.并总控同命状北.及附调壑安全策略.

(3)安全开发与他带：

曲保信息安全在项H管理中褥到充分•在项U开发和实施过程中,果阳安全能码灰双,防止安全制湖的产生.

项目管理中的才培和实tr从而II抵伯恩发个12黑岗格俏息安全祭令列项目竹.对项H中所怏用的JJ1和平价班行安全足FL埼保乂符令怕屈女至标准.

5.8

信息安全保鲍项n收据的安全，井提高项目团理中⑷效据保护与跄拄:

队的信息安至点识和健力•女雁产恪的坎密保护掳住,包括:SIX加总.访问杈融管理等,的保依H数卅的机焦性,完禁性收可用性.

•戌皇浜金也投机切.实附收测利id木欣H中的13黜正使那门・

(5)应领响血计划:

•M定项H信息安全应您响应计划，以应对可能的信息安全事件.

•定期进行向；a响应演练,嫌保团队成员熟方火力剪梗流双和指独.

⑹合规与审计：

•温佻项H符合相关的信U安全法废国标价货未，

•定期进行伯恩安全审计，检衣并险iE81H的伪电安全控制推住是否有效.

(1)建在资产清制：

•设立专门的潘林来识别和记录如织内的所有信息和K他相关交产.

确保饥织能籽全面识别和记录其.消续皎包台费产的佯招猫述.如筋产名弥.英里,何黄、快用％和所H者等伯息.

信息和其他相关资产,包括资产⑵定期更新和渔护：

•定期市式和史新资产淌中,以班保真准峋性和时效性.

的所有者.以支持"效的资产希京编制和海m信◎及其他相

ee•及H她相

.当竹新的皱产m入或现的佳声发生变化时.竣及时更然施求.

理和信慰安全保护茶晞的交箱，关资产(包柘资产加孙行)

5.9关烫产的济饮

(3)明耍资产到。才：

预助数据漱露.滥M成根失.并的清单

师保在发生安全那件时候清?快遑•在谪他中明哨记录依个货产的所列者或使用部门.

而准确地响隔.徜保侨产的所有存对侨产的安全和使护例有选任.

(力分员和标记:

•根娓资产的价(ft.取名性和服安性对其选行分类.

信息安全按控制要点值患安全控制控制内容与要求

««编号子要素估思安金控8目标1M

.对不同於事的成产选行斥记.以便二犯别和管理.

C)访X为整刊权双代理.

•根据资产的分类利标记,设定不问姬别的访何控划和杈意《

.价保只褥经过授权的人父才能访问收逃取小耍的窗产.

(6)备份与恢复：

•莉♦斐臣产进行定划占份,以防止Q罪去失或投环.

.明定灾》保乂计划.以酒供在发生克外情况旧能够快过怪发鎏产.

⑴旗制和文心化使用理则：

•明跑说JW和文档化俏息和兄他相关戈产的可捱变使用双则，

.双卿应涵制援产的访网.使用、共牛、HW.修改构B除等方面.

⑵力r培训和欢汉蜒升：

•前S工迸行关于信恩和其他机关资产可接受使用视划的培训.

.俄保员工了解并i«M达蛀规则.意识到不当使用的后来.

(3)访同也制加权未计理：

•女施严格的访问控切W杈附代理机iM・

确保信息卬11他相关资产在组织•仪尼开经耳收秋田人加访〃嫉潜驶小密的用.Mt«N触相天负产.

信忠及其也相内耗得刊合理.安全和盯效的使应识别、文件化井实住伯(・1)质控和审计：

关标产的可依用,通过明痢可按变使用的规则•设立监控机制.定班检森信此和其他相关登产的使用情况.

5.10息及其他相关资产的可按

•实施审计也好.确保规则泡到谓守.并及时发现和纠正任何母母行为.

免住用和处理规程,防止资产的不力使爻使用城则川处理规程

in.at用成朱如授权的访问⑸镇观处理：

•明却违谖使用的G果，井M定相成的处罚措施.

.君班反可接受伙用规则的行为进行为时调我和处理.