A.5
|
安全方針 |
A.5.1
|
信息安全方針
目標:依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導并支持信息安全�。
|
| A.5.1.1 |
信息安全方針文件
|
控制措施
信息安全方針文件應由管理者批準�、發(fā)布并傳達給所有員工和外部相關(guān)方���。
|
| A.5.1.2 |
信息安全方針的評審
|
控制措施
應按計劃的時間間隔或當重大變化發(fā)生時進行信息安全方針評審����,以確保它持續(xù)的適宜性�����、充分性和有效性����。
|
| |
| A.6 |
信息安全組織 |
| A.6.1 |
內(nèi)部組織
目標:在組織內(nèi)管理信息安全�。
|
| A.6.1.1 |
信息安全的管理承諾 |
控制措施
管理者應通過清晰的說明�、可證實的承諾�、明確的信息安全職責分配及確認��,來積極支持組織內(nèi)的安全�。
|
| A.6.1.2 |
信息安全協(xié)調(diào) |
控制措施
信息安全活動應由來自組織不同部門并具備相關(guān)角色和工作職責的代表進行協(xié)調(diào) |
| A.6.1.3 |
信息安全職責的分配 |
控制措施
所有的信息安全職責應予以清晰地定義。
|
| A.6.1.4 |
信息處理設(shè)施的授權(quán)過程 |
控制措施
新信息處理設(shè)施應定義和實施一個管理授權(quán)過程。
|
| A.6.1.5 |
保密性協(xié)議 |
控制措施
應識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的要求�����。 |
| A.6.1.6 |
與政府部門的聯(lián)系 |
控制措施
應保持與政府相關(guān)部門的適當聯(lián)系�����。
|
| A.6.1.7 |
與特定權(quán)益團體的聯(lián)系 |
控制措施
應保持與特定權(quán)益團體�����、其他安全專家組和專業(yè)協(xié)會的適當聯(lián)系���。 |
A.6.1.8
|
信息安全的獨立評審 |
控制措施
組織管理信息安全的方法及其實施(例如信息安全的控制目標��、控制措施���、策略�、過程和程序)應按計劃的時間間隔進行獨立評審�,當安全實施發(fā)生重大變化時����,也要進行獨立評審。
|
| A.6.2 |
外部各方
目標:保持組織的被外部各方訪問�����、處理�����、管理或與外部進行通信的信息和信息處理設(shè)施的安全�。
|
| A.6.2.1 |
與外部各方相關(guān)風險的識別 |
控制措施
應識別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風險,
并在允許訪問前實施適當?shù)目刂拼胧?br />
|
| A.6.2.2 |
處理與顧客有關(guān)的安全問題 |
控制措施
應在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求���。 |
| A.6.2.3 |
處理第三方協(xié)議中的安全問題 |
控制措施
涉及訪問����、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第三方協(xié)議�����,或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議�,應涵蓋所有相關(guān)的安全要求��。 |
| |
| A.7 |
資產(chǎn)管理 |
| A.7.1 |
對資產(chǎn)負責
目標:實現(xiàn)和保持對組織資產(chǎn)的適當保護�。 |
| A.7.1.1 |
資產(chǎn)清單 |
控制措施
應清晰的識別所有資產(chǎn)�����,編制并維護所有重要資產(chǎn)的清單�。 |
| A.7.1.2 |
資產(chǎn)責任人 |
控制措施
與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應由組織的指定部門或人員承擔責任�。
解釋:術(shù)語“責任人”是被認可,具有控制生產(chǎn)����、開發(fā)、保持��、使用和資產(chǎn)安全的個人或?qū)嶓w��。術(shù)語“責任人”不指
實際上對資產(chǎn)具有財產(chǎn)權(quán)的人�����。 |
| A.7.1.3 |
資產(chǎn)的合格使用 |
控制措施
與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應被確定����、形成文件并加以實施。 |
| A.7.2 |
信息分類
目標:確保信息受到適當級別的保護�。 |
| A.7.2.1 |
分類指南 |
控制措施
信息應按照它對組織的價值���、法律要求、敏感性和關(guān)鍵性予以分類��。 |
| A.7.2.2 |
信息的標記和處理 |
控制措施
應按照組織所采納的分類機制建立和實施一組合適的信息標記和處理程序���。
|
| |
| A.8 |
人力資源安全 |
| A.8.1 |
任用之前
目標:確保雇員��、承包方人員和第三方人員理解其職責�����、考慮對其承擔的角色是適合的����,以降低
設(shè)施被竊����、欺詐和誤用的風險���。
解釋:這里的“任用”意指以下不同的情形:人員任用(暫時的或長期的)��、工作角色的指定��、工作角色的變化����、合同
的分配及所有這些安排的終止。 |
| A.8.1.1 |
角色和職責 |
控制措施
雇員��、承包方人員和第三方人員的安全角色和職責應按照組織的信息安全方針定義并形成文件��。 |
| A.8.1.2 |
審查 |
控制措施
關(guān)于所有任用的候選者�����、承包方人員和第三方人員的背景驗證檢查應按照相關(guān)法律法規(guī)、道德規(guī)范和對應的業(yè)務(wù)要求���、被訪問信息的類別和察覺的風險來執(zhí)行��。 |
A.8.1.3
|
任用條款和條件
|
控制措施
作為他們合同義務(wù)的一部分�,雇員����、承包方人員和第三方人員應同意并簽署他們的任用合同的條款和條件��,這些條款和條件要聲明他們和組織的信息安全職責。
|
| A.8.2 |
任用中
目標:確保所有的雇員��、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系����、他們的職責和
義務(wù)、并準備好在其正常工作過程中支持組織的安全方針�����,以減少人為過失的風險���。 |
| A.8.2.1 |
管理職責 |
控制措施
管理者應要求雇員��、承包方人員和第三方人員按照組織已建立的方針策略和程序?qū)Π踩M心盡力���。 |
| A.8.2.2 |
信息安全意識、教育和培訓 |
控制措施
組織的所有雇員�,適當時�����,包括承包方人員和第三方人員���,應受到與
其工作職能相關(guān)的適當?shù)囊庾R培訓和組織方針策略及程序的定期更
新培訓��。 |
| A.8.2.3 |
紀律處理過程 |
控制措施
對于安全違規(guī)的雇員�����,應有一個正式的紀律處理過程�。 |
| A.8.3 |
任用的終止或變化
目標:確保雇員�、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關(guān)系。 |
| A.8.3.1 |
終止職責 |
控制措施
任用終止或任用變化的職責應清晰的定義和分配����。 |
| A.8.3.2 |
資產(chǎn)的歸還 |
控制措施
所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時����,應歸還他們使用的所有組織資產(chǎn)。 |
| A.8.3.3 |
撤銷訪問權(quán) |
控制措施
所有雇員���、承包方人員和第三方人員對信息和信息處理設(shè)施的訪問權(quán)應在任用��、合同或協(xié)議終止時刪除�����,或在變化時調(diào)整�����。 |
| |
|
|
| A.9 |
物理和環(huán)境安全 |
| A.9.1 |
安全區(qū)域
目標:防止對組織場所和信息的未授權(quán)物理訪問����、損壞和干擾���。 |
| A.9.1.1 |
物理安全邊界 |
控制措施
應使用安全邊界(諸如墻���、卡控制的入口或有人管理的接待臺等屏障)來保護包含信息和信息處理設(shè)施的區(qū)域。 |
| A.9.1.2 |
物理入口控制 |
控制措施
安全區(qū)域應由適合的入口控制所保護����,以確保只有授權(quán)的人員才允許訪問。 |
A.9.1.3
|
辦公室����、房間和
設(shè)施的安全保
護 |
控制措施
應為辦公室、房間和設(shè)施設(shè)計并采取物理安全措施�����。
|
A.9.1.4
|
外部和環(huán)境威
脅的安全防護 |
控制措施
為防止火災���、洪水���、地震���、爆炸���、社會動蕩和其他形式的自然或人為災難引起的破壞���,應設(shè)計和采取物理保護措施。 |
A.9.1.5
|
在安全區(qū)域工
作 |
控制措施
應設(shè)計和運用用于安全區(qū)域工作的物理保護和指南�����。 |
| A.9.1.6 |
公共訪問����、交接
區(qū)安全 |
控制措施
訪問點(例如交接區(qū))和未授權(quán)人員可進入辦公場所的其他點應加以控制,如果可能���,要與信息處理設(shè)施隔離�,以避免未授權(quán)訪問����。 |
| A.9.2 |
設(shè)備安全
目標:防止資產(chǎn)的丟失����、損壞����、失竊或危及資產(chǎn)安全以及組織活動的中斷。 |
A.9.2.1
|
設(shè)備安置和保
護 |
控制措施
應安置或保護設(shè)備��,以減少由環(huán)境威脅和危險所造成的各種風險以及未授權(quán)訪問的機會����。 |
| A.9.2.2 |
支持性設(shè)施 |
控制措施
應保護設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷��。 |
| A.9.2.3 |
布纜安全 |
控制措施
應保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞 |
| A.9.2.4 |
設(shè)備維護 |
控制措施
設(shè)備應予以正確地維護�,以確保其持續(xù)的可用性和完整性。 |
| A.9.2.5 |
組織場所外的設(shè)備安全 |
控制措施
應對組織場所的設(shè)備采取安全措施�,要考慮工作在組織場所以外的不同風險����。 |
| A.9.2.6 |
設(shè)備的安全處置或再利用 |
控制措施
包含儲存介質(zhì)的設(shè)備的所有項目應進行檢查����,以確保在銷毀之前�����,任何敏感信息和注冊軟件已被刪除或安全重寫����。 |
| A.9.2.7 |
資產(chǎn)的移動 |
控制措施
設(shè)備���、信息或軟件在授權(quán)之前不應帶出組織場所���。 |
| |
|
|
| A.10 |
通信和操作管理 |
| A.10.1 |
操作程序和職責
目標:確保正確����、安全的操作信息處理設(shè)施。 |
A.10.1.1
|
文件化的操作程序 |
控制措施
操作程序應形成文件�、保持并對所有需要的用戶可用����。 |
| A.10.1.2 |
變更管理 |
控制措施
對信息處理設(shè)施和系統(tǒng)的變更應加以控制。 |
| A.10.1.3 |
責任分割 |
控制措施
各類責任及職責范圍應加以分割�,以降低未授權(quán)或無意識的修改或者不當使用組織資產(chǎn)的機會。 |
A.10.1.4
|
開發(fā)��、測試和運行設(shè)施分離 |
控制措施
開發(fā)�、測試和運行設(shè)施應分離���,以減少未授權(quán)訪問或改變運行系統(tǒng)的風險���。 |
| A.10.2 |
第三方服務(wù)交付管理
目標:實施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當水準�。 |
| A.10.2.1 |
服務(wù)交付 |
控制措施
應確保第三方實施、運行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施����、服務(wù)定義和交付水準���。 |
| A.10.2.2 |
第三方服務(wù)的
監(jiān)視和評審 |
控制措施
應定期監(jiān)視和評審由第三方提供的服務(wù)、報告和記錄�����,審核也應定期執(zhí)行��。 |
| A.10.2.3 |
第三方服務(wù)的
變更管理 |
控制措施
應管理服務(wù)提供的變更����,包括保持和改進現(xiàn)有的信息安全方針策略�����、程序和控制措施�����,要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風險的再評估。 |
| A.10.3 |
系統(tǒng)規(guī)劃和驗收
目標:將系統(tǒng)失效的風險降至最小��。
|
| A.10.3.1 |
容量管理 |
控制措施
資源的使用應加以監(jiān)視�、調(diào)整�,并應作出對于未來容量要求的預測��,以確保擁有所需的系統(tǒng)性能���。 |
| A.10.3.2 |
系統(tǒng)驗收
|
控制措施
應建立對新信息系統(tǒng)、升級及新版本的驗收準則��,并且在開發(fā)中和驗收前對系統(tǒng)進行適當?shù)臏y試�����。 |
| A.10.4 |
防范惡意和移動代碼
目標:保護軟件和信息的完整性�����。 |
A.10.4.1
|
控制惡意代碼
|
控制措施
應實施惡意代碼的監(jiān)測�、預防和恢復的控制措施��,以及適當?shù)奶岣哂脩舭踩庾R的程序。 |
| A.10.4.2 |
控制移動代碼 |
控制措施
當授權(quán)使用移動代碼時����,其配置應確保授權(quán)的移動代碼按照清晰定義的安全策略運行,應阻止執(zhí)行未授權(quán)的移動代碼��。 |
| A.10.5 |
備份
目標:保持信息和信息處理設(shè)施的完整性和可用性�����。 |
| A.10.5.1 |
信息備份 |
控制措施
應按照已設(shè)的備份策略,定期備份和測試信息和軟件����。 |
| A.10.6 |
網(wǎng)絡(luò)安全管理
目標:確保網(wǎng)絡(luò)中信息的安全性并保護支持性的基礎(chǔ)設(shè)施�。 |
| A.10.6.1 |
網(wǎng)絡(luò)控制 |
控制措施
應充分管理和控制網(wǎng)絡(luò)�����,以防止威脅的發(fā)生�,維護系統(tǒng)和使用網(wǎng)絡(luò)的應用程序的安全,包括傳輸中的信息�。 |
| A.10.6.2 |
網(wǎng)絡(luò)服務(wù)的安全 |
控制措施
安全特性���、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中,無論這些服務(wù)是由內(nèi)部提供的還是外包的����。 |
| A.10.7 |
介質(zhì)處置
目標:防止資產(chǎn)遭受未授權(quán)泄露��、修改���、移動或銷毀以及業(yè)務(wù)活動的中斷����。 |
| A.10.7.1 |
可移動介質(zhì)的管理 |
控制措施
應有適當?shù)目梢苿咏橘|(zhì)的管理程序�����。 |
| A.10.7.2 |
介質(zhì)的處置 |
控制措施
不再需要的介質(zhì)�,應使用正式的程序可靠并安全地處置�。 |
| A.10.7.3 |
信息處理程序 |
控制措施
應建立信息的處理及貯存程序�,以防止信息的未授權(quán)的泄漏或不當使用�。 |
| A.10.7.4 |
系統(tǒng)文件安全 |
控制措施
應保護系統(tǒng)文件以防止未授權(quán)的訪問��。 |
| A.10.8 |
信息的交換
目標:保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全。 |
| A.10.8.1 |
信息交換策略和程序 |
控制措施
應有正式的交換策略���、程序和控制措施�����,以保護通過使用各種類型通信設(shè)施的信息交換���。 |
| A.10.8.2 |
交換協(xié)議 |
控制措施
應建立組織與外部團體交換信息和軟件的協(xié)議。 |
A.10.8.3
|
運輸中的物理介質(zhì)
|
控制措施
包含信息的介質(zhì)在組織的物理邊界以外運送時����,應防止未授權(quán)的訪問、不當使用或毀壞�。 |
| A.10.8.4 |
電子消息發(fā)送 |
控制措施
包含在電子消息發(fā)送中的信息應給予適當?shù)谋Wo��。 |
| A.10.8.5 |
業(yè)務(wù)信息系統(tǒng) |
控制措施
應建立和實施策略和程序以保護與業(yè)務(wù)信息系統(tǒng)互聯(lián)的信息。 |
| A.10.9 |
電子商務(wù)服務(wù)
目標:確保電子商務(wù)服務(wù)的安全及其安全使用��。 |
| A.10.9.1 |
電子商務(wù) |
控制措施
包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應受保護��,以防止欺詐活動、合同爭議和未授權(quán)的泄露和修改�����。
|
.10.9.2
|
|
在線交易控制措施
包含在在線交易中的信息應受保護��,以防止不完全傳輸�����、錯誤路由��、
未授權(quán)的消息篡改�����、未授權(quán)的泄露�����、未授權(quán)的消息復制或重放���。 |