理解ISO27001的理论与方法 —与信息安全等级测评的相关联

信息安全行业总结规范与交流1/35理解ISO27001的理论与方法——与信息安全等级测评的相关联内容地址：广东省广州市工作状态：寻求职位之前从事行业：信息安全行业、系统集成行业和信息安全等级测评编写时间：2012年2月24日信息安全行业总结规范与交流2/35目录一、前言...................................................................................................................................3二、ISO27001总体概述........................................................................................................3三、ISO27001具体内容........................................................................................................3四、信息安全等级测评概述.................................................................................................17五、信息系统等级保护（三级系统为例讲述管理部分）.................................................18六、信息安全等级保护安全管理部分.................................................................................18七、总结.................................................................................................................................35信息安全行业总结规范与交流3/35一、前言本书参考一些标准和书籍，然后经过自己的汇总和整合而形成的，同时，本文档的内容不能用于商业用途，只能网上交流。同时，如发布商业用途，所造成的后果自己负责。二、ISO27001总体概述章节控制范围（11个）控制目标（39个）控制方法（133个）A5信息安全策略12A6信息安全组织211A7资产管理25A8人力资源安全39A9物理和环境安全213A10通讯与操作管理1033A11访问控制725A12信息系统采集、开发和维护616A13信息安全事故的管理25A14业务连续性管理15A15符合性39三、ISO27001具体内容序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容1A5)信息安全策略A5.1)信息安全策略A5.1.1)为信息安全提供符合业务需求和相关法律、法规，提供管理方向和支持；A5.1.1.1)信息安全策略文件信息安全策略文件应经过管理层批准，向所有员工和相关外部团队发布和沟通；A5.1.1.2)信息安全策略评审应按计划的时间间隔或在发生重大的变化时评审策略文件，确保策略的持续性、稳定性、充分性信息安全行业总结规范与交流4/35序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容和有效性。2A6)信息安全组织A6.1)内部组织A6.1.1)在组织内部管理信息安全A6.1.1.1)信息安全管理承诺管理者通过清晰的方向、可见的承诺、详细的分工、信息安全职责的沟通，去积极支持安全；A6.1.1.2)信息安全协作信息安全活动应由组织相关部门及相关角色和职能的代表共同协作实施；A6.1.1.3)信息安全责任划分应明确定义所有信息安全职责；A6.1.1.4)信息处理设施授权过程应建立和实施对于新的信息处理设施的管理授权过程；A6.1.1.5)保密协议根据影响组织信息保护的需求，保密或不泄露协议的需求应被定义和定期评审；A6.1.1.6)与监管机构的联系与相关监管机构应维持适当的联系；A6.1.1.7)与特殊利益集团的联系与特殊利益集团、其它专业安全协会或行业协会应维持适当联系；A6.1.1.8)信息安全独立审查组织管理信息安全的方法及其实施（如：信息安全控制目标、控制措施、策略、流程和程序）应在计划周期内或当重大变化发生时进行独立审查；A6.2)外部组织A6.2.2)维护组织信息及信息处理设施被外部A6.2.2.1)识别外部组织风险应识别外部组织业务过程的信息及信息处理设施的风险，并在允许访问前实施适当的控制；信息安全行业总结规范与交流5/35序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容组织访问、处理、沟通或管理时的安全；A6.2.2.2)当与客户接触时强调安全应在允许客户访问组织的信息或资产之前强调所有识别的安全需求；A6.2.2.3)在第三方协议中强调安全在与第三方合约中应包含所有的安全要求，如访问、处理、沟通、管理组织的信息或信息处理设施，或增加信息处理设施的产品和服务；3A7)资产管理A7.1）资产的责任A7.1.1)实现和维持组织资产的适当保护；A7.1.1.1)资产清单应清楚的识别所有的资产，并编制和维持所有重要资产清单A7.1.1.2)资产所有权所有信息和信息处理设施相关资产应指定其组织内的拥有者；A7.1.1.3)资产的合理使用应识别信息和信息处理设施相关资产的合理使用准则，形成文件并实施；A7.2）信息分类A7.2.2)确保信息资产受到适当程度保护A7.2.2.1)分类原则信息分类应根据其本身价值法律需求和对于组织的敏感性和重要性；A7.2.2.2)信息标识及位置应制定一套符合组织所采用分类方案的信息标识及位置的程序，并实施。4A8)人力资源的安全A8.1)雇佣之前A8.1.1)确保员工、合同人员和第三方人员理解他们的责任，以及他们适用的角色，减少偷窃、欺诈A8.1.1.1)角色和职责根据组织信息安全策略，应定义员工、合同人员及第三方人员的安全角色与职责，并形成文件化；A8.1.1.2)人员筛选根据相关法律、法规、道德规范，对员工、合同人员及第三方人员的应聘人员信息安全行业总结规范与交流6/35序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容或设施误用所造成的风险；进行背景调查，调查应符合业务需求、访问信息的类别及已知风险；A8.1.1.3)雇用条款和条件作为合同的一部分，员工、合同人员及第三方人员应统一并签订他们的雇用合同条款和条件，这些条款和条件应规定他们和组织对于信息安全的责任；A8.2)雇用中A8.2.1)确保员工、合同方和第三方用户清楚信息安全威胁和相关事宜、他们的责任和义务并准备在他们日常工作中支持组织信息安全策略，以减少人为错误的风险；A8.2.1.1)管理职责管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和程序的安全A8.2.1.2)信息安全意识、教育与培训组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训，并定期更新与他们工作相关的组织策略及程序；A8.2.1.3)惩戒过程应建立一个正式的员工违反安全的惩戒过程。A8.3)雇用终止和变更A8.3.1)确保员工、合同人员及第三方人员离开组织和变更雇用关系有序地进行；A8.3.1.1)终止责任应清晰的定义和分配执行雇用合同终止或变更的责任；A8.3.1.2)资产归还在终止雇用、合同或协议时，所有员工、合同人员及第三方人员应归还所使用的全部组织资产；A8.3.1.3)删除访问权限在终止雇用、合同、协议时，应删除所有员工、合同人员及第三方人员对于信息信息安全行业总结规范与交流7/35序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容和信息处理设施的访问权限，或根据变化调整；5A9）物理和环境安全A9.1)安全区域A9.1.1)防止对组织办公场所及信息未经授权物理访问、破坏及干扰；A9.1.1.1)物理安全边界组织应有安全边界（如墙、门禁系统控制或人工接待台）以保护包含信息和信息处理设施的区域；A9.1.1.2)物理进入控制安全域应有适当的进入控制保护，以确保只有经授权人员可以进入；A9.1.1.3)办公室、房间及设施和安全应设计和实施保护办公室、房间及所及设备的物理安全A9.1.1.4)防范外部和环境威胁应设计和实施针对于火灾、洪水、地震、爆炸、骚乱等其他天灾或人为灾难的物理保护措施；A9.1.1.5)在安全区域工作应设计和实施在安全区域中工作有物理保护和指南；A9.1.1.6)公共访问和装卸区域访问区域如装卸区域，及其他未经授权人员可能进入办公场所的地点应加以控制，如有可能话，信息处理设施应隔离以防止未经授权的访问；A9.2)设备安全A9.2.1)预防资产遗失、损害、偷窃或损失和干扰企业业务活动；A9.2.1.1)设备安置及保护应妥善安置设备安置及保护，以减少来自环境的威胁与危害以及未经授权访问A9.2.1.2)支持设施应保护设备免于电力中断及其它因支持设施失效导致中断；A9.2.1.3)应保护传输数据或信息安全行业总结规范与交流8/35序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容电缆安全支持信息服务的电力及通讯电缆，免遭中断或破坏A9.2.1.4)设备危害应正确维护设备，以确保其持续的可用性及完整性；A9.2.1.5)管辖区区域外设备安全应对组织办公区域外的设备设施安全防护，并考虑在组织外工作的不同风险；A9.2.1.6)设备报废或重用应检查包含存储介质的所有设备，在报废前，确保任务敏感数据和授权软件被删除或被安全重写；A9.2.1.7)财产转移未经授权，设备、信息及软件不得带出办公场所；6A10）通讯与操作管理A10.1)操作程序及职责A10.1.1)确保信息处理设施正确及安全的操作；A10.1.1.1)文件化的操作程序作业程序应以文件化及维护，并确保需要的用户可以获得；A10.1.1.2)变更管理对信息处理设施及系统的变更应加以控制A10.1.1.3)职责分离应分离职责与责任区域以降低非授权更改或误用信息或服务的机会A10.1.1.4)开发、测试与运营设施的分离开发及测试设备应与运营设备分离。减少未授权访问和对操作系统变更的风险；A10.2）第三方服务交付管理A10.2.1)实施和维护信息安全的适当水平，确保第三方交付的服务符合协议要求；A10.2.1.1)服务交付应确保包含在第三方服务交付协议中的安全控制、服务定义、交付级别应由第三方去实施、运营和维护；A10.2.1.2)第三方服务的监督和评由第三方提供的服务、报告和记录应定期监控和评审，应有信息安全行业总结规范与交流9/35序号控制范围控制小点分类控制目标（内容）控制方法具体控制的内容审规律的进行审核；A10.2.1.3)第三方服务的变更管理服务提供的改变，包括维护、改进存在的信息安全策略、程序和控制措施应被管理，考虑业务系统和过程的关键性并再次评估风险；A10.3)系统规划和验收A10.3.1)最小系统失败的风险；A10.3.1.1)容量管理应监控、调整资源的使用，并反映将来容量的要求，以确保系统性能；A10.3.1.2)系统验收应建立新信息系统、系统升级及新版本的验收标准，并且在开发过程中和验收前对系统进行适当的测试；A10.4)防范恶意代码和移动代码A10.4.1)保护软件和信息的完整性A10.4.1.1)控制恶意代码应实施恶意代码检测、预防及恢复，以及适当的用户意识程序；A10.4.1.2)控制移动代码配置管理应确保被授权的移动代码按照明确定义的安全策略运行，防止为授权移动代码的执行；A10.5）备份A10.5.1)维护信息和信息处理设施的完整性和有效性；A10.5.1.1)信息备份根据已定义的备份策略备份信息和软件，并定期测试；A10.6）网络安全管理A10.6.1)确保网络中信息以及支持性基础设施得到