搜索
A.5.1.1A.5.1.1信息安全方针应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。A.5.1.2A.5.1.2信息安全方针的评审应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。A.6.1.1A.6.1.1信息安全的角色和职责应定义和分配所有信息安全职责。A.6.1.2A.6.1.2职责分离有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。A.6.1.3A.6.1.3与监管机构的联系应与相关监管机构保持适当联系。A.6.1.4A.6.1.4与特殊利益团体的联系与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。A.6.1.5A.6.1.5项目管理中的信息安全实施任何项目时应考虑信息安全相关要求。A.6.2.1A.6.2.1移动设备策略应采取安全策略和配套的安全措施控制使用移动设备带来的风险。A.6.2.2A.6.2.2远程办公应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。A.7.1.1A.7.1.1人员筛选根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。A.7.1.2A.7.1.2任用条款和条件与员工和承包商的合同协议应当规定他们对组织的信息安全责任。A.7.2.1A.7.2.1管理职责管理层应要求员工、合同方符合组织建立的信息安全策略和程序。A.7.2.2A.7.2.2信息安全意识、教育与培训组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。A.7.2.3A.7.2.3纪律处理过程应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。A.7.3.1A.7.3.1任用终止或变更的责任应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。A.8.1.1A.8.1.1资产清单应制定和维护信息资产和信息处理设施相关资产的资产清单。A.8.1.2A.8.1.2资产责任人资产清单中的资产应指定资产责任人(OWNER)。A.8.1.3A.8.1.3资产的合理使用应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。A.5信息安全方针A.6.2移动设备和远程办公目标:应确保远程办公和使用移动设备的安全性。目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。A.5.1信息安全管理指引目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。A.6信息安全组织A.6.1内部组织目标:确保员工和合同方了解并履行他们的信息安全责任。A.7.3任用终止和变更A.7人力资源安全A.7.1任用前目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。A.7.2任用中A.8资产管理A.8.1资产的责任目标:确定组织资产,并确定适当的保护责任。ISO27001:2013A.8.1.4A.8.1.4资产的归还在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。A.8.2.1A.8.2.1信息分类应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。A.8.2.2A.8.2.2信息标识应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。A.8.2.3A.8.2.3资产处理应根据组织采用的资产分类方法制定和实施资产处理程序A.8.3.1A.8.3.1可移动介质管理应实施移动介质的管理程序,并与组织的分类方案相匹配。A.8.3.2A.8.3.2介质处置当介质不再需要时,应按照正式程序进行可靠的、安全的处置。A.8.3.3A.8.3.3物理介质传输含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。A.9.1.1A.9.1.1访问控制策略应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。A.9.1.2A.9.1.2对网络和网络服务的访问应只允许用户访问被明确授权使用的网络和网络服务。A.9.2.1A.9.2.1用户注册和注销应实施正式的用户注册和注销程序来分配访问权限。A.9.2.2A.9.2.2用户访问权限提供无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。A.9.2.3A.9.2.3特权管理应限制及控制特权的分配及使用。A.9.2.4A.9.2.4用户认证信息的安全管理用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。A.9.2.5A.9.2.5用户访问权限的评审资产所有者应定期审查用户访问权限。A.9.2.6A.9.2.6撤销或调整访问权限在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。A.9.3.1认证信息的使用应要求用户遵循组织的做法使用其认证信息。A.9.4.1A.9.4.1信息访问限制应基于访问控制策略限制对信息和应用系统功能的访问。A.9.4.2A.9.4.2安全登录程序在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。A.9.4.3A.9.4.3密码管理系统应使用交互式口令管理系统,确保口令质量。A.9.4.4A.9.4.4特权程序的使用对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。A.9.4.5A.9.4.5对程序源码的访问控制对程序源代码的访问应进行限制。A.8.2信息分类目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。A.9访问控制A.9.1访问控制的业务需求目标:限制对信息和信息处理设施的访问。A.8.3介质处理目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。A.9.3用户责任目标:用户应保护他们的认证信息。A.9.4系统和应用访问控制目标:防止对系统和应用的未授权访问。A.9.2用户访问管理目标:确保已授权用户的访问,预防对系统和服务的非授权访问。A.10密码学A.10.1密码控制目标:确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。A.10.1.1A.10.1.1使用加密控制的策略应开发和实施加密控制措施的策略以保护信息。A.10.1.2A.10.1.2密钥管理对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。A.11.1.1A.11.1.1物理安全边界应定义安全边界,用来保护包含敏感或关键信息和信A.11.1.2A.11.1.2物理进入控制安全区域应有适当的进入控制保护,以确保只有授权A.11.1.3A.11.1.3办公室、房间及设施和安全应设计和实施保护办公室、房间及所及设备的物理安全。A.11.1.4A.11.1.4防范外部和环境威胁应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。A.11.1.5A.11.1.5在安全区域工作应设计和应用在安全区域工作的程序。A.11.1.6A.11.1.6送货和装卸区访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。A.11.2.1A.11.2.1设备安置及保护应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。A.11.2.2A.11.2.2支持设施应保护设备免于电力中断及其它因支持设施失效导致的中断。A.11.2.3A.11.2.3线缆安全应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。A.11.2.4A.11.2.4设备维护应正确维护设备,以确保其持续的可用性及完整性。A.11.2.5A.11.2.5资产转移未经授权,不得将设备、信息及软件带离。A.11.2.6A.11.2.6场外设备和资产安全应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。A.11.2.7A.11.2.7设备报废或重用含有存储介质的所有设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。A.11.2.8A.11.2.8无人值守的设备用户应确保无人值守的设备有适当的保护。A.11.2.9A.11.2.9桌面清空及清屏策略应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。A.12.1.1A.12.1.1文件化的操作程序应编制文件化的操作程序,并确保所有需要的用户可以获得。A.12.1.2A.12.1.2变更管理应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。A.12.1.3A.12.1.3容量管理应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。A.12.1.4A.12.1.4开发、测试与运行环境的分离应分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险。A.12.2.1A.12.2.1控制恶意软件应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序。A.12.3.1A.12.3.1信息备份根据既定的备份策略备份信息,软件及系统镜像,并定期测试。A.11.2设备安全目标:防止资产的遗失、损坏、偷窃或损失和组织业务中断。A.11.1安全区域目标:防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。A.11物理和环境安全A.12.2防范恶意软件目标:确保对信息和信息处理设施的保护,防止恶意软件。A.12.3备份目标:确保信息处理设施正确和安全的操作。A.12操作安全A.12.1操作程序及职责目标:防止数据丢失A.12.4.1A.12.4.1事件日志应产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审。A.12.4.2A.12.4.2日志信息保护应保护日志设施和日志信息免受篡改和未授权访问。A.12.4.3A.12.4.3管理员和操作者日志应记录系统管理员和系统操作者的活动,进行日志保护及定期评审。A.12.4.4A.12.4.4时钟同步在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。A.12.5.1A.12.5.1运营系统的软件安装应建立程序对运营中的系统的软件安装进行控制。A.12.6.1A.12.6.1管理技术漏洞应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当的措施去解决相关风险。A.12.6.2A.12.6.2软件安装限制应建立并实施用户软件安装规则。A.12.7.1A.12.7.1信息系统审核控制应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。A.13.1.1A.13.1.1网络控制应对网络进行管理和控制,以保护系统和应用程序的信息。A.13.1.2A.13.1.2网络服务安全应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。A.13.1.3A.13.1.3网络隔离应在网络中按组(GROUP)隔离信息服务、用户和信息系统。A.13.2.1A.13.2.1信息传输策略和程序应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。A.13.2.2A.13.2.2信息传输协议建立组织和外部各方之间的业务信息的安全传输协议。A.13.2.3A.13.2.3电子消息应适当保护电子消息的信息。?A.13.2.4A.13.2.4保密或非扩散协议应制定并定期评审组织的信息安全保密协议或非扩散协议(NDA),该协议应反映织对信息保护的要求。A.14.1.1A.14.1.1信息安全需求分析和规范新建信息系统或改进现有信息系统应包括信息安全相关的要求。A.14.1.2A.14.1.2公共网络应用服务的安全应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。A.14.1.3A.14.1.3保护在线交易应保护应用服务传输中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。A.14.2.1A.14.2.1安全开发