ISO27001-2013标准中文版学习资料

4目录0引言..............................................................................................................................................................70.1总则..............................................................................................................................................................70.2与其他管理体系 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的兼容性...................................................................................................................71适用范围......................................................................................................................................................72规范性引用...................................................................................................................................................73术语和定义...................................................................................................................................................84组织的背景...................................................................................................................................................84.1了解组织现状及背景..................................................................................................................................84.2理解相关方的需求和期望...........................................................................................................................84.3确定ISMS的范围........................................................................................................................................84.4ISMS..............................................................................................................................................................85领导力..........................................................................................................................................................95.1领导力和承诺..............................................................................................................................................95.2方针..............................................................................................................................................................95.3角色，责任和承诺......................................................................................................................................96计划............................................................................................................................................................106.1处理风险和机遇的行动............................................................................................................................106.1.1总则....................................................................................................................................................106.1.2信息安全风险评估............................................................................................................................106.1.3信息安全风险处置............................................................................................................................116.2可实现的信息安全目标和计划.................................................................................................................117支持............................................................................................................................................................127.1资源............................................................................................................................................................127.2能力............................................................................................................................................................127.3意识............................................................................................................................................................137.4沟通............................................................................................................................................................137.5文档化信息................................................................................................................................................137.5.1总则....................................................................................................................................................137.5.2创建和更新........................................................................................................................................137.5.3文档化信息的控制............................................................................................................................148运行............................................................................................................................................................148.1运行计划及控制........................................................................................................................................148.2信息安全风险评估....................................................................................................................................148.3信息安全风险处置....................................................................................................................................159绩效评价....................................................................................................................................................159.1监控，度量，分析和评价.........................................................................................................................159.2内部审核....................................................................................................................................................159.3管理评审....................................................................................................................................................16??????????http://www.cncisa.com510改进..........................................................................................................................................................1610.1不符合及纠正措施..................................................................................................................................1610.2持续改进..................................................................................................................................................17附录A...........................................................................................................................................................18??????????http://www.cncisa.com6前言现版的信息 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 体系ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案DraftInternationalStandard）草稿向公众开放并征求意见。在新版ISO27001：2013DIS中采用ISO导则83做结构性要求，从8个章节拓展到10个章节，重新构建了ISO标准PDCA的章节架构，这个结构在已发布的ISO22301中已经进行了应用，未来将在ISO其他标准改版中会普遍采用（包括ISO9000、ISO20000等）。ISO组织公布正式版本的颁布时间预计为2013年10月19日。在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。已通过ISO27001认证的企业需要在执行新标时提前做一些应对，主要在3方面对现行体系进行调整：风险评估工具需升级。随着新标准控制项架构的调整，企业目前使用的风险评估方法将受到一定影响，核心在于信息资产弱点建模及风险处置的控制项选择部分，需要重新构建符合新标准结构的风险评估工具。SOA适用性声明及文件体系的升级。新标准的实施，将对SOA适用性声明及企业现有体系文件制度产生较大影响，体系一二级文件将需进行一个较大的内容调整及升级，不过，对三四级文件的影响较小，在三四级文件层面上，仅需根据新标要求进行少量增补即可。内部审核工具的升级。受内部 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 的调整，内部审核的开展方式及使用工具将不可避免受到影响，也需根据新标要求进行升级。本翻译版DIS标准非正式发布版本，供企业开展内部信息安全管理体系改进时参考之用，如在开展过程中遇到进一步的疑问，也可与我们联系。??????????http://www.cncisa.com70引言0.1总则本国际标准提供给准备建立、运作、维护、改进信息安全管理体系（ISMS）的组织。采用ISMS应是一个组织的战略决策。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素预计会随时间而变化。信息安全管理体系通过使用风险管理过程来保护信息的保密性，完整性，可用性，给相关方带来信心并使风险得到充分管理。重要的是，信息安全管理体系是组织结构过程和整体管理架构的一部分，在设计流程、信息系统、控制措施时都应考虑信息安全。信息安全管理体系应占组织需求的一定比例。本标准可被用于内部、外部，包括认证机构，评估组织的能力来满足组织自身信息安全要求。本国际标准中要求的顺序并不能反映他们的重要性或暗示他们实现的顺序。列表中的列举项仅供参考。ISO/IEC27000描述了信息安全管理体系的概述词汇表。主要从ISMS标准簇（包括ISO/IEC27003,ISO/IEC27004，ISO/IEC27005）并定义了相关术语。0.2与其他管理体系标准的兼容性本国际标准适用于高层次的结构，相同的副条款标题，相同的文本，常用词汇和ISO/IEC导则第1部分的附件SL中定义的核心定义，因此可以采用附件SL与其他管理体系标准相兼容。附件SL中定义的这种常见方法，在选择符合两个或两个以上管理系体标准的单一管理系统时是很有用的。1适用范围本国际标准规定了在组织的背景下建立，实施，维护和不断改进信息安全管理体系的要求。本标准还包括信息安全风险评估和根据组织需求定制的信息安全风险处理方法。当一个组织声称其符合此国际标准但没有达到4到10章规定的要求，是不可接受的。2规范性引用以下引用的文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅引用的版本适用。凡是不注日期的引用文件，其最新版本的参考文件（包括所有的修改单）适用。??????????http://www.cncisa.com8ISO/IEC27000，信息技术-安全技术-信息安全管理体系-概述和词汇3术语和定义ISO/IEC27000的术语和定义适用于本文档。4组织的背景4.1了解组织现状及背景组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题，以达到信息安全管理体系的预期效果。注：确定这些问题是指建立ISO31000第5.3.1考虑外部和内部环境的组织。4.2理解相关方的需求和期望组织应确定：a)信息安全管理体系的相关方;b)这些相关方信息安全相关要求。注：有关各方的要求可能包括法律、监管规定和 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 义务。4.3确定ISMS的范围组织应确定信息安全管理体系的边界和适用性，以确定其范围。在确定此范围时，组织应考虑：a)4.1提及的外部和内部的问题;b)4.2提及的要求;c）接口和执行组织之间活动的依赖关系，以及其他组织的相关活动。范围应可成为文档化信息。4.4ISMS组织应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。??????????http://www.cncisa.com95领导力5.1领导力和承诺最高管理者应表现出对信息安全管理体系的领导力和承诺：a)确保信息安全策略和信息安全目标的制定，并与组织的战略方向兼容;b)确保信息安全管理体系的要求整合到组织的过程中;c）确保信息安全管理体系所需要的资源;d）传达有效的信息安全管理的重要性，并符合信息安全管理体系的要求;e）确保信息安全管理体系达到其预期的效果;f）指导和支持员工对信息安全管理体系作出有效的贡献;g）促进持续改进;h）支持其他相关管理角色来展示自己的领导力，因为它适用于他们的职责范围。5.2方针最高管理者应建立一个信息安全方针：a)与组织的宗旨相适应;b)包括信息安全目标（见6.2），或为信息安全目标提供框架;c）包括满足与信息安全相关要求的承诺;d）包括信息安全管理体系持续改进的承诺。信息安全的方针应：e）可成为文档化信息;f）在组织内沟通;g）视情况提供给相关方。5.3角色，责任和承诺最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。最高管理者应指定责任和权限：??????????http://www.cncisa.com10a)确保信息安全管理体系符合本国际标准的要求;b)将ISMS的绩效报告给最高管理者。注：最高管理层可以授权他人负责ISMS的绩效报告。6计划6.1处理风险和机遇的行动6.1.1总则当规划组织的信息安全管理体系时，应当考虑4.1提到的问题和4.2中所提到的要求，并确定需要解决的风险和机遇：a)确保信息安全管理体系可实现预期的结果;b)防止或减少不良影响;c）实现持续改进。组织应策划：d）解决这些风险和机遇的措施；e）如何1）整合和实施这些措施，并纳入其信息安全管理体系过程中;2）评估这些措施的有效性。6.1.2信息安全风险评估组织应确定信息安全风险评估过程：a)建立和维护信息安全风险的标准，包括风险接受准则;b)决定执行的信息安全风险评估的标准;c）确保重复使用信息安全风险评估过程能产生一致的，有效的和可比较的结果。组织应：d）识别信息安全的风险。1）应用信息安全风险评估过程，以识别ISMS范围内的信息保密性，完整性和可用性的损失风险。??????????http://www.cncisa.com112）识别风险的所有者。e）分析信息安全风险。1）评估6.1.1e）1）实现后潜在的后果。2）评估6.1.1e）1）实现的可能性。3）确定风险等级。f）评估信息安全风险。1）用6.1.2a）建立的风险标准比较风险分析结果，并建立优先级。组织应保留的信息安全风险评估过程中的文档化信息。6.1.3信息安全风险处置组织应采用信息安全风险处置过程：a)选择适当的信息安全风险处理方法，考虑风险评估的结果;b)确定所有实施的信息安全风险处置措施是必要的;注：组织可以设计所需的控制项，或从任何来源中识别它们。c）比较6.1.3b)中与附件A中的控制项，并确认已省略没有必要的控制项;注1：附件A中包含控制目标和控制项的完整列表。本国际标准的用户应注意附件A，以确保没有重要的控制项被忽略注2：控制目标是隐含在所选择的控制项中。附件A所列的控制目标和控制项并不详尽，可能还需要额外的控制目标和控制项。d）制作一个包含必要的控制项（见6.1.3），B)和C））和包含理由的适用性声明，无论实施与否，并应包含删减附件A中控制项的理由;e）制定信息安全风险处置计划;f）风险处置 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 和残余风险应得到风险负责人的批准。组织应保留信息安全风险的处理过程中的文档化信息。注意：信息安全风险评估和处置过程与国际标准ISO31000规定的原则和通用的准则相一致。6.2可实现的信息安全目标和计划组织应建立相关职能和层次的信息安全目标。信息安全目标应：??????????http://www.cncisa.com12a)与信息安全方针一致;b)是可衡量的（如果可行）;c）考虑到适用的信息安全要求，以及风险评估和处置结果;d）是可沟通的;e）能适时更新。组织应保留信息安全目标相关的文档化信息。当计划如何实现信息安全目标时，组织应确定：f）做什么;g）需要哪些资源;h）谁负责;i）何时完成;j）如何评估结果。7支持7.1资源组织应确定并提供信息安全管理体系的建立，实施，维护和持续改进所需的资源。7.2能力组织应：a)确定员工在ISMS管控下工作的必备能力，这会影响到组织的信息安全绩效;b)确保这些人在适当的教育，培训或取得经验后是能胜任的;c）在适当情况下，采取行动以获得必要的能力，并评估所采取行动的有效性;d）保留适当的文档化信息作为证据。注：适用的行动可能包括，例如：提供培训，指导，或重新分配现有雇员、主管人员的聘用或承包。??????????http://www.cncisa.com137.3意识为组织工作的人员应了解：a)信息安全方针;b)他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益;c）不符合信息安全管理体系要求所带来的影响，。7.4沟通组织应确定信息安全管理体系中内部和外部相关的沟通需求：a)沟通什么;b)何时沟通;c）和谁沟通;d）谁应该沟通;e）怎样的沟通过程是有效的。7.5文档化信息7.5.1总则组织的信息安全管理体系应包括：a)本国际标准所需要的文档化信息;b)记录信息安全管理体系有效性必要的文档化信息。注意：不同组织的信息安全管理体系文档化信息的多少与详略程度取决于：1）组织的规模、活动的类型，过程，产品和服务;2）过程及其相互作用的复杂性;3）人员的能力。7.5.2创建和更新当创建和更新文档化信息时，组织应确保适当的：a)识别和描述（如标题，日期，作者，或参考号码）;??????????http://www.cncisa.com14b)格式（如语言，软件版本，图形）和媒体（如纸张，电子）;c）适当和足够的审查和批准。7.5.3文档化信息的控制信息安全管理体系与本国际标准要求的文档化信息应被管理，以确保：a)当文档化信息被需要时是可用且适用的;b)得到充分的保护（例如保密性丧失，使用不当，完整性丧失）。对于文档化信息的控制，组织应制定以下活动（如适用）：c）分配，访问，检索和使用;d）存储和保存，包括易读性的保存;e）变更管理（例如版本控制）;f）保留和处置。组织信息安全管理体系的规划和运作必要的外来文档化信息，应被适当识别和管理。注：访问表示有权查看文档化信息，或获得授权以查看和更改文档化信息等。8运行8.1运行计划及控制组织应策划，实施和控制过程需求以满足信息安全要求，并实施在6.1中确定措施。组织还应当实施计划，以实现信息安全在6.2中确定的目标。组织应保存相关的文档化信息，以保证过程已按照计划实施。组织应控制计划变更，同时审计非计划变更，并采取适当措施以减轻任何不良影响。组织应确保外包过程是被确定和受控。8.2信息安全风险评估组织应在技术时间间隔或发生重大变化时执行信息安全风险评估，将6.1.2中建立的标准纳入考虑范围。组织应保留信息安全风险评估结果的相关文档化信息。??????????http://www.cncisa.com158.3信息安全风险处置组织应实施信息安全风险处置计划。组织应保留信息安全风险处置结果的文档化信息。9绩效评价9.1监控，度量，分析和评价组织应评估信息安全绩效和信息安全管理体系的有效性。组织应确定：a)需要进行监视和测量，包括信息安全过程和控制要求;b)监测，测量，分析和评估（如适用）的方法，以确保结果有效;注：选择被认为是有效的方法应该可以产生可比性和可再现的结果。c）监视和测量时间;d）谁应监视和测量;e）何时对监视和测量的结果进行分析和评估;f）谁应分析和评估这些结果。组织应保留适当的监视和测量结果的文档化信息作为证据。9.2内部审核组织应在计划的时间间隔进行内部审核，根据提供的信息判断是否安全管理体系：a)符合1）组织自身信息安全管理体系的要求;2）本国际标准的要求;b)有效实施和保持。组织应：c）计划，建立，实施并保持审核方案，其中包括频率，方法，职责，计划要求和报告。审核程序应考虑相关过程和以往审核结果的重要性;??????????http://www.cncisa.com16d）定义每次审核的章程和范围;e）选择审核员和审核组长以确保审核过程的客观性和公正;f）确保审核结果报告提交相关管理层;g）保留审核程序和审核结果相关的文档化信息作为证据。9.3管理评审最高管理者应在计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性和有效性。管理评审应考虑：a)以往管理评审行动措施的状态;b)与信息安全管理体系相关的内外部问题的变化;c）反馈信息安全绩效和趋势，包括：1）不符合与纠正措施;2）监控和测量结果;3）审核结果;4）信息安全目标的实现;d）相关方的反馈;e）风险评估的结果和风险处置的状态;f）持续改改进的机会。管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相关决定。组织应保留管理评审结果的文档化信息作为证据。10改进10.1不符合及纠正措施出现不符合时，组织应：a）对不符合作出反应，如适用：1）采取行动控制和纠正;??????????http://www.cncisa.com172）处理结果;b)评估采取措施的必要性，以消除不符合的原因，使不复发或不在其他地方发生，通过：1）审查不符合;2）确定不符合的原因;3）确定是否存在类似的不符合和发生的可能;c）实施所需的任何措施;d）审查已采取纠正措施的有效性;e）如果有必要的话，改进信息安全管理体系。纠正措施应对不符合产生适当的影响。组织应保留以下文档化信息作为证据：f）不符合的性质和后续措施;g）任何纠正措施的结果。10.2持续改进组织应不断提高信息安全管理体系的适宜性，充分性和有效性。??????????http://www.cncisa.com18附录A（规范性附录）参考控制目标和控制项表A.1所列的控制目标和控制项，直接与ISO/IECDIS27002第5至18所对应。表中的控制目标和控制项并不详尽，如有必要,组织可以考虑增加额外的控制目标和控制项。作为信息安全管理体系过程中的一部分,表中的控制目标和控制措施，应在实施6.1.3节中被选择。ISO/IECDIS27002第5至18条规定实施最佳实践的建议和指导，支持A.5到A.18（A.0以A.4指定的控制中未使用-控制项参考指导部分与ISO/IECDIS27002）。A.5安全方针A.5.1信息安全管理方向目的：为信息安全提供管理指导和支持并确保信息安全符合业务需求和相关法律、法规A.5.1.1信息安全方针控制信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。A.5.1.2信息安全方针的评审控制应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。A.6信息安全组织A.6.1内部组织目的：建立一个管理框架，启动和控制组织内实施信息安全A.6.1.1信息安全的角色和职责控制所有信息安全职责应被定义及分配A.6.1.2与监管机构的联系控制应与监管机构保持适当的接触A.6.1.3与特殊利益团体的联系控制与特定利益团队、其他专业安全论坛或行业协会应保持适当联系??????????http://www.cncisa.com19A.6.1.4项目管理中的信息安全控制信息安全应融入项目管理中，与项目类型无关A.6.1.5职责分离控制冲突的职责和权限应被分开，减少对资产未经授权或无意的修改与误用A.6.2移动设备和远程办公目的：确保远程办公和移动设备使用的安全性A.6.2.1移动设备策略控制应使用配套策略和安全措施来防止移动设备带来的风险A.6.2.2远程办公控制应使用配套策略和安全措施来保护信息访问，处理或远程存储A.7人力资源安全A.7.1任用之前目的：确保组织内人员理解其职责、考虑其承担的角色是适合的。A.7.1.1筛选控制根据相关法律、法规、道德规范，对员工、合同人员及第三方人员的应聘人员进行背景调查，调查应符合业务需求、访问信息的类别及已知风险A.7.1.2任用的条款及条件控制作为合同义务的一部分，员工应同意并签订就业合同的条款和条件，应当载明其对组织信息安全的职责A.7.2任用中目的：确保员工和外部方用户意识到并履行信息安全职责A.7.2.1管理职责控制管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和程序的安全A.7.2.2信息安全意识，教育和培训控制组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训，并定期更新与他们工作相关的组织策略及程序A.7.2.3纪律处理过程控制??????????http://www.cncisa.com20对于安全违规的雇员，应有一个正式与可沟通的纪律处理过程A.7.3任用的终止或变化目的：保证组织利益是雇佣终止和变更的一部分A.7.3.1任用终止或变化的责任控制任用终止或变更后依然有信息安全责任和义务的人，应该被界定和传达给雇员或给外部方执行。A.8资产管理A.8.1对资产负责目的：实现和保持对组织资产的适当保护A.8.1.1资产清单控制应确定与信息和信息处理设施相关的资产，编制并维护资产清单A.8.1.2资产责任人控制库存的资产应有责任人A.8.1.3资产的允许使用控制与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施A.8.2信息分类目的：依照信息重要性分级，确保信息受到分级保护A.8.2.1信息的分类控制信息应依照其对组织的价值，法律要求，敏感性和关键性分类A.8.2.2信息的标记控制根据组织采用的信息分类方案，应制定并实施一套信息标记流程A.8.2.3资产的处理控制根据组织采用的信息分类方法，应制定并实施一套资产处理流程A.8.2.4资产的归还控制所有员工、外部方用户在合同终止或协议终止后应归还组织的资产A.8.3介质处理目的：为了防止存储在介质上的信息被未经授权的披露，修改，删除或破坏??????????http://www.cncisa.com21A.8.3.1可移动介质的管理控制根据组织采用的分类方法来执行可移动介质管理流程A.8.3.2介质的处置控制不再需要的介质，应使用正式的规程可靠并安全地处置A.8.3.3物理介质传输控制在传输过程中，包含信息的介质应加以保护，防止未经授权的访问，滥用或损坏A.9访问控制A.9.1访问控制的业务要求目的：限制访问信息和信息处理设施A.9.1.1访问控制策略控制应建立一个访问控制策略，并基于业务和访问的安全要求进行评审A.9.1.2网络服务的使用政策控制只提供用户已授权的网络访问与网络服务A.9.2用户访问管理目的：确保授权用户访问系统和服务，并防止未授权的访问A.9.2.1用户注册和注销控制应为所有系统和服务中所有用户类型的授权和撤销建立一套注册与注销的流程A.9.2.2特权管理控制应限制和控制特殊权限的分配及使用A.9.2.3用户秘密认证信息的管理控制应使用正式的管理流程来控制秘密认证信息的分配A.9.2.4用户访问权的复查控制资产所有者应当定期审查用户的访问权限A.9.2.5移除或调整访问权限控制当合同或协议终止后，应删除或调整所有工作人员和外部人员用户信息和信息处理设施的访问权限A.9.3用户职责??????????http://www.cncisa.com22目的：让用户明确身份认证信息的保护负责A.9.3.1秘密认证信息的使用控制应要求用户按照组织安全实践来使用秘密认证信息A.9.4系统和应用程序的访问控制目的：防止对系统和应用的未授权使用A.9.4.1信息访问限制控制应依据访问控制策略来限制对信息和应用系统功能的访问A.9.4.2安全登录程序控制如果访问控制策略需要，应通过安全登录程序控制对操作系统的访问A.9.4.3口令管理系统控制口令管理系统应采用交互式口令并确保口令质量A.9.4.4特权实用程序的使用控制对可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制A.9.4.5程序源码的访问控制控制对程序源代码的访问应被限制A.10密码学A.10.1密码控制目的：使用密码适当有效的保护信息的机密性、真实性和完整性A.10.1.1密码使用控制政策控制应制定和实施信息保护密码控制策略A.10.1.2密钥管理控制应制定和实施密钥的使用，保护，使用期策略并贯穿其整个生命周期A.11物理和环境安全A.11.1安全区域目的：阻止对组织场所和信息的未授权屋里访问、损坏和干扰A.11.1.1物理安全边界控制应设置安全边界来保护包含敏感信息，危险信息和信息处理设施的安??????????http://www.cncisa.com23全A.11.1.2物理入口控制控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问A.11.1.3办公室，房间和设施的安全保护控制应为办公室、房间和设施设计并采取物理安全措施A.11.1.4外部和环境威胁的安全防护控制应设计并采取物理安全措施来防范自然灾害，恶意攻击或事故A.11.1.5在安全区域工作控制应设计和应用用于安全区域工作的物理保护措施和指南A.11.1.6交付和交接区控制访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问A.11.2设备目的：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断A.11.2.1设备安置和保护控制应妥善安置及保护设备，以减少来自环境的威胁与危害以及未经授权的访问A.11.2.2支持性设备控制应保护设备使其免于支持性设施的失效而引起的电源故障和其他中断A.11.2.3布缆安全控制应保护传输数据或支持信息服务的电力及通讯电缆，免遭拦截或破坏A.11.2.4设备维护控制设备应予以正确地保护，以确保其持续的可用性的完整性A.11.2.5资产的移动控制设备、信息或软件在授权之前不应带出组织A.11.2.6场外设备和资产安全控制应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险??????????http://www.cncisa.com24A.11.2.7设备的安全处置或再利用控制包含储存介质的设备的所有项目应进行核查，以确保在处置之前，任何敏感信息和注册软件已被删除或安全地写覆盖A.11.2.8无人值守的用户设备控制用户应确保无人值守的用户设备有适当的保护A.11.2.9清除桌面和清屏策略控制应采取清空桌面上的文件、可移动存储介质的策略和清空信息处理设施屏幕的策略A.12操作安全A.12.1操作程序和职责目的：确保正确、安全的操作信息处理设施A.12.1.1文件化的操作程序控制操作过程应形成文件，并提供给所有需要的用户A.12.1.2变更管理控制对组织，业务流程，信息处理设施和系统的变更应加以控制A.12.1.3容量管理控制资源的使用应加以监视、调整，并作出对于未来容量要求的预测，以确保拥有所需的系统性能A.12.1.4开发，测试和运行环境的分离控制开发及测试环境应与运营环境分离。减少未授权访问和对操作系统变更的风险A.12.2恶意软件防护目的：确保信息和信息处理设施不受恶意软件侵害A.12.2.1控制恶意软件控制应实现结合适当的用户体验，使用检测、预防和恢复控制的手段来防范恶意软件A.12.3备份目的：防止数据丢失A.12.3.1信息备份控制根据既定的备份策略备份信息，软件和系统映象，并定期测试??????????http://www.cncisa.com25A.12.4记录和监控目的：记录事件并生成证据A.12.4.1事件日志控制应产生记录用户活动、异常情况、错误和信息安全事件的事件日志，并要保持一个已设的周期以支持将来的调查和访问控制监视A.12.4.2日志信息的保护控制记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问A.12.4.3管理员和操作员日志控制系统管理员和系统操作员的活动应当记录日志，并对其保护和定期检讨A.12.4.4时钟同步控制一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确的时间源进行同步A.12.5操作软件的控制目的：保证操作系统的完整性A.12.5.1操作系统软件的安装控制应建立流程对操作系统软件安装进行控制A.12.6技术漏洞管理目的：防止利用公布的技术脆弱性导致的风险A.12.6.1技术漏洞的管理控制应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关风险A.12.6.2限制软件安装控制应建立规则来控制用户安装软件A.12.7信息系统审计考虑目的：将业务系统审计过程的影响最小化A.12.7.1信息系统审计控制控制涉及对运行系统核查的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险A.13通信安全??????????http://www.cncisa.com26A.13.1网络安全管理目的：确保网络中信息的安全性并保护支持性的信息处理设施A.13.1.1网络控制控制应管理和控制网络以保护系统和应用程序中的信息A.13.1.2网络服务的安全控制所有网络服务的安全机制，服务水平和管理要求，应予以明确并列入网络服务协议中，无论这些服务是否由公司内部提供还是外包A.13.1.3网络隔离控制应在网络中隔离信息服务、用户及系统信息A.13.2信息传输目的：维护组织与任何外部实体的信息传输安全A.13.2.1信息传输的策略和程序控制应建立正式的传输策略，流程和控制措施，以保证所有类型的通信设施间的信息传输安全A.13.2.2信息传输协议控制应建立组织与外部方传输商业信息的安全传输协议A.13.2.3电子消息控制涉及电子消息的信息应适当保护A.13.2.4保密或不泄露协议控制应确定组织信息保护需要的保密性或不泄露协议的要求，定期审查并记录A.14系统获取，开发和维护A.14.1信息系统的安全要求目的：确保安全是信息系统生命周期中的一个组成部分，包括对向公共网络提供服务的设备的特殊要求A.14.1.1安全需求分析和规范控制应建立对信息安全控制的要求，包括财务报表和新的信息系统或现有信息系统增强的技术要求，同时考虑所有相关的标准，如生命周期或应用程序在公共网络上是否可用A.14.1.2保护公共网络上的控制??????????http://www.cncisa.com27应用服务公网上应用服务中传输的信息应被保护，以免遭受欺诈、合同纠纷，未经授权的披露和修改A.14.1.3保护应用服务交易控制应用服务传输中所涉及到的信息应加以保护，以防止未经授权的消息改变，不完整的传输，路由错误，未授权披露，未经授权的消息复制或重放A.14.2开发和支持过程中的安全目的：确保在整个信息系统生命周期中的信息安全设计与实施A.14.2.1安全开发策略控制应制定及应用关于软件和系统的开发规则A.14.2.2变更控制程序控制应使用正式的变更控制规程来控制变更的实施A.14.2.3操作平台变更后对应用的技术评估控制当操作平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响A.14.2.4软件包变更的限制控制应对软件包的修改进行劝阻，只限于必要的变更，且对所有的变更加以控制A.14.2.5系统开发程序控制应建立安全系统开发流程，记录，维护并应用到任何信息系统开发工作A.14.2.6安全的开发环境控制组织应建立并适当保护开发环境安全，并集成涵盖整个系统开发周期的工作A.14.2.7外包开发控制组织应监管和监督外包的系统开发工作A.14.2.8系统安全性测试控制在开发的过程中，必须测试功能的安全性A.14.2.9系统验收测试控制在建立新系统，升级系统和更新版本时，必须建立验收测试程序和相关标准??????????http://www.cncisa.com28A.14.3测试数据目的：确保测试数据的安全A.14.3.1测试数据的保护控制测试数据应被仔细筛选，保护和控制A.15供应关系A.15.1供应关系的安全目的：确保供应商访问的组织信息的安全A.15.1.1供应关系的信息安全策略控制对于减小与供应商相关的信息安全风险或信息处理设施的信息安全要求应被记录A.15.1.2供应商协议中的安全控制应建立与信息安全相关的要求并获得供应商的认可，包括处理，存储，沟通或提供组织IT基础设施的信息A.15.1.3ICT供应链控制与供应商的协议应包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求A.15.2供应商服务交付管理目的：维持与供应商协议中商定的信息安全要求和服务交付水平A.15.2.1监测和审查供应商服务控制组织应定期监测，审查和审核供应商的服务A.15.2.2供应商服务变更管理控制应管理供应商提供服务的变更,包括维护、改进现有的信息安全策略、程序和控制，应将商业信息的关键性，系统、流程和风险的重新评估考虑在内A.16信息安全事件管理A.16.1信息安全事件管理和持续改进目的：确保一致和有效的方法来管理信息安全事件，包括通信安全事件和弱点的报告A.16.1.1职责和程序控制应建立管理职责和程序，以确保快速、有效和有序地响应信息安全事件??????????http://www.cncisa.com29A.16.1.2报告信息安全事态控制信息安全事态应尽可能快地通过适当的管理渠道进行报告A.16.1.3报告信息安全弱点控制应要求信息系统和服务的所有员工、外部方人员记录并报告他们观察到的或可以的任何系统或服务的安全弱点A.16.1.4信息安全事件的评估和决策控制信息安全事件应当被评估与决策，如果他们被归类为信息安全事件A.16.1.5信息安全事故的响应控制信息安全事件应依照程序文件响应A.16.1.6回顾信息安全事故控制从分析和解决信息安全事故中获取知识，减少未来事故的可能性或影响A.16.1.7收集证据控制组织应制定和应用程序，用于鉴定，收集，获得和保存那些可作为证据的信息A.17信息安全方面的业务连续性管理A.17.1信息安全连续性目的：信息安全的连续性应嵌入组织的业务连续性管理（BCM），以确保任何时间都能保护信息并对不良事件进行预测A.17.1.1规划信息安全连续性控制组织应确定其在不利情况下的信息安全和信息安全管理连续性要求，如危机或灾难A.17.1.2实现信息安全的连续性控制组织应建立，记录，实施，维护流程、程序、控制项，以保证在不利情况下要求的信息安全连续性的等级A.17.1.3验证，评审和评估信息安全的连续性控制组织应每隔一段时间核实其建立和实施的信息安全连续性控制，以确保他们在不利情况下是有效和生效的。A.17.2冗余目的：确保信息处理设施的可用性??????????http://www.cncisa.com30A.17.2.1信息处理设施的可用性控制信息处理设施应当实现冗余，以满足可用性需求A.18符合性A.18.1信息安全审查目的：确保信息安全设施依照组织的策略和程序运行和实施A.18.1.1信息安全的独立审查控制组织管理信息安全的方法及实施（例如信息安全的控制目标、控制措施、策略、过程和规程）应按照计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审A.18.1.2符合安全政策和标准控制管理者应定期审查其职责范围内的信息处理和规程被正确的执行，以确保符合安全策略、标准和其他安全要求A.18.1.3技术符合性检查控制信息系统应被定期检查是否符合组织信息安全策略和标准A.18.2符合法律和合同的要求目的：避免违反相关信息安全的法律，法规，规章，合同义务以及任何安全要求A.18.2.1识别使用的法律和合同的要求控制对每个信息系统和组织而言，所有相关的法令、法规和合同要求，以及为满足这些要求组织所采取的方法，应加以明确地定义，形成文件并保持更新A.18.2.2知识产权（IP