ISO27001标准附录A (规范性附录)
附录A
(规范性附录)
控制目标和控制措施
表A-1 所列的控制目标和控制措施是直接引用并与ISO/IEC 17799:2005 第5 到15 章一致。表A.1
中的清单并不完备,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和
控制措施是条款4.2.1 规定的ISMS 过程的一部分。
ISO/IEC 17799:2005 第5 至15 章提供了最佳实践的实施建议和指南,以支持A.5 到A.15 列出的控
制措施。
表A.1 控制目标和控制措施
| A.5 |
安全方针 | |
| A.5.1 |
信息安全方针 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 |
|
| A.5.1.1 | 信息安全方针文件 |
控制措施 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 |
| A.5.1.2 | 信息安全方针的评审 |
控制措施 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。 |
| A.6 | 信息安全组织 | |
| A.6.1 | 内部组织 目标:在组织内管理信息安全。 |
|
| A.6.1.1 | 信息安全的管理承诺 | 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。 |
| A.6.1.2 | 信息安全协调 | 控制措施 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调 |
| A.6.1.3 | 信息安全职责的分配 | 控制措施 所有的信息安全职责应予以清晰地定义。 |
| A.6.1.4 | 信息处理设施的授权过程 | 控制措施 新信息处理设施应定义和实施一个管理授权过程。 |
| A.6.1.5 | 保密性协议 | 控制措施 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 |
| A.6.1.6 | 与政府部门的联系 | 控制措施 应保持与政府相关部门的适当联系。 |
| A.6.1.7 | 与特定权益团体的联系 | 控制措施 应保持与特定权益团体、其他安全专家组和专业协会的适当联系。 |
| A.6.1.8 |
信息安全的独立评审 | 控制措施 组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。 |
| A.6.2 | 外部各方 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 |
|
| A.6.2.1 | 与外部各方相关风险的识别 | 控制措施 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险, 并在允许访问前实施适当的控制措施。 |
| A.6.2.2 | 处理与顾客有关的安全问题 | 控制措施 应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。 |
| A.6.2.3 | 处理第三方协议中的安全问题 | 控制措施 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。 |
| A.7 | 资产管理 | |
| A.7.1 | 对资产负责 目标:实现和保持对组织资产的适当保护。 |
|
| A.7.1.1 | 资产清单 | 控制措施 应清晰的识别所有资产,编制并维护所有重要资产的清单。 |
| A.7.1.2 | 资产责任人 | 控制措施 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 解释:术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指 实际上对资产具有财产权的人。 |
| A.7.1.3 | 资产的合格使用 | 控制措施 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 |
| A.7.2 | 信息分类 目标:确保信息受到适当级别的保护。 |
|
| A.7.2.1 | 分类指南 | 控制措施 信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。 |
| A.7.2.2 | 信息的标记和处理 | 控制措施 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。 |
| A.8 | 人力资源安全 | |
| A.8.1 | 任用之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低 设施被窃、欺诈和误用的风险。 解释:这里的“任用”意指以下不同的情形:人员任用(暂时的或长期的)、工作角色的指定、工作角色的变化、合同 的分配及所有这些安排的终止。 |
|
| A.8.1.1 | 角色和职责 | 控制措施 雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。 |
| A.8.1.2 | 审查 | 控制措施 关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 |
| A.8.1.3 |
任用条款和条件 |
控制措施 作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。 |
| A.8.2 | 任用中 目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和 义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。 |
|
| A.8.2.1 | 管理职责 | 控制措施 管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。 |
| A.8.2.2 | 信息安全意识、教育和培训 | 控制措施 组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与 其工作职能相关的适当的意识培训和组织方针策略及程序的定期更 新培训。 |
| A.8.2.3 | 纪律处理过程 | 控制措施 对于安全违规的雇员,应有一个正式的纪律处理过程。 |
| A.8.3 | 任用的终止或变化 目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 |
|
| A.8.3.1 | 终止职责 | 控制措施 任用终止或任用变化的职责应清晰的定义和分配。 |
| A.8.3.2 | 资产的归还 | 控制措施 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 |
| A.8.3.3 | 撤销访问权 | 控制措施 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。 |
| A.9 | 物理和环境安全 | |
| A.9.1 | 安全区域 目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。 |
|
| A.9.1.1 | 物理安全边界 | 控制措施 应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。 |
| A.9.1.2 | 物理入口控制 | 控制措施 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。 |
| A.9.1.3 |
办公室、房间和 设施的安全保 护 |
控制措施 应为办公室、房间和设施设计并采取物理安全措施。 |
| A.9.1.4 |
外部和环境威 胁的安全防护 |
控制措施 为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。 |
| A.9.1.5 |
在安全区域工 作 |
控制措施 应设计和运用用于安全区域工作的物理保护和指南。 |
| A.9.1.6 | 公共访问、交接 区安全 |
控制措施 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。 |
| A.9.2 | 设备安全 目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 |
|
| A.9.2.1 |
设备安置和保 护 |
控制措施 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。 |
| A.9.2.2 | 支持性设施 | 控制措施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 |
| A.9.2.3 | 布缆安全 | 控制措施 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏 |
| A.9.2.4 | 设备维护 | 控制措施 设备应予以正确地维护,以确保其持续的可用性和完整性。 |
| A.9.2.5 | 组织场所外的设备安全 | 控制措施 应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。 |
| A.9.2.6 | 设备的安全处置或再利用 | 控制措施 包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。 |
| A.9.2.7 | 资产的移动 | 控制措施 设备、信息或软件在授权之前不应带出组织场所。 |
| A.10 | 通信和操作管理 | |
| A.10.1 | 操作程序和职责 目标:确保正确、安全的操作信息处理设施。 |
|
| A.10.1.1 |
文件化的操作程序 | 控制措施 操作程序应形成文件、保持并对所有需要的用户可用。 |
| A.10.1.2 | 变更管理 | 控制措施 对信息处理设施和系统的变更应加以控制。 |
| A.10.1.3 | 责任分割 | 控制措施 各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。 |
| A.10.1.4 |
开发、测试和运行设施分离 | 控制措施 开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。 |
| A.10.2 | 第三方服务交付管理 目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。 |
|
| A.10.2.1 | 服务交付 | 控制措施 应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。 |
| A.10.2.2 | 第三方服务的 监视和评审 |
控制措施 应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。 |
| A.10.2.3 | 第三方服务的 变更管理 |
控制措施 应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估。 |
| A.10.3 | 系统规划和验收 目标:将系统失效的风险降至最小。 |
|
| A.10.3.1 | 容量管理 | 控制措施 资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以确保拥有所需的系统性能。 |
| A.10.3.2 | 系统验收 |
控制措施 应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。 |
| A.10.4 | 防范恶意和移动代码 目标:保护软件和信息的完整性。 |
|
| A.10.4.1 |
控制恶意代码 |
控制措施 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 |
| A.10.4.2 | 控制移动代码 | 控制措施 当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。 |
| A.10.5 | 备份 目标:保持信息和信息处理设施的完整性和可用性。 |
|
| A.10.5.1 | 信息备份 | 控制措施 应按照已设的备份策略,定期备份和测试信息和软件。 |
| A.10.6 | 网络安全管理 目标:确保网络中信息的安全性并保护支持性的基础设施。 |
|
| A.10.6.1 | 网络控制 | 控制措施 应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的应用程序的安全,包括传输中的信息。 |
| A.10.6.2 | 网络服务的安全 | 控制措施 安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。 |
| A.10.7 | 介质处置 目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 |
|
| A.10.7.1 | 可移动介质的管理 | 控制措施 应有适当的可移动介质的管理程序。 |
| A.10.7.2 | 介质的处置 | 控制措施 不再需要的介质,应使用正式的程序可靠并安全地处置。 |
| A.10.7.3 | 信息处理程序 | 控制措施 应建立信息的处理及贮存程序,以防止信息的未授权的泄漏或不当使用。 |
| A.10.7.4 | 系统文件安全 | 控制措施 应保护系统文件以防止未授权的访问。 |
| A.10.8 | 信息的交换 目标:保持组织内信息和软件交换及与外部组织信息和软件交换的安全。 |
|
| A.10.8.1 | 信息交换策略和程序 | 控制措施 应有正式的交换策略、程序和控制措施,以保护通过使用各种类型通信设施的信息交换。 |
| A.10.8.2 | 交换协议 | 控制措施 应建立组织与外部团体交换信息和软件的协议。 |
| A.10.8.3 |
运输中的物理介质 |
控制措施 包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。 |
| A.10.8.4 | 电子消息发送 | 控制措施 包含在电子消息发送中的信息应给予适当的保护。 |
| A.10.8.5 | 业务信息系统 | 控制措施 应建立和实施策略和程序以保护与业务信息系统互联的信息。 |
| A.10.9 | 电子商务服务 目标:确保电子商务服务的安全及其安全使用。 |
|
| A.10.9.1 | 电子商务 | 控制措施 包含在使用公共网络的电子商务中的信息应受保护,以防止欺诈活动、合同争议和未授权的泄露和修改。 |
| .10.9.2 |
在线交易控制措施 包含在在线交易中的信息应受保护,以防止不完全传输、错误路由、 未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。 |
|
