logo资料库

ISO 27002标准2013版.pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.60M 资料格式:pdf 举报 版权申诉
第1页 / 共86页
第2页 / 共86页
第3页 / 共86页
第4页 / 共86页
第5页 / 共86页
第6页 / 共86页
第7页 / 共86页
第8页 / 共86页
资料共86页,剩余部分请下载后查看
    前 言
    引 言
    简介
    背景和环境
    信息安全要求
    选择控制措施
    编制组织的指南
    生命周期的考虑
    相关标准
    范围
    规范性引用文件
    术语和定义
    本标准的结构
    章节
    控制类别
    信息安全策略
    信息安全的管理方向
    信息安全策略
    信息安全策略的评审
    信息安全组织
    内部组织
    信息安全角色和职责
    职责分离
    与政府部门的联系
    与特定利益集团的联系
    项目管理中的信息安全
    移动设备和远程工作
    移动设备策略
    远程工作
    人力资源安全
    任用之前
    审查
    任用条款和条件
    任用中
    管理职责
    信息安全意识、教育和培训
    纪律处理过程
    任用的终止或变更
    任用终止或变更的职责
    资产管理
    对资产负责
    资产清单
    资产所有权
    资产的可接受使用
    资产的归还
    信息分类
    信息的分类
    信息的标记
    信息的处理
    介质处置
    可移动介质的管理
    介质的处置
    物理介质传输
    访问控制
    访问控制的业务要求
    访问控制策略
    网络和网络服务的访问
    用户访问管理
    用户注册及注销
    用户访问开通
    特殊访问权限管理
    用户秘密鉴别信息管理
    用户访问权限的复查
    撤销或调整访问权限
    用户职责
    使用秘密鉴别信息
    系统和应用访问控制
    信息访问限制
    安全登录规程
    口令管理系统
    特殊权限实用工具软件的使用
    对程序源代码的访问控制
    密码学
    密码控制
    使用密码控制的策略
    密钥管理
    物理和环境安全
    安全区域
    物理安全周边
    物理入口控制
    办公室、房间和设施的安全保护
    外部和环境威胁的安全防护
    在安全区域工作
    交接区安全
    设备
    设备安置和保护
    支持性设施
    布缆安全
    设备维护
    资产的移动
    组织场外设备和资产的安全
    设备的安全处置或再利用
    无人值守的用户设备
    清空桌面和屏幕策略
    操作安全
    操作规程和职责
    文件化的操作规程
    变更管理
    容量管理
    开发、测试和运行环境分离
    恶意软件防护
    控制恶意软件
    备份
    信息备份
    日志和监视
    事态记录
    日志信息的保护
    管理员和操作员日志
    时钟同步
    运行软件的控制
    在运行系统上安装软件
    技术脆弱性管理
    技术脆弱性的控制
    限制软件安装
    信息系统审计考虑
    信息系统审计控制措施
    通信安全
    网络安全管理
    网络控制
    网络服务安全
    网络隔离
    信息传递
    信息传递策略和规程
    信息传递协议
    电子消息发送
    保密性或不泄露协议
    系统获取、开发和维护
    信息系统的安全要求
    信息安全要求分析和说明
    公共网络应用服务安全
    保护应用服务交易
    开发和支持过程中的安全
    安全开发策略
    系统变更控制规程
    运行平台变更后应用的技术评审
    软件包变更的限制
    安全系统工程原则
    安全开发环境
    外包开发
    系统安全测试
    系统验收测试
    测试数据
    系统测试数据的保护
    供应商关系
    供应商关系的信息安全
    供应商关系的信息安全策略
    处理供应商协议中的安全问题
    信息和通信技术供应链
    供应商服务交付管理
    供应商服务的监视和评审
    供应商服务的变更管理
    信息安全事件管理
    信息安全事件和改进的管理
    职责和规程
    报告信息安全事态
    报告信息安全弱点
    评估和确定信息安全事态
    信息安全事件响应
    对信息安全事件的总结
    证据的收集
    业务连续性管理的信息安全方面
    信息安全连续性
    信息安全的连续性计划
    实施信息安全连续性计划
    验证、评审和评价信息安全连续性计划
    冗余
    信息处理设施的可用性
    符合性
    符合法律和合同要求
    可用法律及合同要求的识别
    知识产权(IPR)
    保护记录
    隐私和个人身份信息保护
    密码控制措施的规则
    信息安全评审
    独立的信息安全评审
    符合安全策略和标准
    技术符合性评审
    参考文献
    ISO/IEC 27002 信息技术-安全技术-信息安全控制实用 规则 Information technology-Security techniques -Code of practice for information security controls
    目 次 前言 引言 0 简介 0.1 背景和环境 0.2 信息安全要求 0.3 选择控制措施 0.4 编制组织的指南 0.5 生命周期的考虑 0.6 相关标准 1 范围 2 规范性引用文件 3 术语和定义 4 本标准的结构 4.1 章节 4.2 控制类别 5 信息安全策略 5.1 信息安全的管理方向 6 信息安全组织 6.1 内部组织 6.2 移动设备和远程工作 7 人力资源安全 7.1 任用之前 7.2 任用中 7.3 任用的终止或变更 8 资产管理 8.1 对资产负责 8.2 信息分类 8.3 介质处置 9 访问控制 9.1 访问控制的业务要求 9.2 用户访问管理 9.3 用户职责 9.4 系统和应用访问控制 10 密码学 10.1 密码控制 11 物理和环境安全 11.1 安全区域 11.2 设备 12 操作安全 12.1 操作规程和职责 12.2 恶意软件防护 12.3 备份 .................................................................................. I ................................................................................. II ............................................................................... II ....................................................................... II ..................................................................... II .................................................................... III .................................................................. III .................................................................. III ........................................................................ III ................................................................................ 1 ...................................................................... 1 .......................................................................... 1 ........................................................................ 1 .............................................................................. 1 .......................................................................... 1 ........................................................................ 2 ................................................................ 2 ........................................................................ 4 .......................................................................... 4 ................................................................ 6 ........................................................................ 9 .......................................................................... 9 ........................................................................... 10 ................................................................. 13 ........................................................................... 13 ....................................................................... 13 ......................................................................... 15 ......................................................................... 17 ........................................................................... 19 ............................................................... 19 ..................................................................... 21 ......................................................................... 24 ............................................................... 25 ............................................................................ 28 ........................................................................ 28 .................................................................... 30 ........................................................................ 30 ............................................................................ 33 .......................................................................... 38 .................................................................. 38 .................................................................... 41 ............................................................................ 42
    12.4 日志和监视 12.5 运行软件的控制 12.6 技术脆弱性管理 12.7 信息系统审计考虑 13 通信安全 13.1 网络安全管理 13.2 信息传递 14 系统获取、开发和维护 14.1 信息系统的安全要求 14.2 开发和支持过程中的安全 14.3 测试数据 15 供应商关系 15.1 供应商关系的信息安全 15.2 供应商服务交付管理 16 信息安全事件管理 16.1 信息安全事件和改进的管理 17 业务连续性管理的信息安全方面 17.1 信息安全连续性 17.2 冗余 18 符合性 18.1 符合法律和合同要求 18.2 信息安全评审 参考文献 ...................................................................... 43 .................................................................. 45 .................................................................. 46 ................................................................ 48 .......................................................................... 49 .................................................................... 49 ........................................................................ 50 .............................................................. 54 .............................................................. 54 .......................................................... 57 ........................................................................ 62 ........................................................................ 62 ............................................................ 62 .............................................................. 66 .................................................................. 67 ........................................................ 67 ...................................................... 71 .................................................................. 71 ............................................................................ 73 ............................................................................ 74 .............................................................. 74 .................................................................... 77 ............................................................................. 79
    前 言 ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。国 家机构是ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领 域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织、政府和非政府等机构, 通过联络ISO和IEC参与这项工作。 国际标准的制定遵循ISO/IEC 导则第2部分的规则。 ISO和IEC已经在信息技术领域建立了一个联合技术委员会ISO/IEC JTC1。 ISO/IEC 27002由联合技术委员会ISO/IEC JTC1(信息技术)分委员会SC27(安全技术)起草。 ISO/IEC 27002中的某些内容有可能涉及一些专利权问题,这一点应该引起注意。ISO和IEC不负责 识别任何这样的专利权问题。 第二版进行了技术上的修订,并取消和替代第一版(ISO/IEC 27002:2005)。
    引 言 0 简介 0.1 背景和环境 本标准可作为组织基于 ISO/IEC 27001 实施信息安全管理体系(ISMS)的过程中选择控制措施时 的参考,或作为组织实施通用信息安全控制措施时的指南文件。本标准还可以用于开发行业和组织特定 的信息安全管理指南,考虑其特定信息安全风险环境。 所有类型和规模的组织(包括公共和私营部门、商业和非盈利组织)都要采用不同方式(包括电 子方式、物理方式、会谈和陈述等口头方式)收集、处理、存储和传输信息。 信息的价值超越了文字、数字和图像:无形的信息可能包括知识、概念、观念和品牌等。在互联 的世界里,信息和相关过程、系统、网络及其操作、处理和保护的过程中所涉及的人员都是资产,与其 它重要的业务资产一样,对组织的业务至关重要,因此需要防护各种危害。 因相关过程、系统、网络和人员具有固有的脆弱性,资产易受到故意或意外的威胁。对业务过程 和系统的变更或其他外部变更(例如新的法律和规章)可能产生新的信息安全风险。因此,考虑到威胁 利用脆弱性损害组织会有大量方式,信息安全风险是一直存在的。有效的信息安全可以通过保护组织免 受威胁和脆弱性,从而减少这些风险,进一步降低对组织资产的影响。 信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件 和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全 和业务目标。为在一个一致的管理体系总体框架下实施一套全面的信息安全控制措施,信息安全管理体 系(例如 ISO/IEC 27001 所指定的)从整体、协调的角度看待组织的信息安全风险。 从 ISO/IEC 27001 和本标准的意义上说,许多信息系统并没有被设计成是安全的。通过技术手段可 获得的安全性是有限的,宜通过适当的管理和规程给予支持。确定哪些控制措施宜实施到位需要仔细规 划并注意细节。成功的信息安全管理体系需要组织所有员工的参与 ,还要求利益相关者、供应商或其他 外部方的参与。外部方的专家建议也是需要的。 就一般意义而言,有效的信息安全还可以向管理者和其他利益相关者保证,组织的资产是适当安 全的,并能防范损害。因此,信息安全可承担业务使能者的角色。 0.2 信息安全要求 组织识别出其安全要求是非常重要的,安全要求有三个主要来源: a) 对组织的风险进行评估,考虑组织的整体业务策略与目标。通过风险评估,识别资产受到的威 胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响; b) 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的 社会文化环境;
    c) 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定 集合。 实施控制措施所用资源需要根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡。 风险评估的结果将帮助指导和确定适当的管理措施、管理信息安全风险以及实现所选择的用以防 范这些风险的控制措施的优先级。 ISO/IEC 27005 提供了信息安全风险管理的指南,包括风险评估、风险处置、风险接受、风险沟通、 风险监视和风险评审的建议。 0.3 选择控制措施 控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定 需求。 控制措施的选择依赖于组织基于风险接受准则、风险处置选项以及所应用的通用风险管理方法做 出的决策,同时还宜遵守所有相关的国家和国际法律法规。控制措施的选择还依赖于控制措施为提供深 度防御而相互作用的方式。 本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。在下面的 实施指南中,将更详细的解释这些控制措施。更多的关于选择控制措施和其他风险处置选项的信息见 ISO/IEC 27005。 0.4 编制组织的指南 本标准可作为是组织开发其详细指南的起点。对一个组织来说,本标准中的控制措施和指南并非 全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进 行符合性核查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的引用可能是有用的。 0.5 生命周期的考虑 信息具有自然的生命周期,从创建和产生,经存储、处理、使用和传输,到最后的销毁或衰退。 资产的价值和风险可能在其生命期中是变化的(例如公司财务报表的泄露或被盗在他们被正式公布后就 不那么重要了),但在某种程度上信息安全对于所有阶段而言都是非常重要的。 信息系统也具有生命周期,他们被构想、指定、设计、开发、测试、实施、使用、维护,并最终 退出服务进行处置。在每一个阶段最好都要考虑信息安全。新系统的开发和现有系统的变更为组织更新 和改进安全控制带来了机会,可将现实事件、当前和预计的信息安全风险考虑在内。 0.6 相关标准 虽然本标准提供了通常适用于不同组织的大范围信息安全控制措施的指南,ISO/IEC 27000 标准族 的其他部分提供了信息安全管理全过程其他方面的补充建议或要求。 ISO/IEC 27000 作为信息安全管理体系和标准族的总体介绍,提供了一个词汇表,正式定义了整个 ISO/IEC 27000 标准族中的大部分术语,并描述了族中每个成员的范围和目标。
    信息技术-安全技术-信息安全控制实用规则 1 范围 本标准为组织的信息安全标准和信息安全管理实践提供了指南,包括考虑组织信息安全 风险环境前提下控制措施的选择、实施和管理。 本标准可被组织用于下列目的: a) 在基于ISO/IEC 27001实施信息安全管理体系过程中选择控制措施; b) 实施通用信息安全控制措施; c) 开发组织自身的信息安全管理指南。 2 规范性引用文件 下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件,只有引用的版 本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术—安全技术—信息安全管理体系—概述和词汇 3 术语和定义 ISO/IEC 27000 中的术语和定义适用于本标准。 4 本标准的结构 本标准包括 14 个安全控制措施的章节,共含有 35 个主要安全类别和 113 项安全控制措 施。 4.1 章节 定义安全控制的每个章节含一个或多个主要安全类别。 本标准中章节的顺序不表示其重要性。根据不同的环境,任何或所有章节的安全控制措 施都可能是重要的,因此使用本标准的每一个组织宜识别适用的控制措施及其重要性,以及 它们对各个业务过程的适用性。另外,本标准的排列没有优先顺序。 4.2 控制类别 每一个主要安全控制类别包含: a) 一个控制目标,声明要实现什么; b) 一个或多个控制措施,可被用于实现该控制目标。
    控制措施的描述结构如下: 控制措施 定义满足控制目标的特定的控制措施的陈述。 实施指南 为支持控制措施的实施和满足控制目标,提供更详细的信息。本指南可能不能全部适用 或满足所有情况,也可能不满足组织的特定控制要求。 其他信息 提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的引用。如果没有其 他信息需要提供,将不显示本部分。 5 信息安全策略 5.1 信息安全的管理方向 目标:依据业务要求和相关法律法规提供管理方向并支持信息安全。 5.1.1 信息安全策略 控制措施 信息安全策略集宜由管理者定义、批准、发布并传达给员工和相关外部方。 实施指南 在最高级别上,组织宜定义“信息安全方针”,由管理者批准,制定组织管理其信息安 全目标的方法。 信息安全方针宜解决下列方面创建的要求: a) 业务战略; b) 规章、法规和合同; c) 当前和预期的信息安全威胁环境。 信息安全方针宜包括以下声明: a) 指导所有信息安全相关活动的信息安全、目标和原则的定义; b) 已定义角色信息安全管理一般和特定职责的分配; c) 处理偏差和意外的过程。 在较低级别,信息安全方针宜由特定主题的策略加以支持,这些策略进一步强化了信息 安全控制措施的执行,并且在组织内通常以结构化的形式处理某些目标群体的需求或涵盖某 些主题。 这些细化的策略主题包括: a) 访问控制(见 9);
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料