《信息技術(shù)安全技術(shù)》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息技術(shù)安全技術(shù)（49頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、信息技術(shù)安全技術(shù)信息安全管理體系要求（）（征求意見(jiàn)稿，年月日）1 / 44目次前言 .引言 .范圍 .規(guī)范性引用文件.術(shù)語(yǔ)和定義.信息安全管理體系（）.管理職責(zé).內(nèi)部審核 .的管理評(píng)審.改進(jìn) .附 錄（規(guī)范性附錄）控制目標(biāo)和控制措施.附 錄（資料性附錄）原則和本標(biāo)準(zhǔn).附 錄（資料性附錄）,和本標(biāo)準(zhǔn)之間的對(duì)照.2 / 44前言3 / 44引言總則本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系（，簡(jiǎn)稱）提供模型。采用應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組

2、織的需要實(shí)施，是本標(biāo)準(zhǔn)所期望的，例如，簡(jiǎn)單的情況可采用簡(jiǎn)單的解決方案。本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估。過(guò)程方法本標(biāo)準(zhǔn)采用一種過(guò)程方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)一個(gè)組織的。一個(gè)組織必須識(shí)別和管理眾多活動(dòng)使之有效運(yùn)作。通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的任意活動(dòng)，可以視為一個(gè)過(guò)程。通常，一個(gè)過(guò)程的輸出可直接構(gòu)成下一過(guò)程的輸入。一個(gè)組織內(nèi)諸過(guò)程的系統(tǒng)的運(yùn)用，連同這些過(guò)程的識(shí)別和相互作用及其管理，可稱之為“過(guò)程方法 ”。本標(biāo)準(zhǔn)中提出的用于信息安全管理的過(guò)程方法鼓勵(lì)其用戶強(qiáng)調(diào)以下方面的重要性：)理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要；)從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，

3、實(shí)施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險(xiǎn)；)監(jiān)視和評(píng)審的執(zhí)行情況和有效性；)基于客觀測(cè)量的持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用了“規(guī)劃（）實(shí)施（）檢查（）處置（）”（）模型，該模型可應(yīng)用于所有的過(guò)程。圖說(shuō)明了如何把相關(guān)方的信息安全要求和期望作為輸入，并通過(guò)必要的行動(dòng)和過(guò)程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖也描述了、和章所提出的過(guò)程間的聯(lián)系。采用模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的指南（版）中所設(shè)置的原則。本標(biāo)準(zhǔn)為實(shí)施指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估的原則提供了一個(gè)強(qiáng)健的模型。例 ：某些信息安全缺陷不至于給組織造成嚴(yán)重的財(cái)務(wù)損失和或使組織陷入困境，這可能是一種要求。例 ：如果發(fā)

4、生了嚴(yán)重的事故 可能是組織的電子商務(wù)網(wǎng)站被黑客入侵 應(yīng)有經(jīng)充分培訓(xùn)的員工按照適當(dāng)?shù)某绦颍瑢⑹录挠绊懡抵磷钚?。這可能是一種期望。信息系統(tǒng)和網(wǎng)絡(luò)安全指南面向安全文化。巴黎：，年月。4 / 44規(guī)劃建立相關(guān)方相關(guān)方實(shí)施實(shí)施和保持和處置運(yùn)行改進(jìn)受控的信息安全監(jiān)視和信息安全要求和期望評(píng)審檢查圖應(yīng)用于過(guò)程的模型與其它管理體系的兼容性本標(biāo)準(zhǔn)與及相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)施和運(yùn)行。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表說(shuō)明了本標(biāo)準(zhǔn)、（ ）和（）的各條款之間的關(guān)系。本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其與其它相關(guān)的管理體系要求結(jié)合或整合起來(lái)。5 / 44規(guī)劃（建立 ）建立與管理風(fēng)

5、險(xiǎn)和改進(jìn)信息安全有關(guān)的方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。實(shí)施（實(shí)施和運(yùn)行）實(shí)施和運(yùn)行方針、控制措施、過(guò)程和程序。檢查（監(jiān)視和評(píng)審）對(duì)照 方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。處置（保持和改進(jìn)）基于 內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)。6 / 44信息技術(shù)安全技術(shù)信息安全管理體系要求重點(diǎn)：本出版物不聲稱包括一個(gè)合同所有必要的規(guī)定。用戶負(fù)責(zé)對(duì)其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。范圍總則本標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。本標(biāo)準(zhǔn)從組織的

6、整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的 規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門(mén)的需要而定制的安全控制措施的實(shí)施要求。的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。注：本標(biāo)準(zhǔn)中的“業(yè)務(wù) ”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的核心活動(dòng)。注：提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。應(yīng)用本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對(duì)于、和章的要求不能刪減。為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評(píng)估

7、和適用法律法規(guī)要求所確定的安全要求的能力和或責(zé)任，否則不能聲稱符合本標(biāo)準(zhǔn)。注：如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過(guò)程管理體系（例如，與 或者 相關(guān)的），那么在大多數(shù)情況下，更可取的是在這個(gè)現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。規(guī)范性引用文件下列參考文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。，信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則。術(shù)語(yǔ)和定義本標(biāo)準(zhǔn)采用以下術(shù)語(yǔ)和定義。資產(chǎn)任何對(duì)組織有價(jià)值的東西 。可用性根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性 。保密性信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉

8、的特性 。7 / 44信息安全保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性 ： 。信息安全事件信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)： 。信息安全事故一個(gè)信息安全事故由單個(gè)的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性 ： 。信息安全管理體系（）（）是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程

9、序、過(guò)程和資源。完整性保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性 。殘余風(fēng)險(xiǎn)經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)接受接受風(fēng)險(xiǎn)的決定： 。風(fēng)險(xiǎn)分析系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和估計(jì)風(fēng)險(xiǎn)： 。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程： 。風(fēng)險(xiǎn)評(píng)價(jià)將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程： 。風(fēng)險(xiǎn)管理指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)： 。風(fēng)險(xiǎn)處理選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程： 。注：在本標(biāo)準(zhǔn)中，術(shù)語(yǔ)“控制措施 ”被用作 “措施 ”的同義詞。8 / 44適用性聲明描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。注： 控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果和結(jié)論、法律法規(guī)

10、的要求、合同義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求。信息安全管理體系（）總要求一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于圖所示的模型。建立和管理建立組織應(yīng)：)根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定的范圍和邊界，包括對(duì)例外于此范圍的對(duì)象作出詳情和合理性的說(shuō)明（見(jiàn)）。)根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定方針，應(yīng)：)為其目標(biāo)建立一個(gè)框架并為信息安全行動(dòng)建立整體的方向和原則；)考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；)在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持；)建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則見(jiàn) ；)獲得管理者批

11、準(zhǔn)。注：就本標(biāo)準(zhǔn)的目的而言，方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在一個(gè)文件中進(jìn)行描述。)確定組織的風(fēng)險(xiǎn)評(píng)估方法）識(shí)別適合、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別（見(jiàn)）。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。在信息技術(shù)安全管理指南：安全管理技術(shù)中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。)識(shí)別風(fēng)險(xiǎn))識(shí)別 范圍內(nèi)的資產(chǎn)及其責(zé)任人；)識(shí)別資產(chǎn)所面臨的威脅；)識(shí)別可能被威脅利用的脆弱點(diǎn)；)識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。)分析和評(píng)價(jià)風(fēng)險(xiǎn))在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成

12、的后果的情況下，評(píng)估安全失誤可能造成的對(duì)組織的影響。)評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施。)估計(jì)風(fēng)險(xiǎn)的級(jí)別。)確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在) 中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處術(shù)語(yǔ)“責(zé)任人”標(biāo)識(shí)了已經(jīng)獲得管理者的批準(zhǔn)，負(fù)責(zé)產(chǎn)生、開(kāi)發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個(gè)人或?qū)嶓w。術(shù)語(yǔ)“責(zé)任人”不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán)。9 / 44理。)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施可能的措施包括：)采用適當(dāng)?shù)目刂拼胧?在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn) 見(jiàn)) ；)避免風(fēng)險(xiǎn)；)將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，

13、供應(yīng)商等。)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施應(yīng)選擇和實(shí)施控制目標(biāo)和控制措施以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則（見(jiàn)）以及法律法規(guī)和合同要求。從附錄中選擇控制目標(biāo)和控制措施應(yīng)成為此過(guò)程的一部分，該過(guò)程適合于滿足這些已識(shí)別的要求。附錄 所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。注： 附錄包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的可選控制措施。)獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn))獲得管理者對(duì)實(shí)施和運(yùn)行的授權(quán))準(zhǔn)備適用性聲明（）應(yīng)從

14、以下幾方面準(zhǔn)備適用性聲明：）從）選擇的控制目標(biāo)和控制措施，以及選擇的理由；）當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見(jiàn)）；）對(duì)附錄中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說(shuō)明。注： 適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說(shuō)明提供交叉檢查，以證明不會(huì)因疏忽而遺漏控制措施。實(shí)施和運(yùn)行組織應(yīng)：)為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序，即：制定風(fēng)險(xiǎn)處理計(jì)劃（見(jiàn)第章）。)實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。)實(shí)施）中所選擇的控制措施，以滿足控制目標(biāo)。)確定如何測(cè)量所選擇的控制措施或控制措施集的有效性，并指明如何用來(lái)評(píng)估控制措施的有效

15、)性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見(jiàn))）。注： 測(cè)量控制措施的有效性可使管理者和員工確定控制措施達(dá)到計(jì)劃的控制目標(biāo)的程度。實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見(jiàn)）。管理的運(yùn)行。管理的資源（見(jiàn)）。實(shí)施能夠迅速檢測(cè)安全事件和響應(yīng)安全事故的程序和其他控制措施（見(jiàn)）。監(jiān)視和評(píng)審組織應(yīng)：10 / 44)執(zhí)行監(jiān)視和評(píng)審程序和其它控制措施，以：)迅速檢測(cè)過(guò)程運(yùn)行結(jié)果中的錯(cuò)誤；)迅速識(shí)別試圖的和得逞的安全違規(guī)和事故；)使管理者確定分配給人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行；)通過(guò)使用指標(biāo)，幫助檢測(cè)安全事件并預(yù)防安全事故；)確定解決安全違規(guī)的措施是否有效。)在考慮安全審核結(jié)果、事故、有效性測(cè)量結(jié)果、所

16、有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行有效性的定期評(píng)審（包括滿足方針和目標(biāo)，以及安全控制措施的評(píng)審）。)測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足。)按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審，應(yīng)考慮以下方面的變化：)組織結(jié)構(gòu)；)技術(shù)；)業(yè)務(wù)目標(biāo)和過(guò)程；)已識(shí)別的威脅；)已實(shí)施控制措施的有效性；)外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。)按計(jì)劃的時(shí)間間隔，對(duì)進(jìn)行內(nèi)部審核（見(jiàn)第章）。注： 內(nèi)部審核，有時(shí)稱為第一方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的審核。)定期對(duì)進(jìn)行管理評(píng)審，以確保范圍保持充分，過(guò)程的改進(jìn)得到識(shí)別

17、（見(jiàn)）。)考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃。)記錄可能影響的有效性或執(zhí)行情況的措施和事件（見(jiàn)）。保持和改進(jìn)組織應(yīng)經(jīng)常：)實(shí)施已識(shí)別的改進(jìn)措施。)依照和 采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。)向所有相關(guān)方溝通措施和改進(jìn)措施，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定如何進(jìn)行。)確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。文件要求總則文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。至關(guān)重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果、并進(jìn)而回溯到 方針和目標(biāo)之間的關(guān)系。文件應(yīng)包括：)形成文件的方針 見(jiàn) ）

18、 和目標(biāo)；)的范圍 見(jiàn) ） ；)支持 的程序和控制措施；)風(fēng)險(xiǎn)評(píng)估方法的描述 見(jiàn) ） ；)風(fēng)險(xiǎn)評(píng)估報(bào)告見(jiàn) ）到 ） ；) 風(fēng)險(xiǎn)處理計(jì)劃 見(jiàn) ） ；)組織為確保其信息安全過(guò)程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的程序（見(jiàn)）；)本標(biāo)準(zhǔn)所要求的記錄（見(jiàn)）；11 / 44)適用性聲明。注 ：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實(shí)施和保持。注：不同組織的文件的詳略程度取決于：- 組織的規(guī)模和活動(dòng)的類型；- 安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度；注：文件和記錄可以采用任何形式或類型的介質(zhì)。文件控制所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的

19、程序，以規(guī)定以下方面所需的管理措施：)文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；)確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)；)確保在使用處可獲得適用文件的相關(guān)版本；)確保文件保持清晰、易于識(shí)別；)確保文件對(duì)需要的人員可用，并依照文件適用的類別程序進(jìn)行傳輸、貯存和最終銷毀；)確保外來(lái)文件得到標(biāo)識(shí)；)確保文件的分發(fā)得到控制；)防止作廢文件的非預(yù)期使用；)若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。記錄控制記錄應(yīng)建立并加以保持，以提供符合要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記

20、錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。記錄的詳略程度應(yīng)通過(guò)管理過(guò)程確定。應(yīng)保留中列出的過(guò)程執(zhí)行記錄和所有發(fā)生的與有關(guān)的安全事故的記錄。例如：記錄包括訪客登記薄、審核報(bào)告和已完成的訪問(wèn)授權(quán)單。管理職責(zé)管理承諾管理者應(yīng)通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)的承諾提供證據(jù)：)制定方針；)確保目標(biāo)和計(jì)劃得以制定；)建立信息安全的角色和職責(zé)；)向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；)提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)（見(jiàn) ）；)決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；)確保內(nèi)部審核的執(zhí)行（見(jiàn)

21、第章）；)實(shí)施的管理評(píng)審（見(jiàn)第章）。資源管理資源提供組織應(yīng)確定并提供所需的資源，以：)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)；)確保信息安全程序支持業(yè)務(wù)要求；)識(shí)別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；)通過(guò)正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩?必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)響應(yīng)評(píng)審的結(jié)果；12 / 44)在需要時(shí)，改進(jìn)的有效性。培訓(xùn)、意識(shí)和能力組織應(yīng)通過(guò)以下方式，確保所有分配有職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：)確定從事影響工作的人員所必要的能力；)提供能力培訓(xùn)，必要時(shí)，聘用有能力的人員以滿足這些需求；)評(píng)價(jià)所提供的培訓(xùn)和所采取的措施的有效性；)保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見(jiàn)

22、）。組織也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到目標(biāo)做出貢獻(xiàn)。內(nèi)部審核組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以確定其的控制目標(biāo)、控制措施、過(guò)程和程序是否：)符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；)符合已確定的信息安全要求；)得到有效地實(shí)施和保持；)按預(yù)期執(zhí)行。應(yīng)在考慮擬審核的過(guò)程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄（見(jiàn)）的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)定。負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保

23、及時(shí)采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動(dòng)應(yīng)包括對(duì)所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告（見(jiàn)第章）。注：給出了管理體系審核的基本指南，也可作為認(rèn)證機(jī)構(gòu)的指南。的管理評(píng)審總則管理者應(yīng)按計(jì)劃的時(shí)間間隔（至少每年次）評(píng)審組織的，以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)估改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見(jiàn)）。評(píng)審輸入管理評(píng)審的輸入應(yīng)包括：)審核和評(píng)審的結(jié)果；)相關(guān)方的反饋；)組織用于改進(jìn)執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；)預(yù)防和糾正措施的狀況；)以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；)有效性測(cè)量的結(jié)果；)以往管

24、理評(píng)審的跟蹤措施；13 / 44)可能影響的任何變更；)改進(jìn)的建議。評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：)有效性的改進(jìn)；)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新；)必要時(shí)修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響的事件，包括以下的變更：)業(yè)務(wù)要求；)安全要求；)影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程；)法律法規(guī)環(huán)境；)合同義務(wù)；)風(fēng)險(xiǎn)級(jí)別和或接受風(fēng)險(xiǎn)的準(zhǔn)則。)資源需求；)正在被測(cè)量的控制措施的有效性的改進(jìn)。改進(jìn)持續(xù)改進(jìn)組織應(yīng)通過(guò)使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評(píng)審（見(jiàn)第章），持續(xù)改進(jìn)的有效性。糾正措施組織應(yīng)采取措施，以消除與要求不符合的原因，

25、以防止再發(fā)生。形成文件的糾正措施程序，應(yīng)規(guī)定以下方面的要求：)識(shí)別不符合；)確定不符合的原因；)評(píng)價(jià)確保不符合不再發(fā)生的措施需求；)確定和實(shí)施所需要的糾正措施；)記錄所采取措施的結(jié)果（見(jiàn)）；)評(píng)審所采取的糾正措施。預(yù)防措施組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)。形成文件的預(yù)防措施程序，應(yīng)規(guī)定以下方面的要求：)識(shí)別潛在的不符合及其原因；)評(píng)價(jià)防止不符合發(fā)生的措施需求；)確定和實(shí)施所需要的預(yù)防措施；)記錄所采取措施的結(jié)果（見(jiàn)）；)評(píng)審所采取的預(yù)防措施。組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn)，并識(shí)別針對(duì)重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求。預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)

26、果確定。注：預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。14 / 44附錄（規(guī)范性附錄）控制目標(biāo)和控制措施表所列的控制目標(biāo)和控制措施是直接引用并與第到章一致。表中的清單并不完備，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款規(guī)定的過(guò)程的一部分。第至章提供了最佳實(shí)踐的實(shí)施建議和指南，以支持到列出的控制措施。表控制目標(biāo)和控制措施15 / 44安全方針信息安全方針目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全。信息安全方針控制措施文件信息安全方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。信息安全方針控制措施的評(píng)審應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變

27、化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審，以確保它持續(xù)的適宜性、充分性和有效性。信息安全組織內(nèi)部組織目標(biāo)：在組織內(nèi)管理信息安全。信息安全的管控制措施理承諾管理者應(yīng)通過(guò)清晰的說(shuō)明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn)，來(lái)積極支持組織內(nèi)的安全。信息安全協(xié)調(diào)控制措施信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門(mén)并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào)。信息安全職責(zé)控制措施的分配所有的信息安全職責(zé)應(yīng)予以清晰地定義。信息處理設(shè)施控制措施的授權(quán)過(guò)程新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán)過(guò)程。保密性協(xié)議控制措施應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。與政府部門(mén)的控制措施聯(lián)系應(yīng)保持與政府相關(guān)部門(mén)的適當(dāng)聯(lián)系。

28、與特定權(quán)益團(tuán)控制措施體的聯(lián)系應(yīng)保持與特定權(quán)益團(tuán)體、其他安全專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。信息安全的獨(dú)控制措施立評(píng)審組織管理信息安全的方法及其實(shí)施（例如信息安全的控制目標(biāo)、控制措施、策略、過(guò)程和程序）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審，當(dāng)安全實(shí)施發(fā)生重大變化時(shí)，也要進(jìn)行獨(dú)立評(píng)審。16 / 44解釋：術(shù)語(yǔ)“責(zé)任人”是被認(rèn)可，具有控制生產(chǎn)、開(kāi)發(fā)、保持、使用和資產(chǎn)安全的個(gè)人或?qū)嶓w。術(shù)語(yǔ)“責(zé)任人”不指實(shí)際上對(duì)資產(chǎn)具有財(cái)產(chǎn)權(quán)的人。解釋：這里的“任用”意指以下不同的情形：人員任用（暫時(shí)的或長(zhǎng)期的）、工作角色的指定、工作角色的變化、合同的分配及所有這些安排的終止。17 / 44外部各方目標(biāo)：保持組織的被外部各方訪問(wèn)

29、、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全。與外部各方相控制措施關(guān)風(fēng)險(xiǎn)的識(shí)別應(yīng)識(shí)別涉及外部各方業(yè)務(wù)過(guò)程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允許訪問(wèn)前實(shí)施適當(dāng)?shù)目刂拼胧?。處理與顧客有控制措施關(guān)的安全問(wèn)題應(yīng)在允許顧客訪問(wèn)組織信息或資產(chǎn)之前處理所有確定的安全要求。處理第三方協(xié)控制措施議中的安全問(wèn)涉及訪問(wèn)、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第題三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議，應(yīng)涵蓋所有相關(guān)的安全要求。資產(chǎn)管理對(duì)資產(chǎn)負(fù)責(zé)目標(biāo)：實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。資產(chǎn)清單控制措施應(yīng)清晰的識(shí)別所有資產(chǎn)，編制并維護(hù)所有重要資產(chǎn)的清單。資產(chǎn)責(zé)任人控制措施與信息處理

30、設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門(mén)或人員承擔(dān)責(zé)任。資產(chǎn)的合格使控制措施用與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。信息分類目標(biāo)：確保信息受到適當(dāng)級(jí)別的保護(hù)。分類指南控制措施信息應(yīng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類。信息的標(biāo)記和控制措施處理應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處理程序。人力資源安全任用之前目標(biāo)：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)。角色和職責(zé)控制措施雇員、承包方人員和第三方人員的安全角色和職責(zé)應(yīng)按照組織的信息安全方針定義并形成文件。審查控

31、制措施關(guān)于所有任用的候選者、承包方人員和第三方人員的背景驗(yàn)證檢查應(yīng)按照相關(guān)法律法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求、被訪問(wèn)信息的類別和察覺(jué)的風(fēng)險(xiǎn)來(lái)執(zhí)行。18 / 4419 / 44任用條款和條控制措施件作為他們合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他們和組織的信息安全職責(zé)。任用中目標(biāo)：確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全方針，以減少人為過(guò)失的風(fēng)險(xiǎn)。管理職責(zé)控制措施管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和程序?qū)Π踩M心盡力

32、。信息安全意識(shí)、控制措施教育和培訓(xùn)組織的所有雇員，適當(dāng)時(shí)，包括承包方人員和第三方人員，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針策略及程序的定期更新培訓(xùn)。紀(jì)律處理過(guò)程控制措施對(duì)于安全違規(guī)的雇員，應(yīng)有一個(gè)正式的紀(jì)律處理過(guò)程。任用的終止或變化目標(biāo)：確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系。終止職責(zé)控制措施任用終止或任用變化的職責(zé)應(yīng)清晰的定義和分配。資產(chǎn)的歸還控制措施所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。撤銷訪問(wèn)權(quán)控制措施所有雇員、承包方人員和第三方人員對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)應(yīng)在任用、合同或協(xié)議終止時(shí)

33、刪除，或在變化時(shí)調(diào)整。物理和環(huán)境安全安全區(qū)域目標(biāo)：防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問(wèn)、損壞和干擾。物理安全邊界控制措施應(yīng)使用安全邊界（諸如墻、卡控制的入口或有人管理的接待臺(tái)等屏障）來(lái)保護(hù)包含信息和信息處理設(shè)施的區(qū)域。物理入口控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問(wèn)。辦公室、房間和控制措施設(shè)施的安全保應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施。護(hù)外部和環(huán)境威控制措施脅的安全防護(hù)為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。在安全區(qū)域工控制措施作應(yīng)設(shè)計(jì)和運(yùn)用用于安全區(qū)域工作的物理保護(hù)和指南。20 / 4

34、421 / 44公共訪問(wèn)、交接控制措施區(qū)安全訪問(wèn)點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以控制，如果可能，要與信息處理設(shè)施隔離，以避免未授權(quán)訪問(wèn)。設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷。設(shè)備安置和保控制措施護(hù)應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì)。支持性設(shè)施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。布纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽(tīng)或損壞。設(shè)備維護(hù)控制措施設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。組織場(chǎng)所外的控制措施設(shè)備安全應(yīng)對(duì)組織

35、場(chǎng)所的設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)。設(shè)備的安全處控制措施置或再利用包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊(cè)軟件已被刪除或安全重寫(xiě)。資產(chǎn)的移動(dòng)控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。通信和操作管理操作程序和職責(zé)目標(biāo)：確保正確、安全的操作信息處理設(shè)施。文件化的操作控制措施程序操作程序應(yīng)形成文件、保持并對(duì)所有需要的用戶可用。變更管理控制措施對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。責(zé)任分割控制措施各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。開(kāi)發(fā)、測(cè)試和運(yùn)控制措施行設(shè)施分離開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)

36、分離，以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。第三方服務(wù)交付管理目標(biāo)：實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn)。服務(wù)交付控制措施應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。第三方服務(wù)的控制措施監(jiān)視和評(píng)審應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄，審核也應(yīng)定期22 / 4423 / 44執(zhí)行。第三方服務(wù)的控制措施變更管理應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估。系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小。容量管理控制措施資源的使用應(yīng)加以監(jiān)視、

37、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。系統(tǒng)驗(yàn)收控制措施應(yīng)建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則，并且在開(kāi)發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。防范惡意和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。控制惡意代碼控制措施應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序?？刂埔苿?dòng)代碼控制措施當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。信息備份控制措施應(yīng)按照已設(shè)的備份策略，定期備份和測(cè)試信息和軟件。網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持

38、性的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)控制控制措施應(yīng)充分管理和控制網(wǎng)絡(luò)，以防止威脅的發(fā)生，維護(hù)系統(tǒng)和使用網(wǎng)絡(luò)的應(yīng)用程序的安全，包括傳輸中的信息。網(wǎng)絡(luò)服務(wù)的安控制措施全安全特性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無(wú)論這些服務(wù)是由內(nèi)部提供的還是外包的。介質(zhì)處置目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷?？梢苿?dòng)介質(zhì)的控制措施管理應(yīng)有適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序。介質(zhì)的處置控制措施不再需要的介質(zhì)，應(yīng)使用正式的程序可靠并安全地處置。信息處理程序控制措施應(yīng)建立信息的處理及存儲(chǔ)程序，以防止信息的未授權(quán)的泄漏或不當(dāng)使用。系統(tǒng)文件安全控制措施應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問(wèn)

39、。24 / 4425 / 44信息的交換目標(biāo)：保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全。信息交換策略控制措施和程序應(yīng)有正式的交換策略、程序和控制措施，以保護(hù)通過(guò)使用各種類型通信設(shè)施的信息交換。交換協(xié)議控制措施應(yīng)建立組織與外部團(tuán)體交換信息和軟件的協(xié)議。運(yùn)輸中的物理控制措施介質(zhì)包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。電子消息發(fā)送控制措施包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)。業(yè)務(wù)信息系統(tǒng)控制措施應(yīng)建立和實(shí)施策略和程序以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)的信息。電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)服務(wù)的安全及其安全使用。電子商務(wù)控制措施包含在使用公共網(wǎng)絡(luò)的電子

40、商務(wù)中的信息應(yīng)受保護(hù)，以防止欺詐活動(dòng)、合同爭(zhēng)議和未授權(quán)的泄露和修改。在線交易控制措施包含在在線交易中的信息應(yīng)受保護(hù)，以防止不完全傳輸、錯(cuò)誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。公共可用信息控制措施在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改。監(jiān)視目標(biāo)：檢測(cè)未授權(quán)的信息處理活動(dòng)。審核日志控制措施應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常和信息安全事件的審核日志，并要保持一個(gè)已設(shè)的周期以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視。監(jiān)視系統(tǒng)的使控制措施用應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的結(jié)果要經(jīng)常評(píng)審日志信息的?？刂拼胧┳o(hù)記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問(wèn)

41、。管理員和操作控制措施員日志系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。故障日志控制措施故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧?。時(shí)鐘同步控制措施一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。訪問(wèn)控制訪問(wèn)控制的業(yè)務(wù)要求26 / 4427 / 44目標(biāo)：控制對(duì)信息的訪問(wèn)。訪問(wèn)控制策略控制措施訪問(wèn)控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和訪問(wèn)的安全要求進(jìn)行評(píng)審。用戶訪問(wèn)管理目標(biāo)：確保授權(quán)用戶訪問(wèn)信息系統(tǒng)，并防止未授權(quán)的訪問(wèn)。用戶注冊(cè)控制措施應(yīng)有正式的用戶注冊(cè)及注銷程序，來(lái)授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服務(wù)的訪問(wèn)。特權(quán)管理控制措施應(yīng)限制和控制特殊權(quán)限的分配及使用。用戶口令管理控制措施應(yīng)通過(guò)正式的管理過(guò)程控制口令的分配。用戶訪問(wèn)權(quán)的控制措施復(fù)查管理者應(yīng)定期使用正式過(guò)程對(duì)用戶的訪問(wèn)權(quán)進(jìn)行復(fù)查。用戶職責(zé)目標(biāo)：防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問(wèn)、危害或竊取?？诹钍褂每刂拼胧?yīng)要求用戶在選擇及使用口令時(shí)，遵循良好的安全習(xí)慣。無(wú)人值守的用控制措施戶設(shè)備用戶應(yīng)確保無(wú)人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。清空桌面和屏控制措施幕策略應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略。網(wǎng)絡(luò)訪問(wèn)控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問(wèn)。使用網(wǎng)絡(luò)服務(wù)控制措施的策略用戶應(yīng)僅能訪問(wèn)已獲專門(mén)授權(quán)使用的服務(wù)。外部連接的用控制措施戶鑒別應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪