ICS35040

L80.

中華人民共和國國家標準

GB/T22081—2016/ISO/IEC270022013

代替:

GB/T22081—2008

信息技術安全技術

信息安全控制實踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

informationsecuritycontrols

(ISO/IEC27002:2013,IDT)

2016-08-29發布2017-03-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T22081—2016/ISO/IEC270022013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

背景和環境

0.1…………………………Ⅳ

信息安全要求

0.2………………………Ⅳ

控制的選擇

0.3…………………………Ⅴ

編制組織自己的指南

0.4………………Ⅴ

生命周期的考慮

0.5……………………Ⅴ

相關標準

0.6……………Ⅴ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

標準結構

4…………………1

章節

4.1…………………1

控制類別

4.2……………1

信息安全策略

5……………2

信息安全管理指導

5.1…………………2

信息安全組織

6……………3

內部組織

6.1……………3

移動設備和遠程工作

6.2………………5

人力資源安全

7……………7

任用前

7.1………………7

任用中

7.2………………8

任用的終止和變更

7.3…………………10

資產管理

8…………………10

有關資產的責任

8.1……………………10

信息分級

8.2……………11

介質處理

8.3……………13

訪問控制

9…………………14

訪問控制的業務要求

9.1………………14

用戶訪問管理

9.2………………………15

用戶責任

9.3……………18

系統和應用訪問控制

9.4………………19

密碼

10……………………21

密碼控制

10.1…………………………21

物理和環境安全

11………………………23

Ⅰ

GB/T22081—2016/ISO/IEC270022013

:

安全區域

11.1…………………………23

設備

11.2………………25

運行安全

12………………28

運行規程和責任

12.1…………………28

惡意軟件防范

12.2……………………30

備份

12.3………………31

日志和監視

12.4………………………32

運行軟件控制

12.5……………………34

技術方面的脆弱性管理

12.6…………34

信息系統審計的考慮

12.7……………36

通信安全

13………………36

網絡安全管理

13.1……………………36

信息傳輸

13.2…………………………38

系統獲取開發和維護

14、…………………40

信息系統的安全要求

14.1……………40

開發和支持過程中的安全

14.2………………………42

測試數據

14.3…………………………45

供應商關系

15……………46

供應商關系中的信息安全

15.1………………………46

供應商服務交付管理

15.2……………48

信息安全事件管理

16……………………49

信息安全事件的管理和改進

16.1……………………49

業務連續性管理的信息安全方面

17……………………52

信息安全的連續性

17.1………………52

冗余

17.2………………54

符合性

18…………………54

符合法律和合同要求

18.1……………54

信息安全評審

18.2……………………56

附錄資料性附錄與對比

NA()GB/T22081—2016GB/T22081—2008…………58

附錄資料性附錄與主要關鍵詞變化

NB()GB/T22081—2016GB/T22081—2008……………64

參考文獻

……………………65

Ⅱ

GB/T22081—2016/ISO/IEC270022013

:

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息技術安全技術信息安全管理實用規則

GB/T22081—2008《》。

本標準與相比主要技術變化如下

GB/T22081—2008,:

結構變化見附錄

———NA;

術語變化見附錄

———NB。

本標準使用翻譯法等同采用信息技術安全技術信息安全控制實踐指

ISO/IEC27002:2013《

南及其相應的技術勘誤

》(ISO/IEC27002:2013/COR1:2014)。

與本標準中規范性引用的國際文件有一致性對應關系的我國文件如下

:

信息技術安全技術信息安全管理體系概述和詞匯

———GB/T29246—2012(ISO/IEC27000:

2009,IDT)。

本標準做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院中電長城網際系統應用有限公司中國信息安全認

:、、

證中心山東省標準化研究院廣州賽寶認證中心服務有限公司北京江南天安科技有限公司上海三零

、、、、

衛士信息安全有限公司中國合格評定國家認可中心北京時代新威信息技術有限公司黑龍江電子信

、、、

息產品監督檢驗院浙江遠望電子有限公司杭州在信科技有限公司

、、。

本標準主要起草人許玉娜上官曉麗閔京華尤其公偉盧列文倪文靜王連強陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽

、、、、、、、、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T22081—2008。

Ⅲ

GB/T22081—2016/ISO/IEC270022013

:

引言

01背景和環境

.

本標準可作為組織基于[10]實現信息安全管理體系過程中選擇控制時的參考

GB/T22080(ISMS),

或作為組織在實現通用信息安全控制時的指南在考慮具體信息安全風險環境后本標準也可用于制

。,

定特定行業和特定組織的信息安全管理指南

。

所有類型和規模的組織包括公共和私營部門商業組織非盈利性組織都會收集處理存儲和傳

(、、)、、

輸包括電子物理和語音如會談和演講等多種形式的信息

、()。

信息的價值超越文字數字和圖像的本身例如知識概念觀點和品牌都是無形信息在互聯世

、,:、、。

界中對于組織業務而言信息和相關過程系統網絡及其操作處理與保護活動中所涉及的人員都是資

,、、、

產與其他重要的業務資產一樣對組織的業務至關重要因此值得或需要保護以防范各種危害

,,,。

資產易遭受故意和意外的威脅且相關的過程系統網絡和人員均有其固有脆弱性業務過程和

;、、。

系統的變更或其他外部變更如新的法律法規可能產生新的信息安全風險因此考慮到威脅利用脆

()。,

弱性損害組織的途徑多種多樣信息安全風險始終存在有效的信息安全通過防范威脅和脆弱性使組

,。

織得到保護來減少風險從而降低對其資產的影響

,。

信息安全可通過實現一組合適的控制來達到包括策略過程規程組織結構和軟硬件功能必要時需

,、、、。,

要建立實現監視評審和改進這些控制以確保其滿足組織特定的安全和業務目標[10]

、、、,。GB/T22080

規定的采用整體的協調的觀點看待組織的信息安全風險以便在一致的管理體系總體框架下實

ISMS、,

現一套全面的信息安全控制

。

從[10]和本標準來看許多信息系統的設計未達到是安全的通過技術手段可獲得的

GB/T22080,。

安全是有限的宜通過適當的管理和規程給予支持確定哪些控制應該存在這需要仔細規劃并注意細

,。,

節一個成功的信息安全管理體系需要得到組織內的所有員工的支持股東供應商或其他外部各方的

。,、

參與也需要外部各方的專家建議

,。

在更一般的意義上有效的信息安全也向管理者及其他相關方保證組織資產處于合理的安全并受

,,

到保護不被損害因此其角色等同于業務推動者

,。

02信息安全要求

.

組織識別其安全要求是必要的安全要求的個主要來源是

。3:

考慮組織的整體業務戰略與目標對組織風險的評估通過風險評估識別資產受到的威脅

a),。,,

評價易受威脅利用的脆弱性和威脅發生的可能性估計潛在的影響

,;

組織及其貿易伙伴合同方和服務提供商必須滿足的法律法規規章制度和合同要求以及他

b)、、、,

們的社會文化環境

;

組織為支持其運行針對信息的操作處理存儲通信和歸檔而建立的原則目標和業務要求

c),、、、、。

實現控制所使用的資源必須權衡缺少這些控制而導致的安全問題以及可能導致的業務危害風

,。

險評估的結果將有助于指導和確定合適的管理措施信息安全風險管理的優先級以及為防范這些風險

、

所選擇控制實現的優先級

。

[11]提供了信息安全風險管理指南包括風險評估風險處置風險接受風險溝通

ISO/IEC27005,、、、、

風險監視和風險評審各方面的建議

。

Ⅳ

GB/T22081—2016/ISO/IEC270022013

:

03控制的選擇

.

控制可以選自本標準或其他控制集或適當時針對特定的需求設計新的控制

,。

控制的選擇取決于組織決策該決策基于風險接受準則風險處置選項組織采用的通用風險管理

,、、

方法控制的選擇也必須遵守所有相關的國家法律法規同時控制的選擇也取決于控制交互方式以提

;。

供縱深防御

。

本標準中的某些控制可被當作信息安全管理的指導原則并且可用于大多數組織在每個控制之

,。

下詳細地給出了其實現指南有關選擇控制的更詳細信息以及其他的風險的處置選項可參見

,。,

[11]

ISO/IEC27005。

04編制組織自己的指南

.

本標準可作為組織制定其特定指南的起點對一個組織來說本標準中的控制和指南并非全部適

。,

用另外可能還需要增加一些不包含在本標準中的控制和指南當制定包含一些增加的控制和指南

。,。

的組織文件時給出一些對本標準可用條款的交叉應用這可能是有用的以支持審核員和和業務伙伴

,,,

的符合性檢查

。

05生命周期的考慮

.

信息有其固有的生命周期即從其創建和產生經過存儲處理使用和傳輸到其最終銷毀或消失

,,、、。

在其生命周期中信息資產的價值和所面臨的風險可能會變化如在公司賬目正式公布后對它的竊取

,(,

和未授權泄露所產生的危害將極大的降低但在所有階段信息安全仍存在一定程度的重要性

),,。

信息系統的生命周期包括構思規約設計開發測試實現使用維護并最終退役和銷毀在每

、、、、、、、,。

一階段均應考慮到信息安全在每一階段上均應考慮信息安全開發新的系統或對現有系統的改變

。。,

為組織升級和改進安全控制提供了機會同時應考慮實際的安全事件以及當前和預測的信息安全風險

,。

06相關標準

.

本標準就一個廣泛的可通用于不同組織的信息安全控制集提供了相應的指南而信息安全管理

、,;

體系標準族中的其他標準就信息安全管理全過程的其他方面提供了補充建議或要求

。

信息安全管理體系標準的總體介紹參見中提供的詞匯表確定了

ISO/IEC27000。ISO/IEC27000

信息安全管理體系標準中使用的絕大部分術語并描述了每個標準的范圍和目標

,。

Ⅴ

GB/T22081—2016/ISO/IEC270022013

:

信息技術安全技術

信息安全控制實踐指南

1范圍

本標準為組織的信息安全標準和信息安全管理實踐提供了指南包括考慮了組織信息安全風險環