Technologiesdel’infordemanagementdelasécuritédel’information—ExigencesISO/IEC27001Informationtechnology-Security-Informationsecuritymanagementsystems-Req 1 3 5 5 5 5 5 5 5 7 7 7 7 9 9 9 17 23 2 4 6 6 6 6 8 1f2ISO（國際標準化組織）和IEC（國際電工委員會）是為國際標準化制定專門體制的國際組織。國家機構是ISO或IEC的成員，他們通過各自的組織建立技術委員會參與國際標準的制定，來處理特定領通過聯絡ISO和IEC參與這項工作。ISO和IEC已經第二版進行了技術上的修訂，并取消和替代第一版（I3ttt0.2Compatibilitywithothermanagementsystemstandards4ISO/IEC27000描述了信息安全管理體系的概述和詞匯，參考了信息安ISO/IEC27003、ISO/IEC27004和IS5tsystems—Overviewandvocabulary4.1Understandingt4.2Understandingtheneedsandexpect4.3Determiningthescopeoftheinformatio6信息技術-安全技術-信息安全管理體系-要求本標準還規定了為適應組織需要而定制的信息安全風險評估和處置的要求ISO/IEC27000，信息技術—安全技術—信息安全管理體系—4組織環境4.1理解組織及其環境組織應確定與其目標相關并影響其實現信息安全管理體系預期結果的能力的外部和內注：確定這些問題涉及到建立組織的外部和內部環境，在ISO31000:2009[5]的5.3節考慮了這一事項。4.2理解相關方的需求和期望注：相關方的要求可能包括法律法規要求和合同義務。4.3確定信息安全管理體系的范圍組織應確定信息安全管理體系的邊界和適用性，以建74.4Informationsecuritymana8c)組織所執行的活動之間以及與其它組織4.4信息安全管理體系5.1領導和承諾b)確保將信息安全管理體系要求整合到組織的業務過程中；d)傳達信息安全管理有效實施、符合信息安全管理體系要求的重要性；f)指揮并支持人員為信息安全管理體系的有效實施作出貢獻；h)支持其他相關管理角色在其職責范圍內展示他們的領導力。b)包含信息安全目標（見6.2）或設置信息安全目標提供框架；d)包含信息安全管理體系持續改進的承諾。95.3Organizationalroles,r6.1Actionstoadd6.1.2Informationsecurityriskaf)在組織內部進行傳達；5.3組織角色、職責和權限b)將信息安全管理體系的績效報告給高層管理者。注：高層管理者可能還要分配在組織內部報告信息安全管理體系績效的職責和權限。b)確保重復性的信息安全風險評估可產生一致的、有效的和可比較的結果；k6.1.3Informationsecurityrikttprocess.1)應用信息安全風險評估過程來識別信息安全管理體系范圍內的信息喪失保密性、完整性和2)評估6.1.2c）1）中所識別風險b)為實施所選擇的信息安全風險處置選項，確定所有必需的控制措施；注：組織可按要求設計控制措施，或從其他來源識別控制措施。注1：附錄A包含了一份全面的控制目標和控制措施的列表。本標準用戶可利用附錄A以確保不會遺漏必要的控制措施。注2：控制目標包含于所選擇的控制措施內。附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要另外的控制目標和控制措施。f)獲得風險負責人對信息安全風險處置計劃以及接受信息安全殘余風險的批準。注：本標準中的信息安全風險評估和處置過程可與ISO31000[5]中規定的原則和通用指南相結合。ta)確定從事影響信息安全執行工作的人員在組織的控制下b)確保人員在適當教育，培訓和經驗的基礎上能夠勝任工作；c)適用時，采取措施來獲得必要的能力，并d)保留適當的文件記錄信息作為能力方面的證據。注：例如適當措施可能包括為現有員工提供培訓、對其進行指導或重新分配工作；雇用或簽約有能力的f3)thecompetenceofpersons.7.5.3Controlofdb)他們對有效實施信息安全管理體系的貢獻，包括信息安全績效改進后的益處；b)組織為有效實施信息安全管理體系確定的必要的文件記錄信息。注：不同組織的信息安全管理體系文件記錄信息的詳略程度取決于：1)組織的規模及其活動、過程、產品和服務的類型；2)過程的復雜性及其相互作用；3)人員的能力。信息安全管理體系和本標準所要求的文件記錄信息應予以控制，以tt8.2Informationsecurityriskass8.3Informationsecurityriskt9.1Monitoring,m注：訪問隱含一個權限決策：僅能查看文件記錄信息，或有權去查看和變更文件記錄信息等。組織應保持文件記錄信息達到必要的程度：有信心證明過程是按計組織應控制計劃了的變更，評審非預期變更的后果，必要時采取措施減緩負9績效評價9.1監視、測量、分析和評價tb)監視、測量、分析和評價的方法，適用時，確保結果有效；注：選擇的方法最好產生可比較和可再現的結果，這樣才能被認為是有效的。f)誰應分析和評價這些結果。c)規劃、建立、實施和保持審核方案，包括頻次、方法、職責、計劃要求和報告。審核方案應考g)保留文件記錄信息作為審核方案和審核結果的證據。9.3管理評審b)與信息安全管理體系相關的外部和內部問題的變更；t管理評審的輸出應包括與持續改進機會有關f)不符合的性質以及所采取的所有后續措施；組織應持續改進信息安全管理體系的適宜性、充分性TableA.1—ControlobjectivesandcontrolsA.5InformationsecuritypoliciesA.5.1ManagementdirectionforinformationsecurityA.6OrganizationofinformationsecurityA.6.1InternalorganizationtiestiesinterestgroupsA.6.2Mobiledevicesandteleworking表A.1控制目標和控制措施A.5信息安全策略A.5.1.1控制措施A.5.1.2信息安全策略控制措施A.6信息安全組織A.6.1.1信息安全角色控制措施A.6.1.2控制措施A.6.1.3與政府部門的控制措施A.6.1.4與特定利益集控制措施A.6.1.5項目管理中的控制措施sites.A.7HumanresourcesecurityScreeningresponsibilities.bilitiesA.7.3TerminationandchangeofemploymentsibilitiesA.8AssetmanagementA.8.1ResponsibilityforassetsA.6.2.1控制措施A.6.2.2控制措施A.7人力資源安全A.7.1任用之前A.7.1.1控制措施A.7.1.2任用條款和條件控制措施A.7.2任用中A.7.2.1控制措施管理者應要求所有雇員和承包方人員按照組織已A.7.2.2控制措施相關的適當的意識培訓和組織策略及規程的定期更新A.7.2.3控制措施應有一個正式的、已傳達的紀律處理過程，來對信息安全違規的雇A.7.3任用的終止或變更A.7.3.1任用終止或變控制措施應定義信息安全職責和義務在任用終止或變更后保持有效的要求，A.8.1.1A.8.1.2A.8.1.3A.8.1.4A.8.2InformationclassificationA.8.2.1A.8.2.2tionA.8.2.3A.8.3MediahandlingA.8.3.1A.8.3.2A.8.3.3A.9AccesscontrolA.9.1BusinessrequirementsofaccesscontrolA.8.1.1控制措施A.8.1.2控制措施A.8.1.3資產的可接受控制措施A.8.1.4控制措施A.8.2信息分類A.8.2.1控制措施A.8.2.2控制措施規程。A.8.2.3控制措施A.8.3介質處置A.8.3.1可移動介質的管理控制措施A.8.3.2控制措施A.8.3.3控制措施A.9訪問控制A.9.2Useraccessmanagementvices.A.9.2.1A.9.2.2services.A.9.2.3A.9.2.4rightsA.9.3UserresponsibilitiesA.9.3.1A.9.4SystemandapplicationaccesscontrolrestrictionSecurelog-onproce-A.9.1.1控制措施A.9.1.2網絡和網絡服控制措施A.9.2用戶訪問管理A.9.2.1用戶注冊及注銷控制措施應實施正式的用戶注冊及注銷規程，使訪問權限得以A.9.2.2控制措施A.9.2.3特殊訪問權限控制措施A.9.2.4用戶秘密鑒別控制措施A.9.2.5用戶訪問權限控制措施A.9.2.6撤銷或調整訪控制措施A.9.3用戶職責A.9.3.1使用秘密鑒別控制措施A.9.4.1控制措施A.9.4.2控制措施Useofprivilegedutil-controlled.Accesscontroltopro-A.10CryptographyA.10.1CryptographiccontrolsA.11PhysicalandenvironmentalsecurityA.11.1SecureareasperimeterA.9.4.3控制措施A.9.4.4特殊權限使用工具軟件的使用控制措施對于可能超越系統和應用程序控制措施的適用工具軟件的使A.9.4.5對程序源代碼控制措施A.10密碼學A.10.1密碼控制A.10.1.1使用密碼控制控制措施A.10.1.2控制措施的策略。控制措施設施的區域。控制措施訪問。控制措施外部環境威脅控制措施在安全區域工作控制措施控制措施A.11.2.1protectionA.11.2.2SupportingutilitiesA.11.2.3A.11.2.4A.11.2.7A.11.2.8protection.A.11.2.9A.12OperationssecurityA.12.1OperationalproceduresandresponsibilitiesA.12.1.1proceduresA.12.1.2becontrolled.設備安置和保護控制措施控制措施應保護設備使其免于由支持性設施的失效而引起的電源控制措施應保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或控制措施控制措施組織場外設備控制措施設備的安全處控制措施無人值守的用控制措施清空桌面和屏控制措施A.12.1.1文件化的操作控制措施A.12.1.2控制措施A.12.1.3A.12.1.4A.12.2ProtectionfrommalwareA.12.2.1A.12.3BackupA.12.3.1A.12.4LoggingandmonitoringA.12.4.1reviewed.A.12.4.2Protectionofloginfor-A.12.4.3A.12.4.4glereferencetimesource.A.12.5ControlofoperationalsoftwareA.12.6TechnicalvulnerabilitymanagementA.12.1.3控制措施A.12.1.4控制措施A.12.2惡意軟件防護A.12.1.1控制措施A.12.3.1控制措施A.12.4.1控制措施應產生記錄用戶活動、異常情況、故障和信息安全事態A.12.4.2日志信息的保護控制措施記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪A.12.4.3管理員和操作控制措施系統管理員和系統操作員的活動應記入日志，A.12.4.4控制措施一個組織或安全域內的所有相關信息處理設施的A.12.5.1在運行系統上控制措施A.12.6技術脆弱性管理Restrictionsonsoft-A.12.7Informationsystemsauditconsiderationsdisruptionstobusinessprocesses.A.13CommunicationssecurityA.13.1NetworksecuritymanagementA.13.1.2servicesA.13.1.3A.13.2InformationtransferA.13.2.1A.13.2.2Agreementsoninfor-A.13.2.3A.12.6.1技術脆弱性的控制措施A.12.6.2控制措施A.12.7信息系統審計考慮A.12.7.1信息系統審計控制措施A.13.1.1控制措施A.13.1.2控制措施A.13.1.3控制措施A.13.2信息傳遞A.13.2.1信息傳遞策略控制措施A.13.2.2控制措施A.13.2.3控制措施A.13.2.4A.14Systemacquisition,developmentandmaintenanceA.14.1SecurityrequirementsofinformationsystemsA.14.2SecurityindevelopmentandsupportprocessesA.14.2.2proceduresA.14.2.3RestrictionsonneeringprinciplesA.13.2.4保密性或不泄控制措施A.14系統獲取、開發和維護目標：確保信息安全是信息系統整個生命周期中的一個有機組成部分。這也包括提供公共網絡服A.14.1.1信息安全要求控制措施信息安全相關要求應包括新的信息系統要求或增強已有信息A.14.1.2公共網絡應用控制措施A.14.1.3保護應用服務控制措施A.14.2.1控制措施A.14.2.2系統變更控制控制措施應通過使用正式變更控制程序控制開發生命周期中的系統A.14.2.3運行平臺變更后應用的技術控制措施A.14.2.4軟件包變更的控制措施A.14.2.5安全系統工程控制措施Outsourceddevelop-A.14.2.8testingA.15SupplierrelationshiA.15.1InformationsecurityinsupplierrelationshipsA.15.2SupplierservicedeliverymanagementofsupplierservicessupplierservicesA.14.2.6控制措施A.14.2.7控制措施A.14.2.8控制措施A.14.2.9控制措施A.14.3測試數據A.14.3.1系統測試數據控制措施A.15.1.1供應商關系的控制措施A.15.1.2處理供應商協控制措施A.15.1.3信息和通信技控制措施供應商協議應包括信息和通信技術服務以及產品供應鏈相A.15.2.1供應商服務的控制措施A.15.2.2供應商服務的控制措施A.16InformationsecurityincidentmanagementA.16.1Managementofinformationsecurityincidentsandimprovementsprocedurestemsorservices.withthedocumentedprocedures.futureinciden