《信息安全控制参考.docx》由会员分享,可在线阅读,更多相关《信息安全控制参考.docx(4页珍藏版)》请在第壹文秘上搜索。
1、附录A信息安全控制参考表A.1所列的信息安全控制是直接源自GB/T22081-XXXX第5章到第8章中所列的信息安全控制并与之相一致,应与6.1.3一起使用。表A.1信息安全控制5组织控制5.1信息安全策略应定义信息安全方针和特定主题策略,由管理层批准后发布,传达并让相关工作人员和相关方知悉,按计划的时间间隔以及在发生重大变更时对其进行评审5.2信息安全角色和责任信息安全角色和责任应根据组织需求进行定义和分配5.3职责分离应分离相互冲突的职责和责任范围5.4管理责任管理层应要求所有工作人员根据组织已建立的信息安全方针、特定主题策略和规程,履行信息安全责任5.5与职能机构的联系组织应建立并维护与
2、相关职能机构的联系5.6与特定相关方的联系组织应建立并维护与特定相关方或其他专业安全论坛和专业协会的联系5.7威胁情报应收集并分析信息安全威胁相关的信息,以生成威胁情报5.8项目管理中的信息安全应将信息安全整合到项目管理中5.9信息及其他相关资产的清单应编制和维护信息及其他相关资产(包括资产拥有者)的清单5.10信息及其他相关资产的可接受使用应识别、文件化并实施信息及其他相关资产的可接受使用规则和处理规程5.11资产归还适宜时,工作人员和其他相关方在任用、合同或协议变更及终止时,应归还其拥有的所有组织资产5.12信息分级应根据组织基于保密性、完整性、可用性的信息安全需求以及相关方的要求,对信息
3、进行分级5.13信息标记应按照组织采用的信息分级方案,制定并实施适当的信息标记规程5.14信息传输应为组织内部以及组织与其他各方之间所有类型的传输设施,制定信息传输规则、规程或协议5.15访问控制应基于业务和信息安全要求,建立和实施信息及其他相关资产的物理和逻辑访问控制规则5.16身份管理应管理身份的全生存周期5.17鉴别信息应通过管理过程控制鉴别信息的分配和管理,包括向工作人员提供鉴别信息的适当处理建议5.18访问权限应根据组织访问控制的特定主题策略和规则来提供、评审、修改和删除信息及其他相关资产的访问权限5.19供应商关系中的信息安全应定义并实施过程和规程,以管理供应商产品或服务使用相关的
4、信息安全风险5.20在供应商协议中强调信息安全应根据供应商关系的类型建立相关的信息安全要求,并与每个供应商达成一致5.21管理信息通信技术供应链中的信息安全应定义并实施过程和规程,以管理与ICT产品和服务供应链相关的信息安全风险5.22供应商服务的监视、评审和变更管理组织应定期监视、评审、评价和管理供应商信息安全实践和服务交付的变更5.23云服务使用的信息安全应根据组织的信息安全要求,建立云服务的获取、使用、管理和退出过程5.24信息安全事件管理规划和准备组织应通过定义、建立和传达信息安全事件管理过程、角色和责任,规划和准备管理信息安全事件5.25信息安全事态的评估和决策组织应评估信息安全事态
5、,并决定是否将其归类为信息安全事件5.26信息安全事件的响应应按照文件化的规程响应信息安全事件5.27从信息安全事件中学习应使用从信息安全事件中得到的知识来加强和改进信息安全控制5.28证据收集组织应建立并实施包括识别、收集、获取和保存信息安全事态相关证据的规程5.29中断期间的信息安全组织应制定在中断期间将信息安全维持在适当级别的计划5.30业务连续性的信息通信技术就绪应根据业务连续性目标和ICT连续性要求,策划、实施、维护和测试ICT的就绪5.31法律、法规、规章和合同要求应识别、文件化和保持更新与信息安全相关的法律、法规、规章和合同要求,以及组织满足这些要求的方法5.32知识产权组织应实
6、施适当的规程来保护知识产权5.33记录的保护应保护记录不被丢失、破坏、篡改、未经授权的访问和未经授权的发布5.34隐私和个人可识别信息保护组织应根据适用的法律、法规和合同要求,识别并满足有关隐私保护和Pu保护的要求5.35信息安全的独立评审组织管理信息安全的方法及其实现,包括人员、过程和技术,应在计划的时间间隔内或发生重大变化时进行独立评审5.36符合信息安全的策略、规则和标准应定期评审组织的信息安全方针、特定主题策略、规则和标准的符合性5.37文件化的操作规程信息处理设施的操作规程应形成文件,并对有需要的工作人员可用6人员控制6.1审查加入组织前,应对所有工作人员的候选人进行背景审查,并在入
7、职后持续进行,同时考虑适用的法律、法规和道德规范,与业务要求、访问信息的级别和感知到的风险相适宜6.2任用条款和条件应在任用合同协议中规定工作人员和组织对信息安全的责任6.3信息安全意识、教育和培训组织工作人员和相关方应接受适宜的信息安全意识、教育和培训,并获得与其工作职能相关的组织信息安全方针、特定主题策略和规程的定期更新信息6.4违规处理过程应正式制定违规处理过程并将之传达给工作人员和相关方,以便对违反信息安全策略的工作人员和其他相关方采取措施6.5任用终止或变更后的责任应确定任用终止或变更后仍有效的信息安全责任及其义务,传达至相关工作人员和其他相关方并执行6.6保密或不泄露协议应识别、文
8、件化、定期评审反映组织信息保护需求的保密或不泄露协议,并与工作人员和其他相关方签署6.7远程工作应在工作人员远程工作时实施安全措施,以保护在组织场所外所访问的、处理的或存储的信息6.8信息安全事态的报告组织应提供机制,使工作人员通过适当渠道及时报告观察到的或可疑的信息安全事态7物理控制7.1物理安全边界应定义并使用安全边界来保护包含信息及其他相关资产的区域7.2物理入口安全区域应由适当的入口控制和访问点保护7.3办公室、房间和设施的安全保护应对办公室、房间和设施的物理安全进行设计,并予以实施7.4物理安全监视应持续监视场所,以防止发生未经授权的物理访问7.5物理和环境威胁防范应对物理和环境威胁
9、的防范进行设计并予以实施,例如,自然灾害和其它对基础设施有意或无意的物理威胁7.6在安全区域工作应设计并实施在安全区域工作的安全措施7.7清理桌面和屏幕应定义并适当地执行纸质和可移动存储介质的桌面清理规则和信息处理设施的屏幕清理规则7.8设备安置和保护应安全地安置并保护设备7.9组织场所外的资产安全应保护组织场所外的资产7.10存储媒体存储媒体应在其获取、使用、运输和处置的整个生命周期内,按照组织的分级方案和处理要求进行管理7.11支持性设施应保护信息处理设施使其免于由支持性设施的故障而引起的电源故障和其他中断7.12布缆安全应保护传输电力、数据或支持信息服务的电缆免受窃听、干扰或损坏7.13
10、设备维护设备应予以正确的维护,以确保信息的可用性、完整性和保密性7.14设备的安全处置或重复使用应对包含存储媒体的设备的所有部分进行核杳,以确保在处置或重复:使用之前,任何敏感数据和获得许可的软件已被删除或安全地覆写8技术控制8.1用户终端设备应保护用户终端设备所存储或处理的,或通过其访问的信息8.2特许访问权限应限制和管理特许访问权限的分配和使用8.3信息访问限制应按照已建立的访问控制特定主题策略,限制对信息及其他相关资产的访问8.4源代码的访问应对源代码、开发工具和软件库的读写访问进行适当的管理8.5安全鉴别应根据信息访问限制和访问控制的特定主题策略实施安全的鉴别技术和规程8.6容量管理应
11、根据当前和预期的容量要求,监视和调整资源的使用情况8.7恶意软件防范应实施恶意软件防范,并通过适当的用户意识教育予以支持8.8技术脆弱性管理应获取有关使用中的信息系统的技术脆弱性的信息,评价组织暴露于此类脆弱性的风险,并采取适当措施8.9配置管理应建立、记录、实施、监视和评审硬件、软件、服务和网络的配置,包括安全配置8.10信息删除当不再需要时,应删除存储在信息系统、设备或任何其他存储媒体中的信息8.11数据脱敏应根据组织关于访问控制的特定主题策略和其他相关的特定主题策略以及业务要求使用数据脱敏,并考虑到适用的法律法规8.12数据防泄露数据防泄露措施应用于处理、存储或传输敏感信息的系统、网络和
12、任何其他设备。8.13信息备份信息、软件和系统的备份副本应按照商定的备份特定主题策略进行维护和定期测试8.14信息处理设施的冗余信息处理设施应具有足够的冗余以满足可用性要求8.15日志应生成、存储、保护和分析用于记录活动、异常、故障及其他相关事态的日志8.16监视活动应监视网络、系统和应用程序以发现异常行为,并采取适当措施评价潜在的信息安全事件8.17时钟同步组织使用的信息处理系统的时钟应与批准的时间源同步8.18特权实用程序的使用应限制并严格控制可能超越系统和应用程序控制的实用程序的使用8.19运行系统软件的安装应实施规程和措施以安全地管理运行系统上的软件安装8.20网络安全应保护、管理和控
13、制网络和网络设备以保护系统和应用程序中的信息8.21网络服务的安全应识别、实施和监视网络服务的安全机制、服务级别和服务要求8.22网络隔离应在组织的网络中隔离信息服务组、用户组和信息系统组8.23网页过滤应管理对外部网站的访问,以减少对恶意内容的暴露8.24密码技术的使用应定义并实施有效使用密码技术的规则,包括密钥管理8.25安全开发生存周期应建立并应用软件和系统安全开发规则8.26应用程序安全要求在开发或获取应用程序时,应识别、规定和批准信息安全要求8.27系统安全架构和工程原则应建立、文件化、维护系统安全工程的原则,并将其应用于所有的信息系统开发活动8.28安全编码软件开发中应应用安全编码原则8.29开发和验收中的安全测试应在开发生存周期中定义和实施安全测试过程8.30开发外包组织应指导、监视和评审系统开发外包相关的活动8.31开发、测试和生产环境的隔离应隔离并保护开发、测试和生产环境8.32变更管理信息处理设施和信息系统的变更应遵从变更管理规程8.33测试信息应适当地选择、保护和管理测试信息8.34在审计测试中保护信息系统应对涉及运行系统评估的审计测试和其他保障活动进行规划,并在测试人员和适合的管理人员之间达成一致