1、ICS 35040L 80 a雷中华人民共和国国家标准GBT 22080-2008ISOIEC 2700 1:2005信息技术安全技术信息安全管理体系 要求Information technology-Security techniques-Information security management systems-Requirements2008-06-19发布(ISCIIEC 27001:2005,IDT)2008-1 1-01实施中华人民共和国国家质量监督检验检疫总局借右中国国家标准化管理委员会厘111目 次GBr 22080-2008ISOIEC 2700 1:2005前言引言1范
2、围2规范性引用文件3术语和定义-4信息安全管理体系(ISMS)5管理职责6 ISMS内部审核7 ISMS的管理评审8 ISMS改进附录A(规范性附录)控制目标和控制措施附录B(资料性附录)OECD原则和本标准附录C(资料性附录) GBT 19001-2000,GBT 24001-2004和本标准之间的对照参考文献111367789坞加毖刖 罱GBT 22080-2008ISOIEC 27001:2005本标准等同采用ISOIEC 27001:2005信息技术安全技术信息安全管理体系要求,仅有编辑性修改。本标准的附录A是规范性附录,附录B和附录c是资料性附录。本标准由中华人民共和国信息产业部提出
3、。本标准由全国信息安全标准化技术委员会归口。本标准由中国电子技术标准化研究所、上海三零卫士有限公司、北京知识安全工程中心、北京市信息安全测评中心、北京数字认证中心负责起草。本标准主要起草人:上官晓丽、许玉娜、胡啸、王新杰、赵战生、王连强、曾波、孔一童、刘海峰、汤永利、尚小鹏、闵京华。GBT 22080-2008ISOIEC 2700 1:200501总则引 言本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information SecurityManagement System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和
4、实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。02过程方法本标准采用过程方法来建立、实施、运行、监视、评审、保持和改进组织的ISMS。为使组织有效运作,需要识别和管理众多相互关联的活动。通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成下一个过程的输入。组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。本标准中提出的用于信息安全管理的过程
5、方法鼓励其用户强调以下方面的重要性:a)理解组织的信息安全要求和建立信息安全方针与目标的需要;b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;c) 监视和评审ISMS的执行情况和有效性;d) 基于客观测量的持续改进。本标准采用了“规划(Plan)实施(Do)一检查(Check)-处置(Act)”(PDCA)模型,该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程,产生满足这些要求和期望的信息安全结果。图1也描述了第4章、第5章、第6章、第7章和第8章所提出的过程问的联系。图1应用于ISMS过程的PDC
6、A模型驴习心、,l,GBT 22080-20081ISOIIEC 2700 1:2005采用PDCA模型还反映了治理信息系统和网络安全的OECD指南(2002版)”中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。例1:某些信息安全违规不至于给组织造成严重的财务损失和或使组织陷入困境。这可能是一种要求。例2:如果发生了严重的事件(可能是组织的电子商务网站被黑客人侵)应有经充分培训的员工按照适当的规程,将事件的影响降至最小。这可能是一种期望。建立与管理风险和改进信息安全有关的ISMS方针、目标、规划(建立ISMS)过程和规程,以
7、提供与组织总方针和总目标相一致的结果。实施(实施和运行ISMS) 实施和运行IsMS方针、控制措施、过程和规程。对照ISMS方针、目标和实践经验,评估并在适当时测量过检查(监视和评审ISMS)程的执行情况,并将结果报告管理者以供评审。基于ISMS内部审核和管理评审的结果或者其他相关信处置(保持和改进ISMS)息,采取纠正和预防措施,以持续改进ISMS。03与其他管理体系的兼容性本标准与GBT 19001 2000及GBT 24001 2004相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C1说明了本标准、GBT 19001-20
8、00和GBT 24001 2004的各条款之间的关系。本标准的设计能够使个组织将其ISMS与其他相关的管理体系要求结合或整合起来。1)OECD信息系统和网络安全指南面向安全文化。巴黎:OECD,2002年7月。wwwoecdorgVGBT 22080-2008ISOIEC 27001:2005信息技术安全技术信息安全管理体系要求重要提示:本出版物不声称包括一个合同所有必要的条款。用户负责对其进行正确的应用。符合标准本身并不获得法律责任的豁免。1范围11总则本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和
9、改进文件化的信息安全管理体系(ISMS)规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。注2:GBT 22081-2008提供了设计控制措施时可使用的实施指南。12应用本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。为了满足风险接受准则必要的进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责
10、人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和或责任,否则不能声称符合本标准。注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与GBT 19001-2000或者GBT 24001-2004相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足本标准的要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 220
11、81-2008 信息技术 安全技术 信息安全管理实用规则(1SOIEC 27002:2005,IDT)3术语和定义下列术语和定义适用于本标准。31资产asset对组织有价值的任何东西。ISOIEC 133351:z00432可用性availability根据授权实体的要求可访问和利用的特性。ISOIEC 133351:200433保密性confidentiality信息不能被未授权的个人、实体或者过程利用或知悉的特性。1GBT 22080-2008ISOIEC 2700 1:2005EISOIEC 133351:200434信息安全information security保持信息的保密性、完整
12、性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。GBT 22081-200835信息安全事态information security event信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。GBZ 20985-200736信息安全事件information security incident一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。GBZ 20985-200737信息安全管理体系(IsMs) informatio
13、n security management system(IsMs)基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。38完整性integrity保护资产的准确和完整的特性。ISOIEC 133351:200439残余风险residual risk经过风险处置后遗留的风险。ISOIEC Guide 73:2002310风险接受risk acceptance接受风险的决定。ISOIEC Guide 73:2002311风险分析risk analysis系统地使用信息
14、来识别风险来源和估计风险。IsOIEc Guide 73:2002312风险评估risk assessment风险分析和风险评价的整个过程。USOIEC Guide 73:2002313风险评价risk evaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。ISOIEC Guide 73:20022GBT 22080-2008ISOIEC 27001:2005314风险管理risk management指导和控制一个组织相关风险的协调活动。ISOIEC Guide 73:2002315风险处置risk treatment选择并且执行措施来更改风险的过程。ISOIEC
15、Guide 73:2002注:在本标准中,术语“控制措施”被用作“措施”的同义词。316适用性声明statement of applieability描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。注:控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。4信息安全管理体系(IsMs)41总要求组织应在其整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中,所使用的过程基于图1所示的PDCA模型。42建立和管理IsMs421建立ISMS组织应做以下方面的工作:a
16、)根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由(见I2)。b)根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。ISMS方针应:1)包括设定目标的框架和建立信息安全工作的总方向和原则;z)考虑业务和法律法规的要求,及合同中的安全义务;3)在组织的战略性风险管理环境下,建立和保持ISMS;4)建立风险评价的准则(见421 c);5)获得管理者批准。注:就本标准的目的而言,ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。c) 确定组织的风险评估方法:1)识别适合ISMS、已识别的业务信
17、息安全和法律法规要求的风险评估方法;2) 制定接受风险的准则,识别可接受的风险级别(见51D)。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。注:风险评估具有不同的方法。在ISOIEC TR 133353中描述了风险评估方法的例子。d)识别风险:1)识别ISMS范围内的资产及其责任人”;2)识别资产所面临的威胁;3)识别可能被威胁利用的脆弱性;1)术语“责任人”标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。3GBT 22080-2008ISOIEC 27001:20054) 识别丧失保密性、完
18、整性和可用性可能对资产造成的影响。e)分析和评价风险:1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失效可能造成的对组织的影响;2)根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施,评估安全失效发生的现实可能性;3)估计风险的级别;4)确定风险是否可接受,或者是否需要使用在421c)2)中所建立的接受风险的准则进行处理。f)识别和评价风险处置的可选措施,可能的措施包括:1)采用适当的控制措施;2)在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险(见421c)2);3)避免风险;4)将相关业务风险转移到其他方,如:保险,供应商等。g)
19、为处理风险选择控制目标和控制措施。控制目标和控制措施应加以选择和实施,以满足风险评估和风险处置过程中所识别的要求。这种选择应考虑接受风险的准则(见421c)2)以及法律法规和合同要求。从附录A中选择控制目标和控制措施应成为此过程的一部分,该过程适合于满足这些已识别的要求。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。注:附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点,以确保不会遗漏重要的可选控制措施。h)获得管理者对建议的残余风险的批准。i) 获得管理者对实施和运行ISMS的
20、授权。j) 准备适用性声明(Statement of Applicability,简称SoA)应从以下几方面准备适用性声明:1)4219)中所选择的控制目标和控制措施,以及选择的理由;2) 当前实施的控制目标和控制措施(见421e)2);3) 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。注:适用性声明提供了一份关于风险处置决定的综述。删减的合理性说明提供交叉检查,以证明不会因疏忽而遗漏控制措施。422实施和运行ISMS组织应:a)为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序,即;制定风险处置计划(见第5章);b) 实施风险处置计划以达到已识别的控制目标,包括资金
21、安排、角色和职责的分配;c)实施4219)中所选择的控制措施,以满足控制目标;d) 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用这些测量措施来评估控制措施的有效性,以产生可比较的和可再现的结果(见423e);注;测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。e) 实施培训和意识教育计划(见522);f)管理IsMs的运行;4GBT 22080-2008150IEC 27001:2005g)管理ISMS的资源(见52);h) 实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施(见423a)。423监视和评审ISMS组织应:a) 执行监视与评审
22、规程和其他控制措施,以:1)迅速检测过程运行结果中的错误;2)迅速识别试图的和得逞的安全违规和事件;3)使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行;4) 通过使用指示器,帮助检测安全事态并预防安全事件;5)确定解决安全违规的措施是否有效。b)在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审(包括满足ISMS方针和目标,以及安全控制措施的评审)。c)测量控制措施的有效性以验证安全要求是否被满足。d)按照计划的时间间隔进行风险评估的评审,以及对残余风险和已确定的可接受的风险级别进行评审,应考虑以下方面的变化:
23、1)组织;2)技术;3)业务目标和过程;4)已识别的威胁;5) 已实施的控制措施的有效性;6)外部事态,如法律法规环境的变更、合同义务的变更和社会环境的变更。e)按计划的时间间隔,实施ISMS内部审核(见第6章)。注:内部审核,有时称为第一方审核,是用于内部目的,由组织自己或以组织的名义所进行的审核。f)定期进行ISMS管理评审,以确保ISMS范围保持充分,ISMS过程的改进得到识别(见71)。g)考虑监视和评审活动的结果,以更新安全计划。h) 记录可能影响ISMS的有效性或执行情况的措施和事态(见433)。424保持和改进ISMS组织应经常:a)实施已识别的ISMS改进。b)依照82和83采
24、取合适的纠正和预防措施。从其他组织和组织自身的安全经验中吸取教训。c) 向所有相关方沟通措施和改进情况,其详细程度应与环境相适应,需要时,商定如何进行。d)确保改进达到了预期目标。43文件要求431 总则文件应包括管理决定的记录,以确保所采取的措施符合管理决定和方针策略,还应确保所记录的结果是可重复产生的。重要的是,能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果,并进而回溯到ISMS方针和目标之间的关系。ISMS文件应包括:a)形成文件的ISMS方针(见421b)和目标;b)ISMS的范围(见421a);5GBT 22080-2008I$OIEC 2700 1:2005注3支持I
25、SMS的规程和控制措施;风险评估方法的描述(见421c);风险评估报告(见421c)到4219);风险处置计划(见422b);组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程(见423c);本标准所要求的记录(见433);适用性声明。本标准出现“形成文件的规程”之处,即要求建立该规程,形成文件,并加以实施和保持。不同组织的ISMS文件的详略程度取决于:组织的规模和活动的类型;安全要求和被管理系统的范围及复杂程度。文件和记录可以采用任何形式或类型的介质。432文件控制ISMS所要求的文件应予以保护和控制。应编制形成文件的规程,以规定以下方面所需的
26、管理措施:a)文件发布前得到批准,以确保文件是适当的;b) 必要时对文件进行评审、更新并再次批准;c)确保文件的更改和现行修订状态得到标识;d)确保在使用处可获得适用文件的相关版本;e)确保文件保持清晰、易于识别;f)确保文件对需要的人员可用,并依照文件适用的类别规程进行传输、贮存和最终销毁;g) 确保外来文件得到识别;h)确保文件的分发得到控制i) 防止作废文件的非预期使用;j)若因任何目的而保留作废文件时,对这些文件进行适当的标识。433记录控制应建立记录并加以保持,以提供符合ISMS要求和有效运行的证据。应对记录加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清
27、晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。应保留42中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。例如:记录包括访客登记簿、审核报告和已完成的访问授权单。5管理职责51管理承诺管理者应通过以下活动,对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据a)制定ISMS方针;b)确保ISMS目标和计划得以制定;c)建立信息安全的角色和职责;d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性e)提供足够资源,以建立、实施、运行、监视、评审、保持和改进ISMS(见521);f)决定接
28、受风险的准则和风险的可接受级别;g)确保ISMS内部审核的执行(见第6章);h)实施ISMS的管理评审(见第7章)。6ooD妙DD趴龇GBT 22080-2008ISOIEC 27001:200552资源管理521资源提供组织应确定并提供所需的资源,以:a)建立、实施、运行、监视、评审、保持和改进ISMS;b) 确保信息安全规程支持业务要求;c)识别和满足法律法规要求、以及合同中的安全义务d)通过正确实施所有的控制措施保持适当的安全;e)必要时,进行评审,并适当响应评审的结果;f)在需要时,改进ISMS的有效性。522培训、意识和能力组织应通过以下方式,确保所有被赋予ISMS职责的人员具有执行
29、所要求任务的能力:a) 确定从事影响ISMS工作的人员所必要的能力;b)提供培训或采取其他措施(如聘用有能力的人员)以满足这些需求c)评价所采取的措施的有效性;d)保持教育、培训、技能、经历和资格的记录(见433)。组织也应确保所有相关人员意识到他们信息安全活动的相关性和重要性,以及如何为达到ISMS目标做出贡献。6 ISMS内部审核组织应按照计划的时间间隔进行ISMS内部审核,以确定其ISMS的控制目标、控制措施、过程和规程是否:a) 符合本标准和相关法律法规的要求;b)符合已确定的信息安全要求;c)得到有效地实施和保持;d)按预期执行。应在考虑拟审核的过程与区域的状况和重要性以及以往审核的
30、结果的情况下,制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。策划和实施审核、报告结果和保持记录(见433)的职责和要求应在形成文件的规程中做出规定。负责受审区域的管理者应确保及时采取措施,以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告(见第8章)。注:GBT 19011-2003也可为实施ISMS内部审核提供有用的指导。7 ISMS的管理评审71 总则管理者应按计划的时间间隔(至少每年1次)评审组织的ISMS,以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改
31、进的机会和变更的需要,包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件,记录应加以保持(见433)。72评审输入管理评审的输入应包括:a)ISMS审核和评审的结果;b)相关方的反馈;c)组织用于改进ISMS执行情况和有效性的技术、产品或规程;d) 预防和纠正措施的状况;7GBT 22080-2008ISOIEC 27001:2005e) 以往风险评估没有充分强调的脆弱点或威胁;f)有效性测量的结果;g) 以往管理评审的跟踪措施;h)可能影响ISMS的任何变更i)改进的建议。73评审输出管理评审的输出应包括与以下方面有关的任何决定和措施:a)ISMS有效性的改进。b)风险评估和风险处置
32、计划的更新。c)必要时修改影响信息安全的规程和控制措施,以响应内部或外部可能影响ISMS的事态,包括以下的变更:1)业务要求;2)安全要求;3)影响现有业务要求的业务过程;4)法律法规要求;5)合同义务;6) 风险级别和或接受风险的准则。d)资源需求。e)控制措施有效性测量方法的改进。8 ISMS改进81持续改进组织应利用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评审(见第7章),持续改进ISMS的有效性。82纠正措施组织应采取措施,以消除与ISMS要求不符合的原因,以防止再发生。形成文件的纠正措施规程,应规定以下方面的要求:a)识别不符合;b)确定不符合的原因;
33、c) 评价确保不符合不再发生的措施需求;d) 确定和实施所需要的纠正措施;e)记录所采取措施的结果(见433);f)评审所采取的纠正措施。83预防措施组织应确定措施,以消除潜在不符合的原因,防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件的预防措施规程,应规定以下方面的要求:a)识别潜在的不符合及其原因;b) 评价防止不符合发生的措施需求;c)确定和实施所需要的预防措施;d)记录所采取措施的结果(见433);e)评审所采取的预防措施。组织应识别变化的风险,并识别针对重大变化的风险的预防措施的要求。预防措施的优先级应根据风险评估的结果确定。注:预防不符合的措施通常比纠正措施更节约成本。
34、8GBT 22080-2008ISO1EC 27001:2005附录A(规范性附录)控制目标和控制措施表A1所列的控制目标和控制措施是直接源自并与GBT 22081-2008(ISOIEC 27002:2005)第5章到第15章一致。表A1中的清单并不详尽,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款421规定的ISMS过程的一部分。GBT 22081-2008(ISOIEC 27002:2005)第5章至第15章提供了最佳实践的实施建议和指南,以支持A5到A15列出的控制措施。表AI控制目标和控制措施A5安全方针A51信息安全方针目标:依据业务要求和相
35、关法律法规提供管理指导并支持信息安全。A511 信息安全方针文件 控制措施信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。A512 信息安全方针的评审 控制措施宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。A6信息安全组织A61内部组织目标:管理组织范围内信息安全。A611 信息安全的管理承诺 控制措施管理者应通过清晰的说明,可证实的承诺,明确的信息安全职责分配及确认,来积极支持组织内的安全。A612 信息安全协调 控制措施信息安全话动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。A613 信息安全职责的分配 控
36、制措施所有的信息安全职责应予以清晰地定义。A614 信息处理设旅的授权 控鼬措施过程 应为新的信息处理设旆定义和实施一个管理授权过程。A615 保密性协议 控制措施应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。A616 与政府部门的联系 控翩措施应保持与政府相关部门的适当联系。A617 与特定利益集团的联系 控制措施应保持与特定利益集团、其他安全专家组和专业协会的适当联系。A618 信息安全的独立评审 控制措辘组织管理信息安全的方法及其实施(例如信息安全的控制且标、控制措施、策略、过程和规程)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。A62外
37、部各方日标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。GBT 22080-2008ISOIEC 27001:2005表A1(续)A621 与外部各方相关风险的 控制措施识别 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。A622 处理与顾客有关的安全 控翻措摊问题 应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A623 处理第三方协议中的安 控制措旌全问题 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。
38、A7资产管理A71对资产负责目标:实现和保持对组织资产的适当保护。A711 资产清单 控翻措施应清晰的识别所有资产,编制并维护所有重要资产的清单。A712 资产责任人” 控制措旋与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。A713 资产的可接受使用 控制措施与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施。A72信息分类日薪:确保信息受到适当级别的保护。A721 分类指南 拄澍措施信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。A722 信息的标记和处理 控制措施应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理规程。A8人
39、力资源安全A81任用”之前日标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。A811 角色和职责 控制措施雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。A812 审查 控制措施关于所有任用的候选者、承包方人员和第三方人员的背景验证核查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。控割措施A8I3 任用条款和条件作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件应声明他们和组织的信息安全职责。10I)解释
40、:术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。2)解释:这里的“任用”意指以下不同的情形:人员任用(暂时的或长期的)、工作角色的指定、工作角色的变化、合同的分配及所有这些安排的终止。表A1(续)GBT 22080-2008ISOIEC 27001:2005A82任用中目薪:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为出错的风险。A821 管理职责 控勃措施管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和
41、规程对安全尽心尽力。A822 信息安全意识、教育和 控翻措旌培训 组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训。A823 纪律处理过程 控制措施对于安全违规的雇员,应有一个正式的纪律处理过程。A83任用的终止或变化目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。A831 终止职责 控制措施任用终止或任用变更的职责应清晰地定义和分配。A832 资产的归还 控翻措施所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。A833 撤销访问权 控制措旌
42、所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。A9物理和环境安全A91安全区域目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。A911 物理安全周边 控翩措施应使用安全周边(诸如墙、卡控制的人口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。A912 物理人口控制 控制措施安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。A913 办公室、房间和设施的安 控釉措施全保护 应为办公室、房间和设施设计并采取物理安全措施。A914 外部和环境威胁的安全 控翻措施防护 为防止火灾、洪水、地震、爆炸,社会
43、动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。A915 在安全区域工作 控制措施应设计和应用用于安全区域工作的物理保护和指南,A916 公共访问、交接区安全 控翩措施访问点(例如交接区)和未授权人员可进人办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。A92设备安全目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A921 设备安置和保护 控制措施应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访向的机会。GBT 22080-20081ISOIIEC 27001:2005表A1(续)A922 支持性设施 控韵
44、措施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。A923 布缆安全 控铀措施应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。九924 设备维护 控韵措施设备应予以正确地维护,以确保其持续的可用性和完整性。A925 组织场所外的设备安全 控制措拖应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。A926 设备的安全处置或再 控翻措施利用 包含储存介质的设备的所有项目应进行核查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。A927 资产的移动 控制措旌设备、信息或软件在授权之前不应带出组织场所。A10通信和操作管理A101操
45、作规程和职责目标:确保正确、安全的操作信息处理设施。A1011 文件化的操作规程 控制措施操作规程应形成文件、保持并对所有需要的用户可用。A1012 变更管理 控制措施对信息处理设施和系统的变更应加以控制。A1013 责任分割 控裁措施各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。A1014 开发、测试和运行设施 控制措摊分离 开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。A102第三方服务交付管理目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。A1021 服务交付 控制措掩应确保第三方实施、运行和保持包含在第三方
46、服务交付协议中的安全控制措施、服务定义和交付水准。A1022 第三方服务的监视和 控铀措施评审 应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。A1023 第三方服务的变更管理 控制措旌应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的再评估。九103系统规划和验收且行:将系统失效的风险降至最小。A1031 容量管理 控制措施资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能。A1032 系统验收 控裁措施应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。12表A1(续)GBT 22080-2008ISOIEC 2700 1:2005A104防范恶意和移动代码目标:保护软件和信息的完整性。A1041 控制恶意代码 控澍措施应实施恶意代码的检测、预防和恢复的控制措施,以及适当的提高用户安全意识的规程。A1042 控制移动代码 控制措旌当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移
