ISO27001信息安全体系内容

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ISO27001信息安全体系内容相关的知识,希望对你有一定的参考价值。

一、IS027001:2013版和2005版区别


ISO27001:2005版ISO27001:2013版备注
A5安全方针A5安全方针
A6信息安全组织A6信息安全组织
A8人力资源安全A7人力资源安全
A7资产管理A8资产管理
A11访问控制A9访问控制

A10密码学新增
A9物理和环境安全A11物理和环境安全
A10通信与操作管理A12操作安全由旧版拆分

A13通信安全由旧版拆分
A12信息系统获取、开发和维护A14系统获取、开发和维护

A15供应关系新增
A13信息安全事件管理A16信息安全事件管理
A14业务连续性管理A17业务连续性管理的信息安全方面
A15符合性A18符合性


二、ISO27001:2013版内容


14控制域控制措施
A5安全方针
A5.1 信息安全管理方向
目的:为信息安全提供管理指导和支持并确保信息安全符合业务需求和相关法律、法规
A5.1.1信息安全方针信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方
A5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性
A6信息安全组织
A6.1 内部组织
目的:建立一个管理框架,启动和控制组织内实施信息安全
A6.1.1信息安全的角色和职责所有信息安全职责应被定义及分配
A6.1.2与监管机构的联系应与监管机构保持适当的接触
A6.1.3与特殊利益团体的联系与特定利益团队、其他专业安全论坛或行业协会应保持适当联系
A6.1.4项目管理中的信息安全信息安全应融入项目管理中,与项目类型无关
A6.1.5职责分离冲突的职责和权限应被分开,减少对资产未经授权或无意的修改与误用
A6.2 移动设备和远程办公
目的:确保远程办公和移动设备使用的安全性
A6.2.1移动设备策略应使用配套策略和安全措施来防止移动设备带来的风险
A6.2.2远程办公应使用配套策略和安全措施来保护信息访问,处理或远程存储
A7人力资源安全
A7.1 任用之前
目的:确保组织内人员理解其职责、考虑其承担的角色是适合的。
A7.1.1筛选根据相关法律、法规、道德规范,对员工、合同人员及第三方人员的应聘人员进行背景调查,调查应符合业务需求、访问信息的类别及已知风险
A7.1.2任用的条款及条件作为合同义务的一部分,员工应同意并签订就业合同的条款和条件,应当载明其对组织信息安全的职责
A7.2 任用中
目的:确保员工和外部方用户意识到并履行信息安全职责
A7.2.1管理职责管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和程序的安全
A7.2.2信息安全意识,教育和培训组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序
A7.2.3纪律处理过程对于安全违规的雇员,应有一个正式与可沟通的纪律处理过程
A7.3 任用的终止或变化
目的:保证组织利益是雇佣终止和变更的一部分
A7.3.1任用终止或变化的责任任用终止或变更后依然有信息安全责任和义务的人,应该被界定和传达雇员或给外部方执行
A8资产管理
A8.1 对资产负责
目的:实现和保持对组织资产的适当保护
A8.1.1资产清单应确定与信息和信息处理设施相关的资产,编制并维护资产清单
A8.1.2资产责任人库存的资产应有责任人
A8.1.3资产的允许使用与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施
A8.2 信息分类
目的:依照信息重要性分级,确保信息受到分级保护
A8.2.1信息的分类信息应按照其对组织的价值,法律要求,敏感性和关键性分类
A8.2.2信息的标记根据组织采用的信息分类方案,应制定并实施一套信息标记流程
A8.2.3资产的处理根据组织采用的信息分类方法,应制定并实施一套资产处理流程
A8.2.4资产的归还所有员工、外部方用户在合同终止或协议终止后应归还组织的资产
A8.3 介质处理
目的:为了防止存储在介质上的信息被未经授权的披露,修改,删除或破坏
A8.3.1可移动介质的管理根据组织采用的分类方法来执行可移动介质管理流程
A8.3.2介质的处置不需要的介质,应使用正式的规程可靠并安全地处置
A8.3.3物理介质传输在传输过程中,包含信息的介质应加以保护,防止未经授权的访问,滥用或损坏。
A9访问控制
A9.1 访问控制的业务需求
目的:限制访问信息和信息处理设施
A9.1.1访问控制策略应建立一个访问控制策略,并基于业务和访问的安全要求进行评审
A9.1.2网络服务的使用政策只提供用户已授权的网络访问与网络服务
A9.2 用户访问管理
目的:确保授权用户访问系统和服务,并防止未授权的访问
A9.2.1用户注册和注销应为所有系统和服务中所有用户类型的授权和撤销建立一套注册与注销的流程
A9.2.2特权管理应限制和控制特殊权限的分配及使用
A9.2.3用户密码认证信息的管理应使用正式的管理流程来控制秘密认证信息的分配
A9.2.4用户访问权的复查资产所有者应当定期审查用户的访问权限
A9.2.5移除或调整访问权限当合同或协议终止后,应删除或调整所有工作人员和外部人员用户信息和信息处理设施的访问权限
A9.3 用户职责
目的:让用户明确身份认证信息的保护负责
A9.3.1秘密认证信息的使用应要求用户按照组织安全实践来使用秘密认证信息
A9.4 系统和应用程序的访问控制
目的:防止对系统和应用的未授权使用
A9.4.1信息访问限制应依据访问控制策略来限制对信息和应用系统功能的访问
A9.4.2安全登录程序如果访问控制策略需要,应通过安全登录程序控制对操作系统的访问
A9.4.3口令管理系统口令管理系统应采用交互式口令并确保口令质量
A9.4.4特权实用程序的使用对可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制
A9.4.5程序源码的访问控制对程序源代码的访问应被限制
A10密码学
A10.1 密码控制
目的:使用密码适当有效的保护信息的机密性、真实性和完整性
A10.1.1密码使用控制政策应制定和实施信息保护密码控制策略
A10.1.2秘钥管理应制定和实施秘钥的使用,保护,使用期策略并贯穿其整个生命周期
A11物理和环境安全
A11.1 安全区域
目的:阻止对组织场所和信息的未授权物理访问、损坏和干扰
A11.1.1物理安全边界应设置安全边界来保护包含敏感信息,危险信息和信息处理设施的安全
A11.1.2物理入口控制安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问
A11.1.3办公司,房间和设施的安全保护应为办公室、房间和设施设计并采取物理安全措施
A11.1.4外部和环境威胁的安全防护应设计并采取物理安全措施来防范自然灾害,恶意×××或事故
A11.1.5在安全区域工作应设计和应用用于安全区域工作的物理保护措施和指南
A11.1.6交付和交接区访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问
A11.2 设备
目的:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断
A11.2.1设备安置和保护应妥善安置及保护设备,以减少来自环境的威胁与危害以及未经授权的访问
A11.2.2支持性设备应保护设备使其免于支持性的失效而引起的电源故障和其他中断
A11.2.3布揽安全应保护传输数据或支持信息服务的电力及通讯电缆,免遭拦截或破坏
A11.2.4设备维护设备应予以正确地保护,以确保其持续的可用性的完整性
A11.2.5资产的移动设备、信息或软件在授权之前不应带出组织
A11.2.6场外设备和资产安全应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险
A11.2.7设备的安全处置或再利用包含存储介质的设备的所有项目应进行核查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖
A11.2.8无人值守的用户设备用户应确保无人值守的用户设备有适当的保护
A11.2.9清除桌面和清屏策略应采取清空桌面上的文件、可移动存储介质的策略和清空信息处理设施屏幕的策略
A12操作安全
A12.1 操作程序和职责
目的:确保正强、安全的操作信息处理设施
A12.1.1文件化的操作程序操作过程应形成文件,并提供给所有需要的用户
A12.1.2变更管理对组织,业务流程,信息处理设施和系统的变更应加以控制
A12.1.3容量管理资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能
A12.1.4开发,测试和运行环境的分离开发及测试环境应与运营环境分离。减少未授权访问和对操作系统变更的风险
A12.2 恶意软件防护
目的:确保信息和信息处理设施不受恶意软件侵害
A12.2.1控制恶意软件应实现结合适当的用户体验,使用检测、预防和恢复控制的手段来防范恶意软件
A12.3备份
目的:防止数据丢失
A12.3.1信息备份根据既定的备份策略备份信息,软件和系统映像,并定期测试
A12.4 记录和监控
目的:记录事件并生成证据
A12.4.1事件日志应产生记录用户活动、异常情况、错误和信息安全事件的事件日志,并要保持一个已设的周期以支持将来的调查和访问控制监视
A12.4.2日志信息的保护记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问
A12.4.3管理员和操作员日志系统管理员和系统操作员的活动应当记录日志,并对其保护和定期检讨
A12.4.4时钟同步一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确的时钟源进行同步

A12.5 操作软件的控制

目的:保证操作系统的完整性

A12.5.1操作系统软件的安装应建立流程对操作系统软件安装进行控制
A12.6 技术漏洞管理
目的:防止利用公布的技术脆弱性导致的风险
A12.6.1技术漏洞的管理应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴漏程度,并采取适当的措施来处理相关风险
A12.6.2限制软件安装应建立规则来控制用户安装软件
A12.7 信息系统审计考虑
目的:将业务系统审计过程的影响最小化
A12.7.1信息系统审计控制涉及对运行系统核查的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险
A13通信安全
A13.1 网络安全管理
目的:确保网络中信息的安全性并保护支持性的信息处理设施
A13.1.1网络控制应管理和控制网络以保护系统和应用程序中的信息
A13.1.2网络服务的安全所有网络服务的安全机制,服务水平和管理要求,应予以明确并列入网络服务协议中,无论这些服务是否由公司内部提供还是外包
A13.1.3网络隔离应在网络中隔离信息服务、用户系统信息
A13.2 信息传输
目的:维护组织与任何外部实体的信息传输安全
A13.2.1信息传输的策略和程序应建立正式的传输策略,流程和控制措施,以保证所有类型的通信设施间的信息传输安全
A13.2.2信息传输协议应建立组织与外部方传输商业信息的安全传输协议
A13.2.3电子信息涉及电子消息的信息应适当保护
A13.2.4保密或不泄露协议应确定组织信息保护需要的保密性或不泄露协议的要求,定期审查并记录
A14系统获取、开发和维护
A14.1 信息系统的安全要求
目的:确保安全是信息系统生命周期中的一个组成部分,包含对向公共网络提供服务的设备的特殊要求
A14.1.1安全需求分析和规范应建立对信息安全控制的要求,包括财务报表和新的信息系统或现有信息系统增强的技术要求,同时考虑所有相关的标准,如生命周期或应用程序在公共网络上是否可用
A14.1.2保护公共网络上的应用服务公网上应用服务中传输的信息应被保护,以免遭受欺诈、合同纠纷,未经授权的披露和修改
A14.1.3保护应用服务交易应用服务传输中所涉及到的信息应加以保护,以防止未经授权的消息改变,不完整的传输,路由错误,未经披露,未经授权的消息复制或重放
A14.2 开发和支持过程中的安全
目的:确保在整个信息系统生命周期中的信息安全设计与实施
A14.2.1安全开发策略应制定及应用关于软件和系统的开发规则
A14.2.2变更控制程序应使用正式的变更控制规程来控制变更的实施
A14.2.3操作平台变更后对应用的技术评估当操作平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响
A14.2.4软件包变更的限制应对软件包修改进行劝阻,只限于必要的变更,且对所有的变更加以控制
A14.2.5系统开发程序应建立安全系统开发流程,记录,维护并应用到任何信息系统开发工作
A14.2.6安全的开发环境组织应建立并适当保护开发环境安全,并集成涵盖整个系统开发周期的工作
A14.2.7外包开发组织应监管和监督外包的系统开发工作
A14.2.8系统安全性测试在开发的过程中,必须测试功能的安全性
A14.2.9系统验收测试在建立新系统,升级系统和更新版本时,必须建立验收测试程序和相关标准
A14.3 测试数据
目的:确保测试数据的安全
A14.3.1测试数据的保护测试数据应被仔细筛选,保护和控制
A15供应关系
A15.1 供应关系的安全
目的:确保供应商访问的组织信息的安全
A15.1.1供应关系的信息安全策略对于减少与供应商相关的信息安全风险或信息处理设施的信息安全要求应被记录
A15.1.2供应商协议中的安全应建立与信息安全相关的要求并获得供应商的认可,包括处理,存储,沟通或提供组织IT基础设施的信息
A15.1.3ICT供应链与供应商的协议应包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求
A15.2 供应商服务交付管理
目的:维持与供应商协议中商定的信息安全要求和服务交付水平
A15.2.1监测和审查供应商服务组织应定期监测,审查和审核供应商的服务
A15.2.2供应商服务变更管理应管理供应商提供服务的变更,包括维护、改进现有的信息安全策略、程序和控制,应将商业信息的关键性,系统、流程和风险的重新评估考虑在内
A16信息安全事件管理
A16.1 信息安全事件管理和持续改进
目的:确保一致和有效的方法来管理信息安全事件,包括通信安全事件和弱点的报告
A16.1.1职责和程序应建立管理职责和程序,以确保快速、有效和有序的响应信息安全事件
A16.1.2报告信息安全事态信息安全事态应尽可能快的通过适当的管理渠道进行报告
A16.1.3报告信息安全弱点应要求信息系统和服务的所有员工、外部方人员记录并报告他们观察到的   或可以的任何系统或服务的安全弱点
A16.1.4信息安全事件的评估和决策信息安全事件应当被评估与决策,如果他们被归类为信息安全事件
A16.1.5信息安全事故的响应信息安全事件应依照程序文件响应
A16.1.6回顾信息安全事故从分析和解决信息安全事故中获取知识,减少未来事故的可能性或影响
A16.1.7搜集证据组织应制定和应用程序,用于鉴定,搜集,获得和保存那些可作为证据的信息
A17业务连续性管理的信息安全方面
A17.1 信息安全连续性
目的:信息安全的连续性应嵌入组织的业务连续性管理(BCM),以确保任何时间都能保护信息并对不良事件进行预测
A17.1.1规划信息安全连续性组织应确定其在不利情况下的信息安全和信息安全管理连续性要求,如危机或灾难
A17.1.2实现信息安全的连续性组织应建立,记录,实施,维护流程、程序、控制项,以保证在不利情况下要求的信息安全连续性的等级
A17.1.3验证,评审和评估信息安全的连续性组织应每隔一段时间核实其建立和实施的信息安全连续性控制,以确保他们在不利情况下是有效和生效的。
A17.2 冗余
目的:确保信息处理设施的可用性
A17.2.1信息处理设施的可用性信息处理设施应当实现冗余,以满足可用性需求
A18符合性
A18.1信息安全审查
目的:确保信息安全设施依照组织的策略和程序运行和实施
A18.1.1信息安全的独立审查组织管理信息安全的方法及设施(例如信息安全的控制目标、控制措施、策略、过程和规程)应按照计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审
A18.1.2符合安全政策和标准管理者应定期审查其职责范围内的信息处理和规程被正确的执行,以确保符合安全策略,标准和其他安全要求
A18.1.3技术符合性检查信息系统应被定期检查是否符合组织信息安全策略和标准
A18.2 符合法律和合同的要求
目的:避免违反相关信息安全的法律,法规,规章,合同义务以及任何安全要求
A18.2.1识别使用的法律和合同的要求对每个信息系统和组织而言,所有相关的法令、法律和合同要求,以及为满足这些要求组织所采取的方法,应加以明确地定义,形成文件并保持更新
A18.2.2知识产权(IPR)应实施适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同要求
A18.2.3文档化信息的保护按照法律,法规,合同和业务需求保护文档化信息,以免遭受损失,破坏,篡改,未经授权的访问和擅自发布
A18.2.4隐私和个人信息的保护应依照相关的法律、法规和合同条款的要求,确保隐私和个人信息的保护
A18.2.5密码控制措施的监管使用密码控制措施应遵从相关的协议、法律和法规


以上是关于ISO27001信息安全体系内容的主要内容,如果未能解决你的问题,请参考以下文章

ISO27001信息安全管理体系咨询机构--亿杰咨询

互融云通过ISO27001认证,信息安全获国际权威认证

ISO27001LA 信息安全管理体系主任审核师学习心得

安全管理体系升级 迈动互联获得ISO国际认证

ISO27001LA 学友联盟再次来袭

ISO IEC 27001-2022 《信息安全网络安全和隐私保护 信息安全管理系统 要求》