信息安全控制目标和控制措施.pdf

《信息安全控制目标和控制措施.pdf》由会员分享，可在线阅读，更多相关《信息安全控制目标和控制措施.pdf（15页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全控制目标和控制措施表 A1 所列的控制目标和控制措施是直接引用并与 ISO/IEC 17799:2005 第5 到 15 章一致。表 A。1 中的清单并不完备,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款 4。2。1 规定的ISMS 过程的一部分。ISO/IEC 17799:2005 第 5 至 15 章提供了最佳实践的实施建议和指南,以支持A.5 到 A.15 列出的控制措施。表表 A.1A.1 控制目标和控制措施控制目标和控制措施A.5 安全方针A。5。1 信息安全方针目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。A。5.1。1

2、信息安全方针文件控制措施信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。A。5.1。2信息 安 全 方控制措施针的评审A.6 信息安全组织A。6.1 内部组织应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。目标:在组织内管理信息安全。A.6。1。1信 息 安 全 的控制措施管理承诺管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全.A.6.1。2信 息 安 全 协控制措施调信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调.A.6。1.3信 息 安 全 职控制措施责的分

3、配4所有的信息安全职责应予以清晰地定义。A。6。1。信 息 处 理 设控制措施施 的 授 权 过新信息处理设施应定义和实施一个管理授权过程.程A。6.1。5保密性协议控制措施应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。A.6.1。6与 政 府 部 门控制措施的联系A.6.1.7团体的联系应保持与政府相关部门的适当联系。应保持与特定权益团体、其他安全专家组和专业协会的适当联系。A.6。1.8信 息 安 全 的控制措施独立评审组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立

4、评审。A.6.2 外部各方与 特 定 权 益控制措施目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。A。6.2。1与外部各方控制措施相关风险的应识别涉及外部各方业务过程中组织的信息和信息处理设施识别的风险，并在允许访问前实施适当的控制措施。A。6.2。2处理与顾客控制措施有关的安全应在允许顾客访问组织信息或资产之前处理所有确定的安全问题要求。A.6。2。3处理第三方控制措施协议中的安涉及访问、处理或管理组织的信息或信息处理设施以及与之全问题A.7 资产管理A.7。1 对资产负责通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的

5、安全要求。目标：实现和保持对组织资产的适当保护。A。7。1.1资产清单A。7.1.2资产责任人控制措施应清晰的识别所有资产,编制并维护所有重要资产的清单。控制措施与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任1。1解释：术语“责任人”是被认可，具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。A。7.1.3资产的允许使用A.7.2 信息分类控制措施与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施.目标：确保信息受到适当级别的保护。A。7。2。分类指南1控制措施信息应按照它对组织的价值、法律要求、敏感性和

6、关键性予以分类。A.7。2。信息的标记和控制措施2处理应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。A。8 人力资源安全A。8。1 任用2之前目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。A。8.1。1角色和职责A。8。1.2审查控制措施雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。控制措施关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。A.8。1。3任 用 条 款 和控制措施条件

7、作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。A。8.2 任用中目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。A。8.2.1管理职责控制措施管理者应要求雇员、承包方人员和第三方人员按照组织已建2解释：这里的“任用”意指以下不同的情形：人员任用（暂时的或长期的）、工作角色的指定、工作角色的变化、合同的分配及所有这些安排的终止。立的方针策略和程序对安全尽心尽力。A。8。2.2信息安全意训A。8。

8、2.3纪律处理过程控制措施应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。识、教育和培组织的所有雇员，适当时，包括承包方人员和第三方人员，控制措施对于安全违规的雇员,应有一个正式的纪律处理过程。A.8。3 任用的终止或变化目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。A.8.3。1终止职责A.8.3.2资产的归还控制措施任用终止或任用变化的职责应清晰的定义和分配.控制措施所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。A。8。3。撤销访问权3控制措施所有雇员、承包方人员和第三方人员对信息和

9、信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。A.9 物理和环境安全A.9。1 安全区域目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。A。9.1.1物理安全边界控制措施应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。A。9.1.2物 理 入 口 控控制措施制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。A.9.1。3办公室、房间控制措施和设施的安全保护A.9.1。4外 部 和 环 境控制措施威 胁 的 安 全为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自应为办公室、房间和设施设计并采取物

10、理安全措施。防护A。9。1。在安全区域5工作然或人为灾难引起的破坏，应设计和采取物理保护措施.控制措施应设计和运用用于安全区域工作的物理保护和指南。A.9。1.6公共访问、交控制措施接区安全访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能,要与信息处理设施隔离，以避免未授权访问。A.9。2 设备安全目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A。9。2.1设 备 安 置 和控制措施保护应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。A。9。2。支持性设施2A。9。2。布缆安全3A.9。2。4设备维护的设备安全控制措施

11、应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。控制措施应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。控制措施设备应予以正确地维护，以确保其持续的可用性和完整性。应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。A。9.2。5组 织 场 所 外控制措施A。9。2.6设 备 的 安 全控制措施处 置 或 再 利包含储存介质的设备的所有项目应进行检查，以确保在销毁用A。9.2。7资产的移动A.10 通信和操作管理A。10。1 操作程序和职责之前，任何敏感信息和注册软件已被删除或安全重写。控制措施设备、信息或软件在授权之前不应带出组织场所。目标：确

12、保正确、安全的操作信息处理设施。A。10.1.1文件化的操控制措施2作程序操作程序应形成文件、保持并对所有需要的用户可用。A。10.1。变更管理A。10.1。责任分割3控制措施对信息处理设施和系统的变更应加以控制。控制措施各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。A。10。开发、测试和控制措施1.4运行设施分离开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险.A.10。2 第三方服务交付管理目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。A。10.2。服务交付12.2A.10.2.3控制措施应确保第三方实施、运行和

13、保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。A。10。第 三 方 服 务控制措施的 监 视 和 评应定期监视和评审由第三方提供的服务、报告和记录,审核也审的变更管理应定期执行。应管理服务提供的变更，包括保持和改进现有的信息安全方针策略、程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估.A.10.3 系统规划和验收第 三 方 服 务控制措施目标：将系统失效的风险降至最小。A.10。3。容量管理1A.10.3。2系统验收控制措施资源的使用应加以监视、调整,并应作出对于未来容量要求的预测，以确保拥有所需的系统性能。控制措施应建立对新信息系统、升级及新版本的验收准

14、则，并且在开发中和验收前对系统进行适当的测试。A。10。4 防范恶意和移动代码目标:保护软件和信息的完整性。A.10.4。1控 制 恶 意 代控制措施码应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。A。10.4.2控 制 移 动 代控制措施码A。10。5 备份当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码.目标：保持信息和信息处理设施的完整性和可用性。A.10。5.1信息备份A.10。6 网络安全管理控制措施应按照已设的备份策略，定期备份和测试信息和软件.目标：确保网络中信息的安全性并保护支持性的基础设施。

15、A.10.6.1网络控制控制措施应充分管理和控制网络，以防止威胁的发生,维护系统和使用网络的应用程序的安全，包括传输中的信息。A。10。网 络 服 务 的控制措施6.2安全安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的。A。10.7 介质处置目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。A.10。7.1可移动介质2A.10.7。3信息处理程A.10.7.4序系统文件安全A.10.8 信息的交换的管理A。10。7。介质的处置控制措施应有适当的可移动介质的管理程序.控制措施不再需要的介质，应使用正式的程序可

16、靠并安全地处置。控制措施应建立信息的处理及存储程序，以防止信息的未授权的泄漏或不当使用.控制措施应保护系统文件以防止未授权的访问。目标：保持组织内信息和软件交换及与外部组织信息和软件交换的安全.A.10.8。1信息交换策略和程序A。10.8。交换协议2控制措施应有正式的交换策略、程序和控制措施，以保护通过使用各种类型通信设施的信息交换。控制措施应建立组织与外部团体交换信息和软件的协议。A。10.8。运输中的物3A。10.8.4电子消息发送A.10。8.5业务信息系统A.10.9 电子商务服务理介质控制措施包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。控制措施包含

17、在电子消息发送中的信息应给予适当的保护.控制措施应建立和实施策略和程序以保护与业务信息系统互联的信息。目标:确保电子商务服务的安全及其安全使用。A.10.9.1电子商务控制措施包含在使用公共网络的电子商务中的信息应受保护，以防止欺诈活动、合同争议和未授权的泄露和修改。A.10.9.2在线交易控制措施包含在在线交易中的信息应受保护,以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放.A。10.9.3公共可用信息A.10。10 监视控制措施在公共可用系统中可用信息的完整性应受保护，以防止未授权的修改。目标：检测未授权的信息处理活动。A.10.10.1审计日志控制措施

18、应产生记录用户活动、异常和信息安全事件的审计日志，并要保持一个已设的周期以支持将来的调查和访问控制监视。A。10。监视系统的10.2使用控制措施应建立信息处理设施的监视使用程序，监视活动的结果要经常评审。A.10。日志信息的10.3保护控制措施记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。A.10。10。管理员和操4作员日志A。10.10。故障日志控制措施系统管理员和系统操作员活动应记入日志。控制措施5A.10.10.6时钟同步故障应被记录、分析，并采取适当的措施。控制措施一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步.A.11 访问控制A。11.

19、1 访问控制的业务要求目标：控制对信息的访问。A。11。1。访问控制策1略控制措施访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。A.11.2 用户访问管理目标：确保授权用户访问信息系统，并防止未授权的访问。A。11。2。用户注册1A.11.2.2A.11.2。3用户口令管理A.11.2。4用户访问权的复查A.11.3 用户职责特权管理控制措施应有正式的用户注册及注销程序，来授权和撤销对所有信息系统及服务的访问。控制措施应限制和控制特殊权限的分配及使用。控制措施应通过正式的管理过程控制口令的分配。控制措施管理者应定期使用正式过程对用户的访问权进行复查.目标:防止未授权用户对信

20、息和信息处理设施的访问、危害或窃取.A.11。3。口令使用1A。11。3。无人值守的2A.11.3.3清空桌面和屏幕策略A.11。4 网络访问控制用户设备控制措施应要求用户在选择及使用口令时，遵循良好的安全习惯。控制措施用户应确保无人值守的用户设备有适当的保护。控制措施应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略.目标:防止对网络服务的未授权访问。A。11。使用网络服控制措施4.1务的策略用户鉴别用户应仅能访问已获专门授权使用的服务.A.11。4.2外部连接的A。11。网络上的设4.3备标识控制措施应使用适当的鉴别方法以控制远程用户的访问.控制措施应考虑自动设备标识，

21、将其作为鉴别特定位置和设备连接的方法。A.11.4。4远程诊断和配置端口的保护A.11。4。网络隔离5A.11.4.6网络连接控制控制措施对于诊断和配置端口的物理和逻辑访问应加以控制。控制措施应在网络中隔离信息服务、用户及信息系统.控制措施对于共享的网络，特别是越过组织边界的网络，用户的联网能力应按照访问控制策略和业务应用要求加以限制（见 11。1）。A。11。网络路由控4.7制控制措施应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制策略。A。11.5 操作系统访问控制目标：防止对操作系统的未授权访问。A.11.5。1安全登录程序A。11。用户标识和5.2A.11.5.

22、3A.11.5.4口令管理系统系统实用工具的使用A。11。5。会话超时5A.11。5.6联 机 时 间 的控制措施鉴别控制措施访问操作系统应通过安全登录程序加以控制.控制措施所有用户应有唯一的、专供其个人使用的标识符（用户 ID),应选择一种适当的鉴别技术证实用户所宣称的身份。控制措施口令管理系统应是交互式的，并应确保优质的口令。控制措施可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制。控制措施不活动会话应在一个设定的休止期后关闭.限定应使用联机时间的限制,为高风险应用程序提供额外的安全。A。11.6 应用和信息访问控制目标：防止对应用系统中信息的未授权访问.A.11.6。1信息

23、访问限制控制措施用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。A.11.6。2敏感系统隔离控制措施敏感系统应有专用的（隔离的)运算环境。A。11。7 移动计算和远程工作目标：确保使用可移动计算和远程工作设施时的信息安全。A.11。7。移 动 计 算 和控制措施1A。11。远程工作7.2通信应有正式策略并且采用适当的安全措施，以防范使用可移动计算和通信设施时所造成的风险。控制措施应为远程工作活动开发和实施策略、操作计划和程序。A.12 信息系统获取、开发和维护A.12.1 信息系统的安全要求目标：确保安全是信息系统的一个有机组成部分。A。12.1.1安 全 要 求

24、分控制措施析和说明在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施的要求.A。12.2 应用中的正确处理目标:防止应用系统中的信息的错误、遗失、未授权的修改及误用。A。12.2。输入数据的1A。12.2.2内部处理的控制验证控制措施输入应用系统的数据应加以验证,以确保数据是正确且恰当的。控制措施验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。A。12.2。消息完整性3A。12.2。输出数据的4验证控制措施应用中的确保真实性和保护消息完整性的要求应得到识别，适当的控制措施也应得到识别并实施。控制措施从应用系统输出的数据应加以验证，以确保对所存储信息

25、的A.12。3 密码控制处理是正确的且适于环境的。目标：通过密码方法保护信息的保密性、真实性或完整性。A.12.3。1使用密码控制的策略A.12.3。2密钥管理A.12.4 系统文件的安全控制措施应开发和实施使用密码控制措施来保护信息的策略。控制措施应有密钥管理以支持组织使用密码技术。目标：确保系统文件的安全A。12.4.1运行软件的控制A。12.4。系统测试数24.3据的保护码的访问控制A.12。5 开发和支持过程中的安全A。12。对程序源代控制措施应有程序来控制在运行系统上安装软件。控制措施测试数据应认真地加以选择、保护和控制。控制措施应限制访问程序源代码。目标：维护应用系统软件和信息的安

26、全。A。12.5。变更控制程1A。12.5.2操作系统变更后应用的技术评审A。12。5。软件包变更3的限制序控制措施应使用正式的变更控制程序控制变更的实施。控制措施当操作系统发生变更后,应对业务的关键应用进行评审和测试，以确保对组织的运行或安全没有负面影响.控制措施应对软件包的修改进行劝阻，限制必要的变更，且对所有的变更加以严格控制。A.12。5。信息泄露4A。12.5。外包软件开5发A.12.6 技术脆弱性管理控制措施应防止信息泄露的可能性.控制措施组织应管理和监视外包软件的开发。目标:降低利用公布的技术脆弱性导致的风险。A.12。6.1技术脆弱性的控制A。13 信息安全事故管理控制措施应及

27、时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。A。13。1 报告信息安全事件和弱点目标：确保与信息系统有关的信息安全事件和弱点能够以某种方式传达，以便及时采取纠正措施。A。13.1.1报告信息安全事件控制措施信息安全事件应该尽可能快地通过适当的管理渠道进行报告。A.13.1。2报告安全弱点控制措施应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。A。13。2 信息安全事故和改进的管理目标：确保采用一致和有效的方法对信息安全事故进行管理。A。13。职责和程序2.1A。13。2。对信

28、息安全22.3事故的总结A。13。证据的收集控制措施应建立管理职责和程序，以确保能对信息安全事故做出快速、有效和有序的响应。控制措施应有一套机制量化和监视信息安全事故的类型、数量和代价。控制措施当一个信息安全事故涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权.A.14 业务连续性管理A。14。1 业务连续性管理的信息安全方面目标：防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。A.14.1。1业务连续性管理过程中包含的信息安全A。14.1.2业务连续性控制措施应为贯穿于组织的业务连续性

29、开发和保持一个管理过程，以解决组织的业务连续性所需的信息安全要求。控制措施和风险评估应识别能引起业务过程中断的事件，这种中断发生的概率和影响，以及它们对信息安全所造成的后果。A。14.1。制定和实施3包含信息安全的连续性计划A。14。1。业务连续性4计划框架控制措施应制定和实施计划来保持或恢复运行，以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。控制措施应保持一个唯一的业务连续性计划框架，以确保所有计划是一致的，能够协调地解决信息安全要求,并为测试和维护确定优先级。A。14。1。测试、保持和控制措施5再评估业务连续性计划A。15 符合性A.15.1 符合法律要求业务连续性

30、计划应定期测试和更新，以确保其及时性和有效性.目标：避免违反任何法律、法令、法规或合同义务,以及任何安全要求。A。15。1。可用法律的1A。15.1.2知识产权（IPR）识别控制措施对每一个信息系统和组织而言,所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。控制措施应实施适当的程序，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。A.15。1。保护组织的3记录控制措施应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。A。15。数据保护和1.41.6个人信息的隐私息处理设施施的规则控

31、制措施应依照相关的法律、法规和合同条款的要求，确保数据保护和隐私.A。15.1.5防止滥用信A。15。密码控制措控制措施应禁止用户使用信息处理设施用于未授权的目的.控制措施使用密码控制措施应遵从相关的协议、法律和法规。A。15。2 符合安全策略和标准,以及技术符合性目标：确保系统符合组织的安全策略及标准。A。15。2。符合安全策1A。15.2.2技术符合性检查略和标准控制措施管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。控制措施信息系统应被定期检查是否符合安全实施标准。A。15.3 信息系统审核考虑目标：将信息系统审核过程的有效性最大化,干扰最小化.A。15。3。信息系统审1核控制措施控制措施涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。A.15。3.2信息系统审核工具的保护控制措施对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或损害。