2024年9月13日 09:51:58
This commit is contained in:
parent
0a8d777764
commit
c1f93b4d28
@ -46,19 +46,21 @@
|
||||
|
||||
#### 1、信息安全方针(1/2)
|
||||
|
||||
- **控制目标**:组织的安全方针能够<span style="color:red;">依据业务要求</span>和相关<span style="color:red;">法律法规</span>提供管理指导并支持信息安全。
|
||||
- **信息安全管理指导**
|
||||
|
||||
- **控制措施**
|
||||
- 控制目标:组织的安全方针能够<span style="color:red;">依据业务要求</span>和相关<span style="color:red;">法律法规</span>提供管理指导并支持信息安全。
|
||||
|
||||
- 信息安全方针
|
||||
- 控制措施
|
||||
|
||||
信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方
|
||||
- 信息安全方针
|
||||
|
||||
- 信息安全方针评审
|
||||
信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方
|
||||
|
||||
宜按<span style="color:red;">计划的时间间隔(通常1年)</span>或<span style="color:red;">当重大变化发生时</span>进行信息安全方针<span style="color:red;">评审</span>,以确保它持续的<span style="color:red;">适宜性</span>、<span style="color:red;">充分性</span>和<span style="color:red;">有效性</span>。
|
||||
- 信息安全方针评审
|
||||
|
||||
|
||||
宜按<span style="color:red;">计划的时间间隔(通常1年)</span>或<span style="color:red;">当重大变化发生时</span>进行信息安全方针<span style="color:red;">评审</span>,以确保它持续的<span style="color:red;">适宜性</span>、<span style="color:red;">充分性</span>和<span style="color:red;">有效性</span>。
|
||||
|
||||
|
||||
|
||||
#### 2、信息安全组织(2/7)
|
||||
|
||||
@ -170,47 +172,215 @@
|
||||
|
||||
|
||||
|
||||
#### 6、密码学(1/2)
|
||||
|
||||
- **加密控制 - 1**
|
||||
|
||||
- 控制目标:通过加密方法保护信息的<span style="color:red;">保密性</span>、<span style="color:red;">真实性</span>或<span style="color:red;">完整性</span>。
|
||||
|
||||
- 控制措施:
|
||||
|
||||
- 使用加密控制的策略
|
||||
- 密钥管理
|
||||
|
||||
|
||||
|
||||
#### 7、物理与环境安全(2/15)
|
||||
|
||||
- **安全区域 - 6**
|
||||
|
||||
- 控制目标:防止对组织场所和信息过程设备的未授权物理访问、损坏和干扰。
|
||||
|
||||
- 控制措施:物理安全边界、物理入口控制、<span style="color:blue;">办公室</span>、<span style="color:blue;">房间和设施的安全保护</span>、外部和环境威胁的安全防护、<span style="color:blue;">在安全区域工作</span>、<span style="color:blue;">送货和装卸区</span>。
|
||||
|
||||
|
||||
|
||||
- **设备安全 - 9**
|
||||
|
||||
- 控制目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
|
||||
|
||||
- 控制措施:设备安置和保护、支持性设施、布缆安全、设备维护、资产的移动、组织场所外的设备安全、设备的安全处置和再利用、无人值守的用户设备清空桌面和屏幕方针。
|
||||
|
||||
|
||||
|
||||
#### 8、操作安全(7/14)
|
||||
|
||||
- **操作规程和职责 - 4**
|
||||
|
||||
- 控制目标:确保正确、安全的操作信息处理设施
|
||||
|
||||
- 控制措施:文件化的操作规程、变更管理、容量管理、开发、测试和运行环境分离
|
||||
|
||||
|
||||
|
||||
- **恶意代码防范 - 1**
|
||||
|
||||
- 控制目标:保护信息和信息处理设施以防恶意代码
|
||||
|
||||
- 控制措施:控制恶意代码
|
||||
|
||||
|
||||
|
||||
- **备份 - 1**
|
||||
|
||||
- 控制目标:防止数据丢失
|
||||
|
||||
- 控制措施:信息备份
|
||||
|
||||
|
||||
|
||||
- **日志记录和监视 - 4**
|
||||
|
||||
- 控制目标:记录事件并生成证据
|
||||
|
||||
- 控制措施:事件日志、日志信息的保护、管理员和操作员日志、时钟同步
|
||||
|
||||
|
||||
|
||||
- **操作软件控制 - 1**
|
||||
|
||||
- 控制目标:确保操作系统的完整性
|
||||
|
||||
- 控制措施:操作系统软件的安装
|
||||
|
||||
|
||||
|
||||
- **技术漏洞管理 - 2**
|
||||
|
||||
- 控制目标:防止对技术漏洞的利用
|
||||
|
||||
- 控制措施:技术脆弱性管理、软件安装限制
|
||||
|
||||
|
||||
|
||||
- **信息系统审计的考虑 - 1**
|
||||
|
||||
- 控制目标:极小化审计行为对业务系统带来的影响。
|
||||
|
||||
- 控制措施:信息系统审计控制。
|
||||
|
||||
|
||||
|
||||
#### 9、通讯安全(2/7)
|
||||
|
||||
- **网络安全管理 - 3**
|
||||
|
||||
- 控制目标:确保网络中信息和支持性基础设施的安全性。
|
||||
|
||||
- 控制措施:网络控制、网络服务安全、网络隔离。
|
||||
|
||||
|
||||
|
||||
- **信息的交换 - 4**
|
||||
|
||||
- 控制目标:保持组织内以及与组织外信息交换的安全。
|
||||
|
||||
- 控制措施:信息交换策略和规程、信息交换协议、电子消息、保密或不披露协议。
|
||||
|
||||
|
||||
|
||||
#### 10、信息的获取开发及维护(3/13)
|
||||
|
||||
- **信息系统的安全要求 - 3**
|
||||
|
||||
- 控制目标:确保信息安全是信息系统生命周期中的一个有机组成部分。这同样包含了在公共网络上提供服务的信息系统的要求。
|
||||
|
||||
- 控制措施:安全需求分析和说明、公共网络上的安全应用服务、应用服务交换的保护。
|
||||
|
||||
|
||||
|
||||
- **开发和支持过程中的安全 - 9**
|
||||
|
||||
- 控制目标:确保信息系统开发的生命周期中设计和实施的信息安全。
|
||||
|
||||
- 控制措施:安全开发策略、系统变更控制规程、操作系统变更后应用的技术评审、软件包变更的限制、安全系统工程原理、开发环境的安全、外包软件开发、系统安全测试、系统验收测试。
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
- **测试数据 - 1**
|
||||
|
||||
- 控制目标:确保用于测试的数据得到保护。
|
||||
|
||||
- 控制措施:测试数据的保护。
|
||||
|
||||
|
||||
|
||||
#### 11、供应商关系(2/5)
|
||||
|
||||
- **供应商关系中的信息安全 - 3**
|
||||
|
||||
- 控制目标:确保供应商可访问的组织资产受到保护。
|
||||
|
||||
- 控制措施:供应商关系的信息安全方针、供应商协议中解决安全问题、信息和通信技术的供应链。
|
||||
|
||||
|
||||
|
||||
- **供应商服务交付管理 - 2**
|
||||
|
||||
- 控制目标:根据供应协议,维持信息安全和服务交付在协定的等级。
|
||||
|
||||
- 控制措施:监控和审查供应商服务、供应商服务变更管理。
|
||||
|
||||
|
||||
|
||||
#### 12、信息安全事件管理(1/7)
|
||||
|
||||
- **信息安全事件的管理和改进 - 7**
|
||||
|
||||
- 控制目标:确保采用一致和有效的方法对信息安全事件进行管理,包括通信安全事件和弱点。
|
||||
|
||||
- 控制措施:
|
||||
|
||||
- 职责和规程
|
||||
- 信息安全事态报告
|
||||
- 信息安全弱点报告
|
||||
- 信息安全事态的评估和决策
|
||||
- 信息安全事件的响应
|
||||
- 从信息安全事件中学习
|
||||
- 证据的收集
|
||||
|
||||
|
||||
|
||||
#### 13、业务连续性管理(2/4)
|
||||
|
||||
- **信息安全的连续性 - 3**
|
||||
|
||||
- 控制目标:应将信息安全连续性嵌入组织业务连续性管理之中。
|
||||
|
||||
- 控制措施:信息安全连续性的计划、信息安全连续性的实施、<span style="color:blue;">信息安全连续性的确认、审查和评估</span>。
|
||||
|
||||
|
||||
|
||||
- **冗余 - 1**
|
||||
|
||||
- 控制目标:确保信息过程设施的可用性。
|
||||
|
||||
- 控制措施:信息过程设施的可用性。
|
||||
|
||||
|
||||
|
||||
#### 14、符合性(2/8)
|
||||
|
||||
- **符合法律和合同规定 - 5**
|
||||
|
||||
- 控制目标:避免违反任何法律、法令、法规或合同义务,以及任何安全要求。
|
||||
|
||||
- 控制措施:可用法律和合同要求的识别、知识产权、记录的保护、个人身份信息的隐私和保护、加密控制的监管。
|
||||
|
||||
|
||||
|
||||
- **信息安全审核 - 3**
|
||||
|
||||
- 控制目标:确保信息安全依据组织方针和规程实施和操作。
|
||||
|
||||
- 控制措施:信息安全的独立审核、符合安全策略和标准、技术符合性核查。
|
||||
|
||||
|
||||
|
||||
> <span style="background-color:yellow;">组织在规定的时间间隔(一般是一年)或重大变化发生时,组织的信息安全管理和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应独立审查。<span style="color:red;">独立评审宜由管理者启动,由独立于被评审范围的人员执行</span></span>,例如<span style="color:blue;">交叉审核</span>(审核员A审查B的信息安全管理工作)、内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。<span style="background-color:yellow;">内部审查的结果应该形成正式文件并长期留存。</span>
|
||||
|
||||
> 管理人员宜对自已职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行定期评审(一般是一年一次)。为了日常评审的效率,可以考虑使用自动测量和报告工具。<span style="background-color:yellow;">评审结果和管理人员采取的纠正措施应该被记录,形成管理评审报告</span>,并对这些记录进行维护。如果在管理评审中发现重大不符合项,则必须启动纠正改进措施。
|
||||
|
||||
> 信息系统应被定期核查(一般为半年一次或一年一次)是否符合组织的信息安全方针和标准。技术符合性核查宜由有经验的系统工程师手动地(如必要,由适当的软件工具支持)和在自动化工具辅助下实施,以产生供技术专家进行后续解释的技术报告。如果使用渗透测试或脆弱性评估,则宜格外小心,需要提前制定应急预案和做好应急准备,因为这些活动可能导致系统安全的损害。这样的测试宜预先计划,形成文件,且可重复执行。<span style="background-color:yellow;">任何技术符合性核查应由有能力的、已授权的人员来实施或在他们的监督下完成。</span>
|
||||
|
||||
Loading…
Reference in New Issue
Block a user