| ISO27001:2013 | ISO27001:2005 |
| | | | | | |
| A.5資訊保安方針 | A.5資訊保安方針 |
| A.5.1資訊保安管理指引 | A.5.1資訊保安管理指引 |
| 目標:提供符合有關法律法規和業務需求的資訊保安管理指引和支援。 | 目標:依據業務要求和相關法律法規提供管理指導並支援資訊保安。 |
| A.5.1.1 | 資訊保安方針 | 應定義資訊保安方針,資訊保安方針檔案應經過管理層批准,並向所有員工和相關方釋出和溝通。 | A.5.1.1 | 資訊保安方針 | 資訊保安方針檔案應由管理者批准、釋出並傳達給所有員工和外部相關方。 |
| A.5.1.2 | 資訊保安方針的評審 | 應定期或在發生重大的變化時評審方針檔案,確保方針的持續性、穩定性、充分性和有效性。 | A.5.1.2 | 資訊保安方針的評審 | 應按計劃的時間間隔或當重大變化發生時進行資訊保安方針評審,以確保它持續的適宜性、充分性和有效性。 |
| A.6資訊保安組織 | A.6資訊保安組織 |
| A.6.1內部組織 | A.6.1內部組織 |
| 目標:建立資訊保安管理框架,在組織內部啟動和控制資訊保安實施。 | 目標:在組織內管理資訊保安。 |
| A.6.1.1 | 資訊保安的角色和職責 | 應定義和分配所有資訊保安職責。 | A.6.1.1 | 資訊保安的管理承諾 | 管理者應通過清晰的說明、可證實的承諾、明確的資訊保安職責分配及確認,來積極支援組織內的安全。 |
| A.6.1.2 | 職責分離 | 有衝突的職責和責任範圍應分離,以減少對組織資產未經授權訪問、無意修改或誤用的機會。 | A.6.1.2 | 資訊保安協調 | 資訊保安活動應由來自組織不同部門並具備相關角色和工作職責的代表進行協調。 |
| A.6.1.3 | 與監管機構的聯絡 | 應與相關監管機構保持適當聯絡。 | A.6.1.3 | 資訊保安職責的分配 | 所有的資訊保安職責應予以清晰地定義。 |
| A.6.1.4 | 與特殊利益團體的聯絡 | 與特殊利益團體、其他專業安全協會或行業協會應保持適當聯絡。 | A.6.1.4 | 資訊處理設施的授權過程 | 新資訊處理設施應定義和實施一個管理授權過程。 |
| A.6.1.5 | 專案管理中的資訊保安 | 實施任何專案時應考慮資訊保安相關要求。 | A.6.1.5 | 保密性協議 | 應識別並定期評審反映組織資訊保護需要的保密性或不洩露協議的要求。 |
| | | | A.6.1.6 | 與政府部門的聯絡 | 應保持與政府相關部門的適當聯絡。 |
| | | | A.6.1.7 | 與特定權益團體的聯絡 | 應保持與特定權益團體、其他安全專家組和專業協會的適當聯絡。 |
| | | | A.6.1.8 | 資訊保安的獨立評審 | 組織管理資訊保安的方法及其實施(例如資訊保安的控制目標、控制措施、策略、過程和程式)應按計劃的時間間隔進行獨立評審,當安全實施發生重大變化時,也要進行獨立評審。 |
| | A.6.2外部各方 |
| | 目標:保持組織的被外部各方訪問、處理、管理或與外部進行通訊的資訊和資訊處理設施的安全。 |
| | | | A.6.2.1 | 與外部各方相關風險的識別 | 應識別涉及外部各方業務過程中組織的資訊和資訊處理設施的風險,並在允許訪問前實施適當的控制措施。 |
| | | | A.6.2.2 | 處理與顧客有關的安全問題 | 應在允許顧客訪問組織資訊或資產之前處理所有確定的安全要求。 |
| | | | A.6.2.3 | 處理第三方協議中的安全問題 | 涉及訪問、處理或管理組織的資訊或資訊處理設施以及與之通訊的第三方協議,或在資訊處理設施中增加產品或服務的第三方協議,應涵蓋所有相關的安全要求。 |
| A.6.2移動裝置和遠端辦公 | A.11.7移動計算和遠端工作 |
| 目標:應確保遠端辦公和使用移動裝置的安全性。 | 目標:應確保遠端辦公和使用移動裝置的安全性。 |
| A.6.2.1 | 移動裝置策略 | 應採取安全策略和配套的安全措施控制使用移動裝置帶來的風險。 | A.11.7.1 | 移動計算和通訊 | 應有正式策略並且採用適當的安全措施,以防範使用可移動計算和通訊設施時所造成的風險。 |
| A.6.2.2 | 遠端辦公 | 應實施安全策略和配套的安全措施以保障遠端辦公時資訊的訪問、處理和儲存的安全。 | A.11.7.2 | 遠端工作 | 應為遠端工作活動開發和實施策略、操作計劃和程式。 |
| A.7人力資源安全 | A.8人力資源安全 |
| A.7.1任用前 | A.8.1任用前 |
| 目標:確保員工、合同方人員理解他們的職責並適合他們所承擔的角色。 | 目標:確保僱員、承包方人員和第三方人員理解其職責、考慮對其承擔的角色是適合的,以降低設施被竊、欺詐和誤用的風險。 |
| A.7.1.1 | 人員篩選 | 根據相關法律、法規、道德規範,對員工、合同人員及承包商人員進行背景調查,調查應符合業務需求、訪問的資訊類別及已知風險。 | A.8.1.1 | 角色和職責 | 僱員、承包方人員和第三方人員的安全形色和職責應按照組織的資訊保安方針定義並形成檔案。 |
| A.7.1.2 | 任用條款和條件 | 與員工和承包商的合同協議應當規定他們對組織的資訊保安責任。 | A.8.1.2 | 審查 | 關於所有任用的候選者、承包方人員和第三方人員的背景驗證檢查應按照相關法律法規、道德規範和對應的業務要求、被訪問資訊的類別和察覺的風險來執行。 |
| | | | A.8.1.3 | 任用條款和條件 | 作為他們合同義務的一部分,僱員、承包方人員和第三方人員應同意並簽署他們的任用合同的條款和條件,這些條款和條件要宣告他們和組織的資訊保安職責。 |
| A.7.2任用中 | A.8.2任用中 |
| 目標:確保員工和合同方瞭解並履行他們的資訊保安責任。 | 目標:確保所有的僱員、承包方人員和第三方人員知悉資訊保安威脅和利害關係、他們的職責和義務、並準備好在其正常工作過程中支援組織的安全方針,以減少人為過失的風險。 |
| A.7.2.1 | 管理職責 | 管理層應要求員工、合同方符合組織建立的資訊保安策略和程式。 | A.8.2.1 | 管理職責 | 管理者應要求僱員、承包方人員和第三方人員按照組織已建立的方針策略和程式對安全盡心盡力。 |
| A.7.2.2 | 資訊保安意識、教育與培訓 | 組織內所有員工、相關合同人員及合同方人員應接受適當的意識培訓,並定期更新與他們工作相關的組織策略及程式。 | A.8.2.2 | 資訊保安意識、教育與培訓 | 組織的所有僱員,適當時,包括承包方人員和第三方人員,應受到與其工作職能相關的適當的意識培訓和組織方針策略及程式的定期更新培訓。 |
| A.7.2.3 | 紀律處理過程 | 應建立並傳達正式的懲戒程式,據此對違反安全策略的員工進行懲戒。 | A.8.2.3 | 紀律處理過程 | 對於安全違規的僱員,應有一個正式的紀律處理過程。 |
| A.7.3任用終止和變更 | A.8.3任用終止和變更 |
| 目標:保證組織利益是僱傭終止和變更的一部分 | 目標:確保僱員、承包方人員和第三方人員以一個規範的方式退出一個組織或改變其任用關係。 |
| A.7.3.1 | 任用終止或變更的責任 | 應定義資訊保安責任和義務在僱用終止或變更後仍然有效,並向員工和合同方傳達並執行。 | A.8.3.1 | 終止職責 | 任用終止或任用變化的職責應清晰的定義和分配。 |
| | | | A.8.3.2 | 資產的歸還 | 所有的僱員、承包方人員和第三方人員在終止任用、合同或協議時,應歸還他們使用的所有組織資產。 |
| | | | A.8.3.3 | 撤銷訪問權 | 所有僱員、承包方人員和第三方人員對資訊和資訊處理設施的訪問權應在任用、合同或協議終止時刪除,或在變化時調整。 |
| A.8資產管理 | A.7資產管理 |
| A.8.1資產的責任 | A.7.1資產的責任 |
| 目標:確定組織資產,並確定適當的保護責任。 | 目標:實現和保持對組織資產的適當保護。 |
| A.8.1.1 | 資產清單 | 應制定和維護資訊資產和資訊處理設施相關資產的資產清單。 | A.7.1.1 | 資產清單 | 應清晰的識別所有資產,編制並維護所有重要資產的清單。 |
| A.8.1.2 | 資產責任人 | 資產清單中的資產應指定資產責任人(OWNER)。 | A.7.1.2 | 資產責任人 | 與資訊處理設施有關的所有資訊和資產應由組織的指定部門或人員承擔責任 。 |
| A.8.1.3 | 資產的合理使用 | 應識別資訊和資訊處理設施相關資產的合理使用準則,形成檔案並實施。 | A.7.1.3 | 資產的允許使用 | 與資訊處理設施有關的資訊和資產使用允許規則應被確定、形成檔案並加以實施。 |
| A.8.1.4 | 資產的歸還 | 在勞動合同或協議終止後,所有員工和外部方人員應退還所有他們使用的組織資產。 | | | |
| A.8.2資訊分類 | A.7.2資訊分類 |
| 目標:確保資訊資產是按照其對組織的重要性受到適當級別的保護。 | 目標:確保資訊受到適當級別的保護。 |
| A.8.2.1 | 資訊分類 | 應根據法規、價值、重要性和敏感性對資訊進行分類,保護資訊免受未授權洩露或篡改。 | A.7.2.1 | 分類指南 | 資訊應按照它對組織的價值、法律要求、敏感性和關鍵性予以分類。 |
| A.8.2.2 | 資訊標識 | 應制定和實施合適的資訊標識程式,並與組織的資訊分類方案相匹配。 | A.7.2.2 | 資訊的標記和處理 | 應按照組織所採納的分類機制建立和實施一組合適的資訊標記和處理程式。 |
| A.8.2.3 | 資產處理 | 應根據組織採用的資產分類方法制定和實施資產處理程式 | | | |
| A.8.3介質處理 | A.10.7介質處理 |
| 目標:防止儲存在介質上的資訊被未授權洩露、修改、刪除或破壞。 | 目標:防止資產遭受未授權洩露、修改、移動或銷燬以及業務活動的中斷。 |
| A.8.3.1 | 可移動介質管理 | 應實施移動介質的管理程式,並與組織的分類方案相匹配。 | A.10.7.1 | 可移動介質管理 | 應有適當的可移動介質的管理程式。 |
| A.8.3.2 | 介質處置 | 當介質不再需要時,應按照正式程式進行可靠的、安全的處置。 | A.10.7.2 | 介質處置 | 不再需要的介質,應使用正式的程式可靠並安全地處置。 |
| A.8.3.3 | 物理介質傳輸 | 含有資訊的介質應加以保護,防止未經授權的訪問、濫用或在運輸過程中的損壞。 | A.10.7.3 | 資訊處理程式 | 應建立資訊的處理及儲存程式,以防止資訊的未授權的洩漏或不當使用。 |
| | | | A.10.7.4 | 系統檔案安全 | 應保護系統檔案以防止未授權的訪問。 |
| A.9訪問控制 | A.11訪問控制 |
| A.9.1訪問控制的業務需求 | A.11.1訪問控制的業務需求 |
| 目標:限制對資訊和資訊處理設施的訪問。 | 目標:控制對資訊的訪問。 |
| A.9.1.1 | 訪問控制策略 | 應建立檔案化的訪問控制策略,並根據業務和安全要求對策略進行評審。 | A.11.1.1 | 訪問控制策略 | 訪問控制策略應建立、形成檔案,並基於業務和訪問的安全要求進行評審。 |
| A.9.1.2 | 對網路和網路服務的訪問 | 應只允許使用者訪問被明確授權使用的網路和網路服務。 | | | |
| A.9.2使用者訪問管理 | A.11.2使用者訪問管理 |
| 目標:確保已授權使用者的訪問,預防對系統和服務的非授權訪問。 | 目標:確保授權使用者訪問資訊系統,並防止未授權的訪問。 |
| A.9.2.1 | 使用者註冊和登出 | 應實施正式的使用者註冊和登出程式來分配訪問許可權。 | A.11.2.1 | 使用者註冊 | 應有正式的使用者註冊及登出程式,來授權和撤銷對所有資訊系統及服務的訪問。 |
| A.9.2.2 | 使用者訪問許可權提供 | 無論什麼型別的使用者,在對其授予或撤銷對所有系統和服務的許可權時,都應實施一個正式的使用者訪問配置程式。 | A.11.2.2 | 特權管理 | 應限制和控制特殊許可權的分配及使用。 |
| A.9.2.3 | 特權管理 | 應限制及控制特權的分配及使用。 | A.11.2.3 | 使用者口令管理 | 應通過正式的管理過程控制口令的分配。 |
| A.9.2.4 | 使用者認證資訊的安全管理 | 使用者鑑別資訊的許可權分配應通過一個正式的管理過程進行安全控制。 | A.11.2.4 | 使用者訪問權的複查 | 管理者應定期使用正式過程對使用者的訪問權進行復查。 |
| A.9.2.5 | 使用者訪問許可權的評審 | 資產所有者應定期審查使用者訪問許可權。 | | | |
| A.9.2.6 | 撤銷或調整訪問許可權 | 在跟所有員工和承包商人員的就業合同或協議終止和調整後,應相應得刪除或調整其資訊和資訊處理設施的訪問許可權。 | | | |
| A.9.3使用者責任 | A.11.3使用者職責 |
| 目標:使用者應保護他們的認證資訊。 | 目標:防止未授權使用者對資訊和資訊處理設施的訪問、危害或竊取。 |
| A.9.3.1 | 認證資訊的使用 | 應要求使用者遵循組織的做法使用其認證資訊。 | A.11.3.1 | 口令使用 | 應要求使用者在選擇及使用口令時,遵循良好的安全習慣。 |
| | | | A.11.3.2 | 無人值守的使用者裝置 | 使用者應確保無人值守的使用者裝置有適當的保護。 |
| | | | A.11.3.3 | 清空桌面和螢幕策略 | 應採取清空桌面上檔案、可移動儲存介質的策略和清空資訊處理設施螢幕的策略。 |
| | | | A.11.4網路訪問控制 |
| | | | 目標:防止對網路服務的未授權訪問。 |
| | | | A.11.4.1 | 使用網路服務的策略 | 使用者應僅能訪問已獲專門授權使用的服務。 |
| | | | A.11.4.2 | 外部連線的使用者鑑別 | 應使用適當的鑑別方法以控制遠端使用者的訪問。 |
| | | | A.11.4.3 | 網路上的裝置標識 | 應考慮自動裝置標識,將其作為鑑別特定位置和裝置連線的方法。 |
| | | | A.11.4.4 | 遠端診斷和配置埠的保護 | 對於診斷和配置埠的物理和邏輯訪問應加以控制。 |
| | | | A.11.4.5 | 網路隔離 | 應在網路中隔離資訊服務、使用者及資訊系統。 |
| | | | A.11.4.6 | 網路連線控制 | 對於共享的網路,特別是越過組織邊界的網路,使用者的聯網能力應按照訪問控制策略和業務應用要求加以限制(見11.1)。 |
| | | | A.11.4.7 | 網路路由控制 | 應在網路中實施路由控制,以確保計算機連線和資訊流不違反業務應用的訪問控制策略。 |
| | A.11.5作業系統訪問控制 |
| | 目標:防止對作業系統的未授權訪問。 |
| | | | A.11.5.1 | 安全登入程式 | 訪問作業系統應通過安全登入程式加以控制。 |
| | | | A.11.5.2 | 使用者標識和鑑別 | 所有使用者應有唯一的、專供其個人使用的識別符號(使用者ID),應選擇一種適當的鑑別技術證實使用者所宣稱的身份。 |
| | | | A.11.5.3 | 口令管理系統 | 口令管理系統應是互動式的,並應確保優質的口令。 |
| | | | A.11.5.4 | 系統實用工具的使用 | 可能超越系統和應用程式控制的實用工具的使用應加以限制並嚴格控制。 |
| | | | A.11.5.5 | 會話超時 | 不活動會話應在一個設定的休止期後關閉。 |
| | | | A.11.5.6 | 聯機時間的限定 | 應使用聯機時間的限制,為高風險應用程式提供額外的安全。 |
| A.9.4系統和應用訪問控制 | A.11.6系統和應用訪問控制 |
| 目標:防止對系統和應用的未授權訪問。 | 目標:防止對系統和應用的未授權訪問。 |
| A.9.4.1 | 資訊訪問限制 | 應基於訪問控制策略限制對資訊和應用系統功能的訪問。 | A.11.6.1 | 資訊訪問限制 | 使用者和支援人員對資訊和應用系統功能的訪問應依照已確定的訪問控制策略加以限制。 |
| A.9.4.2 | 安全登入程式 | 在需要進行訪問控制時,應通過安全的登入程式,控制對系統和應用的訪問。 | A.11.6.2 | 敏感系統隔離 | 敏感系統應有專用的(隔離的)運算環境。 |
| A.9.4.3 | 密碼管理系統 | 應使用互動式口令管理系統,確保口令質量。 | | | |
| A.9.4.4 | 特權程式的使用 | 對於可以覆蓋系統和應用許可權控制的工具程式的使用,應限制和嚴格控制。 | | | |
| A.9.4.5 | 對程式原始碼的訪問控制 | 對程式原始碼的訪問應進行限制。 | | | |
| A.10密碼學 | |
| A.10.1密碼控制 | A.12.3密碼控制 |
| 目標:確保適當和有效地使用密碼來保護資訊的機密性、真實性和/或完整性。 | 目標:通過密碼方法保護資訊的保密性、真實性或完整性。 |
| A.10.1.1 | 使用加密控制的策略 | 應開發和實施加密控制措施的策略以保護資訊。 | A.12.3.1 | 使用密碼控制的策略 | 應開發和實施使用密碼控制措施來保護資訊的策略。 |
| A.10.1.2 | 金鑰管理 | 對加密金鑰的使用、保護和有效期管理,應開發和實施一個貫穿金鑰全生命週期的策略。 | A.12.3.2 | 金鑰管理 | 對應有金鑰管理以支援組織使用密碼技術。 |
| A.11物理和環境安全 | A.9物理和環境安全 |
| A.11.1安全區域 | A.9.1安全區域 |
| 目標:防止對組織資訊和資訊處理設施的未經授權物理訪問、破壞和干擾。 | 目標:防止對組織場所和資訊的未授權物理訪問、損壞和干擾。 |
| A.11.1.1 | 物理安全邊界 | 應定義安全邊界,用來保護包含敏感或關鍵資訊和信 | A.9.1.1 | 物理安全邊界 | 應使用安全邊界(諸如牆、卡控制的入口或有人管理的接待臺等屏障)來保護包含資訊和資訊處理設施的區域。 |
| A.11.1.2 | 物理進入控制 | 安全區域應有適當的進入控制保護,以確保只有授權 | A.9.1.2 | 物理入口控制 | 安全區域應由適合的入口控制所保護,以確保只有授權的人員才允許訪問。 |
| A.11.1.3 | 辦公室、房間及設施和安全 | 應設計和實施保護辦公室、房間及所及裝置的物理安全。 | A.9.1.3 | 辦公室、房間及設施和安全 | 應為辦公室、房間和設施設計並採取物理安全措施。 |
| A.11.1.4 | 防範外部和環境威脅 | 應設計和應用物理保護措施以應對自然災害、惡意攻擊或意外。 | A.9.1.4 | 外部和環境威脅的安全防護 | 為防止火災、洪水、地震、爆炸、社會動盪和其他形式的自然或人為災難引起的破壞,應設計和採取物理保護措施。 |
| A.11.1.5 | 在安全區域工作 | 應設計和應用在安全區域工作的程式。 | A.9.1.5 | 在安全區域工作 | 應設計和運用用於安全區域工作的物理保護和指南。 |
| A.11.1.6 | 送貨和裝卸區 | 訪問區域如裝卸區域,及其他未經授權人員可能進入的地點應加以控制,如果可能的話,資訊處理設施應隔離以防止未授權的訪問。 | A.9.1.6 | 公共訪問、交接區安全 | 訪問點(例如交接區)和未授權人員可進入辦公場所的其他點應加以控制,如果可能,要與資訊處理設施隔離,以避免未授權訪問。 |
| A.11.2裝置安全 | A.9.2裝置安全 |
| 目標:防止資產的遺失、損壞、偷竊或損失和組織業務中斷。 | 目標:防止資產的丟失、損壞、失竊或危及資產安全以及組織活動的中斷。 |
| A.11.2.1 | 裝置安置及保護 | 應妥善安置及保護裝置,以減少來自環境的威脅與危害,並減少未授權訪問的機會。 | A.9.2.1 | 裝置安置及保護 | 應安置或保護裝置,以減少由環境威脅和危險所造成的各種風險以及未授權訪問的機會。 |
| A.11.2.2 | 支援設施 | 應保護裝置免於電力中斷及其它因支援設施失效導致的中斷。 | A.9.2.2 | 支援設施 | 應保護裝置使其免於由支援性設施的失效而引起的電源故障和其他中斷。 |
| A.11.2.3 | 線纜安全 | 應保護傳輸資料或支援資訊服務的電力及通訊電纜,免遭中斷或破壞。 | A.9.2.3 | 線纜安全 | 應保證傳輸資料或支援資訊服務的電源布纜和通訊布纜免受竊聽或損壞。 |
| A.11.2.4 | 裝置維護 | 應正確維護裝置,以確保其持續的可用性及完整性。 | A.9.2.4 | 裝置維護 | 裝置應予以正確地維護,以確保其持續的可用性和完整性。 |
| A.11.2.5 | 資產轉移 | 未經授權,不得將裝置、資訊及軟體帶離。 | A.9.2.5 | 組織場所外的裝置安全 | 應對組織場所的裝置採取安全措施,要考慮工作在組織場所以外的不同風險。 |
| A.11.2.6 | 場外裝置和資產安全 | 應對場外資產進行安全防護,考慮在組織邊界之外工作的不同風險。 | A.9.2.6 | 裝置的安全處置或再利用 | 包含儲存介質的裝置的所有專案應進行檢查,以確保在銷燬之前,任何敏感資訊和註冊軟體已被刪除或安全重寫。 |
| A.11.2.7 | 裝置報廢或重用 | 含有儲存介質的所有裝置在報廢或重用前,應進行檢查,確保任何敏感資料和授權軟體被刪除或被安全重寫。 | A.9.2.7 | 資產的移動 | 裝置、資訊或軟體在授權之前不應帶出組織場所。 |
| A.11.2.8 | 無人值守的裝置 | 使用者應確保無人值守的裝置有適當的保護。 | | | |
| A.11.2.9 | 桌面清空及清屏策略 | 應採用清除桌面紙質和可移動儲存介質的策略,以及清除資訊處理設施螢幕的策略。 | | | |
| A.12操作安全 | A.10通訊和操作管理 |
| A.12.1操作程式及職責 | A.10.1操作程式及職責 |
| 目標:確保資訊處理設施正確和安全的操作。 | 目標:確保正確、安全的操作資訊處理設施。 |
| A.12.1.1 | 檔案化的操作程式 | 應編制檔案化的操作程式,並確保所有需要的使用者可以獲得。 | A.10.1.1 | 檔案化的操作程式 | 操作程式應形成檔案、保持並對所有需要的使用者可用。 |
| A.12.1.2 | 變更管理 | 應控制組織、業務流程、資訊處理設施和影響資訊保安的系統的變更。 | A.10.1.2 | 變更管理 | 對資訊處理設施和系統的變更應加以控制。 |
| A.12.1.3 | 容量管理 | 應監控、調整資源的使用,並反映將來容量的需求以確保系統效能。 | A.10.1.3 | 責任分割 | 各類責任及職責範圍應加以分割,以降低未授權或無意識的修改或者不當使用組織資產的機會。 |
| A.12.1.4 | 開發、測試與執行環境的分離 | 應分離開發、測試和執行環境,以降低未授權訪問或對操作環境變更的風險。 | A.10.1.4 | 開發、測試與執行環境的分離 | 開發、測試和執行設施應分離,以減少未授權訪問或改變執行系統的風險。 |
| | | | A.10.3.1 | 容量管理 | 資源的使用應加以監視、調整,並應作出對於未來容量要求的預測,以確保擁有所需的系統效能。 |
| A.12.2防範惡意軟體 | A.10.4防範惡意和移動程式碼 |
| 目標:確保對資訊和資訊處理設施的保護,防止惡意軟體。 | 目標:保護軟體和資訊的完整性。 |
| A.12.2.1 | 控制惡意軟體 | 應實施檢測、預防和恢復措施以應對惡意軟體,結合適當的使用者意識程式。 | A.10.4.1 | 控制惡意程式碼 | 應實施惡意程式碼的監測、預防和恢復的控制措施,以及適當的提高使用者安全意識的程式。 |
| | | | A.10.4.2 | 控制移動程式碼 | 當授權使用移動程式碼時,其配置應確保授權的移動程式碼按照清晰定義的安全策略執行,應阻止執行未授權的移動程式碼。 |
| A.12.3備份 | A.10.5備份 |
| 目標:防止資料丟失 | 目標:保持資訊和資訊處理設施的完整性和可用性。 |
| A.12.3.1 | 資訊備份 | 根據既定的備份策略備份資訊,軟體及系統映象,並定期測試。 | A.10.5.1 | 資訊備份 | 應按照已設的備份策略,定期備份和測試資訊和軟體。 |
| A.12.4日誌記錄和監控 | A.10.10監視 |
| 目標:記錄事件和生成的證據 | 目標:檢測未授權的資訊處理活動。 |
| A.12.4.1 | 事件日誌 | 應產生記錄使用者活動、意外和資訊保安事件的日誌,保留日誌並定期評審。 | A.10.10.1 | 審計日誌 | 應產生記錄使用者活動、異常和資訊保安事件的審計日誌,並要保持一個已設的週期以支援將來的調查和訪問控制監視。 |
| A.12.4.2 | 日誌資訊保護 | 應保護日誌設施和日誌資訊免受篡改和未授權訪問。 | A.10.10.2 | 監視系統的使用 | 應建立資訊處理設施的監視使用程式,監視活動的結果要經常評審 |
| A.12.4.3 | 管理員和操作者日誌 | 應記錄系統管理員和系統操作者的活動,進行日誌保護及定期評審。 | A.10.10.3 | 日誌資訊的保護 | 記錄日誌的設施和日誌資訊應加以保護,以防止篡改和未授權的訪問。 |
| A.12.4.4 | 時鐘同步 | 在組織內或安全域內的所有相關資訊處理系統的時鐘應按照一個單一的參考時間源保持同步。 | A.10.10.4 | 管理員和操作員日誌 | 系統管理員和系統操作員活動應記入日誌。 |
| | | | A.10.10.5 | 故障日誌 | 故障應被記錄、分析,並採取適當的措施。 |
| | | | A.10.10.6 | 時鐘同步 | 一個組織或安全域內的所有相關資訊處理設施的時鐘應使用已設的精確時間源進行同步。 |
| A.12.5操作軟體控制 | A.12.4系統檔案的安全 |
| 目標:確保系統的完整性。 | 目標:確保系統檔案的安全 |
| A.12.5.1 | 運營系統的軟體安裝 | 應建立程式對運營中的系統的軟體安裝進行控制。 | A.12.4.1 | 執行軟體的控制 | 應有程式來控制在執行系統上安裝軟體。 |
| | | | A.12.4.2 | 系統測試資料的保護 | 測試資料應認真地加以選擇、保護和控制。 |
| | | | A.12.4.3 | 對程式原始碼的訪問控制 | 應限制訪問程式原始碼。 |
| A.12.6技術漏洞管理 | A.12.6技術脆弱性管理 |
| 目標:防止技術漏洞被利用 | 目標:降低利用公佈的技術脆弱性導致的風險。 |
| A.12.6.1 | 管理技術漏洞 | 應及時獲得組織所使用的資訊系統的技術漏洞的資訊,對漏洞進行評估,並採取適當的措施去解決相關風險。 | A.12.6.1 | 技術脆弱性的控制 | 應及時得到現用資訊系統技術脆弱性的資訊,評價組織對這些脆弱性的暴露程度,並採取適當的措施來處理相關的風險。 |
| A.12.6.2 | 軟體安裝限制 | 應建立並實施使用者軟體安裝規則。 | | | |
| A.12.7資訊系統審計的考慮因素 | |
| 目標:最小審計活動對系統執行影響。 | |
| A.12.7.1 | 資訊系統稽核控制 | 應謹慎策劃對系統執行驗證所涉及的稽核要求和活動並獲得許可,以最小化中斷業務過程。 | | | |
| A.13通訊安全 | |
| A.13.1網路安全管理 | A.10.6網路安全管理 |
| 目標:確保網路及資訊處理設施中資訊的安全。 | 目標:確保網路中資訊的安全性並保護支援性的基礎設施。 |
| A.13.1.1 | 網路控制 | 應對網路進行管理和控制,以保護系統和應用程式的資訊。 | A.10.6.1 | 網路控制 | 應充分管理和控制網路,以防止威脅的發生,維護系統和使用網路的應用程式的安全,包括傳輸中的資訊。 |
| A.13.1.2 | 網路服務安全 | 應識別所有網路服務的安全機制、服務等級和管理要求,幷包括在網路服務協議中,無論這種服務是由內部提供的還是外包的。 | A.10.6.2 | 網路服務安全 | 安全特性、服務級別以及所有網路服務的管理要求應予以確定幷包括在所有網路服務協議中,無論這些服務是由內部提供的還是外包的。 |
| A.13.1.3 | 網路隔離 | 應在網路中按組(GROUP)隔離資訊服務、使用者和資訊系統。 | | | |
| A.13.2資訊傳輸 | A.10.8資訊的交換 |
| 目標:應確保資訊在組織內部或與外部組織之間傳輸的安全。 | 目標:保持組織內資訊和軟體交換及與外部組織資訊和軟體交換的安全。 |
| A.13.2.1 | 資訊傳輸策略和程式 | 應建立正式的傳輸策略、程式和控制,以保護通過通訊設施傳輸的所有型別資訊的安全。 | A.10.8.1 | 資訊交換策略和程式 | 應有正式的交換策略、程式和控制措施,以保護通過使用各種型別通訊設施的資訊交換。 |
| A.13.2.2 | 資訊傳輸協議 | 建立組織和外部各方之間的業務資訊的安全傳輸協議。 | A.10.8.2 | 交換協議 | 應建立組織與外部團體交換資訊和軟體的協議。 |
| A.13.2.3 | 電子訊息 | 應適當保護電子訊息的資訊。? | A.10.8.3 | 運輸中的物理介質 | 包含資訊的介質在組織的物理邊界以外運送時,應防止未授權的訪問、不當使用或毀壞。 |
| A.13.2.4 | 保密或非擴散協議 | 應制定並定期評審組織的資訊保安保密協議或非擴散協議(NDA),該協議應反映織對資訊保護的要求。 | A.10.8.4 | 電子訊息傳送 | 包含在電子訊息傳送中的資訊應給予適當的保護。 |
| | | | A.10.8.5 | 業務資訊系統 | 應建立和實施策略和程式以保護與業務資訊系統互聯的資訊。 |
| | | | A.10.9電子商務服務 |
| | | | 目標:確保電子商務服務的安全及其安全使用。 |
| | | | A.10.9.1 | 電子商務 | 包含在使用公共網路的電子商務中的資訊應受保護,以防止欺詐活動、合同爭議和未授權的洩露和修改。 |
| | | | A.10.9.2 | 線上交易 | 包含在線上交易中的資訊應受保護,以防止不完全傳輸、錯誤路由、未授權的訊息篡改、未授權的洩露、未授權的訊息複製或重放。 |
| | | | A.10.9.3 | 公共可用資訊 | 在公共可用系統中可用資訊的完整性應受保護,以防止未授權的修改。 |
| A.14系統的獲取、開發及維護 | A.12系統的獲取、開發及維護 |
| A.14.1資訊系統安全需求 | A.12.1資訊系統安全需求 |
| 目標:確保資訊保安成為資訊系統生命週期的組成部分,包括向公共網路提供服務的資訊系統的要求。 | 目標:確保安全是資訊系統的一個有機組成部分。 |
| A.14.1.1 | 資訊保安需求分析和規範 | 新建資訊系統或改進現有資訊系統應包括資訊保安相關的要求。 | A.12.1.1 | 安全要求分析和說明 | 在新的資訊系統或增強已有資訊系統的業務要求陳述中,應規定對安全控制措施的要求。 |
| A.14.1.2 | 公共網路應用服務的安全 | 應保護應用服務中通過公共網路傳輸的資訊,以防止欺詐、合同爭議、未授權的洩漏和修改。 | | | |
| A.14.1.3 | 保護線上交易 | 應保護應用服務傳輸中的資訊,以防止不完整的傳輸、路由錯誤、未授權的訊息修改、未經授權的洩漏、未授權的資訊複製和重放。 | | | |
| | | | A.12.2應用中的正確處理 |
| | | | 目標:防止應用系統中的資訊的錯誤、遺失、未授權的修改及誤用。 |
| | | | A.12.2.1 | 輸入資料的驗證 | 輸入應用系統的資料應加以驗證,以確保資料是正確且恰當的。 |
| | | | A.12.2.2 | 內部處理的控制 | 驗證檢查應整合到應用中,以檢查由於處理的錯誤或故意的行為造成的資訊的訛誤。 |
| | | | A.12.2.3 | 訊息完整性 | 應用中的確保真實性和保護訊息完整性的要求應得到識別,適當的控制措施也應得到識別並實施。 |
| | | | A.12.2.4 | 輸出資料的驗證 | 從應用系統輸出的資料應加以驗證,以確保對所儲存資訊的處理是正確的且適於環境的。 |
| A.14.2開發和支援過程的安全 | A.12.5開發和支援過程的安全 |
| 目標:確保資訊系統開發生命週期中設計和實施資訊保安。 | 目標:維護應用系統軟體和資訊的安全。 |
| A.14.2.1 | 安全開發策略 | 應建立組織內部的軟體和系統開發準則。 | A.12.5.1 | 變更控制程式 | 應使用正式的變更控制程式控制變更的實施。 |
| A.14.2.2 | 系統變更控制程式 | 應通過正式的變更控制程式,控制在開發生命週期中的系統變更實施。 | A.12.5.2 | 作業系統變更後應用的技術評審 | 當作業系統發生變更後,應對業務的關鍵應用進行評審和測試,以確保對組織的執行或安全沒有負面影響。 |
| A.14.2.3 | 操作平臺變更後的技術評審 | 當操作平臺變更後,應評審並測試關鍵的業務應用系統,以確保變更不會對組織的運營或安全產生負面影響。 | A.12.5.3 | 軟體包變更的限制 | 應對軟體包的修改進行勸阻,限制必要的變更,且對所有的變更加以嚴格控制。 |
| A.14.2.4 | 軟體包變更限制 | 不鼓勵對軟體包進行變更,對必要的更改需嚴格控制。 | A.12.5.4 | 資訊洩露 | 應防止資訊洩露的可能性。 |
| A.14.2.5 | 涉密系統的工程原則 | 應建立、記錄、維護和應用安全系統的工程原則,並執行於任何資訊系統。 | A.12.5.5 | 外包軟體開發 | 組織應管理和監視外包軟體的開發。 |
| A.14.2.6 | 開發環境安全 | 應在整個系統開發生命週期的系統開發和整合工作,建立並妥善保障開發環境的安全。 | | | |
| A.14.2.7 | 外包開發 | 組織應監督和監控系統外包開發的活動。 | | | |
| A.14.2.8 | 系統安全測試 | 在開發過程中,應進行安全性的測試。 | | | |
| A.14.2.9 | 系統驗收測試 | 應建立新資訊系統、系統升級及新版本的驗收測試程式和相關標準。 | A.10.3.2 | 系統驗收 | 應建立對新資訊系統、升級及新版本的驗收準則,並且在開發中和驗收前對系統進行適當的測試。 |
| A.14.3測試資料 | |
| 目標:確保測試資料安全。 | |
| A.14.3.1 | 測試資料的保護 | 應謹慎選擇測試資料,並加以保護和控制。 | | | |
| A.15供應商關係 | |
| A.15.1供應商關係的資訊保安 | A.10.2第三方服務交付管理 |
| 目標:確保組織被供應商訪問的資訊的安全。 | 目標:實施和保持符合第三方服務交付協議的資訊保安和服務交付的適當水準。 |
| A.15.1.1 | 供應商關係的資訊保安策略 | 為降低供應商使用該組織的資產相關的風險的資訊保安要求應獲得許可並記錄。 | A.10.2.1 | 服務交付 | 應確保第三方實施、執行和保持包含在第三方服務交付協議中的安全控制措施、服務定義和交付水準。 |
| A.15.1.2 | 在供應商協議中強調安全 | 與每個供應商簽訂的協議中應覆蓋所有相關的安全要求。如可能涉及對組織的IT基礎設施元件、資訊的訪問、處理、儲存、溝通。 | A.10.2.2 | 第三方服務的監視和評審 | 應定期監視和評審由第三方提供的服務、報告和記錄,稽核也應定期執行。 |
| A.15.1.3 | 資訊和通訊技術的供應鏈 | 供應商協議應包括資訊、通訊技術服務和產品供應鏈的相關資訊保安風險。 | A.10.2.3 | 第三方服務的變更管理 | 應管理服務提供的變更,包括保持和改進現有的資訊保安方針策略、程式和控制措施,要考慮業務系統和涉及過程的關鍵程度及風險的再評估。 |
| A.15.2供應商服務交付管理 | |
| 目標:保持一致的資訊保安水平,確保服務交付符合服務協議要求。 | |
| A.15.2.1 | 供應商服務的監督和評審 | 組織應定期監控、評審和稽核供應商的服務交付。 | | | |
| A.15.2.2 | 供應商服務的變更管理 | 應管理供應商服務的變更,包括保持和改進現有資訊保安策略、程式和控制措施,考慮對業務資訊、系統、過程的關鍵性和風險的再評估。 | | | |
| A.16資訊保安事件管理 | A.13資訊保安事件管理 |
| A.16.1資訊保安事件的管理和改進 | A.13.1報告資訊保安事件和弱點 |
| 目標:確保持續、有效地管理資訊保安事件,包括對安全事件和弱點的溝通。 | 目標:確保與資訊系統有關的資訊保安事件和弱點能夠以某種方式傳達,以便及時採取糾正措施。 |
| A.16.1.1 | 職責和程式 | 應建立管理職責和程式,以快速、有效和有序的響應資訊保安事件。 | A.13.1.1 | 報告資訊保安事件 | 資訊保安事件應該儘可能快地通過適當的管理渠道進行報告。 |
| A.16.1.2 | 報告資訊保安事件 | 應通過適當的管理途徑儘快報告資訊保安事件。 | A.13.1.2 | 報告安全弱點 | 應要求資訊系統和服務的所有僱員、承包方人員和第三方人員記錄並報告他們觀察到的或懷疑的任何系統或服務的安全弱點。 |
| A.16.1.3 | 報告資訊保安弱點 | 應要求使用組織資訊系統和服務的員工和承包商注意並報告系統或服務中任何已發現或疑似的資訊保安弱點。 | A.13.2資訊保安事故和改進的管理 |
| A.16.1.4 | 評估和決策資訊保安事件 | 應評估資訊保安事件,以決定其是否被認定為資訊保安事故。 | 目標:確保採用一致和有效的方法對資訊保安事故進行管理。 |
| A.16.1.5 | 響應資訊保安事故 | 應按照檔案化程式響應資訊保安事故。 | A.13.2.1 | 職責和程式 | 應建立管理職責和程式,以確保能對資訊保安事故做出快速、有效和有序的響應。 |
| A.16.1.6 | 從資訊保安事故中學習 | 分析和解決資訊保安事故獲得的知識應用來減少未來事故的可能性或影響。 | A.13.2.2 | 對資訊保安事故的總結 | 應有一套機制量化和監視資訊保安事故的型別、數量和代價。 |
| A.16.1.7 | 收集證據 | 組織應建立和採取程式,識別、收集、採集和儲存可以作為證據的資訊。 | A.13.2.3 | 證據的收集 | 當一個資訊保安事故涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據,以使證據符合相關訴訟管轄權。 |
| A.17業務連續性管理中的資訊保安 | A.14業務連續性管理中的資訊保安 |
| A.17.1資訊保安的連續性 | A.14.1業務連續性管理的資訊保安方面 |
| 目標:資訊保安的連續性應嵌入組織的業務連續性管理體系。 | 目標:防止業務活動中斷,保護關鍵業務過程免受資訊系統重大失誤或災難的影響,並確保它們的及時恢復。 |
| A.17.1.1 | 規劃資訊保安的連續性 | 組織應確定其需求,以保證在不利情況下的資訊保安和資訊保安管理的連續性,如在危機或災難時。 | A.14.1.1 | 業務連續性管理過程中包含的資訊保安 | 應為貫穿於組織的業務連續性開發和保持一個管理過程,以解決組織的業務連續性所需的資訊保安要求。 |
| A.17.1.2 | 實現資訊保安的連續性 | 組織應建立,記錄,實施,維護程式和控制過程,以確保一個不利的情況過程中所需的連續性的資訊保安。 | A.14.1.2 | 業務連續性和風險評估 | 應識別能引起業務過程中斷的事件,這種中斷髮生的概率和影響,以及它們對資訊保安所造成的後果。 |
| A.17.1.3 | 驗證,評審和評估資訊保安的連續性 | 組織應定期驗證已建立並實施的資訊保安連續性控制,以確保它們是有效的,並在不利的情況下同樣有效。 | A.14.1.3 | 制定和實施包含資訊保安的連續性計劃 | 應制定和實施計劃來保持或恢復執行,以在關鍵業務過程中斷或失敗後能夠在要求的水平和時間內確保資訊的可用性。 |
| | | | A.14.1.4 | 業務連續性計劃框架 | 應保持一個唯一的業務連續性計劃框架,以確保所有計劃是一致的,能夠協調地解決資訊保安要求,併為測試和維護確定優先順序。 |
| | | | A.14.1.5 | 測試、保持和再評估業務連續性計劃 | 業務連續性計劃應定期測試和更新,以確保其及時性和有效性。 |
| A.17.2冗餘 | |
| 目標:確保資訊處理設施的可用性。 | |
| A.17.2.1 | 資訊處理設施的可用性 | 資訊處理設施應具備足夠的冗餘,以滿足可用性要求。 | | | |
| A.18符合性 | A.15符合性 |
| A.18.1法律和合同規定的符合性 | A.15.1符合法律要求 |
| 目標:避免違反有關資訊保安的法律、法規、規章或合同要求以及任何安全要求。 | 目標:避免違反任何法律、法令、法規或合同義務,以及任何安全要求。 |
| A.18.1.1 | 識別適用的法律法規和合同要求 | 應清晰規定所有相關的法律、法規和合同要求以及組織滿足這些要求的方法並形成檔案,並針對每個資訊系統和組織進行更新。 | A.15.1.1 | 可用法律的識別 | 對每一個資訊系統和組織而言,所有相關的法令、法規和合同要求,以及為滿足這些要求組織所採用的方法,應加以明確地定義、形成檔案並保持更新。 |
| A.18.1.2 | 智慧財產權 | 應實施適當的程式,以確保對智慧財產權軟體產品的使用符合相關的法律、法規和合同要求。 | A.15.1.2 | 智慧財產權 | 應實施適當的程式,以確保在使用具有智慧財產權的材料和具有所有權的軟體產品時,符合法律、法規和合同的要求。 |
| A.18.1.3 | 保護記錄 | 應按照法律法規、合同和業務要求,保護記錄免受損壞、破壞、未授權訪問和未授權釋出,或偽造篡改。 | A.15.1.3 | 保護組織的記錄 | 應防止重要的記錄遺失、毀壞和偽造,以滿足法令、法規、合同和業務的要求。 |
| A.18.1.4 | 個人資訊和隱私的保護 | 個人身份資訊和隱私的保護應滿足相關法律法規的要求。 | A.15.1.4 | 資料保護和個人資訊的隱私 | 應依照相關的法律、法規和合同條款的要求,確保資料保護和隱私。 |
| A.18.1.5 | 加密控制法規 | 使用加密控制應確保遵守相關的協議、法律法規。 | A.15.1.5 | 防止濫用資訊處理設施 | 應禁止使用者使用資訊處理設施用於未授權的目的。 |
| | | | A.15.1.6 | 密碼控制措施的規則 | 使用密碼控制措施應遵從相關的協議、法律和法規。 |
| A.18.2資訊保安評審 | A.15.2符合安全策略和標準,以及技術符合性 |
| 目標:確保依照組織策略和程式實施資訊保安。 | 目標:確保系統符合組織的安全策略及標準。 |
| A.18.2.1 | 資訊保安的獨立評審 | 應在計劃的時間間隔或發生重大變化時,對組織的資訊保安管理方法及其實施情況(如,資訊保安控制目標、控制措施、策略、過程和程式)進行獨立評審。 | A.15.2.1 | 符合安全策略和標準 | 管理人員應確保在其職責範圍內的所有安全程式被正確地執行,以確保符合安全策略及標準。 |
| A.18.2.2 | 符合安全策略和標準 | 管理層應定期稽核資訊處理和程式符合他們的責任範圍內適當的安全政策、標準和任何其他安全要求。 | A.15.2.2 | 技術符合性檢查 | 資訊系統應被定期檢查是否符合安全實施標準。 |
| A.18.2.3 | 技術符合性評審 | 應定期評審資訊系統與組織的資訊保安策略、標準的符合程度。 | A.15.3資訊系統稽核考慮 |
| | | | 目標:將資訊系統稽核過程的有效性最大化,干擾最小化。 |
| | | | A.15.3.1 | 資訊系統稽核控制措施 | 涉及對執行系統檢查的稽核要求和活動,應謹慎地加以規劃並取得批准,以便最小化造成業務過程中斷的風險。 |
| | | | A.15.3.2 | 資訊系統稽核工具的保護 | 對於資訊系統稽核工具的訪問應加以保護,以防止任何可能的濫用或損害。 |