深圳ISO27001:2013認證控制目標和控制措施

A.5信息安全方針

A.5.1信息安全管理指引

目標：提供符合有關法律法規和業務需求的信息安全管理指引和支持。

A.5.1.1 信息安全方針 應定義信息安全方針，信息安全方針文件應經過管理

層批準，并向所有員工和相關方發布和溝通。

A.5.1.2 信息安全方針的評審 應定期或在發生重大的變化時評審方針文件，確

保方針的持續性、穩定性、充分性和有效性。

A.6信息安全組織

A.6.1內部組織

目標：建立信息安全管理框架，在組織內部啟動和控制信息安全實施。

A.6.1.1 信息安全的角色和職責 應定義和分配所有信息安全職責。

A.6.1.2 職責分離 有沖突的職責和責任范圍應分離，以減少對組織資產未

經授權訪問、無意修改或誤用的機會。

A.6.1.3 與監管機構的聯系 應與相關監管機構保持適當聯系。

A.6.1.4 與特殊利益團體的聯系 與特殊利益團體、其他專業安全協會或行業

協會應保持適當聯系。

A.6.1.5 項目管理中的信息安全 實施任何項目時應考慮信息安全相關要求。

A.6.2移動設備和遠程辦公

目標：應確保遠程辦公和使用移動設備的安全性。

A.6.2.1 移動設備策略 應采取安全策略和配套的安全措施控制使用移動設備

帶來的風險。

A.6.2.2 遠程辦公 應實施安全策略和配套的安全措施以保障遠程辦公時信

息的訪問、處理和存儲的安全。

A.7人力資源安全

A.7.1任用前

目標：確保員工、合同方人員理解他們的職責并適合他們所承擔的角色。

A.7.1.1 人員篩選 根據相關法律、法規、道德規范，對員工、合同

人員及承包商人員進行背景調查，調查應符合業務需求、訪問的信息類別及已知

風險。

A.7.1.2 任用條款和條件 與員工和承包商的合同協議應當規定他們對組

織的信息安全責任。

A.7.2任用中

目標：確保員工和合同方了解并履行他們的信息安全責任。

A.7.2.1 管理職責 管理層應要求員工、合同方符合組織建立的信息安全策

略和程序。

A.7.2.2 信息安全意識、教育與培訓 組織內所有員工、相關合同人員及合同

方人員應接受適當的意識培訓，并定期更新與他們工作相關的組織策略及程序。

A.7.2.3 紀律處理過程 應建立并傳達正式的懲戒程序，據此對違反安全策略

的員工進行懲戒。

A.7.3任用終止和變更

A.7.3.1 任用終止或變更的責任 應定義信息安全責任和義務在雇用終止或變

更后仍然有效，并向員工和合同方傳達并執行。

A.8資產管理

A.8.1資產的責任

目標：確定組織資產，并確定適當的保護責任。

A.8.1.1 資產清單 應制定和維護信息資產和信息處理設施相關資產的資產

清單。

A.8.1.2 資產責任人 資產清單中的資產應指定資產責任人（OWNER）。

A.8.1.3 資產的合理使用 應識別信息和信息處理設施相關資產的合理使用準則

，形成文件并實施。

A.8.1.4 資產的歸還 在勞動合同或協議終止后，所有員工和外部方人員應退還

所有他們使用的組織資產。

A.8.2信息分類

目標：確保信息資產是按照其對組織的重要性受到適當級別的保護。

A.8.2.1 信息分類 應根據法規、價值、重要性和敏感性對信息進行分類，

保護信息免受未授權泄露或篡改。

A.8.2.2 信息標識 應制定和實施合適的信息標識程序,并與組織的信息分類

方案相匹配。

A.8.2.3 資產處理 應根據組織采用的資產分類方法制定和實施資產處理程

序

A.8.3介質處理

目標：防止存儲在介質上的信息被未授權泄露、修改、刪除或破壞。

A.8.3.1 可移動介質管理 應實施移動介質的管理程序，并與組織的分類方案相

匹配。

A.8.3.2 介質處置 當介質不再需要時，應按照正式程序進行可靠的、安全

的處置。

A.8.3.3 物理介質傳輸 含有信息的介質應加以保護，防止未經授權的訪問、

濫用或在運輸過程中的損壞。

A.9訪問控制

A.9.1訪問控制的業務需求

目標：限制對信息和信息處理設施的訪問。

A.9.1.1 訪問控制策略 應建立文件化的訪問控制策略，并根據業務和安全要

求對策略進行評審。

A.9.1.2 對網絡和網絡服務的訪問 應只允許用戶訪問被明確授權使用的網絡和

網絡服務。

A.9.2用戶訪問管理

目標：確保已授權用戶的訪問，預防對系統和服務的非授權訪問。

9.2.1 用戶注冊和注銷 應實施正式的用戶注冊和注銷程序來分配訪問權限。

9.2.2 用戶訪問權限提供 無論什么類型的用戶，在對其授予或撤銷對所有

系統和服務的權限時，都應實施一個正式的用戶訪問配置程序。

9.2.3 特權管理 應限制及控制特權的分配及使用。

9.2.4 用戶認證信息的安全管理 用戶鑒別信息的權限分配應通過一個正式的

管理過程進行安全控制。

9.2.5 用戶訪問權限的評審 資產所有者應定期審查用戶訪問權限。

9.2.6 撤銷或調整訪問權限 在跟所有員工和承包商人員的就業合同或協議終

止和調整后，應相應得刪除或調整其信息和信息處理設施的訪問權限。

9.3用戶責任

標：用戶應保護他們的認證信息。

9.3.1 認證信息的使用 應要求用戶遵循組織的做法使用其認證信息。

9.4系統和應用訪問控制

標：防止對系統和應用的未授權訪問。

9.4.1 信息訪問限制 應基于訪問控制策略限制對信息和應用系統功能的訪

問。

9.4.2 安全登錄程序 在需要進行訪問控制時，應通過安全的登錄程序，控

制對系統和應用的訪問。

9.4.3 密碼管理系統 應使用交互式口令管理系統，確?？诹钯|量。

9.4.4 特權程序的使用 對于可以覆蓋系統和應用權限控制的工具程序的使用

，應限制和嚴格控制。

9.4.5 對程序源碼的訪問控制 對程序源代碼的訪問應進行限制。

A.10密碼學

A.10.1密碼控制

目標：確保適當和有效地使用密碼來保護信息的機密性、真實性和/或完整

性。

A.10.1.1 使用加密控制的策略 應開發和實施加密控制措施的策略以保護信

息。

A.10.1.2 密鑰管理 對加密密鑰的使用、保護和有效期管理，應開發和

實施一個貫穿密鑰全生命周期的策略。

A.11物理和環境安全

A.11.1安全區域

目標：防止對組織信息和信息處理設施的未經授權物理訪問、破壞和干擾

。

A.11.1.1 物理安全邊界 應定義安全邊界，用來保護包含敏感或關鍵信

息和信

A.11.1.2 物理進入控制 安全區域應有適當的進入控制保護，以確保只

有授權

A.11.1.3 辦公室、房間及設施和安全 應設計和實施保護辦公室、房間及

所及設備的物理安全。

A.11.1.4 防范外部和環境威脅 應設計和應用物理保護措施以應對自然災害

、惡意攻擊或意外。

A.11.1.5 在安全區域工作 應設計和應用在安全區域工作的程序。

A.11.1.6 送貨和裝卸區 訪問區域如裝卸區域，及其他未經授權人員可

能進入的地點應加以控制，如果可能的話，信息處理設施應隔離以防止未授權的

訪問。

A.11.2設備安全

目標：防止資產的遺失、損壞、偷竊或損失和組織業務中斷。

A.11.2.1 設備安置及保護 應妥善安置及保護設備，以減少來自環境的威脅

與危害，并減少未授權訪問的機會。

A.11.2.2 支持設施 應保護設備免于電力中斷及其它因支持設施失效導

致的中斷。

A.11.2.3 線纜安全 應保護傳輸數據或支持信息服務的電力及通訊電纜

，免遭中斷或破壞。

A.11.2.4 設備維護 應正確維護設備，以確保其持續的可用性及完整性

。

A.11.2.5 資產轉移 未經授權，不得將設備、信息及軟件帶離。

A.11.2.6 場外設備和資產安全 應對場外資產進行安全防護，考慮在組織邊

界之外工作的不同風險。

A.11.2.7 設備報廢或重用 含有存儲介質的所有設備在報廢或重用前，應進

行檢查，確保任何敏感數據和授權軟件被刪除或被安全重寫。

A.11.2.8 無人值守的設備 用戶應確保無人值守的設備有適當的保護。

A.11.2.9 桌面清空及清屏策略 應采用清除桌面紙質和可移動存儲介質的策

略，以及清除信息處理設施屏幕的策略。

A.12操作安全

A.12.1操作程序及職責

目標：確保信息處理設施正確和安全的操作。

A.12.1.1 文件化的操作程序 應編制文件化的操作程序，并確保所有需

要的用戶可以獲得。

A.12.1.2 變更管理 應控制組織、業務流程、信息處理設施和影響信息

安全的系統的變更

A.12.1.3 容量管理 應監控、調整資源的使用，并反映將來容量的需求

以確保系統性能

A.12.1.4 開發、測試與運行環境的分離 應分離開發、測試和運行環

境，以降低未授權訪問或對操作環境變更的風險。

A.12.2防范惡意軟件

目標：確保對信息和信息處理設施的保護，防止惡意軟件。

A.12.2.1 控制惡意軟件 應實施檢測、預防和恢復措施以應對惡意軟件

，結合適當的用戶意識程序。

A.12.3備份

目標：防止數據丟失

A.12.3.1 信息備份 根據既定的備份策略備份信息，軟件及系統鏡像，

并定期測試。

A.12.4日志記錄和監控

目標：記錄事件和生成的證據

A.12.4.1 事件日志 應產生記錄用戶活動、意外和信息安全事件的日志

，保留日志并定期評審。

A.12.4.2 日志信息保護 應保護日志設施和日志信息免受篡改和未授權

訪問。

A.12.4.3 管理員和操作者日志 應記錄系統管理員和系統操作者的活動，進

行日志保護及定期評審。

A.12.4.4 時鐘同步 在組織內或安全域內的所有相關信息處理系統的時

鐘應按照一個單一的參考時間源保持同步。

A.12.5操作軟件控制

目標：確保系統的完整性。

A.12.5.1 運營系統的軟件安裝 應建立程序對運營中的系統的軟件安裝進行

控制。

A.12.6技術漏洞管理

目標：防止技術漏洞被利用

A.12.6.1 管理技術漏洞 應及時獲得組織所使用的信息系統的技術漏洞

的信息，對漏洞進行評估，并采取適當的措施去解決相關風險。

A.12.6.2 軟件安裝限制 應建立并實施用戶軟件安裝規則。

A.12.7信息系統審計的考慮因素

目標：最小審計活動對系統運行影響。

A.12.7.1 信息系統審核控制 應謹慎策劃對系統運行驗證所涉及的審核

要求和活動并獲得許可，以最小化中斷業務過程。

A.13通信安全

A.13.1網絡安全管理

目標:確保網絡及信息處理設施中信息的安全。

A.13.1.1 網絡控制 應對網絡進行管理和控制，以保護系統和應用程序

的信息。

A.13.1.2 網絡服務安全 應識別所有網絡服務的安全機制、服務等級和

管理要求，并包括在網絡服務協議中，無論這種服務是由內部提供的還是外包的

。

A.13.1.3 網絡隔離 應在網絡中按組（GROUP）隔離信息服務、用戶和

信息系統。

A.13.2信息傳輸

目標：應確保信息在組織內部或與外部組織之間傳輸的安全。

A.13.2.1 信息傳輸策略和程序 應建立正式的傳輸策略、程序和控制，以保

護通過通訊設施傳輸的所有類型信息的安全。

A.13.2.2 信息傳輸協議 建立組織和外部各方之間的業務信息的安全傳

輸協議。

A.13.2.3 電子消息 應適當保護電子消息的信息。？

A.13.2.4 保密或非擴散協議 應制定并定期評審組織的信息安全保密協

議或非擴散協議（NDA），該協議應反映織對信息保護的要求。

A.14系統的獲取、開發及維護

A.14.1信息系統安全需求

目標：確保信息安全成為信息系統生命周期的組成部分，包括向公共網絡

提供服務的信息系統的要求。

A.14.1.1 信息安全需求分析和規范 新建信息系統或改進現有信息系統應包

括信息安全相關的要求。

A.14.1.2 公共網絡應用服務的安全 應保護應用服務中通過公共網絡傳輸的

信息，以防止欺詐、合同爭議、未授權的泄漏和修改。

A.14.1.3 保護在線交易 應保護應用服務傳輸中的信息，以防止不完整

的傳輸、路由錯誤、未授權的消息修改、未經授權的泄漏、未授權的信息復制和

重放。

A.14.2開發和支持過程的安全

目標:確保信息系統開發生命周期中設計和實施信息安全。

A.14.2.1 安全開發策略 應建立組織內部的軟件和系統開發準則。

A.14.2.2 系統變更控制程序 應通過正式的變更控制程序，控制在開發

生命周期中的系統變更實施。

A.14.2.3 操作平臺變更后的技術評審 當操作平臺變更后，應評審并測試

關鍵的業務應用系統，以確保變更不會對組織的運營或安全產生負面影響。

A.14.2.4 軟件包變更限制 不鼓勵對軟件包進行變更，對必要的更改需嚴格

控制。

A.14.2.5 涉密系統的工程原則 應建立、記錄、維護和應用安全系統的工程

原則，并執行于任何信息系統。

A.14.2.6 開發環境安全 應在整個系統開發生命周期的系統開發和集成工

作，建立并妥善保障開發環境的安全。

A.14.2.7 外包開發 組織應監督和監控系統外包開發的活動。

A.14.2.8 系統安全測試 在開發過程中，應進行安全性的測試。

A.14.2.9 系統驗收測試 應建立新信息系統、系統升級及新版本的驗收

測試程序和相關標準。

A.14.3測試數據

目標：確保測試數據安全。

A.14.3.1 測試數據的保護 應謹慎選擇測試數據，并加以保護和控制。

A.15供應商關系

A.15.1供應商關系的信息安全

目標：確保組織被供應商訪問的信息的安全。

A.15.1.1 供應商關系的信息安全策略 為降低供應商使用該組織的資產相

關的風險的信息安全要求應獲得許可并記錄。

A.15.1.2 在供應商協議中強調安全 與每個供應商簽訂的協議中應覆蓋所有

相關的安全要求。如可能涉及對組織的IT基礎設施組件、信息的訪問、處理、存

儲、溝通。

A.15.1.3 信息和通信技術的供應鏈 供應商協議應包括信息、通信技術服務

和產品供應鏈的相關信息安全風險。

A.15.2供應商服務交付管理

目標：保持一致的信息安全水平，確保服務交付符合服務協議要求。

A.15.2.1 供應商服務的監督和評審 組織應定期監控、評審和審核供應商的

服務交付。

A.15.2.2 供應商服務的變更管理 應管理供應商服務的變更，包括保持

和改進現有信息安全策略、程序和控制措施，考慮對業務信息、系統、過程的關

鍵性和風險的再評估。

A.16信息安全事件管理

A.16.1信息安全事件的管理和改進

目標：確保持續、有效地管理信息安全事件，包括對安全事件和弱點的溝

通。

A.16.1.1 職責和程序 應建立管理職責和程序，以快速、有效和有序的響

應信息安全事件。

A.16.1.2 報告信息安全事件 應通過適當的管理途徑盡快報告信息安全

事件。

A.16.1.3 報告信息安全弱點 應要求使用組織信息系統和服務的員工和

承包商注意并報告系統或服務中任何已發現或疑似的信息安全弱點。

A.16.1.4 評估和決策信息安全事件 應評估信息安全事件，以決定其是否被

認定為信息安全事故。

A.16.1.5 響應信息安全事故 應按照文件化程序響應信息安全事故。

A.16.1.6 從信息安全事故中學習 分析和解決信息安全事故獲得的知識

應用來減少未來事故的可能性或影響。

A.16.1.7 收集證據 組織應建立和采取程序，識別、收集、采集和保存

可以作為證據的信息。

A.17業務連續性管理中的信息安全

A.17.1信息安全的連續性

目標：信息安全的連續性應嵌入組織的業務連續性管理體系。

A.17.1.1 規劃信息安全的連續性 組織應確定其需求，以保證在不利情

況下的信息安全和信息安全管理的連續性，如在危機或災難時。

A.17.1.2 實現信息安全的連續性 組織應建立，記錄，實施，維護程序

和控制過程，以確保一個不利的情況過程中所需的連續性的信息安全。

A.17.1.3 驗證，評審和評估信息安全的連續性 組織應定期驗證已建立并

實施的信息安全連續性控制，以確保它們是有效的，并在不利的情況下同樣有效

。

A.17.2冗余

目標：確保信息處理設施的可用性。

A.17.2.1 信息處理設施的可用性 信息處理設施應具備足夠的冗余，以

滿足可用性要求。

A.18符合性

A.18.1法律和合同規定的符合性

目標：避免違反有關信息安全的法律、法規、規章或合同要求以及任何安

全要求

A.18.1.1 識別適用的法律法規和合同要求 應清晰規定所有相關的法律、

法規和合同要求以及組織滿足這些要求的方法并形成文件，并針對每個信息系統

和組織進行更新。

A.18.1.2 知識產權 應實施適當的程序，以確保對知識產權軟件產品的

使用符合相關的法律、法規和合同要求。

A.18.1.3 保護記錄 應按照法律法規、合同和業務要求，保護記錄免受

損壞、破壞、未授權訪問和未授權發布，或偽造篡改。

A.18.1.4 個人信息和隱私的保護 個人身份信息和隱私的保護應滿足相

關法律法規的要求。

A.18.1.5 加密控制法規 使用加密控制應確保遵守相關的協議、法律法

規。

A.18.2信息安全評審

目標:確保依照組織策略和程序實施信息安全。

A.18.2.1 信息安全的獨立評審 應在計劃的時間間隔或發生重大變化時，對

組織的信息安全管理方法及其實施情況(如，信息安全控制目標、控制措施、策略

、過程和程序）進行獨立評審。

A.18.2.2 符合安全策略和標準 管理層應定期審核信息處理和程序符合他們

的責任范圍內適當的安全政策、標準和任何其他安全要求。

A.18.2.3 技術符合性評審 應定期評審信息系統與組織的信息安全策略、標

準的符合程度。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202105/ccaa_23416.html