ISO27002(ISO/IEC27002)標準介紹
Information technology--Security techniques--Code of practice for information security management
信息技術—安全技術—信息安全管理實用規則
ISO27002標準將取代ISO/IEC27002:2005,直接由ISO/IEC27002:2005更改標準編號為ISO/IEC27002,計劃2007年4月實施?
ISO27002標準介紹:
ISO27002標準為在組織內啟動?實施?保持和改進信息安全管理提供指南和通用的原則?ISO27002標準概述的目標提供了有關信息安全管理通常公認的目標的通用指南?
ISO27002標準的控制目標和控制措施預期被實施以滿足由風險評估所識別的要求?ISO27002標準可以作為一個實踐指南服務于開發組織的安全標準和有效的安全管理實踐,幫助構建組織間活動的信心?
ISO27002標準包含的實施規則可以認為是開發組織具體指南的起點?本實施規則中的控制和指導并不全都是適用的?而且,可能需要ISO27002標準中未包括的附加控制和指南?當開發包括附加控制和指南的文件時,包括對本標準適用的條款進行交叉引用可能是有用的,該交叉引用便于審核員和商業伙伴進行符合性核查?
ISO27002標準目錄:
前言
0引言
0.1什么是信息安全
0.2為什么需要信息安全
0.3如何建立安全要求
0.4評估安全風險
0.5選擇控制措施
0.6信息安全起點
0.7關鍵的成功因素
0.8開發自己的指南
1范圍
2術語和定義
3標準的結構
3.1條款
3.2主要安全類別
4風險評估和處理
4.1評估安全風險
4.2處理安全風險
5安全方針
5.1信息安全方針
5.1.1信息安全方針文件
5.1.2信息安全方針評審
6信息安全組織
6.1內部組織
6.1.1信息安全管理承諾
6.1.2信息安全協作
6.1.3信息安全職責分配
6.1.4信息處理設施的授權過程
6.1.5保密協議
6.1.6與權威機構的聯系
6.1.7與專業興趣小組聯系
6.1.8信息安全的獨立評審
6.2外部相關方
6.2.1與外部相關方相關的風險的識別
6.2.2致力于與顧客相關的安全
6.2.3第三方協議中涉及的安全
7資產管理
7.1資產責任
7.1.1資產清單
7.1.2資產所有權
7.1.3資產的恰當使用
7.2信息分類
7.2.1分類原則
7.2.2信息標識和處理
8人員安全
8.1聘用前
8.1.1角色和責任
8.1.2篩選
8.1.3聘用條款和條件
8.2聘用期間
8.2.1管理職責
8.2.2信息安全意識?培訓和程序
8.2.3懲戒過程
8.3聘用終止或變化
8.3.1終止責任
8.3.2資產歸還
8.3.3訪問權的刪除
9物理和環境安全
9.1安全區域
9.1.1物理安全周界
9.1.2物理進入控制
9.1.3安全辦公室?房間和設施
9.1.4防范外部的和環境的威脅
9.1.5在安全區工作
9.1.6公共訪問?交付和存儲區
9.2設備安全
9.2.1設備定位和保護
9.2.2支持性設施
9.2.3電纜安全
9.2.4設備維護
9.2.5場所外設備的安全
9.2.6設備的安全處置和再利用
9.2.7資產轉移
10通信和運作管理
10.1操作程序和職責
10.1.1操作程序文件化
10.1.2變更管理
10.1.3責任分離
10.1.4開發?測試和運作設施的隔離
10.2第三方服務交付管理
10.2.1服務交付
10.2.2第三方服務的監控和評審
10.2.3管理第三方服務的更改
10.3系統策劃與驗收
10.3.1容量管理
10.3.2系統驗收
10.4防范惡意軟件和移動代碼
10.4.1防范惡意代碼
10.4.2防范移動代碼
10.5備份
10.5.1信息備份
10.6網絡安全管理
10.6.1網絡控制
10.6.2網絡服務的安全
10.7介質的處理
10.7.1可移動計算機存儲介質的管理
10.7.2介質的處置
10.7.3信息處理程序
10.7.4系統文件的安全
10.8.1信息交換方針和程序
10.8.2交換協議
10.8.3物理介質的運輸
10.8.4電子通信
10.8.5商業信息系統
10.9電子商務服務
10.9.1電子商務
10.9.2在線交易
10.9.3公共可用信息
10.10監控
10.10.1審核日志
10.10.2監控系統使用
10.10.3日志信息的保護
10.10.4管理員或操作員日志
10.10.5故障日志
10.10.6時鐘同步
11訪問控制
11.1訪問控制的業務需求
11.1.1訪問控制方針
11.2用戶訪問管理
11.2.1用戶注冊
11.2.2特權管理
11.2.3用戶口令管理
11.2.4用戶訪問權的評審
11.3用戶責任
11.3.1口令使用
11.3.2無人值守的用戶設備
11.3.3清潔桌面和清除屏幕方針
11.4網絡訪問控制
11.4.1網絡服務的使用方針
11.4.2外部連接的用戶驗證
11.4.3網絡中設備的鑒別
11.4.4遠程診斷和配置端口保護
11.4.5網絡分離
11.4.6網絡連接控制
11.4.7網絡路由控制
11.5操作系統訪問控制
11.5.1安全登錄程序
11.5.2用戶識別和驗證
11.5.3口令管理系統
11.5.4系統實用程序的使用
11.5.5會話超時
11.5.6連接時間限制
11.6應用程序以及信息訪問控制
11.6.1信息訪問限制
11.6.2敏感系統隔離
11.7移動計算和遠程工作
11.7.1移動計算和通信
11.7.2遠程工作
12信息系統的信息采集?開發以及維護
12.1信息系統的安全需求
12.1.1安全需求分析和規范
12.2應用程序的正確處理
12.2.1輸入數據的驗證
12.2.2內部作業的管理
12.2.3消息完整性
12.2.4輸出數據驗證
12.3加密控制
12.3.1使用密碼控制的方針
12.3.2密鑰管理
12.4系統文件的安全
12.4.1操作軟件的控制
12.4.2系統測試數據的保護
12.4.3對程序資源庫的訪問控制
12.5開發和支持過程的安全
12.5.1變更控制程序
12.5.2操作系統變更的技術復查
12.5.3改變軟件包的限制
12.5.4信息泄露
12.5.5外包軟件開發
12.6技術薄弱點管理
12.6.1技術薄弱點的控制
13信息安全事故管理
13.1報告信息安全事情和薄弱點
13.1.1報告安全事情
13.1.2報告安全弱點
13.2信息安全事件管理和改進
13.2.1責任和程序
13.2.2吸取事故教訓
13.2.3證據的收集
14業務持續性管理
14.1業務連續性管理的信息安全方面
14.1.1在業務連續性管理過程中包含信息安全
14.1.2業務連續性和風險評估
14.1.3編寫和執行包括信息安全在內的連續性計劃
14.1.4業務連續性計劃框架
14.1.5測試?維護和重新評估業務連續性計劃
15符合性
15.1符合法律要求
15.1.1適用法律的辨別
15.1.2知識產權(IPR)
15.1.3保護組織記錄
15.1.4數據保護和個人信息的保密
15.1.5防止信息處理設備的誤用
15.1.6密碼管理的規定
15.2與安全方針和標準的符合性
15.2.1符合安全方針和標準
15.2.2技術符合性檢測
15.3信息系統審核相關事宜
15.3.1信息系統審核控制
15.3.2系統審查工具的保護.
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
