深圳ISO27001:2013認(rèn)證控制目標(biāo)和控制措施

A.5信息安全方針

A.5.1信息安全管理指引

目標(biāo)：提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。

A.5.1.1 信息安全方針 應(yīng)定義信息安全方針，信息安全方針文件應(yīng)經(jīng)過管理

層批準(zhǔn)，并向所有員工和相關(guān)方發(fā)布和溝通。

A.5.1.2 信息安全方針的評(píng)審 應(yīng)定期或在發(fā)生重大的變化時(shí)評(píng)審方針文件，確

保方針的持續(xù)性、穩(wěn)定性、充分性和有效性。

A.6信息安全組織

A.6.1內(nèi)部組織

目標(biāo)：建立信息安全管理框架，在組織內(nèi)部啟動(dòng)和控制信息安全實(shí)施。

A.6.1.1 信息安全的角色和職責(zé) 應(yīng)定義和分配所有信息安全職責(zé)。

A.6.1.2 職責(zé)分離 有沖突的職責(zé)和責(zé)任范圍應(yīng)分離，以減少對(duì)組織資產(chǎn)未

經(jīng)授權(quán)訪問、無意修改或誤用的機(jī)會(huì)。

A.6.1.3 與監(jiān)管機(jī)構(gòu)的聯(lián)系 應(yīng)與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)聯(lián)系。

A.6.1.4 與特殊利益團(tuán)體的聯(lián)系 與特殊利益團(tuán)體、其他專業(yè)安全協(xié)會(huì)或行業(yè)

協(xié)會(huì)應(yīng)保持適當(dāng)聯(lián)系。

A.6.1.5 項(xiàng)目管理中的信息安全 實(shí)施任何項(xiàng)目時(shí)應(yīng)考慮信息安全相關(guān)要求。

A.6.2移動(dòng)設(shè)備和遠(yuǎn)程辦公

目標(biāo)：應(yīng)確保遠(yuǎn)程辦公和使用移動(dòng)設(shè)備的安全性。

A.6.2.1 移動(dòng)設(shè)備策略 應(yīng)采取安全策略和配套的安全措施控制使用移動(dòng)設(shè)備

帶來的風(fēng)險(xiǎn)。

A.6.2.2 遠(yuǎn)程辦公 應(yīng)實(shí)施安全策略和配套的安全措施以保障遠(yuǎn)程辦公時(shí)信

息的訪問、處理和存儲(chǔ)的安全。

A.7人力資源安全

A.7.1任用前

目標(biāo)：確保員工、合同方人員理解他們的職責(zé)并適合他們所承擔(dān)的角色。

A.7.1.1 人員篩選 根據(jù)相關(guān)法律、法規(guī)、道德規(guī)范，對(duì)員工、合同

人員及承包商人員進(jìn)行背景調(diào)查，調(diào)查應(yīng)符合業(yè)務(wù)需求、訪問的信息類別及已知

風(fēng)險(xiǎn)。

A.7.1.2 任用條款和條件 與員工和承包商的合同協(xié)議應(yīng)當(dāng)規(guī)定他們對(duì)組

織的信息安全責(zé)任。

A.7.2任用中

目標(biāo)：確保員工和合同方了解并履行他們的信息安全責(zé)任。

A.7.2.1 管理職責(zé) 管理層應(yīng)要求員工、合同方符合組織建立的信息安全策

略和程序。

A.7.2.2 信息安全意識(shí)、教育與培訓(xùn) 組織內(nèi)所有員工、相關(guān)合同人員及合同

方人員應(yīng)接受適當(dāng)?shù)囊庾R(shí)培訓(xùn)，并定期更新與他們工作相關(guān)的組織策略及程序。

A.7.2.3 紀(jì)律處理過程 應(yīng)建立并傳達(dá)正式的懲戒程序，據(jù)此對(duì)違反安全策略

的員工進(jìn)行懲戒。

A.7.3任用終止和變更

A.7.3.1 任用終止或變更的責(zé)任 應(yīng)定義信息安全責(zé)任和義務(wù)在雇用終止或變

更后仍然有效，并向員工和合同方傳達(dá)并執(zhí)行。

A.8資產(chǎn)管理

A.8.1資產(chǎn)的責(zé)任

目標(biāo)：確定組織資產(chǎn)，并確定適當(dāng)?shù)谋Ｗo(hù)責(zé)任。

A.8.1.1 資產(chǎn)清單 應(yīng)制定和維護(hù)信息資產(chǎn)和信息處理設(shè)施相關(guān)資產(chǎn)的資產(chǎn)

清單。

A.8.1.2 資產(chǎn)責(zé)任人 資產(chǎn)清單中的資產(chǎn)應(yīng)指定資產(chǎn)責(zé)任人（OWNER）。

A.8.1.3 資產(chǎn)的合理使用 應(yīng)識(shí)別信息和信息處理設(shè)施相關(guān)資產(chǎn)的合理使用準(zhǔn)則

，形成文件并實(shí)施。

A.8.1.4 資產(chǎn)的歸還 在勞動(dòng)合同或協(xié)議終止后，所有員工和外部方人員應(yīng)退還

所有他們使用的組織資產(chǎn)。

A.8.2信息分類

目標(biāo)：確保信息資產(chǎn)是按照其對(duì)組織的重要性受到適當(dāng)級(jí)別的保護(hù)。

A.8.2.1 信息分類 應(yīng)根據(jù)法規(guī)、價(jià)值、重要性和敏感性對(duì)信息進(jìn)行分類，

保護(hù)信息免受未授權(quán)泄露或篡改。

A.8.2.2 信息標(biāo)識(shí) 應(yīng)制定和實(shí)施合適的信息標(biāo)識(shí)程序,并與組織的信息分類

方案相匹配。

A.8.2.3 資產(chǎn)處理 應(yīng)根據(jù)組織采用的資產(chǎn)分類方法制定和實(shí)施資產(chǎn)處理程

序

A.8.3介質(zhì)處理

目標(biāo)：防止存儲(chǔ)在介質(zhì)上的信息被未授權(quán)泄露、修改、刪除或破壞。

A.8.3.1 可移動(dòng)介質(zhì)管理 應(yīng)實(shí)施移動(dòng)介質(zhì)的管理程序，并與組織的分類方案相

匹配。

A.8.3.2 介質(zhì)處置 當(dāng)介質(zhì)不再需要時(shí)，應(yīng)按照正式程序進(jìn)行可靠的、安全

的處置。

A.8.3.3 物理介質(zhì)傳輸 含有信息的介質(zhì)應(yīng)加以保護(hù)，防止未經(jīng)授權(quán)的訪問、

濫用或在運(yùn)輸過程中的損壞。

A.9訪問控制

A.9.1訪問控制的業(yè)務(wù)需求

目標(biāo)：限制對(duì)信息和信息處理設(shè)施的訪問。

A.9.1.1 訪問控制策略 應(yīng)建立文件化的訪問控制策略，并根據(jù)業(yè)務(wù)和安全要

求對(duì)策略進(jìn)行評(píng)審。

A.9.1.2 對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問 應(yīng)只允許用戶訪問被明確授權(quán)使用的網(wǎng)絡(luò)和

網(wǎng)絡(luò)服務(wù)。

A.9.2用戶訪問管理

目標(biāo)：確保已授權(quán)用戶的訪問，預(yù)防對(duì)系統(tǒng)和服務(wù)的非授權(quán)訪問。

9.2.1 用戶注冊和注銷 應(yīng)實(shí)施正式的用戶注冊和注銷程序來分配訪問權(quán)限。

9.2.2 用戶訪問權(quán)限提供 無論什么類型的用戶，在對(duì)其授予或撤銷對(duì)所有

系統(tǒng)和服務(wù)的權(quán)限時(shí)，都應(yīng)實(shí)施一個(gè)正式的用戶訪問配置程序。

9.2.3 特權(quán)管理 應(yīng)限制及控制特權(quán)的分配及使用。

9.2.4 用戶認(rèn)證信息的安全管理 用戶鑒別信息的權(quán)限分配應(yīng)通過一個(gè)正式的

管理過程進(jìn)行安全控制。

9.2.5 用戶訪問權(quán)限的評(píng)審 資產(chǎn)所有者應(yīng)定期審查用戶訪問權(quán)限。

9.2.6 撤銷或調(diào)整訪問權(quán)限 在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終

止和調(diào)整后，應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限。

9.3用戶責(zé)任

標(biāo)：用戶應(yīng)保護(hù)他們的認(rèn)證信息。

9.3.1 認(rèn)證信息的使用 應(yīng)要求用戶遵循組織的做法使用其認(rèn)證信息。

9.4系統(tǒng)和應(yīng)用訪問控制

標(biāo)：防止對(duì)系統(tǒng)和應(yīng)用的未授權(quán)訪問。

9.4.1 信息訪問限制 應(yīng)基于訪問控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪

問。

9.4.2 安全登錄程序 在需要進(jìn)行訪問控制時(shí)，應(yīng)通過安全的登錄程序，控

制對(duì)系統(tǒng)和應(yīng)用的訪問。

9.4.3 密碼管理系統(tǒng) 應(yīng)使用交互式口令管理系統(tǒng)，確?？诹钯|(zhì)量。

9.4.4 特權(quán)程序的使用 對(duì)于可以覆蓋系統(tǒng)和應(yīng)用權(quán)限控制的工具程序的使用

，應(yīng)限制和嚴(yán)格控制。

9.4.5 對(duì)程序源碼的訪問控制 對(duì)程序源代碼的訪問應(yīng)進(jìn)行限制。

A.10密碼學(xué)

A.10.1密碼控制

目標(biāo)：確保適當(dāng)和有效地使用密碼來保護(hù)信息的機(jī)密性、真實(shí)性和/或完整

性。

A.10.1.1 使用加密控制的策略 應(yīng)開發(fā)和實(shí)施加密控制措施的策略以保護(hù)信

息。

A.10.1.2 密鑰管理 對(duì)加密密鑰的使用、保護(hù)和有效期管理，應(yīng)開發(fā)和

實(shí)施一個(gè)貫穿密鑰全生命周期的策略。

A.11物理和環(huán)境安全

A.11.1安全區(qū)域

目標(biāo)：防止對(duì)組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾

。

A.11.1.1 物理安全邊界 應(yīng)定義安全邊界，用來保護(hù)包含敏感或關(guān)鍵信

息和信

A.11.1.2 物理進(jìn)入控制 安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)入控制保護(hù)，以確保只

有授權(quán)

A.11.1.3 辦公室、房間及設(shè)施和安全 應(yīng)設(shè)計(jì)和實(shí)施保護(hù)辦公室、房間及

所及設(shè)備的物理安全。

A.11.1.4 防范外部和環(huán)境威脅 應(yīng)設(shè)計(jì)和應(yīng)用物理保護(hù)措施以應(yīng)對(duì)自然災(zāi)害

、惡意攻擊或意外。

A.11.1.5 在安全區(qū)域工作 應(yīng)設(shè)計(jì)和應(yīng)用在安全區(qū)域工作的程序。

A.11.1.6 送貨和裝卸區(qū) 訪問區(qū)域如裝卸區(qū)域，及其他未經(jīng)授權(quán)人員可

能進(jìn)入的地點(diǎn)應(yīng)加以控制，如果可能的話，信息處理設(shè)施應(yīng)隔離以防止未授權(quán)的

訪問。

A.11.2設(shè)備安全

目標(biāo)：防止資產(chǎn)的遺失、損壞、偷竊或損失和組織業(yè)務(wù)中斷。

A.11.2.1 設(shè)備安置及保護(hù) 應(yīng)妥善安置及保護(hù)設(shè)備，以減少來自環(huán)境的威脅

與危害，并減少未授權(quán)訪問的機(jī)會(huì)。

A.11.2.2 支持設(shè)施 應(yīng)保護(hù)設(shè)備免于電力中斷及其它因支持設(shè)施失效導(dǎo)

致的中斷。

A.11.2.3 線纜安全 應(yīng)保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的電力及通訊電纜

，免遭中斷或破壞。

A.11.2.4 設(shè)備維護(hù) 應(yīng)正確維護(hù)設(shè)備，以確保其持續(xù)的可用性及完整性

。

A.11.2.5 資產(chǎn)轉(zhuǎn)移 未經(jīng)授權(quán)，不得將設(shè)備、信息及軟件帶離。

A.11.2.6 場外設(shè)備和資產(chǎn)安全 應(yīng)對(duì)場外資產(chǎn)進(jìn)行安全防護(hù)，考慮在組織邊

界之外工作的不同風(fēng)險(xiǎn)。

A.11.2.7 設(shè)備報(bào)廢或重用 含有存儲(chǔ)介質(zhì)的所有設(shè)備在報(bào)廢或重用前，應(yīng)進(jìn)

行檢查，確保任何敏感數(shù)據(jù)和授權(quán)軟件被刪除或被安全重寫。

A.11.2.8 無人值守的設(shè)備 用戶應(yīng)確保無人值守的設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。

A.11.2.9 桌面清空及清屏策略 應(yīng)采用清除桌面紙質(zhì)和可移動(dòng)存儲(chǔ)介質(zhì)的策

略，以及清除信息處理設(shè)施屏幕的策略。

A.12操作安全

A.12.1操作程序及職責(zé)

目標(biāo)：確保信息處理設(shè)施正確和安全的操作。

A.12.1.1 文件化的操作程序 應(yīng)編制文件化的操作程序，并確保所有需

要的用戶可以獲得。

A.12.1.2 變更管理 應(yīng)控制組織、業(yè)務(wù)流程、信息處理設(shè)施和影響信息

安全的系統(tǒng)的變更

A.12.1.3 容量管理 應(yīng)監(jiān)控、調(diào)整資源的使用，并反映將來容量的需求

以確保系統(tǒng)性能

A.12.1.4 開發(fā)、測試與運(yùn)行環(huán)境的分離 應(yīng)分離開發(fā)、測試和運(yùn)行環(huán)

境，以降低未授權(quán)訪問或?qū)Σ僮鳝h(huán)境變更的風(fēng)險(xiǎn)。

A.12.2防范惡意軟件

目標(biāo)：確保對(duì)信息和信息處理設(shè)施的保護(hù)，防止惡意軟件。

A.12.2.1 控制惡意軟件 應(yīng)實(shí)施檢測、預(yù)防和恢復(fù)措施以應(yīng)對(duì)惡意軟件

，結(jié)合適當(dāng)?shù)挠脩粢庾R(shí)程序。

A.12.3備份

目標(biāo)：防止數(shù)據(jù)丟失

A.12.3.1 信息備份 根據(jù)既定的備份策略備份信息，軟件及系統(tǒng)鏡像，

并定期測試。

A.12.4日志記錄和監(jiān)控

目標(biāo)：記錄事件和生成的證據(jù)

A.12.4.1 事件日志 應(yīng)產(chǎn)生記錄用戶活動(dòng)、意外和信息安全事件的日志

，保留日志并定期評(píng)審。

A.12.4.2 日志信息保護(hù) 應(yīng)保護(hù)日志設(shè)施和日志信息免受篡改和未授權(quán)

訪問。

A.12.4.3 管理員和操作者日志 應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作者的活動(dòng)，進(jìn)

行日志保護(hù)及定期評(píng)審。

A.12.4.4 時(shí)鐘同步 在組織內(nèi)或安全域內(nèi)的所有相關(guān)信息處理系統(tǒng)的時(shí)

鐘應(yīng)按照一個(gè)單一的參考時(shí)間源保持同步。

A.12.5操作軟件控制

目標(biāo)：確保系統(tǒng)的完整性。

A.12.5.1 運(yùn)營系統(tǒng)的軟件安裝 應(yīng)建立程序?qū)\(yùn)營中的系統(tǒng)的軟件安裝進(jìn)行

控制。

A.12.6技術(shù)漏洞管理

目標(biāo)：防止技術(shù)漏洞被利用

A.12.6.1 管理技術(shù)漏洞 應(yīng)及時(shí)獲得組織所使用的信息系統(tǒng)的技術(shù)漏洞

的信息，對(duì)漏洞進(jìn)行評(píng)估，并采取適當(dāng)?shù)拇胧┤ソ鉀Q相關(guān)風(fēng)險(xiǎn)。

A.12.6.2 軟件安裝限制 應(yīng)建立并實(shí)施用戶軟件安裝規(guī)則。

A.12.7信息系統(tǒng)審計(jì)的考慮因素

目標(biāo)：最小審計(jì)活動(dòng)對(duì)系統(tǒng)運(yùn)行影響。

A.12.7.1 信息系統(tǒng)審核控制 應(yīng)謹(jǐn)慎策劃對(duì)系統(tǒng)運(yùn)行驗(yàn)證所涉及的審核

要求和活動(dòng)并獲得許可，以最小化中斷業(yè)務(wù)過程。

A.13通信安全

A.13.1網(wǎng)絡(luò)安全管理

目標(biāo):確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。

A.13.1.1 網(wǎng)絡(luò)控制 應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制，以保護(hù)系統(tǒng)和應(yīng)用程序

的信息。

A.13.1.2 網(wǎng)絡(luò)服務(wù)安全 應(yīng)識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級(jí)和

管理要求，并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的

。

A.13.1.3 網(wǎng)絡(luò)隔離 應(yīng)在網(wǎng)絡(luò)中按組（GROUP）隔離信息服務(wù)、用戶和

信息系統(tǒng)。

A.13.2信息傳輸

目標(biāo)：應(yīng)確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?/p>

A.13.2.1 信息傳輸策略和程序 應(yīng)建立正式的傳輸策略、程序和控制，以保

護(hù)通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒌陌踩?

A.13.2.2 信息傳輸協(xié)議 建立組織和外部各方之間的業(yè)務(wù)信息的安全傳

輸協(xié)議。

A.13.2.3 電子消息 應(yīng)適當(dāng)保護(hù)電子消息的信息。？

A.13.2.4 保密或非擴(kuò)散協(xié)議 應(yīng)制定并定期評(píng)審組織的信息安全保密協(xié)

議或非擴(kuò)散協(xié)議（NDA），該協(xié)議應(yīng)反映織對(duì)信息保護(hù)的要求。

A.14系統(tǒng)的獲取、開發(fā)及維護(hù)

A.14.1信息系統(tǒng)安全需求

目標(biāo)：確保信息安全成為信息系統(tǒng)生命周期的組成部分，包括向公共網(wǎng)絡(luò)

提供服務(wù)的信息系統(tǒng)的要求。

A.14.1.1 信息安全需求分析和規(guī)范 新建信息系統(tǒng)或改進(jìn)現(xiàn)有信息系統(tǒng)應(yīng)包

括信息安全相關(guān)的要求。

A.14.1.2 公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全 應(yīng)保護(hù)應(yīng)用服務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)?/p>

信息，以防止欺詐、合同爭議、未授權(quán)的泄漏和修改。

A.14.1.3 保護(hù)在線交易 應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息，以防止不完整

的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和

重放。

A.14.2開發(fā)和支持過程的安全

目標(biāo):確保信息系統(tǒng)開發(fā)生命周期中設(shè)計(jì)和實(shí)施信息安全。

A.14.2.1 安全開發(fā)策略 應(yīng)建立組織內(nèi)部的軟件和系統(tǒng)開發(fā)準(zhǔn)則。

A.14.2.2 系統(tǒng)變更控制程序 應(yīng)通過正式的變更控制程序，控制在開發(fā)

生命周期中的系統(tǒng)變更實(shí)施。

A.14.2.3 操作平臺(tái)變更后的技術(shù)評(píng)審 當(dāng)操作平臺(tái)變更后，應(yīng)評(píng)審并測試

關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對(duì)組織的運(yùn)營或安全產(chǎn)生負(fù)面影響。

A.14.2.4 軟件包變更限制 不鼓勵(lì)對(duì)軟件包進(jìn)行變更，對(duì)必要的更改需嚴(yán)格

控制。

A.14.2.5 涉密系統(tǒng)的工程原則 應(yīng)建立、記錄、維護(hù)和應(yīng)用安全系統(tǒng)的工程

原則，并執(zhí)行于任何信息系統(tǒng)。

A.14.2.6 開發(fā)環(huán)境安全 應(yīng)在整個(gè)系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工

作，建立并妥善保障開發(fā)環(huán)境的安全。

A.14.2.7 外包開發(fā) 組織應(yīng)監(jiān)督和監(jiān)控系統(tǒng)外包開發(fā)的活動(dòng)。

A.14.2.8 系統(tǒng)安全測試 在開發(fā)過程中，應(yīng)進(jìn)行安全性的測試。

A.14.2.9 系統(tǒng)驗(yàn)收測試 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)及新版本的驗(yàn)收

測試程序和相關(guān)標(biāo)準(zhǔn)。

A.14.3測試數(shù)據(jù)

目標(biāo)：確保測試數(shù)據(jù)安全。

A.14.3.1 測試數(shù)據(jù)的保護(hù) 應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù)，并加以保護(hù)和控制。

A.15供應(yīng)商關(guān)系

A.15.1供應(yīng)商關(guān)系的信息安全

目標(biāo)：確保組織被供應(yīng)商訪問的信息的安全。

A.15.1.1 供應(yīng)商關(guān)系的信息安全策略 為降低供應(yīng)商使用該組織的資產(chǎn)相

關(guān)的風(fēng)險(xiǎn)的信息安全要求應(yīng)獲得許可并記錄。

A.15.1.2 在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全 與每個(gè)供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有

相關(guān)的安全要求。如可能涉及對(duì)組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存

儲(chǔ)、溝通。

A.15.1.3 信息和通信技術(shù)的供應(yīng)鏈 供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)

和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險(xiǎn)。

A.15.2供應(yīng)商服務(wù)交付管理

目標(biāo)：保持一致的信息安全水平，確保服務(wù)交付符合服務(wù)協(xié)議要求。

A.15.2.1 供應(yīng)商服務(wù)的監(jiān)督和評(píng)審 組織應(yīng)定期監(jiān)控、評(píng)審和審核供應(yīng)商的

服務(wù)交付。

A.15.2.2 供應(yīng)商服務(wù)的變更管理 應(yīng)管理供應(yīng)商服務(wù)的變更，包括保持

和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施，考慮對(duì)業(yè)務(wù)信息、系統(tǒng)、過程的關(guān)

鍵性和風(fēng)險(xiǎn)的再評(píng)估。

A.16信息安全事件管理

A.16.1信息安全事件的管理和改進(jìn)

目標(biāo)：確保持續(xù)、有效地管理信息安全事件，包括對(duì)安全事件和弱點(diǎn)的溝

通。

A.16.1.1 職責(zé)和程序 應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響

應(yīng)信息安全事件。

A.16.1.2 報(bào)告信息安全事件 應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全

事件。

A.16.1.3 報(bào)告信息安全弱點(diǎn) 應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和

承包商注意并報(bào)告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點(diǎn)。

A.16.1.4 評(píng)估和決策信息安全事件 應(yīng)評(píng)估信息安全事件，以決定其是否被

認(rèn)定為信息安全事故。

A.16.1.5 響應(yīng)信息安全事故 應(yīng)按照文件化程序響應(yīng)信息安全事故。

A.16.1.6 從信息安全事故中學(xué)習(xí) 分析和解決信息安全事故獲得的知識(shí)

應(yīng)用來減少未來事故的可能性或影響。

A.16.1.7 收集證據(jù) 組織應(yīng)建立和采取程序，識(shí)別、收集、采集和保存

可以作為證據(jù)的信息。

A.17業(yè)務(wù)連續(xù)性管理中的信息安全

A.17.1信息安全的連續(xù)性

目標(biāo)：信息安全的連續(xù)性應(yīng)嵌入組織的業(yè)務(wù)連續(xù)性管理體系。

A.17.1.1 規(guī)劃信息安全的連續(xù)性 組織應(yīng)確定其需求，以保證在不利情

況下的信息安全和信息安全管理的連續(xù)性，如在危機(jī)或?yàn)?zāi)難時(shí)。

A.17.1.2 實(shí)現(xiàn)信息安全的連續(xù)性 組織應(yīng)建立，記錄，實(shí)施，維護(hù)程序

和控制過程，以確保一個(gè)不利的情況過程中所需的連續(xù)性的信息安全。

A.17.1.3 驗(yàn)證，評(píng)審和評(píng)估信息安全的連續(xù)性 組織應(yīng)定期驗(yàn)證已建立并

實(shí)施的信息安全連續(xù)性控制，以確保它們是有效的，并在不利的情況下同樣有效

。

A.17.2冗余

目標(biāo)：確保信息處理設(shè)施的可用性。

A.17.2.1 信息處理設(shè)施的可用性 信息處理設(shè)施應(yīng)具備足夠的冗余，以

滿足可用性要求。

A.18符合性

A.18.1法律和合同規(guī)定的符合性

目標(biāo)：避免違反有關(guān)信息安全的法律、法規(guī)、規(guī)章或合同要求以及任何安

全要求

A.18.1.1 識(shí)別適用的法律法規(guī)和合同要求 應(yīng)清晰規(guī)定所有相關(guān)的法律、

法規(guī)和合同要求以及組織滿足這些要求的方法并形成文件，并針對(duì)每個(gè)信息系統(tǒng)

和組織進(jìn)行更新。

A.18.1.2 知識(shí)產(chǎn)權(quán) 應(yīng)實(shí)施適當(dāng)?shù)某绦颍源_保對(duì)知識(shí)產(chǎn)權(quán)軟件產(chǎn)品的

使用符合相關(guān)的法律、法規(guī)和合同要求。

A.18.1.3 保護(hù)記錄 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護(hù)記錄免受

損壞、破壞、未授權(quán)訪問和未授權(quán)發(fā)布，或偽造篡改。

A.18.1.4 個(gè)人信息和隱私的保護(hù) 個(gè)人身份信息和隱私的保護(hù)應(yīng)滿足相

關(guān)法律法規(guī)的要求。

A.18.1.5 加密控制法規(guī) 使用加密控制應(yīng)確保遵守相關(guān)的協(xié)議、法律法

規(guī)。

A.18.2信息安全評(píng)審

目標(biāo):確保依照組織策略和程序?qū)嵤┬畔踩?

A.18.2.1 信息安全的獨(dú)立評(píng)審 應(yīng)在計(jì)劃的時(shí)間間隔或發(fā)生重大變化時(shí)，對(duì)

組織的信息安全管理方法及其實(shí)施情況(如，信息安全控制目標(biāo)、控制措施、策略

、過程和程序）進(jìn)行獨(dú)立評(píng)審。

A.18.2.2 符合安全策略和標(biāo)準(zhǔn) 管理層應(yīng)定期審核信息處理和程序符合他們

的責(zé)任范圍內(nèi)適當(dāng)?shù)陌踩?、?biāo)準(zhǔn)和任何其他安全要求。

A.18.2.3 技術(shù)符合性評(píng)審 應(yīng)定期評(píng)審信息系統(tǒng)與組織的信息安全策略、標(biāo)

準(zhǔn)的符合程度。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202105/ccaa_23416.html