ISO27002(ISO/IEC27002)標(biāo)準(zhǔn)介紹

Information technology--Security techniques--Code of practice for information security management

信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則

ISO27002標(biāo)準(zhǔn)將取代ISO/IEC27002:2005,直接由ISO/IEC27002:2005更改標(biāo)準(zhǔn)編號(hào)為ISO/IEC27002,計(jì)劃2007年4月實(shí)施?

ISO27002標(biāo)準(zhǔn)介紹:

ISO27002標(biāo)準(zhǔn)為在組織內(nèi)啟動(dòng)?實(shí)施?保持和改進(jìn)信息安全管理提供指南和通用的原則?ISO27002標(biāo)準(zhǔn)概述的目標(biāo)提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南?

ISO27002標(biāo)準(zhǔn)的控制目標(biāo)和控制措施預(yù)期被實(shí)施以滿足由風(fēng)險(xiǎn)評(píng)估所識(shí)別的要求?ISO27002標(biāo)準(zhǔn)可以作為一個(gè)實(shí)踐指南服務(wù)于開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐,幫助構(gòu)建組織間活動(dòng)的信心?

ISO27002標(biāo)準(zhǔn)包含的實(shí)施規(guī)則可以認(rèn)為是開發(fā)組織具體指南的起點(diǎn)?本實(shí)施規(guī)則中的控制和指導(dǎo)并不全都是適用的?而且,可能需要ISO27002標(biāo)準(zhǔn)中未包括的附加控制和指南?當(dāng)開發(fā)包括附加控制和指南的文件時(shí),包括對(duì)本標(biāo)準(zhǔn)適用的條款進(jìn)行交叉引用可能是有用的,該交叉引用便于審核員和商業(yè)伙伴進(jìn)行符合性核查?

ISO27002標(biāo)準(zhǔn)目錄:

前言

0引言

0.1什么是信息安全

0.2為什么需要信息安全

0.3如何建立安全要求

0.4評(píng)估安全風(fēng)險(xiǎn)

0.5選擇控制措施

0.6信息安全起點(diǎn)

0.7關(guān)鍵的成功因素

0.8開發(fā)自己的指南

1范圍

2術(shù)語和定義

3標(biāo)準(zhǔn)的結(jié)構(gòu)

3.1條款

3.2主要安全類別

4風(fēng)險(xiǎn)評(píng)估和處理

4.1評(píng)估安全風(fēng)險(xiǎn)

4.2處理安全風(fēng)險(xiǎn)

5安全方針

5.1信息安全方針

5.1.1信息安全方針文件

5.1.2信息安全方針評(píng)審

6信息安全組織

6.1內(nèi)部組織

6.1.1信息安全管理承諾

6.1.2信息安全協(xié)作

6.1.3信息安全職責(zé)分配

6.1.4信息處理設(shè)施的授權(quán)過程

6.1.5保密協(xié)議

6.1.6與權(quán)威機(jī)構(gòu)的聯(lián)系

6.1.7與專業(yè)興趣小組聯(lián)系

6.1.8信息安全的獨(dú)立評(píng)審

6.2外部相關(guān)方

6.2.1與外部相關(guān)方相關(guān)的風(fēng)險(xiǎn)的識(shí)別

6.2.2致力于與顧客相關(guān)的安全

6.2.3第三方協(xié)議中涉及的安全

7資產(chǎn)管理

7.1資產(chǎn)責(zé)任

7.1.1資產(chǎn)清單

7.1.2資產(chǎn)所有權(quán)

7.1.3資產(chǎn)的恰當(dāng)使用

7.2信息分類

7.2.1分類原則

7.2.2信息標(biāo)識(shí)和處理

8人員安全

8.1聘用前

8.1.1角色和責(zé)任

8.1.2篩選

8.1.3聘用條款和條件

8.2聘用期間

8.2.1管理職責(zé)

8.2.2信息安全意識(shí)?培訓(xùn)和程序

8.2.3懲戒過程

8.3聘用終止或變化

8.3.1終止責(zé)任

8.3.2資產(chǎn)歸還

8.3.3訪問權(quán)的刪除

9物理和環(huán)境安全

9.1安全區(qū)域

9.1.1物理安全周界

9.1.2物理進(jìn)入控制

9.1.3安全辦公室?房間和設(shè)施

9.1.4防范外部的和環(huán)境的威脅

9.1.5在安全區(qū)工作

9.1.6公共訪問?交付和存儲(chǔ)區(qū)

9.2設(shè)備安全

9.2.1設(shè)備定位和保護(hù)

9.2.2支持性設(shè)施

9.2.3電纜安全

9.2.4設(shè)備維護(hù)

9.2.5場(chǎng)所外設(shè)備的安全

9.2.6設(shè)備的安全處置和再利用

9.2.7資產(chǎn)轉(zhuǎn)移

10通信和運(yùn)作管理

10.1操作程序和職責(zé)

10.1.1操作程序文件化

10.1.2變更管理

10.1.3責(zé)任分離

10.1.4開發(fā)?測(cè)試和運(yùn)作設(shè)施的隔離

10.2第三方服務(wù)交付管理

10.2.1服務(wù)交付

10.2.2第三方服務(wù)的監(jiān)控和評(píng)審

10.2.3管理第三方服務(wù)的更改

10.3系統(tǒng)策劃與驗(yàn)收

10.3.1容量管理

10.3.2系統(tǒng)驗(yàn)收

10.4防范惡意軟件和移動(dòng)代碼

10.4.1防范惡意代碼

10.4.2防范移動(dòng)代碼

10.5備份

10.5.1信息備份

10.6網(wǎng)絡(luò)安全管理

10.6.1網(wǎng)絡(luò)控制

10.6.2網(wǎng)絡(luò)服務(wù)的安全

10.7介質(zhì)的處理

10.7.1可移動(dòng)計(jì)算機(jī)存儲(chǔ)介質(zhì)的管理

10.7.2介質(zhì)的處置

10.7.3信息處理程序

10.7.4系統(tǒng)文件的安全

10.8.1信息交換方針和程序

10.8.2交換協(xié)議

10.8.3物理介質(zhì)的運(yùn)輸

10.8.4電子通信

10.8.5商業(yè)信息系統(tǒng)

10.9電子商務(wù)服務(wù)

10.9.1電子商務(wù)

10.9.2在線交易

10.9.3公共可用信息

10.10監(jiān)控

10.10.1審核日志

10.10.2監(jiān)控系統(tǒng)使用

10.10.3日志信息的保護(hù)

10.10.4管理員或操作員日志

10.10.5故障日志

10.10.6時(shí)鐘同步

11訪問控制

11.1訪問控制的業(yè)務(wù)需求

11.1.1訪問控制方針

11.2用戶訪問管理

11.2.1用戶注冊(cè)

11.2.2特權(quán)管理

11.2.3用戶口令管理

11.2.4用戶訪問權(quán)的評(píng)審

11.3用戶責(zé)任

11.3.1口令使用

11.3.2無人值守的用戶設(shè)備

11.3.3清潔桌面和清除屏幕方針

11.4網(wǎng)絡(luò)訪問控制

11.4.1網(wǎng)絡(luò)服務(wù)的使用方針

11.4.2外部連接的用戶驗(yàn)證

11.4.3網(wǎng)絡(luò)中設(shè)備的鑒別

11.4.4遠(yuǎn)程診斷和配置端口保護(hù)

11.4.5網(wǎng)絡(luò)分離

11.4.6網(wǎng)絡(luò)連接控制

11.4.7網(wǎng)絡(luò)路由控制

11.5操作系統(tǒng)訪問控制

11.5.1安全登錄程序

11.5.2用戶識(shí)別和驗(yàn)證

11.5.3口令管理系統(tǒng)

11.5.4系統(tǒng)實(shí)用程序的使用

11.5.5會(huì)話超時(shí)

11.5.6連接時(shí)間限制

11.6應(yīng)用程序以及信息訪問控制

11.6.1信息訪問限制

11.6.2敏感系統(tǒng)隔離

11.7移動(dòng)計(jì)算和遠(yuǎn)程工作

11.7.1移動(dòng)計(jì)算和通信

11.7.2遠(yuǎn)程工作

12信息系統(tǒng)的信息采集?開發(fā)以及維護(hù)

12.1信息系統(tǒng)的安全需求

12.1.1安全需求分析和規(guī)范

12.2應(yīng)用程序的正確處理

12.2.1輸入數(shù)據(jù)的驗(yàn)證

12.2.2內(nèi)部作業(yè)的管理

12.2.3消息完整性

12.2.4輸出數(shù)據(jù)驗(yàn)證

12.3加密控制

12.3.1使用密碼控制的方針

12.3.2密鑰管理

12.4系統(tǒng)文件的安全

12.4.1操作軟件的控制

12.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)

12.4.3對(duì)程序資源庫(kù)的訪問控制

12.5開發(fā)和支持過程的安全

12.5.1變更控制程序

12.5.2操作系統(tǒng)變更的技術(shù)復(fù)查

12.5.3改變軟件包的限制

12.5.4信息泄露

12.5.5外包軟件開發(fā)

12.6技術(shù)薄弱點(diǎn)管理

12.6.1技術(shù)薄弱點(diǎn)的控制

13信息安全事故管理

13.1報(bào)告信息安全事情和薄弱點(diǎn)

13.1.1報(bào)告安全事情

13.1.2報(bào)告安全弱點(diǎn)

13.2信息安全事件管理和改進(jìn)

13.2.1責(zé)任和程序

13.2.2吸取事故教訓(xùn)

13.2.3證據(jù)的收集

14業(yè)務(wù)持續(xù)性管理

14.1業(yè)務(wù)連續(xù)性管理的信息安全方面

14.1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全

14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估

14.1.3編寫和執(zhí)行包括信息安全在內(nèi)的連續(xù)性計(jì)劃

14.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架

14.1.5測(cè)試?維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃

15符合性

15.1符合法律要求

15.1.1適用法律的辨別

15.1.2知識(shí)產(chǎn)權(quán)(IPR)

15.1.3保護(hù)組織記錄

15.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的保密

15.1.5防止信息處理設(shè)備的誤用

15.1.6密碼管理的規(guī)定

15.2與安全方針和標(biāo)準(zhǔn)的符合性

15.2.1符合安全方針和標(biāo)準(zhǔn)

15.2.2技術(shù)符合性檢測(cè)

15.3信息系統(tǒng)審核相關(guān)事宜

15.3.1信息系統(tǒng)審核控制

15.3.2系統(tǒng)審查工具的保護(hù).

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202109/ccaa_27687.html