91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ISO27001信息安全體系內容

發布時間:2020-07-31 13:15:46 來源:網絡 閱讀:5477 作者:老鷹a 欄目:網絡管理

一、IS027001:2013版和2005版區別


ISO27001:2005版ISO27001:2013版備注
A5安全方針A5安全方針
A6信息安全組織A6信息安全組織
A8人力資源安全A7人力資源安全
A7資產管理A8資產管理
A11訪問控制A9訪問控制

A10密碼學新增
A9物理和環境安全A11物理和環境安全
A10通信與操作管理A12操作安全由舊版拆分

A13通信安全由舊版拆分
A12信息系統獲取、開發和維護A14系統獲取、開發和維護

A15供應關系新增
A13信息安全事件管理A16信息安全事件管理
A14業務連續性管理A17業務連續性管理的信息安全方面
A15符合性A18符合性


二、ISO27001:2013版內容


14控制域控制措施
A5安全方針
A5.1 信息安全管理方向
目的:為信息安全提供管理指導和支持并確保信息安全符合業務需求和相關法律、法規
A5.1.1信息安全方針信息安全方針文件應由管理者批準、發布并傳達給所有員工和外部相關方
A5.1.2信息安全方針的評審應按計劃的時間間隔或當重大變化發生時進行信息安全方針評審,以確保它持續的適宜性、充分性和有效性
A6信息安全組織
A6.1 內部組織
目的:建立一個管理框架,啟動和控制組織內實施信息安全
A6.1.1信息安全的角色和職責所有信息安全職責應被定義及分配
A6.1.2與監管機構的聯系應與監管機構保持適當的接觸
A6.1.3與特殊利益團體的聯系與特定利益團隊、其他專業安全論壇或行業協會應保持適當聯系
A6.1.4項目管理中的信息安全信息安全應融入項目管理中,與項目類型無關
A6.1.5職責分離沖突的職責和權限應被分開,減少對資產未經授權或無意的修改與誤用
A6.2 移動設備和遠程辦公
目的:確保遠程辦公和移動設備使用的安全性
A6.2.1移動設備策略應使用配套策略和安全措施來防止移動設備帶來的風險
A6.2.2遠程辦公應使用配套策略和安全措施來保護信息訪問,處理或遠程存儲
A7人力資源安全
A7.1 任用之前
目的:確保組織內人員理解其職責、考慮其承擔的角色是適合的。
A7.1.1篩選根據相關法律、法規、道德規范,對員工、合同人員及第三方人員的應聘人員進行背景調查,調查應符合業務需求、訪問信息的類別及已知風險
A7.1.2任用的條款及條件作為合同義務的一部分,員工應同意并簽訂就業合同的條款和條件,應當載明其對組織信息安全的職責
A7.2 任用中
目的:確保員工和外部方用戶意識到并履行信息安全職責
A7.2.1管理職責管理層應要求員工、合同方和第三方用戶應用符合組織建立的安全策略和程序的安全
A7.2.2信息安全意識,教育和培訓組織內所有員工、相關合同人員及第三方人員應接受適當的意識培訓,并定期更新與他們工作相關的組織策略及程序
A7.2.3紀律處理過程對于安全違規的雇員,應有一個正式與可溝通的紀律處理過程
A7.3 任用的終止或變化
目的:保證組織利益是雇傭終止和變更的一部分
A7.3.1任用終止或變化的責任任用終止或變更后依然有信息安全責任和義務的人,應該被界定和傳達雇員或給外部方執行
A8資產管理
A8.1 對資產負責
目的:實現和保持對組織資產的適當保護
A8.1.1資產清單應確定與信息和信息處理設施相關的資產,編制并維護資產清單
A8.1.2資產責任人庫存的資產應有責任人
A8.1.3資產的允許使用與信息處理設施有關的信息和資產可接受使用規則應被確定、形成文件并加以實施
A8.2 信息分類
目的:依照信息重要性分級,確保信息受到分級保護
A8.2.1信息的分類信息應按照其對組織的價值,法律要求,敏感性和關鍵性分類
A8.2.2信息的標記根據組織采用的信息分類方案,應制定并實施一套信息標記流程
A8.2.3資產的處理根據組織采用的信息分類方法,應制定并實施一套資產處理流程
A8.2.4資產的歸還所有員工、外部方用戶在合同終止或協議終止后應歸還組織的資產
A8.3 介質處理
目的:為了防止存儲在介質上的信息被未經授權的披露,修改,刪除或破壞
A8.3.1可移動介質的管理根據組織采用的分類方法來執行可移動介質管理流程
A8.3.2介質的處置不需要的介質,應使用正式的規程可靠并安全地處置
A8.3.3物理介質傳輸在傳輸過程中,包含信息的介質應加以保護,防止未經授權的訪問,濫用或損壞。
A9訪問控制
A9.1 訪問控制的業務需求
目的:限制訪問信息和信息處理設施
A9.1.1訪問控制策略應建立一個訪問控制策略,并基于業務和訪問的安全要求進行評審
A9.1.2網絡服務的使用政策只提供用戶已授權的網絡訪問與網絡服務
A9.2 用戶訪問管理
目的:確保授權用戶訪問系統和服務,并防止未授權的訪問
A9.2.1用戶注冊和注銷應為所有系統和服務中所有用戶類型的授權和撤銷建立一套注冊與注銷的流程
A9.2.2特權管理應限制和控制特殊權限的分配及使用
A9.2.3用戶密碼認證信息的管理應使用正式的管理流程來控制秘密認證信息的分配
A9.2.4用戶訪問權的復查資產所有者應當定期審查用戶的訪問權限
A9.2.5移除或調整訪問權限當合同或協議終止后,應刪除或調整所有工作人員和外部人員用戶信息和信息處理設施的訪問權限
A9.3 用戶職責
目的:讓用戶明確身份認證信息的保護負責
A9.3.1秘密認證信息的使用應要求用戶按照組織安全實踐來使用秘密認證信息
A9.4 系統和應用程序的訪問控制
目的:防止對系統和應用的未授權使用
A9.4.1信息訪問限制應依據訪問控制策略來限制對信息和應用系統功能的訪問
A9.4.2安全登錄程序如果訪問控制策略需要,應通過安全登錄程序控制對操作系統的訪問
A9.4.3口令管理系統口令管理系統應采用交互式口令并確保口令質量
A9.4.4特權實用程序的使用對可能超越系統和應用程序控制措施的實用工具的使用應加以限制并嚴格控制
A9.4.5程序源碼的訪問控制對程序源代碼的訪問應被限制
A10密碼學
A10.1 密碼控制
目的:使用密碼適當有效的保護信息的機密性、真實性和完整性
A10.1.1密碼使用控制政策應制定和實施信息保護密碼控制策略
A10.1.2秘鑰管理應制定和實施秘鑰的使用,保護,使用期策略并貫穿其整個生命周期
A11物理和環境安全
A11.1 安全區域
目的:阻止對組織場所和信息的未授權物理訪問、損壞和干擾
A11.1.1物理安全邊界應設置安全邊界來保護包含敏感信息,危險信息和信息處理設施的安全
A11.1.2物理入口控制安全區域應由適合的入口控制所保護,以確保只有授權的人員才允許訪問
A11.1.3辦公司,房間和設施的安全保護應為辦公室、房間和設施設計并采取物理安全措施
A11.1.4外部和環境威脅的安全防護應設計并采取物理安全措施來防范自然災害,惡意×××或事故
A11.1.5在安全區域工作應設計和應用用于安全區域工作的物理保護措施和指南
A11.1.6交付和交接區訪問點(例如交接區)和未授權人員可進入辦公場所的其他點應加以控制,如果可能,應與信息處理設施隔離,以避免未授權訪問
A11.2 設備
目的:防止資產的丟失、損壞、失竊或危及資產安全以及組織活動的中斷
A11.2.1設備安置和保護應妥善安置及保護設備,以減少來自環境的威脅與危害以及未經授權的訪問
A11.2.2支持性設備應保護設備使其免于支持性的失效而引起的電源故障和其他中斷
A11.2.3布攬安全應保護傳輸數據或支持信息服務的電力及通訊電纜,免遭攔截或破壞
A11.2.4設備維護設備應予以正確地保護,以確保其持續的可用性的完整性
A11.2.5資產的移動設備、信息或軟件在授權之前不應帶出組織
A11.2.6場外設備和資產安全應對組織場所外的資產采取安全措施,要考慮工作在組織場所外的不同風險
A11.2.7設備的安全處置或再利用包含存儲介質的設備的所有項目應進行核查,以確保在處置之前,任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋
A11.2.8無人值守的用戶設備用戶應確保無人值守的用戶設備有適當的保護
A11.2.9清除桌面和清屏策略應采取清空桌面上的文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略
A12操作安全
A12.1 操作程序和職責
目的:確保正強、安全的操作信息處理設施
A12.1.1文件化的操作程序操作過程應形成文件,并提供給所有需要的用戶
A12.1.2變更管理對組織,業務流程,信息處理設施和系統的變更應加以控制
A12.1.3容量管理資源的使用應加以監視、調整,并作出對于未來容量要求的預測,以確保擁有所需的系統性能
A12.1.4開發,測試和運行環境的分離開發及測試環境應與運營環境分離。減少未授權訪問和對操作系統變更的風險
A12.2 惡意軟件防護
目的:確保信息和信息處理設施不受惡意軟件侵害
A12.2.1控制惡意軟件應實現結合適當的用戶體驗,使用檢測、預防和恢復控制的手段來防范惡意軟件
A12.3備份
目的:防止數據丟失
A12.3.1信息備份根據既定的備份策略備份信息,軟件和系統映像,并定期測試
A12.4 記錄和監控
目的:記錄事件并生成證據
A12.4.1事件日志應產生記錄用戶活動、異常情況、錯誤和信息安全事件的事件日志,并要保持一個已設的周期以支持將來的調查和訪問控制監視
A12.4.2日志信息的保護記錄日志的設施和日志信息應加以保護,以防止篡改和未授權的訪問
A12.4.3管理員和操作員日志系統管理員和系統操作員的活動應當記錄日志,并對其保護和定期檢討
A12.4.4時鐘同步一個組織或安全域內的所有相關信息處理設施的時鐘應使用已設的精確的時鐘源進行同步

A12.5 操作軟件的控制

目的:保證操作系統的完整性

A12.5.1操作系統軟件的安裝應建立流程對操作系統軟件安裝進行控制
A12.6 技術漏洞管理
目的:防止利用公布的技術脆弱性導致的風險
A12.6.1技術漏洞的管理應及時得到現用信息系統技術脆弱性的信息,評價組織對這些脆弱性的暴漏程度,并采取適當的措施來處理相關風險
A12.6.2限制軟件安裝應建立規則來控制用戶安裝軟件
A12.7 信息系統審計考慮
目的:將業務系統審計過程的影響最小化
A12.7.1信息系統審計控制涉及對運行系統核查的審計要求和活動,應謹慎地加以規劃并取得批準,以便最小化造成業務過程中斷的風險
A13通信安全
A13.1 網絡安全管理
目的:確保網絡中信息的安全性并保護支持性的信息處理設施
A13.1.1網絡控制應管理和控制網絡以保護系統和應用程序中的信息
A13.1.2網絡服務的安全所有網絡服務的安全機制,服務水平和管理要求,應予以明確并列入網絡服務協議中,無論這些服務是否由公司內部提供還是外包
A13.1.3網絡隔離應在網絡中隔離信息服務、用戶系統信息
A13.2 信息傳輸
目的:維護組織與任何外部實體的信息傳輸安全
A13.2.1信息傳輸的策略和程序應建立正式的傳輸策略,流程和控制措施,以保證所有類型的通信設施間的信息傳輸安全
A13.2.2信息傳輸協議應建立組織與外部方傳輸商業信息的安全傳輸協議
A13.2.3電子信息涉及電子消息的信息應適當保護
A13.2.4保密或不泄露協議應確定組織信息保護需要的保密性或不泄露協議的要求,定期審查并記錄
A14系統獲取、開發和維護
A14.1 信息系統的安全要求
目的:確保安全是信息系統生命周期中的一個組成部分,包含對向公共網絡提供服務的設備的特殊要求
A14.1.1安全需求分析和規范應建立對信息安全控制的要求,包括財務報表和新的信息系統或現有信息系統增強的技術要求,同時考慮所有相關的標準,如生命周期或應用程序在公共網絡上是否可用
A14.1.2保護公共網絡上的應用服務公網上應用服務中傳輸的信息應被保護,以免遭受欺詐、合同糾紛,未經授權的披露和修改
A14.1.3保護應用服務交易應用服務傳輸中所涉及到的信息應加以保護,以防止未經授權的消息改變,不完整的傳輸,路由錯誤,未經披露,未經授權的消息復制或重放
A14.2 開發和支持過程中的安全
目的:確保在整個信息系統生命周期中的信息安全設計與實施
A14.2.1安全開發策略應制定及應用關于軟件和系統的開發規則
A14.2.2變更控制程序應使用正式的變更控制規程來控制變更的實施
A14.2.3操作平臺變更后對應用的技術評估當操作平臺發生變更時,應對業務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響
A14.2.4軟件包變更的限制應對軟件包修改進行勸阻,只限于必要的變更,且對所有的變更加以控制
A14.2.5系統開發程序應建立安全系統開發流程,記錄,維護并應用到任何信息系統開發工作
A14.2.6安全的開發環境組織應建立并適當保護開發環境安全,并集成涵蓋整個系統開發周期的工作
A14.2.7外包開發組織應監管和監督外包的系統開發工作
A14.2.8系統安全性測試在開發的過程中,必須測試功能的安全性
A14.2.9系統驗收測試在建立新系統,升級系統和更新版本時,必須建立驗收測試程序和相關標準
A14.3 測試數據
目的:確保測試數據的安全
A14.3.1測試數據的保護測試數據應被仔細篩選,保護和控制
A15供應關系
A15.1 供應關系的安全
目的:確保供應商訪問的組織信息的安全
A15.1.1供應關系的信息安全策略對于減少與供應商相關的信息安全風險或信息處理設施的信息安全要求應被記錄
A15.1.2供應商協議中的安全應建立與信息安全相關的要求并獲得供應商的認可,包括處理,存儲,溝通或提供組織IT基礎設施的信息
A15.1.3ICT供應鏈與供應商的協議應包括解決信息、通信技術服務、產品供應鏈相關信息安全風險的要求
A15.2 供應商服務交付管理
目的:維持與供應商協議中商定的信息安全要求和服務交付水平
A15.2.1監測和審查供應商服務組織應定期監測,審查和審核供應商的服務
A15.2.2供應商服務變更管理應管理供應商提供服務的變更,包括維護、改進現有的信息安全策略、程序和控制,應將商業信息的關鍵性,系統、流程和風險的重新評估考慮在內
A16信息安全事件管理
A16.1 信息安全事件管理和持續改進
目的:確保一致和有效的方法來管理信息安全事件,包括通信安全事件和弱點的報告
A16.1.1職責和程序應建立管理職責和程序,以確保快速、有效和有序的響應信息安全事件
A16.1.2報告信息安全事態信息安全事態應盡可能快的通過適當的管理渠道進行報告
A16.1.3報告信息安全弱點應要求信息系統和服務的所有員工、外部方人員記錄并報告他們觀察到的   或可以的任何系統或服務的安全弱點
A16.1.4信息安全事件的評估和決策信息安全事件應當被評估與決策,如果他們被歸類為信息安全事件
A16.1.5信息安全事故的響應信息安全事件應依照程序文件響應
A16.1.6回顧信息安全事故從分析和解決信息安全事故中獲取知識,減少未來事故的可能性或影響
A16.1.7搜集證據組織應制定和應用程序,用于鑒定,搜集,獲得和保存那些可作為證據的信息
A17業務連續性管理的信息安全方面
A17.1 信息安全連續性
目的:信息安全的連續性應嵌入組織的業務連續性管理(BCM),以確保任何時間都能保護信息并對不良事件進行預測
A17.1.1規劃信息安全連續性組織應確定其在不利情況下的信息安全和信息安全管理連續性要求,如危機或災難
A17.1.2實現信息安全的連續性組織應建立,記錄,實施,維護流程、程序、控制項,以保證在不利情況下要求的信息安全連續性的等級
A17.1.3驗證,評審和評估信息安全的連續性組織應每隔一段時間核實其建立和實施的信息安全連續性控制,以確保他們在不利情況下是有效和生效的。
A17.2 冗余
目的:確保信息處理設施的可用性
A17.2.1信息處理設施的可用性信息處理設施應當實現冗余,以滿足可用性需求
A18符合性
A18.1信息安全審查
目的:確保信息安全設施依照組織的策略和程序運行和實施
A18.1.1信息安全的獨立審查組織管理信息安全的方法及設施(例如信息安全的控制目標、控制措施、策略、過程和規程)應按照計劃的時間間隔進行獨立評審,當安全實施發生重大變化時,也要進行獨立評審
A18.1.2符合安全政策和標準管理者應定期審查其職責范圍內的信息處理和規程被正確的執行,以確保符合安全策略,標準和其他安全要求
A18.1.3技術符合性檢查信息系統應被定期檢查是否符合組織信息安全策略和標準
A18.2 符合法律和合同的要求
目的:避免違反相關信息安全的法律,法規,規章,合同義務以及任何安全要求
A18.2.1識別使用的法律和合同的要求對每個信息系統和組織而言,所有相關的法令、法律和合同要求,以及為滿足這些要求組織所采取的方法,應加以明確地定義,形成文件并保持更新
A18.2.2知識產權(IPR)應實施適當的規程,以確保在使用具有知識產權的材料和具有所有權的軟件產品時,符合法律、法規和合同要求
A18.2.3文檔化信息的保護按照法律,法規,合同和業務需求保護文檔化信息,以免遭受損失,破壞,篡改,未經授權的訪問和擅自發布
A18.2.4隱私和個人信息的保護應依照相關的法律、法規和合同條款的要求,確保隱私和個人信息的保護
A18.2.5密碼控制措施的監管使用密碼控制措施應遵從相關的協議、法律和法規


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

武山县| 增城市| 上栗县| 城步| 浦城县| 舒城县| 灵丘县| 台南县| 马边| 衢州市| 大英县| 晋中市| 曲靖市| 兴城市| 东乡族自治县| 平顶山市| 利津县| 个旧市| 兴安盟| 虞城县| 新竹市| 崇仁县| 济源市| 桐柏县| 得荣县| 桂平市| 玉树县| 保山市| 株洲县| 登封市| 依安县| 汽车| 岐山县| 邯郸县| 安新县| 南投市| 鲁甸县| 浦江县| 荃湾区| 淄博市| 沙雅县|