ISO27002标准2013版.pdf_iso27002:2013资源-CSDN文库

信息安全

体系文件

5星 · 超过95%的资源需积分: 50 80 浏览量 2020-06-24 17:55:09 上传评论收藏 611KB PDF 举报

资源推荐

资源详情

资源评论

ISO/IEC 27002

信息技术-安全技术-信息安全控制实用

规则

Information technology-Security techniques

-Code of practice for information security controls

前言 .................................................................................. I

引言 ................................................................................. II

0 简介 ............................................................................... II

0.1 背景和环境 ....................................................................... II

0.2 信息安全要求 ..................................................................... II

0.3 选择控制措施 .................................................................... III

0.4 编制组织的指南 .................................................................. III

0.5 生命周期的考虑 .................................................................. III

0.6 相关标准 ........................................................................ III

1 范围 ................................................................................ 1

2 规范性引用文件 ...................................................................... 1

3 术语和定义 .......................................................................... 1

4 本标准的结构 ........................................................................ 1

4.1 章节 .............................................................................. 1

4.2 控制类别 .......................................................................... 1

5 信息安全策略 ........................................................................ 2

5.1 信息安全的管理方向 ................................................................ 2

6 信息安全组织 ........................................................................ 4

6.1 内部组织 .......................................................................... 4

6.2 移动设备和远程工作 ................................................................ 6

7 人力资源安全 ........................................................................ 9

7.1 任用之前 .......................................................................... 9

7.2 任用中 ........................................................................... 10

7.3 任用的终止或变更 ................................................................. 13

8 资产管理 ........................................................................... 13

8.1 对资产负责 ....................................................................... 13

8.2 信息分

类 ......................................................................... 15

8.3 介质处置 ......................................................................... 17

9 访问控制 ........................................................................... 19

9.1 访问控制的业务要求 ............................................................... 19

9.2 用户访问管理 ..................................................................... 21

9.3 用户职责 ......................................................................... 24

9.4 系统和应用访问控制 ............................................................... 25

10 密码学 ............................................................................ 28

10.1 密码控制 ........................................................................ 28

11 物理和环境安全 .................................................................... 30

11.1 安全区域 ........................................................................ 30

11.2 设备 ............................................................................ 33

12 操作安全 .......................................................................... 38

12.1 操作规程和职责 .................................................................. 38

12.2 恶意软件防护 .................................................................... 41

12.3 备份 ............................................................................ 42

12.4 日志和监视 ...................................................................... 43

12.5 运行软件的控制 .................................................................. 45

12.6 技术脆弱性管理 .................................................................. 46

12.7 信息系统审计考虑 ................................................................ 48

13 通信安全 .......................................................................... 49

13.1 网络安全管理 .................................................................... 49

13.2 信息传递 ........................................................................ 50

14 系统获取、开发和维护 .............................................................. 54

14.1 信息系统的安全要求 .............................................................. 54

14.2 开发和支持过程中的安全 .......................................................... 57

14.3 测试数据 ........................................................................ 62

15 供应商关系 ........................................................................ 62

15.1 供应商关系的信息安全 ............................................................ 62

15.2 供应商服务交付管理 .............................................................. 66

16 信息安全事件管理 .................................................................. 67

16.1 信息安全事件和改进的管理 ........................................................ 67

17 业务连续性管理的信息安全方面 ...................................................... 71

17.1 信息安全连续性 .................................................................. 71

17.2 冗余 ............................................................................ 73

18 符合性 ............................................................................ 74

18.1 符合法律和合同要求 .............................................................. 74

18.2 信息安全评审 .................................................................... 77

参考文献 ............................................................................. 79

引言

0 简介

0.1 背景和环境

本标准可作为组织基于 ISO/IEC 27001 实施信息安全管理体系（ISMS）的过程中选择控制措施时

的参考，或作为组织实施通用信息安全控制措施时的指南文件。本标准还可以用于开发行业和组织特定

的信息安全管理指南，考虑其特定信息安全风险环境。

所有类型和规模的组织（包括公共和私营部门、商业和非盈利组织）都要采用不同方式（包括电

子方式、物理方式、会谈和陈述等口头方式）收集、处理、存储和传输信息。

信息的价值超越了文字、数字和图像：无形的信息可能包括知识、概念、观念和品牌等。在互联

的世界里，信息和相关过程、系统、网络及其操作、处理和保护的过程中所涉及的人员都是资产，与其

它重要的业务资产一样，对组织的业务至关重要，因此需要防护各种危害。

因相关过程、系统、网络和人员具有固有的脆弱性，资产易受到故意或意外的威胁。对业务过程

和系统的变更或其他外部变更（例如新的法律和规章）可能产生新的信息安全风险。因此，考虑到威胁

利用脆弱性损害组织会有大量方式，信息安全风险是一直存在的。有效的信息安全可以通过保护组织免

受威胁和脆弱性，从而减少这些风险，进一步降低对组织资产的影响。

信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件

和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全

和业务目标。为在一个一致的管理体系总体框架下实施一套全面的信息安全控制措施，信息安全管理体

系（例如 ISO/IEC 27001 所指定的）从整体、协调的角度看待组织的信息安全风险。

从 ISO/IEC 27001 和本标准的意义上说，许多信息系统并没有被设计成是安全的。通过技术手段可

获得的安全性是有限的，宜通过适当的管理和规程给予支持。确定哪些控制措施宜实施到位需要仔细规

划并注意细节。成功的信息安全管理体系需要组织所有员工的参与，还要求利益相关者、供应商或其他

外部方的参与。外部方的专家建议也是需要的。

就一般意义而言，有效的信息安全还可以向管理者和其他利益相关者保证，组织的资产是适当安

全的，并能防范损害。因此，信息安全可承担业务使能者的角色。

0.2 信息安全要求

组织识别出其安全要求是非常重要的，安全要求有三个主要来源：

a) 对组织的风险进行评估，考虑组织的整体业务策略与目标。通过风险评估，识别资产受到的威

胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响；

b) 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的

社会文化环境；

剩余85页未读，继续阅读

评论收藏

内容反馈

yangshzhe0379

2020-07-21

不错的文档谢谢
qq_39154502

2020-11-26

真心不错，清晰，可复制

bai008

粉丝: 1
资源: 6

ISO 27002标准2013版.pdf

最新资源

ISO 27002标准2013版.pdf

ISO27002-2013中文版.pdf

ISO_IEC_27002-2013中英.pdf

ISOIEC 27001：2013 ISOIEC 27002：2013

ISO 27002-2013 中英文对照版.pdf

信息技术-安全技术-信息安全控制实用规则 ISO IEC 27002-2013中文版

ISO IEC 27002-2022 信息安全、网络安全和隐私保护

ISO_IEC_27002

最新版ISO 27002 中文版

ISO/IEC27002 2013 中文版

ISO 27002标准2013版

ISO-27002标准2013版.pdf

ISO标准基础.pdf

ISO_14229-1_2013.pdf

GB／T 22081-2016 ~ ISO／IEC 27002：2013 信息技术 安全技术 信息安全控制实用规则_decrypted.PDF

ISO27001-27002:2013

ISO27002-2022 信息技术 网络安全与隐私保护 信息安全控制（中英文对照版）

ISO 27000系列 信息安全管理资料合集（10份）.zip

ISO/IEC 27005 中文版

ISO 2700x系列技术资料

ISO27002新版标准变化解读.pdf

ISO 14229-6：2013.pdf

ISO_14229-2_2013.pdf

ISO 14229-6-2013.pdf

ISO集装箱标准.pdf

ISO IEC 27002-2022.pdf

信息安全管理实用规则(ISO27002).pdf

ISO 27000-27001-27002 （英文版）.rar

最新资源

GB／T 22081-2016 ~ ISO／IEC 27002：2013 信息技术安全技术信息安全控制实用规则_decrypted.PDF

ISO27002-2022 信息技术网络安全与隐私保护信息安全控制（中英文对照版）

ISO 27000系列信息安全管理资料合集（10份）.zip