1、信息安全控制目标和控制措施信息安全控制目标和控制措施表 A-1 所列的控制目标和控制措施是直接引用并与 ISO/IEC17799:2005 第 5 到 15 章一致。 表 A.1 中的清单并不完备,一个组织可能考虑另外必要的控制目标和控制措施。 在这些表中选择控制目标和控制措施是条款 4.2.1 规定的 ISMS 过程的一部分。ISO/IEC17799:2005 第 5 至 15 章提供了最佳实践的实施建议和指南,以支持A.5 到 A.15 列出的控制措施。表表 A.1A.1 控制目标和控制措施控制目标和控制措施A.5 安全方针A.5.1 信息安全方针目标:依据业务要求和相关法律法规提供管理指
2、导并支持信息安全。A.5.1.1信息安全方针文件控制措施信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。A.5.1.2信息安全方针的评审控制措施应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。A.6 信息安全组织A.6.1 内部组织目标:在组织内管理信息安全。A.6.1.1信息安全的管理承诺控制措施管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。A.6.1.2信息安全协调控制措施信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。A.6.1.3信息安全职责的分配控制
3、措施所有的信息安全职责应予以清晰地定义。A.6.1.4信息处理设施的授权过程控制措施新信息处理设施应定义和实施一个管理授权过程。A.6.1.5保密性协议控制措施应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。A.6.1.6与政府部门的联系控制措施应保持与政府相关部门的适当联系。A.6.1.7与特定权益团体的联系控制措施应保持与特定权益团体、其他安全专家组和专业协会的适当联系。A.6.1.8信息安全的独立评审控制措施组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。A.6
4、.2 外部各方目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。A.6.2.1与外部各方相控制措施应识别涉及外部各方业务过程中组织的信息关风险的识别 和信息处理设施的风险,并在允许访问前实施适当的控制措施。A.6.2.2处理与顾客有关的安全问题控制措施应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A.6.2.3处理第三方协议中的安全问题控制措施涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。A.7 资产管理A.7.1 对资产负责目标:实现和保持对组织资产
5、的适当保护。A.7.1.1资产清单控制措施应清晰的识别所有资产,编制并维护所有重要资产的清单。A.7.1.2资产责任人控制措施与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任1。A.7.1.3资产的允许使用控制措施与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。A.7.2 信息分类目标:确保信息受到适当级别的保护。A.7.2.1分类指南控制措施信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。A.7.2.2信息的标记和处理控制措施应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。A.8 人力资源安全A.8.1 任用2之前目标:
6、确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。A.8.1.1角色和职责控制措施雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。A.8.1.2审查控制措施关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。A.8.1.3任用条款和条件控制措施作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。A.8.2 任用中目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。A.8.2.1管理职责控制措施管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。A.8.2.2信息安全意识、教育和培训控制措施组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方
安全达人 