信息安全控制参考5组织控制5.1信息安全策略5.2信息安全角色与职责5.3职责分离5.4管理职责5.5与职能机构的联系5.6与特定相关方的联系5.7威胁情报5.8项目管理中的信息安全5.9信息及其他资产清单5.105.11资产归还5.12信息的分级5.13信息的标记5.14信息传输5.15访问控制信息和其他相关资产的可接受使用5.16身份管理5.17鉴别信息5.18访问权限5.19供应商关系的信息安全5.205.215.225.23云服务使用中的信息安全5.245.25信息安全事态的评估和决策5.26信息安全事件的响应5.27从信息安全事件中的学习5.28证据的收集5.29中断期间的信息安全5.305.31法律法规、监管和合同要求在供应商协议中强调信息安全ICT(信息与通信技术)供应链中的信息安全管理供应商服务的监视、评审和变更管理信息安全事件管理的策划和准备关于业务连续性的ICT准备5.32知识产权5.33记录保护控制5.345.35信息安全的独立评审5.365.37文件化的操作规程6人员控制6.1审查6.2任用条款及条件6.3信息安全意识、教育和培训6.4违规处理过程6.5任用终止或变更后的责任6.6保密和不泄露协议6.7远程工作6.8信息安全事态报告7物理控制7.1物理安全边界隐私和PII(个人可识别信息)的保护符合信息安全的策略、规则和标准7.2物理入口7.37.4物理安全监视7.5物理和环境威胁的安全防护7.6在安全区域工作7.7清理桌面和屏幕7.8设备安置和保护7.9组织场所外的资产安全7.10存储介质7.11支持性设施7.12布缆安全7.13设备维护7.14设备的安全处置或再利用8技术控制8.1用户终端设备8.2特许访问权办公室、房间和、设备的安全保护8.3信息访问限制8.4对源代码的访问8.5身份验证安全8.6容量管理8.7恶意软件防范8.8技术脆弱性管理8.9配置管理8.10信息删除8.11数据屏蔽8.12防止数据泄漏8.13信息备份8.14信息处理设施的冗余8.15日志管理8.16监视活动8.17时钟同步8.18特许权实用程序的应用8.19运行系统的软件安装8.20网络安全8.21网络服务安全8.22网络隔离8.23网站过滤8.24密码使用8.25开发生命周期安全8.26应用程序安全要求8.27安全系统架构和工程原则8.28安全编码8.29开发和验收中的安全测试8.30外包开发8.318.32变更管理开发、测试与生产环境的隔离8.33测试信息8.34审计测试期间的信息系统保护信息安全控制参考控制信息安全策略和特定的主题策略应被定义,由管理者批准,发布、传递并被相关人员和有关相关方所认可,并按照策划的时间间隔或当发生重大变化时实施评审。控制应根据组织的需求定义、分配信息安全的角色和职责。控制应分离有冲突的职责及其责任范围。控制管理应要求所有人员按照组织制定的信息安全策略、特定主题策略和规程实施信息安全。控制组织应建立和维护与相关职能机构的联系。控制组织应建立和维护与特定相关方、其他专业安全论坛和专业协会联系。控制应收集和分析与信息安全威胁相关的信息,以形成威胁情报。控制信息安全应整合进项目管理中。控制应当制定和维护信息和其他资产清单,包括其拥有者控制应识别可接受使用的准则、信息及其他相关资产处理规程,形成文件并实施。控制人员和其他适当的相关方在任用、合同或协议的变更或终止时,应归还其占用的所有组织资产。控制信息应按照组织的信息安全需求,基于保密性、完整性、可用性和有关相关方的要求进行分级。控制应按照组织采用的信息分级方案,制定并实现一组适当信息标记规程。控制在组织内以及与其他各方之间的所有类型传输设备,都应制定信息传输规则、规程或协议控制应基于业务和信息安全要求,建立和实施控制信息和其他相关资产的物理和逻辑访问控制规则。控制应对身份的全生命周期实施管理控制应通过管理过程控制鉴别信息的分配和管理,包括建议员工适当地处理鉴别信息。控制应根据组织的特定主题策略和访问控制规则,提供、评审、调整和移除对于信息和其他相关资产的访问权限。控制应确定和实施过程和规程,以管理与供应商的产品和服务相关的信息安全风险。控制应基于供应商关系的类型与每个供应商建立相关的信息安全要求,并达成一致。控制应确定和实施过程和规程,以管理与ICT产品和服务供应链相关的信息安全风险控制组织应定期对供应商的信息安全履行和服务交付实施监视...
