信息安全控制目标和控制措施.docx

1、信息安全控制目标和控制措施信息安全控制目标和控制措施表A-1所列的控制目标和控制措施是直接引用并与 ISO/IEC 17799:2005第5到15章一致。表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目 标和控制措施。 在这些表中选择控制目标和控制措施是条款 421规定的ISMS过程的一部分。ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南，以支 持A.5到A.15列出的控制措施。表A.1控制目标和控制措施A.5安全方针A.5.1信息安全方针目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。A.5.1.1信息安全方 针文件控制措施信息安全方针文

2、件应由管理者批准、发布并传达给所有员工 和外部相关方。A.5.1.2信息安全方 针的评审控制措施应按计划的时间间隔或当重大变化发生时进行信息安全方针 评审，以确保它持续的适宜性、充分性和有效性。A.6信息安全组织A.6.1内部组织目标：在组织内管理信息安全。A.6.1.1信息安全的管理承诺控制措施管理者应通过清晰的说明、可证实的承诺、明确的信息安全 职责分配及确认，来积极支持组织内的安全。A.6.1.2信息安全协 调控制措施信息安全活动应由来自组织不同部门并具备相关角色和工作 职责的代表进行协调。A.6.1.3信息安全职 责的分配控制措施所有的信息安全职责应予以清晰地定义。A.6.1.4信息处

3、理设 施的授权过 程控制措施新信息处理设施应定义和实施一个管理授权过程。A.6.1.5保密性协议控制措施应识别并定期评审反映组织信息保护需要的保密性或不泄露 协议的要求。A.6.1.6与政府部门的联系控制措施应保持与政府相关部门的适当联系。A.6.1.7与特定权益团体的联系控制措施应保持与特疋权益团体、其他安全专豕组和专业协会的适当 联系。A.6.1.8信息安全的 独立评审控制措施组织管理信息安全的方法及其实施（例如信息安全的控制目 标、控制措施、策略、过程和程序）应按计划的时间间隔进 行独立评审，当安全实施发生重大变化时，也要进行独立评 审。A.6.2外部各方目标：保持组织的被外部各方访问、

4、处理、管理或与外部进行通信的信息和信息处理设 施的安全。A.6.2.1与外部各方 相关风险的 识别控制措施应识别涉及外部各方业务过程中组织的信息和信息处理设施 的风险，并在允许访冋前实施适当的控制措施。A.6.2.2处理与顾客 有关的安全 问题控制措施应在允许顾客访问组织信息或资产之前处理所有确定的安全 要求。A.6.2.3处理第三方 协议中的安 全问题控制措施涉及访问、处理或管理组织的信息或信息处理设施以及与之 通信的第三方协议，或在信息处理设施中增加产品或服务的 第三方协议，应涵盖所有相关的安全要求。A.7资产管理A.7.1对资产负责目标：实现和保持对组织资产的适当保护。A.7.1.1资产

5、清单控制措施应清晰的识别所有资产，编制并维护所有重要资产的清单。A.7.1.2资产责任人控制措施与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任1 0A.7.1.3资产的允许使用控制措施与信息处理设施有关的信息和资产使用允许规则应被确定、 形成文件并加以实施。A.7.2信息分类目标：确保信息受到适当级别的保护。A.7.2.1分类指南控制措施信息应按照它对组织的价值、法律要求、敏感性和关键性予 以分类。A.7.2.2信息的标记和处理控制措施应按照组织所采纳的分类机制建立和实施一组合适的信息标 记和处理程序。A.8人力资源安全2A.8.1任用之前目标：确保雇员、承包方人员和第三方

6、人员理解其职责、考虑对其承担的角色是适合的， 以降低设施被窃、欺诈和误用的风险。A.8.1.1角色和职责控制措施雇员、承包方人员和第三方人员的安全角色和职责应按照组 织的信息安全方针定义并形成文件。A.8.1.2审查控制措施关于所有任用的候选者、承包方人员和第三方人员的背景验 证检查应按照相关法律法规、道德规范和对应的业务要求、 被访问信息的类别和察觉的风险来执行。A.8.1.3任用条款和条件控制措施作为他们合同义务的一部分，雇员、承包方人员和第三方人 员应同意并签署他们的任用合同的条款和条件，这些条款和 条件要声明他们和组织的信息安全职责。A.8.2任用中目标：确保所有的雇员、承包方人员和第

7、三方人员知悉信息安全威胁和利害关系、他们 的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的 风险。A.8.2.1管理职责控制措施管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。A.8.2.2信息安全意 识、教育和培 训控制措施组织的所有雇员，适当时，包括承包方人员和第三方人员， 应受到与其工作职能相关的适当的意识培训和组织方针策略 及程序的定期更新培训。A.8.2.3纪律处理过程控制措施对于安全违规的雇员，应有一个正式的纪律处理过程。A.8.3任用的终止或变化目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改

8、变其任 用关系。A.8.3.1终止职责控制措施任用终止或任用变化的职责应清晰的定义和分配。A.8.3.2资产的归还控制措施所有的雇员、承包方人员和第三方人员在终止任用、合同或 协议时，应归还他们使用的所有组织资产。A.8.3.3撤销访问权控制措施所有雇员、承包方人员和第三方人员对信息和信息处理设施 的访问权应在任用、合同或协议终止时删除，或在变化时调 整。A.9物理和环境安全A.9.1安全区域目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。A.9.1.1物理安全边界控制措施应使用安全边界（诸如墙、卡控制的入口或有人管理的接待 台等屏障）来保护包含信息和信息处理设施的区域。A.9.1.2

9、物理入口控 制控制措施安全区域应由适合的入口控制所保护，以确保只有授权的人 员才允许访问。A.9.1.3办公室、房间 和设施的安 全保护控制措施应为办公室、房间和设施设计并米取物理安全措施。A.9.1.4外部和环境 威胁的安全控制措施为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自防护然或人为灾难引起的破坏，应设计和米取物理保护措施。A.9.1.5在安全区域工作控制措施应设计和运用用于安全区域工作的物理保护和指南。A.9.1.6公共访问、交 接区安全控制措施访问点（例如交接区）和未授权人员可进入办公场所的其他 点应加以控制，如果可能，要与信息处理设施隔离，以避免 未授权访问。A.9.2设备

10、安全目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.9.2.1设备安置和 保护控制措施应安置或保护设备，以减少由环境威胁和危险所造成的各种 风险以及未授权访问的机会。A.9.2.2支持性设施控制措施应保护设备使其免于由支持性设施的失效而引起的电源故障 和其他中断。A.9.2.3布缆安全控制措施应保证传输数据或支持信息服务的电源布缆和通信布缆免受 窃听或损坏。A.9.2.4设备维护控制措施设备应予以正确地维护，以确保其持续的可用性和完整性。A.9.2.5组织场所外的设备安全控制措施应对组织场所的设备采取安全措施，要考虑工作在组织场所 以外的不同风险。A.9.2.6设备的安全

11、处置或再利 用控制措施包含储存介质的设备的所有项目应进行检查，以确保在销毁 之前，任何敏感信息和注册软件已被删除或安全重写。A.9.2.7资产的移动控制措施设备、信息或软件在授权之前不应带出组织场所。A.10通信和操作管理A.10.1操作程序和职责目标：确保正确、安全的操作信息处理设施。A.10.1.1文件化的操作程序控制措施操作程序应形成文件、保持并对所有需要的用户可用。A.10.1.2变更管理控制措施对信息处理设施和系统的变更应加以控制。A.10.1.3责任分割控制措施各类责任及职责范围应加以分割，以降低未授权或无意识的 修改或者不当使用组织资产的机会。A.10.1.4开发、测试和 运行设

12、施分 离控制措施开发、测试和运行设施应分离，以减少未授权访问或改变运 行系统的风险。A.10.2第三方服务交付管理目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。A.10.2.1服务交付控制措施应确保第三方实施、运行和保持包含在第三方服务交付协议 中的安全控制措施、服务定义和交付水准。A.10.2.2第三方服务 的监视和评 审控制措施应定期监视和评审由第三方提供的服务、报告和记录，审核 也应定期执行。A.10.2.3第三方服务的变更管理控制措施应管理服务提供的变更，包括保持和改进现有的信息安全方 针策略、程序和控制措施，要考虑业务系统和涉及过程的关 键程度及风险的再评估。

13、A.10.3系统规划和验收目标：将系统失效的风险降至取小。A.10.3.1容量管理控制措施资源的使用应加以监视、调整，并应作出对于未来容量要求 的预测，以确保拥有所需的系统性能。A.10.3.2系统验收控制措施应建立对新信息系统、升级及新版本的验收准则，并且在开 发中和验收前对系统进行适当的测试。A.10.4防范恶意和移动代码 目标：保护软件和信息的完整性。A.10.4.1控制恶意代 码控制措施应实施恶意代码的监测、预防和恢复的控制措施，以及适当 的提高用户安全意识的程序。A.10.4.2控制移动代控制措施码当授权使用移动代码时，其配置应确保授权的移动代码按照 清晰定义的安全策略运行，应阻止执

14、行未授权的移动代码。A.10.5备份目标：保持信息和信息处理设施的完整性和可用性。A.10.5.1信息备份控制措施应按照已设的备份策略，定期备份和测试信息和软件。A.10.6网络安全管理目标：确保网络中信息的安全性并保护支持性的基础设施。A.10.6.1网络控制控制措施应充分管理和控制网络，以防止威胁的发生，维护系统和使 用网络的应用程序的安全，包括传输中的信息。A.10.6.2网络服务的 安全控制措施安全特性、服务级别以及所有网络服务的管理要求应予以确 定并包括在所有网络服务协议中，无论这些服务是由内部提 供的还是外包的。A.10.7介质处置目标：防止资产遭受未授权泄露、修改、移动或销毁以及

15、业务活动的中断。A.10.7.1可移动介质的管理控制措施应有适当的可移动介质的管理程序。A.10.7.2介质的处置控制措施不再需要的介质，应使用正式的程序可靠并安全地处置。A.10.7.3信息处理程序控制措施应建立信息的处理及存储程序，以防止信息的未授权的泄漏 或不当使用。A.10.7.4系统文件安 全控制措施应保护系统文件以防止未授权的访问。A.10.8信息的交换目标：保持组织内信息和软件交换及与外部组织信息和软件交换的安全。A.10.8.1信息交换策略和程序控制措施应有正式的交换策略、程序和控制措施，以保护通过使用各 种类型通信设施的信息交换。A.10.8.2交换协议控制措施应建立组织与外

16、部团体交换信息和软件的协议。A.10.8.3运输中的物控制措施理介质包含信息的介质在组织的物理边界以外运送时，应防止未授 权的访问、不当使用或毁坏。A.10.8.4电子消息发 送控制措施包含在电子消息发送中的信息应给予适当的保护。A.10.8.5业务信息系 统控制措施应建立和实施策略和程序以保护与业务信息系统互联的信 息。A.10.9电子商务服务目标：确保电子商务服务的安全及其安全使用。A.10.9.1电子商务控制措施包含在使用公共网络的电子商务中的信息应受保护，以防止 欺诈活动、合同争议和未授权的泄露和修改。A.10.9.2在线交易控制措施包含在在线交易中的信息应受保护，以防止不完全传输、错

17、 误路由、未授权的消息篡改、未授权的泄露、未授权的消息 复制或重放。A.10.9.3公共可用信息控制措施在公共可用系统中可用信息的完整性应受保护，以防止未授 权的修改。A.10.10 监视目标：检测未授权的信息处理活动。A.10.10.1审计日志控制措施应产生记录用户活动、异常和信息安全事件的审计日志，并 要保持一个已设的周期以支持将来的调查和访问控制监视。A.10.10.2监视系统的 使用控制措施应建立信息处理设施的监视使用程序，监视活动的结果要经 常评审。A.10.10.3日志信息的保护控制措施记录日志的设施和日志信息应加以保护，以防止篡改和未授 权的访问。A.10.10.4管理员和操 作

18、员日志控制措施系统管理员和系统操作员活动应记入日志。A.10.10.5故障日志控制措施故障应被记录、分析，并米取适当的措施。A.10.10.6时钟同步控制措施一个组织或安全域内的所有相关信息处理设施的时钟应使用 已设的精确时间源进行同步。A.11访问控制A.11.1访问控制的业务要求 目标：控制对信息的访问。A.11.1.1访问控制策略控制措施访问控制策略应建立、形成文件，并基于业务和访问的安全 要求进行评审。A.11.2用户访问管理目标：确保授权用户访问信息系统，并防止未授权的访问。A.11.2.1用户注册控制措施应有正式的用户注册及注销程序，来授权和撤销对所有信息 系统及服务的访问。A.1

19、1.2.2特权管理控制措施应限制和控制特殊权限的分配及使用。A.11.2.3用户口令管 理控制措施应通过正式的管理过程控制口令的分配。A.11.2.4用户访问权 的复查控制措施管理者应定期使用正式过程对用户的访问权进行复查。A.11.3用户职责目标：防止未授权用户对信息和信息处理设施的访冋、危害或窃取。A.11.3.1口令使用控制措施应要求用户在选择及使用口令时，遵循良好的安全习惯。A.11.3.2无人值守的 用户设备控制措施用户应确保无人值守的用户设备有适当的保护。A.11.3.3清空桌面和 屏幕策略控制措施应米取清空桌面上文件、可移动存储介质的策略和清空信息 处理设施屏幕的策略。A.11.

20、4网络访问控制目标：防止对网络服务的未授权访问。A.11.4.1使用网络服 务的策略控制措施用户应仅能访问已获专门授权使用的服务。A.11.4.2外部连接的控制措施用户鉴别应使用适当的鉴别方法以控制远程用户的访问。A.11.4.3网络上的设 备标识控制措施应考虑自动设备标识，将其作为鉴别特定位置和设备连接的 方法。A.11.4.4远程诊断和配置端口的保护控制措施对于诊断和配置端口的物理和逻辑访问应加以控制。A.11.4.5网络隔离控制措施应在网络中隔离信息服务、用户及信息系统。A.11.4.6网络连接控 制控制措施对于共享的网络，特别是越过组织边界的网络，用户的联网能力应按照访冋控制策略和业务

21、应用要求加以限制 （见11.1）。A.11.4.7网络路由控 制控制措施应在网络中实施路由控制，以确保计算机连接和信息流不违 反业务应用的访问控制策略。A.11.5操作系统访问控制目标：防止对操作系统的未授权访问。A.11.5.1安全登录程 序控制措施访问操作系统应通过安全登录程序加以控制。A.11.5.2用户标识和 鉴别控制措施所有用户应有唯一的、专供其个人使用的标识符（用户 ID ），应选择一种适当的鉴别技术证实用户所宣称的身份。A.11.5.3口令管理系 统控制措施口令管理系统应是交互式的，并应确保优质的口令。A.11.5.4系统实用工具的使用控制措施可能超越系统和应用程序控制的实用工具

22、的使用应加以限制 并严格控制。A.11.5.5会话超时控制措施不活动会话应在一个设定的休止期后关闭。A.11.5.6联机时间的 限定控制措施应使用联机时间的限制，为高风险应用程序提供额外的安全。A.11.6应用和信息访问控制目标：防止对应用系统中信息的未授权访问。A.11.6.1信息访问限控制措施制用户和支持人员对信息和应用系统功能的访问应依照已确定 的访问控制策略加以限制。A.11.6.2敏感系统隔离控制措施敏感系统应有专用的（隔离的）运算环境。A.11.7移动计算和远程工作目标：确保使用可移动计算和远程工作设施时的信息安全。A.11.7.1移动计算和通信控制措施应有正式策略并且采用适当的安

23、全措施，以防范使用可移动 计算和通信设施时所造成的风险。A.11.7.2远程工作控制措施应为远程工作活动开发和实施策略、操作计划和程序。A.12信息系统获取、开发和维护A.12.1信息系统的安全要求目标：确保安全是信息系统的一个有机组成部分。A.12.1.1安全要求分 析和说明控制措施在新的信息系统或增强已有信息系统的业务要求陈述中，应 规定对安全控制措施的要求。A.12.2应用中的正确处理目标：防止应用系统中的信息的错误、遗失、未授权的修改及误用。A.12.2.1输入数据的验证控制措施输入应用系统的数据应加以验证，以确保数据是正确且恰当 的。A.12.2.2内部处理的 控制控制措施验证检查应

24、整合到应用中，以检查由于处理的错误或故意的 行为造成的信息的讹误。A.12.2.3消息完整性控制措施应用中的确保真实性和保护消息完整性的要求应得到识别， 适当的控制措施也应得到识别并实施。A.12.2.4输出数据的 验证控制措施从应用系统输出的数据应加以验证，以确保对所存储信息的 处理是正确的且适于环境的。A.12.3密码控制目标：通过密码方法保护信息的保密性、真实性或完整性。A.12.3.1使用密码控控制措施制的策略应开发和头施使用密码控制措施来保护信息的策略。A.12.3.2密钥管理控制措施应有密钥管理以支持组织使用密码技术。A.12.4系统文件的安全 目标：确保系统文件的安全A.12.4

25、.1运行软件的 控制控制措施应有程序来控制在运行系统上安装软件。A.12.4.2系统测试数 据的保护控制措施测试数据应认真地加以选择、保护和控制。A.12.4.3对程序源代 码的访问控 制控制措施应限制访问程序源代码。A.12.5开发和支持过程中的安全目标：维护应用系统软件和信息的安全。A.12.5.1变更控制程序控制措施应使用正式的变更控制程序控制变更的实施。A.12.5.2操作系统变 更后应用的 技术评审控制措施当操作系统发生变更后，应对业务的关键应用进行评审和测 试，以确保对组织的运行或安全没有负面影响。A.12.5.3软件包变更 的限制控制措施应对软件包的修改进行劝阻，限制必要的变更，

26、且对所有的 变更加以严格控制。A.12.5.4信息泄露控制措施应防止信息泄露的可能性。A.12.5.5外包软件开 发控制措施组织应管理和监视外包软件的开发。A.12.6技术脆弱性管理目标：降低利用公布的技术脆弱性导致的风险。A.12.6.1技术脆弱性 的控制控制措施应及时得到现用信息系统技术脆弱性的信息，评价组织对这 些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。A.13信息安全事故管理A.13.1报告信息安全事件和弱点目标：确保与信息系统有关的信息安全事件和弱点能够以某种方式传达，以便及时采取纠正措施。A.13.1.1报告信息安全事件控制措施信息安全事件应该尽可能快地通过适当的管理渠

27、道进行报 告。A.13.1.2报告安全弱占八、控制措施应要求信息系统和服务的所有雇员、承包方人员和第三方人 员记录并报告他们观察到的或怀疑的任何系统或服务的安全 弱点。A.13.2信息安全事故和改进的管理 目标：确保采用一致和有效的方法对信息安全事故进行管理。A.13.2.1职责和程序控制措施应建立管理职责和程序，以确保能对信息安全事故做出快速、 有效和有序的响应。A.13.2.2对信息安全事故的总结控制措施应有一套机制量化和监视信息安全事故的类型、数量和代价。A.13.2.3证据的收集控制措施当一个信息安全事故涉及到诉讼（民事的或刑事的），需要进 一步对个人或组织进行起诉时，应收集、保留和呈

28、递证据， 以使证据符合相关诉讼管辖权。A.14业务连续性管理A.14.1业务连续性管理的信息安全方面目标：防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并 确保它们的及时恢复。A.14.1.1业务连续性 管理过程中 包含的信息 安全控制措施应为贯穿于组织的业务连续性开发和保持一个管理过程，以 解决组织的业务连续性所需的信息安全要求。A.14.1.2业务连续性 和风险评估控制措施应识别能引起业务过程中断的事件，这种中断发生的概率和 影响，以及它们对信息安全所造成的后果。A.14.1.3制疋和头施 包含信息安 全的连续性 计划控制措施应制定和实施计划来保持或恢复运行，以在关键业务过程中 断或失败后能够在要求的水平和时间内确保信息的可用性。A.14.1.4业务连续性 计划框架控制措施应保持一个唯一的业务连续性计划框架，以确保所有计划是 一致的，能够协调地解决信息安全要求，并为测试和维护确 定优先级。A.14.1.5测试、保持和 再评估业务 连续性计划控制措施业务连续性计划应定期测试和更新，以确保其及时性和有效 性。A.15符合性A.15.1符合法律要求目标：避免违反任何法律、法令、法规或合同义务，以及任何安全要求。A.15.1.1可用法律的 识别