ISO/IEC 27002
信息技术 - 安全技术 - 信息安全控制实用
规则
Information technology-Security techniques
-Code of practice for information security controls
目 次
前言 .................................................................................. I
引言 ................................................................................. II
0 简介 ............................................................................... II
0.1 背景和环境 ....................................................................... II
0.2 信息安全要求 ..................................................................... II
0.3 选择控制措施 .................................................................... III
0.4 编制组织的指南 .................................................................. III
0.5 生命周期的考虑 .................................................................. III
0.6 相关标准 ........................................................................ III
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 本标准的结构 ........................................................................ 1
4.1 章节 .............................................................................. 1
4.2 控制类别 .......................................................................... 1
5 信息安全策略 ........................................................................ 2
5.1 信息安全的管理方向 ................................................................ 2
6 信息安全组织 ........................................................................ 4
6.1 内部组织 .......................................................................... 4
6.2 移动设备和远程工作 ................................................................ 6
7 人力资源安全 ........................................................................ 9
7.1 任用之前 .......................................................................... 9
7.2 任用中 ........................................................................... 10
7.3 任用的终止或变更 ................................................................. 13
8 资产管理 ........................................................................... 13
8.1 对资产负责 ....................................................................... 13
8.2 信息分类 ......................................................................... 15
8.3 介质处置 ......................................................................... 17
9 访问控制 ........................................................................... 19
9.1 访问控制的业务要求 ............................................................... 19
9.2 用户访问管理 ..................................................................... 21
9.3 用户职责 ......................................................................... 24
9.4 系统和应用访问控制 ............................................................... 25
10 密码学 ............................................................................ 28
10.1 密码控制 ........................................................................ 28
11 物理和环境安全 .................................................................... 30
11.1 安全区域 ........................................................................ 30
11.2 设备 ............................................................................ 33
12 操作安全 .......................................................................... 38
12.1 操作规程和职责 .................................................................. 38
12.2 恶意软件防护 .................................................................... 41
12.3 备份 ............................................................................ 42
12.4 日志和监视 ...................................................................... 43
12.5 运行软件的控制 .................................................................. 45
12.6 技术脆弱性管理 .................................................................. 46
12.7 信息系统审计考虑 ................................................................ 48
13 通信安全 .......................................................................... 49
13.1 网络安全管理 .................................................................... 49
13.2 信息传递 ........................................................................ 50
14 系统获取、开发和维护 .............................................................. 54
14.1 信息系统的安全要求 .............................................................. 54
14.2 开发和支持过程中的安全 .......................................................... 57
14.3 测试数据 ........................................................................ 62
15 供应商关系 ........................................................................ 62
15.1 供应商关系的信息安全 ............................................................ 62
15.2 供应商服务交付管理 .............................................................. 66
16 信息安全事件管理 .................................................................. 67
16.1 信息安全事件和改进的管理 ........................................................ 67
17 业务连续性管理的信息安全方面 ...................................................... 71
17.1 信息安全连续性 .................................................................. 71
17.2 冗余 ............................................................................ 73
18 符合性 ............................................................................ 74
18.1 符合法律和合同要求 .............................................................. 74
18.2 信息安全评审 .................................................................... 77
参考文献 ............................................................................. 79
前 言
ISO(国际标准化组织)和 IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。国
家机构是 ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领
域的技术活动。 ISO和IEC技术委员会在共同感兴趣的领域合作。 其他国际组织、 政府和非政府等机构,
通过联络 ISO和IEC参与这项工作。
国际标准的制定遵循 ISO/IEC 导则第 2部分的规则。
ISO和 IEC已经在信息技术领域建立了一个联合技术委员会 ISO/IEC JTC1 。
ISO/IEC 27002 由联合技术委员会 ISO/IEC JTC1 (信息技术)分委员会 SC27(安全技术)起草。
ISO/IEC 27002 中的某些内容有可能涉及一些专利权问题,这一点应该引起注意。 ISO和IEC 不负责
识别任何这样的专利权问题。
第二版进行了技术上的修订,并取消和替代第一版( ISO/IEC 27002:2005 )。
引 言
0 简介
0.1 背景和环境
本标准可作为组织基于 ISO/IEC 27001 实施信息安全管理体系( ISMS )的过程中选择控制措施时
的参考, 或作为组织实施通用信息安全控制措施时的指南文件。 本标准还可以用于开发行业和组织特定
的信息安全管理指南,考虑其特定信息安全风险环境。
所有类型和规模的组织(包括公共和私营部门、商业和非盈利组织)都要采用不同方式(包括电
子方式、物理方式、会谈和陈述等口头方式)收集、处理、存储和传输信息。
信息的价值超越了文字、数字和图像:无形的信息可能包括知识、概念、观念和品牌等。在互联
的世界里,信息和相关过程、系统、网络及其操作、处理和保护的过程中所涉及的人员都是资产,与其
它重要的业务资产一样,对组织的业务至关重要,因此需要防护各种危害。
因相关过程、系统、网络和人员具有固有的脆弱性,资产易受到故意或意外的威胁。对业务过程
和系统的变更或其他外部变更(例如新的法律和规章)可能产生新的信息安全风险。因此,考虑到威胁
利用脆弱性损害组织会有大量方式, 信息安全风险是一直存在的。 有效的信息安全可以通过保护组织免
受威胁和脆弱性,从而减少这些风险,进一步降低对组织资产的影响。
信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件
和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全
和业务目标。 为在一个一致的管理体系总体框架下实施一套全面的信息安全控制措施, 信息安全管理体
系(例如 ISO/IEC 27001 所指定的)从整体、协调的角度看待组织的信息安全风险。
从 ISO/IEC 27001 和本标准的意义上说, 许多信息系统并没有被设计成是安全的。 通过技术手段可
获得的安全性是有限的, 宜通过适当的管理和规程给予支持。 确定哪些控制措施宜实施到位需要仔细规
划并注意细节。 成功的信息安全管理体系需要组织所有员工的参 与 ,还要求利益相关者、 供应商或其他
外部方的参与。外部方的专家建议也是需要的。
就一般意义而言,有效的信息安全还可以向管理者和其他利益相关者保证,组织的资产是适当安
全的,并能防范损害。因此,信息安全可承担业务使能者的角色。
0.2 信息安全要求
组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
a) 对组织的风险进行评估, 考虑组织的整体业务策略与目标。 通过风险评估, 识别资产受到的威
胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;
b) 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的
社会文化环境;
