Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
信息技术—安全技术—电信机构基于ISO/IEC 27002的信息安全管理指南

该标准已于2008年12月正式发布。

标准介绍：

该标准用于电信行业，由ITU-T 和 ISO/IEC JTC1/SC27共同制订，并联合发布ITU-T X.1051 和ISO/IEC 27011。

对电信机构而言，信息及其支撑流程、通信设施、网络和线路是重要的经营资产，信息安全对于电信机构恰当的管理其经营资产，正确并成功地保持其经营活动的连续性至关重要。本标准为电信机构的信息安全管理提供了要求，规定了电信企业在整体经营风险框架下建立、实施、运行、监视、评审、维持和改进其文件化的信息安全管理体系(ISMS)的要求。

标准目录：

1 范围

2 引用标准

3 定义与缩写

 3.1 定义

 3.2 缩写

4 概述

 4.1 本指南的结构

 4.2 电信行业的信息安全管理体系

5 安全方针

6 信息安全组织

 6.1 内部组织

 6.2 外部相关方

7 资产管理

 7.1 资产责任

 7.2 信息分类

8 人力资源安全

 8.1 聘用前

 8.2 聘任中

 8.3 聘任终止或变化

9 物理与环境安全

 9.1 安全区域

 9.2 设备安全

10 通信与运作管理

 10.1 操作程序与职责

 10.2 第三方服务交付管理

 10.3 系统策划与接受

 10.4 防范恶意和移动代码

 10.5 备份

 10.6 网络安全管理

 10.7 介质处置

 10.8 信息交换

 10.9 电子商务服务

 10.10 监控

11 访问控制

 11.1 访问控制的业务要求

 11.2 用户访问管理

 11.3 用户职责

 11.4 网络访问控制

 11.5 操作系统访问控制

 11.6 应用系统和信息的访问控制

 11.7 移动计算和远程工作

12 信息系统的获取、开发和维护

 12.1 信息系统的安全要求

 12.2 正确处理应用

 12.3 加密控制

 12.4 系统文件安全

 12.5 开发与支持过程的安全

 12.6 技术漏洞管理

13 信息安全事件管理

 13.1 报告信息安全事件和薄弱点

 13.2 信息安全事件的管理与改进

14 业务连续性管理

 14.1 业务连续性管理中的信息安全事宜

15 符合

附录A–电信扩展控制集

 A.9 物理和环境安全

 A.10 通信与运作管理

 A.11 访问控制

 A.15 符合

附录B –增加的实施指南

 B.1 防止网络空间攻击的网络安全措施

 B.2 网络堵塞的网络安全措施Network security measures for network congestion

参考书目