ISO 27000系列介绍
- ISO 27000系列标准介绍
- ISO/IEC 27000:2009
- ISO/IEC 27001:2005
- ISO/IEC 27002:2005
- ISO/IEC 27003:2010
- ISO/IEC 27004:2009
- ISO/IEC 27005:2008
- ISO/IEC 27006:2007
- ISO/IEC 27007
- ISO/IEC 27008
- ISO/IEC 27010
- ISO/IEC 27011:2008
- ISO/IEC 27013
- ISO/IEC 27014
- ISO/IEC 27015
- ISO/IEC 27031
- ISO/IEC 27032
- ISO/IEC 27033
- ISO/IEC 27034
- ISO/IEC 27035
- ISO/IEC 27036
- ISO/IEC 27037
- ISO 27799:2008
Information technology -- Security techniques -- Code of practice for information security management
信息技术—安全技术—信息安全管理实用规则
该标准取代了ISO /IEC 17799:2005,直接由ISO/IEC 17799:2005更改标准编号为ISO/IEC 27002,已于2007年4月实施。
标准介绍:
本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。
本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。
本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。
标准目录:
前言
0 引言
0.1 什么是信息安全
0.2 为什么需要信息安全
0.3 如何建立安全要求
0.4 评估安全风险
0.5 选择控制措施
0.6 信息安全起点
0.7 关键的成功因素
0.8 开发自己的指南
1 范围
2 术语和定义
3 标准的结构
3.1 条款
3.2 主要安全类别
4 风险评估和处理
4.1 评估安全风险
4.2 处理安全风险
5 安全方针
5.1 信息安全方针
5.1.1 信息安全方针文件
5.1.2 信息安全方针评审
6 信息安全组织
6.1 内部组织
6.1.1 信息安全管理承诺
6.1.2 信息安全协作
6.1.3 信息安全职责分配
6.1.4 信息处理设施的授权过程
6.1.5 保密协议
6.1.6 与权威机构的联系
6.1.7 与专业兴趣小组联系
6.1.8 信息安全的独立评审
6.2 外部相关方
6.2.1 与外部相关方相关的风险的识别
6.2.2 致力于与顾客相关的安全
6.2.3 第三方协议中涉及的安全
7 资产管理
7.1 资产责任
7.1.1 资产清单
7.1.2 资产所有权
7.1.3 资产的恰当使用
7.2 信息分类
7.2.1 分类原则
7.2.2 信息标识和处理
8 人员安全
8.1 聘用前
8.1.1 角色和责任
8.1.2 筛选
8.1.3 聘用条款和条件
8.2 聘用期间
8.2.1 管理职责
8.2.2 信息安全意识、培训和程序
8.2.3 惩戒过程
8.3 聘用终止或变化
8.3.1 终止责任
8.3.2 资产归还
8.3.3 访问权的删除
9 物理和环境安全
9.1 安全区域
9.1.1 物理安全周界
9.1.2 物理进入控制
9.1.3 安全办公室、房间和设施
9.1.4 防范外部的和环境的威胁
9.1.5 在安全区工作
9.1.6 公共访问、交付和存储区
9.2 设备安全
9.2.1 设备定位和保护
9.2.2 支持性设施
9.2.3 电缆安全
9.2.4 设备维护
9.2.5 场所外设备的安全
9.2.6 设备的安全处置和再利用
9.2.7 资产转移
10 通信和运作管理
10.1 操作程序和职责
10.1.1 操作程序文件化
10.1.2 变更管理
10.1.3 责任分离
10.1.4 开发、测试和运作设施的隔离
10.2 第三方服务交付管理
10.2.1 服务交付
10.2.2 第三方服务的监控和评审
10.2.3 管理第三方服务的更改
10.3 系统策划与验收
10.3.1 容量管理
10.3.2 系统验收
10.4 防范恶意软件和移动代码
10.4.1 防范恶意代码
10.4.2 防范移动代码
10.5 备份
10.5.1 信息备份
10.6 网络安全管理
10.6.1 网络控制
10.6.2 网络服务的安全
10.7 介质的处理
10.7.1 可移动计算机存储介质的管理
10.7.2 介质的处置
10.7.3 信息处理程序
10.7.4 系统文件的安全
10.8 信息交换
10.8.1 信息交换方针和程序
10.8.2 交换协议
10.8.3 物理介质的运输
10.8.4 电子通信
10.8.5 商业信息系统
10.9 电子商务服务
10.9.1 电子商务
10.9.2 在线交易
10.9.3 公共可用信息
10.10 监控
10.10.1 审核日志
10.10.2 监控系统使用
10.10.3 日志信息的保护
10.10.4 管理员或操作员日志
10.10.5 故障日志
10.10.6 时钟同步
11 访问控制
11.1 访问控制的业务需求
11.1.1 访问控制方针
11.2 用户访问管理
11.2.1 用户注册
11.2.2 特权管理
11.2.3 用户口令管理
11.2.4 用户访问权的评审
11.3 用户责任
11.3.1 口令使用
11.3.2 无人值守的用户设备
11.3.3 清洁桌面和清除屏幕方针
11.4 网络访问控制
11.4.1 网络服务的使用方针
11.4.2 外部连接的用户验证
11.4.3 网络中设备的鉴别
11.4.4 远程诊断和配置端口保护
11.4.5 网络分离
11.4.6 网络连接控制
11.4.7 网络路由控制
11.5 操作系统访问控制
11.5.1 安全登录程序
11.5.2 用户识别和验证
11.5.3 口令管理系统
11.5.4 系统实用程序的使用
11.5.5 会话超时
11.5.6 连接时间限制
11.6 应用程序以及信息访问控制
11.6.1 信息访问限制
11.6.2 敏感系统隔离
11.7 移动计算和远程工作
11.7.1 移动计算和通信
11.7.2 远程工作
12 信息系统的信息采集、开发以及维护
12.1 信息系统的安全需求
12.1.1 安全需求分析和规范
12.2 应用程序的正确处理
12.2.1 输入数据的验证
12.2.2 内部作业的管理
12.2.3 消息完整性
12.2.4 输出数据验证
12.3 加密控制
12.3.1 使用密码控制的方针
12.3.2 密钥管理
12.4 系统文件的安全
12.4.1 操作软件的控制
12.4.2 系统测试数据的保护
12.4.3 对程序资源库的访问控制
12.5 开发和支持过程的安全
12.5.1 变更控制程序
12.5.2 操作系统变更的技术复查
12.5.3 改变软件包的限制
12.5.4 信息泄露
12.5.5 外包软件开发
12.6 技术薄弱点管理
12.6.1 技术薄弱点的控制
13 信息安全事故管理
13.1 报告信息安全事情和薄弱点
13.1.1 报告安全事情
13.1.2 报告安全弱点
13.2 信息安全事件管理和改进
13.2.1 责任和程序
13.2.2 吸取事故教训
13.2.3 证据的收集
14 业务持续性管理
14.1 业务连续性管理的信息安全方面
14.1.1 在业务连续性管理过程中包含信息安全
14.1.2 业务连续性和风险评估
14.1.3 编写和执行包括信息安全在内的连续性计划
14.1.4 业务连续性计划框架
14.1.5 测试、维护和重新评估业务连续性计划
15 符合性
15.1 符合法律要求
15.1.1 适用法律的辨别
15.1.2 知识产权(IPR)
15.1.3 保护组织记录
15.1.4 数据保护和个人信息的保密
15.1.5 防止信息处理设备的误用
15.1.6 密码管理的规定
15.2 与安全方针和标准的符合性
15.2.1 符合安全方针和标准
15.2.2 技术符合性检测
15.3 信息系统审核相关事宜
15.3.1 信息系统审核控制
15.3.2 系统审查工具的保护
参考
索引