【正文】 控制目標(biāo)：防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問 控制措施 自動(dòng)化的終端機(jī)識(shí)別 應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別，以認(rèn)證連接到特定場所可移動(dòng)式設(shè)備的聯(lián)機(jī) 終端機(jī)聯(lián)機(jī)程序 訪問信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程 使用者識(shí)別及認(rèn)證 所有使用者應(yīng)有唯一的識(shí)別碼 使用者代碼 專供其個(gè)人的使用 ，以便各項(xiàng)活動(dòng)可以追溯至應(yīng)負(fù)責(zé)的個(gè)人，應(yīng)使用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以真實(shí)地識(shí)別使用者的身份 口令字管理系統(tǒng) 密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼 系統(tǒng)工具的使用 系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制 提供受脅迫警報(bào)以保護(hù)使用者 對于可能成為他人脅迫的目標(biāo)的使用者應(yīng)提供受脅迫警報(bào) 終端機(jī)逾時(shí)終止 在高風(fēng)險(xiǎn)場所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間后，應(yīng)加以 關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問 聯(lián)機(jī)時(shí)間的限制 應(yīng)使用聯(lián)機(jī)時(shí)間的限制，以體統(tǒng)高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全 控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問 控制措施 信息訪問限制 對于信息及應(yīng)用系統(tǒng)的功能的訪問應(yīng)依照訪問控制策略加以分析限制 機(jī)密性系統(tǒng)的隔離 具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專署的 隔離的 運(yùn)算環(huán)境 控制目標(biāo)：偵測未經(jīng)授權(quán) 的活動(dòng) 控制措施 事件登錄 應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)的事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控 系統(tǒng)使用的監(jiān)控 應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程序，并且應(yīng)敵情對監(jiān)控活動(dòng)的結(jié)果進(jìn)行審查 定時(shí)器同步 計(jì)算機(jī)的定時(shí)器應(yīng)同步以便準(zhǔn)確地記錄 控制目標(biāo)：確保使用可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全 控制措施 可移動(dòng)式計(jì)算機(jī)運(yùn)算 應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒ㄕ?，以防范使用可移?dòng)式計(jì)算機(jī)運(yùn)算設(shè)施進(jìn)行工作時(shí)所造成的風(fēng)險(xiǎn)，特別是在未被保護(hù)的環(huán)境中工作時(shí) 計(jì)算機(jī)通訊遠(yuǎn)距工作 應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計(jì)算機(jī)通訊遠(yuǎn)距工作的活動(dòng) A． 10系統(tǒng)開發(fā)及維護(hù) BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中 控制措施 安全要求的分析及標(biāo)準(zhǔn) 對于 使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營運(yùn)要求，應(yīng)將對控制方法的要求制定于其中 控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用 控制措施 輸入資料的驗(yàn)證 輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證，以確保資料是正確且適當(dāng)?shù)? 內(nèi)部處理控制 驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部分，以偵測出所處理的資料是否損毀 消息的認(rèn)證 當(dāng)有保護(hù)消息內(nèi)容完整性 的安全要求時(shí)，應(yīng)針對應(yīng)用程序進(jìn)行消息的認(rèn)證 輸出資料的驗(yàn)證 從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證，以確保對所儲(chǔ)存的資料的處理流程是正確的，且就其情況而言是適當(dāng)?shù)? 控制目標(biāo)：保護(hù)信息的機(jī)密性、真實(shí)性或完整性 控制措施 運(yùn)用密碼學(xué)控制方法的政策 應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來達(dá)成保護(hù)信息目的的政策 資料加密 應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性 數(shù)字簽章 應(yīng)使用數(shù)字簽章，以保 護(hù)電子化信息的真實(shí)性及完整性 不可否認(rèn)性的服務(wù) 應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動(dòng)是否有發(fā)生爭議 密鑰管理 應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)，以支持密碼學(xué)技術(shù)的運(yùn)用 控制目標(biāo)：確保信息科技的項(xiàng)目及支持性活動(dòng)以安全的方式來進(jìn)行 控制措施 控制執(zhí)行軟件 應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行 系統(tǒng)測試資料的保護(hù) 測試 資料應(yīng)加以保護(hù)及控制 原始鏈接庫的訪問控制 對于原始鏈接庫的訪問應(yīng)維持嚴(yán)格的控制 控制目標(biāo)：維持應(yīng)用系統(tǒng)的軟件及信息的安全 控制措施 變更控制的程序 應(yīng)使用正式的變更控制程序嚴(yán)格地控制變更的實(shí)行，以將信息系統(tǒng)的損毀降至最小 操作系統(tǒng)變更的技術(shù)審查 當(dāng)發(fā)生變更時(shí)，應(yīng)對應(yīng)用系統(tǒng)進(jìn)行身材及得失 軟件包修改的限制 應(yīng)阻止對于軟件包的修 改，對于變更應(yīng)嚴(yán)格控制 秘密信道及特洛伊木馬 應(yīng)控制并檢查軟件的采購、使用及修改以防范可能的秘密信道及特洛伊木馬程序 委外的軟件開發(fā) 應(yīng)使用控制方法以防護(hù)委外的軟件開發(fā) A． 11 業(yè)務(wù)持續(xù)運(yùn)作管理 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：防止企業(yè)運(yùn)營中斷并且保護(hù)企業(yè)營運(yùn)的關(guān)鍵流程免于重大失效或?yàn)?zāi)難的影響 控制措施 業(yè)務(wù)持續(xù)運(yùn)作的管理流程 為發(fā)展及維持企業(yè)的持續(xù)運(yùn)作性，應(yīng)有遍及整個(gè)組織的管理流程 業(yè)務(wù)持續(xù)運(yùn)作及沖擊分析 應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險(xiǎn)評估為基礎(chǔ)的策略性計(jì)劃，以為業(yè)務(wù)持續(xù)運(yùn)作的方法 持續(xù)運(yùn)作計(jì)劃的撰寫及執(zhí)行 應(yīng)發(fā)展計(jì)劃確保在重要的業(yè)務(wù)流程中斷或失效后可及時(shí)維持或恢復(fù)業(yè)務(wù)運(yùn)作 業(yè)務(wù)持續(xù)運(yùn)作規(guī)劃的架構(gòu) 應(yīng)維持一個(gè)單一的業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃架構(gòu)，以確保所有計(jì)劃的一致性，且鑒別其先后次 序以進(jìn)行測試與維護(hù) 業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃的測試、維護(hù)與再評估 業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃應(yīng)定期測試，怯、且透過定期身材予以維護(hù)，以確保及時(shí)性及有效性 A． 12符合性 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務(wù)、以及違反任何要求安全的要求 控制措施 鑒別適用的法律規(guī)定 對每一個(gè)信息系統(tǒng)而言，法律條文、行政法規(guī)及契約內(nèi)容所規(guī)定的所有相關(guān)要求，應(yīng)加以明白地界定及文件化 知識(shí)產(chǎn)權(quán) 應(yīng)事項(xiàng)適當(dāng)?shù)某绦颍源_保在只用智能財(cái)產(chǎn)權(quán)方面的物品及他人專署的軟件產(chǎn)品時(shí)，能符合法律的限制 組織紀(jì)錄的保護(hù) 應(yīng)防止屬于組織的重要紀(jì)錄遺失、被破壞及篡改 個(gè)人信息的隱私及數(shù)據(jù)保護(hù) 應(yīng)使用控制方法，以依照相關(guān)的法律保護(hù)個(gè)人信息 信息處理設(shè)施不當(dāng)使用的預(yù)防 使用信息處理設(shè)備應(yīng)經(jīng)管理者授權(quán)，并且應(yīng)使用控制方法，以防止這些設(shè)施遭受不當(dāng)使用 有關(guān)密碼學(xué)控制方法的政府規(guī)定 應(yīng)有適 當(dāng)?shù)目刂品椒?，以確保使用或訪問密碼學(xué)控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其它正式法律文件的要求 證據(jù)的收集 當(dāng)對某個(gè)人或某組織所采取的行動(dòng)涉及法律，不論是民法或刑法，所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍτ谧C據(jù)所作的規(guī)定，并應(yīng)包羅萬象符合任何有關(guān)可采納證據(jù)的產(chǎn)生的已發(fā)行標(biāo)準(zhǔn)或最佳慣例在內(nèi) 控制目標(biāo)：確保系統(tǒng)符合組織的安全政策及標(biāo)準(zhǔn) 控制措施 安全方針的符合性 管理者應(yīng)確保在其責(zé)任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應(yīng)定期加以審查，以確保符合安全政策及標(biāo)準(zhǔn) 技術(shù)符合性的檢查 信息系統(tǒng)應(yīng)被定期檢查是否符合安全實(shí)施標(biāo)準(zhǔn) ..2 控制目標(biāo)：將有效性提升至最大，并將對來自及作用在系統(tǒng)審核流程的干擾降至最小 控制措施 系統(tǒng)審核的控制 對于操作系統(tǒng)的審核，應(yīng)加以策劃并取得同意，以將對企業(yè)營運(yùn)的流程造成中斷的風(fēng)險(xiǎn)降至最小 系統(tǒng)審核工具的保護(hù) 對于系統(tǒng)審核工具的訪問應(yīng)加以保護(hù)，以防止可能的不當(dāng)使用或遭侵入而損壞 附錄 B（情報(bào)性的）標(biāo)準(zhǔn)使用指南 B． 1總則 B． 1． 1 PDCA模型 建立和管理一個(gè) ISMS需要向其他任何管理體系一樣的方法。 A． 3安全方針 BS ISO/IEO 17799:2020 編號(hào) 控制目標(biāo)：提供管理方向和支持信息安全 控制措施 信息安全方針文件 管理層應(yīng)提供一份方針文件，出版并溝通，適當(dāng)時(shí)，給所有員工。 附錄 A（引用） 控制目標(biāo)和控制措施 A． 1介紹 從 A． 3到 A． 12列出的控制目標(biāo)和控制措施是直接引用并 與 BS ISO/IEC 17799： 2020條款 3 到 12一致。預(yù)防措施應(yīng)于潛在 問題的影響程度相適應(yīng)。 7 ISMS 改進(jìn) 7． 1持續(xù) 改進(jìn) 組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防行動(dòng) 和管理 i 審的信息持續(xù)改進(jìn) ISMS的有效性。審核員不應(yīng)審核他們自己的工作。 6． 4 內(nèi)部信息安全管理體系審核 組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)。 6信息安全管理體系的管理評審 6． 1總則 管理層應(yīng)按策劃的時(shí)間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。 e)提供足夠的資源以開發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系［見 ］ f)確定可接受風(fēng)險(xiǎn)的水平； g)進(jìn)行信息安全管理體系的評審 [見條款 6] 。一個(gè)管理過程將確定記錄的程度。記錄應(yīng)當(dāng)被控制。 d)確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo) ISMS文件應(yīng)包括： a)文件化的安全方針文件和控制目標(biāo) b)ISMS范圍 [見 ]和程序及支持 ISMS的控制措施 c)風(fēng)險(xiǎn)評估報(bào)告 [見 ] d)風(fēng)險(xiǎn)處理計(jì)劃 [見 ] e)組織需要的文件化的程序以確保有效計(jì)劃運(yùn)營和對信息安全過程的控制 [見 ] f)本標(biāo)準(zhǔn)要求的記錄 [見 ] g)適用性聲明 注 1：當(dāng)本標(biāo) 準(zhǔn)中出現(xiàn)“文件的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。 ISMS 組織應(yīng)： a) 執(zhí)行監(jiān)控程序和其他控制措施，以： 1) 是探測處理結(jié)果中的錯(cuò)誤 2) 及時(shí)識(shí)別失敗的和成功的安全破壞和事故 3) 能夠使管理層決定以分派給員工的或通過信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo) 4) 確定解決安全破壞的行動(dòng)是否反映了業(yè)務(wù)的優(yōu)先級(jí) b)進(jìn)行常規(guī)的 ISMS 有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋 c)評審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn) 的水平，考慮一下變化 1） 組織 2） 技術(shù) 3） 業(yè)務(wù)目標(biāo)和過程 4） 識(shí)別威脅及 5） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化 d)在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部 ISMS審核 e)經(jīng)常進(jìn)行 ISMS管理評審（至少每年評審一個(gè)周期）以保證信息安全管理體系的范圍仍然足夠，在 ISMS 過程中的改進(jìn)措施已被識(shí)別（見條款 6ISMS 的管理評審） f)記錄所采取的行動(dòng)和能夠影響 ISMS的有效性或績效的事件 [見 ] ISMS 組織應(yīng)經(jīng)常：