【文章內容簡介】 徑進行通報 安全弱點的報告 應要求信息服務的使用者記下并報告任何觀察到的或可疑的有關系統(tǒng)或服務方面的安全弱點或威脅 軟件失效事件的報告 應 建立報告軟件失效事件的相關程序 從事件中學習 應有適當機制以量化與監(jiān)督安全事故及失 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 效事件的種類、數量及成本 懲處的流程 員工違反組織安全方針及程序，應由正式的懲處流程來處理 A． 7實體及環(huán)境安全 BS ISO/IEO 17799:2022 編號 控制目標：防止對企業(yè)運行所在地及信息未經授權的進入、訪問、破壞及干擾 控制措施 實體安全邊界 組織應有安全的邊界以保護包含信 息處理設施的區(qū)域 實體進出控制 安全區(qū)域應有適當的進出控制加以保護，以確保只有經授權的人員可以進出 辦公處所及設備的保護 應劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設備 在安全區(qū)域中的作業(yè) 應對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導原則以堅強安全區(qū)域的安全 隔離遞送及裝載區(qū)域 遞送及裝載區(qū)域應加以控制，如有可能與信息處理設施隔離，以避免未經授權的訪問 設備安全 控制目標：預防資產遺失或損失和防止企業(yè)運營活動遭受干擾 控制措施 設備的安置及保護 應妥善安置及保護設備，以降低來自環(huán)境的威脅與危險所造成的風險以及未經授權的訪問 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 電源供應 應保護設備免于電力失效及其它電力異常的影響 電纜傳輸安全 傳輸資料或支持信息服務的電力及通訊電纜，應予以保護免于被攔截或破壞 設備維護 設備應進行正確維護，以確保其持續(xù)的可用性及完整性 組織以外的設備安全 任何在組織所在地以外使用的信息處理設備應要求管理層授權 設備報廢或再利用的安全防護 設備在報廢或再利用前，應清除在設備中的信息 控制目標：防止信息及信息處理設備的損毀或失竊 控制措施 辦公桌面凈空及計算機屏幕畫面凈空策略 組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經授權訪問、遺失及所造成的風險 資產的移出 未經授權不得移出組織所擁有的設備 、信息及軟件 A． 8通訊與操作管理 BS ISO/IEO 17799:2022 編號 作業(yè)程序及責任 控制目標：確保正確、安全地操作信息處理設備 控制措施 文件化的作業(yè)程序 由條款 所制定的信息安全政策所指明的作業(yè)程序應加以文件化及維護 作業(yè)變更控制 對信息處理設施及系統(tǒng)的變更應加以控制 事故管理程序 應建立事故的管理責任及程序，以確保迅速、有效及有序地反應安全事件和采集事故 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 有 關數據如審核線索和日志 職務隔離 職務及負責范圍應加以隔離，以降低未經授權的修改或者不當使用信息或服務的機會 開發(fā)與操作設備的隔離 開發(fā)及測試設備應與操作設備分離。應確定和文件化從開發(fā)狀態(tài)到運行狀態(tài)移植軟件的規(guī)定 外部設備的管理 使用外部的設備管理服務之前，應鑒別其風險，并與承包尚協(xié)議適當的控制方法，并納入合約內容之中 系統(tǒng)規(guī)劃及驗收 控制目標：將系統(tǒng)失效的風險降至最小 控制措施 容量規(guī)劃 容量要求應加以監(jiān)督，并應作出對于未來容量需求的推測，以確保擁有合適的運算處理能力及儲存空間 系統(tǒng)驗收 應建立新信息系統(tǒng)、升級及新版本的驗收標準，并且在允收前對系統(tǒng)進行適當的測試 控制目標：保護軟件及信息的完整性不受惡意軟件的損害 控制措施 對具惡意的軟件的控制 應有具偵測性及預防性的控制方法以防范惡意的軟件，并且應有適當的使用者預警程序的措施 控制目標：維持信息處理及通訊服務的完整性及可用性 控制措施 信息備份 應定期備份重要的企業(yè)營運信息和軟件并經常測試 操作員日志 作業(yè)人員應維持一份記錄其作業(yè)活動的工作日。操作日志應受到經常性的，獨立的審查 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） BS ISO/IEO 17799:2022 編號 錯誤事件登錄 應通報錯誤并采取改正行動 控制目標：確保網絡中信息的安全性以及保護支持性的基礎設施 控制措施 網絡控制 應實行一系列的控制方法以達成并維護網絡的安全 控制目標：防止資產遭受損害以及企業(yè)營運活動遭受干擾 控制措施 可移動式計算機存儲媒體的管理 對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應加以控制 存儲媒體的報廢 不再需要的儲存媒體，應可靠并安全地處置 信息的處理程序 應建立信息的處理及儲存程序，以保護信息不被未經授權的泄漏或不當使用 系統(tǒng)文件的安全 應保護系統(tǒng)文件以防未經授權的訪問 控制目標：防止在組織間交換的信息遭受遺失、修改及不當使用 控制措施 信息及軟件交換協(xié)議 以電子化或人工方式在組織間交換信息及軟件時，應簽訂協(xié)議，其中有些可能是正式的協(xié)議書 存儲媒體的運送安全 運送存儲媒體時應保護其不遭受未經授權以及信息被泄漏、不當使用或毀壞 電子商務安全 應保護電子商務免于詐欺行為，合約爭 議以及信息被泄漏及修改 電子郵件的安全 應開發(fā)一份電子郵件的使用策略，并應有降低電子郵件所造成的安全風險的適當控制方法 電子化辦公室系統(tǒng)的安全 為控制電子化辦公室系統(tǒng)所帶來的業(yè)務與安全風險，各項政策與指導原則應加以擬定并實施 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 開放的公用系統(tǒng) 信息在成為公眾可取用前應有正式的授權過程，應保護這類信息的完整性以防止未經授權的修改 其它形式的信息交換 應有適當的策略、程序及控制方法來保護經由傳真、語音及影像等同學設施進行的信息交換 A． 9訪問控制 BS ISO/IEO 17799:2022 編號 控制目標：控制對于信息的訪問 控制措施 訪問控制策略 企業(yè)營運對訪問控制的要求應加以界定并文件化，對于信息的訪問應如訪問控制政策中所界定的加以限制 使用者訪問管理 控制目標：確保訪問信息系統(tǒng)的權限被適當地授權、落實和維護 控制措施 使用者注冊 應有正式的使用者注冊及注銷的程序，以進行所有的多分使用信息系統(tǒng)及服務的訪問授權 特殊權限的管理 對于特殊權限的分配及使用，應加以限制及控制 使用者密碼管理 對于密碼的分配，應通過正式的管理流程加以控制 使用者訪問權限的審查 管理層應定期執(zhí)行正式審查過程對于使用者的訪問權限實施評審 控制目標：防止未經授權的使用者訪問 控制措施 密碼的 使用 應要求使用者在選擇及使用密碼時，遵循良好的安全慣例 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 無人看管的使用者設備 應要求使用者確保無人看管的使用者設備有適當的保護 控制目標：保護網絡化的服務 控制措施 使用網絡服務的政策 使用者應僅能直接訪問已獲特別授權使用的服務 強制性路徑 由使用者的終端機至計算機服務器間的路徑應加以控制 外部聯機的使用者認證 應對遠程使用者的訪問進行使用者認證 節(jié)點認證 到遠程計算機系統(tǒng)的、聯機應被認證 遠程診斷端口的保護 對于診斷端口的訪問應可靠地加以控制 網絡的隔離 應引進可在網絡中以群組方式隔離信息服務、使用者及信息系統(tǒng)的控制方法 網絡聯機的控制 在分享式的網絡中使用者的聯機能力應依照訪問控制策略加以限制 網絡路由的控制 在分享式的網絡中，應有路由控制方法以確保計算機聯機及信息流不違反所制定的企業(yè)營運應用軟件的訪問 控制政策 網絡服務的安全 對于組織使用網絡服務業(yè)者提供的所有網絡服務的安全特性，應提供清楚的說明 控制目標：防止未經授權的計算機訪問 控制措施 自動化的終端機識別 應使用自動化的終端機識別，以認證連接到特定場所可移動式設備的聯機 終端機聯機程序 訪問信息服務應有安全的聯機流程 使用者識別及認證 所有使用者應有唯一的識別碼 使用者代碼 專供其個人的使用 ，以便各項活動可以追溯至應負責的個人，應使用一種適當的認證技術以真實地識別使用者的身份 口令字管理系統(tǒng) 密碼管理系統(tǒng)應提供有效的、交互式的設施以確保使用優(yōu)質的密碼 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 系統(tǒng)工具的使用 系統(tǒng)工具的使用應加以限制并嚴格控制 提供受脅迫警報以保護使用者 對于可能成為他人脅迫的目標的使用者應提供受脅迫警報 終端機逾時終止 在高風險場所或為高風險系統(tǒng)服務終端機，在進入休止狀態(tài)達到規(guī)定的一段時間后，應加以 關閉以防止未經授權的人進行訪問 聯機時間的限制 應使用聯機時間的限制，以體統(tǒng)高風險的應用程序額外的安全 控制目標：防止對于保持在信息系統(tǒng)中的信息進行未經授權的訪問 控制措施 信息訪問限制 對于信息及應用系統(tǒng)的功能的訪問應依照訪問控制策略加以分析限制 機密性系統(tǒng)的隔離 具機密性質的系統(tǒng)應有專署的 隔離的 運算環(huán)境 控制目標：偵測未經授權 的活動 控制措施 事件登錄 應產生記載著異常狀況及其它安全相關的事件的審核日志，并保存一定的期間以協(xié)助未來的調查及訪問控制的監(jiān)控 系統(tǒng)使用的監(jiān)控 應建立監(jiān)控信息處理設施使用情況的程序，并且應敵情對監(jiān)控活動的結果進行審查 定時器同步 計算機的定時器應同步以便準確地記錄 可移動式計算機運算及計算機通訊遠距工作 控制目標：確保使用可移動式計算機運算及計算機通訊遠距工作的設施的信息安全 控制措施 可移動式計算機運算 應有適當的正式政策并且采用適當的控制方法論，以防范使用可移動式計算機運算設施進行工作時所造成的風險，特別是在未被保護的環(huán)境中工作時 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 計算機通訊遠距工作 應開發(fā)策略、程序和標準以便授權及控制計算機通訊遠距工作的活動 A． 10系統(tǒng)開發(fā)及維護 BS ISO/IEO 17799:2022 編號 控制目標：確保安全機制建于信息系統(tǒng)之中 控制措施 安全要求的分析及標準 對于 使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求，應將對控制方法的要求制定于其中 控制目標：防止應用系統(tǒng)中的使用者資料遺失、修改及