1、ISO/IEC 27002信息技術-安全技術-信息安全控制實用規則Information technology-Security techniques-Code of practice for information security controls目次 HYPERLINK l _bookmark0 前言I HYPERLINK l _bookmark1 引言II HYPERLINK l _bookmark2 簡介II HYPERLINK l _bookmark3 背景和環境II HYPERLINK l _bookmark4 信息安全要求II HYPERLINK l _bookmark5 選擇

2、控制措施III HYPERLINK l _bookmark6 編制組織的指南III HYPERLINK l _bookmark7 生命周期的考慮III HYPERLINK l _bookmark8 相關標準III HYPERLINK l _bookmark9 范圍1 HYPERLINK l _bookmark10 規范性引用文件1 HYPERLINK l _bookmark11 術語和定義1 HYPERLINK l _bookmark12 本標準的結構1 HYPERLINK l _bookmark13 章節1 HYPERLINK l _bookmark14 控制類別1 HYPERLINK l

3、_bookmark15 信息安全策略2 HYPERLINK l _bookmark16 信息安全的管理方向2 HYPERLINK l _bookmark17 信息安全組織4 HYPERLINK l _bookmark18 內部組織4 HYPERLINK l _bookmark19 移動設備和遠程工作6 HYPERLINK l _bookmark20 人力資源安全9 HYPERLINK l _bookmark21 任用之前9 HYPERLINK l _bookmark22 任用中10 HYPERLINK l _bookmark23 任用的終止或變更13 HYPERLINK l _bookmark

4、24 資產管理13 HYPERLINK l _bookmark25 對資產負責13 HYPERLINK l _bookmark26 信息分類15 HYPERLINK l _bookmark27 介質處置17 HYPERLINK l _bookmark28 訪問控制19 HYPERLINK l _bookmark29 訪問控制的業務要求19 HYPERLINK l _bookmark30 用戶訪問管理21 HYPERLINK l _bookmark31 用戶職責24 HYPERLINK l _bookmark32 系統和應用訪問控制25 HYPERLINK l _bookmark33 密碼學28

5、 HYPERLINK l _bookmark34 密碼控制28 HYPERLINK l _bookmark35 物理和環境安全30 HYPERLINK l _bookmark36 安全區域30 HYPERLINK l _bookmark37 11.2 設備33 HYPERLINK l _bookmark38 操作安全38 HYPERLINK l _bookmark39 操作規程和職責38 HYPERLINK l _bookmark40 惡意軟件防護41 HYPERLINK l _bookmark41 12.3 備份42 HYPERLINK l _bookmark42 日志和監視43 HYPER

6、LINK l _bookmark43 運行軟件的控制45 HYPERLINK l _bookmark44 技術脆弱性管理46 HYPERLINK l _bookmark45 信息系統審計考慮48 HYPERLINK l _bookmark46 通信安全49 HYPERLINK l _bookmark47 網絡安全管理49 HYPERLINK l _bookmark48 信息傳遞50 HYPERLINK l _bookmark49 系統獲取、開發和維護54 HYPERLINK l _bookmark50 信息系統的安全要求54 HYPERLINK l _bookmark51 開發和支持過程中的安

7、全57 HYPERLINK l _bookmark52 測試數據62 HYPERLINK l _bookmark53 供應商關系62 HYPERLINK l _bookmark54 供應商關系的信息安全62 HYPERLINK l _bookmark55 供應商服務交付管理66 HYPERLINK l _bookmark56 信息安全事件管理67 HYPERLINK l _bookmark57 信息安全事件和改進的管理67 HYPERLINK l _bookmark58 業務連續性管理的信息安全方面71 HYPERLINK l _bookmark59 信息安全連續性71 HYPERLINK l

8、 _bookmark60 17.2 冗余73 HYPERLINK l _bookmark61 符合性74 HYPERLINK l _bookmark62 符合法律和合同要求74 HYPERLINK l _bookmark63 信息安全評審77 HYPERLINK l _bookmark64 參考文獻79前言ISO（國際標準化組織）和IEC（國際電工委員會）是為國際標準化制定專門體制的國際組織。國家機構是ISO或IEC的成員，他們通過各自的組織建立技術委員會參與國際標準的制定，來處理特定領域的技術活動。ISO和IEC技術委員會在共同感興趣的領域合作。其他國際組織、政府和非政府等機構， 通過聯絡I

9、SO和IEC參與這項工作。國際標準的制定遵循ISO/IEC 導則第2部分的規則。ISO和IEC已經在信息技術領域建立了一個聯合技術委員會ISO/IEC JTC1。ISO/IEC 27002由聯合技術委員會ISO/IEC JTC1（信息技術）分委員會SC27（安全技術）起草。ISO/IEC 27002中的某些內容有可能涉及一些專利權問題，這一點應該引起注意。ISO和IEC不負責識別任何這樣的專利權問題。第二版進行了技術上的修訂，并取消和替代第一版（ISO/IEC 27002:2005）。引言簡介背景和環境本標準可作為組織基于 ISO/IEC 27001 實施信息安全管理體系（ISMS）的過程中選

10、擇控制措施時的參考，或作為組織實施通用信息安全控制措施時的指南文件。本標準還可以用于開發行業和組織特定的信息安全管理指南，考慮其特定信息安全風險環境。所有類型和規模的組織（包括公共和私營部門、商業和非盈利組織）都要采用不同方式（包括電子方式、物理方式、會談和陳述等口頭方式）收集、處理、存儲和傳輸信息。信息的價值超越了文字、數字和圖像：無形的信息可能包括知識、概念、觀念和品牌等。在互聯的世界里，信息和相關過程、系統、網絡及其操作、處理和保護的過程中所涉及的人員都是資產，與其它重要的業務資產一樣，對組織的業務至關重要，因此需要防護各種危害。因相關過程、系統、網絡和人員具有固有的脆弱性，資產易受到故

11、意或意外的威脅。對業務過程和系統的變更或其他外部變更（例如新的法律和規章）可能產生新的信息安全風險。因此，考慮到威脅利用脆弱性損害組織會有大量方式，信息安全風險是一直存在的。有效的信息安全可以通過保護組織免受威脅和脆弱性，從而減少這些風險，進一步降低對組織資產的影響。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規程、組織結構以及軟件和硬件功能。在必要時需建立、實施、監視、評審和改進這些控制措施，以確保滿足該組織的特定安全和業務目標。為在一個一致的管理體系總體框架下實施一套全面的信息安全控制措施，信息安全管理體系（例如 ISO/IEC 27001 所指定的）從整體、協調的角度看

12、待組織的信息安全風險。從 ISO/IEC 27001 和本標準的意義上說，許多信息系統并沒有被設計成是安全的。通過技術手段可獲得的安全性是有限的，宜通過適當的管理和規程給予支持。確定哪些控制措施宜實施到位需要仔細規劃并注意細節。成功的信息安全管理體系需要組織所有員工的參與，還要求利益相關者、供應商或其他外部方的參與。外部方的專家建議也是需要的。就一般意義而言，有效的信息安全還可以向管理者和其他利益相關者保證，組織的資產是適當安全的，并能防范損害。因此，信息安全可承擔業務使能者的角色。信息安全要求組織識別出其安全要求是非常重要的，安全要求有三個主要來源：對組織的風險進行評估，考慮組織的整體業務策

13、略與目標。通過風險評估，識別資產受到的威脅，評價易受威脅利用的脆弱性和威脅發生的可能性，估計潛在的影響；組織、貿易伙伴、承包方和服務提供者必須滿足的法律、法規、規章和合同要求，以及他們的社會文化環境；組織開發的支持其運行的信息處理、加工、存儲、溝通和存檔的原則、目標和業務要求的特定集合。實施控制措施所用資源需要根據缺乏這些控制措施時由安全問題導致的業務損害加以平衡。風險評估的結果將幫助指導和確定適當的管理措施、管理信息安全風險以及實現所選擇的用以防范這些風險的控制措施的優先級。ISO/IEC 27005 提供了信息安全風險管理的指南，包括風險評估、風險處置、風險接受、風險溝通、風險監視和風險評

14、審的建議。選擇控制措施控制措施可以從本標準或其他控制措施集合中選擇，或者當合適時設計新的控制措施以滿足特定需求。控制措施的選擇依賴于組織基于風險接受準則、風險處置選項以及所應用的通用風險管理方法做出的決策，同時還宜遵守所有相關的國家和國際法律法規。控制措施的選擇還依賴于控制措施為提供深度防御而相互作用的方式。本標準中的某些控制措施可被當作信息安全管理的指導原則，并且可用于大多數組織。在下面的實施指南中，將更詳細的解釋這些控制措施。更多的關于選擇控制措施和其他風險處置選項的信息見ISO/IEC 27005。編制組織的指南本標準可作為是組織開發其詳細指南的起點。對一個組織來說，本標準中的控制措施和

15、指南并非全部適用，此外，很可能還需要本標準中未包括的另外的控制措施和指南。為便于審核員和業務伙伴進行符合性核查，當開發包含另外的指南或控制措施的文件時，對本標準中條款的引用可能是有用的。生命周期的考慮信息具有自然的生命周期，從創建和產生，經存儲、處理、使用和傳輸，到最后的銷毀或衰退。資產的價值和風險可能在其生命期中是變化的（例如公司財務報表的泄露或被盜在他們被正式公布后就不那么重要了），但在某種程度上信息安全對于所有階段而言都是非常重要的。信息系統也具有生命周期，他們被構想、指定、設計、開發、測試、實施、使用、維護，并最終退出服務進行處置。在每一個階段最好都要考慮信息安全。新系統的開發和現有系

16、統的變更為組織更新和改進安全控制帶來了機會，可將現實事件、當前和預計的信息安全風險考慮在內。相關標準雖然本標準提供了通常適用于不同組織的大范圍信息安全控制措施的指南，ISO/IEC 27000 標準族的其他部分提供了信息安全管理全過程其他方面的補充建議或要求。ISO/IEC 27000 作為信息安全管理體系和標準族的總體介紹，提供了一個詞匯表，正式定義了整個ISO/IEC 27000 標準族中的大部分術語，并描述了族中每個成員的范圍和目標。信息技術-安全技術-信息安全控制實用規則范圍本標準為組織的信息安全標準和信息安全管理實踐提供了指南，包括考慮組織信息安全風險環境前提下控制措施的選擇、實施和

17、管理。本標準可被組織用于下列目的：在基于ISO/IEC 27001實施信息安全管理體系過程中選擇控制措施；實施通用信息安全控制措施；開發組織自身的信息安全管理指南。規范性引用文件下列參考文件對于本文件的應用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。ISO/IEC 27000，信息技術安全技術信息安全管理體系概述和詞匯術語和定義ISO/IEC 27000 中的術語和定義適用于本標準。本標準的結構本標準包括 14 個安全控制措施的章節，共含有 35 個主要安全類別和 113 項安全控制措施。章節定義安全控制的每個

18、章節含一個或多個主要安全類別。本標準中章節的順序不表示其重要性。根據不同的環境，任何或所有章節的安全控制措施都可能是重要的，因此使用本標準的每一個組織宜識別適用的控制措施及其重要性，以及它們對各個業務過程的適用性。另外，本標準的排列沒有優先順序。控制類別每一個主要安全控制類別包含：一個控制目標，聲明要實現什么；一個或多個控制措施，可被用于實現該控制目標。控制措施的描述結構如下： 控制措施定義滿足控制目標的特定的控制措施的陳述。實施指南為支持控制措施的實施和滿足控制目標，提供更詳細的信息。本指南可能不能全部適用或滿足所有情況，也可能不滿足組織的特定控制要求。其他信息提供需要考慮的進一步的信息，例

19、如法律方面的考慮和對其他標準的引用。如果沒有其他信息需要提供，將不顯示本部分。信息安全策略目標：依據業務要求和相關法律法規提供管理方向并支持信息安全。信息安全的管理方向信息安全策略控制措施信息安全策略集宜由管理者定義、批準、發布并傳達給員工和相關外部方。實施指南在最高級別上，組織宜定義“信息安全方針”，由管理者批準，制定組織管理其信息安全目標的方法。信息安全方針宜解決下列方面創建的要求：業務戰略；規章、法規和合同；當前和預期的信息安全威脅環境。信息安全方針宜包括以下聲明：指導所有信息安全相關活動的信息安全、目標和原則的定義；已定義角色信息安全管理一般和特定職責的分配；處理偏差和意外的過程。在較

20、低級別，信息安全方針宜由特定主題的策略加以支持，這些策略進一步強化了信息安全控制措施的執行，并且在組織內通常以結構化的形式處理某些目標群體的需求或涵蓋某些主題。這些細化的策略主題包括：訪問控制（見 9）；信息分類（和處理）（見 8.2）；物理和環境安全（見 11）；面向終端用戶的主題，例如：資產的可接受使用（見 8.1.3）；清空桌面和清空屏幕（見 11.2.9）；3)信息傳遞（見 13.2.1）；移動設備和遠程工作（見 6.2）；軟件安裝和使用的限制（見 12.6.2）；e)備份（見 12.3）；信息傳遞（見 13.2）；惡意軟件防范（見 12.2）；技術脆弱性管理（見 12.6.1）；密碼

21、控制（見 10）；通信安全（見 13）；隱私和個人可識別信息的保護（見 18.1.4）；供應商關系（見 15）。這些策略宜采用預期讀者適合的、可訪問的和可理解的形式傳達給員工和相關外部方， 例如在“信息安全意識、教育和培訓方案”（見 7.2.2）的情況下。其他信息信息安全內部策略的需求因組織而異。內部策略對于大型和復雜的組織而言更加有用， 這些組織中，定義和批準控制預期水平的人員與實施控制措施的人員或策略應用于組織中不同人員或職能的情境是隔離的。信息安全策略可以以單一信息安全方針文件的形式發布， 或作為各不相同但相互關聯的一套文件。如果任何信息安全策略要分發至組織外部，宜注意不要泄露保密信息。

22、一些組織使用其他術語定義這些策略文件，例如“標準”、“導則”或“規則”。信息安全策略的評審控制措施信息安全策略宜按計劃的時間間隔或當重大變化發生時進行評審，以確保其持續的適宜性、充分性和有效性。實施指南每個策略宜有專人負責，他負有授權的策略開發、評審和評價的管理職責。評審宜包括評估組織策略改進的機會和管理信息安全適應組織環境、業務狀況、法律條件或技術環境變化的方法。信息安全策略評審宜考慮管理評審的結果。宜獲得管理者對修訂的策略的批準。信息安全組織目標：建立管理框架，以啟動和控制組織范圍內的信息安全的實施和運行。內部組織信息安全角色和職責控制措施所有的信息安全職責宜予以定義和分配。實施指南信息安

23、全職責的分配宜與信息安全策略（見 5.1.1）相一致。宜識別各個資產的保護和執行特定信息安全過程的職責。宜定義信息安全風險管理活動，特別是殘余風險接受的職責。這些職責宜在必要時加以補充，來為特定地點和信息處理設施提供更詳細的指南。資產保護和執行特定安全過程的局部職責宜予以定義。分配有信息安全職責的人員可以將安全任務委托給其他人員。盡管如此，他們仍然負有責任，并且他們宜能夠確定任何被委托的任務是否已被正確地執行。個人負責的領域宜予以規定；特別是，宜進行下列工作：宜識別和定義資產和信息安全過程；宜分配每一資產或信息安全過程的實體職責，并且該職責的細節宜形成文件（見8.1.2）；宜定義授權級別，并形

24、成文件；能夠履行信息安全領域的職責，領域內被任命的人員宜有能力，并給予他們機會， 使其能夠緊跟發展的潮流；宜識別供應商關系信息安全方面的協調和監督措施，并形成文件。其他信息在許多組織中，將任命一名信息安全管理人員全面負責信息安全的開發和實施，并支持控制措施的識別。然而，提供控制措施資源并實施這些控制措施的職責通常歸于各個管理人員。一種通常的做法是為每一項資產指定一名責任人負責該項資產的日常保護。職責分離控制措施宜分離相沖突的責任及職責范圍，以降低未授權或無意識的修改或者不當使用組織資產的機會。實施指南宜注意，在無授權或監測時，個人不能訪問、修改或使用資產。事件的啟動宜與其授權分離。勾結的可能性

25、宜在設計控制措施時予以考慮。小型組織可能感到難以實現這種職責分離，但只要具有可能性和可行性，宜盡量應用該原則。如果難以分離，宜考慮其他控制措施，例如對活動、審核蹤跡和管理監督的監視等。其他信息職責分離是一種減少意外或故意組織資產誤用的風險的方法。與政府部門的聯系控制措施宜保持與政府相關部門的適當聯系。實施指南組織宜有規程指明什么時候與哪個部門（例如，執法部門、監管機構、監督部門）聯系、已識別的信息安全事件如何及時報告（例如，如果懷疑可能觸犯了法律時）其他信息受到來自互聯網攻擊的組織可能需要政府部門采取措施以應對攻擊源。保持這樣的聯系可能是支持信息安全事件管理（見 16）或業務連續性和應急計劃過

26、程（見 17）的要求。與監管機構的聯系還有助于預先知道組織必須遵循的法律法規方面即將出現的變化，并為這些變化做好準備。與其他部門的聯系包括公共設施、緊急服務、電力供應和健康安全（safety）部門，例如消防局（與業務連續性有關）、電信提供商（與路由和可用性有關）、供水部門（與設備的冷卻設施有關）。與特定利益集團的聯系控制措施宜保持與特定利益集團、其他安全論壇和專業協會的適當聯系。實施指南宜考慮成為特定利益集團或論壇的成員，以便：增進關于最佳實踐的知識，保持對最新相關安全信息的了解；確保全面了解當前的信息安全環境；盡早收到關于攻擊和脆弱性的預警、建議和補丁；獲得信息安全專家的建議；分享和交換關于

27、新的技術、產品、威脅或脆弱性的信息；提供處理信息安全事件時適當的聯絡點（見 16）。其他信息建立信息共享協議來改進安全問題的協作和協調。這種協議宜識別出保護保密信息的要求。項目管理中的信息安全控制措施無論項目是什么類型，在項目管理中都宜處理信息安全問題。實施指南信息安全宜整合到組織的項目管理方法中，以確保將識別并處理信息安全風險作為項目的一部分。這通常可應用于所有項目，無論其特性是什么，例如核心業務過程、IT、設施管理和其他支持過程等方面的項目。在用的項目管理方法宜要求：信息安全目標納入項目目標；在項目的早期階段進行信息安全風險評估，以識別必要的控制措施；對于適用的項目方法論而言，信息安全是其

28、每個階段的組成部分。在所有項目中，宜定期處理和評審信息安全影響。信息安全職責宜加以定義，并分配給項目管理方法中定義的指定角色。目標：確保遠程工作和使用移動設備時的安全。移動設備和遠程工作移動設備策略控制措施宜采用策略和支持性安全措施來管理由于使用移動設備帶來的風險。實施指南當使用移動設備時，宜特別小心確保業務信息不被損害。移動設備策略宜考慮到在不受保護的環境下使用移動設備工作的風險。移動設備策略宜考慮：移動設備的注冊；物理保護的要求；軟件安裝的限制；移動設備軟件版本和補丁應用的要求；連接信息服務的限制；訪問控制；密碼技術；惡意軟件防范；遠程關閉、擦除或鎖定；備份；web 服務和 web 應用的

29、用法。當在公共場所、會議室和其他不受保護的區域使用移動設備時，宜加以小心。為避免未授權訪問或泄露這些設備所存儲和處理的信息，宜有適當的保護措施，例如，使用密碼技術（見 10）、強制使用秘密鑒別信息（見 9.2.3）。還宜對移動設備進行物理保護，以防被偷竊，例如，特別是遺留在汽車和其他形式的運輸工具上、旅館房間、會議中心和會議室。宜為移動設備的被竊或丟失等情況建立一個符合法律、保險和組織的其他安全要求的特定規程。攜帶重要、敏感或關鍵業務信息的設備不宜無人值守，若有可能，宜以物理的方式鎖起來，或使用專用鎖來保護設備。對于使用移動設備的人員宜安排培訓，以提高他們對這種工作方式導致的附加風險的意識，并

30、且宜實施控制措施。當移動設備策略允許使用私人移動設備時，策略及相關安全措施宜考慮：分離設備的私人使用和業務使用，包括使用軟件來支持這種分離，保護私人設備上的業務數據；只有當用戶簽署了終端用戶協議，確認其職責（物理保護、軟件更新等）后，方可提供對業務信息的訪問，一旦設備被盜或丟失，或當不再授權使用服務時，組織放棄業務數據的所有權、允許遠程的數據擦除。這個策略需要考慮隱私方面的法律。其他信息移動設別無線連接類似于其他類型的網絡連接，但在識別控制措施時，宜考慮兩者的重要區別。典型的區別有：一些無線安全協議是不成熟的，并有已知的弱點；在移動設備上存儲的信息因受限的網絡帶寬可能不能備份，或因為移動設備在

31、規定的備份時間不能進行連接。移動設備通常與固定使用的設備分享其常用功能，例如聯網、互聯網訪問、電子郵件和文件處理。移動設備的信息安全控制措施通常包含在固定使用的設備中所用的控制措施，以及處理由于其在組織場所外使用所引發威脅的控制措施。遠程工作控制措施宜實施策略和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。實施指南組織宜在定義使用遠程工作的條件及限制的策略發布后，才允許遠程工作活動。當認為適用，法律允許的情況下，宜考慮下列事項：遠程工作場地的現有物理安全，要考慮到建筑物和本地環境的物理安全；推薦的物理的遠程工作環境；通信安全要求，要考慮遠程訪問組織內部系統的需要、被訪問的并在通信鏈

32、路上傳遞的信息的敏感性以及內部系統的敏感性；虛擬桌面訪問的規定，防止在私有設備處理或存儲信息；住處的其他人員（例如，家人和朋友）未授權訪問信息或資源的威脅；家庭網絡的使用和無線網絡服務配置的要求或限制；針對私有設備開發的預防知識產權爭論的策略和規程；法律禁止的對私有設備的訪問（核查機器安全或在調查期間）；使組織對雇員或外部方人員等私人擁有的工作站上的客戶端軟件負責的軟件許可協議；防病毒保護和防火墻要求。要考慮的指南和安排宜包括：當不允許使用不在組織控制下的私有設備時，對遠程工作活動提供合適的設備和存儲設施；定義允許的工作、工作小時數、可以保持的信息分類和授權遠程工作者訪問的內部系統和服務；提供

33、適合的通信設備，包括使遠程訪問安全的方法；物理安全；有關家人和來賓訪問設備和信息的規則和指南；硬件和軟件支持和維護的規定；保險的規定；用于備份和業務連續性的規程；審核和安全監視；當遠程工作活動終止時，撤銷授權和訪問權限，并歸還設備。其他信息遠程工作是利用通信技術來使得人員可以在其組織之外的固定地點進行遠程工作的。遠程工作是指在辦公場所外工作的所有形式，包括非傳統的工作環境，例如被稱為“遠程辦公”、“彈性工作點”、“遠程工作”和“虛擬工作”等的環境。人力資源安全目標：確保雇員和承包方人員理解其職責、適于考慮讓其承擔的角色。任用之前審查控制措施關于所有任用候選者的背景驗證核查宜按照相關法律、法規、

34、道德規范和對應的業務要求、被訪問信息的類別和察覺的風險來執行。實施指南驗證宜考慮所有相關的隱私、個人可識別信息的保護以及與任用相關的法律，并宜包括以下內容（允許時）：令人滿意的個人資料的可用性（例如，一項業務和一個個人）；申請人履歷的核查（針對完備性和準確性）；聲稱的學術、專業資質的證實；個人身份核查（護照或類似文件）；更多細節的核查，例如信用卡核查或犯罪記錄核查。當人員聘用為特定的信息安全角色時，組織宜弄清楚候選者：有執行安全角色所必需的能力；可被信任從事該角色，特別是當該角色對組織來說是十分關鍵時。當一個職務（最初任命的或提升的）涉及到對信息處理設施進行訪問的人時，特別是， 如果這些設施正

35、在處理保密信息，例如，財務信息或高度保密的信息，那么，該組織還宜考慮進一步的、更詳細的核查。宜有規程確定驗證核查的準則和限制，例如誰有資格審查人員，以及如何、何時、為什么執行驗證核查。對于承包方人員也宜執行審查過程。在這樣的情況下，組織與承包方人員的協議宜指定進行審查的職責以及如果審查沒有完成或結果給出需要懷疑或關注的理由時需遵循的通告規程。被考慮在組織內錄用的所有候選者的信息宜按照相關管轄范圍內存在的合適的法律來收集和處理。依據適用的法律，宜將審查活動提前通知候選者。任用條款和條件控制措施與雇員和承包方人員的合同協議宜聲明他們和組織的信息安全職責。實施指南雇員或承包方人員的合同義務除澄清和聲

36、明以下內容外，還宜反映組織的信息安全策略：所有訪問保密信息的雇員和承包方人員宜在給予訪問信息處理設施權限之前簽署保密或不泄露協議；雇員和承包方人員的法律責任和權利，例如關于版權法、數據保護法（見 18.1.4）；與雇員和承包方人員處理的信息、信息處理設施和信息服務有關的信息分類和組織資產管理的職責（見 8）；雇員和承包方人員處理來自其他公司或外部方的信息的職責；如果雇員和承包方人員漠視組織的安全要求所要采取的措施（見 7.2.3）。信息安全角色和職責宜在任用前的過程中傳達給職務的候選者。組織宜確保雇員和承包方人員同意適用于他們將訪問的與信息系統和服務有關的組織資產的性質和程度的信息安全條款和條

37、件。若適用，包含于任用條款和條件中的職責宜在任用結束后持續一段規定的時間（見 7.3）。其他信息一個行為細則可聲明雇員和承包方人員關于保密性、數據保護、道德規范、組織設備和設施的適當使用以及組織期望的最佳實踐的信息安全職責。承包方人員與之有關的外部方、可被要求代表已簽約的人遵守合約的安排。目標：確保雇員和承包方人員知悉并履行其信息安全職責。任用中管理職責控制措施管理者宜要求所有雇員和承包方人員按照組織已建立的策略和規程對信息安全盡心盡力。實施指南管理職責宜包括確保雇員和承包方人員：在被允許訪問保密信息或信息系統前了解其信息安全角色和職責；獲得聲明在組織中他們角色的信息安全期望的指南；被激勵以實

38、現組織的信息安全策略；對于在組織內他們角色和職責相關信息安全的意識程度達到一定級別；遵守任用的條款和條件，包括組織的信息安全策略和工作的適當方法；持續擁有適當的技能和資質，定期接受培訓；獲知匿名報告途徑，可報告信息安全策略或規程的違規行為（“舉報”）。管理者宜對信息安全策略、規程和控制措施表達支持，并充當榜樣。其他信息如果雇員和承包方人員沒有意識到他們的信息安全職責，他們會對組織造成相當大的破壞。被激勵的人員更可靠并能減少信息安全事件的發生。缺乏有效的管理會使員工感覺被低估，并由此導致對組織的負面信息安全影響。例如， 缺乏有效的管理可能導致信息安全被忽視或組織資產的潛在誤用。信息安全意識、教育

39、和培訓控制措施組織的所有雇員，適當時，包括承包方人員，宜受到與其工作職能相關的適當的意識培訓和組織策略及規程的定期更新培訓。實施指南信息安全意識培訓方案旨在使雇員，適當時，包括承包方人員，意識到他們的信息安全職責以及履行職責的方法。信息安全意識培訓方案宜按照組織的信息安全策略和相關規程建立，考慮組織要保護的信息以及為保護這些信息所實施的控制措施。意識方案宜包括一些意識提升活動，像組織宣傳活動（例如“信息安全日”）、發布宣傳單或制作簡報等。意識方案宜考慮雇員在組織中的角色，適當時，還要考慮組織對承包方人員在意識方面的期望。意識方案的活動宜不斷開展，最好能定期實施，使得這些活動是可重復的，并能夠

40、涵蓋新的雇員和承包方人員。意識方案還宜定期更新，使它保持與組織策略和規程的一致， 并建立在信息安全事件所積累教訓的基礎上。意識培訓宜按照組織的信息安全意識培訓方案的要求執行。意識培訓可使用不同的交付媒介，包括課堂教學、遠程教學、網絡教學、自學及其他方式。信息安全教育和培訓還宜覆蓋的一般方面包括：在整個組織范圍內聲明信息安全管理承諾；熟悉并遵從信息安全規則和義務的需求，正如策略、標準、法律、法規、合同和協議中所定義的那樣；對自己行為和不作為的人員責任、保護組織和外部方信息的一般責任；基本信息安全規程（例如信息安全事件報告）和基線控制（例如口令安全、惡意軟件控制措施和清空桌面）；聯絡點和其他信息資

41、源以及信息安全事項的建議，包括進一步的信息安全教育和培訓材料。信息安全教育和培訓宜定期開展。最初的教育和培訓可針對那些調任新崗位或角色，且與原來的信息安全要求相比有很大不同的人員展開，不要只是針對新員工，而且宜在進入角色之前實施。為有效進行教育和培訓，組織宜開發信息安全意識培訓方案。方案宜與組織的信息安全策略和相關規程保持一致，方案宜考慮教育和培訓的不同形式，例如演講或自學。其他信息當組成意識方案時，重要的是，不僅要關注“做什么”和“怎么做”，還要關注“為什么”。雇員理解信息安全的目的以及由于他們在組織內的行為（正面的或負面的）所帶來的潛在影響是十分重要的。意識教育和培訓可以是其他培訓活動的一

42、部分，或與之協同實施，例如通用 IT 或通用安全培訓。意識教育和培訓活動宜適于并與個人的角色、職責和技能相關（見 7.2.2）。可在意識教育和培訓課程結束時，對雇員的理解程度進行評估，以測試知識的傳遞效果。紀律處理過程控制措施宜有一個正式的、已傳達的紀律處理過程，來對信息安全違規的雇員采取措施。實施指南紀律處理過程之前宜有一個信息安全違規的驗證過程（見 16.1.7）。正式的紀律處理過程宜確保正確和公平的對待被懷疑信息安全違規的雇員。無論違規是第一次或是已發生過，無論違規者是否經過適當的培訓，正式的紀律處理過程宜規定一個分級的響應，要考慮例如違規的性質、重要性及對于業務的影響等因素，相關法律、

43、業務合同和其他因素也是需要考慮的。紀律處理過程也可用于對雇員的一種威懾，防止他們違反組織的信息安全策略和規程及其他信息安全違規。故意的違規需要立即采取措施。其他信息如果對信息安全有關的異常行為定義了肯定的處罰，紀律處理過程還可以變為一種動力或刺激。目標：將保護組織利益作為變更或終止任用過程的一部分。7.3任用的終止或變更7.3.1任用終止或變更的職責控制措施宜定義信息安全職責和義務在任用終止或變更后保持有效的要求，并傳達給雇員或承包方人員，予以執行。實施指南終止職責的傳達宜包括正在進行的信息安全要求和法律職責，適當時，還包括任何保密協議包含的職責（見 13.2.4），并且在雇員和承包方人員任用

44、結束后持續一段時間仍然有效的任用條款和條件（見 7.1.2）。規定職責和義務在任用終止后仍然有效的內容宜包含在雇員和承包方人員的任用條款和條件中。職責或任用的變更宜加以管理，當前職責或任用的終止要結合新的職責或任用的初始化。其他信息人力資源的職能通常是與管理相關規程的信息安全方面的監督管理員一塊負責總體的 任用終止處理。在由外部方提供承包方人員的情況下，終止 的處理按照組織與外部方的合同， 由外部方完成，有必要通知雇員、顧客、承包方人員關于組織人員的變更和運營上的安排。資產管理目標：識別組織資產，并定義適當的保護職責。對資產負責資產清單控制措施宜識別與信息和信息處理設施的資產，編制并維護這些資

45、產的清單。實施指南組織宜識別與信息生命周期有關的資產，并將其重要性形成文件。信息的生命周期宜包括創建、處理、存儲、傳輸、刪除和銷毀。文件宜以專用清單進行維護，適當時，或以現有清單進行維護。資產清單宜是準確的、最新的，并與其它清單保持一致和匹配。對于所識別的每個資產，需要指定資產的所有權（見 8.1.2）、識別其類別（見 8.2）。其他信息資產清單有助于確保有效的資產保護，其他目的也可能需要資產清單，例如健康與安全(safety)、保險或財務（資產管理）等原因。ISO/IEC 27005 提供了組織在識別資產時需要考慮的資產示例，編制資產清單的過程是風險管理的重要前提條件（見 ISO/IEC 2

46、7000 和 ISO/IEC 27005）。資產所有權控制措施清單中所維護的資產宜分配所有權。實施指南已批準對資產生命周期具有管理職責的個人和其他實體，有資格被指定為資產所有者。通常要實施確保及時分配資產所有權的過程。宜當資產被創建或資產轉移至組織時分配所有權。資產所有者宜負責在整個資產生命周期內對資產進行適當管理。資產所有人宜：確保資產列入清單；確保資產進行了適當的分類和保護；確定并定期評審對重要資產的訪問限制和分類，考慮適用的訪問控制策略；當資產被刪除或銷毀時，確保進行適當處理。其他信息確定的所有者或者為個人，或者為實體，他們具備批準的控制資產整個生命周期的管理職責。確定的所有者不一定具備

47、資產的產權。日常任務可以委派給其他人，例如委派給一個保管人員每天照看資產，但所有者仍保留職責。在復雜的信息系統中，將一組資產指派給一個所有者可能是比較有用的，它們一起工作來提供特定服務。在這種情況下，服務責任人負責服務的交付，包括資產的運行。資產的可接受使用控制措施信息及與信息和信息處理設施有關的資產的可接受使用規則宜被確定、形成文件并加以實施。實施指南使用或訪問組織資產的雇員和外部方人員宜意識到組織中與信息、信息處理設施和資源相關的資產的信息安全要求。他們宜對其所有信息處理資源的使用行為負責，這種使用不能超出其職責范圍。資產的歸還控制措施所有的雇員和外部方人員在終止任用、合同或協議時，宜歸還

48、他們使用的所有組織資產。實施指南終止過程宜被正式化以包括歸還所有先前發放的組織擁有或交托的物理和電子資產。當雇員或第三方人員購買了組織的設備或使用他們自己的個人設備時，宜遵循規程確保所有相關的信息已轉移給組織，并且已從設備中安全地刪除（見 11.2.7）。當一個雇員或第三方人員擁有的知識對正在進行的操作具有重要意義時，此信息宜形成文件并轉移給組織。在終止的離職通知期內，組織宜控制已終止的雇員和第三方人員未授權復制有關信息（例如知識產權）。目標：確保信息按照其對組織的重要性受到適當級別的保護。信息分類信息的分類控制措施信息宜按照法律要求、價值、關鍵性以及它對未授權泄露或修改的敏感性予以分類。實施

49、指南信息的分類及相關保護控制措施宜考慮到共享或限制信息的業務需求以及法律要求。除信息之外的資產也能按照所存儲、加工及由其處理或保護的信息的類別予以分類。信息資產的所有者宜對他們的分類負有責任。分類機制宜包括分類的約定及一段時間后對分類進行評審的準則。機制中的保護級別宜通過分析被考慮信息的保密性、完整性、可用性及其他要求予以評估。機制宜與訪問控制策略（見 9.1.1）結合起來。每個級別宜給定一個名稱，使其在分類機制應用的環境中是有意義的。整個組織的分類機制宜是一致的，以便于每個人使用同樣的方式對信息和相關資產進行分類，并對保護要求達成共識，從而應用適當的保護。分類宜納入組織的過程中，在整個組織中

50、是一致和連貫的。分類的結果宜基于其對組織的敏感性和關鍵性表明資產的價值，例如根據保密性、完整性和可用性。分類的結果宜在資產的生命周期中按照他們價值、敏感性和關鍵性的變化予以更新。其他信息分類為處理信息的人員提供了一個如何處理和保護信息的簡明指示。為具有類似保護需求的信息創建組，指定信息安全規程并應用到每個組設施中的所有信息。這個方法減少了逐一進行風險評估的需求，可定制控制措施的設計。在一段時間后，信息不再是敏感的或關鍵的，例如，當該信息已經公開時。這些方面宜予以考慮，因為過度分類致使實施不必要的控制措施，從而導致附加成本，反之，適度分類可促使實現業務目標。信息保密性分類機制的示例可基于以下四個

51、級別：泄露不會導致損害；泄露可導致輕微的困窘或輕微的操作不便；泄露對操作或戰術目標有顯著的短期影響；泄露有對長期戰略目標有嚴重的影響，或使組織的生存處于風險之中。信息的標記控制措施宜按照組織所采納的信息分類機制建立和實施一組合適的信息標記規程。實施指南信息標記的規程需要涵蓋物理和電子格式的信息及其相關資產。標記宜反映 8.2.1 中建立的分類機制。標記宜易于識別。規程宜給出關于在哪兒及如何附加標記的指南，基于介質的類型考慮信息如何被訪問或資產如何被處理。規程可定義當可省略標記的情況，例如為減少工作量，可省略非保密信息的標記。宜使雇員和承包方人員知悉標記規程。包含分類為敏感或關鍵信息的系統輸出宜

52、在該輸出中攜帶合適的分類標記。其他信息分類信息的標記是信息共享布置的一個關鍵要求。物理標記和元數據是常用的標記形式。信息及其相關資產的標記有時具有負面的影響。分類的資產易于識別，導致被入侵者或外部攻擊者盜取。信息的處理控制措施宜按照組織所采納的信息分類機制建立和實施處理資產的規程。實施指南宜為處理、加工、存儲和溝通信息制定規程，與其分類一致（見 8.2.1）。宜考慮下列事項：訪問限制支持每個分類級別的保護要求；維護資產授權接收的正式記錄；與原始信息的保護級別一樣，對信息的臨時或永久拷貝進行保護；按照制造商說明保存 IT 資產；為引起授權接收者的注意，所有介質拷貝都有清晰的標志。即使級別的名字類

53、似，組織內部所用的分類機制也可能不同于其他組織所用的機制；此外，信息在組織間轉移時可能類別會發生變化，這主要基于每個組織的環境，即使他們的分類機制是一樣的。與其他組織簽署的包括信息共享的協議宜有規程來識別信息的類別，并解釋其他組織的分類標記。目標：防止存儲在介質上的信息遭受未授權泄露、修改、移動或銷毀。介質處置可移動介質的管理控制措施宜按照組織所采納的分類機制實施可移動介質的管理規程。實施指南對于可移動介質的管理，宜考慮下列指南：對于從組織取走的任何可重用的介質中的內容，如果不再需要，要使其不可重現；如果必要并可行，對于從組織取走的所有介質要要求授權，所有這種移動的記錄要加以保持，以保持審核蹤

54、跡；要將所有介質存儲在符合制造商說明的安全、保密的環境中；如果數據保密性或完整性是重要的考慮事項，宜使用加密技術來保護在可移動介質中的數據；當仍然需要存儲于介質中的數據時，為減緩介質退化風險，宜在其變的不可讀之前，將數據轉移到新的介質中；重要數據的多份拷貝宜存儲于單獨的介質中，進一步降低數據同時損壞或丟失的風險；宜考慮可移動介質的登記，以減少數據丟失的機會；只要在有業務要求時，才使用可移動介質；當有需求使用可移動介質時，宜監視信息轉移到介質的過程。規程和授權級別宜形成文件。介質的處置控制措施不再需要的介質，宜使用正式的規程可靠并安全地處置。實施指南宜建立安全處置介質的正式規程，以使保密信息泄露

55、給未授權人員的風險減至最小。安全處置包含保密信息的介質的規程宜與信息的敏感性相對應。宜考慮下列條款：包含有保密信息的介質宜安全地存儲和處置，例如，利用焚化或切碎的方法，或者將數據刪除供組織內其他應用使用；宜有規程識別可能需要安全處置的項目；安排把所有介質部件收集起來并進行安全處置，比試圖分離出敏感部件可能更容易；許多組織對介質提供收集和處置服務；宜注意選擇具有足夠控制措施和經驗的合適的外部方；處置敏感部件宜做記錄，以便保持審核蹤跡。當處置堆積的介質時，對集合效應宜予以考慮，它可使大量不敏感信息變成敏感信息。其他信息已損壞的包含敏感數據的設備可能需要實施風險評估以確定物品是否需要進行物理毀壞，而

56、不是送去修理或丟棄（見 11.2.7）。物理介質傳輸控制措施包含信息的介質在運送時，宜防止未授權的訪問、不當使用或毀壞。實施指南為保護傳輸的包含信息的介質，宜考慮下列指南：要使用可靠的運輸或送信人；授權的送信人列表要經管理者批準；要開發驗證送信人身份信息的規程；包裝要足以保護信息免遭在運輸期間可能出現的任何物理損壞，并且符合制造商的規范，例如防止可能減少介質恢復效力的任何環境因素，例如暴露于過熱、潮濕或電磁區域；宜保存日志，確定介質的內容、所應用的保護手段并記錄交付給傳輸保管人的時間和在目的地接收的時間。其他信息信息在物理傳輸期間（例如通過郵政服務或送信人傳送）易遭受未授權訪問、不當使用或破壞

57、。在此項控制中，介質包括紙質文件。當介質中的保密信息沒有加密時，宜考慮附加的物理保護手段。訪問控制目標：限制對信息和信息處理設施的訪問。訪問控制的業務要求訪問控制策略控制措施訪問控制策略宜建立、形成文件，并基于業務和信息安全要求進行評審。實施指南資產所有者宜為特定用戶角色訪問其資產確定適當的訪問控制規則、訪問權限和限制， 反映相關信息安全風險的控制措施要具備足夠的細節和嚴格性。訪問控制包括邏輯的和物理的（見 11），它們宜一起考慮。宜給用戶和服務提供商提供一份訪問控制要滿足的業務要求的清晰說明。策略宜考慮到下列內容：業務應用的安全要求；信息分發和授權的策略，例如“需要則知道”的原則、信息安全級

58、別和信息分類（見8.2）；不同系統和網絡的訪問權限和信息分類策略之間的一致性；關于限制訪問數據或服務的相關法律和合同義務（見 18.1）；在認可各種可用連接類型的分布式和網絡化環境中的訪問權限的管理；訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；訪問請求的正式授權要求（見 9.2.1）；訪問權限的定期評審要求（見 9.2.5）； i） 訪問權限的撤銷（見 9.2.6）；關于用戶身份和秘密鑒別信息使用和管理的所有重大事件記錄的存檔；具有特權的訪問角色（見 9.2.3）。其他信息在規定訪問控制規則時，宜認真考慮下列內容：在“未經明確允許，則一律禁止”的前提下，而不是“未經明確禁止，一律允許

59、” 的弱規則的基礎上建立規則；信息處理設施自動啟動的信息標記（見 8.2.2）和用戶任意啟動的信息標記的變更； c） 信息系統自動啟動的用戶許可變更和由管理員啟動的那些用戶許可變更；d） 在頒發之前，需要特別批準的規則以及無須批準的那些規則。訪問控制規則宜有正式的規程支持（見 9.2、9.3、9.4），并定義職責（見 6.1.1、9.2、15.1）。基于訪問控制的規則是成功用于許多組織、聯系訪問權限和業務角色的方法。指導訪問控制策略的兩個常用原則是：需要則知道：用戶僅被授權訪問執行其任務所需要的信息（不同的任務/角色意味著不同的需要知道的內容，因此具有不同的訪問輪廓）需要則使用：用戶僅被授權訪

60、問執行其任務/工作/角色所需要的信息處理設施（IT 設備、應用、規程、房間）。網絡和網絡服務的訪問控制措施用戶宜僅能訪問已獲專門授權使用的網絡和網絡服務。實施指南宜制定關于使用網絡和網絡服務的策略。這一策略宜包括：允許被訪問的網絡和網絡服務；確定允許哪個人訪問哪些網絡和網絡服務的授權規程； c） 保護訪問網絡連接和網絡服務的管理控制措施和規程； d） 訪問網絡和網絡服務使用的手段（例如，VPN 或無線網絡的使用）。e） 訪 問 各 種 網 絡 服 務 的 用 戶 鑒 別 要 求 ； f） 監視網絡服務的使用。網絡服務使用策略宜與組織的訪問控制策略相一致（見 9.1.1）。其他信息與網絡服務的未