ISO27001標準詳解ISO27001標準詳解培訓資料全文共97頁，當前為第1頁。

信息安全管理體系背景介紹

信息作為組織的重要資產，需要得到妥善保護。但隨著信息技術的高速發展，特別是Internet的問世及網上交易的啟用，許多信息安全的問題也紛紛出現：系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。安全問題所帶來的損失遠大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：

一.直接損失：丟失訂單，減少直接收入，損失生產率；

二.間接損失：恢復成本，競爭力受損，品牌、聲譽受損，負面的公眾影響，失去未來的業務機會，影響股票市值或政治聲譽；

三.法律損失：法律、法規的制裁，帶來相關聯的訴訟或追索等。

ISO27001的內容ISO27001標準詳解培訓資料全文共97頁，當前為第2頁。

信息安全管理體系背景介紹

所以，在享用現代信息系統帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當前企業迫切需要解決的問題。

俗話說"三分技術七分管理"。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位，如系統的運行、維護、開發等崗位不清，職責不分，存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以，我們需要一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作。

ISO27001的內容ISO27001標準詳解培訓資料全文共97頁，當前為第3頁。

信息安全管理體系標準發展歷史

目前，在信息安全管理體系方面，ISO/IEC27001:2005--信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。ISO/IEC27001是由英國標準BS7799轉換而成的。

BS7799標準于1993年由英國貿易工業部立項，于1995年英國首次出版BS7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準，適用于大、中、小組織。2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準ISO/IEC17799：2000《信息技術-信息安全管理實施細則》，后來該標準已升版為

ISO27001的內容ISO27001標準詳解培訓資料全文共97頁，當前為第4頁。

信息安全管理體系標準發展歷史

ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式發布，2002版標準主要在結構上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過程管理模式，建立了與ISO9001、ISO14001和OHSAS18000等管理體系標準相同的結構和運行模式。2005年，BS7799-2:2002正式轉換為國際標準ISO/IEC27001：2005。

ISO27001的內容ISO27001標準詳解培訓資料全文共97頁，當前為第5頁。

信息安全管理體系要求11個控制領域39個控制目標

133個控制措施

ISO27001的內容ISO27001標準詳解培訓資料全文共97頁，當前為第6頁。

必須的ISMS文件：

1、ISMS方針文件，包括ISMS的范圍；

2、風險評估程序和風險處理程序；

3、文件控制程序和記錄控制程序；

4、內部審核程序和管理評審程序（盡管沒有強制）；

5、糾正措施和預防措施控制程序；

6、控制措施有效性的測量程序；

7、適用性聲明

ISO27001的內容ISO27001標準詳解培訓資料全文共97頁，當前為第7頁。對外

增強顧客信心和滿意

改善對安全方針及要求的符合性

提供競爭優勢對內

改善總體安全

管理并減少安全事件的影響

便利持續改進

提高員工動力與參與

提高盈利能力

形成文件的ISMS的益處ISO27001標準詳解培訓資料全文共97頁，當前為第8頁。

PDCA方法

糾正和預防措施

內部審核

ISMS管理評審

ISMS的持續改進ISO27001標準詳解培訓資料全文共97頁，當前為第9頁。Page10PDCA（戴明環）PDCA（Plan、Do、Check和Act）是管理學慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19世紀30年代構想的，后來被戴明（EdwardsDeming）采納、宣傳并運用于持續改善產品質量的過程當中。1、P（Plan）--計劃，確定方針和目標，確定活動計劃；2、D（Do）--執行，實地去做，實現計劃中的內容；3、C（Check）--檢查，總結執行計劃的結果，注意效果，找出問題；4、A（Action）--行動，對總結檢查的結果進行處理，成功的經驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現，未解決的問題放到下一個PDCA循環。ISO27001標準詳解培訓資料全文共97頁，當前為第10頁。Page11PDCA特點

大環套小環，小環保大環，推動大循環PDCA循環作為質量管理的基本方法，不僅適用于整個工程項目，也適應于整個企業和企業內的科室、工段、班組以至個人。各級部門根據企業的方針目標，都有自己的PDCA循環，層層循環，形成大環套小環，小環里面又套更小的環。大環是小環的母體和依據，小環是大環的分解和保證。各級部門的小環都圍繞著企業的總目標朝著同一方向轉動。通過循環把企業上下或工程項目的各項工作有機地聯系起來，彼此協同，互相促進。以上特點。

ISO27001標準詳解培訓資料全文共97頁，當前為第11頁。Page12PDCA特點(續)

不斷前進、不斷提高

PDCA循環就像爬樓梯一樣，一個循環運轉結束，生產的質量就會提高一步，然后再制定下一個循環，再運轉、再提高，不斷前進，不斷提高，是一個螺旋式上升的過程。PDCA質量水平螺旋上升的PDCAISO27001標準詳解培訓資料全文共97頁，當前為第12頁。Page13PDCA和ISMS的結合ISO27001標準詳解培訓資料全文共97頁，當前為第13頁。Page14重點章節本標準的重點章節是4－8章。前三章的內容結構如下所示：

引言 0.1總則 0.2過程方法 0.3與其他管理體系的兼容性 1范圍 1.1總則 1.2應用 2規范性引用文件 3術語和定義ISO27001標準詳解培訓資料全文共97頁，當前為第14頁。

0.1總則

0.2過程方法

過程方法的定義：組織內各過程系統的應用，連同這些過程 的識別和相互作用及其管理，可以被稱為“過程方法”。

過程方法鼓勵其使用者以強調以下方面的重要性：

理解業務信息安全要求以及建立信息安全方針和目標的需求在管理組織的整體業務風險中實施并運作控制監控并評審ISMS的績效及有效性在客觀測量基礎上持續改進0引言ISO27001標準詳解培訓資料全文共97頁，當前為第15頁。

1.1總則

本標準規定了在組織整體業務風險的范圍內制定、實施、運行、監控、評審、保持和改進文件化信息安全管理系統的要求

1.2應用

適用于各種類型、不同規模和提供不同產品的組織

可以考慮刪減，但條款4、5、6、7和8是不能刪減的

1范圍ISO27001標準詳解培訓資料全文共97頁，當前為第16頁。

ISO/IEC17799：2005信息技術－安全技術－信息安全管理實施指南2引用標準ISO27001標準詳解培訓資料全文共97頁，當前為第17頁。

信息是經過加工的數據或消息，信息是對決策者有價值的數據

資產

任何對組織有價值的事物

可用性

確保授權用戶可以在需要時可以獲得信息和相關資產

保密性

確保信息僅為被授權的用戶獲得

3術語和定義ISO27001標準詳解培訓資料全文共97頁，當前為第18頁。

完整性

確保信息及其處理方法的準確性和完整性

信息安全

保護信息的保密性、完整性、可用性；另外也包括其他屬性，如：真實性、可核查性、不可抵賴性和可靠性

信息安全事件

已識別出的發生的系統、服務或網絡狀態表明可能違反信息安全策略或防護措施失效的事件，或以前未知的與安全相關的情況

3術語和定義（續）ISO27001標準詳解培訓資料全文共97頁，當前為第19頁。

信息安全事故

信息安全事故是指一個或系列非期望的或非預期的信息安全事件，這些信息安全事件可能對業務運營造成嚴重影響或威脅信息安全。

信息安全管理體系（ISMS）

全面管理體系的一部分，基于業務風險方法，旨在建立、實施、運行、監控、評審、維持和改進信息安全

適用性聲明

基于風險評估和風險處理過程的結果和結論，描述與組織的信息安全管理體系相關并適用的控制目標和控制的文件

3術語和定義（續）ISO27001標準詳解培訓資料全文共97頁，當前為第20頁。

殘余風險

實施風險處置后仍舊殘留的風險

風險接受

接受風險的決定。

風險分析

系統地使用信息以識別來源和估計風險。

3術語和定義（續）ISO27001標準詳解培訓資料全文共97頁，當前為第21頁。

風險評估

風險分析和風險評價的全過程。

風險評價

將估計的風險與既定的風險準則進行比較以確定重要風險的過程。

風險管理

指導和控制一個組織關于風險的協調活動。

風險處置

選擇和實施措施以改變風險的過程。

3術語和定義（續）ISO27001標準詳解培訓資料全文共97頁，當前為第22頁。Page234信息安全管理體系4.1總要求

一個組織應在其整體業務活動和所面臨風險的環境下建立、實施、運行、監視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。4.2建立和管理ISMS4.2.1建立ISMS(PLAN)定義ISMS的范圍定義ISMS策略定義系統的風險評估途徑識別風險評估風險識別并評價風險處理措施選擇用于風險處理的控制目標和控制準備適用性聲明（SoA）取得管理層對殘留風險的承認，并授權實施和操作ISMSPDCAISO27001標準詳解培訓資料全文共97頁，當前為第23頁。Page244信息安全管理體系(續)4.2.2實施和運行ISMS(DO)制定風險處理計劃實施風險處理計劃實施所選的控制措施以滿足控制目標實施培訓和意識程序管理操作管理資源（參見5.2）實施能夠激發安全事件檢測和響應的程序和控制PDCAISO27001標準詳解培訓資料全文共97頁，當前為第24頁。Page254信息安全管理體系(續)4.2.3監控和評審ISMS(CHECK)執行監視程序和控制對ISMS的效力進行定期復審復審殘留風險和可接受風險的水平按照預定計劃進行內部ISMS審計定期對ISMS進行管理復審記錄活動和事件可能對ISMS的效力或執行力度造成影響PDCAISO27001標準詳解培訓資料全文共97頁，當前為第25頁。Page264信息安全管理體系(續)4.2.4保持和改進ISMS(ACT)對ISMS實施可識別的改進采取恰當的糾正和預防措施與所有利益伙伴溝通確保改進成果滿足其預期目標PDCAISO27001標準詳解培訓資料全文共97頁，當前為第26頁。Page274信息安全管理體系(續)4.3文件要求總則文件控制記錄控制ISO27001標準所要求建立的ISMS是一個文件化的體系，ISO27001認證第一階段就是進行文件審核，文件是否完整、足夠、有效，都關乎審核的成敗，所以，在整個ISO27001認證項目實施過程中，逐步建立并完善文件體系非常重要。ISO27001標準詳解培訓資料全文共97頁，當前為第27頁。ISMS文件

方針范圍、風險評價 適用性聲明描述過程：who,what,when,where描述任務及具體的活動如何 完成提供符合ISMS條款3.6要求的可感證據第一層次第二層次第三層次第四層次安全手冊程序作業指導書檢查表、表格記錄管理框架與ISO27001條款

4有關的方針ISO27001標準詳解培訓資料全文共97頁，當前為第28頁。Page294信息安全管理體系(續)ISO27001標準要求的ISMS文件體系應該是一個層次化的體系，通常是由四個層次構成的：信息安全手冊：該手冊由信息安全委員會負責制定和修改，是對信息安全管理體系框架的整體描述，以此表明確定范圍內ISMS是按照ISO27001標準要求建立并運行的。信息安全手冊包含各個一級文件。一級文件：全組織范圍內的信息安全方針，以及下屬各個方面的策略方針等。一級文件至少包括（可能不限于此）：信息安全方針風險評估報告適用性聲明（SoA）二級文件：各類程序文件。至少包括（可能不限于此）：風險評估流程 風險管理流程 風險處理計劃 管理評審程序信息設備管理程序 信息安全組織建設規定 新設施管理程序 內部審核程序第三方和外包管理規定 信息資產管理規定 工作環境安全管理規定 介質處理與安全規定系統開發與維護程序 業務連續性管理程序 法律符合性管理規定 信息系統安全審計規定文件及材料控制程序 安全事件處理流程三級文件：具體的作業指導書。描述了某項任務具體的操作步驟和方法，是對各個程序文件所規定的領域內工作的細化。四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表現為記錄表格，應該成為ISMS得以持續運行的有力證據，由各個相關部門自行維護。ISO27001標準詳解培訓資料全文共97頁，當前為第29頁。5.1管理承諾5.2資源管理

5.2.1提供資源

5.2.2培訓、意識和能力

5管理職責ISO27001標準詳解培訓資料全文共97頁，當前為第30頁。

管理者應通過如下所示向ISMS的建立、實施、運作、監管、審核、維持和改進提供承諾的證據：a)建立信息安全方針；b)確保信息安全目標和計劃的建立；c)為信息安全定崗并建立崗位職責；d)向本組織宣傳達到信息安全目標和符合信息安全方針的重要性， 以及本組織的法律責任和持續改進的需求；e)為ISMS的發展、實施、運作和維持提供充足的資源；f)確定接受風險的準則和可接受的風險等級；g)確保ISMS內部審核的實施；h)進行ISMS管理評審。5.1管理承諾ISO27001標準詳解培訓資料全文共97頁，當前為第31頁。

組織應確定并提供以下方面所需資源：

建立、實施、運作和維持ISMS；

確保信息安全程序支持業務需要；

識別和定位法律法規要求和合同安全責任；

通過正確的應用所有的已被實施的控制方法來維持適當的安 全；

必要時進行評審，并對審核結果采取適當的行動；

在有需要的地方改進ISMS的有效性

5.2.1提供資源ISO27001標準詳解培訓資料全文共97頁，當前為第32頁。

確定員工在執行與ISMS相關的工作時所必需具備的能力；提供能力培訓，必要時，聘請專業人士以滿足需要；評價所提供的培訓和采取的行動的有效性；保持教育、培訓、技能、經驗和資格的記錄組織應確保所有相關人員認識其信息安全活動的相關性和重要性，并知道怎樣為實現ISMS的目標做出貢獻

5.2.2培訓、意識和能力ISO27001標準詳解培訓資料全文共97頁，當前為第33頁。

組織應按策劃的時間間隔對ISMS進行內審,以決定ISMS的控制目標、控制行為、過程和程序是否

與本標準的要求和相關法律法規相適應

與已識別信息安全需求相適應

有效地實施和維護

達到預期目標

文件化內審程序、保持內審記錄

6ISMS內部審核ISO27001標準詳解培訓資料全文共97頁，當前為第34頁。

7.1總則

7.2評審輸入

7.3評審輸出

7ISMS的管理評審ISO27001標準詳解培訓資料全文共97頁，當前為第35頁。

定期管理評審，以確保適宜性、充分性和有效性

評審應包括評價ISMS的改進機會和變更需要，包括安全方針和安全目標

評審結果應清楚地寫入文件，保持評審的記錄

7.1總則ISO27001標準詳解培訓資料全文共97頁，當前為第36頁。

ISMS審核和評審的結果；相關方的反饋；在組織中被用于改進ISMS性能和有效性的技術、產品或程序；預防和糾正措施的狀況；以前風險評估中沒有準確定位的薄弱點或威脅；有效性測量的結果；以往管理評審的跟蹤措施；任何可能影響ISMS的變更；改進的建議7.2評審輸入ISO27001標準詳解培訓資料全文共97頁，當前為第37頁。

ISMS有效性的改進信息

風險評估和風險處理計劃的更新

修改影響信息安全的程序，必要時，對可能影響ISMS的內部或外部事件做出反應，變更包括如下：

業務需求安全需求影響現有業務需求的業務過程法律法規環境風險等級或/和可接受風險水平

資源需求

對如何測量控制措施的有效性的改進

7.3評審輸出ISO27001標準詳解培訓資料全文共97頁，當前為第38頁。8.1持續改進8.2糾正措施8.3預防措施

8ISMS的改進ISO27001標準詳解培訓資料全文共97頁，當前為第39頁。

組織應通過信息安全方針、安全目標、審核結果、監督事件的分析、糾正和預防措施以及管理評審來持續改進ISMS的有效性

8.1持續改進ISO27001標準詳解培訓資料全文共97頁，當前為第40頁。

建立文件化的糾正措施程序以滿足如下要求

識別ISMS的實施和/或運行的不合格

確定不合格原因

評價確保不合格不再發生的措施的需求

確定和實施所需的糾正措施

記錄所采取的措施結果

評審所采取的糾正措施

8.2糾正措施ISO27001標準詳解培訓資料全文共97頁，當前為第41頁。

建立文件化的預防措施程序以滿足如下要求：

識別潛在的不合格及其原因

評價預防不符合發生所需的措施

確定和實施所需的預防措施

記錄所采取的措施的結果

評審所采取的預防措施

8.3預防措施ISO27001標準詳解培訓資料全文共97頁，當前為第42頁。

預防

預防是主動的

意圖為防止問題發生

在過程策劃和設計階段 控制

增值

成本更低

更大的顧客信心

所有ISO標準的主要關 注點預防與探測

探測

探測是被動的

意圖為探測發生的問題

在過程輸出階段控制

不增加價值

成本很大

顧客信心有限

需要，但遠不是重點ISO27001標準詳解培訓資料全文共97頁，當前為第43頁。

管理者承諾組織資源關注預防培訓溝通參與系統評審ISMS的有效實施ISO27001標準詳解培訓資料全文共97頁，當前為第44頁。ISO27001:2005控制目標和控制方法附錄：AISO27001標準詳解培訓資料全文共97頁，當前為第45頁。11大控制域信息資產保密性完整性可用性安全方針信息安全組織資產管理

人力資源安全 物理和環境安全通信與操作安全信息安全事件管理

信息系統的獲取 開發和維護

訪問控制業務持續性管理符合性ISO27001標準詳解培訓資料全文共97頁，當前為第46頁。

評審與評價

A.5信息安全方針方針積極預防、全面管理、控制風險、保障安全。目標：根據業務需求和相關法律、法規，為信息安全提供管理指

導和支持。

信息安全方針文件ISO27001標準詳解培訓資料全文共97頁，當前為第47頁。A.6信息安全組織ISO27001標準詳解培訓資料全文共97頁，當前為第48頁。A.6.1內部組織目標：在組織內部管理信息安全。

信息安全的管理承諾

信息安全協調

信息安全職責劃分

信息處理設備的授權過程

保密協議

與權威機構的聯系

與專業的利益團體保持聯系

信息安全的獨立評審

ISO27001標準詳解培訓資料全文共97頁，當前為第49頁。A.6.2外部組織目標：保持被外部組織訪問、處理、通信或管 理的組織信息和信息處理設施的安全。

關于外部組織風險的識別

當與顧客接觸時強調安全

第三方合同中的安全要求

ISO27001標準詳解培訓資料全文共97頁，當前為第50頁。A.7資產管理ISO27001標準詳解培訓資料全文共97頁，當前為第51頁。A.7.1資產責任目標：實現并保持組織資產的適當保護。

資產的清單

資產所有者關系

可接受的資產使用

ISO27001標準詳解培訓資料全文共97頁，當前為第52頁。

分類指南

信息的標識與處理目標：確保信息受到適當程度的保護。限制高度機密秘保密密限制直到2007/1/1

保護標識

A.7.2資產分類與控制ISO27001標準詳解培訓資料全文共97頁，當前為第53頁。A.8人力資源安全ISO27001標準詳解培訓資料全文共97頁，當前為第54頁。目標：確保員工、合同方和第三方用戶明白他們的職責， 適合于他們被賦予的任務，減少因盜竊、欺詐或設施 誤用造成的風險。

任務和職責

人員考察

雇用條款和條件

A.8.1雇傭前ISO27001標準詳解培訓資料全文共97頁，當前為第55頁。A.8.2雇傭期間目標：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，

減少人為錯誤的風險。

管理職責信息安全意識、教育與培訓懲戒程序

ISO27001標準詳解培訓資料全文共97頁，當前為第56頁。A.8.3雇傭的終止或變更目標：確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進行應有合適的職責確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設備及刪除他們的所有訪問權力。

終止職責

資產歸還

撤銷訪問權限

ISO27001標準詳解培訓資料全文共97頁，當前為第57頁。A.9物理與環境安全ISO27001標準詳解培訓資料全文共97頁，當前為第58頁。A.9.1安全區域目標：防止對組織辦公場所和信息的非授權物理 訪問、破壞和干擾。

物理安全邊界

物理進入控制

辦公室、房間和設施的安全

防范外部和環境的威脅

在安全區域工作

公共訪問和裝卸區域

ISO27001標準詳解培訓資料全文共97頁，當前為第59頁。A.9.2設備安全目標：防止資產的丟失、損壞或被盜，以及對組織活動的中斷。

設備的定置和保護

支持性設施

線纜安全

設備維護

場外設備的安全

設備的安全處理或再利用

資產遷移

ISO27001標準詳解培訓資料全文共97頁，當前為第60頁。A.10通信與操作管理ISO27001標準詳解培訓資料全文共97頁，當前為第61頁。A.10.1操作程序及職責目標：確保信息處理設施的正確和安全操作。

文件化的操作程序

變更管理

職責分離

開發、測試和運營設施的 分離

ISO27001標準詳解培訓資料全文共97頁，當前為第62頁。A.10.2第三方服務交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務符合協議要求。

服務交付

監控和評審第三方服務

管理第三方服務的變更

ISO27001標準詳解培訓資料全文共97頁，當前為第63頁。A.10.3系統規劃和驗收目標：最小化系統失效的風險。

容量管理

系統驗收

ISO27001標準詳解培訓資料全文共97頁，當前為第64頁。A.10.4防范惡意代碼和移動代碼目標：保護軟件和信息的完整性。

防范惡意代碼

防范移動代碼

ISO27001標準詳解培訓資料全文共97頁，當前為第65頁。A.10.5備份目標：保持信息和信息處理設施的完整性和可用性。

信息備份ISO27001標準詳解培訓資料全文共97頁，當前為第66頁。

網絡控制

網絡服務的安全

A.10.6網絡安全管理目標：確保網絡中的信息和支持性基礎設施得到保護。ISO27001標準詳解培訓資料全文共97頁，當前為第67頁。A.10.7媒介處置目標：防止對資產的未授權泄漏、修改、移動 或損壞，及對業務活動的干擾。

可移動計算機介質的管理

介質處理

信息處理程序

系統文檔的安全

ISO27001標準詳解培訓資料全文共97頁，當前為第68頁。A.10.8信息交換目標：應保持組織內部或組織與外部 組織之間交換信息和軟件的安全。

信息交換策略和程序

交換協議

物理媒體傳輸

電子信息

業務信息系統

ISO27001標準詳解培訓資料全文共97頁，當前為第69頁。

在線交易

公共可用信息A.10.9電子商務服務

目標：確保電子商務的安全及他們的安全使用。

電子商務ISO27001標準詳解培訓資料全文共97頁，當前為第70頁。A.10.10監控目標：檢測非授權的信息處理活動。

審計日志

監視系統的使用

日志信息保護

管理員和操作者日志

故障記錄

時鐘同步

ISO27001標準詳解培訓資料全文共97頁，當前為第71頁。A.11訪問控制ISO27001標準詳解培訓資料全文共97頁，當前為第72頁。A.11.1訪問控制業務需求

目標：控制對信息的訪問。

訪問控制策略

系統管理員 菜單ISO27001標準詳解培訓資料全文共97頁，當前為第73頁。

用戶注冊

特權管理

用戶口令管理

用戶訪問權限的評審

A.11.2用戶訪問管理你無權訪問 本系統目標：確保授權用戶的訪問，并預防信息系統的非授權訪問。ISO27001標準詳解培訓資料全文共97頁，當前為第74頁。A.11.3用戶責任目標：預防未授權用戶的訪問，信息和信 息處理設施的破壞或被盜。

口令使用

無人值守的用戶設備

清理桌面及清除屏幕 策略ISO27001標準詳解培訓資料全文共97頁，當前為第75頁。A.11.4網絡訪問控制

目標：防止對網絡服務未經授權的訪問。

網絡服務使用策略

外部連接用戶的鑒別

網絡設備的識別

遠程診斷和配置端口保護

網內隔離

網絡連接控制

網絡路由控制

ISO27001標準詳解培訓資料全文共97頁，當前為第76頁。A.11.5操作系統訪問控制目標：防止對操作系統的非授權訪問。

安全登陸程序

用戶標識和鑒別

口令管理系統

系統實用程序的使用

終端時限

連接時間限制

ISO27001標準詳解培訓資料全文共97頁，當前為第77頁。A.11.6應用系統和信息訪問控制目標：防止對應用系統中信息的非授權訪問。

信息訪問限制

敏感系統隔離

ISO27001標準詳解培訓資料全文共97頁，當前為第78頁。A.11.7移動計算與遠程工作目標：確保在使用移動計算和遠程工作設施時信息的安全。

移動計算和通信

遠程工作

ISO27001標準詳解培訓資料全文共97頁，當前為第79頁。A.12信息系統的獲取、開發和維護ISO27001標準詳解培訓資料全文共97頁，當前為第80頁。A.12.2應用系統的正確處理√√√目標：防止應用系統信息的錯誤、丟失、非授 權的修改或誤用。

輸入數據確認

內部處理的控制

消息完整性

輸出數據確認ISO27001標準詳解培訓資料全文共97頁，當前為第81頁。A.12.3加密控制保密信息34dfjon45?P目標：通過加密手段來保護信息的保密性、真 實性或完整性。

使用加密控制的策略

密鑰管理ISO27001標準詳解培訓資料全文共97頁，當前為第82頁。A.12.4系統文檔的安全目標：確保系統文檔的安全。

操作軟件的控制

系統測試數據的保護

源代碼的訪問控制

ISO27001標準詳解培訓資料全文共97頁，當前為第83頁。

變更控制程序操作系統變更后的技術評審軟件包變更限制信息泄漏軟件開發外包A.12.5開發與支持過程中的安全目標：保持應用系統軟件和信息的安全。ISO27001標準詳解培訓資料全文共97頁，當前為第84頁。A.12.6技術漏洞管理目標：