英國原則——BS7799-2:2023

信息安全管理體系

規范與使用指南

目錄

序言

0簡介

0.1總則

0.2過程措施

0.0.3其他管理體系的兼容性

1范圍

1.1概要

1.2應用

2原則參照

3名詞與定義

4信息安全管理體系規定

4.1總則

4.2建立和管理信息安全管理體系

4.2.1建立信息安全管理體系

4.2.2實行和運行（對照中文IS09001確認）？信息安全管理體系

4.2.3監控和評審信息安全管理體系

4.2.4維護和改善信息安全管理體系

4.3文獻化規定

4.3.1總則

4.3.2文獻控制

4.3.3記錄控制

5管理職責

5.1管理承諾？（對照中文IS09001確認）

5.2資源管理

5.2.1資源提供

5.2.2培訓、意識和能力

6信息安全管理體系管理評審

6.1總則

6.2評審輸入？（對照中文IS09001確認）

6.3評審輸出？（對照中文1S9001確認）

7信息安全管理體系改善

7.1持續改善

7.2糾正措施

7.3防止措施

附件A（有關原則的）控制目的和控制措施

A.1簡介

A.2最佳實踐指南

A.3安全方針

A.4組織安全

A.5資產分級和控制

A.6人事安全

A.7實體和環境安全

A.8通信與運行安全

A.9訪問控制

A.10系統開發和維護

A.II業務持續性管理

A.12符合

附件B（情報性的）本原則使用指南

B1概況

模型

計劃與實行

檢查與改善

控制措施小結

B2計劃階段

簡介

信息安全方針

信息安全管理體系范圍

風險識別與評估

B2.5風險處理計劃

B3實行階段

簡介

資源、培訓和意識

風險處理

B4實行階段

簡介

常規檢查

自我監督程序

從其他事件中學習

審核

管理評審

趨勢分析

B5改善階段

簡介

不符合項

糾正和防止措施

原則和BS7799-2

附件C（情報）IS09001:2023、IS014001與BS7799-2：2023條款對照

0簡介

0.\總則

本原則的目的是為管理者和他們H勺員工們提供建立和管理一種有效的信息安全管理體系（信

息安全管理體系）有模型。采用信息安全管理體系應當是一項組織的戰略決策。一種組織信

息安全管理體系H勺設計和實行受運行需求、詳細目的、安全需求、所采用的過程及該組織的

規模和構造的影響。上述原因和他們的支持過程會不停發生變化。但愿簡樸的狀況使用簡樸

的信息安全處理方

案。

本原則能用于內部、外部包括認證組織使用，評估?種組織符合其自身的需要及客戶和法律

的規定口勺能力。

0.2過程措施

本原則鼓勵采用過程的措施建立、實行、和改善組織U勺信息安全管理體系U勺有效性。

為使組織有效動作，必須識別和管理眾多互相關聯的活動。通過使用資源和管理，將輸入轉

化為輸出日勺活動可視為過程。一般，一種過程的輸出直接形成了下一種過程口勺輸入。

組織內諸過程H勺系統時應用，連同這些過程代I識別和互用作用及其通例，課程只為：“過程

措施”。

過程的措施鼓勵使用者強調如卜.方面口勺重要性：

a）a）理解業務動作對信息安全口勺需求和建立信息安全方針和目的的需要；

b）b）在全面管理組織業務風險H勺環境下實行和動作控制措施；

c）c）監控和評審信息安全管理體系的有效性和績效:

d）d）在客觀的測量，持續改善過程。

本原則采用U勺模型就是說眾所周知的“Plan籌劃-D。實廳-Check檢查-Act處置"（PDCA）

模型，合用于所有信息安全管理體系的過程。圖一展示信息安全管理體系怎樣考慮輸入利益

有關方口勺住處安全需求和期望，通過必要的行動措施和過程，產生信息安全成果（即：管理

狀態下的信息安全），滿足那些需要和期望。圖一同步展示了4、5、6和7章中所提出H勺過

程聯絡。

例1

一種需求是信息安全事故不要引起組織日勺財務損失和/或引起高層主管的尷尬。

例2

一種期望可以是假如嚴重的事故發生-如：組織的電子商務網站被黑客入侵一將有被培訓過

的員工通過合用的程序減少其影響。

注：名詞“程序”,從老式來講,用在信息安全面意味著員工工作的過程,而不是計算機或

其他電子概念。

PDCA模型應用與信息安全管理體系過程

計劃PLAN

/4>-As-TC、

有關單位有關單位

>

檢查CHECK

計劃（建立信息安全管理體系）建立與管理風險和改善信息安全有關日勺安全方針、

目

標、目的、過程和程序，以到達與組織整體方針

和

目日勺相適應的成果。

實行（實行和動作信息安全管理體系實行和動作信息安全方針、控制措施、過程和程

序。

檢查（監控和評審信息安全管理體系）針對安全方針、目的和實踐經驗等評審和（假如

合用）

職測量過程的績效并向管理層匯報成果供評審使

用。

改善（維護和改善信息安全管理體系）在管理評審的成果的J基礎上，采用糾正和防止措

施以

持續改善信息安全管理體系。

0.3與其他管理體系原則的兼容性

本原則與IS09001：2023與1SO16949：1996相結合以支持實行和動作安全體系的一致性和

整合。

在附件C中以表格顯示BS7799,ISO14001各部分不一樣條款間H勺對應關系，木原則使組織

可以聯合或整合其信息安全管理體系及有關管理體系的規定。

1范圍

1.1概要

本原則提供在組織整個動作風險的環境下建立、實行、動作、監控、評審、維護和改善一種

文獻化的信息安全管理體系的模型。它規范了對定制實行安全控制措施以適應不一樣組織或

有關部分日勺需求。（附錄B提供使用規范的指南）。

信息安全管理體系保證足夠的和成比例的安全控制措施以充足保護信息資產并給與客戶和

其他利益有關方信心。這將轉化為維護和提高競爭優勢、現金流、羸利能力、法律符合和商

務形象。

/.2應用

本原則規定的所有規定是通用的，意在合用F多種類型、不一樣規模和提供不一樣產品日勺組

織。

當本原則的任何規定因組織及其產品H勺特點而不合用時，可以考慮對其進行刪減。

除非刪減不影響組織日勺能力、和/或責任提供符合由風險評估和合用的法律確定的信息安全

規定，

否則不能聲稱符合本原則，任何可以滿足風險接受原則的刪減必須證明是合法的并需要提供

證據

證明有關風險被負責人員合法地接受。對于條款4,5,6和7的規定日勺刪減不能接受。

2引用原則

IS09001：2023質量管理體系-規定

ISO/IEC17799：2023信息技術一信息安全管理實踐指南

150指南73:2U23風險管理指南-名詞

3名詞和定義

從本英國原則日勺目的出發，如下名詞和定義合用。

3.1可用性

保證被授權H勺使用者需要時可以訪問信息及有關資產。［BSISO/IEC17799：2023］

3.2保密性

保證信息只被授權的人訪問。［BSISO/IEC17799：2023］

3.3信息安全

安全保護信息的保密性、完整性和可用性

3.4信息安全管理體系（信息安全管理體系）

是整個管理體系日勺一部分，建立在運行風險日勺措施上，以建立、實行、動作、監控、

評審、

維護和改善信息安全.

注：管理體系包括組織的架構、方針、籌劃活動、職責、實踐、程序、過程和資源。

3.5完整性

保護信息和處理措施的精確和完整。［BSISO/IEC17799：202引

3.6風險接受

接受一種風險的決定［ISOGuide73］

3.7風險分析

系統地使用信息識別來源和估計風險［ISOGuide73］

3.8風險評估

風險分析和風險評價U勺整個過程［ISOGuide73］

3.9風險評價

把估計風險與給出的風險原則相比較，確定風險嚴重性的過程。[ISOGuide73]

3.10風險管理

指導和控制組織風險R勺聯合行動

3.U風險處理

選擇和實行措施以更改風險的處理過程[ISOGuide73]

3.12合用性申明

描述合用于組織的信息安全管理體系范圍的控制目H勺和控制措施。這些控制目的和控

制措施是建立在風險評估和處理過程H勺結論和成果基礎上。

4.信息安全管理體系規定

4.1,總規定

組織應在整體業務活動和風險的環境下建立、實行、維護和持續改善文獻化的信息安全管理

體系。

為滿足該原則的目口勺，使用的過程建立在圖一所示的PDCA模型基礎上。

4.2建立和管理信息安全管理體系

4.2.1建立信息安全管理體系

組織應：

a)a)應用業務的性質、組織、其方位、資產和技術確定信息安全管理體系的

范圍.

b)b)應用叁?織的業務性質、組織、方位、資產和技術確定信息安全管理體系

的方針,

方針應：

1)I)包括為其目的建立一種框架并為信息安全活動建立整體的方向和原

則。

2)2)考慮業務及法律或法規的規定，及協議H勺安全義務。

3)3)建立組織戰略和風險管理的環境，在這種環境下，建立和維護信息

安全管理體系。

4)4)建立風險評價的原則和風險評估定義日勺構造。

5)5)經管理層同意

c)C)確定風險評估的系統化的措施

識別合用于信息安全管理體系及己識別的信息安全、法律和法規的規定口勺風

險評估

H勺措施。為信息安全管理體系建立方針和目H勺以減少風險至可接受H勺水平。

確定接受風險的原則和識別可接受風險"勺水平[見5.If]

d)d)確定風險：

I)I)在信息安全管理體系的范圍內，識別資產及其負資人

2)2)識別對這些資產H勺威脅

3)3)識別也許被威脅運用的脆弱性

4)4)引資產失去保密性、完整性和可用性的J影響

e)e)評價風險

1)I)評估由于安全故障帶來H勺業務損害，要考慮資產失去保密性、完整

性和可用性的潛在后果；

2)2)評估與這些資產有關H勺重要威脅、脆弱點和影響導致此類事故發生

日勺現實的也許性和現存日勺控制措施：

3)3)估計風險等級

4)4)確定簡介風險或使用在c中建立的原則進行衡量確定需要處理：

f)f)識別和評價供處理風險的可選措施：

也許口勺行動包括：

1)1)應用合適的控制措施

2）2）懂得并有目口勺地接受風險，同步這些措施能清晰地滿足組織方針和

接受風險的原則

3）3）防止風險;

4）4）轉移有關業務風險到其他方面如：保險業，供應商等。

g）g）選擇控制目的和控制措施處理風險：

應從本原則附件A中列出的控制目的和控制措施，選擇應當根據風險評估和

風險處理過程的成果調整。

注意：附件A中列出及|控制目的和控制措施，作為本原則的J一部分，并不是所有的控制目

附和措施，組織也許選擇另加的控制措施。

h）h）準備一份合用性申明。從上面（g）選擇的控制目II勺和控制措施以及被選

擇日勺原因應在合用性申明中文獻化。從附件A中剪裁日勺控制措施也應加以記

錄；

i）i＞提議的殘存風險應獲得管理層同意并受權實行和動作信息安全管理體系。

4.2.2實行和運作信息安全管理體系

組織應：

a）a）識別合適日勺管理行動和確定管理信息安全風險日勺優先次序（即：風險處

理計劃）

-［見條款5］；

b）b）實行風險處理計劃以到達識別口勺控制目的，包括對資金的考慮和貫徹安

全角色和光

任。

c）c）實行在（g）選擇的控制Fl的和措施

d）d）培訓和意識［見5.2.2］;

e）e）管理動作過程；

f）f）管理資源［見5.2］；

g）g）實行程序和其他有能力隨時探測和回應安全事故的控制措施。

4.2.3監控和評審信息安全管理體系

組織應：

a）a）執行監控程序和其他控制措施，以：

1）I）實時探測處理成果中的錯誤；

2）2）及時識別失敗和成功的安全破壞和事故；

3）3）可以使管理層確定分派給員工的或通過信息技術實行的安全活動與

否到達了預期口勺目於J;

4）4）確定處理安全破壞的行動與否反應了運行的優先級。

b）b）進行常規的信息安全管理體系有效性］勺評審（包括符合安全方針和目的,

及安全控制措施的評審）考慮安全評審的成果、事故、來自所有利益有關方

H勺提議和反饋；

c）c）評審殘存風險和可接受風險的水平，考慮如下方面的變化：

1）1）組織

2）2）技術

3）3）業務目的和過程

4）4）識別威脅

5）5）外部事件，如：法律、法規的環境發生變化或社會環境發生變化。

d）d）在計劃的時間段內實行內部信息安全管理體系審核。

e）e）常常進行信息安全管理體系管理評審（至少每年評審一次）以保證信息

安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改善措施

己被識別（見條款6信息安全管理體系的管理評審）；

f）f）記錄所采用的行動和可以影響信息安全管理體系的有效性或績效性的事

件［見4.3.4］。

4.2,4維護和改善信息安全管理體系

組織應常常：

a)a)實行已識別的對于信息安全管理體系U勺改善措施

b)b)采用合適的糾正和防止措施應用從其他組織H勺安全經驗和組織內學到

口勺知識。

c)c)溝通成果和行動并得到所有參與H勺有關方的同意。

d)d)保證改善行動到達了預期的目的。

4.3文獻規定

4.3.1總則

信息安全管理體系文獻應包括：

a)a)文獻化的安全方針文獻和控制目的；

b)b)信息安全管理體系范圍［見421］和程序及支持信息安全管理體系日勺控

制措施

c)c)風險評估匯報［見4.2.1］;

d)d)風險處理計劃；

e)e)組織需要日勺文獻化日勺程序以保證存有效地計劃運行和對信息安全過程

口勺控制［見6.1］

f)f)本原則規定的記錄［見4.3.4］;

g)g)合用性申明

注1：當本原則中出現“文獻化的程序”，這意味著建立、文獻化、實行和維護該程序,

注九SeelS09001

注3：文獻和記錄可以用多形式和不一樣媒體。

4.3.2文獻控制

信息安全管理體系所規定的文獻應予以保護和控制。應編制文獻化歐I程序，以規定如下方面

所需的控制:

a)a)文獻公布前得到同意，以保證文獻R勺充足性;

b)b)必要時對文獻進行評審與更新，并再次同意;

c)c)保證文獻的更改和現行修訂狀態得到識別；

d)d)保證在使用處可獲得合用文獻夾的I有關版本；

e)e)保證文獻夾保持清晰、易于識別；

f)f)保證外來文獻H勺發放在控制狀態下；

g)g)保證文獻的發放在控制狀態下；

h)h)防止作廢文獻日勺非預期使用；

i)i)若因任何原因而保留作廢文獻時，對這些文獻進行合適的標識。

4.3.3記錄控制

應建立并保持記錄，以提供符合規定和信息安全管理體系的有效運行U勺證據。記錄應當被控

制。

信息安全管理體系應考慮任何有關日勺法律規定。記錄應保持清晰、易于識別和檢索。應編制

形成文獻口勺程序，以規定記錄的標識、儲存、保護、檢索、保留期限和處置所需H勺控制。需

要一種管理過程確定記錄的程度。

應保留4.2概要的J過程績效記錄和所有與信息安全管理體系有關的安全事故發生日勺記錄。

舉例

記錄的例子如：訪問者的簽名簿，審核記錄和授權訪問記錄。

5管理職責

5.1管理承諾

管理層應提供其承諾建立、實行、運行、監控、評審、維護和改善信息安全管理體系

的證據，包括：

a)a)建立信息安全方針；

b)b)保證建立信息安全目的和計劃；

c)為信息安全確立職位和責任:

d)d)向組織傳達到達信息安全目的和符合信息安全方針的重要性、在法律條件

下組織的責任及持續改善的需要。

e)e)提供足夠的資源以開發、實行，運行和維護信息安全管理體系［見521］;

f)f)確定可接受風險的水平；

g)g)進行信息安全管理體系口勺評審［見條款6］。

5.2資源管理

5.2.1提供資源

組織將確定和提供所需的資源，以：

a)a)建立、實行、運行和維護信息安全管理體系；

b)b)保證信息安全程序支持業務規定；

c)c)識別和強調法律和法規規定及協議的安全義務：

d)d)對的地應用所有實行的控制措施維護足夠的安全；

e)e)必要時，進行評審，并合適回應這些評審的成果；

f)f)需要時，改善信息安全管理體系的有效性。

5.2.2培訓，意識和能力

組織應保證所有被分派信息安全管理體系職責的人員具有能力履行指派的任務。組織應:

a)a)確定從事影響信息安全管理體系日勺人員所必要H勺能力；

b)b)提供能力培訓和必要時，聘任有能力的人員滿足這些需求；

c)c)評價提供日勺培訓和所采用行動H勺有效性；

d)d)保持教育、培訓、技能、經驗和資格的記錄［見433］

組織應保證所有有關的人員懂得他們信息安全活動H勺合適性和重要性以及他們的奉獻怎樣

到達信息安全管理目的.

6信息安全管理體系的管理評審

6.1總則

管理層應按籌劃的時間間隔評審組織的信息安全管理體系，以保證其持續的合適性、充足性

和有效性。評審應包括評價信息安全管理體系改善的機會和變更的需要，包括安全方針和安

全目叢J。評審的成果應清晰地文獻化，應保持管理評審的記錄I見4.3.3]

6.2評審輸入

管理評審口勺輸入應包括如下方面H勺信息：

a)a)信息安全管理體系審核和評審的成果；

b)b)有關方的反饋；

c)c)可以用于組織改善其信息安全管理體系績效和有效性的技術，產品或程序；

d)d)防止和糾正措施的狀況；

e)e)此前風險評估沒有足夠強調的脆弱性或威脅；

f)f)以往管理評審的跟蹤措施；

g)g)任何也許影響信息安全管理體系的J變更；

h)h)改善H勺提議。

6.3評審輸出

管理評審的J輸出應包括如下方面有關的任何決定和措施：

a)a)對信息安全管理體系有效性的改善；

b)b)修改影響信息安全H勺程序，必要時，I可應內部或外部也許影響信息安全管理體系的

事件，包括如下的變更：

1)1)業務規定；

2)2)安全規定：

3)3)業務過程影響現存H勺業務規定；

4)4)法規或法律環境；

5)5)風險的等級和/或可接受風險的水平；

c)c)資源需求。

6.4內部信息安全管理體系審核

組織應按籌劃的時間間隔進行內部信息安全管理體系審核，以確定信息安全管理體系代控制

目的、控制措施、過程和程序與否：

a）a）符合本原則和有關法律法規的規定；

b）b）符合識別的信息安全的規定；

c）c）被有效地實行和純護；

d）d）到達預想的績效。

任何審核活動應籌劃，籌劃應考慮過程的狀況和重要性，審核的范圍以及前次審核的成果。

應確定審核的原則，范圍，頻次和措施。選擇審核員及進行審核應確認審核過程的客觀和公

正。審核員不應審核他們自己的工作。

應在一種文獻化U勺程序中確定籌劃和實行審核,匯報成果和維護記錄［見4.3.3］的責任及規定.

負責被審核區域日勺管理者應保證沒有延遲地采用措施減少被發現日勺不符合及引起不合格的

原因。

改善措施應包括驗證采用的措施和匯報驗證的成果［見條款7］。

7信息安全管理體系改善

7.1持續改善

組織應通過使用安全方針、安全目口勺、審核成果、對監挖事件的分析、糾正和防止措施和管

理評審的信息持續改善信息安全管理體系的有效性。

7.2糾正措施

組織應確定措施，以消除與實行和運行信息安全管理體系有關的不合格H勺原因，防止不合格

的再發生.應為糾正措施編制形成文獻日勺程序，確定如下日勺規定：

a）a）識別實行或運行信息安全管理體系中的不合格；

b）b）確定不合格的原因；

c）c）評價保證不合格大再發生日勺措施的需求；

d）d）確定和實行所需的糾正措施；

c）記錄所采用措施D勺成果［見4.3.3］,

f)f)評審所采用的糾正措施。

7.3防止措施

組織應針對潛在H勺不合格確定措施以防I上其發生。防止措施應于潛在問題H勺影響程序適應。

應為防止措施編制形成文獻的程序，以規定如下方面口勺規定：

a)a)識別潛在的不合格及引起不合格的原因；

b)b)確定和實行所需的防止措施；

c)c)記錄所采用措施的成果［見433］：

d)d)評價所采用的防止措施；

糾正措施的優先權應以風險評估H勺成果為基礎確定。

注：防止不合格的措施總是比糾正措施更節省成本。

附錄A（引用）

控制目U勺和控制措施

A.1簡介

從A.3到A.12列出的控制目的和控制措施是直接引用/與BSISO/IEC17799:2023條款3

到12一致。一表中的清單并不徹底，一種組織也許考慮此外必要U勺控制R的和控制措施。

在這些表中選擇控制目的和控制措施是條款規定日勺信息安全管理體系過程日勺?部分。

A.2實踐指南規范

BSISO/IEC17799：2023條款3至12提供最佳實踐W、J實行提議和指南以支持A.3到A.12規

范的控制措施。

A.3安全方針

BSISO/IEC

17799:2023編號

信息安全方針3.1

控制H的：提供管理方向和支持信息安全

控制措施

信息安全方針文獻管埋層應提供一份方針萬件，出版并在合

適時，溝通給所有員工。

評審和評價應常常評審方針文獻，尤其在發生決定性

的變化時，保證方針的合適性

A.4組織安全

BSISO/IEC

17799:2023編

號

信息安全基礎設施4.1

控制目口勺：在組織中管理信息安全

控制措施

信息安全管理委員信息安全管理委員會保證明確口勺目U勺和

會管理層對啟動安全管理可見的支持。管

理委員會應通過合適的承諾和充足H勺資

源推廣安全

信息安全協作在大的組織中，應使用一種由從各組織

有關單位日勺管理者代表構成的跨功能的1

委員會，協作實行信息安全控制措施。

貫徹信息安全責任應明確定保護每種資產和負責特定安全

過程的責任

對信息處理設施的應建立對于新口勺信息處理設施的管理授

授權過程權過程

專家信息安全提議應從內部或外部搜集專家日勺信息安全提

議并在組織內部實行協作

組織間的1合作應與執法機關、主管機關、信息服務提供者，

及通信業者維持合適的接觸

獨立的信息安全應對信息安全方針的實行進行獨立的審查

審查

第三方訪問的安全4.2

控制目日勺：維護組織的信息處理設施及信息資產被第三方訪問時的安全

控制措施

確認第三方訪問應對第三方訪問組織的信息處理設施所帶

的風險來的風險進行評估,并實行合適日勺安全控制

與第三方合約中波及第三方訪問組織的信息處理設施的安

的安全規定排，應以包括必要的安全規定在內的正式合

約為基礎。

外包4.3

控制目的：當信息處理的責任委托其他組織時，應維護信息的安全

外包合約中『、J安當組織將所有或部分的信息系統、網絡，及

全規定、/或桌面計算機環境的管理及控制外包時，

在雙方同意的合約中應教明安全的規定。

A.5資產分類與控制

BSISO/TEC

17799:2023編號

資產的保管責任5.1

控制目的:維持對于組織的資產的適切保護

控制措施

資產的清單應列出并維護一份與每個信息系統有關

日勺所有重要資產口勺清單

信息分類

控制目的1:保證信息資產受到合適程度的保護

控制措施

分類原則信息的分類及有關口勺保護控制，應適合于

企業運行對于信息分享或限制口勺需要，以

及這些需要對企業運行所帶來口勺沖擊

信息的標識及處應制定信息標識及處理的程序，以符合組

理織所采行的分類法則

A.6人事安全

BSISO/IEC

17799:2023編

號

工作闡明及人力資源的安全6.1

控制目的：減少因人員錯誤、盜竊、詐欺或不妥使用設施所導致1臺風險

控制措施

將安全需求到入組織在信息安全方針中所規定的安全職責

工作職責中及責任，應適度地書面化于工作職責闡明

書中

人員篩審及政策應在招聘員工時執行正式員工的驗證查核

保密合約員工應簽訂保密協議作為其啟始聘任協議

的一部分

聘任協議聘任協議中的應陳說員工對信息安全日勺責

任

使用者培訓6.2

控制H11勺：保證員工理解信息安全11勺威脅及考慮，并且具有在其平常工作

過程中支持組織FI勺信息安全方針的能力

控制措施

信息安全的教育組織的所有員工以及有關H勺第三方使用

與培訓者，對于組織方針及程序應接受合適、定

期更新的訓練

安全及失效事件的響應6.3

控制目的：將安全及失效事件所導致H勺損害降到最小，并監督此類事件，

從中學習

安全事故匯報安全事件應在事件被發現之后盡快由合適

的管理途徑進行通報

安全弱點的匯報應規定信息服務的使用者記下并匯報任何

觀測到日勺或可疑的有關系統或服務方面日勺

安全弱點或威脅

軟件失效事件H勺應建立匯報軟件失效事彳匕口勺有關程序

匯報

從事件中學習應有合適機制1內以量化與監督安全事故及

失效事件的種類、數量、及成本

懲處的流程員工違反組織安全方針及程序，應由正式

的懲處流程來處理

A.7實體及環境安全

BSISO/IEC

17799:2023編號

安全區域7.1

控制目H勺：防止對企業運行所在地及信息未經授權的進入，訪問，破壞

及干擾

控制措施

實體安全邊界組織應有安全的邊界以保護包括信息處

理設施的區域

實體進出控制安全區域應有合適H勺進出控制加以保護，

以保證只有經授權口勺人員可以進出

應劃定安全區域，以保護具有特殊安全需

求的辦公處所及設備

應對在安全區域中進行的作業有額外的

控制措施及指導原則以加強安全區域U勺

安全

遞送及裝載區域應加以控制，如有也許應

與信息處理設施隔離，以防止未經授權的

訪問

設備安全7.2

控制H11勺：防止資產遺產、破壞或損失和防止企業運行活動遭受干擾

控制措施

設備H勺安頓及保應妥善安頓及保護設備，以減少來自環境

護的威脅與危險所導致的風險以及未經授

權的訪問

電源供應應保護設備免于電力失效及其他電力異

常的影響

電纜傳播安全傳播資料或支持信息服芬打勺電力及通訊

電纜，應予以保護免于被攔截或破壞

設備維護設備應進行對的維護，以保證其持續口勺可

用性及完整性

組織以外日勺設備任何在組織所在地以外使用的信息處理

安全設備應規定管理層授權

設備報廢或再運設備在報廢或再運用前，應清除在設備中

用的安全防護的信息

一般控制7.3

控制目的：防止信息及信息處理設備的損毀或失竊

控制措施

辦公桌面凈空及組織應具有辦公桌面凈空及計算機屏幕

計算機屏幕畫面畫面凈空的政策，以減少因信息被未經授

凈空方略權訪問、遺失及損害所導致的風險

資產R勺移出未經授權不得移出組織所擁有的設備、信

息及軟件

A.8通訊與操作管理

BSISO/IEC

17799:2023編號

操作員日志作業人員應維持一份記錄其作業活動11勺工作

日。操作日志應受到常常性的，獨立的審查。

錯誤事件登錄應通報錯誤并采用改正行動

網絡管理8.5

控制目口勺：保證網絡中信息的安全性以及保護支持性日勺基礎設施

控制措施

網絡控制應實行一系列H勺控制措施以到達并維護網絡

的安全

存儲媒體的處理與安全

控制目的：防止資產遭受損害以及企業營運活動遭受干擾

控制措施

可移動式計算機存對于可移動式計算機儲存媒體例如磁帶、磁

儲媒體的管理盤以及打印出來依J匯報的管理應回以控制

存儲媒體時報廢不再需要口勺儲存媒體，應可靠并安全地處置

信息的處理程序應建立信息H勺處理及儲存程序，以保護信息

不被未經授權的泄漏或不妥使用

系統文獻的安全應保護系統文獻以防未經授權日勺訪問

信息及軟件的互換8.7

控制目的：防止在組織間互換的信息遭受遺失、修改及不妥使用

控制措施

信息及軟件互換協以電子化或人工方式在組織間互換信息及軟

議件時，應簽訂協議，其中有些也許是正式的J

協議書

存儲媒體的運送安運送存儲媒體時應保護其不遭受未經授權的

全泄漏、不妥使用或毀玩

電子商務安全應保護電子商務免于詐欺行為、合約爭議以

及信息被泄漏及修改

電子郵件的J安全應開發一份電子郵件時使用方略，并應有減

少電子郵件所導致的安全風險日勺合適控制措

施

電子化辦公室系統為控制電子化辦公室系統所帶來的業務與安

H勺安全全風險，各項政策與指導原則應加以確定并

實行

開放的1公用系統信息在成為公眾可取用前應有正式的授權過

程，應保護此類信息的完整性以防止未經授

權的修改

其他形式的信息互應有合適的方略、程序及控制措施來保護經

換由、語音及影像等通訊設施進行的信息互

換

A.9訪問控制

BSISO/IEC

17799:2023編號

企業營運對訪問控制的規定9.1

控制目的：控制對于信息的訪問

控制措施

訪問控制方略企業營運對?訪問控制的規定應加以界定并

文獻化，對于信息的訪問應如訪問控制政策

中所界定的加以限制

使用者訪問管理9.2

控制目H勺：保證訪問信息系統U勺權限被合適地授權、貫徹和維護

控制措施

使用者注冊應有正式口勺使用者注冊及注銷的程序，以進行

所有的多人使用信息系統及服務的訪問授權

特殊權限的管理對于特殊權限的分派及使用，應加以限制及控

制

使用者密碼管理對密碼口勺分派，應通過正式的管理流程加以控

制

使用者訪問權限管理層應定期執行正式審杳過程對于使用者口勺

的審查訪問權限實行評審

A..9.3使用者責任9.3

控制目m1：防止未經授權的使用者訪問

控制措施

密碼的1使用應規定使用者在選擇及使用密碼時，遵照良

好的安全通例

無人看守的使用者應規定使用者保證無人看守的使用者設備

設備有合適的1保護

網絡訪問控制9.4

控制目應保護網絡化的服務

控制措施

使用網絡服務的政使用者應僅能直接訪問已獲得尤其授權使

策用的服務

強制性的途徑由使用者的終端機至計算機服務器羊的途

徑應加以控制

外部聯機的使用者應對遠程使用者的訪問進行使用者認證

認證

節點認證到遠程計算機系統的聯機應被認證

遠程診斷端口的保對于診斷斷口的訪問應可靠地加以控制

護

網絡的隔離應引起可在網絡中以群組方式隔離信息服

務、使用者及信息系統的控制措施

網絡聯機的控制在分享式的網絡中，使用者的聯機能力應根

據訪問控制方略加以限制

網絡路由的控制在分享式的網絡中，應有路由控制措施以保

證計算機聯機及信息流不違反所制定的企

業營運應用軟件的訪問控制政策

A.9（繼續）

BSISO/IEC

17799:2023編號

網絡服務的安全對于組織使用網絡服務業者提供的所有網

絡服務的安全特性，應提供清晰口勺闡明

操作系統訪問控制9.5

控制目的:防止未經授權的計算機訪問

控制措施

自動化的終端機應使用自動化的終端機識別，以認證連接到

識別特定場所及可移動式設備的聯機

終端機聯機程序訪問信息服務應有安全的聯機流程

使用者識別及認所有使用者應有唯一的識別碼（使用者代

證號）專供其個人的使用，以便各項活動可以

追溯至應負責的個人.使用一種合適的認證

技術以真實地識別使用者時身份

口令字管理系統密碼管理系統應提供有效的、交互式的設

施以保證使用優質H勺密碼

系統工具的使用系統工具的使用應加以限制并嚴格控制

提供受脅迫警報對于也許成為他人脅迫的目的的使用者,

以保護使用者應提供脅迫警報

終端機逾時終止在高風險場所或為高風險系統服務終端

機，在進入休止狀態到達規定的一段時間

后，應加以關閉以防止未經授權口勺人進行

訪問

聯機時間的限制應使用聯機時間口勺限制，以提供高風險的

應用程序額外口勺安全

應用程序訪問控制9.6

控制日防止對于保持在信息系統中的信息進行未經授權的訪問

控制措施

信息訪問限制對于信息及應有系統的功能口勺訪問應根據

訪問控制方略加以限制

機密性系統的隔具機密性質的系統應有專屬U勺〈隔離的〉

離運算環境

系統訪問及使用的監控9.7

控制HU勺：偵探未經授權的活動

控制措施

事件登錄應產生記載著異常狀況及其他安全有關事

件的審核日志，并保留一定H勺期間以協助

未來的調查及訪問控制的監控

系統使用的監控應建立監控信息設施使用狀況的程序，并

且應定期對監活動H勺成果進行審查

定期器同步計算機的定期器應同步以要能精確地記錄

A.9（繼紐

BSISO/IEC

17799:2023編號

可移動式計算機運算及計算機通訊遠距工作9.8

控制目的：保證使用可移動式計算機運算及計算機通訊遠距工作的設施

的信息安全

控制措施

可移動式計算機應有合適的正式政策并且采用合適日勺控制

運算措施，以防備使用可移動式計算機遠算設

施進行工作時所導致的風險，尤其是在未

被保護的環境中工作時

計算機通訊遠范應開發方略、程序和原則以便授權及控制

工作計算機通訊遠距工作的活動

A.10系統開發及維護

BSISO/IEC

17799:2023編號

系統的安全規定10.1

控制目日勺：保證安全機制建于信息系統之中

控制措施

安全規定的1分析對于使用新系統或改善既有系統肢1企業營

及原則運規定，應將對控制措施的規定制定于其

中

應用系統中歐J安全10.2

控制目口勺：防止應用系統中的使用者資料遺失、修改及不妥使用

控制措施

輸入資料的驗證輸入應用系統的資料應加以驗證，以保證

資料是對口勺且合適的I

內部處理控制驗證的檢查應成為系統的一部份，以偵測

出所處理的資料與否損毀

消息日勺認證當有保護消息內容完整性的I安全規定期，

應針對應用程序進行消息的認證

輸出資料的驗證從應用系統輸出的資料應加以臉證，以保

證對所儲存的資料日勺處理流程是對口勺的，

且就其狀況而言是合適的

密碼學的控制措施10.3

控制目的：保護信息的機密性、真實性或完整性

控制措施

運用密碼學控制應發展且遵照以密碼學控制措施來到達保

措施時的政策護信息目的政策

資料加密應使用資料加密，以保護機密或關鍵信息

的機密性

數字簽章應使用不可否認性"勺服務，以處理某事件

或行動與否有發生的爭議

不可否認性的服應使用既定的原則、程序及措施為基礎的

務密鑰管理系統以支持密碼學技術H勺運用

密鑰管理

A.10（繼續）

BSISO/IEC

17799:2023編號

系統檔案的安全10.4

控制目的1：保證信息科技的項目及支持特性活動以安全H勺方式來進行

控制措施

控制執行軟件應建立程序控制操作系統上的軟件執行

系統測試資料的測試資料應加以保護及控制

保護

原始鏈接庫的訪對于原始鏈接庫的訪問維步嚴格日勺控制

向控制

開發及支持流程中的安全10.5

控制目的：維護應用系統的軟件及信息的安全

控制措施

變更控制的程序應使用正式的變更控制程序嚴格地控制變

更的實行，以將信息系統的損毀降至最小

操作系統變更的當發生變更時.，應對應用系統進行審