《信息技术 网络安全与隐私保护 信息安全控制ISO27002-2022.docx》由会员分享,可在线阅读,更多相关《信息技术 网络安全与隐私保护 信息安全控制ISO27002-2022.docx(103页珍藏版)》请在三一办公上搜索。
1、ISO/IECJTClSC27信息技术网络安全与隐私保护信息安全控制ISO/IEC27002:2022前言IS0(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门系统。属于ISo或IEC的国家机构通过各自组织成立的技术委员会参与国际标准的制定,以处理特定的技术活动领域。ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他与ISo和IEC联络的政府和非政府国际组织也参加了这项工作。在信息技术领域,ISo和IEC建立了联合技术委员会ISO/IECJTCloISO/IEC指令第1部分中描述了用于开发本文档的过程以及打算进一步维护的过程。特别是,应注意不同类型文档所需的不同批准标准
2、。本文档是根据ISO/IEC指令第2部分的编辑规则起草的(请参见wwwiso.org/directives)。请注意,本文档的某些内容可能是专利权的主题。ISO和IEC对识别任何或所有此类专利权概不负责。在文档开发过程中确定的任何专利权的详细信息将在“简介”和/或ISO收到的专利声明清单中(请参见www.iso.org/patents)o本文档中使用的任何产品名称都是为了方便用户而提供的信息,并不构成对本产品的认可。有关标准的自愿性质的解释,与合格评定有关的ISO特定术语和表达的含义,以及有关ISo遵守技术性贸易壁垒(TBT)中的世界贸易组织(WTO)原则的信息,请参见www.iso.orgi
3、soforeword,htmlo本文档由ISO/IECJTCl技术委员会,信息技术,SC27小组,信息安全,网络安全和隐私保护委员会编写。第三版取消并替代了经过技术修订的第二版(ISO/IEC27002:2013+Corr1:2014+Corr2:2015)o与上一版本相比的主要变化如下:“实务守则,一词已从本文件的标题中删除,以更好地反映其作为一套信息安全控制参考的目的。这不是目的的改变。ISO/IEC27002的意图一直是帮助组织确保不忽视任何必要的控制。无论本文档的预期用途如何,此目的都是相同的(见第1条)。尽管有这一声明,但对个别控制的指导是基于国际公认的最佳做法。作为参考集的目的是通
4、过确保全面涵盖可以描述信息安全控制的各种方式来实现的。根据设计,这会导致0.3中提到的重叠和重复。因此,文档的限制已更改,使用简单的分类和关联的属性显示控件。一些控件已合并,一些已删除,并引入了几个新控件。完整的信息可在附件A、附件B中找到。有关本文档的任何反馈或问题应直接提交给用户的国家标准机构。这些机构的完整清单可在以下网址查阅:www.iso.org/members.htmlo介绍0.1背景和环境本文档适用于各种类型和规模的组织,可以用作确定和实施基于ISO/IEC27001的信息安全管理系统(ISMS)中信息安全风险处理控制的参考。组织确定和实施公认的信息安全控制措施的指导文件。考虑到
5、其特定的信息安全风险环境,本文档还打算用于开发行业和特定于组织的信息安全管理指南。可以通过风险评估来确定除本文档中所包含的组织或环境以外的组织特定控制措施以修改风险。各种类型和规模的组织(包括公共和私营部门,商业和非营利组织)以多种形式创建,收集,处理,存储,传输和处置信息,包括电子形式,物理形式和口头表达(例如对话和演示)。信息的价值超越了文字,数字和图像:知识,概念,思想和品牌是无形信息形式的示例。在相互联系的世界中,信息和其他关联资产(如其他重要的商业利益)应受到保护或要求保护免受各种自然,偶然或故意的风险来源的侵害。0.2信息安全需求组织确定其安全性要求至关重要。安全性要求有三个主要来
6、源:a)评估组织的风险,并考虑组织的整体业务战略和目标。可以通过信息安全特定的风险评估来促进或支持这一点。这应导致确定必要的控制措施,以确保组织的剩余风险满足其风险接受标准;b)组织及其利益相关方(交易伙伴,服务提供商等)必须遵守的法律,法规,规范和合同要求及其社会文化环境;c)组织为支持其运营而开发的信息生命周期的所有步骤的一组原则,目标和业务要求。注:ISO/IEC27005提供了信息安全风险管理指南,包括有关风险评估,风险处理,风险接受,风险沟通,风险监控和风险审查的建议。0.3控制控制定义为修改或维持风险的措施。文档中的某些控制是修改风险的控制,而其他控制则负责风险。例如,信息安全策略
7、只能维护风险,而遵守信息安全策略则可以修改风险。此外,一些控制措施在不同的风险情况下描述了相同的通用措施。本文档提供了组织,人员,物理和技术信息安全控制的通用组合,这些控制源自国际公认的最佳实践。0.4确定控制确定控制取决于风险评估后的组织决策,并具有明确定义的范围。与己识别风险相关的决策应基于组织应用的风险接受标准、风险处理方案和风险管理方法。控制措施的确定也应遵守所有相关的国家和国际法律法规。控制确定还取决于控制相互交互以提供纵深防御的方式。组织可以根据需要设计控制或从任何来源识别它们。在指定此类控制时.,组织应考虑实施和操作控制所实现的业务价值所需的资源和投资。参见ISO/IEC2701
8、6以进一步了解这方面的内容。组织可以根据需要设计控制或从任何来源识别它们。在指定此类控制时,组织应考虑实施和操作控制所实现的业务价值所需的资源和投资。参见ISO/IEC27016以进一步了解这方面的内容。在为实施控制而部署的资源与在没有这些控制的情况下安全事件可能导致的业务损害之间应保持平衡。风险评估的结果应有助于指导和确定适当的管理行动、管理信息安全风险的优先级以及实施确定的必要控制以防范这些风险。本文档中的一些控制可被视为信息安全管理的指导原则,适用于大多数组织。有关确定控制和其他风险处理选项的更多信息,请参见ISO/IEC27005o0.5开发自己的指南该文件可被视为制定组织特定指南的起
9、点。本文档中的所有控制和指导可能并不适用于所有组织。还可能需要本文档中未包含的其他控制和指南来解决组织的特定需求和己识别的风险。当制定包含附加指南或控制的文档时,在本文档中包含对条款的交叉引用以供将来参考会很有用。0.6生命周期注意事项信息有一个自然的生命周期,从创建到处理。信息的价值和风险在其生命周期中可能会有所不同(例如,未经授权的披露或公司财务账户的盗窃在发布后并不重要,但完整性仍然至关重要),因此信息安全对于所有阶段的现存人来说仍然很重要。与信息安全相关的信息系统和其他资产具有生命周期,在这些生命周期内,它们被构思、指定、设计、开发、测试、实施、使用、维护并最终退出服务和处置。在每个阶
10、段都应考虑信息安全。新系统开发项目和对现有系统的更改提供了改进安全控制的机会,同时考虑到组织的风险和从事件中吸取的教训。0.7相关标准虽然本文档提供了广泛应用于许多不同组织的信息安全控制的指南,但IS0/IEC27000系列中的其他文档对管理信息安全的整个过程的其他方面提供了补充建议或要求。有关ISMS和文档系列的一般介绍,请参阅IS0/IEC27000。IS0/IEC27000提供了一个词汇表,定义了整个IS0/IEC27000文档系列中使用的大部分术语,并描述了该系列每个成员的范围和目标。IS0/IEC27002行业特定标准具有额外的控制措施,旨在解决特定领域,例如。针对云服务的IS0/I
11、EC27017、针对隐私的ISO/IEC2770E针对能源的ISO/IEC27019针对电信组织的ISO/IEC27011和针对健康的ISO/IEC27799。此类标准包含在参考书目中,其中一些在第5-8条的指南和其他信息部分中引用。1范围本文档提供了一组通用信息安全控制参考,包括实施指南。本文档旨在供组织使用:a)在基于ISO/IEC27001的ISMS范围内;b)根据国际公认的最佳做法实施信息安全控制;c)制定自己的信息安全管理准则。2规范性引用在本文中引用以下文档,使得其某些或全部内容构成本文档的要求。凡是注日期的引用文件,仅所引用的版本适用。凡是不注日期的引用文件,其最新版本(包括所有
12、的修改单)适用于本标准。ISO/IEC27000,信息技术-安全技术-信息安全管理系统-概述和词汇3术语、定义和缩写词3.1 术语和定义就本文档而言,适用ISO/IEC27000及以下内容中给出的术语和定义。ISO和IEC在以下地址维护用于标准化的术语数据库: ISO在线浏览平台:可在https:WWW.iso.org/obp获得 IECElectropedia:请访问http:Www.electropedia.org3.1.1 访问控制旨在确保根据业务和安全要求对物理和逻辑访问进行授权和限制。3.1.2 资产任何对组织有价值的东西。注释1:可以区分两种与信息安全相关的资产:主要资产:-业务流
13、程和活动;- 信息。所有类型的辅助资产(主要资产所依赖):- 硬件;- 软件;- 网络;- 人员;- 地点;- 组织的结构。3.1.3 攻击未经授权尝试破坏,暴露,更改或任何试图禁用,窃取,获取或未经授权使用资产的尝试。3.1.4 认证提供保证所声称的实体特征(3.L11)是正确的。3.1.5 真实性实体(3.L11)所声称的财产。3.1.6 6监管链从一个时间点到另一时间点可证明的财产拥有,移动,搬运和放置位置。注释1:材产包括ISO/IEC27002中的信息和其他相关资产。来源:ISO/IEC27050-1:2019,3.13.L7机密信息未经授权的个人,实体或过程不应获得或披露的信息。3
14、.1. 8控制维持和/或改变风险的措施。注释1:控制措施包括但不限于维持和/或修改风险的任何过程,策略,设备,实践或其他条件和/或措施。注释2:控制可能并不总是发挥预期或假定的修改效果。来源:IS031000:2018,3.83.2. 9破坏突发事件,无论是预期的还是意外的,都会导致根据组织的目标与预期的产品和服务交付产生计划外的负偏差。来源:IS022301:2019,3.103.2.10 终端设备网络连接的ICT硬件设备。注释1:端点设备可以指台式计算机,笔记本电脑,智能电话,平板电脑,瘦客户端,打印机或其他专用硬件,包括智能电表和IOT设备。3.2.11 实体与存在明显不同的域的操作目的
15、相关的项目O注释1:实体可以具有物理或逻辑的实施方式。示例:个人,组织,设备,一组此类物品,电信服务的人工订户,SIM卡,护照,网络接口卡,软件应用程序,服务或网站。来源:IS0/IEC24760-1:2019,3.1.13.2.12 信息处理设施任何信息处理系统,服务或基础架构,或包含该信息处理系统的物理位置。来源:IS0/IEC27000:2018,3.273.2.13 信息安全漏洞损害安全性,导致传输,存储或以其他方式处理的受保护信息受到不希望的破坏,丢失,更改,披露或访问。3.2.14 信息安全事件表示可能违反(3.L5)信息安全或控制失败(3.L8)的情况。来源:IS0/IEC270
16、35-1:2016,3.33.2.15 信息安全事故一个或多个相关的和已标识的信息安全事件(3.1.14),可能会损害组织的资产或损害其运营。来源:IS0/IEC27035-1:2016,3.43.2.16 信息安全事件管理采用一致和有效的方法来处理信息安全事件(3.1.14)。来源:IS0/IEC27035-1:2016,3.53.2.17 信息系统一组应用程序、服务、信息技术资产或其他信息处理组件。来源:IS0/IEC27000:2018,3.353.L18相关方(优先条款)能够影响、被某一决定或活动影响或认为自己受其影响的人或组织。来源:IS0/IEC27000:2018,3.373.L
17、19不可否认性证明声称的事件或行动及其起源实体发生的能力(3.L11)。3.1.20 员工在组织控制下工作的人员。注释1:员工的概念包括组织的成员,如理事机构、高层管理人员、雇员、临时人员、承包商和志愿者。3.1.21 个人身份信息a)可用于在信息与信息所涉及的自然人之间建立联系,或与自然人直接或间接相关的任何信息。注释L定义中的“自然人”是PH主体(3.1.22)。为了确定PH主体是否可识别,应考虑持有数据的隐私利益相关者或任何其他方可合理使用的所有手段,以建立PII集与自然人之间的联系o来源:IS0/IEC29100:201lAmd.1:2018,2.93.1.22主体个人身份信息(PH)
18、(3.L20)所涉及的自然人。注释1:根据司法管辖区和特定的数据保护和隐私立法,也可以使用同义词“数据主体”代替术语“PH主体”。来源:IS0/IEC29100:2011,2.113.1. 23处理者代表控制者并按照控制者的指示处理个人身份信息(PID的隐私利益相关者。源:IS0/IEC29100:2011,2.123.1 .24策略组织的意图和方向,由其最高管理层正式表达。来源:IS0/IEC27000:2018,3.533.2 .25隐私影响评估在组织更广泛的风险管理框架内识别、分析、评估、咨询、沟通和规划处理与个人身份信息处理有关的潜在隐私影响的整个过程。来源:IS0/IEC29134:
19、2017,3.73.1.26程序执行活动或过程的指定方式(3.1.25)o来源:IS030000:2009,3.123.1.27过程将输入转化为输出的一组相互关联或相互作用的活动。来源:IS09000:2005,3.4.13.1. 28记录组织或个人为履行法律义务或在业务交易中作为证据和资产创建、接收和维护的信息。注释1:本文中的法律义务包括所有法律、法规、监管和合同要求。来源:IS015489-l:20163.1. 29恢复点目标RPO发生中断(3.L9)后必须恢复数据的时间点。3.1 .30恢复时间目标RTO在破坏(3.1.9)发生后必须恢复最低级别的服务和/或产品以及支持系统,应用程序或
20、功能的时间段。来源:IS0/IEC27031:2011,3,133.2 .31可靠性一致的预期行为和结果的属性3.1.32规则接受的原则或说明,说明组织对应该做什么,允许或不允许做的事情的期望。注释1:规则可以在策略和其他类型的文档中正式表达。3.1.33敏感信息由于个人,组织,国家安全或公共安全的潜在不利影响而需要保护的信息,以防止其无法访问,未经授权的访问,修改或公开披露。3.1.34威胁意外事件的潜在原因,可能导致对系统或组织的伤害。来源:ISO/IEC27000:2018,3.743.1.35特定主题策略适当的管理水平正式表达的特定主题或主题的意图和方向。注释1:主题特定的策略可以正式
21、表达规则,准则或组织标准。注释2:一些组织将其他术语用于这些特定于主题的策略。注释3:本文档中引用的特定于主题的策略与信息安全相关。示例:有关访问控制的特定于主题的策略,透明桌面和透明屏幕上的特定于主题的策略。3.1.36用户有权访问组织信息系统(3.L16)的相关方(3.L17)。示例:人员,客户,供应商。1.1. 37脆弱性资产或控制的弱点(3.L8)可以被一个或多个威胁(3.L32)利用。来源:IS0/IEC27000:2018,3.773. 2缩写词ATMAutomatedtellermachine自动取款机BIABusiness,impactanalysis业务影响分析BYODBri
22、ngyourowndevice,自携带设备CCTVClosed-circuittelevision。闭路电视DNSDomainnamesystem,域名系统GPSGIobaIPoSitioningsystem,全球定位系统HRHumanresources,人力资源IAMIdentityandaccessmanagement,身份和访问管理ICTInformationandcommunication-technology,信息通讯技术IDEIntegrated-developmentenvironment集成开发环境IDSIntrusiondetection-SyStenr入侵侦测系统IPInt
23、ernetprotocol互联网协议IPSIntrusionpreventionsyste入侵防御系统ITInformationtechnoIogy信息技术ISMSInfOimation-securitymanagementsystem信息安全管理系统NTPNetworktimeprotocol-网络时间协议PIAPrivacyimpactassessment隐私影响评估PIIPersonallyidentifiableinformation,个人身份信息PINPersonalidentificationnumber个人身份证号码PKIPublickey-infrastructure公钥基础设
24、施ROMReadonlymemory只读存储RPOReCoVerypointobjective,恢复点目标RTORecoverytimeObjeCtive恢复时间目标SDSeCUredigital-安全数字SIEMSecvrityinformationand-event-management安全信息和事件管理SMSShortmessage-service短消息服务SQLStructuredquery-language结构化查询语言SSOSinglesign-on单点登录UEBAUser-andentitybehaviour更均取垃滕用户和实体行为分析URLUniformresource,loc
25、ator,统一资源定位器USBUniversalserialbus通用串行总线VMVirtualmachine,虚拟机VPNVirtualprivatenetwork虚拟专用网4本文件的结构3.1. 条款本文档的结构如下:a)组织控制(第5条)b)人员控制(第6条)c)物理控制(第7条)d)技术控制(第8条)有2个资料丰富的附件:-附件A-使用属性-附件B-与ISO/IEC27002:2013对应附件A解释了组织如何使用属性(请参阅4.2)基于本文档中定义的控件属性或自己创建的控件来创建自己的视图。附件B显示了此版本的IS0/IEC27002中的控件与2013年以前的版本之间的对应关系。3.2
26、. 主题和属性条款5至8中给出的控件分类称为主题.控件分类为:A)人,如果他们关注个人的话;B)物理,如果它们涉及物理对象;C)技术(如果涉及技术);D)否则,它们被归类为组织。组织可以使用属性来创建不同的视图,这些视图是从主题的不同角度来看的控制分类。属性可用于在不同视图中为不同的受众过滤,排序或显示控制。附件A解释了如何实现这一点,并提供了一个示例视图。举例来说,本文档中的每个控制都已与四个属性关联(具有相应的属性值(以开头以使其可搜索),如下所示:a)控制类型4预防,#检测,#纠正)控制类型是一种属性,用于从控制何时以及如何影响信息安全事件发生的风险结果的角度查看控制,属性值包括#Pre
27、VCntivc(预防,控制在威胁发生之前起作用),#DetCCtiVe(检测,控制在发生威胁时起作用)和#CorreCtive(纠正,控制在发生威胁后起作用)。b)信息安全属性信机密性、#完整性、#可用性)信息安全属性是一个特征,用于从控制将有助于保存的信息的哪些特征的角度来查看控制。属性值包括Confidentiality机密性、ttlntegrity完整性和#AVaiIability可用性。c)网络安全概念(#识别、#保护、#检测、#响应、#恢复)网络安全概念是从控制与ISO/IECTS27101中描述的网络安全框架中定义的网络安全概念的关联的角度来查看控制的属性。属性值包括#Identi
28、fy识别、#ProteCt保护、#DCteCt检测、#RCSPond响应、#ReCOVer恢复。d)操作能力(#治理、#资产管理、#信息保护、#人力资源管理、#物理安全、#系统和网络安全、#应用安全、#安全配置、#身份和访问管理、#威胁和漏洞管理、#连续性、#供应商关系安全、#法律和合规、#信息安全事件管理和#信息安全保障)操作能力是从从业者的信息安全能力角度来看待控制的一个属性。属性值包括#GoVernanCe治理、#ASSCtlnanagenlent资产管理、#InformtionPrOtCCtiOn信息保护、#HUnIanrCSOure_security人力资源管理、SPhysIcals
29、ecurity物理安全、#Systcm_and_network_security系统和网络安全、#Application_security应用安全、#SCCUrJCOnfigUratiOn安全配置、ttldcntity_and_access_management身份和访问管理、#Threat_and_vuInerabi1ity_managcmen威胁和漏洞管理、Continuity连续性、#Supplier_relationships_security供应商关系安全、#Legal_and_compliance法律和合规、#Information_sccurity_cvent_managcinc
30、nt信息安全事件管理和informationSeCUrity_assurance信息安全保障。e)安全域伴治理和生态系统、#保护、#防御和#恢复力)安全域是从四个信息安全域的角度来看待控制的属性:“治理与生态”包括“信息系统安全治理与风险管理”和“生态系统网络安全管理”(包括内部和外部利益相关者);“保护”包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”和“物理和环境安全”;“防御”包括“检测”和“计算机安全事件管理”;“恢复力”包括“运营的连续性”和“危机管理,属性值包括#GoVernanCJand_Ecosystcni治理和生态系统、Protection保护、#
31、DCfCnSe防御和#RCSiIienCe恢复力。4. 3控制设计每个控件的布局包含以下内容:- 控制标题:控制的简称- 属性表:该表显示了给定控制的每个属性的值- 控制:控制说明- 目的:说明控制目的的文字- 指南:控制的实施指南- 其他信息:解释性文字或对其他相关文档的引用。指南文本中的子标题用于某些控制,以提高可读性。如果指南冗长且涉及多个主题,则可以执行此操作。此类标题不一定在所有指导文本中都使用。副标题显示为副标题。5组织控制5.1信息安全策略控制类型#预防信息安全属性#机密性#完整性#可用性网络安全概念#识别操作能力稻台理安全域#治理和生态系统#恢复力控制信息安全策略和特定主题的策
32、略应被定义,由管理层批准、发布,并传达给相关人员和利益相关方并由其确认,如果发生重大变化,则应进行评审。目的根据业务要求以及法律、法规、规章和合同要求,确保管理方向的持续适用性、充分性、有效性和对信息安全的支持。指南在最高级别,组织应定义一个“信息安全策略”,该策略应得到最高管理层的批准,并阐明组织管理其信息安全的方法。信息安全策略应满足以下要求:a)业务战略和要求;b)法律、法规和合同;c)当前和预计的信息安全威胁环境。信息安全策略应包含以下内容的声明:a)对信息安全的定义;b)信息安全目标或设置信息安全目标的框架;c)指导与信息安全有关的所有活动的原则;d)承诺满足有关信息安全的适用要求;
33、e)承诺持续改进信息安全管理系统;f)将信息安全管理的职责分配给己定义的角色;g)处理偏差和异常的程序。最高管理层应批准对信息安全策略的任何更改。在较低的级别上,信息安全策略应由特定主题的策略支持,以进一步强制实施信息安全控制措施。特定主题的策略通常是为了满足组织内特定目标组的需求或涵盖某些安全领域。特定主题的策略应与组织的信息安全策略保持一致和互补。此类主题的示例包括:a)访问控制;b)物理和环境安全;c)资产管理;d)信息传递;e)网络安全;f)信息安全事件管理;g)备份;h)密码学和密钥管理;i)信息分类和处理;j)技术漏洞管理;k)安全开发。特定主题的策略应由适当的经理批准。特定主题的
34、策略应以相关、可访问和可理解的形式传达给相关人员和外部相关方。组织可以确定满足组织需求的这些策略文件的格式和名称。在某些组织中,信息安全策略和特定主题的策略可能在一个文档中。组织可以命名这些特定主题的策略标准、指令、政策或其他。应根据相关人员的适当权限和技术能力,将制定、审查和批准特定主题策略的责任分配给相关人员。审查应包括评估改进组织策略和管理信息安全的机会,以响应以下方面的变化:a)组织的业务战略;b)组织的技术环境;c)法律、法规和合同;d)信息安全风险;e)当前和预计的信息安全威胁环境;f)从信息安全事件和事故中吸取的经验教训。信息安全政策的评审应考虑管理评审和审计的结果。如果任何信息
35、安全政策分布在组织外部,应注意不要泄露机密信息。表1说明了信息安全策略和特定主题策略之间的差异。表1-信息安全策略和特定主题第略之间的差异一般扃级具体/详细正式批准并记录在案信息安全政策(3.1.22)经最高管理层批准特定主题的政策(3.1.33)由适当的管理层批准其他信息信息安全的特定主题策略可能因组织而异。5.2信息安全角色和职责控制类型#预防信息安全属性#机密性#完整性#可用性网络安全概念#鉴别操作能力#治理安全域格台理和生态系统#保护#恢复力控制应根据组织机构的需要来定义和分配信息安全的角色和职责。目的为组织内信息安全的实施、操作和管理建立一个明确、经核准和理解的结构。指南信息安全角色
36、和职责的分配应根据信息安全政策和特定主题的政策进行(见5.1)。组织应定义和管理以下职责:a)保护信息和其他相关资产;b)执行特定的信息安全流程;c)信息安全风险管理活动,特别是接受剩余风险(例如风险所有者);d)使用组织信息和其他相关资产的所有人员。必要时应补充这些责任,并对具体地点和信息处理设施提供更详细的指导。分配有信息安全责任的个人可以将安全任务分配给其他人。但是,他们仍然要负责任,并应该确定任何委托的任务是否已被正确执行。应定义、记录和传达每个员工负责的安全领域。应定义并记录授权级别。担任特定信息安全角色的个人应具备该角色所需的知识和技能,并应得到支持,以跟上与该角色相关以及履行该角
37、色职责所需的发展。其他信息许多组织任命信息安全经理全面负责信息安全的开发和实施,并支持识别风险和减轻控制。然而,资源分配和实施控制的责任通常由个别管理人员承担。一种常见的做法是为每项资产指定一个所有者,然后由其负责其日常保护。根据组织的规模和资源,信息安全可以是一个专门的职责,也可以是一个现有角色之外的职责。5.3职责分离控制类型#预防信息安全属性#机密性#完整性#可用性网络安全概念#保护操作能力#治理#身份和访问管理安全域#治理和生态系统控制相互冲突的职责和责任范围应分开。目的降低欺诈、错误和绕过信息安全控制的风险。指南职责分离旨在分离不同个人之间的冲突的职责,以防止一个员工自行执行潜在的相
38、互冲突的职责。事件的发起应与其授权分开。在特定情况下,高风险职责也应该被分开。组织应确定需要分离哪些职责和责任范围。以下是可能需要隔离的活动示例:a)发起、批准和执行变更;b)请求、批准和实施访问权限;C)设计、实施和审查代码;d)开发软件和管理生产系统;e)使用和管理应用程序;f)使用应用程序和管理数据库;g)设计、审核和确保信息安全控制。在设计隔离控制时应考虑串谋的可能性。小型组织可能会发现很难实现职责分离,但应尽可能切实可行地应用该原则。当难以隔离时,应考虑其他控制措施,例如活动监控、审计跟踪和管理监督。在使用基于角色的访问控制系统时应小心,以确保人员不会被授予相互冲突的角色。当有大量的
39、角色时,组织应该考虑使用自动化工具来识别冲突并促进删除冲突。应仔细定义和配置角色,以最大限度地减少角色被删除或重新分配时的访问问题。其他信息没有其他信息5.4管理职责控制类型#预防信息安全属性#机密性#完整性#可用性网络安全概念#识别操作能力#治理安全城#治理和生态系统控制管理层应成为信息安全的榜样,并要求所有人员按照组织的既定信息安全政策、特定主题的政策和程序对信息安全尽心尽力。目的确保管理层了解他们在信息安全中的作用,并采取旨在确保所有人员都了解并履行其信息安全责任的行动。指南管理层应证明对信息安全政策、特定主题政策、程序和信息安全控制的支持。管理职责应包括确保人员:a)在被授权访问组织的
40、信息和其他相关资产之前,适当地向他们介绍了他们的信息安全角色和职责;b)提供了指南,说明其在组织内的角色的信息安全期望;c)被授权执行组织的信息安全政策和特定主题的政策;d)达到与其在组织内的角色和职责相关的信息安全意识水平(见6.3);e)符合雇佣、合同或协议的条款和条件,包括组织的信息安全政策和适当的工作方法;f)通过持续的专业教育,继续拥有适当的信息安全技能和资格;g)在可行的情况下,为举报违反信息安全政策、特定主题政策或信息安全程序的行为提供保密渠道。这可以允许匿名举报,或者规定确保只有需要处理此类举报的人知道举报人的身份;h)为实施组织的安全相关过程和控制提供足够的资源和项目规划时间
41、。其他信息没有其他信息5.5 与政府部门的联系控制类型杼页防#纠正信息安全属性#机密性#完整性#可用性网络安全概念#识别#保护#响应#恢复操作能力稻台理安全域#防御#恢复力控制组织应与相关部门建立并保持联系。目的确保组织与相关法律、监管和监督机构之间在信息安全方面发生适当的信息流动。指南组织应指定何时和由谁联系相关部门(例如执法、监管机构、监督机构),以及如何及时报告己识别的信息安全事件。还应通过与当局的联系来促进了解他们当前和未来的期望(例如适用的信息安全法规).其他信息组织受到攻击时,可以请求相关部门对攻击源采取行动。保持这种联系可能是支持信息安全事件管理(见5.24至5.28)或应急计划
42、和业务连续性过程(见5.29和5.30)的要求。与监管机构的联系也有助于预测和准备即将发生的影响组织的相关法律或法规的变化。与其他部门的联系包括公用事业、紧急服务、电力供应商以及健康和安全例如消防部门(与业务连续性有关)、电信提供商(与线路路由和可用性有关)和供水商(与设备冷却设施有关)。5.6 与特殊利益团体的联系控制类型#预防#纠正信息安全属性#机密性#完整性#可用性网络安全概念#保护#响应#恢复操作能力#治理安全域#防御控制组织应与特殊利益集团或其他专业安全论坛和专业协会建立并保持联系。目的确保在信息安全方面发生适当的信息流动。指南特殊利益集团或论坛的成员资格应被视为一种手段:a)提高有
43、关最佳实践的知识并及时了解相关安全信息;b)确保对信息安全环境的理解是最新的;c)接收有关攻击和漏洞的警报、建议和补丁的早期警告;d)获得专家信息安全建议;e)共享和交换有关新技术、产品、服务、威胁或漏洞的信息;f)在处理信息安全事件时提供合适的联络点(见5.24至5.28)c其他信息没有其他信息5.7 威胁情报控制类型舒页防#检测#纠正信息安全属性#机密性#完整性#可用性网络安全概念#识别#检冽1#响应操作能力#威胁和漏洞管理安全域#防御#恢复力控制应收集和分析与信息安全威胁相关的信息,以生成威胁情报。目的提供对组织威胁环境的认识,以便采取适当的缓解措施。指南收集和分析有关现有或新出现威胁的
44、信息,以便:a)促进采取知情行动,防止威胁对组织造成伤害;b)减少此类威胁的影响。威胁情报可分为三层,都应考虑:a)战略威胁情报:交换有关不断变化的威胁形势的高级信息(例如攻击者类型或攻击类型);b)战术威胁情报:有关攻击者方法、工具和所涉及技术的信息;c)操作威胁情报:有关特定攻击的详细信息,包括技术指标。威胁情报应该是:a)相关的(即与保护组织有关的);b)富有洞察力(即为组织提供对威胁形势的准确和详细的了解);c)上下文相关,以提供态势感知(即根据事件发生的时间、事件发生的地点、以前的经验和在类似组织中的流行情况为信息添加上下文);d)可操作的(即组织可以快速有效地对信息采取行动)O威胁
45、情报活动应包括:a)建立威胁情报生成的目标;b)识别、审查和选择为威胁情报的生成提供所需信息的必要和适当的内部和外部信息源;c)从选定的来源收集信息,可以是内部的也可以是外部的;d)处理收集到的信息以准备分析(例如通过翻译、格式化或证实信息);e)分析信息以了解其与组织的关系和意义;f)以一种可以理解的格式与相关个人进行交流和分享。应分析威胁情报并在以后使用:a)通过实施过程,将从威胁情报来源收集的信息纳入组织的信息安全风险管理过程;b)作为防火墙、入侵检测系统或反恶意软件解决方案等技术预防和检测控制的额外输入;c)作为信息安全测试过程和技术的输入。组织应与其他组织相互分享威胁情报,以提高整体
46、威胁情报。其他信息组织可以使用威胁情报来预防、检测或响应威胁。组织可以生成威胁情报,但更常见的是接收和利用其他来源生成的威胁情报。威胁情报通常由独立的提供者或顾问、政府机构或协作性威胁情报组织提供。5. 25、8.7、8.16或8.23等控制措施的有效性取决于可用威胁信息的质量。5.8项目管理中的信息安全控制类型#预防信息安全属性#机密性#完整性#可用性网络安全概念#识别#保护操作能力#治理安全域#治理和生态系统#保护控制信息安全应被整合到项目管理中。目的确保与项目和可交付成果相关的信息安全风险在整个项目生命周期的项目管理中得到有效解决。指南信息安全应整合到项目管理中,以确保信息安全风险作为项目管理的一
