ISO27002-2013中文版.pdf

ISO/IEC 27002 信息技术-安全技术-信息安全控制实用 规则 Information technology-Security techniques -Code of practice for information security controls 目 次 前言 I 引言 II 0 简介 II 0.1 背景和环境 II 0.2 信息安全要求 II 0.3 选择控制措施 III 0.4 编制组织的指南 III 0.5 生命周期的考虑 III 0.6 相关标准 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 本标准的结构 1 4.1 章节 1 4.2 控制类别 1 5 信息安全策略 2 5.1 信息安全的管理方向 2 6 信息安全组织 4 6.1 内部组织 4 6.2 移动设备和远程工作 6 7 人力资源安全 9 7.1 任用之前 9 7.2 任用中 10 7.3 任用的终止或变更 13 8 资产管理 13 8.1 对资产负责 13 8.2 信息分类 15 8.3 介质处置 17 9 访问控制 19 9.1 访问控制的业务要求 19 9.2 用户访问管理 21 9.3 用户职责 24 9.4 系统和应用访问控制 25 10 密码学 28 10.1 密码控制 28 11 物理和环境安全 30 11.1 安全区域 30 11.2 设备 33 12 操作安全 38 12.1 操作规程和职责 38 12.2 恶意软件防护 41 12.3 备份 42 12.4 日志和监视 43 12.5 运行软件的控制 45 12.6 技术脆弱性管理 46 12.7 信息系统审计考虑 48 13 通信安全 49 13.1 网络安全管理 49 13.2 信息传递 50 14 系统获取、开发和维护 54 14.1 信息系统的安全要求 54 14.2 开发和支持过程中的安全 57 14.3 测试数据 62 15 供应商关系 62 15.1 供应商关系的信息安全 62 15.2 供应商服务交付管理 66 16 信息安全事件管理 67 16.1 信息安全事件和改进的管理 67 17 业务连续性管理的信息安全方面 71 17.1 信息安全连续性 71 17.2 冗余 73 18 符合性 74 18.1 符合法律和合同要求 74 18.2 信息安全评审 77 参考文献 79 前 言 ISO （国际标准化组织）和IEC （国际电工委员会）是为国际标准化制定专门体制的国际组织。国 家机构是ISO或IEC 的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领 域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织、政府和非政府等机构， 通过联络ISO和IEC参与这项工作。 国际标准的制定遵循ISO/IEC 导则第2部分的规则。 ISO和IEC 已经在信息技术领域建立了一个联合技术委员会ISO/IEC JTC1 。 ISO/IEC 27002 由联合技术委员会ISO/IEC JTC1 （信息技术）分委员会SC27 （安全技术）起草。 ISO/IEC 27002 中的某些内容有可能涉及一些专利权问题，这一点应该引起注意。ISO和IEC不负责 识别任何这样的专利权问题。 第二版进行了技术上的修订，并取消和替代第一版（ISO/IEC 27002:2005 ）。 引 言 0 简介 0.1 背景和环境 本标准可作为组织基于ISO/IEC 27001 实施信息安全管理体系（ISMS ）的过程中选择控制措施时 的参考，或作为组织实施通用信息安全控制措施时的指南文件。本标准还可以用于开发行业和组织特定 的信息安全管理指南，考虑其特定信息安全风险环境。 所有类