iso27001主任审核员培训汇总课件.ppt

1、iso27001主任审核员培训典型的信息安全事件nHW事件qHW到中东某国投标，、人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低q经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘nLM事件qLM一直与中国军方关系密切，承接过国家级信息安全项目q骨干中一人离职出国，带出很多涉密文件，结果LM被封杀n艳照门q很傻很天真什么叫管理体系nSystem Set of interrelated or interacting elements q体系 一系列相关关联相互作用的元素nWork systema

2、tically To be effective,things have to be organized in a suitable/practical way and should be done in a certain sequenceq系统地工作 为保证工作效率，事情必须按合适的/可行的方法进行组织，并以一定的顺序完成nManagement System System to establish policy and objectives and to achieve those objectivesq管理体系 建立方针和目标，并实现目标的体系管理体系的4大要素n组织机构组织机构：q明确职

3、责、权限n程序程序：q告诉相关人员怎么做n过程过程：q具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？n资源资源：q可调配、使用的人员、设备等q培训资源过程程序组织结构管理体系管理体系常见的管理体系n质量管理：ISO9001n环境管理：ISO14001n职业安全：OHSAS18001n社会责任：SA8000n信息安全：ISO27001什么是质量n质量3要素QCTq符合客户的要求（Q）q不能导致成本上升（C）q时间（T）n以上三个方面的平衡的结果就是质量QualityCostTime质量管理体系一览n国际标准q ISO9001n汽车行业（比ISO9001多了项目管理方面

4、的要求）qTS16949（汽车行业的质量管理体系）qQS9000（美国的汽车行业标准）qVDA6.1（德国大众的质量管理体系）n其他行业qISO22000（食品行业）qTL9000（通讯业）qISO20000（可称为IT业的服务质量标准）qCMMI（适合软件研发和新技术开发）信息安全的3要素nConfidentiality the property that information is made available or disclosed to unauthorized individuals,entities or processes q保密性 信息被获取或泄漏给未经授权的个人、实体或流

5、程nIntegrity the property of safeguarding the accuracy and completenessq完整性 保护资产准确和完整nAvailability the property of being accessible and useable upon demand by an authorized entityq可用性 资产仅对授权人员在需要的时候是可访问的或可用的什么叫ISMS信息安全管理体系nInformation 信息q信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，

6、以影片播放或对话。nInformation Security信息安全q对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。nInformation Security Management System信息安全管理体系q是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。q简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。step1如果ISMS和其他体系的联系和区别n联系q所有管理体系的共性（需要分析的5大要素）：人、机、料、法、环n区别qISMS：n%5的人：做95%的工作n%95的人：执行（

7、需要接受培训）本页及下页图片来源于BSI中国网站ISMS适用的行业n以信息为生命线的行业：以信息为生命线的行业：q金融行业：银行、保险、证券、基金、期货等q通信行业：电信、网通、移动、联通等q皮包公司：外贸、进出口、HR、猎头、会计师事务所等n对信息技术依赖度高的行业：对信息技术依赖度高的行业：q钢铁、半导体、物流q电力、能源q外包（ITO或BPO）：IT、软件、电信IDC、Call Center等n工艺技术要求高、竞争对手渴望得工艺技术要求高、竞争对手渴望得到的：到的：q医药、精细化工q研究机构ISO27001,20000&CMMIRequirementOperateOptimizeDesi

8、gnBuildDeployCMMIISO20000ISO27001ISO27001如何成为LA主任审核员？n要成为LA，必须经过：q2 MD observer-Junior Auditorq20MD junior auditor-Auditorq15MD auditor-Lead Auditorn注意：注意：q后两项经验需分别从3个新的、不同的客户中获取q上述每一段经验，均需在2年内获得qDNV可以帮助进行IRCA注册什么是好的ISMSnGood Information Security Management qSystematic approachqImproved understandin

9、g of business aspectsqReduction in security breaches and/or claimsqReduction in adverse publicityqImproved insurance liability ratingqIdentify critical assets via the business risk assessmentqProvide a structure for continuous improvementqBe a confidence factor internally as well as externallyqEnhan

10、ce the knowledge and importance of security-related issues at the management levelqEnsure that“knowledge capital”will be“stored”and managed in a business management system实施ISMS的关键成功因素n与组织文化一致的信息安全方法n老板的支持n对信息安全的要求、风险评估和风险管理有好的理解n向所有员工和其他人分发信息安全指南n有效的对员工和其他人推销信息安全（外部人员也被要求进行信息安全培训）n足够的财务支持，以及满足要求的现有

11、系统的能力和配置水平n有效的信息安全事故管理过程Tips1重要提示nISMS（信息安全管理体系）和ITSM（信息技术服务管理）的整合需求越来越大：q来自最高管理者的关注增强q来自客户的推动、压力q政府的推动并提供资金的支持，如“十百千”工程q行业的普遍关注，如电信IDC，移动，电力系统，海关总署，国家质监总局n目前，各大银行和电力企业正在实施ITIL，每年有Very Large的市场。n半导体业对ISMS的要求非常严格，甚至高过金融业！Tips2n历史教训：保安和清洁工是信息安全的重要威胁！（无意伤害对“阶层”感情的好恶）q所有员工，包括所有外来人员，必须接受信息安全的培训q小窍门：在门卫/传

12、达室放一个外来人员安全须知，外来人员在阅读后要签字，这是对外来人员进行了信息安全培训的证据Tips3n信息安全容易忽视的两个的地方qThumb drive（U盘，尽量禁用！）qDomain controller（域控制器，加强管理！）nGood practices:q人员发生变动的时候，一定要调整访问权限q查看企业的财产保险合同q审核完毕后一般都需要提高保险级别！很NB的缩写nBlack Belt：黑带#%！%！#￥#nERM：企业风险管理（目前最高级别的认证）nBCM：业务持续性管理nCSR：企业可持续发展报告（验证各项指标）nRPN：风险优先指数nBCM/BCP：业务持续战略nContin

13、ual Improvement：持续改进nRA：风险分析nITDRnMCAnBIAnRTO：recovery time objectivenRPO：recovery point objectivenLBCBCP与灾难恢复等概念的比较影响公司层面业务持续性的因素n供应链中断：重要原料、IT硬件n高层的错误决策n客户不满n关键人员流失n数据中心重大事故n恐怖袭击、战争n员工信心n天灾人祸、火灾爆炸n联动点n法律法规n公众反应BCM非常重要n实施ITSM业务连续性管理的两条途径q公司层面的BCM（适合于IT Outsourcing或BPO企业）q信息安全层面的BCM，适合大型制造业及工艺流程复杂的企

14、业nBCM或BCP比“可用性管理”有更大的范围和规模！BCM:一个好的平台nQuality managementnPublic relationshipnInvestment directionnSecurity managementnDisaster recoverynSafety managementnFacilities managementnIT/Other disaster recoverynSupply chain managementnRisk managementBCM的步骤1.理解你的业务 BIA(Business Impact Assessment)2.业务持续性计划 BC

15、P(Business Continuity Planning)3.研究并实施BCM行动4.建立并深入公司BCM文件5.演练/维护及审核BCMISO27001 LA Training CourseDay 2ShanghaiFeb.19,2008建立ISMS的步骤1.制定方针2.确定边界3.识别资产4.风险评估5.风险处置6.风险接受7.动态的风险管理制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理风险、威胁和脆弱性的概念n风险Risk：q特定的威胁利用资产漏洞的潜在可能，并可导致对组织的危害。它根据事件的可能性及后果进行测量。n风险分析：q评估风险数量的系统化流程n风险评估：q包括

16、风险定义，风险分析和风险评估的流程。n威胁Threat：q引起事故的潜在因素，可能对组织或系统产生损害n脆弱性Vulnerability：q资产的弱点，可能被一个或多个威胁利用n影响 Impact：q信息安全事故的结果风险产生的原因n5大因素：q自然环境q社会经济环境q政治及法制因素q营运环境q意识及沟通因素n或者：q人q机：软硬件，需要维护q料：输入，包括客户需求q法：程序、方法，是否清楚、适当q环：大环境资产类型n通常：q网络q机房qPCn台式机n笔记本q普通q营销部/中层干部q高层管理人员q人员q文档n电子n书面n客户要求q整体实体（物理）安全n分类：q信息资产：数据文件、数据库q软件资

17、产：系统软件、应用软件q物理资产：计算机、通讯设备q服务资产：电力、消防、打印机、复印机q人力资产：员工、工人q纸面资产：协议、合同q无形资产：公司形象、名誉、品牌n注意：IT部门可能拥有上述所有资产，其他部门可能只拥有其中1至2项编制资产识别表n资产？q对组织有价值的任何事物n编制资产识别表的要点q找对ownerq合并同类项，特性和风险相同的资产可以合并为一项n小窍门：q先按部门分别进行q对资产项合并同类项后，可跨部门再进行一次合并同类项风险的计算n第一种方法：风险=严重性*可能性q影响程度的严重性（权重较大）q威胁发生的可能性：按历史发生情况！n第二种方法：严重性*可能性*脆弱性q脆弱性：

18、检验现有防护措施qRPN=S*O*W(servility*occurrence*weakness)q比如，美国地震工程研究所对“地震风险性”的定义n是地震危险性（致灾因子）、社会财富（承灾性）和脆弱性三者的乘积nFMEA：好方法！q行业内的叫法：RPN（风险优先指数）风险的计算（续）n（第二种方法）根据资产识别的结果判断q严重性q威胁名称、威胁来源、威胁赋值q脆弱性类别、已有控制措施、脆弱性赋值n低：现有系统能够自动识别，且有充分有效的紧急响应n中：通过检查/监控能够看出趋势或有较充分的紧急响应n高：现有条件下不能探测或一旦发生问题没有有效q风险计算q风险处理指标：风险处置措施、责任部门、完成

19、时间示例严重性严重性风险接受风险接受/残余风险残余风险可能性可能性脆弱性脆弱性残余风残余风险险风险的计算（续）n剩余风险剩余风险q剩余风险 资产严重性（不变的）可能性（改进后的）脆弱性（改进后的）n脆弱性脆弱性（需要自己定义，以下举例）q低：现有系统能够自动识别，且有充分有效的紧急响应q中：通过检查/监控能够看出趋势或有较充分的紧急响应q高：现有条件下不能探测或一旦发生问题没有有效响应n严重性严重性（需要自己定义，以下举例）q低：不影响正常生产及客户满意度，对公司运营影响不大q中：停止4小时生产以下，被用户投诉q高：停止4小时生产以上，被用户投诉补充nISMS的范围和边界q是建立ISMS的第一

20、步，明确覆盖哪些业务流程nISMS Policy信息安全管理体系方针q是信息安全策略（Information security policy）的扩展集q根据组织的实际情况，如业务性质、地理位置、资产情况和技术水平来定义，例如：n在线服务：对可用性要求高n金融机构：对完整性要求高n医院：对保密性要求高q需要考虑业务、法规及合同责任方面的要求q建立风险管理准则，明确可接受的风险水平q得到管理层的批准Exercise 1n作业：q讲解ISO27001 a10-a12q以及12.5 和12.6ISO27001 LA Training CourseDay 3ShanghaiFeb.20,2008ISO2

21、7001的组成n主体部分：qClause 4,5,6,7,8（所有ISO标准都有的，不可删减）qA5-A15 n11 条大的安全控制条款n39 个控制类（控制目标）n133 项控制措施需验证的六大文件n4.3.1 g中需验证以下文件：1.管理评审2.内审3.文件控制nISMS特殊要求：online的才是有效的，打印的仅供参考！n标示文件的保密级别n电子文档（网上流转）的保护4.质量记录控制n重要性：备证5.纠正措施6.预防措施nCHINA CISSP“易水寒江雪”认为：1.信息安全策略 2.文件控制程序 3.记录控制程序 4.内部审核管理程序 5.纠正预防措施 6.标准中将纠正和预防是分别定义

22、成两个文件的，因为这两个文件的结构基本类似，目的也相似，因此通常将其合并来一起编写。7.就认证而言，并没有对文件的多少有强制性的要求，但是就惯例而言，二级程序文件通常还包括：8.管理评审控制程序 9.信息安全风险评估管理程序 10.BCP 11.DRP 12.适用性声明 13.计算机和网络安全控制程序 14.等等。至于三级文件，因各个机构情况不一，在此就没有一一列举。物理安全和人员安全的要点n物理安全需检查：q平面布局图q标示出的敏感物理区域n人员安全需注意：q任何人发生变动而引起权限变更，都必须报告给HR文件管理nBest practices:q绝密级的文件要受控发放（每页加“绝密”字样），

23、当天发放、当天收回q绝密级的电子文件不允许放到网上q一句经典：online的才是有效的，打印的仅供参考！风险处置选项与适用性声明nRisk Treatment Optionsq降低风险 Risk reductionn采取控制措施q回避风险 Risk avoidancen抛弃某种技术或生产方式q转移风险 Risk transfern保险、外包q接受风险 Risk acceptancennStatement of applicabilityq概括了对风险处置的决定About FILES Audit关于文审nBasic audit skills:q初审之前要求企业提供Two Initial requ

24、irements:nOrganizational chart组织结构图nFiles list文件清单nFiles architecture:qHigh level:Policy/Manual（方针、手册）qMedium level:Standard procedures(4W1H)qLow Level:Working instructions(作业指导书，针对特定工艺、产品或岗位)qBasic level:records（记录）Tips 4n初审时最重要的一件事：找出“风险”点！n针对核心系统进行风险评估，实施控制措施n考试小窍门：q很多问题的答案都应该选“Policy”q审核类型nTypes

25、 of auditsqFirst party/internal auditn内审，但不能审核与自己工作职责相同的范围qSecond party/external auditn客户对于供应商的审核qThird party/external auditn独立、公正的认证机构的审核nOther auditsqProcess audit（一般表现为受委托对第二方进行审核）qProduct audit（一般表现为企业对自身产品的抽样、破坏性试验）认可/认证的层次关系n由上至下：qDepartment of Trade and Industry(DTI)n世界工业联合会qAccreditation Bod

26、y(e.g.UKAS)n认可机构qCertification Bodies(e.g.DNV)n认证机构qOrganizationsn组织qSuppliersn供应商Certificate Processes预审预审Preliminary assessment(optional)文件审核文件审核Document review(stage 1)初访初访Initial visit(stage1)初审初审Initial audit(stage2)-follow-up visit-跟踪访问跟踪访问follow-up visit定期审核定期审核Periodic audits换证审核换证审核Recertif

27、ication audit另类的标准nISO 19011 审核标准q系统性q独立性q公正性nISO 13335qIT最佳实践nVDA6.1q质量的checklist，很有参考价值！ISO19011-Auditor AttributesnOpen minded：开放的思想nObservant：观察力nDiplomatic：外交能力nPerceptive：理解力nVersatile：多才多艺nTenacious：不屈不挠nDecisive：坚定nSelf reliant：自信Observant：观察力Diplomatic：外交能力Perceptive：理解力Versatile：多才多艺Tenaci

28、ous：不屈不挠Decisive：坚定Self reliant：自信Open minded：开放的思想AuditorAttributes审核输出与审核发现nWhat is the output of an audit?审核的输出qWeaknessqStrengthsqOpportunitiesqRisksqFailuresnFindings审核发现（需要定义）qNoteworthy efforts值得努力（一般口头说说即可）qObservations观察项qNon-conformitiesn一般不符合（如果无证据支撑，即使说做过了，也可认为是一般不符合）n严重不符合（在同一个区域多次发生或造成

29、严重事故或后果，有严重失效）不符合定义 by DNVnCategory I(Major)Non-Conformity严重不符合严重不符合qThe absence of,or the ineffective implementation of,one or more required system elements,or a situation which raises significant doubt that practices will meet specified requirements.q一个或多个系统的要素缺失或无效实施;或目前的实践满足定义的需求的情况值得怀疑.qA group

30、 of category 2 non-conformities indicating inadequate implementation of the system relevant to an element of the standard.q针对标准的某个条款一组轻微不符合事项发现,说明需求没有得到充分的实施.qA category 2 non-conformity that is persistent shall be treated(up-graded)as a category 1 non-conformity.q轻微不符合事项持续下去应该判断为严重不符合事项不符合定义 by DNV

31、nCategory II(Minor)Non-Conformity轻微不符合轻微不符合qA lapse of either discipline or control during the implementation of system/procedural requirements,which does not indicate a system breakdown or raise doubt that practices will meet requirements.q系统或程序需求方面的一种过失,这种过失不说明体系的崩溃,或引起实践满足需求的怀疑.不符合nNon-conformity

32、q审核报告中必须附证据q一个不符合事项是没有符合一个要求、失败和证据（很烂的翻译）n要求 the requirementn失败 the failingn证据 the evidenceq尽量不要开条款4.2nSource of the requirements:q法令/法规的要求q组织的过程和运营q时间规范q程序q作业指导书q客户要求q详细说明q时间规范q体系标准q组织的管理手册What is an observation?qPotential problemqRiskqInefficiencyqIneffectivenessqFailure to apply best practiceqMis

33、understandingqLack of communicationTips nnHow to solve conflicts？qLA职责：主持、确认，解决冲突q找对方的CISO！q对方可以找LA！n两条重要的审核路线：1.资产清单-风险评估2.文件审核（按4.3.1要求）n要求有涉及信息安全的法律法规n发现缺失的文件太多，企业基础太差怎么办？q列出缺失项，告诉对方q建议推迟审核审核准备n启动阶段需要提前知道的：q企业简况n组织名称n地点n规模q审核范围q采用的标准（ISOXXXX）q组织结构图q审核时间q审核理由（第几方）n编制审核计划q公司多sites的抽样方法：n抽样数=地点数量开平方

34、+1q制订审核计划，发送给客户请他们确认Case Study:GetRich Bankn绘制Department-Roles MatrixnDay1q高层访谈（15-30分钟了解高层关注的焦点问题）q审核前必须有一个opening meeting（30分钟）q练习：四人分两组，分别审核GetRich银行各个部门n每天审核结束前（4：00-4：30）开审核小组内部会议n审核小组同客户交流审核发现（4：30-5：00），确认当天的问题nDay2q中午开close meeting内部会议n由LA主持，审核师交流需要交接的内容，主要目的是合并共性的问题n总结归纳准备审查清单（e.g.）n服务器的型号、

35、购买时间、保修期、上门服务响应时间有记录吗？n服务器硬件配置、供应商联系方式有更新吗？n服务器上的所有软件安装清单、版本有记录吗？n供应商提供的软硬件维修/维护有记录吗？n服务器administrator/su密码由专人负责维护吗？n服务器访问控制审计记录？n对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级监控的系统弱点有监控吗？n对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级时进行过测试吗？准备审查清单-continuedn审计失败的登录/存取日至的周期是多少？n服务器上的外部USB端口是否禁用？n通过什么方式监控服务器软件的漏洞，例

36、如sql注入？n服务器DOWN掉之后通常如何处理？处理流程？n服务器上开放的端口共有几个？非常用端口的用途是什么？n采用何种方式远程登录服务器？n是否有服务器的系统备份？备份到哪里？n多长时间检查一下登录服务器的帐户清单？各种帐户的权限是否满足ISMS的要求？n如何处理服务器故障警报（磁盘、内存或最大并发数?)ISO27001 LA Training CourseDay 4ShanghaiFeb.21,2008闪现的几道题的答案nPolicyn经验n每年都需要审查到的条款：（经验）q4-8：每次都要审查到（每个部门都会涉及到）q资产清单q职责、权限q事故管理qBCPq法律法规n结束会议：q交流

37、信息，交接希望与他人沟通的内容，归纳不符合项！q对于不符合项，Close meeting之前就应该进行了确认！Conduct an auditqOpening meetingn自我介绍/介绍对方n领导致词nLA要宣布和确认如下内容：q目的、适用标准和文件q关注焦点（不一定，之前和高层领导交流）q公司名称（最好包含部门）q范围、地点（子公司、分公司，核心部门的外延，如机房、异地备份中心）q审核计划nLA介绍q审核方法（抽样2-3个，若有问题再加1-2个）q报告方法和不符合项的构成q沟通方式、各种会议介绍末次会议时间及安排q后勤事宜q有无特殊区域、特殊穿戴、装备要求？nLA作保密声明审核技巧nFu

38、nnel technique漏斗技术qOpen问题nWhat?How?Why?qClosed问题nWho?Is it?qAlternativenConfirm:抽样！n审核开始时最好由对方多讲，从职责讲起n切记不要当tutorPeter,CIOIT system and network support SteveSoftware application KarenSystem administrator James Senior programmerSystem administrator JasonProgrammer1Programmer2DBAGetRich Bank Organizat

39、ional ChartJust for training drawingTo deathIf you are our enemyYou will be always tiredAlso 末次会议n末次会议10分钟q之前有一个audit team的会议，合并所有问题q感谢q通报审核结果q总结：优势和劣势q发现沟通/提问和确认发现q审核发现的行动要求（客户写原因，要有改进计划和证据）q签署确认书/定期审核安排（再次确认公司名称、地点）q保密要求ISO27001 LA Training CourseDay 5ShanghaiFeb.22,2008Prepare for examinationn上午复

40、习n下午准备考试ISO27001主要条款一览n4 信息安全管理体系信息安全管理体系n4.1 总要求n4.2 建立和管理ISMSn4.2.1 建立ISMSn4.2.2 实施和运作ISMSn4.2.3 监控和评审ISMSn4.2.4 维护和改进ISMSn4.3 文件要求n4.3.1 总则n4.3.2 文件控制n4.3.3 记录控制n5 管理职责管理职责n5.1 管理承诺n5.2 资源管理n5.2.1 提供资源n5.2.2 培训、意识和能力n6 信息安全管理体系内部审核信息安全管理体系内部审核n7 信息安全管理体系管理评审信息安全管理体系管理评审n7.1 总则n7.2 评审输入n7.3 评审输出n8

41、 ISMS改进改进n8.1 持续改进n8.2 纠正措施n8.3 预防措施nA.5 信息安全策略信息安全策略nA.5.1 信息安全策略nA5.1.1 信息安全策略文件（DOC）nA5.1.2 信息安全策略评审（Reviewed）nA.6 信息安全组织信息安全组织nA.6.1 内部组织nA.6.1.1 信息安全管理承诺nA.6.1.2 信息安全协作nA.6.1.3 信息安全责任划分nA.6.1.4 信息处理设施授权过程nA.6.1.5 保密协议nA.6.1.6 与监管机构的联系nA.6.1.7 与特殊利益团体适当的联系nA.6.1.8 信息安全独立审查nA.6.2 外部组织nA.6.2.1 识别外

42、部组织风险nA.6.2.2 当与客户接触时强调安全nA.6.2.3 在第三方协议中强调安全nA.7 资产管理资产管理nA.7.1 资产的责任nA.7.1.1 资产清单nA.7.1.2 资产所有权nA.7.1.3 资产的合理使用（DOC）nA.7.2 信息分类nA.7.2.1 分类原则nA.7.2.2 信息标识及处理nA.8 人力资源的安全人力资源的安全nA.8.1 雇佣之前（员工、合同人员、第三方人员）nA.8.1.1 角色和职责（DOC）nA.8.1.2 人员筛选 （背景调查）nA.8.1.3雇佣条款和条件nA.8.2 雇佣中nA.8.2.1 管理职责（员工、合同人员、第三方人员）nA.8.

43、2.2 信息安全意识、教育与培训nA.8.2.3 惩戒过程nA.8.3 雇佣终止和变更nA.8.3.1 终止责任nA.8.3.2 资产归还nA.8.3.3 删除访问权限nA.9 物理和环境安全物理和环境安全nA.9.1 安全区域nA.9.1.1 物理安全边界nA.9.1.2 物理进入控制nA.9.1.3 办公室、房间及设施和安全nA.9.1.4防范外部和环境威胁nA.9.1.5 在安全区域工作nA.9.1.6 公共访问和装卸区域nA.9.2设备安全nA.9.2.1 设备安置及保护ISO27001主要条款一览nA.9.2.2 支持设施nA.9.2.3 电缆安全nA.9.2.4 设备维护nA.9.

44、2.5 管辖区域外设备安全nA.9.2.6 设备报废或重用nA.9.2.7 财产转移nA.10 通讯与操作管理通讯与操作管理nA.10.1 操作程序及职责nA.10.1.1 文件化的操作程序（）nA.10.1.2 变更管理 nA.10.1.3 职责分离nA.10.1.4 开发、测试与运营设施的分离nA.10.2 第三方服务交付管理nA.10.2.1 服务交付nA.10.2.2 第三方服务的监督和评审（Review）nA.10.2.3 第三方服务的变更管理nA.10.3 系统规划和验收nA.10.3.1 容量管理nA.10.3.2 系统验收（测试）nA.10.4 防范恶意代码和移动代码nA.10

45、.4.1 控制恶意代码 （病毒）nA.10.4.2 控制移动代码nA.10.5 备份nA.10.5.1 信息备份（Regularly）nA.10.6 网络安全管理nA.10.6.1 网络控制nA.10.6.2 网络服务安全（网络服务级别）nA.10.7 介质处理nA.10.7.1 可移动介质管理nA.10.7.2 媒体销毁nA.10.7.3 信息处理程序nA.10.7.4 系统文档安全nA.10.8 信息交换nA.10.8.1 信息交换策略和程序nA.10.8.2 交换协议nA.10.8.3 物理介质传输nA.10.8.4 电子消息nA.10.8.5 业务信息系统nA.10.9电子商务nA.1

46、0.9.1 电子商务nA.10.9.2 在线交易nA.10.9.3 公共可用信息nA.10.10 监督nA.10.10.1 审核日志nA.10.10.2 监控系统的使用nA.10.10.3日志信息保护nA.10.10.4 管理员和操作员日志nA.10.10.5 错误日志nA.10.10.6 时钟同步nA.11 访问控制访问控制nA.11.1 访问控制的业务需求nA.11.1.1 访问控制策略（DOC）nA.11.2 用户访问管理nA.11.2.1 用户注册nA.11.2.2 特权管理nA.11.2.3 用户口令管理nA.11.2.4 用户访问权限的评审（Review）nA.11.3 用户责任n

47、A.11.3.1 口令使用nA.11.3.2无人值守的用户设备nA.11.3.3 清除桌面机屏幕策略nA.11.4 网络访问控制nA.11.4.1 网络服务使用策略nA.11.4.2 外部连接用户的鉴别（远程访问）nA.11.4.3 网络设备的识别nA.11.4.4 远程诊断和配置端口保护nA.11.4.5 网内隔离nA.11.4.6 网络连接控制nA.11.4.7网络路由控制nA.11.5 操作系统访问控制nA.11.5.1 安全登录程序nA.11.5.2 用户标识和鉴别（唯一的UID）nA.11.5.3 口令管理系统nA.11.5.4 系统设施的使用nA.11.5.5 会话超时nA.11.

48、5.6 联机时间限制nA.11.6应用系统和信息访问控制nA.11.6.1 信息访问限制nA.11.6.2 敏感系统隔离ISO27001主要条款一览nA.11.7 移动计算和远程工作nA.11.7.1 移动计算和通讯nA.11.7.2 远程工作nA.12 信息系统采集、开发及维护信息系统采集、开发及维护nA.12.1 信息系统安全要求nA.12.1.1安全要求分析及规范nA.12.2 应用程序中的正确处理nA.12.2.1 输入数据验证nA.12.2.2 内部处理控制nA.12.2.3 消息完整性nA.12.2.4 输出数据验证nA.12.3 加密控制nA.12.3.1 使用加密控制的策略nA

49、.12.3.2 密钥管理nA.12.4 系统文档安全nA.12.4.1操作软件控制nA.12.4.2系统测试数据的保护nA.12.4.3 源代码库的访问控制nA.12.5 开发及支持过程的安全nA.12.5.1 变更控制程序nA.12.5.2 操作系统变更的技术审查nA.12.5.3 软件包变更限制nA.12.5.4 信息泄露nA.12.5.5 软件外包开发nA.12.6 技术漏洞管理nA.12.6.1 控制技术漏洞nA.13 信息安全事故的管理信息安全事故的管理nA.13.1报告安全时间和弱点nA.13.1.1 信息安全事件报告nA.13.1.2 报告信息安全弱点（员工、合同人员、第三方人员

50、）nA.13.2 信息安全事故的管理和改进nA.13.2.1职责和程序nA.13.2.2 从安全事故中学习nA.13.2.3 收集证据nA.14 业务连续性管理业务连续性管理nA.14.1 业务连续管理信息的安全方面nA.14.1.1 包含信息安全的业务连续性管理过程nA.14.1.2 业务连续性及风险评估nA.14.1.3开发和实施包括信息安全的持续计划nA.14.1.4 业务连续性计划架构nA.14.1.5 业务连续计划的测试、维护与再评估（Regularly）nA.15 符合性符合性nA.15.1法律要求的符合性nA.15.1.1 识别使用的法律法规nA.15.1.2 知识产权nA.15