适用性声明

A.5.1.1信息安全策略信息安全策略集应由管理者批准、发布并传达给所有员工和相关方外部。A.5.1.2信息安全策略的评审信息安全策略应按计划的时间间隔或当重大变化发生时进行评审，以确保其持续的适宜性、充分性和有效性。A.6.1.1信息安全角色和职责所有的信息安全职责应予以清晰地定义。A.6.1.2职责分离分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用组织资产的机会A.6.1.3与政府部门的联系应保持与政府相关部门的适当联系。A.6.1.4与特定权益团体的联系应保持与特定权益团体、其他安全专家组和专业协会的适当联系。A.6.1.5项目管理中的信息安全无论项目是什么类型，在项目管理中都应处理信息安全问题。A6.2.1移动设备策略应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。A6.2.2远程工作应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。A.6.1内部组织目标：建立管理框架，以启动和控制组织范围内的信息安全的实施和运行。A.5信息安全策略条款目标控制措施A.7人力资源安全A.7.1任用之前A.5.1信息安全的管理方向目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。A.6信息安全组织A.6.2移动设备和远程工作目标：确保远程工作和使用移动设备时的安全。A.7.1.1审查关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。A.7.1.2任用条款和条件与雇员、承包方人员的合同协议要声明他们和组织的信息安全职责。A.7.2.1管理职责管理者应要求雇员、承包方人员按照组织已建立的方针策略和程序对安全尽心尽力。A7.2.2信息安全意识、教育和培训组织的所有雇员，适当时，包括承包方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。A.7.2.3纪律处理过程应有一个正式的已传达的纪律处理过程，来对信息安全违规的雇员采取措施。A.7.3.1任用终止或变更职责应定义信息安全职责和义务在任用终止或变更后保存有效的要求，并传达给雇员或承包方人员，予以执行。A.8.1.1资产清单应清晰的识别所有资产，编制并维护所有重要资产的清单。A.8.1.2资产所有权清单中所维护的资产应分配所有权。A.8.1.3资产的可接受使用与信息处理设施有关的信息和资产的可接受使用规则应被确定、形成文件并加以实施。A.8.1.4资产的归还所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。A.8.2信息分类A.8.1对资产负责目标：识别组织资产，并定义适当的保护职责。目标：确保雇员、承包方人员理解其职责、考虑对其承担的角色。目标：将保护组织利益作为变更或终止任用过程的一部分。A.7.2任用中目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织A.7.3任用的终止或变化A.8资产管理A.8.2.1信息的分类信息应按照它对组织的价值、法律要求、关键性以及它对未授权泄漏或修改的敏感性予以分类。A.8.2.2信息的标记应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记A.8.2.3信息的处理应按照组织所采纳的信息分类机制建立和实施处理资产程序。A.8.3.1可移动介质的管理应按照组织所采纳的分类机制实施可移动介质的管理程序。A.8.3.2介质的处置不再需要的介质，应使用正式的程序可靠并安全地处置。A.8.3.3物理介质传输包含信息的介质在运送时，应防止未授权的访问、不当使用或毁坏。A.9.1.1访问控制策略访问控制策略应建立、形成文件，并基于业务和信息安全要求进行评审。A.9.1.2网络和网络服务的访问用户应仅能访问已获专门授权使用的网络和网络服务。A.9.2.1用户注册及注销应实施正式的用户注册及注销规程，使访问权限得以分配。A.9.2.2用户访问开通应实施正式的用户访问开通过程，以分配或撤销所有系统和服务所有用户类型的访问权限。A.9.2.3特殊访问权限管理应限制和控制特殊访问权限的分配及使用。A.9.2.4用户秘密鉴别信息管理应通过正式的管理过程控制秘密鉴别信息的分配。目标：确保信息按照其对组织的重要性受到适当级别的保护。A.8.3介质处置目标：防止存储在介质上的信息遭受未授权泄漏、修改、移动或销毁。A.9访问控制A.9.1安全区域目标：限制对信息和信息处理设施的访问。A.9.2用户访问管理目标：确保授权用户访问系统和服务，并防止未授权的访问。A.9.2.5用户访问权限的复查资产所有者应定期复查用户的访问权限。A.9.2.6撤销或调整访问权限所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销，或在变化时调整。A.9.3.1使用秘密鉴别信息应要求用户在使用秘密鉴别信息时，遵循组织的实践。A.9.4.1信息访问控制应依照访问控制策略限制对信息和应用系统功能的访问。A.9.4.2安全登录规程在访问控制策略要求下，访问操作系统和应用应通过安全登录规程加以控制。A.9.4.3口令管理系统口令管理系统应是交互式的，并应确保优质的口令。A.9.4.4特殊权限使用工具软件的使用对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以限制并严格控制。A.9.4.5对程序源代码的访问控制应限制访问程序源代码。A.10.1.1使用密码控制的策略应开发和实施使用秘密控制措施来保护信息的策略。A.10.1.2密钥管理宜开发和实施贯穿整个密钥生命周期的关于密钥使用、保护和生存期的策略。A.11.1.1物理安全周边应定义安全周边和所保护的区域，包括敏感或关键的信息和信息处理设施的区域。A.11.1安全区域目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。目标：使用户承担保护认证信息安全的责任。目标：防止对系统和应用的未授权访问。A.10密码学A.10.1秘密控制目标：恰当和有效的利用密码学保护信息的保密性、真实性或完整性。A.11物理和环境安全A.9.4系统和应用访问控制A.9.3用户职责A.11.1.2物理入口控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。A.11.1.3办公室、房间和设施的安全保护应为办公室、房间和设施设计并采取物理安全措施。A.11.1.4外部环境威胁的安全防护为防止自然灾害、恶意攻击或事件，应设计和采取物理保护措施。A.11.1.5在安全区域工作应设计和运用用于安全区域工作的规程A.11.1.6交接区安全访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，要与信息处理设施隔离，以避免未授权访问。A.11.2.1设备安置和保护应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。A.11.2.2支持性设施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。A.11.2.3布缆安全应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。A.11.2.4设备维护设备应予以正确地维护，以确保其持续的可用性和完整性。A.11.2.5资产的移动设备、信息或软件在授权之前不应带出组织场所。A.11.2.6组织场所外的设备和资产的安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险。A.11.2.7设备的安全处置或再利用包含储存介质的设备的所有项目应进行验证，以确保在处置之前，任何敏感信息和注册软件已被删除或安全的重写覆盖。A.11.2.8无人值守的用户设备用户应确保无人值守的用户设备有适当的保护A.11.2.9清空桌面和屏幕策略应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。A.11.2设备安全目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.12操作安全A.12.1操作程序和职责A.12.1.1文件化的操作程序操作程序应形成文件、保持并对所有需要的用户可用。A.12.1.2变更管理对英雄信息安全的组织、业务过程、信息处理设施和系统的变更应加以控制。A.12.1.3容量管理资源的使用应加以监视、调整，并应作出对于未来容量要求的预测，以确保拥有所需的系统性能。A.12.1.4开发、测试和运行设施分离开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。A.12.2.1控制恶意软件应实施恶意软件的检测、预防和恢复的控制措施，以及适当的提高用户安全意识。A.12.3.1信息备份应按照已设的备份策略，定期备份和测试信息和软件。A.12.4.1事态记录应产生记录用户活动、异常情况、故障和信息安全事态的事态日志，并保存定期评审。A.12.4.2日志信息的保护记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。A.12.4.3管理员和操作员日志系统管理员和系统操作员活动应记入日志，保护日志并定期评审。A.12.4.4时钟同步一个组织或安全域内的所有相关信息处理设施的时钟应使用单一参考时间源进行同步。A.12.5.1在运行系统上安全软件应实施规程来控制在运行系统上安装软件。目标：记录事态和生成证据。A.12.5运行软件的控制目标：确保运行系统的完整性。A.12.6技术脆弱性管理目标：确保正确、安全的操作信息处理设施。A.12.2恶意软件防护目标：确保对信息和信息处理设施进行恶意软件防护。A.12.3备份目标：为了防止数据丢失。A.12.4日志和监视A.12.6.1技术脆弱性的控制应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。A.12.6.2限制软件安装应建立和实施软件安装的用户管理规则。A.12.7.1信息系统审计控制措施涉及对运行系统验证的审计要求和活动，应谨慎地加以规划并取得批准，以便使造成业务过程中断最小化。A.13.1.1网络控制应充分管理和控制网络，以保护系统中信息和应用程序的安全。A.13.1.2网络服务安全安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的。A.13.1.3网络隔离应在网络中隔离信息服务、用户以及信息系统。A.13.2.1信息传递策略和规程应有正式的传递策略、规程和控制措施，以保护通过使用各种类型通信设施的信息传递。A.13.2.2信息传达协议协议应解决组织与外部方之间业务信息的安全传递。A.13.2.3电子消息发送包含在电子消息发送中的信息应给予适当的保护。A.13.2.4保密性或不泄露协议应识别、定期评审并记录反映组织信息保护需要的保密性或不泄露协议的要求。A.14系统获取、开发和维护目标：将运行信息系统审计活动的影响最小化。A.13通信安全A.13.1网络安全管理目标：确保网络中信息的安全性并保护支持性信息处理设施。A.13.2信息传递目标：保持组织内以及与组织外信息传递的安全。目标：防止技术脆弱性被利用。A.12.7信息系统审计考虑A.14.1.1信息安全要求分析和说明信息安全相关要求应包括新的信息系统或增强已有信息系统的要求。A.14.1.2公共网络应用服务安全应保护公共网络中的应用服务信息，以防止欺骗行为、合同纠纷、未授权泄漏和修改。A.14.1.3保护应用服务交易应保护涉及应用服务交易的信息，防止不完整传送、错误路由、未授权消息变更、未授权泄漏、未授权信息复制或重放。A.14.2.1安全开发策略应建立软件和系统开发规则，并应用于组织内的开发。A.14.2.2系统变更控制规程应通过使用正式变更控制程序开发生命周期中的系统变更。A.14.2.3运行平台变更后应用的技术评审当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。A.14.2.4软件包变更的限制应对软件包的修改进行劝阻，只限于变更的必要，且对所有的变更加以严格控制。A.14.2.5安全系统工程原则应建立、记录和维护安全系统工程原则，并