ISO27001標準附錄 A.10.1 操作規程和職責
【內容解析】
為安全地運行信息系統和處理設施,相關的操作規程、指南和方針策略對日常的運維工作尤為關鍵。此目標關注于信息處理設施的操作文件、變更管理、責任劃分和運行環境。
ISO27001標準附錄 A.10.1.1 文件化的操作規程
【內容解析】
管理層應針對信息系統和信息處理設施的用戶制定并保持與信息安全相關的操作規程。基于組織的特征,這類操作規程的覆蓋范圍可能很廣,如涉及個人數據備份、介質處理、郵箱的使用、機房的進入等。組織可結合風險評估以及信息安全方針、法律法規和組織的運營要求等因素制定這類管理規程或制度。
ISO27001標準附錄 A.10.1.2 變更管理
【內容解析】
對受控環境內信息處理系統和設施的任何變更都可能影響業務的運行,并對信息安全產生影響。因此對信息處理設施的變更要嚴加控制和監督。通常對信息處理設施和系統的變更須要經歷規范的處理過程。
ISO27001標準附錄 A.10.1.3 責任分割
【內容解析】
責任分割指將同一項工作任務或職能分配給不同的角色來承擔以降低產生錯誤或不良行為的機會。例如,兩個角色各自持有不同的鑰匙才能打開門禁。有關信息安全認證的職責應加以適當的分割以降低對資產的未授權的、無意識的或惡意的操作和使用。
ISO27001標準附錄 A.10.1.4 開發、測試和運行設施分離
【內容解析】
開發、測試與運行環境的分離是為了保護業務運行環境內的設施及相關數據,降低對生產運行系統未授權修改的風險。測試與開發的分離是為了使測試能在模擬的生產環境中運行以驗證交付的系統滿足生產和使用的要求。
ISO27001標準附錄 A.10.2 第三方服務交付管理
【內容解析】
通常認為組織自身為第一方,組織服務的顧客為第二方,第三方則指獨立于上述各方的個人或機構,包括合作伙伴、外部供應商、審核方等。
組織為管理第三方交付的服務,應就服務的級別和信息安全要求形成協議,并據此監督服務交付行為和過程。
ISO27001標準附錄 A.10.2.1 服務交付
【內容解析】
當組織需要第三方提供服務時,應與第三方簽署服務交付協議,其中包括規定的服務、服務交付的級別(水準)和安全控制措施。組織應接受并查驗第三方交付的服務,包括服務交付的行為、過程和結果,確保交付的服務滿足協議的要求。
ISO27001標準附錄 A.10.2.2 第三方服務的監視和評審
【內容解析】
由第三方提供的服務、產品或信息應定期進行監視和評審,證實履行協議中規定條款的準確性和符合性。監視第三方的服務交付需要配置一定的資源和技術能力,而評審服務應依據定期的服務報告和相關記錄。
ISO27001標準附錄 A.10.2.3 第三方服務的變更管理
【內容解析】
第三方服務對某些組織是十分關鍵的。管理層必須考慮第三方服務的變更對組織業務以及對信息安全的影響。變更可以導致新的業務需求或增加功能,不論在哪種情況下都應評估變更對信息安全的風險并確保配合有適當的控制和保護措施。
ISO27001標準附錄 A.10.3 系統規劃和驗收
【內容解析】
系統在規劃時就要識別失效的風險,充分考慮信息安全和容量需求,確保系統的安全性并具有充分的能力;在系統驗收時應通過正式的過程加以把控,保證所有的需求得到滿足。
ISO27001標準附錄 A.10.3.1 容量管理
【內容解析】
容量指信息處理系統或組件在一定運行性能時的最大吞吐量。。對IT系統及不同的組件其容量的度量單位不同,如對網絡用“帶寬”,對CPU用“核數和頻率”。容量對IT系統有時又稱為能力。對支持關鍵業務的信息處理系統應監視其運行的性能級別和容量。通過監視和預測信息處理系統和組件的容量,制定容量管理計劃來確保系統具有充分的容量滿足業務目標。
ISO27001標準附錄 A.10.3.2 系統驗收
【內容解析】
對新的系統或系統的升級驗收,管理層應預先定義正式的測試準則。通常組織應制定并實施一個正式的驗收過程。
ISO27001標準附錄 A.10.4 防范惡意和移動代碼
【內容解析】
惡意代碼是對信息處理系統的主要威脅之一,可產生很大的破壞力。移動代碼在使用不當時也會產生與惡意代碼相似的后果,從而威脅軟件和信息的完整性。因此必須嚴格防范惡意代碼,對移動代碼也需要謹慎控制。
ISO27001標準附錄 A.10.4.1 控制惡意代碼
【內容解析】
惡意代碼是指惡意編制的一段程序,它通過刪除或改寫文件、發送電子郵件、使計算機和組件無法工作來攻擊和破壞系統。惡意代碼通常包括計算機病毒、蠕蟲、特洛伊木馬、邏輯炸彈、間諜軟件和其他不良軟件等。組織對惡意代碼應備有檢測、預防和恢復破壞等多種遏制手段,對不同的目標群采取相應的控制措施。
ISO27001標準附錄 A.10.4.2 控制移動代碼
【內容解析】
移動代碼指可以從遠程系統獲得的軟件模塊,它通過網絡傳輸下載到本地的系統,沒有明顯的安裝和啟動,激活后自動執行某種功能。惡意的移動代碼意圖破壞信息系統和計算機的性能或安全,增加對系統的訪問,盜取未授權的信息,破壞信息、盜用系統資源或造成拒絕服務。
組織對信息處理系統和應用系統中的移動代碼應特別關注,應開發和實施控制措施來檢測未授權的移動代碼防止其在信息處理系統和應用系統中運行。
ISO27001標準附錄 A.10.5 備份
【內容解析】
為保持信息和信息處理設施的完整性及可用性,組織應建立并保持對數據信息、軟件和相關文件進行備份的機制,對備份應進行定期測試。確保在發生諸如系統或存儲介質故障等事件的情況下系統和信息能得以恢復。
ISO27001標準附錄 A.10.5.1 信息備份
【內容解析】
組織的關鍵數據和信息包括業務應用數據、軟件和系統配置應按照組織的備份策略定期備份,以便在緊急情況下用以恢復信息處理系統和業務或在需要的時候恢復原始信息。備份通常可分為日常備份和災難備份。
備份的信息應定期按恢復規程和業務聯系性計劃進行測試,確保能恢復數據和業務。
ISO27001標準附錄 A.10.6 網絡安全管理
【內容解析】
對組織內的網絡應從網絡管控及網絡服務的角度來保證安全。對跨越組織邊界的網絡也需要考慮適當的控制措施,以保護在公共網絡傳遞的數據。
ISO27001標準附錄 A.10.6.1 網絡控制
【內容解析】
網絡的管理和控制應結合適當的安全技術以實現預期的保護級別。為此首先應對全部網絡活動明確管理職責,建立有關網絡安全的管理規程和制度,指派專業人員或團隊來管理和維護網絡相關的設備、組件和服務,實施在線安全網絡管理和網絡安全監控。
ISO27001標準附錄 A.10.6.2 網絡服務安全
【內容解析】
網絡服務包括提供接入、私有網絡、增值網絡、網絡安全管理(含解決方案)等。為確保網絡服務的安全,不論是采用內部單位還是外部第三方來提供服務,組織都應識別所需要的網絡服務、服務的安全特性、服務級別以及對服務的管理要求,并在網絡服務級別協議中作出明確規定。在協議中還應對網絡服務方進行監管,以確保其具備約定的能力并滿足相關要求。
ISO27001標準附錄 A.10.7 介質處置
【內容解析】
介質是紙面的或電子化的、可移動的或相對固定的承載有信息的資產,這類資產在使用過程中如管理不當有可能造成信息的泄露、修改、移動或銷毀,甚至導致業務活動中斷。對各類介質組織應有健全的管控措施。
ISO27001標準附錄 A.10.7.1 可移動介質的管理
【內容解析】
可移動介質包括移動硬盤、USB盤、各種存儲卡、CD-ROMs、DVD盤、磁帶和打印的紙張等。可移動介質(尤其是便攜易傳送電子介質)的使用對組織的信息安全帶來風險,因而對員工使用可移動介質組織應按照定義的相關規程并在必要時結合技術措施加以適度的管理。
ISO27001標準附錄 A.10.7.2 介質的處置
【內容解析】
含有組織信息和數據的介質,當其不再需要保留或使用時,應按照組織發布的管理規程采用適當的方式加以銷毀 或處理(包括介質的再利用)。
ISO27001標準附錄 A.10.7.3 信息處理規程
【內容解析】
信息可以以書面或電子的方式記錄和存儲,通過人工或自動化的工具設施進行處理,并以多種方式進行通信。組織應基于信息的保密級別在信息的存儲、處理和通信等各個環節上建立必要的安全操作規程,以防止對信息未授權的誤用或毀壞。
ISO27001標準附錄 A.10.7.4 系統文件安全
【內容解析】
為了將系統被侵入和損害的風險最小化,信息處理設施的系統文件應得到安全保護以防止未授權的訪問。系統文件的范圍可以很廣泛,包括計算機系統文件、設備配置文件、網絡拓撲圖等。
ISO27001標準附錄 A.10.8 信息的交換
【內容解析】
組織內以及與外部的相關方在業務活動中必然要進行信息溝通,組織內外間的信息交換應在管理制度、物理和邏輯上進行控制,以確保信息交換的安全。
ISO27001標準附錄 A.10.8.1 信息交換策略和規程
【內容解析】
為保障信息交換的安全,對組織內外的信息交換應制定和發布正式的策略和規程。由于存在范圍廣泛的信息交流和多種多樣的信息交換方法,信息交換中的安全意識也是這項控制措施的要點。
ISO27001標準附錄 A.10.8.2 交換協議
【內容解析】
組織與外部相關方進行信息交換應建立法律協議,明確交換數據或信息的類別、標記、管理職責、相關規程和技術標準等。交換協議可以是多種形式(如,電子的或書面的)。這里的軟件是指記錄和閱讀信息相關的軟件。
ISO27001標準附錄 A.10.8.3 運輸中的物理介質
【內容解析】
對于要傳輸的物理介質,不論采用何種傳送方式(如快遞、信使等)組織應都基于信息的保密級別對介質采取適當的保護措施。一旦含有保密信息的物理介質離開組織的邊界,還應監視其在運輸中的狀態,直到安全接收。
ISO27001標準附錄 A.10.8.4 電子消息發送
【內容解析】
電子消息包括EDI、E-Mail、即時消息(如QQ、MSN等)、短消息或多媒體消息(如彩信),但不包含傳真和通常的電話語音通訊。對電子消息的保護主要在于防止未授權的截取、破壞或不正確的交付。
ISO27001標準附錄 A.10.8.5 業務信息系統
【內容解析】
組織內不同業務或部門間的信息共享可通過信息系統和設施的互聯,對關聯信息共享系統的脆弱性和介入人員(包括不同類別的內部人員、承包方人員和業務伙伴人員)應加以識別控制,以保護與業務運營相關的共享信息(包括文件、視頻、語音等),為此管理層應制定并實施相關的策略和規程。
ISO27001標準附錄 A.10.9 電子商務服務
【內容解析】
電子商務是一種高風險業務,從事電子商務的組織應提供安全的服務并確保服務使用的安全,包括提供完整準確的信息、保護客戶的信息和確保交易安全。
ISO27001標準附錄 A.10.9.1 電子商務
【內容解析】
電子商務中的信息包括客戶的信息(如,注冊信息、交易信息、訂單等)和商家的業務信息。對電子商務通過公共網絡傳輸的信息和數據應有保護措施,防止對信息的未授權的泄露、修改和網絡欺詐。
ISO27001標準附錄 A.10.9.2 在線交易
【內容解析】
電子商務的交易存在風險,消息可能被路由到錯誤的終端、消息被篡改或泄露給未授權的人等。因此要采取適當的控制措施降低交易風險并滿足相關法律法規的要求。
ISO27001標準附錄 A.10.9.3 公共可用信息
【內容解析】
電子商務采用一種公共可用系統進行業務活動,其運營會處于較大的風險環境,因為接入因特網的任何一個人都可以訪問,如果信息被篡改將可能面臨各種糾紛。組織為保護信息應適時地開發、實施和評價控制措施,防止在公共可用系統中發布的信息遭受未授權的修改。
ISO27001標準附錄 A.10.10 監視
【內容解析】
監視信息處理設施中的關鍵系統和應用是一種高度有效的安全控制措施,組織應具備適當的監控手段以及管理機制,及時檢測出信息處理環境中的未授權活動以便做出處置。
ISO27001標準附錄 A.10.10.1 審計記錄
【內容解析】
審計記錄(或審計日志)是一種計算機文件,它記錄了系統(尤其是應用系統)用戶的全部活動包括對記錄的修改細節。審核記錄可能包含敏感信息,例如用戶的賬戶信息,應妥善加以保護,防止未授權的泄露和破壞。
ISO27001標準附錄 A.10.10.2 監視系統的使用
【內容解析】
對信息處理系統的基礎設施和應用系統的正常運行及使用情況要加以監視。對監視結果應定期評審。對系統的監視包括運行監視(如針對系統的性能、占用的資源、帶寬等)和安全監視(如入侵檢測),對安全監視的人員必須要了解對系統和環境的威脅以識別潛在的危險。對監視系統的管理需要有相關的規程,確保監管人員能及時發現并處理問題,發揮監管資源的效能。
ISO27001標準附錄 A.10.10.3 日志信息的保護
【內容解析】
日志包括系統日志、審計日志和安全事態日志等。對記錄日志的設施和日志信息應識別控制措施,妥善加以保護防止未授權的訪問,確保信息的完整性。
ISO27001標準附錄 A.10.10.4 管理員和操作員日志
【內容解析】
系統管理員和操作員對系統的操作行為應加以記錄和監視。設定管理員級別的訪問權可能有業務運行的要求,但如果被未授權的或含有不良意圖的人所利用就會對系統和業務帶來巨大風險。基于安全的考慮可在管理員控制范圍之外實施某種入侵檢測系統。
ISO27001標準附錄 A.10.10.5 故障日志
【內容解析】
信息技術系統和應用有時會發生故障或錯誤。有的故障系統可自動告警和記錄,有些故障則需要人工報告和記錄。組織應對故障記錄進行匯總,由維護人員進行分析并盡快處理。在這些故障中有些可能與安全有關,對可疑的活動需要繼續跟蹤監視并采取適當的措施。
ISO27001標準附錄 A.10.10.6 時鐘同步
【內容解析】
時鐘同步在信息安全上是一個重要的因素,它確保安全日志記錄了與其他網絡組件和系統相關聯的所有事態發生的準確時間,也是安全事件取證的依據。時間對安全事態也十分重要,因為它追蹤了入侵者的路徑。
在認證領域內,立標顧問擁有的審核團隊,其中大多數審核員擁有多標準資質。這一龐大的多技能審核員隊伍意味著立標能夠同時在全國不同的地點處理多標準審核,加快合規保證過程,使您的項目無憂管理。
共有條評論 網友評論