一、IS027001:2013版和2005版區別
| ISO27001:2005版 | ISO27001:2013版 | 備註 |
| A5安全方針 | A5安全方針 | |
| A6信息安全組織 | A6信息安全組織 | |
| A8人力資源安全 | A7人力資源安全 | |
| A7資產管理 | A8資產管理 | |
| A11訪問控制 | A9訪問控制 | |
| A10密碼學 | 新增 | |
| A9物理和環境安全 | A11物理和環境安全 | |
| A10通信與操作管理 | A12操作安全 | 由舊版拆分 |
| A13通信安全 | 由舊版拆分 | |
| A12信息系統獲取、開發和維護 | A14系統獲取、開發和維護 | |
| A15供應關係 | 新增 | |
| A13信息安全事件管理 | A16信息安全事件管理 | |
| A14業務連續性管理 | A17業務連續性管理的信息安全方面 | |
| A15符合性 | A18符合性 |
二、ISO27001:2013版內容
| 14控制域 | 控制措施 | |
| A5安全方針 | ||
| A5.1 信息安全管理方向 目的:爲信息安全提供管理指導和支持並確保信息安全符合業務需求和相關法律、法規 | ||
| A5.1.1 | 信息安全方針 | 信息安全方針文件應由管理者批准、發佈並傳達給所有員工和外部相關方 |
| A5.1.2 | 信息安全方針的評審 | 應按計劃的時間間隔或當重大變化發生時進行信息安全方針評審,以確保它持續的適宜性、充分性和有效性 |
| A6信息安全組織 | ||
| A6.1 內部組織 目的:建立一個管理框架,啓動和控制組織內實施信息安全 | ||
| A6.1.1 | 信息安全的角色和職責 | 所有信息安全職責應被定義及分配 |
| A6.1.2 | 與監管機構的聯繫 | 應與監管機構保持適當的接觸 |
| A6.1.3 | 與特殊利益團體的聯繫 | 與特定利益團隊、其他專業安全論壇或行業協會應保持適當聯繫 |
| A6.1.4 | 項目管理中的信息安全 | 信息安全應融入項目管理中,與項目類型無關 |
| A6.1.5 | 職責分離 | 衝突的職責和權限應被分開,減少對資產未經授權或無意的修改與誤用 |
| A6.2 移動設備和遠程辦公 目的:確保遠程辦公和移動設備使用的安全性 | ||
| A6.2.1 | 移動設備策略 | 應使用配套策略和安全措施來防止移動設備帶來的風險 |
| A6.2.2 | 遠程辦公 | 應使用配套策略和安全措施來保護信息訪問,處理或遠程存儲 |
| A7人力資源安全 | ||
| A7.1 任用之前 目的:確保組織內人員理解其職責、考慮其承擔的角色是適合的。 | ||
| A7.1.1 | 篩選 | 根據相關法律、法規、道德規範,對員工、合同人員及第三方人員的應聘人員進行背景調查,調查應符合業務需求、訪問信息的類別及已知風險 |
| A7.1.2 | 任用的條款及條件 | 作爲合同義務的一部分,員工應同意並簽訂就業合同的條款和條件,應當載明其對組織信息安全的職責 |
| A7.2 任用中 目的:確保員工和外部方用戶意識到並履行信息安全職責 | ||
| A7.2.1 | 管理職責 | 管理層應要求員工、合同方和第三方用戶應用符合組織建立的安全策略和程序的安全 |
| A7.2.2 | 信息安全意識,教育和培訓 | 組織內所有員工、相關合同人員及第三方人員應接受適當的意識培訓,並定期更新與他們工作相關的組織策略及程序 |
| A7.2.3 | 紀律處理過程 | 對於安全違規的僱員,應有一個正式與可溝通的紀律處理過程 |
| A7.3 任用的終止或變化 目的:保證組織利益是僱傭終止和變更的一部分 | ||
| A7.3.1 | 任用終止或變化的責任 | 任用終止或變更後依然有信息安全責任和義務的人,應該被界定和傳達僱員或給外部方執行 |
| A8資產管理 | ||
| A8.1 對資產負責 目的:實現和保持對組織資產的適當保護 | ||
| A8.1.1 | 資產清單 | 應確定與信息和信息處理設施相關的資產,編制並維護資產清單 |
| A8.1.2 | 資產責任人 | 庫存的資產應有責任人 |
| A8.1.3 | 資產的允許使用 | 與信息處理設施有關的信息和資產可接受使用規則應被確定、形成文件並加以實施 |
| A8.2 信息分類 目的:依照信息重要性分級,確保信息受到分級保護 | ||
| A8.2.1 | 信息的分類 | 信息應按照其對組織的價值,法律要求,敏感性和關鍵性分類 |
| A8.2.2 | 信息的標記 | 根據組織採用的信息分類方案,應制定並實施一套信息標記流程 |
| A8.2.3 | 資產的處理 | 根據組織採用的信息分類方法,應制定並實施一套資產處理流程 |
| A8.2.4 | 資產的歸還 | 所有員工、外部方用戶在合同終止或協議終止後應歸還組織的資產 |
| A8.3 介質處理 目的:爲了防止存儲在介質上的信息被未經授權的披露,修改,刪除或破壞 | ||
| A8.3.1 | 可移動介質的管理 | 根據組織採用的分類方法來執行可移動介質管理流程 |
| A8.3.2 | 介質的處置 | 不需要的介質,應使用正式的規程可靠並安全地處置 |
| A8.3.3 | 物理介質傳輸 | 在傳輸過程中,包含信息的介質應加以保護,防止未經授權的訪問,濫用或損壞。 |
| A9訪問控制 | ||
| A9.1 訪問控制的業務需求 目的:限制訪問信息和信息處理設施 | ||
| A9.1.1 | 訪問控制策略 | 應建立一個訪問控制策略,並基於業務和訪問的安全要求進行評審 |
| A9.1.2 | 網絡服務的使用政策 | 只提供用戶已授權的網絡訪問與網絡服務 |
| A9.2 用戶訪問管理 目的:確保授權用戶訪問系統和服務,並防止未授權的訪問 | ||
| A9.2.1 | 用戶註冊和註銷 | 應爲所有系統和服務中所有用戶類型的授權和撤銷建立一套註冊與註銷的流程 |
| A9.2.2 | 特權管理 | 應限制和控制特殊權限的分配及使用 |
| A9.2.3 | 用戶密碼認證信息的管理 | 應使用正式的管理流程來控制祕密認證信息的分配 |
| A9.2.4 | 用戶訪問權的複查 | 資產所有者應當定期審查用戶的訪問權限 |
| A9.2.5 | 移除或調整訪問權限 | 當合同或協議終止後,應刪除或調整所有工作人員和外部人員用戶信息和信息處理設施的訪問權限 |
| A9.3 用戶職責 目的:讓用戶明確身份認證信息的保護負責 | ||
| A9.3.1 | 祕密認證信息的使用 | 應要求用戶按照組織安全實踐來使用祕密認證信息 |
| A9.4 系統和應用程序的訪問控制 目的:防止對系統和應用的未授權使用 | ||
| A9.4.1 | 信息訪問限制 | 應依據訪問控制策略來限制對信息和應用系統功能的訪問 |
| A9.4.2 | 安全登錄程序 | 如果訪問控制策略需要,應通過安全登錄程序控制對操作系統的訪問 |
| A9.4.3 | 口令管理系統 | 口令管理系統應採用交互式口令並確保口令質量 |
| A9.4.4 | 特權實用程序的使用 | 對可能超越系統和應用程序控制措施的實用工具的使用應加以限制並嚴格控制 |
| A9.4.5 | 程序源碼的訪問控制 | 對程序源代碼的訪問應被限制 |
| A10密碼學 | ||
| A10.1 密碼控制 目的:使用密碼適當有效的保護信息的機密性、真實性和完整性 | ||
| A10.1.1 | 密碼使用控制政策 | 應制定和實施信息保護密碼控制策略 |
| A10.1.2 | 祕鑰管理 | 應制定和實施祕鑰的使用,保護,使用期策略並貫穿其整個生命週期 |
| A11物理和環境安全 | ||
| A11.1 安全區域 目的:阻止對組織場所和信息的未授權物理訪問、損壞和干擾 | ||
| A11.1.1 | 物理安全邊界 | 應設置安全邊界來保護包含敏感信息,危險信息和信息處理設施的安全 |
| A11.1.2 | 物理入口控制 | 安全區域應由適合的入口控制所保護,以確保只有授權的人員才允許訪問 |
| A11.1.3 | 辦公司,房間和設施的安全保護 | 應爲辦公室、房間和設施設計並採取物理安全措施 |
| A11.1.4 | 外部和環境威脅的安全防護 | 應設計並採取物理安全措施來防範自然災害,惡意×××或事故 |
| A11.1.5 | 在安全區域工作 | 應設計和應用用於安全區域工作的物理保護措施和指南 |
| A11.1.6 | 交付和交接區 | 訪問點(例如交接區)和未授權人員可進入辦公場所的其他點應加以控制,如果可能,應與信息處理設施隔離,以避免未授權訪問 |
| A11.2 設備 目的:防止資產的丟失、損壞、失竊或危及資產安全以及組織活動的中斷 | ||
| A11.2.1 | 設備安置和保護 | 應妥善安置及保護設備,以減少來自環境的威脅與危害以及未經授權的訪問 |
| A11.2.2 | 支持性設備 | 應保護設備使其免於支持性的失效而引起的電源故障和其他中斷 |
| A11.2.3 | 布攬安全 | 應保護傳輸數據或支持信息服務的電力及通訊電纜,免遭攔截或破壞 |
| A11.2.4 | 設備維護 | 設備應予以正確地保護,以確保其持續的可用性的完整性 |
| A11.2.5 | 資產的移動 | 設備、信息或軟件在授權之前不應帶出組織 |
| A11.2.6 | 場外設備和資產安全 | 應對組織場所外的資產採取安全措施,要考慮工作在組織場所外的不同風險 |
| A11.2.7 | 設備的安全處置或再利用 | 包含存儲介質的設備的所有項目應進行覈查,以確保在處置之前,任何敏感信息和註冊軟件已被刪除或安全地寫覆蓋 |
| A11.2.8 | 無人值守的用戶設備 | 用戶應確保無人值守的用戶設備有適當的保護 |
| A11.2.9 | 清除桌面和清屏策略 | 應採取清空桌面上的文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略 |
| A12操作安全 | ||
| A12.1 操作程序和職責 目的:確保正強、安全的操作信息處理設施 | ||
| A12.1.1 | 文件化的操作程序 | 操作過程應形成文件,並提供給所有需要的用戶 |
| A12.1.2 | 變更管理 | 對組織,業務流程,信息處理設施和系統的變更應加以控制 |
| A12.1.3 | 容量管理 | 資源的使用應加以監視、調整,並作出對於未來容量要求的預測,以確保擁有所需的系統性能 |
| A12.1.4 | 開發,測試和運行環境的分離 | 開發及測試環境應與運營環境分離。減少未授權訪問和對操作系統變更的風險 |
| A12.2 惡意軟件防護 目的:確保信息和信息處理設施不受惡意軟件侵害 | ||
| A12.2.1 | 控制惡意軟件 | 應實現結合適當的用戶體驗,使用檢測、預防和恢復控制的手段來防範惡意軟件 |
| A12.3備份 目的:防止數據丟失 | ||
| A12.3.1 | 信息備份 | 根據既定的備份策略備份信息,軟件和系統映像,並定期測試 |
| A12.4 記錄和監控 目的:記錄事件並生成證據 | ||
| A12.4.1 | 事件日誌 | 應產生記錄用戶活動、異常情況、錯誤和信息安全事件的事件日誌,並要保持一個已設的週期以支持將來的調查和訪問控制監視 |
| A12.4.2 | 日誌信息的保護 | 記錄日誌的設施和日誌信息應加以保護,以防止篡改和未授權的訪問 |
| A12.4.3 | 管理員和操作員日誌 | 系統管理員和系統操作員的活動應當記錄日誌,並對其保護和定期檢討 |
| A12.4.4 | 時鐘同步 | 一個組織或安全域內的所有相關信息處理設施的時鐘應使用已設的精確的時鐘源進行同步 |
A12.5 操作軟件的控制 目的:保證操作系統的完整性 | ||
| A12.5.1 | 操作系統軟件的安裝 | 應建立流程對操作系統軟件安裝進行控制 |
| A12.6 技術漏洞管理 目的:防止利用公佈的技術脆弱性導致的風險 | ||
| A12.6.1 | 技術漏洞的管理 | 應及時得到現用信息系統技術脆弱性的信息,評價組織對這些脆弱性的暴漏程度,並採取適當的措施來處理相關風險 |
| A12.6.2 | 限制軟件安裝 | 應建立規則來控制用戶安裝軟件 |
| A12.7 信息系統審計考慮 目的:將業務系統審計過程的影響最小化 | ||
| A12.7.1 | 信息系統審計控制 | 涉及對運行系統覈查的審計要求和活動,應謹慎地加以規劃並取得批准,以便最小化造成業務過程中斷的風險 |
| A13通信安全 | ||
| A13.1 網絡安全管理 目的:確保網絡中信息的安全性並保護支持性的信息處理設施 | ||
| A13.1.1 | 網絡控制 | 應管理和控制網絡以保護系統和應用程序中的信息 |
| A13.1.2 | 網絡服務的安全 | 所有網絡服務的安全機制,服務水平和管理要求,應予以明確並列入網絡服務協議中,無論這些服務是否由公司內部提供還是外包 |
| A13.1.3 | 網絡隔離 | 應在網絡中隔離信息服務、用戶系統信息 |
| A13.2 信息傳輸 目的:維護組織與任何外部實體的信息傳輸安全 | ||
| A13.2.1 | 信息傳輸的策略和程序 | 應建立正式的傳輸策略,流程和控制措施,以保證所有類型的通信設施間的信息傳輸安全 |
| A13.2.2 | 信息傳輸協議 | 應建立組織與外部方傳輸商業信息的安全傳輸協議 |
| A13.2.3 | 電子信息 | 涉及電子消息的信息應適當保護 |
| A13.2.4 | 保密或不泄露協議 | 應確定組織信息保護需要的保密性或不泄露協議的要求,定期審查並記錄 |
| A14系統獲取、開發和維護 | ||
| A14.1 信息系統的安全要求 目的:確保安全是信息系統生命週期中的一個組成部分,包含對向公共網絡提供服務的設備的特殊要求 | ||
| A14.1.1 | 安全需求分析和規範 | 應建立對信息安全控制的要求,包括財務報表和新的信息系統或現有信息系統增強的技術要求,同時考慮所有相關的標準,如生命週期或應用程序在公共網絡上是否可用 |
| A14.1.2 | 保護公共網絡上的應用服務 | 公網上應用服務中傳輸的信息應被保護,以免遭受欺詐、合同糾紛,未經授權的披露和修改 |
| A14.1.3 | 保護應用服務交易 | 應用服務傳輸中所涉及到的信息應加以保護,以防止未經授權的消息改變,不完整的傳輸,路由錯誤,未經披露,未經授權的消息複製或重放 |
| A14.2 開發和支持過程中的安全 目的:確保在整個信息系統生命週期中的信息安全設計與實施 | ||
| A14.2.1 | 安全開發策略 | 應制定及應用關於軟件和系統的開發規則 |
| A14.2.2 | 變更控制程序 | 應使用正式的變更控制規程來控制變更的實施 |
| A14.2.3 | 操作平臺變更後對應用的技術評估 | 當操作平臺發生變更時,應對業務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響 |
| A14.2.4 | 軟件包變更的限制 | 應對軟件包修改進行勸阻,只限於必要的變更,且對所有的變更加以控制 |
| A14.2.5 | 系統開發程序 | 應建立安全系統開發流程,記錄,維護並應用到任何信息系統開發工作 |
| A14.2.6 | 安全的開發環境 | 組織應建立並適當保護開發環境安全,並集成涵蓋整個系統開發週期的工作 |
| A14.2.7 | 外包開發 | 組織應監管和監督外包的系統開發工作 |
| A14.2.8 | 系統安全性測試 | 在開發的過程中,必須測試功能的安全性 |
| A14.2.9 | 系統驗收測試 | 在建立新系統,升級系統和更新版本時,必須建立驗收測試程序和相關標準 |
| A14.3 測試數據 目的:確保測試數據的安全 | ||
| A14.3.1 | 測試數據的保護 | 測試數據應被仔細篩選,保護和控制 |
| A15供應關係 | ||
| A15.1 供應關係的安全 目的:確保供應商訪問的組織信息的安全 | ||
| A15.1.1 | 供應關係的信息安全策略 | 對於減少與供應商相關的信息安全風險或信息處理設施的信息安全要求應被記錄 |
| A15.1.2 | 供應商協議中的安全 | 應建立與信息安全相關的要求並獲得供應商的認可,包括處理,存儲,溝通或提供組織IT基礎設施的信息 |
| A15.1.3 | ICT供應鏈 | 與供應商的協議應包括解決信息、通信技術服務、產品供應鏈相關信息安全風險的要求 |
| A15.2 供應商服務交付管理 目的:維持與供應商協議中商定的信息安全要求和服務交付水平 | ||
| A15.2.1 | 監測和審查供應商服務 | 組織應定期監測,審查和審覈供應商的服務 |
| A15.2.2 | 供應商服務變更管理 | 應管理供應商提供服務的變更,包括維護、改進現有的信息安全策略、程序和控制,應將商業信息的關鍵性,系統、流程和風險的重新評估考慮在內 |
| A16信息安全事件管理 | ||
| A16.1 信息安全事件管理和持續改進 目的:確保一致和有效的方法來管理信息安全事件,包括通信安全事件和弱點的報告 | ||
| A16.1.1 | 職責和程序 | 應建立管理職責和程序,以確保快速、有效和有序的響應信息安全事件 |
| A16.1.2 | 報告信息安全事態 | 信息安全事態應儘可能快的通過適當的管理渠道進行報告 |
| A16.1.3 | 報告信息安全弱點 | 應要求信息系統和服務的所有員工、外部方人員記錄並報告他們觀察到的 或可以的任何系統或服務的安全弱點 |
| A16.1.4 | 信息安全事件的評估和決策 | 信息安全事件應當被評估與決策,如果他們被歸類爲信息安全事件 |
| A16.1.5 | 信息安全事故的響應 | 信息安全事件應依照程序文件響應 |
| A16.1.6 | 回顧信息安全事故 | 從分析和解決信息安全事故中獲取知識,減少未來事故的可能性或影響 |
| A16.1.7 | 蒐集證據 | 組織應制定和應用程序,用於鑑定,蒐集,獲得和保存那些可作爲證據的信息 |
| A17業務連續性管理的信息安全方面 | ||
| A17.1 信息安全連續性 目的:信息安全的連續性應嵌入組織的業務連續性管理(BCM),以確保任何時間都能保護信息並對不良事件進行預測 | ||
| A17.1.1 | 規劃信息安全連續性 | 組織應確定其在不利情況下的信息安全和信息安全管理連續性要求,如危機或災難 |
| A17.1.2 | 實現信息安全的連續性 | 組織應建立,記錄,實施,維護流程、程序、控制項,以保證在不利情況下要求的信息安全連續性的等級 |
| A17.1.3 | 驗證,評審和評估信息安全的連續性 | 組織應每隔一段時間覈實其建立和實施的信息安全連續性控制,以確保他們在不利情況下是有效和生效的。 |
| A17.2 冗餘 目的:確保信息處理設施的可用性 | ||
| A17.2.1 | 信息處理設施的可用性 | 信息處理設施應當實現冗餘,以滿足可用性需求 |
| A18符合性 | ||
| A18.1信息安全審查 目的:確保信息安全設施依照組織的策略和程序運行和實施 | ||
| A18.1.1 | 信息安全的獨立審查 | 組織管理信息安全的方法及設施(例如信息安全的控制目標、控制措施、策略、過程和規程)應按照計劃的時間間隔進行獨立評審,當安全實施發生重大變化時,也要進行獨立評審 |
| A18.1.2 | 符合安全政策和標準 | 管理者應定期審查其職責範圍內的信息處理和規程被正確的執行,以確保符合安全策略,標準和其他安全要求 |
| A18.1.3 | 技術符合性檢查 | 信息系統應被定期檢查是否符合組織信息安全策略和標準 |
| A18.2 符合法律和合同的要求 目的:避免違反相關信息安全的法律,法規,規章,合同義務以及任何安全要求 | ||
| A18.2.1 | 識別使用的法律和合同的要求 | 對每個信息系統和組織而言,所有相關的法令、法律和合同要求,以及爲滿足這些要求組織所採取的方法,應加以明確地定義,形成文件並保持更新 |
| A18.2.2 | 知識產權(IPR) | 應實施適當的規程,以確保在使用具有知識產權的材料和具有所有權的軟件產品時,符合法律、法規和合同要求 |
| A18.2.3 | 文檔化信息的保護 | 按照法律,法規,合同和業務需求保護文檔化信息,以免遭受損失,破壞,篡改,未經授權的訪問和擅自發布 |
| A18.2.4 | 隱私和個人信息的保護 | 應依照相關的法律、法規和合同條款的要求,確保隱私和個人信息的保護 |
| A18.2.5 | 密碼控制措施的監管 | 使用密碼控制措施應遵從相關的協議、法律和法規 |