ISO27001标准附录 A.10.1 操作规程和职责
【内容解析】
为安全地运行信息系统和处理设施,相关的操作规程、指南和方针策略对日常的运维工作尤为关键。此目标关注于信息处理设施的操作文件、变更管理、责任划分和运行环境。
ISO27001标准附录 A.10.1.1 文件化的操作规程
【内容解析】
管理层应针对信息系统和信息处理设施的用户制定并保持与信息安全相关的操作规程。基于组织的特征,这类操作规程的覆盖范围可能很广,如涉及个人数据备份、介质处理、邮箱的使用、机房的进入等。组织可结合风险评估以及信息安全方针、法律法规和组织的运营要求等因素制定这类管理规程或制度。
ISO27001标准附录 A.10.1.2 变更管理
【内容解析】
对受控环境内信息处理系统和设施的任何变更都可能影响业务的运行,并对信息安全产生影响。因此对信息处理设施的变更要严加控制和监督。通常对信息处理设施和系统的变更须要经历规范的处理过程。
ISO27001标准附录 A.10.1.3 责任分割
【内容解析】
责任分割指将同一项工作任务或职能分配给不同的角色来承担以降低产生错误或不良行为的机会。例如,两个角色各自持有不同的钥匙才能打开门禁。有关信息安全的职责应加以适当的分割以降低对资产的未授权的、无意识的或恶意的操作和使用。
ISO27001标准附录 A.10.1.4 开发、测试和运行设施分离
【内容解析】
开发、测试与运行环境的分离是为了保护业务运行环境内的设施及相关数据,降低对生产运行系统未授权修改的风险。测试与开发的分离是为了使测试能在模拟的生产环境中运行以验证交付的系统满足生产和使用的要求。
ISO27001标准附录 A.10.2 第三方服务交付管理
【内容解析】
通常认为组织自身为第一方,组织服务的顾客为第二方,第三方则指独立于上述各方的个人或机构,包括合作伙伴、外部供应商、审核方等。
组织为管理第三方交付的服务,应就服务的级别和信息安全要求形成协议,并据此监督服务交付行为和过程。
ISO27001标准附录 A.10.2.1 服务交付
【内容解析】
当组织需要第三方提供服务时,应与第三方签署服务交付协议,其中包括规定的服务、服务交付的级别(水准)和安全控制措施。组织应接受并查验第三方交付的服务,包括服务交付的行为、过程和结果,确保交付的服务满足协议的要求。
ISO27001标准附录 A.10.2.2 第三方服务的监视和评审
【内容解析】
由第三方提供的服务、产品或信息应定期进行监视和评审,证实履行协议中规定条款的准确性和符合性。监视第三方的服务交付需要配置一定的资源和技术能力,而评审服务应依据定期的服务报告和相关记录。
ISO27001标准附录 A.10.2.3 第三方服务的变更管理
【内容解析】
第三方服务对某些组织是十分关键的。管理层必须考虑第三方服务的变更对组织业务以及对信息安全的影响。变更可以导致新的业务需求或增加功能,不论在哪种情况下都应评估变更对信息安全的风险并确保配合有适当的控制和保护措施。
ISO27001标准附录 A.10.3 系统规划和验收
【内容解析】
系统在规划时就要识别失效的风险,充分考虑信息安全和容量需求,确保系统的安全性并具有充分的能力;在系统验收时应通过正式的过程加以把控,保证所有的需求得到满足。
ISO27001标准附录 A.10.3.1 容量管理
【内容解析】
容量指信息处理系统或组件在一定运行性能时的最大吞吐量。。对IT系统及不同的组件其容量的度量单位不同,如对网络用“带宽”,对CPU用“核数和频率”。容量对IT系统有时又称为能力。对支持关键业务的信息处理系统应监视其运行的性能级别和容量。通过监视和预测信息处理系统和组件的容量,制定容量管理计划来确保系统具有充分的容量满足业务目标。
ISO27001标准附录 A.10.3.2 系统验收
【内容解析】
对新的系统或系统的升级验收,管理层应预先定义正式的测试准则。通常组织应制定并实施一个正式的验收过程。
ISO27001标准附录 A.10.4 防范恶意和移动代码
【内容解析】
恶意代码是对信息处理系统的主要威胁之一,可产生很大的破坏力。移动代码在使用不当时也会产生与恶意代码相似的后果,从而威胁软件和信息的完整性。因此必须严格防范恶意代码,对移动代码也需要谨慎控制。
ISO27001标准附录 A.10.4.1 控制恶意代码
【内容解析】
恶意代码是指恶意编制的一段程序,它通过删除或改写文件、发送电子邮件、使计算机和组件无法工作来攻击和破坏系统。恶意代码通常包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、间谍软件和其他不良软件等。组织对恶意代码应备有检测、预防和恢复破坏等多种遏制手段,对不同的目标群采取相应的控制措施。
ISO27001标准附录 A.10.4.2 控制移动代码
【内容解析】
移动代码指可以从远程系统获得的软件模块,它通过网络传输下载到本地的系统,没有明显的安装和启动,激活后自动执行某种功能。恶意的移动代码意图破坏信息系统和计算机的性能或安全,增加对系统的访问,盗取未授权的信息,破坏信息、盗用系统资源或造成拒绝服务。
组织对信息处理系统和应用系统中的移动代码应特别关注,应开发和实施控制措施来检测未授权的移动代码防止其在信息处理系统和应用系统中运行。
ISO27001标准附录 A.10.5 备份
【内容解析】
为保持信息和信息处理设施的完整性及可用性,组织应建立并保持对数据信息、软件和相关文件进行备份的机制,对备份应进行定期测试。确保在发生诸如系统或存储介质故障等事件的情况下系统和信息能得以恢复。
ISO27001标准附录 A.10.5.1 信息备份
【内容解析】
组织的关键数据和信息包括业务应用数据、软件和系统配置应按照组织的备份策略定期备份,以便在紧急情况下用以恢复信息处理系统和业务或在需要的时候恢复原始信息。备份通常可分为日常备份和灾难备份。
备份的信息应定期按恢复规程和业务联系性计划进行测试,确保能恢复数据和业务。
ISO27001标准附录 A.10.6 网络安全管理
【内容解析】
对组织内的网络应从网络管控及网络服务的角度来保证安全。对跨越组织边界的网络也需要考虑适当的控制措施,以保护在公共网络传递的数据。
ISO27001标准附录 A.10.6.1 网络控制
【内容解析】
网络的管理和控制应结合适当的安全技术以实现预期的保护级别。为此首先应对全部网络活动明确管理职责,建立有关网络安全的管理规程和制度,指派专业人员或团队来管理和维护网络相关的设备、组件和服务,实施在线安全网络管理和网络安全监控。
ISO27001标准附录 A.10.6.2 网络服务安全
【内容解析】
网络服务包括提供接入、私有网络、增值网络、网络安全管理(含解决方案)等。为确保网络服务的安全,不论是采用内部单位还是外部第三方来提供服务,组织都应识别所需要的网络服务、服务的安全特性、服务级别以及对服务的管理要求,并在网络服务级别协议中作出明确规定。在协议中还应对网络服务方进行监管,以确保其具备约定的能力并满足相关要求。
ISO27001标准附录 A.10.7 介质处置
【内容解析】
介质是纸面的或电子化的、可移动的或相对固定的承载有信息的资产,这类资产在使用过程中如管理不当有可能造成信息的泄露、修改、移动或销毁,甚至导致业务活动中断。对各类介质组织应有健全的管控措施。
ISO27001标准附录 A.10.7.1 可移动介质的管理
【内容解析】
可移动介质包括移动硬盘、USB盘、各种存储卡、CD-ROMs、DVD盘、磁带和打印的纸张等。可移动介质(尤其是便携易传送电子介质)的使用对组织的信息安全带来风险,因而对员工使用可移动介质组织应按照定义的相关规程并在必要时结合技术措施加以适度的管理。
ISO27001标准附录 A.10.7.2 介质的处置
【内容解析】
含有组织信息和数据的介质,当其不再需要保留或使用时,应按照组织发布的管理规程采用适当的方式加以销毁 或处理(包括介质的再利用)。
ISO27001标准附录 A.10.7.3 信息处理规程
【内容解析】
信息可以以书面或电子的方式记录和存储,通过人工或自动化的工具设施进行处理,并以多种方式进行通信。组织应基于信息的保密级别在信息的存储、处理和通信等各个环节上建立必要的安全操作规程,以防止对信息未授权的误用或毁坏。
ISO27001标准附录 A.10.7.4 系统文件安全
【内容解析】
为了将系统被侵入和损害的风险最小化,信息处理设施的系统文件应得到安全保护以防止未授权的访问。系统文件的范围可以很广泛,包括计算机系统文件、设备配置文件、网络拓扑图等。
ISO27001标准附录 A.10.8 信息的交换
【内容解析】
组织内以及与外部的相关方在业务活动中必然要进行信息沟通,组织内外间的信息交换应在管理制度、物理和逻辑上进行控制,以确保信息交换的安全。
ISO27001标准附录 A.10.8.1 信息交换策略和规程
【内容解析】
为保障信息交换的安全,对组织内外的信息交换应制定和发布正式的策略和规程。由于存在范围广泛的信息交流和多种多样的信息交换方法,信息交换中的安全意识也是这项控制措施的要点。
ISO27001标准附录 A.10.8.2 交换协议
【内容解析】
组织与外部相关方进行信息交换应建立法律协议,明确交换数据或信息的类别、标记、管理职责、相关规程和技术标准等。交换协议可以是多种形式(如,电子的或书面的)。这里的软件是指记录和阅读信息相关的软件。
ISO27001标准附录 A.10.8.3 运输中的物理介质
【内容解析】
对于要传输的物理介质,不论采用何种传送方式(如快递、信使等)组织应都基于信息的保密级别对介质采取适当的保护措施。一旦含有保密信息的物理介质离开组织的边界,还应监视其在运输中的状态,直到安全接收。
ISO27001标准附录 A.10.8.4 电子消息发送
【内容解析】
电子消息包括EDI、E-Mail、即时消息(如QQ、MSN等)、短消息或多媒体消息(如彩信),但不包含传真和通常的电话语音通讯。对电子消息的保护主要在于防止未授权的截取、破坏或不正确的交付。
ISO27001标准附录 A.10.8.5 业务信息系统
【内容解析】
组织内不同业务或部门间的信息共享可通过信息系统和设施的互联,对关联信息共享系统的脆弱性和介入人员(包括不同类别的内部人员、承包方人员和业务伙伴人员)应加以识别控制,以保护与业务运营相关的共享信息(包括文件、视频、语音等),为此管理层应制定并实施相关的策略和规程。
ISO27001标准附录 A.10.9 电子商务服务
【内容解析】
电子商务是一种高风险业务,从事电子商务的组织应提供安全的服务并确保服务使用的安全,包括提供完整准确的信息、保护客户的信息和确保交易安全。
ISO27001标准附录 A.10.9.1 电子商务
【内容解析】
电子商务中的信息包括客户的信息(如,注册信息、交易信息、订单等)和商家的业务信息。对电子商务通过公共网络传输的信息和数据应有保护措施,防止对信息的未授权的泄露、修改和网络欺诈。
ISO27001标准附录 A.10.9.2 在线交易
【内容解析】
电子商务的交易存在风险,消息可能被路由到错误的终端、消息被篡改或泄露给未授权的人等。因此要采取适当的控制措施降低交易风险并满足相关法律法规的要求。
ISO27001标准附录 A.10.9.3 公共可用信息
【内容解析】
电子商务采用一种公共可用系统进行业务活动,其运营会处于较大的风险环境,因为接入因特网的任何一个人都可以访问,如果信息被篡改将可能面临各种纠纷。组织为保护信息应适时地开发、实施和评价控制措施,防止在公共可用系统中发布的信息遭受未授权的修改。
ISO27001标准附录 A.10.10 监视
【内容解析】
监视信息处理设施中的关键系统和应用是一种高度有效的安全控制措施,组织应具备适当的监控手段以及管理机制,及时检测出信息处理环境中的未授权活动以便做出处置。
ISO27001标准附录 A.10.10.1 审计记录
【内容解析】
审计记录(或审计日志)是一种计算机文件,它记录了系统(尤其是应用系统)用户的全部活动包括对记录的修改细节。审核记录可能包含敏感信息,例如用户的账户信息,应妥善加以保护,防止未授权的泄露和破坏。
ISO27001标准附录 A.10.10.2 监视系统的使用
【内容解析】
对信息处理系统的基础设施和应用系统的正常运行及使用情况要加以监视。对监视结果应定期评审。对系统的监视包括运行监视(如针对系统的性能、占用的资源、带宽等)和安全监视(如入侵检测),对安全监视的人员必须要了解对系统和环境的威胁以识别潜在的危险。对监视系统的管理需要有相关的规程,确保监管人员能及时发现并处理问题,发挥监管资源的效能。
ISO27001标准附录 A.10.10.3 日志信息的保护
【内容解析】
日志包括系统日志、审计日志和安全事态日志等。对记录日志的设施和日志信息应识别控制措施,妥善加以保护防止未授权的访问,确保信息的完整性。
ISO27001标准附录 A.10.10.4 管理员和操作员日志
【内容解析】
系统管理员和操作员对系统的操作行为应加以记录和监视。设定管理员级别的访问权可能有业务运行的要求,但如果被未授权的或含有不良意图的人所利用就会对系统和业务带来巨大风险。基于安全的考虑可在管理员控制范围之外实施某种入侵检测系统。
ISO27001标准附录 A.10.10.5 故障日志
【内容解析】
信息技术系统和应用有时会发生故障或错误。有的故障系统可自动告警和记录,有些故障则需要人工报告和记录。组织应对故障记录进行汇总,由维护人员进行分析并尽快处理。在这些故障中有些可能与安全有关,对可疑的活动需要继续跟踪监视并采取适当的措施。
ISO27001标准附录 A.10.10.6 时钟同步
【内容解析】
时钟同步在信息安全上是一个重要的因素,它确保安全日志记录了与其他网络组件和系统相关联的所有事态发生的准确时间,也是安全事件取证的依据。时间对安全事态也十分重要,因为它追踪了入侵者的路径。
进行注册审核员考试咨询
微信号:ccaa315
功能介绍:注册审核员 考试通知、培训信息;
认证机构挂靠、人员注册、复习题、模拟试题。
