信息安全管理體系要求目 次范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1組織環(huán)境 1理解組織及其環(huán)境 1理解相關(guān)方的需求和期望 1確定信息安全管理體系范圍 1信息安全管理體系 2領(lǐng)導(dǎo) 2領(lǐng)導(dǎo)和承諾 2方針 2組織的角色、責(zé)任和權(quán)限 2規(guī)劃 3應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施 3信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃 4針對(duì)變更的規(guī)劃 4支持 4資源 4能力 5意識(shí) 5溝通 5文件化信息 5運(yùn)行 6運(yùn)行規(guī)劃和控制 6信息安全風(fēng)險(xiǎn)評(píng)估 6信息安全風(fēng)險(xiǎn)處置 6績(jī)效評(píng)價(jià) 6監(jiān)視、測(cè)量、分析和評(píng)價(jià) 6內(nèi)部審核 7管理評(píng)審 7改進(jìn) 8持續(xù)改進(jìn) 8不符合與糾正措施 8附錄 A（規(guī)范性）信息安全控制參考 9參考文獻(xiàn) 13I引 言總則重要的是，信息安全管理體系是組織的過(guò)程和整體管理結(jié)構(gòu)的一部分并集成在其中，并且在過(guò)程、本文件能被內(nèi)部和外部各方用于評(píng)估組織的能力是否滿足自身的信息安全要求。GB/T29246描述了信息安全管理體系的概要和詞匯，引用了信息安全管理體系標(biāo)準(zhǔn)族（包括GB/T31496[3]、GB/T31497[4]、GB/T31722[5]），以及相關(guān)術(shù)語(yǔ)和定義。與其他管理體系標(biāo)準(zhǔn)的兼容性本文件應(yīng)用ISO/IEC導(dǎo)則第1部分ISO補(bǔ)充規(guī)定[6]中附錄SL定義的高層結(jié)構(gòu)、相同條款標(biāo)題、相同文本、通用術(shù)語(yǔ)和核心定義，因此維護(hù)了與其他采用附錄SL的管理體系標(biāo)準(zhǔn)的兼容性。附錄SL中定義的通用途徑對(duì)于選擇運(yùn)行單一管理體系來(lái)滿足兩個(gè)或更多管理體系標(biāo)準(zhǔn)要求的組織是有用的。IVPAGEPAGE11PAGEPAGE10信息安全技術(shù)信息安全管理體系要求范圍4章到第10章中規(guī)定的任何要求都是不能排除的。規(guī)范性引用文件（包括所有的修改單適用于本文件。ISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary）注：GB/T29246—202X信息安全技術(shù)信息安全管理體系概述和詞匯（ISO/IEC27000:2018,IDT）術(shù)語(yǔ)和定義ISO/IEC27000界定的術(shù)語(yǔ)和定義適用于本文件。ISO和IEC維護(hù)用于標(biāo)準(zhǔn)化的術(shù)語(yǔ)數(shù)據(jù)庫(kù)，地址如下：——ISO在線瀏覽平臺(tái)：\h/obp——IEC電子百科：\h組織環(huán)境理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。注：對(duì)這些事項(xiàng)的確定，見(jiàn)GB/T24353-2022[2]中5.4.1建立外部和內(nèi)部環(huán)境的內(nèi)容。理解相關(guān)方的需求和期望組織應(yīng)確定：信息安全管理體系的相關(guān)方；這些相關(guān)方的有關(guān)要求；哪些要求將通過(guò)信息安全管理體系予以解決。注：相關(guān)方的要求包括法律、法規(guī)和合同義務(wù)。確定信息安全管理體系范圍組織應(yīng)確定信息安全管理體系的邊界及其適用性，以建立其范圍。組織應(yīng)根據(jù)以下內(nèi)容確定信息安全管理體系范圍：4.14.2組織實(shí)施的活動(dòng)與其他組織實(shí)施的活動(dòng)之間的接口和依賴關(guān)系。范圍應(yīng)形成文件化信息并可用。信息安全管理體系領(lǐng)導(dǎo)領(lǐng)導(dǎo)和承諾最高管理層應(yīng)通過(guò)以下活動(dòng)，證實(shí)其對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾：確保建立了信息安全方針和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致；確保將信息安全管理體系要求整合到組織過(guò)程中；確保信息安全管理體系所需資源可用；溝通有效的信息安全管理和符合信息安全管理體系要求的重要性；確保信息安全管理體系達(dá)到預(yù)期結(jié)果；指導(dǎo)并支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)；促進(jìn)持續(xù)改進(jìn)；支持其他相關(guān)管理角色，以證實(shí)其在職責(zé)范圍內(nèi)的領(lǐng)導(dǎo)。注：本文件中提及的“業(yè)務(wù)”能廣義地理解為涉及組織宗旨的那些核心活動(dòng)。方針最高管理層應(yīng)建立信息安全方針，該方針應(yīng)：與組織的宗旨相適宜；包括信息安全目標(biāo)（6.2）或?yàn)樵O(shè)定信息安全目標(biāo)提供框架；包括對(duì)滿足適用的信息安全相關(guān)要求的承諾；包括對(duì)持續(xù)改進(jìn)信息安全管理體系的承諾。信息安全方針應(yīng)：形成文件化信息并可用；在組織內(nèi)得到溝通；適當(dāng)時(shí)，對(duì)相關(guān)方可用。組織的角色、責(zé)任和權(quán)限最高管理層應(yīng)確保與信息安全相關(guān)角色的責(zé)任和權(quán)限在組織內(nèi)得到分配和溝通。最高管理層應(yīng)分配責(zé)任和權(quán)限，以便：確保信息安全管理體系符合本文件的要求；向其報(bào)告信息安全管理體系績(jī)效。注：最高管理層也能在組織內(nèi)分配報(bào)告信息安全管理體系績(jī)效的責(zé)任和權(quán)限。規(guī)劃應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施總則4.1中提到的事項(xiàng)和4.2確保信息安全管理體系可達(dá)到預(yù)期結(jié)果；預(yù)防或減少不良影響；達(dá)到持續(xù)改進(jìn)。組織應(yīng)規(guī)劃：應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；如何：將這些措施整合到信息安全管理體系過(guò)程中，并予以實(shí)現(xiàn)；評(píng)價(jià)這些措施的有效性。信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，以便：建立并維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括:風(fēng)險(xiǎn)接受準(zhǔn)則；信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。確保重復(fù)實(shí)施的信息安全風(fēng)險(xiǎn)評(píng)估能產(chǎn)生一致的、有效的和可比較的結(jié)果；識(shí)別信息安全風(fēng)險(xiǎn)：應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，以識(shí)別信息安全管理體系范圍內(nèi)與信息保密性、完整性和可用性損失有關(guān)的風(fēng)險(xiǎn)；識(shí)別風(fēng)險(xiǎn)責(zé)任人；分析信息安全風(fēng)險(xiǎn)：6.1.2c1)中所識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果；6.1.2c1)中所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性；確定風(fēng)險(xiǎn)級(jí)別；評(píng)價(jià)信息安全風(fēng)險(xiǎn)：6.1.2a)中建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；對(duì)已分析的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)處置優(yōu)先級(jí)排序。組織應(yīng)保留有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文件化信息。信息安全風(fēng)險(xiǎn)處置組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過(guò)程，以便：在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng)；確定實(shí)現(xiàn)已選的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的所有控制；注1：組織能按需設(shè)計(jì)控制，或識(shí)別來(lái)自任何來(lái)源的控制。6.1.3bA注2：附錄A包含了可能的信息安全控制清單。本文件的用戶在附錄A的指導(dǎo)下，確保沒(méi)有忽略必要的信息安全控制。注3：附錄A所列的信息安全控制并不是完備的，且如有必要，組織能引入額外的信息安全控制。制定適用性聲明，其包含：——必要的控制[見(jiàn)6.1.3b）和c）]；——選擇這些控制的合理性說(shuō)明；——必要的控制是否已實(shí)現(xiàn)；——?jiǎng)h減附錄A中控制的合理性說(shuō)明。制定正式的信息安全風(fēng)險(xiǎn)處置計(jì)劃；獲得風(fēng)險(xiǎn)責(zé)任人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃以及對(duì)信息安全殘余風(fēng)險(xiǎn)的接受的批準(zhǔn)。組織應(yīng)保留有關(guān)信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息。注4：本文件中的信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程與GB/T24353[2]中給出的原則和通用指南相一致。信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃組織應(yīng)在相關(guān)職能和層級(jí)上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：與信息安全方針一致；可測(cè)量（如可行）；考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果；得到監(jiān)視；得到溝通；適當(dāng)時(shí)予以更新；形成文件化信息且可用。組織應(yīng)保留有關(guān)信息安全目標(biāo)的文件化信息。在規(guī)劃如何達(dá)到信息安全目標(biāo)時(shí)，組織應(yīng)確定：要做什么；需要什么資源；由誰(shuí)負(fù)責(zé)；何時(shí)完成；如何評(píng)價(jià)結(jié)果。針對(duì)變更的規(guī)劃當(dāng)組織確定需要變更信息安全管理體系時(shí)，應(yīng)對(duì)這些變更的實(shí)施進(jìn)行規(guī)劃。支持資源組織應(yīng)確定并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。能力組織應(yīng)：確定在組織控制下工作且其工作會(huì)影響組織信息安全績(jī)效的人員的必要能力；確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；適用時(shí)，采取措施以獲得必要的能力，并評(píng)估所采取措施的有效性；保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注：適用的措施包括：例如，針對(duì)現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配工作；雇傭或簽約有能力的人員。意識(shí)在組織控制下工作的人員應(yīng)了解：信息安全方針；其對(duì)信息安全管理體系有效性的貢獻(xiàn)，包括改善信息安全績(jī)效帶來(lái)的益處；不符合信息安全管理體系要求帶來(lái)的影響。溝通組織應(yīng)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：溝通什么；何時(shí)溝通；與誰(shuí)溝通；如何溝通。文件化信息總則組織的信息安全管理體系應(yīng)包括：本文件要求的文件化信息；組織所確定的、對(duì)于信息安全管理體系有效性所必需的文件化信息。注：不同組織有關(guān)信息安全管理體系文件化信息的詳略程度可能是不同的，這是由于：組織的規(guī)模及其活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類(lèi)型；過(guò)程及其相互作用的復(fù)雜性；人員的能力。創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模簶?biāo)識(shí)和描述（例如，標(biāo)題、日期、作者或引用編號(hào)）；格式（例如，語(yǔ)言、軟件版本、圖表）和介質(zhì)（例如，紙質(zhì)的、電子的）；對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。文件化信息的控制信息安全管理體系及本文件所要求的文件化信息應(yīng)得到控制，以確保其：在需要的地點(diǎn)和時(shí)間，是可用的和適宜使用的；得到充分的保護(hù)（例如，避免保密性損失、不恰當(dāng)使用、完整性損失）。為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下活動(dòng)：分發(fā)、訪問(wèn)、檢索和使用；注：訪問(wèn)隱含著僅允許瀏覽文件化信息，或允許并授權(quán)瀏覽和更改文件化信息等的決定。存儲(chǔ)和保護(hù)，包括保持可讀性；對(duì)變更的控制（例如，版本控制）；保留和處理。運(yùn)行運(yùn)行規(guī)劃和控制為了滿足要求并實(shí)現(xiàn)第6章中確定的措施，組織應(yīng)通過(guò)以下方式來(lái)規(guī)劃、實(shí)現(xiàn)和控制所需要的過(guò)程：——建立過(guò)程的準(zhǔn)則；——根據(jù)準(zhǔn)則實(shí)現(xiàn)對(duì)過(guò)程的控制。文件化信息應(yīng)可用，其程度足以確信這些過(guò)程按計(jì)劃得到執(zhí)行。組織應(yīng)控制計(jì)劃內(nèi)的變更并評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減輕任何負(fù)面影響。組織應(yīng)確保由外部提供的與信息安全管理體系有關(guān)的過(guò)程、產(chǎn)品或服務(wù)是受控的。信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)依據(jù)6.1.2a)所建立的準(zhǔn)則，按計(jì)劃的時(shí)間間隔，或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息。信息安全風(fēng)險(xiǎn)處置組織應(yīng)實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃。組織應(yīng)保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件化信息?？?jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)確定：需要被監(jiān)視和測(cè)量的內(nèi)容，包括信息安全過(guò)程和控制；適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，以確保得到有效的結(jié)果。所選的方法宜產(chǎn)生可比較和可再現(xiàn)的結(jié)果，才會(huì)被視為有效。何時(shí)應(yīng)執(zhí)行監(jiān)視和測(cè)量；誰(shuí)應(yīng)監(jiān)視和測(cè)量；何時(shí)應(yīng)分析和評(píng)價(jià)監(jiān)視和測(cè)量的結(jié)果；誰(shuí)應(yīng)分析和評(píng)價(jià)這些結(jié)果。作為結(jié)果證據(jù)的文件化信息應(yīng)可用。組織應(yīng)評(píng)價(jià)信息安全績(jī)效和信息安全管理體系的有效性。內(nèi)部審核總則組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供下列相關(guān)信息：信息安全管理體系是否符合：組織自身對(duì)信息安全管理體系的要求；本文件的要求。信息安全管理體系是否得到有效實(shí)現(xiàn)和維護(hù)。內(nèi)部審核方案（一個(gè)或多個(gè)組織根據(jù)相關(guān)過(guò)程的重要性和以往審核的結(jié)果，建立審核方案。組織應(yīng)：定義每次審核的審核準(zhǔn)則和范圍；選擇審核員并實(shí)施審核，確保審核過(guò)程的客觀性和公正性；確保將審核結(jié)果報(bào)告至相關(guān)管理者。作為審核方案實(shí)施和審核結(jié)果證據(jù)的文件化信息應(yīng)可用。管理評(píng)審總則管理評(píng)審的輸入管理評(píng)審應(yīng)包括下列相關(guān)信息：以往管理評(píng)審提出的措施的狀態(tài)；與信息安全管理體系相關(guān)的外部和內(nèi)部事項(xiàng)的變化；信息安全管理體系相關(guān)方的需求和期望的變化；有關(guān)信息安全績(jī)效的反饋，包括以下方面的趨勢(shì)：不符合和糾正措施；監(jiān)視和測(cè)量結(jié)果；審核結(jié)果；信息安全目標(biāo)完成情況；相關(guān)方反饋；風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；持續(xù)改進(jìn)的機(jī)會(huì)。管理評(píng)審的結(jié)果管理評(píng)審的結(jié)果應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及變更信息安全管理體系的任何需求。作為管理評(píng)審結(jié)果證據(jù)的文件化信息應(yīng)可用。改進(jìn)持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。不符合與糾正措施當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：對(duì)不符合做出反應(yīng)，適用時(shí)：采取措施，以控制并予以糾正；處理后果；通過(guò)以下活動(dòng)，評(píng)價(jià)采取消除不符合原因的措施的需求，以防止不符合再次發(fā)生或在其他地方發(fā)生：評(píng)審不符合；確定不符合的原因；確定類(lèi)似的不符合是否存在，或是否可能發(fā)生；實(shí)現(xiàn)任何需要的措施；評(píng)審任何所采取的糾正措施的有效性；必要時(shí)，對(duì)信息安全管理體系進(jìn)行變更。糾正措施應(yīng)與所發(fā)生的不符合的影響相適合。作為以下證據(jù)的文件化信息應(yīng)可用：不符合的性質(zhì)及所采取的任何后續(xù)措施；任何糾正措施的結(jié)果。附錄 A（規(guī)范性）信息安全控制參考表A.1所列的信息安全控制是直接源自GB/2201-XX第5章到第86.1.3表A.1信息安全控制5組織控制5.1信息安全策略應(yīng)定義信息安全方針和特定主題策略，由管理層批準(zhǔn)后發(fā)布，傳達(dá)并讓相關(guān)工作人員和相關(guān)方知悉，按計(jì)劃的時(shí)間間隔以及在發(fā)生重大變更時(shí)對(duì)其進(jìn)行評(píng)審5.2信息安全角色和責(zé)任信息安全角色和責(zé)任應(yīng)根據(jù)組織需求進(jìn)行定義和分配5.3職責(zé)分離應(yīng)分離相互沖突的職責(zé)和責(zé)任范圍5.4管理責(zé)任管理層應(yīng)要求所有工作人員根據(jù)組織已建立的信息安全方針、特定主題策略和規(guī)程，履行信息安全責(zé)任5.5與職能機(jī)構(gòu)的聯(lián)系組織應(yīng)建立并維護(hù)與相關(guān)職能機(jī)構(gòu)的聯(lián)系5.6與特定相關(guān)方的聯(lián)系組織應(yīng)建立并維護(hù)與特定相關(guān)方或其他專(zhuān)業(yè)安全論壇和專(zhuān)業(yè)協(xié)會(huì)的聯(lián)系5.7威脅情報(bào)應(yīng)收集并分析信息安全威脅相關(guān)的信息，以生成威脅情報(bào)5.8項(xiàng)目管理中的信息安全應(yīng)將信息安全整合到項(xiàng)目管理中5.9信息及其他相關(guān)資產(chǎn)的清單應(yīng)編制和維護(hù)信息及其他相關(guān)資產(chǎn)（包括資產(chǎn)擁有者）的清單5.10信息及其他相關(guān)資產(chǎn)的可接受使用應(yīng)識(shí)別、文件化并實(shí)施信息及其他相關(guān)資產(chǎn)的可接受使用規(guī)則和處理規(guī)程5.11資產(chǎn)歸還適宜時(shí)，工作人員和其他相關(guān)方在任用、合同或協(xié)議變更及終止時(shí)，應(yīng)歸還其擁有的所有組織資產(chǎn)5.12信息分級(jí)應(yīng)根據(jù)組織基于保密性、完整性、可用性的信息安全需求以及相關(guān)方的要求，對(duì)信息進(jìn)行分級(jí)5.13信息標(biāo)記應(yīng)按照組織采用的信息分級(jí)方案，制定并實(shí)施適當(dāng)?shù)男畔?biāo)記規(guī)程5.14信息傳輸規(guī)程或協(xié)議5.15訪問(wèn)控制應(yīng)基于業(yè)務(wù)和信息安全要求，建立和實(shí)施信息及其他相關(guān)資產(chǎn)的物理和邏輯訪問(wèn)控制規(guī)則5.16身份管理應(yīng)管理身份的全生存周期5.17鑒別信息應(yīng)通過(guò)管理過(guò)程控制鑒別信息的分配和管理，包括向工作人員提供鑒別信息的適當(dāng)處理建議5.18訪問(wèn)權(quán)限應(yīng)根據(jù)組織訪問(wèn)控制的特定主題策略和規(guī)則來(lái)提供、評(píng)審、修改和刪除信息及其他相關(guān)資產(chǎn)的訪問(wèn)權(quán)限5.19供應(yīng)商關(guān)系中的信息安全應(yīng)定義并實(shí)施過(guò)程和規(guī)程，以管理供應(yīng)商產(chǎn)品或服務(wù)使用相關(guān)的信息安全風(fēng)險(xiǎn)5.20在供應(yīng)商協(xié)議中強(qiáng)調(diào)信息安全應(yīng)根據(jù)供應(yīng)商關(guān)系的類(lèi)型建立相關(guān)的信息安全要求，并與每個(gè)供應(yīng)商達(dá)成一致5.21管理信息通信技術(shù)供應(yīng)鏈中的信息安全應(yīng)定義并實(shí)施過(guò)程和規(guī)程，以管理與ICT產(chǎn)品和服務(wù)供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)5.22供應(yīng)商服務(wù)的監(jiān)視、評(píng)審和變更管理組織應(yīng)定期監(jiān)視、評(píng)審、評(píng)價(jià)和管理供應(yīng)商信息安全實(shí)踐和服務(wù)交付的變更5.23云服務(wù)使用的信息安全應(yīng)根據(jù)組織的信息安全要求，建立云服務(wù)的獲取、使用、管理和退出過(guò)程5.24信息安全事件管理規(guī)劃和準(zhǔn)備組織應(yīng)通過(guò)定義、建立和傳達(dá)信息安全事件管理過(guò)程、角色和責(zé)任，規(guī)劃和準(zhǔn)備管理信息安全事件5.25信息安全事態(tài)的評(píng)估和決策組織應(yīng)評(píng)估信息安全事態(tài)，并決定是否將其歸類(lèi)為信息安全事件5.26信息安全事件的響應(yīng)應(yīng)按照文件化的規(guī)程響應(yīng)信息安全事件5.27從信息安全事件中學(xué)習(xí)應(yīng)使用從信息安全事件中得到的知識(shí)來(lái)加強(qiáng)和改進(jìn)信息安全控制5.28證據(jù)收集組織應(yīng)建立并實(shí)施包括識(shí)別、收集、獲取和保存信息安全事態(tài)相關(guān)證據(jù)的規(guī)程5.29中斷期間的信息安全組織應(yīng)制定在中斷期間將信息安全維持在適當(dāng)級(jí)別的計(jì)劃5.30業(yè)務(wù)連續(xù)性的信息通信技術(shù)就緒應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和ICT連續(xù)性要求，策劃、實(shí)施、維護(hù)和測(cè)試ICT的就緒5.31法律、法規(guī)、規(guī)章和合同要求應(yīng)識(shí)別、文件化和保持更新與信息安全相關(guān)的法律、法規(guī)、規(guī)章和合同要求，以及組織滿足這些要求的方法5.32知識(shí)產(chǎn)權(quán)組織應(yīng)實(shí)施適當(dāng)?shù)囊?guī)程來(lái)保護(hù)知識(shí)產(chǎn)權(quán)5.33記錄的保護(hù)應(yīng)保護(hù)記錄不被丟失、破壞、篡改、未經(jīng)授權(quán)的訪問(wèn)和未經(jīng)授權(quán)的發(fā)布5.34隱私和個(gè)人可識(shí)別信息保護(hù)組織應(yīng)根據(jù)適用的法律、法規(guī)和合同要求，識(shí)別并滿足有關(guān)隱私保護(hù)和PII保護(hù)的要求5.35信息安全的獨(dú)立評(píng)審組織管理信息安全的方法及其實(shí)現(xiàn)，包括人員、過(guò)程和技術(shù)，應(yīng)在計(jì)劃的時(shí)間間隔內(nèi)或發(fā)生重大變化時(shí)進(jìn)行獨(dú)立評(píng)審5.36符合信息安全的策略、規(guī)則和標(biāo)準(zhǔn)應(yīng)定期評(píng)審組織的信息安全方針、特定主題策略、規(guī)則和標(biāo)準(zhǔn)的符合性5.37文件化的操作規(guī)程信息處理設(shè)施的操作規(guī)程應(yīng)形成文件，并對(duì)有需要的工作人員可用6人員控制6.1審查加入組織前，應(yīng)對(duì)所有工作人員的候選人進(jìn)行背景審查，并在入職后持續(xù)進(jìn)行，同時(shí)考慮適用的法律、法規(guī)和道德規(guī)范，與業(yè)務(wù)要求、訪問(wèn)信息的級(jí)別和感知到的風(fēng)險(xiǎn)相適宜6.2任用條款和條件應(yīng)在任用合同協(xié)議中規(guī)定工作人員和組織對(duì)信息安全的責(zé)任6.3信息安全意識(shí)、教育和培訓(xùn)組織工作人員和相關(guān)方應(yīng)接受適宜的信息安全意識(shí)、教育和培訓(xùn)，并獲得與其工作職能相關(guān)的組織信息安全方針、特定主題策略和規(guī)程的定期更新信息6.4違規(guī)處理過(guò)程應(yīng)正式制定違規(guī)處理過(guò)程并將之傳達(dá)給工作人員和相關(guān)方，以便對(duì)違反信息安全策略的工作人員和其他相關(guān)方采取措施6.5任用終止或變更后的責(zé)任應(yīng)確定任用終止或變更后仍有效的信息安全責(zé)任及其義務(wù)，傳達(dá)至相關(guān)工作人員和其他相關(guān)方并執(zhí)行6.6保密或不泄露協(xié)議應(yīng)識(shí)別、文件化、定期評(píng)審反映組織信息保護(hù)需求的保密或不泄露協(xié)議，并與工作人員和其他相關(guān)方簽署6.7遠(yuǎn)程工作應(yīng)在工作人員遠(yuǎn)程工作時(shí)實(shí)施安全措施，以保護(hù)在組織場(chǎng)所外所訪問(wèn)的、處理的或存儲(chǔ)的信息6.8信息安全事態(tài)的報(bào)告組織應(yīng)提供機(jī)制，使工作人員通過(guò)適當(dāng)渠道及時(shí)報(bào)告觀察到的或可疑的信息安全事態(tài)7物理控制7.1物理安全邊界應(yīng)定義并使用安全邊界來(lái)保護(hù)包含信息及其他相關(guān)資產(chǎn)的區(qū)域7.2物理入口安全區(qū)域應(yīng)由適當(dāng)?shù)娜肟诳刂坪驮L問(wèn)點(diǎn)保護(hù)7.3辦公室、房間和設(shè)施的安全保護(hù)應(yīng)對(duì)辦公室、房間和設(shè)施的物理安全進(jìn)行設(shè)計(jì)，并予以實(shí)施7.4物理安全監(jiān)視應(yīng)持續(xù)監(jiān)視場(chǎng)所，以防止發(fā)生未經(jīng)授權(quán)的物理訪問(wèn)7.5物理和環(huán)境威脅防范應(yīng)對(duì)物理和環(huán)境威脅的防范進(jìn)行設(shè)計(jì)并予以實(shí)施，例如，自然災(zāi)害和其它對(duì)基礎(chǔ)設(shè)施有意或無(wú)意的物理威脅7.6在安全區(qū)域工作應(yīng)設(shè)計(jì)并實(shí)施在安全區(qū)域工作的安全措施7.7清理桌面和屏幕應(yīng)定義并適當(dāng)?shù)貓?zhí)行紙質(zhì)和可移動(dòng)存儲(chǔ)介質(zhì)的桌面清理規(guī)則和信息處理設(shè)施的屏幕清理規(guī)則7.8設(shè)備安置和保護(hù)應(yīng)安全地安置并保護(hù)設(shè)備7.9組織場(chǎng)所外的資產(chǎn)安全應(yīng)保護(hù)組織場(chǎng)所外的資產(chǎn)7.10存儲(chǔ)媒體存儲(chǔ)媒體應(yīng)在其獲取、使用、運(yùn)輸和處置的整個(gè)生命周期內(nèi)，按照組織的分級(jí)方案和處理要求進(jìn)行管理7.11支持性設(shè)施應(yīng)保護(hù)信息處理設(shè)施使其免于由支持性設(shè)施的故障而引起的電源故障和其他中斷7.12布纜安全應(yīng)保護(hù)傳輸電力、數(shù)據(jù)或支持信息服務(wù)的電纜免受竊聽(tīng)、干擾或損壞7.13設(shè)備維護(hù)設(shè)備應(yīng)予以正確的維護(hù)，以確保信息的可用性、完整性和保密性7.14設(shè)備的安全處置或重復(fù)使用應(yīng)對(duì)包含存儲(chǔ)媒體的設(shè)備的所有部分進(jìn)行核查，以確保在處置或重復(fù)使用之前，任何敏感數(shù)據(jù)和獲得許可的軟件已被刪除或安全地覆寫(xiě)8技術(shù)控制8.1用戶終端設(shè)備應(yīng)保護(hù)用戶終端設(shè)備所存儲(chǔ)或處理的，或通過(guò)其訪問(wèn)的信息8.2特許訪問(wèn)權(quán)限應(yīng)限制和管理特許訪問(wèn)權(quán)限的分配和使用8.3信息訪問(wèn)限制應(yīng)按照已建立的訪問(wèn)控制特定主題策略，限制對(duì)信息及其他相關(guān)資產(chǎn)的訪問(wèn)8.4源代碼的訪問(wèn)應(yīng)對(duì)源代碼、開(kāi)發(fā)工具和軟件庫(kù)的讀寫(xiě)訪問(wèn)進(jìn)行適當(dāng)?shù)墓芾?.5安全鑒別應(yīng)根據(jù)信息訪問(wèn)限制和訪問(wèn)控制的特定主題策略實(shí)施安全的鑒別技術(shù)和規(guī)程8.6容量管理應(yīng)根據(jù)當(dāng)前和預(yù)期的容量要求，監(jiān)視和調(diào)整資源的使用情況8.7惡意軟件防范應(yīng)實(shí)施惡意軟件防范，并通過(guò)適當(dāng)?shù)挠脩粢庾R(shí)教育予以支持8.8技術(shù)脆弱性管理應(yīng)獲取有關(guān)使用中的信息系統(tǒng)的技術(shù)脆弱性的信息，評(píng)價(jià)組織暴露于此類(lèi)脆弱性的風(fēng)險(xiǎn)，并采取適當(dāng)措施8.9配置管理應(yīng)建立、記錄、實(shí)施、監(jiān)視和評(píng)審硬件、軟件、服務(wù)和網(wǎng)絡(luò)的配置，包括安全配置8.10信息刪除當(dāng)不再需要時(shí)，應(yīng)刪除