A10 密码学

A10.1 密码控制

目标：使用密码适当有效的保护信息的机密性、真实性和完整性。

序号	标识	类型	描述
10.1.1	密码使用控制政策	控制类	应该制定和实施保护密码控制策略
10.1.2	密钥管理	控制类	应制定和实施密钥的使用、保护、使用期策略并贯穿其整个生命周期

A10.1.1-1 使用密码技术保护信息安全

密码管理方法 在整个组织中使用密码控制的管理方法，包括应保护商业信息的一般原则；
确定保护级别 基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量；
加密承载介质 在移动设备、可插拔介质、传输通道中使用加密技术来保护信息安全；
密钥管理方法 密钥管理方法，包括在密钥丢失，泄露或损坏的情况下处理加密密钥和恢复加密信息的方法；
角色应尽职责 策略实施、密钥管理[详见10.1.2]；
遵循标准实施 保证标准被整个组织接受为有效的实施方法（哪个业务流程中使用哪个解决方案）；
安全检查软件 使用加密信息有可能对内容检查控件产生影响；
密码控制措施 以最大程度地提高使用密码技术的收益，并最大程度地降低使用密码技术的风险，并避免不当使用或不正确使用。
信息跨界流动 在实施组织的加密政策时，应考虑可能适用于世界不同地区的加密技术的规则和国家限制[详见18.1.5]。

A10.1.1-2 加密信息跨国流动

机密性 使用加密技术，保护存储或者传输中的关键或者敏感信息；
完整性 使用数字签名和消息识别码，保护存储和传输中的关键或者敏感信息；
不可抵赖 使用加密技术证明发生或者没有发生的事件或者动作；
身份验证 使用加密技术对请求访问系统用户、实体和资源或与系统用户、实体等进行身份验证；

A10.1.2-1 密钥管理过程

密钥生成；
密钥存储；
密钥归档；
密钥检索；
密钥分发；
密钥回收；
密钥销毁；

A10.1.2-2密钥管理方法

密钥可能威胁 已商定的标准、规程和安全方法，防护密钥的篡改，丢失和毁坏，私钥非授权泄露，存储密钥设备的物理保护；
密钥不能相同 不同应用、密码系统，不能使用相同密钥；
密钥分发安全 生成和获得公开密钥证书，分发给用户如何验证，激活；
密钥变更规则 何时变更，如何变更密钥的规则；
密钥存储验证 制定已授权用户使用密钥访问系统；
密钥销毁处置 如何撤消或解除激活的密钥，例如，当密钥已损害时或当用户离开组织时（在这种情况下，密钥也要归档）；
密钥备份恢复 备份或归档密钥，并在丢失或者损毁时，利用其进行恢复；
密钥有效时限 宜规定密钥的激活日期和解除激活日期，以使它们只能用于相关密钥管理策略定义的时间段；
公钥验证识别 由证书认证机构颁发的公钥证书，认证机构具有合适的控制措施和规程以提供所需的信任度的公认组织；
密钥相关标准 密钥的管理对有效使用密码技术来说是必需的。GB/T 17901 提供了更多密钥管理的信息；
法庭案例取证 密码技术还可以用来保护密钥。可能需要考虑处理访问密钥的法律请求的规程，证据可能需要明文提供；
审核密钥活动

A11 物理和环境安全

A11.1 安全区域

目标：避免未授权物理访问、破坏、干扰组织的信息或者信息处理设施。

序号	标识	类型	描述
11.1.1	物理安全边界	控制类	安全边界应该定义并用于保护敏感或者关键信息和信息处理设施的区域
11.1.2	物理入口控制	控制类	安全区域需要保证入口获得适当的控制，只有被授权的人员允许访问
11.1.3	安全办公室、房间、设施	控制类	应设计并应用办公室、房间和设施的物理安全
11.1.4	外部和环境威胁的安全防护	控制类	应设计并采取物理安全措施来防范自然灾害，恶意攻击或事故
11.1.5	在安全区工作	控制类	应设计并应用安全区域工作流程
11.1.6	交付与交接	控制类	未授权人员进入访问点[例如交接点和交付点，其他点] 应该加以控制，可能的情况，隔离信息处理设施

11.1.1-1 如何设置安全区域

基于边界中资产安全需求和风险评估结果定义安全边界，确定安全边界的位置和防御力量；
包含信息处理设施的建筑物或站点的外围应物理上的合理性（即，在外围或容易发生闯入的区域中不应有间隙）；
场地的外部屋顶，墙壁和地板应为坚固的结构，所有外门均应通过控制装置（例如门闩，警报器，锁）
适当保护以防止未经授权的进入;，无人看管时，门窗应锁定，并应考虑对窗户进行外部保护；
站点、建筑物中的人员值班岗亭和物理访问控制应当在恰当的位置安置，且应该只允许授权人员进入；
物理屏障是用于防止未授权物理访问和环境污染的；
安全周边的所有防火门要可发出报警信号、被监视并经过测试，与墙一起按照合适的标准建立所需的防卫级别；
防火墙要使用故障保护方式按照当地防火规则来运行。；
按照安全标准安装入侵监测系统，并定期测试以覆盖所有的外部门窗；要一直警惕空闲区域；其他区域要提供掩护方法;
组织管理的信息处理设施要在物理上与第三方管理的设施分开;

11.1.2-1 进入安全区域

记录访问行为 记录非事先批准的访问者的进入和离开日期和时间，只允许访问特定区域和目标，且需要恰当认证；
多因素认证 敏感信息区域仅限已授权人员，采取恰当的访问控制措施，例如访问卡和个人识别码构成双因素认证；
留存审计登记 所有访问的物理登记薄或者电子审计单宜被安全的保留并监视；
携带可视标识 所有雇员和承包方人员以及外部各方要佩带可视标识，如果遇到无人护送的访问者和无可视标识的要立即通知保安人员；
监视外部人员 外部方人员只有在需要时才能有限制的访问安全区域或敏感信息处理设施；这种访问要被授权并受监视；
迭代更新权限 对安全区域的访问权限要定期地予以评审和更新，并在必要时废除（详见 9.2.5 和9.2.6）。

11.1.3-1 安全区域保护方法

隐蔽密钥设施 密钥设施应该被放置避免公开访问区域；
减少作用标识 建筑物应不引人注目，最小化标识物体用途，减少对建筑物内外关于其信息处理活动标识；
保护敏感信息 配置安全措施避免机密信息暴露，必要的情况需要考虑电磁屏蔽；
组织未授权访问 标识敏感信息处理设施位置的目录和内部电话簿不要轻易被未授权读取。

11.1.4-1 保护外部和环境威胁

应获得有关如何避免火灾，洪水，地震，爆炸，内乱和其他形式的自然或人为灾难造成损害的专业建议。

11.1.5-1 安全区域工作要求

知其所需 员工在安全区域内存在的活动，应该是知其所需的；
区域监管 基于安全原因和阻止恶意活动，应该避免在安全区域内执行未监管工作；
周期审查 空闲安全区域应该物理锁定和周期审查；
禁止录像 拍照、视频、音频或者其他的记录设备，例如不能允许未授权的移动摄像机；

11.1.6-1 交接区域工作要求

必须授权 由建筑物外进入交接区的访问要局限于已标识的和已授权的人员；
便捷卸货 无需提供外来货运人员授权的情况下就可以装载或者卸下物资；
危险检查 在进来的物资从交接区运到使用地点之前，要检查是否存在易爆、化学和易燃物资；
入口登记 进来的物资要按照资产管理规程（详见第8章）在场所的入口处进行登记；
物理隔离 如果可能，进入和外出的货物要在物理上予以隔离；
损坏检查 进来的物资宜检查途中是否发生篡改，如果发现篡改宜立即向安全人员报告。

A11.2 设备

目标：避免未授权物理访问、破坏、干扰组织的信息或者信息处理设施。

序号	标识	类型	描述
11.2.1	设备安置和保护	控制类	应妥善安置及保护设备，以减少未授权访问
11.2.2	支持性设备	控制类	应保护设备使其免于特性设施的失效而引起的电源故障和其它中断
11.2.3	布缆安全	控制类	应保护传输数据或支持信息服务的电力及通讯线缆，免遭拦截或破坏。
11.2.4	设备维护	控制类	设备应给予正确的保护，以确保其持续的可用性的完整性
11.2.5	资产移动	控制类	设备、信息或软件在授权之前不应带出组织
11.2.6	场外设备和资产安全	控制类	应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险。
11.2.7	设备的安全处置或再利用	控制类	包含存储介质的设备的所有项目应进行核查，以确保在处置之前，任何敏感信息和注册软件已被覆写
11.2.8	无人值守的用户设备	控制类	用户应确保无人值守的用户设备有适当的保护。
11.2.9	清除桌面和清屏策略	控制类	应采取清空桌面上的文件、可移动存储介质的策略和清空信息处理设施屏幕的策略

11.2.1-1 如何保护信息处理设备

设备地理位置 设备应该放置在最小访问的的工作区域，防止未授权访问。例如处理敏感数据的信息；
存储设施防护 保护储存设施以防止未授权访问；
特殊保护实例 要求特殊保护的部件要予以防护，以降低所要求的总体保护等级；
控制潜在威胁 要采取控制措施以最小化潜在的物理和环境威胁的风险，例如自然灾害、电磁干扰、电源干扰、水等；
设施人员活动 要建立在信息处理设施附近进食、喝饮料和抽烟的指南；
设施环境因素 对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视；
设施避雷保护 所有建筑物都要采用避雷保护，所有进入的电源和通信线路都要装配雷电保护过滤器；
电磁辐射防护 处理机密信息的设备应该防止由于电磁辐射导致的信息泄露。

11.2.2-1 如何保护支持性设施

哪些支持设施 电力、通讯、水利、炉灶、污水处理、通风设施、空调；
保护设施安全 宜遵从设备制造商的说明书和本地法规要求；
评估设施容量 定期扩容设施，以满足业务增长和其他支持性设施的交互；
必要故障警告 如果必要，监测到故障时需要发出告警；
冗余电力实施 如果必要，采取不同物理电力运营商线路的多路冗余供电；
提供应急措施 提供因应急照明和应急通信，在应急出口安置关闭电源\水\电\气等开关措施。

11.2.3-1 保护线缆可用性

提供替换保护 进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的保护；
隔离不同线缆 由于电源线缆产生电磁辐射会干扰通讯线缆使用，需要使用隔离方法保护；

11.2.3-2 敏感关键系统外围防护

实施防护措施 在检查点和终端点安装装甲导管和上锁的房间；
实施电磁屏蔽 使用电磁屏幕来保护线缆，免于旁路攻击的威胁；
实施技术清理 对于连接到系统的未授权设备，使用初始化清扫、物理检查；
控制电缆访问 控制对配线架和配线间的访问控制。

11.2.4-1 维护设备可用性和完整性

基于时间与规范 要按照供应商推荐的维护服务时间间隔和规范对设备进行维护；
专有人员维护 只有授权的专有人员才可以维护和服务设备；
维护人员控制 当对设备进行例行维护时，应考虑到该维护是否由人员执行，并采取适当的控制措施l；
设备外出控制 当对设备进行例行维护时，若为外部场所处理，机密数据应该被清理或由维护人员充分清理；
强制保险策略 所有维护请求必须强制执行保险策略；
设备未被篡改 当维护后转到生产之前，需要检查设备没有被篡改和其他故障。

11.2.5-1 资产离开组织处置

标识离站资产 应标识那些有权允许离站资产移除的雇员和外部人员；
限制移除时间 应设置资产移除时间限制，并进行遵从验证反馈；
记录出站入站 资产应该存在移除离站记录和入站返回记录；
记录资产属性 处理和使用资产的人员身份、角色和归属宜被记录，记录文档宜与设备、信息或软件一起归还。
资产移动抽查 记录未授权装置和武器，防止其进去和带出办公场所，宜按照相关法律和规章执行

11.2.6-1 资产场外防护

制造商防护规范 遵从制造商的防护说明，例如防止暴露与强磁场下；
保持人员监管 离开建筑物的设备和介质在公共场所不应无人看管；
资产安全控制 临时场所办公的场外控制措施要根据风险评估确定，例如，访问控制以及与办公室的安全通信；
流转资产记录 当设备在不同方之间传递时，以维护资产记录，内容包括最终名称、设备的责任组织。
场外设备风险 安全风险在不同场所可能有显著不同，损坏、盗窃、截取、嗅探、侦听等。
限制移动设备 警示员工不要在场外办公，限制员工使用移动设备办公来适当减少响应风险。

11.2.7-1 设备安全处置

确认数据保留 在设备处置和再利用之前宜验证是否保留存储介质；
进行风险评估 实施风险评估以确保是否需要销毁数据，评估存储介质是否允许重用；
不可获取毁坏 包含保密或版权信息的存储介质在物理上宜予以摧毁，保证原始信息不可获取的破坏；

11.2.7-2 设备再利用

重用存储设备 除了磁盘擦除外，整个磁盘加密可降低保密信息泄露的风险；
加密整个磁盘 加密过程足够强壮，包括整个磁盘、交换文件空间、剩余空间；
足够密钥长度 需要可以低于暴力破解攻击，且不能存储在同一块磁盘上；
评审覆写技术 覆写技术是否能够具有清除存储介质数据能力。

11.2.8-1 用户保护无人值守设备的职责

保护授权会话 结束时终止活动的会话，或者采取合适锁定机制，例如口令、屏幕保护程序；
物理保护设备 当不使用设备时，使用锁或相似控制措施保护设备，免遭未授权使用；

11.2.9-1 风险和组织的文化

合规信息分类 清空桌面和清空屏幕策略，需要考虑到信息分类原则[详见8.2]，符合法律法规要求[详见18.1]；
重要商业信息 当办公室并腾空时，纸上或者电子介质的敏感和关键商业信息，应该被放到安全措施中，如保险箱；
保护屏幕信息 当无人值守时，计算机和终端要注销，或使用由口令、令牌或类似的用户鉴别机制控制的屏幕和键盘锁定机制进行保护；
翻印设备要求 含有敏感分类的数据从打印机中移除，还要阻止未授权访问打印机和复印机；
翻印设备控制 要考虑使用带有个人识别码功能的打印机，使得仅有原始操作人员可获取打印输出。

A12 操作安全

A12.1 操作程序和职责

目标：确保正确和安全操作信息处理设施

序号	标识	类型	描述
12.1.1	操作程序文件化	控制类	操作过程应形成文件，并提供给所有需要的用户
12.1.2	变更管理	控制类	对组织，业务流程，处理信息设施，系统的变更应加以控制
12.1.3	容量管理	控制类	资源的使用加以监控，调整，并作出对外来要求资源的预测，以确保拥有所需的系统性能
12.1.4	开发，测试和运行环境分离	控制类	开发及测试环境与运营环境分离。减少未授权访问和对操作系统变更的风险

A12.1.1-1 哪些操作需要规程

系统安装和配置规程
信息自动或手动处理和处置规程
备份数据规程 [详见12.3]
信息系统管理 信息系统需使用集中化一致性规程、工具、实用工具管理；
时间节点计划 系统间的互相依赖关系，早期工作开始时间，末期工作结束时间；
异常处理指导 出现在工作执行过程中，处理错误和异常的指导，包括对于系统实用工具的使用[详见9.4.4]；
支持通讯流程 出现不期望操作或者技术困难时的外部支持性通讯；
输出处理指导 管理保密输出，任务失败时输出的安全处置规程[详见8.3 和 11.2.7]；
系统恢复规程 供系统失效时使用的系统重启和恢复规程；
日志审计规程 审计踪迹和系统日志信息的管理，监控规程；
正式文件规程 操作规程和系统活动文档化为正式文件，变更需要管理层授权[详见12.4]。

A12.1.2-1 变更管理核心要素

标识和记录 当发生变更时，包含所有相关信息的审计日志需予以保留；
规划和测试 规划变更内容、确定变更流程、测试变更结果有效性；
潜在影响评估 评估变更可能导致风险，是否可以控制到可以接受残余风险；
正式变更流程 请求变更、批准变更、发布变更、正式管理者职责和规程，确保所有变更均为可控变更；
验证变更内容 确保变更结果有效，例如验证得到满足的信息安全要求；
传达变更细节 向所有有关人员传达变更细节，可能包括实施工程师、业务所有人、安全管理员等执行人员；
基本运维规程 从不成功变更和未预料事态中退出和恢复的规程与职责；
紧急变更规程 使能快速可控的前提下完成变更来解决事故[详见16.1]；
开发变更运营 可靠的变更可保证信息处理措施和信息系统的可用性和应用可靠性；

A12.1.3 评估业务容量

基于系统业务关键性；
基于新业务拓展需求；
组织处理信息能力需求趋势，例如业务引用和管理信息系统工具的需求；
监控变更系统使用情况，系统容量发生变更时，可用性和使用效率；
资源检测控制措施，监视业务系统资源利用程度，是否出现服务的潜在的瓶颈、关键员工的依赖、资源需求峰值占比；

A12.1.3-2 业务容量优化

删除过时数据（磁盘空间）；
减低非关键系统资源需求，进行资源调配，例如停止使用应用、系统、数据库或环境；
优化应用逻辑或数据库查询；
如果是非关键业务（例如影音串流），则拒绝或限制其资源服务带宽的使用；
关键任务系统，宜考虑文件化的容量管理方案。

A12.1.4-1 分离测试环境与开发环境

状态转换规程 规定从开发状态到运营状态的传递规则并形成文件；
运营位置规划 开发应用和运营软件需要运行在不同的系统、计算机处理器、不同域、不同目录中；
变更优先测试 系统和应用变更在应用到实际运营系统之前，需要优先在同类型模拟环境中测试，除非是意外情况；
开发工具禁用 编译器、编辑器、开发工具、系统实用工具，未经请求不能访问运营系统；
用户设置隔离 在运营系统和测试系统中用户应具有不同的配置文件，菜单只显示标识的信息来减少出错风险；
敏感数据处置 测试系统不应放入敏感数据，如有必要，必须执行等价的控制措施；
稳定测试环境 需要维护一个已知且稳定的环境，在其中执行有意义的测试并防止开发人员不适当地访问操作环境；
研发禁止访问 如果开发和测试人员可访问系统信息，引入未经授权和未经测试的代码或更改操作数据或引入恶意代码；
分离系统目标 分离开发、测试、运营系统，减少意外更改或未授权访问运营软件和业务数据的风险[详见14.3]。

A12.2 操作程序和职责

目标：确保对信息和信息处理设施进行恶意软件防护。

序号	标识	类型	描述
12.2.1	控制恶意软件	控制类	宜实施恶意软件的检测、预防和恢复的控制措施，以及适当的提高用户安全意识

A12.2.1-1 防范恶意代码

未授权软件禁止规程 建立禁止使用未授权软件的正式策略[详见 12.6.2 和 14.2]；
未授权软件控制措施 实施控制、阻止、检测未授权软件使用，如软件白名单；
禁止访问恶意网站点 实施控制、阻止、检测访问可疑恶意网站，如黑名单；
禁止外部软件来源点 建立正式政策以防止通过外部网络或在其他介质上获取文件和软件有关的风险，采取保护措施；
减少潜在设备脆弱性 减少恶意软件可能利用的漏洞，例如技术漏洞管理 [详见12.6]；
定期审查数据内容 定期审查支持关键业务流程的系统的软件、数据内容；是否存在未经批准的文件或未经授权的修改，应予以正式调查；
获取最新防范信息 实施定期收集信息的程序，例如订阅邮件列表或验证提供有关新恶意软件信息的网站；

A12.2.1-2 发现恶意代码

扫描文件 扫描通过网络或者任何存储介质中接收到的文件，是否存在恶意代码；
扫描附件 扫描电子邮件附件是否存在恶意代码，例如邮件服务器、桌面计算机进入组织网络之前；
扫描网页是否存在恶意代码
信息收集 信誉卓著的期刊，可靠的互联网站点或杀毒软件的供应商，用于区分恶作剧和真实恶意软件；

A12.2.1-3 处理恶意代码攻击

定义规程和职责 定义处理系统中恶意软件保护的程序和职责，举办使用，报告和从恶意软件攻击中恢复的培训；
制定业务持续计划 准备关于恶意代码攻击的业务持续性计划，包括安排必要数据和软件备份恢复流程；
报告恶意代码动态 实施验证恶意代码信息规程，并提供准确，实时的警示公告；
隔离潜在灾难环境 隔离可能导致灾难性影响的环境。

A12.3 备份

目标：防止数据丢失。

序号	标识	类型	描述
12.3.1	信息备份	控制类	基于备份策略，信息、软件、系统镜像副本应该被获取和测试。

A12.3.1-1 设计备份计划的关注点

建立恢复规程 备份副本记录需要准确与完整，建立文档化的恢复规程；
备份范围与频率 备份的范围和频率应该基于组织业务需求、信息安全需求、组织持续运营信息关键性；
异地备份站点 备份与主站点之间的间隔，应该足够远来躲避来源于灾难的损害；
物理防护等级 备份信息需要适当的物理和环境防护等级，执行的标准与主站点应该是一致的；[详见11章]
备份数据加密 在保密性十分重要的情况下，备份要通过加密方法进行保护；
定期执行备份 各个系统和服务的备份安排宜定期测试以确保它们满足业务连续性计划的要求；
监视备份过程 处理定期备份中的故障，以确保按照备份策略完成备份；
确定保存周期 宜确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

A12.3.1-2 恢复机制测试的关注点

备份介质测试 宜定期测试备份介质，以确保当必要的应急使用时可以依靠这些备份介质；
检查恢复质量 宜结合恢复测试规程执行并查验恢复所要求的时间，是否符合要求；
专用介质测试 通过专用测试介质进行，不能靠复写原始介质进行，以防止恢复过程出现故障造成数据丢失；

A12.4 记录与监控

目标：记录事件并生成证据。

序号	标识	类型	描述
12.4.1	事件记录	控制类	用户活动、异常、错误和信息安全事件日志记录，应该被生产、保存、周期性回顾
12.4.2	保护日志信息	控制类	记录设施和日志信息，不能被篡改和未授权访问
12.4.3	管理员和操作日志	控制类	系统管理和操作员的日志应该记录、保护和定期回顾。
12.4.4	时间同步	控制类	所有组织或者安全域中跟时间有关的信息处理系统，应该被同步到统一参照值时间源。

A12.4.1-1 事件日志字段列

用户标识；
系统活动；
日期时间；
事件关键词，例如登录，登出等；
设备标识、位置、系统标识；
接受或者拒绝访问尝试，例如系统、数据、其它资源的访问；
系统配置变更；
权限使用；
系统实用程序；
访问类型和文件访问；
网络地址和协议；
由于违反访问控制的警告；
是否激活保护系统，例如反病毒、入侵检测。
用户在应用中操作执行事务记录

A12.4.1-2 自动监控系统特征

系统基础功能 有能力在系统安全中生成加固报告和警告；
个人日志内容 事件日志内容，包含敏感数据和个人标识信息，对个人信息进行适当隐私保护[详见18.1.4]；
阻止禁用记录如果有可能，系统管理员不应该拥有擦除、禁用审计他们活动日志的权限[详见12.4.3]；

A12.4.2-1 控制措施保护特征

目标保护日志免遭未授权的更改，发现记录设施操作问题；
变更更改所记录的消息类型；
编辑日志文件被编辑或者删除；
覆盖日志文件超出存储能力，导致记录事件失败或者覆写历史记录；
监视识别重大事件以进行信息安全监视，应考虑将适当的消息类型自动复制到第二个日志，或者使用适当的系统实用程序或审计工具来执行文件询问和规范化。
只读系统日志需要受到保护，因为如果可以修改数据或删除其中的数据，则它们的存在可能会产生错误的安全感。
隔离可以将日志实时复制到系统管理员或操作员无法控制的系统中，以保护日志。

A12.4.3 审计特权帐号操作

特权账户保有者可以操作直属他们控制信息处理设施的日志，因此有必要保护并回顾特权用户操纵审计；
对在系统和网络管理员控制之外进行管理的入侵检测系统可以用来监视系统和网络管理活动的符合性。

A12.4.4-1 时间同步要求

记录和实施组织从外部源获取参考时间的方法；
如何同步内部时钟并保证可靠性；
记录时间表示、同步和精确的内部及外部要求；
时间请求必须合法合规，遵从合同要求，符合标准一致性内部监视要求；
组织内应定义参考标准时间。

A12.4.4-2 时间同步准确性

日志准确性 正确设置计算机时钟可确保审核日志的准确性，这可能是调查或在法律或纪律案件中作为证据所必需的；
获取主时钟 链接到国家原子钟的广播时间的时钟可以用作记录系统的主时钟；
服务器授时网络时间协议可用于使所有服务器与主时钟保持同步。

A12.5 操作软件控制

目标：确保操作操作软件完整性。

序号	标识	类型	描述
12.5.1	在操作系统中安装软件	控制类	宜实施规程来控制在操作系统上安装软件。

A12.5.1 操作系统软件变更

变更控制 操作软件，应用程序和程序库的更新仅应由经过培训的管理员在获得适当管理授权后进行 [详见9.4.5]；
保护源代码 操作系统中只允许保留可执行代码，而不是源代码、编译后代码；
应用部署条件 应用和操作系统软件应该在全面和成功的测试之后，才允许进行部署；
测试覆盖项目 可用性、安全性、其它系统的影响、用户友好度等[详见12.1.4]；
测试功能作用 测试应在隔离系统中执行，保证所有编程源库被更新；
实施配置控制 使用配置控制系统来保持对所有已实施软件和系统文档的控制；
实施回滚策略 变更之前应该实施回滚策略，以防万一；
更新审计日志 应该维护所有操作编程库更新审计日志
应用版本控制 保留历史版本的应用软件，可用于应用软件的保障措施；
应用归档内容 软件历史版本，相关的请求信息和参数，过程，配置细节和支持性软件中的数据；
软件更新保持 组织应该考虑逐渐替换掉相关厂商不再支持的软件，或者承担相关风险；
补丁采用条件 如果软件补丁帮助减少了信息安全漏洞且没有引入新的安全问题，同时不妨碍业务处理，应进行修复；
监控供应商行为 物理或逻辑访问权限仅应在必要时并在获得管理层批准的情况下提供给供应商，并监控其使用情况；
监控外部模块 应用可能依赖于外部提供的软件和模块，应对其进行监视和控制，以避免未经授权的更改，否则可能会导致安全漏洞。

A12.6 技术脆弱性管理

目标：避免脆弱性被利用。

序号	标识	类型	描述
12.6.1	技术漏洞管理	控制类	应得到正在使用信息系统脆弱性信息，评价暴露程度，采取恰当的措施来处理相关风险。
12.6.2	限制软件安装	控制类	应建立规则来控制用户安装软件。

12.6.1-1 技术脆弱性管理

管理角色与职责 定义技术脆弱性管理相关职责和角色，包括脆弱性监控、脆弱性风险评估、补丁、资产跟踪和其他；
更新脆弱性管理 识别相关的脆弱性和维护有关这些脆弱性的认识的信息资源，更新这些有用的资源；
处置识别脆弱性指定时间内对潜在技术脆弱性警告做出反应，评估风险，必要时采取控制措施或者应用系统补丁；
紧急处理脆弱性 基于脆弱性的紧急程度，实施行动需要被变更管理控制[12.1.2]，遵循信息安全事件响应规程[16.1.5];
规程日志审计 执行流程·进行日志审计，便于事后溯源；
监视评估过程 要定期对技术脆弱性管理过程进行监视和评价，以确保其有效性和效率；
管理脆弱性规程 保持与事件管理活动一致性，输入脆弱性数据到事件响应功能中，提供响应事件规程；
处理未决脆弱性 定义一个程序来解决已经确定漏洞但没有适当对策的情况，组织应评估与已知漏洞相关的风险，并定义适当的侦查和纠正措施。

A12.6.1-2 其它控制措施

关闭与脆弱性有关的服务和功能；
网络边界处增加防火墙，调整和增加访问控制措施；
增加监视和检测攻击的手段；
提高脆弱性意识；

A12.6.1-3 确保补丁有效性

延迟应用补丁 考虑推迟打补丁，以便基于其他用户报告的经验来评价相关的风险。使用 ISO/IEC 27031 是有益的；
应用补丁风险 来源于合法源的补丁安装的风险需要评估，可与未安装之前脆弱性风险进行对比衡量；
并行测试补丁 在并行测试环境中应用，充分验证是否存在负面影响或者补丁修复有效性。

A12.6.2-1 限制软件安装

黑名单和白名单 如果需要用户安装软件，需要指定软件白名单和黑名单，；
最小权限原则 根据用户角色授予软件安装权限；
定制软件限制策略 软件类型，安装位置，访问功能范围，阻止黑名单软件启动；
禁止安装软件 系统实用软件、没有数字签名软件、流氓软件恶意代码、可对系统控制造成干扰的软件；
软件监控程序弊端 则可能导致脆弱性，进而导致信息泄露、完整性破坏或其他信息安全事件，或者是侵犯知识产权。

A12.7 信息系统审计

目标：避免脆弱性被利用。

序号	标识	类型	描述
12.7.1	信息系统审计控制	控制类	操作系统中审计请求和活动，应该被批准与规划，并最小化影响业务进程执行。

A12.7.1 信息系统审计指南

审批审计内容 审计请求访问系统和数据，应该获得相关系统管理的批准；
审批审计范围 技术审计测试范围需要经过批准和控制；
只读访问权限 审计测试只读方式访问软件和数据；
取证镜像副本 如需要进行修改，应该对原有文件进行镜像拷贝，审计完成后，按照审计文件要求，删除或者保留；
审批特殊流程 请求特殊和额外流程应该标识或者已被批准；
保证系统可用 在非工作时间进行审计，需要保证业务系统可用性；
审计审计流程 要监视和记录所有访问，以产生参照踪迹。

A13 通讯安全

A13.1 网络安全管理

目标：确保网络信息和信息处理措施的安全防护；

序号	标识	类型	描述
13.1.1	网络控制	控制类	在系统和应用中的网络应该基于管理和控制来保护信息安全。
13.1.2	网络服务安全	控制类	网络服务的安全机制、服务级别和管理请求都应该被标识并包含在网络服务协议中，这些服务是内部还是外包
13.1.3	网络隔离	控制类	在网络中的信息服务组、用户、信息系统都应该被隔离。

A13.1.1-1 网络未授权访问防护

网络管理规程 建立管理网络设备流程和职责；
操作权限分离 操作网络职责应该与计算机操作职责分离[详见 6.1.2]；
特殊控制措施 保护基于公共网络和无线网络连接的系统和应用中数据的机密性和完整性，网络服务可用性和计算机连接[详见A10和13.2]
启用审计监控 适当的日志和监控用于记录和检测行为的对信息安全的影响；
控制措施一致 管理活动应紧密协调，以优化对组织的服务，并在确保在信息处理基础架构中一致地应用控制；
网络认证接入系统应被认证且被严格限制连接网络中；

A13.1.2-1 网络服务安全

审计网络服务提供商 应确定并定期监视网络服务提供商以安全方式管理协议服务的能力，并赋予审计权限；
安全服务措施 包括但不限于服务级别、管理要求、安全特性等特性，确保网络提供商具有这些安全测量功能；

A13.1.2-2 网络安全特性

网络服务包括提供连接，专用网络和增值网络以及托管网络安全解决方案，例如防火墙和入侵检测系统；
用于网络服务安全性的技术，例如身份验证，加密和网络连接控制；
根据安全和网络连接规则，与网络服务进行安全连接所需的技术参数；
必要时使用网络服务的程序，以限制对网络服务或应用程序的访问。

A13.1.3-1 分离到不同网络域

基于信任等级 公共访问区域、桌面区域、服务区域；
基于组织模块 人力资源、经济财务、市场；
基于联合协作 不同组织单元的服务器域连接，例如服务器数据库，CA+堡垒机+VPN；
网关区域控制 每个域的范围应该被谨慎的定义. 网络域之间的访问应该被网关控制，可以使用防火墙或者过滤性路由器；
评估安全需求 每个域的范围应该被谨慎的定义. 网络域之间的访问应该被网关控制，可以使用防火墙或者过滤性路由器；
考虑隔离成本 访问请求，处理信息的价值和分类，还考虑了合并适当信息的相对成本和网关技术的性能影响；

A13.1.3-2 为什么要防护外部网络连接

风险来源网络拓展需要拓展到组织的边界，业务合作合作伙伴请求内部链接或者分享信息处理和网络设施；
未授权访问增加未经授权访问使用该网络的组织信息系统的风险；
防护内容其中某些网络由于其敏感性或重要性而需要受到其他网络用户的保护。

A13.2 信息传输

目标：维护组织内部和任何外部实体传递的信息的安全性；

序号	标识	类型	描述
13.2.1	信息传递策略与规程	控制类	有正式的传递策略、规程和控制措施，以保护通过使用各种类型通信设施的信息传递。
13.2.2	信息传递协议	控制类	建立组织与外部方传输商业信息的安全传输协议。
13.2.3	电子数据发送	控制类	包含电子数据的信息应该被适当保护
13.2.4	机密或者保密协议	控制类	机密性或者保密协议的请求，表明组织需要保护的信息应该被标识，经常回顾并文档化。

A13.2.1-1 信息传输控制规程

保护传输中的数据不被截取、复制、篡改、引流、破坏；
检测并防护不能通过电子通讯传输恶意代码[详见12.2.1]；
保护作为附件传输的敏感电子信息通讯；
确保通讯设施可接受使用的策略或者指南界限；
人员，外部方和任何其他用户的责任，不得损害组织，例如通过诽谤，骚扰，假冒，转发连锁信件，未经授权的购买等；
加密技术的可以保证消息的机密性、完整性、认证性[详见章节10]；
所有业务往来的保留和处置准则，包括消息，基于相关的国际和本地法律和法规；
对于通讯设施使用的控制和限制，例如电子邮件限制自动转发到外部邮件地址；
对员工适当的预警，防止其透露机密信息；
不要将包含机密信息的消息留在应答系统上，因为可能被未授权个人重放，也不要防止在公用系统，存在误拨风险；
宜考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全含义。

A13.2.1-2 传真机使用关注点

内部存储器 未授权访问内置消息存储器，以检索消息；
是否可编程 有意的或无意的对传真机编程，将消息发送给特定的电话号码；
拨号文件篡改 用错误存储的号码将文件和消息发送给错误的电话号码。

A13.2.2-1 关于信息传递协议的要求

协议功能作用 管理、控制和传输通知、发送和接收的职责，确保可追溯性和不可否认的规程；
协议存在形式 协议可以是电子的或手动的，并可以采用正式合同的形式；
建立高层策略 应建立和维护政策，程序和标准，以保护传输中的信息和物理媒体[详见8.3.3]；
相关标准类型 托管协议标准，发送者标识标准，记录和读取信息和软件的技术标准；
安全突发事件 信息安全突发事件[例如数据泄露] 控制责任和义务；
标识敏感系统 商定标识的敏感和关键信息系统，确保标签简单易懂，系统中信息得到适当保护[详见8.2]；
防护敏感数据 任何特殊控制用于保护敏感业务数据，例如加密机制[详见章节10]；
维护信息传输监管链
可接受访问控制级别

A13.2.3-1 电子数据传递安全

数据分类标识 根据组织采用的分类方案，保护消息免受未经授权的访问，修改或拒绝服务；
数据正确路由 确保消息的正确寻址和传输；
服务连续保证 服务的可靠性和可用性；
电子数据识别 法律上的考虑，例如电子签名的要求；
审批外联请求 在使用外部公共服务（例如即时消息，社交网络）之前，网络或文件共享需获得批准；
严格身份验证 高级别的身份验证，控制来自公共网络的访问；
适应多种网络 有许多类型的电子消息传递，例如电子邮件，电子数据交换和社交网络，在业务通信中发挥作用。

A13.2.4-1 关于保密协议的要求

保密协议依据 应满足使用法律可执行条款保护机密信息的要求；
适用员工范围 组织的外部各方或雇员；
选择要素依据 需要考虑外部方的类型，机密信息的访问权限，如何处理机密信息，组织的信息安全要求；

A13.2.4-2 规划保密协议的要素

需要保护信息 定义和识别需要保护的信息，例如机密信息，可对组织运营造成严重影响的；
协议合法合规 保密和保密协议应遵守其适用司法管辖区的所有适用法律和法规[详见18.1]；
变更要求审核 应定期检查保密和保密协议的要求，并在发生影响这些要求的更改时进行审核；
协议生效期限 规定信息脱离机密期限，协议有效时限，可能需要无限期的保护，终止时需要采取什么措施；
规定责任行为 规定签署人需要履行的义务和责任，例如负责和授权的方式保护，使用和披露信息的责任。
违反协议措施 违反协议，例如未经授权的信息泄露，应采取预期纠正措施；
审核信息活动 指定组织拥有审计监视机密信息的活动流程，通知和报告未授权披露或机密信息泄漏的过程；
声明信息所有 信息，商业秘密和知识产权的所有权，以及与所有权的有关机密信息的保护；

转载自原文链接, 如需删除请联系管理员。

原文链接：【格式化文档】ISO27001控制措施+ISO27002实施指南【中】，转载请注明来源！