进现有的信息安全策略、规程和控制措施,管理 应考虑变更涉及到的业务信息、系统和过程的关 键程度及风险的再评估。 A.16 信息安全事件管理
A.16.1 信息安全事件的管理和改进
目标:确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通。
A.16.1.1 职责和规程控制措施
应建立管理职责和规程,以确保快速、有效和有 序地响应信息安全事件。
A.16.1.2 报告信息安全事态控制措施
应通过适当的管理渠道尽快地报告信息安全事 态。
A.16.1.3 报告信息安全弱点控制措施
应要求使用组织信息系统和服务的员工和承包商 注意并报告任何观察到的或可疑的系统或服务中
ISO/IEC 27001:2013(E 的信息安全弱点。 A.16.1.4 信息安全事态的评估和决策 控制措施 应评估信息安全事态并决定其是否属于信息安全 事件。 A.16.1.5 信息安全事件的响应 控制措施 应按照文件化的规程响应信息安全事件。 A.16.1.6 从信息安全事件中学习 控制措施 应利用在分析和解决信息安全事件中得到的知识 来减少
未来事件发生的可能性和影响。 A.16.1.7 证据的收集 控制措施 组织应确定和应用规程来识别、收集、获取和保 存可用作证据的信息。 A.17 业务连续性管理的信息安全方面” A.17.1 信息安全的连续性 目标:应将信息安全连续性纳入组织业务连续性管理之中。 A.17.1.1 规划信息安全连续性 控制措施 组织应确定在不利情况(如危机或灾难)下,对 信息安全及信息安全管理连续性的要求。 A.17.1.2 实施信息安全连续性 控制措施 组织应建立、文件化、实施并维持过程、规程和 控制措施,以确保在不利情况下信息安全连续性 达到要求的级别。 A.17.1.3 验证、评审和评价信息安全 连续性 控制措施 组织应定期验证已建立和实施的信息安全连续性 控制措施,以确保这些措施在不利情况下是正当 和有效的。 A.17.2 冗余 目标:确保信息处理设施的可用性。 A.17.2.1 信息处理设施的可用性 控制措施 信息处理设施应具有足够的冗余以满足可用性要 求。 A.18 符合性 A.18.1 符合法律和合同要求 目标:避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。 ? ISO/IEC 2013 –保留所有权利
ISO/IEC 27001:2013(E A.18.1.1 可用的法律和合同要求的识 别 控制措施 对每一个信息系统和组织而言,所有相关的法律、 法规、规章和合同要求,以及为满足这些要求组 织所采用的方法,应加以明确地定义、形成文件 并保持更新。 A.18.1.2 知识产权 控制措施 应实施适当的规程,以确保在使用具有知识产权 的材料和具有所有权的软件产品时,符合法律、 法规和合同的要求。 A.18.1.3 记录的保护 控制措施 应根据法律、法规、规章、合同和业务要求,对 记录进行保护以防其丢失、毁坏、伪造、未授权 访问和未授权发布。 A.18.1.4 个人身份信息的隐私和保护 控制措施 应依照相关的法律、法规和合同条款的要求,确 保个人身份信息的隐私和保护。 A.18.1.5 密码控制规则 控制措施 密码控制措施的使用应遵从所有相关的协议、法 律和法规。 A.18.2 信息安全评审 目标:确保依据组织方针策略、规程实施和运行信息安全。 A.18.2.1 信息安全的独立评审 控制措施 应按计划的时间间隔或在重大变化发生时,对组 织的信息安全管理方法及其实施(如信息安全的 控制目标、控制措施、方针策略、过程和规程) 进行独立评审。 A.18.2.2 符合安全策略和标准 控制措施 管理者应定期评审其职责范围内的信息处理、规 程与适当的安全方针策略、标准和任何安全要求 的符合性。 A.18.2.3 技术符合性评审 控
制措施 应定期评审信息系统与组织的信息安全方针策略 和标准的符合性。 ? ISO/IEC 2013 –保留所有权利
ISO/IEC 27001:2013(E 参考文献 [1] ISO/IEC 27002:2013, 信息技术 — 安全技术 — 信息安全控制的实务守则. [2] ISO/IEC 27002:2010, 信息技术 — 安全技术 — 信息安全管理系统实施指南. [3] ISO/IEC 27002:2009, 信息技术 — 安全技术 — 信息安全管理 — 测量. [4] ISO/IEC 27002:2011, 信息技术 — 安全技术 — 信息安全风险管理. [5] ISO 31000:2009, 风险管理 — 原则和指南. [6] ISO/IEC 指示, 第一部分 综合 ISO 补充 — ISO:2012 具体规程. ? ISO/IEC 2013 –保留所有权利
相关推荐:
loading