ISO/IEC17799是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一。它从信息安全的诸多方面,总结了一百多项信息安全控制措施,并给出了详细的实施指南,为组织采取控制措施、实现信息安全目标提供了选择,是信息安全的******实践。
1 ISO/IEC17799的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC17799:2000。2005年6月15日,该标准被修订发布为ISO/IEC17799:2005。
同时伴随着ISO/IEC17799发展的还有另一个与其密切相关的标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年英国对该标准进行了修订后发布1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版,这个版本在内容和结构上与1999版相比发生了巨大的变化。2005年10月,这个标准被采纳成为国际标准ISO/IEC27001:2005。
2 ISO/IEC17799的范围
ISOS/IEC17799为组织实施信息安全管理提供建议,供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施,组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准,组织可以开发自己的信息安全准则和有效的安全管理方法,并提供不同组织间的信任。
3 ISO/IEC17799的主要内容
ISO/IEC17799:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的******实践。
标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。
值得注意的是,标准中推荐的这133个控制措施,并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。
从内容和机构上看,可以将标准分为四个部分:
一引言部分。主要介绍了信息安全的基础知识,包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。
二标准的通用要素部分(1~3章)。第1章是标准的范围。第2章是术语和定义,介绍信息安全、风险评估和风险管理等三个术语。第3章概述标准的机构。
三风险评估和处理部分。第4章专门介绍风险评估和处理。概述了风险评估和处理的方法和基本要求。
四控制措施部分(5~15章)。这是标准的主体部分,包括11个控制措施章节,每个控制措施章节的内容说明、控制目标和控制措施数量详细情况如下表所示:
|
章节序号
|
章节名称
|
内容说明
|
控制目标数量
|
控制措施数量
|
|
5
|
安全方针
|
建议组织应有一个阐明组织在信息安全方面宗旨和方向的信息安全方针,并形成方针文件,还应对这个方针文件进行定期评审。
|
1
|
2
|
|
6
|
信息安全组织
|
这里的“组织”兼有动词和名词的两层意思。一个组织的信息安全工作应建立一个管理框架,即组织机构,以确定信息安全工作的领导、工作落实、内部外部协调与合作、职责分配等。在这一章节中,还提出了第三方服务和外包活动中的信息安全控制。
|
2
|
11
|
|
7
|
资产管理
|
“资产”是这个标准中的一个重要概念。在这个标准的引言中开宗名义:“信息是一种资产,象其他业务资产一样,对组织具有价值。”“资产”是我们信息安全工作主要的保护对象。信息安全就要首先知道保护什么,然后考虑保护到什么程度,再决定怎样保护。
|
2
|
5
|
|
8
|
人力资源安全
|
“人”在信息安全活动中既是主体,也是客体。主体是指许多信息安全控制措施的实现是由“人”来完成;客体是指“人”本身也是信息安全活动中要保护的对象。经验告诉我们,一个组织重要的、有价值的信息大多数存在员工的大脑中,许多信息安全事件的发生是由人而起。“人”在信息安全活动中也是最复杂、最难控制的保护对象。在这一个章节中,标准提供了与“人”有关的3个控制目标和9个控制措施。
|
3
|
9
|
|
9
|
物理和环境的安全
|
物理和环境的安全控制不仅是信息安全的需要,也是传统安全的要求。一个组织无论是否考虑信息安全问题,都要把物理和环境安全做好。因此,本章节中介绍的这些目标和控制是最容易理解、也最容易实施的。
|
2
|
13
|
|
10
|
通信和操作管理
|
这一章中的“通信”是广义的通信的概念,主要是指信息的交换、沟通和交流等活动。操作主要是指对信息处理设备和设施、信息系统、软件等的操作。
|
10
|
32
|
|
11
|
访问控制
|
访问控制是保持信息保密性的必要措施,这一章从访问控制策略、用户访问管理、网络访问、操作系统访问、应用系统访问、访问和使用监督、移动计算和远程工作等方面提出了8个控制目标和31项控制措施。
|
7
|
25
|
|
12
|
信息系统获取开发和维护
|
主要从应用系统的开发建设和运行维护的过程中与信息安全有关的方面提出了详细的控制目标和控制措施。在这一章中还提到了与密码相关的控制。
|
6
|
16
|
|
13
|
信息安全事件管理
|
到目前为止,还没有一项信息安全控制措施是一劳永逸的。无论你制定和实施怎样的信息安全风险处理计划,信息安全事件总有可能发生。对信息安全事件的正确管理是重要的。
|
2
|
5
|
|
14
|
业务连续性管理
|
业务连续性管理(BCM)是目前一项热门的话题,并逐渐成为一门专业。对企业来说,BCM是一项重要的、综合的管理,涉及企业的诸多方面,信息安全问题应该是其中的一个方面。
|
1
|
5
|
|
15
|
符合性
|
满足我国当前适用的法律法规中关于信息安全方面的要求是任何组织首先要做的,其次是满足合同要求、组织制定的规章制度和技术要求等。本章所提出的控制目标和控制措施就是为了控制这些方面的信息安全风险。
|
3
|
10
|
|
合计
|
|
|
39
|
133
|
4 ISO/IEC17799的使用说明
ISO/IEC17799:2005作为信息安全管理的******实践,它的应用既有专用性的特点,也有通用性特点。
说它具有专用性,是因为作为信息安全管理体系标准族(ISMS标准)中的一员,目前它与ISMS的要求标准ISO/IEC27001是组合使用的,ISO/IEC27001中的规范性附录A就是ISO/IEC17799的控制目标和控制措施集。对于期望建设和实施ISMS的组织,应根据ISO/IEC27001的要求,选择ISMS范围,制定信息安全方针和目标,实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审,以持续改进。
ISO/IEC17799:2005的通用性,体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是******实践。任何规模、任何性质的有信息安全要求的组织,不管其是否建设ISMS,都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。
另外,ISO/IEC17799:2005中提出的控制目标和控制措施,对一个具体的组织并不一定全部适用,也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC17799:2005以外的控制目标和控制措施。
5 我国采用ISO/IEC17799情况的说明
我国政府主管部门十分重视信息安全管理国家标准的制定。2002年,全国信息安全标准化技术委员会(www.tc260.org.cn)成立之初,其第七工作组(WG7)就开始了ISO/IEC17799的研究和制标工作。2005年6月15日,我国发布了国家标准“GB/T19716-2005信息安全管理实用规则”,修改采用ISO/IEC17799:2000。
2006年,根据ISMS国际标准的发展和我国的实际需要,全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定和研究计划。相信不久,对应最新ISMS国际标准的国家标准就会发布,以供大家遵照使用。
6 附录:ISO/IEC17799的2000版与2005版结构和内容对照表
|
ISO/IEC17799:2000
|
ISO/IEC17799:2005
|
新版本中变化的说明
|
|
引言
1 范围
2 术语和定义
|
引言
1 范围
2 术语和定义
3 本标准的结构
|
1) 增加了14个术语,原有3个术语的解释也略有变化
2) 增加了“本标准的结构”一章
|
|
|
4 风险评估和处理
4.1 评估安全风险
4.2 处理安全风险
|
新增章节
|
|
3 安全策略
3.1 信息安全策略
3.1.1 信息安全策略文档
3.1.2 评审和评价
|
5 安全方针
5.1 信息安全方针
5.1.1 信息安全方针文件
5.1.2 信息安全方针的评审
|
1) 方针和策略是同一个英文单词Policy;
2) 去掉了评价
|
|
4 组织的安全
4.1 信息安全基础设施
4.1.1 管理信息安全协调小组
4.1.2 信息安全协调
4.1.3 信息安全职责的分配
4.1.4 信息处理设施的授权过程
4.1.5 专家的信息安全建议
4.1.6 组织之间的合作
4.1.7 信息安全的独立评审
4.2 第三方访问的安全
4.2.1 标识第三方访问的风险
4.2.2 第三方合同中的安全要求
4.3 外包
4.3.1 外包合同中的安全要求
|
6 信息安全组织
6.1 内部组织
6.1.1 信息安全的管理承诺
6.1.2 信息安全协调
6.1.3 信息安全职责的分配
6.1.4 信息处理设施的授权过程
6.1.5 保密性协议
6.1.6 与政府部门的联系
6.1.7 与特定利益集团的联系
6.1.8 信息安全的独立评审
6.2 外部各方
6.2.1 与外部各方相关风险的识别
6.2.2 处理与顾客有关的安全问题
6.2.3 处理第三方协议中的安全问题
|
1) 将“信息安全基础设施”更改为“内部组织”,将“第三方”扩展为“外部各方”;
2) “内部组织”中的控制措施“信息安全的管理承诺”代替了“管理信息安全协调小组”,隐含了组织机构的名称,强化了管理职责;
3) 将“人员安全”一章的控制措施“保密性协议”纳入本章
4) “外包”作为“第三方”的一种,在6.2.3的“其他信息”中进行了强调,而没有再把“外包”作为单独的一节。
|
|
5 资产分类和控制
5.1 资产的可核查性
5.1.1 资产清单
5.2 信息分类
5.2.1 分类指南
5.2.2 信息标记和处理
|
7 资产管理
7.1 对资产负责
7.1.1 资产清单
7.1.2 资产责任人
7.1.3 资产的允许使用
7.2 信息分类
7.2.1 分类指南
7.2.2 信息的标记和处理
|
1) 将“资产分类和控制”改为“资产管理”,从题目上扩展了本章的内容;
2) 将“资产的可核查性”改为“对资产负责”强调了“责任”的重要性,还增加了控制措施“资产责任人”和“资产的允许使用”。
|
|
6 人员安全
6.1 岗位设定和人力资源的安全
6.1.1 在岗位职责中要包含的安全
6.1.2 人员筛选和策略
6.1.3 保密性协议
6.1.4 雇用条款和条件
6.2 用户培训
6.2.1 信息安全教育和培训
6.3 对安全事故和故障的响应
6.3.1 报告安全事故
6.3.2 报告安全弱点
6.3.3 报告软件故障
6.3.4 从事故中学习
6.3.5 纪律处理
|
8 人力资源安全
8.1 任用之前
8.1.1 角色和职责
8.1.2 审查
8.1.3 任用条款和条件
8.2 任用中
8.2.1 管理职责
8.2.2 信息安全意识、教育和培训
8.2.3 纪律处理过程
8.3 任用的终止或变化
8.3.1 终止职责
8.3.2 资产的归还
8.3.3 撤销访问权
|
1) 将“人员安全”更改为“人力资源安全”,范围增大了;
2) 从任用前、任用中和任用后三个方面考虑“人力资源安全”,更易理解;
3) 去除了“对安全事故和故障的响应”一节,设置了专门的一章,规定信息安全事故方面的控制措施;
4) 删除了控制措施“报告软件故障”。
|
|
7 物理和环境的安全
7.1 安全区域
7.1.1 物理安全周边
7.1.2 物理入口控制
7.1.3 办公室、房间和设施的安全保护
7.1.4 在安全区域工作
7.1.5 交接区域的隔离
7.2 设备安全
7.2.1 设备安置和保护
7.2.2 电源
7.2.3 布缆安全
7.2.4 设备维护
7.2.5 离开建筑物的设备的安全
7.2.6 设备的安全处置或安全重用
7.3 一般控制
7.3.1 清理桌面和清空屏幕策略
7.3.2 财产的移动
|
9 物理和环境安全
9.1 安全区域
9.1.1 物理安全边界
9.1.2 物理入口控制
9.1.3 办公室、房间和设施的安全保护
9.1.4 外部和环境威胁的安全防护
9.1.5 在安全区域工作
9.1.6 公共访问、交接区安全
9.2 设备安全
9.2.1 设备安置和保护
9.2.2 支持性设施
9.2.3 布缆安全
9.2.4 设备维护
9.2.5 组织场所外的设备安全
9.2.6 设备的安全处置和再利用
9.2.7 资产的移动
|
1) 将“安全区域”中的控制措施“外部和环境威胁的安全防护”从“办公室、房间和设施的安全保护”中分离出,强调防护各种自然灾害的重要性;
2) 将“设备安全”中的控制措施“电源”扩展为“支持性设施”,增加了供水、排污、加热/通风和空调等方面的考虑;
3) 去除了“一般控制”一节,将控制措施“清理桌面和清空屏幕策略”放入了“访问控制”一章;将“财产的移动”放入“设备安全”。
|
|
8 通信和操作管理
8.1 操作规程和职责
8.1.1 文档化的操作规程
8.1.2 操作变更控制
8.1.3 事故管理规程
8.1.4 责任分割
8.1.5 开发和运行设施分离
8.1.6 外部设施管理
8.2 系统规划和验收
8.2.1 能力规划
8.2.2 系统验收
8.3 防范恶意软件
8.3.1 控制恶意软件
8.4 内务处理
8.4.1 信息备份
8.4.2 操作员日志
8.4.3 故障记录
8.5 网络管理
8.5.1 网络控制
8.6 媒体处置和安全
8.6.1 可移动的计算机媒体的管理
8.6.2 媒体的处置
8.6.3 信息处置规程
8.6.4 系统文档的安全
8.7 信息和软件的交换
8.7.1 信息和软件交换协议(agreement)
8.7.2 运输中的媒体安全
8.7.3 电子商务的安全
8.7.4 电子邮件的安全
8.7.5 电子办公系统的安全
8.7.6 公开可用系统
8.7.7 信息交换的其他形式
|
10 通信和操作管理
10.1 操作程序和职责
10.1.1 文件化的操作程序
10.1.2 变更管理
10.1.3 责任分割
10.1.4 开发、测试和运行设施分离
10.2 第三方服务交付管理
10.2.1 服务交付
10.2.2 第三方服务的监视和评审
10.2.3 第三方服务的变更管理
10.3 系统规划和验收
10.3.1 容量管理
10.3.2 系统验收
10.4 防范恶意和移动代码
10.4.1 控制恶意代码
10.4.2 控制移动代码
10.5 备份
10.5.1 信息备份
10.6 网络安全管理
10.6.1 网络控制
10.6.2 网络服务安全
10.7 介质处置
10.7.1 可移动介质的管理
10.7.2 介质的处置
10.7.3 信息处理程序
10.7.4 系统文件安全
10.8 信息的交换
10.8.1 信息交换策略和程序
10.8.2 交换协议
10.8.3 运输中的物理介质
10.8.4 电子消息发送
10.8.5 业务信息系统
10.9 电子商务服务
10.9.1 电子商务
10.9.2 在线交易
10.9.3 公共可用信息
10.10 监视
10.10.1 审计日志
10.10.2 监视系统的使用
10.10.3 日志信息的保护
10.10.4 管理员和操作员日志
10.10.5 故障日志
10.10.6 时钟同步
|
1) 将“操作规程和职责”中的控制措施“事故管理规程”放入了 “信息安全事故管理”一章;
2) 将“操作规程和职责”中的控制措施“开发和运行设施分离”扩展为“开发、测试和运行设施分离”;
3) 增加了 “第三方服务交付管理”一节;
4) 将“防范恶意软件”扩展为“防范恶意代码和移动代码”,增加了控制措施“控制移动代码”;
5) 将“内务处理”改为“备份”,并将控制措施“操作员日志”和“故障记录”分别改名为“管理员和操作员日志”和“故障日志”,放入本章新增的一节“监视”中;
6) 将“网络管理”更改为“网络安全管理”,并将原“访问控制”一章中的控制措施“网络服务安全”放入本节;
7) 将“信息和软件的交换”改为“信息的交换”,并将控制措施“电子商务的安全”扩展为一个控制目标“电子商务服务”,同时把“公开可用系统”更改为“公开可用信息”纳入到本节中;
8) 新增一个控制目标“监视”,除上面提及的两条控制措施外,增加了控制措施“日志信息的保护”,还将“访问控制”一章“对系统访问和使用的监督”中的控制措施“事件记录”、“对系统使用的监督”以及“时钟同步”分别改为“审计日志”、“监视系统的使用”和“时钟同步”放入本节。
|
|
9 访问控制
9.1 访问控制的业务要求
9.1.1 访问控制策略
9.2 用户访问管理
9.2.1 用户注册
9.2.2 特权管理
9.2.3 用户口令管理
9.2.4 用户访问权利的评审
9.3 用户职责
9.3.1 口令使用
9.3.2 无人值守的用户设备
9.4 网络访问控制
9.4.1 使用网络服务的策略
9.4.2 强制路径
9.4.3 外部连接的用户鉴别
9.4.4 结点鉴别
9.4.5 远程诊断端口保护
9.4.6 网络分离
9.4.7 网络连接控制
9.4.8 网络路由选择控制
9.4.9 网络服务的安全
9.5 操作系统访问控制
9.5.1 自动化终端标识
9.5.2 终端登录规程
9.5.3 用户标识和鉴别
9.5.4 口令管理系统
9.5.5 系统实用程序的使用
9.5.6 保护用户的强制报警
9.5.7 终端超时
9.5.8 连接时间的限制
9.6 应用访问控制
9.6.1 信息访问限制
9.6.2 敏感系统隔离
9.7 对系统访问和使用的监督
9.7.1 事件记录
9.7.2 对系统使用的监督
9.7.3 时钟同步
9.8 移动计算和远程工作
9.8.1 移动计算
9.8.2 远程工作
|
11 访问控制
11.1 访问控制的业务要求
11.1.1 访问控制策略
11.2 用户访问管理
11.2.1 用户注册
11.2.2 特殊权限管理
11.2.3 用户口令管理
11.2.4 用户访问权的复查
11.3 用户职责
11.3.1 口令使用
11.3.2 无人值守的用户设备
11.3.3 清空桌面和屏幕策略
11.4 网络访问控制
11.4.1 使用网络服务的策略
11.4.2 外部连接的用户鉴别
11.4.3 网络上的设备标识
11.4.4 远程诊断和配置端口的保护
11.4.5 网络隔离
11.4.6 网络连接控制
11.4.7 网络路由控制
11.5 操作系统访问控制
11.5.1 安全登录程序
11.5.2 用户标识和鉴别
11.5.3 口令管理系统
11.5.4 系统实用工具的使用
11.5.5 会话超时
11.5.6 联机时间的限定
11.6 应用和信息访问控制
11.6.1 信息访问限制
11.6.2 敏感系统隔离
11.7 移动计算和远程工作
11.7.1 移动计算和通信
11.7.2 远程工作
|
1) 将“物理和环境的安全”一章中的控制措施“清理桌面和清空屏幕策略”放入“用户职责”一节,作为它的一条控制措施;
2) 删减了“网络访问控制”中控制措施“强制路径”;
3) 将控制措施“结点鉴别”归纳进控制措施“外部连接的用户鉴别”中,将“远程诊断端口保护”更改为“远程诊断和配置端口的保护”;
4) &nb, sp; 将“操作系统访问控制”中的控制措施“自动化终端标识”放入“网络访问控制”中,并改为“网络上的设备标识”;
5) 在“操作系统访问控制”中删除了控制措施“保护用户的强制报警”;
6) 将“应用访问控制”改为“应用和信息访问控制”;
7) 删除了“对系统访问和使用的监督”一节,其中的三条控制措施,都放入“通信和操作管理”一章中的“监视”。
|
|
10 系统开发和维护
10.1 系统的安全要求
10.1.1 安全要求分析和规范
10.2 应用系统的安全
10.2.1 输入数据确认
10.2.2 内部处理的控制
10.2.3 报文鉴别
10.2.4 输出数据确认
10.3 密码控制
10.3.1 使用密码控制的策略
10.3.2 加密
10.3.3 数字签名
10.3.4 抗抵赖服务
10.3.5 密钥管理
10.4 系统文件的安全
10.4.1 运行软件的控制
10.4.2 系统测试数据的保护
10.4.3 源程序库的访问控制
10.5 开发和支持过程的安全
10.5.1 变更控制规程
10.5.2 操作系统变更的技术评审
10.5.3 软件包变更的限制
10.5.4 隐蔽信道和特洛伊代码
10.5.5 外包软件开发
|
12 信息系统获取、开发和维护
12.1 信息系统的安全要求
12.1.1 安全要求分析和说明
12.2 应用中的正确处理
12.2.1 输入数据验证
12.2.2 内部处理的控制
12.2.3 消息完整性
12.2.4 输出数据验证
12.3 密码控制
12.3.1 使用密码控制的策略
12.3.2 密钥管理
12.4 系统文件的安全
12.4.1 运行软件的控制
12.4.2 系统测试数据的保护
12.4.3 对程序源代码的访问控制
12.5 开发和支持过程中的安全
12.5.1 变更控制程序
12.5.2 操作系统变更后应用的技术评审
12.5.3 软件包变更的限制
12.5.4 信息泄露
12.5.5 外包软件开发
12.6 技术脆弱性管理
12.6.1 技术脆弱性的控制
|
1) 将“系统”统一称为“信息系统”;
2) 将“系统开发和维护”扩展为“信息系统获取、开发和维护”;
3) 将“应用系统的安全”改为“应用中的正确处理”;
4) 删除了“密码控制”一节中的控制措施“加密”、“数字签名”和“抗抵赖服务”;
5) 将“开发和支持过程的安全”中的“隐蔽信道和特洛伊代码”改为“信息泄露”;
6) 增加了“技术脆弱性管理”一节。
|
|
|
13 信息安全事故管理
13.1 报告信息安全事件和弱点
13.1.1 报告信息安全事件
13.1.2 报告安全弱点
13.2 信息安全事故和改进的管理
13.2.1 职责和程序
13.2.2 对信息安全事故的总结
13.2.3 证据的收集
|
1) 增加了“信息安全事故管理”一章,强调安全事故管理的重要性;
2) 将原“人员安全”中的控制措施“报告安全事故”、“报告安全弱点”和“从事故中学习”更名为“报告信息安全事件”、“报告安全弱点”以及“对信息安全事故的总结”放入本章;
3) 将“通信和操作管理”中的“事故管理规程”改为“职责和程序”放入本章;
4) 将“符合性”中的“证据的收集”放入本章。
|
|
11 业务连续性管理
11.1 业务连续性管理的各方面
11.1.1 业务连续性管理过程
11.1.2 业务连续性和影响分析
11.1.3 制定和实施连续性计划
11.1.4 业务连续性计划框架
11.1.5 检验、维护和重新评估业务连续性计划
|
14 业务连续性管理
14.1 业务连续性管理的信息安全方面
14.1.1 业务连续性管理过程中包含的信息安全
14.1.2 业务连续性和风险评估
14.1.3 制定和实施包含信息安全的连续性计划
14.1.4 业务连续性计划框架
14.1.5 测试、维护和再评估业务连续性计划
|
1) 将“业务连续性管理的各方面”改名为“业务连续性管理的信息安全方面”,强调业务连续性管理的信息安全方面的内容;
2) 将“业务连续性和影响分析”改为“业务连续性和风险评估”,强调了业务连续性管理和风险评估的关系。
|
|
12 符合性
12.1 符合法律要求
12.1.1 可用法律的标识
12.1.2 知识产权(IPR)
12.1.3 保护组织的记录
12.1.4 个人信息的数据保护和隐私
12.1.5 防止滥用信息处理设施
12.1.6 遵循密码控制的规章
12.1.7 证据的收集
12.2 安全策略和技术符合性的评审
12.2.1 符合安全策略
12.2.2 技术符合性检验
12.3 系统审核考虑
12.3.1 系统审核控制
12.3.2 系统审核工具的保护
|
15 符合性
15.1 符合法律要求
15.1.1 可用法律的识别
15.1.2 知识产权(IPR)
15.1.3 保护组织的记录
15.1.4 数据保护和个人信息的隐私
15.1.5 防止滥用信息处理设施
15.1.6 密码控制措施的规则
15.2 符合安全策略和标准以及技术符合性
15.2.1 符合安全策略和标准
15.2.2 技术符合性检查
15.3 信息系统审核考虑
15.3.1 信息系统审核控制措施
15.3.2 信息系统审核工具的保护
|
