- 一. 信息安全管理体系控制类型:预防性、检测性、纠正性
- 二. 信息安全管理体系控制措施结构
- 三. 信息安全管理体系控制措施
- 1. 信息安全方针(1个目标,2个控制措施)
- 2. 信息安全组织(2个目标,7个控制措施)
- 3. 人力资源安全(3个目标,6个控制措施)
- 4. 资产管理(3个目标,10个控制措施)
- 5. 访问控制(4个目标,14个控制措施)
- 6. 密码学(1个目标,2个控制措施)
- 7. 物理与环境安全(2个目标,15个控制措施)
- 8. 操作安全(7个目标,14个控制措施)
- 9. 通信安全(2个目标,7个控制措施)
- 10. 信息获取开发及维护(3个目标,13个控制措施)
- 11. 供应商关系(2个目标,5个控制措施)
- 12. 信息安全事件管理(1个目标,7个控制措施)
- 13. 业务连续性管理(2个目标,4个控制措施)
- 14. 符合性(2个目标,8个控制措施)
一. 信息安全管理体系控制类型:预防性、检测性、纠正性
- 预防性控制:防止不良事件的发生。
例如:访问需要用户ID和密码,防止未授权的人访问系统;备份数据。 - 检测性控制:发现流程中可能发生的安全问题。
例如:日志审计发现不正常的活动。 - 纠正性控制:对安全事件带来的影响进行纠正。
例如:经历数据丢失后,进行热备份与周期备份数据计划。二. 信息安全管理体系控制措施结构
ISO27002中,定义了控制措施的分类,每一个主要安全类别包含:- 一个控制目标,声明要实现什么?
- 可被用于实现该控制目标的一个或多个控制措施。
ISO27002:2016中,包含14个类别,35个目标,114个控制措施。
| A5信息安全方针 | ||||
|---|---|---|---|---|
| A6信息安全组织 | ||||
| A7人力资源安全 | ||||
| A8资产管理 | ||||
| A9访问控制 | A14系统的获取、开发及维护 | |||
| A10加密技术 | A11物理和环境安全 | A12操作安全 | A13通信安全 | |
| A15供应商关系 | ||||
| A16信息安全事件管理 | ||||
| A17业务连续性管理中的信息安全 | ||||
| A18符合性 |
描述方式:
- 控制类
- 控制目标
- 控制措施
- 实施指南
- 其他信息
官方控制措施示例:
- 控制类:信息安全方针-信息安全管理指导
- 控制目标:依据业务要求和相关法律法规提供管理指导并支持信息安全
- 控制措施:信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方
- 实施指南:组织应在最高层次定义“信息安全方针”,该方针应活动管理层批准并阐述组织管理信息安全 目标的方法
三. 信息安全管理体系控制措施
1. 信息安全方针(1个目标,2个控制措施)
2. 信息安全组织(2个目标,7个控制措施)
3. 人力资源安全(3个目标,6个控制措施)
4. 资产管理(3个目标,10个控制措施)
5. 访问控制(4个目标,14个控制措施)
6. 密码学(1个目标,2个控制措施)
7. 物理与环境安全(2个目标,15个控制措施)
8. 操作安全(7个目标,14个控制措施)
9. 通信安全(2个目标,7个控制措施)
10. 信息获取开发及维护(3个目标,13个控制措施)
11. 供应商关系(2个目标,5个控制措施)
12. 信息安全事件管理(1个目标,7个控制措施)
13. 业务连续性管理(2个目标,4个控制措施)
14. 符合性(2个目标,8个控制措施)
若有收获,就点个赞吧
0 人点赞
