一、IS027001:2013版和2005版区别


ISO27001:2005版 ISO27001:2013版 备注
A5安全方针 A5安全方针
A6信息安全组织 A6信息安全组织
A8人力资源安全 A7人力资源安全
A7资产管理 A8资产管理
A11访问控制 A9访问控制

A10密码学 新增
A9物理和环境安全 A11物理和环境安全
A10通信与操作管理 A12操作安全 由旧版拆分

A13通信安全 由旧版拆分
A12信息系统获取、开发和维护 A14系统获取、开发和维护

A15供应关系 新增
A13信息安全事件管理 A16信息安全事件管理
A14业务连续性管理 A17业务连续性管理的信息安全方面
A15符合性 A18符合性


二、ISO27001:2013版内容


14控制域 控制措施
A5安全方针
A5.1 信息安全管理方向
    目的:为信息安全提供管理指导和支持并确保信息安全符合业务需求和相关法律、法规
A5.1.1 信息安全方针 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方
A5.1.2 信息安全方针的评审 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性
A6信息安全组织
A6.1 内部组织
    目的:建立一个管理框架,启动和控制组织内实施信息安全
A6.1.1 信息安全的角色和职责 所有信息安全职责应被定义及分配
A6.1.2 与监管机构的联系 应与监管机构保持适当的接触
A6.1.3 与特殊利益团体的联系 与特定利益团队、其他专业安全论坛或行业协会应保持适当联系
A6.1.4 项目管理中的信息安全 信息安全应融入项目管理中,与项目类型无关
A6.1.5 职责分离 冲突的职责和权限应被分开,减少对资产未经授权或无意的修改与误用
A6.2 移动设备和远程办公
    目的:确保远程办公和移动设备使用的安全性
A6.2.1 移动设备策略 应使用配套策略和安全措施来防止移动设备带来的风险
A6.2.2 远程办公 应使用配套策略和安全措施来保护信息访问,处理或远程存储
A7人力资源安全
A7.1 任用之前
    目的:确保组织内人员理解其职责、考虑其承担的角色是适合的。
A7.1.1 筛选 根据相关法律、法规、道德规范,对员工、合同人员及第三方人员的应聘人员进行背景调查,调查应符合业务需求、访问信息的类别及已知风险
A7.1.2 任用的条款及条件 作为合同义务的一部分,员工应同意并签订就业合同的条款和条件,应当载明其对组织信息安全的职责
A7.2 任用中
    目的:确保员工和外部方用户意识到并履行信息安全职责
A7.2.1 管理职责 管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和程序的安全
A7.2.2 信息安全意识,教育和培训 组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序
A7.2.3 纪律处理过程 对于安全违规的雇员,应有一个正式与可沟通的纪律处理过程
A7.3 任用的终止或变化
    目的:保证组织利益是雇佣终止和变更的一部分
A7.3.1 任用终止或变化的责任 任用终止或变更后依然有信息安全责任和义务的人,应该被界定和传达雇员或给外部方执行
A8资产管理
A8.1 对资产负责
    目的:实现和保持对组织资产的适当保护
A8.1.1 资产清单 应确定与信息和信息处理设施相关的资产,编制并维护资产清单
A8.1.2 资产责任人 库存的资产应有责任人
A8.1.3 资产的允许使用 与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施
A8.2 信息分类
    目的:依照信息重要性分级,确保信息受到分级保护
A8.2.1 信息的分类 信息应按照其对组织的价值,法律要求,敏感性和关键性分类
A8.2.2 信息的标记 根据组织采用的信息分类方案,应制定并实施一套信息标记流程
A8.2.3 资产的处理 根据组织采用的信息分类方法,应制定并实施一套资产处理流程
A8.2.4 资产的归还 所有员工、外部方用户在合同终止或协议终止后应归还组织的资产
A8.3 介质处理
    目的:为了防止存储在介质上的信息被未经授权的披露,修改,删除或破坏
A8.3.1 可移动介质的管理 根据组织采用的分类方法来执行可移动介质管理流程
A8.3.2 介质的处置 不需要的介质,应使用正式的规程可靠并安全地处置
A8.3.3 物理介质传输 在传输过程中,包含信息的介质应加以保护,防止未经授权的访问,滥用或损坏。
A9访问控制
A9.1 访问控制的业务需求
    目的:限制访问信息和信息处理设施
A9.1.1 访问控制策略 应建立一个访问控制策略,并基于业务和访问的安全要求进行评审
A9.1.2 网络服务的使用政策 只提供用户已授权的网络访问与网络服务
A9.2 用户访问管理
    目的:确保授权用户访问系统和服务,并防止未授权的访问
A9.2.1 用户注册和注销 应为所有系统和服务中所有用户类型的授权和撤销建立一套注册与注销的流程
A9.2.2 特权管理 应限制和控制特殊权限的分配及使用
A9.2.3 用户密码认证信息的管理 应使用正式的管理流程来控制秘密认证信息的分配
A9.2.4 用户访问权的复查 资产所有者应当定期审查用户的访问权限
A9.2.5 移除或调整访问权限 当合同或协议终止后,应删除或调整所有工作人员和外部人员用户信息和信息处理设施的访问权限
A9.3 用户职责
    目的:让用户明确身份认证信息的保护负责
A9.3.1 秘密认证信息的使用 应要求用户按照组织安全实践来使用秘密认证信息
A9.4 系统和应用程序的访问控制
    目的:防止对系统和应用的未授权使用
A9.4.1 信息访问限制 应依据访问控制策略来限制对信息和应用系统功能的访问
A9.4.2 安全登录程序 如果访问控制策略需要,应通过安全登录程序控制对操作系统的访问
A9.4.3 口令管理系统 口令管理系统应采用交互式口令并确保口令质量
A9.4.4 特权实用程序的使用 对可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制
A9.4.5 程序源码的访问控制 对程序源代码的访问应被限制
A10密码学
A10.1 密码控制
    目的:使用密码适当有效的保护信息的机密性、真实性和完整性
A10.1.1 密码使用控制政策 应制定和实施信息保护密码控制策略
A10.1.2 秘钥管理 应制定和实施秘钥的使用,保护,使用期策略并贯穿其整个生命周期
A11物理和环境安全
A11.1 安全区域
    目的:阻止对组织场所和信息的未授权物理访问、损坏和干扰
A11.1.1 物理安全边界 应设置安全边界来保护包含敏感信息,危险信息和信息处理设施的安全
A11.1.2 物理入口控制 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问
A11.1.3 办公司,房间和设施的安全保护 应为办公室、房间和设施设计并采取物理安全措施
A11.1.4 外部和环境威胁的安全防护 应设计并采取物理安全措施来防范自然灾害,恶意×××或事故
A11.1.5 在安全区域工作 应设计和应用用于安全区域工作的物理保护措施和指南
A11.1.6 交付和交接区 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问
A11.2 设备
    目的:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断
A11.2.1 设备安置和保护 应妥善安置及保护设备,以减少来自环境的威胁与危害以及未经授权的访问
A11.2.2 支持性设备 应保护设备使其免于支持性的失效而引起的电源故障和其他中断
A11.2.3 布揽安全 应保护传输数据或支持信息服务的电力及通讯电缆,免遭拦截或破坏
A11.2.4 设备维护 设备应予以正确地保护,以确保其持续的可用性的完整性
A11.2.5 资产的移动 设备、信息或软件在授权之前不应带出组织
A11.2.6 场外设备和资产安全 应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险
A11.2.7 设备的安全处置或再利用 包含存储介质的设备的所有项目应进行核查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖
A11.2.8 无人值守的用户设备 用户应确保无人值守的用户设备有适当的保护
A11.2.9 清除桌面和清屏策略 应采取清空桌面上的文件、可移动存储介质的策略和清空信息处理设施屏幕的策略
A12操作安全
A12.1 操作程序和职责
    目的:确保正强、安全的操作信息处理设施
A12.1.1 文件化的操作程序 操作过程应形成文件,并提供给所有需要的用户
A12.1.2 变更管理 对组织,业务流程,信息处理设施和系统的变更应加以控制
A12.1.3 容量管理 资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能
A12.1.4 开发,测试和运行环境的分离 开发及测试环境应与运营环境分离。减少未授权访问和对操作系统变更的风险
A12.2 恶意软件防护
    目的:确保信息和信息处理设施不受恶意软件侵害
A12.2.1 控制恶意软件 应实现结合适当的用户体验,使用检测、预防和恢复控制的手段来防范恶意软件
A12.3备份
    目的:防止数据丢失
A12.3.1 信息备份 根据既定的备份策略备份信息,软件和系统映像,并定期测试
A12.4 记录和监控
    目的:记录事件并生成证据
A12.4.1 事件日志 应产生记录用户活动、异常情况、错误和信息安全事件的事件日志,并要保持一个已设的周期以支持将来的调查和访问控制监视
A12.4.2 日志信息的保护 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问
A12.4.3 管理员和操作员日志 系统管理员和系统操作员的活动应当记录日志,并对其保护和定期检讨
A12.4.4 时钟同步 一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确的时钟源进行同步
A12.5 操作软件的控制
    目的:保证操作系统的完整性
A12.5.1 操作系统软件的安装 应建立流程对操作系统软件安装进行控制
A12.6 技术漏洞管理
    目的:防止利用公布的技术脆弱性导致的风险
A12.6.1 技术漏洞的管理 应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴漏程度,并采取适当的措施来处理相关风险
A12.6.2 限制软件安装 应建立规则来控制用户安装软件
A12.7 信息系统审计考虑
    目的:将业务系统审计过程的影响最小化
A12.7.1 信息系统审计控制 涉及对运行系统核查的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险
A13通信安全
A13.1 网络安全管理
    目的:确保网络中信息的安全性并保护支持性的信息处理设施
A13.1.1 网络控制 应管理和控制网络以保护系统和应用程序中的信息
A13.1.2 网络服务的安全 所有网络服务的安全机制,服务水平和管理要求,应予以明确并列入网络服务协议中,无论这些服务是否由公司内部提供还是外包
A13.1.3 网络隔离 应在网络中隔离信息服务、用户系统信息
A13.2 信息传输
    目的:维护组织与任何外部实体的信息传输安全
A13.2.1 信息传输的策略和程序 应建立正式的传输策略,流程和控制措施,以保证所有类型的通信设施间的信息传输安全
A13.2.2 信息传输协议 应建立组织与外部方传输商业信息的安全传输协议
A13.2.3 电子信息 涉及电子消息的信息应适当保护
A13.2.4 保密或不泄露协议 应确定组织信息保护需要的保密性或不泄露协议的要求,定期审查并记录
A14系统获取、开发和维护
A14.1 信息系统的安全要求
    目的:确保安全是信息系统生命周期中的一个组成部分,包含对向公共网络提供服务的设备的特殊要求
A14.1.1 安全需求分析和规范 应建立对信息安全控制的要求,包括财务报表和新的信息系统或现有信息系统增强的技术要求,同时考虑所有相关的标准,如生命周期或应用程序在公共网络上是否可用
A14.1.2 保护公共网络上的应用服务 公网上应用服务中传输的信息应被保护,以免遭受欺诈、合同纠纷,未经授权的披露和修改
A14.1.3 保护应用服务交易 应用服务传输中所涉及到的信息应加以保护,以防止未经授权的消息改变,不完整的传输,路由错误,未经披露,未经授权的消息复制或重放
A14.2 开发和支持过程中的安全
    目的:确保在整个信息系统生命周期中的信息安全设计与实施
A14.2.1 安全开发策略 应制定及应用关于软件和系统的开发规则
A14.2.2 变更控制程序 应使用正式的变更控制规程来控制变更的实施
A14.2.3 操作平台变更后对应用的技术评估 当操作平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响
A14.2.4 软件包变更的限制 应对软件包修改进行劝阻,只限于必要的变更,且对所有的变更加以控制
A14.2.5 系统开发程序 应建立安全系统开发流程,记录,维护并应用到任何信息系统开发工作
A14.2.6 安全的开发环境 组织应建立并适当保护开发环境安全,并集成涵盖整个系统开发周期的工作
A14.2.7 外包开发 组织应监管和监督外包的系统开发工作
A14.2.8 系统安全性测试 在开发的过程中,必须测试功能的安全性
A14.2.9 系统验收测试 在建立新系统,升级系统和更新版本时,必须建立验收测试程序和相关标准
A14.3 测试数据
    目的:确保测试数据的安全
A14.3.1 测试数据的保护 测试数据应被仔细筛选,保护和控制
A15供应关系
A15.1 供应关系的安全
    目的:确保供应商访问的组织信息的安全
A15.1.1 供应关系的信息安全策略 对于减少与供应商相关的信息安全风险或信息处理设施的信息安全要求应被记录
A15.1.2 供应商协议中的安全 应建立与信息安全相关的要求并获得供应商的认可,包括处理,存储,沟通或提供组织IT基础设施的信息
A15.1.3 ICT供应链 与供应商的协议应包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求
A15.2 供应商服务交付管理
    目的:维持与供应商协议中商定的信息安全要求和服务交付水平
A15.2.1 监测和审查供应商服务 组织应定期监测,审查和审核供应商的服务
A15.2.2 供应商服务变更管理 应管理供应商提供服务的变更,包括维护、改进现有的信息安全策略、程序和控制,应将商业信息的关键性,系统、流程和风险的重新评估考虑在内
A16信息安全事件管理
A16.1 信息安全事件管理和持续改进
    目的:确保一致和有效的方法来管理信息安全事件,包括通信安全事件和弱点的报告
A16.1.1 职责和程序 应建立管理职责和程序,以确保快速、有效和有序的响应信息安全事件
A16.1.2 报告信息安全事态 信息安全事态应尽可能快的通过适当的管理渠道进行报告
A16.1.3 报告信息安全弱点 应要求信息系统和服务的所有员工、外部方人员记录并报告他们观察到的   或可以的任何系统或服务的安全弱点
A16.1.4 信息安全事件的评估和决策 信息安全事件应当被评估与决策,如果他们被归类为信息安全事件
A16.1.5 信息安全事故的响应 信息安全事件应依照程序文件响应
A16.1.6 回顾信息安全事故 从分析和解决信息安全事故中获取知识,减少未来事故的可能性或影响
A16.1.7 搜集证据 组织应制定和应用程序,用于鉴定,搜集,获得和保存那些可作为证据的信息
A17业务连续性管理的信息安全方面
A17.1 信息安全连续性
    目的:信息安全的连续性应嵌入组织的业务连续性管理(BCM),以确保任何时间都能保护信息并对不良事件进行预测
A17.1.1 规划信息安全连续性 组织应确定其在不利情况下的信息安全和信息安全管理连续性要求,如危机或灾难
A17.1.2 实现信息安全的连续性 组织应建立,记录,实施,维护流程、程序、控制项,以保证在不利情况下要求的信息安全连续性的等级
A17.1.3 验证,评审和评估信息安全的连续性 组织应每隔一段时间核实其建立和实施的信息安全连续性控制,以确保他们在不利情况下是有效和生效的。
A17.2 冗余
    目的:确保信息处理设施的可用性
A17.2.1 信息处理设施的可用性 信息处理设施应当实现冗余,以满足可用性需求
A18符合性
A18.1信息安全审查
    目的:确保信息安全设施依照组织的策略和程序运行和实施
A18.1.1 信息安全的独立审查 组织管理信息安全的方法及设施(例如信息安全的控制目标、控制措施、策略、过程和规程)应按照计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审
A18.1.2 符合安全政策和标准 管理者应定期审查其职责范围内的信息处理和规程被正确的执行,以确保符合安全策略,标准和其他安全要求
A18.1.3 技术符合性检查 信息系统应被定期检查是否符合组织信息安全策略和标准
A18.2 符合法律和合同的要求
    目的:避免违反相关信息安全的法律,法规,规章,合同义务以及任何安全要求
A18.2.1 识别使用的法律和合同的要求 对每个信息系统和组织而言,所有相关的法令、法律和合同要求,以及为满足这些要求组织所采取的方法,应加以明确地定义,形成文件并保持更新
A18.2.2 知识产权(IPR) 应实施适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同要求
A18.2.3 文档化信息的保护 按照法律,法规,合同和业务需求保护文档化信息,以免遭受损失,破坏,篡改,未经授权的访问和擅自发布
A18.2.4 隐私和个人信息的保护 应依照相关的法律、法规和合同条款的要求,确保隐私和个人信息的保护
A18.2.5 密码控制措施的监管 使用密码控制措施应遵从相关的协议、法律和法规