GB/T22080-2016 ISO/IEC27001:2013

HLS
1 范围
2 规范性引用文件
3 术语和定义
4 组织和环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进

---

1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。
本标准还包括了根据组织需求所裁剪的信息安全风险评估和处置的要求。
本标准规定的要求是通用的，适用于各种类型、规模或性质的组织。
当组织声称符合本标准时，不能排除第4章到第10章中所规定的任何要求。

2 规范性引用文件

3 术语和定义

4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系范围
4.4 信息安全管理体系

5 领导
5.1 领导和承诺
5.2 方针
5.3 组织的角色，责任和权限

6 规划
6.1 应对风险和机会的措施
6.1.1 总则
6.1.2 信息安全风险评估
c 组织应定义并应用信息安全风险评估过程，以识别信息安全风险
d 分析信息安全风险
e 评价信息安全风险
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
组织并保留有关信息安全目标的文件化信息。

7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应：
a 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力；
b 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；
c 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；
d 保留必要的文件化信息作为能力的证据。
7.3 意识
在组织控制下工作的人员应了解
a 信息安全方针；
b 其对信息安全管理有效性的贡献，包括改进信息安全绩效带来的益处；
c 不符合信息安全管理体系要求带来的影响。
7.4 沟通
7.5 文件化信息
7.5.1 总则
7.5.2 创建和更新
7.5.3 文件化信息的控制

8 运行
8.1 运行规划和控制
8.2 信息安全风险评估
8.3 信息安全风险处置

9 绩效评价
9.1 监视、测量、分析和评价
9.2 内部审核
9.3 管理评审

10 改进
10.1 不符合及纠正措施
当发生不符合时，组织应：
a 对不符合做出反应，适用时：采取措施，以控制并予以纠正；处理后果；
b 通过以下活动，评价采取消除不符合原因的措施的需求，以防止不符合再发生，或在其他地方发生：评审不符合；确定不符合的原因；确定类似的不合符是否存在，或可能发生；
c 实现任何需要的措施
d 评审任何所采取的纠正措施的有效性
e 必要时，对信息安全管理体系进行变更
f 不符合的性质及其所采取的任何后续措施
g 任何纠正措施的后果
10.2 持续改进
组织应持续改进信息安全管理体系的适应性、充分性和有效性。

表A.1 控制目标和控制
A.5 信息安全策略
A.5.1 信息安全管理指导
A.5.1.1 信息安全策略
信息安全策略集应被定义，由管理者批准，并发布、传达给所有员工和外部相关方。
A.5.1.2 信息安全策略的评审
应按计划的时间间隔或当重大变化发生时进行信息安全策略评审，以确保其持续的适宜性、充分性和有效性。
A.6 信息安全组织
A.6.1 内部组织
A.6.1.1 信息安全的角色和责任
A.6.1.2 职能分离
A.6.1.3 与职能机构的联系
A.6.1.4 与特定相关方的联系
A.6.1.5 项目管理中的信息安全
A.6.2 移动设备和远程工作
A.6.2.1 移动设备策略
应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的的风险。
A.6.2.2 远程工作
应实现相应的策略及其支持性的安全措施，以保护在远程工作地点上所访问的、处理的或存储的信息。
A.7 人力资源安全
A.7.1 任用前
A.7.1.1 审查
A.7.1.2 任用条款和条件
A.7.2 任用中
A.7.2.1 管理责任
A.7.2.2 信息安全意识、教育和培训
A.7.2.3 违规处理过程
A.7.3 任用的中止和变更
A.7.3.1 任用终止或变更的责任
应确定任用终止或变更后仍有效的信息安全责任及其职责，传达至员工或合同方并执行。
A.8 资产管理
A.8.1 有关资产的责任
A.8.1.1 资产清单
A.8.1.2 资产的所属关系
A.8.1.3 资产的可接受使用
应识别可接受的信息使用规则，以及与信息和信息处理设施有关的资产的可接受的使用规则，形成文件并加以实现。
A.8.1.4 资产归还
A.8.2 信息分级
A.8.2.1 信息的分级
A.8.2.2 信息的标记
A.8.2.3 资产的处理
A.8.3 介质处理
A.8.3.1 移动介质的管理
A.8.3.2 介质的处置
应使用正式的规程安全地处置不再需要的介质。
A.8.3.3 管理介质的转移
A.9 访问控制
A.9.1 访问控制的业务要求
A.9.1.1 访问控制策略
A.9.1.2 网络和网络服务的访问
A.9.2 用户访问管理
A.9.2.1 用户注册和注销
A.9.2.2 用户访问供给
A.9.2.3 特许访问权管理
A.9.2.4 用户的秘密鉴别信息管理
A.9.2.5 用户访问权的评审
A.9.2.6 访问权的移除或调整
A.9.3 用户责任
A.9.3.1 秘密鉴别信息的使用
A.9.4 系统和应用访问控制
A.9.4.1 信息访问限制
应按照访问控制策略限制对信息和应用系统功能的访问。
A.9.4.2 安全登陆规程
A.9.4.3 口令管理系统
A.9.4.4 特权实用程序的使用
A.9.4.5 程序源代码的访问控制
A.10 密码
A.10.1 密码控制
A.10.1.1 密码控制的使用策略
A.10.1.2 密钥管理
A.11 物理和环境安全
A.11.1 安全区域
A.11.1.1 物理安全边界
A.11.1.2 物理入口控制
安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4 外部和环境威胁的安全保护
A.11.1.5 在安全区域工作
A.11.1.6 交接区
访问点（例如交接区）和未授权人员可进入的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。
A.11.2 设备
A.11.2.1 设备安全和保护
A.11.2.2 支持性设施
A.11.2.3 布缆安全
A.11.2.4 设备维护
A.11.2.5 资产的移动
A.11.2.6 组织场所外的设备与资产安全
应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险。
A.11.2.7 设备的安全处置或再利用
A.11.2.8 无人值守的用户设备
A.11.2.9 清理桌面和屏幕策略
应针对纸质和可移动存储介质，采取清理桌面策略；应针对信息处理设施，采用清理屏幕策略。
A.12 运行安全
A.12.1 运行规程和责任
A.12.1.1 文件化的操作规程
A.12.1.2 变更管理
应控制影响信息安全的变更，包括组织、业务过程、信息处理设施和系统变更。
A.12.1.3 容量管理
A.12.1.4 开发、测试和运行环境的分离
A.12.2 恶意软件防范
A.12.2.1 恶意软件的控制
应实现检测、预防和恢复控制以防范恶意软件，并结合适当的用户意识教育。
A.12.3 备份
A.12.3.1 信息备份
应按照既定的备份策略，对信息、软件和系统镜像进行备份，并定期测试。
A.12.4 日志和监视
A.12.4.1 事态日志
A.12.4.2 日志信息的保护
A.12.4.3 管理员和操作员日志
A.12.4.4 时钟同步
A.12.5 运行软件控制
A.12.5.1 运行系统的软件安装
A.12.6 技术方面的脆弱性管理
A.12.6.1 技术方面脆弱性的管理
A.12.6.2 软件安装限制
A.12.7 信息系统审计的考虑
A.12.7.1 信息系统审计的控制
A.13 通信安全
A.13.1 网络安全管理
A.13.1.1 网络控制
A.13.1.2 网络服务的安全
A.13.1.3 网络中的隔离
A.13.2 信息传输
A.13.2.1 信息传输策略和规程
A.13.2.2 信息传输协议
A.13.2.3 电子消息发送
A.13.2.4 保密或不泄露协议
A.14 系统获取、开发和维护
A.14.1 信息系统的安全要求
A.14.1.1 信息安全要求分析和说明
A.14.1.2 公共网络上应用服务的安全保护
A.14.1.3 应用服务事务的保护
A.14.2 开发和支持过程中的安全
A.14.2.1 安全的开发策略
A.14.2.2 系统变更控制规程
A.14.2.3 运行平台变更后对应用的技术评审
A.14.2.4 软件包变更的控制
A.14.2.5 系统安全工程原则
A.14.2.6 安全的开发环境
A.14.2.7 外包开发
A.14.2.8 系统安全测试
A.14.2.9 系统验收测试
A.14.3 测试数据
A.14.3.1 测试数据的保护
A.15 供应商关系
A.15.1 供应商关系中的信息安全
A.15.1.1 供应商关系的信息安全策略
A.15.1.2 在供应商协议中强调安全
A.15.1.3 信息与通信技术供应链
A.15.2 供应商服务交付管理
A.15.2.1 供应商服务的监视和评审
组织应定期监视、评审和审核供应商服务交付
A.15.2.2 供应商服务的变更管理
应管理供应商所提供服务的变更，包括维护和改进现有的信息安全策略、规程和控制，管理应考虑变更涉及的业务信息、系统和过程的关键程度及风险的再评估。
A.16 信息安全事件管理
A.16.1 信息安全事件的管理和改进
A.16.1.1 责任和规程
A.16.1.2 报告信息安全事态
A.16.1.3 报告信息安全弱点
A.16.1.4 信息安全事态的评估和决策
A.16.1.5 信息安全事件的响应
A.16.1.6 从信息安全事件中学习
A.16.1.7 证据的收集
A.17 业务连续性管理的信息安全方面
A.17.1 信息安全的连续性
A.17.1.1 规划信息安全连续性
A.17.1.2 实现信息安全连续性
A.17.1.3 验证、评审和评价信息安全连续性
A.17.2 冗余
A.17.2.1 信息处理设施的可用性
A. 18 符合性
A.18.1 符合法律和合同要求
A.18.1.1 适用的法律和合同要求的识别
A.18.1.2 知识产权
A.18.1.3 记录的保护
A.18.1.4 隐私和个人可识别信息保护
A.18.1.5 密码控制规则
A.18.2 信息安全评审
A.18.2.1 信息安全的独立评审
A.18.2.2 符合安全策略和标准
A.18.2.3 技术符合性评审