附录A(规范性附录)

参考控制目标和控制措施

表A.1所列的控制目标和控制措施是直接源自并与ISO/IEC DIS 27002[1]第5到18章一致，并在6.1.3环境中被使用。

表A.1 控制目标和控制措施

A.5 信息安全方针和策略（POLICES）

A.5.1 信息安全管理指导

目标：依据业务要求和相关法律法规为信息安全提供管理指导和支持。

A.5.1.1

信息安全方针和策略

控制措施

信息安全方针和策略应由管理者批准、发布并传达给所有员工和外部相关方。

A.5.1.2

信息安全方针和策略的评审

控制措施

应按计划的时间间隔或当重大变化发生时进行信息安全方针和策略评审，以确保其持续的适宜性、充分性和有效性。

A.6 信息安全组织

A.6.1 内部组织

目标：建立一个管理框架，以启动和控制组织内信息安全的实施和运行。

A.6.1.1

信息安全角色和职责

控制措施

所有的信息安全职责应予以定义和分配。

A.6.1.2

责任分割

控制措施

应分割冲突的责任和职责范围，以降低未授权或无意的修改或者不当使用组织资产的机会。

A.6.1.3

与政府部门的联系

控制措施

应保持与政府相关部门的适当联系。

A.6.1.4

与特定相关方的联系

控制措施

应保持与特定相关方、其他专业安全论坛和专业协会的适当联系。

A.6.1.5

项目管理中的信息安全

控制措施

应解决项目管理中的信息安全问题，无论项目类型。

A.6.2 移动设备和远程工作

目标：确保远程工作和移动设备使用的安全。

A.6.2.1

移动设备策略

控制措施

应采用策略和支持性安全措施以管理使用移动设备时带来的风险。

A.6.2.2

远程工作

控制措施

应实施策略和支持性安全措施以保护在远程工作地点访问、处理或存储的信息。

A.7 人力资源安全

A.7.1 任用前

目标：确保员工和承包方理解其职责，并适合其角色。

A.7.1.1

审查

控制措施

对所有任用候选者的背景验证核查应按照相关法律法规和道德规范进行，并与业务要求、访问信息的等级（8.2）和察觉的风险相适宜。

A.7.1.2

任用条款及条件

控制措施

应在员工和承包商的合同协议中声明他们和组织对信息安全的职责。

A.7.2 任用中

目标：确保员工和承包方意识到并履行其信息安全职责。

A.7.2.1

管理职责

控制措施

管理者应要求所有员工和承包商按照组织已建立的方针策略和规程应用信息安全。

A.7.2.2

信息安全意识、教育和培训

控制措施

组织所有员工，适当时包括承包商，应接受与其工作职能相关的适宜的意识教育和培训，及组织方针策略及规程的定期更新的信息。

A.7.2.3

纪律处理过程

控制措施

应建立正式的且被传达的纪律处理过程以对信息安全违规的员工采取措施。

A.7.3 任用的终止和变更

目标：在任用变更或终止过程中保护组织的利益。（PART未体现）

A.7.3.1

任用职责的终止或变更

控制措施

应确定任用终止或变更后仍有效的信息安全职责和责任，传达至员工或承包商并执行。

A.8 资产管理

A.8.1资产职责

目标：识别组织资产并确定适当的保护职责。

A.8.1.1

资产清单

控制措施

应识别与信息和信息处理设施相关的资产，并编制、维护这些资产的清单。

A.8.1.2

资产责任主体

控制措施

应确定资产清单中的资产责任主体。

A.8.1.3

资产的可接受使用

控制措施

应确定信息及与信息和信息处理设施有关的资产的可接受使用规则，形成文件并加以实施。

A.8.1.4

资产归还

控制措施

所有员工和外部用户在任用、合同或协议终止时，应归还其占用的所有组织资产。

A.8.2 信息分级

目标：确保信息按照其对组织的重要程度受到适当级别的保护。

A.8.2.1

信息的分级

控制措施

信息应按照法律要求、价值、关键性及其对未授权泄露或修改的敏感性进行分级。

A.8.2.2

信息的标记

控制措施

应按照组织采用的信息分级方案，制定并实施一组适当的信息标记规程。

A.8.2.3

资产的处理

控制措施

应按照组织采用的信息分级方案，制定并实施资产处理规程。

A.8.3 介质处理

目的：防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。

A.8.3.1

移动介质的管理

控制措施

应按照组织采用的分级方案，实施移动介质管理规程。

A.8.3.2

介质的处置

控制措施

应使用正式的规程安全地处置不再需要的介质。

A.8.3.3

物理介质的转移

控制措施

包含信息的介质在运送中应受到保护，以防止未授权访问、不当使用或毁坏。

A.9 访问控制

A.9.1访问控制的业务要求

目标：限制对信息和信息处理设施的访问。

A.9.1.1

访问控制策略

控制措施

应基于业务和信息安全要求，建立访问控制策略，形成文件并进行评审。

A.9.1.2

网络和网络服务的访问

访问控制

用户应仅能访问已获专门授权使用的网络和网络服务。

A.9.2用户访问管理

目标：确保授权用户对系统和服务的访问，并防止未授权的访问。

A.9.2.1

用户注册和注销

控制措施

应实施正式的用户注册及注销过程来分配访问权限。

A.9.2.2

用户访问配置

控制措施

应对所有系统和服务的所有类型用户实施正式的用户访问配置过程以分配或撤销访问权限。

A.9.2.3

特殊访问权限管理

控制措施

应限制和控制特殊访问权限的分配和使用。

A.9.2.4

用户的秘密鉴别信息管理

控制措施

应通过正式的管理过程控制秘密鉴别信息的分配。

A.9.2.5

用户访问权限的复查

控制措施

资产责任主体应定期对用户的访问权限进行复查。

A.9.2.6

访问权限的移除或调整

控制措施

所有员工和外部用户对信息和信息处理设施的访问权限在任用、合同或协议终止时，应予以移除，或在变更时予以调整。

A.9.3 用户职责

目标：使用户承担保护其鉴别信息的责任。

A.9.3.1

秘密鉴别信息的使用

控制措施

应要求用户遵循组织在使用秘密鉴别信息时的惯例。

A.9.4系统和应用访问控制

目的：防止对系统和应用的未授权访问。

A.9.4.1

信息访问限制

控制措施

应按照访问控制策略限制对信息和应用系统功能的访问。

A.9.4.2

安全登录规程

控制措施

当访问控制策略要求时，应通过安全登录规程控制对系统和应用的访问。

A.9.4.3

口令管理系统

控制措施

口令管理系统应是交互式的，并应确保优质的口令。