应确定任用终止或变更后仍有效的信息安全职责 和责任,传达至员工或承包商并执行。 A.8 资产管理 A.8.1资产职责
目标:识别组织资产并确定适当的保护职责。 A.8.1.1 资产清单控制措施
应识别与信息和信息处理设施相关的资产,并编 制、维护这些资产的清单。 A.8.1.2 资产责任主体控制措施 应确定资产清单中的资产责任主体。 A.8.1.3 资产的可接受使用控制措施
应确定信息及与信息和信息处理设施有关的资产 的可接受使用规则,形成文件并加以实施。 A.8.1.4 资产归还控制措施
所有员工和外部用户在任用、合同或协议终止时, 应归还其占用的所有组织资产。 A.8.2 信息分级
目标:确保信息按照其对组织的重要程度受到适当级别的保护。 A.8.2.1 信息的分级控制措施
信息应按照法律要求、价值、关键性及其对未授 权泄露或修改的敏感性进行分级。 A.8.2.2 信息的标记控制措施
应按照组织采用的信息分级方案,制定并实施一 组适当的信息标记规程。 A.8.2.3 资产的处理控制措施
应按照组织采用的信息分级方案,制定并实施资 产处理规程。 A.8.3 介质处理
目的:防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。 A.8.3.1 移动介质的管理控制措施
应按照组织采用的分级方案,实施移动介质管理 规程。
A.8.3.2 介质的处置控制措施
应使用正式的规程安全地处置不再需要的介质。 A.8.3.3 物理介质的转移控制措施
包含信息的介质在运送中应受到保护,以防止未 授权访问、不当使用或毁坏。 A.9 访问控制
A.9.1访问控制的业务要求
目标:限制对信息和信息处理设施的访问。 A.9.1.1 访问控制策略控制措施
应基于业务和信息安全要求,建立访问控制策略, 形成文件并进行评审。
A.9.1.2 网络和网络服务的访问访问控制 用户应仅能访问已获专门授权使用的网络和网络 服务。
A.9.2用户访问管理
目标:确保授权用户对系统和服务的访问,并防止未授权的访问。 A.9.2.1 用户注册和注销控制措施
应实施正式的用户注册及注销过程来分配访问权 限。
A.9.2.2 用户访问配置控制措施
应对所有系统和服务的所有类型用户实施正式的 用户访问配置过程以分配或撤销访问权限。 A.9.2.3 特殊访问权限管理控制措施 应限制和控制特殊访问权限的分配和使用。 A.9.2.4 用户的秘密鉴别信息管理控制措施
应通过正式的管理过程控制秘密鉴别信息的分 配。
A.9.2.5 用户访问权限的复查控制措施 资产责任主体应定期对用户的访问权限进行复 查。
A.9.2.6 访问权限的移除或调整控制措施 所有员工和外部用户对信息和信息处理设施的访 问权限在任用、合同或协议终止时,应予以移除, 或在变更时予以调整。 A.9.3 用户职责
目标:使用户承担保护其鉴别信息的责任。 A.9.3.1 秘密鉴别信息的使用控制措施
应要求用户遵循组织在使用秘密鉴别信息时的惯 例。
A.9.4系统和应用访问控制
目的:防止对系统和应用的未授权访问。 A.9.4.1 信息访问限制控制措施
应按照访问控制策略限制对信息和应用系统功能 的访问。
A.9.4.2 安全登录规程控制措施
当访问控制策略要求时,应通过安全登录规程控 制对系统和应用的访问。 A.9.4.3 口令管理系统控制措施
口令管理系统应是交互式的,并应确保优质的口 令。
A.9.4.4 特权实用程序的使用控制措施
对于可能超越系统和应用控制措施的实用程序的 使用应予以限制并严格控制。
A.9.4.5 程序源代码的访问控制控制措施 应限制对程序源代码的访问。 A.10 密码 A.10.1 密码控制
目标:确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或完整性。A.10.1.1 密码控制的使用策略控制措施
应开发和实施用于保护信息的密码控制使用策 略。
A.10.1.2 密钥管理控制措施
应制定和实施贯穿其全生命周期的密钥使用、保
ISO27001-2013信息安全管理体系要求
