护和生存期策略。 A.11 物理和环境安全 A.11.1 安全区域
目标:防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。 A.11.1.1 物理安全边界控制措施
应定义和使用安全边界来保护包含敏感或关键信 息和信息处理设施的区域。 A.11.1.2 物理入口控制控制措施
安全区域应由适合的入口控制所保护,以确保只 有授权的人员才允许访问。 A.11.1.3 办公室、房间和设施的安全 保护控制措施
应为办公室、房间和设施设计并采取物理安全措施。 A.11.1.4 外部和环境威胁的安全防护 A.11.1.5 在安全区域工作控制措施 应设计和应用安全区域工作规程。 A.11.1.6 交接区控制措施
访问点(例如交接区和未授权人员可进入的其 他点应加以控制,如果可能,应与信息处理设施
隔离,以避免未授权访问。 A.11.2 设备
目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 A.11.2.1 设备安置和保护控制措施
应安置或保护设备,以减少由环境威胁和危险所 造成的各种风险以及未授权访问的机会。 A.11.2.2 支持性设施控制措施
应保护设备使其免于由支持性设施的失效而引起 的电源故障和其他中断。 A.11.2.3 布缆安全控制措施
应保证传输数据或支持信息服务的电源布缆和通 信布缆免受窃听、干扰或损坏 A.11.2.4 设备维护控制措施
设备应予以正确地维护,以确保其持续的可用性 和完整性。
A.11.2.5 资产的移动控制措施
设备、信息或软件在授权之前不应带出组织场所。 A.11.2.6 组织场所外的设备与资产安 全控制措施
应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险 A.11.2.7 设备的安全处置或再利用控制措施 包含储存介质的设备的所有部分应进行核查,以 确保在处置或再利用之前,任何敏感信息和注册 软件已被删除或安全地写覆盖。 A.11.2.8 无人值守的用户设备控制措施
用户应确保无人值守的用户设备有适当的保护。 A.11.2.9 清空桌面和屏幕策略控制措施
应采取清空桌面上文件、可移动存储介质的策略 和清空信息处理设施屏幕的策略。 A.12 操作安全 A.12.1 操作规程和职责
目标:确保正确、安全的操作信息处理设施。 A.12.1.1 文件化的操作规程控制措施
操作规程应形成文件,并对所需用户可用。A.12.1.2 变更管理控制措施 应控制影响信息安全的变更,包括组织、业务过 程、信息处理设施和系统变更。 A.12.1.3 容量管理控制措施
应对资源的使用进行监视,调整和预测未来的容
量需求,以确保所需的系统性能。 A.12.1.4 开发、测试和运行环境的分 离控制措施
应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险。 A.12.2恶意代码防范
目标:确保信息和信息处理设施防范恶意代码。 A.12.2.1 恶意代码的控制控制措施
应实施检测、预防和恢复控制措施以防范恶意代 码,并结合适当的用户意识教育。 A.12.3 备份 目标:防止数据丢失 A.12.3.1 信息备份控制措施
应按照既定的备份策略,对信息、软件和系统镜 像进行备份,并定期测试。 A.12.4 日志和监视
目的:记录事态并生成证据。 A.12.4.1 事态日志控制措施
应产生、保持并定期评审记录用户活动、异常、 错误和信息安全事态的事态日志。
A.12.4.2 日志信息的保护控制措施
记录日志的设施和日志信息应加以保护,以防止 篡改和未授权的访问。
A.12.4.3 管理员和操作员日志控制措施 系统管理员和系统操作员活动应记入日志,并对 日志进行保护和定期评审。 A.12.4.4 时钟同步控制措施
一个组织或安全域内的所有相关信息处理设施的 时钟应与单一的参考源进行同步。 A.12.5 运行软件控制
目标:确保运行系统的完整性。 A.12.5.1 运行系统的软件安装控制措施 应实施运行系统软件安装控制规程。 A.12.6 技术脆弱性管理
目标:防止对技术脆弱性的利用。 A.12.6.1 技术脆弱性的管理控制措施
应及时获取在用的信息系统的技术脆弱性信息, 评价组织对这些脆弱性的暴露状况并采取适当的 措施来应对相关风险。
ISO27001-2013信息安全管理体系要求
