ISO27001-2013信息安全管理体系要求

A.12.6.2 软件安装限制控制措施

应建立并实施控制用户安装软件的规则。 A.12.7 信息系统审计的考虑

目标:使审计活动对运行系统的影响最小化。 A.12.7.1 信息系统审计的控制控制措施 涉及运行系统验证的审计要求和活动,应谨慎地 加以规划并取得批准,以便最小化造成业务过程 中断的风险。 A.13 通信安全 A.13.1 网络安全管理

目标:确保网络及其支持性信息处理设施中的信息得到保护。 A.13.1.1 网络控制控制措施

应管理和控制网络以保护系统和应用中的信息。 A.13.1.2 网络服务的安全控制措施

所有网络服务的安全机制、服务级别和管理要求 应予以确定并包括在网络服务协议中,无论这些 服务是由内部提供的还是外包的。 A.13.1.3 网络隔离控制措施

应在网络中隔离信息服务、用户及信息系统A.13.2 信息传输

目标:保持在组织内及与外部实体间传输信息的安全。 A.13.2.1 信息传输策略和规程控制措施 应有正式的传输策略、规程和控制措施,以保护

通过使用各种类型通信设施进行的信息传输。A.13.2.2 信息传输协议控制措施 协议应解决组织与外部方业务信息的安全传输。 A.13.2.3 电子消息发送控制措施

应适当保护包含在电子消息发送中的信息。A.13.2.4 保密或不泄露协议控制措施

应识别、定期评审和文件化反映组织信息保护需 要的保密性或不泄露协议的要求。 A.14 系统获取、开发和维护 A.14.1信息系统的安全要求

目标:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求

A.14.1.1 信息安全要求分析和说明控制措施 新建信息系统或增强现有信息系统的要求中应包 括信息安全相关要求。

A.14.1.2 公共网络上应用服务的安全 保护控制措施

应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。

A.14.1.3 应用服务交易的保护控制措施 应保护应用服务交易中的信息,以防止不完整的 传输、错误路由、未授权的消息变更、未授权的 泄露、未授权的消息复制或重放。 A.14.2开发和支持过程中的安全

目标:确保信息安全在信息系统开发生命周期中得到设计和实施。 A.14.2.1 安全的开发策略控制措施

针对组织内的开发,应建立软件和系统开发规则 并应用。

A.14.2.2 系统变更控制规程控制措施

应使用正式的变更控制规程来控制开发生命周期 内的系统变更。

A.14.2.3 运行平台变更后对应用的技 术评审控制措施

当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。

A.14.2.4 软件包变更的限制控制措施

应不鼓励对软件包进行修改,仅限于必要的变更, 且对所有变更加以严格控制

A.14.2.5 安全的系统工程原则控制措施 应建立、文件化和维护安全的系统工程原则,并 应用到任何信息系统实施工作中 A.14.2.6 安全的开发环境控制措施

组织应针对覆盖系统开发生命周期的系统开发和 集成活动,建立安全开发环境,并予以适当保护。 A.14.2.7 外包开发控制措施

组织应督导和监视外包系统开发活动 A.14.2.8 系统安全测试控制措施 应在开发过程中进行安全功能测试。 A.14.2.9 系统验收测试控制措施

应建立对新的信息系统、升级及新版本的验收测 试方案和相关准则。 A.14.3 测试数据

目标:确保用于测试的数据得到保护。 A.14.3.1 测试数据的保护控制措施

测试数据应认真地加以选择、保护和控制。

A.15 供应商关系

A.15.1 供应商关系中的信息安全

目标:确保供应商可访问的组织资产受到保护。 A.15.1.1 供应商关系的信息安全策略控制措施 为降低供应商访问组织资产的相关风险,应与供 应商就信息安全要求达成一致,并形成文件 A.15.1.2 在供应商协议中解决安全控制措施 应与每个可能访问、处理、存储、传递组织信息 或为组织信息提供IT基础设施组件的供应商建立 所有相关的信息安全要求,并达成一致。 A.15.1.3 信息与通信技术供应链控制措施 供应商协议应包括信息与通信技术服务以及产品 供应链相关的信息安全风险处理要求。 A.15.2 供应商服务交付管理

目标:保持与供应商协议一致的信息安全和服务交付的商定级别。 A.15.2.1 供应商服务的监视和评审控制措施 组织应定期监视、评审和审核供应商服务交付。 A.15.2.2 供应商服务的变更管理控制措施 应管理供应商所提供服务的变更,包括保持和改