ISO27001简介.ppt

ISO/IEC 27001简介,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,BS7799,BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准。 1995 年，BS7799-1:1995信息安全管理实施细则首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。 1998 年，BS7799-2:1998信息安全管理体系规范公布，这是对BS7799-1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。 1999 年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。,ISO/IEC 27002(17799),2000 年12 月，国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS7799-1:1999，正式将其转化为国际标准，即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。 2005 年6 月，ISO/IEC 17799:2000 经过改版，形成了新的ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。 ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005，这次更新只在于标准上的号码, 内容并没有改变。,ISO/IEC 27001,2002 年，BSI 对BS7799:2-1999 进行了重新修订，正式引入PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002 正式发布。 2005年，BS7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。,对应国内标准,大陆 2005年6月15日，我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。 2008年6月19日， GB/T 19716-2005作废，改为GB/T 22081-2008 。 台湾省 在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,17799标准内容,ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施 1) 安全方针 7) 访问控制 2) 信息安全组织 8) 信息系统获取、开发和维护 3) 资产管理 9) 信息安全事故管理 4) 人力资源安全 10) 业务连续性管理 5) 物理和环境安全 11) 符合性 6) 通信和操作管理 注：详细内容见附录二,17799:2000 Vs 17799:2005,ISO/IEC 17799:2005版的内容与2000版相比，新增加了17 项控制，在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9 项控制，这些控制或者是不再适应信息通信技术的发展，或者是已经并入到新标准的其他控制内容中了。,17799的适用性,本实用规则可认为是组织开发其详细指南的起点。对一个组织来说，本实用规则中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的相互参考可能是有用的。 （引用自ISO/IEC 17799:2005中 “0.8 开发你自己的指南” ）,信息安全起点,实施细则中有些内容可能并不使用于所有组织和企业，但是有些措施可以使用于大多数的组织，他们被成为“信息安全起点”。 从法律的观点看，根据适用的法律，对某个组织重要的控制措施包括： a) 数据保护和个人信息的隐私（见15.1.4）； b) 保护组织的记录（见15.1.3）； c) 知识产权（见15.1.2）。 被认为是信息安全的常用惯例的控制措施包括： a) 信息安全方针文件（见5.1.1）； b) 信息安全职责的分配（见6.1.3）； c) 信息安全意识、教育和培训（见8.2.2）； d) 应用中的正确处理（见12.2）； e) 技术脆弱性管理（见12.6）； f) 业务连续性管理（见14）； g) 信息安全事故和改进管理（见13.2）。 这些控制措施适用于大多数组织和环境。,（引用自ISO/IEC 17799:2005中 “0.6 信息安全起点” ）,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,ISMS(信息安全管理系统),ISO/IEC 27001:2005版通篇就在讲一件事，ISMS(信息安全管理系统)。 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurity Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。 （引用自ISO/IEC 27001:2005中 “0.1 总则” ）,PDCA（戴明环）,PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产品质量的过程当中。 1、P（Plan）-计划，确定方针和目标，确定活动计划； 2、D（Do）-执行，实地去做，实现计划中的内容； 3、C（Check）-检查，总结执行计划的结果，注意效 果，找出问题； 4、A（Action）-行动，对总结检查的结果进行处理， 成功的经验加以肯定并适当推广、标准化；失败的教 训加以总结，以免重现，未解决的问题放到下一个 PDCA循环。,PDCA特点,大环套小环，小环保大环，推动大循环 PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。,PDCA特点(续),不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的PDCA,PDCA和ISMS的结合,与其他标准的兼容性,本标准与GB/T 19001-2008及GB/T 24001-2004相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2008（ISO 9001:2008）和GB/T 24001-2004（ISO14001:2004）的各条款之间的关系。 本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。 （引用自ISO/IEC 27001:2005中 “0.3与其它管理体系的兼容性” ） 注：ISO 14001:2004环境管理体系规范及使用指南 ISO 9001:2008国际性质量管理标准,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,重点章节,本标准的重点章节是48章。 前三章的内容结构如下所示： 引言 0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性 1 范围 1.1 总则 1.2 应用 2 规范性引用文件 3 术语和定义,第四章 信息安全管理体系,4.1 总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明（SoA） 取得管理层对残留风险的承认，并授权实施和操作ISMS,第四章 信息安全管理体系(续),4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源（参见5.2） 实施能够激发安全事件检测和响应的程序和控制,第四章 信息安全管理体系(续),4.2.3 监控和评审ISMS(CHECK) 执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响,第四章 信息安全管理体系(续),4.2.4 保持和改进ISMS(ACT) 对ISMS 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其预期目标,第四章 信息安全管理体系(续),4.3 文件要求 总则 文件控制 记录控制,ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。,第四章 信息安全管理体系(续),ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的： 信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。 一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）： 信息安全方针 风险评估报告 适用性声明（SoA） 二级文件：各类程序文件。至少包括（可能不限于此）： 风险评估流程 风险管理流程 风险处理计划 管理评审程序 信息设备管理程序 信息安全组织建设规定 新设施管理程序 内部审核程序 第三方和外包管理规定 信息资产管理规定 工作环境安全管理规定 介质处理与安全规定 系统开发与维护程序 业务连续性管理程序 法律符合性管理规定 信息系统安全审计规定 文件及材料控制程序 安全事件处理流程 三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。 四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护。,第五章 管理职责,5.1 管理层责任 说明管理层在ISMS 建设过程中应该承担的责任。 5.2 对资源的管理 5.2.1 资源提供 组织应该确定并提供ISMS 相关所有活动必要的资源 5.2.2 培训、意识和能力 通过培训，组织应该确保所有在ISMS 中承担责任的人能够胜任其职,第六章 ISMS 内部审计,组织应该通过定期的内部审计来确定ISMS 的控制目标、控制、过程和程序满足相关要求。,第七章 ISMS 的管理评审,7.1 概要 管理层应该对组织的ISMS 定期进行评审，确保其持续适宜、充分和有效。 7.2 评审输入 评审时需要的输入资料，包括内审结果。 7.3 评审输出 评审成果，应该包含任何决策及相关行动。,第八章 ISMS 改进,8.1 持续改进 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS 的效力。 8.2 纠正措施 组织应该采取措施，消除并实施和操作ISMS 相关的不一致因素，避免其再次出现。 8.3 预防措施 为了防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,建设ISMS,第一步工作是建设ISMS系统，这部分工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。 建设ISMS的工作不是一个纯粹的IT建设，而是建立一个循序渐进的体系，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。,建设ISMS（续）,文件化很重要，针对标准4.3的内容，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。 风险评估，培训等工作的进行也需要在咨询公司的协助下进行。 ISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。,提出申请,待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社) 等。,认证审核预审,预审核（Pre-assessment Audit）也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。 预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC 27001：2005要求的差距，包括(但不仅限于)： 分析ISMS方针与程序，组织当前的业务保护情况； 检查ISMS是否与其实际业务融合一起； 检查ISMS是否符合正式审核的基本条件； 检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的安全意识和员工是否知道ISMS 等； 检查ISMS运行的时间长度。 注：预审也是要收费的！,认证审核桌面审核,认证审核现场审核,桌面审核（文件审核）的结果作为现场审核输入。 现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。 审核内容 验证第一阶段的审核发现是否获得纠正。 证实受审核组织是否按照其方针、目标和程序，执行工作。 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求,认证审核获得证书,所有审核工作结束并达到要求后，用户会得到证书。 半年或者一年，用户需要进行复审 三年时，证书期满，需要重新审核。,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,区别,ISO/IEC 17799信息技术信息安全管理实施细则 ISO/IEC 27001信息技术信息安全管理体系要求 17799重点关注的是实施细则，同时，针对17799并没有认证机制。27001重点关注的是建设体系的要求，并且有认证机制。,联系,ISO/IEC 27001的附录中有ISO/IEC 17799中的5到15章的全部内容，也就是说在进行ISMS建设以及27001认证时， ISO/IEC 17799中11个方面，39个控制点，以及133个控制措施都作为重要的参考点，进行差距分析时，这些内容都是重要的依据。 所以，我们经常提到27001，实际上27001应该是ISO/IEC 27001和ISO/IEC 17799的组合体，两者缺一不可。,举例,为了方便大家理解，举个例子来进行说明： 华赛公司要参加上地地区的一个卫生评比，评比通过发放上地地区高科技企业卫生红旗。 该次评比有个评比要求上地地区高科技企业卫生评比要求，要求内容包括，建立长效的卫生机制，如划定公司卫生范围，购买各种卫生用具，专门领导负责，成立专门团队，聘请专业保洁公司，组织内部检查，内部互查等等。,举例(续),该上地地区高科技企业卫生评比要求还附带了一个上地地区高科技企业卫生评比细则，细则内容包括11个方面 办公室卫生 机房卫生 楼道卫生 卫生间卫生 个人卫生 。,举例(续),评比由上地地区卫生检疫所进行，该次评比首先进行预查，确认达到基本要求后开始进行规范评比，检查公司的各种卫生规范，之后进行现场评比，由专门的检查员深入公司检查卫生的实际执行情况，并和相关责任人进行沟通。 评比结束，华赛公司各种卫生规范齐全，卫生情况良好，得到了海淀区环卫局颁发的上地地区高科技企业卫生红旗，有效期三年，三年后需要重新申请评比检查。,举例(续),通过这个例子，希望大家可以理解27001认证的流程，以及17799和27001的关系。 上地地区高科技企业卫生红旗27001认证 上地地区高科技企业卫生评比要求ISO/IEC 27001 上地地区高科技企业卫生评比细则ISO/IEC 17799 专业保洁公司咨询公司 上地地区卫生检疫所授权评审组织（BSI，DNV） 海淀区环卫局ISO,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001 我司业务与ISO/IEC 27001,安全集成,用户如果后续有进行27001认证的需求，在进行集成项目时会关注设备的部署，配置等情况。 我们需要作的工作是，让用户明确我们的设备部署，功能性能，日志审计，安全域划分等是符合ISO/IEC17799:2005中的相关控制措施的，并且，有些功能特性还是超出了ISO/IEC17799:2005的范围 ，极大的支持了用户ISMS体系的建立，可以让用户在进行27001认证时更加容易的通过审核。,风险评估,公司后续需要建立的安全服务团队，早期可能更加偏向于技术评估，业务评估等，那么我们就可以协助用户在建立ISMS的工作中进行风险评估的工作。 在实际工作中，有些咨询公司的技术评估能力较差，在ISMS的建设过程中，需要专业的安全公司帮助，这就是我们的切入点。,咨询服务,公司的安全服务团队，在人力，经验足够情况下，可以协助用户进行完整的ISMS体系建设。 我们需要帮助用户针对IS0/IEC 27001:2005的建设步骤建立完整的ISMS体系，并且协助用户通过认证。后续还要协助用户维护并修正ISMS体系，这是一个长期的工作。,附录二,ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项控制措施列表 1) 安全方针 7) 访问控制 2) 信息安全组织 8) 信息系统获取、开发和维护 3) 资产管理 9) 信息安全事故管理 4) 人力资源安全 10) 业务连续性管理 5) 物理和环境安全 11) 符合性 6) 通信和操作管理,安全方针,控制目标 信息安全方针（5.1） 控制措施 信息安全方针文件（5.1.1） 信息安全方针评审（5.1.2）,信息安全组织,控制目标 内部组织（6.1） 控制措施 信息安全的管理承诺（6.1.1） 信息安全协调（6.1.2） 信息安全职责的分配（6.1.3） 信息处理设施的授权过程（6.1.4） 保密性协议（6.1.5） 与政府部门的联系（6.1.6） 与特定利益集团的联系（6.1.7） 信息安全的独立评审（6.1.8）,信息安全组织（续）,控制目标 外部各方（6.2） 控制措施 与外部各方相关风险的识别（6.2.1） 处理与顾客有关的安全问题（6.2.2） 处理第三方协议中的安全问题（6.2.3）,资产管理,控制目标 对资产负责（7.1） 控制措施 资产清单（7.1.1） 资产责任人（7.1.2） 资产的合格使用（7.1.3）,资产管理(续),控制目标 信息分类（7.2） 控制措施 分类指南（7.2.1） 信息的标记和处理（7.2.2）,人力资源安全,控制目标 任用之前（8.1） 控制措施 角色和职责 （8.1.1） 审查 （8.1.2） 任用条款和条件（8.1.3）,人力资源安全（续）,控制目标 任用中（8.2） 控制措施 管理职责 （8.2.1） 信息安全意识、教育和培训 （8.2.2） 纪律处理过程（8.2.3）,人力资源安全（续）,控制目标 任用的终止或变化（8.3） 控制措施 终止职责 （8.3.1） 资产的归还 （8.3.2） 撤销访问权（8.3.3）,物理与环境安全,控制目标 安全区域（9.1） 控制措施 物理安全边界 （9.1.1） 物理入口控制 （9.1.2） 办公室、房间和设施的安全保护（9.1.3） 外部和环境威胁的安全防护（9.1.4） 在安全区域工作（9.1.5） 公共访问、交接区安全（9.1.6）,物理与环境安全（续）,控制目标 设备安全（9.2） 控制措施 设备安置和保护 （9.2.1） 支持性设施 （9.2.2） 布缆安全（9.2.3） 设备维护（9.2.4） 组织场所外的设备安全（9.2.5） 设备的安全处置和再利用（9.2.6） 资产的移动（9.2.7）,通信与操作管理,控制目标 操作程序和职责（10.1） 控制措施 文件化的操作程序（10.1.1） 变更管理（10.1.2） 责任分割（10.1.3） 开发、测试和运行设施分离（10.1.4）,通信与操作管理（续）,控制目标 第三方服务交付管理（10.2） 控制措施 服务交付（10.2.1） 第三方服务的监视和评审（10.2.2） 第三方服务的变更管理（10.2.3）,通信与操作管理（续）,控制目标 系统规划和验收（10.3） 控制措施 容量管理（10.3.1） 系统验收（10.3.2）,通信与操作管理（续）,控制目标 防范恶意和移动代码（10.4） 控制措施 控制恶意代码（10.4.1） 控制移动代码（10.4.2）,通信与操作管理（续）,控制目标 备份（10.5） 控制措施 信息备份（10.5.1）,通信与操作管理（续）,控制目标 网络安全管理（10.6） 控制措施 网络控制（10.6.1） 网络服务安全（10.6.2）,通信与操作管理（续）,控制目标 介质处理（10.7） 控制措施 可移动介质的管理（10.7.1） 介质的处置（10.7.2） 信息处理程序（10.7.3） 系统文件安全（10.7.4）,通信与操作管理（续）,控制目标 信息的交换（10.8） 控制措施 信息交换策略和程序（10.8.1） 交换协议（10.8.2） 运输中的物理介质（10.8.3） 电子消息发送（10.8.4） 业务信息系统（10.8.5）,通信与操作管理（续）,控制目标 电子商务服务（10.9） 控制措施 电子商务（10.9.1） 在线交易（10.9.2） 公共可用信息（10.9.3）,通信与操作管理（续）,控制目标 监视（10.10） 控制措施 审计日志（10.10.1） 监视系统的使用（10.10.2） 日志信息的保护（10.10.3） 管理员和操作员日志（10.10.4） 故障日志（10.10.5） 时钟同步（10.10.6）,访问控制,控制目标 访问控制的业务要求（11.1） 控制措施 访问控制策略（11.1.1）,访问控制（续）,控制目标 用户访问管理（11.2） 控制措施 用户注册（11.2.1） 特殊权限管理（11.2.2） 用户口令管理（11.2.3） 用户访问权的复查（11.2.4）,访问控制（续）,控制目标 用户职责（11.3） 控制措施 口令使用（11.3.1） 无人值守的用户设备（11.3.2） 清空桌面和屏幕策略（11.3.3）,访问控制（续）,控制目标 网络访问控制（11.4） 控制措施 使用网络服务的策略（11.4.1） 外部连接的用户鉴别（11.4.2） 网络上的设备标识（11.4.3） 远程诊断和配置端口的保护（11.4.4） 网络隔离（11.4.5） 网络连接控制（11.4.6） 网络路由控制（11.4.7）,访问控制（续）,控制目标 操作系统访问控制（11.5） 控制措施 安全登录程序（11.5.1） 用户标识和鉴别（11.5.2） 口令管理系统（11.5.3） 系统实用工具的使用（11.5.4） 会话超时（11.5.5） 联机时间的限定（11.5.6）,访问控制（续）,控制目标 应用和信息访问控制（11.6） 控制措施 信息访问限制（11.6.1） 敏感系统隔离（11.7.1）,访问控制（续）,控制目标 移动计算和远程工作（11.7） 控制措施 移动计算和通信（11.7.1） 远程工作（11.7.2）,信息系统获取、开发和维护,控制目标 信息系统的安全要求（12.1） 控制措施 安全要求分析和说明（12.1.1）,信息系统获取、开发和维护（续）,控制目标 应用中的正确处理（12.2） 控制措施 输入数据验证（12.2.1） 内部处理的控制（12.2.2） 消息完整性（12.2.3） 输出数据验证（12.2.4）,信息系统获取、开发和维护（续）,控制目标 密码控制（12.3） 控制措施 使用密码控制的策略（12.3.1） 密钥管理（12.3.2）,信息系统获取、开发和维护（续）,控制目标 系统文件的安全（12.4） 控制措施 运行软件的控制（12.4.1） 系统测试数据的保护（12.4.2） 对程序源代码的访问控制（12.4.3）,信息系统获取、开发和维护（续）,控制目标 开发和支持过程中的安全（12.5） 控制措施 变更控制程序（12.5.1） 操作系统变更后应用的技术评审（12.5.2） 软件包变更的限制（12.5.3） 信息泄露（12.5.4） 外包软件开发（12.5.5）,信息系统获取、开发和维护（续）,控制目标 技术脆弱性管理（12.6） 控制措施 技术脆弱性的控制（12.6.1）,信息安全事故管理,控制目标 报告信息安全事件和弱点（13.1） 控制措施 报告信息安全事件（13.1.1） 报告安全弱点（13.1.2）,信息安全事故管理（续）,控制目标 信息安全事故和改进的管理（13.2） 控制措施 职责和程序（13.2.1） 对信息安全事故的总结（13.2.2） 证据的收集（13.2.3）,业务连续性管理,控制目标 业务连续性管理的信息安全方面（14.1） 控制措施 业务连续性管理过程中包含的信息安全（14.1.1） 业务连续性和风险评估（14.1.2） 制定和实施包含信息安全的连续性计划（14.1.3） 业务连续性计划框架（14.1.4） 测试、维护和再评估业务连续性计划（14.1.5）,符合法律要求,控制目标 符合法律要求（15.1） 控制措施 可用法律的识别（15.1.1） 知识产权（IPR） （15.1.2） 保护组织的记录（15.1.3） 数据保护和个人信息的隐私（15.1.4） 防止滥用信息处理设施（15.1.5） 密码控制措施的规则（15.1.6）,符合法律要求（续）,控制目标 符合安全策略和标准以及技术符合性（15.2） 控制措施 符合安全策略和标准（15.2.1） 技术符合性检查（15.2.2）,符合法律要求（续）,控制目标 信息系统审核考虑（15.3） 控制措施 信息系统审核控制措施（15.3.1） 信息系统审核工具的保护（15.3.2）,