国际标准ISOIEC27002.pdf

国际标准 ISO/IEC 27002 第 二 版 2013-10-01 信息技术-安全技术- 信息安全控制实用规则 Information technology-Security techniques- Code of practice for information security controls 内部使用·注意保管 科飞管理咨询公司 ISO/IEC 27002:2013信息技术-安全技术-信息安全控制实用规则 目 录 前 言 1 0 引言 2 0.1 背景和语境 2 0.2 信息安全要求 2 0.3 选择控制措施 3 0.4 开发你自己的指南3 0.5 生命周期考虑 3 0.6 相关标准 3 1 范围 4 2 引用标准 4 3 术语和定义 4 4 本标准的结构 4 4.1 条款4 4.2 控制措施类别 4 5 信息安全方针5 5.1 信息安全管理方向5 5.1.1 信息安全方针 5 5.1.2 信息安全方针的评审 6 6 信息安全组织 6 6.1 内部组织 6 6.1.1 信息安全角色和职责7 6.1.2 职责分离7 6.1.3 与监管机构的联系 8 6.1.4 与特定利益集团的联系 8 6.1.5 项目管理中的信息安全 8 6.2 移动设备和远程工作9 6.2.1 移动设备策略 9 6.2.2 远程工作 10 7 人力资源安全 11 7.1 任用前 11 7.1.1 筛查 11 7.1.2 任用条款和条件 12 7.2 任用中12 7.2.1 管理者职责 12 7.2.2 信息安全意识、教育和培训 13 7.2.3 纪律处理 14 7.3 任用的终止或变化15 7.3.1 任用终止或变化的责任 15 8 资产管理15 科飞咨询 1 ISO/IEC 27002:2013信息技术-安全技术-信息安全控制实用规则 8.1 对资产负责15 8.1.1 资产清单 15 8.1.2 资产的权属 16 8.1.3 资产的可接受使用 16 8.1.4 资产的归还 16 8.2 信息分类17 8.2.1 信息的类别 17 8.2.2 信息的标记 17 8.2.3 资产的处理 18 8.3 介质处理18 8.3.1 可移动介质的管理 18 8.3.2 介质处置 19 8.3.3 物理介质转移 19 9 访问控制20 9.1 访问控制的业务要求20 9.1.1 访问控制策略20 9.1.2 网络和网络服务的访问21 9.2 用户访问管理22 9.2.1 用户注册和注销22 9.2.2 用户访问规定22 9.2.3 特权访问权利的管理23 9.2.4 用户密码认证信息的管理23