ISO27001控制要求.doc

表A.1 控制目标和控制措施A.5 安全方针 A.5.1 信息安全方针 目标：依据业务要求和相关法律法规提供管理支持信息安全。 A.5.1.1 信息安全方针文件 控制 信息安全方针文件由管理者批准、发布并给所有员工和外部相关方。 A.5.1.2 信息安全方针的评审 控制 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保持续适宜性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标：组织内信息 A.6.1.1 信息安全的管理承诺 控制 管理者通过清晰的、承诺、明确的信息安全职责确认，来积极支持组织内的安全。 A.6.1.2 信息安全协调 控制 信息安全活动由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 A.6.1.3 信息安全职责的分配 控制 所有的信息安全职责应予以清晰地定义。 A.6.1.4 信息处理设施的授权过程 控制 新信息处理设施应定义和实施管理授权过程。 A.6.1.5 保密性协议 控制 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 A.6.1.6 与政府部门的联系 控制 应保持与政府相关部门的适当联系。 A.6.1.7 与特定的联系 控制 应保持与特定其他安全专家组和的适当联系。 A.6.1.8 信息安全的独立评审 控制 组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序）按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。 A.6.2外部各方 目标：保持组织的被外部各方访问处理、管理或与外部进行通信的信息信息处理设施的安全。 A.6.2.1 与外部各方相关风险的 控制 应识别涉及外部各方业务过程组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。 A.6.2.2 处理与顾客有关的安全问题 控制 应在允许顾客访问组织信息或资产之前处理所有的安全要求。 A.6.2.3 处理第三方协议中的安全问题 控制措施 涉及访问、处理或管理组织的信息或信息处理设施的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，所有相关的安全要求。 A.7资产管理 A.7.1资产目标：实现和保持对组织资产的适当保护。 A.7.1.1 资产清单 控制措施 清晰识别所有资产，编制并维护所有重要资产的清单。 A.7.1.2 资产责任人 控制措施 与信息处理设施有关的所有信息和资产由组织的指定部门或人员承担责任。 A.7.1.3 资产的使用控制措施 与信息处理设施有关的资产使用规则、形成文件实施。 A.7.2信息分类 目标：确保信息受到适当的保护。 A.7.2.1 分类指南 控制措施 信息按照它对组织的价值、法律要求、敏感性和关键性分类。 A.7.2.2 信息的标记和处理 控制措施 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。 A.8 人力资源安全 A.8.1之前 目标：确保雇员、和第三方理解其职责以降低设施被窃、欺诈和误用的风险。 A.8.1.1 角色和职责 控制措施雇员、和第三方的安全角色和职责应按照组织的信息安全方针定义并形成文件。 A.8.1.2 控制措施 关于所有任用、方和第三方的背景验证检查按照相关法律法规、道德规范和应的业务要求、被访问信息的和察觉的风险来执行。 A.8.1.3 条款和条件 控制措施 作为他们合同义务的一部分，雇员、和第三方应同意并签署他们的合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。 A.8.2 任用中 目标：确保所有的雇员、承包方人员和第三方人员信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，减少的风险。 A.8.2.1 管理职责 控制措施 管理者要求雇员、承包方人员和第三方人员按照组织已建立的方针和程序安全。 A.8.2.2 信息安全意识、教育和培训 控制措施 组织的所有雇员适当时，包括承包方人员和第三方人员，受到与其工作职能相关的适当的意识培训和组织方针及程序的定期更新培训。 A.8.2.3 纪律处理过程 控制措施 对于安全违规的雇员，有一个正式的纪律处理过程。 A.8.3 任用的终止或变化 目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 A.8.3.1 终止职责 控制措施 任用终止或变化的职责清晰的定义和分配。 A.8.3.2 资产的归还 控制措施 所有的雇员、承包方人员和第三方人员在任用、合同或协议时，归还组织资产。 A.8.3.3 撤销访问权 控制措施 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权在任用、合同或协议终止时删除，或在变化时调整。 A.9