信息安全新版标准培训 课件.ppt

A.12 运行安全 A.12.4 日志和监视 目的：记录事态并生成证据。 A.12.4.1 事态日志 控制 应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志。 A.12.4.2 日志信息的保护 控制 记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。 A.12.4.3 管理员和操作员日志 控制 系统管理员和系统操作员活动应记入日志，并对日志进行保护和定期评审。 A.12.4.4 时钟同步 控制 一个组织或安全域内的所有相关信息处理设施的时钟，应与单一一个基准的时间源同步。 A.12 运行安全 A.12.5 运行软件控制 目的：确保运行系统的完整性。 A.12.5.1 运行系统的软件安装 控制 应实现运行系统软件安装控制规程。 A.12 运行安全 A.12.6 技术脆弱性管理 目的：防止对技术脆弱性的利用。 A.12.6.1 技术脆弱性的管理 控制 应及时获取在用的信息系统的技术脆弱性信息，评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。 A.12.6.2 软件安装限制 控制 应建立并实现控制用户安装软件的规则。 A.12 运行安全 A.12.7 信息系统审计的考虑 目的：使审计活动对运行系统的影响最小化。 A.12.7.1 信息系统审计的控制 控制 涉及运行系统验证的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化业务过程的中断。 A.13 通信安全 A.13.1 网络安全管理 目的：确保网络中的信息及其支持性的信息处理设施得到保护。 A.13.1.1 网络控制 控制 应管理和控制网络以保护系统和应用中的信息。 A.13.1.2 网络服务的安全 控制 所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中，无论这些服务是由内部提供的还是外包的。 A.13.1.3 网络隔离 控制 应在网络中隔离信息服务、用户及信息系统。 A.13 通信安全 A.13.2 信息传输 目的： 保持在组织内及与外部实体间传输信息的安全。 A.13.2.1 信息传输策略和规程 控制 应有正式的传输策略、规程和控制，以保护通过使用各种类型通信设施进行的信息传输。 A.13.2.2 信息传输协议 控制 协议应解决组织与外部方之间业务信息的安全传输。 A.13.2.3 电子消息发送 控制 应适当保护包含在电子消息发送中的信息。 A.13.2.4 必威体育官网网址或不泄露协议 控制 应识别、定期评审和文件化反映组织信息保护需要的必威体育官网网址性或不泄露协议的要求。 A.14 系统获取、开发和维护 A.14.1信息系统的安全要求 目的： 确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求 A.14.1.1 信息安全要求分析和说明 控制 新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。 A.14.1.2 公共网络上应用服务的安全保护 控制 应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。 A.14.1.3 应用服务事务的保护 控制 应保护应用服务事务中的信息，以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。 A.14 系统获取、开发和维护 A.14.2开发和支持过程中的安全 目的：确保信息安全在信息系统开发生命周期中得到设计和实现。 A.14.2.1 安全的开发策略 控制 针对组织内的开发，应建立软件和系统开发规则并应用。 A.14.2.2 系统变更控制规程 控制 应使用正式的变更控制规程来控制开发生命周期内的系统变更。 A.14.2.3 运行平台变更后对应用的技术评审 控制 当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。 A.14.2.4 软件包变更的限制 控制 应不鼓励对软件包进行修改，仅限于必要的变更，且对所有变更加以严格控制 A.14.2.5 系统安全工程原则 控制 应建立、文件化和维护系统安全工程原则，并应用到任何信息系统实现工作中 A.14.2.6 安全的开发环境 控制 组织应针对覆盖系统开发生命周期的系统开发和集成活动，建立安全开发环境，并予以适当保护。 A.14.2.7 外包开发 控制 组织应督导和监视外包系统开发活动 A.14.2.8 系统安全测试 控制 应在开发过程中进行安全功能测试。 A.14.2.9 系统验收测试 控制 应建立对新的信息系统、升级及新版本的验收测试方案和相关准则。 A.14 系统获取、开发和维护 A.14.3 测试数据 目的：确保用于测试的数据得到保护。 A.14.3.1 测试数据的保护 控制 测试数据应认真地加以选择、保护和控制。 A.15 供应商关系 A.15.1 供应商关系中的信息安全