安全合规ISO--3--ISO 27001介绍（附录）.pdf

安全合规/ISO--3--ISO 27001介绍（附录） 本文为ISO 27001 官方文件的附录A ，附录A 所列的控制目标和控制项，直 接与ISO/IEC 27002的第5-18章所对应。附录A是ISO 27002的精华版本，完整说明还 要阅读ISO 27002的文档 信息安全管理体系结构 1 五 信息安全战略 5.1 信息安全的管理方向 目标：依据业务要求和相关法律法规?供管理方向并支持信息安全。 章节 概要 说明 5.1.1 信息安全策略 控制措施 信息安全策略集应由管理者定义、批准、发布并传达给 员工和相关外部方 5.1.2 信息安全策略 控制措施 的评审 信息安全策略应按计划的时间间隔或当重大变化发生时 进行评审，以确保其持续的适宜性、充分性和有效性。 六 信息安全组织 6.1 内部组织 目标：建立管理框架，以启动和控制组织范围内的信息安全的实施和运行。 章节 概要 说明 6.1.1 信息安全角色 控制措施 和职责 所有的信息安全职责应予以定义和分配。 6.1.2 职责分离 分离相冲突的责任及职责范围，以降低未授权或无意 识的修改或者不当使用组织资产的机会 6.1.3 与政府部门的 控制措施 联系 应保持与政府相关部门的适当联系。 6.1.4 与特定利益集 控制措施 团的联系 应保持与特定利益集团、其他安全论坛和专业协会的 适当联系。 6.1.5 项目管理中的 控制措施 信息安全 无论项目是什么类型，在项目管理中都应处理信息安 全问题。 2 6.2 移动设备和远程工作 目标：确保远程工作和使用移动设备时的安全。 章节 概要 说明 6.2.1 移动设备策略 控制措施 应采用策略和支持性安全措施来管理由于使用 移动设备带来的风险。 6.2.2 远程工作 控制措施 应实施策略和支持性安全措施来保护在远程工 作场地访问、处理或存储的信息。 七 人力资源安全 7.1 任用之前 目标：确保雇员和承包方人员理解其职责、适于考虑让其承担的角色。 章节 概要 说明 7.1.1 审查 控制措施 关于所有任用候选者的背景验证核查应按照相 关法律、法规、道德规范和对应的业务要求、 被访问信息的类别和察觉的风险来执行。 7.1.2 任用条款和条件 控制措施 与雇员和承包方人员的合同协议应声明他们和 组织的信息安全职责。 7.2 任用中 目标：确保雇员和承包方人员知悉并履行其信息安