ISO27001标准培训课件.ppt

A.14 系统获取、开发和维护 A.14.2.5 安全系统创建原则 应建立、文件化、维护制造安全系统的原则，并应用到任何信息系统实施； A.14.2.6 安全开发环境 组织应建立并适当的保护安全开发环境，并覆盖整个系统开发生命周期； A.14.2.7 外包软件开发 组织应管理和监视外包软件的开发； A.14.2.8 系统安全测试 开发过程中，应测试安全功能； A.14.2.9 系统验收测试 在建立新系统、升级系统和更新版本时，建立验收测试程序和相关标准； A.14 系统获取、开发和维护 A.14.3测试数据 控制目标：确保保护用于测试的数据； A.14.3.1 系统测试数据的保护 测试数据应认真地加以选择、保护和控制； A.15 供方关系 A.15.1供方关系的信息安全 控制目标：确保保护供方访问的组织资产的安全； A.15.1.1 供方关系的信息安全策略 减少供方访问组织资产相关风险的信息安全要求应与供方协商，并记录； A.15.1.2 供方协议中描述安全 应建立所有相关信息安全要求，并与可能为组织信息进行访问、处置、存储、沟通或提供IT基础设施组件的每个供应商进行协商； A.15.1.3 信息和通讯技术供应链 与供应商的协议应包括信息和沟通技术服务和产品供应链相关的信息安全风险； A.15 供方关系 A.15.2供方服务交付管理 控制目标：根据供应商协议，维护信息安全和服务交付的商定水平； A.15.2.1 供方服务的监控和评审 组织应定期监控、评审和审计供方服务交付； A.15.2.2 供方服务的变更管理 应管理供方服务提供的变更，包括保持和改进现有的信息安全方针策略、规程和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估； A.16 信息安全事件管理 A.16.1信息安全事件和改进的管理 控制目标：确保采用一致和有效的方法对信息安全事件进行管理，包括安全事态和弱点的沟通; A.16.1.1 职责和规程 应建立管理职责和规程，以确保快速、有效和有序地响应信息安全事件； A.16.1.2 报告信息安全事态 信息安全事态应该尽可能快地通过适当的管理渠道进行报告； A.16.1.3 报告安全弱点 应要求使用信息系统和服务的雇员和合同人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点； A.16 信息安全事件管理 A.16.1.4 信息安全事态评估和决策 信息安全事态应被评估，应决定是否属于信息安全事件； A.16.1.5 信息安全事件响应 信息安全事件应根据文件化流程进行响应； A.16.1.6 对信息安全事件的总结 从分析和解决信息安全事件所获得的知识，应用于减少未来事件发生的可能性或影响； A.16.1.7 证据的收集 组织应定义和应用程序，以识别、收集、获取和保存可作为证据的信息； A.17 业务连续性管理的信息安全方面 A.17.1信息安全连续性 控制目标：信息安全连续性应嵌入组织的业务连续性管理体系； A.17.1.1 规划信息安全连续性 组织应确定在不利情况下信息安全和信息安全管理连续性要求，如危机或灾难； A.17.1.2 实施信息安全连续性 组织应建立、记录、实施和维护流程、程序、控制措施，以确保在不利情况下保证要求的信息安全的连续性等级； A.17.1.3 验证、评审和评估信息安全连续性 组织应定期验证已建立和实施的信息安全连续性控制措施，以确保在不利情况下是有效的和生效的； A.17 业务连续性管理的信息安全方面 A.17.2冗余 控制目标：确保信息处理设施的可用性； A.17.2.1 信息处理设施的可用性 信息处理设施应实现冗余，以满足可用性要求； A.18 合规性 A.18.1符合法规和合同要求 控制目标：避免违反信息安全相关法律、法规或合同责任，以及任何安全要求； A.18.1.1 可用法律和合同要求的识别 对每一个信息系统和组织而言，所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新； A.8.1.2 知识产权（IPR） 应实施适当的程序，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求； A.18.1.3 保护组织的记录 根据法令、法规、合同和业务的要求，应防止记录遗失、毁坏和伪造、未授权访问和未授权发布； A.18.1.4 隐私和保护个人身份信息 隐私和保护个人身份信息应确保遵守相关的法律法规的要求； A.18.1.5 密码控制措施的规则 使用密码控制措施应遵从相关的协议、法律和法规； A.18 合规性 A.18.2信息安全审查 控制目标：确保根据组织策略和程序运行和实施信息安全； A.18.2.1 信息安全的独立评审 组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、