【法语版】国际标准 ISO/IEC 27002:2013 FR 信息技术——安全技术——信息安全控制实践准则 Information technology -- Security techniques -- Code of practice for information security controls.pdf

ISO/IEC27002:2013FRInformationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritycontrols是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的信息安全控制实践标准。这个标准提供了信息安全控制的一般性指南，用于帮助组织设计和实施有效的信息安全策略。以下是标准的详细解释：

信息安全控制是对保护信息资产所采取的措施和行为，旨在减少信息资产的风险和漏洞。这些控制通常包括对物理和逻辑访问控制、数据备份和恢复、安全审计和监控等关键要素的管理。

这个标准详细列出了以下关键控制领域：

1.物理安全控制：这些控制主要针对存储和处理信息资产的物理环境，以确保只有授权人员能够访问这些环境。这可能包括对出入控制、访问记录和设备移动的控制。

2.人员安全控制：这些控制涉及组织内部员工的信息安全培训、身份验证和授权管理。这可能包括员工行为准则、密码策略、数据保护和必威体育官网网址义务。

3.通信和网络控制：这些控制涉及网络和通信基础设施的安全，以确保只有授权的通信和数据传输能够通过。这可能包括防火墙、入侵检测系统（IDS）和加密通信。

4.设备和软件控制：这些控制涉及组织使用的硬件和软件的安全，以确保它们符合安全标准并防止恶意软件攻击。这可能包括设备更新、软件许可和漏洞修复。

5.业务连续性和灾难恢复：这些控制涉及制定计划以应对意外事件，如自然灾害或组织内部的数据丢失或损坏。这可能包括备份策略、灾难恢复计划和应急响应小组。

该标准还提供了对信息安全控制进行评估和审计的工具和方法，以确保组织的信息安全策略得到有效实施。这些评估通常由专业的信息安全审计师进行，以确保组织的控制符合标准的要求。

ISO/IEC27002:2013FRInformationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritycontrols为组织提供了信息安全控制的基本框架和指南，帮助组织设计和实施有效的信息安全策略，保护其信息资产的安全。