信息安全控制目标和控制措施.doc

信息安全控制目标和控制措施 　　表A-1所列的控制目标和控制措施是直接引用并与ISO/IEC17799:2005第5到15章一致。表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。 　　ISO/IEC17799:2005第5至15章提供了最佳实践的实施建议和指南，以支持A.5到A.15列出的控制措施。 　　表A.1控制目标和控制措施 　　? 　　 　　 　　 　　 　　 A.5安全方针 　　 　　 　　 　　 　　 A.5.1信息安全方针 　　 目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。 　　 　　 　　 　　 　　 A.5.1.1 　　 ? 　　 　　 　　 信息安全方针文件 　　 　　 　　 控制措施 　　 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 　　 　　 　　 　　 　　 A.5.1.2 　　 　　 　　 信息安全方针的评审 　　 　　 　　 控制措施 　　 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。 　　 　　 　　 　　 　　 A.6信息安全组织 　　 　　 　　 　　 　　 A.6.1内部组织 　　 目标：在组织内管理信息安全。 　　 　　 　　 　　 　　 A.6.1.1 　　 　　 　　 信息安全的管理承诺 　　 　　 　　 控制措施 　　 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。 　　 　　 　　 　　 　　 A.6.1.2 　　 　　 　　 信息安全协调 　　 　　 　　 控制措施 　　 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 　　 　　 　　 　　 　　 A.6.1.3 　　 　　 　　 信息安全职责的分配 　　 　　 　　 控制措施 　　 所有的信息安全职责应予以清晰地定义。 　　 　　 　　 　　 　　 A.6.1.4 　　 　　 　　 信息处理设施的授权过程 　　 　　 　　 控制措施 　　 新信息处理设施应定义和实施一个管理授权过程。 　　 　　 　　 　　 　　 A.6.1.5 　　 　　 　　 保密性协议 　　 　　 　　 控制措施 　　 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 　　 　　 　　 　　 　　 A.6.1.6 　　 　　 　　 与政府部门的联系 　　 　　 　　 控制措施 　　 应保持与政府相关部门的适当联系。 　　 　　 　　 　　 　　 A.6.1.7 　　 　　 　　 与特定权益团体的联系 　　 　　 　　 控制措施 　　 应保持与特定权益团体、其他安全专家组和专业协会的适当联系。 　　 　　 　　 　　 　　 A.6.1.8 　　 　　 　　 信息安全的独立评审 　　 　　 　　 控制措施 　　 组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。 　　 　　 　　 　　 　　 A.6.2外部各方 　　 目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 　　 　　 　　 　　 　　 A.6.2.1 　　 　　 　　 与外部各方相关风险的识别 　　 　　 　　 控制措施 　　 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。 　　 　　 　　 　　 　　 A.6.2.2