信息安全、网络安全和隐私保护管理体系要求(含2024修订) 2022+Amd1:2024
控制项模式ISO/IEC 27001:2022是信息安全管理体系(ISMS)的国际标准,为组织建立、实施、维护和持续改进信息安全管理提供要求。2022版本更新了控制结构,采用ISO定义的安全控制组织方式,包含93个控制项。
依据 ISO/IEC 27002:2022 对控制项 5.1(信息安全方针)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.2(信息安全角色与职责)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.3(职责分离)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.4(管理层职责)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.5(与主管机构联系)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.6(与专业组织联系)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.7(威胁情报)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.8(项目管理中的信息安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.9(信息及其他相关资产清单)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.10(信息及其他相关资产的可接受使用)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.11(资产归还)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.12(信息分类)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.13(信息标记)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.14(信息传输)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.15(访问控制)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.16(身份管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.17(身份验证信息)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.18(访问权限)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.19(供应商关系中的信息安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.20(在供应商协议中落实信息安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.21(ICT 供应链中的信息安全管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.22(供应商服务的信息安全监控、评审与变更管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.23(云服务使用中的信息安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.24(信息安全事件管理策划与准备)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.25(信息安全事件评估与决策)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.26(信息安全事件响应)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.27(从信息安全事件中学习)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.28(证据收集)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.29(中断期间的信息安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.30(ICT 业务连续性准备)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.31(法律、法规、监管和合同要求)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.32(知识产权)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.33(记录保护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.34(隐私与个人可识别信息保护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.35(信息安全独立评审)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.36(信息安全方针、规则和标准符合性)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 5.37(文档化操作程序)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.1(背景调查)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.2(雇佣条款和条件)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.3(信息安全意识、教育与培训)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.4(纪律处分流程)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.5(雇佣终止或变更后的责任)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.6(保密或不披露协议)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.7(远程办公)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 6.8(信息安全事件报告)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.1(物理安全边界)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.2(物理进入控制)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.3(办公室、机房和设施安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.4(物理安全监控)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.5(物理和环境威胁防护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.6(在安全区域内工作)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.7(清桌面和清屏)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.8(设备安置与防护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.9(场外资产安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.10(存储介质)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.11(支撑性公用设施)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.12(布线安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.13(设备维护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 7.14(设备安全处置或再利用)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.1(终端用户设备)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.2(特权访问权限)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.3(信息访问限制)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.4(源代码访问)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.5(安全认证)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.6(容量管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.7(恶意软件防护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.8(技术漏洞管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.9(配置管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.10(信息删除)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.11(数据脱敏)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.12(数据泄露防护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.13(信息备份)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.14(信息处理设施冗余)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.15(日志记录)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.16(监控活动)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.17(时钟同步)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.18(特权实用程序使用)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.19(运行系统上的软件安装)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.20(网络安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.21(网络服务安全)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.22(网络隔离)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.23(Web 过滤)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.24(密码技术使用)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.25(安全开发生命周期)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.26(应用安全需求)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.27(安全系统架构和工程原则)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.28(安全编码)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.29(开发和验收阶段的安全测试)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.30(外包开发)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.31(开发、测试和生产环境隔离)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.32(变更管理)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.33(测试信息)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。
依据 ISO/IEC 27002:2022 对控制项 8.34(审计测试期间的信息系统保护)进行实施,并与 ISO/IEC 27001:2022 附录 A 的适用性声明保持一致。