ISO27001標(biāo)準(zhǔn)附錄 A.10.1 操作規(guī)程和職責(zé)

【內(nèi)容解析】

為安全地運(yùn)行信息系統(tǒng)和處理設(shè)施,，相關(guān)的操作規(guī)程,、指南和方針策略對日常的運(yùn)維工作尤為關(guān)鍵,。此目標(biāo)關(guān)注于信息處理設(shè)施的操作文件,、變更管理、責(zé)任劃分和運(yùn)行環(huán)境,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.1.1 文件化的操作規(guī)程

【內(nèi)容解析】

管理層應(yīng)針對信息系統(tǒng)和信息處理設(shè)施的用戶制定并保持與信息安全相關(guān)的操作規(guī)程,。基于組織的特征，這類操作規(guī)程的覆蓋范圍可能很廣,，如涉及個人數(shù)據(jù)備份,、介質(zhì)處理、郵箱的使用,、機(jī)房的進(jìn)入等,。組織可結(jié)合風(fēng)險評估以及信息安全方針、法律法規(guī)和組織的運(yùn)營要求等因素制定這類管理規(guī)程或制度,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.1.2 變更管理

【內(nèi)容解析】

對受控環(huán)境內(nèi)信息處理系統(tǒng)和設(shè)施的任何變更都可能影響業(yè)務(wù)的運(yùn)行,，并對信息安全產(chǎn)生影響。因此對信息處理設(shè)施的變更要嚴(yán)加控制和監(jiān)督,。通常對信息處理設(shè)施和系統(tǒng)的變更須要經(jīng)歷規(guī)范的處理過程,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.1.3 責(zé)任分割

【內(nèi)容解析】

責(zé)任分割指將同一項(xiàng)工作任務(wù)或職能分配給不同的角色來承擔(dān)以降低產(chǎn)生錯誤或不良行為的機(jī)會。例如,，兩個角色各自持有不同的鑰匙才能打開門禁,。有關(guān)信息安全的職責(zé)應(yīng)加以適當(dāng)?shù)姆指钜越档蛯Y產(chǎn)的未授權(quán)的、無意識的或惡意的操作和使用,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.1.4 開發(fā),、測試和運(yùn)行設(shè)施分離

【內(nèi)容解析】

開發(fā)、測試與運(yùn)行環(huán)境的分離是為了保護(hù)業(yè)務(wù)運(yùn)行環(huán)境內(nèi)的設(shè)施及相關(guān)數(shù)據(jù),，降低對生產(chǎn)運(yùn)行系統(tǒng)未授權(quán)修改的風(fēng)險,。測試與開發(fā)的分離是為了使測試能在模擬的生產(chǎn)環(huán)境中運(yùn)行以驗(yàn)證交付的系統(tǒng)滿足生產(chǎn)和使用的要求。

ISO27001標(biāo)準(zhǔn)附錄 A.10.2 第三方服務(wù)交付管理

【內(nèi)容解析】

通常認(rèn)為組織自身為第一方,，組織服務(wù)的顧客為第二方,，第三方則指獨(dú)立于上述各方的個人或機(jī)構(gòu)，包括合作伙伴,、外部供應(yīng)商,、審核方等。

組織為管理第三方交付的服務(wù),，應(yīng)就服務(wù)的級別和信息安全要求形成協(xié)議,，并據(jù)此監(jiān)督服務(wù)交付行為和過程。

ISO27001標(biāo)準(zhǔn)附錄 A.10.2.1 服務(wù)交付

【內(nèi)容解析】

當(dāng)組織需要第三方提供服務(wù)時,，應(yīng)與第三方簽署服務(wù)交付協(xié)議,，其中包括規(guī)定的服務(wù)、服務(wù)交付的級別（水準(zhǔn)）和安全控制措施,。組織應(yīng)接受并查驗(yàn)第三方交付的服務(wù),，包括服務(wù)交付的行為、過程和結(jié)果,，確保交付的服務(wù)滿足協(xié)議的要求,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.2.2 第三方服務(wù)的監(jiān)視和評審

【內(nèi)容解析】

由第三方提供的服務(wù),、產(chǎn)品或信息應(yīng)定期進(jìn)行監(jiān)視和評審，證實(shí)履行協(xié)議中規(guī)定條款的準(zhǔn)確性和符合性,。監(jiān)視第三方的服務(wù)交付需要配置一定的資源和技術(shù)能力,，而評審服務(wù)應(yīng)依據(jù)定期的服務(wù)報告和相關(guān)記錄。

ISO27001標(biāo)準(zhǔn)附錄 A.10.2.3 第三方服務(wù)的變更管理

【內(nèi)容解析】

第三方服務(wù)對某些組織是十分關(guān)鍵的,。管理層必須考慮第三方服務(wù)的變更對組織業(yè)務(wù)以及對信息安全的影響,。變更可以導(dǎo)致新的業(yè)務(wù)需求或增加功能，不論在哪種情況下都應(yīng)評估變更對信息安全的風(fēng)險并確保配合有適 當(dāng)?shù)目刂坪捅Ｗo(hù)措施,。 

ISO27001標(biāo)準(zhǔn)附錄 A.10.3 系統(tǒng)規(guī)劃和驗(yàn)收

【內(nèi)容解析】

系統(tǒng)在規(guī)劃時就要識別失效的風(fēng)險,，充分考慮信息安全和容量需求，確保系統(tǒng)的安全性并具有充分的能力,； 在系統(tǒng)驗(yàn)收時應(yīng)通過正式的過程加以把控,，保證所有的需求得到滿足。

ISO27001標(biāo)準(zhǔn)附錄 A.10.3.1 容量管理

【內(nèi)容解析】

容量指信息處理系統(tǒng)或組件在一定運(yùn)行性能時的最大吞吐量,。,。對IT系統(tǒng)及不同的組件其容量的度量單位不同，如對網(wǎng)絡(luò)用“帶寬”,，對CPU用“核數(shù)和頻率”,。容量對IT系統(tǒng)有時又稱為能力。對支持關(guān)鍵業(yè)務(wù)的信息處 理系統(tǒng)應(yīng)監(jiān)視其運(yùn)行的性能級別和容量,。通過監(jiān)視和預(yù)測信息處理系統(tǒng)和組件的容量,，制定容量管理計劃來確保 系統(tǒng)具有充分的容量滿足業(yè)務(wù)目標(biāo)。

ISO27001標(biāo)準(zhǔn)附錄 A.10.3.2 系統(tǒng)驗(yàn)收

【內(nèi)容解析】

對新的系統(tǒng)或系統(tǒng)的升級驗(yàn)收,，管理層應(yīng)預(yù)先定義正式的測試準(zhǔn)則,。通常組織應(yīng)制定并實(shí)施一個正式的驗(yàn)收過程。

ISO27001標(biāo)準(zhǔn)附錄 A.10.4 防范惡意和移動代碼

【內(nèi)容解析】

惡意代碼是對信息處理系統(tǒng)的主要威脅之一,，可產(chǎn)生很大的破壞力,。移動代碼在使用不當(dāng)時也會產(chǎn)生與惡意代碼相似的后果，從而威脅軟件和信息的完整性,。因此必須嚴(yán)格防范惡意代碼,，對移動代碼也需要謹(jǐn)慎控制。

ISO27001標(biāo)準(zhǔn)附錄 A.10.4.1 控制惡意代碼

【內(nèi)容解析】

惡意代碼是指惡意編制的一段程序,，它通過刪除或改寫文件,、發(fā)送電子郵件、使計算機(jī)和組件無法工作來攻擊和破壞系統(tǒng),。惡意代碼通常包括計算機(jī)病毒,、蠕蟲、特洛伊木馬,、邏輯炸彈,、間諜軟件和其他不良軟件等。組織對惡意代碼應(yīng)備有檢測,、預(yù)防和恢復(fù)破壞等多種遏制手段,，對不同的目標(biāo)群采取相應(yīng)的控制措施。

ISO27001標(biāo)準(zhǔn)附錄 A.10.4.2 控制移動代碼 

【內(nèi)容解析】

移動代碼指可以從遠(yuǎn)程系統(tǒng)獲得的軟件模塊,，它通過網(wǎng)絡(luò)傳輸下載到本地的系統(tǒng),，沒有明顯的安裝和啟動，激活后自動執(zhí)行某種功能,。惡意的移動代碼意圖破壞信息系統(tǒng)和計算機(jī)的性能或安全,，增加對系統(tǒng)的訪問，盜取未授權(quán)的信息,，破壞信息,、盜用系統(tǒng)資源或造成拒絕服務(wù)。

組織對信息處理系統(tǒng)和應(yīng)用系統(tǒng)中的移動代碼應(yīng)特別關(guān)注,，應(yīng)開發(fā)和實(shí)施控制措施來檢測未授權(quán)的移動代碼 防止其在信息處理系統(tǒng)和應(yīng)用系統(tǒng)中運(yùn)行,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.5 備份

【內(nèi)容解析】

為保持信息和信息處理設(shè)施的完整性及可用性，組織應(yīng)建立并保持對數(shù)據(jù)信息,、軟件和相關(guān)文件進(jìn)行備份的機(jī)制,，對備份應(yīng)進(jìn)行定期測試。確保在發(fā)生諸如系統(tǒng)或存儲介質(zhì)故障等事件的情況下系統(tǒng)和信息能得以恢復(fù),。

ISO27001標(biāo)準(zhǔn)附錄 A.10.5.1 信息備份

【內(nèi)容解析】

組織的關(guān)鍵數(shù)據(jù)和信息包括業(yè)務(wù)應(yīng)用數(shù)據(jù),、軟件和系統(tǒng)配置應(yīng)按照組織的備份策略定期備份，以便在緊急情況下用以恢復(fù)信息處理系統(tǒng)和業(yè)務(wù)或在需要的時候恢復(fù)原始信息,。備份通?？煞譃槿粘浞莺蜑?zāi)難備份。備份的信息應(yīng)定期按恢復(fù)規(guī)程和業(yè)務(wù)聯(lián)系性計劃進(jìn)行測試,，確保能恢復(fù)數(shù)據(jù)和業(yè)務(wù),。

ISO27001標(biāo)準(zhǔn)附錄 A.10.6 網(wǎng)絡(luò)安全管理

【內(nèi)容解析】

對組織內(nèi)的網(wǎng)絡(luò)應(yīng)從網(wǎng)絡(luò)管控及網(wǎng)絡(luò)服務(wù)的角度來保證安全。對跨越組織邊界的網(wǎng)絡(luò)也需要考慮適當(dāng)?shù)目刂拼胧?，以保護(hù)在公共網(wǎng)絡(luò)傳遞的數(shù)據(jù),。

ISO27001標(biāo)準(zhǔn)附錄 A.10.6.1 網(wǎng)絡(luò)控制

【內(nèi)容解析】

網(wǎng)絡(luò)的管理和控制應(yīng)結(jié)合適當(dāng)?shù)陌踩夹g(shù)以實(shí)現(xiàn)預(yù)期的保護(hù)級別。為此首先應(yīng)對全部網(wǎng)絡(luò)活動明確管理職責(zé),，建立有關(guān)網(wǎng)絡(luò)安全的管理規(guī)程和制度,，指派專業(yè)人員或團(tuán)隊(duì)來管理和維護(hù)網(wǎng)絡(luò)相關(guān)的設(shè)備、組件和服務(wù),，實(shí)施在線安全網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全監(jiān)控,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.6.2 網(wǎng)絡(luò)服務(wù)安全

【內(nèi)容解析】

網(wǎng)絡(luò)服務(wù)包括提供接入、私有網(wǎng)絡(luò),、增值網(wǎng)絡(luò),、網(wǎng)絡(luò)安全管理（含解決方案）等,。為確保網(wǎng)絡(luò)服務(wù)的安全，不論是采用內(nèi)部單位還是外部第三方來提供服務(wù),，組織都應(yīng)識別所需要的網(wǎng)絡(luò)服務(wù),、服務(wù)的安全特性、服務(wù)級別 以及對服務(wù)的管理要求,，并在網(wǎng)絡(luò)服務(wù)級別協(xié)議中作出明確規(guī)定,。在協(xié)議中還應(yīng)對網(wǎng)絡(luò)服務(wù)方進(jìn)行監(jiān)管，以確保其具備約定的能力并滿足相關(guān)要求,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.7 介質(zhì)處置

【內(nèi)容解析】

介質(zhì)是紙面的或電子化的,、可移動的或相對固定的承載有信息的資產(chǎn)，這類資產(chǎn)在使用過程中如管理不當(dāng)有可能造成信息的泄露,、修改,、移動或銷毀，甚至導(dǎo)致業(yè)務(wù)活動中斷,。對各類介質(zhì)組織應(yīng)有健全的管控措施,。 

ISO27001標(biāo)準(zhǔn)附錄 A.10.7.1 可移動介質(zhì)的管理

【內(nèi)容解析】

可移動介質(zhì)包括移動硬盤、USB盤,、各種存儲卡,、CD-ROMs、DVD盤,、磁帶和打印的紙張等,。可移動介質(zhì)（尤其是便攜易傳送電子介質(zhì)）的使用對組織的信息安全帶來風(fēng)險,，因而對員工使用可移動介質(zhì)組織應(yīng)按照定義 的相關(guān)規(guī)程并在必要時結(jié)合技術(shù)措施加以適度的管理,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.7.2 介質(zhì)的處置

【內(nèi)容解析】

含有組織信息和數(shù)據(jù)的介質(zhì)，當(dāng)其不再需要保留或使用時,，應(yīng)按照組織發(fā)布的管理規(guī)程采用適當(dāng)?shù)姆绞郊右凿N毀或處理（包括介質(zhì)的再利用）,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.7.3 信息處理規(guī)程

【內(nèi)容解析】

信息可以以書面或電子的方式記錄和存儲，通過人工或自動化的工具設(shè)施進(jìn)行處理,，并以多種方式進(jìn)行通信,。組織應(yīng)基于信息的保密級別在信息的存儲、處理和通信等各個環(huán)節(jié)上建立必要的安全操作規(guī)程,，以防止對信息未授權(quán)的誤用或毀壞,。 

ISO27001標(biāo)準(zhǔn)附錄 A.10.7.4 系統(tǒng)文件安全

【內(nèi)容解析】

為了將系統(tǒng)被侵入和損害的風(fēng)險最小化，信息處理設(shè)施的系統(tǒng)文件應(yīng)得到安全保護(hù)以防止未授權(quán)的訪問,。系統(tǒng)文件的范圍可以很廣泛,，包括計算機(jī)系統(tǒng)文件、設(shè)備配置文件,、網(wǎng)絡(luò)拓?fù)鋱D等,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.8 信息的交換

【內(nèi)容解析】

組織內(nèi)以及與外部的相關(guān)方在業(yè)務(wù)活動中必然要進(jìn)行信息溝通,，組織內(nèi)外間的信息交換應(yīng)在管理制度、物理和邏輯上進(jìn)行控制,，以確保信息交換的安全,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.8.1 信息交換策略和規(guī)程

【內(nèi)容解析】

為保障信息交換的安全，對組織內(nèi)外的信息交換應(yīng)制定和發(fā)布正式的策略和規(guī)程,。由于存在范圍廣泛的信息 交流和多種多樣的信息交換方法，信息交換中的安全意識也是這項(xiàng)控制措施的要點(diǎn),。

ISO27001標(biāo)準(zhǔn)附錄 A.10.8.2 交換協(xié)議

【內(nèi)容解析】

組織與外部相關(guān)方進(jìn)行信息交換應(yīng)建立法律協(xié)議,，明確交換數(shù)據(jù)或信息的類別、標(biāo)記,、管理職責(zé),、相關(guān)規(guī)程和技術(shù)標(biāo)準(zhǔn)等。交換協(xié)議可以是多種形式（如,，電子的或書面的）,。這里的軟件是指記錄和閱讀信息相關(guān)的軟件。

ISO27001標(biāo)準(zhǔn)附錄 A.10.8.3 運(yùn)輸中的物理介質(zhì)

【內(nèi)容解析】

對于要傳輸?shù)奈锢斫橘|(zhì),，不論采用何種傳送方式（如快遞,、信使等）組織應(yīng)都基于信息的保密級別對介質(zhì)采取適當(dāng)?shù)谋Ｗo(hù)措施。一旦含有保密信息的物理介質(zhì)離開組織的邊界,，還應(yīng)監(jiān)視其在運(yùn)輸中的狀態(tài),，直到安全接收。

ISO27001標(biāo)準(zhǔn)附錄 A.10.8.4 電子消息發(fā)送

【內(nèi)容解析】

電子消息包括EDI,、E-Mail,、即時消息（如QQ、MSN等）,、短消息或多媒體消息（如彩信）,，但不包含傳 真和通常的電話語音通訊。對電子消息的保護(hù)主要在于防止未授權(quán)的截取,、破壞或不正確的交付,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.8.5 業(yè)務(wù)信息系統(tǒng)

【內(nèi)容解析】

組織內(nèi)不同業(yè)務(wù)或部門間的信息共享可通過信息系統(tǒng)和設(shè)施的互聯(lián)，對關(guān)聯(lián)信息共享系統(tǒng)的脆弱性和介入人員（包括不同類別的內(nèi)部人員,、承包方人員和業(yè)務(wù)伙伴人員）應(yīng)加以識別控制,，以保護(hù)與業(yè)務(wù)運(yùn)營相關(guān)的共享信息（包括文件、視頻,、語音等）,，為此管理層應(yīng)制定并實(shí)施相關(guān)的策略和規(guī)程。

ISO27001標(biāo)準(zhǔn)附錄 A.10.9 電子商務(wù)服務(wù)

【內(nèi)容解析】

電子商務(wù)是一種高風(fēng)險業(yè)務(wù),，從事電子商務(wù)的組織應(yīng)提供安全的服務(wù)并確保服務(wù)使用的安全,，包括提供完整準(zhǔn)確的信息,、保護(hù)客戶的信息和確保交易安全。

ISO27001標(biāo)準(zhǔn)附錄 A.10.9.1 電子商務(wù)

【內(nèi)容解析】

電子商務(wù)中的信息包括客戶的信息（如,，注冊信息,、交易信息、訂單等）和商家的業(yè)務(wù)信息,。對電子商務(wù)通 過公共網(wǎng)絡(luò)傳輸?shù)男畔⒑蛿?shù)據(jù)應(yīng)有保護(hù)措施,，防止對信息的未授權(quán)的泄露、修改和網(wǎng)絡(luò)欺詐,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.9.2 在線交易

【內(nèi)容解析】

電子商務(wù)的交易存在風(fēng)險,，消息可能被路由到錯誤的終端、消息被篡改或泄露給未授權(quán)的人等,。因此要采取 適當(dāng)?shù)目刂拼胧┙档徒灰罪L(fēng)險并滿足相關(guān)法律法規(guī)的要求,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.9.3 公共可用信息

【內(nèi)容解析】

電子商務(wù)采用一種公共可用系統(tǒng)進(jìn)行業(yè)務(wù)活動，其運(yùn)營會處于較大的風(fēng)險環(huán)境,，因?yàn)榻尤胍蛱鼐W(wǎng)的任何一個人都可以訪問,，如果信息被篡改將可能面臨各種糾紛。組織為保護(hù)信息應(yīng)適時地開發(fā),、實(shí)施和評價控制措施,，防止在公共可用系統(tǒng)中發(fā)布的信息遭受未授權(quán)的修改。

ISO27001標(biāo)準(zhǔn)附錄 A.10.10 監(jiān)視

【內(nèi)容解析】

監(jiān)視信息處理設(shè)施中的關(guān)鍵系統(tǒng)和應(yīng)用是一種高度有效的安全控制措施,，組織應(yīng)具備適當(dāng)?shù)谋O(jiān)控手段以及管理機(jī)制,，及時檢測出信息處理環(huán)境中的未授權(quán)活動以便做出處置。

ISO27001標(biāo)準(zhǔn)附錄 A.10.10.1 審計記錄

【內(nèi)容解析】

審計記錄（或?qū)徲嬋罩荆┦且环N計算機(jī)文件,，它記錄了系統(tǒng)（尤其是應(yīng)用系統(tǒng)）用戶的全部活動包括對記錄的修改細(xì)節(jié),。審核記錄可能包含敏感信息，例如用戶的賬戶信息,，應(yīng)妥善加以保護(hù),，防止未授權(quán)的泄露和破壞。 

ISO27001標(biāo)準(zhǔn)附錄 A.10.10.2 監(jiān)視系統(tǒng)的使用

【內(nèi)容解析】

對信息處理系統(tǒng)的基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的正常運(yùn)行及使用情況要加以監(jiān)視,。對監(jiān)視結(jié)果應(yīng)定期評審,。對系統(tǒng)的監(jiān)視包括運(yùn)行監(jiān)視（如針對系統(tǒng)的性能、占用的資源,、帶寬等）和安全監(jiān)視（如入侵檢測）,，對安全監(jiān)視的人員必須要了解對系統(tǒng)和環(huán)境的威脅以識別潛在的危險。對監(jiān)視系統(tǒng)的管理需要有相關(guān)的規(guī)程,，確保監(jiān)管人員能及 時發(fā)現(xiàn)并處理問題,，發(fā)揮監(jiān)管資源的效能。

ISO27001標(biāo)準(zhǔn)附錄 A.10.10.3 日志信息的保護(hù)

【內(nèi)容解析】

日志包括系統(tǒng)日志、審計日志和安全事態(tài)日志等,。對記錄日志的設(shè)施和日志信息應(yīng)識別控制措施,，妥善加以 保護(hù)防止未授權(quán)的訪問，確保信息的完整性,。

ISO27001標(biāo)準(zhǔn)附錄 A.10.10.4 管理員和操作員日志

【內(nèi)容解析】

系統(tǒng)管理員和操作員對系統(tǒng)的操作行為應(yīng)加以記錄和監(jiān)視,。設(shè)定管理員級別的訪問權(quán)可能有業(yè)務(wù)運(yùn)行的要求，但如果被未授權(quán)的或含有不良意圖的人所利用就會對系統(tǒng)和業(yè)務(wù)帶來巨大風(fēng)險,?；诎踩目紤]可在管理員控制范圍之外實(shí)施某種入侵檢測系統(tǒng)。

ISO27001標(biāo)準(zhǔn)附錄 A.10.10.5 故障日志

【內(nèi)容解析】

信息技術(shù)系統(tǒng)和應(yīng)用有時會發(fā)生故障或錯誤,。有的故障系統(tǒng)可自動告警和記錄,，有些故障則需要人工報告和記錄。組織應(yīng)對故障記錄進(jìn)行匯總,，由維護(hù)人員進(jìn)行分析并盡快處理,。在這些故障中有些可能與安全有關(guān),，對可疑的活動需要繼續(xù)跟蹤監(jiān)視并采取適當(dāng)?shù)拇胧?/span>

ISO27001標(biāo)準(zhǔn)附錄 A.10.10.6 時鐘同步

【內(nèi)容解析】

時鐘同步在信息安全上是一個重要的因素,，它確保安全日志記錄了與其他網(wǎng)絡(luò)組件和系統(tǒng)相關(guān)聯(lián)的所有事態(tài)發(fā)生的準(zhǔn)確時間，也是安全事件取證的依據(jù),。時間對安全事態(tài)也十分重要,，因?yàn)樗粉櫫巳肭终叩穆窂健?/span>