5Organizational controls 组织控制ISO/IEC 27001: 2022 附录A)
5.31Legal, statutory, regulatory and contractual requirements
法律、法规、规章和合同要求
Control 控制
Legal, statutory, regulatory and contractual requirements relevant to information security and the organization’s approach to meet these requirements shall be identified, documented and kept up to date.
应识别信息安全相关的法律、法规、规章和合同要求,以及组织满足这些要求的方法,并形成文件和保持更新。
5.32Intellectual property rights
知识产权
Control 控制
The organization shall implement appropriate procedures to protect intellectual property rights.
组织应实施适当的规程,以保护知识产权。
5.33Protection of records
记录的保护
Control 控制
Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release.
记录应进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。
5.34Privacy and protection of personal identifiable information (PII)
隐私和个人身份信息的保护
Control 控制
The organization shall identify and meet the requirements regarding the preservation of privacy and protection of PII according to applicable laws and regulations and contractual requirements.
组织应根据适用的法律法规和合同要求,识别并满足关于隐私保护和个人身份信息(PII)保护的要求。
5.35Independent review of information security
信息安全的独立评审
Control 控制
The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur.
应按策划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实施包括人员、过程和技术应进行独立评审。
5.36Compliance with policies, rules and standards for information security
策略、规则和信息安全标准的符合性
Control 控制
Compliance with the organization’s information security policy, topic-specific policies, rules and standards shall be regularly reviewed.
应定期评审组织信息安全策略、特定主题的策略、规则和标准的符合性。
5.37Documented operating procedures
文件化的操作规程
Control 控制
Operating procedures for information processing facilities shall be documented and made available to personnel who need them.
信息处理设施的操作规程应形成文件,并提供给有需要的人员使用。
A.12 运行安全(ISO/IEC 27001: 2013 附录A)
A.12.1 运行规程和责任
目标:确保正确、安全的运行信息处理设施。
A.12.1.1文件化的操作规程控制
操作规程应形成文件,并对所需用户可用。
A.18 符合性(ISO/IEC 27001: 2013 附录A)
A.18.1 符合法律和合同要求
目标:避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。
A.18.1.1适用的法律和合同要求的识别控制
对每一个信息系统和组织而言,所有相关的法律、法规、规章和合同 要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、 形成文件并保持更新。
A.18.1.2知识产权控制
应实现适当的规程,以确保在使用具有知识产权的材料和具有所有 权的软件产品时,符合法律、法规和合同的要求。
A.18.1.3记录的保护控制
应根据法律、法规、规章、合同和业务要求,对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。
A.18.1.4隐私和个人可识别信息保护控制
应依照相关的法律、法规和合同条款的要求,以确保隐私和个人可 识别信息得到保护。
A.18.1.5密码控制规则控制
密码控制的使用应遵从所有相关的协议、法律和法规。
A.18.2 信息安全评审
目标:确保依据组织策略和规程来实现和运行信息安全。
A.18.2.1信息安全的独立评审控制
应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理 方法及其实现(如信息安全的控制目标、控制、策略、过程和规程)进 行独立评审。
A.18.2.2符合安全策略和标准控制
管理者应定期评审其责任范围内的信息处理和规程与适当的安全 策略、标准和任何其他安全要求的符合性。
A.18.2.3技术符合性评审控制
应定期评审信息系统与组织的信息安全策略和标准的符合性。

控制解析:

  1. A.5.31 & A.5.32 & A.5.33 & A.5.34 & A.5.35 & A.5.36 & A.5.37这些控制项基本与ISO/IEC 27001: 2013中A.18符合性相关控制项保持一致的。新版中的A.5.37是由ISO/IEC 27001: 2013中A.12 运行安全中移过来的,新版中的A.5.31是由ISO/IEC 27001: 2013中的A.18.1.1和A.18.1.5合并而成的,新版中的A.5.36是由ISO/IEC 27001: 2013中的A.18.2.2和A.18.2.3合并而成的。
  2. 新版中的这些控制项同样主要是包含了两方面的要求,一是外部相关方(法律法规和合同)要求的符合性管理要求,二是内部要求(如组织策略和规程)符合性评价要求。
  3. 组织应建立信息安全符合性管理过程,并形成书面的《信息安全符合性管理程序》,明确各控制项与其他模块或流程的对接和沟通渠道等,如“A.5.32 知识产权”与组织知识产权管理流程的对接和沟通渠道。
  4. “A.5.31”可以与正文“4.2 理解相关方的需求和期望”整合实施,对适用法律法规和客户合同要求进行识别和评价。
  5. 实施“A.5.32 知识产权”,应收集《中华人民共和国知识产权法》《中华人民共和国著作权法》《中华人民共和国计算机软件保护条例》等知识产权法律法规,并识别适用的条款,根据条款要求,对内使用的软件产品进行管理,并定期进行符合性的评价。
  6. 实施“A.5.33”,应与记录控制过程,数据安全管理过程进整合。应收集相关的法律法规(如《中华人民共和国个人信息保护法》),合同要求(如客户数据保护相关的要求),并这些要求整合到记录控制规范,数据安全规范中。
  7. 实施“A.5.34”,应收集《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,识别使用的要求,并按照要求管理个人信息(员工信息、访客信息等)。
  8. “A.5.35”要求管理层应在计划的时间间隔,实施独立的评审,对信息安全风险控制措施(如控制目标、控制措施、控制策略、控制过程和规范等)进行评审,评价是否适宜,是否需要改进等。
  9. “A.5.36”要求,管理者应定期按照内部的信息安全策略和规范,对信息处理(如数据的存储、传输、访问等)以及相关安全技术措施进行审核,评价是否符合信息安全策略和规范。
  10. “A.5.37”要求,所有的信息处理设施,必须有书面的运维和使用指南。如应用系统OA,需要有《OA系统运维指南》和《OA系统用户使用指南》;打印机,需要有《打印机使用安全指南》等。

实施本控制应输出的文档:

  1. 《信息安全符合性管理程序》。
  2. 适用性法律法规清单及其评价记录。
  3. 客户信息安全要求清单及评价记录。
  4. 正版软件管理规范,及相关记录(如正版软件清单)。
  5. 信息安全审核计划和相关审核记录。
  6. 信息处理设施书面的运维和使用指南,如《OA系统运维指南》《OA系统用户使用指南》《打印机使用安全指南》等。

本控制审核要点:

  1. 审核适用性法律法规清单及其评价记录、客户信息安全要求清单及评价记录。
  2. 检查员工个人信息、访客信息的管理是否符合法律法规要求。
  3. 检查信息安全年度审核计划,和相关审核记录。
  4. 审核关键信息处理设施(如,服务器)是否有运维指南。