| 5 | Organizational controls 组织控制(ISO/IEC 27001: 2022 附录A) | |
| 5.31 | Legal, statutory, regulatory and contractual requirements 法律、法规、规章和合同要求 | Control 控制 Legal, statutory, regulatory and contractual requirements relevant to information security and the organization’s approach to meet these requirements shall be identified, documented and kept up to date. 应识别信息安全相关的法律、法规、规章和合同要求,以及组织满足这些要求的方法,并形成文件和保持更新。 |
| 5.32 | Intellectual property rights 知识产权 | Control 控制 The organization shall implement appropriate procedures to protect intellectual property rights. 组织应实施适当的规程,以保护知识产权。 |
| 5.33 | Protection of records 记录的保护 | Control 控制 Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release. 记录应进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。 |
| 5.34 | Privacy and protection of personal identifiable information (PII) 隐私和个人身份信息的保护 | Control 控制 The organization shall identify and meet the requirements regarding the preservation of privacy and protection of PII according to applicable laws and regulations and contractual requirements. 组织应根据适用的法律法规和合同要求,识别并满足关于隐私保护和个人身份信息(PII)保护的要求。 |
| 5.35 | Independent review of information security 信息安全的独立评审 | Control 控制 The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur. 应按策划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实施包括人员、过程和技术应进行独立评审。 |
| 5.36 | Compliance with policies, rules and standards for information security 策略、规则和信息安全标准的符合性 | Control 控制 Compliance with the organization’s information security policy, topic-specific policies, rules and standards shall be regularly reviewed. 应定期评审组织信息安全策略、特定主题的策略、规则和标准的符合性。 |
| 5.37 | Documented operating procedures 文件化的操作规程 | Control 控制 Operating procedures for information processing facilities shall be documented and made available to personnel who need them. 信息处理设施的操作规程应形成文件,并提供给有需要的人员使用。 |
| A.12 运行安全(ISO/IEC 27001: 2013 附录A) | ||
| A.12.1 运行规程和责任 | ||
| 目标:确保正确、安全的运行信息处理设施。 | ||
| A.12.1.1 | 文件化的操作规程 | 控制 操作规程应形成文件,并对所需用户可用。 |
| A.18 符合性(ISO/IEC 27001: 2013 附录A) | ||
| A.18.1 符合法律和合同要求 | ||
| 目标:避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。 | ||
| A.18.1.1 | 适用的法律和合同要求的识别 | 控制 对每一个信息系统和组织而言,所有相关的法律、法规、规章和合同 要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、 形成文件并保持更新。 |
| A.18.1.2 | 知识产权 | 控制 应实现适当的规程,以确保在使用具有知识产权的材料和具有所有 权的软件产品时,符合法律、法规和合同的要求。 |
| A.18.1.3 | 记录的保护 | 控制 应根据法律、法规、规章、合同和业务要求,对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。 |
| A.18.1.4 | 隐私和个人可识别信息保护 | 控制 应依照相关的法律、法规和合同条款的要求,以确保隐私和个人可 识别信息得到保护。 |
| A.18.1.5 | 密码控制规则 | 控制 密码控制的使用应遵从所有相关的协议、法律和法规。 |
| A.18.2 信息安全评审 | ||
| 目标:确保依据组织策略和规程来实现和运行信息安全。 | ||
| A.18.2.1 | 信息安全的独立评审 | 控制 应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理 方法及其实现(如信息安全的控制目标、控制、策略、过程和规程)进 行独立评审。 |
| A.18.2.2 | 符合安全策略和标准 | 控制 管理者应定期评审其责任范围内的信息处理和规程与适当的安全 策略、标准和任何其他安全要求的符合性。 |
| A.18.2.3 | 技术符合性评审 | 控制 应定期评审信息系统与组织的信息安全策略和标准的符合性。 |
控制解析:
- A.5.31 & A.5.32 & A.5.33 & A.5.34 & A.5.35 & A.5.36 & A.5.37这些控制项基本与ISO/IEC 27001: 2013中A.18符合性相关控制项保持一致的。新版中的A.5.37是由ISO/IEC 27001: 2013中A.12 运行安全中移过来的,新版中的A.5.31是由ISO/IEC 27001: 2013中的A.18.1.1和A.18.1.5合并而成的,新版中的A.5.36是由ISO/IEC 27001: 2013中的A.18.2.2和A.18.2.3合并而成的。
- 新版中的这些控制项同样主要是包含了两方面的要求,一是外部相关方(法律法规和合同)要求的符合性管理要求,二是内部要求(如组织策略和规程)符合性评价要求。
- 组织应建立信息安全符合性管理过程,并形成书面的《信息安全符合性管理程序》,明确各控制项与其他模块或流程的对接和沟通渠道等,如“A.5.32 知识产权”与组织知识产权管理流程的对接和沟通渠道。
- “A.5.31”可以与正文“4.2 理解相关方的需求和期望”整合实施,对适用法律法规和客户合同要求进行识别和评价。
- 实施“A.5.32 知识产权”,应收集《中华人民共和国知识产权法》《中华人民共和国著作权法》《中华人民共和国计算机软件保护条例》等知识产权法律法规,并识别适用的条款,根据条款要求,对内使用的软件产品进行管理,并定期进行符合性的评价。
- 实施“A.5.33”,应与记录控制过程,数据安全管理过程进整合。应收集相关的法律法规(如《中华人民共和国个人信息保护法》),合同要求(如客户数据保护相关的要求),并这些要求整合到记录控制规范,数据安全规范中。
- 实施“A.5.34”,应收集《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,识别使用的要求,并按照要求管理个人信息(员工信息、访客信息等)。
- “A.5.35”要求管理层应在计划的时间间隔,实施独立的评审,对信息安全风险控制措施(如控制目标、控制措施、控制策略、控制过程和规范等)进行评审,评价是否适宜,是否需要改进等。
- “A.5.36”要求,管理者应定期按照内部的信息安全策略和规范,对信息处理(如数据的存储、传输、访问等)以及相关安全技术措施进行审核,评价是否符合信息安全策略和规范。
- “A.5.37”要求,所有的信息处理设施,必须有书面的运维和使用指南。如应用系统OA,需要有《OA系统运维指南》和《OA系统用户使用指南》;打印机,需要有《打印机使用安全指南》等。
实施本控制应输出的文档:
- 《信息安全符合性管理程序》。
- 适用性法律法规清单及其评价记录。
- 客户信息安全要求清单及评价记录。
- 正版软件管理规范,及相关记录(如正版软件清单)。
- 信息安全审核计划和相关审核记录。
- 信息处理设施书面的运维和使用指南,如《OA系统运维指南》《OA系统用户使用指南》《打印机使用安全指南》等。
本控制审核要点:
- 审核适用性法律法规清单及其评价记录、客户信息安全要求清单及评价记录。
- 检查员工个人信息、访客信息的管理是否符合法律法规要求。
- 检查信息安全年度审核计划,和相关审核记录。
- 审核关键信息处理设施(如,服务器)是否有运维指南。
