| 8 | Technological controls 技术控制(ISO/IEC 27001: 2022 附录A) | |
| 8.20 | Networks security 网络安全 | Control 控制 Networks and network devices shall be secured, managed and controlled to protect information in systems and applications. 应防护、管理和控制网络和网络设备以保护系统和应用中的信息。 |
| 8.21 | Security of network services 网络服务的安全 | Control 控制 Security mechanisms, service levels and service requirements of network services shall be identified, implemented and monitored. 网络服务的安全机制、服务级别和管理要求应予以识别、实施和监视。 |
| 8.22 | Segregation of networks 网络隔离 | Control 控制 Groups of information services, users and information systems shall be segregated in the organization’s networks. 应在组织网络中隔离信息服务、用户及信息系统所使用的网络。 |
| 8.23 | Web filtering 网页过滤 | Control 控制 Access to external websites shall be managed to reduce exposure to malicious content. 应对外部网站的访问进行管理,以减少暴露于恶意内容。 |
| 8.24 | Use of cryptography 密码学的使用 | Control 控制 Rules for the effective use of cryptography, including cryptographic key management, shall be defined and implemented. 有效使用密码学的规则,包括密钥的管理,应被定义,并予以实施。 |
| A.10 密码(ISO/IEC 27001: 2013 附录A) | ||
| A.10.1 密码控制 | ||
| 目标:确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性。 | ||
| A.10.1.1 | 密码控制的使用策略 | 控制 应开发和实现用于保护信息的密码控制使用策略。 |
| A.10.1.2 | 密钥管理 | 控制 应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略。 |
| A.13 通信安全(ISO/IEC 27001: 2013 附录A) | ||
| A.13.1 网络安全管理 | ||
| 目标:确保网络中的信息及其支持性的信息处理设施得到保护。 | ||
| A.13.1.1 | 网络控制 | 控制 应管理和控制网络以保护系统和应用中的信息。 |
| A.13.1.2 | 网络服务的安全 | 控制 所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。 |
| A.13.1.3 | 网络中的隔离 | 控制 应在网络中隔离信息服务、用户及信息系统。 |
控制解析:
- 新版的A.8.23是新增加的控制项,新版的A.8.20是ISO/IEC 27001: 2013的A.13.1.1,新版的A.8.21是ISO/IEC 27001: 2013的A.13.1.2,新版的A.8.22是ISO/IEC 27001: 2013的A.13.1.3,新版的A.8.24是由ISO/IEC 27001: 2013的A.10.1.1和A.10.1.2合并而成的。
- 组织应根据《信息资产管理程序》(A.5),输出《网络安全管理规范》,该规范应涵盖A.8.20 & A.8.21 & A.8.22 & A.8.23 & A.8.24要求。
- 为保护网络中的信息及信息处理设施的安全,应根据风险评估结果对组织的网络安全进行策划,并对策划的内容进行实施。策划内容包括但不限于:网络分区管理,网络设备管理责任和管理规范,网络设施的日志管理,网络流量异常监控,防火墙,IPS/IDS ,网络准入,漏洞扫描,敏感信息传输加密,关键设施的冗余设计等(A.8.20)。
- 网络服务(如宽带服务、VPN服务、防火墙和入侵检测系统等),在服务协议中应明确服务的安全机制、服务级别和管理要求,并在服务过程中进行监视(A.8.21)。
- 组织内部网络应做分区管理,可以通过物理隔离或逻辑隔离将组织内部网络分成不同的网络域(A.8.22)。
- 组织应确定人员应该或不应该访问的网站类型。组织应考虑通过通过技术阻断有关网站的IP地址或域名等技术手段屏蔽以下类型的网站:(1)具有信息上传功能的网站,除非出于有效的商业原因被允许;(2)已知或怀疑有恶意网站(例如,散布恶意软件或网络钓鱼内容的网站);(3)指挥和控制服务器;(4)从威胁情报获取的恶意网站(见A.5.7);(5)分享非法内容的网站(A.8.23)。
- 本控制(A.8.24)所说的“密码”与“口令”是有区别的,这里的“密码”与《中华人民共和国密码法》中的“密码”是同一个东西,因此任何组织在研发、销售和使用密码产品时,需要符合《中华人民共和国密码法》等相关法律法规。实施本控制需要形成书面的密码使用策略,如公司核心商业秘密,采用HASH密码加密,普通商业秘密采用对称密码AES256加密等。需要管理规范中明确密钥管理相关内容,如密钥的生成、分发、撤销、恢复等管理,以及密钥丢失处理方法等(A.8.24)。
实施本控制应输出的文档:
- 《网络安全管理规范》。
- 网络安全规划、网络拓扑图、网络安全设施清单。
- 网络服务协议。
- 网站屏蔽清单。
- 密钥申请、分发和销毁记录。
本控制审核要点:
- 了解组织网络安全规划和实施情况,网络安全设施,是否风险处置一致。
- 审核网络服务协议中中是否有明确服务的安全机制、服务级别和管理要求。
- 查看网络拓扑图,审核网络分区管理情况,敏感区域(研发、生产、机房)网络是否有做隔离,同时敏感区域是否于普通办公区域网络有隔离。
- 审核密码管理相关规范,密钥生命周期管理,是否有按照文件要求对密钥进行管控。
- 审核网站屏蔽清单,抽查部分员工电脑,是否能访问屏蔽的网站。
