| 狀态 | 序号 | 編号 | 名稱 | 來源 | 曆史 |
| 已釋出 | 1 | ISO/IEC 27000:2009 | 資訊安全管理--體系原理和術語 | ||
| 2 | ISO/IEC 27001:2005 | 資訊安全管理--體系要求 | 以BS 7799-2為基礎 | ||
| 3 | ISO/IEC 27002:2005 | 資訊安全管理--實踐規則 | ISO/IEC 17799:2005 | ||
| 4 | ISO/IEC 27003:2010 | 資訊安全管理--體系實施指南 | |||
| 5 | ISO/IEC 27004:2009 | 資訊安全管理--測量與名額 | |||
| 6 | ISO/IEC 27005:2008 | 資訊安全管理--風險管理 | |||
| 7 | ISO/IEC 27006:2007 | 資訊安全管理--體系稽核認證機構要求 | |||
| 8 | ISO/IEC 27011:2008 | 資訊技術—安全技術—電信機構基于ISO/IEC 27002的資訊安全管理指南 | |||
| 9 | ISO 27799:2008 | 醫療資訊學—使用ISO/IEC 27002的醫療資訊安全管理 | |||
| 10 | ISO/IEC 27035:2011 | 資訊技術—安全技術—安全事件管理 | |||
| 待釋出 | 1 | ISO/IEC 27007 | 資訊技術—安全技術—資訊安全管理體系稽核指南 | ||
| 2 | ISO/IEC 27008 | 資訊技術—安全技術—ISMS控制措施的稽核員指南 | |||
| 3 | ISO/IEC 27010 | 資訊技術—安全技術—跨領域溝通的資訊安全管理 | |||
| 4 | ISO/IEC 27013 | IT技術—安全技術—ISO/IEC 20000-1 和 ISO/IEC 27001整合實施指南 | |||
| 5 | ISO/IEC 27014 | 資訊技術—安全技術—資訊安全治理架構 | |||
| 6 | ISO/IEC 27015 | 資訊技術—安全技術—金融保險行業資訊安全管理體系指南 | |||
| 7 | ISO/IEC 27031 | 資訊技術—安全技術—業務連續性的ICT準備能力指南 | |||
| 8 | ISO/IEC 27032 | 資訊技術—安全技術—網絡空間安全指南 | |||
| 9 | ISO/IEC 27033 | 資訊技術—安全技術—網絡安全 | |||
| 10 | ISO/IEC 27034 | 資訊技術—安全技術—應用安全 | |||
| 11 | ISO/IEC 27036 | IT安全—安全技術—外包安全管理指南 | |||
| 12 | ISO/IEC 27037 | IT安全—安全技術—數字證據的識别、收集、擷取和儲存指南 |
| 1 | 範圍 | 27001目錄 |
| 1.1 | 總則 | |
| 1.2 | 應用 | |
| 2 | 規範性引用檔案 | |
| 3 | 術語和定義 | |
| 3.1 | 資産 | |
| 3.2 | 可用性 | |
| 3.3 | 保密性 | |
| 3.4 | 資訊安全 | |
| 3.5 | 資訊安全事态 | |
| 3.6 | 資訊安全事件 | |
| 3.7 | 資訊安全管理體系 | |
| 3.8 | 完整性 | |
| 3.9 | 殘餘風險 | |
| 3.10 | 風險接受 | |
| 3.11 | 風險分析 | |
| 3.12 | 風險評估 | |
| 3.13 | 風險評價 | |
| 3.14 | 風險管理 | |
| 3.15 | 風險處置 | |
| 3.16 | 适用性聲明 | |
| 4 | 資訊安全管理體系(ISMS) | |
| 4.1 | 總要求 | |
| 4.2 | 建立和管理ISMS | |
| 4.2.1 | 建立ISMS | |
| 4.2.2 | 實施和運作ISMS | |
| 4.2.3 | 檔案控制 | |
| 4.2.4 | 記錄控制 | |
| 5 | 管理職責 | |
| 5.1 | 管理承諾 | |
| 5.2 | 資源管理 | |
| 5.2.1 | 資源提供 | |
| 5.2.2 | 教育訓練、意識和能力 | |
| 6 | ISMS内部稽核 | |
| 7 | ISMS的管理評審 | |
| 7.1 | 總則 | |
| 7.2 | 評審輸入 | |
| 7.3 | 評審輸出 | |
| 8 | ISMS改進 | |
| 8.1 | 持續改進 | |
| 8.2 | 糾正措施 | |
| 8.3 | 預防措施 |
| 1 | 範圍 | 27002目錄 |
| 2 | 術語和定義 | |
| 2.1 | 資産 | |
| 2.2 | 控制措施 | |
| 2.3 | 指南 | |
| 2.4 | 資訊處理設施 | |
| 2.5 | 資訊安全 | |
| 2.6 | 資訊安全事态 | |
| 2.7 | 資訊安全事件 | |
| 2.8 | 方針 | |
| 2.9 | 風險 | |
| 2.10 | 風險分析 | |
| 2.11 | 風險評估 | |
| 2.12 | 風險評價 | |
| 2.13 | 風險管理 | |
| 2.14 | 風險處置 | |
| 2.15 | 第三方 | |
| 2.16 | 威脅 | |
| 2.17 | 脆弱性 | |
| 3 | 本标準的結構 | |
| 3.1 | 章節 | |
| 3.2 | 主要安全類别 | |
| 4 | 風險評估和處理 | |
| 4.1 | 評估安全風險 | |
| 4.2 | 處置安全風險 | |
| 5 | 安全方針 | |
| 5.1 | 資訊安全方針 | |
| 5.1.1 | 資訊安全方針檔案 | |
| 5.1.2 | 資訊安全方針的評審 | |
| 6 | 資訊安全組織 | |
| 6.1 | 内部組織 | |
| 6.1.1 | 資訊安全的管理承諾 | |
| 6.1.2 | 資訊安全協調 | |
| 6.1.3 | 資訊安全職責的配置設定 | |
| 6.1.4 | 資訊處理設施的授權過程 | |
| 6.1.5 | 保密性協定 | |
| 6.1.6 | 與政府部門的聯系 | |
| 6.1.7 | 與特定利益集團的聯系 | |
| 6.1.8 | 資訊安全的獨立評審 | |
| 6.2 | 外部各方 | |
| 6.2.1 | 與外部各方相關風險的識别 | |
| 6.2.2 | 處理與顧客有關的安全問題 | |
| 6.2.3 | 處理第三方協定中的安全問題 | |
| 7 | 資産管理 | |
| 7.1 | 對資産負責 | |
| 7.1.1 | 資産清單 | |
| 7.1.2 | 資産責任人 | |
| 7.1.3 | 資産的可接受使用 | |
| 7.2 | 資訊分類 | |
| 7.2.1 | 分類指南 | |
| 7.2.2 | 資訊的标記和處理 | |
| 8 | 人力資源安全 | |
| 8.1 | 任用之前 | |
| 8.1.1 | 角色和職責 | |
| 8.1.2 | 審查 | |
| 8.1.3 | 任用條款和條件 | |
| 8.2 | 任用中 | |
| 8.2.1 | 管理職責 | |
| 8.2.2 | 資訊安全意識、教育和教育訓練 | |
| 8.2.3 | 紀律處理過程 | |
| 8.3 | 任用的終止或變更 | |
| 8.3.1 | 終止職責 | |
| 8.3.2 | 資産的歸還 | |
| 8.3.3 | 撤銷通路權 | |
| 9 | 實體和環境安全 | |
| 9.1 | 安全區域 | |
| 9.1.1 | 實體安全周邊 | |
| 9.1.2 | 實體入口控制 | |
| 9.1.3 | 辦公室、房間和設施的安全防護 | |
| 9.1.4 | 外部和環境威脅的安全防護 | |
| 9.1.5 | 在安全區域工作 | |
| 9.1.6 | 公共通路、交接區安全 | |
| 9.2 | 裝置安全 | |
| 9.2.1 | 裝置安置和保護 | |
| 9.2.2 | 支援性設施 | |
| 9.2.3 | 布纜安全 | |
| 9.2.4 | 裝置維護 | |
| 9.2.5 | 組織場所外的裝置安全 | |
| 9.2.6 | 裝置的安全處置或再利用 | |
| 9.2.7 | 資産的移動 | |
| 10 | 通信和操作管理 | |
| 10.1 | 操作規程和職責 | |
| 10.1.1 | 檔案化的操作規程 | |
| 10.1.2 | 變更管理 | |
| 10.1.3 | 責任分割 | |
| 10.1.4 | 開發、測試和運作設施分離 | |
| 10.2 | 第三方服務傳遞管理 | |
| 10.2.1 | 服務傳遞 | |
| 10.2.2 | 第三方服務的監視和評審 | |
| 10.2.3 | 第三方服務的變更管理 | |
| 10.3 | 系統規劃和驗收 | |
| 10.3.1 | 容量管理 | |
| 10.3.2 | 系統驗收 | |
| 10.4 | 防範惡意和移動代碼 | |
| 10.4.1 | 控制惡意代碼 | |
| 10.4.2 | 控制移動代碼 | |
| 10.5 | 備份 | |
| 10.5.1 | 資訊備份 | |
| 10.6 | 網絡安全管理 | |
| 10.6.1 | 網絡控制 | |
| 10.6.2 | 網絡服務安全 | |
| 10.7 | 媒體處置 | |
| 10.7.1 | 可移動媒體的管理 | |
| 10.7.2 | 媒體的處置 | |
| 10.7.3 | 資訊處理規程 | |
| 10.7.4 | 系統檔案安全 | |
| 10.8 | 資訊的交換 | |
| 10.8.1 | 資訊交換政策和規程 | |
| 10.8.2 | 交換協定 | |
| 10.8.3 | 運輸中的實體媒體 | |
| 10.8.4 | 電子消息發送 | |
| 10.8.5 | 業務資訊系統 | |
| 10.9 | 電子商務服務 | |
| 10.9.1 | 電子商務 | |
| 10.9.2 | 線上交易 | |
| 10.9.3 | 公共可用資訊 | |
| 10.10 | 監視 | |
| 10.10.1 | 審計記錄 | |
| 10.10.2 | 監視系統的使用 | |
| 10.10.3 | 日志資訊的保護 | |
| 10.10.4 | 管理者和操作員日志 | |
| 10.10.5 | 故障日志 | |
| 10.10.6 | 時鐘同步 | |
| 11 | 通路控制 | |
| 11.1 | 通路控制的業務要求 | |
| 11.1.1 | 通路控制政策 | |
| 11.2 | 使用者通路管理 | |
| 11.2.1 | 使用者注冊 | |
| 11.2.2 | 特殊權限處理 | |
| 11.2.3 | 使用者密碼管理 | |
| 11.2.4 | 使用者通路權的複查 | |
| 11.3 | 使用者職責 | |
| 11.3.1 | 密碼使用 | |
| 11.3.2 | 無人值守的使用者裝置 | |
| 11.3.3 | 清空桌面和螢幕政策 | |
| 11.4 | 網絡通路控制 | |
| 11.4.1 | 使用網絡服務的政策 | |
| 11.4.2 | 外部連接配接的使用者鑒别 | |
| 11.4.3 | 網絡上的裝置辨別 | |
| 11.4.4 | 遠端診斷和配置端口的保護 | |
| 11.4.5 | 網絡隔離 | |
| 11.4.6 | 網絡連接配接控制 | |
| 11.4.7 | 網絡路由控制 | |
| 11.5 | 作業系統通路控制 | |
| 11.5.1 | 安全登入規程 | |
| 11.5.2 | 使用者辨別和鑒别 | |
| 11.5.3 | 密碼管理系統 | |
| 11.5.4 | 系統實用工具的使用 | |
| 11.5.5 | 會話逾時 | |
| 11.5.6 | 聯機時間的限定 | |
| 11.6 | 應用系統和資訊通路控制 | |
| 11.6.1 | 資訊通路限制 | |
| 11.6.2 | 敏感系統隔離 | |
| 11.7 | 移動計算和遠端工作 | |
| 11.7.1 | 移動計算和通信 | |
| 11.7.2 | 遠端工作 | |
| 12 | 資訊系統擷取、開發和維護 | |
| 12.1 | 資訊系統的安全要求 | |
| 12.1.1 | 安全要求分析和說明 | |
| 12.2 | 應用程式中的正确處理 | |
| 12.2.1 | 輸入資料确認 | |
| 12.2.2 | 内部處理的控制 | |
| 12.2.3 | 消息完整性 | |
| 12.2.4 | 輸出資料确認 | |
| 12.3 | 密碼控制 | |
| 12.3.1 | 使用密碼控制的政策 | |
| 12.3.2 | 密鑰管理 | |
| 12.4 | 系統檔案的安全 | |
| 12.4.1 | 運作軟體的控制 | |
| 12.4.2 | 系統測試資料的保護 | |
| 12.4.3 | 對程式源代碼的通路控制 | |
| 12.5 | 開發和支援過程中的安全 | |
| 12.5.1 | 變更控制規程 | |
| 12.5.2 | 作業系統變更後應用的技術評審 | |
| 12.5.3 | 軟體包變更的限制 | |
| 12.5.4 | 資訊洩露 | |
| 12.5.5 | 外包軟體開發 | |
| 12.6 | 技術脆弱性管理 | |
| 12.6.1 | 技術脆弱性的控制 | |
| 13 | 資訊安全事件管理 | |
| 13.1 | 報告資訊安全事态和弱點 | |
| 13.1.1 | 報告資訊安全事态 | |
| 13.1.2 | 報告資訊安全弱點 | |
| 13.2 | 資訊安全事件和改進的管理 | |
| 13.2.1 | 職責和規程 | |
| 13.2.2 | 對資訊安全事件的總結 | |
| 13.2.3 | 證據的收集 | |
| 14 | 業務連續性管理 | |
| 14.1 | 業務連續性管理的資訊安全方面 | |
| 14.1.1 | 在業務連續性管理過程中包含資訊安全 | |
| 14.1.2 | 業務連續性和風險評估 | |
| 14.1.3 | 制定和實施包含資訊安全的連續性計劃 | |
| 14.1.4 | 業務連續性計劃架構 | |
| 14.1.5 | 測試、維護和再評估業務連續性計劃 | |
| 15 | 符合性 | |
| 15.1 | 符合法律要求 | |
| 15.1.1 | 可用法律的識别 | |
| 15.1.2 | 知識産權 | |
| 15.1.3 | 保護組織的記錄 | |
| 15.1.4 | 資料保護和個人資訊的隐私 | |
| 15.1.5 | 防止濫用資訊處理設施 | |
| 15.1.6 | 密碼控制措施的規程 | |
| 15.2 | 符合安全政策和标準以及技術符合性 | |
| 15.2.1 | 符合安全政策和标準 | |
| 15.2.2 | 技術符合性核查 | |
| 15.3 | 資訊系統審計考慮 | |
| 15.3.1 | 資訊系統設計控制措施 | |
| 15.3.2 | 資訊系統審計工具的保護 |
27001附錄列印
| 控制域 CA | 控制目标 CG | 控制措施 CM | 控制域 CA | 控制目标 CG | 控制措施 CM | ||||
| CA5 | 安全方針 | CG5.1 | 資訊安全方針 | 資訊安全方針檔案 | CA11 | 通路控制 | CG11.1 | 通路控制的業務要求 | 通路控制政策 |
| 資訊安全方針的評審 | CG11.2 | 使用者通路管理 | 使用者注冊 | ||||||
| CA6 | 資訊安全組織 | CG6.1 | 内部組織 | 資訊安全的管理承諾 | 特殊權限處理 | ||||
| 資訊安全協調 | 使用者密碼管理 | ||||||||
| 資訊安全職責的配置設定 | 使用者通路權的複查 | ||||||||
| 資訊處理設施的授權過程 | CG11.3 | 使用者職責 | 密碼使用 | ||||||
| 保密性協定 | 無人值守的使用者裝置 | ||||||||
| 與政府部門的聯系 | 清空桌面和螢幕政策 | ||||||||
| 與特定利益集團的聯系 | CG11.4 | 網絡通路控制 | 使用網絡服務的政策 | ||||||
| 資訊安全的獨立評審 | 外部連接配接的使用者鑒别 | ||||||||
| CG6.2 | 外部各方 | 與外部各方相關風險的識别 | 網絡上的裝置辨別 | ||||||
| 處理與顧客有關的安全問題 | 遠端診斷和配置端口的保護 | ||||||||
| 處理第三方協定中的安全問題 | 網絡隔離 | ||||||||
| CA7 | 資産管理 | CG7.1 | 對資産負責 | 資産清單 | 網絡連接配接控制 | ||||
| 資産責任人 | 網絡路由控制 | ||||||||
| 資産的可接受使用 | CG11.5 | 作業系統通路控制 | 安全登入規程 | ||||||
| CG7.2 | 資訊分類 | 分類指南 | 使用者辨別和鑒别 | ||||||
| 資訊的标記和處理 | 密碼管理系統 | ||||||||
| CA8 | 人力資源安全 | CG8.1 | 任用之前 | 角色和職責 | 系統實用工具的使用 | ||||
| 審查 | 會話逾時 | ||||||||
| 任用條款和條件 | 聯機時間的限定 | ||||||||
| CG8.2 | 任用中 | 管理職責 | CG11.6 | 應用系統和資訊通路控制 | 資訊通路限制 | ||||
| 資訊安全意識、教育和教育訓練 | 敏感系統隔離 | ||||||||
| 紀律處理過程 | CG11.7 | 移動計算和遠端工作 | 移動計算和通信 | ||||||
| CG8.3 | 任用的終止或變更 | 終止職責 | 遠端工作 | ||||||
| 資産的歸還 | CA12 | 資訊系統擷取、開發和維護 | CG12.1 | 資訊系統的安全要求 | 安全要求分析和說明 | ||||
| 撤銷通路權 | CG12.2 | 應用程式中的正确處理 | 輸入資料确認 | ||||||
| CA9 | 實體和環境安全 | CG9.1 | 安全區域 | 實體安全周邊 | 内部處理的控制 | ||||
| 實體入口控制 | 消息完整性 | ||||||||
| 辦公室、房間和設施的安全防護 | 輸出資料确認 | ||||||||
| 外部和環境威脅的安全防護 | CG12.3 | 密碼控制 | 使用密碼控制的政策 | ||||||
| 在安全區域工作 | 密鑰管理 | ||||||||
| 公共通路、交接區安全 | CG12.4 | 系統檔案的安全 | 運作軟體的控制 | ||||||
| CG9.2 | 裝置安全 | 裝置安置和保護 | 系統測試資料的保護 | ||||||
| 支援性設施 | 對程式源代碼的通路控制 | ||||||||
| 布纜安全 | CG12.5 | 開發和支援過程中的安全 | 變更控制規程 | ||||||
| 裝置維護 | 作業系統變更後應用的技術評審 | ||||||||
| 組織場所外的裝置安全 | 軟體包變更的限制 | ||||||||
| 裝置的安全處置或再利用 | 資訊洩露 | ||||||||
| 資産的移動 | 外包軟體開發 | ||||||||
| CA10 | 通信和操作管理 | CG10.1 | 操作規程和職責 | 檔案化的操作規程 | CG12.6 | 技術脆弱性管理 | 技術脆弱性的控制 | ||
| 變更管理 | CA13 | 資訊安全事件管理 | CG13.1 | 報告資訊安全事态和弱點 | 報告資訊安全事态 | ||||
| 責任分割 | 報告資訊安全弱點 | ||||||||
| 開發、測試和運作設施分離 | CG13.2 | 資訊安全事件和改進的管理 | 職責和規程 | ||||||
| CG10.2 | 第三方服務傳遞管理 | 服務傳遞 | 對資訊安全事件的總結 | ||||||
| 第三方服務的監視和評審 | 證據的收集 | ||||||||
| 第三方服務的變更管理 | CA14 | 業務連續性管理 | CG14.1 | 業務連續性管理的資訊安全方面 | 在業務連續性管理過程中包含資訊安全 | ||||
| CG10.3 | 系統規劃和驗收 | 容量管理 | 業務連續性和風險評估 | ||||||
| 系統驗收 | 制定和實施包含資訊安全的連續性計劃 | ||||||||
| CG10.4 | 防範惡意和移動代碼 | 控制惡意代碼 | 業務連續性計劃架構 | ||||||
| 控制移動代碼 | 測試、維護和再評估業務連續性計劃 | ||||||||
| CG10.5 | 備份 | 資訊備份 | CA15 | 符合性 | CG15.1 | 符合法律要求 | 可用法律的識别 | ||
| CG10.6 | 網絡安全管理 | 網絡控制 | 知識産權 | ||||||
| 網絡服務安全 | 保護組織的記錄 | ||||||||
| CG10.7 | 媒體處置 | 可移動媒體的管理 | 資料保護和個人資訊的隐私 | ||||||
| 媒體的處置 | 防止濫用資訊處理設施 | ||||||||
| 資訊處理規程 | 密碼控制措施的規程 | ||||||||
| 系統檔案安全 | CG15.2 | 符合安全政策和标準以及技術符合性 | 符合安全政策和标準 | ||||||
| CG10.8 | 資訊的交換 | 資訊交換政策和規程 | 技術符合性核查 | ||||||
| 交換協定 | CG15.3 | 資訊系統審計考慮 | 資訊系統設計控制措施 | ||||||
| 運輸中的實體媒體 | 資訊系統審計工具的保護 | ||||||||
| 電子消息發送 | |||||||||
| 業務資訊系統 | |||||||||
| CG10.9 | 電子商務服務 | 電子商務 | |||||||
| 線上交易 | |||||||||
| 公共可用資訊 | |||||||||
| CG10.10 | 監視 | 審計記錄 | |||||||
| 監視系統的使用 | |||||||||
| 日志資訊的保護 | |||||||||
| 管理者和操作員日志 | |||||||||
| 故障日志 | |||||||||
| 時鐘同步 |
![ITIL學習筆記——核心流程之:IT服務連續性管理[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)