| 状态 | 序号 | 编号 | 名称 | 来源 | 历史 |
| 已发布 | 1 | ISO/IEC 27000:2009 | 信息安全管理--体系原理和术语 | ||
| 2 | ISO/IEC 27001:2005 | 信息安全管理--体系要求 | 以BS 7799-2为基础 | ||
| 3 | ISO/IEC 27002:2005 | 信息安全管理--实践规则 | ISO/IEC 17799:2005 | ||
| 4 | ISO/IEC 27003:2010 | 信息安全管理--体系实施指南 | |||
| 5 | ISO/IEC 27004:2009 | 信息安全管理--测量与指标 | |||
| 6 | ISO/IEC 27005:2008 | 信息安全管理--风险管理 | |||
| 7 | ISO/IEC 27006:2007 | 信息安全管理--体系审核认证机构要求 | |||
| 8 | ISO/IEC 27011:2008 | 信息技术—安全技术—电信机构基于ISO/IEC 27002的信息安全管理指南 | |||
| 9 | ISO 27799:2008 | 医疗信息学—使用ISO/IEC 27002的医疗信息安全管理 | |||
| 10 | ISO/IEC 27035:2011 | 信息技术—安全技术—安全事件管理 | |||
| 待发布 | 1 | ISO/IEC 27007 | 信息技术—安全技术—信息安全管理体系审核指南 | ||
| 2 | ISO/IEC 27008 | 信息技术—安全技术—ISMS控制措施的审核员指南 | |||
| 3 | ISO/IEC 27010 | 信息技术—安全技术—跨领域沟通的信息安全管理 | |||
| 4 | ISO/IEC 27013 | IT技术—安全技术—ISO/IEC 20000-1 和 ISO/IEC 27001整合实施指南 | |||
| 5 | ISO/IEC 27014 | 信息技术—安全技术—信息安全治理架构 | |||
| 6 | ISO/IEC 27015 | 信息技术—安全技术—金融保险行业信息安全管理体系指南 | |||
| 7 | ISO/IEC 27031 | 信息技术—安全技术—业务连续性的ICT准备能力指南 | |||
| 8 | ISO/IEC 27032 | 信息技术—安全技术—网络空间安全指南 | |||
| 9 | ISO/IEC 27033 | 信息技术—安全技术—网络安全 | |||
| 10 | ISO/IEC 27034 | 信息技术—安全技术—应用安全 | |||
| 11 | ISO/IEC 27036 | IT安全—安全技术—外包安全管理指南 | |||
| 12 | ISO/IEC 27037 | IT安全—安全技术—数字证据的识别、收集、获取和保存指南 |
| 1 | 范围 | 27001目录 |
| 1.1 | 总则 | |
| 1.2 | 应用 | |
| 2 | 规范性引用文件 | |
| 3 | 术语和定义 | |
| 3.1 | 资产 | |
| 3.2 | 可用性 | |
| 3.3 | 保密性 | |
| 3.4 | 信息安全 | |
| 3.5 | 信息安全事态 | |
| 3.6 | 信息安全事件 | |
| 3.7 | 信息安全管理体系 | |
| 3.8 | 完整性 | |
| 3.9 | 残余风险 | |
| 3.10 | 风险接受 | |
| 3.11 | 风险分析 | |
| 3.12 | 风险评估 | |
| 3.13 | 风险评价 | |
| 3.14 | 风险管理 | |
| 3.15 | 风险处置 | |
| 3.16 | 适用性声明 | |
| 4 | 信息安全管理体系(ISMS) | |
| 4.1 | 总要求 | |
| 4.2 | 建立和管理ISMS | |
| 4.2.1 | 建立ISMS | |
| 4.2.2 | 实施和运行ISMS | |
| 4.2.3 | 文件控制 | |
| 4.2.4 | 记录控制 | |
| 5 | 管理职责 | |
| 5.1 | 管理承诺 | |
| 5.2 | 资源管理 | |
| 5.2.1 | 资源提供 | |
| 5.2.2 | 培训、意识和能力 | |
| 6 | ISMS内部审核 | |
| 7 | ISMS的管理评审 | |
| 7.1 | 总则 | |
| 7.2 | 评审输入 | |
| 7.3 | 评审输出 | |
| 8 | ISMS改进 | |
| 8.1 | 持续改进 | |
| 8.2 | 纠正措施 | |
| 8.3 | 预防措施 |
| 1 | 范围 | 27002目录 |
| 2 | 术语和定义 | |
| 2.1 | 资产 | |
| 2.2 | 控制措施 | |
| 2.3 | 指南 | |
| 2.4 | 信息处理设施 | |
| 2.5 | 信息安全 | |
| 2.6 | 信息安全事态 | |
| 2.7 | 信息安全事件 | |
| 2.8 | 方针 | |
| 2.9 | 风险 | |
| 2.10 | 风险分析 | |
| 2.11 | 风险评估 | |
| 2.12 | 风险评价 | |
| 2.13 | 风险管理 | |
| 2.14 | 风险处置 | |
| 2.15 | 第三方 | |
| 2.16 | 威胁 | |
| 2.17 | 脆弱性 | |
| 3 | 本标准的结构 | |
| 3.1 | 章节 | |
| 3.2 | 主要安全类别 | |
| 4 | 风险评估和处理 | |
| 4.1 | 评估安全风险 | |
| 4.2 | 处置安全风险 | |
| 5 | 安全方针 | |
| 5.1 | 信息安全方针 | |
| 5.1.1 | 信息安全方针文件 | |
| 5.1.2 | 信息安全方针的评审 | |
| 6 | 信息安全组织 | |
| 6.1 | 内部组织 | |
| 6.1.1 | 信息安全的管理承诺 | |
| 6.1.2 | 信息安全协调 | |
| 6.1.3 | 信息安全职责的分配 | |
| 6.1.4 | 信息处理设施的授权过程 | |
| 6.1.5 | 保密性协议 | |
| 6.1.6 | 与政府部门的联系 | |
| 6.1.7 | 与特定利益集团的联系 | |
| 6.1.8 | 信息安全的独立评审 | |
| 6.2 | 外部各方 | |
| 6.2.1 | 与外部各方相关风险的识别 | |
| 6.2.2 | 处理与顾客有关的安全问题 | |
| 6.2.3 | 处理第三方协议中的安全问题 | |
| 7 | 资产管理 | |
| 7.1 | 对资产负责 | |
| 7.1.1 | 资产清单 | |
| 7.1.2 | 资产责任人 | |
| 7.1.3 | 资产的可接受使用 | |
| 7.2 | 信息分类 | |
| 7.2.1 | 分类指南 | |
| 7.2.2 | 信息的标记和处理 | |
| 8 | 人力资源安全 | |
| 8.1 | 任用之前 | |
| 8.1.1 | 角色和职责 | |
| 8.1.2 | 审查 | |
| 8.1.3 | 任用条款和条件 | |
| 8.2 | 任用中 | |
| 8.2.1 | 管理职责 | |
| 8.2.2 | 信息安全意识、教育和培训 | |
| 8.2.3 | 纪律处理过程 | |
| 8.3 | 任用的终止或变更 | |
| 8.3.1 | 终止职责 | |
| 8.3.2 | 资产的归还 | |
| 8.3.3 | 撤销访问权 | |
| 9 | 物理和环境安全 | |
| 9.1 | 安全区域 | |
| 9.1.1 | 物理安全周边 | |
| 9.1.2 | 物理入口控制 | |
| 9.1.3 | 办公室、房间和设施的安全防护 | |
| 9.1.4 | 外部和环境威胁的安全防护 | |
| 9.1.5 | 在安全区域工作 | |
| 9.1.6 | 公共访问、交接区安全 | |
| 9.2 | 设备安全 | |
| 9.2.1 | 设备安置和保护 | |
| 9.2.2 | 支持性设施 | |
| 9.2.3 | 布缆安全 | |
| 9.2.4 | 设备维护 | |
| 9.2.5 | 组织场所外的设备安全 | |
| 9.2.6 | 设备的安全处置或再利用 | |
| 9.2.7 | 资产的移动 | |
| 10 | 通信和操作管理 | |
| 10.1 | 操作规程和职责 | |
| 10.1.1 | 文件化的操作规程 | |
| 10.1.2 | 变更管理 | |
| 10.1.3 | 责任分割 | |
| 10.1.4 | 开发、测试和运行设施分离 | |
| 10.2 | 第三方服务交付管理 | |
| 10.2.1 | 服务交付 | |
| 10.2.2 | 第三方服务的监视和评审 | |
| 10.2.3 | 第三方服务的变更管理 | |
| 10.3 | 系统规划和验收 | |
| 10.3.1 | 容量管理 | |
| 10.3.2 | 系统验收 | |
| 10.4 | 防范恶意和移动代码 | |
| 10.4.1 | 控制恶意代码 | |
| 10.4.2 | 控制移动代码 | |
| 10.5 | 备份 | |
| 10.5.1 | 信息备份 | |
| 10.6 | 网络安全管理 | |
| 10.6.1 | 网络控制 | |
| 10.6.2 | 网络服务安全 | |
| 10.7 | 介质处置 | |
| 10.7.1 | 可移动介质的管理 | |
| 10.7.2 | 介质的处置 | |
| 10.7.3 | 信息处理规程 | |
| 10.7.4 | 系统文件安全 | |
| 10.8 | 信息的交换 | |
| 10.8.1 | 信息交换策略和规程 | |
| 10.8.2 | 交换协议 | |
| 10.8.3 | 运输中的物理介质 | |
| 10.8.4 | 电子消息发送 | |
| 10.8.5 | 业务信息系统 | |
| 10.9 | 电子商务服务 | |
| 10.9.1 | 电子商务 | |
| 10.9.2 | 在线交易 | |
| 10.9.3 | 公共可用信息 | |
| 10.10 | 监视 | |
| 10.10.1 | 审计记录 | |
| 10.10.2 | 监视系统的使用 | |
| 10.10.3 | 日志信息的保护 | |
| 10.10.4 | 管理员和操作员日志 | |
| 10.10.5 | 故障日志 | |
| 10.10.6 | 时钟同步 | |
| 11 | 访问控制 | |
| 11.1 | 访问控制的业务要求 | |
| 11.1.1 | 访问控制策略 | |
| 11.2 | 用户访问管理 | |
| 11.2.1 | 用户注册 | |
| 11.2.2 | 特殊权限处理 | |
| 11.2.3 | 用户口令管理 | |
| 11.2.4 | 用户访问权的复查 | |
| 11.3 | 用户职责 | |
| 11.3.1 | 口令使用 | |
| 11.3.2 | 无人值守的用户设备 | |
| 11.3.3 | 清空桌面和屏幕策略 | |
| 11.4 | 网络访问控制 | |
| 11.4.1 | 使用网络服务的策略 | |
| 11.4.2 | 外部连接的用户鉴别 | |
| 11.4.3 | 网络上的设备标识 | |
| 11.4.4 | 远程诊断和配置端口的保护 | |
| 11.4.5 | 网络隔离 | |
| 11.4.6 | 网络连接控制 | |
| 11.4.7 | 网络路由控制 | |
| 11.5 | 操作系统访问控制 | |
| 11.5.1 | 安全登录规程 | |
| 11.5.2 | 用户标识和鉴别 | |
| 11.5.3 | 口令管理系统 | |
| 11.5.4 | 系统实用工具的使用 | |
| 11.5.5 | 会话超时 | |
| 11.5.6 | 联机时间的限定 | |
| 11.6 | 应用系统和信息访问控制 | |
| 11.6.1 | 信息访问限制 | |
| 11.6.2 | 敏感系统隔离 | |
| 11.7 | 移动计算和远程工作 | |
| 11.7.1 | 移动计算和通信 | |
| 11.7.2 | 远程工作 | |
| 12 | 信息系统获取、开发和维护 | |
| 12.1 | 信息系统的安全要求 | |
| 12.1.1 | 安全要求分析和说明 | |
| 12.2 | 应用程序中的正确处理 | |
| 12.2.1 | 输入数据确认 | |
| 12.2.2 | 内部处理的控制 | |
| 12.2.3 | 消息完整性 | |
| 12.2.4 | 输出数据确认 | |
| 12.3 | 密码控制 | |
| 12.3.1 | 使用密码控制的策略 | |
| 12.3.2 | 密钥管理 | |
| 12.4 | 系统文件的安全 | |
| 12.4.1 | 运行软件的控制 | |
| 12.4.2 | 系统测试数据的保护 | |
| 12.4.3 | 对程序源代码的访问控制 | |
| 12.5 | 开发和支持过程中的安全 | |
| 12.5.1 | 变更控制规程 | |
| 12.5.2 | 操作系统变更后应用的技术评审 | |
| 12.5.3 | 软件包变更的限制 | |
| 12.5.4 | 信息泄露 | |
| 12.5.5 | 外包软件开发 | |
| 12.6 | 技术脆弱性管理 | |
| 12.6.1 | 技术脆弱性的控制 | |
| 13 | 信息安全事件管理 | |
| 13.1 | 报告信息安全事态和弱点 | |
| 13.1.1 | 报告信息安全事态 | |
| 13.1.2 | 报告信息安全弱点 | |
| 13.2 | 信息安全事件和改进的管理 | |
| 13.2.1 | 职责和规程 | |
| 13.2.2 | 对信息安全事件的总结 | |
| 13.2.3 | 证据的收集 | |
| 14 | 业务连续性管理 | |
| 14.1 | 业务连续性管理的信息安全方面 | |
| 14.1.1 | 在业务连续性管理过程中包含信息安全 | |
| 14.1.2 | 业务连续性和风险评估 | |
| 14.1.3 | 制定和实施包含信息安全的连续性计划 | |
| 14.1.4 | 业务连续性计划框架 | |
| 14.1.5 | 测试、维护和再评估业务连续性计划 | |
| 15 | 符合性 | |
| 15.1 | 符合法律要求 | |
| 15.1.1 | 可用法律的识别 | |
| 15.1.2 | 知识产权 | |
| 15.1.3 | 保护组织的记录 | |
| 15.1.4 | 数据保护和个人信息的隐私 | |
| 15.1.5 | 防止滥用信息处理设施 | |
| 15.1.6 | 密码控制措施的规程 | |
| 15.2 | 符合安全策略和标准以及技术符合性 | |
| 15.2.1 | 符合安全策略和标准 | |
| 15.2.2 | 技术符合性核查 | |
| 15.3 | 信息系统审计考虑 | |
| 15.3.1 | 信息系统设计控制措施 | |
| 15.3.2 | 信息系统审计工具的保护 |
27001附录打印
| 控制域 CA | 控制目标 CG | 控制措施 CM | 控制域 CA | 控制目标 CG | 控制措施 CM | ||||
| CA5 | 安全方针 | CG5.1 | 信息安全方针 | 信息安全方针文件 | CA11 | 访问控制 | CG11.1 | 访问控制的业务要求 | 访问控制策略 |
| 信息安全方针的评审 | CG11.2 | 用户访问管理 | 用户注册 | ||||||
| CA6 | 信息安全组织 | CG6.1 | 内部组织 | 信息安全的管理承诺 | 特殊权限处理 | ||||
| 信息安全协调 | 用户口令管理 | ||||||||
| 信息安全职责的分配 | 用户访问权的复查 | ||||||||
| 信息处理设施的授权过程 | CG11.3 | 用户职责 | 口令使用 | ||||||
| 保密性协议 | 无人值守的用户设备 | ||||||||
| 与政府部门的联系 | 清空桌面和屏幕策略 | ||||||||
| 与特定利益集团的联系 | CG11.4 | 网络访问控制 | 使用网络服务的策略 | ||||||
| 信息安全的独立评审 | 外部连接的用户鉴别 | ||||||||
| CG6.2 | 外部各方 | 与外部各方相关风险的识别 | 网络上的设备标识 | ||||||
| 处理与顾客有关的安全问题 | 远程诊断和配置端口的保护 | ||||||||
| 处理第三方协议中的安全问题 | 网络隔离 | ||||||||
| CA7 | 资产管理 | CG7.1 | 对资产负责 | 资产清单 | 网络连接控制 | ||||
| 资产责任人 | 网络路由控制 | ||||||||
| 资产的可接受使用 | CG11.5 | 操作系统访问控制 | 安全登录规程 | ||||||
| CG7.2 | 信息分类 | 分类指南 | 用户标识和鉴别 | ||||||
| 信息的标记和处理 | 口令管理系统 | ||||||||
| CA8 | 人力资源安全 | CG8.1 | 任用之前 | 角色和职责 | 系统实用工具的使用 | ||||
| 审查 | 会话超时 | ||||||||
| 任用条款和条件 | 联机时间的限定 | ||||||||
| CG8.2 | 任用中 | 管理职责 | CG11.6 | 应用系统和信息访问控制 | 信息访问限制 | ||||
| 信息安全意识、教育和培训 | 敏感系统隔离 | ||||||||
| 纪律处理过程 | CG11.7 | 移动计算和远程工作 | 移动计算和通信 | ||||||
| CG8.3 | 任用的终止或变更 | 终止职责 | 远程工作 | ||||||
| 资产的归还 | CA12 | 信息系统获取、开发和维护 | CG12.1 | 信息系统的安全要求 | 安全要求分析和说明 | ||||
| 撤销访问权 | CG12.2 | 应用程序中的正确处理 | 输入数据确认 | ||||||
| CA9 | 物理和环境安全 | CG9.1 | 安全区域 | 物理安全周边 | 内部处理的控制 | ||||
| 物理入口控制 | 消息完整性 | ||||||||
| 办公室、房间和设施的安全防护 | 输出数据确认 | ||||||||
| 外部和环境威胁的安全防护 | CG12.3 | 密码控制 | 使用密码控制的策略 | ||||||
| 在安全区域工作 | 密钥管理 | ||||||||
| 公共访问、交接区安全 | CG12.4 | 系统文件的安全 | 运行软件的控制 | ||||||
| CG9.2 | 设备安全 | 设备安置和保护 | 系统测试数据的保护 | ||||||
| 支持性设施 | 对程序源代码的访问控制 | ||||||||
| 布缆安全 | CG12.5 | 开发和支持过程中的安全 | 变更控制规程 | ||||||
| 设备维护 | 操作系统变更后应用的技术评审 | ||||||||
| 组织场所外的设备安全 | 软件包变更的限制 | ||||||||
| 设备的安全处置或再利用 | 信息泄露 | ||||||||
| 资产的移动 | 外包软件开发 | ||||||||
| CA10 | 通信和操作管理 | CG10.1 | 操作规程和职责 | 文件化的操作规程 | CG12.6 | 技术脆弱性管理 | 技术脆弱性的控制 | ||
| 变更管理 | CA13 | 信息安全事件管理 | CG13.1 | 报告信息安全事态和弱点 | 报告信息安全事态 | ||||
| 责任分割 | 报告信息安全弱点 | ||||||||
| 开发、测试和运行设施分离 | CG13.2 | 信息安全事件和改进的管理 | 职责和规程 | ||||||
| CG10.2 | 第三方服务交付管理 | 服务交付 | 对信息安全事件的总结 | ||||||
| 第三方服务的监视和评审 | 证据的收集 | ||||||||
| 第三方服务的变更管理 | CA14 | 业务连续性管理 | CG14.1 | 业务连续性管理的信息安全方面 | 在业务连续性管理过程中包含信息安全 | ||||
| CG10.3 | 系统规划和验收 | 容量管理 | 业务连续性和风险评估 | ||||||
| 系统验收 | 制定和实施包含信息安全的连续性计划 | ||||||||
| CG10.4 | 防范恶意和移动代码 | 控制恶意代码 | 业务连续性计划框架 | ||||||
| 控制移动代码 | 测试、维护和再评估业务连续性计划 | ||||||||
| CG10.5 | 备份 | 信息备份 | CA15 | 符合性 | CG15.1 | 符合法律要求 | 可用法律的识别 | ||
| CG10.6 | 网络安全管理 | 网络控制 | 知识产权 | ||||||
| 网络服务安全 | 保护组织的记录 | ||||||||
| CG10.7 | 介质处置 | 可移动介质的管理 | 数据保护和个人信息的隐私 | ||||||
| 介质的处置 | 防止滥用信息处理设施 | ||||||||
| 信息处理规程 | 密码控制措施的规程 | ||||||||
| 系统文件安全 | CG15.2 | 符合安全策略和标准以及技术符合性 | 符合安全策略和标准 | ||||||
| CG10.8 | 信息的交换 | 信息交换策略和规程 | 技术符合性核查 | ||||||
| 交换协议 | CG15.3 | 信息系统审计考虑 | 信息系统设计控制措施 | ||||||
| 运输中的物理介质 | 信息系统审计工具的保护 | ||||||||
| 电子消息发送 | |||||||||
| 业务信息系统 | |||||||||
| CG10.9 | 电子商务服务 | 电子商务 | |||||||
| 在线交易 | |||||||||
| 公共可用信息 | |||||||||
| CG10.10 | 监视 | 审计记录 | |||||||
| 监视系统的使用 | |||||||||
| 日志信息的保护 | |||||||||
| 管理员和操作员日志 | |||||||||
| 故障日志 | |||||||||
| 时钟同步 |
![ITIL学习笔记——核心流程之:IT服务连续性管理[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)