ISO 27002-2013: 信息安全控制中文英对照详解

"ISO 27002-2013 中英文对照版.pdf" 是一份关于信息安全控制实践的标准文档，由国际标准化组织（ISO）和国际电工委员会（IEC）联合发布。该标准提供了信息安全管理的一系列推荐做法，旨在帮助组织保护其关键信息资产。 ISO/IEC 27002:2013 是这个标准的2013年版本，包含了7个主要条款和14个控制类别，覆盖了从信息安全管理政策到物理和环境安全等多个方面。以下是这份标准中涉及的关键知识点： 1. **前言（Foreword）**：通常包含标准的修订历史、目的和适用范围的简要介绍。 2. **介绍（Introduction）**：概述了标准的重要性，以及它如何支持ISO 27001等其他信息安全管理体系标准。 3. **范围（Scope）**：明确标准适用的领域，指出它提供的是信息安全管理的控制实践指南。 4. **规范性参考（Normative References）**：列出本标准所引用的相关国际或行业标准。 5. **术语和定义（Terms and Definitions）**：定义了用于标准中的专业术语，确保理解和应用的一致性。 6. **标准结构（Structure of this standard）**：解释了标准的组织结构，包括7个条款和对应的控制类别。 7. **信息安全管理政策（Information security policies）**：强调管理层对信息安全的指导和承诺，包括制定和维护信息安全策略。 8. **信息安全组织（Organization of information security）**：涵盖内部组织结构、移动设备管理及远程工作安全等方面。 9. **人力资源安全（Human resources security）**：涵盖了员工入职前、在职期间和离职时的安全措施，确保人员的安全意识和行为。 10. **资产管理（Asset management）**：规定了资产的责任归属、信息分类和介质处理方法。 11. **访问控制（Access control）**：强调业务需求驱动的访问控制，用户访问管理，用户责任，以及系统和应用程序访问控制。 12. **加密（Cryptography）**：讨论了密码学控制，如密钥管理、加密算法选择和使用等。 13. **物理和环境安全（Physical and environmental security）**：关注设施安全，包括设备防护、电力供应和环境条件等。 14. **通信安全（Communication security）**：涉及网络通信的保护，包括数据传输和网络安全。 15. **操作安全（Operations security）**：涵盖了系统的日常运行，包括变更管理、备份和恢复、事件处理等。 16. **供应商关系（Supplier relationships）**：提出与供应商合作时的信息安全考虑，确保供应链安全。 17. **信息系统获取、开发和维护（Acquisition, development and maintenance of information systems）**：涉及信息系统的生命周期管理，确保安全设计和开发。 18. **合规性（Compliance）**：要求组织遵守相关的法律法规和合同义务。 通过这些控制，组织可以建立一个全面的信息安全保障体系，确保信息的机密性、完整性和可用性，降低信息安全风险。ISO 27002提供的最佳实践为全球企业提供了统一的信息安全框架，有助于提高信息安全水平和信任度。