ISO/IEC 27002:2013 信息安全控制实践指南

"ISO IEC 27002是国际标准化组织（ISO）和国际电工委员会（IEC）于2013年发布的信息技术安全技术领域的一份实践守则，旨在提供信息安全管理的指导。这份文档共87页，涵盖了信息安全管理的多个方面，包括政策、组织、人力资源安全、资产管理、访问控制等。" ISO IEC 27002是信息安全领域的重要标准，它为组织提供了建立、实施、维护和持续改进信息安全管理体系(ISMS)的实践指南。该标准的第二版在2013年发布，其目的是帮助各类组织保护其信息资产，确保信息的机密性、完整性和可用性。 1. **范围**：该标准适用于任何寻求保护其信息资产的组织，无论其规模大小、类型或业务性质如何。它为组织提供了制定和执行信息安全控制的框架。 2. **规范性引用**：标准中可能引用了其他相关的国际标准或技术文件，这些引用对理解和实施标准至关重要。 3. **术语和定义**：定义了信息安全领域中常用的关键术语，以便于理解和沟通。 4. **标准结构**：包括条款、控制类别等部分，帮助用户系统地理解并实施标准中的各项控制措施。 5. **信息安全管理政策**：强调管理层对信息安全的指导和支持，包括制定信息安全策略和确保策略的执行。 6. **组织信息安全**：涵盖了内部组织结构的设计，以及移动设备和远程工作的安全管理。 7. **人力资源安全**：规定了员工招聘前、在职期间和离职时的信息安全要求，如背景调查、培训和离职处理。 8. **资产管理**：强调对信息资产的责任分配，以及信息分类和媒体处理的规则，以防止未经授权的访问和丢失。 9. **访问控制**：这部分规定了如何限制和管理对信息系统的访问，包括身份验证、授权和审计，以防止非法访问和数据泄露。 10. **物理和环境安全**：可能涉及对设施、设备和环境的保护，以防止物理损坏和未授权的访问。 11. **通信和操作管理**：涵盖网络和通信安全，以及系统的日常操作和监控。 12. **信息系统获取、开发和维护**：涉及到软件的开发和采购过程中的安全考虑，以及系统的更新和维护。 13. **信息安全事故管理**：规定了如何预防、检测、响应和恢复信息安全事件。 14. **符合性**：指导组织如何遵守适用的法律法规和其他信息安全相关的要求。 ISO IEC 27002的实施可以帮助组织建立一套全面的信息安全管理体系，通过实施这些控制措施，可以降低信息安全风险，增强组织的信誉和客户信任。同时，此标准也是ISO 27001认证的基础，后者是ISMS认证的标准。