ISO 27002:Информационные технологии - Методы защиты – Свод рекомендуемых правил для управления ...

马上开始. 它是免费的哦
注册 使用您的电邮地址
ISO 27002:Информационные технологии - Методы защиты – Свод рекомендуемых правил для управления информационной безопасностью 作者: Mind Map: ISO 27002:Информационные технологии - Методы  защиты – Свод рекомендуемых правил  для управления информационной  безопасностью

1. 0.Введение

2. 1. Область применения

3. 2.Нормативные ссылки

4. 3. Термины и определения

5. 4.Структура данного стандарта

5.1. 4.1 Разделы

5.2. 4.2 Категории средств реализации

6. 5 Политики информационной безопасности

6.1. 5.1 Ориентация менеджмента на информационную безопасность

6.1.1. 5.1.1 Политики информационной безопасности

6.1.2. 5.1.2 Пересмотр политик информационной безопасности

7. 6 Организация информационной безопасности

7.1. 6.1 Внутренняя организация

7.1.1. 6.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

7.1.2. 6.1.2 Разделение обязанностей

7.1.3. 6.1.3 Контакты с полномочными органами

7.1.4. 6.1.4 Контакты с профессиональными сообществами

7.1.5. 6.1.5 Информационная безопасность в управлении проектами

7.2. 6.2 Мобильные устройства и удаленная работа

7.2.1. 6.2.1 Политика в отношении мобильных устройств

7.2.2. 6.2.2 Удаленная работа

8. 7 Безопасность персонала

8.1. 7.1 До приема на работу

8.1.1. 7.1.1 Предварительная проверка

8.1.2. 7.1.2 Условия трудового соглашения

8.2. 7.2 В период занятости

8.2.1. 7.2.1 Ответственность руководства

8.2.2. 7.2.3 Дисциплинарные меры

8.2.3. 7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности

8.3. 7.3 Прекращение и изменение трудовых отношений

8.3.1. 7.3.1 Освобождение от обязанностей или их изменение

9. 8 Управление активами

9.1. 8.1 Ответственность за активы

9.1.1. 8.1.1 Инвентаризация активов

9.1.2. 8.1.2 Владение активами

9.1.3. 8.1.3 Надлежащее использование активов

9.2. 8.2 Классификация информации

9.2.1. 8.2.1 Классификация информации

9.2.2. 8.2.2 Маркировка информации

9.2.3. 8.2.3 Обращение с активами

9.3. 8.3 Обращение с носителями информации

9.3.1. 8.3.1 Управление съемными носителями информации

9.3.2. 8.3.2 Утилизация носителей информации

9.3.3. 8.3.3 Физическое перемещение носителей информации

10. 9 Контроль доступа

10.1. 9.1 Диктуемые бизнесом требования к контролю доступа

10.1.1. 9.1.1 Политика контроля доступа

10.1.2. 9.1.2 Доступ к сетям и сетевым службам

10.2. 9.2 Управление доступом пользователей

10.2.1. 9.2.1 Регистрация и отмена регистрации пользователя

10.2.2. 9.2.2 Предоставление доступа пользователю

10.2.3. 9.2.3 Управление привилегированными правами доступа

10.2.4. 9.2.4 Управление секретной информацией аутентификации пользователей

10.2.5. 9.2.5 Пересмотр прав доступа пользователей

10.2.6. 9.2.6 Отмена или изменение прав доступа

10.3. 9.3 Обязанности пользователей

10.3.1. 9.3.1 Использование секретной информации аутентификации

10.4. 9.4 Контроль доступа к системе и приложениям

10.4.1. 9.4.1 Ограничения доступа к информации

10.4.2. 9.4.2 Безопасные процедуры входа в систему

10.4.3. 9.4.3 Система управления паролями

10.4.4. 9.4.4 Использование утилит с привилегированными правами

10.4.5. 9.4.5 Контроль доступа к исходным кодам

11. 10 Криптография

11.1. 10.1 Криптографические методы защиты

11.1.1. 10.1.2Управление ключами

12. 11 Физическая защита и защита от внешних воздействий

12.1. 11.1 Охраняемые зоны

12.1.1. 11.1.1 Физический периметр безопасности

12.1.2. 11.1.2 Средства контроля прохода

12.1.3. 11.1.3 Защита офисов, помещений и оборудования

12.1.4. 11.1.4 Защита от внешних угроз и угроз природного характера

12.1.5. 15.1.1Политика информационной безопасности в отношениях с поставщиками

12.1.6. 11.1.5 Работа в охраняемых зонах

12.1.7. 11.1.6 Зоны доставки и отгрузки

12.2. 11.2 Оборудование

12.2.1. 11.2.1 Размещение и защита оборудования

12.2.2. 11.2.2 Службы обеспечения

12.2.3. 11.2.3 Защита кабельных сетей

12.2.4. 11.2.5 Вынос активов

12.2.5. 11.2.6 Защита оборудования и активов вне территории

12.2.6. 11.2.7 Безопасная утилизация или повторное использование оборудования

12.2.7. 11.2.8 Оборудование пользователя, оставленное без присмотра

13. 12 Безопасность производственной деятельности

13.1. 12.1 Рабочие процедуры и обязанности

13.1.1. 12.1.1Документированные рабочие процедуры

13.1.2. 12.1.2Управление изменениями

13.1.3. 12.1.3Управление производительностью

13.1.4. 12.1.4Разделение среды разработки, тестирования и эксплуатации

13.2. 12.2 Защита от вредоносного кода

13.2.1. 12.2.1Меры защиты от вредоносного кода

13.2.1.1. 10.1.1Политика использования криптографических методов защиты

13.3. 12.3 Резервное копирование

13.3.1. 12.3.1Резервное копирование информации

13.4. 12.4 Ведение журналов и мониторинг

13.4.1. 12.4.1 Регистрация событий

13.4.2. 12.4.2 Защита информации в журналах

13.4.3. 12.4.3 Журналы действий администратора и оператора

13.4.4. 12.4.4Синхронизация часов

13.5. 12.5 Контроль эксплуатируемого программного обеспечения

13.5.1. 12.5.1Установка программ в эксплуатируемых системах

13.6. 12.6 Управление техническими уязвимостями

13.6.1. 12.6.1Управление техническими уязвимостями

13.6.2. 12.6.2Ограничения на установку программного обеспечения

13.7. 12.7 Ограничения на аудит информационных систем

13.7.1. 12.7.1Средства управления аудитом информационных систем

14. 13 Безопасность обмена информацией

14.1. 13.1 Управление сетевой безопасностью

14.1.1. 13.1.1 Средства управления сетями

14.1.2. 13.1.2 Безопасность сетевых сервисов

14.1.3. 13.1.3 Разделение в сетях

14.2. 13.2 Передача информации

14.2.1. 13.2.1Политики и процедуры передачи информации

14.2.2. 13.2.2Соглашения по передаче информации

14.2.3. 13.2.3Электронные сообщения

15. 14 Приобретение, разработка и обслуживание систем

15.1. 14.1 Требования по безопасности информационных систем

15.1.1. 14.1.1Анализ и установление требований по информационной безопасности

15.1.2. 14.1.2Защита прикладных услуг в сетях общего пользования

15.1.3. 14.1.3Защита операций прикладных услуг

15.2. 14.2 Безопасность в процессах разработки и поддержки

15.2.1. 14.2.1Политика безопасности при разработке

15.2.2. 14.2.2Процедуры управления системными изменениями

15.2.3. 14.2.3Технический анализ приложений после изменения операционной платформы

15.2.4. 14.2.4Ограничения на изменения в пакетах программ

15.2.5. 14.2.5Принципы разработки защищенных систем

15.2.6. 14.2.6Безопасная среда разработки

15.2.7. 14.2.7Разработка, переданная на аутсорсинг

15.2.8. 14.2.8Тестирование защищенности системы

15.2.9. 14.2.9Приемочное тестирование системы

15.3. 14.3 Данные для тестирования

15.3.1. 14.3.1Защита данных для тестирования

16. 15 Отношения с поставщиками

16.1. 15.1 Информационная безопасность в отношениях с поставщиками

16.1.1. 15.1.2 Решение вопросов безопасности в соглашениях с поставщиками

16.1.2. 15.1.3Цепочка поставок информационно-коммуникационных технологий

16.2. 15.2 Управление предоставлением услуги поставщиком

16.2.1. 15.2.1Мониторинг и анализ услуг поставщика

16.2.2. 15.2.2Управление изменениями в услугах поставщика

17. 16 Управление инцидентами информационной безопасности

17.1. 16.1 Управление инцидентами информационной безопасности и улучшения

17.1.1. 16.1.1Обязанности и процедуры

17.1.2. 16.1.2Оповещение о событиях, связанных с информационной безопасностью

17.1.3. 16.1.3Оповещение об уязвимостях в информационной безопасности

17.1.4. 16.1.4Оценка и решение по событиям информационной безопасности

17.1.5. 16.1.5Ответные меры на инциденты информационной безопасности

17.1.6. 16.1.6Излечение уроков из инцидентов информационной безопасности

17.1.7. 16.1.7Сбор свидетельств

18. 17 Аспекты информационной безопасности в менеджменте непрерывности бизнеса

18.1. 17.1 Непрерывность информационной безопасности

18.1.1. 17.1.1Планирование непрерывности информационной безопасности

18.1.2. 17.1.2Обеспечение непрерывности информационной безопасности

18.1.3. 17.1.3Проверка, анализ и оценка непрерывности информационной безопасности

18.2. 17.2 Резервирование

18.2.1. 17.2.1Возможность применения средств обработки информации

19. 18 Соответствие

19.1. 18.1 Соответствие законодательным и контрактным требованиям

19.1.1. 18.1.1Определение действующих законодательных и контрактных требований

19.1.2. 18.1.2Права интеллектуальной собственности

19.1.3. 18.1.3Защита записей

19.1.4. 18.1.4Конфиденциальность и защита персональных данных

19.1.5. 18.1.5Регламентация применения криптографических средств

19.2. 18.2 Анализ информационной безопасности

19.2.1. 18.2.1Независимый анализ информационной безопасности

19.2.2. 18.2.2Соответствие политикам безопасности и стандартам

19.2.3. 18.2.3Анализ технического соответствия