A.9.4.4

特权实用程序的使用

控制措施

对于可能超越系统和应用控制措施的实用程序的使用应予以限制并严格控制。

A.9.4.5

程序源代码的访问控制

控制措施

应限制对程序源代码的访问。

A.10 密码

A.10.1 密码控制

目标： 确保适当和有效地使用密码技术以保护信息的保密性、真实性和（或）完整性。

A.10.1.1

密码控制的使用策略

控制措施

应开发和实施用于保护信息的密码控制使用策略。

A.10.1.2

密钥管理

控制措施

应制定和实施贯穿其全生命周期的密钥使用、保护和生存期策略。

A.11 物理和环境安全

A.11.1 安全区域

目标：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。

A.11.1.1

物理安全边界

控制措施

应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域。

A.11.1.2

物理入口控制

控制措施

安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。

A.11.1.3

办公室、房间和设施的安全保护

控制措施

应为办公室、房间和设施设计并采取物理安全措施。

A.11.1.4

外部和环境威胁的安全防护

A.11.1.5

在安全区域工作

控制措施

应设计和应用安全区域工作规程。

A.11.1.6

交接区

控制措施

访问点（例如交接区）和未授权人员可进入的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。

A.11.2 设备

目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。

A.11.2.1

设备安置和保护

控制措施

应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

A.11.2.2

支持性设施

控制措施

应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。

A.11.2.3

布缆安全

控制措施

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏

A.11.2.4

设备维护

控制措施

设备应予以正确地维护，以确保其持续的可用性和完整性。

A.11.2.5

资产的移动

控制措施

设备、信息或软件在授权之前不应带出组织场所。

A.11.2.6

组织场所外的设备与资产安全

控制措施

应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险

A.11.2.7

设备的安全处置或再利用

控制措施

包含储存介质的设备的所有部分应进行核查，以确保在处置或再利用之前，任何敏感信息和注册软件已被删除或安全地写覆盖。

A.11.2.8

无人值守的用户设备

控制措施

用户应确保无人值守的用户设备有适当的保护。

A.11.2.9

清空桌面和屏幕策略

控制措施

应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。

A.12 操作安全

A.12.1 操作规程和职责

目标：确保正确、安全的操作信息处理设施。

A.12.1.1

文件化的操作规程

控制措施

操作规程应形成文件，并对所需用户可用。

A.12.1.2

变更管理

控制措施

应控制影响信息安全的变更，包括组织、业务过程、信息处理设施和系统变更。

A.12.1.3

容量管理

控制措施

应对资源的使用进行监视，调整和预测未来的容量需求，以确保所需的系统性能。

A.12.1.4

开发、测试和运行环境的分离

控制措施

应分离开发、测试和运行环境，以降低对运行环境未授权访问或变更的风险。

A.12.2恶意代码防范

目标：确保信息和信息处理设施防范恶意代码。

A.12.2.1

恶意代码的控制

控制措施

应实施检测、预防和恢复控制措施以防范恶意代码，并结合适当的用户意识教育。

A.12.3 备份

目标：防止数据丢失

A.12.3.1

信息备份

控制措施

应按照既定的备份策略，对信息、软件和系统镜像进行备份，并定期测试。

A.12.4 日志和监视

目的：记录事态并生成证据。

A.12.4.1

事态日志

控制措施

应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志。

A.12.4.2

日志信息的保护

控制措施

记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。

A.12.4.3

管理员和操作员日志

控制措施

系统管理员和系统操作员活动应记入日志，并对日志进行保护和定期评审。

A.12.4.4

时钟同步

控制措施

一个组织或安全域内的所有相关信息处理设施的时钟应与单一的参考源进行同步。

A.12.5 运行软件控制

目标：确保运行系统的完整性。

A.12.5.1

运行系统的软件安装

控制措施

应实施运行系统软件安装控制规程。

A.12.6 技术脆弱性管理

目标：防止对技术脆弱性的利用。

A.12.6.1

技术脆弱性的管理

控制措施

应及时获取在用的信息系统的技术脆弱性信息，评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。

A.12.6.2

软件安装限制

控制措施

应建立并实施控制用户安装软件的规则。

A.12.7 信息系统审计的考虑

目标：使审计活动对运行系统的影响最小化。

A.12.7.1

信息系统审计的控制

控制措施

涉及运行系统验证的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。

A.13 通信安全

A.13.1 网络安全管理

目标：确保网络及其支持性信息处理设施中的信息得到保护。

A.13.1.1

网络控制

控制措施

应管理和控制网络以保护系统和应用中的信息。

A.13.1.2

网络服务的安全

控制措施

所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中，无论这些服务是由内部提供的还是外包的。

A.13.1.3

网络隔离

控制措施

应在网络中隔离信息服务、用户及信息系统

A.13.2 信息传输

目标： 保持在组织内及与外部实体间传输信息的安全。

A.13.2.1

信息传输策略和规程

控制措施

应有正式的传输策略、规程和控制措施，以保护通过使用各种类型通信设施进行的信息传输。

A.13.2.2

信息传输协议

控制措施

协议应解决组织与外部方业务信息的安全传输。

A.13.2.3

电子消息发送

控制措施

应适当保护包含在电子消息发送中的信息。

A.13.2.4

保密或不泄露协议

控制措施

应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。