| 8 | Technological controls 技术控制(ISO/IEC 27001: 2022 附录A) | |
| 8.6 | Capacity management 容量管理 | Control 控制 The use of resources shall be monitored and adjusted in line with current and expected capacity requirements. 应根据当前和预期的容量需求,对资源的使用进行监视和调整。 |
| 8.7 | Protection against malware 恶意软件防范 | Control 控制 Protection against malware shall be implemented and supported by appropriate user awareness. 恶意软件的防范应被实施,并通过适当的用户意识来支持该过程。 |
| 8.8 | Management of technical vulnerabilities 技术方面脆弱性的管理 | Control 控制 Information about technical vulnerabilities of information systems in use shall be obtained, the organization’s exposure to such vulnerabilities shall be evaluated and appropriate measures shall be taken. 应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施。 |
| 8.9 | Configuration management 配置管理 | Control 控制 Configurations, including security configurations, of hardware, software, services and networks shall be established, documented, implemented, monitored and reviewed. 硬件、软件、服务和网络的配置(包括安全配置)应被建立文件化的清单,并予以实施、监视和评审。 |
| A.12 运行安全(ISO/IEC 27001: 2013 附录A) | ||
| A.12.1 运行规程和责任 | ||
| 目标:确保正确、安全的运行信息处理设施。 | ||
| A.12.1.3 | 容量管理 | 控制 应对资源的使用进行监视,调整和预测未来的容量需求,以确保所需的系统性能。 |
| A.12.2 恶意软件防范 | ||
| 目标:确保信息和信息处理设施防范恶意软件。 | ||
| A.12.2.1 | 恶意软件的控制 | 控制 应实现检测、预防和恢复控制以防范恶意软件,并结合适当的用户 意识教育。 |
| A.12.6 技术方面的脆弱性管理 | ||
| 目标:防止对技术脆弱性的利用。 | ||
| A.12.6.1 | 技术方面脆弱性的管理 | 控制 应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。 |
控制解析:
- 新版中的A.8.6 & A.8.7 & A.8.8 这三个控制项都是来自ISO/IEC 27001: 2013的A.12, 新版的A.8.9是新增的控制项。
- 组织应根据《信息资产管理程序》(A.5)输出《信息处理设施安全管理规范》,规范中应涵盖A.8.6 & A.8.7 & A.8.8 & A.8.9这些控制要求。
- 应对关键设施(如核心交换、防火墙、服务器等)的容量进行预测需求,并对这些设施的容量进行实时监控,如对服务器的硬盘空间、CPU等进行实时监测(A.8.6)。
- 服务器、办公电脑、工控主机等终端,在使用前,应安装防病毒软件,进行病毒扫描后,确认无风险方可使用。在使用过程中,应定期进行病毒的扫描,定期更新病毒库等。这些内容和要求应形成书面的文件,相关内容可以在《信息处理设施安全管理规范》(A.8.7)。
- 应及时收集信息系统脆弱性信息并及时修复。可以通过外部(如供应商、国内外漏洞信息库等)获取漏洞信息和修复方式(最新补丁),也通过内部漏洞扫描、渗透测试、代码检测等发现漏洞(A.8.8)。
- 应为硬件、软件、服务和网络安全配置的标准模板,应考虑以下因素:(1)最小化具有特权或管理员级访问权限的账户的数量;(2)禁用不必要的、未使用的或不安全的账户;(3)禁用或限制不必要的功能和服务;(4)限制访问强大的实用程序和主机参数设置;(5)同步时钟;(6)安装后立即更改供应商默认身份验证信息,如默认密码,并检查其他重要的默认安全相关参数;(7)在预设的不活动时间之后,自动注销计算设备的超时设施;(8)验证以满足的许可要求。应该定期评审模板,并在需要处理新的威胁或漏洞时,或在引入新的软件或硬件版本时对模板进行更新。应记录已建立的硬件、软件、服务和网络配置,并维护所有配置更改的日志。这些记录应安全保存(A.8.9)。
实施本控制应输出的文档:
- 《信息处理设施安全管理规范》。
- 关键基础设施容量需求和监控记录。
- 防病毒软件安装清单、病毒扫描记录等。
- 漏洞扫描记录、漏洞修复记录等。
- 硬件、软件、服务和网络安全配置的标准模板和配置记录等。
本控制审核要点:
- 检查是否对服务器的硬盘空间、CPU等进行实时监测。
- 信息系统脆弱性信息收集方式和途径,外部漏洞收集信息、内部漏洞扫描、渗透测试、代码检测报告,以及漏洞修复情况。
- 检查新设备入网前,是否安装防病毒软件,并进行扫描,要求提供相关扫描记录。
- 抽查办公电脑、服务器、工控主机是否有安装防病毒软件,病毒库是否最新,是否存在异常未处理。
- 审核硬件、软件、服务和网络安全配置的标准模板和配置记录等。
