GB/T 22081-XXXX 信息安全技术 信息安全控制

前 言

本文件依照GB/T 1.1—2020《标准化工作导则 第一部分：标准化文件的结构与起草要求》的规定开展起草工作。
该文件取代了GB/T 22081—2016《信息技术 安全技术 信息安全控制实践指南》，相较于该标准，在结构上的主要技术变化包括：
一）采用了更为简洁的分类体系以及相关的属性来展示控制措施；
二）对原有的控制内容进行了整合并删减，并增添了一些新的控制措施，并与原有标准进行对比参考（具体内容见附录B）。
该文件等价于采用ISO/IEC 27002:2022《信息安全、网络安全与隐私保护——信息安全控制》标准。
在内容修改方面仅进行了必要的编辑性修改：
一）将其归类为二级标题，并对其他信息进行了相应的调整；
二）优化了参考文献中的相关列表设置。

引 言

0.1 背景

本文件适用于各类大小组织，在实施GB/T 22080信息安全管理体系中的信息安全风险处置工作时可作为指导参考，并可作为制定行业及特定组织信息安全管理指南的重要依据；此外本文件还旨在为确定并实施普遍接受的信息安全控制提供指导方针。
各类组织（涵盖公共部门、私营部门以及营利与非营利机构）在不同场合下生成、收集、处理、存储、传输以及处理信息的行为均应得到规范。
信息的价值不仅体现在字面内容上：知识形态的概念与观点以及品牌价值等都属于无形信息范畴；通过建立适宜的安全管理架构能够有效防范多种潜在风险源对数据安全造成的威胁。
信息安全管理体系的核心在于建立一套适合的控制体系包括但不限于安全策略制定安全规则设定安全流程程序以及相关的软硬件设施配置；通过持续改进与监督能够不断提升该体系的有效性。

根据GB/T 22080标准的要求，在统一管理架构下的体系框架下，从全局性角度审视组织的信息安全问题，并制定并实施全面的安全控制措施。许多信息系统及其管理与运营并未按照GB/T 22080所规定的ISMS体系与本文件的要求进行安全性设计。仅依靠技术手段所能达到的安全水平是有限度的。通过适当的方式进行管理活动及组织过程的支持，在处理风险事件时需要精心策划并细致留意相关细节。明确应采取哪些控制措施。成功的ISMS需获得组织全体人员的支持；同时还需要股东或供应商等利益相关方提供必要的协助；此外还需依赖行业专家的专业意见以确保管理体系的有效运行

0.2 信息安全要求

组织明确其信息安全的重要性是必要的

0.3 控制

控制的概念是应对或保持风险的措施。本文件中的部分控制是降低风险的措施,而其他部分则是管理风险的措施.例如,在信息安全方面仅限于维护风险的状态;但若实施信息安全方针,则能调整该状态.此外,To encompass不同环境下相同的通用防护策略.本文件基于国际标准,提供了相应的组织架构.

0.4 控制的确定

控制的确定取决于组织在风险评估后做出的决策，并有一个明确定义的范围。与已识别风险相关的决策宜基于风险接受准则、风险处置选项和组织所采用的风险管理方法。控制的确定还宜考虑所有相关的国家和国际法律法规。控制的确定还取决于不同控制的协同，以实现纵深防御。
组织可根据需要来设计控制，或从任何来源识别控制。在指定此类控制时，组织宜考虑相对于所实
现的业务价值，实施和运行控制所需要的资源和投资。参见ISO/IEC TR 27016，了解有关ISMS投资的决策指南，以及这些决策在资源相互冲突的境下带来的经济后果。在为实施控制而部署的资源与因缺乏这些控制而发生安全事件所导致的潜在业务影响之间宜取得平衡。风险评估的结果宜有助于指导和确定适当的管理措施、管理信息安全风险的优先顺序，以及实施为防范这些风险而确定的必要控制。
本文件中的某些控制可被视为信息安全管理的指导原则，适用于大多数组织。有关确定控制和其他风险处置选项的更多信息，可参见GB/T 31722。

0.5 编制特定于组织的指南

作为制定专门针对机构指导方针的基础性材料，在个别机构中可能还需要补充其他指导原则。个别机构可能会根据自身需求补充其他管理措施及操作规范，在相关部分进行引用有助于后续工作的连贯性

0.6 生存周期的考虑

信息在其生命周期内从产生到被销毁

0.7 相关标准

本指导性文件旨在为各类组织提供普遍适用的网络安全管理实践。
ISMS系列标准则为信息安全管理的全过程提供了全面补充建议或具体要求。
对于ISMS及其相关标准族的总体概述，请参阅GB/T 29246。
GB/T 29246中给出了一个词汇表，定义了ISMS标准族中使用的绝大多数术语，并详细描述了该文件族内各标准的适用范围及其目的。

若干适用于特定行业的标准提供专门的控制措施（例如，在云服务方面有 ISO/IEC 27017，在隐私保护方面有 ISO/IEC 27701，在能源领域有 ISO/IEC 27019，在电信组织方面有 ISO/IEC 27011，并在健康领域有 ISO 27799）。这些规范汇编于附录部分，并在第5至第8章中引用了部分规范。

1 范围

本文件包含了一套全面的信息安全控制参考集，并包含实施指南。
本文件适用于：
a) 组织遵循GB/T 22080标准来建立信息安全管理体系（ISMS）；
b) 组织遵循国际公认的最佳实践来实施信息安全控制；
c) 组织制定其自身的信息安全管理指南。

2 规范性引用文件

3 术语、定义和缩略语

术语和定义
下列术语和定义适用于本文件。
3.1.1
访问控制 access control
确保对资产（3.1.2）的物理和逻辑访问是基于业务和信息安全要求进行授权和限制的手段。
3.1.2
资产 asset
对组织有价值的任何事物。
注： 在信息安全的语境下，可分为两类资产。
——主要资产：
信息；
业务过程（3.1.27）和活动。
——所有类型的支撑性资产（主要资产所依赖的资产），例如：
硬件；
软件；
网络；
人员（3.1.20）；
场所；
组织结构。
3.1.3
攻击 attack
未经授权企图销毁、更改、禁用、访问资产（3.1.2）的行为（无论成功或失败），或者企图泄露、窃取或未经授权使用资产的任何行为。

4 文件结构

文件结构安排如下：
a. 组织管理（第五章）；
b. 人员管理（第六章）；
c. 物理防护（第七章）；
d. 技术保障（第八章）。
本文件包含两个非正文附件材料：
—附录A 属性应用

——附录 B 描述了本文件与GB/T 22081—2016版本之间各项控制的具体对应关系

5 组织控制

信息安全策略

5.1.1 属性表

信息安全策略的属性表见表1。

5.1.2 控制

宜制定信息安全原则与专项安全策略，并经管理层确认后正式发布；随后应确保信息安全方针及特定主题策略被管理层批准后正式发布，并传达给相关工作人员及各方以确保知晓；按照既定的时间间隔进行定期评估，并在发生重大变动时再次进行详细审查。

5.1.3 目的

为业务活动的安全运行和合规管理需求等基础条件依据业务发展规律和市场环境特点等原则进行规划与设计

5.1.4 指南

组织应于高层设置"信息安全方针"这一指导原则，并明确了管理信息安全的方法。
该方针需获得高层批准后实施，并涵盖以下各方面的影响因素：
一、业务战略规划与需求；
二、相关法律法规及合同义务；
三、当前及预期的安全风险评估。
该方针应包含如下内容：

1. 安全信息的基本定义；
2. 设定信息安全目标或建立目标框架；
3. 执行所有信息安全活动的基本原则；
4. 履行相关信息安全要求的承诺；
5. 持续改进信息安全管理体系的承诺；
6. 对各岗位职责范围内的信息安全责任规定；
7. 关于豁免与例外处理的规定程序。
   对于方针的任何变更须经高层批准程序审批。

6 人员控制

审查

6.1.1 属性表

审查的属性表见表39。

6.1.2 控制

在加入组织前的阶段中, 建议对所有拟录用工作人员候选人的背景进行调查, 并在人员入职后持续实施. 同时, 在遵循相关法律法规以及遵循职业道德的同时, 应充分考量业务需求与访问信息级别的匹配性, 以确保风险水平得到合理控制.

6.1.3 目的

确保所有工作人员符合条件且适合其角色，并在其任用期间持续保持。

6.1.4 指南

宜对全职、兼职及临时员工实施筛查工作，并将此类人员纳入日常管理范畴。对于与服务供应商签订合同的人员，在制定组织与供应商之间的协议时应明确筛查标准。
建议在组织内录用所有候选人的信息收集工作应遵循相关法律法规，并特别注意司法管辖区可能要求的信息披露时间安排。
在执行 screening 操作时需重视个人隐私保护以及相关的PII（个人 identifiable information）管理规定，并具体包含以下几点：

1. 确认申请材料的有效性（包括业务性和个人信息材料）；
2. 验证申请人的完整履历及其真实性；
3. 对声称的专业资格和教育背景进行核实；
4. 独立身份验证（如官方认可的身份证明文件）；
5. 根据职位需求进行额外细节核查（如有必要）。
   当组织需要指定信息安全岗位时应确保候选人具备：
   a) 执行特定信息安全任务所需的专业能力；
   b) 足够的信任度以履行职责（尤其当此类职责对公司至关重要）。

7 物理控制

物理安全边界

7.1.1 属性表

物理安全边界的属性表见表47。

7.1.2 控制

宜定义并使用安全边界来保护包含信息及其他相关资产的区域。

7.1.3 目的

防止对组织信息及其他相关资产进行未经授权的物理访问、损坏和干扰。

7.1.4 指南

适宜的时候, 应采取措施维护物理安全边界. 该指南详细规定了各安全边界的设置位置及强度要求.

7.1.5 其他信息

通过部署一到多个物理屏障，在组织场所及信息处理设施周围设立防护区来实现物防目标。 安全区域可以选择设有自动控制功能的操作间或者被连续布置的安全防护区所围成的空间。 在保障区域内存在不同防护需求的不同区域之间可能会有额外的安全防护措施与分隔手段来管控人员进出。 组织建议面对潜在威胁时采取相应的加强型物防方案。

8 技术控制

8.1 用户终端设备

用户终端设备

8.1.1 属性表

用户终端设备的属性表见表61。

8.1.2 控制

宜保护通过用户终端设备进行存储、处理或访问的信息。

8.1.3 目的

保护信息免受使用用户终端设备带来的风险。

8.1.4 指南

8.1.4.1 总则

组织应制定针对用户终端设备安全配置及操作的具体主题策略，并综合考量下述因素：

1. 用户终端设备可操作处理存储支持的信息类型及其分级等级；
2. 用户终端设备注册要求；
3. 物理防护标准；
4. 软件安装限制（包括系统管理员远程管理）；
5. 用户终端设备软件版本及应用更新管理（如主动更新机制）；
6. 连接信息服务公共网络或其他外部网络的规定（如需使用个人防火墙）；
7. 访问权限控制措施；
8. 存储设备加密标准；
9. 防止恶意软件入侵的方法；
10. 关键位置禁止远程操作删除锁定的技术手段；
11. 数据备份与恢复流程设计需求（见8.16节）；
12. 网络服务应用功能配置规范（见8.16节）；
13. 最终用户行为数据分析机制（见8.16节）；
14. 可移动设备使用限制与技术管控（包括禁用USB端口等）需求；
    若用户终端设备具备分区功能，则可将组织信息与其相关资产分开存储以保障安全性；
    对于某些高度敏感信息组织仅能通过终端设备访问而不得存于本地存储；
    此类情况下需配备额外的技术防护装置以确保安全；
    建议采取配置管理和自动化工具来执行上述安全控制措施

8.1.4.2 用户责任

建议所有用户熟悉其终端设备保护的基本安全要求和操作程序，并明确在实施此类安全防护措施时应承担的责任与义务。请按照以下方式操作：
a) 在不再需要的情况下终止相关会话活动；
b) 通过物理控制（如使用钥匙锁或特定机械装置）以及逻辑控制手段（如密码访问）来保障未授权情况下终端设备的安全性；避免让重要、敏感或关键业务信息存储在无需监督的设备上。

8.2 对外网站控制

宜管理对外部网站的访问，以减少对恶意内容的暴露。

8.2.1 目的

保护系统不受恶意软件的危害，并防止访问未授权的网页资源。

8.2.2 指南

组织应减少员工访问包含非法信息、病毒或钓鱼网站的风险。为此可采取阻止相关网站IP地址或域名的技术。组织应制定并持续更新网络资源使用规范以防止此类风险。规范中应明确禁止员工访问以下类型的网站：

在部署上述措施前 组织应制定并持续更新网络资源使用规范

组织应开展安全合规知识培训

培训还应涵盖如何避免因浏览器警告未采纳建议的情况

8.2.3 其他信息

网页过滤涉及多种技术手段, 包括身份验证机制, 启发式分析方法, 接受并管理可接收网站或域名列表, 列出被阻止网站或域名集合, 以及通过定制化的网络和系统配置来抵御潜在的恶意软件威胁和其他潜在的恶意活动.
密码技术和防护措施的应用是保障系统安全的重要组成部分.

8.3 密码技术控制

8.3.1 属性表

密码技术的使用的属性表见表84。

8.4 测试信息控制

宜适当的选择、保护和管理测试信息。

8.4.1 目的

确保测试的相关性，并保护用于测试的运行信息。

8.4.2 指南

建议选用测试信息以保证测试结果的可靠性以及相关运行数据的安全性

注：所有涉及的具体内容均基于上述规定执行并严格遵守

8.4.3 其他信息

系统和验收测试可能包含大量模拟真实运行环境的测试信息。 在进行审计测试时应当采取措施保护信息系统。

8.4.4 属性表

在审计测试中保护信息系统的属性表见表94。