ISO27001 Controls and Objective
內容
• 11個領域:A5至15
• 39個Objectives(目標、目的、訴求)
• 133項Controls(控制措施)
十一個領域
A.5 安全政策(Security Policy)
A.6 資訊安全組織(Organization of information security)
A.7 資產管理(Asset management)
A.8 人力資源安全(Human resources security)
A.9 實體和環境安全(Physical and environmental security)
A.10 通訊和運作管理(Communications and operations management)
A.11 存取控制(Access control)
A.12 資訊系統獲得、開發與維護(Information systems acquisition,
development and maintenance)
A.13 資訊安全事故管理(Information security incident management)
A.14 營運持續管理(Business continuity management)
A.15 遵循性(Compliance)
A.5 Security PolicyA.5.1 Information security policy
A.5.1.1 資訊安全文件
Control 1
所有資訊安全文件應由管理階層認可、頒布並傳達給所有
員工和相關外部單位
A.5.1.2 資訊安全政策之檢討
Control 2
應定期、或有重大改變時，檢討資訊安全政策，以確保其
適合、適當和有效性
A.6 Organization of information securityA.6.1 Internal organization
A.6.1.1 管理階層對資訊安全的承諾
Control 3
管理階層應藉由，對資訊安全責任的清楚方向、表達的承
諾、明白的指派、和覺知，來積極的支持組織內的資訊安
全
A.6.1.2 資訊安全協調
Control 4
由組織各部門資訊安全相關角色和功能代表一起來協調
資訊安全的活動
A.6.1.3 資訊安全責任分配
Control 5
清楚訂定所有資訊安全的責任
A.6.1.4 資訊處理設施的授權程序
Control 6
要訂定新增資訊處理設施的管理上授權程序、並予執行
A.6 Organization of information securityA.6.1 Internal organization
A.6.1.5 機密性協議(agreement)
Control 7
協議並識別組織內各項機敏性或非公開性資訊的需求並定
期檢討，以反映組織需要的資訊保護
A.6.1.6 和高層人員接觸
Control 8
要經常維持和相關高層人員的接觸
A.6.1.7 和特殊利益團體的接觸
Control 9
要經常維持和一些特殊利益團體、或其他安全論壇及專業
協會等的連繫接觸
A.6.1.8 獨立的資訊安全審查
Control 10
定期或在安全建置上有重大改變時，要對組織進行資訊安
全的管理和其建置方式(如控制目標、措施、政策、流程和
建置的程序等)進行獨立的審查
A.6 Organization of information securityA.6.2 External parties
A.6.2.1 識別和外部單位關聯的風險
Control 11
識別因營運流程牽涉到外部單位而產生對組織資訊和資訊
處理設施的風險，並要在同意其存取前建置適當的控制措
施
A.6.2.2 和顧客接觸來往時，要處理安全的問題
Control 12
在給予顧客存取組織內的資訊或資產時前，所有識別過的
安全需求都要先行處理
A.6.2.3 在第三方單位協議書內處理安全的問題
Control 13
在與第三方單位訂定協議時，如牽涉到存取、處理、連線
或管理組織的資訊或資訊處理設施、或增加資訊處理設施
的產品或服務，要包含所有的安全需求
A.7 Asset managementA.7.1 Responsibility for assets
A.7.1.1 資產盤點
Control 14
應清楚識別所有的資產，編製並維護所有重要資產的盤點
A.7.1.2 資產所有權(ownership)
Control 15
所有和資訊處理設施相關的資訊和資產，應被指定給組織
內某一部門“擁有”
A.7.1.3 資產的可接受使用(acceptable use)
Control 16
應訂定、文件化和建置，和資訊處理設施相關資訊和資產
的可接受使用的規則
A.7 Asset managementA.7.2 Information classification
A.7.2.1 分類指導(guideline)
Control 17
資訊的分類應依據，其價值(value)、法律要求、敏感性
(sensitivity)和對組織的重要性(criticality)
A.7.2.2 資訊標示(labelling)和處置(handling)
Control 18
依據組織所採用的分類方案(scheme)，應訂定並建置一套
適當的資訊標示和處置的步驟
A.8 Human resources securityA.8.1 Prior to employment
A.8.1.1 角色和責任
Control 19
應依據組織的安全政策，訂定員工、合約商和第三方單位
用戶的安全角色和責任，並予文件化
A.8.1.2 篩選(screening)
Control 20
所有候選的員工、合約商和第三方單位用戶，應依據相關
的法律規章和倫理、相稱於(proportional to)營運需求、所
存取資料的分類和所認知的風險，進行背景查核
A.8.1.3 員工僱用條款(terms and conditions)
Control 21
員工、合約商和第三方單位用戶在其同意和簽署其僱用合
約的條款內，應說明它們和組織對資訊安全的責任，當成
是合約義務的一部分
A.8 Human resources securityA.8.2 During employment
A.8.2.1 管理階層責任
Control 22
應依據組織的安全政策，訂定員工、合約商和第三方單位
用戶的安全角色和責任，並予文件化
A.8.2.2 資訊安全覺知(awareness)、教育(education)和訓練(training)
Control 23
所有組織員工、和所有相關合約商和第三方單位用戶，應
接受和其職掌功能相關的，適當覺知訓練、及定期更新的
組織政策及步驟
A.8.2.3 訓誡程序(disciplinary process)
Control 24
員工違反資訊安全時，應有訓誡員工的程序
A.8 Human resources securityA.8.3 Termination or change of employment
A.8.3.1 結束責任
Control 25
應清楚地訂定和指派執行結束或變更僱用的責任
A.8.3.2 資產歸還
Control 26
所有組織員工、合約商和第三方單位用戶，在他們的僱用、
合約或協議結束時，應歸還其所擁有組織的資產
A.8.3.3 移除存取權限
Control 27
所有組織員工、合約商和第三方單位用戶，在他們的僱用、
合約或協議結束時應移除其資訊和資訊處理設施的存取權
限，在有變動時則調整其存取權限
A.9 Physical and environment securityA.9.1 Secure area
A.9.1.1 實體的安全周圍
Control 28
應採用實體的安全周圍(障礙如牆壁、卡片控制門欄、人員
監控接待室)來防護包含資訊和資訊處理設施的區域
A.9.1.2 實體進出點管制
Control 29
應由進出點適當的管制來防護安全區域，以確保只有經授
權的人員可以進出
A.9.1.3 防衛辦公室、房間和設施
Control 30
應設計並使用給辦公室、房間和設施的實體安全
A.9 Physical and environment securityA.9.1 Secure area
A.9.1.4 防護外部和環境的威脅
Control 31
應設計並採用實體的保護方式，以防範由火災、洪水、地
震、爆炸、群眾騷動，和其他形式的自然或人為災害，所
造成的損害
A.9.1.5 在安全區域中工作
Control 32
應設計並應用在安全區域工作的實體防護和指引
A.9.1.6 公共進出、交貨及裝載區域
Control 33
應管制進出點，如交貨和裝載區域，及其他未經授權人員
可能進出的地點。如有可能，這些地點應和資訊處理設施
隔離，以避免未經授權的存取
A.9 Physical and environment securityA.9.2 Equipment security
A.9.2.1 安置裝備場所與防護
Control 34
安置裝備的場所或防護應能降低環境的威脅和危險所帶來
的風險、及未經授權存取的機會
A.9.2.2 支援的公共設施
Control 35
在斷電或其他公共設施失常造成中斷時，裝備應受到保護
A.9.2.3 電纜佈線安全
Control 36
應保護電源纜線和傳送資料或支援資訊服務的通訊纜線的
安全，以防止遭受損害或中途擷取
A.9 Physical and environment securityA.9.2 Equipment security
A.9.2.4 裝備維護
Control 37
裝備應正確的維護，以確保其持續的可用性和完整性
A.9.2.5 離場(off premise)裝備的安全
Control 38
離場裝備的安全應考慮到在離開組織場所工作的不同風險
A.9.2.6 裝備的廢棄和再使用的安全
Control 39
應查核所有包含貯存媒體的裝備項目，以確保在廢棄前，
已經刪除任何敏感性資料和有特許證照軟體、或已被安全
的覆蓋
A.9.2.7 財產搬移
Control 40
在未經授權前，裝備、資訊或軟體不應帶離場所
A.10 Communications and operations managementA.10.1 Operational procedures and responsibilities
A.10.1.1 文件化操作步驟
Control 41
應將操作步驟寫成文件，且應維護此文件，讓所有需要此
文件的用戶都可取得
A.10.1.2 變更管理
Control 42
應管制資訊處理設施和系統的變更
A.10.1.3 責任分離
Control 43
職責和責任區域應予分離，以降低對組織資產未經授權或
非故意更改的機會
A.10.1.4 分隔開發、測試和運作的設施
Control 44
開發、測試和運作的設施應予分隔，以降低對運作系統未
經授權存取或更改的風險
A.10 Communications and operations managementA.10.2 Third party service delivery management
A.10.2.1 服務的遞交
Control 45
應確保，第三方單位能夠建置、運作和維護第三方單位服
務遞交協議所包含的安全管制、服務定義和遞交層級
A.10.2.2 第三方單位服務的監控和審查
Control 46
應定期監控和審查第三方單位所提供的服務、報告和紀錄，
並定期進行稽核
A.10.2.3 第三方單位服務變更的管理
Control 47
應對服務條款的變更，包括維護和改進現有資訊安全政策、
步驟或控制措施，進行管理，並要考慮到所牽涉到的營運
系統和程序的重要性和重新評估的風險
A.10 Communications and operations managementA.10.3 System planning and acceptance
A.10.3.1 容量管理
Control 48
使用的資源應予監控、調校，並預期未來的容量需求，以
確保所需求的系統性能
A.10.3.2 系統驗收
Control 49
應建立新系統、功能提升和新版本的驗收門檻，在系統開
發及驗收前應進行適當的測試
A.10 Communications and operations managementA.10.4 Protection against malicious and mobile code
A.10.4.1 對付有敵意程式碼的控制措施
Control 50
應建置偵測、防止、和復原的控制措施以防範敵意程式碼、
和用戶覺知(user awareness)的步驟
A.10.4.2 對付行動程式碼的控制措施
Control 51
在授權同意使用行動程式碼時，系統組態(configuration)應
能確保授權行動程式碼的運作能夠符合所清楚定義的安全
政策，且能防止執行未經授權行動程式碼的運作
In computer science, mobile code is software transferred between systems,
e.g. transferred across a network, and executed on a local system without
explicit installation by the recipient.
Examples of mobile code include scripts (JavaScript, VBScript), Java applets,
ActiveX controls, Flash animations, Shockwave movies (and Xtras), and
macros embedded within Microsoft Office documents.[
A.10 Communications and operations managementA.10.5 Back-up
A.10.5.1 資訊備份
Control 52
資訊和軟體應依據所協議的備份政策，進行備份並定期測
試
A.10 Communications and operations managementA.10.6 Network security management
A.10.6.1 網路管制
Control 53
應適當的管理和控制網路，以防範威脅，保護使用網路的
系統和各種應用軟體的安全，包括傳輸中的資訊
A.10.6.2 網路服務的安全
Control 54
應識別所有網路服務中的安全特性、服務等級和管理需求，
並將之納入任何的網路服務的協議，無論這些服務是由內
部提供或委外提供
A.10 Communications and operations managementA.10.7 Media handling
A.10.7.1 可移動儲存媒體的管理
Control 55
應有管理可移動儲存媒體的步驟
A.10.7.2 儲存媒體的廢棄
Control 56
儲存媒體不在需要時，應採用正式的步驟將媒體安全地
(securely and safely)廢棄
A.10.7.3 資訊處理步驟
Control 57
應有處理和資訊貯存的步驟，以防範資訊受到未經授權的
揭露或不正常使用
A.10.7.4 系統文件的安全
Control 58
應防護系統文件不受到未經授權的存取
A.10 Communications and operations managementA.10.8 Exchange of information
A.10.8.1 資訊交換政策和步驟
Control 59
應建立正式的交換政策、步驟、和控制措施來保護資訊免
於受到未經授權的揭露或不正常的使用
A.10.8.2 交換協議
Control 60
應建立組織和外部單位間資訊和軟體交換協議
A.10.8.3 傳送中的貯存媒體
Control 61
應保護離開組織的實體周邊後，在傳送過程中的資訊貯存
媒體，以免於受到未經授權的存取、不正常的使用或毀損
A.10 Communications and operations managementA.10.8 Exchange of information
A.10.8.4 電子訊息
Control 62
應適當保護牽涉到電子訊息的資訊
A.10.8.4 營運資訊系統
Control 63
應設計和建置政策和步驟，來保護營運資訊系統連結相關
的資訊
A.10 Communications and operations managementA.10.9 Electronic commerce services
A.10.9.1 電子交易
Control 64
應保護在電子交易在公共網路流通的資訊，以免於受到詐
欺的活動、合約糾紛、和未經授權的揭露和更改
A.10.9.2 線上交易
Control 65
應保護在線上交易的資訊，以免資料傳送不完全、不正常
的路由、未經授權的訊息更改、未經授權的揭露、和未經
授權的訊息複製或重放(replay)
A.10.9.3 公開的可用資訊
Control 66
應保護公開可用系統上所產生的資訊，以免受到未經授權
的變更
A.10 Communications and operations managementA.10.10 Monitoring
A.10.10.1 稽核記載(audit log)
Control 67
稽核記載應紀錄用戶的活動、例外、和資安事件，並保持
一段議定的時間，以協助未來的調查和存取監控
A.10.10.2 系統使用的監控
Control 68
應建立監控使用資訊處理系統的步驟，監控活動的結果應
定期審查
A.10.10.3 記載資訊的防護
Control 69
應保護記載的設施和記載的資訊，以防範竄改毀損和未經
受權的存取
A.10 Communications and operations managementA.10.10 Monitoring
A.10.10.4 行政管理人員和操作員記載
Control 70
應記載行政管理人員和操作人員的活動
A.10.10.5 故障記載
Control 71
應記載發生的故障，分析並採取適當的行動
A.10.10.6 時鐘時間同步
Control 72
組織或安全領域內，相關資訊處理處理系統的時鐘，應該
與一大家同意的時間來源同步
A.11 Access controlA.11.1 Business requirement for access control
A.11.1.1 存取控制政策
Control 73
應建立和文件化資訊存取控制政策，並依據營運和政策的
需求予以審查檢討
A.11 Access controlA.11.2 User access management
A.11.2.1 用戶註冊(registration)和脫離註冊(de-registration)
Control 74
應有正式的用戶註冊和脫離註冊的步驟，以取得和撤銷所
有資訊系統和服務的存取
A.11.2.2 權限管理
Control 75
用戶權限的分配和使用應有限制並受到管制
A.11.2.3 用戶通行碼(password)管理
Control 76
應透過正式的管理程序來控制通行碼的分配
A.11.2.4 用戶存取權限檢討
Control 76
管理階層應使用正式的程序，定期檢討用戶的存取權限
A.11 Access controlA.11.3 User responsibilities
A.11.3.1 通行碼使用
Control 78
應要求用戶遵循一些好的安全實務來選擇和使用通行碼
A.11.3.2 無人管理(unattended)的用戶裝備
Control 79
用戶應確保無人管理的裝備有適當保護
A.11.3.3 清除乾淨的桌上和清除乾淨的螢幕政策
Control 80
應採取桌上不能有紙張和可搬移貯存媒體的乾淨政策，和
螢幕上不可顯示資料的畫面的政策
A.11 Access controlA.11.4 Network access control
A.11.4.1 使用網路服務政策
Control 81
用戶僅能存取他們被特別授權的網路服務
A.11.4.2 外部連接的用戶認證(authentication)
Control 82
應採取適當的認證方法來控制遠端用戶的存取
A.11.4.3 網路裝備識別(identification)
Control 83
應考慮採用自動的裝備識別，是一種認證連接特定地點和
裝備的方法
A.11.4.4 遠端診斷和傳輸埠組態的防護
Control 84
實際和邏輯上到遠端診斷和傳輸埠組態的存取應受到控制
A.11 Access controlA.11.4 Network access control
A.11.4.5 網路內分隔
Control 85
網路內應分隔不同群組的資訊服務、用戶、和資訊系統
A.11.4.6 網路連接控制
Control 86
對於分享的網路，特別是要連接到組織的範疇外的網路，
用戶連接到這些網路的能力應受到限制，以符合存取控制
政策和營運應用的需求
A.11.4.7 網路路由控制
Control 87
應建置網路的路由控制，以確保電腦連接和資訊流動不會
違背破壞營運應用的存取控制政策
A.11 Access controlA.11.5 Operating access control
A.11.5.1 安全的登入步驟
Control 88
應由安全的登入步驟來控制作業系統的存取
A.11.5.2 用戶識別與認證
Control 89
所有用戶應有單一的識別碼(ID)供個人使用，並選擇適當
的認證方法來驗證所宣告用戶的身分
A.11.5.3 通行碼管理系統
Control 90
管理通行碼的系統應是互動式的，以確保良好的通行碼
A.11.5.4 系統工具軟體(system utilities)
Control 91
會覆蓋作業系統和應用系統控制的工具軟體，應嚴格限制
使用和緊密的控制
A.11 Access controlA.11.5 Operating access control
A.11.5.1 連線期間逾時(session time-out)
Control 92
連線但不活動過一段時間後，應斷掉連線
A.11.5.2 連線時間的限制
Control 93
限制連線的時間可對高風險的應用系統提供更進一步的安
全
A.11 Access controlA.11.6 Application and information access control
A.11.6.1 資訊存取限制(restriction)
Control 94
應依據所訂定的存取安全政策，來限制用戶和支援人員對
資訊和應用系統功能的存取
A.11.6.2 敏感系統隔離
Control 95
敏感系統應有專屬(隔離)的電腦環境
A.11 Access controlA.11.7 Mobile computing and teleworking
A.11.7.1 行動計算和通訊
Control 96
應建立正式的安全政策，並採取適當的安全措施，來防範
使用行動計算和通訊設施的風險
A.11.7.2 遠端工作
Control 97
應設計和建置遠端工作活動的政策、運作規劃和步驟
A.12 Information systems acquisition,
development and maintenanceA.12.1 Security requirements of information system
A.12.1.1 安全需求分析和規範
Control 98
對新系統或提昇現有系統的營業敘述應規範安全控制的需
求
A.12 Information systems acquisition,
development and maintenanceA.12.2 Correct processing in applications
A.12.2.1 輸入資料驗證
Control 99
應驗證應用系統的輸入資料，以確保資料是正確且適當的
A.12.2.2 內部處理的控制
Control 100
應用系統內應加入驗證檢核，以偵測由於處理錯誤或故意
動作造成資料的毀壞
A.12.2.3 訊息完整性
Control 101
應識別應用系統內對訊息的真實性(authenticity)和防護的需
求，並識別和建置適當的控制措施
A.12.2.4 輸出資料驗
Control 102
應驗證應用系統的輸出資料，以確保內儲資料的處理是正
確、且對情況而言是適當的
A.12 Information systems acquisition,
development and maintenanceA.12.3 Cryptographic controls
A.12.3.1 使用加解密控制的政策
Control 103
應設計並建置使用加解密控制措施來保護資訊的政策
A.12.3.2 金鑰管理
Control 104
應使用金鑰管理來支援組織使用加解密的技術
A.12 Information systems acquisition,
development and maintenanceA.12.4 Security of system files
A.12.4.1 作業系統的管制
Control 105
應有管制在運作系統上安裝軟體的步驟
A.12.4.2 保護系統測試資料
Control 106
測試資料應仔細的選擇、及防護與管制
A.12.4.3 程式原始碼的存取控制
Control 107
程式原始碼的存取應受到限制
A.12 Information systems acquisition,
development and maintenanceA.12.5 Security in development and support process
A.12.5.1 變更控制步驟
Control 108
執行變更的管制應使用正式的變更控制步驟
A.12.5.2 作業系統變更後應用系統的技術審查
Control 109
當作業系統變更後，應審查並測試重要的營運應用系統，
以確保組織的運作或安全沒有不利的衝擊
A.12.5.3 軟體套件變更的限制
Control 110
軟體套件的變更應不受鼓勵，只侷限在需要的變更，所有
變更定應受到嚴謹的控制
A.12 Information systems acquisition,
development and maintenanceA.12.5 Security in development and support process
A.12.5.4 資訊洩漏
Control 110
應防止資訊洩漏的機會
A.12.5.5 委外軟體開發
Control 112
組織應監督和監控委外軟體的開發
A.12 Information systems acquisition,
development and maintenanceA.12.6 Technical vulnerability management
A.12.6.1 技術弱點的控制
Control 113
應獲得所應用資訊系統的即時技術弱點資訊，評估組織所
曝露的弱點，採取適當的方法來處理相關的風險
A.13 Information security incident managementA.13.1 Reporting information security events and
weakness
A.13.1.1 報告資訊安全事件
Control 114
透過適當的管理管道報告資訊安全事件，越快越好
A.13.1.2 報告安全弱點
Control 115
應要求所有的員工、合約商和第三方單位用戶，注意並報
告任何觀察或懷疑到在系統或服務方面的弱點
Event: 事件， Incident: 事故； 見下幾頁說明
Event
•
An event is an observable change to the normal behavior of a system,
environment, process, workflow or person (components). There are three basic
types of events:
– Normal—a normal event does not affect critical components or require change controls prior
to the implementation of a resolution. Normal events do not require the participation of
senior personnel or management notification of the event.
– Escalation – an escalated event affects critical production systems or requires that
implementation of a resolution that must follow a change control process. Escalated events
require the participation of senior personnel and stakeholder notification of the event.
– Emergency – an emergency is an event which may
•
•
•
•
•
impact the health or safety of human beings
breach primary controls of critical systems
materially affect component performance or because of impact to component systems prevent
activities which protect or may affect the health or safety of individuals
be deemed an emergency as a matter of policy or by declaration by the available incident coordinator
Computer security and information technology personnel must handle emergency
events according to well-defined computer security incident response plan
Incident
• An incident is an event attributable to a
human root cause. This distinction is
particularly important when the event is the
product of malicious intent to do harm. An
important note: all incidents are events but
many events are not incidents. A system or
application failure due to age or defect may be
an emergency event but a random flaw or
failure is not an incident.
Computer security incident
management
• computer security incident management
involves the monitoring and detection of security
events on a computer or computer network, and
the execution of proper responses to those
events.
• Computer security incident management is a
specialized form of incident management, the
primary purpose of which is the development of
a well understood and predictable response to
damaging events and computer intrusions
A.13 Information security incident managementA.13.2 Management of information security incidents
and improvements
A.13.2.1 職責和步驟
Control 116
應建立管理職責和步驟來確保對資訊安全事故有一套快速、
有效、有順序的回應方式
A.13.2.2 從資訊安全事故中學習
Control 117
應有一套機制來量化和監控資訊安全事故的類型、規模和
成本代價
A.13.2.3 收集證據
Control 118
當資訊安全事故牽涉到法律行動(民事或刑事)，而要對某
人或某組織採取後續動作時，應將證據收集、保管、並依
符合法院審判證據規則呈送給法院
A.14 Business continuity managementA.14.1 Information security aspects of business
continuity management
A.14.1.1 包括在營運持續管理程序的資訊安全
Control 119
組織的持續營運若有處理資訊安全的需求時，應為整個組
織的營運持續，設計並建立一套有管理的程序
A.14.1.2 營運持續和風險鑑定(assessment)
Control 120
應識別會造成營運中斷的事件、其可能機率和這種中斷的
衝擊和對資訊安全產生的後果
A.14.1.3 發展和建置包含資訊安全的持續計畫
Control 121
應發展和建置一套計畫，在重要的營運程序中斷或失常後，
能夠維護或回復運作，確保在一期間後資訊在某個程度上
的可用性
A.14 Business continuity managementA.14.1 Information security aspects of business
continuity management
A.14.1.4 營運持續規劃架構
Control 122
應維護一套單一的營運持續計畫，以確保所有計畫都是一
致的，一致性地處理資訊安全需求，和識別測試和維護的
優先順序
A.14.1.5 測試、維護和重新評鑑營運持續計畫
Control 123
應定期測試並更新營運持續計畫，以確保其時效性和有效
性
A.15 ComplianceA.15.1 Compliance with legal requirements
A.15.1.1 識別可適用的法律
Control 124
對每個資訊系統和組織，所有相關法定命令、管制條文、
和合約需求，及組織要遵循這些需求的方法，都要明確的
定義、文件化、隨時更新
A.15.1.2 智慧財產權(IPR)
Control 125
在使用可能有智慧財產權的物質或使用專屬軟體產品，應
建置適當的步驟來確保遵循法律、管制、和合約的需求
A.15.1.3 保護組織的紀錄(record)
Control 126
應根據法定命令、管制條文、合約和營運的需求，保護重
要的紀錄資料，以免遭受遺失、破壞或變造
A.15 ComplianceA.15.1 Compliance with legal requirements
A.15.1.4 個人資料保護和隱私
Control 127
根據相關的法律、管制和、適用的合約條款的要求，確保
個人資料保護和隱私
A.15.1.5 防止不正常使用資訊處理設施
Control 128
應制止用戶為了非經授權的目的，使用資訊處理設施
A.15.1.6 加解密控制的管制
Control 129
使用加解密控制應遵循所有相關的協議、法律、和管制
A.15 ComplianceA.15.2 Compliance with security policies and
standards, and technical compliance
A.15.2.1 遵循安全政策和標準
Control 130
管理者應確保他們正確地執行職責領域內所有的安全步驟，
以達成遵循安全政策和標準
A.15.2.2 技術性遵循性查核
Control 131
應定期查核資訊系統遵循安全建置的標準
A.15 ComplianceA.15.3 Information systems audit consideration
A.15.3.1 資訊系統稽核控制
Control 132
牽涉到運作系統的稽核需求和活動，應仔細規劃並共同達
成協議，以降低營運程序中斷的風險到最小
A.15.3.2 保護資訊系統稽核工具
Control 133
應保護到資訊系統工具的存取，以防止任何不正當的使用
或毀損
政策、規範與程序
政策
為什麼?
規範
什麼?
程序
如何?
• 『安全政策』指導使用者、員工與管理者，什麼可以做、
什麼不可以做和什麼必須做，以管理與保護資訊資源，
保證系統持續運作，降低業務損失，維護系統的機密性、
完整性、與可用性。
• 『規範』含有許多份文件，適用於使用資訊的所有企業
面向。規範涵蓋實體、管理與技術層面的安全控管項目，
目的是要保護資訊，通常公司安全相關文件所有的內容
與規劃，會定義在其中一份或多份規範文件裡。
• 『程序』是適用於某一特定工作或是保護某一項資訊財
產的安全步驟。在『規範』文件中會具體說明各種要求，
在『資訊安全程序』會詳細說明達到這些要求，所需執
行的實際作業。
2013年版本:
14個領域
35項目標
114控制措施