审核魔方---管理体系审核小工具

5.2 组织情景
5.2.1 理解组织及其背景
5.2.2 理解利益相关方的需求和期望
5.2.3 确定信息安全管理体系范围
5.2.4 信息安全管理体系
5.3 领导力
5.3.1 领导力和承诺
5.3.2 方针
5.3.3 组织的角色、职责和权限
5.4 计划
5.4.1 处理风险和机遇的活动
5.4.1.1 概述
5.4.1.2 信息安全风险评估
5.4.1.3 信息安全风险处置
5.4.2 信息安全目标和实现
5.5 支持
5.5.1 资源
5.5.2 能力
5.5.3 沟通
5.5.4 沟通
5.5.5 文件化信息
5.5.5.1 概述
5.5.5.2 建立和更新
5.5.5.3 文档化信息的控制
5.6 运行
5.6.1 运行计划和控制
5.6.2 信息安全风险评估
5.6.3 信息安全风险处置
5.7 绩效评估
5.7.1 监视、测量、分析和评价
5.7.2 内部审核
5.7.3 管理评审
5.8 改进
5.8.1 不符合和纠正措施
5.8.2 持续改进
6 PIMS 关于 ISO/IEC 27002 的具体要求
6.1 概述
6.2 信息安全策略
6.2.1 信息安全管理方向
6.2.1.1 信息安全管理策略
6.2.1.2 信息安全策略评审8
6.3 信息安全组织
6.3.1 内部组织
6.3.1.1 信息安全角色和职责
6.3.1.2 职责分离
6.3.1.3 与监管当局的联系
6.3.1.4 与特定利益团体的联系
6.3.1.5 项目管理中的信息安全
6.3.2 移动设备和远程工作
6.3.2.1 移动设备策略
6.3.2.2 远程工作
6.4 人力资源安全
6.4.1 雇用前
6.4.1.1 筛选
6.4.1.2 雇佣的条件和协议
6.4.2 雇用中
6.4.2.1 管理职责
6.4.2.2 信息安全意识、教育和培训
6.4.2.3 惩戒程序
6.4.3 雇用终止或变更
6.4.3.1 雇用职责的终止或变更
6.5 资产管理
6.5.1 对资产负责
6.5.1.1 资产清单
6.5.1.2 资产所有权
6.5.1.3 资产的可接受使用
6.5.1.4 资产的归还
6.5.2 信息分类
6.5.2.1 信息的类别
6.5.2.2 信息的标记
6.5.2.3 资产的处理
6.5.3 介质处理
6.5.3.1 可移动介质的管理
6.5.3.2 介质的废弃处置
6.5.3.3 物理介质的传递
6.6 访问控制
6.6.1 访问控制的业务要求
6.6.1.1 访问控制策略
6.6.1.2 访问网络和风险服务
6.6.2 用户访问管理
6.6.2.1 用户注册和注销
6.6.2.2 用户服务开通
6.6.2.3 特殊访问权的管理
6.6.2.4 用户秘密认证信息的管理
6.6.2.5 用户访问权的复查
6.6.2.6 访问权的撤销和调整
6.6.3 用户职责
6.6.3.1 秘密认证信息的使用
6.6.4 系统和应用访问控制
6.6.4.1 信息访问控制
6.6.4.2 安全登录程序
6.6.4.3 密码管理系统
6.6.4.4 有特权的实用程序的使用
6.6.4.5 对程序源代码的访问控制
6.7 密码学
6.7.1 密码控制
6.7.1.1 加密控制的使用策略
6.7.1.2 密钥管理
6.8 物理和环境安全
6.8.1 安全区域
6.8.1.1 物理安全边界
6.8.1.2 物理入口控制
6.8.1.3 确保办公室、房间和设施的安全
6.8.1.4 保护免受外部和环境威胁
6.8.1.5 在安全区域工作
6.8.1.6 交货和装货区域
6.8.2 设备
6.8.2.1 设备选址和保护
6.8.2.2 支持性公共事业设备
6.8.2.3 布缆安全
6.8.2.4 设备维修
6.8.2.5 搬迁资产
6.8.2.6 外部设备和资产的安全
6.8.2.7 设备的安全处置和再利用
6.8.2.8 无人值守的用户设备
6.8.2.9 安全桌面和安全屏幕策略
6.9 操作安全
6.9.1 操作程序和职责
6.9.1.1 操作程序文件化
6.9.1.2 变更管理
6.9.1.3 容量管理
6.9.1.4 开发、测试和运行环境分离
6.9.2 防范恶意软件
6.9.2.1 控制恶意软件
6.9.3 备份
6.9.3.1 信息备份
6.9.4 日志和监控
6.9.4.1 事态日志
6.9.4.2 日志信息保护
6.9.4.3 管理员和操作员日志
6.9.4.4 时钟同步
6.9.5 控制操作系统软件
6.9.5.1 在操作系统上安装软件
6.9.6 技术漏洞管理
6.9.6.1 技术漏洞的管理
6.9.6.2 软件安装限制
6.9.7 信息系统审计考量
6.9.7.1 信息系统审计控制
6.10 通信安全
6.10.1 网络安全管理
6.10.1.1 网络控制
6.10.1.2 网络服务安全
6.10.1.3 网络隔离
6.10.2 信息传输
6.10.2.1 信息传输策略和程序
6.10.2.2 信息传输协议
6.10.2.3 电子消息
6.10.2.4 保密或不泄露协议
6.11 系统获取、开发和维护
6.11.1 信息系统的安全要求
6.11.1.1 信息安全需求分析和规格说明
6.11.1.2 保护公共网络上的应用服务
6.11.1.3 保护应用服务事务
6.11.2 开发和支持过程中的安全
6.11.2.1 安全的开发策略
6.11.2.2 系统变更控制程序
6.11.2.3 操作平台更改后的应用技术评审
6.11.2.4 对软件包更改的限制
6.11.2.5 安全系统工程原理
6.11.2.6 安全的开发环境
6.11.2.7 外包开发
6.11.2.8 系统安全测试
6.11.2.9 系统验收测试
6.11.3 测试数据
6.11.3.1 测试数据的保护
6.12 供应商关系
6.12.1 供应商关系中的信息安全
6.12.1.1 供应商关系的信息安全策略
6.12.1.2 解决供应商协议中的安全问题
6.12.1.3 信息和通信技术供应链
6.12.2 供应商服务交付管理
6.12.2.1 监视和评审供应商服务
6.12.2.2 管理供应商服务的变更
6.13 信息安全事件管理
6.13.1 信息安全事件的管理和改进
6.13.1.1 职责和程序
6.13.1.2 报告信息安全事态
6.13.1.3 报告信息安全漏洞
6.13.1.4 评估和决策信息安全事态
6.13.1.5 对信息安全事件的响应
6.13.1.6 从信息安全事件中学习
6.13.1.7 收集证据
6.14 信息安全方面的业务连续性管理
6.14.1 信息安全连续性22
6.14.1.1 规划信息安全连续性
6.14.1.2 实施信息安全连续性
6.14.1.3 验证、更新和评估信息安全连续性
6.14.2 冗余
6.14.2.1 信息处理设施的可用性
6.15 合规性
6.15.1 遵守法律和合同要求
6.15.1.1 确定适用的法律和合同要求
6.15.1.2 知识产权
6.15.1.3 保护记录
6.15.1.4 个人身份信息的隐私和保护
6.15.1.5 加密控制的监管
6.15.2 信息安全评审
6.15.2.1 信息安全独立评审23
6.15.2.2 遵守安全政策和标准
6.15.2.3 技术符合性评审
7 针对 PII 控制者 ISO/IEC 27002 的附加指南
7.1 概述
7.2 收集和处理的条件
7.2.1 识别并记录目的
7.2.2 确定合法的基础
7.2.3 确定何时以及如何获得同意
7.2.4 获得并记录同意
7.2.5 隐私影响评估
7.2.6 与 PII 处理者签订合同
7.2.7 联合 PII 控制者
7.2.8 与 PII 处理相关的记录
7.3 对 PII 主体的义务
7.3.1 确定并履行对 PII 主体的义务
7.3.2 确定 PII 主体的信息
7.3.3 向 PII 主体提供信息
7.3.4 提供修改或撤销同意的机制
7.3.5 提供反对 PII 处理的机制
7.3.6 访问、更正和/或删除
7.3.7 PII 控制者告知第三方的义务
7.3.8 提供已处理 PII 的副本
7.3.9 处理请求
7.3.10 自动决策
7.4 设计的隐私和默认的隐私
7.4.1 限制收集
7.4.2 限制处理
7.4.3 准确性和质量
7.4.4 PII 最小化目标
7.4.5 PII 处理结束时去除标识和删除
7.4.6 临时文件
7.4.7 保留
7.4.8 处置
7.4.9 PII 传输控制
7.5 PII 共享、 转移和披露
7.5.1 确定司法管辖区之间 PII 转移的基础
7.5.2 可以转移 PII 的国家和国际组织
7.5.3 PII 转移记录
7.5.4 向第三方披露 PII 的记录
8 针对 PII 处理者 ISO/IEC 27002 的附加指南
8.1 概述
8.2 收集和处理的条件
8.2.1 客户协议
8.2.2 组织的目的
8.2.3 营销和广告使用
8.2.4 侵权指令
8.2.5 客户义务
8.2.6 与处理 PII 相关的记录
8.3 对 PII 主体的义务37
8.3.1 对 PII 主体的义务
8.4 设计的隐私和默认的隐私
8.4.1 临时文件
8.4.2 归还、转移和处置 PII
8.4.3 PII 传输控制
8.5 PII 共享、 转移和披露
8.5.1 司法管辖区之间 PII 转移的基础
8.5.2 可以转移 PII 的国家和国际组织
8.5.3 向第三方披露 PII 的记录
8.5.4 PII 披露请求的通知
8.5.5 具有法律约束力的 PII 披露
8.5.6 披露用于处理 PII 的分包商
8.5.7 分包商处理 PII 的约束
8.5.8 分包商处理 PII 的变更
A.7.02 收集和处理的条件
A.7.02.01 识别并记录目的 组织应识别并记录 PII 将被处理的具体目的。
A.7.02.02 确定合法的基础
A.7.02.03 确定何时以及如何获得同意
A.7.02.04 获得并记录同意 组织应根据文件化流程获取并记录 PII 主体的同意。
A.7.02.05 隐私影响评估
A.7.02.06 与 PII 处理者签订合同
A.7.02.07 联合 PII 控制者
A.7.02.08 与 PII 处理相关的记录
A.7.03 对 PII 主体的义务
A.7.03.01 确定并履行对 PII 主体的义务
A.7.03.02 确定 PII 主体的信息
A.7.03.03 向 PII 主体提供信息
A.7.03.04 提供修改或撤销同意的机制 组织应为 PII 主体提供修改或撤销其同意的机制。
A.7.03.05 提供反对 PII 处理的机制 组织应为 PII 主体提供一种机制，以反对处理其 PII。
A.7.03.06 访问、更正和/或删除
A.7.03.07 PII 控制者告知第三方的义务
A.7.03.08 提供已处理 PII 的副本 组织应能够在 PII 主体要求时，提供被处理 PII 的副本。
A.7.03.09 处理请求
A.7.03.010 自动决策
A.7.04 设计的隐私和默认的隐私
A.7.04.01 限制收集
A.7.04.02 限制处理
A.7.04.03 准确性和质量
A.7.04.04 PII 最小化目标
A.7.04.05 PII 处理结束时去除标识和删除
A.7.04.06 临时文件
A.7.04.07 保留 组织保留 PII 的时间不应超过处理 PII 所需的时间。
A.7.04.08 处置 组织应具有处置 PII 的文件化政略、程序和/或机制。
A.7.04.09 PII 传输控制
A.7.05 PII 共享、转移和披露
A.7.05.01 确定司法管辖区之间 PII 转移的基础 组织应确定并记录管辖区之间 PII 转移的相关基础。
A.7.05.02 可以转移 PII 的国家和国际组织 组织应指定并记录可能转移 PII 的国家和国际组织。
A.7.05.03 PII 转移记录
A.7.05.04 向第三方披露 PII 的记录
B.8.02 收集和处理的条件
B.8.02.01 客户协议
B.8.02.02 组织的目的
B.8.02.03 营销和广告使用
B.8.02.04 侵权指令 如果处理指令违反适用了法律和/或法规，组织应通知客户。
B.8.02.05 客户义务 组织应向客户提供适当的信息，以便客户证明其履行义务。
B.8.02.06 与处理 PII 相关的记录
B.8.03 对 PII 主体的义务
B.8.03.01 对 PII 主体的义务 组织应为客户提供遵守与 PII 主体相关义务的方法。
B.8.04 设计的隐私和默认的隐私
B.8.04.01 临时文件
B.8.04.02 归还、转移和处置 PII 组织应提供以安全的方式收回、转移和/或处置 PII 的能力。
B.8.04.03 PII 传输控制
B.8.05 PII 共享、转移和披露
B.8.05.01 司法管辖区之间 PII 转移的基础
B.8.05.02 可以转移 PII 的国家和国际组织 组织应指定并记录可能转移 PII 的国家和国际组织。
B.8.05.03 向第三方披露 PII 的记录 组织应记录向第三方的 PII 披露，包括已披露的 PII，向谁和何时披露。
B.8.05.04 PII 披露请求的通知 组织应通知客户任何具有法律约束力的 PII 披露的请求。
B.8.05.05 具有法律约束力的 PII 披露
B.8.05.06 披露用于处理 PII 的分包商 组织应在使用前，披露任何 PII 处理分包商。
B.8.05.07 分包商处理 PII 的约束 组织应仅依据客户合同雇用分包商处理 PII。
B.8.05.08 分包商处理 PII 的变更