国际标准 - ISO 27001:2022 报告
国际标准 - ISO 27001:2022 合规报告帮助您根据 ISO 27001:2022 信息安全管理体系 (ISMS) 框架评估您的 Web 应用程序的安全性。
关于 ISO 27001:2022
ISO(国际标准化组织)和 IEC(国际电工委员会)构成全球标准化专业体系。
ISO 或 IEC 的成员国通过各自组织设立的技术委员会参与国际标准的制定,以处理特定技术活动领域。
ISO 27001 旨在为建立、实施、运行、监控、审查、维护和改进信息安全管理体系 (ISMS) 提供模型。
ISO 27001 使用过程方法。本标准中提出的信息安全管理过程方法鼓励其用户强调以下重要性:
- 理解组织的信息安全需求以及建立信息安全政策和目标的必要性。
- 在组织整体业务风险的背景下实施和操作控制以管理组织的信息安全风险。
- 监控和审查 ISMS 的性能和有效性。
- 基于客观测量的持续改进。
涵盖的信息
ISO 27001 规定了在组织整体业务风险的背景下,建立、实施、运行、监控、审查、维护和改进文件化的 ISMS 的要求。本标准中规定的要求是通用的,旨在适用于所有组织,无论其类型、规模和性质。
覆盖的实体
ISO 27001 涵盖所有类型的组织。鼓励所有公司和其他实体采用该标准,并开始改善组织内信息安全管理的过程。
ISO 27001:2022 报告漏洞
下表列出了评估的特定 ISO 27001:2022 控制。您应用程序中发现的漏洞将映射到这些控制。
| ID | 名称 |
|---|---|
| 控制 5.14 | 应制定规则、程序或协议,以确保组织内部和与任何外部方的信息安全传输。 |
| 控制 5.15 | 应根据业务和信息安全要求建立和实施控制信息和其他相关资产的物理和逻辑访问的规则。 |
| 控制 5.16 | 应建立和实施一个流程,以管理用户和其他实体身份的完整生命周期。 |
| 控制 5.32 | 记录应根据法律、法规、合同和业务要求受到保护,以防止丢失、破坏、伪造、未经授权的访问和未经授权的发布。 |
| Control 5.33 | 应监控资源的使用情况,进行调整,并预测未来的容量需求,以确保获得所需的系统性能。 |
| Control 5.34 | 组织应识别并满足有关个人可识别信息(PII)保护的要求,符合适用的法律法规和合同义务。 |
| Control 8.2 | 特权访问权限的分配和使用应受到限制和管理。 |
| Control 8.3 | 信息和其他相关资产的访问应根据已建立的特定主题访问控制策略进行限制。 |
| Control 8.4 | 对源代码、开发工具和软件库的读写访问应适当限制,以防止引入未经授权的功能,并降低错误和恶意代码的风险。 |
| Control 8.5 | 应根据信息访问限制和信息系统的要求实施安全认证技术和程序。 |
| Control 8.7 | 应实施检测、预防和恢复控制以防止恶意软件,并结合适当的用户意识。 |
| Control 8.8 | 信息系统中使用的技术漏洞信息应被获取,组织对这些漏洞的暴露情况进行评估并采取适当措施。 |
| Control 8.9 | 硬件、软件、服务和网络的配置,包括安全配置,应被建立、记录、实施、监控和审查。 |
| Control 8.12 | 数据泄漏防护措施应应用于处理、存储或传输敏感信息的系统、网络和任何其他设备。 |
| Control 8.20 | 连接时间的限制应被用来为应用程序和系统提供额外的安全性。 |
| Control 8.21 | 非活动会话应在定义的不活动时间后关闭。 |
| Control 8.24 | 加密的有效使用规则应被定义和实施。 |
| Control 8.26 | 应用程序的安全要求,包括从相关信息安全标准和政策中得出的要求,应在开发和获取应用程序时被识别、指定和批准。 |
| Control 8.32 | 身份的整个生命周期应被管理。 |
| Control 8.33 | 认证信息的分配和管理应由正式的管理流程控制。 |
| Control 8.34 | 信息和其他相关资产的访问权限应根据相关要求定期配置、审查和调整。 |