国际标准 - ISO 27002:2022 报告
国际标准 - ISO 27002:2022 合规报告帮助您根据该标准的信息安全指南评估您的网络应用程序的安全性。
关于 ISO 27002:2022
ISO(国际标准化组织)和 IEC(国际电工委员会)构成全球标准化专业体系。
国家机构作为 ISO 或 IEC 的成员,通过各自组织设立的技术委员会参与国际标准的制定,以处理特定领域的技术活动。
ISO 27002 提供了在组织中启动、实施、维护和改进信息安全管理的指南和一般原则。为了实现信息安全,您需要实施一系列控制措施,例如政策、流程、程序、组织结构以及软件和硬件功能。 您必须建立、实施、监控、审查和改进这些控制措施,以满足您组织的特定安全和业务目标。
ISO 27002 旨在作为一个单一的参考点,用于识别行业和商业系统所需的一系列控制措施,制定组织安全标准,并实施有效的安全管理实践。
覆盖的信息
ISO/IEC 27002:2022 是支持 ISO/IEC 27001 的“实践规范”。 它没有设置要求。 相反,它提供了关于如何实施安全控制的详细指导。
控件分为四个大主题:
- 组织控制
- 人员控制
- 物理控制
- 技术控制
涵盖的实体
鼓励所有公司和其他实体采用该标准,并开始改善组织内信息安全管理的过程。
ISO 27002:2022 报告漏洞
下表列出了 AppScan Enterprise 评估的特定 ISO 27002:2022 漏洞组。您应用程序中发现的漏洞将映射到这些漏洞组。
| ID | 名称 |
|---|---|
| 控制 5.14 | 应制定规则、程序或协议,以确保组织内部和与任何外部方的信息安全传输。 |
| 控制 5.15 | 应根据业务和信息安全要求制定并实施控制信息和其他相关资产的物理和逻辑访问的规则。 |
| 控制 5.16 | 应建立并实施一个流程,以管理用户和其他实体身份的整个生命周期。 |
| 控制 5.32 | 应根据法定、监管、合同和业务要求保护记录免受丢失、破坏、伪造、未经授权的访问和未经授权的发布。 |
| 控制 5.33 | 应监控资源的使用,进行调整,并预测未来的容量需求,以确保获得所需的系统性能。 |
| 控制 5.34 | 组织应识别并满足有关保护个人身份信息(PII)的要求,符合适用的法律法规和合同义务。 |
| Control 8.2 | 特权访问权限的分配和使用应受到限制和管理。 |
| Control 8.3 | 信息和其他相关资产的访问应根据已建立的特定主题访问控制策略进行限制。 |
| Control 8.4 | 对源代码、开发工具和软件库的读写访问应适当限制,以防止引入未经授权的功能,并降低错误和恶意代码的风险。 |
| Control 8.5 | 应根据信息访问限制和信息系统的要求实施安全认证技术和程序。 |
| Control 8.7 | 应实施检测、预防和恢复控制以防止恶意软件,并结合适当的用户意识。 |
| Control 8.8 | 应获取使用中信息系统的技术漏洞信息,评估组织对这些漏洞的暴露,并采取适当措施。 |
| Control 8.9 | 硬件、软件、服务和网络的配置,包括安全配置,应建立、记录、实施、监控和审查。 |
| Control 8.12 | 数据泄露防护措施应适用于处理、存储或传输敏感信息的系统、网络和任何其他设备。 |
| Control 8.20 | 应使用连接时间限制为应用程序和系统提供额外的安全性。 |
| Control 8.21 | 不活动的会话应在定义的不活动时间后关闭。 |
| Control 8.24 | 应定义和实施有效使用加密的规则。 |
| Control 8.26 | 在开发和获取应用程序时,应识别、指定和批准应用程序的安全要求,包括从相关信息安全标准和政策中得出的要求。 |
| Control 8.32 | 应管理身份的整个生命周期。 |
| Control 8.33 | 认证信息的分配和管理应由正式的管理流程控制。 |
| Control 8.34 | 信息和其他相关资产的访问权限应根据相关要求定期配置、审查和调整。 |