國際標準 - ISO 27001:2022 報告
國際標準 - ISO 27001:2022 合規報告幫助您根據 ISO 27001:2022 信息安全管理系統 (ISMS) 框架評估您的網絡應用程序的安全性。
關於 ISO 27001:2022
ISO(國際標準化組織)和 IEC(國際電工委員會)針對全球標準化建立了專屬系統。
ISO 或 IEC 的成員國家機構通過各自組織設立的技術委員會參與國際標準的制定,以處理特定技術活動領域。
ISO 27001 的設計旨在提供一個模型,用於建立、實施、運行、監控、審查、維護和改進信息安全管理系統 (ISMS)。
ISO 27001 採用過程方法。本標準中提出的信息安全管理過程方法鼓勵其用戶強調以下重要性:
- 了解組織的信息安全需求以及建立信息安全政策和目標的必要性。
- 在組織整體業務風險的背景下,實施和運行控制以管理組織的信息安全風險。
- 監控和審查 ISMS 的性能和有效性。
- 基於客觀測量的持續改進。
涵蓋的信息
ISO 27001 規範了在組織整體業務風險的背景下,建立、實施、運行、監控、審查、維護和改進文件化的 ISMS 的要求。此標準中規定的要求是通用的,旨在適用於所有組織,無論其類型、規模和性質如何。
涵蓋的實體
ISO 27001 涵蓋所有類型的組織。鼓勵所有公司和其他實體採用該標準並開始改善組織內的信息安全管理的過程。
ISO 27001:2022 報告漏洞
下表列出了評估的特定 ISO 27001:2022 控制。您應用程序中發現的漏洞將映射到這些控制。
| ID | 名稱 |
|---|---|
| 控制 5.14 | 應制定規則、程序或協議,以確保組織內部和與任何外部方的信息安全傳輸。 |
| 控制 5.15 | 應根據業務和信息安全要求建立和實施控制信息和其他相關資產的物理和邏輯訪問的規則。 |
| 控制 5.16 | 應建立和實施一個流程來管理用戶和其他實體身份的完整生命週期。 |
| 控制 5.32 | 記錄應根據法定、監管、合同和業務要求受到保護,以防止丟失、破壞、偽造、未經授權的訪問和未經授權的發布。 |
| Control 5.33 | <uicontrol>資源的使用</uicontrol>應被監控、調整,並對未來的容量需求進行預測,以確保獲得所需的系統性能。 |
| Control 5.34 | 組織應識別並滿足有關保護個人可識別信息(PII)的要求,並根據適用的法律法規和合同義務進行保護。 |
| Control 8.2 | <uicontrol>特權訪問權限的分配和使用</uicontrol>應受到限制和管理。 |
| Control 8.3 | <uicontrol>對信息和其他相關資產的訪問</uicontrol>應根據已建立的特定主題訪問控制政策進行限制。 |
| Control 8.4 | <uicontrol>對源代碼、開發工具和軟件庫的讀寫訪問</uicontrol>應適當限制,以防止未經授權的功能引入,並降低錯誤和惡意代碼的風險。 |
| Control 8.5 | <uicontrol>安全身份驗證技術和程序</uicontrol>應根據信息訪問限制和信息系統的要求實施。 |
| Control 8.7 | <uicontrol>檢測、預防和恢復控制</uicontrol>應用於防範惡意軟件,並結合適當的用戶意識。 |
| Control 8.8 | 應獲取有關所使用資訊系統的技術漏洞的資訊,評估組織對此類漏洞的暴露程度,並採取適當的措施。 |
| 控制 8.9 | 硬體、軟體、服務和網路的配置,包括安全配置,應建立、記錄、實施、監控和審查。 |
| 控制 8.12 | 資料洩漏防護措施應用於處理、存儲或傳輸敏感信息的系統、網絡和任何其他設備。 |
| 控制 8.20 | 限制連接時間應用於為應用程式和系統提供額外的安全性。 |
| 控制 8.21 | 不活動的會話應在定義的非活動時間後關閉。 |
| 控制 8.24 | 應定義並實施加密技術的有效使用規則。 |
| 控制 8.26 | 在開發和獲取應用程式時,應識別、指定和批准應用程式的安全要求,包括從相關資訊安全標準和政策中衍生的要求。 |
| 控制 8.32 | 身份的完整生命週期應被管理。 |
| 控制 8.33 | 身份驗證信息的分配和管理應由正式的管理流程控制。 |
| 控制 8.34 | 對信息和其他相關資產的訪問權限應根據相關要求定期提供、審查和調整。 |