International Standard - ISO 27002:2022 Report
國際標準 - ISO 27002:2022 合規報告幫助您根據該標準的信息安全指南評估您的網頁應用程式的安全性。
About the ISO 27002:2022
ISO(國際標準化組織)和 IEC(國際電工委員會)針對全球標準化建立了專屬系統。
ISO 或 IEC 的成員國家機構通過各自組織設立的技術委員會參與國際標準的制定,以處理特定技術活動領域。
ISO 27002 提供了在組織中啟動、實施、維護和改進信息安全管理的指南和一般原則。為了實現信息安全,您需要實施一系列控制措施,如政策、流程、程序、組織結構以及軟硬體功能。您必須建立、實施、監控、審查和改進這些控制措施,以滿足您組織的特定安全和業務目標。
ISO 27002 旨在作為識別行業和商業系統所需的一系列控制措施的單一參考點,用於制定組織安全標準和實施有效的安全管理實踐。
Covered information
ISO/IEC 27002:2022 是支持 ISO/IEC 27001 的「實踐守則」。它不設置要求,而是提供有關如何實施安全控制的詳細指導。
這些控制措施分為四個廣泛的主題:
- 組織控制
- 人員控制
- 物理控制
- 技術控制
涵蓋實體
鼓勵所有公司和其他實體採用該標準,並開始改善組織內信息安全管理的過程。
ISO 27002:2022 報告漏洞
下表列出了 AppScan Enterprise 評估的特定 ISO 27002:2022 漏洞組。在您的應用程序中發現的漏洞將映射到這些漏洞組。
| ID | 名稱 |
|---|---|
| 控制 5.14 | 應制定規則、程序或協議,以確保組織內部和任何外部方之間的信息安全傳輸。 |
| 控制 5.15 | 應根據業務和信息安全要求制定並實施控制信息和其他相關資產的物理和邏輯訪問的規則。 |
| 控制 5.16 | 應建立並實施一個流程來管理用戶和其他實體身份的完整生命周期。 |
| 控制 5.32 | 應根據法定、監管、合同和業務要求保護記錄免受丟失、破壞、偽造、未經授權的訪問和未經授權的發布。 |
| 控制 5.33 | 應監控資源的使用,進行調整並預測未來的容量需求,以確保獲得所需的系統性能。 |
| 控制 5.34 | The organization shall identify and meet requirements regarding the protection of personally identifiable information (PII) in accordance with applicable legislation and regulation and contractual obligations. |
| 控制 8.2 | 分配和使用特權訪問權限應受到限制和管理。 |
| 控制 8.3 | 根據已建立的特定主題訪問控制政策,應限制對信息和其他相關資產的訪問。 |
| 控制 8.4 | 應適當限制對源代碼、開發工具和軟件庫的讀寫訪問,以防止引入未經授權的功能,並降低錯誤和惡意代碼的風險。 |
| 控制 8.5 | 應根據信息訪問限制和信息系統的要求實施安全身份驗證技術和程序。 |
| 控制 8.7 | 應實施檢測、預防和恢復控制以防止惡意軟件,並結合適當的用戶意識。 |
| 控制 8.8 | 應獲取使用中信息系統的技術漏洞信息,評估組織對此類漏洞的暴露情況並採取適當措施。 |
| 控制 8.9 | 應建立、記錄、實施、監控和審查硬件、軟件、服務和網絡的配置,包括安全配置。 |
| 控制 8.12 | 資料洩漏防護措施應用於處理、存儲或傳輸敏感信息的系統、網絡和任何其他設備。 |
| Control 8.20 | 應使用連接時間限制來為應用程序和系統提供額外的安全性。 |
| Control 8.21 | 非活動會話應在定義的非活動時間後關閉。 |
| Control 8.24 | 應定義和實施有效使用加密的規則。 |
| Control 8.26 | 應在開發和獲取應用程序時識別、指定和批准應用程序的安全要求,包括從相關信息安全標準和政策中衍生的要求。 |
| Control 8.32 | 應管理身份的完整生命周期。 |
| Control 8.33 | 身份驗證信息的分配和管理應由正式的管理流程控制。 |
| Control 8.34 | 信息和其他相關資產的訪問權限應根據相關要求定期提供、審查和調整。 |