ISO27040标准系统强化控制措施

一、条款、目标、控制措施 A、任何操作系统都应该使用的一些最佳实践包括： -删除不需要/未使用的软件； -删除不必要的账户； -更改（例如重命名、禁用、更改任何默认密码等）任何预定义或默认帐户； -只开放所需的网络端口； -从可信来源安装最新补丁； -从可信来源更新固件； -安装和维护恶意软件保护（另见ISO/IEC 27002-2013，12.2）。 B、当存储基础结构的元素收到更新（

ISO27040标准安全设计、会计和监控控制措施

一、条款、目标、控制措施 A、在日志策略中包括存储，以便： B、通过以下方式将外部或集中式事件日志记录到受信任的）远程源 C、确保完成事件日志记录 D、实施适当的保留和保护 二、企业要做的内容 1. 准备《安全审计、会计和监控安全策略》策略文件 三、审核员关注的内容 1.是否依据《安全审计、会计和监控安全策略》实施保护

ISO27040标准保护管理界面的控制措施

一、条款、目标、控制措施 为了保护软件/固件接口，组织应： A、使用防火墙和TCP包装器将对管理网络的访问限制为授权的系统和协议； B、使用实体身份验证在存储系统和管理系统之间建立信任关系： C、利用IDS和IPS机制识别和防范异常行为； D、使用具有适当安全控制的ICT基础设施（域名系统或DNS、服务定位协议或SLP、网络时间协议或NTP），以避免间接攻击； E、使用适当的特

ISO29151标准目的指南

目标 ：在不迟于收集个人身份信息时指出收集个人身份信息的目的，并限制后续使用以达到 原始目的。 控制 组织应该与他们将要收集的PII主体沟通，明确收集、处理PII的目的。这样的通信应 该在PII被收集之前。 保护PII的实施指南 组织应在收集或首次使用信息之前向PII主体传达目的，使用本指南的语言要既清楚又 适合于具体情况，并在处理敏感的PII时给出充分的解释。 通常，

ISO29151标准目的合法性

目标： 确保处理PII的目的符合适用法律，并依赖于可允许的法律依据。 控制 组织应采取适当措施确保PII处理符合适用法律并依赖于可允许的法律依据。 保护PII的实施指南 组织应该： a）提出的处理是基于法律基础（例如，执法、公共安全、法律义务或PII主体的合法 利益）的同意进行的; b）确定拟处理过程是否受法律（例如执法，公共安全或法律义务）的约束，该法律禁 止PI

ISO29151标准PII类型处理的选择

目标 ：在适当和可行的情况下，向PII主体提供：不允许控制者处理PII、拒绝、撤回同意、反对特定类型处理的选择；并向PII主体解释，授予或拒绝同意的含义。 控制 组织应向PII主体提供清晰，突出，易于理解，可访问和负担得起的机制，以便主体行选择权，但PII主体不能自由同意，或适用法律明确允许在未经PII委托人同意的情况下处理PII除外。 保护PII的实施指南 a）确保PII主体