ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 1 / 37
ISO/IEC 27001:2013
Information Security Management Systems
Just for Customer
Guide Series
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 2 / 37
1 Scope
This International Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.
1 āļāļāļāļāļēāļĒ
āļĄāļģāļāļĢāļāļģāļāļŠāļģāļāļĨāļāļāļāļ āļĢāļ°āļāļāļāļ āļģāļŦāļāļāđāļāļāļģāļĢāļāļāļāļ āļāļģāļĢāļ āļģāļāļāļāļ āļāļģāļĢāļĢāļāļĐāļģāđāļŦ āļāļāđāļ§ āđāļĨāļ°āļāļģāļĢāļāļĢāļāļāļĢāļāļāļāļāļģāļāļĒāļģāļāļāļāđāļāļāļ āļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļ
āļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļ āļģāļĒāđāļāļāļĢāļāļāļāļāļāļāļāļāļāļĢ āđāļĨāļ°āļĒāļāļĢāļ§āļĄāļāļāļāļāļ āļģāļŦāļāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļĢāļ°āđāļĄāļāđāļĨāļ°āļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļĢāļāđāļŦāđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļ§āļģāļĄāļ āļģāđāļāļāļāļāļāļāļāļāļāļĢ āļāļāļ āļģāļŦāļāļāļāļĢāļ°āļāđāļ
āļĄāļģāļāļĢāļāļģāļāļŠāļģāļāļĨāļāļāļāļ āđāļāļāļāļāļ āļģāļŦāļāļāļāļ§āđāļ āđāļāļĒāļĄāļ§āļāļāļāļĢāļ°āļŠāļāļāđāļāļāđāļŦāļŠāļģāļĄāļģāļĢāļāđāļāđāļāļāļāļāļāļāļāļāļāļĢ āđāļĄāļ§āļģāļāļ°āļĄāļāļāļģāļ āļāļĢāļ°āđāļ āļ āļŦāļĢāļāļĨāļāļĐāļāļ°āđāļāļāļāļģāļĄ āļāļģāļĢāļĒāļāđāļ§āļāļāļāļ āļģāļŦāļāļāđāļāđ āļāļĢāļ°āļāđāļ§āđāļāļāļāļ āļģāļŦāļāļ 4 āļāļ āļāļāļ āļģāļŦāļāļ 10 āđāļĄāļŠāļģāļĄāļģāļĢāļāļĒāļāļĄāļĢāļāđāļāđāļĄāļāļāļāļāļāļĢāļāļģāļāļāļ§āļģāļĄāļŠāļāļāļāļĨāļāļāļāļāļĄāļģāļāļĢāļāļģāļāļ
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology â Security techniques â Information security management systems â Overview and vocabulary
2 āļāļēāļĢāļāļēāļāļāļāđāļāļāļāļĢāļĢāļāļāļāļēāļ
āđāļāļāļŠāļģāļĢāļāļāđāļāļ, āļāļāļŦāļĄāļāļŦāļĢāļāļāļģāļāļŠāļ§āļ, āļāļāļāļģāļāļāļāđāļ§āđāļāđāļāļāļŠāļģāļĢāļāļāļāļāđāļāļ
āļāļĢāļĢāļāļāļāļģāļ āđāļĨāļ°āđāļāļāļŠāļāļāļāļģāļāđāļĄāđāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļ āļģāđāļāļāļĢāļ°āļĒāļāļāđāļ āļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļģāļāļāļāļ§āļāļāđāļāļāļŠāļģāļĢāļĢāļ°āļāļāļģāļ Edition āļāļ āļģāļŦāļāļāļ§āļāļāđāļ§ āļāļĢāļāļāđāļĄāļĢāļ°āļāļ§āļāļ āđāļŦ āļāļģāļāļāļāļāļģāļ Edition āļĨāļģāļŠāļāļāļāļāđāļāļāļŠāļģāļĢāļāļģāļāļāļ (āļĢāļ§āļĄāļāļāđāļāļāļŠāļģāļĢāđāļāļĄāđāļāļĄāđāļāđ)
ISO/IEC 27000, Information technology â Security techniques â āļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ â āļ āļģāļāļĢāļ§āļĄāđāļĨāļ°āļ āļģāļĻāļāļ
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply.
3 āļ āļēāļĻāļāļāđāļĨāļ°āļāļĒāļēāļĄ
āļāļģāļĄāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāđāļāļāļŠāļģāļĢāļāļāļāļ āļ āļģāļĻāļāļāđāļĨāļ°āļāļĒāļģāļĄ āļĢāļ°āļāđāļ§āđāļāļĄāļģāļāļĢāļāļģāļ ISO/IEC 27000
4 Context of the organization 4 āļāļĢāļāļāļāļāļāļāļāļāļāļĢ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 3 / 37
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009[5].
4.1 āļāļ§āļēāļĄāđāļāļēāđāļāđāļāļāļāļāļāļĢāđāļĨāļ°āļāļĢāļāļāļāļāļāļāļāļāļāļĢ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļāļāļĢāļ°āđāļāļāļ āļģāļĒāļāļāļāđāļĨāļ°āļ āļģāļĒāđāļāļāļģāļāđ āļāđāļāļĒāļ§āļāļāļāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļāļĢāđāļĨāļ°āļāļĄāļāļĨāļāļĢāļ°āļāļāļāļāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļāđāļāļāļģāļĢāļāļĢāļĢāļĨāļāļĨāļĨāļāļāļāļģāļĄāļāļāļāđāļāđāļ§āļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļģāļĢāļ āļģāļŦāļāļāļāļĢāļ°āđāļāļāļāļāļāļĨāļģāļ§ āļāļģāļāļāļāļāļģāļĢāļāļāļāļāļāļĢāļāļāļ āļģāļĒāļāļāļāđāļĨāļ°āļ āļģāļĒāđāļāļāļāļāļāļāļāļāļĢ āļāļāļāļāļģāļĢāļāļģāļāļģāļĄāļāļāļ āļģāļŦāļāļ 5.3 āļāļāļāļĄāļģāļāļĢāļāļģāļ ISO
31000:2009[5].
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
a) interested parties that are relevant to the information security management system; and
b) the requirements of these interested parties relevant to information security.
NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations.
4.2 āļāļ§āļēāļĄāđāļāļēāđāļāđāļāļāļ§āļēāļĄāļāļāļāļāļēāļĢāđāļĨāļ°āļāļ§āļēāļĄāļāļēāļāļŦāļ§āļāļāļāļāļāļ
āļŠāļāđāļ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļ
a) āļāļāļŠāļāđāļ (Interested Parties) āļāđāļāļĒāļ§āļāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°
b) āļāļāļ āļģāļŦāļāļāļāļāļāļāļāļŠāļāđāļāļāļāļāļĨāļģāļ§ āļāđāļāļĒāļ§āļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļāļ āļģāļŦāļāļāļāļāļāļāļāļŠāļāđāļ āļāļģāļāļĢāļ§āļĄāļāļāļāļāļāļāļŦāļĄāļģāļĒ āļāļāļ āļģāļŦāļāļ
āļāļāļĢāļ°āđāļāļĒāļāļāļāļāļ āđāļĨāļ°āļāļāļāļāļāļāļāļģāļĄāļŠāļāļāļģ
4.3 Determining the scope of the information security management system
The organization shall determine the boundaries and applicability of the information security management system to establish its scope.
When determining this scope, the organization shall consider:
4.3 āļāļēāļĢāļ āļēāļŦāļāļāļāļāļāļāļēāļĒāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļāļāļāļāđāļāļāđāļĨāļ°āļāļģāļĢāļāļāļāļāđāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļāļāļāļāļāļāļāļāļāļāļģāļĒāļāļāļāļĢāļ°āļāļ
āđāļĄāļāļ āļģāļŦāļāļāļāļāļāļāļģāļĒāļ āļāļāļāļāļĢāļāļāļāļāļāļģāļĢāļāļģ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 4 / 37
a) the external and internal issues referred to in 4.1;
b) the requirements referred to in 4.2; and
c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.
The scope shall be available as documented information.
a) āļāļĢāļ°āđāļāļāļ āļģāļĒāļāļāļāđāļĨāļ°āļ āļģāļĒāđāļ āļāļāļģāļāļāļāđāļāļāļāļ āļģāļŦāļāļ 4.1
b) āļāļ§āļģāļĄāļāļāļāļāļģāļĢ āļāļāļģāļāļāļāđāļāļāļāļ āļģāļŦāļāļ 4.2 āđāļĨāļ°
c) āļāļ§āļģāļĄāļŠāļĄāļāļāļāđāļāļāļĄāđāļĒāļāđāļĨāļ°āļāļāļāļāļāļāļĢāļ°āļŦāļ§āļģāļāļāļāļāļĢāļĢāļĄāļāļāļāļāļāļĢāļ āļģāđāļāļāļāļģāļāđāļāļ āđāļĨāļ°āļāļāļāļĢāļĢāļĄāđāļŦāļĨāļģāļāļ āļāļ āļģāđāļāļāļāļģāļāđāļāļĒāļāļāļāļāļĢāļāļ
āļāļāļāļāļģāļĒāļāļāļāđāļāļāļāļāļĄāļĨāļāļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
4.4 Information security management system
The organization shall establish, implement, maintain and continually improve an information security management system, in accordance with the requirements of this International Standard.
4.4 āļĢāļ°āļāļāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāļāļāļāļ āļ āļģāđāļāļāļāļāļ āļĢāļāļĐāļģāđāļŦāļāļāđāļ§ āđāļĨāļ°āļāļĢāļāļāļĢāļāļāļāļāļģāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĒāļģāļāļāļāđāļāļāļ āđāļāļāđāļŦāļŠāļāļāļāļĨāļāļ
āļāļāļāļāļ āļģāļŦāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļāļŠāļģāļāļĨāļāļāļāļ
5 Leadership
5.1 Leadership and commitment
When determining this Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b) ensuring the integration of the information security management system requirements into the organizationâs processes;
c) ensuring that the resources needed for the information security management system are available;
d) communicating the importance of effective information security management and of conforming to the information security
5 āļ āļēāļ§āļ°āļāļ āļē
5.1 āļ āļēāļ§āļ°āļāļ āļēāđāļĨāļ°āļāļāļāļŠāļāļāļē
āļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļāļāļāļāđāļŠāļāļāđāļŦāđāļŦāļāļāļāļāļ§āļģāļĄāđāļāļāļāļ āļģāđāļĨāļ°āļāļāļāļŠāļāļāļģāļāļĄāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļāļĒ
a) āļ āļģāđāļŦāļĄāļāđāļāļ§āļģāļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļāļāļ āļģāļāļ āđāļĨāļ°
āļŠāļāļāļāļĨāļāļāļāļāļāļĻāļāļģāļāđāļāļāļāļĨāļĒāļāļāļāļāļāļāļāļāļāļĢ
b) āļ āļģāđāļŦāļĄāļāđāļāļ§āļģāļĄāļāļģāļĢāļāļŠāļĄāļāļŠāļģāļāļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļģāđāļāļāļāļ§āļāđāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāđ āļāļāļāļāļāļāļāļĢ
c) āļ āļģāđāļŦāļĄāļāđāļāļ§āļģāļĄāļāļĢāļāļĒāļģāļāļĢāļāļ āļģāđāļāļāļŠ āļģāļŦāļĢāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
d) āļāļģāļĢāļŠāļāļŠāļģāļĢāļāļāļāļ§āļģāļĄāļŠ āļģāļāļāļāļāļāļāļĢāļ°āļŠāļāļāļāļĨāđāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļ
āļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļ§āļģāļĄāļŠāļāļāļāļĨāļāļāļāļāļāļāļ āļģāļŦāļāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 5 / 37
management system requirements;
e) ensuring that the information security management system achieves its intended outcome(s);
f) directing and supporting persons to contribute to the effectiveness of the information security management system;
g) promoting continual improvement; and
h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
e) āļ āļģāđāļŦāļĄāļāđāļāļ§āļģāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĢāļĢāļĨāļāļĨāļāļģāļĄāļāļāļāđāļāđāļ§
f) āļāļģāļĢāļŠāļāļāļģāļĢāđāļĨāļ°āđāļŦāļāļģāļĢāļŠāļāļāļŠāļāļāļāļāļĄāļŠāļ§āļāļĢāļ§āļĄāļāļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
g) āļāļģāļĢāļŠāļāđāļŠāļĢāļĄāļāļģāļĢāļāļĢāļāļāļĢāļāļāļāļāļģāļāļĒāļģāļāļāļāđāļāļāļ
h) āļāļģāļĢāļŠāļāļāļŠāļāļāļāļāļāļĄāļāļāļāļģāļāđāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāđāļāļĒāļ§āļāļāļ āđāļāļāđāļŠāļāļāļāļ§āļģāļĄāđāļāļāļāļ āļģāļāļģāļĄāļāļāļāđāļāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļāļāļāļāļāļĨāđāļŦāļĨāļģāļāļ
5.2 Policy
Top management shall establish an information security policy that:
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system.
The information security policy shall:
e) be available as documented information;
f) be communicated within the organization; and
g) be available to interested parties, as appropriate.
5.2 āļāđāļĒāļāļēāļĒ
āļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļāļāļāļāļ āļģāļŦāļāļāļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļ
a) āđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļāļāļāļāļĢ
b) āļĢāļ§āļĄāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ (āļāļāļāļ āļģāļŦāļāļ 6.2) āļŦāļĢāļāļĄāđāļāļģāđāļāļĢāļāļĢāļģāļ (Framework) āđāļāļāļ āļģāļŦāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
c) āļĢāļ§āļĄāļāļāļāļāļāļŠāļāļāļģ āđāļāļāđāļŦāđāļāļāđāļāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļģāļāđ āļāđāļāļĒāļ§āļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°
d) āļĢāļ§āļĄāļāļāļāļāļāļŠāļāļāļģ āđāļāļāļāļģāļĢāļāļĢāļāļāļĢāļāļāļĒāļģāļāļāļāđāļāļāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢ
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļ
e) āđāļāļāļāļāļĄāļĨāļāļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
f) āļ āļģāđāļāļŠāļāļŠāļģāļĢāļ āļģāļĒāđāļāļāļāļāļāļĢ āđāļĨāļ°
g) āļāļāđāļŦāđāļāļāļāļŠāļāđāļāļāļģāļĄāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 6 / 37
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated.
Top management shall assign the responsibility and authority for:
a) ensuring that the information security management system conforms to the requirements of this International Standard; and
b) reporting on the performance of the information security management system to top management.
NOTE Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
5.3 āļāļāļāļēāļ āļāļ§āļēāļĄāļĢāļāļāļāļāļāļ āđāļĨāļ°āļ āļēāļāļēāļāļŦāļāļēāļ
āļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļāļāļāļāļĄāļāđāļāļ§āļģ āļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļĨāļ°āļ āļģāļāļģāļāļŦāļāļģāļāļŠ āļģāļŦāļĢāļāļāļāļāļģāļāļāđāļāļĒāļ§āļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļāļĄāļāļģāļĢāļĄāļāļāļŦāļĄāļģāļĒāđāļĨāļ°āļĄāļāļģāļĢāļŠāļāļŠāļģāļĢ
āļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļāļāļāļāļĄāļāļāļŦāļĄāļģāļĒāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļĨāļ°āļ āļģāļāļģāļāļŦāļāļģāļ āļŠ āļģāļŦāļĢāļ
a) āļāļģāļĢāļ āļģāđāļŦāļĄāļāđāļāđāļāļ§āļģāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļŠāļāļāļāļĨāļāļāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļāļāļāļāļ āđāļĨāļ°
b) āļāļģāļĢāļĢāļģāļĒāļāļģāļāļāļāļāļĢāļ°āļŠāļāļāļ āļģāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļ āļĒāļāļāļģāļāļĄāļāļāļŦāļĄāļģāļĒāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļĨāļ°āļ āļģāļāļģāļ
āļŦāļāļģāļāđāļāļāļāļģāļĢāļĢāļģāļĒāļāļģāļāļāļĢāļ°āļŠāļāļāļ āļģāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļ āļģāļĒāđāļāļāļāļāļāļĢāđāļāđāļāļāļāļ
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
a) ensure the information security management system can achieve its intended outcome(s);
b) prevent, or reduce, undesired effects; and
6 āļāļēāļĢāļ§āļēāļāđāļāļ
6.1 āļāļēāļĢāļ āļēāđāļāļāļāļēāļĢāđāļāļāļāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĒāļāđāļĨāļ°āđāļāļāļēāļŠ
6.1.1 āļ āļ§āđāļ
āđāļĄāļāļ āļģāļāļģāļĢāļ§āļģāļāđāļāļāļŠ āļģāļŦāļĢāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļĢāļāļāļāļāļāļģāļĢāļāļģāļāļāļāļĢāļ°āđāļāļāļāļģāļāđ āļāļāļģāļāļāļāđāļāļāļāļ āļģāļŦāļāļ 4.1
āđāļĨāļ°āļāļāļ āļģāļŦāļāļāļāļģāļāđ āļāļāļģāļāļāļāđāļāļāļāļ āļģāļŦāļāļ 4.2 āđāļĨāļ°āļ āļģāļŦāļāļāļāļ§āļģāļĄāđāļŠāļĒāļāđāļĨāļ°āđāļāļāļģāļŠāļāļ āļģāđāļāļāļāļāļāļāļāļāļģāļĢ āđāļāļ
a) āđāļŦāļĄāļāđāļāļ§āļģāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļŠāļģāļĄāļģāļĢāļāļāļĢāļĢāļĨāļāļĨāļāļģāļĄāļāļāļĨāļĨāļāļāļāļāļāđāļāđāļ§
b) āļāļāļāļāļāļŦāļĢāļāļĨāļāļāļĨāļāļĢāļ°āļāļāļāđāļĄāļāļāļāļĢāļģāļĢāļāļāļģ āđāļĨāļ°
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 7 / 37
c) achieve continual improvement
The organization shall plan:
d) actions to address these risks and opportunities; and
e) how to
1) integrate and implement the actions into its information security management system processes; and
2) evaluate the effectiveness of these actions.
c) āđāļŦāļāļĢāļĢāļĨāđāļāļģāļŦāļĄāļģāļĒāļāļāļāļāļģāļĢāļāļĢāļāļāļĢāļāļāļĒāļģāļāļāļāđāļāļāļ
āļāļāļāļāļĢāļāļāļāļ§āļģāļāđāļāļ
d) āļāļģāļĢāļ āļģāđāļāļāļāļģāļĢāđāļāļāļāļāļāļģāļĢāļāļāļāļ§āļģāļĄāđāļŠāļĒāļāđāļĨāļ°āđāļāļāļģāļŠ āđāļĨāļ°
e) āļ§āļāļāļģāļĢ
1) āļāļāļ§āļāļĢāļ§āļĄ āđāļĨāļ°āļ āļģāļāļģāļĢāļ āļģāđāļāļāļāļģāļĢāđāļāļāļāļāļāđāļŦāđāļāļģāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°
2) āļāļĢāļ°āđāļĄāļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļāļģāļĢāļ āļģāđāļāļāļāļģāļĢāļāļāļāļĨāļģāļ§
6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
a) establishes and maintains information security risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2) identify the risk owners;
d) analyses the information security risks:
1) assess the potential consequences that would result if the risks
6.1.2 āļāļēāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļēāļĄāđāļŠāļĒāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļ
āļŠāļēāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļāđāļĨāļ°āļāļĢāļ°āļĒāļāļāđāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄ
āļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļāļĒ
a) āļāļāļāļāđāļĨāļ°āļĢāļāļĐāļģāđāļāļāļāļāļ§āļģāļĄāđāļŠāļĒāļ (Risk Criteria) āļāļģāļāļāļ§āļģāļĄāļĄāļāļāļ
āļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļĢāļ§āļĄāļāļ
1) āđāļāļāļāļāļģāļĢāļĒāļāļĄāļĢāļāļāļ§āļģāļĄāđāļŠāļĒāļ (Risk Acceptance Criteria) āđāļĨāļ°
2) āđāļāļāļāļŠ āļģāļŦāļĢāļāļ āļģāđāļāļāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
b) āļ āļģāđāļŦāļĄāļāđāļāļ§āļģāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļāļāļĨāļģāļ§āļŠāļģāļĄāļģāļĢāļāļ āļģāļ āļģ āđāļĨāļ°āđāļāļāļĨāļĨāļāļāļāļāļĢāļāļāļ āļāļāļāļāļ āđāļĨāļ°āļŠāļģāļĄāļģāļĢāļāđāļāļĢāļĒāļāđāļāļĒāļāđāļ
c) āļĢāļ°āļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
1) āļāļĢāļ°āļĒāļāļāđāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļāļāļĢāļ°āļāļāļ§āļģāļĄāđāļŠāļĒāļāļāđāļāļĒāļ§āļāļāļāļāļāļāļģāļĢāļŠāļāđāļŠāļĒāļāļ§āļģāļĄāļĨāļ āļāļ§āļģāļĄāļāļāļāļāļāļŠāļĄāļāļĢāļ āđāļĨāļ°āļāļ§āļģāļĄāļāļĢāļāļĄāđāļāļāļģāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļ āļģāļĒāđāļāļāļāļāđāļāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 8 / 37
identified in 6.1.2 c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
3) determine the levels of risk;
e) evaluates the information security risks:
1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.
2) āļĢāļ°āļāļāđāļāļāđāļāļģāļāļāļāļāļ§āļģāļĄāđāļŠāļĒāļ (Risk Owner)
d) āļ§āđāļāļĢāļģāļ°āļŦāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
1) āļāļĢāļ°āđāļĄāļāļāļĨāļāļĢāļ°āļāļāļāđāļāļāđāļāđāļ āļāļģāļāļ§āļģāļĄāđāļŠāļĒāļāļāļĢāļ°āļāđāļ§āđāļāļāļāļ āļģāļŦāļāļ 6.1.2 c) āđāļāļāļāļāļāļĢāļ
2) āļāļĢāļ°āđāļĄāļāđāļāļāļģāļŠāļāļŠāļĄāđāļŦāļāļāļĨ āļāļāļāļāļģāļĢāđāļāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļĢāļ°āļāđāļ§āđāļ
āļāļāļ āļģāļŦāļāļ 6.1.2 c) āđāļĨāļ°
3) āļ āļģāļŦāļāļāļĢāļ°āļāļāļāļģāļāļ§āļģāļĄāđāļŠāļĒāļ
e) āļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
1) āđāļāļĢāļĒāļāđāļāļĒāļāļāļĨāļāļģāļĢāļ§āđāļāļĢāļģāļ°āļŦāļāļ§āļģāļĄāđāļŠāļĒāļāļāļāđāļāļāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļāļāļāļāđāļāļāļāļ āļģāļŦāļāļ 6.1.2 a) āđāļĨāļ°
2) āļāļāļĨ āļģāļāļāļāļ§āļģāļĄāļŠ āļģāļāļāļāļāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāđāļāļ§āđāļāļĢāļģāļ°āļŦāđāļĨāļ§ āđāļāļāļāļģāļĢāļāļāļāļģāļĢ
āļāļ§āļģāļĄāđāļŠāļĒāļ
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļāļĒāļ§āļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļĢāļ°āđāļĄāļ
āļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
a) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
NOTE Organizations can design controls as required, or identify them from any source.
c) compare the controls determined in 6.1.3 b) above with those in
6.1.3 āļāļēāļĢāļāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĒāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļāđāļĨāļ°āļāļĢāļ°āļĒāļāļāđāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļāļ
a) āđāļĨāļāļāļāļ§āđāļĨāļāļāļāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļāļĒāļāļāļģāļĢāļāļģāļāļģāļāļāļĨāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļ
b) āļ āļģāļŦāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ (Controls) āļāļāļŦāļĄāļāļāļ āļģāđāļāļ āđāļāļāļ āļģāđāļāđāļāļāļģāļĄāļāļ§āđāļĨāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāđāļāđāļĨāļāļāđāļ§
āļŦāļĄāļģāļĒāđāļŦāļ āļāļāļāļāļĢāļŠāļģāļĄāļģāļĢāļāļāļāļāđāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĄāļāļāļāļāļāļģāļĢ āļŦāļĢāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 9 / 37
Annex A and verify that no necessary controls have been omitted;
NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked
NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
d) .produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
e) formulate an information security risk treatment plan; and f) obtain risk ownersâ approval of the information security risk
treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].
āļĢāļ°āļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļāđāļŦāļĨāļāļāļģāļāļāļāđāļāđ
c) āđāļāļĢāļĒāļāđāļāļĒāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļ āļģāļŦāļāļāđāļ§āđāļāļāļāļ āļģāļŦāļāļ 6.1.3 b) āļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāđāļ Annex A āđāļĨāļ°āļāļ§āļāļŠāļāļāļ§āļģāđāļĄāļĄāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļ āļģāđāļāļāđāļāđ āđāļāļĨāļ°āđāļ§āļāļāļāļāđāļ
āļŦāļĄāļģāļĒāđāļŦāļ 1 Annex A āļāļĢāļ°āļāļāļāļāļ§āļĒ āļĢāļģāļĒāļāļģāļĢāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ āđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ āļāđāļāļĄāļģāļāļĢāļāļģāļāļāļāļāļ āđāļāļĢāļāļāļģāļĢāļāđāļāļ°āđāļāļ
Annex A āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāđāļĄāļĄāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļ āļģāđāļāļāđāļāđ āļāļāļĄāļāļāļāļģāļĄāđāļ
āļŦāļĄāļģāļĒāđāļŦāļ 2 āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāļĢāļ§āļĄāđāļāļāđāļ§āļāļāļĄāļģāļāļĢāļāļģāļĢ
āļāļ§āļāļāļĄāļāđāļĨāļāļ āļĢāļģāļĒāļāļģāļĢāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāđāļ Annex A āđāļĄāđāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāļŦāļĄāļāļāļāļŠāļ āđāļĨāļ°āļāļģāļĢāđāļāļĄāđāļāļĄāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ āđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāđ āļāļģāļāļĄāļāļ§āļģāļĄ
āļ āļģāđāļāļ
d) āļāļāļ āļģāđāļāļāļŠāļģāļĢāđāļŠāļāļāļāļģāļĢāļāļĢāļ°āļĒāļāļāđāļ (Statement of Applicability)
āļāļĢāļ°āļāļāļāļāļ§āļĒ āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļ āļģāđāļāļ (āļāļāļāļ āļģāļŦāļāļ 6.1.3 b) āđāļĨāļ° c)) āđāļĨāļ°āđāļŦāļāļāļĨāļāļāļāļāļģāļĢāļ āļģāļĄāļģāđāļ āđāļĄāļ§āļģāļāļ°āļ āļģāđāļāļ āļģāđāļāļāļāļģāļĢāđāļĨāļ§āļŦāļĢāļāđāļĄāļāļāļģāļĄ āđāļĨāļ°āđāļŦāļāļāļĨāļāļāļāļāļģāļĢāļĨāļ°āđāļ§āļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļ Annex A
e) āļāļāļ āļģāđāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°
f) āļāļāļāļāļĄāļāđāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļ
āļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļģāļĢāļĒāļāļĄāļĢāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļŦāļĨāļāđāļŦāļĨāļāļāļĒ (Residual Risks) āļāļģāļāļāđāļāļāđāļāļģāļāļāļāļāļ§āļģāļĄāđāļŠāļĒāļ
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļāļĒāļ§āļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļāļāļģāļĢ
āļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļĄāļģāļāļĢāļāļģāļāļāļāļāļ āļŠāļāļāļāļĨāļāļāļāļĨāļāļŦāļĨāļāļāļģāļĢāđāļĨāļ°āđāļāļ§āļāļģāļāđāļāļĒāļāļ§āđāļāļāļĢāļ°āļāđāļ§āđāļāļĄāļģāļāļĢāļāļģāļ ISO 31000[5].
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 10 / 37
6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels.
The information security objectives shall:
a) be consistent with the information security policy;
b) be measurable (if practicable);
c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
d) be communicated; and
e) be updated as appropriate.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
f) what will be done;
g) what resources will be required;
h) who will be responsible;
i) when it will be completed; and
j) how the results will be evaluated.
6.2 āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļēāļĢāļ§āļēāļāđāļāļāđāļāļāļāļēāļĢāļāļĢāļĢāļĨāļāļĨ
āļāļāļāļāļĢāļāļāļāļāļāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļģāļĢāļāļāļāļāļāļģāļ (Functions) āđāļĨāļ°āļĢāļ°āļāļ (Levels) āļāđāļāļĒāļ§āļāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļ
a) āļŠāļāļāļāļĨāļāļāļāļāļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
b) āļŠāļģāļĄāļģāļĢāļāļ§āļāļāļĨāđāļ (āļāļģāļāļāļāļāđāļ)
c) āļāļāļģāļĢāļāļģāļāļāļāļāļ āļģāļŦāļāļāļāļģāļāđ āļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āđāļĨāļ°āļāļĨāļĨāļāļāļāļģāļāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāđāļĨāļ°āļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļ
d) āđāļāļĢāļāļāļģāļĢāļŠāļāļŠāļģāļĢ āđāļĨāļ°
e) āđāļāļĢāļāļāļģāļĢāļāļĢāļāļāļĢāļāļāļģāļĄāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļāļĒāļ§āļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āđāļĄāļāļ§āļģāļāđāļāļāļ§āļāļāļģāļĢāđāļāļāđāļŦāļāļĢāļĢāļĨāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļ
f) āļāļāļāļĢāļĢāļĄāļāļāļ°āļ āļģāđāļŦāđāļŠāļĢāļ
g) āļāļĢāļāļĒāļģāļāļĢāļāļģāļāđ āļāļāļ°āļāļāļāļāļģāļĢ
h) āđāļāļĢāļāļ°āđāļāļāļāļĢāļāļāļāļāļāļ
i) āđāļĄāļāđāļŦāļĢāļāļāļ°āđāļĨāļ§āđāļŠāļĢāļ āđāļĨāļ°
j) āļāļĨāļĨāļāļāļāđāļāļāļ°āļāļĢāļ°āđāļĄāļāļāļĒāļģāļāđāļĢ
7 Support 7 āļāļēāļĢāļŠāļāļāļŠāļāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 11 / 37
7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.
7.1 āļāļĢāļāļĒāļēāļāļĢ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļ āđāļĨāļ°āļāļāļŦāļģāļāļĢāļāļĒāļģāļāļĢāļāļ āļģāđāļāļāđāļāļāļģāļĢāļāļāļāļ āļāļģāļĢāļ āļģāđāļāļāļāļāļ āđāļĨāļ°āļāļģāļĢāļĢāļāļĐāļģāđāļŦāļāļāđāļ§ āđāļĨāļ°āļāļģāļĢāļāļĢāļāļāļĢāļāļāļāļāļģāļāļĒāļģāļāļāļāđāļāļāļ āļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
7.2 Competence
The organization shall:
a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions may include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
7.2 āļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļ
āļāļāļāļāļĢāļāļāļ
a) āļ āļģāļŦāļāļāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļāļāļ āļģāđāļāļāļāļāļāļāļāļĨāļģāļāļĢāļāļāļāļāļāļāļģāļāļāļĒāļ āļģāļĒāđāļāļāļģāļĢ
āļāļ§āļāļāļĄāļāļāļāļāļāļāļāļĢ āļāļāļŠāļāļāļĨāļāļāļāļĢāļ°āļŠāļāļāļ āļģāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
b) āļ āļģāđāļŦāļĄāļāđāļāļ§āļģāļāļāļĨāļģāļāļĢāļāļāļāļĨāļģāļ§āļĄāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļāļāļģāļāļāļāļāļģāļāļāļģāļāļāļģāļĢāļĻāļāļĐāļģ
āļāļģāļĢāļāļāļāļāļĢāļĄ āļŦāļĢāļāļāļĢāļ°āļŠāļāļāļģāļĢāļāļ āļģāļāļģāļāļāđāļŦāļĄāļģāļ°āļŠāļĄ
c) āļāļģāļĄāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ āļ āļģāđāļāļāļāļģāļĢāđāļāļāđāļŦāđāļāļĄāļģāļāļāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļāļāļ āļģāđāļāļāļāļ āđāļĨāļ°āļāļĢāļ°āđāļĄāļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļāļģāļĢāļ āļģāđāļāļāļāļģāļĢ āđāļĨāļ°
d) āđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢāļāļāļĄāļĨ āđāļāļāđāļāļāļŦāļĨāļāļāļģāļāđāļŠāļāļāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļģāļĢāļ āļģāđāļāļāļāļģāļĢāļāđāļŦāļĄāļģāļ°āļŠāļĄ āļāļģāļāļĢāļ§āļĄāļāļ āļāļ§āļāļĒāļģāļāđāļāļ āļāļģāļĢāļāļāļāļāļāļāļĢāļĄ
āļāļģāļĢāļĄāļāđāļĨāļĒāļ āļŦāļĢāļāļāļģāļĢāļĄāļāļāļŦāļĄāļģāļĒāļāļģāļāđāļŦāđāļŦāļĄāđāļāļāļāļāļāļģāļāļāļāļāļāļ āļŦāļĢāļāļāļģāļĢāļ§āļģāļāļģāļāļāļģāļāļāļģāļ āļŦāļĢāļāļ āļģāļŠāļāļāļģāļāļģāļāļāļāļĄāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļ
7.3 Awareness
Persons doing work under the organizationâs control shall be aware of:
a) the information security policy;
b) their contribution to the effectiveness of the information security
7.3 āļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļ
āļāļāļĨāļģāļāļĢāļāļāļāļāļāļāļģāļāļ āļģāļĒāđāļāļāļģāļĢāļāļ§āļāļāļĄāļāļāļāļāļāļāļāļĢ āļāļāļāļāļĢāļ°āļŦāļāļāļāļ
a) āļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
b) āļāļģāļĢāļĄāļŠāļ§āļāļĢāļ§āļĄāļāļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 12 / 37
management system, including the benefits of improved information security performance; and
c) the implications of not conforming with the information security management system requirements.
āļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļĢāļ§āļĄāļāļāļāļĢāļ°āđāļĒāļāļāļāđāļāļāļģāļāļāļģāļĢāļāļĢāļāļāļĢāļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
c) āļāļĒāļĒāļ°āļāļāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļāļāļāļāļāļ āļģāļŦāļāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
a) on what to communicate;
b) when to communicate;
c) with whom to communicate;
d) who shall communicate; and
e) the processes by which communication shall be effected.
7.4 āļāļēāļĢāļŠāļāļŠāļēāļĢ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļāļāļ§āļģāļĄāļ āļģāđāļāļāļāļāļāļāļģāļĢāļŠāļāļŠāļģāļĢāļāđāļāļĒāļ§āļāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢ
āļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļ āļģāļĒāđāļāđāļĨāļ°āļ āļģāļĒāļāļāļāļāļāļāļāļĢ āļĢāļ§āļĄāļāļ
a) āļŠāļāļāļāļāļāļāļģāļĢāļŠāļāļŠāļģāļĢ
b) āđāļĄāļāđāļĢāļāļāļ°āļŠāļāļŠāļģāļĢ
c) āļŠāļāļŠāļģāļĢāļāļāđāļāļĢ
d) āđāļāļĢāđāļāļāļāļŠāļāļŠāļģāļĢ āđāļĨāļ°
e) āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāđāļāļŠāļāļŠāļģāļĢāđāļŦāđāļāļāļāļĨ
7.5 Documented information
7.5.1 General
The organizationâs information security management system shall include:
a) documented information required by this International Standard; and
b) documented information determined by the organization as being necessary for the effectiveness of the information security management system.
NOTE The extent of documented information for an information
7.5 āļāļāļĄāļĨāļāđāļāļāļĨāļēāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
7.5.1 āļ āļ§āđāļ
āļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ āļāļāļ
āļĢāļ§āļĄāļāļ
a) āļāļāļĄāļĨāđāļāļāļŠāļģāļĢāļāļ āļģāļŦāļāļāđāļāļĒāļĄāļģāļāļĢāļāļģāļāļāļāļāļ āđāļĨāļ°
b) āļāļāļĄāļĨāđāļāļāļŠāļģāļĢāļāļ āļģāļŦāļāļāđāļāļĒāļāļāļāļāļĢāļ§āļģāđāļāļāļŠāļāļāļ āļģāđāļāļāļāļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļĢāļĄāļģāļāļāļāļĄāļĨāđāļāļāļŠāļģāļĢāļāļĄāļāļģāļĢāļāļāļāļāļŠ āļģāļŦāļĢāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄ
āļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļŠāļģāļĄāļģāļĢāļāđāļāļāļāļģāļāļāļāļāļģāļĄāđāļāļĨāļ°āļāļāļāļāļĢ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 13 / 37
security management system can differ from one organization to another due to:
1) size of organization and its type of activities, processes, products and services;
2) the complexity of processes and their interactions; and
3) the competence of persons.
āđāļāļāļāļāļģāļ
1) āļāļāļģāļāļāļāļāļāļāļāļāļĢ āđāļĨāļ°āļāļĢāļ°āđāļ āļāļāļāļāļāļāļāļĢāļĢāļĄ āļāļĢāļ°āļāļ§āļāļāļģāļĢ āļāļĨāļāļ āļāļ āđāļĨāļ°āļāļĢāļāļģāļĢ
2) āļāļ§āļģāļĄāļāļāļāļāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢ āđāļĨāļ°āļāļāļŠāļĄāļāļāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāđāļŦāļĨāļģāļāļ
āđāļĨāļ°
3) āļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļāļāļāļāļāļāļĨāļģāļāļĢ
7.5.2 Creating and updating
When creating and updating documented information the organization shall ensure appropriate:
a) identification and description (e.g. a title, date, author, or reference number);
b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c) review and approval for suitability and adequacy.
7.5.2 āļāļēāļĢāļāļāļ āļēāđāļĨāļ°āļāļēāļĢāļāļĢāļāļāļĢāļ
āđāļĄāļāļāļāļ āļģāđāļĨāļ°āļāļĢāļāļāļĢāļāļāļāļĄāļĨāļāļĄāļāļģāļĢāļāļāļāļāđāļ§ āļāļāļāļāļĢāļāļāļāļĄāļāđāļ āļĄāļāļ§āļģāļĄ
āđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļ
a) āļāļģāļĢāļāļāļāđāļĨāļ°āļ āļģāļāļāļāļģāļĒ (āđāļāļ āļāļāđāļāļāļŠāļģāļĢ āļ§āļāļ āļāļāļāļ āļģ āļŦāļĢāļāđāļĨāļāļāļāļģāļāļāļ)
b) āļĢāļāđāļāļ (āđāļāļ āļ āļģāļĐāļģāļāđāļ āđāļ§āļāļĢāļāļāļāļāļāļāļāļāļāđāļ§āļĢ āļāļĢāļģāļāļ) āđāļĨāļ°āļŠāļāļāļāļāļ (āđāļāļ āļāļĢāļ°āļāļģāļĐ āļāđāļĨāļāļāļĢāļāļāļāļŠ) āđāļĨāļ°
c) āļāļģāļĢāļāļāļāļ§āļāđāļĨāļ°āļāļģāļĢāļāļāļĄāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļĨāļ°āđāļāļĒāļāļāļ
7.5.3 Control of documented information
Documented information required by the information security management system and by this International Standard shall be controlled to ensure:
a) it is available and suitable for use, where and when it is needed; and
b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as applicable:
c) distribution, access, retrieval and use;
7.5.3 āļāļēāļĢāļāļ§āļāļāļĄāļāļāļĄāļĨāļāđāļāļāļĨāļēāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
āļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢāļāļāļ āļģāļŦāļāļāļāļāđāļāļĒāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āđāļāļĒāļĄāļģāļāļĢāļāļģāļāļāļāļāļ āļāļāļāļāļāļāļ§āļāļāļĄ āđāļāļāđāļŦ āļĄāļāđāļāļ§āļģ
a) āļāļĢāļāļĄāđāļ āđāļĨāļ°āđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļģāļĢāļ āļģāđāļāđāļ āđāļāļŠāļāļģāļāļ āđāļĨāļ°āđāļāđāļ§āļĨāļģāļāļ āļģāđāļāļāļāļāļāđāļ āđāļĨāļ°
b) āđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļĒāļģāļāđāļāļĒāļāļāļ (āđāļāļ āļāļģāļāļāļģāļĢāļŠāļāđāļŠāļĒāļāļ§āļģāļĄāļĨāļ āļāļģāļĢāđāļāļāļģāļāļāđāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ āļŦāļĢāļāļāļģāļĢāļŠāļāđāļŠāļĒāļāļ§āļģāļĄāļāļāļāļāļāļŠāļĄāļāļĢāļ)
āļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļ§āļāļāļĄāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āļāļāļāļāļĢāļāļāļāļĢāļ°āļāļāļāļāļĢāļĢāļĄ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 14 / 37
d) storage and preservation, including the preservation of legibility;
e) control of changes (e.g. version control); and
f) retention and disposition.
Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.
NOTE Access implies a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.
āļāļāļāļāđāļāļ āļāļģāļĄāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ
c) āļāļģāļĢāđāļāļāļāļģāļĒ āļāļģāļĢāđāļāļģāļāļ āļāļģāļĢāđāļĢāļĒāļāļāļ āđāļĨāļ°āļāļģāļĢāļ āļģāđāļāđāļ
d) āļāļģāļĢāļāļāđāļāļ āđāļĨāļ°āļĢāļāļĐāļģāļŠāļ āļģāļ āļĢāļ§āļĄāļāļāļāļģāļĢāļāļāđāļ§āđāļŦāļŠāļģāļĄāļģāļĢāļāļāļģāļāđāļ
e) āļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļ (āđāļāļ āļāļģāļĢāļāļ§āļāļāļĄāđāļ§āļāļĢāļāļ) āđāļĨāļ°
f) āļāļģāļĢāđāļāļāļĢāļāļĐāļģ āđāļĨāļ°āļāļģāļĢāļ āļģāļĨāļģāļĒ
āļāļāļĄāļĨāđāļāļāļŠāļģāļĢāļāļĄāļģāļāļģāļāđāļŦāļĨāļāļ āļģāļĒāļāļāļ (External Origin) āļāļ āļģāļŦāļāļāđāļāļĒāļāļāļāļāļĢ
āļ§āļģ āđāļāļāļŠāļāļāļ āļģāđāļāļāļāļāļāļģāļĢāļ§āļģāļāđāļāļāđāļĨāļ°āļāļģāļĢāļ āļģāđāļāļāļāļģāļāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāđāļāļĢāļāļāļāļāļāļģāļĄāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļĨāļ°āđāļāļĢāļāļāļģāļĢāļāļ§āļāļāļĄ
āļŦāļĄāļģāļĒāđāļŦāļ āļāļģāļĢāđāļāļģāļāļ āļŦāļĄāļģāļĒāļāļ§āļģāļĄāļĢāļ§āļĄāļāļ āļāļģāļĢāļāļāļŠāļāđāļāđāļāļĒāļ§āļāļāļāļģāļĢāđāļāļĢāļāļāļāļāļģāļāđāļŦāđāļĢāļĒāļāļāļāļāļĄāļĨāđāļāļāļŠāļģāļĢāđāļāļģāļāļ āļŦāļĢāļāļāļģāļĢāđāļāļĢāļāļāļāļāļģāļāđāļĨāļ°āļ āļģāļāļģāļāđāļŦāđāļĢāļĒāļāļāđāļĨāļ°
āđāļāļĨāļĒāļāđāļāļĨāļāļāļāļĄāļĨ āđāļāļāļāļ
8 Operation
8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2.
The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any
8 āļāļēāļĢāļāļāļāļāļāļēāļĢ
8.1 āļāļēāļĢāļ§āļēāļāđāļāļāļāļāļāļāļāļēāļĢāđāļĨāļ°āļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļ§āļģāļāđāļāļ āļ āļģāđāļāļāļāļāļ āđāļĨāļ°āļāļ§āļāļāļĄāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļ āļģāđāļāļāđāļāļāđāļŦ
āđāļāļāđāļāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļāļāļāļāļģāļĄāļŠāļāļāļ āļģāļŦāļāļāđāļ§āđāļāļāļāļ āļģāļŦāļāļ 6.1 āļāļāļāļāļĢāļĒāļāļāļāļāļĨāļāļĄāļāļāļāļāļāļāļģāļĄāđāļāļāđāļāļāđāļŦāļāļĢāļĢāļĨāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļ āļģāļŦāļāļāđāļ§āđāļāļāļāļ āļģāļŦāļāļ 6.2
āļāļāļāļāļĢāļāļāļāđāļāļāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢāļāļģāļĄāļāļĢāļĄāļģāļāđāļāļģāļāļ āļģāđāļāļ āđāļāļāļāļ§āļģāļĄāļĄāļāđāļāļ§āļģ āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāđ āļāļāļāļĨāļģāļ§ āļĄāļāļģāļĢāļ āļģāđāļāļāļāļģāļāļāļģāļĄāđāļāļāļāđāļāļ§āļģāļāđāļ§
āļāļāļāļāļĢāļāļāļāļāļ§āļāļāļĄāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļģāļĄāđāļāļāļāđāļāļ§āļģāļāđāļ§ (Planned Changes) āđāļĨāļ°āļāļāļāļ§āļāļāļĨāļāļāļģāļĄāļĄāļģāļāļāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāđāļĄāđāļāļāļāđāļ (Unintended
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 15 / 37
adverse effects, as necessary.
The organization shall ensure that outsourced processes are determined and controlled.
Changes) āđāļāļāļ āļģāđāļāļāļāļģāļĢāļĨāļāļāļĨāļāļĢāļ°āļāļāļāļģāļāļĨāļāđāļāđ āļāļģāļĄāļāļ§āļģāļĄāļ āļģāđāļāļ
āļāļāļāļāļĢāļāļāļāļĄāļāđāļāļ§āļģ āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļ āļģāđāļāļāļāļģāļĢāđāļāļĒāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļ āđāļāļĢāļāļāļģāļĢāļĢāļ°āļ āđāļĨāļ°āļāļ§āļāļāļĄ
8.2 Information security risk assessment
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the information security risk assessments.
8.2 āļāļēāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļēāļĄāđāļŠāļĒāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāļ āļģāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļģāļĄāļāļ§āļāđāļ§āļĨāļģāļāđāļāļ§āļģāļāđāļāļāđāļ§ āļŦāļĢāļāđāļĄāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļĄāļāļĒāļŠ āļģāļāļāļāļāđāļŠāļāļāđāļŦāļāļāļģāļĢāļāļģāļŦāļĢāļāļĄāđāļāļāļāļ āđāļāļĒāļāļāļģāļĢāļāļģāļāļģāļĄāđāļāļāļāļāļāļāļ āļģāļāļāđāļ
āļāļāļ āļģāļŦāļāļ 6.1.2 a)
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āļāđāļāļāļāļĨāļĨāļāļāļāļāļāļāļģāļĢ
āļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
8.3 Information security risk treatment
The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.
8.3 āļāļēāļĢāļāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĒāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāļāļāļāļāļāļģāļĄāđāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āļāđāļāļāļāļĨāļĨāļāļāļāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
9 āļāļēāļĢāļāļĢāļ°āđāļĄāļāļāļĨāļāļēāļĢāļāļāļāļāļāļēāļ
9.1 āļāļēāļĢāđāļāļēāļāļāļāļēāļĄ āļāļĢāļ§āļāļ§āļ āļ§āđāļāļĢāļēāļ°āļŦ āđāļĨāļ°āļāļĢāļ°āđāļĄāļāļāļĨ
āļāļāļāļāļĢāļāļāļāļāļĢāļ°āđāļĄāļāļāļĢāļ°āļŠāļāļāļ āļģāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 16 / 37
The organization shall determine:
a) what needs to be monitored and measured, including information security processes and controls;
b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
NOTE The methods selected should produce comparable and reproducible results to be considered valid.
c) when the monitoring and measuring shall be performed;
d) who shall monitor and measure;
e) when the results from monitoring and measurement shall be analysed and evaluated; and
f) who shall analyse and evaluate these results.
The organization shall retain appropriate documented information as evidence of the monitoring and measurement results.
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļ
a) āļŠāļāļāļ āļģāđāļāļāļāļāļāđāļāļĢāļāļāļģāļĢāđāļāļģāļāļāļāļģāļĄāđāļĨāļ°āļāļĢāļ§āļāļ§āļ āļāļāļĢāļ§āļĄāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
b) āļ§āļāļāļģāļĢāļŠ āļģāļŦāļĢāļāļāļģāļĢāđāļāļģāļāļāļāļģāļĄ āļāļĢāļ§āļāļ§āļ āļ§āđāļāļĢāļģāļ°āļŦ āļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļĨāļāđāļŦāļĄāļģāļ°āļŠāļĄ
āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļĨāļāđāļāļāļāļāļāļ
āļŦāļĄāļģāļĒāđāļŦāļ āļ§āļāļāļģāļĢāļāđāļĨāļāļāđāļāļāļ§āļĢāđāļŦāļāļĨāļĨāļāļāļāļāļāļāļāļ āļāļŠāļģāļĄāļģāļĢāļāđāļāļĢāļĒāļāđāļāļĒāļ
āđāļ āđāļĨāļ°āļ āļģāļ āļģāđāļ
c) āđāļĄāļāđāļĢāļāļāļāļāđāļāļģāļāļāļāļģāļĄāđāļĨāļ°āļ§āļāļāļĨ
d) āđāļāļĢāļāļāļāđāļāļģāļāļāļāļģāļĄāđāļĨāļ°āļ§āļāļāļĨ
e) āđāļĄāļāđāļĢāļāļāļĨāļāđāļāļāļģāļāļāļģāļĢāđāļāļģāļāļāļāļģāļĄāđāļĨāļ°āļ§āļāļāļĨāļāļāļāļ āļģāļĄāļģāļ§āđāļāļĢāļģāļ°āļŦāđāļĨāļ°āļāļĢāļ°āđāļĄāļāļāļĨ āđāļĨāļ°
f) āđāļāļĢāļāļāļāļ§āđāļāļĢāļģāļ°āļŦāđāļĨāļ°āļāļĢāļ°āđāļĄāļāļāļĨāļāļāļāļĨāļģāļ§
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļāļāđāļāļ
āļŦāļĨāļāļāļģāļāđāļŠāļāļāļāļĨāļĨāļāļāļāļāļāļāļģāļĢāđāļāļģāļāļāļāļģāļĄāđāļĨāļ°āļ§āļāļāļĨ
9.2 Internal audit
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a) conform to
1) the organizationâs own requirements for its information security management system; and
2) the requirements of this International Standard;
b) is effectively implemented and maintained.
9.2 āļāļēāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāļ āļēāļĒāđāļ
āļāļāļāļāļĢāļāļāļāļ āļģāđāļāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāļ āļģāļĒāđāļāļāļģāļĄāļĢāļāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļģāļāļ āļģāļŦāļāļ āđāļāļāđāļŦ āļāļāļĄāļĨāļāđāļŠāļāļāļ§āļģāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
a) āļŠāļāļāļāļĨāļāļāļāļ
1) āļāļāļ āļģāļŦāļāļāļāļāļāļāļāļāļāļĢāđāļāļāļŠ āļģāļŦāļĢāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°
2) āļāļāļ āļģāļŦāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļāļāļāļāļ
b) āđāļāļ āļģāđāļāļāļāļāļāđāļĨāļ°āļĢāļāļĐāļģāđāļŦāļāļāđāļ§āļāļĒāļģāļāļĄāļāļĢāļ°āļŠāļāļāļāļĨ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 17 / 37
The organization shall:
c) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;
d) define the audit criteria and scope for each audit;
e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
f) ensure that the results of the audits are reported to relevant management; and
g) retain documented information as evidence of the audit programme(s) and the audit results.
āļāļāļāļāļĢāļāļāļ
c) āļ§āļģāļāđāļāļ āļāļāļāļ āļ āļģāđāļāļāļāļāļ āđāļĨāļ°āļĢāļāļĐāļģāđāļŦāļāļāđāļ§āļāļāļāđāļāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļ āļāļāļĢāļ§āļĄāļāļāļāļ§āļģāļĄāļ āļ§āļāļāļģāļĢ āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļ āļāļāļ āļģāļŦāļāļāļāļāļ
āļāļģāļĢāļ§āļģāļāđāļāļ āđāļĨāļ°āļāļģāļĢāļĢāļģāļĒāļāļģāļāļāļĨ āđāļāļĒāđāļāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāļāļāļāļāļāļģāļĢāļāļģāļāļāļāļ§āļģāļĄāļŠ āļģāļāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāđāļāļĒāļ§āļāļāļāđāļĨāļ°āļāļĨāļāđāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāļāļĢāļāļāļāļ
d) āļ āļģāļŦāļāļāđāļāļāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļ āđāļĨāļ°āļāļāļāđāļāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāđāļāļĨāļ°āļāļĢāļ
e) āļāļāđāļĨāļāļāļāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāđāļĨāļ°āļ āļģāđāļāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļ āļāļĄāļāđāļāđāļāļāļāļāļ§āļģāļĄāđāļāļ
āļāļĨāļģāļāđāļĨāļ°āļāļ§āļģāļĄāđāļāļāļāļĢāļĢāļĄāļāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļ
f) āļĄāļāđāļāļ§āļģāļāļĨāļāđāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāđāļāļ āļģāđāļāļĢāļģāļĒāļāļģāļāļāļāļāļāļĢāļŦāļģāļĢāļāđāļāļĒāļ§āļāļāļ āđāļĨāļ°
g) āđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļāļāđāļāļāļŦāļĨāļāļāļģāļāđāļŠāļāļāđāļāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāđāļĨāļ°āļāļĨāļāđāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļ
9.3 Management review
Top management shall review the organizationâs information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
The management review shall include consideration of:
a) the status of actions from previous management reviews;
b) changes in external and internal issues that are relevant to the information security management system;
c) feedback on the information security performance, including trends in:
9.3 āļāļēāļĢāļāļāļāļ§āļāļāļāļāļāļēāļĒāļāļĢāļŦāļēāļĢ
āļāļāļĢāļŦāļģāļĢāļĢāļ°āļāļāļŠāļāļāļāļāļāļāļāļ§āļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢāļāļģāļĄāļĢāļāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļģāļāļ āļģāļŦāļāļ āđāļāļāđāļŦāļĄāļāđāļāļāļāļāļ§āļģāļĄ
āđāļŦāļĄāļģāļ°āļŠāļĄ āđāļāļĒāļāļāļ āđāļĨāļ°āļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļĢāļ°āļāļ
āļāļģāļĢāļāļāļāļ§āļāļāļāļāļāļģāļĒāļāļĢāļŦāļģāļĢ āļāļāļāļĢāļ§āļĄāļāļāļāļģāļĢāļāļāļģāļĢāļāļģ
a) āļŠāļāļģāļāļ°āļāļāļāļāļģāļĢāļ āļģāđāļāļāļāļģāļāļāļģāļāļāļģāļĢāļāļāļāļ§āļāļāļāļāļāļģāļĒāļāļĢāļŦāļģāļĢāļāļĢāļāļāļāļ
b) āļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļāļāļĢāļ°āđāļāļāļ āļģāļĒāđāļāđāļĨāļ°āļ āļģāļĒāļāļāļāļāđāļāļĒāļ§āļāļāļāļāļāļĢāļ°āļāļ
āļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
c) āļāļĨāļāļāļāļāļĨāļāļāļģāļāļāļĢāļ°āļŠāļāļāļ āļģāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļĢāļ§āļĄāļāļāđāļāļ§āđāļāļĄ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 18 / 37
1) nonconformities and corrective actions;
2) monitoring and measurement results;
3) audit results; and
4) fulfillment of information security objectives;
d) feedback from interested parties;
e) results of risk assessment and status of risk treatment plan; and
f) opportunities for continual improvement.
The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
The organization shall retain documented information as evidence of the results of management reviews.
1) āļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļ āđāļĨāļ°āļāļģāļĢāļāļāļāļāļāļģāļĢāđāļāđāļ
2) āļāļĨāļĨāļāļāļāļāļāļāļģāļĢāđāļāļģāļāļāļāļģāļĄāđāļĨāļ°āļ§āļāļāļĨ
3) āļāļĨāļĨāļāļāļāļģāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļ āđāļĨāļ°
4) āļāļ§āļģāļĄāļŠ āļģāđāļĢāļāļāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
d) āļāļĨāļāļāļāļāļĨāļāļāļģāļāļāļāļŠāļāđāļ
e) āļāļĨāļĨāļāļāļāļģāļāļāļģāļĢāļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļ āđāļĨāļ°āļŠāļāļģāļāļ°āļāļāļāđāļāļāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļ āđāļĨāļ°
f) āđāļāļāļģāļŠāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļĢāļāļāļĢāļāļāļāļāļģāļāļĒāļģāļāļāļāđāļāļāļ
āļāļĨāļĨāļāļāļāļģāļĢāļāļāļāļ§āļāļāļāļāļāļģāļĒāļāļĢāļŦāļģāļĢ āļāļāļāļĢāļ§āļĄāļāļ āļāļģāļĢāļāļāļŠāļāđāļāļāđāļāļĒāļ§āļāļāļāļģāļĢ
āļāļĢāļāļāļĢāļāļāļāļāļģāļāļĒāļģāļāļāļāđāļāļāļ āđāļĨāļ°āļāļ§āļģāļĄāļ āļģāđāļāļāđāļāđ āđāļāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļāļāđāļāļāļŦāļĨāļāļāļģāļāđāļŠāļāļāļāļĨāļĨāļāļāļāļģāļĢāļāļāļāļ§āļāļāļāļāļāļģāļĒāļāļĢāļŦāļģāļĢ
10 Improvement
10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
a) react to the nonconformity, and as applicable
1) take action to control and correct it; and
2) deal with the consequences;
b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
10 āļāļēāļĢāļāļĢāļāļāļĢāļāļāļāļāļē
10.1 āļāļ§āļēāļĄāđāļĄāļŠāļāļāļāļĨāļāļāđāļĨāļ°āļāļēāļĢāļāļĢāļāļāļĢāļāđāļāđāļ
āđāļĄāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļāđāļāļāļāļ āļāļāļāļāļĢāļāļāļ
a) āļāļāļāļŠāļāļāļāļāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļ āđāļĨāļ°āļāļģāļĄāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ
1) āļ āļģāđāļāļāļāļģāļĢāđāļāļāļāļ§āļāļāļĄāđāļĨāļ°āđāļāđāļ āđāļĨāļ°
2) āļĢāļāļĄāļāļāļāļāļĨāļāļĢāļ°āļāļāļāļāļģāļĄāļĄāļģ
b) āļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāļ āļģāđāļāļāļŠ āļģāļŦāļĢāļāļ āļģāđāļāļāļāļģāļĢāļāļāļāļŠāļģāđāļŦāļāļāļāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļ āđāļāļāđāļĄāđāļŦāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļāđāļāļāļāļāļ āļģ āļŦāļĢāļāđāļĄāđāļāļāļāļāļāļāļāđ āđāļāļĒ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 19 / 37
1) reviewing the nonconformity
2) determining the causes of the nonconformity; and
3) determining if similar nonconformities exist, or could potentially occur;
c) implement any action needed;
d) review the effectiveness of any corrective action taken; and
e) make changes to the information security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
The organization shall retain documented information as evidence of:
f) the nature of the nonconformities and any subsequent actions taken, and
g) the results of any corrective action.
1) āļāļāļāļ§āļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļ
2) āļĢāļ°āļāļŠāļģāđāļŦāļāļāļāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļ āđāļĨāļ°
3) āļĢāļ°āļ āļāļģāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļāļāļāļĨāļģāļĒāļāļāļĄāļāļĒ āļŦāļĢāļāļŠāļģāļĄāļģāļĢāļāļĄāđāļāļāļģāļŠāđāļāļāļāļāđāļ
c) āļ āļģāđāļāļāļāļģāļĢāļāļāļāļāļāļ āļģāđāļāļ
d) āļāļāļāļ§āļāļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļĢāđāļāđāļ āđāļĨāļ°
e) āļ āļģāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļģāļ āļģāđāļāļ
āļāļģāļĢāļāļāļāļāļāļģāļĢāđāļāđāļāļāļāļāđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļĨāļāļĢāļ°āļāļāļāļāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļāļāļāļ
āļāļāļāļāļĢāļāļāļāđāļāļāļĢāļāļĐāļģāļāļāļĄāļĨāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļāļāđāļāļāļŦāļĨāļāļāļģāļāđāļŠāļāļ
f) āļĨāļāļĐāļāļ°āļāļāļāļāļ§āļģāļĄāđāļĄāļŠāļāļāļāļĨāļāļ āđāļĨāļ°āļāļģāļĢāļāļāļāļāđāļāđ āļāđāļāļ āļģāđāļāļāļāļģāļĢ āđāļĨāļ°
g) āļāļĨāļĨāļāļāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļĢāđāļāđāļ
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.
10.2 āļāļēāļĢāļāļĢāļāļāļĢāļāļāļāļāļēāļāļĒāļēāļāļāļāđāļāļāļ
āļāļāļāļāļĢāļāļāļāļ āļģāļāļģāļĢāļāļĢāļāļāļĢāļāļāļāļāļģāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļāļĒāļāļāļ āđāļĨāļ°āļāļĢāļ°āļŠāļāļāļāļĨāļāļāļ
āļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĒāļģāļāļāļāđāļāļāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 20 / 37
A.5 Information security policies āļāđāļĒāļāļēāļĒāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
A.5.1 Management direction for information security āļāļĻāļāļēāļāļāļēāļĢāļāļĢāļŦāļēāļĢāļŠ āļēāļŦāļĢāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļ āļģāļŦāļāļāļāļĻāļāļģāļāđāļĨāļ°āđāļŦāļāļģāļĢāļŠāļāļāļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļģāļāļāļĢāļāļāļāļāļŦāļĄāļģāļĒāđāļĨāļ°āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļāļāđāļāļĒāļ§āļāļāļ
A.5.1.1 Policies for information security
āļāđāļĒāļāļģāļĒāļŠ āļģāļŦāļĢāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāđāļĒāļāļģāļĒāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļĄāļāļģāļĢāļ āļģāļŦāļāļ āļāļāļĄāļāđāļāļĒāļāļāļĢāļŦāļģāļĢ āđāļāļĒāđāļāļĢāđāļĨāļ°āļŠāļāļŠāļģāļĢāđāļāļĒāļ
āļāļāļāļāļģāļ āđāļĨāļ°āļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļāļāđāļāļĒāļ§āļāļāļ
A.5.1.2 Review of the policies for information security āļāļģāļĢāļāļāļāļ§āļāļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāđāļĒāļāļģāļĒāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļāļāļāļ§āļāļāļģāļĄāļĢāļāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļģāļāļ āļģāļŦāļāļ āļŦāļĢāļāđāļĄāļāļĄāļāļģāļĢ
āđāļāļĨāļĒāļāđāļāļĨāļāļāļĄāļāļĒāļŠ āļģāļāļāļāļāļāļāļāļāļĢ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāđāļāļāļ§āļģāļĄāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļāļĒāļāļāļ āđāļĨāļ°āļāļĢāļ°āļŠāļāļāļāļĨāļāļāļāđāļ§āļāļĒāļģāļāļāļāđāļāļāļ
A.6 Organization of information security āđāļāļĢāļāļŠāļĢāļēāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ
Annex A
(Normative)
Reference control objectives and controls
The control objectives and controls listed in Table A.1 are directly
derived from and aligned with those listed in ISO/IEC 27002:2013[1],
Clauses 5 to 18 and are to be used in context with Clause 6.1.3.
Table A.1 â Control objectives and controls
Annex A
(āļāļĢāļĢāļāļāļāļģāļ)
āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļĄ āđāļĨāļ°āļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļĄāļāļēāļāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ (Control Objectives) āđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
(Controls) āļāļĄāļĢāļģāļĒāļāļģāļĢāļāļĒāđāļāļāļģāļĢāļģāļ A.1 āđāļāļĄāļģāđāļāļĒāļāļĢāļāļāļģāļāđāļĨāļ°āļŠāļāļāļāļĨāļāļāļāļ
āļĢāļģāļĒāļāļģāļĢāļāļĄāļāļĒāđāļāļĄāļģāļāļĢāļāļģāļ ISO/IEC 27002:2013[1] āļāļāļ āļģāļŦāļāļ 5 āļāļ 18
āđāļĨāļ°āļāļāđāļāđāļāļāļāļ āļģāļŦāļāļ 6.1.3
āļāļēāļĢāļēāļ A.1 â āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļĄ āđāļĨāļ°āļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļĄ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 21 / 37
A.6.1 Internal organization āđāļāļĢāļāļŠāļĢāļēāļāļ āļēāļĒāđāļāļāļāļāļāļĢ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāđāļāļĢāļāļĢāļģāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāđāļāļāļģāļĢāļĢāđāļĢāļĄāđāļĨāļ°āļāļ§āļāļāļĄāļāļģāļĢāļ āļģāđāļāļāļāļāļāđāļĨāļ°āļāļģāļĢāļ āļģāđāļāļāļāļģāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļ āļģāļĒāđāļāļāļāļāļāļĢ
A.6.1.1 Information security roles and responsibilities āļāļāļāļģāļāđāļĨāļ°āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļŦāļĄāļ āļāļāļāļĄāļāļģāļĢāļ āļģāļŦāļāļāđāļĨāļ°
āļĄāļāļāļŦāļĄāļģāļĒāļāļģāļ
A.6.1.2 Segregation of duties āļāļģāļĢāđāļāļāļāļģāļāđāļĨāļ°āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļāđāļĨāļ°āļŦāļāļģāļāļĢāļāļāļāļāļāļāļāļāļāļāļāļāļāļāđāļāļāđāļĒāļāđāļāļāļĨāļāđāļāļāļģāļŠāđāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļŦāļĢāļ
āđāļāļĒāđāļĄāđāļāļāļāđāļ āļŦāļĢāļāļāļģāļĢāđāļāļāļĢāļāļĒāļŠāļāļāļāļāļāļāļāļāļĢāļāļāļ§āļāļāļāļĢāļ°āļŠāļāļ
A.6.1.3 Contact with authorities āļāļģāļĢāļāļāļāļāļŦāļāļ§āļĒāļāļģāļāļāļĄāļ āļģāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļāļāļāļāļāļāļŦāļāļ§āļĒāļāļģāļāļāļĄāļ āļģāļāļģāļāļāđāļāļĒāļ§āļāļāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ āļāļāļāļāļāļĢāļāļĐāļģāđāļ§
A.6.1.4 Contact with special interest groups āļāļģāļĢāļāļāļāļāļāļāļāļĨāļĄāļāļĄāļāļ§āļģāļĄāļŠāļāđāļāđāļāļāļāđāļĻāļĐ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļāļāļāļāļāļāļāļĨāļĄāļāļĄāļāļ§āļģāļĄāļŠāļāđāļāđāļāļāļāđāļĻāļĐāđāļāđāļĢāļāļāđāļāļĒāļ§āļāļ āļāļĨāļĄāļāđāļ āļĒāļ§āļāļģāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
(Specialist Security Forums) āđāļĨāļ°āļŠāļĄāļģāļāļĄāļ§āļāļģāļāļāļāļāļāļāļāļĢāļāļĐāļģāđāļ§
A.6.1.5 Information security in project management āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļāļģāļĢāļāļĢāļāļģāļĢāđāļāļĢāļāļāļģāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļĄāļ āļģāļŦāļāļāđāļ§āđāļāļāļģāļĢāļāļĢāļŦāļģāļĢāđāļāļĢāļāļāļģāļĢāđāļĄāļ§āļģāļāļ°āđāļāļāđāļāļĢāļāļāļģāļĢ
āļāļĢāļ°āđāļ āļāđāļāļāļāļģāļĄ
A.6.2 Mobile devices and teleworking āļāļāļāļĢāļāļāļāļāļēāđāļĨāļ°āļāļēāļĢāļāļāļāļāļāļēāļāļāļēāļāļĢāļ°āļĒāļ°āđāļāļĨ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļāļāļģāļāļĢāļ°āļĒāļ°āđāļāļĨāđāļĨāļ°āļāļģāļĢāđāļāļāļģāļāļāļāļāļĢāļāļāļāļāļģ
A.6.2.1 Mobile device policy āļāđāļĒāļāļģāļĒāļŠ āļģāļŦāļĢāļāļāļāļāļĢāļāļāļāļāļģ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļĒāļāļģāļĒāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļŠāļāļāļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ āļāļāļāļĄāļāļģāļĢāļ āļģāļĄāļģāđāļāđāļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļ
āļāļĄāļģāļāļģāļāļāļģāļĢāđāļāļāļģāļāļāļāļāļĢāļāļāļāļāļģ
A.6.2.2 Teleworking āļāļģāļĢāļāļāļāļāļāļģāļāļāļģāļāļĢāļ°āļĒāļ°āđāļāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļĒāļāļģāļĒāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļŠāļāļāļŠāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ āļāļāļāļĄāļāļģāļĢāļ āļģāđāļāļāļāļāļāđāļāļāļāļāļāļāļāļāļāļĄāļĨāļāđāļāļĢāļ
āļāļģāļĢāđāļāļģāļāļ āļāļģāļĢāļāļĢāļ°āļĄāļ§āļĨāļāļĨ āļŦāļĢāļāļāļģāļĢāļāļāđāļāļāļāļģāļāļŠāļāļģāļāļāļāļĄāļāļģāļĢāļāļāļāļāļāļģāļāļāļģāļāļĢāļ°āļĒāļ°āđāļāļĨ
A.7 Human resource security āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļāļēāļāļāļĢāļāļĒāļēāļāļĢāļĄāļāļĐāļĒ
A.7.1 Prior to employment āļāļāļāļāļēāļĢāļāļēāļāļāļēāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 22 / 37
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļāļāļāļģāļ (Employees) āđāļĨāļ°āļāļāļāļāļāļāļĢāļ āļģāļŠāļāļāļģāļāļģāļ (Contractors) āđāļāļģāđāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļāļāļāļ āđāļĨāļ°āđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļāļāļģāļāļāđāļāļĢāļāļāļģāļĢāļāļāļģāļĢāļāļģ
A.7.1.1 Screening āļāļģāļĢāļāļāļāļĢāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļāļĢāļ§āļāļŠāļāļāļāļĢāļ°āļ§āļāļāļ§āļģāļĄāđāļāļāļĄāļģāļāļāļāļāļŠāļĄāļāļĢāļāļģāļāļāļāļŦāļĄāļāļāļāļāļ āļģāđāļāļāļāļģāļĢ āđāļāļĒāđāļŦāļŠāļāļāļāļĨāļāļāļāļāļāļāļŦāļĄāļģāļĒ
āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļ āđāļĨāļ°āļāļĢāļĒāļāļĢāļĢāļĄāļāđāļāļĒāļ§āļāļāļ āđāļĨāļ°āđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļāļ āļģāļŦāļāļāļāļģāļāļāļĢāļāļ āļāļāļāļ§āļģāļĄāļĨāļāļāļāļĄāļĨāļāļāļ°
āđāļāļģāļāļ āđāļĨāļ°āļāļ§āļģāļĄāđāļŠāļĒāļāļāđāļāļĒāļ§āļāļāļ
A.7.1.2 Terms and conditions of employment āļāļāļāļāļĨāļāđāļĨāļ°āđāļāļāļāđāļāļāļģāļĢāļāļģāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĨāļāđāļĨāļ°āđāļāļāļāđāļāđāļāļŠāļāļāļģāļāļģāļāļāļģāļāļāļāļāļāļāļāļāļģāļāđāļĨāļ°āļāļāļ āļģāļŠāļāļāļģāļāļģāļāļāļāļāļāļĨāļģāļ§āļāļāļŦāļāļģāļāļāļ§āļģāļĄ
āļĢāļāļāļāļāļāļāļāļāļāļāļĢāļāļāļģāļĢāļ§āļģāļāļģāļ āđāļĨāļ°āļāļāļāļāļāļāļāļĢāđāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
A.7.2 During employment āđāļāļĢāļ°āļŦāļ§āļēāļāļāļēāļĢāļāļēāļāļāļēāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļāļāļāļģāļāđāļĨāļ°āļāļāļāļāļāļāļĢāļ āļģāļŠāļāļāļģāļāļģāļāļāļĢāļ°āļŦāļāļāļāļāđāļĨāļ°āļāļāļāļāļāļģāļĄāļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļ
A.7.2.1 Management responsibilities āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļāļāļāļāļĢāļŦāļģāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļĢāļŦāļģāļĢāļāļāļāļ āļģāļŦāļāļāđāļŦāļāļāļāļāļģāļāđāļĨāļ°āļāļ āļģāļŠāļāļāļģāļāļģāļāļāļāļŦāļĄāļāļāļāļāļāļāļģāļĄāļāđāļĒāļāļģāļĒāđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļāļāļģāļ
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļĢāļāļāļ āļģāļ āļ
A.7.2.2 Information security awareness, education and training āļāļ§āļģāļĄāļāļĢāļ°āļŦāļāļ āļāļģāļĢāđāļŦāļāļ§āļģāļĄāļĢ āđāļĨāļ°āļāļģāļĢāļāļāļāļāļĢāļĄāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļģāļāļāļāļāļāļāļāļāļĢāļāļāļāļāđāļĨāļ°āļāļ āļģāļŠāļāļāļģāļāļģāļāļāđāļāļĒāļ§āļāļāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļŠāļĢāļģāļāļāļ§āļģāļĄāļāļĢāļ°āļŦāļāļ āļāļģāļĢāđāļŦāļāļ§āļģāļĄāļĢ
āđāļĨāļ°āļāļģāļĢāļāļāļāļāļĢāļĄāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ āđāļĨāļ°āļĢāļāļāļĢāļģāļāļāđāļĒāļāļģāļĒāđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļāļāļāļāļāļāļāļāļĢāļāļāļĢāļāļāļĢāļ āļ
āđāļāļĒāļ§āļāļāļāļāļāļāļģāļāļāļĢāļāļāļāļāļāļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļ
A.7.2.3 Disciplinary process āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāļ§āļāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĄāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāļ§āļāļĒāļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢāđāļĨāļ°āļŠāļāļŠāļģāļĢāđāļŦāļĢāļāļāļĢāļģāļ āđāļāļāļĨāļāđāļāļĐāļāļāļāļāļģāļāļāļāļģāļāļ āļĨāļ°āđāļĄāļ
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
A.7.3 Termination and change of employment āļāļēāļĢāļŠ āļāļŠāļ āļēāļāļŦāļĢāļāļāļēāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļēāļĢāļāļēāļāļāļēāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļĨāļāļĢāļ°āđāļĒāļāļāļāļāļāļāļāļāļāļĢāļāļāđāļāļāļŠāļ§āļāļŦāļāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļŦāļĢāļāļŠ āļāļŠāļ āļģāļāļāļģāļĢāļ§āļģāļāļģāļ
A.7.3.1 Termination or change of employment responsibilities
āļāļģāļĢāļŠ āļāļŠāļ āļģāļāļŦāļĢāļāļāļģāļĢāđāļāļĨāļĒāļāļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļāļāļāļģāļĢāļ§āļģāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļĨāļ°āļŦāļāļģāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĒāļāļāļāđāļ§āļ āļģāļĒāļŦāļĨāļāļāļģāļĢāļŠ āļāļŠāļ āļģāļ
āļŦāļĢāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļģāļĢāļ§āļģāļāļģāļāļāļģāļ āļāļāļāļĄāļ āļģāļŦāļāļāđāļ§āđāļĨāļ°āļŠāļāļŠāļģāļĢāđāļŦāļāļāļāļāļģāļāđāļĨāļ°āļāļ āļģāļŠāļāļāļģāļāļģāļ āđāļĨāļ°āļ āļģāđāļ
āļāļāļāļāđāļ
A.8 Asset management āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļĢāļāļĒāļŠāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 23 / 37
A.8.1 Responsibility for assets āļŦāļāļēāļāļāļ§āļēāļĄāļĢāļāļāļāļāļāļāļāļāļāļĢāļāļĒāļŠāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļĢāļ°āļāļāļĢāļāļĒāļŠāļāļāļāļāļāļāļāļāļĢ āđāļĨāļ°āļ āļģāļŦāļāļāļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļāļāļģāļĢāļāļāļāļāļāļāļĢāļāļĒāļŠāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ
A.8.1.1 Inventory of assets āļāļāļāļāļ°āđāļāļĒāļāļāļĢāļāļĒāļŠāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĢāļāļĒāļŠāļāļāđāļāļĒāļ§āļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨāļāļāļāļāļāļĢāļ°āļ āđāļĨāļ°āļāļāļāļāļ°āđāļāļĒāļāļāļĢāļāļĒāļŠāļ
āļāļāļāļāļāļ āļģāļ āļāđāļĨāļ°āļĢāļāļĐāļģāđāļ§
A.8.1.2 Ownership of assets āļāļ§āļģāļĄāđāļāļāđāļāļģāļāļāļāļāļĢāļāļĒāļŠāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĢāļāļĒāļŠāļāđāļāļāļāļāļāļ°āđāļāļĒāļāļāļĢāļāļĒāļŠāļāļāļāļāļĄāļāļģāļĢāļĢāļ°āļāļāļ§āļģāļĄāđāļāļāđāļāļģāļāļāļ
A.8.1.3 Acceptable use of assets āļāļģāļĢāđāļāļāļģāļāļāļĢāļāļĒāļŠāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļģāļĢāđāļāļāļģāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļĢāļāļĒāļŠāļāļāđāļāļĒāļ§āļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļ
āļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āļāļāļāļāļāļ āļģāļŦāļāļāļāļĒāļģāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢāđāļĨāļ°āļ āļģāđāļāļāļāļāļ
A.8.1.4 Return of assets āļāļģāļĢāļāļāļāļĢāļāļĒāļŠāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļģāļāđāļĨāļ°āļāđāļāļāļģāļāļāļģāļāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļāļāļāļāļ āļāļāļāļāļāļāļĢāļāļĒāļŠāļāļāļāļāļāļāļāļāļĢāļāļāļŦāļĄāļāļāļāļāļāļāļāļĢāļāļāđāļ§
āđāļĄāļāļŠ āļāļŠāļ āļģāļāļāļģāļĢāļ§āļģāļāļģāļāļāļģāļ āļŠ āļāļŠāļāļŠāļāļāļģāļŦāļĢāļāļāļāļāļāļĨāļ
A.8.2 Information classification āļāļēāļĢāļāļāļŦāļĄāļ§āļāļŦāļĄāļŠāļēāļĢāļŠāļāđāļāļĻ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāđāļāļ§āļģāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļĢāļāļĢāļ°āļāļāļāļāļāļāļģāļĢāļāļāļāļāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄāļāļģāļĄāļāļ§āļģāļĄāļŠ āļģāļāļāļāļĄāļāļāļāļāļāļāļĢ
A.8.2.1 Classification of information
āļāļģāļĢāļāļāļŦāļĄāļ§āļāļŦāļĄāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāđāļāļĢāļāļāļģāļĢāđāļĒāļāļŦāļĄāļ§āļāļŦāļĄāļāļģāļĄāļāļāļāļģ (Value) āļāļāļ āļģāļŦāļāļāļāļģāļāļāļāļŦāļĄāļģāļĒ āļāļ§āļģāļĄāļŠ āļģāļāļ
(Criticality) āđāļĨāļ°āļāļ§āļģāļĄāļāļāļāđāļŦāļ§ (Sensitivity) āļāļāļāļģāļĢāļāļāđāļāļāđāļāļĒāļŦāļĢāļāđāļāļĨāļĒāļāđāļāļĨāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.8.2.2 Labelling of information āļāļģāļĢāļ āļģāļāļģāļĒāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāļāļāļāļāļāļģāļāļāđāļŦāļĄāļģāļ°āļŠāļĄāļŠ āļģāļŦāļĢāļāļāļģāļĢāļ āļģāļāļģāļĒāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļ āļģāđāļĨāļ°āļ āļģāđāļāļāļāļāļāļāļģāļĄāđāļŦ
āļŠāļāļāļāļĨāļāļāļāļāļ§āļāļāļģāļĢāļāļāļŦāļĄāļ§āļāļŦāļĄāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļĢāļ āļģāļŦāļāļāđāļ§
A.8.2.3 Handling of assets āļāļģāļĢāļāļāļāļģāļĢāļāļĢāļāļĒāļŠāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāļāļāļāļģāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļāļāļģāļĢāļāļĢāļāļĒāļŠāļ āļāļāļāļāļāļ āļģāđāļĨāļ°āļ āļģāđāļāļāļāļāļāđāļŦāļŠāļāļāļāļĨāļāļāļāļāļ§āļāļāļģāļĢāļāļ
āļŦāļĄāļ§āļāļŦāļĄāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļĢāļ āļģāļŦāļāļāđāļ§
A.8.3 Media handling āļāļēāļĢāļāļāļāļēāļĢāļŠāļāļāļāļāļāļāļāļĄāļĨ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļģāļĢāđāļāļāđāļāļĒ āļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļ āļāļģāļĢāļ āļģāļāļ āļŦāļĢāļāļāļģāļĢāļ āļģāļĨāļģāļĒāļāļāļĄāļĨāļāļāļāđāļāļāļāļāļŠāļāļāļāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 24 / 37
A.8.3.1 Management of removable media āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļŠāļāļāļāļāļāļāļŠāļģāļĄāļģāļĢāļāđāļāļĨāļāļāļĒāļģāļĒāđāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāļāļāļāļģāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļŠāļāļāļāļāļāļāļŠāļģāļĄāļģāļĢāļāđāļāļĨāļāļāļĒāļģāļĒāđāļ āļāļāļāļĄāļāļģāļĢāļ āļģāđāļāļāļāļāļāđāļŦ
āļŠāļāļāļāļĨāļāļāļāļāļ§āļāļāļģāļĢāļāļāļŦāļĄāļ§āļāļŦāļĄāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļĢāļ āļģāļŦāļāļāđāļ§
A.8.3.2 Disposal of media āļāļģāļĢāļ āļģāļāļāļŠāļāļāļāļāļāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļāļāļāļāļāļāļāļĄāļĨāļāļāļāļāļāļ āļģāļāļāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ āđāļĄāļāđāļĄāļĄāļāļ§āļģāļĄāļ āļģāđāļāļāļāļāļāđāļāļāļģāļāļāļāļāļāđāļ āļāļģāļĄāļāļāļāļāļ
āļāļāļāļāļāļģāļāļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢ
A.8.3.3 āļāļģāļĢāļāļāļĒāļģāļĒāļŠāļāļāļāļāļ Physical media transfer
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļāļāļāļāļāļāļĄāļāļāļĄāļĨāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļāļāļģāļĢāļāļāđāļāļģāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļāļģāļĢāļāđāļāđāļāļāļģāļāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āļŦāļĢāļāļāļģāļĢāļ āļģāđāļŦāđāļāļāļāļ§āļģāļĄāđāļŠāļĒāļŦāļģāļĒāļĢāļ°āļŦāļ§āļģāļāļāļāļĒāļģāļĒ
A.9 Access control āļāļēāļĢāļāļ§āļāļāļĄāļāļēāļĢāđāļāļēāļāļ
A.9.1 Business requirements of access control āļāļāļ āļēāļŦāļāļāļāļēāļāļāļĢāļāļāļŠ āļēāļŦāļĢāļāļāļ§āļāļāļĄāļāļēāļĢāđāļāļēāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļ āļģāļāļāļāļģāļĢāđāļāļģāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ
A.9.1.1 Access control policy āļāđāļĒāļāļģāļĒāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļĒāļāļģāļĒāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļāļāļāļāļāļāļāļ āļģāļ āļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļĨāļ°āļāļāļāļ§āļāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļģāļāļāļĢāļāļāđāļĨāļ°
āļāļāļ āļģāļŦāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
A.9.1.2 āļāļģāļĢāđāļāļģāļāļāđāļāļĢāļāļāļģāļĒāđāļĨāļ°āļāļĢāļāļģāļĢāđāļāļĢāļāļāļģāļĒ Access to networks and network services
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļāļāļģāļāļāļāļāļāļāđāļŦāđāļāļģāļāļāđāļāļĢāļāļāļģāļĒāđāļĨāļ°āļāļĢāļāļģāļĢāđāļāļĢāļāļāļģāļĒāļāļģāļĄāļāđāļāļĢāļāļāļģāļĢāļāļāļāļģāļāđāļŦāđāļāļāļģāļāļāļģāļĄāļāļ āļģāļŦāļāļāđāļ§
āđāļāļģāļāļ
A.9.2 User access management āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļēāļĢāđāļāļēāļāļāļāļāļāļāđāļāļāļēāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāđāļāđāļāļ§āļģāļāļāđāļāļĢāļāļāļāļāļģāļāļŠāļģāļĄāļģāļĢāļāđāļāļģāļāļ āđāļĨāļ°āđāļāļāļāļāļāļāļāļāđāļĄāđāļāļĢāļāļāļāļāļģāļāđāļāļāļģāļĢāđāļāļģāļāļāļĢāļ°āļāļāđāļĨāļ°āļāļĢāļāļģāļĢ
A.9.2.1 User registration and de-registration āļāļģāļĢāļĨāļāļāļ°āđāļāļĒāļ āđāļĨāļ°āļāļģāļĢāļāļāļāļāļ°āđāļāļĒāļāļāđāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĢāļ°āļāļ§āļāļāļģāļĢāļĨāļāļāļ°āđāļāļĒāļāđāļĨāļ°āļāļāļāļāļ°āđāļāļĒāļāļāđāļāļāļģāļāļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢ āļāļāļāļ āļģāđāļāļāļāļāļāđāļāļāļ āļģāđāļŦāđāļāļāļāļģāļĢ
āļĄāļāļāļŠāļāļāđāļāļāļģāļĢāđāļāļģāļāļ
A.9.2.2 User access provisioning āļāļģāļĢāđāļŦāļāļģāļĢāđāļāļģāļāļāļāļāļāļāđāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĢāļ°āļāļ§āļāļāļģāļĢāđāļŦāļāļģāļĢāđāļāļģāļāļāļāļāļāļāđāļāļāļģāļāļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢ āļāļāļāļ āļģāđāļāļāļāļāļ āđāļāļāļĄāļāļ āļŦāļĢāļāļāļāļāļŠāļāļāđāļāļāļģāļĢ
āđāļāļģāļāļāļŠ āļģāļŦāļĢāļāļāļāļāļĢāļ°āđāļ āļāļāđāļāļāļģāļāļāļāļāļāļāļĢāļ°āļāļāđāļĨāļ°āļāļāļāļĢāļāļģāļĢ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 25 / 37
A.9.2.3 Management of privileged access rights āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļŠāļāļāļāļģāļĢāđāļāļģāļāļāļāđāļĻāļĐ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļŦāđāļĨāļ°āđāļāļāļģāļāļāļāļāļŠāļāļāļāļģāļĢāđāļāļģāļāļāļāđāļĻāļĐāļāļāļāļāļāļ āļģāļāļāđāļĨāļ°āļāļ§āļāļāļĄ
A.9.2.4 Management of secret authentication information of users āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļāļĄāļĨāļĨāļāļāđāļāļāļŠāļāļāļāļ§āļāļāļāļāļāļāđāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļŦāļāļāļĄāļĨāļĨāļāļāđāļāļāļŠāļāļāļāļ§āļāļ āļāļāļāļāļāļāļ§āļāļāļĄāļāļģāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢ
A.9.2.5 Review of user access rights āļāļģāļĢāļāļāļāļ§āļāļŠāļāļāļāļģāļĢāđāļāļģāļāļāļāļāļāļāđāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āđāļāļģāļāļāļāļāļĢāļāļĒāļŠāļāļāļāļāļāļāļāļ§āļāļŠāļāļāđāļāļāļģāļĢāđāļāļģāļāļāļāļāļāļāđāļāļāļģāļāļāļģāļĄāļĢāļāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļģāļāļ āļģāļŦāļāļ
A.9.2.6 Removal or adjustment of access rights āļāļģāļĢāļĨāļāļŦāļĢāļāļāļĢāļāđāļāļĨāļĒāļāļŠāļāļāļāļģāļĢāđāļāļģāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļāļāļāļāļāļāļāļāļāļģāļāđāļĨāļ°āļāđāļāļāļģāļāļāļģāļāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļāļāļāļāļ āļŠ āļģāļŦāļĢāļāđāļāļģāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļ
āļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āļāļāļāļāļāļāļāļāđāļĄāļāļŠ āļāļŠāļ āļģāļāļāļģāļĢāļ§āļģāļāļģāļ āļŠ āļāļŠāļāļŠāļāļāļģ āļŦāļĢāļāļāļāļāļāļĨāļ āļŦāļĢāļāļāļĢāļāļāļĢāļāđāļĄāļāļĄāļāļģāļĢ
āđāļāļĨāļĒāļāđāļāļĨāļ
A.9.3 User responsibilities āļŦāļāļēāļāļāļ§āļēāļĄāļĢāļāļāļāļāļāļāļāļāļāļāđāļāļāļēāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļ āļģāđāļŦāļāđāļāļāļģāļāļĄāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļāļāļģāļĢāļāļāļāļāļāļāļāļĄāļĨāļāđāļāļāļŠāļāļāļāļ§āļāļ
A.9.3.1 Use of secret authentication information āļāļģāļĢāđāļāļāļāļĄāļĨāļĨāļāļāļāļāļāļģāļĢāļāļŠāļāļāļāļ§āļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļāļāļģāļāļāļāļāļāļāļāļāļāļģāļĄāđāļāļ§āļāļāļāļāļāļāļāļāļāļāļāļĢāđāļāļāļģāļĢāđāļāļāļāļĄāļĨāļĨāļāļāđāļāđāļāļāļģāļĢāļāļŠāļāļāļāļ§āļāļ
A.9.4 System and application access control āļāļēāļĢāļāļ§āļāļāļĄāļāļēāļĢāđāļāļēāļāļāļĢāļ°āļāļāđāļĨāļ°āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application)
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļģāļĢāđāļāļģāļāļāļĢāļ°āļāļāđāļĨāļ°āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āđāļāļĒāļāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.9.4.1 Information access restriction āļāļģāļĢāļ āļģāļāļāļāļģāļĢāđāļāļģāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļāļģāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļāļāļāļāļāļĢāļ°āļāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āļāļāļāļāļāļ āļģāļāļāļāļģāļĄ
āļāđāļĒāļāļģāļĒāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļāļ
A.9.4.2 Secure log-on procedures āļāļāļāļāļāļāļģāļĢāđāļāļģāļŠāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĢāļāļāļ āļģāļŦāļāļāđāļāļĒāļāđāļĒāļāļģāļĒāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļāļ āļāļģāļĢāđāļāļģāļāļāļĢāļ°āļāļāđāļĨāļ°āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āļāļģāļāđ
āļāļāļāđāļāļĢāļāļāļģāļĢāļāļ§āļāļāļĄāđāļāļĒāļāļāļāļāļāļāļģāļĢāđāļāļģāļŠāļĢāļ°āļāļāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ
A.9.4.3 Password management system āļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļĢāļŦāļŠāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļĢāļŦāļŠāļāļģāļ āļāļāļāļĄāļāļāļŠāļĄāļāļāļ (Interactive) āđāļĨāļ°āļāļāļāļĄāļāđāļāđāļāļāļāļĢāļŦāļŠāļāļģāļāļāļĄāļāļāļ āļģāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 26 / 37
A.9.4.4 Use of privileged utility programs āļāļģāļĢāđāļāļāļģāļāđāļāļĢāđāļāļĢāļĄāļĒāļāļĨāļāļāđāļĻāļĐ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļāļāļģāļāđāļāļĢāđāļāļĢāļĄāļĒāļāļĨāļ āļāļģāļāļāļ°āļŠāļģāļĄāļģāļĢāļāļāļģāļĄāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāļāļĢāļ°āļāļāđāļĨāļ°āđāļāļāļĨāđāļāļāļāđāļ āļāļāļāļāļāļāļ
āļ āļģāļāļāđāļĨāļ°āļāļ§āļāļāļĄāļāļĒāļģāļāđāļāļĢāļāļāļĢāļ
A.9.4.5 Access control to program source code āļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļāļāļāļāļĢāļŠ āđāļāļāļāļāļāđāļāļĢāđāļāļĢāļĄ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļāļģāļāļāļāļāļĢāļŠāđāļāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļāļāļāļāļ āļģāļāļ
A.10 Cryptography āļāļēāļĢāđāļāļēāļĢāļŦāļŠāļāļāļĄāļĨ
A.10.1 Cryptography controls āļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļĄāļāļēāļĢāđāļāļēāļĢāļŦāļŠāļāļāļĄāļĨ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāđāļāļ§āļģāļāļģāļĢāđāļāļāļģāļāļāļģāļĢāđāļāļģāļĢāļŦāļŠāļāļāļĄāļĨāđāļāļāđāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄāđāļĨāļ°āļĄāļāļĢāļ°āļŠāļāļāļāļĨ āđāļāļāļāļāļāļāļāļāļ§āļģāļĄāļĨāļ (Confidentiality) āļāļģāļĢāļāļŠāļāļāļāļ§āļāļ (Authentication) āđāļĨāļ°/āļŦāļĢāļāļāļ§āļģāļĄāļāļāļāļāļāļāļĢāļāļāļ§āļ (Integrity) āļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
A.10.1.1 Policy on the use of cryptographic controls āļāđāļĒāļāļģāļĒāļāļģāļĢāđāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļĢāļŦāļŠāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļāļģāļĒāļāļģāļĢāđāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļĢāļŦāļŠāļāļāļĄāļĨāđāļāļāļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļ āļģāļ āļāđāļĨāļ°āļ āļģāđāļāļāļāļāļ
A.10.1.2 Key management āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļāđāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļĒāļāļģāļĒāļāļģāļĢāđāļāļāļģāļ āļāļģāļĢāļāļāļāļāļ āđāļĨāļ°āļāļģāļĒāļāļģāļĢāđāļāļāļģāļāļāļāđāļāđāļāļģāļĢāļŦāļŠāļāļāļĄāļĨ (Cryptographic Keys) āļāļāļ
āļāļāļ āļģāļ āļ āđāļĨāļ°āļ āļģāđāļāļāļāļāļāļāļĨāļāļāļ§āļāļāļĢāļāļ§āļāļāļāļāļāļāđāļ
A.11 Physical and environmental security āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļāļēāļāļāļēāļĒāļ āļēāļāđāļĨāļ°āļŠāļ āļēāļāđāļ§āļāļĨāļāļĄ
A.11.1 Secure areas āļāļĢāđāļ§āļāļāļāļāļāļĢāļāļĐāļēāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļģāļĢāđāļāļģāļāļāļāļģāļāļāļģāļĒāļ āļģāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļāļ§āļģāļĄāđāļŠāļĒāļŦāļģāļĒ āļāļģāļĢāđāļāļĢāļāđāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨāļāļāļāļāļāļāļāļĢ
A.11.1.1 Physical security perimeter
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāđāļāļ§āļāļāļāļģāļāļāļģāļĒāļ āļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āđāļāļ§āļāļāđāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļģāļāļāļģāļĒāļ āļģāļ āļāļāļāļāļāļ āļģāļŦāļāļ āđāļĨāļ°āļ āļģāđāļāđāļāđāļāļāļāļāļāļāļāļāļāļāļāļāļāļĨāļģāļ§ āļāļĄ
āļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āļāļāļāļĄāļāļ§āļģāļĄāļāļāļāđāļŦāļ§ (Sensitive) āđāļĨāļ°āļāļĄāļāļ§āļģāļĄāļŠ āļģāļāļ (Critical)
āļāļĒāļ āļģāļĒāđāļ
A.11.1.2 Physical entry controls āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģ-āļāļāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĢāđāļ§āļāļāļāļāļāļĢāļāļĐāļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāđāļāļĒāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļāđāļāļģ-āļāļāļāļāļĒāļģāļ
āđāļŦāļĄāļģāļ°āļŠāļĄ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāđāļāļāļģāļ°āļāļāđāļāļĢāļāļāļāļāļģāļāđāļāļģāļāļ āļāļāļāļāļāļģāļāđāļŦāđāļāļģāļāļāđāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 27 / 37
A.11.1.3 Securing offices, rooms and facilities āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļŠ āļģāļāļāļāļģāļ āļŦāļāļāļ āļģāļāļģāļ āđāļĨāļ°āļāļģāļāļģāļĢāļŠāļāļģāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļģāļāļāļģāļĒāļ āļģāļāļāļāļāļŠ āļģāļāļāļāļģāļ āļŦāļāļāļ āļģāļāļģāļ āđāļĨāļ°āļāļģāļāļģāļĢāļŠāļāļģāļāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāđāļāļ
āđāļĨāļ°āļ āļģāđāļāļāļĢāļ°āļĒāļāļāđāļ
A.11.1.4 Protecting against external and environmental threats āļāļģāļĢāļāļāļāļāļāļ āļĒāļāļāļāļģāļĄāļāļģāļāļ āļģāļĒāļāļāļāđāļĨāļ°āļŠāļ āļģāļāđāļ§āļāļĨāļāļĄ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļāļāļāļāļāļāļģāļāļāļģāļĒāļ āļģāļāļāļģāļāļ āļĒāļāļāļāļāļģāļāļāļĢāļĢāļĄāļāļģāļ āļāļģāļĢāļāļāļĢāļāļāđāļĄāļāļāļāļĢāļ°āļŠāļāļ āļŦāļĢāļāļāļāļāđāļŦāļ āļāļāļāđāļāļĢāļāļāļģāļĢ
āļāļāļāđāļāļāđāļĨāļ°āļ āļģāđāļāļāļĢāļ°āļĒāļāļāđāļ
A.11.1.5 Working in secure areas āļāļģāļĢāļāļāļāļāļāļģāļāđāļāļāļĢāđāļ§āļāļāļāļāļāļĢāļāļĐāļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāļāļāļāļģāļāđāļāļāļĢāđāļ§āļāļāļāļāļāļĢāļāļĐāļģāļāļ§āļģāļĄāļāļĨāļāļāļ āļĒ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāđāļāļāđāļĨāļ°āļ āļģāđāļāļāļĢāļ°āļĒāļāļāđāļ
A.11.1.6 Delivery and loading area āļāļāļāļāļāļŠāļāđāļĨāļ°āļĢāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļ āļģāđāļŦāļāļāļāđāļāļģāļāļāđāļ āđāļāļ āļāļāļāļāļāļŠāļāđāļĨāļ°āļĢāļāļāļāļ āđāļĨāļ°āļ āļģāđāļŦāļāļāļāļāđ āļāļāļ āđāļĄāđāļāļĢāļāļāļāļāļģāļāļŠāļģāļĄāļģāļĢāļāđāļāļģāļāļ
āļāļāļāļāļāļāļāļĢāđāļ āļāļāļāļāļāļāļ§āļāļāļĄ āđāļĨāļ°āļāļģāđāļāļāđāļāđāļ āđāļŦāđāļĒāļāļāļāļāļāļģāļāļāļĢāđāļ§āļāļāļĄāļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ
āļāļāļāļĒ āđāļāļāļŦāļĨāļāđāļĨāļĒāļāļāļģāļĢāđāļāļģāļāļāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.11.2 Equipment āļāļāļāļĢāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļģāļĢāļŠāļāļŦāļģāļĒ āļāļ§āļģāļĄāđāļŠāļĒāļŦāļģāļĒ āļāļģāļĢāļāđāļĄāļĒāļŦāļĢāļāļ āļģāđāļŦāđāļāļāļāļāļāļĢāļģāļĒ (Compromise) āļāļāļāļĢāļāļĒāļŠāļ āđāļĨāļ°āļ āļģāđāļŦāđāļāļāļāļģāļĢāļŦāļĒāļāļāļ°āļāļāđāļāļāļģāļĢāļ āļģāđāļāļāļāļģāļāļāļāļāļāļāļāļāļĢ
A.11.2.1 Equipment siting and protection āļāļģāļĢāļāļāļ§āļģāļāđāļĨāļ°āļāļģāļĢāļāļāļāļāļāļāļāļāļĢāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļ§āļģāļāđāļĨāļ°āļāļāļāļāļ āđāļāļāļĨāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļ āļĒāļāļāļāļģāļĄāđāļĨāļ°āļāļāļāļĢāļģāļĒāļāļģāļāļŠāļ āļģāļāđāļ§āļāļĨāļāļĄ
āđāļĨāļ°āđāļāļāļģāļŠāđāļāļāļģāļĢāđāļāļģāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.11.2.2 Supporting utilities āļĢāļ°āļāļāļŠāļģāļāļģāļĢāļāļāđāļ āļāļŠāļāļāļŠāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļĨāļĄāđāļŦāļĨāļ§āļāļāļāļāļĢāļ°āđāļŠāđāļāļāļģ (Power Failure) āđāļĨāļ°āļāļģāļĢāļŦāļĒāļāļāļ°āļāļāļāļāđ
(disruption) āļāļĄāļŠāļģāđāļŦāļāļĄāļģāļāļģāļāļāļ§āļģāļĄāļāļāļāļĨāļģāļāļāļāļāļĢāļ°āļāļāļŠāļģāļāļģāļĢāļāļāđāļ āļāļŠāļāļāļŠāļāļ
A.11.2.3 Cabling security āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļāļģāļĢāđāļāļāļŠāļģāļĒāđāļāļāļģ āļŠāļģāļĒāļŠāļāļŠāļģāļĢ āđāļĨāļ°āļŠāļģāļĒāļŠāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļģāļĒāđāļāļāļģāđāļĨāļ°āļŠāļģāļĒāđāļāļĢāļāļĄāļāļģāļāļĄāļāļŠāļāļāļāļĄāļĨāļŦāļĢāļāļŠāļāļāļŠāļāļāļāļĢāļāļģāļĢāļāļģāļāļāļāļĄāļĨ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļāļāļģāļĢ
āļāļāļāļ§āļģāļāļāļģāļĢāļ āļģāļāļģāļ (Interception) āļāļģāļĢāđāļāļĢāļāđāļāļāļŠāļāļāļģāļ (Interference) āļŦāļĢāļāļāļģāļĢāļ āļģāđāļŦāđāļŠāļĒāļŦāļģāļĒ
(Damage)
A.11.2.4 Equipment maintenance āļāļģāļĢāļ āļģāļĢāļāļĢāļāļĐāļģāļāļāļāļĢāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļāļāļāļāđāļāļĢāļāļāļģāļĢāļ āļģāļĢāļāļĢāļāļĐāļģāļāļĒāļģāļāļāļāļāļāļ āđāļāļāđāļŦāļĄāļāđāļāļāļāļāļ§āļģāļĄāļāļĢāļāļĄāđāļāļāļģāļāđāļĨāļ°āļāļ§āļģāļĄāļāļāļāļāļāđāļāļāļģāļĢ
āļ āļģāļāļģāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 28 / 37
A.11.2.5 Removal of assets āļāļģāļĢāļ āļģāļāļĢāļāļĒāļŠāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļ āļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļĢāļāļāļāļāļāđāļ§āļĢ āļāļāļāđāļĄāļ āļģāļāļāļāļāļāļāļŠāļāļģāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.11.2.6 Security of equipment and assets off-premises āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļāļāļāļĢāļāđāļĨāļ°āļāļĢāļāļĒāļŠāļāļāđāļāļāļģāļāļāļĒāļāļāļāļŠ āļģāļāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļĄāļģāļāļĢāļāļģāļĢāļāļģāļāļāļ§āļģāļĄāļāļĨāļāļāļ āļĒ āļāļāļāļ āļģāļĄāļģāđāļāļāļāļāļĢāļāļĒāļŠāļāļāļ āļģāļāļāļāđāļāđāļāļāļģāļāļāļāļāļŠ āļģāļāļāļāļģāļ āđāļāļĒāļāļāļģāļĢāļāļģāļāļ
āļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāđ āļāļĄāļāļāļāļĢāļāļĒāļŠāļāđāļĄāļāļ āļģāđāļāļāļāļāļāļāļģāļāļāļāļāļŠāļāļģāļāļ
A.11.2.7 Secure disposal or reuse of equipment āļāļģāļĢāļ āļģāļāļāļāļāļāļĢāļāļŦāļĢāļāļ āļģāļĄāļģāđāļāļ āļģāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļāļāļāļŦāļĄāļ āļāļĄāļŠ āļāļāļāļāļāļāļāļĄāļĨ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļĢāļ§āļāļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļāļĄāļĨāļŠ āļģāļāļāđāļĨāļ°āļāļāļāļāđāļ§āļĢ
āļĨāļāļŠāļāļāļ āļāļāļāļāļāļĒ āđāļāļāļāļĨāļāļāļ āļŦāļĢāļāļāļāļāļāļāļāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ āļāļāļāļ āļģāđāļāļ āļģāļĨāļģāļĒāļŦāļĢāļāļ āļģāđāļāđāļāļ āļģ
A.11.2.8 Unattended user equipment
āļāļāļāļĢāļāļāđāļĄāļĄāļāļāđāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļāļāļģāļāļāļāļāļĄāļāđāļāļ§āļģāļāļāļāļĢāļāļāđāļĄāļĄāļāļāđāļĨāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ
A.11.2.9 Clear desk and clear screen policy āļāđāļĒāļāļģāļĒāļāļģāļĢāđāļāļāđāļāļ°āļ āļģāļāļģāļ āđāļĨāļ°āļĨāļāļŦāļāļģāļāļāđāļŦāļ§āļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļĒāļāļģāļĒāļāļģāļĢāđāļāļāđāļāļ°āļ āļģāļāļģāļāļŠ āļģāļŦāļĢāļāļāļĢāļ°āļāļģāļĐāđāļāļāļŠāļģāļĢāđāļĨāļ°āļŠāļāļāļāļāļāļāļāļĄāļĨāļāđāļāļĨāļāļāļĒāļģāļĒāđāļ āđāļĨāļ°āļāđāļĒāļāļģāļĒāļāļģāļĢ
āļĨāļāļŦāļāļģāļāļāđāļŦāļ§āļģāļ āļŠ āļģāļŦāļĢāļāļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āļāļāļāļĄāļāļģāļĢāļ āļģāđāļāļāļāļāļ
A.12 Operation security āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāđāļāļāļēāļĢāļāļāļāļāļāļēāļ
A.12.1 Operation procedures and responsibilities āļ āļāļāļāļāļāļēāļĢāļāļāļāļāļāļēāļāđāļĨāļ°āļŦāļāļēāļāļāļ§āļēāļĄāļĢāļāļāļāļāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļģāļĢāļāļāļāļāļāļģāļāļāļāļāļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨāļĄāļāļ§āļģāļĄāļāļāļāļāļāđāļĨāļ°āļĄāļāļāļāļāļĨāļāļāļ āļĒ
A.12.1.1 Documented operating procedures āļāļāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļāļāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļāļāļāļāļĄāļāļģāļĢāļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āđāļĨāļ°āļĄāļāļĢāļāļĄāđāļāđāļāļāđāļāļāļģāļāļāļāļāļāļāļ āļģāđāļāļāļāļāļ
āđāļ
A.12.1.2 Change management
āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļāļĨāļĒāļāđāļāļĨāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļāļāļāļāļāļĢ āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāļāļĢāļāļ āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āđāļĨāļ°āļĢāļ°āļāļāļāļģāļāđ āļāļĄ
āļāļĨāļāļĢāļ°āļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļ§āļāļāļĄ
A.12.1.3 Capacity management āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļāļāļģāļāļāļĢāļāļĒāļģāļāļĢ āļāļāļāđāļāļĢāļāļāļģāļĢāđāļāļģāļĢāļ°āļ§āļ āļāļĢāļāđāļāļ āļāļģāļāļāļģāļĢāļāļāļ§āļģāļĄāļāļāļāļāļģāļĢāļāļāļāļāļāļāļ§āļģāļĄāļŠāļģāļĄāļģāļĢāļāđāļ
āļāļāļģāļāļ āđāļāļāđāļŦāļĄāļāđāļāđāļāļāļĢāļ°āļŠāļāļāļ āļģāļāļāļāļāļĢāļ°āļāļāļāļģāļĄāļāļāļāļāļāļģāļĢ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 29 / 37
A.12.1.4 Separation of development, testing and operational environments āļāļģāļĢāđāļāļāđāļĒāļāļŠāļ āļģāļāđāļ§āļāļĨāļāļĄāļāļāļāļāļģāļĢāļāļāļāļģ āļāļģāļĢāļāļāļŠāļāļ āđāļĨāļ°āļāļģāļĢāļ āļģāļāļģāļāļāļĢāļāļāļāļāļāļģāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļ āļģāļāđāļ§āļāļĨāļāļĄāļāļāļāļāļģāļĢāļāļāļāļģ āļāļģāļĢāļāļāļŠāļāļ āđāļĨāļ°āļāļģāļĢāļ āļģāļāļģāļāļāļĢāļ āļāļāļāļāļāđāļāļāđāļĒāļāļāļāļāļāļģāļāļāļ āđāļāļāļĨāļāļāļ§āļģāļĄ
āđāļŠāļĒāļāļāļāļāļāļģāļĢāđāļāļģāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļŦāļĢāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļŠāļ āļģāļāđāļ§āļāļĨāļāļĄāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļāļāļĢāļ
A.12.2 Protection from malware āļāļēāļĢāļāļāļāļāļāđāļāļĢāđāļāļĢāļĄāđāļĄāļāļāļāļĢāļ°āļŠāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļāđāļāļĢāđāļāļĢāļĄāđāļĄāļāļāļāļĢāļ°āļŠāļāļ
A.12.2.1 Controls against malware āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāđāļāļĢāđāļāļĢāļĄāđāļĄāļāļāļāļĢāļ°āļŠāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļĄāļģāļāļĢāļāļģāļĢāļāļĢāļ§āļāļāļ āļāļģāļĢāļāļāļāļāļ āđāļĨāļ°āļāļģāļĢāļāļāļ āđāļāļāļāļāļāļāļāļāļģāļāđāļāļĢāđāļāļĢāļĄāđāļĄāļāļāļāļĢāļ°āļŠāļāļ āļāļāļāļ āļģāđāļāļāļāļāļ
āļĢāļ§āļĄāļāļāļāļģāļĢāļŠāļĢāļģāļāļāļ§āļģāļĄāļāļĢāļ°āļŦāļāļāđāļāļāđāļāļāļģāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ
A.12.3 Backup āļāļēāļĢāļŠ āļēāļĢāļāļāļāļāļĄāļĨ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļģāļĢāļŠāļāļŦāļģāļĒ/āļŠāļāđāļŠāļĒāļāļāļĄāļĨ
A.12.3.1 Information backup āļāļģāļĢāļŠ āļģāļĢāļāļāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļŠ āļģāļĢāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāđāļ§āļĢ āđāļĨāļ°āļāļĄāđāļĄāļāļāļāļāļĢāļ°āļāļ āļāļāļāļĄāļāļģāļĢāļāļāļāļ āđāļĨāļ°āļāļāļŠāļāļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļ
āļŠāļāļāļāļĨāļāļāļāļāļāđāļĒāļāļģāļĒāļŠ āļģāļĢāļāļāļāļāļĄāļĨāļāļ āļģāļŦāļāļāđāļ§
A.12.4 Logging and monitoring āļāļēāļĢāļāļāļāļāļĨāļāļāđāļĨāļ°āļāļēāļĢāđāļāļēāļĢāļ°āļ§āļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāđāļŦāļāļāļģāļĢāļāđāļĨāļ°āļāļģāļĢāļŠāļĢāļģāļ (generate) āļŦāļĨāļāļāļģāļ
A.12.4.1 Event logging āļāļģāļĢāļāļāļāļāļĨāļāļāļāļāļāđāļŦāļāļāļģāļĢāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļĨāļāļāđāļŦāļāļāļģāļĢāļāļāļāļāļāļāļāļāļāļĢāļĢāļĄāļāļāļāļāđāļāļāļģāļ āļāļāļĒāļāđāļ§āļ (Exception) āļāļāļāļāļāļĨāļģāļ (Fault) āđāļĨāļ°āđāļŦāļāļāļģāļĢāļ
āļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļĄāļāļģāļĢāļāļāļ āļģāļ āļ āļāļāđāļāļ āđāļĨāļ°āļāļāļāļ§āļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļ
A.12.4.2 Protection of log information āļāļģāļĢāļāļāļāļāļāļāļāļĄāļĨāļĨāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļāļāļāļāļāļĨāļāļāđāļĨāļ°āļāļāļĄāļĨāļĨāļāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāđāļāļāļ āļģāļĨāļģāļĒ (Tempering)
āđāļĨāļ°āđāļāļģāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.12.4.3 Administrator and operator logs āļĨāļāļāļāļāļāļāļāđāļĨāļĢāļ°āļāļāđāļĨāļ°āđāļāļģāļŦāļāļģāļāļāļāļāļāļāļģāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļĢāļĄāļāļāļāļāļāđāļĨāļĢāļ°āļāļāđāļĨāļ°āđāļāļģāļŦāļāļģāļāļāļāļāļāļāļģāļĢ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļĨāļāļ āđāļĨāļ°āļāļāļĄāļĨāļĨāļāļāļāļāļāđāļāļĢāļāļāļģāļĢ
āļāļāļāļāļāđāļĨāļ°āļāļāļāļ§āļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 30 / 37
A.12.4.4 Clock synchronization āļāļģāļĢāļāļĢāļ°āļŠāļģāļāđāļ§āļĨāļģāļāļāļāļāļģāļŽāļāļģ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļŽāļāļģāļāļāļāļĢāļ°āļāļāļāļāļŦāļĄāļāļāđāļāļĒāļ§āļāļāļāļāļāļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨāļ āļģāļĒāđāļāļāļāļāļāļĢ āļŦāļĢāļāđāļāđāļĄāļāļāļ§āļģāļĄāļĄāļāļāļ
(Security Domain) āļāļāļāđāļāļĢāļāļāļģāļĢāļāļĢāļ°āļŠāļģāļāđāļ§āļĨāļģāđāļŦāļāļĢāļāļāļāđāļŦāļĨāļāđāļāļĒāļāđāļ§āļĨāļģāļāļģāļāļāļāđāļāļĒāļ§āļāļ
A.12.5 Control of operation software āļāļēāļĢāļāļ§āļāļāļĄāļāļāļāļāđāļ§āļĢāļāļāļāļāļāļēāļĢ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļĢāļ°āļāļāļāļāļāļāļāļģāļĢāļĄāļāļ§āļģāļĄāļāļāļāļāļāļāļĢāļāļāļ§āļ
A.12.5.1 Installation of software on operational systems āļāļģāļĢāļāļāļāļāļāļāļāļāđāļ§āļĢāļāļāļĢāļ°āļāļāļāļāļāļāļāļģāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāļāļāļāļģāļāļāļāļāļ āļģāļĄāļģāļāļāļāļāđāļāļāļāļ§āļāļāļĄāļāļģāļĢāļāļāļāļāļāļāļāļāđāļ§āļĢāļāļāļĢāļ°āļāļāļāļāļāļāļāļģāļĢ
A.12.6 Technical vulnerability management āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļāļāđāļŦāļ§āļāļēāļāđāļāļāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļāļāļāļāļāļāļģāļĢāđāļŠāļ§āļāļŦāļģāļāļĢāļ°āđāļĒāļāļāļāļģāļāļāļāļāđāļŦāļ§āļāļģāļāđāļāļāļāļ
A.12.6.1 Management of technical vulnerabilities āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļāļāđāļŦāļ§āļāļģāļāđāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļĄāļĨāđāļāļĒāļ§āļāļāļāļāļāđāļŦāļ§āļāļģāļāđāļāļāļāļāļāļāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāđāļāļāļģāļ āļāļāļāđāļāļĢāļāļ āļģāļĒāđāļāđāļ§āļĨāļģāļāļāļāļāļ§āļāļ āļāļģāļĢ
āđāļāļāđāļāļĒāļāļāļāđāļŦāļ§āļāļāļāļĨāļģāļ§āļāļāļāļāļāļāļāļĢāļāļāļāļāļāļāļĢāļ°āđāļĄāļāđāļĨāļ°āļĢāļ°āļāļĄāļģāļāļĢāļāļģāļĢāļāđāļŦāļĄāļģāļ°āļŠāļĄāđāļāļāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļ
āđāļāļĒāļ§āļāļāļ
A.12.6.2 Restrictions on software installation āļāļģāļĢāļ āļģāļāļāļāļģāļĢāļāļāļāļāļāļāļāļāđāļ§āļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļŦāļģāļĢāļāļģāļāļāļāļāļāļģāļĢāļāļāļāļāļāļāļāļāđāļ§āļĢāđāļāļĒāļāđāļāļāļģāļ āļāļāļāļāļāļ āļģāļ āļāđāļĨāļ°āļ āļģāđāļāļāļāļāļ
A.12.7 Information systems audit consideration
āļāļēāļĢāļāļāļēāļĢāļāļēāļŠ āļēāļŦāļĢāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļĨāļāļāļĨāļāļĢāļ°āļāļāļāļģāļāļāļāļāļĢāļĢāļĄāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāļĢāļ°āļāļāļāļģāļĢāļ āļģāđāļāļāļāļģāļ
A.12.7.1 Information systems audit controls āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāļāļāļģāļĢāļāļĢāļ§āļāļŠāļāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļ āļģāļŦāļāļāđāļĨāļ°āļāļāļāļĢāļĢāļĄāļāļāļāļāļģāļĢāļāļĢāļ§āļāļāļĢāļ§āļāļŠāļāļāļāđāļāļĒāļ§āļāļāļāļāļāļāļģāļĢāļāļ§āļāļŠāļāļāļĢāļ°āļāļāļāļāļāļāļāļģāļĢ āļāļāļāļĄāļāļģāļĢ
āļ§āļģāļāđāļāļāļāļĒāļģāļāļĢāļ°āļĄāļāļĢāļ°āļ§āļ āđāļĨāļ°āđāļāļĢāļāļāļ§āļģāļĄāđāļŦāļāļāļāļāđāļāļāļĨāļāļāļģāļĢāļŦāļĒāļāļāļ°āļāļāļāļāļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāļāļĢāļāļāđāļŦāļāļāļĒ
āļāļŠāļ
A.13 Communication security āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļāļēāļāļāļēāļĢāļŠāļāļŠāļēāļĢ
A.13.1 Network security management āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļ§āļēāļĄāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāđāļāļĢāļāļāļēāļĒ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļāļāļāļģāļĢāļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāđāļāļĢāļāļāļģāļĒāđāļĨāļ°āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļŠāļāļāļŠāļāļāđāļāļĢāļāļāļģāļĒ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 31 / 37
A.13.1.1 āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāļāđāļāļĢāļāļāļģāļĒ Network controls
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āđāļāļĢāļāļāļģāļĒāļāļāļāđāļāļĢāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāđāļĨāļ°āļāļ§āļāļāļĄāđāļāļāļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļĢāļ°āļāļāđāļĨāļ°āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ
(Application)
A.13.1.2 Security of network services āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļāļĢāļāļģāļĢāđāļāļĢāļāļāļģāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĨāđāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ āļĢāļ°āļāļāļāļģāļĢāđāļŦāļāļĢāļāļģāļĢ āđāļĨāļ°āļāļāļ āļģāļŦāļāļāļāļāļāļāļģāļĢāļāļĢāļāļģāļĢāļāļāļāļģāļĢāļāļāļāļāļĢāļāļģāļĢ
āđāļāļĢāļāļāļģāļĒāļāļāļŦāļĄāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļĢāļ°āļ āđāļĨāļ°āļĢāļ§āļĄāļāļĒāđāļāļāļāļāļāļĨāļāļāļģāļĢāđāļŦāļāļĢāļāļģāļĢāđāļāļĢāļāļāļģāļĒ āđāļĄāļ§āļģāļāļ°āđāļāļāļāļģāļĢ
āđāļŦāļāļĢāļāļģāļĢāđāļāļĒāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāđāļ (In-house) āļŦāļĢāļāļŦāļāļ§āļĒāļāļģāļĒāļ āļģāļĒāļāļāļ (Outsourced)
A.13.1.3 Segregation in networks āļāļģāļĢāđāļāļāđāļĒāļāđāļāļĢāļāļāļģāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļĨāļĄāļāļāļāļāļĢāļāļģāļĢāļāļģāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāđāļāļāļģāļ āđāļĨāļ°āļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļģāļāđ āļāļāļāđāļāļĢāļāļāļģāļĢāđāļāļāđāļĒāļāļāļāđāļāļĢāļāļāļģāļĒ
A.13.2 Information transfer āļāļēāļĢāļāļēāļĒāđāļāļāļāļāļĄāļĨ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļĢāļāļĐāļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļģāļĒāđāļāļāļ āļģāļĒāđāļāļāļāļāļāļĢ āđāļĨāļ°āļāļāļģāļĒāđāļāļāđāļāļĒāļāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļāđāļŦāļāļāđāļ§
A.13.2.1 Information transfer policies and procedures āļāđāļĒāļāļģāļĒāđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļāđāļāļāļģāļĢāļāļģāļĒāđāļāļāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāđāļĒāļāļģāļĒ āļāļāļāļāļāļāļāļāļāļāļģāļ āđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļāđ āļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢ āļāļāļāļĄāđāļ§āđāļāļāļāļāļāļāļāļāļģāļĢāļāļģāļĒ
āđāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļģāļāļāļģāļĢāđāļāļāļāļāļĢāļāļŠāļāļŠāļģāļĢāļāļāļāļĢāļ°āđāļ āļ
A.13.2.2 Agreements on information transfer āļāļāļāļāļĨāļāđāļāļāļģāļĢāļāļģāļĒāđāļāļāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĨāļāļāļāļāļĄāļ āļģāļŦāļāļāļāļāļāļģāļĢāļāļģāļĒāđāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļģāļāļāļĢāļāļāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒāļĢāļ°āļŦāļ§āļģāļāļāļāļāļāļĢāđāļĨāļ°
āļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļ
A.13.2.3 Electronic messaging āļāļģāļĢāļŠāļāļāļāļāļ§āļģāļĄāļāđāļĨāļāļāļĢāļāļāļāļŠ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļĄāļĨāļāļĄāļāļģāļĢāļŠāļāļāļģāļāļāļģāļāļāļģāļĢāļŠāļāļāļāļāļ§āļģāļĄāļāđāļĨāļāļāļĢāļāļāļāļŠ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ
A.13.2.4 āļāļāļāļāļĨāļāļāļģāļĢāļĢāļāļĐāļģāļāļ§āļģāļĄāļĨāļāļŦāļĢāļāļāļģāļĢāđāļĄāđāļāļāđāļāļĒāļāļ§āļģāļĄāļĨāļConfidentiality or nondisclosure agreements
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļ āļģāļŦāļāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļĢāļāļĐāļģāļāļ§āļģāļĄāļĨāļ āļŦāļĢāļāļāļģāļĢāđāļĄāđāļāļāđāļāļĒāļāļ§āļģāļĄāļĨāļāļāļŠāļ°āļāļāļāđāļŦāđāļŦāļāļāļāļāļ§āļģāļĄāļ āļģāđāļāļāļāļāļ
āļāļāļāļāļĢāđāļāļāļģāļĢāļāļāļāļāļāļāļāļĄāļĨ āļāļāļāđāļāļĢāļāļāļģāļĢāļĢāļ°āļ āļāļāļāļ§āļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļ āđāļĨāļ°āļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
A.14 System acquisition, development and maintenance āļāļēāļĢāļāļāļŦāļē āļāļēāļĢāļāļāļāļē āđāļĨāļ°āļāļēāļĢāļ āļēāļĢāļāļĢāļāļĐāļēāļĢāļ°āļāļ
A.14.1 Security requirements of information systems āļāļāļ āļēāļŦāļāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļāļŠāļ§āļāļāđāļāļāļāļ§āļāļĢāļ§āļĄāđāļāļģāđāļāđāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĨāļāļāļ§āļāļāļĢāļāļ§āļ āđāļĨāļ°āļĒāļāļĢāļ§āļĄāļāļāļāļāļ āļģāļŦāļāļāļāļāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāđāļāđāļŦāļāļĢāļāļģāļĢāļāļģāļāđāļāļĢāļāļāļģāļĒāļŠāļģāļāļģāļĢāļāļ°
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 32 / 37
A.14.1.1 Information security requirements analysis and specification āļāļģāļĢāļ§āđāļāļĢāļģāļ°āļŦāđāļĨāļ°āļĢāļ°āļāļāļāļ āļģāļŦāļāļāļāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļ āļģāļŦāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāđāļāļĒāļ§āļāļāļāļāļāļāļĢāļ§āļĄāđāļ§āđāļāļāļāļ āļģāļŦāļāļāļāļāļāļĢāļ°āļāļ
āļŠāļģāļĢāļŠāļāđāļāļĻāđāļŦāļĄ āļŦāļĢāļāļāļģāļĢāļāļāļāļģāļāļĢāļāļāļĢāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļĄ
A.14.1.2 Securing application services on public networks āļāļģāļĢāļĢāļāļĐāļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļāļĢāļāļģāļĢāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āļāļāđāļāļĢāļāļāļģāļĒāļŠāļģāļāļģāļĢāļāļ°
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļĒāđāļāļāļģāļĢāđāļŦāļāļĢāļāļģāļĢāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āļāļāđāļāļĢāļāļāļģāļĒāļŠāļģāļāļģāļĢāļāļ° āļāļāļāđāļāļĢāļāļāļģāļĢ
āļāļāļāļāļāļāļģāļāļāļģāļĢāļāļāđāļāļ āļāļģāļĢāđāļāđāļĒāļāļŠāļāļāļģ (Contract dispute) āđāļĨāļ°āļāļģāļĢāđāļāļāđāļāļĒāđāļĨāļ°āļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāđāļāļĒ
āđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.14.1.3 Protecting application services transactions āļāļģāļĢāļāļāļāļāļāļāļĢāļāļĢāļĢāļĄāļāļāļāļāļĢāļāļģāļĢāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ
(Application)
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļģāļĢāļŠāļāđāļāļĻāļāđāļāļĒāļ§āļāļāļāļāļāļāļĢāļāļĢāļĢāļĄāļāļāļāļāļĢāļāļģāļĢāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļ
āļāļģāļĢāļŠāļāļŠāļāļāļģāļāļāđāļĄāļŠāļĄāļāļĢāļ (Incomplete Transmission) āļāļģāļĢāļāļāđāļŠāļāļāļģāļāļāļ (Mis-routing) āļāļģāļĢāļāļĢāļāđāļ
āļāļāļāļ§āļģāļĄāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļāļģāļĢāđāļāļāđāļāļĒāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļāļģāļĢāļ āļģāļŠ āļģāđāļāļģāļŦāļĢāļāđāļĨāļāļāļāļāļ§āļģāļĄāļ āļģ
(Replay) āđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ
A.14.2 Security in development and support process
āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļāļēāđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļēāļĢāļŠāļāļāļŠāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļāļāļāļāļāđāļāļāđāļĨāļ°āļ āļģāđāļāļāļāļāļāļāļĨāļāļāļ§āļāļāļĢāļāļ§āļāļāļāļāļāļģāļĢāļāļāļāļģāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻ
A.14.2.1 Secure development policy āļāđāļĒāļāļģāļĒāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļāļāļģāļāļĒāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļāļāļģāļāļāļāļāđāļ§āļĢāđāļĨāļ°āļĢāļ°āļāļāļāļģāļ āļāļāļāļāļāļ āļģāļ āļāđāļĨāļ°āļ āļģāđāļāļāļĢāļ°āļĒāļāļāđāļāļāļāļāļģāļĢāļāļāļāļģāļāļģāļāđ
āļ āļģāļĒāđāļāļāļāļāļāļĢ
A.14.2.2 System change control procedures āļāļāļāļāļāļāļāļāļāļāļģāļāļāļģāļĢāļāļ§āļāļāļĄāļāļ§āļģāļĄāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļāļĢāļ°āļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļ§āļģāļĄāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļāļĢāļ°āļāļāļ āļģāļĒāđāļāļ§āļāļāļĢāļāļ§āļāļāļāļāļāļģāļĢāļāļāļāļģ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļ§āļāļāļĄāđāļāļĒāđāļāļāļāļāļāļ
āļāļāļāļāļāļģāļāļāļ§āļāļāļĄāļāļ§āļģāļĄāđāļāļĨāļĒāļāđāļāļĨāļāļāļĒāļģāļāđāļāļāļāļģāļāļāļģāļĢ
A.14.2.3 Technical review of applications after operating platform changes āļāļģāļĢāļāļāļāļ§āļāļāļģāļāđāļāļāļāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļ (Application) āļ āļģāļĒāļŦāļĨāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāđāļāļĨāļāļāļāļĢāļĄāļāļāļāļāļāļģāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āđāļĄāļāđāļāļĨāļāļāļāļĢāļĄāļāļāļāļāļāļģāļĢ (Operating Platforms) āļāļāđāļāļĨāļĒāļāđāļāļĨāļ āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļāļāļāļĄāļāļ§āļģāļĄāļŠ āļģāļāļ
āļāļģāļāļāļĢāļāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļ§āļ āđāļĨāļ°āļāļāļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāđāļĄāļĄāļāļĨāļāļĢāļ°āļāļāđāļāļāļģāļāļĨāļāļāļāļāļģāļĢāļāļāļāļāļāļģāļ
(Operation) āđāļĨāļ°āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļāļāļāļāļĢ
A.14.2.4 Restrictions on changes to software packages āļāļģāļĢāļ āļģāļāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļāļāļāļāđāļ§āļĢāļŠ āļģāđāļĢāļāļĢāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļāļĢāļāļāļĢāļāļāļāļāļāđāļ§āļĢāļŠ āļģāđāļĢāļāļĢāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļŦāļģāļĄāļāļĢāļ°āļ āļģ āļāļģāļĢāļ āļģāļāļāļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļāļāļ āļģāđāļāļāđāļĨāļ°
āļāļāļŦāļĄāļāļāļāļāļāļāļāļ§āļāļāļĄāļāļĒāļģāļāđāļāļĢāļāļāļĢāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 33 / 37
A.14.2.5 Secure system engineering principles āļŦāļĨāļāļāļģāļĢāļāļģāļāļ§āļĻāļ§āļāļĢāļĢāļĄāļĢāļ°āļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŦāļĨāļāļāļģāļĢāļāļāļāļ§āļĻāļ§āļāļĢāļĢāļĄāļĢāļ°āļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ āļāļāļāļĄāļāļģāļĢāļāļāļāļāļ āļ āļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āļĢāļāļĐāļģāđāļŦ
āļāļāđāļ§ āđāļĨāļ°āļ āļģāđāļāđāļāļāļāļāļģāļĢāļāļĢāļ°āļĒāļāļāđāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāđ āļāļāļģāļĄ
A.14.2.6 Secure development environment āļŠāļ āļģāļāđāļ§āļāļĨāļāļĄāļāļģāļĢāļāļāļāļģāļāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļāļāļāļāđāļĨāļ°āļāļāļāļāļāļŠāļ āļģāļāđāļ§āļāļĨāļāļĄāļāļģāļĢāļāļāļāļģāļāļĒāļģāļāđāļŦāļĄāļģāļ°āļŠāļĄ āļŠ āļģāļŦāļĢāļāļāļģāļĢāļāļāļāļģāđāļĨāļ°āļāļĢāļāļģāļāļģāļĢ
āļĢāļ°āļāļ āđāļāļĒāđāļŦāļāļĢāļāļāļāļĨāļĄāļāļĨāļāļāļāļāļ§āļāļāļĢāļāļ§āļāļāļāļāļāļģāļĢāļāļāļāļģāļĢāļ°āļāļ
A.14.2.7 Outsourced development āļāļģāļĢāļāļāļāļģāđāļāļĒāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļ āļģāļāļāļāđāļĨāđāļĨāļ°āđāļāļģāļāļāļāļģāļĄāļāļāļāļĢāļĢāļĄāļāļģāļĢāļāļāļāļģāļĢāļ°āļāļāļāļ āļģāđāļāļāļāļģāļĢāđāļāļĒāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļ
A.14.2.8 System security testing
āļāļģāļĢāļāļāļŠāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāļāļĢāļ°āļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļāļāļŠāļāļāļāļāļŠāļĄāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ (Security Functionality) āļāļāļāļ āļģāđāļāļāļāļģāļĢāđāļāļĢāļ°āļŦāļ§āļģāļāļāļģāļĢ
āļāļāļāļģ
A.14.2.9 System acceptance testing āļāļģāļĢāļāļāļŠāļāļāļāļĢāļ§āļāļĢāļāļĢāļ°āļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āđāļāļĢāđāļāļĢāļĄāļāļģāļĢāļāļāļŠāļāļāļāļĢāļ§āļāļĢāļāđāļĨāļ°āđāļāļāļāļāđāļāļĒāļ§āļāļāļ āļāļāļāļāļāļ āļģāļ āļāļŠ āļģāļŦāļĢāļāļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļŦāļĄ āļĢāļ°āļāļāļ
āļĒāļāļĢāļ°āļāļāļāļ (Upgrade) āđāļĨāļ°āđāļ§āļāļĢāļāļāđāļŦāļĄāļāļāļāļĢāļ°āļāļ
A.14.3 Test data āļāļāļĄāļĨāļāļāļŠāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļāļĄāļĨāļāđāļāđāļāļāļģāļĢāļāļāļŠāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļ
A.14.3.1 Protection of test data āļāļģāļĢāļāļāļāļāļāļāļāļĄāļĨāļāļāļŠāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļĄāļĨāļāļāļŠāļāļāļāļāļāļāļāļāļāđāļĨāļāļāļāļĒāļģāļāļĢāļ°āļĄāļāļĢāļ°āļ§āļ āđāļĨāļ°āđāļāļĢāļāļāļģāļĢāļāļāļāļāļāđāļĨāļ°āļāļ§āļāļāļĄ
A.15 Supplier relationships āļāļ§āļēāļĄāļŠāļĄāļāļāļāļāļāļāļāļēāļĒ
A.15.1 Information security in supplier relationships
āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļāļ§āļēāļĄāļŠāļĄāļāļāļāļāļāļāļāļēāļĒ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļĢāļāļĒāļŠāļāļāļāļāļāļāļāļāļĢāļāļŠāļģāļĄāļģāļĢāļāđāļāļģāļāļāđāļāđāļāļĒāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļ
A.15.1.1 Information security policy for supplier relationships āļāđāļĒāļāļģāļĒāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļŠ āļģāļŦāļĢāļāļāļ§āļģāļĄāļŠāļĄāļāļāļāļāļāļāļāļģāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļ āļģāļŦāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļāļāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļŠāļĒāļāļāđāļāļĒāļ§āļāļāļāļāļāļāļģāļĢāđāļāļģāļāļ
āļāļĢāļāļĒāļŠāļāļāļāļāļāļĢāđāļāļĒāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļĨāļāļĢāļ§āļĄāļāļāļāļāļŦāļāļ§āļĒāļāļģāļāļ āļģāļĒāļāļāļ āđāļĨāļ°āļāļāļ āļģāđāļāļ
āļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 34 / 37
A.15.1.2 Addressing security within supplier agreements āļāļģāļĢāļĢāļ°āļāļāļāļ āļģāļŦāļāļāđāļāļāļāļāļāļĨāļāļāļāļāļāļģāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļ āļģāļŦāļāļāļāļāļŦāļĄāļāļāđāļāļĒāļ§āļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļ āļģāļ āļ āđāļĨāļ°āļāļāļĨāļāļĢāļ§āļĄāļāļ
āļāļāļāļāļģāļĒāđāļāļĨāļ°āļĢāļģāļĒ āļāļāļģāļāļ āļģāļāļģāļĢāđāļāļģāļāļ āļāļĢāļ°āļĄāļ§āļĨāļāļĨ āļāļāđāļāļ āļŠāļāļŠāļģāļĢāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ āļŦāļĢāļ
āđāļŦāļāļĢāļāļģāļĢāļŠāļ§āļāļāļĢāļ°āļāļāļāļāļāļāđāļāļĢāļāļŠāļĢāļģāļāļāļāļāļģāļāļāļģāļāđāļāļāđāļāđāļĨāļĒāļŠāļģāļĢāļŠāļāđāļāļĻ (IT Infrastructure
Components) āļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ
A.15.1.3 Information and communication technology supply chain āļŦāļ§āļāđāļāļāļāļāļģāļāļāļāļāđāļāļāđāļāđāļĨāļĒāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļģāļĢāļŠāļāļŠāļģāļĢ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĨāļāļāļāļāļāļģāļĒ āļāļāļāļĢāļ§āļĄāļāļāļāļāļ āļģāļŦāļāļāļāļĢāļ°āļāļāļāļāļ§āļģāļĄāđāļŠāļĒāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļ
āđāļāļĒāļ§āļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļĢāļāļģāļĢāđāļāļāđāļāđāļĨāļĒāļāļģāļĢāļŠāļāļŠāļģāļĢāļāļāļāđāļŦāđāļāļāļŦāļ§āļāđāļāļāļāļāļģāļ (Supply Chain)
A.15.2 Supplier service delivery management āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļēāļĢāļŠāļāļĄāļāļāļāļĢāļāļēāļĢāļāļāļāļāļāļēāļĒ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļĢāļāļĐāļģāļĢāļ°āļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļĢāļ°āļāļāļāļāļāļāļģāļĢāļŠāļāļĄāļāļāļāļĢāļāļģāļĢ āļāđāļŦāļāļāļāļāļĢāļ§āļĄāļāļāđāļŦāļāļāđāļ§āļāļģāļĄāļāļāļāļāļĨāļāļāļāļāļāļģāļĒ
A.15.2.1 Monitoring and review of supplier services āļāļģāļĢāļāļāļāļģāļĄāđāļĨāļ°āļāļāļāļ§āļāļāļĢāļāļģāļĢāļāļāļāļāļāļģāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļāļāļāļģāļĄ āļāļāļāļ§āļ āđāļĨāļ°āļāļĢāļ§āļāļāļĢāļ°āđāļĄāļāļāļģāļĢāļŠāļāļĄāļāļāļāļĢāļāļģāļĢāļāļāļāļāļāļģāļĒāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļ
A.15.2.2 Managing changes to supplier services āļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāđāļāļĨāļĒāļāđāļāļĨāļāļāļĢāļāļģāļĢāļāļāļāļāļāļģāļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāđāļāļĨāļĒāļāđāļāļĨāļāļāļģāļĢāđāļŦāļāļĢāļāļģāļĢāļāļāļāļāļāļģāļĒ āļĢāļ§āļĄāļāļāļāļģāļĢāļĢāļāļĐāļģāđāļŦāļāļāđāļ§ āđāļĨāļ°āļāļģāļĢāļāļĢāļāļāļĢāļāļāđāļĒāļāļģāļĒ āļāļāļāļāļ
āļāļāļāļāļāļģāļ āđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĄāļāļĒ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļĢāļŦāļģāļĢ
āļāļāļāļģāļĢ āđāļāļĒāļāļāļģāļĢāļāļģāļāļāļāļ§āļģāļĄāļŠ āļģāļāļāļāļāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļĢāļ°āļāļ āđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļģāļĢāļāļģāļāļāļĢāļāļāļāđāļāļĒāļ§āļāļāļ āđāļĨāļ°āļāļāļ
āļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāđāļŠāļĒāļāļ āļģ
A.16 Information security incident management āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāđāļŦāļāļāļēāļĢāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
A.16.1 Management of information security incident and improvements āļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāđāļŦāļāļāļēāļĢāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļāļĢāļāļāļĢāļāļāļāļāļē
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļĄāļāđāļāļāļāļ§āļāļāļģāļĢāļāļŠāļĄ āļģāđāļŠāļĄāļāđāļĨāļ°āļĄāļāļĢāļ°āļŠāļāļāļ āļģāļāđāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāđāļŦāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļĢāļ§āļĄāļāļāļāļģāļĢāļŠāļāļŠāļģāļĢāđāļāļĒāļ§āļāļāļāļāļāļāļāđāļĨāļ°āļŠāļāļģāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
A.16.1.1 Responsibilities and procedures āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŦāļāļģāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļāļāļāļāļĢāļŦāļģāļĢāđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļ āļāļāļāļāļāļ āļģāļ āļāđāļāļāđāļŦāļĄāļāđāļāļāļāļāļģāļĢāļāļāļāļŠāļāļāļāđāļ
āļāļĒāļģāļāļĢāļ§āļāđāļĢāļ§ (Quick) āļĄāļāļĢāļ°āļŠāļāļāļāļĨ (Effective) āđāļĨāļ°āđāļāļāļĢāļ°āđāļāļĒāļāđāļāļāđāļāļ (Orderly) āļāļāđāļŦāļāļāļģāļĢāļāļāļģāļ
āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 35 / 37
A.16.1.2 Reporting information security events āļāļģāļĢāļĢāļģāļĒāļāļģāļāđāļŦāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļāļģāļāļāļģāļĢāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļĢāļģāļĒāļāļģāļāļāļģāļāļāļāļāļāļģāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļ
āđāļŦāļĄāļģāļ°āļŠāļĄāļāļĒāļģāļāļĢāļ§āļāđāļĢāļ§āđāļāļģāļāļ āļģāđāļ
A.16.1.3 Reporting information security weaknesses āļāļģāļĢāļĢāļģāļĒāļāļģāļāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļģāļāđāļĨāļ°āļāļ āļģāļŠāļāļāļģāļāļģāļāļāđāļāļāļģāļāļĢāļ°āļāļāđāļĨāļ°āļāļĢāļāļģāļĢāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ āļāļāļāļ āļģāļāļģāļĢāļāļāļāļāļāļ āđāļĨāļ°
āļĢāļģāļĒāļāļģāļāļāļāļŠāļāđāļāļāļŦāļĢāļāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļģāļŠāļāļŠāļĒāđāļāđ āđāļāļĢāļ°āļāļāļŦāļĢāļ
āļāļĢāļāļģāļĢāļāļģāļāđ
A.16.1.4 Assessment of and decision on information security events āļāļģāļĢāļāļĢāļ°āđāļĄāļāđāļĨāļ°āļāļāļŠāļāđāļāļāļāđāļŦāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļŠāļāļģāļāļāļģāļĢāļ (Events) āļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļāļĢāļ°āđāļĄāļāđāļĨāļ°āļāļāļāļāļŠāļāđāļ āļāļģ
āļŠāļāļģāļāļāļģāļĢāļāļāļāļāļĨāļģāļ§āļāļāļāļāļŦāļĄāļ§āļāļŦāļĄāđāļāļāđāļŦāļāļāļģāļĢāļ (Incidents) āļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļ
āļŠāļģāļĢāļŠāļāđāļāļĻ
A.16.1.5 Response to information security incidents āļāļģāļĢāļāļāļāļŠāļāļāļāļāļāđāļŦāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āđāļŦāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļŠāļāļāļāļāļģāļĄāļāļāļāļāļāļāļāļāļāļāļāļģāļāļ
āļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ
A.16.1.6 Learning from information security incidents āļāļģāļĢāđāļĢāļĒāļāļĢāļāļģāļāđāļŦāļāļāļģāļĢāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļ§āļģāļĄāļĢāļāđāļāļĢāļāļāļģāļāļāļģāļĢāļ§āđāļāļĢāļģāļ°āļŦāđāļĨāļ°āļāļģāļĢāđāļāļāļāļŦāļģāđāļŦāļāļāļģāļĢāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļ
āļ āļģāđāļāđāļāđāļāļāļĨāļāđāļāļāļģāļŠāļŦāļĢāļāļāļĨāļāļĢāļ°āļāļāļāļāļāđāļŦāļāļāļģāļĢāļāđāļāļāļāļģāļāļ
A.16.1.7 Collection of evidence āļāļģāļĢāđāļāļāļĢāļ§āļāļĢāļ§āļĄāļŦāļĨāļāļāļģāļ:
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļ āļģāļŦāļāļāļāļāļāļāļāļāļāļāļāļāļģāļāđāļĨāļ°āļ āļģāļĄāļģāđāļāđāļāļāļģāļĢāļĢāļ°āļ (Identification), āļāļģāļĢāđāļāļāļĢāļ§āļāļĢāļ§āļĄ
(Collection) āļāļģāļĢāļāļāļŦāļģ (Acquisition) āļāļģāļĢāđāļāļāļĢāļāļĐāļģ (Preservation) āļŠāļģāļĢāļŠāļāđāļāļĻāļāļŠāļģāļĄāļģāļĢāļāļ āļģāļĄāļģāđāļāļ
āļŦāļĨāļāļāļģāļ
A.17 Information security aspect of business continuity management āļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāđāļāļĄāļĄāļāļāļāļāļēāļĢāļāļĢāļŦāļēāļĢāļāļāļāļēāļĢāļāļ§āļēāļĄāļāļāđāļāļāļāļāļēāļāļāļĢāļāļ
A.17.1 Information security continuity āļāļ§āļēāļĄāļāļāđāļāļāļāļāļēāļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļŠ āļēāļŦāļĢāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āļāļ§āļģāļĄāļāļāđāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāļāļāļāļāļĨāļāđāļāđāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļāļāđāļāļāļāļāļģāļāļāļĢāļāļāļāļāļāļāļāļāļāļĢ
A.17.1.1 Planning information security continuity āļāļģāļĢāļ§āļģāļāđāļāļāļāļ§āļģāļĄāļāļāđāļāļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļĢāļ°āļāļāļāļ āļģāļŦāļāļāļāļāļāļāļ āļŠ āļģāļŦāļĢāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ āđāļĨāļ°āļāļ§āļģāļĄāļĄ
āļāļāđāļāļāļāļāļāļāļāļģāļĢāļāļĢāļŦāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļ āļģāļĒāđāļāļŠāļāļģāļāļāļģāļĢāļāļāđāļĄāļāļāļāļĢāļ°āļŠāļāļ
āđāļāļ āđāļāļāļ§āļāļ§āļāļĪāļ āļŦāļĢāļāļ āļĒāļāļāļ
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 36 / 37
A.17.1.2 Implementing information security continuity āļāļģāļĢāļ āļģāđāļāļāļāļāļāļāļģāļāļāļ§āļģāļĄāļāļāđāļāļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļāļāļāļāļ āļ āļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļāļāļāļĐāļĢ āļ āļģāđāļāļāļāļāļ āđāļĨāļ°āļĢāļāļĐāļģāļāļĢāļ°āļāļ§āļāļāļģāļĢ āļāļāļāļāļāļāļāļāļāļāļģāļ
āđāļĨāļ°āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ āđāļāļāđāļŦāļĄāļāđāļāļāļāļĢāļ°āļāļāļāļ§āļģāļĄāļāļāđāļāļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļ
āļāļāļāļāļģāļĢāđāļāļĢāļ°āļŦāļ§āļģāļāļŠāļāļģāļāļāļģāļĢāļāļāđāļĄāļāļāļāļĢāļ°āļŠāļāļ
A.17.1.3 Verify, review and evaluate information security continuity āļāļ§āļāļŠāļāļ āļāļāļāļ§āļ āđāļĨāļ°āļāļĢāļ°āđāļĄāļāļāļ§āļģāļĄāļāļāđāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļĢāļāļāļāļāļ§āļāļŠāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļģāļĄāļāļāđāļāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļ āļģāļ āļāđāļĨāļ°
āļ āļģāđāļāļāļāļāļāļāļģāļĄāļĢāļāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļģāļāļ āļģāļŦāļāļ āđāļāļāđāļŦāļĄāļāļ§āļģāļĒāļāļāļāļĄāļģāļāļĢāļāļģāļĢāđāļŦāļĨāļģāļāļāļĒāļāļāļāđāļāđāļāļŠāļĄāđāļŦāļāļŠāļĄāļāļĨ āđāļĨāļ°
āļĄāļāļĢāļ°āļŠāļāļāļāļĨāđāļāļĢāļ°āļŦāļ§āļģāļāļŠāļāļģāļāļāļģāļĢāļāļāđāļĄāļāļāļāļĢāļ°āļŠāļāļ
A.17.2 Redundancies āļāļēāļĢāļŠ āļēāļĢāļāļāļ āļēāļāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨāļĄāļāļ§āļģāļĄāļāļĢāļāļĄāđāļāļāļģāļ
A.17.2.1 Availability of information processing facilities āļāļ§āļģāļĄāļāļĢāļāļĄāđāļāļāļģāļāļāļāļāļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļĢāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āļāļāļāļĄāļāļģāļĢāļŠ āļģāļĢāļāļāļ āļģāļāļāļāđāļ§āļāļĒāļģāļāđāļāļĒāļāļāļ āđāļāļāđāļŦāđāļāļāđāļāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļģāļ
āļāļ§āļģāļĄāļāļĢāļāļĄāđāļāļāļģāļ
A.18 Compliance āļāļēāļĢāļāļāļāļāļāļēāļĄāļāļāļ āļēāļŦāļāļ
A.18.1 Compliance with legal and contractual requirements āļāļēāļĢāļāļāļāļāļāļēāļĄāļāļāļ āļēāļŦāļāļāļāļēāļāļāļāļŦāļĄāļēāļĒāđāļĨāļ°āļŠāļāļāļē
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāļŦāļĨāļāđāļĨāļĒāļāļāļģāļĢāļĨāļ°āđāļĄāļāļāļāļŦāļĄāļģāļĒ āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļ āļāļāļ āļģāļŦāļāļ āļŦāļĢāļāļāļāļāļāļāļāļāļģāļĄāļŠāļāļāļģāļāđāļāļĒāļ§āļāļāļāļāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļāļ āļģāļŦāļāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāđāļāđ āļāļāļģāļĄ
A.18.1.1 Identification of applicable legislation and contractual requirements āļāļģāļĢāļĢāļ°āļāļāļāļ āļģāļŦāļāļāļāļģāļāļāļāļŦāļĄāļģāļĒāđāļĨāļ°āļŠāļāļāļģāļāđāļāļĒāļ§āļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļŦāļĄāļģāļĒ āļāļāļ āļģāļŦāļāļāļāļģāļāļāļāļŦāļĄāļģāļĒ āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļ āđāļĨāļ°āļāļāļāļāļāļāļāļģāļĄāļŠāļāļāļģāļāđāļāļĒāļ§āļāļāļāļāļāļŦāļĄāļ āđāļĨāļ°
āļ§āļāļāļģāļĢāļāļāļāļāļāļāļāļĢāđāļāļāđāļŦāđāļāļāđāļāļāļģāļĄāļāļāļ āļģāļŦāļāļāļāļāļāļĨāļģāļ§ āļāļāļāļāļāļĢāļ°āļāļāļĒāļģāļāļāļāđāļāļ āļāļāļ āļģāđāļāļāļĨāļģāļĒāļĨāļāļĐāļ
āļāļāļĐāļĢ āđāļĨāļ°āļāļĢāļāļāļĢāļāđāļŦāļāļāļŠāļĄāļĒ āļŠ āļģāļŦāļĢāļāđāļāļĨāļ°āļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļŠ āļģāļŦāļĢāļāļāļāļāļāļĢ
A.18.1.2 Intellectual property rights āļŠāļāļāđāļāļāļĢāļāļĒāļŠāļāļāļģāļāļāļāļāļģ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāļāļāļāđāļŦāļĄāļģāļ°āļŠāļĄāļāļāļāļ āļģāđāļāļāļāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļŠāļāļāļāļĨāļāļāļāļāļāļāļŦāļĄāļģāļĒ āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļ āđāļĨāļ°
āļāļāļāļāļāļāļāļģāļĄāļŠāļāļāļģāļāđāļāļĒāļ§āļāļāļāļāļāļŠāļāļāđāļāļāļĢāļāļĒāļŠāļāļāļģāļāļāļāļāļģ āđāļĨāļ°āļāļģāļĢāđāļāļāļāļāļāđāļ§āļĢāļāļĄāļāļĢāļĢāļĄāļŠāļāļ
(Proprietary Software)
ISO/IEC 27001:2013 Requirements āļāļāļ āļģāļŦāļāļāļĢāļ°āļāļāļāļĢāļŦāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļŦāļāļģ 37 / 37
A.18.1.3 Protection of records āļāļģāļĢāļāļāļāļāļāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļāļāļāļģāļāļāļģāļĢāļŠāļāļŦāļģāļĒ āļāļģāļĢāļ āļģāļĨāļģāļĒ āļāļģāļĢāļāļĨāļāļĄāđāļāļĨāļ āļāļģāļĢāđāļāļģāļāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āđāļĨāļ°āļāļģāļĢāđāļāļĒāđāļāļĢāļāļāļāđāļāđāļāļĒāđāļĄāđāļāļĢāļāļāļāļāļģāļ āļāļģāļĄāļāļāļāļŦāļĄāļģāļĒ āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļ āļāļāļāļāļāļāļāļģāļĄāļŠāļāļāļģ āđāļĨāļ°āļāļāļ āļģāļŦāļāļāļāļģāļāļāļĢāļāļāļāđāļāļ āļģāļŦāļāļāđāļ§
A.18.1.4 Privacy and protection of personally identifiable information
āļāļ§āļģāļĄāđāļāļāļŠāļ§āļāļāļ§āđāļĨāļ°āļāļģāļĢāļāļāļāļāļāļāļāļĄāļĨāļŠāļ§āļāļāļāļāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļģāļĢāļĢāļāļĐāļģāļāļ§āļģāļĄāđāļāļāļŠāļ§āļāļāļ§ āđāļĨāļ°āļāļģāļĢāļāļāļāļāļāļāļāļĄāļĨāļŠāļ§āļāļāļāļāļĨ āļāļāļāļĄāļāđāļāļ§āļģāđāļāļāđāļāļāļģāļĄāļāļĢāļ°āļāđāļ§āđāļāļāļāļŦāļĄāļģāļĒ
āđāļĨāļ°āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļāļāđāļāļĒāļ§āļāļāļ āļāļģāđāļŦāļĄāļģāļ°āļŠāļĄ
A.18.1.5 Regulation of cryptographic controls āļāļāļāļāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļāļāļāļģāļĢāđāļāļģāļĢāļŦāļŠāļāļāļĄāļĨ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄāļāļģāļĢāđāļāļģāļĢāļŦāļŠ āļāļāļāļ āļģāđāļāđāļāđāļāļāđāļŦāļŠāļāļāļāļĨāļāļāļāļāļāļāļāļāļĨāļ āļāļāļŦāļĄāļģāļĒ āđāļĨāļ°āļĢāļ°āđāļāļĒāļāļāļāļāļāļāļāļ
āđāļāļĒāļ§āļāļāļāļāļāļŦāļĄāļ
A.18.2 Information security reviews āļāļēāļĢāļāļāļāļ§āļāļāļ§āļēāļĄāļĄ āļāļāļāļāļĨāļāļāļ āļĒāļāļēāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļ§āļāļāļāļĢāļ°āļŠāļāļ āđāļāļāđāļŦāļĄāļāđāļāļ§āļģāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļĄāļāļģāļĢāļ āļģāđāļāļāļāļāļāđāļĨāļ°āļĄāļāļģāļĢāļ āļģāđāļāļāļāļģāļāļāļģāļĄāļāđāļĒāļāļģāļĒāđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļāļāļāļāļāļāļāļāļĢ
A.18.2.1 Independent review of information security āļāļģāļĢāļāļāļāļ§āļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļĒāļģāļāđāļāļāļāļŠāļĢāļ°
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļ§āļāļāļģāļĢāļāļāļāļāļāļāļāļĢāļāđāļāđāļāļāļāļĢāļāļģāļĢāļāļāļāļģāļĢāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļģāļĢāļ āļģāđāļāļāļāļāļ āđāļāļ
āļ§āļāļāļāļĢāļ°āļŠāļāļāļāļāļāļĄāļģāļāļĢāļāļģāļĢ (Control objectives) āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ (Controls) āļāđāļĒāļāļģāļĒ āļāļĢāļ°āļāļ§āļāļāļģāļĢ āđāļĨāļ°
āļāļāļāļāļāļāļāļāļāļāļģāļāļŠ āļģāļŦāļĢāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻ āļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļ§āļāļāļĒāļģāļāđāļāļāļāļŠāļĢāļ°
āļāļģāļĄāļĢāļāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļģāļāļ āļģāļŦāļāļ āļŦāļĢāļāđāļĄāļāļĄāļāļ§āļģāļĄāđāļāļĨāļĒāļāđāļāļĨāļāļāļĄāļāļĒāļŠ āļģāļāļāđāļāļāļ āļ
A.18.2.2 Compliance with security policies and standards āļāļģāļĢāļāļāļāļāļāļģāļĄāļāđāļĒāļāļģāļĒāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļāļāļāļāļģāļĢāļāļāļāļāļāļāļ§āļāļāļ§āļģāļĄāļŠāļāļāļāļĨāļāļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļāļāļāļāļāļģāļĢāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāļāļĄāļĨ āđāļĨāļ°āļāļāļāļāļāļāļāļāļāļāļģāļāļāļāļĒ
āļ āļģāļĒāđāļāļāļ§āļģāļĄāļĢāļāļāļāļāļāļāļāļāļāļāļ āļāļāļāđāļĒāļāļģāļĒāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļāļāļ§āļģāļĄāļĄāļāļāļāļāļĨāļāļāļ āļĒ āđāļĨāļ°āļāļāļ āļģāļŦāļāļāļāļģāļāļāļ§āļģāļĄ
āļĄāļāļāļāļāļĨāļāļāļ āļĒāļāļāđ āļāđāļŦāļĄāļģāļ°āļŠāļĄ
A.18.2.3 Technical compliance review āļāļģāļĢāļāļāļāļ§āļāļāļ§āļģāļĄāļŠāļāļāļāļĨāļāļāļāļģāļāđāļāļāļāļ
āļĄāļģāļāļĢāļāļģāļĢāļāļ§āļāļāļĄ
āļĢāļ°āļāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāđāļāļĢāļāļāļģāļĢāļāļāļāļ§āļāļāļ§āļģāļĄāļŠāļāļāļāļĨāļāļāļāļĒāļģāļāļŠāļĄ āļģāđāļŠāļĄāļāļāļāļāđāļĒāļāļģāļĒāđāļĨāļ°āļĄāļģāļāļĢāļāļģāļāļāļ§āļģāļĄ
āļĄāļāļāļāļāļĨāļāļāļ āļĒāļŠ āļģāļŦāļĢāļāļŠāļģāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ