GB/T 22081-XXXX ?英文版 ?信息安全技術(shù) 信息安全控制 代替 GB/T 22081-2016 英文版

Information security technology - Information security controls

?

前 言
本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定
起草。
本文件代替GB/T 22081—2016《信息技術(shù) 安全技術(shù) 信息安全控制實踐指南》，與GB/T 22081—2016相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如下：
a) 使用簡單的分類法和相關(guān)屬性來展示控制；
b) 對控制進行了合并、刪除，同時也增加了新的控制，與原標(biāo)準(zhǔn)對應(yīng)關(guān)系見附錄 B。
本文件等同采用ISO/IEC 27002:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全控制》。
本文件做了下列最小限度的編輯性改動：
——將屬性表、控制、目的、指南和其他信息列為二級條；
——調(diào)整了參考文獻中的文件清單。
本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

?

引 言
0.1 背景
本文件適用于所有類型和規(guī)模的組織。組織在實施基于GB/T 22080信息安全管理體系的信息安全風(fēng)
險處置時，本文件可作為其確定和實施所需控制的參考；本文件還可作為組織在確定和實施普遍接受的信息安全控制時的指導(dǎo)文件。此外，本文件旨在用于制定行業(yè)和特定組織的信息安全管理指南，同時考慮其具體的信息安全風(fēng)險環(huán)境。除本文件包含的控制外，可通過風(fēng)險評估來確定特定于組織或環(huán)境所需要的控制。
所有類型和規(guī)模的組織（包括公共和私營部門、商業(yè)和非營利性組織）都會以多種形式創(chuàng)建、收集、
處理、存儲、傳輸和處置信息，包括電子的、物理的和口頭的（如對話—會話和演示）。
信息的價值超出了字、數(shù)字和圖像的本身：如知識、概念、觀點和品牌都是無形信息。在互聯(lián)的世
界中，信息和相關(guān)資產(chǎn)都值得或需要保護，以防范各種風(fēng)險源，無論該風(fēng)險是源自自然界，還是意外或故意破壞。信息安全是通過實施一組適宜的控制來實現(xiàn)的，包括策略、規(guī)則、過程、規(guī)程、組織結(jié)構(gòu)和軟硬件功能。組織宜在必要時定義、實施、監(jiān)視、評審和改進這些控制，以滿足其特定的安全和業(yè)務(wù)目標(biāo)。GB/T 22080中規(guī)定的ISMS從整體、協(xié)調(diào)的視角審視組織的信息安全風(fēng)險，在協(xié)調(diào)一致的管理體系總框架內(nèi)確定和實施一套全面的信息安全控制。許多信息系統(tǒng)，包括其管理和運營，并沒有按照GB/T 22080所規(guī)定的ISMS和本文件來進行安全的設(shè)計。只通過技術(shù)措施所能實現(xiàn)的安全水平是有限的，宜通過適當(dāng)?shù)墓芾砘顒雍徒M織過程給予支持。在進行風(fēng)險處置時，需要仔細規(guī)劃、注意細節(jié)，來確定宜實施哪些控制。成功的ISMS需要得到組織內(nèi)所有人員的支持，還可能需要股東或供應(yīng)商等其他利益相關(guān)方的參與，同時也需要業(yè)內(nèi)專家的建議。
一個適宜、充分和有效的信息安全管理體系，為組織的管理層及其他利益相關(guān)方提供以下保證：它
們的信息及其他相關(guān)資產(chǎn)處于合理的安全狀態(tài)并免受威脅和損害，從而使組織能夠?qū)崿F(xiàn)既定的業(yè)務(wù)目
標(biāo)。
0.2 信息安全要求
組織確定其信息安全要求是必要的。信息安全要求有三個主要來源：
a) 考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標(biāo)來對組織風(fēng)險進行評估。這能通過特定于信息安全的風(fēng)險評
估來給予幫助或支持。這宜得出對必要控制的確定，以確保組織面臨的殘余風(fēng)險符合其風(fēng)險
接受準(zhǔn)則；
b) 組織及其利益相關(guān)方（貿(mào)易伙伴、服務(wù)提供者等）必須遵守的法律、法規(guī)、規(guī)章和合同要求
及其社會文化環(huán)境；
c) 組織為支持其運行而為信息生存周期的所有步驟所建立的一整套原則、目標(biāo)和業(yè)務(wù)要求。
0.3 控制
控制的定義是改變或維持風(fēng)險的措施。本文件中的某些控制是修改風(fēng)險，而其他控制則是維持風(fēng)險。
例如，信息安全方針只能維持風(fēng)險，而遵守信息安全方針則能改變風(fēng)險。此外，某些控制描述了不同風(fēng)險環(huán)境下相同的通用措施。本文件提供了源于國際公認最佳實踐的一系列組織、人員、物理和技術(shù)信息安全控制。

0.4 控制的確定
控制的確定取決于組織在風(fēng)險評估后做出的決策，并有一個明確定義的范圍。與已識別風(fēng)險相關(guān)的
決策宜基于風(fēng)險接受準(zhǔn)則、風(fēng)險處置選項和組織所采用的風(fēng)險管理方法。控制的確定還宜考慮所有相關(guān)的國家和國際法律法規(guī)?？刂频拇_定還取決于不同控制的協(xié)同，以實現(xiàn)縱深防御。
組織可根據(jù)需要來設(shè)計控制，或從任何來源識別控制。在指定此類控制時，組織宜考慮相對于所實
現(xiàn)的業(yè)務(wù)價值，實施和運行控制所需要的資源和投資。參見ISO/IEC TR 27016，了解有關(guān)ISMS投資的決策指南，以及這些決策在資源相互沖突的境下帶來的經(jīng)濟后果。
在為實施控制而部署的資源與因缺乏這些控制而發(fā)生安全事件所導(dǎo)致的潛在業(yè)務(wù)影響之間宜取得
平衡。風(fēng)險評估的結(jié)果宜有助于指導(dǎo)和確定適當(dāng)?shù)墓芾泶胧?、管理信息安全風(fēng)險的優(yōu)先順序，以及實施為防范這些風(fēng)險而確定的必要控制。
本文件中的某些控制可被視為信息安全管理的指導(dǎo)原則，適用于大多數(shù)組織。有關(guān)確定控制和其他
風(fēng)險處置選項的更多信息，可參見GB/T 31722。
0.5 編制特定于組織的指南
本文件可被視為制定特定于組織的指南的出發(fā)點。本文件中并非所有的控制和指南都適用所有組
織。組織還可能需要本文件中未包含的額外控制和指南，以滿足其具體需求和解決已識別到的風(fēng)險。在編制包含額外的指南或控制的文件時，對本文件中的條款交叉引用有助于為以后提供參考。
0.6 生存周期的考慮
信息具有從創(chuàng)建到銷毀的生存周期。在其整個生存周期中，信息的價值和其面臨的風(fēng)險可能會變化
（例如，未經(jīng)授權(quán)披露或竊取公司財務(wù)賬戶在公布后并不重要，但完整性仍然至關(guān)重要），因此，在所有階段信息安全都很重要。
與信息安全相關(guān)的信息系統(tǒng)和其他資產(chǎn)具有生存周期，包括構(gòu)思、規(guī)范、設(shè)計、開發(fā)、測試、實施、
使用、維護并最終退役和銷毀。每個階段均宜考慮信息安全。新的系統(tǒng)開發(fā)項目和對現(xiàn)有系統(tǒng)的變更，為改進安全控制提供了機會，同時考慮組織面臨的風(fēng)險和從安全事件中吸取的經(jīng)驗教訓(xùn)。
0.7 相關(guān)標(biāo)準(zhǔn)
本文件為普遍應(yīng)用于各類組織的廣泛的信息安全控制提供了指導(dǎo)，ISMS標(biāo)準(zhǔn)族中的其他文件還針對
信息安全管理全過程的其他方面提供了補充建議或要求。
有關(guān)ISMS及ISMS標(biāo)準(zhǔn)族總體介紹參見GB/T 29246。GB/T 29246中提供了一個詞匯表，定義了ISMS標(biāo)準(zhǔn)族中使用的大多數(shù)術(shù)語，并描述了該文件族中每項標(biāo)準(zhǔn)的范圍和目的。
一些適用于特定行業(yè)的標(biāo)準(zhǔn)給出了針對特定領(lǐng)域的額外控制（例如，針對云服務(wù)的ISO/IEC 27017、
針對隱私保護的ISO/IEC 27701、針對能源的ISO/IEC 27019、針對電信組織的ISO/IEC 27011和針對健康的ISO 27799）。這些標(biāo)準(zhǔn)收錄在參考文獻中，其中在第5章至第8章中引用了部分標(biāo)準(zhǔn)。

1 范圍
本文件提供了一套通用信息安全控制參考集，包括實施指南。
本文件適用于：
a) 組織基于 GB/T 22080 實施信息安全管理體系（ISMS）；
b) 組織基于國際公認最佳實踐實施信息安全控制；
c) 組織編制其自身的信息安全管理指南。
2 規(guī)范性引用文件
本文件沒有規(guī)范性引用文件。
3 術(shù)語、定義和縮略語
術(shù)語和定義
下列術(shù)語和定義適用于本文件。
3.1.1
訪問控制 access control
確保對資產(chǎn)（3.1.2）的物理和邏輯訪問是基于業(yè)務(wù)和信息安全要求進行授權(quán)和限制的手段。
3.1.2
資產(chǎn) asset
對組織有價值的任何事物。
注： 在信息安全的語境下，可分為兩類資產(chǎn)。
——主要資產(chǎn)：
?信息；
?業(yè)務(wù)過程（3.1.27）和活動。
——所有類型的支撐性資產(chǎn)（主要資產(chǎn)所依賴的資產(chǎn)），例如：
?硬件；
?軟件；
?網(wǎng)絡(luò)；
?人員（3.1.20）；
?場所；
?組織結(jié)構(gòu)。
3.1.3
攻擊 attack
未經(jīng)授權(quán)企圖銷毀、更改、禁用、訪問資產(chǎn)（3.1.2）的行為（無論成功或失?。?，或者企圖泄露、竊取或未經(jīng)授權(quán)使用資產(chǎn)的任何行為。

4 文件結(jié)構(gòu)
章條設(shè)置
本文件結(jié)構(gòu)如下：
a) 組織控制（第 5 章）；
b) 人員控制（第 6 章）；
c) 物理控制（第 7 章）；
d) 技術(shù)控制（第 8 章）。
本文件含有2個資料性附錄：
——附錄 A 屬性的使用；

——附錄 B 本文件與 GB/T 22081—2016 的對應(yīng)關(guān)系。
附錄A解釋了組織如何使用屬性（見4.2）創(chuàng)建自己的視圖，可以使用基于本文件所定義的控制屬性或組織
自行創(chuàng)建的控制屬性。
附錄B展示了本文件與GB/T 22081—2016版本中各項控制的對應(yīng)關(guān)系。
主題和屬性
第5章至第8章中提供的控制分類統(tǒng)稱為主題?？刂祁悇e為：
a) 人員，如果涉及到單獨的個人；
b) 物理，如果涉及到物理對象；
c) 技術(shù)，如果涉及到技術(shù)；
d) 其他均歸類為組織。
組織可使用屬性來創(chuàng)建不同的視圖，這些視圖從主題的不同視角進行控制分類。屬性可用于不同使用者在
不同視圖中進行控制的篩選、分類或展示。附錄A解釋了實現(xiàn)過程并提供了視圖示例。
本文件給出了示例，將每一項控制關(guān)聯(lián)到以下五種屬性的相應(yīng)屬性值（前綴‘#’方便搜索）：
a) 控制類型
控制類型是從控制何時和如何改變信息安全事件發(fā)生風(fēng)險的視角來看控制的一種屬性。屬性值包含預(yù)
防（旨在防止信息安全事件發(fā)生的控制）、檢測（作用于信息安全事件發(fā)生時的控制）和糾正（作用
于信息安全事件發(fā)生后的控制）。
b) 信息安全屬性
信息安全屬性是從控制有助于保護哪些信息特征的視角來看控制的一種屬性。屬性值包含保密性、完
整性和可用性。
c) 網(wǎng)絡(luò)空間安全概念
網(wǎng)絡(luò)空間安全概念是從控制與網(wǎng)絡(luò)空間安全概念關(guān)聯(lián)的視角來看控制的一種屬性，ISO/IEC TS 27110描述的網(wǎng)絡(luò)空間安全框架定義了網(wǎng)絡(luò)空間安全概念。屬性值包含識別、防護、發(fā)現(xiàn)、響應(yīng)和恢復(fù)。
d) 運行能力運行能力是從從業(yè)者信息安全能力的視角來看控制的一種屬性。屬性值包含治理、資產(chǎn)管理、信息保護、人力資源安全、物理安全、系統(tǒng)和網(wǎng)絡(luò)安全、應(yīng)用安全、安全配置、身份和訪問管理、威脅和脆弱性管理、連續(xù)性、供應(yīng)商關(guān)系安全、合規(guī)性、信息安全事件管理和信息安全保障。
e) 安全領(lǐng)域
安全領(lǐng)域是從四個信息安全領(lǐng)域的視角來看控制的一種屬性。四個信息安全領(lǐng)域為：“治理和生態(tài)體
系”，包括“信息系統(tǒng)安全治理和風(fēng)險管理”和“生態(tài)系統(tǒng)網(wǎng)絡(luò)空間安全管理”（包括內(nèi)外部相關(guān)方）；
“保護”，包括“IT安全架構(gòu)”、“IT安全管理”、“身份和訪問管理”、“IT安全維護”及“物理
和環(huán)境安全”；“防御”，包括“檢測”和“計算機安全事件管理”；“彈性”，包括“運行的連續(xù)
性”和“危機管理”。屬性值包含治理和生態(tài)體系、防護、防御和彈性。
本文件給出的屬性是基于其在各類組織中應(yīng)用的通用性考量而選擇。組織可選擇不考慮本文件所給出的一種或多種屬性。組織也可創(chuàng)建自有屬性（具有相應(yīng)的屬性值），形成組織自己的視圖。A.2中包含了這種屬性的示例。
控制的設(shè)計
每項控制的設(shè)計包含以下內(nèi)容：
——控制名稱：控制的簡稱；
——屬性表：顯示既定控制各項屬性值的表格；
——控制：控制的說明；

5 組織控制
信息安全策略
5.1.1 屬性表
信息安全策略的屬性表見表1。

5.1.2 控制
宜定義信息安全方針和特定主題策略，由管理層批準(zhǔn)后發(fā)布，傳達并讓相關(guān)工作人員和相關(guān)方知悉，按計劃的時間間隔以及在發(fā)生重大變更時對其進行評審。
5.1.3 目的
根據(jù)業(yè)務(wù)、法律、法規(guī)、規(guī)章和合同要求，確保信息安全的管理方向以及相應(yīng)支持的持續(xù)適宜性、充分性、有效性。
5.1.4 指南
組織在最高層上宜定義“信息安全方針”，該方針由最高管理層批準(zhǔn)，并規(guī)定了組織管理其信息安全的方法。
信息安全方針宜考慮以下方面產(chǎn)生的要求：
a) 業(yè)務(wù)戰(zhàn)略和需求；
b) 法律、法規(guī)和合同；
c) 當(dāng)前和預(yù)期的信息安全風(fēng)險和威脅。
信息安全方針宜包括以下內(nèi)容的陳述：
a) 信息安全的定義；
b) 信息安全目標(biāo)或設(shè)定信息安全目標(biāo)的框架；
c) 指導(dǎo)所有信息安全相關(guān)活動的原則；
d) 滿足信息安全相關(guān)適用要求的承諾；
e) 持續(xù)改進信息安全管理體系的承諾；
f) 對既定角色分配的信息安全管理責(zé)任；
g) 處理豁免和例外的規(guī)程。
對信息安全方針的任何變更宜由最高管理層進行審批。

6 人員控制
審查
6.1.1 屬性表
審查的屬性表見表39。

6.1.2 控制
在加入組織前，宜對所有擬錄用工作人員的候選人進行背景審查，并在入職后持續(xù)進行，同時考慮適用的法律、法規(guī)和道德規(guī)范，與業(yè)務(wù)要求、訪問信息的級別和感知到的風(fēng)險相適宜。
6.1.3 目的
確保所有工作人員符合條件且適合其角色，并在其任用期間持續(xù)保持。
6.1.4 指南
宜對所有工作人員進行篩查，包括全職、兼職和臨時員工。對于與服務(wù)供應(yīng)商簽訂合同的工作人員，宜在組織與供應(yīng)商之間的合同協(xié)議中明確篩查要求。
被考慮在組織內(nèi)錄用的所有候選人的信息宜按照相關(guān)管轄范圍內(nèi)存在的合適的法律來收集和處理。在某些司法管轄區(qū)，法律可能會要求該組織將篩查活動提前通知候選人。
驗證宜考慮所有相關(guān)的隱私、PII保護以及與任用相關(guān)的法律等因素，且在許可時，宜包括以下內(nèi)容：
a) 驗證所需材料的可用性（例如，業(yè)務(wù)和個人方面的材料）；
b) 申請人履歷的完整性和準(zhǔn)確性驗證；
c) 聲稱的學(xué)歷和專業(yè)資格的證實；
d) 獨立的身份驗證（例如，護照或由相關(guān)權(quán)威機構(gòu)簽發(fā)的其他可接受文件）；
e) 更多細節(jié)的驗證，例如，信用核查或犯罪記錄核查（若候選人擔(dān)任關(guān)鍵角色）。
當(dāng)組織聘用個人擔(dān)任特定信息安全角色時，組織宜確認該候選人：
a) 具有擔(dān)任該安全角色的必要能力；
b) 能被信任擔(dān)任該角色，特別是當(dāng)該角色對組織是十分重要的。

7 物理控制
物理安全邊界
7.1.1 屬性表
物理安全邊界的屬性表見表47。

7.1.2 控制
宜定義并使用安全邊界來保護包含信息及其他相關(guān)資產(chǎn)的區(qū)域。
7.1.3 目的
防止對組織信息及其他相關(guān)資產(chǎn)進行未經(jīng)授權(quán)的物理訪問、損壞和干擾。
7.1.4 指南
適宜時，對于物理安全邊界宜考慮并實施以下指南：
a) 根據(jù)與邊界內(nèi)資產(chǎn)相關(guān)的信息安全要求，定義安全邊界以及每個邊界的設(shè)置場所和強度；
b) 放置信息處理設(shè)施的建筑物或場所具有良好的物理邊界（即：在容易發(fā)生入侵的邊界或區(qū)域內(nèi)不宜有間隙）。場所的外部屋頂、墻壁、天花板和地板宜采用堅固的結(jié)構(gòu)，所有通往外部的門宜通過控制裝置（例如：門閂、警報器、鎖）進行適當(dāng)?shù)谋Ｗo，以防止未經(jīng)授權(quán)的訪問。在無人看管時宜鎖好門和窗；宜考慮對窗戶進行外部保護，尤其是靠近地面樓層的窗戶；還宜考慮對通風(fēng)口的保護；
c) 宜根據(jù)適用的標(biāo)準(zhǔn)，給安全邊界里的所有防火門和墻體安裝報警器，并進行監(jiān)視和測試，以建立所需的防御水平。它們宜以故障安全注1的方式運行。
7.1.5 其他信息
可以通過在組織場所和信息處理設(shè)施周圍設(shè)置一個或多個物理屏障來實現(xiàn)物理保護。
安全的區(qū)域可以是一個可上鎖的辦公室或多個被連續(xù)的內(nèi)部物理安全屏障包圍的房間。在安全邊界內(nèi)具有不同安全要求的區(qū)域之間，可能需要額外的屏障和邊界來控制物理訪問。組織宜考慮在威脅增加的情況下可以加強的物理安全措施。

8 技術(shù)控制
用戶終端設(shè)備
8.1.1 屬性表
用戶終端設(shè)備的屬性表見表61。

8.1.2 控制
宜保護通過用戶終端設(shè)備進行存儲、處理或訪問的信息。
8.1.3 目的
保護信息免受使用用戶終端設(shè)備帶來的風(fēng)險。
8.1.4 指南
8.1.4.1 總則
組織宜建立用戶終端設(shè)備安全配置和操作的特定主題策略。特定主題策略宜傳達給所有相關(guān)人員，并考慮
以下事項：
a) 用戶終端設(shè)備可以操作、處理、存儲或支持的信息類型和分級級別；
b) 用戶終端設(shè)備的注冊；
c) 物理保護要求；
d) 軟件安裝限制（例如由系統(tǒng)管理員遠程控制）；
e) 用戶終端設(shè)備軟件（包括軟件版本）和應(yīng)用更新（例如主動自動更新）的要求；
f) 與信息服務(wù)、公共網(wǎng)絡(luò)或任何其他辦公場所外網(wǎng)絡(luò)連接的規(guī)則（例如要求使用個人防火墻）；
g) 訪問控制;
h) 存儲設(shè)備加密；
i) 防止惡意軟件；
j) 對遠程進行禁用、刪除或鎖定；
k) 備份；
l) web 服務(wù)和 web 應(yīng)用的使用；
m) 最終用戶行為分析（見 8.16）；
n) 可移動設(shè)備的使用，包括可移動存儲設(shè)備和禁用物理端口（例如 USB 端口）的可能性；
o) 如果用戶終端設(shè)備支持，使用分區(qū)功能，可以安全地將組織的信息和其他相關(guān)資產(chǎn)（如軟件）與設(shè)備上的其他信息和其他相關(guān)資產(chǎn)分開。
宜考慮某些信息是否非常敏感，只能通過用戶終端設(shè)備訪問，而不能存儲在設(shè)備上。在此情況下，設(shè)備可能需要額外的技術(shù)保護措施。如確保禁用在脫機工作狀態(tài)下下載文件，并禁用安全數(shù)字（SD）卡等本地存儲。
宜盡可能通過配置管理（見8.9）或自動化工具來實施有關(guān)此控制的建議。
8.1.4.2 用戶責(zé)任
宜讓所有用戶了解用戶終端設(shè)備保護的安全要求和程序，以及實施此類安全措施時所承擔(dān)的責(zé)任。用戶宜注意：
a) 注銷活動會話并在不再需要時終止服務(wù)；
b) 在不使用時，通過物理控制（如鑰匙鎖或特殊鎖）和邏輯控制（如口令訪問）保護用戶終端設(shè)備不被未授權(quán)使用；不要讓承載重要、敏感或關(guān)鍵業(yè)務(wù)信息的設(shè)備無人值守；

8.23.2 控制
宜管理對外部網(wǎng)站的訪問，以減少對惡意內(nèi)容的暴露。
8.23.3 目的
保護系統(tǒng)不受惡意軟件的危害，并防止訪問未授權(quán)的網(wǎng)頁資源。
8.23.4 指南
組織宜降低工作人員訪問包含非法信息或包含病毒或釣魚內(nèi)容的網(wǎng)站的風(fēng)險?？刹捎米柚瓜嚓P(guān)網(wǎng)站IP地址或域的技術(shù)。一些瀏覽器和反惡意軟件會自動地或進行人工配置后執(zhí)行此操作。
組織宜為工作人員確定應(yīng)當(dāng)或不應(yīng)當(dāng)訪問的網(wǎng)站類型，宜考慮阻止對以下類型網(wǎng)站的訪問：
a) 具有信息上傳功能的網(wǎng)站，除非有合理的業(yè)務(wù)原因；
b) 已知或可疑的惡意網(wǎng)站（例如，傳播惡意軟件或網(wǎng)絡(luò)釣魚內(nèi)容的網(wǎng)站）；
c) 命令和控制服務(wù)器；
d) 從威脅情報中獲取的惡意網(wǎng)站（見 5.7）；
e) 分享非法內(nèi)容的網(wǎng)站。
在部署此控制之前，組織宜建立安全適當(dāng)使用在線資源的規(guī)則，包括對不良或不適宜的網(wǎng)站以及基于web的應(yīng)用程序的任何限制。這些規(guī)則宜保持更新。。
宜向工作人員提供有關(guān)安全適當(dāng)使用在線資源（包括訪問網(wǎng)頁）的培訓(xùn)。培訓(xùn)宜包括組織的規(guī)則、提出安全問題的聯(lián)系人以及出于合理業(yè)務(wù)需要訪問受限網(wǎng)頁資源的例外過程。還宜培訓(xùn)工作人員，確保在瀏覽器上報網(wǎng)站不安全但允許用戶繼續(xù)使用的報告的情況下，他們不會拒絕瀏覽器建議。。
8.23.5 其他信息
網(wǎng)頁過濾可以包含一系列技術(shù)，包括簽名、啟發(fā)式、可接受網(wǎng)站或域列表、被禁止網(wǎng)站或域列表以及為防止惡意軟件和其他惡意活動攻擊組織的網(wǎng)絡(luò)和系統(tǒng)的定制配置。。
密碼技術(shù)的使用
8.24.1 屬性表
密碼技術(shù)的使用的屬性表見表84。

8.33.2 控制
宜適當(dāng)?shù)倪x擇、保護和管理測試信息。
8.33.3 目的
確保測試的相關(guān)性，并保護用于測試的運行信息。
8.33.4 指南
宜選擇測試信息，以確保測試結(jié)果的可靠性和相關(guān)運行信息的保密性。不宜將敏感信息（包括個人可識別信息）復(fù)制到開發(fā)和測試環(huán)境中（見8.31）。
無論測試環(huán)境是內(nèi)部還是在云服務(wù)上構(gòu)建，當(dāng)用于測試時，宜應(yīng)用下列指南保護運行信息的副本：
a) 對測試環(huán)境采取與運行環(huán)境相同的訪問控制規(guī)程；
b) 每次將運行信息拷貝到測試環(huán)境時有單獨的授權(quán)；
c) 記錄運行信息的復(fù)制和使用，以提供審核追蹤；
d) 如果用于測試，通過移除或屏蔽（見 8.11）保護敏感信息；
e) 測試完成后立即從測試環(huán)境中正確地刪除（見 8.10）運行信息，以防止未授權(quán)使用測試信息。
測試信息宜安全存儲（以防止篡改，否則可能產(chǎn)生無效結(jié)果），且僅用于測試目的。
8.33.5 其他信息
系統(tǒng)和驗收測試可能需要大量盡可能接近運行信息的測試信息。
在審計測試中保護信息系統(tǒng)
8.34.1 屬性表
在審計測試中保護信息系統(tǒng)的屬性表見表94。