ISO/IEC 27011:2016
(Main)Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
The scope of this Recommendation | ISO/IEC 27011:2016 is to define guidelines supporting the implementation of information security controls in telecommunications organizations. The adoption of this Recommendation | ISO/IEC 27011:2016 will allow telecommunications organizations to meet baseline information security management requirements of confidentiality, integrity, availability and any other relevant security property.
Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour les contrôles de la sécurité de l'information fondés sur l'ISO/IEC 27002 pour les organismes de télécommunications
Le domaine d'application de la présente Recommandation | Norme internationale est de fournir des lignes directrices qui étayent la mise en œuvre de contrôles de la sécurité de l'information dans les organismes de télécommunications. L'adoption de la présente Recommandation | Norme internationale permettra aux organismes de télécommunications de satisfaire aux exigences de référence en matière de gestion de la sécurité de l'information concernant la confidentialité, l'intégrité, la disponibilité et toute autre propriété de sécurité pertinente.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27011
Second edition
2016-12-01
Information technology — Security
techniques — Code of practice for
Information security controls based on
ISO/IEC 27002 for telecommunications
organizations
Technologies de l'information — Techniques de sécurité — Code de
bonne pratique pour les contrôles de la sécurité de l'information fondés
sur l'ISO/IEC 27002 pour les organismes de télécommunications
Reference number
©
ISO/IEC 2016
© ISO/IEC 2016
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Ch. de Blandonnet 8 CP 401
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2016 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
This second edition cancels and replaces firs edition of ISO/IEC 27011:2008 which has been technically
revised.
ISO/IEC 27011 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques, in collaboration with ITU-T. The identical text is published as
Rec. ITU-T X.1051.
© ISO/IEC 2016 – All rights reserved ii-1
CONTENTS
Page
1 Scope . 1
2 Normative references. 1
3 Definitions and abbreviations . 1
3.1 Definitions . 1
3.2 Abbreviations . 2
4 Overview . 2
4.1 Structure of this Recommendation | International Standard . 2
4.2 Information security management systems in telecommunications organizations . 3
5 Information security policies . 5
6 Organization of information security. 5
6.1 Internal organization . 5
6.2 Mobile devices and teleworking . 6
7 Human resource security . 6
7.1 Prior to employment . 6
7.2 During employment . 7
7.3 Termination or change of employment . 7
8 Asset management . 7
8.1 Responsibility for assets . 7
8.2 Information classification . 8
8.3 Media handling . 8
9 Access control . 8
9.1 Business requirement for access control . 8
9.2 User access management . 9
9.3 User responsibilities . 9
9.4 System and application access control . 9
10 Cryptography . 9
11 Physical and environmental security . 9
11.1 Secure areas . 9
11.2 Equipment . 10
12 Operations security . 12
12.1 Operational procedures and responsibilities . 12
12.2 Protection from malware . 13
12.3 Backup . 13
12.4 Logging and monitoring . 13
12.5 Control of operational software . 13
12.6 Technical vulnerability management . 14
12.7 Information systems audit considerations . 14
13 Communications security . 14
13.1 Network security management . 14
13.2 Information transfer. 15
14 System acquisition, development and maintenance . 16
14.1 Security requirements of information systems . 16
14.2 Security in development and support processes . 16
14.3 Test data . 16
15 Supplier relationships . 16
15.1 Information security in supplier relationships . 16
15.2 Supplier service delivery management . 17
16 Information security incident management . 17
16.1 Management of information security incidents and improvements. 17
17 Information security aspects of business continuity management . 19
ITU-T Rec. X.1051 (04/2016) iii
Page
17.1 Information security continuity . 19
17.2 Redundancies . 20
18 Compliance . 20
Annex A – Telecommunications extended control set . 21
Annex B – Additional guidance for network security . 29
B.1 Security measures against network attacks . 29
B.2 Network security measures for network congestion . 30
Bibliography . 31
iv ITU-T Rec. X.1051 (04/2016)
Introduction
This Recommendation | International Standard provides interpretation guidelines for the implementation and management
of information security controls in telecommunications organizations based on ISO/IEC 27002.
Telecommunications organizations provide telecommunications services by facilitating the communications of customers
through their infrastructure. In order to provide telecommunications services, telecommunications organizations need to
interconnect and/or share their services and facilities and/or use the services and facilities of other telecommunications
organizations. Furthermore, the site location, such as radio sites, antenna locations, ground cables and utility provision
(power, water), may be accessed not only by the organization's staff, but also by contractors and providers external to the
organization.
Therefore, the management of information security in telecommunications organizations is complex, potentially:
– depending on external parties;
– having to cover all areas of network infrastructure, services applications and other facilities;
– including a range of telecommunications technologies (e.g., wired, wireless or broadband);
– supporting a wide range of operational scales, service areas and service types.
In addition to the application of security objectives and controls described in ISO/IEC 27002, telecommunications
organizations may need to implement extra controls to ensure confidentiality, integrity, availability and any other security
property of telecommunications in order to manage security risk in an adequate fashion.
1) Confidentiality
Protecting confidentiality of information related to telecommunications from unauthorized disclosure. This
implies non-disclosure of communications in terms of the existence, the content, the source, the destination
and the date and time of communicated information.
It is critical that telecommunications organizations ensure that the non-disclosure of communications being
handled by them is not breached. This includes ensuring that persons engaged by the telecommunications
organization maintain the confidentiality of any information regarding others that may have come to be
known during their work duties.
NOTE – The term "secrecy of communications" is used in some countries in the context of "non-disclosure of
communications".
2) Integrity
Protecting the integrity of telecommunications information includes controlling the installation and use of
telecommunications facilities to ensure the authenticity, accuracy and completeness of information
transmitted, relayed or received by wire, radio or any other method.
3) Availability
Availability of telecommunications information includes ensuring that access to facilities and the medium
used for the provision of communication services is authorized, regardless of whether communications is
provided by wire, rad
...
NORME ISO/IEC
INTERNATIONALE 27011
Deuxième édition
2016-12-01
Technologies de l'information —
Techniques de sécurité — Code de
bonne pratique pour les contrôles de
la sécurité de l'information fondés sur
l'ISO/IEC 27002 pour les organismes
de télécommunications
Information technology — Security techniques — Code of practice
for Information security controls based on ISO/IEC 27002 for
telecommunications organizations
Numéro de référence
©
ISO/IEC 2016
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2016 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou de
l'IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques créés
par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les comités
techniques de l'ISO et de l'IEC collaborent dans des domaines d'intérêt commun. D'autres organismes
internationaux, gouvernementaux et non gouvernementaux, en liaison avec l'ISO et l'IEC participent également
aux travaux. Dans le domaine des technologies de l'information, l'ISO et l'IEC ont créé un comité technique
mixte, l'ISO/IEC JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/IEC,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits de
propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour responsables de ne pas
avoir identifié de tels droits de propriété et averti de leur existence.
Cette deuxième édition annule et remplace la première édition de l’ISO/IEC 27011:2008, qui a fait l'objet d'une
révision technique.
L’ISO/IEC 27011 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information. Le texte identique est publié en tant
que Rec. ITU-T X.1051.
© ISO/IEC 2016 – Tous droits réservés
iv ITU-T Rec. X.1051 (04/2016)
Sommaire Page
1 Domaine d'application . 1
2 Références normatives . 1
3 Définitions et abréviations . 1
3.1 Définitions . 1
3.2 Abréviations . 2
4 Vue d'ensemble. 3
4.1 Structure de la présente Recommandation | Norme internationale . 3
4.2 Systèmes de management de la sécurité de l'information dans les organismes de télécommunications. 3
5 Politiques de sécurité de l'information . 6
6 Organisation de la sécurité de l'information . 6
6.1 Organisation interne . 6
6.2 Appareils mobiles et télétravail . 7
7 Sécurité des ressources humaines . 8
7.1 Avant l'embauche . 8
7.2 Pendant la durée du contrat . 9
7.3 Rupture, terme ou modification du contrat de travail . 9
8 Gestion des actifs . 9
8.1 Responsabilités relatives aux actifs. 9
8.2 Classification de l'information . 9
8.3 Manipulation des supports . 10
9 Contrôle d'accès . 10
9.1 Exigence métier en matière de contrôle d'accès . 10
9.2 Gestion de l'accès utilisateur . 11
9.3 Responsabilités des utilisateurs . 11
9.4 Contrôle de l'accès au système et aux applications . 11
10 Cryptographie . 11
11 Sécurité physique et environnementale . 11
11.1 Zones sécurisées . 11
11.2 Matériels . 12
12 Sécurité liée à l'exploitation . 14
12.1 Procédures et responsabilités liées à l'exploitation. 14
12.2 Protection contre les logiciels malveillants . 15
12.3 Sauvegarde . 15
12.4 Journalisation et surveillance . 15
12.5 Maîtrise des logiciels en exploitation . 16
12.6 Gestion des vulnérabilités techniques . 16
12.7 Considérations sur l'audit des systèmes d'information . 17
13 Sécurité des communications . 17
13.1 Management de la sécurité des réseaux . 17
13.2 Transfert de l'information . 18
14 Acquisition, développement et maintenance des systèmes. 18
14.1 Exigences de sécurité applicables aux systèmes d'information . 18
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) v
14.2 Sécurité des processus de développement et d'assistance technique . 19
14.3 Données de test . 19
15 Relations avec les fournisseurs . 19
15.1 Sécurité de l'information dans les relations avec les fournisseurs . 19
15.2 Gestion de la prestation de services des fournisseurs . 20
16 Gestion des incidents liés à la sécurité de l'information . 20
16.1 Gestion des incidents liés à la sécurité de l'information et améliorations . 20
17 Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité . 23
17.1 Continuité de la sécurité de l'information . 23
17.2 Redondances . 23
18 Conformité . 24
Annexe A Ensemble de contrôles étendus des télécommunications . 25
Annexe B Recommandations supplémentaires relatives à la sécurité des réseaux . 35
B.1 Mesures de sécurité contre les attaques de réseaux . 35
B.2 Mesures de sécurité du réseau pour la congestion des réseaux . 36
Bibliographie . 37
© ISO/IEC 2016 – Tous droits réservés
vi ITU-T Rec. X.1051 (04/2016)
Introduction
La présente Recommandation | Norme internationale fournit des lignes directrices d'interprétation pour la mise en œuvre et la
gestion des contrôles de la sécurité de l'information basés sur l'ISO/IEC 27002 dans les organismes de télécommunications.
Les organismes de télécommunications fournissent des services de télécommunications en facilitant les communications
entre les clients par l'intermédiaire de leur infrastructure. Afin de fournir des services de télécommunications, les organismes
de télécommunications ont besoin d'établir une interconnexion et/ou de partager leurs services et installations et/ou d'utiliser
les services et installations d'autres organismes de télécommunications. De plus, l'emplacement du site, notamment les
stations radio, les emplacements d'antennes, les câbles de terre et les réseaux de fourniture de services d'infrastructure
(électricité, eau), peut être accessible non seulement au personnel de l'organisme, mais également à des sous-traitants et
prestataires extérieurs à l'organisme.
La gestion de la sécurité de l'information dans les organismes de télécommunications peut donc être complexe et
éventuellement impliquer :
– une dépendance à des parties externes ;
– la nécessité de couvrir toutes les zones de l'infrastructure réseau, des applications de services et autres
installations ;
– l'inclusion d'une diversité de technologies de télécommunications (par exemple, filaires, sans fil, haut débit) ;
– la prise en charge d'une grande diversité d'échelles opérationnelles, de domaines de services et de types de
services.
Outre l'application des objectifs et des mesures de sécurité décrits dans l'ISO/IEC 27002, les organismes de
télécommunications peuvent avoir besoin de mettre en œuvre des mesures supplémentaires pour garantir la confidentialité,
l'intégrité, la disponibilité et toute autre propriété de sécurité des télécommunications afin de gérer le risque de sécurité de
façon adéquate.
1) Confidentialité
Protection de la confidentialité des informations relatives aux télécommunications contre une divulgation non
autorisée. Cela implique la non-divulgation de communications eu égard à l'existence, au contenu, à la source,
à la destination et aux date et heure des informations communiquées.
Il est essentiel que les organismes de télécommunications empêchent toute violation du principe de
non-divulgation des communications qu'ils gèrent. Cela consiste notamment à s'assurer que les personnes
engagées par l'organisme de télécommunications préservent la confidentialité de toute information concernant
des tiers dont ils peuvent avoir eu connaissance dans l'exercice de leurs fon
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.