其中包含11個主題,定義了133個安全控制。11個主題分別是:
①安全策略; ②信息安全組織; ③資產管理">
2012-11-29 12:15:20
ISO27001標準第一部分是信息安全管理實施細則
其中包含11個主題,定義了133個安全控制。11個主題分別是:
①安全策略; ②信息安全組織; ③資產管理ISO27001標準第一部分是信息安全管理實施細則
其中包含11個主題,定義了133個安全控制。11個主題分別是:
①安全策略; ②信息安全組織; ③資產管理; ④人力資源安全;⑤物理和環境安全;
⑥通信和操作管理;
⑦訪問控制;⑧信息系統獲取、開發和維護;
⑨信息安全事件管理;
⑩業務連續性管理;
⑾符合性。ISO27001標準
第二部分是建立信息安全管理體系的一套規范
其中詳細說明了建立、實施和維護信息安全管理系統的要求,指出實施機構應該遵循的風險評估標準。當然,如果要得認證機構最終的認證,還有一系列相應的注冊認證過程。
ISO/IEC 27001:2005標準要求基于PDCA管理模型來建立和維護信息安全管理體系。為了實現這一目標,組織應該在計劃階段通過風險評估來了解安全需求,然后根據需求設計解決方案;在實施階段將解決方案付諸實現;解決方案是否有效?是否有新的變化?應該在檢查階段予以監視和審查;一旦發現問題,需要在措施階段予以解決,以便改進。通過這樣的過程周期,組織就能將確切的信息安全需求和期望轉化為可管理的信息安全體系。