ISO27001 信息安全管理體系
發(fā)布時(shí)間:2022-09-15 瀏覽:2553次
返回
1、什么是ISO27001信息安全管理體系
ISO27001信息安全管理體系��,即Information Security Management System(簡(jiǎn)稱ISMS)��,是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)����,以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果����,表示為方針、原則��、目標(biāo)�����、方法�����、計(jì)劃����、活動(dòng)��、程序��、過(guò)程和資源的集合。
BS7799-2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)�����,標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍����,制定信息安全方針,明確管理職責(zé)��,以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來(lái)建立信息安全管理體系��;體系一旦建立�����,組織應(yīng)按體系的規(guī)定要求進(jìn)行運(yùn)作��,保持體系運(yùn)行的有效性����;信息安全管理體系應(yīng)形成一定的文件�����,即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系��,其中應(yīng)闡述被保護(hù)的資產(chǎn)�����、組織風(fēng)險(xiǎn)管理方法����、控制目標(biāo)與控制措施��、信息資產(chǎn)需要保護(hù)的程度等內(nèi)容����。
2、實(shí)施ISO27001認(rèn)證的效益
1��、通過(guò)定義����、評(píng)估和控制風(fēng)險(xiǎn)��,確保經(jīng)營(yíng)的持續(xù)性和能力
2����、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3����、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力,提升企業(yè)形象
4�����、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5��、建立安全工具使用方針
6�����、謹(jǐn)防技術(shù)訣竅的丟失
7����、在組織內(nèi)部增強(qiáng)安全意識(shí)
8����、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
3��、ISO27001標(biāo)準(zhǔn)的主要內(nèi)容
ISO/IEC27001對(duì)信息安全管理給出建議��,供負(fù)責(zé)在其組織啟動(dòng)����、實(shí)施或維護(hù)安全的人員使用�����。該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)�����,并為組織之間的交往提供信任����。
標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”��。它對(duì)一個(gè)組織具有價(jià)值����,因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅�����,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小�����,使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大����。
信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的?���?刂瓶梢允遣呗?�、慣例��、規(guī)程����、組織結(jié)構(gòu)和軟件功能。需要建立這些控制��,以確保滿足該組織的特定安全目標(biāo)����。
4��、ISO27001標(biāo)準(zhǔn)的內(nèi)容章節(jié)
ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素����,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用��,或者增加其他附加控制�����。國(guó)際標(biāo)準(zhǔn)化組織(ISO)在2005年對(duì)ISO 17799進(jìn)行了修訂����,修訂后的標(biāo)準(zhǔn)作為ISO27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC 27001,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施����,新增17點(diǎn)控制措施,并重組部分控制措施而新增一章��,重組部分控制措施��,關(guān)聯(lián)性邏輯性更好,更適合應(yīng)用��;并修改了部分控制措施措辭��。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
1��、安全策略
2��、信息安全的組織
3����、資產(chǎn)管理
4、人力資源安全
5����、物理和環(huán)境安全
6、通信和操作管理
7�����、訪問(wèn)控制
8�����、系統(tǒng)系統(tǒng)采集��、開(kāi)發(fā)和維護(hù)
9�����、信息安全事故管理
10����、業(yè)務(wù)連續(xù)性管理
11、符合性
浙公網(wǎng)安備:33010502006920號(hào)
