玩弄美艳馊子高潮喷水-亚洲欧美第一成人网站7777-又爽又黄又无遮挡激情视频免费-国产成人牲交在线观看视频

歡迎光臨 佛山市沃博企業(yè)管理服務(wù)有限公司 官方網(wǎng)站

網(wǎng)站地圖

體系認(rèn)證

ISO27001信息安全管理體系的基本思路和控制措施

發(fā)布者: 沃博    時(shí)間:2022-11-12 14:05:11


ISO27001信息安全管理體系的基本思路和控制措施

ISO27001是國(guó)際上針對(duì)信息安全的權(quán)威認(rèn)證標(biāo)準(zhǔn),由BSI倡導(dǎo)制定。BSI是國(guó)際標(biāo)準(zhǔn)化組織(ISO)、國(guó)際電工委員會(huì)(IEC)、歐洲標(biāo)準(zhǔn)化委員會(huì)(CEN)、歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)、歐洲電信標(biāo)準(zhǔn)學(xué)會(huì)(ETSI)創(chuàng)始成員之一,廣為人知的ISO9000系列管理標(biāo)準(zhǔn)同樣是由BSI所倡導(dǎo)制定。


目前,在信息安全管理方面,英國(guó)標(biāo)準(zhǔn)ISO27001:2013(前身為ISO27001:2005)已經(jīng)成為世界上最權(quán)威、應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn),它定義了11個(gè)信息安全控制域和133個(gè)控制項(xiàng),旨在幫助企業(yè)在安全策略、安全制度、安全操作和管理流程等方面,形成統(tǒng)一的信息安全管理體系。115科技認(rèn)證范疇覆蓋如下:云存儲(chǔ)、云社區(qū)和機(jī)構(gòu)組織信息化云平臺(tái)的設(shè)計(jì)、研發(fā)和服務(wù)的信息安全管理。


為了更加便利的理解信息安全管理體系,整理了以下的體系思路方便理解和應(yīng)用。


image.png



1  信息也是資產(chǎn)需要保護(hù)和防范各個(gè)危害。


所有企業(yè)都會(huì)收集、處理、儲(chǔ)存和傳出各種類型和形式的信息,比如語(yǔ)言文字和圖像,這些信息的價(jià)值早已超越了其本身,所有信息和網(wǎng)絡(luò)的操作和處理與保護(hù)人員的信息與其他業(yè)務(wù)資產(chǎn)一樣重要。如果資產(chǎn)受到威脅與危害,那么變更新的系統(tǒng)和業(yè)務(wù)過(guò)程都有可能產(chǎn)生新的信息安全風(fēng)險(xiǎn)。所有信息安全的隱患始終存在,有效的信息安全可以通過(guò)防范和保護(hù)以及有效的措施來(lái)降低風(fēng)險(xiǎn)的危害,從而降低對(duì)資產(chǎn)的影響。

2  信息安全管理體系可以使信息安全得到系統(tǒng)的管理

關(guān)于信息安全主要體現(xiàn)在了信息的保密性和完整性還有可用性。保密性是指信息不能被未授權(quán)的個(gè)人所查看保證信息過(guò)程的知悉度,完整性則是指信息應(yīng)處于準(zhǔn)確和完整的特性,可用性指根據(jù)授權(quán)實(shí)體的要求可訪問和使用的特性。信息安全不能單純的通過(guò)技術(shù)手段來(lái)進(jìn)行管理這樣存在一定的局限性,可以按照ISO27001信息安全管理體系來(lái)進(jìn)行全局的管理。

3  識(shí)別信息安全要求是第一步


企業(yè)確定了信息安全要求是管理信息安全的第一步。安全要求主要包括企業(yè)自身的風(fēng)險(xiǎn)點(diǎn);企業(yè)或者相關(guān)方的外部要求;企業(yè)自身運(yùn)行和對(duì)于信息的操作、處理、儲(chǔ)存通信和歸檔的建立的要求和目的。

4  信息安全風(fēng)險(xiǎn)評(píng)估


結(jié)合組織的戰(zhàn)略及內(nèi)外部環(huán)境,發(fā)揮領(lǐng)導(dǎo)作用,通過(guò)建立的信息安全風(fēng)險(xiǎn)準(zhǔn)則,進(jìn)行系統(tǒng)的信息安全風(fēng)險(xiǎn)識(shí)別,并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行分析評(píng)估,確定風(fēng)險(xiǎn)優(yōu)先級(jí)別。

5  信息安全風(fēng)險(xiǎn)處置選項(xiàng)


在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上,選擇需要控制的適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng),確定所必需的所有控制。

6  選擇和實(shí)施信息安全控制措施


將選擇的所有控制與標(biāo)準(zhǔn)附錄進(jìn)行對(duì)照,并驗(yàn)證沒有忽略必要的控制。控制措施可從標(biāo)準(zhǔn)給出的指標(biāo)中選擇,也可以特定設(shè)計(jì)。其中附錄給出了14個(gè)安全控制、35個(gè)主要安全類別和114項(xiàng)控制措施。
制定適用性聲明。


制定正式的信息安全風(fēng)險(xiǎn)處置計(jì)劃,獲得風(fēng)險(xiǎn)責(zé)任人對(duì)計(jì)劃及對(duì)信息安全殘余風(fēng)險(xiǎn)的接受的批準(zhǔn)。
具體實(shí)施以上計(jì)劃,包括對(duì)變更的管理、外包過(guò)程的管理等。

7  持續(xù)改進(jìn)


利用風(fēng)險(xiǎn)管理過(guò)程、管理體系的方法進(jìn)行監(jiān)視、保持和改進(jìn)與組織信息資產(chǎn)相關(guān)的安全控制措施的有效性,以實(shí)現(xiàn)持續(xù)改進(jìn)。

8  適用性聲明


企業(yè)應(yīng)該制定適應(yīng)性聲明,體現(xiàn)對(duì)信息安全的必要控制說(shuō)明和選擇的合理性說(shuō)明。對(duì)標(biāo)準(zhǔn)附錄刪減的不必要條款聲明。也可以增加一些標(biāo)準(zhǔn)附錄外的特性控制,可以使給出的標(biāo)準(zhǔn)和可用條款交叉使用,方便相關(guān)方查看。

9  信息的生命周期考慮


信息在其構(gòu)思、設(shè)計(jì)、開發(fā)、測(cè)試、使用、維護(hù)、下線等不同的生命周期都有這不同的風(fēng)險(xiǎn)并可能隨時(shí)變化,在每一階段都應(yīng)該系統(tǒng)的全局的考慮其信息安全。






Copyright? 佛山市沃博企業(yè)管理服務(wù)有限公司 版權(quán)所有 粵ICP備11088590號(hào)

技術(shù)支持:萬(wàn)迪網(wǎng)絡(luò)