標(biāo)準(zhǔn)ISO27001的主要內(nèi)容：

ISO/IEC1799-2000(BS779-1)為負(fù)責(zé)啟動其組織、實(shí)施或維護(hù)安全的人員提供信息安全管理建議。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐提供了公共基礎(chǔ)，并為組織之間的溝通提供了信任。 作者：烏拉拉拉拉嗚 https://www.bilibili.com/read/cv23845129/ 出處：bilibili

該標(biāo)準(zhǔn)指出，與其他重要的商業(yè)資產(chǎn)一樣，信息也是一種資產(chǎn)。它對一個組織很有價值，所以它需要得到適當(dāng)?shù)谋Ｗo(hù)。信息安全可以防止各種威脅，以確保業(yè)務(wù)的連續(xù)性，減少業(yè)務(wù)損害的風(fēng)險，并增加投資回報(bào)和業(yè)務(wù)機(jī)會。

通過實(shí)現(xiàn)一組適當(dāng)?shù)目刂苼慝@得信息安全?？刂瓶梢允且环N策略。慣例。程序。組織結(jié)構(gòu)和軟件功能。為了確保組織的特定安全目標(biāo)，需要建立這些控制。

信息安全管理是指導(dǎo)和控制企業(yè)或機(jī)構(gòu)的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，信息安全管理實(shí)際上是風(fēng)險管理的過程，管理的基礎(chǔ)是風(fēng)險的識別與評估。系統(tǒng)的信息安全管理主要體現(xiàn)以下原則：

■采用目前國際管理界公認(rèn)的過程方法來建立并實(shí)施體系，將活動和相關(guān)的資源作為過程進(jìn)行管理，并系統(tǒng)地識別和管理組織所用的過程，特別是過程之間的相互作用，以改善組織總體的效率和有效性。

■按照美國**質(zhì)量管理專家戴明的PDCA持續(xù)改進(jìn)模式來對信息安全管理體系的諸過程及其相互作用進(jìn)行管理。

■將國際信息安全界公認(rèn)的信息安全最佳慣例有序地形成標(biāo)準(zhǔn)，供各類組織在風(fēng)險識別、風(fēng)險評價的基礎(chǔ)上進(jìn)行選擇實(shí)施，將風(fēng)險降至企業(yè)或機(jī)構(gòu)可以接受的水平。

■同時關(guān)注組織信息的實(shí)物/物理安全與信息系統(tǒng)的安全。

■預(yù)防控制為主的思想原則。

■業(yè)務(wù)持續(xù)性原則，即從故障中恢復(fù)業(yè)務(wù)運(yùn)作，減少故障對關(guān)鍵業(yè)務(wù)過程的影響。

■動態(tài)管理原則，即對風(fēng)險實(shí)施動態(tài)管理。

要設(shè)計(jì)一套簡單實(shí)用的企業(yè)信息安全風(fēng)險評估體系，則需要在風(fēng)險評估體系設(shè)計(jì)過程中，特別注重以下原則：

1、做到將企業(yè)動態(tài)風(fēng)險同靜態(tài)風(fēng)險相結(jié)合以及企業(yè)不同層次的綜合風(fēng)險與業(yè)務(wù)操作風(fēng)險評估相結(jié)合，此外還要注重企業(yè)信息安全風(fēng)險評估工作的全面性和效益性。

2、企業(yè)面臨的ISO27001信息安全風(fēng)險結(jié)構(gòu)十分復(fù)雜，因此盡量保證風(fēng)險類型全面且風(fēng)險標(biāo)志具備代表性，要盡量把企業(yè)會面臨到的所有重要風(fēng)險因素都加入到風(fēng)險評估模型當(dāng)中。

3、企業(yè)中肯定會存在大量的難以量化的風(fēng)險因素，因此在信息安全風(fēng)險評估模型的設(shè)計(jì)中，要盡量對所有風(fēng)險因素都進(jìn)行量化，以確保評估結(jié)果的準(zhǔn)確性。