企业安全管理的内外合规之ISO27001标准详解

  • 时间:
  • 浏览:0
  • 来源:大发彩神app—大发彩神8苹果版

目前,在信息安全管理体系方面,ISO/IEC27001:305--信息安全管理体系标准很久成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为取舍工商业信息系统在大多数状态所需控制范围的参考基准,适用于大、中、小组织。30年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:30《信息技术-信息安全管理实施细则》,很久该标准已升版为标准版。

一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件共要包括(很久不限于此):信息安全方针风险评估报告适用性声明(SoA)

目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识缺陷,缺陷明确的信息安全方针、完全的信息安全管理制度、相应的管理土法律方式能不能 位,如系统的运行、维护、开发等岗位不清,职责不分,所处一人身兼数职的现象。那此可以造成信息安全事件的重要意味着着 。缺陷系统的管理思想也是有有有有还还有一个多重要的现象。统统,大伙可以有有有有还还有一个多系统的、整体规划的信息安全管理体系,从预防控制的宽度出发,保障组织的信息系统与业务之安全与正常运作。

俗话说"三分技术七分管理"

三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和土法律方式,是对各个系统系统进程文件所规定的领域内工作的细化。

另附一份27001的思维脑图:

四级文件:各种记录文件,包括实施各项流程的记录成果。那此文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,由各个相关部门自行维护。

二级文件:各类系统系统进程文件。共要包括(很久不限于此):风险评估流程风险管理流程风险正确处理计划管理评审系统系统进程信息设备管理系统系统进程信息安全组织建设规定新设施管理系统系统进程内控 审核系统系统进程第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质正确处理与安全规定系统开发与维护系统系统进程业务连续性管理系统系统进程法律符合性管理规定信息系统安全审计规定文件及材料控制系统系统进程安全事件正确处理流程。

信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明取舍范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册中含各个一级文件。

ISO27001 标准要求的ISMS 文件体系应该是有有有有还还有一个多层次化的体系,通常是由六个层次构成的:

信息安全管理体系标准发展历史

ISO27001的六个内容:

1有有有有还还有一个多控制领域

39个控制目标

13六个控制土法律方式

ISO27001是内外合规中的有有有有还还有一个多案例,信息安全从业者需掌握组织建设所需的合规性的相关要求及执行要点;企业满足政府的监管要求,有效地提升组织的管理能力。内容参考 安全牛课堂《信息安全合规性》第四章 行业的标准规范。