ISO27001信息安全管理体系。
什么是信息?
信息是一种资产,就如同其他的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。ISO27001信息安全管理体系信息类型:政府信息--国内重要的信息;内部信息--不希望竞争对手得到的信息;客户信息--不希望被泄露的信息;与贸易伙伴共享的信息;公开信息--任何人都可以自由使用的;列印或写在纸张上的;以邮件传输;以影视或胶片方式表现的;语言交谈共分为这几种类型。
ISO27001信息安全管理体系标准包括11个控制领域,39个控制目标和133个控制措施。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
上一篇: