標(biāo)準(zhǔn)ISO27001的主要內(nèi)容:
ISO/IEC1799-2000(BS779-1)為負(fù)責(zé)啟動(dòng)其組織�����、實(shí)施或維護(hù)安全的人員提供信息安全管理建議。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐提供了公共基礎(chǔ),并為組織之間的溝通提供了信任。 作者:烏拉拉拉拉嗚 https://www.bilibili.com/read/cv23845129/ 出處:bilibili
該標(biāo)準(zhǔn)指出,與其他重要的商業(yè)資產(chǎn)一樣�,信息也是一種資產(chǎn)�����。它對(duì)一個(gè)組織很有價(jià)值��,所以它需要得到適當(dāng)?shù)谋Wo(hù)。信息安全可以防止各種威脅���,以確保業(yè)務(wù)的連續(xù)性,減少業(yè)務(wù)損害的風(fēng)險(xiǎn)�,并增加投資回報(bào)和業(yè)務(wù)機(jī)會(huì)��。
通過(guò)實(shí)現(xiàn)一組適當(dāng)?shù)目刂苼?lái)獲得信息安全?����?刂瓶梢允且环N策略��。慣例����。程序��。組織結(jié)構(gòu)和軟件功能�。為了確保組織的特定安全目標(biāo)���,需要建立這些控制�����。
信息安全管理是指導(dǎo)和控制企業(yè)或機(jī)構(gòu)的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)���,信息安全管理實(shí)際上是風(fēng)險(xiǎn)管理的過(guò)程,管理的基礎(chǔ)是風(fēng)險(xiǎn)的識(shí)別與評(píng)估�����。系統(tǒng)的信息安全管理主要體現(xiàn)以下原則:
■采用目前國(guó)際管理界公認(rèn)的過(guò)程方法來(lái)建立并實(shí)施體系����,將活動(dòng)和相關(guān)的資源作為過(guò)程進(jìn)行管理,并系統(tǒng)地識(shí)別和管理組織所用的過(guò)程,特別是過(guò)程之間的相互作用�,以改善組織總體的效率和有效性��。
■按照美國(guó)**質(zhì)量管理專家戴明的PDCA持續(xù)改進(jìn)模式來(lái)對(duì)信息安全管理體系的諸過(guò)程及其相互作用進(jìn)行管理。
■將國(guó)際信息安全界公認(rèn)的信息安全最佳慣例有序地形成標(biāo)準(zhǔn),供各類組織在風(fēng)險(xiǎn)識(shí)別�����、風(fēng)險(xiǎn)評(píng)價(jià)的基礎(chǔ)上進(jìn)行選擇實(shí)施�,將風(fēng)險(xiǎn)降至企業(yè)或機(jī)構(gòu)可以接受的水平。
■同時(shí)關(guān)注組織信息的實(shí)物/物理安全與信息系統(tǒng)的安全。
■預(yù)防控制為主的思想原則���。
■業(yè)務(wù)持續(xù)性原則,即從故障中恢復(fù)業(yè)務(wù)運(yùn)作�����,減少故障對(duì)關(guān)鍵業(yè)務(wù)過(guò)程的影響��。
■動(dòng)態(tài)管理原則���,即對(duì)風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理��。
要設(shè)計(jì)一套簡(jiǎn)單實(shí)用的企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估體系,則需要在風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)過(guò)程中�,特別注重以下原則:
1��、做到將企業(yè)動(dòng)態(tài)風(fēng)險(xiǎn)同靜態(tài)風(fēng)險(xiǎn)相結(jié)合以及企業(yè)不同層次的綜合風(fēng)險(xiǎn)與業(yè)務(wù)操作風(fēng)險(xiǎn)評(píng)估相結(jié)合,此外還要注重企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作的全面性和效益性。
2�����、企業(yè)面臨的ISO27001信息安全風(fēng)險(xiǎn)結(jié)構(gòu)十分復(fù)雜�,因此盡量保證風(fēng)險(xiǎn)類型全面且風(fēng)險(xiǎn)標(biāo)志具備代表性���,要盡量把企業(yè)會(huì)面臨到的所有重要風(fēng)險(xiǎn)因素都加入到風(fēng)險(xiǎn)評(píng)估模型當(dāng)中�����。
3�、企業(yè)中肯定會(huì)存在大量的難以量化的風(fēng)險(xiǎn)因素�����,因此在信息安全風(fēng)險(xiǎn)評(píng)估模型的設(shè)計(jì)中�����,要盡量對(duì)所有風(fēng)險(xiǎn)因素都進(jìn)行量化��,以確保評(píng)估結(jié)果的準(zhǔn)確性。
客服咨詢
158-0008-7775 
