ISO27001信息安全管理體系的基本思路和控制措施
為了更加便利的理解信息安全管理體系,整理了以下的體系思路方便理解和應用。
1 信息也是資產需要保護和防范各個危害。
所有企業都會收集、處理、儲存和傳出各種類型和形式的信息,比如語言文字和圖像,這些信息的價值早已超越了其本身,所有信息和網絡的操作和處理與保護人員的信息與其他業務資產一樣重要。如果資產受到威脅與危害,那么變更新的系統和業務過程都有可能產生新的信息安全風險。所有信息安全的隱患始終存在,有效的信息安全可以通過防范和保護以及有效的措施來降低風險的危害,從而降低對資產的影響。
2 信息安全管理體系可以使信息安全得到系統的管理
關于信息安全主要體現在了信息的保密性和完整性還有可用性。保密性是指信息不能被未授權的個人所查看保證信息過程的知悉度,完整性則是指信息應處于準確和完整的特性,可用性指根據授權實體的要求可訪問和使用的特性。信息安全不能單純的通過技術手段來進行管理這樣存在一定的局限性,可以按照ISO27001信息安全管理體系來進行全局的管理。
3 識別信息安全要求是第一步
企業確定了信息安全要求是管理信息安全的第一步。安全要求主要包括企業自身的風險點;企業或者相關方的外部要求;企業自身運行和對于信息的操作、處理、儲存通信和歸檔的建立的要求和目的。
4 信息安全風險評估
結合組織的戰略及內外部環境,發揮領導作用,通過建立的信息安全風險準則,進行系統的信息安全風險識別,并對識別出的風險進行分析評估,確定風險優先級別。
5 信息安全風險處置選項
在考慮風險評估結果的基礎上,選擇需要控制的適合的信息安全風險處置選項,確定所必需的所有控制。
6 選擇和實施信息安全控制措施
將選擇的所有控制與標準附錄進行對照,并驗證沒有忽略必要的控制。控制措施可從標準給出的指標中選擇,也可以特定設計。其中附錄給出了14個安全控制、35個主要安全類別和114項控制措施。
制定適用性聲明。
制定正式的信息安全風險處置計劃,獲得風險責任人對計劃及對信息安全殘余風險的接受的批準。
具體實施以上計劃,包括對變更的管理、外包過程的管理等。
7 持續改進
利用風險管理過程、管理體系的方法進行監視、保持和改進與組織信息資產相關的安全控制措施的有效性,以實現持續改進。
8 適用性聲明
企業應該制定適應性聲明,體現對信息安全的必要控制說明和選擇的合理性說明。對標準附錄刪減的不必要條款聲明。也可以增加一些標準附錄外的特性控制,可以使給出的標準和可用條款交叉使用,方便相關方查看。
9 信息的生命周期考慮
信息在其構思、設計、開發、測試、使用、維護、下線等不同的生命周期都有這不同的風險并可能隨時變化,在每一階段都應該系統的全局的考慮其信息安全。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
