青島ISO9000認證
您的當前位置: 首 頁 >> 新聞中心 >> ISO/IEC27001
ISO27000信息安全管理體係的主要內容

ISO27000信息安全管理體係的主要內容

發布日期:2017-12-27 作者: 點擊:

內容

 

       ISO/IEC17799-2000包含了127個安全控製措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控製。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂後的標準作為ISO 27000標準族的第一部分--ISO/IEC 27001,新標準去掉9點控製措施,新增17點控製措施,並重組部分控製措施而新增一章,重組部分控製措施,關聯性邏輯性更好,更適合應用;並修改了部分控製措施措辭。修改後的標準包括11個章節:

 

       1)安全策略。指定信息安全方針,為信息安全提供管理指引和支持,並定期評審。

 

       2)信息安全的組織。建立信息安全管理組織體係,在內部開展和控製信息安全的實施。

 

       3)資產管理。核查所有信息資產,做好信息分類,確保信息資產受到適當程度的保護。

 

       4)人力資源安全。確保所有員工,合同方和第三方了解信息安全威脅和相關事宜以及各自的責任,義務,以減少人為差錯,盜竊,欺詐或誤用設施的風險。

 

       5)物理和環境安全。定義安全區域,防止對辦公場所和信息的未授權訪問,破壞和幹擾;保護設備的安全,防止信息資產的丟失,損壞或被盜,以及對企業業務的幹擾;同時,還要做好一般控製,防止信息和信息處理設施的損壞和被盜。

 

       6)通信和操作管理。製定操作規程和職責,確保信息處理設施的正確和安全操作;建立係統規劃和驗收準則,將係統失效的風險降到最低;防範惡意代碼和移動代碼,保護軟件和信息的完整性;做好信息備份和網絡安全管理,確保信息在網絡中的安全,確保其支持性基礎設施得到保護;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟件在組織之間交換時丟失,修改或誤用。

 

       7)訪問控製。製定訪問控製策略,避免信息係統的非授權訪問,並讓用戶了解其職責和義務,包括網絡訪問控製,操作係統訪問控製,應用係統和信息訪問控製,監視係統訪問和使用,定期檢測未授權的活動;當使用移動辦公和遠程控製時,也要確保信息安全。

 

       8)係統采集、開發和維護。標示係統的安全要求,確保安全成為信息係統的內置部分,控製應用係統的安全,防止應用係統中用戶數據的丟失,被修改或誤用;通過加密手段保護信息的保密性,真實性和完整性;控製對係統文件的訪問,確保係統文檔,源程序代碼的安全;嚴格控製開發和支持過程,維護應用係統軟件和信息安全。

 

       9)信息安全事故管理。報告信息安全事件和弱點,及時采取糾正措施,確保使用持續有效的方法管理信息安全事故,並確保及時修複。

 

       10)業務連續性管理。目的是為減少業務活動的中斷,是關鍵業務過程免收主要故障或天災的影響,並確保及時恢複。

 

       11)符合性。信息係統的設計,操作,使用過程和管理要符合法律法規的要求,符合組織安全方針和標準,還要控製係統審計,使信息審核過程的效力最大化,幹擾最小化。

 

 


本文網址:http://www.chinasolarmodules8.com/news/378.html

相關標簽:青島ISO9000認證

最近瀏覽:

熱推產品  |  主營區域: 東營 威海 棗莊 濟南 臨沂 青島 濰坊 淄博 煙台 日照
在線客服
分享 一鍵分享
歡迎給草莓视频下载app污视频留言
請在此輸入留言內容,免费草莓视频在线下载官网會盡快與您聯係。
姓名
聯係人
電話
座機/手機號碼
郵箱
郵箱
地址
地址