ISO27001标准第一部分是信息安全管理实施细则
其中包含11个主题,定义了133个安全控制。11个主题分别是:
①安全策略;
②信息安全组织;
③资产管理;
④人力资源安全;
⑤物理和环境安全;
⑥通信和操作管理;
⑦访问控制;
⑧信息系统获取、开发和维护;
⑨信息安全事件管理;
⑩业务连续性管理;
⑾符合性。
ISO27001标准第二部分是建立信息安全管理体系的一套规范
其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准。当然,如果要得认证机构最终的认证,还有一系列相应的注册认证过程。
ISO/IEC 27001:2005标准要求基于PDCA管理模型来建立和维护信息安全管理体系。为了实现这一目标,组织应该在计划阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查阶段予以监视和审查;一旦发现问题,需要在措施阶段予以解决,以便改进。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。
