什么是ISO27001认证?
ISO27001是信息安全管理体系。体系是政策和程序的框架,包括组织信息风险管理流程中涉及的所有法律,物理和技术控制。
根据其文档,ISO27001的宗旨是“提供建立,实施,操作,监视,审查,维护和改进信息安全管理系统”。
ISO27001是自上而下在运行的,基于风险的方法,并且与技术无关。该规范定义了一个六部分的计划过程:
定义安全策略。
定义体系的范围。
进行风险评估。
管理已识别的风险。
选择要实现的控制目标和控制。
准备适用性声明。
该规范包括有关文档,管理责任,内部审核,持续改进以及纠正和预防措施的详细信息。该标准要求组织各部门之间的合作。
27001信息安全管理体系不强制要求特定的信息安全控制,但提供了控制清单。
ISO27002包含12个主要部分:
1.风险评估
2.安全策略
3.信息安全的组织
4.资产管理
5.人力资源安全
6.物理和环境安全
7.通讯和运营管理
8.访问控制
9.信息系统的获取,开发和维护
10。信息安全事件管理
11.业务连续性管理
12.合规性
组织必须根据其特定风险适当地应用这些控制。建议通过第三方ISO27001认证。
