15323800465
ISO27001認(rèn)證審核主要內(nèi)容包含:
ISO/IEC17799-2000(BS7799-1)對(duì)信息安全管理給出建議,供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ),并為組織之間的交往提供信任。
標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”。它對(duì)一個(gè)組織具有價(jià)值,因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小,使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。
信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的??刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制,以確保滿(mǎn)足該組織的特定安全目標(biāo)。
ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用,或者增加其他附加控制。國(guó)際標(biāo)準(zhǔn)化組織(ISO)在2005年對(duì)ISOS17799進(jìn)行了修訂,修訂后的標(biāo)準(zhǔn)作為ISO27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC27001,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施,新增17點(diǎn)控制措施,并重組部分控制措施而新增一章,重組部分控制措施,關(guān)聯(lián)性邏輯性更好,更適合應(yīng)用;并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
1)安全策略
2)信息安全的組織
3)資產(chǎn)管理
4)人力資源安全
5)物理和環(huán)境安全
6)通信和操作管理
7)訪問(wèn)控制
8)系統(tǒng)系統(tǒng)采集、開(kāi)發(fā)和維護(hù)
9)信息安全事故管理
10)業(yè)務(wù)連續(xù)性管理
11)符合性
