返回
信息安全管理体系要求-iso iec27001 2005介绍

信息安全管理体系要求-iso iec27001 2005介绍

ID:1545692

大小:49.50 KB

页数:4页

时间:2017-11-12

信息安全管理体系要求-iso iec27001 2005介绍_第1页
信息安全管理体系要求-iso iec27001 2005介绍_第2页
信息安全管理体系要求-iso iec27001 2005介绍_第3页
信息安全管理体系要求-iso iec27001 2005介绍_第4页
资源描述:

《信息安全管理体系要求-iso iec27001 2005介绍》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息安全管理体系要求-ISO/IEC27001:2005介绍1发展:一个重要的里程碑ISO/IEC27001:2005的名称是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”,可翻译为“信息技术-安全技术-信息安全管理体系要求”。在ISO/IEC27001:2005标准出现之前,组织只能按照英国标准研究院(BritishStandardInstitute,简称BSI)的BS7799-2:2

2、002标准,进行认证。现在,组织可以获得全球认可的ISO/IEC27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步:从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。2目的:认证ISO/IEC27001:2005标准设计用于认证目的,它可帮助组织建立和维护ISMS。标准的4-8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4-8章的所有要求,那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的

3、ISMS进行审核(初审)后,其结果是符合ISO/IEC27001:2005的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合ISO/IEC27001:2005标准的要求。然而,ISO/IEC27001:2005标准与ISO/IEC9001:2002标准(质量管理体系标准)不同。ISO/IEC27001:2005标准的要求十分“严格”。该标准4-8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足,就不能声称该组织的ISMS符合ISO/IEC27001:2005标准的要求。相比之下,I

4、SO/IEC9001:2002标准的第7章的某些要求(或条款),只要合理,可允许其质量管理体系(QMS)作适当删减。因此,不管是第一方审核、第二方审核,还是第三方审核,评估组织的ISMS对ISO/IEC27001:2005标准的符合性是十分严格的。i.特点:信息资产风险评估ISO/IEC27001:2005标准适用于所有类型的组织,而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说,该标准要求组织通过业务风险评估的方法,来建立、实施、运行、监视、评审、保持和改进其ISMS,确保其信息资产的保密

5、性、可用性和完整性。(1)信息资产ISO/IEC27001:2005所指“信息”可包括所有形式的数据、文件、通信件(如email和传真等)、交谈(如电话等)、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的,以任何方式存储的信息。通常,系统(如信息系统和数据库等)也可作为一类信息资产。(2)安全风险组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作(不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识、基础设施中的弱

6、点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失,包括经济损失、公司形象损失和顾客信心损失等。(3)风险评估与处理ISO/IEC27001:2005标准要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,减缓风险。风险评估和风险处理是ISO/IEC27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系,要进行信息资产风险评估和风险处理。其主要过程是:1)制定组织的ISMS方针和风

7、险接受准则;2)定义组织的风险评估方法;3)识别要保护的信息资产,并进行登记;4)识别安全风险,包括识别资产所面临的威胁、组织的脆弱点和造成的影响等;1)对照组织的风险接受准则,评价和确定已估算的风险的严重性、可否接受;2)形成风险评估报告;3)制定风险处理计划,选择风险控制措施;标准明确规定,有4种风险处理方法:采用适当的控制措施、接受风险、避免风险和转移风险;4)执行风险处理计划,将风险降低到可接受的级别。从理论上,风险只能降低(或减少),而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符

8、的保护,将其所受的风险降低到可接受的水准,又能使所需要的费用在该组织的预算范围之内,使该组织能够保持良好的竞争力和成功运作的状态。另外,风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。i.要求:基于过程(1)“PDCA”过程相

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。