体系认证咨询
您现在的位置: 首页> 体系认证咨询 > ISO27001信息安全体系
ISO/IEC27001认证的要求管理
时间:2021-08-03多数组织的信息安全控制。如果没有[ISMS的]]然而,控制往往有些杂乱无章,相互脱节,已实施经常点解决方案的具体情况,或仅仅作为一种习惯问题。 [能力成熟度模型集成|成熟度模型]通常是指作为“专案”到了这个阶段。通常解决IT或数据安全的某些方面,特别是,让非IT信息资产(如文书和专有知识)较差的整个保护的安全控制操作。业务连续性计划和人身安全的例子,可能是相当独立的IT或信息安全管理,人力资源管理方法,而很少提到需要整个组织的信息安全角色和职责定义和分配。
ISO / IEC 27001的要求管理:
*系统地研究组织的信息安全风险,考虑到的威胁,脆弱性和影响;
*设计和实施的一套连贯和全面的信息安全控制和/或其他形式的风险处置(如避免风险或转移风险),以解决那些被认为是不可接受的风险;
*采用一个总体的管理过程,以确保信息安全控制,继续一个持续的基础上,以满足该组织的信息安全需求。
虽然可能会被内使用的ISO / IEC 27001信息安全控制等成套[ISMS]以及,甚至代替,[ISO / IEC 27002]([信息安全管理工作守则]),这两个标准在实践中通常使用的。 ISO / IEC 27001附件一简明扼要地列出了从ISO / IEC 27002信息安全控制,而ISO / IEC 27002提供额外的信息和控制的实施意见。
同时按照ISO / IEC 27002实施了一套信息安全控制的组织ISO / IEC 27001的要求,以满足可能许多,但可能缺乏一些的总体管理体系要素。反过来也是如此,换句话说,一个ISO / IEC 27001合格证明书提供了保证信息安全管理体系到位,但是他说,有关信息安全的组织内的绝对状态小。技术安全控制,如防病毒软件和防火墙,一般都不会在ISO / IEC 27001认证审核审计:组织本质上是“推定”以来,已采取一切必要的信息安全控制的整体[ISMS]到位认为足够满足ISO / IEC 27001的要求。此外,管理决定的范围[信息安全管理体系认证的目的,并可能限制它,也就是说,一个单一的业务部门或位置。在ISO / IEC 27001证书并不一定意味着该组织的其余部分,范围区域外,有足够的信息安全管理方法。
在其他标准的ISO / IEC 27000系列| ISO / IEC 27000系列标准]]设计,实施和运行的某些方面提供更多的指导[ISMS的],例如信息安全风险管理([ [ISO / IEC 27005])。