ISO27001標準的主要內(nèi)容:
1)安全策略。*信息安全方針����,為信息安全提供管理指引和支持,并定期評審�。
2)信息安全的組織�����。建立信息安全管理組織體系�����,在內(nèi)部開展和控制信息安全的實施�����。
3)資產(chǎn)管理����。核查所有信息資產(chǎn)��,做好信息分類����,確保信息資產(chǎn)受到適當程度的保護。
4)人力資源安全����。確保所有員工,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任�,義務(wù)�,以減少人為差錯����,盜竊,欺詐或誤用設(shè)施的風(fēng)險�。
5)物理和環(huán)境安全。定義安全區(qū)域����,防止對辦公場所和信息的未授權(quán)訪問,破壞和干擾�����;保護設(shè)備的安全���,防止信息資產(chǎn)的丟失,損壞或被盜���,以及對企業(yè)業(yè)務(wù)的干擾�����;同時����,還要做好一般控制,防止信息和信息處理設(shè)施的損壞和被盜�。
6)通信和操作管理。制定操作規(guī)程和職責(zé)�����,確保信息處理設(shè)施的正確和安全操作���;建立系統(tǒng)規(guī)劃和驗收準則�,將系統(tǒng)失效的風(fēng)險降到較低��;防范惡意代碼和移動代碼����,保護軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò)安全管理��,確保信息在網(wǎng)絡(luò)中的安全�����,確保其支持性基礎(chǔ)設(shè)施得到保護;建立媒體處置和安全的規(guī)程��,防止資產(chǎn)損壞和業(yè)務(wù)活動的中斷�����;防止信息和軟件在組織之間交換時丟失���,修改或誤用�����。
7)訪問控制�。制定訪問控制策略��,避免信息系統(tǒng)的非授權(quán)訪問�,并讓用戶了解其職責(zé)和義務(wù),包括網(wǎng)絡(luò)訪問控制�,操作系統(tǒng)訪問控制�,應(yīng)用系統(tǒng)和信息訪問控制,監(jiān)視系統(tǒng)訪問和使用�����,定期檢測未授權(quán)的活動;當使用移動辦公和遠程控制時�����,也要確保信息安全����。
8)系統(tǒng)采集、開發(fā)和維護����。標示系統(tǒng)的安全要求,確保安全成為信息系統(tǒng)的內(nèi)置部分���,控制應(yīng)用系統(tǒng)的安全����,防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失�����,被修改或誤用��;通過加密手段保護信息的保密性����,真實性和完整性���;控制對系統(tǒng)文件的訪問,確保系統(tǒng)文檔�,源程序代碼的安全;嚴格控制開發(fā)和支持過程���,維護應(yīng)用系統(tǒng)軟件和信息安全����。
9)信息安全事故管理����。報告信息安全事件和弱點,及時采取糾正措施�����,確保使用持續(xù)有效的方法管理信息安全事故�,并確保及時修復(fù)。
10)業(yè)務(wù)連續(xù)性管理����。目的是為減少業(yè)務(wù)活動的中斷,是關(guān)鍵業(yè)務(wù)過程免受主要故障或天災(zāi)的影響��,并確保及時恢復(fù)�。
11)符合性。信息系統(tǒng)的設(shè)計�����,操作�����,使用過程和管理要符合法律法規(guī)的要求����,符合組織安全方針和標準,還要控制系統(tǒng)審計���,使信息審核過程的效力較大化��,干擾較小化�。
上述就是為您介紹的有關(guān)ISO27001標準的主要內(nèi)容的內(nèi)容��,對此您還有什么不了解的��,歡迎前來咨詢我們網(wǎng)站,我們會有專業(yè)的人士為您講解��。
關(guān)鍵詞: iso9000認證 OHS18000認證 iso9001標準 TS16949認證 ISO27001認證
編輯精選內(nèi)容:
【ISO三體系認證】ISO認證體系為企業(yè)帶來哪些增益
【ISO三體系認證】ISO三體系認證是什么���?
【ISO14001標準】企業(yè)通過ISO14001認證的好處
【知識產(chǎn)權(quán)認證體系機構(gòu)】企業(yè)申請知識產(chǎn)權(quán)管理體系認證具備的條件
【TS16949認證咨詢】企業(yè)申請TS16949認證的必看要求
iso認證體系為企業(yè)帶來哪些增益
【iso認證】ISO認證準備材料
【CCC認證咨詢】CCC認證的必要性介紹
