爱华网5.2 ISO 27001的应用范围一个组织的信息安全管理体系(ISMS)是使一个组织所有信息资产的价值得到持续保护的工具。当今的组织环境为组织拥有的信息资产赋予了很高价值。有一些商业训诫说共享这些信息资产可以使它们创造出最大的价值。由于规制、法律以及保护竞争优势等方面的原因,也存在着要求保护信息资产的反向力量。5.3 描述及核心示意图ISO 27001系列标准认识到信息安全管理的多面性应该通过ISMS的实施和运营得到反映。技术的、人的、系统的、组织的和社会的因素交织在一起,每一个因素都增加了问题的复杂程度,要构建一个合乎目的的体系必须采取一种精致的整体方案。ISO 27001有两个部分:|www.aihuau.com|● ISO 27001:2005,信息技术-安全技巧-信息安全管理体系-要求● ISO 17799:2005,信息技术-安全技巧-信息安全管理行为守则ISO 27001:2005为一个合乎目的的信息安全管理体系的综合体提供了一个管理方案,是否合乎目的要根据信息安全要求以及相关方面的期望来测量。ISO 17799:2005是一个行为守则,分为11个领域和39个安全控制目标,其中每个都针对组织面临的某个特定领域的信息安全顾虑而设计。对每个领域,行为守则都描述了高级别的信息安全目标以及对处理这些目标范围内的风险所做的控制。该部分还包含实施指导。ISO 27001:2005在它的附录A中包含了一个ISO 17799:2005的摘要。表5.1 安全领域和高级别目标安 全 领 域 高级别目标访问控制 控制对信息的访问资产管理 实现并维持对组织资产的恰当保护业务连续性管理 消除对业务活动的打断,保护关键的业务过程免受信息系统重大故障或者灾难的影响,保证它们能及时恢复(续表) 安 全 领 域 高级别目标通信和运营管理 确保正确和安全地操作信息处理设施遵守规范 避免违反任何法律、法规、制度或者合同规定的义务以及任何安全要求onmouseover=displayAd(4);onmouseout=hideAd(); onclick=linkClick(4);>人力资源安全 确保员工、承包商和第三方用户:理解他们在雇佣期间及期满后所承担的责任和义务。了解组织所面临的安全问题并且有能力在他们的日常工作中处理这些问题。
降低偷窃、欺诈、滥用设备和人为错误的风险信息安全事故管理 确保信息安全事件和与信息系统相关联的弱点被:迅速通报以便及时采取补救措施;以一种一致而且有效的方式处理信息系统获取、开发与维护 确保安全是所安装的信息系统技术基础的一个有机组成部分组织信息安全 在组织内部管理信息安全安全政策 按照业务要求以及相关的法律法规为信息安全提供管理指导和支持
