iso27001标准 《IT管理框架》第5章5.2 ISO 27001的应用范围



5.2 ISO 27001的应用范围

一个组织的信息安全管理体系(ISMS)是使一个组织所有信息资产的价值得到持续保护的工具。

当今的组织环境为组织拥有的信息资产赋予了很高价值。有一些商业训诫说共享这些信息资产可以使它们创造出最大的价值。由于规制、法律以及保护竞争优势等方面的原因,也存在着要求保护信息资产的反向力量。

5.3 描述及核心示意图

ISO 27001系列标准认识到信息安全管理的多面性应该通过ISMS的实施和运营得到反映。技术的、人的、系统的、组织的和社会的因素交织在一起,每一个因素都增加了问题的复杂程度,要构建一个合乎目的的体系必须采取一种精致的整体方案。

ISO 27001有两个部分:

|www.aihuau.com|

● ISO 27001:2005,信息技术-安全技巧-信息安全管理体系-要求

● ISO 17799:2005,信息技术-安全技巧-信息安全管理行为守则

ISO 27001:2005为一个合乎目的的信息安全管理体系的综合体提供了一个管理方案,是否合乎目的要根据信息安全要求以及相关方面的期望来测量。

ISO 17799:2005是一个行为守则,分为11个领域和39个安全控制目标,其中每个都针对组织面临的某个特定领域的信息安全顾虑而设计。对每个领域,行为守则都描述了高级别的信息安全目标以及对处理这些目标范围内的风险所做的控制。该部分还包含实施指导。

ISO 27001:2005在它的附录A中包含了一个ISO 17799:2005的摘要。

表5.1 安全领域和高级别目标

安 全 领 域 高级别目标

访问控制 控制对信息的访问

资产管理 实现并维持对组织资产的恰当保护

业务连续性管理 消除对业务活动的打断,保护关键的业务过程免受信息系统重大故障或者灾难的影响,保证它们能及时恢复

(续表) 

安 全 领 域 高级别目标

通信和运营管理 确保正确和安全地操作信息处理设施

遵守规范 避免违反任何法律、法规、制度或者合同规定的义务以及任何安全要求

onmouseover=displayAd(4);onmouseout=hideAd(); onclick=linkClick(4);>人力资源安全 确保员工、承包商和第三方用户:

理解他们在雇佣期间及期满后所承担的责任和义务。

了解组织所面临的安全问题并且有能力在他们的日常工作中处理这些问题。

 iso27001标准 《IT管理框架》第5章5.2 ISO 27001的应用范围
降低偷窃、欺诈、滥用设备和人为错误的风险

信息安全事故管理 确保信息安全事件和与信息系统相关联的弱点被:

迅速通报以便及时采取补救措施;

以一种一致而且有效的方式处理

信息系统获取、开发与维护 确保安全是所安装的信息系统技术基础的一个有机组成部分

组织信息安全 在组织内部管理信息安全

安全政策 按照业务要求以及相关的法律法规为信息安全提供管理指导和支持  

爱华网本文地址 » http://www.aihuau.com/a/9101032201/328873.html

更多阅读

it框架 《IT管理框架》第7章7.2 CMMI的应用范围

7.2 CMMI的应用范围软件工程研究所的CMMI® 从1987年开始投入使用。目前,在46个国家都有它的用户,用户中既有只有十来个软件工程师的组织也有拥有成千上万雇员的大公司。从一系列评价收集到的证据表明CMMI在帮助软件界改进过程成熟

银行业it系统基本框架 《IT管理框架》第7章7.1 起源/历史

作为一个理解和改进软件开发实践的框架,第一个软件能力成熟度模型(CMM-SW)最先由SEI在1987年发布,美国国防部资助了这一计划。CMM框架是基于这样一个假设,改进的过程能力将为软件开发项目带来更好的结果。它的主要目的是要成为供应商

声明:《iso27001标准 《IT管理框架》第5章5.2 ISO 27001的应用范围》为网友私念默如尘埃分享!如侵犯到您的合法权益请联系我们删除