企业安全管理的内外合规之ISO27001标准详解

简介: ISO27001是内外合规中的一个案例,信息安全从业者需掌握组织建设所需的合规性的相关要求及执行要点;企业满足政府的监管要求,有效地提升组织的管理能力。

俗话说"三分技术七分管理"

目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。

_

信息安全管理体系标准发展历史

目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为标准版。

ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
ISMS_

信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。

一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限于此):信息安全方针风险评估报告适用性声明(SoA)

二级文件:各类程序文件。至少包括(可能不限于此):风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定文件及材料控制程序安全事件处理流程。

三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。

四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,由各个相关部门自行维护。

ISO27001的3个内容:
11个控制领域
39个控制目标
133个控制措施

ISO27001是内外合规中的一个案例,信息安全从业者需掌握组织建设所需的合规性的相关要求及执行要点;企业满足政府的监管要求,有效地提升组织的管理能力。内容参考 安全牛课堂《信息安全合规性》第四章 行业的标准规范。

另附一份27001的思维脑图:
27001_

相关文章
|
5月前
合规培训体系
【6月更文挑战第25天】合规培训体系
128 54
|
6月前
|
运维 监控 安全
等保合规:保护企业网络安全的必要性与优势
等保,全称为“信息安全等级保护”,是国家强制性标准,要求特定行业和企业通过安全评估确保网络安全。等保涉及物理安全(如门禁、人员管理、设备保护等)、网络安全、主机安全、应用与数据安全、制度与人员安全、系统建设管理及系统运维管理等七个方面,确保信息系统的安全和可靠性。企业进行等保合规是为了满足《网络安全法》等法律法规要求,防止网络数据泄露,避免罚款。等保工作包括定级备案、安全测评、建设整改等,企业需建立良好的安全保护生态,确保网络安全。通过等保,企业能构建有效的安全保障体系,防御系统入侵,保障用户信息,提升故障修复效率,并符合法律义务。
|
6月前
|
运维 监控 安全
网络安全产品之认识4A统一安全管理平台
随着业务网的发展,网络规模迅速扩大,安全问题不断出现。传统的账号口令管理、访问控制及审计措施已无法满足企业业务发展的需求。过去每个业务网系统常常各自维护一套用户信息数据,这种方式使得管理变得复杂且难以统一。同时,孤立地以日志形式审计操作者在系统内的操作行为,也使得审计过程变得繁琐和低效。因此,4A统一安全管理平台解决方案应运而生。
1042 0
|
运维 安全 网络安全
带你读《网络安全等级保护2.0定级测评实施与运维》——2.2 网络安全标准体系
带你读《网络安全等级保护2.0定级测评实施与运维》——2.2 网络安全标准体系
带你读《网络安全等级保护2.0定级测评实施与运维》——2.2  网络安全标准体系
|
运维 安全 物联网
带你读《网络安全等级保护2.0定级测评实施与运维》——1.2 等保 2.0 时代的主要变化
带你读《网络安全等级保护2.0定级测评实施与运维》——1.2 等保 2.0 时代的主要变化
|
运维 安全 物联网
带你读《网络安全等级保护2.0定级测评实施与运维》——3.2 确定定级对象
带你读《网络安全等级保护2.0定级测评实施与运维》——3.2 确定定级对象
带你读《网络安全等级保护2.0定级测评实施与运维》——3.2  确定定级对象
|
运维 安全 网络安全
带你读《网络安全等级保护2.0定级测评实施与运维》——1.3 等保 2.0 时代网络安全项目概述
带你读《网络安全等级保护2.0定级测评实施与运维》——1.3 等保 2.0 时代网络安全项目概述
|
运维 安全 网络安全
带你读《网络安全等级保护2.0定级测评实施与运维》——2.1 网络安全法律政策体系
带你读《网络安全等级保护2.0定级测评实施与运维》——2.1 网络安全法律政策体系
|
运维 安全 网络安全
带你读《网络安全等级保护2.0定级测评实施与运维》——1.1 等保 2.0 时代网络安全形势
带你读《网络安全等级保护2.0定级测评实施与运维》——1.1 等保 2.0 时代网络安全形势
下一篇
无影云桌面