正规ISO认证,国家认监委可查,一个月左右下证,包辅导包通过,不过退款 
ISO9001质量认证平台
深圳iso认证全包式服务
辅导-认证-包过-低价
 李老师:15220227293

          0755-21033850

ISO9001 quality certification platform
在线客服
 工作时间
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 联系方式
QQ:1801949861
电话::15220227293
iso认证详情

iso27001的核心及所需的文件

发表时间:2021-05-09 09:57作者:咨询15220227293

iso27001的核心及所需的文件

深圳iso27001是以资产安全为核心,以风险管理为主线的体系,下面是具体分析。


1、以资产安全为核心 资产是组织价值的核心,安全作为业务发展的保障,将始终围绕资产安全开展。


深圳iso27001中,清晰的资产是开展风险评估、访问控制策略设计等的前提,如何确保资产安全,是深圳iso27001各控制域需要回答的核心问题。 资产的价值决定安全投入多少,资产价值与安全投入成正比,资产价值越高,安全投入越大,反之亦然。深圳iso27001信息安全管理体系的建设应同其要保护对象的价值、组织的价值相匹配。


资产的属性决定安全保护措施,资产呈现为不同的属性,包括有形资产、无形资产;软件资产、硬件资产;资产的属性决定安全保护措施的选择,服务器等硬件资产,需要安全的空间进行存放,并配备门禁等,确保其恶意的人员接触;核心数据资产,需要采取加密手段,保障其存储、传输过程的安全;多种资产属性的组合/集合需要采取多种保护措施,甚至额外保护措施,承载核心数据的服务器需要存放在安全的空间中,其上核心数据应加密存储,并采取备份措施。


2、以风险管理为主线 如果说资产是深圳iso27001实践的核心,那么风险管理则是其主线。一切活动的开展都是风险管理的延伸。


202156


深圳iso27001

完成所需要的深圳iso27001信息安全管理体系‍文件

深圳iso27001信息安全管理体系文件是信息安全管理体系的主要要素,既要与深圳iso27001保持一致,又要符合本组织的信息安全的需要。


根据深圳iso27001标准的要求,信息安全管理体系文件有三种类型。


1) 方针类文件(Policies)


方针是政策、原则和规章。主要是方向和路线上的问题,包括:


a) 信息安全管理体系方针(ISMS policy);


b) 信息安全方针(information security policy)。


2) 程序类文件(Procedures)


3) 记录(Records)


记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。


4) 适用性声明文件(Statement of Applicability, 简称SOA)


ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施信息安全管理体系的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。


(2) 必须的文件  


“必须的信息安全管理体系文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容:


1) 信息安全管理体系方针


信息安全管理体系方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。


2) 信息安全管理体系的范围


3) 支持信息安全管理体系的程序和控制措施;


4) 风险评估方法的描述;


5) 风险评估报告;


6) 风险处理计划;


7) 控制措施有效性的测量程序;


8) 本标准所要求的记录;


9) 适用性声明。


(3) 可选的文件  


除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的可选的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:


1) 组织的业务活动及风险;


2) 安全要求的严格程度;


3) 管理的体系的范围和复杂程度。


2704.jpg

深圳iso27001


会员登录
登录
其他帐号登录:
留言
回到顶部