ISO/IEC27001 体系介绍
第一部分 (ISO/IEC27001 : 2005) :《 ISO/IEC 27001 : 2005 信息技术 - 安全技术 - 信息安全管理体系 - 要求》该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用 PDCA 过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
第二部分( ISO/IEC17799 : 2005 , 2007 年更名为 ISO27002:2007 ) : 《信息技术 - 安全技术 - 信息安全管理实施细则》 实施细则( Code of practice )-实践指导。其中包含 11 个主题,定义了 133 个安全控制。
ISO17799:2005 中的 11 个主题分别是:
◆ 安全策略( Security policy );
◆ 信息安全组织( Organization of information security );
◆ 资产管理( Asset management );
◆ 人力资源安全 ( Human resource security );
◆ 物理和环境安全( Physical and environmental security );
◆ 通信和操作管理( Communication and operation management );
◆ 访问控制( Access control );
◆ 信息系统获取、开发和维护( Information systems acquisition, development and maintenance );
◆ 信息安全事件管理( Information security incident management );
◆ 业务连续性管理( Business continuity management );
◆ 符合性( Compliance )。 1,2,NEXT>> |
