部分27000系列信息安全标准, ISO/IEC 27002:2013年(Iso 27002)是作为ISS(信息安全管理系统)的一部分实施安全控制的参考。ISO/IEC 27001:2013年.
ISO 27002和ISO 27001有什么区别?
ISO 27001提供了ISIS的规范,包括风险管理流程的要求,您应该使用这些需求来选择适合您的组织所面临的风险的安全措施。
ISO 27002是一份指导文件,提供了适用ISO 27001附件A所列控制措施的最佳实践指导。它支持并应与ISO 27001一起阅读。
Iso 27001是组织所能达到的唯一信息安全标准。独立审计认证.
这为按照国际最佳做法管理信息安全提供了独立的专家保证。
如何选择和实现iso 27001安全控制
安全控制是所有存储和管理机密信息的组织信息安全管理的重要组成部分。
虽然各组织对处理信息安全的具体要求各不相同,但各组织可以实施许多共同的控制措施,以确保其数据的安全,并履行其法律和合同义务。
ISO 27001的第6.1.2条规定了组织在选择和实施安全控制时应遵循的风险管理流程。
报告指出,风险评估进程必须:
· 建立和维护某些信息安全风险标准。
· 确保重复的风险评估“产生一致、有效和可比的结果”
· “查明与信息安全管理系统范围内信息的机密性、完整性和可用性丧失有关的风险”
· 识别这些风险的所有者
· 按照一定的标准分析和评估信息安全风险。
· 记录在案
什么是ISO 27001/ISO 27002控制?
国际标准化组织27001的附件A列出了分为14套的114个安全控制,其中每一套在ISO 27002第5至18条中作了扩展:
A.5信息安全政策
信息安全应从组织高层开始,政策应明确传达给所有员工。
A.6.信息安全组织
管理框架应该支持组织的信息安全操作,无论是在现场还是在场外。
A.7人力资源安全
雇员和承包商应意识到他们在保障组织在雇用之前和期间的信息方面的作用。该组织的信息也应受到保护。
A.8资产管理
各组织应查明其有形和信息资产,并确定每个组织所需的适当保护水平。
A.9访问控制
对信息和信息处理设施的访问应受到限制,以防止未经授权的用户访问。用户应该负责保护他们的身份验证信息,例如密码。
A.10密码
应制定和实施密码学和密码钥匙使用政策,以保护信息的机密性、完整性和/或可用性。
A.11物质和环境安全
应采取控制措施,防止未经授权的实物访问、损坏和干扰信息处理设施。
A.12行动安全
应保护信息和信息处理设施免遭恶意软件、数据丢失和技术漏洞的利用。
A.13通信安全
信息应在网络中得到保护,并在组织内部和外部进行转移。
A.14系统的购置、开发和维护
信息安全应贯穿于整个信息系统的生命周期。测试数据也应该受到保护。
A.15供应商关系
任何可供供应商使用的组织信息资产都应受到适当保护。
A.16信息安全事件管理
信息安全事件应持续有效地处理。
A.17业务连续性管理的信息安全方面
信息安全连续性应嵌入本组织的业务连续性管理做法。
A.18遵守情况
信息应受到保护,以履行法律、法定、规章和合同义务,并符合本组织的政策和程序。
捡证网提供相关认证咨询服务,咨询电话(微信):13636483412 QQ: 495226609 邮箱:yangda@jz-cert.com
