四虎影视884A精品国产_国产a真人一级无码毛片一区二区三区_黄色网站在线观看97_免费a级黄毛片午夜乱论片_palipali轻量版网页直接进入_欧美中文字幕乱码视频_国产亚洲中文日本不卡_亚洲国产长腿丝袜AV天堂_99re热久久这里只有精品首页_嫩草影院精品视频在线观看

什么是ISO 27002標(biāo)準(zhǔn)？

部分27000系列信息安全標(biāo)準(zhǔn), ISO/IEC 27002：2013年(Iso 27002)是作為ISS(信息安全管理系統(tǒng))的一部分實(shí)施安全控制的參考。ISO/IEC 27001：2013年.

ISO 27002和ISO 27001有什么區(qū)別？

ISO 27001提供了ISIS的規(guī)范，包括風(fēng)險(xiǎn)管理流程的要求，您應(yīng)該使用這些需求來選擇適合您的組織所面臨的風(fēng)險(xiǎn)的安全措施。

ISO 27002是一份指導(dǎo)文件，提供了適用ISO 27001附件A所列控制措施的最佳實(shí)踐指導(dǎo)。它支持并應(yīng)與ISO 27001一起閱讀。

Iso 27001是組織所能達(dá)到的唯一信息安全標(biāo)準(zhǔn)。獨(dú)立審計(jì)認(rèn)證.
這為按照國際最佳做法管理信息安全提供了獨(dú)立的專家保證。

如何選擇和實(shí)現(xiàn)iso 27001安全控制

安全控制是所有存儲(chǔ)和管理機(jī)密信息的組織信息安全管理的重要組成部分。

雖然各組織對處理信息安全的具體要求各不相同，但各組織可以實(shí)施許多共同的控制措施，以確保其數(shù)據(jù)的安全，并履行其法律和合同義務(wù)。

ISO 27001的第6.1.2條規(guī)定了組織在選擇和實(shí)施安全控制時(shí)應(yīng)遵循的風(fēng)險(xiǎn)管理流程。

報(bào)告指出，風(fēng)險(xiǎn)評(píng)估進(jìn)程必須：

·     建立和維護(hù)某些信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)。

·     確保重復(fù)的風(fēng)險(xiǎn)評(píng)估“產(chǎn)生一致、有效和可比的結(jié)果”

·     “查明與信息安全管理系統(tǒng)范圍內(nèi)信息的機(jī)密性、完整性和可用性喪失有關(guān)的風(fēng)險(xiǎn)”

·     識(shí)別這些風(fēng)險(xiǎn)的所有者

·     按照一定的標(biāo)準(zhǔn)分析和評(píng)估信息安全風(fēng)險(xiǎn)。

·     記錄在案

什么是ISO 27001/ISO 27002控制？

國際標(biāo)準(zhǔn)化組織27001的附件A列出了分為14套的114個(gè)安全控制，其中每一套在ISO 27002第5至18條中作了擴(kuò)展：

A.5信息安全政策

信息安全應(yīng)從組織高層開始，政策應(yīng)明確傳達(dá)給所有員工。

A.6.信息安全組織

管理框架應(yīng)該支持組織的信息安全操作，無論是在現(xiàn)場還是在場外。

A.7人力資源安全

雇員和承包商應(yīng)意識(shí)到他們在保障組織在雇用之前和期間的信息方面的作用。該組織的信息也應(yīng)受到保護(hù)。

A.8資產(chǎn)管理

各組織應(yīng)查明其有形和信息資產(chǎn)，并確定每個(gè)組織所需的適當(dāng)保護(hù)水平。

A.9訪問控制

對信息和信息處理設(shè)施的訪問應(yīng)受到限制，以防止未經(jīng)授權(quán)的用戶訪問。用戶應(yīng)該負(fù)責(zé)保護(hù)他們的身份驗(yàn)證信息，例如密碼。

A.10密碼

應(yīng)制定和實(shí)施密碼學(xué)和密碼鑰匙使用政策，以保護(hù)信息的機(jī)密性、完整性和/或可用性。

A.11物質(zhì)和環(huán)境安全

應(yīng)采取控制措施，防止未經(jīng)授權(quán)的實(shí)物訪問、損壞和干擾信息處理設(shè)施。

A.12行動(dòng)安全

應(yīng)保護(hù)信息和信息處理設(shè)施免遭惡意軟件、數(shù)據(jù)丟失和技術(shù)漏洞的利用。

A.13通信安全

信息應(yīng)在網(wǎng)絡(luò)中得到保護(hù)，并在組織內(nèi)部和外部進(jìn)行轉(zhuǎn)移。

A.14系統(tǒng)的購置、開發(fā)和維護(hù)

信息安全應(yīng)貫穿于整個(gè)信息系統(tǒng)的生命周期。測試數(shù)據(jù)也應(yīng)該受到保護(hù)。

A.15供應(yīng)商關(guān)系

任何可供供應(yīng)商使用的組織信息資產(chǎn)都應(yīng)受到適當(dāng)保護(hù)。

A.16信息安全事件管理

信息安全事件應(yīng)持續(xù)有效地處理。

A.17業(yè)務(wù)連續(xù)性管理的信息安全方面

信息安全連續(xù)性應(yīng)嵌入本組織的業(yè)務(wù)連續(xù)性管理做法。

A.18遵守情況

信息應(yīng)受到保護(hù)，以履行法律、法定、規(guī)章和合同義務(wù)，并符合本組織的政策和程序。