本文介绍了ISO27001:2022版中关于信息安全管理体系的构建,强调了组织环境变化、领导角色、规划过程中的风险管理,以及如何通过差距分析、风险识别和控制措施来满足信息安全控制点,确保体系的完整性和有效性。
1、新版的ISO 27001:2022《信息安全、网络安全与隐私保护------信息安全管理体系---要求》,对于如何建立信息安全管理体系进行了介绍,属于体系建设的结构化方法论。规划、建设、运行、改进。融入了PDCA的因素。
2、新版的ISO 27001:2022包括组织环境、领导、规划、支持等章节。讲解了信息安全体系构建的方法论:
2.1组织的内外部环境变化决定了为什么要建立、完善信息安全管理体系;
2.2领导章节和规划章节都是在讲组织应根据内外部环境的变化对信息安全管理体系进行规划的内容,因为领导在组织中的地位和作用非常高,对信息安全管理体系的建设非常重要,因此,领导章节单独作为一章作为规划信息安全的重要部分,组织由领导来确立信息安全策略、信息安全目标、方针。
2.3规划章节,讲述了体系的建设,利用了风险管理的理念和思路,为什么信息安全管理过程就是风险管理呢?因为信息安全风险的定义就是“为数据处理系统建立和采用的技术、管理上的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因而遭到破坏、更改和泄露。”就是从风险的角度出发进行定义的。因此,信息安全管理过程就是动态风险管理的过程。信息安全管理体系的搭建也是利用风险管理的方法进行的,对受保护的信息资产进行差距分析、风险识别,再进行风险评估,然后采取控制措施,即建设体系,最后运行和改进。
2.4在差距分析和采取控制措施的过程中,依据附录A93项信息安全控制点(对比标准)进行对比,满足所有控制点,附录A控制不完备的,应参考额外的控制目标和控制措施。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
