===
ISO27001/27002发展历程
| 时间 | 法案 |
|---|---|
| 1992 | BS7799 |
| 1998/1999 | BS7799-1:1999,BS7799-2:1999 |
| 2000 | BS7799-1:1999提交,20年10月获得成为ISO17799:2000 |
| 2001 | BS7799-2修改发布BS7799-2:2000 |
| 2002 | BS7799-2修订发布BS7799-2:2002 |
| 2005 | BS7799-2:2002升级为国际标准27001:2005,ISO17799:2000升级为ISO17799:2005 |
| 2007 | ISO1779:2005更名为ISO27002:2007 |
| 2013 | ISO27001:2013,ISO27002:2013 |
ISO Guide83 :国际标准的未来框架
-
范围
-
规范性引用文件
-
术语或定义
-
组织环境
-
领导力
-
策划
-
支持
-
运行
-
绩效评价
-
改进
ISO27001:2013标准结构
4.组织环境
4.1组织环境
-
内
-
外
4.2理解相关方的需求和期望
-
与信息安全管理体系有关的相关方
-
相关方的信息安全需求
4.3明确信息安全管理体系的范围
-
内部,外部问题
-
相关方需求
-
组织自身和其他组织开展活动的接口和依赖关系
4.4信息安全管理体系
建立、实施、维护和持续改进
5.领导力
5.1领导力和承诺
-
确保建立与组织战略目标一致的信息安全方针和信息安全目标
-
确保信息安全管理体系要求集成到组织的管理流程
-
确保提供信息安全管理体系需要的各项资源
-
传达信息安全管理的重要性及信息安全管理体系要求
-
确保信息安全管理体系实现其预期目标
-
指导和支持信息安全团队
-
促使持续改进
-
支持其他相关的管理者在其职责范围内履行管理职责
5.2方针
高级管理层方针
-
应适合组织的目标
-
应包括信息安全目标或者提供建立信息安全目标的框架
-
应包括承诺满足信息安全的相关要求
-
应包括承诺持续改进信息安全管理体系
信息安全管理方针
-
形成文档
-
在组织内部充分沟通
-
需要时对外部相关方可用
5.3组织角色、职责和权力
-
确保建立的信息安全管理体系符合本国际标准要求
-
向高层汇报信息安全管理体系的执行情况
6.策划
6.1处置风险和机遇的活动
6.1.1总则
-
确保信息安全管理体系可以实现其预期目标
-
避免或减少不良影响
-
实现持续改进
-
处置管理风险和机遇的行动
-
实施行动整合到信息安全管理体系流程中
-
评价行动的有效性
6.1.2信息安全风险评估
- 建立和维护信息安全风险标准
-
风险接受标准
-
实施信息安全风险评估的标准
-
确保信息安全风险评估活动产生一致性,产生有效的可比较的结果
-
识别信息安全风险
-
信息安全管理体系范围内,通过信息安全风险评估流程,识别由于信息的机密性、完整性和可用性的丧失带来的风险
-
识别风险为主
- 分析信息安全风险
-
识别风险产生的潜在后果
-
识别风险转化为事件的可能性
-
确定风险的等级
- 评价信息安全风险
-
与风险标准进行比较
-
根据风险等级确定风险处置的等级
6.1.3信息安全风险处置
-
依据风险评估的结论,选择适当的信息安全风险处置方式
-
确定信息安全风险处置选用的各种控制项
-
确保未遗漏有效的控制措施
-
制定具备必要控制措施的适用性声明SOA(面向服务的架构),来判断包含项是否被纳入实施范围,判断排除内容是否从控制措施汇总排除
-
制定信息安全风险处置计划
-
得到风险属主对信息安全风险处置计划和残余风险接受的审核
6.2可实现的信息安全目标及实现计划
信息安全目标
-
与信息安全方针一致
-
可度量
-
根据风险评估和风险处置结果,考虑使用的信息安全要求
-
得到沟通
-
及时更新
明确实施
-
要做什么
-
需要什么资源
-
谁来负责
-
什么时候完成
-
如何评价结果
7.支持
7.1资源
建立、实施、维持和持续改进资源
7.2能力
-
确定员工为完成其本职工作所需的安全技能
-
确保员工具备完成工作所需的教育、培训和经验
-
采取合适的措施确保员工具备相应的技能并对技能进行考核
-
保留适当的文档信息作为证据
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
