欢迎光临 佛山市沃博企业管理服务有限公司 官方网站
网站地图发布者: 沃博 时间:2023-03-17 16:05:59
国际标准化组织 (ISO) 是一个独立的非政府组织,是全球最大的自愿性国际标准开发者联盟。 国际电工委员会 (IEC) 是世界领导组织,负责制定和发布有关电气、电子和相关技术领域的国际标准。
ISO/IEC 27000 系列标准由 ISO/IEC 联合小组委员会发布,概述了数百个控制措施和控制机制,以帮助所有类型和规模的组织确保信息资产安全。 这些全球标准针对政策与流程提供了一个框架,其中包括所有与组织信息风险管理流程相关的法律、物理和技术控制措施。
ISO/IEC 27001 是一个正式规范信息安全管理体系 (ISMS) 的安全标准,旨在通过明确的管理控制实现信息安全。 作为正式规范,它规定了定义如何实施、监控、维护及不断改进 ISMS 的各项要求。 此外,其中还规定了一系列最佳实践,包括文档编制要求、责任划分、可用性、访问控制、安全性、审核,以及纠正和预防措施。 通过 ISO / IEC 27001 认证,有助于组织遵守与信息安全有关的各种法规及法律要求。
信息安全管理是指导和控制企业或机构的关于信息安全风险的相互协调的活动,信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。系统的信息安全管理主要体现以下原则:
★采用目前国际管理界公认的过程方法来建立并实施体系,将活动和相关的资源作为过程进行管理,并系统地识别和管理组织所用的过程,特别是过程之间的相互作用,以改善组织总体的效率和有效性。
★按照美国**质量管理专家戴明的PDCA持续改进模式来对信息安全管理体系的诸过程及其相互作用进行管理。
★将国际信息安全界公认的信息安全最佳惯例有序地形成标准,供各类组织在风险识别、风险评价的基础上进行选择实施,将风险降至企业或机构可以接受的水平。
★同时关注组织信息的实物/物理安全与信息系统的安全。
★预防控制为主的思想原则。
★业务持续性原则,即从故障中恢复业务运作,减少故障对关键业务过程的影响。
★动态管理原则,即对风险实施动态管理。
★全员参与的原则。
友情链接:
Copyright© 佛山市沃博企业管理服务有限公司 版权所有 粤ICP备11088590号
技术支持:万迪网络