? ISO27001:2013標(biāo)準(zhǔn)解析

2015-02-09

1. 信息安全管理體系ISO/IEC 270011.1. 管理體系及其產(chǎn)業(yè)鏈管理體系是組織用來保證其完成任務(wù)，事件目標(biāo)的過程集的框架。在ISO 9000:2000中，將其定義為建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。注:一個組織的管理體系可包括若干個不同的管理體系，如質(zhì)量管理體系、財務(wù)管理體系或環(huán)境管理體系。一個典型的管理體系框架如下圖所示:圖1-1目前存在很多的管理體系，例如質(zhì)量管理體、系環(huán)境管理體系、職業(yè)健康管理體系、信息安全管理體系等。質(zhì)量管理體系是出現(xiàn)比較早發(fā)展比較成熟的管理體系，其他管理體系或多或少都借鑒了質(zhì)量管理體系的經(jīng)驗。管理體系形成的完整的產(chǎn)業(yè)鏈，如圖11所示.信息安全管理體系正如其名稱所表述的含義，就是關(guān)于信息安全的管理體系。信息安全管理體系是整個管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。ISMS的概念已經(jīng)跳出了傳統(tǒng)的“為了安全信息而信息安全”的理解，它強調(diào)的是基于業(yè)務(wù)風(fēng)險方法來組織信息安全活動，其本身只是整個管理體系的一部分。這就要求我們站在全局的觀點看待信息安全問題。圖1231231.1. ISO/IEC 27000標(biāo)準(zhǔn)族1.1.1. ISO/IEC 27001發(fā)展歷程ISO27000從誕生到現(xiàn)在只不過20年間的...