ISO27001信息安全管理體系的基本思路和控制措施

為了更加便利的理解信息安全管理體系，整理了以下的體系思路方便理解和應(yīng)用。

1 信息也是資產(chǎn)需要保護(hù)和防范各個(gè)危害。

所有企業(yè)都會(huì)收集、處理、儲(chǔ)存和傳出各種類(lèi)型和形式的信息，比如語(yǔ)言文字和圖像，這些信息的價(jià)值早已超越了其本身，所有信息和網(wǎng)絡(luò)的操作和處理與保護(hù)人員的信息與其他業(yè)務(wù)資產(chǎn)一樣重要。如果資產(chǎn)受到威脅與危害，那么變更新的系統(tǒng)和業(yè)務(wù)過(guò)程都有可能產(chǎn)生新的信息安全風(fēng)險(xiǎn)。所有信息安全的隱患始終存在，有效的信息安全可以通過(guò)防范和保護(hù)以及有效的措施來(lái)降低風(fēng)險(xiǎn)的危害，從而降低對(duì)資產(chǎn)的影響。

2 信息安全管理體系可以使信息安全得到系統(tǒng)的管理

關(guān)于信息安全主要體現(xiàn)在了信息的保密性和完整性還有可用性。保密性是指信息不能被未授權(quán)的個(gè)人所查看保證信息過(guò)程的知悉度，完整性則是指信息應(yīng)處于準(zhǔn)確和完整的特性，可用性指根據(jù)授權(quán)實(shí)體的要求可訪(fǎng)問(wèn)和使用的特性。信息安全不能單純的通過(guò)技術(shù)手段來(lái)進(jìn)行管理這樣存在一定的局限性，可以按照ISO27001信息安全管理體系來(lái)進(jìn)行全局的管理。

3 識(shí)別信息安全要求是第一步

企業(yè)確定了信息安全要求是管理信息安全的第一步。安全要求主要包括企業(yè)自身的風(fēng)險(xiǎn)點(diǎn)；企業(yè)或者相關(guān)方的外部要求；企業(yè)自身運(yùn)行和對(duì)于信息的操作、處理、儲(chǔ)存通信和歸檔的建立的要求和目的。

4 信息安全風(fēng)險(xiǎn)評(píng)估

結(jié)合組織的戰(zhàn)略及內(nèi)外部環(huán)境，發(fā)揮領(lǐng)導(dǎo)作用，通過(guò)建立的信息安全風(fēng)險(xiǎn)準(zhǔn)則，進(jìn)行系統(tǒng)的信息安全風(fēng)險(xiǎn)識(shí)別，并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行分析評(píng)估，確定風(fēng)險(xiǎn)優(yōu)先級(jí)別。

5 信息安全風(fēng)險(xiǎn)處置選項(xiàng)

在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇需要控制的適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng)，確定所必需的所有控制。

6 選擇和實(shí)施信息安全控制措施

將選擇的所有控制與標(biāo)準(zhǔn)附錄進(jìn)行對(duì)照，并驗(yàn)證沒(méi)有忽略必要的控制?？刂拼胧┛蓮臉?biāo)準(zhǔn)給出的指標(biāo)中選擇，也可以特定設(shè)計(jì)。其中附錄給出了14個(gè)安全控制、35個(gè)主要安全類(lèi)別和114項(xiàng)控制措施。

制定適用性聲明。

制定正式的信息安全風(fēng)險(xiǎn)處置計(jì)劃，獲得風(fēng)險(xiǎn)責(zé)任人對(duì)計(jì)劃及對(duì)信息安全殘余風(fēng)險(xiǎn)的接受的批準(zhǔn)。

具體實(shí)施以上計(jì)劃，包括對(duì)變更的管理、外包過(guò)程的管理等。

7 持續(xù)改進(jìn)

利用風(fēng)險(xiǎn)管理過(guò)程、管理體系的方法進(jìn)行監(jiān)視、保持和改進(jìn)與組織信息資產(chǎn)相關(guān)的安全控制措施的有效性，以實(shí)現(xiàn)持續(xù)改進(jìn)。

8 適用性聲明

企業(yè)應(yīng)該制定適應(yīng)性聲明，體現(xiàn)對(duì)信息安全的必要控制說(shuō)明和選擇的合理性說(shuō)明。對(duì)標(biāo)準(zhǔn)附錄刪減的不必要條款聲明。也可以增加一些標(biāo)準(zhǔn)附錄外的特性控制，可以使給出的標(biāo)準(zhǔn)和可用條款交叉使用，方便相關(guān)方查看。

9 信息的生命周期考慮

信息在其構(gòu)思、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、使用、維護(hù)、下線(xiàn)等不同的生命周期都有這不同的風(fēng)險(xiǎn)并可能隨時(shí)變化，在每一階段都應(yīng)該系統(tǒng)的全局的考慮其信息安全。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202403/ccaa_61665.html