ISO27001信息安全管理體系之 信息的性質(zhì)信息具有下面一些重要的性質(zhì)。(1) 普遍性: 信息是事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式, 因此, 只要有事物的存在, 只要事物在不斷地運(yùn)動(dòng), 就會(huì)有它們運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式, 也…

信息也來源于精神世界。既然信息是事物運(yùn)動(dòng)的狀態(tài)與狀態(tài)變化方式，那么精神領(lǐng)域的事物運(yùn)動(dòng)( 思維的過程) 當(dāng)然可以成為信息的一個(gè)來源。同客觀物體所產(chǎn)生的信息一樣，精神領(lǐng)域的信息也具有相對獨(dú)立性，可以被記錄并加以…

ISO27001信息安全管理體系之 信息的分類信息是一種非常復(fù)雜的、抽象的研究對象，為了有效地對信息進(jìn)行分析及描述信息，那么就要對信息進(jìn)行分類，分類后的信息更有利于進(jìn)行研究，由于目的和出發(fā)點(diǎn)的不同，信息的分類也…

信息的基本功能在于維持和強(qiáng)化世界的有序性，可以說，缺少物質(zhì)的世界是空虛的世界，缺少能量的世界是死寂的世界，缺少信息的世界是混亂的世界。信息的社會(huì)功能則表現(xiàn)在維系社會(huì)的生存，促進(jìn)人類文明的進(jìn)步和人類自身的…

信息技術(shù)系統(tǒng)和應(yīng)用有時(shí)會(huì)發(fā)生故障或錯(cuò)誤。有的故障系統(tǒng)可自動(dòng)告警和記錄，有些故障則需要人工報(bào)告和記錄。組織應(yīng)對故障記錄進(jìn)行匯總，由維護(hù)人員進(jìn)行分析并盡快處理。在這些故障中有些可能與安全有關(guān)，對可疑的活動(dòng)需…

現(xiàn)在對ISO27001信息安全管理體系還沒有一個(gè)明確的定義。在ISO27001中信息安全管理體系可以被理解為是組織管理體系的一部分，專門用于組織的信息資產(chǎn)風(fēng)險(xiǎn)管理，確保組織 的信息安全，包括為制定、實(shí)施、評審和保持信息…

（1）信息安全的范圍界定本文提出的信息安全等同于信息系統(tǒng)安全。信息系統(tǒng)由信息技術(shù)系統(tǒng)、系統(tǒng)運(yùn)行環(huán)境和信息。① 信息技術(shù)系統(tǒng)信息技術(shù)系統(tǒng)，作為信息系統(tǒng)一部分的執(zhí)行組織機(jī)構(gòu)信息功能的用于采集、創(chuàng)建、通信、計(jì)算…

ISO27001標(biāo)準(zhǔn)附錄 A.9.1　安全區(qū)域【內(nèi)容解析】組織周邊內(nèi)的場所應(yīng)成為受控的安全區(qū)域，在物理和環(huán)境上要有保障措施，防止外界的干擾和擅自進(jìn)入。ISO27001標(biāo)準(zhǔn)附錄 A.9.1.1　物理安全周邊【內(nèi)容解析】組織信息處理設(shè)施…

1概述ISO/IEC27001信息安全管理體系由引言、正文以及附錄三個(gè)部分組成。ISO/IEC27001信息安全管理體系的引言部分包括三個(gè)部分，即0.1總則、0.2過程方法、0.3與其他管理體系的兼容性。“0.1總則”描…

對輸入信息處理系統(tǒng)或應(yīng)用系統(tǒng)中的數(shù)據(jù)應(yīng)確認(rèn)其正確性(包括數(shù)據(jù)的邊界、長度和業(yè)務(wù)邏輯等)，并對系統(tǒng)可接受的輸入類型進(jìn)行確認(rèn)檢查以保證數(shù)據(jù)是恰當(dāng)?shù)?，避免不符合要求的?shù)據(jù)進(jìn)入系統(tǒng)。

信息安全管理模型是對信息安全管理的一個(gè)抽象化描述。它是組織建立信息安全管理體系的基礎(chǔ)。目前，在對安全理論、安全技術(shù)和安全標(biāo)準(zhǔn)研究的基礎(chǔ)上，不同的組織都提出了相應(yīng)的信息安全管理模型。這些模型的側(cè)重點(diǎn)不同，…

信息安全風(fēng)險(xiǎn)可能是一個(gè)單一的風(fēng)險(xiǎn)，也可能是多種風(fēng)險(xiǎn)的組合;它可能是一般性的，也可能是特殊的;可能是人為有意的，也可能是無意的;可能在一個(gè)環(huán)節(jié)出現(xiàn)，也可能在多 個(gè)不同的層面、不同的時(shí)間出現(xiàn)。如果能系統(tǒng)地考慮所…

網(wǎng)絡(luò)擴(kuò)展到組織的邊界之外通常是為了便利與外部第三方供應(yīng)商或外部商業(yè)合作伙伴開展業(yè)務(wù)活動(dòng)。從信息安全的角度，對這種網(wǎng)絡(luò)連接控制是一種挑戰(zhàn)，而且常被忽略，因?yàn)楣?yīng)商和業(yè)務(wù)伙伴在使用組織網(wǎng)絡(luò)時(shí)是受信的。所以組…

到目前為止，信息安全還沒有統(tǒng)一的定義。下面給出幾個(gè)具有代表性的定義：（1）國際標(biāo)準(zhǔn)化組織ISO對信息安全的定義對信息安全定義的建議是：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)。保護(hù)計(jì)算機(jī)硬…

（1）ISO27001 信息安全風(fēng)險(xiǎn)的含義風(fēng)險(xiǎn)是指一定條件下和一定時(shí)期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性，即強(qiáng)調(diào)風(fēng)險(xiǎn)發(fā)生的不確定性，又強(qiáng)調(diào)風(fēng)險(xiǎn)損失的不確定性。澳大利亞/新西蘭國家標(biāo)準(zhǔn) AS/NZS 4360 把信息安全風(fēng)險(xiǎn)定義為…