基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍，業(yè)務(wù)連續(xù)性計(jì)劃可以是一個(gè)綜合性的計(jì)劃，包括多項(xiàng)業(yè)務(wù)、多個(gè)領(lǐng)域的恢復(fù)職責(zé)和工作計(jì)劃(如場(chǎng)所設(shè)施、系統(tǒng)環(huán)境、數(shù)據(jù)和業(yè)務(wù)運(yùn)行恢復(fù)等)。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃架構(gòu)，確保信息安…

自古以來信息就扮演著極為重要的角色，信息及信息的使用關(guān)乎國家、部族和組織的興衰。隨著世界文明進(jìn)入到全球信息社會(huì)，信息通過網(wǎng)絡(luò)和信息系統(tǒng)傳播到不同的領(lǐng)域和角落，信息的交流推動(dòng)或制約著經(jīng)濟(jì)和社會(huì)的發(fā)展。信息…

在《信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用》中，定義風(fēng)險(xiǎn)管理為;“以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)安全風(fēng)險(xiǎn)的過程。通過風(fēng)險(xiǎn)評(píng)估來識(shí)別風(fēng)險(xiǎn)的大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式…

信息安全事態(tài)是已識(shí)別的或受懷疑但尚未確認(rèn)的安全事件。對(duì)信息安全事態(tài)的報(bào)告，組織應(yīng)規(guī)定適當(dāng)?shù)膱?bào)告渠道;依組織規(guī)模和結(jié)構(gòu)，可統(tǒng)一渠道或分層級(jí)報(bào)告。報(bào)告安全事態(tài)是啟動(dòng)整個(gè)信息安全事件處理過程的觸發(fā)點(diǎn)，應(yīng)使所有…

ISO27001信息安全管理PDCA持續(xù)改進(jìn)模式把PDCA管理模式與安全控制、風(fēng)險(xiǎn)評(píng)估有機(jī)地結(jié)合在一起，考慮了信息安全中的非技術(shù)因素，加強(qiáng)了信息安全管理，具有廣泛的適用性。但該模型沒有指出如何將風(fēng)險(xiǎn)評(píng)估的結(jié)果映射成組織…

ISO27001信息安全風(fēng)險(xiǎn)分類不僅要考慮風(fēng)險(xiǎn)發(fā)生的可能性和由此而引起的可能后果，而且要在單一風(fēng)險(xiǎn)基礎(chǔ)上，同時(shí)考慮各項(xiàng)風(fēng)險(xiǎn)之間的相互關(guān)系，對(duì)綜合安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估。論文從信息安全科學(xué)的角度，在對(duì)上述安全風(fēng)險(xiǎn)…

組織建立的信息處理設(shè)施的目的是為了進(jìn)行業(yè)務(wù)以及業(yè)務(wù)相關(guān)活動(dòng)的。組織應(yīng)規(guī)定哪種非業(yè)務(wù)需要而使用信息處理設(shè)施的行為是不恰當(dāng)或?yàn)E用(例如，未經(jīng)授權(quán)試圖進(jìn)入非授權(quán)訪問的系統(tǒng)，在上班時(shí)間炒股或玩網(wǎng)絡(luò)游戲等)，并告知…

建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISO27001信息安全管理體系，應(yīng)該是一個(gè)組織整體經(jīng)營戰(zhàn)略的一部分，是從信息安全方面實(shí)現(xiàn)組織經(jīng)營宗旨的有效途徑之一。也就是說，通過ISO27001信息安全管理體系的有效運(yùn)行來支…

建立、實(shí)施、保持和持續(xù)改進(jìn)ISO27001信息安全管理體系，應(yīng)是組織出于業(yè)務(wù)運(yùn)營的需要作出的一項(xiàng)戰(zhàn)略決策，因此建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系首先需要管理者作出承諾。標(biāo)準(zhǔn)本條款提出了管理者應(yīng)承諾的職責(zé)…

GB/T22080-2008標(biāo)準(zhǔn)規(guī)定了信息安全管理體系要求，任何類型的組織，無論是商業(yè)企業(yè)、政府機(jī)構(gòu)以及非贏利組織，為了確保其核心業(yè)務(wù)活動(dòng)的持續(xù)運(yùn)營， 客觀上都需要對(duì)相關(guān)信息資產(chǎn)的安全實(shí)行系統(tǒng)性的管理，因此，任何組織…

ISO指引2012版AnnexSL對(duì)管理體系標(biāo)準(zhǔn)在結(jié)構(gòu)、格式、通用短語和定義方面進(jìn)行了統(tǒng)一。這將確保今后編制或修訂的管理體系標(biāo)準(zhǔn)的持續(xù)性、整合性和簡(jiǎn)單化，這也將使標(biāo)準(zhǔn)更易讀、易懂。采用AnnexSL頒布的管理體系標(biāo)準(zhǔn)已有：…

通過安全方針建立全體員工的信息安全意識(shí)并支持組織的業(yè)務(wù)運(yùn)行與發(fā)展。信息安全方針可以形成一份單獨(dú)的文件，由組織的高級(jí)管理者簽署批準(zhǔn)，在組織內(nèi)以可訪問的方式發(fā)布。信息安全方針是組織安全管理的指導(dǎo)性文件，其他…

組織應(yīng)在與信息相關(guān)的全部資產(chǎn)中識(shí)別重要資產(chǎn)、列出清單并加以說明。資產(chǎn)清單要得到維護(hù)并在需要時(shí)進(jìn)行更新。資產(chǎn)清單不僅僅是一份文件或是資產(chǎn)列表，其中應(yīng)包括資產(chǎn)分類、保密級(jí)別、當(dāng)前位置和責(zé)任人。信息安全管理可…

ISO 27001 信息安全管理體系—要求ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)范ISO 27017 針對(duì)云服務(wù)的信息安全控制提供了實(shí)施指導(dǎo)。ISO 27018 是首個(gè)專注于云中個(gè)人數(shù)據(jù)保護(hù)的國際行為準(zhǔn)則。ISO 27017和ISO …

明確了標(biāo)準(zhǔn)的引用標(biāo)準(zhǔn)是GB/T22081—2008《信息技術(shù)　安全技術(shù)　信息安全管理實(shí)用規(guī)則》。通過ISO27001標(biāo)準(zhǔn)中引用而構(gòu)成為ISO27001標(biāo)準(zhǔn)的條款，ISO27001標(biāo)準(zhǔn)出版時(shí)，所示版本有效。