欢迎光临 四川斯禾企业管理有限公司,

业务联系电话:

18981889825

总部地址:成都市天府新区伏龙北巷268号保利锦江里1栋2314室

行业动态

您现在的位置 | 首页>关于我们>公司新闻>行业动态

了解云南ISO27001认证相关内容定义有哪些

发布日期:2021-04-09浏览次数:685 次来源:本站原创作者:佚名

        国际信息安全管理标准体系曾对信息安全管理提出意见,以供在信息安全管理组织启动、实施和维护人员使用,也为相关安全管理标准及做法提供了一个基础,并让组织人员之间能够更加信任的交往。云南ISO27001认证这个标准指出“信息是与其他业务一样重要的资产”信息对于一个组织是非常重要的,所以需要加以保护。信息安全就是为了防止信息受到各种威胁,从而提高业务的连续性,让业务受到的风险最小化,提高企业的业务投资回报率。

        信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。

 

云南ISO27001认证 

        ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分云南ISO27001认证,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:

        1)安全策略。指定信息安全方针,为信息安全提供管理指引和支持,并定期评审。

        2)信息安全的组织。建立信息安全管理组织体系,在内部开展和控制信息安全的实施。

        3)资产管理。核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护。

        4)人力资源安全。确保所有员工,合同方和第三方了解信息安全威胁和相关事宜以及各自的责任,义务,以减少人为差错,盗窃,欺诈或误用设施的风险。

        5)物理和环境安全。定义安全区域,防止对办公场所和信息的未授权访问,破坏和干扰;保护设备的安全,防止信息资产的丢失,损坏或被盗,以及对企业业务的干扰;同时,还要做好一般控制,防止信息和信息处理设施的损坏和被盗。

        6)通信和操作管理。制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统失效的风险降到最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全管理,确保信息在网络中的安全,确保其支持性基础设施得到保护;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失,修改或误用。

        7)访问控制。制定访问控制策略,避免信息系统的非授权访问,并让用户了解其职责和义务,包括网络访问控制,操作系统访问控制,应用系统和信息访问控制,监视系统访问和使用,定期检测未授权的活动;当使用移动办公和远程控制时,也要确保信息安全。

        8)系统采集、开发和维护。标示系统的安全要求,确保安全成为信息系统的内置部分,控制应用系统的安全,防止应用系统中用户数据的丢失,被修改或误用;通过加密手段保护信息的保密性,真实性和完整性;控制对系统文件的访问,确保系统文档,源程序代码的安全;严格控制开发和支持过程,维护应用系统软件和信息安全。

        9)信息安全事故管理。报告信息安全事件和弱点,及时采取纠正措施,确保使用持续有效的方法管理信息安全事故,并确保及时修复。

        10)业务连续性管理。目的是为减少业务活动的中断,是关键业务过程免收主要故障或天灾的影响,并确保及时恢复。

        11)符合性。信息系统的设计,操作,使用过程和管理要符合法律法规的要求,符合组织安全方针和标准,还要控制系统审计,使信息审核过程的效力最大化,干扰最小化。

        云南ISO27001可以在一定程度上提高业务的持续性和能力,减少合同违规或触犯法律所造成的责任,增加组织内的安全意识等等,如果大家还想了解更多知识或需要咨询办理相关业务,可以咨询我们!

所属分类:行业动态