Hi,大家好,我是编程小6,很荣幸遇见你,我把这些年在开发过程中遇到的问题或想法写出来,今天说一说
iso27001标准最新版_iso14001是什么管理体系,希望能够帮助你!!!。
◆ 信息安全的成败取决于两个因素:技术和管理。
◆ 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂。
◆ 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。
◆ 信息安全管理(Information Security Management)作为组织完整的管理 体系中一个重要的环节,其主要活动包括:识别信息资产及相关风险,采取恰当 的策略和控制措施以消减风险,监督控制措施有效性,提升人员安全意识等。
◆ 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因, 不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要
• 信息安全管理应该是体系化的
• 信息安全必须从整体去考虑,而不是以被动响应安全事件作为信息安全的主要驱动和工作,避免 “头痛医头脚痛医脚”;
• 信息安全管理体系针对组织的信息资产,来指导和控制关于信息安全风险相互协调的活动,应该 成为组织整体经营管理体系的一部分。
• 信息安全管理体系(ISMS)国际通行的标准是 ISO/IEC 27001:2013, 包括14个领域、35个控制目标、114个控制措施
安全控制框架:ISO27000系列标准
◆ 最早是英国标准协会 (British Standards Institute,BSI)制定的信 息安全标准。目前已经成为国际标准。
◆ 由信息安全方面的最佳惯例组成的一套全面的控制集。
◆ 信息安全管理方面最受推崇的国际标准。
ISO/IEC 27001&27002发展历程
标准改版背景
国际标准化组织(ISO组织)遵循所有标准每隔5年必须 进行升级的原则。
当前版本的信息安全管理体系标准ISO 27001:2013与 ISO 27002:2013已经使用了8年。 ISO 27001:2013与ISO 27002:2013版在体系整合、控制项逻辑性与充分性等方面都有改进的空间。
Version:0.9 StartHTML:0000000105 EndHTML:0000001668 StartFragment:0000000141 EndFragment:0000001628
标准改版特点
管理体系更容易整合:在新版标准中采取Annex SL做结构性要求,使信息安全管理体系更容易与其他管理体系融合。
融入企业面临新安全挑战:对部分控制项进行了合并、删除,并且新增了部分控制项以反映当前信息安全发展趋势。
更多指引延伸参考:新增许多指引供企业参考,组织可以通过不同的面以及风险进行深度的强化。
ISO27000标准族
ISO27000标准清单
ISO 27002:2022标准名称变化
ISO27002:2013-2022内容结构变化
ISO27002:2013-2022术语内容变化
由14个控制域(Domain)变为4个主题(Themes)
ISO 27002:2022新增控制措施
ISO 27002:2022控制措施布局
ISO 27002:2022新增控制属性
➢ 威慑(Deterrent) 旨在打击潜在的攻击者
➢预防(Preventive)旨在避免发生事件
➢检测(Detective) 确认事件的活动和潜在的入侵者
➢纠正(Corrective)事件发生后,修复部件或系统
➢恢复(Recovery) 目的是使环境恢复正常运作
➢补偿(Compensating) 提供可替代控制措施
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程中不会泄 漏给非授权用户或实体
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
可用性(Availability)—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
网络安全概念属性-IPDRR
运营能力属性
2013版控制域与2022版运营能力对应关系
安全域属性
➢ 治理与生态系统(Governance& Ecosystem)
➢保护(Protection)
➢防御(Defence)
➢恢复力(Resilience)
ISO 27002:2022控制视图筛选
ISO 27002:2022控制视图筛选
对组织信息安全管控的影响
转自刘歆轶ISO27002新版标准变化解读 2022.05
今天的分享到此就结束了,感谢您的阅读,如果确实帮到您,您可以动动手指转发给其他人。
上一篇
已是最后文章
下一篇
已是最新文章