-
“4 2 1建立ISMS”条款有10条强制性过程要求,其符合性审核如表5-2所示。
2018-04-16
-
4 1总要求”是IS() IEC 27001: 2005标准第4章的引言,概括地要求组织必须按照PDCA模型、根据组织的总业务活动和所面临的风险,建立、实施、运行、监视、评审、保持和改进一个形成文件的ISMS。
2018-04-16
-
附录A列出许多详细的控制目标和控制措施,可供组织进行信息资产风险处理时选择使用。这些可供选用的控制措施也称为控制要求( control requirements)。
2018-04-16
-
Establishing,monitoring,maintaining and improving an ISMS,建立,监视,保持和改进ISMS。在这个章节中列出了ISMS中最为重要的几个过程,这些过程实际上在GB T 22080-2008/IS() IEC 27001:2005中已经讨论过,而且在ISO IEC 27003: 2010 中还会详细讨论。
2018-04-13
-
组织针对内部评审、管理评审的结果报告,应定期(一般不超过一年)进行ISMS 改进,采取合适的纠正和预防措施,同时需要从其他组织或组织自身的安全经验中吸取教训。组织还应向所有相关方(上级组织、国家信息安全监管部门、民间信息安全机构等)沟通措施和改进情况,其详细程度应......
2018-04-02
-
组织应定期(周期一般不超过一年)执行监视与评审规程和其他控制措施,以迅速检测过程运行结果中的错误,迅速识别试图的或已经得逞的安全违规和事件,使管理者台旨够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行,通过使用安全状态告警设施(例如安全管理......
2018-04-02
-
组织应为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序,即:制定风险处置计划;实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配
2018-04-02
-
组织应识别风险,识别ISMS范围内的重要资产及其责任人,识别重要资产所面临的威胁,识别可能被威胁利用的脆弱性,识别现有安全控制措施,识别丧失保密性、完整性和可用性可能对资产造成的影响。
2018-04-02
-
组织应根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界, 包括对范围任何册0减的详细说明和正当性理由。一般lSMs的范围可以包括全组织或组织中若干个部门或分支,特殊情况下也可以针对组织的某些具体业务流程(女吨子商务、电子政务、智能制造等)确定ISMS......
2018-04-02
-
“规划( Plan)-实施(Do) -检查(Check)-处置(Act)”(PDCA过程)又叫质量环,是管理学中的一个通用模型,最早由休哈特于1930年构想,后来被美国质量管理专家戴明博士在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程。
2018-04-02
-
ISMS通常是指以ISO IEC 27000标准族为代表的信息安全管理体系。该系列在信息安全管理系统( ISMS)的背景下,通过信息安全控制措施来管理信息系统安全,其设计类似于质量保证管理体系(IS0 9000系列)、环保(IS0 14000系列)等管理系统。
2018-03-19
-
文档体系建设是信息安全刮泥体系(ISMS)建设的直接体现,下列说法不正确的是:
2018-03-12