明胜达顾问机构

质量管理体系国际认证 ISO 9001环境管理体系国际认证ISO 14001职业健康安全管理体系国际认证 ISO 45001汽车工业质量管理体系国际认证IATF16949医疗器械质量管理体系国际认证ISO13485信息技术服务体系国际认证ISO20000信息安全质量管理体系国际认证ISO27001碳中和管理体系国际认证 ISO 14064碳足迹管理体系国际认证 ISO 104067企业知识产权管理体系国家认证GB/T29490反腐败管理体系国际认证ISO37001能源管理体系国际认证ISO50001食品安全管理体系国际认证ISO22000通讯行业质量管理体系国际认证TL9000航空工业质量管理体系国际认证AS9000有害物质管理体系认证IECQ-QC080000认证咨询迪斯尼(Disney)验厂沃尔玛(Wal-Mart)验厂亚马逊(Amazon)验厂塔吉特(Target)验厂雅芳(AOVN)验厂孩之宝(hasbro)验厂BSCI验厂Sedex验厂欧莱雅验厂优衣库验厂ZARA验厂ETI验厂验厂咨询质量管理工具培训ISO管理体系培训EHS环境与健康安全培训航空航天培训汽车行业培训铁路运输培训医疗器械培训食品安全培训有害物质控制培训社会责任管理体系培训精益现场管理培训六西格玛与工具类培训综合管理系列培训课程培训超市企业战略管理咨询企业现场管理咨询卓越绩效管理咨询精益生产管理咨询人力资源管理咨询组织流程再造咨询企业生产管理咨询企业品质管理咨询企业研发管理咨询企业仓储管理咨询企业采购管理咨询企业供应链管理咨询企业TPM管理咨询企业成本管控咨询企业营销管控咨询企业财税管控咨询管理咨询ISO三体系证书商品售后服务体系证书AAA企业信用等级信息安全管理体系证书CMMI能力成熟度模型集成资质ITSS运维服务能力成熟度体系认证双软评估证书(软件产品、软件企业)知识产权管理体系认证资质证书公司资讯行业资讯
138 0880 6030
189 2284 1996


ISO27001信息安全风险分类参考标准

发表时间:2022-04-07 09:01

ISO27001信息安全风险极其庞杂而又非常普遍,每种信息安全风险都是不同的。

  信息安全风险可能是一个单一的风险,也可能是多种风险的组合;它可能是一般性的,也可能是特殊的;可能是人为有意的,也可能是无意的;可能在一个环节出现,也可能在多 个不同的层面、不同的时间出现。如果能系统地考虑所有信息安全风险,通过对不同层面、不同来源、不同阶段的风险实施分门别类的管理,用一个系统的、稳定 的、具备一致性的方法应对风险,就能把信息安全风险降到最低。

  ISO27001信息安全风险分类参考标准

  目前国际上对信息安全风险进行分类管理的权威标准有:

  ①ISO/IEC17799:2005 ——《信息技术-安全技术-信息安全管理实施细则》(Informati-on technology Security technology Code of practice for Information SecurityManagement);

  ②NISTSP800-26——美国国家标准技术局NIST(NationalInstitute of Standards and Technology )2001年12月发布的信息技术系统风险安全自评估指南;

  ③NISTSP800-53——美国联邦信息系统最低安全控制准则。

  1)ISO/IEC 17799《信息安全风险管理细则》为大多数工商业组织提供了一个通用的信息安全风险管理参考标准,已被世界上许多国家所采用。ISO/IEC17799 主要是侧重于组织安全风险和业务风险管理方面,是一个系统化、程序化和文档化的信息安全风险管理体系。它涉及十一个安全风险的管理方面,36个控制目 标,134项安全控制。这十一个安全风险管理方面是:

  ①安全策略;

  ②机构安全;

  ③资产管理 ;

  ④人力资源安全;

  ⑤物理和环境安全 ;

  ⑥通信和操作管理;

  ⑦访问控制;

  ⑧信息系统获取、开发 ;

  ⑨信息安全事件管理;

  ⑩业务连续性管理;

  ⑾符合性。

  2)NISTSP800-26 《信息技术风险安全自评估指南》,是为信息系统管理人员进行组织内部风险评估、开发风险转移计划和进行安全决策提供一个参考的文档,是组织对自身信息系统 开展风险管理的一个好的选择。评估指南是以调查问卷形式,采用层次结构设计,调查范围涉及主要信息系统、通用信息系统、支撑系统和内部互联系统。调查问题 分为管理控制、操作控制和技术控制三个主要方面,每个方面有一系列子项,共17项:

  ①风险管理;

  ②安全控制回顾 ;

  ③生命周期;

  ④资格认证、鉴别;

  ⑤安全计划;

  ⑥人员安全;

  ⑦物理安全;

  ⑧输入输出控制;

  ⑨连续性计划;

  ⑩硬件和系统软件维护;

  ⑾信息完整性;

  ⑿文档;

  ⒀意识、培训和教育;

  ⒁事件反应能力 ;

  ⒂身份认证;

  ⒃访问控制;

  ⒄审计和审核。

  3)NISTSP800-53《美国联邦信息系统最低安全控制准则》,根据IT系统对机密性、完整性和可用性的低、中、高关注度,为其建立一组标准的最低安全控制。它分为管理控制、操作控制和技术控制三个种类,每一类都覆盖了安全问题的不同方面,共十六个方面,包括:

  ⑴风险管理;

  ⑵系统开发和采集;

  ⑶配置管理;

  ⑷系统交互;

  ⑸人员安全;

  ⑹安全意识提升、教育培训;

  ⑺物理以及环境保护;

  ⑻媒介保护;

  ⑼应急计划;

  ⑽硬件与系统软件维护;

  ⑾系统和数据的完整性;

  ⑿文档记录;

  ⒀事故响应能力;

  ⒁识别和认证;

  ⒂存取控制;

  ⒃审计和通讯。

  确定了联邦信息系统管理、技术和操作控制的底线。


分享到:
地址:深圳市龙岗区龙岗路创富时代大厦1509
联系电话:18922841996
邮箱:masterlm@163.com
09:00-22:00
在线客服
 
 
 
 
 工作时间
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 联系方式
客服热线:0755-89896799
客服热线:18922841996
邮箱:masterlm@163.com