ISO/IEC27001:2005的主要控製過程
ISO/IEC27001:2005標準包括11大控製方麵�����、39個控製目標和133項控製措施�,為企業提供全方位的信息安全保障。
圖1-1 信息安全管理體係框架
安全方針――管理層應對信息安全提出明確目標�,並製定出可操作的安全管理策略�����,為信息安全提供管理指導和支持。
安全組織――在組織內建立信息安全組織�����、管理與第三方有關�����、及外包管理安全問題。
資產分類與管理――對dui與yu信xin息xi技ji術shu有you關guan的de資zi產chan進jin行xing分fen類lei�,加jia強qiang與yu信xin息xi技ji術shu有you關guan的de資zi產chan分fen類lei管guan理li���,並bing對dui這zhe些xie資zi產chan就jiu價jia值zhi和he重zhong要yao性xing進jin行xing分fen類lei標biao識shi��,實shi施shi不bu同tong安an全quan措cuo施shi對dui這zhe些xie資zi產chan進jin行xing保bao護hu。
人力資源安全――明確工作人員在招聘��、雇傭����、解聘過程中所涉及的信息保密等安全問題�����,加強對工作人員信息安全培訓與教育�����,提高工作人員安全防範意識��,減少人為錯誤�、偷竊��、欺詐或濫用信息及處理設施的風險。
物理和環境安全――分析安全威脅來源����,劃分物理安全區域����,加強對後台計算機服務器與用戶桌麵計算機的保護�,防止因水��、火��、盜竊�、雷電����、電力供應���、化學腐蝕等因素帶來的安全威脅�,並製定計算機設備引進��、日常運行�、銷毀處理程序和辦法。
通信與操作管理――覆蓋應用係統日常運營和維護程序����、服務水平管理���、網絡管理�����、存儲介質管理�、防惡意軟件攻擊保護����、係統和數據備份與恢複管理����、信息交換管理等��,確保信息處理設施正確和安全運行。
訪問控製――定義用戶存取控製策略��,管理用戶存取過程����,包括對網絡存取控製����、操作係統���、應用係統及移動設備和遠程工作設備進行存取控製。
係統的獲取����、開發和維護――明確應用係統安全需求��,包括輸入數據校驗���、輸出數據校驗���、業務處理過程校驗�����、傳輸數據認證等;確定加密控製辦法�����,包括加密���、數字簽名�����、不可否認服務�、密鑰管理等管控辦法;確定係統文件的安全保護辦法���,以及開發和支持過程的安全管理辦法。確保將安全納入信息係統的整個生命周期。
信息安全事件管理――確保安全事件發生後有正確的處理流程和報告方式。
業務持續性管理――定義業務持續性管理過程��,業務持續性和影響過程分析���,製定和執行切實可行的業務持續性計劃�����,定期測試�、維護�����、演練��、重新評估業務持續性計劃。防止業務活動的中斷��,並保護關鍵的業務過程免受重大故障或災難的影響。
符合性――識別現有適用的法律法規�,保護個人信息的隱私;使用合法的�����、正版的係統軟件與應用軟件;加強計算機安全審計�����,保障技術和安全策略的合規性的合規性。避免違反任何刑法和民法����、法律法規或合同義務以及任何安全要求。
