進行ISO27001認證的步驟

時間：2020-08-24

作者：廣匯聯(lián)合（北京）認證服務(wù)有限公司

詞條
詞條說明
ISO20000與ISO9000比較
·ISO20000 與 ISO9000 的實用范疇不同：ISO20000 只針對 IT 服務(wù)管理，在 IT 服務(wù)提供商和**及企業(yè)的IT部門應(yīng)用較多；而 ISO9000 適用各行業(yè)的質(zhì)量標準，在制造企業(yè)應(yīng)用得較多。 ·ISO20000 與 ISO9000 的側(cè)重點不同：ISO20000 與 IT 服務(wù)流程相關(guān)，其流程的名稱和控制采用的IT 人員*接受的術(shù)語，對 IT 系統(tǒng)變更的風險進行管理；而
ISO27001--信息安全管理過程中遇到問題的解決思路
ISO 27001 信息安全管理本質(zhì)就是人與事的關(guān)系，是人根據(jù)制度和流程，采用適宜的方法、工具和手段去降低風險。風險是安全管理的對象，人員、流程、手段是安全管理基本要素，其中人員是根本，流程是核心，手段是支撐。培養(yǎng)和建立一支高效干練的人員隊伍參與 ISO 27001 信息安全管理的人員應(yīng)組成一個強有力的管理組織，分工明確、溝通順暢、協(xié)調(diào)有力，運作高效。通常安全管理組織應(yīng)是扁平化的，以便發(fā)現(xiàn)
ISO27001認證標準的特點
ISO27001認證標準的特點一、ISO27001認證標準對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。二、該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。三、標準指出“像其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”，它對一個組織具有價值，因此需要加以合適地保護。四、信息安全防止信息受到各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的
從方法論的角度談ISO27001審核
本文將從方法論的視角對ISO27001審核應(yīng)關(guān)注的內(nèi)容進行探討。一、ISO27001標準簡介該標準分為三個部分，分別為引言、正文和附錄。引言介紹了建立信息安全管理體系(簡稱ISMS)的意義和原則；描述了體系建設(shè)過程中使用的過程方法和PDCA模型}說明了ISMS與其他管理體系的兼容性。正文的**章介紹了標準的基本情況和涉及的術(shù)語和定義，從*四章開始，正式提出了ISMS的要求。標準也指出：“組