ISO27001信息安全标准学习

发布时间:2022-12-23

ISO27000信息安全管理系统

在信息安全管理和运维中,ISO27000系列标准是需要理解和学习的重要标准。如果通过学习这个标准,你可以快速理解ISO27001系列标准构建企业I S(信息安全管理系统)。

00x0. 什么是ISO27001标准?

ISO/IEC27001信息技术安全技术信息安全管理体系要求标准是国际标准化组织信息安全分会发布的信息安全管理标准,旨在帮助企业建立合理的标准I S管理系统。2013年修订的较新版本标准ISO/IEC27001:2013。

00x1. ISO如何学习27001标准内容?

标准围绕着PDCA即(plan-do-check-act)建立流程管理方法I S。整个标准由10章组成,附录组成A——参考控制目标和控制措施。附录A中的管理措施由113个控制项组成。目录结构如下图所示

标准文本架构

个人认为学习ISO27001系列标准内容应围绕PDCA流程管理方法逐项理解和学习标准内容。

P: 代表确定信息安全范围,制定安全实施计划;

D:进一步实施范围目标计划,

C:信息安全管理体系建设监督审查;

A:不断改进,不断纠正不符合项。

请参考标准文本,此处不再描述。

00x2.关于ISO27001管理认证

管理认证主要针对附录A中提出的管理要求,制定适应性声明和组织策略文件。相信学习网络安全的学生有一定的接触,ISO27001管理体系认证是为了帮助企业建立一套完整的业务运营标准文件,所以所有的管理工作都围绕业务进行,管理体系可以帮助企业实施技术保护,形成技术 管理两者相互促进的过程,我理解的网络安全学习不仅仅是技术学习,更是安全规范法规学习。没有管理标准的推广,企业网络安全无法长期持续。

附录A管理系统要求架构结构

附录A14项管理要求