ISO27001基础知识
- ISO27001适用于哪些类型的组织?
- ISO27001引用了哪些标准?
- ISO27001是否有利于各种管理体系的整合?
- 什么是过程方法?
- 什么是PDCA过程模式?
- 按照ISO27001要求PDCA四个阶段的工作是如何分布的?
- 建立ISMS的具体步骤是怎样的?
- 如何准确描述ISMS的范围?
- 是否可以考虑对ISO27001进行删减?
- 信息安全管理体系的总要求是什么?
- 组织应该将信息安全管理体系放在一个什么高度?
- 组织内建立信息安全管理体系(ISMS)的作用有哪些?
- 现状调查与风险评估的工作流程是怎样的?
- ISO27001中是否规定了具体的风险评估方法?
- ISMS建立过程中现状调查与风险评估的主要工作有哪些?
- 什么是风险处理计划?
- ISMS策划的具体工作有哪些?
- ISMS策划与准备阶段涉及的工作有哪些?
- 对组织内部成功实施ISMS至关重要的因素有哪些?
- ISMS建立过程中培训教育工作如何开展?
- 组织在提高员工能力方面应该做哪些工作?
- ISMS运行过程中,组织应注意哪些方面?
- 最高管理者如何支持信息安全管理体系?
- 什么是管理评审?
- 信息安全管理体系评审的步骤是怎样的?
- 管理评审的输入有哪些?
- 管理评审的输出有哪些?
- 通过哪些方法持续改进信息安全管理体系?
- 什么是纠正措施?
- 纠正措施的具体步骤是怎样的?
- 什么是预防措施?
- 预防措施的具体步骤是怎样的?
现状调查与风险评估的工作流程是怎样的?
□ 准备工作阶段:确定信息安全管理体系的范围,成立风险评估小组,制定风险评估计划,确定风险评估的方法与工具;
□ 现状调查:对组织的业务运作流程、安全管理机构、资产情况、信息系统网络拓扑结构、安全控制情况、法律法规适用与执行情况进行调查;
□ 列出与信息有关的资产清单,并对每一项资产估价;
□ 识别出资产所面临的威胁及其发生的可能性与潜在影响评价;
□ 识别出被威胁所利用的薄弱点并对其被利用的难易程度进行评价;
□ 对现有的安全控制措施进行确认;
□ 进行风险大小测量并确定优先控制等级;
□ 风险评估结果的评审与批准;
□ 编制适用的法律法规清单并对其符合性进行评估;
□ 结果分析与评价,主要任务是对调查结果进行分析,找出信息安全管理方面的缺陷及组织存在的信息安全风险,明确信息安全要求,选择适当的控制方式予以实施,将风险降低到可接受的水平。