ISO27001基础知识
- ISO27001适用于哪些类型的组织?
- ISO27001引用了哪些标准?
- ISO27001是否有利于各种管理体系的整合?
- 什么是过程方法?
- 什么是PDCA过程模式?
- 按照ISO27001要求PDCA四个阶段的工作是如何分布的?
- 建立ISMS的具体步骤是怎样的?
- 如何准确描述ISMS的范围?
- 是否可以考虑对ISO27001进行删减?
- 信息安全管理体系的总要求是什么?
- 组织应该将信息安全管理体系放在一个什么高度?
- 组织内建立信息安全管理体系(ISMS)的作用有哪些?
- 现状调查与风险评估的工作流程是怎样的?
- ISO27001中是否规定了具体的风险评估方法?
- ISMS建立过程中现状调查与风险评估的主要工作有哪些?
- 什么是风险处理计划?
- ISMS策划的具体工作有哪些?
- ISMS策划与准备阶段涉及的工作有哪些?
- 对组织内部成功实施ISMS至关重要的因素有哪些?
- ISMS建立过程中培训教育工作如何开展?
- 组织在提高员工能力方面应该做哪些工作?
- ISMS运行过程中,组织应注意哪些方面?
- 最高管理者如何支持信息安全管理体系?
- 什么是管理评审?
- 信息安全管理体系评审的步骤是怎样的?
- 管理评审的输入有哪些?
- 管理评审的输出有哪些?
- 通过哪些方法持续改进信息安全管理体系?
- 什么是纠正措施?
- 纠正措施的具体步骤是怎样的?
- 什么是预防措施?
- 预防措施的具体步骤是怎样的?
ISO/IEC 27001中是否规定了具体的风险评估方法?
ISO/IEC 27001中并没有具体规定风险评估的方法,只是对评估过程作了相应的要求,标准要求应该采用适当的风险评估方法:
1)识别适合信息安全管理体系的、已识别的业务信息安全的和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
风险评估应该识别对资产的威胁、可能被威胁利用的薄弱点、威胁发生对组织的影响和发生的可能性,还应该能够确定风险的优先等级,对风险进行分析和评价,如:
1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2)评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
3)估计风险的级别。
4)确定风险是否可接受,或者是否需要使用所建立的接受风险的准则进行处理。