ISO27001基础知识
- ISO27001适用于哪些类型的组织?
- ISO27001引用了哪些标准?
- ISO27001是否有利于各种管理体系的整合?
- 什么是过程方法?
- 什么是PDCA过程模式?
- 按照ISO27001要求PDCA四个阶段的工作是如何分布的?
- 建立ISMS的具体步骤是怎样的?
- 如何准确描述ISMS的范围?
- 是否可以考虑对ISO27001进行删减?
- 信息安全管理体系的总要求是什么?
- 组织应该将信息安全管理体系放在一个什么高度?
- 组织内建立信息安全管理体系(ISMS)的作用有哪些?
- 现状调查与风险评估的工作流程是怎样的?
- ISO27001中是否规定了具体的风险评估方法?
- ISMS建立过程中现状调查与风险评估的主要工作有哪些?
- 什么是风险处理计划?
- ISMS策划的具体工作有哪些?
- ISMS策划与准备阶段涉及的工作有哪些?
- 对组织内部成功实施ISMS至关重要的因素有哪些?
- ISMS建立过程中培训教育工作如何开展?
- 组织在提高员工能力方面应该做哪些工作?
- ISMS运行过程中,组织应注意哪些方面?
- 最高管理者如何支持信息安全管理体系?
- 什么是管理评审?
- 信息安全管理体系评审的步骤是怎样的?
- 管理评审的输入有哪些?
- 管理评审的输出有哪些?
- 通过哪些方法持续改进信息安全管理体系?
- 什么是纠正措施?
- 纠正措施的具体步骤是怎样的?
- 什么是预防措施?
- 预防措施的具体步骤是怎样的?
按照BS7799-2:2002要求PDCA四个阶段工作是如何分布的?
策划阶段,组织应:
□ 定义ISMS的范围和方针;
□ 定义风险评估的系统性方法;
□ 识别风险;
□ 应用组织确定的系统性方法评估风险;
□ 识别并评估可选的风险处理方式;
□ 选择控制目标与控制方式;
□ 当决定接受剩余风险时应获得管理者同意,并获得管理者授权开始运行信息安全管理体系。
实施阶段,组织应该实施选择的控制,包括:
□ 实施特定的管理程序;
□ 实施所选择的控制;
□ 运作管理;
□ 实施能够促进安全事件检测和响应的程序和其他控制。
检查阶段,组织应:
□ 执行程序,检测错误和违背方针的行为;
□ 定期评审ISMS的有效性;
□ 评审剩余风险和可接受风险的等级;
□ 执行管理程序以确定规定的安全程序是否适当,是否符合标准,以及是否按照预期的目的进行工作;
□ 定期对ISMS进行正式评审,以确保范围保持充分性,以及ISMS过程的持续改进得到识别并实施;
□ 记录并报告所有活动和事件。
改进措施阶段,组织应:
□ 测量ISMS绩效;
□ 识别ISMS的改进措施,并有效实施;
□ 采取适当的纠正和预防措施;
□ 与涉及到的所有相关方磋商、沟通结果及其措施;
□ 必要时修改ISMS>,确保修改达到既定的目标。