信息安全管理控制规范.PDFVIP

第5章

信息安全管理控制规范

,“、

以往我们对信息安全的认识只停留在技术和产品上是只见树木不见森林只治标

”,、,

不治本的方式信息安全的成功三分靠技术七分靠管理技术一般但管理良好的系统远

,,/

比技术高超但管理混乱的系统安全因此依据ISOIEC27000系列建立信息安全管理

。,/

体系并获得认证已成为世界主流组织可以参照信息安全管理模型按照ISOIEC

(/—)

27000系列标准也主要参照GBT222392019建立完整的信息安全管理体系并实施

,、、、、,

与保持达到动态的系统的全员参与的制度化的以预防为主的信息安全管理方式用

,,。

最低的成本达到可接受的信息安全水平从根本上保证业务的连续性

,

在建立信息安全管理体系过程中为了对组织所面临的信息安全风险实施有效的

,,。

控制需要针对具体的威胁和脆弱性采取适宜的控制措施包括管理手段和技术方法等

本章根据/、/、/—、/—和

ISOIEC27001ISOIEC27002GBT220802016GBT220812016

/—,,

GBT222392019等标准结合组织信息资产可能存在的威胁和脆弱性详细介绍了信

、、、、、、

息安全方针安全组织资产管理人员安全物理和环境安全通信与操作安全访问控

、、、、、

制系统开发与维护安全事件管理业务持续性管理符合性保证个控制方面个

1139

控制目标、项信息安全控制措施的规范内容。

133

。

信息安全管理控制规范的组织结构中包括多个安全类别每个安全类别包括多个控

,,。

制目标声明要实现什么目标什么功能达到什么要求每个控制目标都会有一个或多个

,。,

控制措施被用于实现该控制目标控制措施是管理风险的方法是为达成控制目标提供

,、,、、、

合理保证并能预防检查和纠正风险管理风险的方法包括策略规程指南惯例或组织