0x00 前言

  初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。

0x01 ISO27001简介

  ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

目前国际上普遍采用ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求,体系包括14个控制域、35个控制目标、114项控制措施。体系控制域内容如下:

  ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);

DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;

Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;

Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

0x02 企业需求与认证收益

企业的需求:

符合政府法律法规及相关部门审核标准

实现公司可持续发展

进一步树立和完善企业内部信息安全管理

加强客户信息安全保护

提升客户管理服务满意度

认证的收益:

提升客户对于公司产品和服务信任度和满意度

展示公司服务的安全性,极大提升行业竞争力

与国际信息安全标准接轨,树立行业标杆,有利于在世界范围内开展与其他企业的合作与交流

显著提高企业内部的IT信息安全管理规范,改善员工对于信息安全服务及IT管理认知

提升自身品牌形象,进一步贴近客户需求,为客户提供优质可靠的IT服务

0x03 ISO27001认证

ISO27001作为信息安全管理标准,为信息安全管理体系(ISMS)的建立、实施、运行、监视、评审、保持和持续改进提供了模型和必要的控制目标和措施,是ISMS顺利实施的最佳指南。

一般企业建立实施至少需要3个月时间,进度如下:

没有经历过文档编写、内审、外审,未免有点遗憾,抱着对ISO27001体系建设的好奇,在先知找到了两篇文章,分享了作者在ISO27001体系建设从无到有的过程。

从无到有通过ISO27001认证-建设篇

https://xz.aliyun.com/t/106

从无到有通过ISO27001认证-审核篇

https://xz.aliyun.com/t/104

0x04 END

  ISO27001是信息安全领域的管理体系标准,使用范围广,它面向的对象是组织,通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。企业将以此为起点持续改进和深化体系的执行,在公司软件资产受控的前提下持续为客户提供安全可靠的软件产品和服务。

在学习,也一直在路上,加油!

本文由Bypass整理总结,部分词条摘自网络。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

参考链接:

http://www.byiso.com.cn/category/view?id=20

https://www.bsigroup.com/zh-CN/iso-27001-information-security/

https://mp.weixin.qq.com/s/bPvLO4vgPcsMZaHDPXLGqg

http://www.renzhunta.com/iso27001/detail.jhtml

ISO27001信息安全管理体系的更多相关文章

  1. NISP二级笔记(二) 信息安全管理体系

  2. NISP二级笔记(一) 信息安全管理

    ISO27001 信息安全管理体系要求 ISO27002 信息安全控制措施(实用规则) ISO27003 信息安全管理体系实施指南 ISO27004 信息安全管理测量 ISO27005 信息安全风险管 ...

  3. 全国职业技能大赛信息安全管理与评估-MySQL爆破脚本

    DEMO: #coding=utf-8 import MySQLdb class MSSQL: def __init__(self,host,user,pwd): self.host = host s ...

  4. 关于[神州数码信息安全DCN杯/信息安全管理与评估]的一些经验之谈

    前阵子参加了神州数码的比赛,赛后有如下经验分享,给还没参加过的朋友分享一下心德以及要注意的坑. 先科普一下这个比赛的三个阶段: 第一阶段主要是考网络部分的,例如搭建wifi以及防火墙诸如此类的设备. ...

  5. 全国职业技能大赛信息安全管理与评估-MySQL弱口令利用

    MySQL读文件 #coding=utf-8 import MySQLdb host = '172.16.1.' for i in range(129,131): tag = host+str(i) ...

  6. 全国职业技能大赛信息安全管理与评估-第三阶段-弱口令自动爆破+读取Flag脚本

    自动爆破SSH弱口令+读取Flag #coding=utf-8 import paramiko sshc = paramiko.SSHClient() sshc.set_missing_host_ke ...

  7. 全国职业技能大赛信息安全管理与评估-一些细节tips

    Base64加解密: ubuntu@VM-0-5-ubuntu:~$ echo iloveyou | base64aWxvdmV5b3UKubuntu@VM-0-5-ubuntu:~$ echo aW ...

  8. [转自天涯]ISO27001与ISO20000的关系心得

    “获得认证,就能得到政府的补助,能将对手甩掉.”这是很多管理者的一种想法.但是关于ISO27001与 ISO20000的关系问题很多人都不是很清楚.湖南冉达专家表示想解决这个主要要从三个方面进行分析: ...

  9. ISO/IEC 27001 信息安全管理体系认证

    一. 信息安全管理体系标准业务介绍 1. 背景介绍 信息作为组织的重要资产,需要得到妥善保护.但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统 ...

随机推荐

  1. popupWindow使用timePicker时点击出现闪屏问题的解决办法

    记录一下刚解决的新鲜bug,噔噔噔噔: 首先说明,我并不知道到底是什么原理导致和解决的问题 总之就是,我在使用popupWindow时的弹出方法使用的是popupWindow.showAsDropDo ...

  2. 关于Unity中3D声音的使用

    3D声音 3D立体声和2D声不同的地方是它是会随着距离衰减的,距离越近声音越大,距离越远声音越小. 1: 声音: 背景音乐和音效; 2: 声音文件支持的格式: ogg, mp3, wave, AIFF ...

  3. Eclipse初次java开发问题总结-4-Maven使用问题汇总

    Non-resolvable parent POM [INFO] Scanning for projects... [ERROR] The build could not read 1 project ...

  4. Lua------------------unity关于lua的使用

    关于Lua在Unity 中的使用   对于手机游戏,如果可以在线更新以实现bug修复.新功能添加等等,其好处自不必多说. 通过C#的反射机制,也可以实现某种程度上的脚本级更新,具体可以参考 http: ...

  5. nodejs基础 -- 多进程

    Node.js 多进程 我们都知道 Node.js 是以单线程的模式运行的,但它使用的是事件驱动来处理并发,这样有助于我们在多核 cpu 的系统上创建多个子进程,从而提高性能. 每个子进程总是带有三个 ...

  6. 详细分析Java中断机制[转]

    1. 引言 当我们点击某个杀毒软件的取消按钮来停止查杀病毒时,当我们在控制台敲入quit命令以结束某个后台服务时……都需要通过一个线程去取消另一个线程正在执行的任务.Java没有提供一种安全直接的方法 ...

  7. Java入门与基础算法班 - 课程大纲

    第1章 零基础转CS,如何准备? · 转专业找CS工作怎么办? · 零基础如何在最短时间内拿到offer? · 如何写好简历? · IT技术面试内容有哪些? · JAVA语言怎么入门? 第2章 数组与 ...

  8. zabbix_agentd客户端安装与配置(Linux操作系统)

    标注:官网下载zabbix安装包(zabbix安装包里包含了zabbix_agentd客户端安装包,我们只选择zabbix_agentd客户端安装) zbbix官网下载地址:  http://www. ...

  9. 一款CSS3仿Google Play的垂直菜单

    之前分享过一款非常酷的CSS3垂直下拉动画菜单,是多级菜单.今天我们来看一款也是用CSS3制作的垂直菜单,是仿Google Play的菜单,菜单项都带有可爱的小图标,可以先来看看效果图: 当然你可以在 ...

  10. 软件设计模式之单例模式(JAVA)

    什么是单例模式? 单例模式是一种常用的软件设计模式.在它的核心结构中只包含一个被称为单例类的特殊类.通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系 ...