| ISO 27000信息安全管理标准最初起源于英国的BS7799,其发展演变过程如下图所示。
|
|
|
|
|
|
|
| 信息安全管理系统(ISMS)按照PDCA不断循环改进,如下图所示。
|
|
|
|
|
|
|
|
|
| (1)计划(Plan)。建立ISMS,识别信息资产及其相关的安全需求;评估信息安全风险;选择合适的安全控制措施,管理不可接受的风险。
|
|
|
| (2)执行(Do)。实现和运行ISMS,实施控制和运维管理。
|
|
|
|
|
|
|
| ISO 27001给出的信息安全管理目标领域共计十一项,即安全策略、安全组织、资产管理、人力资源安全、物理与环境安全、通信与运行管理、访问控制、信息系统获取开发与维护、信息安全事件管理、业务持续运行、符合性。ISO 27002则根据ISO 27001的三十九个控制目标,给出了实施安全控制的要求。详细内容请参见标准文档。
|
|
|
