信息安全體系認證-ISO27001

時間：2020-09-04

作者：廣匯聯(lián)合（北京）認證服務有限公司

詞條
詞條說明
ISO20000-信息服務管理目標及其實現(xiàn)的策劃
1、所需活動信息服務管理目標是根據(jù)業(yè)務目標和服務管理方針來定義的，以使信息服務管理體系集中于滿足業(yè)務需求和服務需求。 2、說明這項必要活動的目的是定義和記錄可衡量的目標，這些目標將為運營信息服務管理體系及其定義的服務提供重點，以滿足組織的業(yè)務需求。這些定義的信息服務管理目標可以在與信息服務管理方針一致的*時間內(nèi)實現(xiàn)。組織定期審查目標，以確保根據(jù)業(yè)務需求、服務或信息服務管理方針的更改，更新目
ISO27000中的PDCA四個階段
策劃階段，組織應：定義ISMS的范圍和方針；定義風險評估的系統(tǒng)性方法；識別風險；應用組織確定的系統(tǒng)性方法評估風險；識別并評估可選的風險處理方式；選擇控制目標與控制方式；當決定接受剩余風險時應獲得管理者同意，并獲得管理者授權(quán)開始運行信息安全管理體系。實施階段，組織應該實施選擇的控制，包括：實施特定的管理程序；實施所選擇的控制；運作管理；實施能夠促進安全事件檢測和響應的程序和
ISO20000與ISO9000比較
·ISO20000 與 ISO9000 的實用范疇不同：ISO20000 只針對 IT 服務管理，在 IT 服務提供商和**及企業(yè)的IT部門應用較多；而 ISO9000 適用各行業(yè)的質(zhì)量標準，在制造企業(yè)應用得較多。 ·ISO20000 與 ISO9000 的側(cè)重點不同：ISO20000 與 IT 服務流程相關(guān)，其流程的名稱和控制采用的IT 人員*接受的術(shù)語，對 IT 系統(tǒng)變更的風險進行管理；而
ISO27001體系的建立和運行步驟
ISO27001體系的建立和運行步驟 ISO27001標準要求組織建立并保持一個文件化的信息安全管理體系，其中應闡述需要保護的資產(chǎn)、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。不同的組織在建立與完善信息安全管理體系時，可根據(jù)自身的具體情況，采取不同的步驟和方法。但總的來說，建立信息安全管理體系一般要經(jīng)過以下四個基本步驟： 1.信息安全管理體系的策劃與準備； 2.信息安全管理體系文件的