五大安全治理规范

一、经济合作和发展组织，《信息系统安全指南》（1992）《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防...

ISO27000中的PDCA四个阶段

策划阶段，组织应：定义ISMS的范围和方针；定义风险评估的系统性方法；识别风险；应用组织确定的系统性方法评估风险；识别并评估可选的风险处理方式；选择控制目标与控制方式；当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行信息安全管理体系。实施阶段，组织应该实施选择的控制，包括：实施特定的管理程序；实施所选择的控制；运作管理；实施能够促进安全事件检测和响应的程序和其他控制。检查阶段，组织应：执行程序，检测错误和违背方针的行为；定期评审ISMS的有效...

信息安全风险评估流程

如何支持信息安全管理体系

Z高管理者应该通过以下活动，对建立、实施、运作、监视、评审、保持和改进ISMS的承诺提供证据：a)建立信息安全方针；b)确保信息安全目标和计划得以制定；c)建立信息安全的角色和职责；d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；e)提供充分的资源，以建立、实施、运作、监视、评审、保持并改进ISMS；f)决定接受风险的准则和风险的可接受等级；g)确保内部ISMS审核得以实施；h)实施ISMS管理评审。

ISO27000系列标准介绍

ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准：ISO27000，ISO27001，ISO27002，ISO27003，ISO27004，ISO27005，ISO27006，ISO27007上述标准中，ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO2...

能否对ISO27001进行删减

ISO27001标准中规定的要求是通用的，适用于各种类型、规模和业务特性的组织。当本标准的任何要求因组织及其业务特性而不适用时，可以考虑进行删减。组织声称符合本标准时，对于4、5、6、7、8章要求的删减不能接受。如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规的要求和责任的能力，否则不能声称符合标准。删减的范围仅限于标准附录A中列举的控制，任何删减必须根据风险评估结果判断，证明删减的控制不是达到和保持信息安全要求所必需的。