ISO27000中的PDCA四个阶段

策划阶段，组织应：定义ISMS的范围和方针；定义风险评估的系统性方法；识别风险；应用组织确定的系统性方法评估风险；识别并评估可选的风险处理方式；选择控制目标与控制方式；当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行信息安全管理体系。实施阶段，组织应该实施选择的控制，包括：实施特定的管理程序；实施所选择的控制；运作管理；实施能够促进安全事件检测和响应的程序和其他控制。检查阶段，组织应：执行程序，检测错误和违背方针的行为；定期评审ISMS的有效...

如何保障信息安全？

信息安全技术是信息安全控制的重要手段，一些安全性要求高的信息系统的安全性必须借助于技术手段来实现，但单独依靠技术手段实现安全的能力是有限的，而且安全技术应由适当的管理和程序来支持，否则，安全技术发挥不了其应有的安全作用，或者当应用环境发生变化时，不做适当的技术调整，其安全作用会大打折扣，甚至丧失。信息安全来自“三分技术，七分管理”，必须注重信息安全管理，而且信息安全管理需要组织所有员工的参与，还需要供应商、客户的参与，以及组织以外的专家建议。信息安全管理是...

信息安全风险评估流程

如何支持信息安全管理体系

Z高管理者应该通过以下活动，对建立、实施、运作、监视、评审、保持和改进ISMS的承诺提供证据：a)建立信息安全方针；b)确保信息安全目标和计划得以制定；c)建立信息安全的角色和职责；d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；e)提供充分的资源，以建立、实施、运作、监视、评审、保持并改进ISMS；f)决定接受风险的准则和风险的可接受等级；g)确保内部ISMS审核得以实施；h)实施ISMS管理评审。

ISO27000系列标准介绍

ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准：ISO27000，ISO27001，ISO27002，ISO27003，ISO27004，ISO27005，ISO27006，ISO27007上述标准中，ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO2...

能否对ISO27001进行删减

ISO27001标准中规定的要求是通用的，适用于各种类型、规模和业务特性的组织。当本标准的任何要求因组织及其业务特性而不适用时，可以考虑进行删减。组织声称符合本标准时，对于4、5、6、7、8章要求的删减不能接受。如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规的要求和责任的能力，否则不能声称符合标准。删减的范围仅限于标准附录A中列举的控制，任何删减必须根据风险评估结果判断，证明删减的控制不是达到和保持信息安全要求所必需的。