安全性是IT服务的核心要求之一。但安全并不是永久的条件,因此我们应该不断努力提高安全水平。应记录并考虑不断变化和增加的要求,就像向公司员工提供有关安全主题的意识措施一样。
信息安全管理体系(ISMS)通过根据现有标准不断发展和个别调整,可以实现信息的长期安全运行。
信息安全从根本上基于三个保护目标:机密性、可用性和完整性。如果信息安全的创建不被视为一个有时间限制的项目,而是一个持续的过程,那么公司就可以确保高水平的安全。必须不断审查 ISMS 所有要素的充分性和有效性。这意味着不仅需要检查个别安全措施,而且还应该定期重新考虑和扩展安全策略。
为了对抗网络攻击的危险,有各种标准、指南和指南。这些 邮件营销给医生 旨在帮助公司将信息安全融入其运营中。信息安全领域的知名标准是国际公认的ISO 2700x系列标准。该标准旨在为公司提供指导,但不提供任何具体流程或行动建议。
ISO 规范和标准概述
信息安全管理系统最重要的标准是2700x系列标准中总结的国际标准组织标准。对ISMS相关标准进行了总结,并以统一编号(从27开始)制定新标准。ISO 27000 概述了信息安全管理系统以及 ISO 2700x 系列中各种标准之间的关系。
ISO 27001
由于信息技术的复杂性和认证需求,近年来出现了大量关于信息安全的指令、标准和国家规范。 ISO 标准 27001“信息技术 - 安全技术 - 信息安全管理系统要求规范”是第一个支持认证的信息安全管理国际标准。 ISO 27001 包括一般建议 - 包括如何引入、操作和改进记录的信息安全管理系统,同时也考虑到风险。然而,作为读者,您不会在这里获得任何实际实施方面的帮助。
ISO 27002
ISO 27002“信息技术——信息安全管理实践规范”的目的是定义信息安全管理的框架。因此,ISO 27002 主要涉及建立有效的安全管理体系并将其扎根于组织所需的步骤。这些建议主要针对管理层,几乎不包含任何具体的技术信息。实施 ISO 27002 的安全建议是满足 ISO 27001 标准要求的多种方法之一。
ISO 27005
ISO 27005 标准“信息安全风险管理”包含信息安全风险管理的框架建议。除其他外,它支持实施 ISO 27001 的要求。但是,没有指定风险管理的具体方法。