ISO 27001:2013 非正式版本中文版知识点总结
ISO 27001 是国际标准化组织(ISO)发布的一种信息安全管理体系(ISMS)标准,旨在帮助组织建立和实施信息安全管理系统,以确保信息资产的安全。2013 年,ISO 发布了 ISO 27001 的新版本,ISO 27001:2013。下面是对 ISO 27001:2013 非正式版本中文版的知识点总结:
1. 引言(0)
* ISO 27001:2013 的目的:确保组织的信息资产安全
* ISO 27001:2013 的适用范围:适用于所有类型和规模的组织
2. 规范性引用(2)
* ISO 27001:2013 参考了其他相关的国际标准和规范
3. 术语和定义(3)
* 信息安全:保护信息免受未经授权的访问、泄露、破坏、修改或抹除
* 信息安全管理体系(ISMS):一种系统方法来管理和减少信息安全风险
4. 组织的背景(4)
* 了解组织现状及背景:了解组织的信息安全风险和需求
* 理解相关方的需求和期望:了解相关方对信息安全的需求和期望
* 确定 ISMS 的范围:确定 ISMS 的边界和范围
5. 领导力(5)
* 领导力的重要性:领导者的承诺和支持对于 ISMS 的成功实施至关重要
* 方针:制定信息安全方针,确保组织的信息资产安全
* 角色、责任和承诺:明确各个部门和员工的角色和责任
6. 计划(6)
* 处理风险和机遇的行动:识别和评估信息安全风险,制定相应的风险处理计划
* 信息安全风险评估:评估信息安全风险,确定风险等级和优先级
* 信息安全风险处置:制定风险处置计划,减少或消除风险
7. 支持(7)
* 资源:提供必要的资源,确保 ISMS 的实施
* 能力:确保员工具备信息安全管理的能力和知识
* 意识:提高员工对信息安全的意识和责任感
* 文档化信息:制定和维护信息安全相关的文档
8. 运行(8)
* 运行计划及控制:制定和实施信息安全运行计划,确保信息安全
* 信息安全风险评估:定期评估信息安全风险,确保风险处置计划的有效性
* 信息安全风险处置:实施风险处置计划,减少或消除风险
9.绩效评价(9)
* 监控、度量、分析和评价:监控和评价 ISMS 的实施效果,确保信息安全
* 内部审核:进行内部审核,确保 ISMS 的实施符合要求
* 管理评审:进行管理评审,确保 ISMS 的实施符合要求
10. 改进(10)
* 不符合及纠正措施:识别和纠正 ISMS 实施中的不符合项
* 持续改进:不断改进 ISMS,确保信息安全
ISO 27001:2013 新版本的特点:
* 采用 ISO 导则 83 做结构性要求
* 从 8 个章节扩展到 10 个章节
* 重新构建了 ISO 标准 PDCA 的章节架构
* 将在 ISO 其他标准改版中普遍采用
ISO 27001:2013 的实施意义:
* 帮助组织建立和实施信息安全管理系统
* 确保信息资产的安全
* 提高组织的信息安全意识和责任感
* 符合相关的国际标准和规范