最近中文字幕完整版免费,又粗又硬又大又爽免费视频播放,一本色道久久东京热,伊人久久精品中文字幕,亚洲一卡2卡3卡4卡乱码

聯(lián)系人：158-0757-2139   黃小姐（微信同號）    QQ：2353147342

ISO27001用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（Information Security Management System，簡稱ISMS）提供模型。采用ISMS應當是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS的設計和實施受業(yè)務需求和目標、安全需求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響。上述因素及其支持過程會不斷發(fā)生變化。期望信息安全管理體系可以根據(jù)組織的需求而測量，例如簡單的情形可采用簡單的ISMS解決方案。

  ISO27001標準可以作為評估組織滿足顧客、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù)，無論是組織自我評估還是評估供方能力，都可以采用，也可以用作獨立第三方認證的依據(jù)。

  范圍和界線

  在執(zhí)行信息安全管理體系的時候，組織所要做的第一件事就是定義ISMS的范圍。現(xiàn)在國際標準要求組織定義ISMS的范圍和界線[4.2.1 a]，包括被排除在范圍外的詳細說明及理由。盡管富有經(jīng)驗的BSI審核員在評估過程中也會尋找這些東西，但是現(xiàn)在把這個要求加到標準中了，如果組織打算超越根據(jù)2002版標準取得的認證而達到新標準的要求，就必須把這個要求考慮在內(nèi)。

  評估風險

  該國際標準的基礎是：信息的保護是基于業(yè)務信息的風險，該風險能促使組織運用合適的措施來保護業(yè)務的安全。很少有業(yè)務信息會暴露在多種風險之下，因此太多的安全措施可能使公司花費過多的成本。

  標準的一個重大改變是組織現(xiàn)在需要詳細說明（并文件化）風險評估的步驟[4.2.1 c]，這也意味著挑選并文件化風險評估方法將會使風險評估“產(chǎn)生可比較、可重復的結(jié)果” [4.2.1 c 和 4.3.1 d]。目前已通過BS 7799-2:2002認證的組織不會把這點看成一個比較大的變化，因為在評估過程中已經(jīng)考慮過它了。打算通過BS 7799-2:2002認證的組織可能會把它看成該國際標準的新要求。

  風險評估按照計劃的時間間隔[4.2.3 d]進行復查，對風險評估和風險處理計劃[7.3 b]的更新進行復查管理已經(jīng)是標準的要求。這個要求必須作為組織信息安全管理體系的管理復查的一部分[7.1]，至少一年完成一次。

  在對BS 7799-2:2002版標準進行審核的過程中，審核員應該根據(jù)ISMS的方針和目標[4.3.1]，尋找所選擇的控制措施與風險評估結(jié)果和風險處理程序之間的關系。盡管BS 7799-2:2002標準提到過這點，但現(xiàn)在已經(jīng)在國際標準中闡明了。想獲得BS 7799-2:2002認證的組織可以把它看作國際標準的新要求。

  合同責任

  除了法律法規(guī)的要求，該國際標準還特別強調(diào)在所有ISMS所有過程中的合同責任，包括風險評估、風險處理、控制選擇、記錄控制、資源、ISMS的監(jiān)視和復查、以及文件要求。

  通過BS 7799-2認證的組織現(xiàn)在需要做什么？

  需要特別注意的是：新的國際標準是雙重的，既可以是ISO/IEC 27001:2005，又可以是 BS 7799-2:2005。這種情況會持續(xù)一段時間（預期2年左右），這就意味著BS 7799-2:2005認證和ISO/IEC 27001:2005認證沒有什么不同。然而，目前所有通過現(xiàn)行的BS 7799-2:2002認證的組織必須考慮2005版本的變化，及時更新他們信息安全管理體系。

  通過BS 7799-2:2002認證的組織會逐步轉(zhuǎn)換到ISO/IEC 27001認證。轉(zhuǎn)換期限多久現(xiàn)在還不得而知，要等待國際認可論壇(IAF)，或國家認可機構(gòu)（如UKAS）發(fā)表正式聲明來公布。實際上，在以后的監(jiān)督審核中，會把這些不同點考慮在內(nèi)；如果合適的話，建議客戶取得ISO/IEC 27001:2005標準的認證。

  如果在轉(zhuǎn)換期內(nèi)客戶不及時轉(zhuǎn)換到新標準，一直停留在舊標準，審核員可以把與ISO的不一致作為“注釋/觀察項”記錄在案。一旦轉(zhuǎn)換期結(jié)束，觀察項就上升為不符合項，證書的注冊就存在了風險。

  新標準發(fā)布后，就可以依據(jù)ISO/IEC 27001:2005進行認證了。