控制和降低信息资产相关风险的管理体系。英国先后发布了《信息安全管理实施细则》(BS7799-1)(1995年2月)和《安全管理体系规范》(BS7799-2)(1998年2月),国际标准化组织和国际电工委员会在此基础上,发布了《信息技术-安全技术-信息安全管理体系-要求》(ISO/IEC27001:2005)(2005年11月)。2008年6月,中国质量监督检验检疫总局和国家标准化管理委员会等同采用了这两项国际标准,标准的编号为GB/T22080-2008/ISO/IEC
27001:2005《信息技术-安全技术-信息安全管理体系要求》,并于2008年11月1日实施。
组织对识别的适用于自己的控制目标和控制措施的评述。适用性声明是《信息技术-安全技术-信息安全管理体系-要求》( ISO/IEC27001:2005)中的重要概念,相当于一个控制目标与方式清单,其中须阐述选择与不选择的理由。适用性声明是信息安全管理体系不可或缺的组成部分,应作为信息安全管理体系证书的附录。审计人员将根据适用性声明,确认适当的控制措施是否部署到位和在运作之中。
一种循环的四步骤质量管理方法,是英文Plan-Do- Check-Act或者Plan-Do-Check- Adjust的简称。这一管理方法由管理学家W.E.戴明( William Edwards Deming)于20世纪50年代提出,亦称“戴明循环”( Deming cycle)。PDCA循环括计划、执DCA是个持续改进、不断学习的循环程。信息安全管理体系的PDCA四个步骤是:①建立信息安全管理体系。②实施并运行信息安全管理体系。③监视并评审信息安全管理体系。④改进信息安全管理体系。
更多内容您可前往信创致远http://www.dengbao110.com/查看。