中文
English
1.什么是ISO27001?
ISO 27001 是国际标准化组织制定的信息安全管理体系(ISMS) 标准,它为企业建立、实施、维护和持续改进信息安全管理体系提供了一套系统化的框架。
该标准围绕信息的保密性、完整性、可用性三大核心目标,通过风险评估、风险处置、内部审核、管理评审等环节,帮助组织管控信息安全风险,保护敏感信息不被泄露、篡改或破坏,适用于所有行业和规模的组织。
2.ISO27001的核心管控域清单:
ISO 27001 核心管控域(共4大控制类别、39个控制项)
(1) 组织信息安全
◦ 包含信息安全方针、组织角色职责、信息安全委员会、外包管控、供应链安全等内容,明确组织层面的信息安全治理框架。
(2) 人力资源安全
◦ 覆盖员工入职背景核查、安全意识培训、岗位安全责任、离职人员权限回收等,从人员全生命周期管控安全风险。
(3) 资产管理
◦ 要求建立资产清单、划分信息分类分级、制定资产保护策略、规范设备全生命周期管理(采购、使用、报废)。
(4)访问控制
◦ 涵盖用户访问权限管理、账户生命周期管控、权限最小化原则、多因素认证、特权账户管理、访问权限定期审计。
(5)密码学
◦ 规范加密算法选型、密钥管理(生成、存储、分发、销毁)、加密技术应用场景,保障信息在传输和存储中的保密性。
(6)物理和环境安全
◦ 包括机房选址与建设、出入管控、安防监控、设备物理防护、环境监控(温湿度、消防)、灾备设施管理。
(7)运行安全
◦ 涉及变更管理、漏洞管理、恶意代码防护、备份与恢复、日志管理与审计、系统监控、补丁管理。
(8)通信安全
◦ 覆盖网络分区与隔离、网络访问控制、远程访问安全、通信加密、无线网络安全、邮件安全等。
(9) 系统获取、开发和维护
◦ 要求在系统开发全流程嵌入安全需求、开展安全测试、配置安全基线、规范第三方开发人员管控。
(10) 供应商关系
◦ 包含供应商安全评估、合同安全条款、供应商服务持续管控、供应商安全事件响应等。
(11) 信息安全事件管理
◦ 明确事件分类分级、上报流程、应急响应预案、事后复盘改进、事件记录与分析等要求。
(12) 业务连续性管理
◦ 涵盖业务影响分析、风险评估、业务连续性计划制定、预案演练与评审、灾备策略设计。
(13) 符合性
◦ 包括法律法规合规性评估、行业标准遵循、内部政策合规、安全审计、知识产权保护等。
