ISO27001:2013内容
ISO27001:2013信息安全风险评估的实施主要有以下内容:
(1)资产识别
(2)资产的安全属性赋值及权重计算
(3)威胁分析
(4)薄弱点分析
(5)威胁发生可能性及影响分析
(6)风险计算
(7)风险处理计划制定
ISO27001:2013风险评估是一项综合的系统工程,既涉及到技术,又涉及到管理。风险评估过程中既需要采用技术的检测手段,又需要进行综合的归纳、总结和分析方法。
ISO27001:2013风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都需要根据被评估实际情况,与被评估方共同确定。
ISO27001认证企业信息安全目标具体包括哪些?
ISO27001认证企业信息安全目标具体包括:
(1)信息泄漏事件为零;
(2)引起***主要业务中断时间累计不能超过2h/年;
(3)引起***主要业务中断事件发生次数小于1次/年;
(4)严重影响网络与信息系统可用性的事件小于1次/年;
(5)信息安全事件发生时,以损失小化、***时间***短化、避免再次发生为目标。
ISO27001认证企业编制文件应在物理和环境安全方面注意什么?
ISO27001认证企业编制文件应在物理和环境安全方面注意:
1. 环境设施和安全区域
为了防止重要信息资产遭受不当访问、损坏和干扰等,应将其放入安全区域,进行***管理,使用***环境设施和安全区域时,必须遵守《环境设施与物理设备管理规定》中规定的事项。
2. 设备安全
设备在安装、布线、使用和维护时,应遵守相应的安全管理措施。此外,除了要保护设备本身的安全外,更重要的是要保护设备中所存储的信息,要防止信息未***访问。
