您现在的位置:首 页 > 两化融合 > ISO20000认证体系信息安全管理的控制

ISO20000认证体系信息安全管理的控制

如何实施ISO20000认证体系信息安全管理的控制呢?本篇摘要介绍ISO20000认证体系信息安全管理内容、概念、要求和信息安全控制以供实施ISO20000认证体系企业参考。

ISO20000认证体系信息安全管理要求内容 INTENT OF THEREQUIREMENTS
信息安全管理过程应确保信息安全控制措施能保护信息资产,同时,新的和变更的服务的设计与转换应考虑信息安全需求。
ISO20000认证体系信息安全管理概念 CONCEPTS
信息安全应是一系列方针和程序的结果,以识别、控制和保护组织的信息及其在存储、传送和处理过程中所需的资源。
管理层应确定清晰且明确的信息安全管理目标,并与业务需求相一致。
服务提供者应根据信息资产的价值、机密性或业务影响对其进行分类。对于每类资产,服务提供者和客户应确定并达成风险可接受等级。
ISO20000认证体系信息安全管理要求说明 EXPLANATION OFREQUIREMENTS
ISO20000认证体系信息安全政策Information security policy
服务需求、法律法规要求和和合同要求是形成信息安全方针的基础。方针应指导物理的、管理的和技术的信息安全控制措施的使用以保护信息资产的安全,如机密性、完整性和可访问性。同时,方针应由对SMS和服务负责的管理人员批准。
信息安全策略的范围应包括但不限于必需的物理的、管理的和技术的控制,以确保SMS范围内信息资产的机密性、完整性和可访问性。信息安全方针的范围可能超越SMS的范围以满足业务需求。
管理层应确保个人、客户供应商和内部团队不仅能充分理解方针的内容,而且要对坚持遵守方针的重要性予以肯定。
管理层还应确保信息安全方针作为风险评估和信息安全审计时的一部分。
信息安全方针应为制定风险接受准则和管理所识别的信息安全风险提供指导,如口令管理。
信息安全方针应确保定期执行信息安全内部审核,如信息安全漏洞,新的和变更的服务的部署。
信息安全方针应确保对信息安全审核结果进行定期评审,以识别信息安全改进机会。如,改正在信息安全审核中发现的弱点。
注:具备专业信息安全职责的人员会发现熟悉ISO/IEC27002,Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement.是很有帮助的。此国际标准包括关于安全策略的内容。
ISO20000认证体系信息安全控制Information securitycontrols
信息安全控制应保证实现信息安全管理目标,同时管理信息安全风险。信息安全控制包括物理控制、管理控制或技术控制。
服务提供者应确保控制控制措施文件化,且描述了相关风险及风险应对策略。服务提供者也应确定评审控制的权限和责任,及评审周期。服务提供者也应确定信息安全控制以管理需要访问、使用或管理组织信息或服务的外部组织或个人。

获得帮助:4000-816-938

图文展示

ISO22301认证业务连续性管理体系认证准备解读业务连续性概念和作用及业务连续性认证准备事项和适用企业

两化融合认证评估框架本文摘要介绍两化融合认证如何进行评估?评价框架是什么?包含哪些内容?

ITSS认证申请条件及ITSS认证流程介绍ITSS认证申请条件及ITSS认证流程以供需要企业参考。

ISO27001认证体系信息安全要求来源了解信息安全管理体系产生及要求来源以供实施企业参考

软件成熟度CMMI认证条件与要求问答结合多年认证经验介绍CMM认证条件与要求以供企业参考准备

深圳市两化融合试点和贯标政策解读什么是两化融合及深圳市两化融合试点和贯标政策

ISO20000认证标准2018版主要变化介绍新版ISO20000认证标准发布及转换时间和主要变化

认识ITSS及其作用了解ITSS是什么?ITSS有哪些内容?ITSS认证有哪些作用?

软件成熟度CMMI认证作用与等级说明介绍CMMI认证作用及等级,了解什么是CMMI认证及三种模型?

咨询电话:4000-816-938

在线客服