如何建立信息安全管理体系

信息安全管理体系ISMS（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它基于业务风险方法，用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、检查表等要素的集合，涉及到人、程序

ISO/IEC 27001:2005变化摘要

BS7799 部分2：2002（条款号） ISO/IEC 27001:2005 （条款号） 变化和差异的注解 1.2 应用 1.2 应用 确定对ISO/IEC 27001条款4-8的删减都是不可接受的，解释在何种情况下对控制进行了删减是可能的。 3 术语和定义 3 术语和定义 从ISO/IEC 13335-1：2004，ISO/IEC TR 18044：2004和ISO/IEC指南 73:2002中添加定义。 改变部分现有定义以配合ISO/IEC 13335-1：2004标准。重新明确定义了风险处理和适用性声明。 4.2.

从方法论的角度谈ISO27001审核

本文将从方法论的视角对ISO27001审核应关注的内容进行探讨。 一、ISO27001标准简介 该标准分为三个部分，分别为引言、正文和附录。 引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则；描述了体系建设过程中使用的过程方法和PDCA模型}说明了ISMS与其他管理体系的兼容性。 正文的前三章介绍了标准的基本情况和涉及的术语和定义，从第四章开始，正式提出了ISMS的要求。标准

信息安全管理体系建立和运行步骤

ISO27001标准要求组织建立并保持一个文件化的信息安全管理体系，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。 不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤：信息安全管理体系的策划与准备；信息安全管理体

ISO27000中的PDCA四个阶段

策划阶段，组织应： 定义ISMS的范围和方针； 定义风险评估的系统性方法； 识别风险； 应用组织确定的系统性方法评估风险； 识别并评估可选的风险处理方式； 选择控制目标与控制方式； 当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行信息安全管理体系。 实施阶段，组织应该实施选择的控制，包括： 实施特定的管理程序； 实施所选择的控制； 运作管理

BS7799, ISO17799与ISO27001的关系

信息安全发展至今，人们越来越认识到安全管理在整个信息安全建设过程中的重要性，而作为信息安全管理方面最著名的国际标准ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的最好的参照。 BS7799是英国标准协会（British Standards InstituteBSI于1995年2月制定的信息安全管理标准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年