曲靖iso27001信息安全管理体系认证

更新:2016-12-2 13:32:35点击:
  • 产品品牌 景鸿咨询
  • 产品型号
  • 在线订购
产品介绍
云南景鸿
电话:0871-66379969 
地址:昆明盘龙区北京路延长线万科金城缇香2801
iso27001:2013和iso27002的关系
听到过很多抱怨,抱怨建立符合标准的信息安全管理体系太复杂,有太多的文档要去准备,有超过一百项的管理手段要去实现。也看到过很多“大功告成”的文档体系,其结构宏伟浩大,让人充满信心,类似于从Chapter5安排到Chapter15,你懂的。 
那么,建立一个能过认证的信息安全管理体系真的有那么复杂吗?我觉得在讨论如何能过认证之前,先来看看iso27001:2013和iso27002的关系,我们到底是要对27001,还是对iso27002进行认证?这个问题其实非常简单,看一下两份标准的标题就明白了。对于iso27001:2013,标题为Requirements,即认证要求,而iso27002,标题为Code of Practice,即最佳实践的守则。很显然,认证机构的审计基准仅仅是iso27001:2013,这点很重要。 

那为什么iso27002一直扮演着很重要的角色呢?为什么27002在建立体系的时候参考的频率反而比27001更高呢?这个问题其实也很简单,看一下两份标准的页数就明白了(哈哈,开玩笑?),iso27001:2013只有四十多页,相反27002竟然有一百二十多页,大约是前者的三倍。 

建立信息安全管理体系,就好比是插花,先要编制一个精简牢固的花篮,这个花篮就是iso27001:2013,然后再摆放各种花束,这些花束就是iso27002里的一百多项控制手段。如同完成一个漂亮的大花篮,一定是要讲究花束长短,种类和颜色之间重要搭配的,那么在信息安全管理体系中,这个搭配的基准又是从何而来呢?其实,这个搭配的基准你一定知道。因为这个基准或者说思维方法,都快被业界讨论到熟透了,它就是风险评估。是风险管理的思维将iso27001:2013和iso27002联系在一起,iso27005描绘了一套适用于信息安全管理的风险评估方法论,这个标准也非常重要,但仅仅是一份指南,并不是要求,永远记住,只有iso27001:2013是可以被认证的。


更多产品