ISO27001信息安全管理体系标准解读

概述ISO/IEC27001信息安全管理体系由引言、正文以及附录三个部分组成。ISO/IEC27001信息安全管理体系的引言部分包括三个部分，即0.1总则、 0.2过程方法、 0.3与其他管理体系的兼容性。“0.1总则”描述了制定ISO/IEC27001信息安全管理体系的用途和应用对象。为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型。

这种模型:是高度概括的，也不正对具体的行业，因此标准中指出:按照组织的需要实施ISMS，是本标准所期望的。简单的情况可以采用简单的ISMS,这意味着应用组织可以裁减使用。正文的第四章到第八章的内容基本可以认为是建立PDCA模型的过程。"0.2的过程方法”对过程、过程方法以及该标准所采用的PDCA模型进行了描述。

标准开门见山地指明:本标准采用一种过程方法来建立、 实施、运行、监督、评审、保持和改进-个组织的ISMS。这句话说明了本标准时采用的过程方法。

过程方法被广泛的应用于目前所流行的标准中，ISO/IEC27001信息安全管理体系所应用的过程方法有其特别之处。

1、理解组织的信息安全要求和建立信息安全方针与目标的需要

2、从组织整体业务风险的角度,实施和运行控制措施，以管理组织的信息安全风险

3、监视和评审ISMS的执行情况和有效性

4、基于客观测量的持续改进有很多现行的模型都可以满足工程过程方法的要求，而本标准首先要满足上述理解这四点时，应该注意:

5、从组织的整体出发，不能为了安全而安全，基于此，组织对安全的需求是不同的，绝对的安全或者过度

的安全都是不必要的，甚至是浪费的。

6、信息安全风险的管理必须考虑整体业务风险，因为信息系统不是组织的全部,不去考虑整体的业务风险，就没有站在组织的视角去理解信息安全，而且脱离整体业务考虑的控制，也不可能真正解决组织信息安全的问题。

7、注重监视和评审，监视和评审时持续改进的基础。如果缺乏对执行的有效的测量。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。