ISO27001標(biāo)準(zhǔn)第一部分是信息安全管理實(shí)施細(xì)則其中包含11個(gè)主題，定義了133個(gè)安全控制。11個(gè)主題分別是：①安全策略；②信息安全組織；③資產(chǎn)管理；④人力資源安全；⑤物理和環(huán)境安全；⑥通信和操作管理；⑦訪問(wèn)控制；…

當(dāng)今社會(huì)是一個(gè)信息爆炸的時(shí)代，企業(yè)對(duì)信息的依賴越來(lái)越大，沒(méi)有各種信息的支持，企業(yè)就難以維持長(zhǎng)遠(yuǎn)的發(fā)展。可見(jiàn)，信息已經(jīng)成為現(xiàn)代企業(yè)的一種重要資產(chǎn)，成為企業(yè)成功的關(guān)鍵所在。信息所具有的機(jī)密性、完整性和可用性…

ISO27001信息安全管理體系之 信息的性質(zhì)信息具有下面一些重要的性質(zhì)。(1) 普遍性: 信息是事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式, 因此, 只要有事物的存在, 只要事物在不斷地運(yùn)動(dòng), 就會(huì)有它們運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式, 也…

信息也來(lái)源于精神世界。既然信息是事物運(yùn)動(dòng)的狀態(tài)與狀態(tài)變化方式，那么精神領(lǐng)域的事物運(yùn)動(dòng)( 思維的過(guò)程) 當(dāng)然可以成為信息的一個(gè)來(lái)源。同客觀物體所產(chǎn)生的信息一樣，精神領(lǐng)域的信息也具有相對(duì)獨(dú)立性，可以被記錄并加以…

ISO27001信息安全管理體系之 信息的分類信息是一種非常復(fù)雜的、抽象的研究對(duì)象，為了有效地對(duì)信息進(jìn)行分析及描述信息，那么就要對(duì)信息進(jìn)行分類，分類后的信息更有利于進(jìn)行研究，由于目的和出發(fā)點(diǎn)的不同，信息的分類也…

信息的基本功能在于維持和強(qiáng)化世界的有序性，可以說(shuō)，缺少物質(zhì)的世界是空虛的世界，缺少能量的世界是死寂的世界，缺少信息的世界是混亂的世界。信息的社會(huì)功能則表現(xiàn)在維系社會(huì)的生存，促進(jìn)人類文明的進(jìn)步和人類自身的…

信息技術(shù)系統(tǒng)和應(yīng)用有時(shí)會(huì)發(fā)生故障或錯(cuò)誤。有的故障系統(tǒng)可自動(dòng)告警和記錄，有些故障則需要人工報(bào)告和記錄。組織應(yīng)對(duì)故障記錄進(jìn)行匯總，由維護(hù)人員進(jìn)行分析并盡快處理。在這些故障中有些可能與安全有關(guān)，對(duì)可疑的活動(dòng)需…

現(xiàn)在對(duì)ISO27001信息安全管理體系還沒(méi)有一個(gè)明確的定義。在ISO27001中信息安全管理體系可以被理解為是組織管理體系的一部分，專門用于組織的信息資產(chǎn)風(fēng)險(xiǎn)管理，確保組織 的信息安全，包括為制定、實(shí)施、評(píng)審和保持信息…

（1）信息安全的范圍界定本文提出的信息安全等同于信息系統(tǒng)安全。信息系統(tǒng)由信息技術(shù)系統(tǒng)、系統(tǒng)運(yùn)行環(huán)境和信息。① 信息技術(shù)系統(tǒng)信息技術(shù)系統(tǒng)，作為信息系統(tǒng)一部分的執(zhí)行組織機(jī)構(gòu)信息功能的用于采集、創(chuàng)建、通信、計(jì)算…

ISO27001標(biāo)準(zhǔn)附錄 A.9.1　安全區(qū)域【內(nèi)容解析】組織周邊內(nèi)的場(chǎng)所應(yīng)成為受控的安全區(qū)域，在物理和環(huán)境上要有保障措施，防止外界的干擾和擅自進(jìn)入。ISO27001標(biāo)準(zhǔn)附錄 A.9.1.1　物理安全周邊【內(nèi)容解析】組織信息處理設(shè)施…

1概述ISO/IEC27001信息安全管理體系由引言、正文以及附錄三個(gè)部分組成。ISO/IEC27001信息安全管理體系的引言部分包括三個(gè)部分，即0.1總則、0.2過(guò)程方法、0.3與其他管理體系的兼容性。“0.1總則”描…

對(duì)輸入信息處理系統(tǒng)或應(yīng)用系統(tǒng)中的數(shù)據(jù)應(yīng)確認(rèn)其正確性(包括數(shù)據(jù)的邊界、長(zhǎng)度和業(yè)務(wù)邏輯等)，并對(duì)系統(tǒng)可接受的輸入類型進(jìn)行確認(rèn)檢查以保證數(shù)據(jù)是恰當(dāng)?shù)模苊獠环弦蟮臄?shù)據(jù)進(jìn)入系統(tǒng)。

信息安全管理模型是對(duì)信息安全管理的一個(gè)抽象化描述。它是組織建立信息安全管理體系的基礎(chǔ)。目前，在對(duì)安全理論、安全技術(shù)和安全標(biāo)準(zhǔn)研究的基礎(chǔ)上，不同的組織都提出了相應(yīng)的信息安全管理模型。這些模型的側(cè)重點(diǎn)不同，…

信息安全風(fēng)險(xiǎn)可能是一個(gè)單一的風(fēng)險(xiǎn)，也可能是多種風(fēng)險(xiǎn)的組合;它可能是一般性的，也可能是特殊的;可能是人為有意的，也可能是無(wú)意的;可能在一個(gè)環(huán)節(jié)出現(xiàn)，也可能在多 個(gè)不同的層面、不同的時(shí)間出現(xiàn)。如果能系統(tǒng)地考慮所…

網(wǎng)絡(luò)擴(kuò)展到組織的邊界之外通常是為了便利與外部第三方供應(yīng)商或外部商業(yè)合作伙伴開(kāi)展業(yè)務(wù)活動(dòng)。從信息安全的角度，對(duì)這種網(wǎng)絡(luò)連接控制是一種挑戰(zhàn)，而且常被忽略，因?yàn)楣?yīng)商和業(yè)務(wù)伙伴在使用組織網(wǎng)絡(luò)時(shí)是受信的。所以組…