ISO27001認證
建立ISO27001信息安全管理(lǐ)體系的原則
信息安全管理(lǐ)是指導和(hé)控制企業或機構的關于信息安全風(fēng)險的相互協調的活動,信息安全管理(lǐ)實際上(shàng)是風(fēng)險管理(lǐ)的過程,管理(lǐ)的基礎是風(fēng)險的識别與評估。系統的信息安全管理(lǐ)主要體現(xiàn)以下(xià)原則:
★采用(yòng)目前國際管理(lǐ)界公認的過程方法來(lái)建立并實施體系,将活動和(hé)相關的資源作(zuò)爲過程進行管理(lǐ),并系統地識别和(hé)管理(lǐ)組織所用(yòng)的過程,特别是過程之間的相互作(zuò)用(yòng),以改善組織總體的效率和(hé)有效性。
★按照美(měi)國著名質量管理(lǐ)專家戴明(míng)的PDCA持續改進模式來(lái)對(duì)信息安全管理(lǐ)體系的諸過程及其相互作(zuò)用(yòng)進行管理(lǐ)。
★将國際信息安全界公認的信息安全最佳慣例有序地形成标準,供各類組織在風(fēng)險識别、風(fēng)險評價的基礎上(shàng)進行選擇實施,将風(fēng)險降至企業或機構可以接受的水(shuǐ)平。
★同時(shí)關注組織信息的實物/物理(lǐ)安全與信息系統的安全。
★預防控制爲主的思想原則。
★業務持續性原則,即從(cóng)故障中恢複業務運作(zuò),減少故障對(duì)關鍵業務過程的影響。
★動态管理(lǐ)原則,即對(duì)風(fēng)險實施動态管理(lǐ)。