Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

企业信息安全管理体系的构建都有哪些内容?

经过第一阶段消防式的快速管理,企业存在的危险性大部分基本解除,第二阶段可以系统地完善企业的安全结构,落地安全融入系统的安全理念。根据ISMS创建安全管理信息系统


ISMS实际由ISO27001-ISO28012系列规范组成,其中ISO27001较为业界所熟识。ISO27001具体规范了信息安全管理信息系统的要求,主要是一些基本概念的讲解和简述,通常用以认证。ISO28002是对应ISO27001的详细实践,该规范牵涉十四个领域,112个防范措施。ISMS提供了大而完整的指导要求框架,有助于互联网企业的安全团队。


1.提供全面的安全视图,避免安全复盖面不足引起的死角。


2、可以向高管提供可以说明的信息安全实施依据,便于推进安全战略。


3、获得ISO27001认证后,可以提高公司的知名度和信赖度,使客户对企业有信心。


ISMS实际基于PDCA循环原则


plan(计划)。制订与风险管控和信息安全改进有关的政策、ISMS目标、步骤和程序,提供符合组织全球政策和目标的结果

d是Do(实施)。实施和利用ISMS政策控制步骤和程序c是Check(检查)。在检测过程中对步骤进行相应的评估,在适当的情况下根据政策、目标和实践经验测量步骤的业绩,然后向管理层报告结果进行审查。a是Act(行动)。根据ISMS内部审查和管理审查的结果和其他相关信息,采用改善和预防措施,不断改进上述系统。安全管理信息系统实际可以在ISO27001的十四个控制领域展开,通过向ISMS提供检查表格,完成相应的模块并打钩,检查几乎一样,安全管理信息系统成立了。


安全管理类工作复杂,但不离其宗,首先要吃合规要求和规章制度等规则,发现本公司在执行方面的风险和短板,最后完成整顿和解决风险。

分享: