400-009-6664

专注于IT服务的科技咨询公司

行业知识

您当前位置 > 主页 > 资讯中心 > 行业知识 > 详情

ISO27001体系的核心与主线是什么?

ISO27001

    今天阿斯科给大家分析一下ISO27001体系的核心与主线是什么,ISO27001是以资产安全为核心,以风险管理为主线的体系,下面是具体分析。
    1、以资产安全为核心
    资产是组织价值的核心,安全作为业务发展的保障,将始终围绕资产安全开展。ISO27001中,清晰的资产是开展风险评估、访问控制策略设计等的前提,如何确保资产安全,是ISO27001各控制域需要回答的核心问题。
    资产的价值决定安全投入多少,资产价值与安全投入成正比,资产价值越高,安全投入越大,反之亦然。ISMS体系的建设应同其要保护对象的价值、组织的价值相匹配。
    资产的属性决定安全保护措施,资产呈现为不同的属性,包括有形资产、无形资产;软件资产、硬件资产;资产的属性决定安全保护措施的选择,服务器等硬件资产,需要安全的空间进行存放,并配备门禁等,确保其恶意的人员接触;核心数据资产,需要采取加密手段,保障其存储、传输过程的安全;多种资产属性的组合/集合需要采取多种保护措施,甚至额外保护措施,承载核心数据的服务器需要存放在安全的空间中,其上核心数据应加密存储,并采取备份措施。
    2、以风险管理为主线
    如果说资产是ISO27001实践的核心,那么风险管理则是其主线。一切活动的开展都是风险管理的延伸。
    ISO27001各控制域中对风险管理的思想体现的淋漓尽致,旨在确保组织面临的风险始终保持在可以接受的范围内。安全策略制定,安全控制措施选用,均是在明确的风险偏好下,参照风险评估结果,进行的预防、监控或处置。
    以上就是ISO27001体系的核心和主线的分析。

    阿斯科科技主要从事CMMIITSSISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质(CCRC)咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:2021年ITSS运维认证受理时间安排是怎样的?      阅读下一篇新闻:部分省市ITSS认证补贴介绍

服务案例查看更多