ISO27001:2005的控制重点

ISO27001:2005的控制重点

1、安全方针：制定信息安全方针，为信息安全提供管理指导和支持，并定期评审。
2、信息安全组织：建立信息安全基础设施，来管理组织范围内的信息安全；维护被第三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，确保信息的安全。
3、资产管理：核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。
4、人力资源安全：确保所有员工、合同方和第三方了解信息安全威胁和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或误用设施的风险。
5、物理与环境安全：定义安全区域，防止对办公场所和信息的未授权访问、破坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或被盗，以及对业务活动的干扰；同时还要做好一般控制，防止信息和信息处理设施的损坏或被盗。
6、通讯和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的风险减到最低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信息备份和网络安全管理，确保信息在网络中的安全，确保其支持性基础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或误用。
7、访问控制：制定文件化的访问控制策略，避免信息系统的未授权访问，并让用户了解其职责和义务，包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用，定期检测未授权的活动；当使用移动办公和远程工作时，也要确保信息安全。
8、信息系统的获取、开发和维护：标识系统的安全要求，确保安全成为信息系统的内置部分；控制应用系统的安全，防止应用系统中用户数据的丢失、被修改或误用；通过加密手段保护信息的保密性、真实性和完整性；控制对系统文件的访问，确保系统文档的安全；严格控制开发和支持过程，维护应用系统软件和信息的安全。
9、信息安全事故的管理：报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信息安全事故。
10、业务连续性管理：目的是为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响，并确保他们的及时恢复。

11、符合性：信息系统的设计、操作、使用和管理要符合法律要求，符合组织安全方针和标准，还要控制系统审核，使系统审核过程的效力最大化，干扰最小化

临沂艾迪商务服务有限公司于 2006 年注册成立，本着为“根直沂蒙大地，服务全国各地，专业iso认证，iso900认证，iso9001认证iso14000认证，OHS18000认证为企业服务”的主导思想，站在时代的前沿，把握经济信息脉搏，依托自身优势资源，集网络各地信息渠道的有利形式，为企业从“注册公司，创建品牌以及企业管理，网站建设，资质认证，品牌代理等一系列策划工作，经过多年运作经验的积累，中心已经与多家商会，协会及企事业单位建立了良好的合作伙伴关系，以提供”更优质，快捷，多方位服务来满足广大国内外中小企业客商的需求；已为来自全球多个国家和地区的万余家中外客户，提供了多种形式及内容不同的企划、咨询顾问及代理服务，现代化的通讯工具， 24 小时的呼叫中心，中英文客户服务实时解答您所遇到的疑难问题，全国各地的连锁服务，让您感受到艾迪人，时刻在您的身边，倾听您的呼唤，解决您的所需；以以诚相待，诚信经营，服务第一，满足客户全方位需求并成为您成功的战略合作伙伴来作为我们服务的最终目标；争创“一站式”企业商务服务品牌；把“控制成本，降低费用，挖掘潜力，提高效益”作为经营目标，越来越多的企业和个人成为艾迪的客户，亦有艾迪协助国内客商走向世界的成功案例；为谋求海外发展的中国内地企业提供全程商务服务，并成为贵公司前进道路过程中的服务商，我们珍重并以真诚回报您给予的信任和期待，将以专业化的服务来解决企业发展过程中存在的疑难问题，助企业一臂之力。