ISO27001认证审核目的
ISO27001认证企业定期进行内部审核的目的是什么?企业应该定期进行内部审核,从而对I***S的实施情况进行评价,另一个目的是确定I***S的控制目标、控制措施、过程和程序是否:
a.符合标准和相关******的要求;
b.符合已确定的信息安全要求;
c.得到有效实施和保持;
d.按预期执行。
ISO27001认证企业信息安全目标具体包括哪些?
ISO27001认证企业信息安全目标具体包括:
(1)信息泄漏事件为零;
(2)引起***主要业务中断时间累计不能超过2h/年;
(3)引起***主要业务中断事件发生次数小于1次/年;
(4)严重影响网络与信息系统可用性的事件小于1次/年;
(5)信息安全事件发生时,以损失小化、***时间***短化、避免再次发生为目标。
ISO27001:2013内容
ISO27001:2013信息安全风险评估的实施主要有以下内容:
(1)资产识别
(2)资产的安全属性赋值及权重计算
(3)威胁分析
(4)薄弱点分析
(5)威胁发生可能性及影响分析
(6)风险计算
(7)风险处理计划制定
ISO27001:2013风险评估是一项综合的系统工程,既涉及到技术,又涉及到管理。风险评估过程中既需要采用技术的检测手段,又需要进行综合的归纳、总结和分析方法。
ISO27001:2013风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都需要根据被评估实际情况,与被评估方共同确定。
