ISO/IEC 27001: 2005是信息安全管理体系标准,其提供了企业建立信息安全管理体系的框架、方法和基本要求。ISO/IEC 27001: 2005明确提出了采用过程方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全管理体系,并采用“规划一实施一检查一处置”( PDCA)模型,把相关方的信息安全要求和期望作为输入,通过必要的行动和过程,产生满足这些要求和期望的信息安全结果,如图8 -1所示。依据ISO/IEC27001标准进行信息安全管理体系建设,是推动企业信息安全保护方面最普遍的思路和决策。
ISO/IEC 27002是信息安全管理体系实用规则,是对ISO/IEC 27001标准的细化和补充,其中对信息安全的定义、意义、信息安全管理方法等进行了阐述,并明确了信息安全管理的11个控制域管理目标、控制措施、实施指南等信息。11个控制域是安全方针、信息安全组织、资产管理、人员安全、物理和环境安全、通信和运维管理、访问控制、信息系统信息获取和开发以及维护、信息安全事故管理、业务持续性管理、符合性等。
企业可以根据实际情况对1 1个控制域中1 13个控制点加以选择和使用,并通过相关措施的建立、健全和有效实施,保证信息安全管理目标的实现。11个控制域对应的控制点见表8 -1。