安全合规知识总结之ISO 27001
GDPR
评估的内容可以包括组织的信息安全政策、技术措施、管理措施、人员意识、合规性等各个方面。通过差距评估,可以帮助组织更好地了解其信息安全现状,发现存在的问题和不足,并确定需要改进的方向和重点。
在进行差距评估时,组织可以采取多种方法,如问卷调查、文件审查、现场检查等。组织可以根据自身情况和需要进行选择和安排,以确保评估结果的准确性和有效性。
需要注意的是,差距评估不仅是一个一次性的工作,而是应该持续进行。在实施ISO 27001的过程中,组织的信息安全环境可能发生变化,新的风险和威胁也可能出现。因此,组织需要不断地进行重新评估,以便及时调整和完善其信息安全管理体系。
ISO 27001
说说你对ISO27001的理解?等级保护?GDPR?
采用PDCA循环模型,分为四个阶段:安全风险评估、规划体系建设方案(Plan),建立并实施信息安全管理体系(Do),体系运行绩效考核(Check),持续改进(Action)。
13年到22年 标题变化
从上一版的14个关键领域合并为4个,即组织、人员、实体和技术;
企业如何建立ISO/IEC 27001信息安全管理体系?
1、确立管理系统使用的范围
◇ 必须覆盖到公司的每一个职能部门,或者覆盖公司信息系统相连的外部机构,例如合作伙伴、供应商等。同时从系统层次考虑覆盖网络系统、服务器平台系统、数据、安全管理、应用系统以及支撑信息系统的场所和所处的周边环境以及场所内,确保计算机系统正常运营的设施设备等。
2、安全风险评估
◇ 安全风险评估,主要包括企业安全管理类的评估和企业安全技术类的评估
安全管理评估的内容包括与ISO/IEC 27001信息安全管理体系相关的11个方面,包括信息安全政策、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行管理、访问控制等,系统开发和维护、安全事件管理、业务连续性管理和合规性。
安全技术评估是基于资产安全等级的分类。通过对信息设备的安全扫描和安全设备的配置,对现有网络设备、服务器系统、终端和网络安全架构的安全状况和薄弱环节进行检查和分析,为安全加固提供依据。
3、规划系统建设方案
◇ 规划系统建设方案在风险评估的基础上,针对企业存在的安全风险提出安全建议,提高系统的安全性和抗攻击能力。
4、信息安全体系建设与运行
◇ 系统建设以信息安全模式和企业信息化为基础,兼顾内外部安全功能。规划信息安全技术可以从安全基础设施、网络、系统和应用四个方面进行规划。
5、改进
◇ ISO/IEC 27001认证标准的信息安全管理体系文件编制完成以后,按照文件控制的要求进行审核批准,向各部门发放先行有效的体系文件,保留体系运行过程中的记录,并定期进行内审和管理评审,对不符合或潜在不符合项进行纠正和预防措施,不断改进信息安全管理体系。
1、信息安全管理体系建设
2、人员安全
3、数据安全
4、资产安全
5、密码安全
6、物理与环境安全
7、网络安全
8、开发与运维安全
9、外包安全
10、信息安全事件管理
● 人数资密 境网域包
个人信息保护法\个人信息安全规范
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
网络安全法?数据安全保护法?
采用数据源鉴别、身份鉴别、访问控制、数据加密、数据防泄露等技术手段,对个人隐私、商密等数据进行安全防护。