ISO 27001认证
为了获得 ISO 27001认证,组织需要满足信息安全标准中详述的要求,组织是否已这样做取决于认证审核,认证审核由经认可的审核员执行(所有管理体系标准遵循相同的认证过程)
对于该领域的新手,一些最难处理的要求是与风险管理相关的要求,这是因为风险管理不是大多数企业(尤其是中小企业)默认做的事情。
ISO 27001 中相当具体的风险定义可能会使这个问题进一步复杂化,它不是一些包罗万象的、定义不明确的潜在危害,但是,正如 ISO/IEC 27000 中定义的那样,“风险”是“不确定性对目标的影响”。
ISO 27001认证有什么要求?
ISO 27001 中的风险管理要求可在第 6 条计划和第 8 条操作中找到
第6条包含希望实施 ISO 27001 的组织必须遵循的“大部分”风险管理要求,具体而言,该标准在第 6.1 条中详细规定了总体风险评估和处理过程。
6.1.1 对信息安全管理体系 (ISMS) 本身提出了一般要求,这些包括确保 ISMS 能够实现其预期结果并实现持续改进。
然后它转向第一个风险管理要求,它们是通用的,要求组织计划:
6.1.2 涉及初始风险评估,也就是说,必须ISO 27001遵循的步骤来确定您的组织面临的风险,要求组织必须定义和应用信息安全风险评估流程,以便:
- 建立和维护风险评估标准。
- 确保所有信息安全风险评估产生一致、有效和可比的结果。
-识别信息安全风险
- 分析信息安全风险,以及;
- 评估信息安全风险