ISMS:
27001是通用的一般性信息安全管理体系建设指南,其中一部分是组织在整体或特定范围内建立信息安全方针和目标、以及完成这些目标所用的方法的体系。
而对于不同行业,27000系列也在不断进行行业针对性的内容调整以适应行业性的信息安全要求指南。
对于业务风险:
ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并表现为组织结构、策略方针,计划活动,目标与原则,人员与责任,过程与方法,资源等诸多要素的集合。
对于风险管理:
概念——风险管理是指以风险为主线进行信息安全的管理。
实施目标——依据安全标准和信息系统的安全需求,对信息、信息载体、信息环境进行安全管理,以达到安 全目标。
内容:信息安全风险管理分为4个基本步骤:1、对象确立;2、风险评估;3、风险控制;4、审核批准
5、沟通与咨询和6、监控与审查,两个内容贯彻4个基本步骤中
聊完这些,我们只知道ISMS是一个指导企业进行信息安全管理体系建设的一个指南标准,那么我们如何理解企业安全架构以及ISMS有什么区别呢?
- 首先需要了解企业安全架构是什么——企业安全架构是企业架构的一个子集,它定义了信息安全战略,这个战略包含各层级的解决方案、流程与制度;以及信息安全战略与整个企业的战略、战术与运营链接方式。
- 那么,就很明了了,ISMS是一个指南标准,主要为大而广的作为一个指南去指导企业做信息安全管理的方向,而企业安全架构是实际的落地,将指南的大大小小方向具体标准数据化、流程化、制度化。
若有收获,就点个赞吧
0 人点赞
