(一)IS0/IEC 27000标准
IS0 27000信息安全管理标准最初起源于英国BS7799,是面向组织的信息安全管理体系国际标准
该标准系列由最佳实践所得并提出对于信息安全管理的建议,并在信息安全管理系统领域中的风险及相关管控
(二)PDCA模型
PDCA循环由美国质量管理专家休哈特提出,后由戴明采纳普及,又称戴明环。
(1)Plan(计划):包括方针和目标的确定,以及活动规划的制定。
(2)Do(执行):根据已知信息,设计具体的方法、方案和计划布局;再根据设计和布局,进行具体运作,实现计划中的内容。
(3)Check(检查):总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题。
(4)Action(处理):对总结检查的结果进行处理,对成功经验加以肯定,并予以标准化;对于失败教训也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环中去解决。
(三)管理和控制目标
- IS0 27001信息安全管理目标领域共计11项,即安全策略、安全组织、资产管理、人力资源安全、物理与环境安全、通信与运行管理、访问控制、信息系统获取开发与维护、信息安全事件管理、事务持续运行、符合性。
- IS0 27002根据IS0 27001的39个控制目标,给出了实施安全控制的要求。