ISO/27001：2005的再认识和体会

信息化已经深入到企业的生产、经营、管理等各个领域,信息化对电力企业的核心价值链起着支撑的作用。因此,提高信息安全,实现企业的可持续性发展,已经迫在眉睫。根据金华电业局对ISO/ 27001:2005标准的实践,对其进行了总结和再认识,阐述了企业开展信息安全贯标的重要意义,对贯标过程中的关键环节进行了探索,希望能对今后开展信息安全管理体系建设的同行有所借鉴。

基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系构建研究

文章从高校图书馆面临的信息安全风险入手,阐述了高校图书馆信息安全的需求;基于需求,全面研究了最新的"ISO/IEC 27001:2013"国际信息安全管理标准在高校图书馆中的适用性;由此提出了"基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系框架";并指出信息安全管理体系构建应遵守"投资与风险平衡"、"技术与管理平衡"、"信息系统建设与信息安全管理体系建设同步"的原则,认为信息化会不断拓展和深化,信息风险会永恒存在。

ISO/IEC 27001与ISO/IEC 27002标准的演变

本文按照时间顺序梳理了ISO/IEC 27001和ISO/IEC 27002的发展过程,其中包括这两个标准成为国际标准的开发过程以及被等同采用为我国国家标准的过程。

基于ISO 27001:2005的电网公司信息安全管理

随着信息化的持续推进,电网企业的信息安全问题越来越突出。嘉兴电力继2004年引入ITIL服务管理以后,2006年又实现了信息安全的标准化管理,介绍了公司通过引入ISO/IEC 27001:2005,建立一体化的企业级信息安全管理体系的方法。

ISO 27001在组织机构代码服务中的应用研究

本文对信息安全管理体系、山东组织机构代码开展信息安全管理体系工作中取得的成绩以及下一步工作建议进行了探讨。

网络安全等级保护标准与ISO 27001对比分析

通过对比分析等级保护标准和ISO 27001两组标准的管控对象、管控要求、整改要求等,得出在实际工作中的实施建议,更好地促进标准的准确实施,提升网络安全管控水平,满足监管要求。

ISO/IEC 27001:2013概述与改版分析

本文简要介绍了ISO/IEC 27001:2013,并分别按正文和附录A与ISO/IEC 27001:2005进行了对比,总结了其主要的变化之处,可以作为已经部署信息安全管理体系(ISMS)的用户作为升级参考。

ISO/IEC 27000, 27001 and 27002 for Information Security Management

With the increasing significance of information technology, there is an urgent need for adequate measures of information security. Systematic information security management is one of most important initiatives for IT management. At least since reports about privacy and security breaches, fraudulent accounting practices, and attacks on IT systems appeared in public, organizations have recognized their responsibilities to safeguard physical and information assets. Security standards can be used as guideline or framework to develop and maintain an adequate information security management system (ISMS). The standards ISO/IEC 27000, 27001 and 27002 are international standards that are receiving growing recognition and adoption. They are referred to as “common language of organizations around the world” for information security [1]. With ISO/IEC 27001 companies can have their ISMS certified by a third-party organization and thus show their customers evidence of their security measures.

基于ISO 27001的自然资源信息安全体系建设研究

随着自然资源信息化应用的不断深入,信息安全时刻面临着风险,信息安全的重要性也越来越突出。目前,信息安全保障措施繁多,但传统单一的信息安全保障手段已无法满足自然资源信息安全管理需求。为解决上述问题,本文分析了自然资源信息安全管理存在的问题,阐述了ISO 27001标准的适用性,并依据该标准构建了自然资源信息安全体系。体系的成功运行提升了信息安全管理规范性,健全了信息安全防御机制,有效规避了风险,为自然资源信息安全管理工作提供了思路。

基于ISO 27001的智能网联车企信息安全管理体系建设探讨

汽车行业的智能化、网联化是大势所趋。产品层面的信息安全性、可靠性和企业管理层面的信息安全,数据隐私保护。这些都是摆在设计、工程人员面前的一个严峻的课题。本文将以ISO 27001信息安全管理体系为切入点,结合国内外标准化发展进程和企业管理现状来进行关于信息安全管理体系建设的探讨。

基于ISO 27001的宝信eCop认证分析

通过研究ISO 27001的目标、措施和当前我国信息安全的现状,指出建设信息安全管理体系的主要任务在于建立安全的内网环境。宝信eCop内网安全产品在访问控制、保障终端运行安全、防范违规行为、事件响应、审计监督等方面给企事业单位面临的风险提供了解决方案。

基于ISO、IEC 20000&27001体系认证的高校信息安全服务优化研究

随着教育信息化的升级,如何保障高校的信息安全及服务,是一个值得探究的问题。ISO/IEC 20000&27001体系认证,可以帮助高校弥补信息安全漏洞,制定安全完善的信息化管理体系。文章通过对山西大学认证过程的研究,探讨如何将ISO/IEC 20000&27001标准与高校信息安全建设相融合,真正帮助高校提升信息安全及信息服务能力。

Developing an Abstraction Framework for Managing and Controlling Saudi Banks’ Cybersecurity Threats Based on the NIST Cybersecurity Framework and ISO/IEC 27001

Saudi Arabian banks are deeply concerned about how to effectively monitor and control security threats. In recent years, the country has taken several steps towards restructuring its organizational security and, consequently, protecting financial institutions and their clients. However, there are still several challenges left to be addressed. Accordingly, this article aims to address this problem by proposing an abstract framework based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework and International Organization for Standardization/International Electrotechnical Commission (ISO/IEC 27001). The framework proposed in this paper considers the following factors involved in the security policy of Saudi banks: safety, Saudi information bank, operations and security of Saudi banks, Saudi banks’ supplier relationships, risk assessment, risk mitigation, monitoring and detection, incident response, Saudi banks’ business continuity, compliance, education, and awareness about all factors contributing to the framework implementation. This way, the proposed framework provides a comprehensive, unified approach to managing bank security threats. Not only does the proposed framework provide effective guidance on how to identify, assess, and mitigate security threats, but it also instructs how to develop policy and procedure documents relating to security issues.

新版ISO 27000要求下的数字图书馆信息安全管理

文章对比了2013版与2005版ISO27 000标准族的差异,分析了新老标准变化对数字图书馆信息安全风险评估和风险控制的影响,指出数字图书馆信息安全的风险评估可延用2005版的方法与模型,并在对数字图书馆信息安全风险控制核心控制要素和参考控制要素逐一分析的基础上,构建了符合新版标准要求的数字图书馆信息安全风险控制方法。

ISO/IEC信息安全管理标准在电网企业中的应用

随着信息技术被广泛地应用于电力行业,信息已经成为现代供电企业的一种重要资产,网络与信息安全问题越来越引起人们的关注。解决网络与信息安全问题不仅要从技术方面着手,同时更应加强其管理工作。嘉兴电力引入ISO/IEC17799和ISO/IEC27001这2个信息安全管理标准,对网络与信息安全进行全面规划,建立信息安全管理体系,通过系统的信息安全管理方法来实现信息安全的可控、能控、在控,成效显著。

信息安全管理系列之二十五 截至2016年底ISO/IEC 27000标准族的进展(下)

本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27031之后的标准开发进展情况,这些标准主要关注ISO/IEC 27001:2013附录A中不同的控制域。

截至2016年底ISO/IEC 27000标准族的进展(上)

本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27030之前的标准开发进展情况,其中ISO/IEC 27000至ISO/IEC 27008主要与信息安全管理体系相关,ISO/IEC 27009及其之后,主要为分行业的应用。

2017年ISO/IEC 27000标准族的进展

介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2017年改版和新增的标准。

信息安全管理系列之六十 2019年ISO/IEC 27000标准族的进展

介绍了ISO/IEC27000标准族的最新开发进展,尤其是2019年改版和新增的标准。

2020年ISO/IEC 27000标准族的进展

介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2020年改版和新增的标准。