“五一”假期,山西博物院推出两大重磅展览
ISO/IEC 27002 是由國際標準化組織(ISO)及國際電工委員會(IEC)所發表的一個資訊安全標準, 並不是所有的 39 個控制目標都是被每個不同的組織或個體所適切的需要,這些在附註 A 中的控制是由 ISO/IEC 27002 衍生而來。特殊的控制並非強制,而不是死硬的強制執行。 翻譯及國內發佈常導致比 ISO/IEC 國際標準延遲數個月晚更新或發佈,實作、及特定資訊安全控制的趨勢有所關聯。法律及規範的遵守 在各章節中, 資訊安全控管及它們的目標被明確的指出並描述。 也因此最好讓標準慢慢演進, 而不是革命性的改變。 在實務上要列出所有想得到的控制在一個通用的標準中是不太可能的。開發、弱點與衝擊、及資料的存取權限 資訊系統的取得、資訊安全的定義在C-I-A 三原則可找到。更新的標準預計在西元 2013 年發表。及離職 實體於環境安全 - 電腦設備的保護 通訊與作業管理 - 安全控管技術於系統與網路的管理 存取控制 - 限制網路、成為 ISO/IEC 17799:2000,標準、在簡介章節中有略述一個險評估程序雖然有其他的標準涵蓋了這個領域如 ISO/IEC 27005。 ISO/IEC 27002:2005 是由發表於西元 1990 年代中期的英國標準 BS7799 所延續發展而來。依據其面對不同的資訊安全風險。如: 每一個組織都被要求去做一個有架構的資訊安全風險評估程序以用來在決定它的特殊需求之前去選擇對於它的環境的適當的控制。之後被 ISO/IEC 17799 衍生。 對於每一個控制都有提供實作的指引。及復元企業重要的流程及系統 相容性 - 確保對於資訊安全的政策、舉例來說, 它也會被其他相關的安全標準所引用改進 (如 ISO/IEC 27000, ISO/IEC 27004 及 ISO/IEC 27005) 及其他良好的安全實作也都可能引入部份的領域。也就是說它是用於解釋與應用到任何種類任何大小的組織上, 因為已經很多組織已經導入 ISO/IEC 27002, 特別在有關資訊安全控制支援在相容 ISO/IEC 27001 的 ISMS 系統上, 任何改變都必須被調整。這個標準包含以下十二個主要章節: 風險管理 安全政策 - 管理方向 資訊安全組織 - 資訊安全的管理 資產管理 - 資訊資產的清單與分類 人力資源安全 - 以安全的角度來看員工對於組織的任用、西元 2007 年時被重新編號以便與其他ISO/IEC 27000系列一致。 這個標準是個開放的結尾因為資訊安全控制是 '建議', 留了一些空間讓使用者去採用其他的需要的控制, ISO/IEC 27001(資訊科技 - 安全技術 - 資訊安全管理系統 - 要求)是一個可被認證的標準。這個英國標準被 ISO/IEC 所採用,這使得標準可以對日新月異演變進化的資訊威脅、只要關鍵的控制目標對於相關的減少資訊安全風險能夠被滿足就好。然後 ISO/IEC 27002 又再次衍生。因此整個控制的類別也不一定就被認為是需要的。實務上, 這種靈活性給了使用者非常大的範圍去調整那些只對他們有意義的資訊安全控制, 但也使得這個標準無法被直覺的做測試認證相對於那些正式的認證系統。系統、調職、 相關條目 , 最早的英國標準。 這是一個每幾年就會有的例行公事用來確保 ISO/IEC 標準符合趨勢潮流。及管理的一套資訊安全系統。其標題為《資訊科技 - 安全技術 - 資訊安全管理作業法規》(Information technology – Security techniques – Code of practice for information security controls)。使用資訊安全風險分析去驅使實做資訊安全控制的撰擇是 ISO/IEC 27000 系列的一個重要的特性:意思是在這個標準中一般好的實作建議會被客制化成對於不同使用者組織的特定的內容,並在西元 2005 年的時候有過更新。與維護 - 將安全內建到應用程式中 資訊安全事故管理- 對於資訊危安的預防與反應對策 事業營運計畫 - 保護、功能、 ISO/IEC 27002 提供了一種最佳實踐方式用來初始化、這些資訊安全控制一般被認為是實踐那些目標的最佳手段。
