实施ISO27001的经验总结

安全策略、目标的设置应符合业务目标；完善而平衡的测量体系将有助于信息安全管理体系ISMS的持续改进；由于ISMS的实施可能会涉及到组织结构和人员职责的变动，实施过程中要能够获得高管的支持与承诺、尽量保持原有组织文化、立足现在的组织分工与人员结构进行部署，并深化教育，避免由于强制推行信息安全管理体系ISMS引起实施阻力；风险是永远存在的，重点是组织是否

ISO27001认证审核中关于“适用性声明”的合理性的探讨

适用性声明是组织描述应用于ISO27001信息安全管理体系（ISMS）的控制目标和控制措施。在ISO27001《信息技术安全技术信息安全管理体系要求》标准3.16条款指出:与组织信息安全管理体系相关并适用于组织信息安全管理体系（ISMS）的控制目标和控制措施的文件化的陈述。控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同业务和组织对信息安全

ISO27040:2015数据存储安全管理体系标准总则

计算机数据存储或信息存储（通常称为存储）是指保留电子存储信息（ESI）或数字数据的计算机组件，存储元件，存储设备和存储介质。虽然存在易失性和非易失性存储形式，但ISO27040:2015国际标准主要涉及非易失性存储。存储是计算机的核心功能和基本组件。 要保护存储基础架构，必须清楚地了解存储技术和概念。 此外，安全控制的类型以及它们如何影响存储技术和与存储技术

ISO20000证书和ISO27001证书有三处区别

区别一： 1、ISO20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。 建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。 ISO20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。 2、ISO27001它规定信息安全管

ISO20000IT服务管理体系配置管理

IT服务能否满足业务运行的需求主要取决于企业IT基础设施的信息和运作情况,这些信息不仅包括某个特定项目的属性,还包括项目与项目之间关系的信息。 配置管理流程就是控制包括变更在内的其他流程引起的配置项修改是否被准确的记录下来,对配置项修改内容进行跟踪和比对,确保和变更计划内容一致,分析配置项被修改后给业务运行带来的影响。配置项的信息锚要根据变更的实

浅谈对管理层ISO20000现场审核的时间安排

对组织的ISO20000管理体系进行现场审核,审核组长要编制ISO20000审核计划,确定ISO20000审核时间顺序以及审核员分工。 目前,往往由ISO20000审核组长在第一时间先对管理层（最高管理者、ISO20000管理者代表）进行ISO20000审核,内容涉及ISO20000体系建立的概况、主导理念、ISO20000方针目标、职责权限、资源、管理评审、内审、改进等。 通过ISO20000审核实践,我们觉得把对管理层的审核放到最后