实施ISO27001的经验总结

安全策略、目标的设置应符合业务目标；完善而平衡的测量体系将有助于信息安全管理体系ISMS的持续改进；由于ISMS的实施可能会涉及到组织结构和人员职责的变动，实施过程中要能够获得高管的支持与承诺、尽量保持原有组织文化、立足现在的组织分工与人员结构进行部署，并深化教育，避免由于强制推行信息安全管理体系ISMS引起实施阻力；风险是永远存在的，重点是组织是否

ISO27001认证审核中关于“适用性声明”的合理性的探讨

适用性声明是组织描述应用于ISO27001信息安全管理体系（ISMS）的控制目标和控制措施。在ISO27001《信息技术安全技术信息安全管理体系要求》标准3.16条款指出:与组织信息安全管理体系相关并适用于组织信息安全管理体系（ISMS）的控制目标和控制措施的文件化的陈述。控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同业务和组织对信息安全

ISO27001+ISO20000认证方案的价值

ISO27001认证的范围有效期以及与ISO20000认证的方法有哪些？ ISO27001+ISO20000认证方案实现了ISO27001认证和ISO20000认证的交叉并行，既充分考虑到2个体系相互独立、互为补充的特点，又根据组织实际业务灵活地调度企业资源，加速企业ISO27001认证和ISO20000认证过程。 这样一体实施，避免重复实施，提高效率，有助于减少项目实施费用和实施周期。 全面整合，实现企业IT服务提高质量，降

ISO27001+ISO20000认证采用的六步法

1、现状调查，调查组织IT服务和信息安全管理现状，参考ISO27001和ISO20000标准对组织进行管理成熟度的评估，找出与ISO27001和ISO20000标准的差距、发掘组织的改善需求，共同明确实施的目标和范围。 2、培训导入，结合企业业务特点，开展多层次的ISO27001和ISO20000标准培训和研讨，导入ISO27001和ISO20000的管理思想和最佳实践。 3、体系定义，根据ISO27001和ISO20000标准设计IT服务管理框架并

ISO27001策划的具体工作有哪些？

在完成现状调查与风险评估工作之后，组织 要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持 续性计划。 组织信息安全结构与职责 组织信息安全结构确定是实施信息安全管理体系的基础与组织 安全的保证，在职责划分和编写体系文件之前，

浅析ISO27001附录A与适用性声明SoA的关系

从SoA的推荐形式可以看出，ISO27001:2013的附录A应理解为必须考虑的参考资料而不是必须执行管理要求。基于这样的认知，ISO27002:2013中对附录A的解释才显得合理。例如A.8.2.2信息的标记，说明有信息及相关资产的标记有时有负面作用。分级的资产容易被识别，从而被内部人员或外部攻击者窃取。，可见选取该控制项存在负面作用，应当依据具体的信息安全风险和相关的其它管理条件