ISO27001适用于哪些行业？

适用于各种类型、规模和特性的组织（例如：商业企业、政府机构、非盈利组织等），规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。 一、适用于所有组织的特定风险类别： 1）工资、养老金、健康与安全、组织档案、内部和部门间的信息等； 2）任何其他与个人有关的可识别信息； 3）任何其他商业敏感/关键信息，例

ISO27001和等级保护标准的区别有哪些？

一、要求性质不同 等级保护相关要求主要是由《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）及《计算机信息系统安全保护等级划分准则》（GB17859-1999）及其他一系列政策、标准组成的。从性质上说，等级保护的要求属于国家法律、法规，是具有强制性必须要遵守的。 ISO27001是ISO27000信息安全管理体系标准族中对信息安全管理体系要求的标准，从性质上

ISO20000与CMMI配置管理的比较

ISO9001是一个公司级的管理标准，CMMI是研发活动的管理模型，ISO20000是运维服务的体系标准，三者专注不同的活动领域，经过咨询认证之后，组成企业管理体系。其中CMMI的22个过程与ISO2000的13个过程，都包含同一个过程配置管理过程。 ISO20000与CMMI都有配置管理，他们有什么差异性呢？接下来我们一起来比较一下： 1、服务范围。前者支持标准本身其它的12个过程，后者支持模型本身

ISO27001认证中常见的信息安全管理的漏洞

企业信息化的普及和网络技术的快速发展，企业规模越来越大，管理系统也越来越复杂。企业信息安全管理成为企业经营过程中日益突出的问题，为了保证企业信息的安全，企业采取了大量的措施去维护，购买了大量的信息安全产品，但是并没有从本质上改变信息安全管理的漏洞。企业安全管理的漏洞主要表现在以下几个方面： (1)信息安全系统散而孤立 有些企业虽然花费了大量

ISO27001认证如何与ISO20000融合？

将这两个体系作为一个整体的体系来建设，这样最终只有一套体系文件。主要思路是： ISO20000、ISO27001、ISO9001具有相同的文档体系结构：定义相同的体系文档结构，包括管理层承诺、目标、方针、组织架构、管理体系要求和PDCA等方面的要求，这种文档体系以满足标准的共同要求。 ISO20000和ISO27001在信息安全方面具有交叉内容，而ISO27001在信息安全方面完全覆盖ISO20000中信息安全的

ISO27001认证审核需关注信息安全产品采购及信息系统的运行维护

1、信息安全产品采购 （1）产品与服务提供准入要求。 ISO27001的认证审核员首先应熟知政府、行政主管机关最新发布的信息安全产品法律、法规以及相关产品标准要求，特别是资质、许可和涉密等方面的市场准入要求。其次，应把组织正在使用的信息安全产品与主管机构发布的最新测评注册公告进行对比，包括涉密资质、等级，以及产品测评、系统评估、服务资质测评和人员注册