理解ISO27001的理论与方法—与信息安全等级测评的相关联

信息安全行业总结规范与交流 1 / 35 理解ISO27001的理论与方法 ——与信息安全等级测评的相关联内容 地址：广东省广州市 工作状态：寻求职位 之前从事行业：信息安全行业、系统集成行业和信息安全等级测评 编写时间：2012年 2月 24日 信息安全行业总结规范与交流 2 / 35 目录 一、 前言 ................................................................................................................................... 3 二、 ISO 27001总体概述 ........................................................................................................ 3 三、 ISO 27001具体内容 ........................................................................................................ 3 四、 信息安全等级测评概述 ................................................................................................. 17 五、 信息系统等级保护（三级系统为例讲述管理部分） ................................................. 18 六、 信息安全等级保护安全管理部分 ................................................................................. 18 七、 总结 ................................................................................................................................. 35 信息安全行业总结规范与交流 3 / 35 一、 前言 本书参考一些标准和书籍，然后经过自己的汇总和整合而形成的，同时，本文档的内容不能用于商业用途，只能网上交流。同时，如发布商业用途，所造成的后果自己负责。 二、 ISO 27001总体概述 章节 控制范围（11个） 控制目标（39个） 控制方法（133个） A5 信息安全策略 1 2 A6 信息安全组织 2 11 A7 资产管理 2 5 A8 人力资源安全 3 9 A9 物理和环境安全 2 13 A10 通讯与操作管理 10 33 A11 访问控制 7 25 A12 信息系统采集、开发和维护 6 16 A13 信息安全事故的管理 2 5 A14 业务连续性管理 1 5 A15 符合性 3 9 三、 ISO 27001具体内容 序号 控制范围 控制小点分类 控制目标 （内容） 控制方法 具体控制的内容 1 A5) 信息安全策略 A5.1) 信息安全策略 A5.1.1) 为 信息安全提 供 符合业务 需求 和相 关法律 、 法规，提供管...