文件名称:信息安全需求来自哪里-iso27001信息安全管理体系讲义
文件大小:578KB
文件格式:PPT
更新时间:2024-05-13 19:37:33
iso 信息安全
信息安全需求来自哪里 (1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。