无论组织运营的部门如何,无论规模大小,它都会在自身内部生成信息,每条信息都是有价值的。 虽然为了保护信息而开展的活动和这些研究的范围根据组织的特点而有所不同, 信息安全管理系统将具有以下范围:

  • 安全政策:组织的最高管理层, 信息安全 要遵循和解释的政策。
  • 信息分类:应对信息资产进行盘点,并确定其重要性。
  • 确保人员安全:本研究可以防止员工犯错误并最大限度地降低信息滥用的风险。
  • 确保物理安全:尽量减少对信息源的攻击以及信息损坏或更改的风险。
  • 确保操作安全:计算机系统应足够可靠。 此外,必须不断开发这些系统。
  • 控制对信息的访问:只有获得授权的人才能访问该信息。
  • 确保事件发生时的快速响应:应根据发生安全漏洞的方式及时快速地做出响应。
  • 确保工作的连续性:对信息的攻击不应该中断组织的主要工作,并且应该能够非常快速地恢复到正常环境。
  • 合规性:信息安全管理系统必须达到足以满足法规要求的水平。

与普遍看法相反,信息安全管理系统不仅是组织中信息技术的一个项目。 该系统是涉及整个组织的信息安全项目。 因此,最高管理层不负责建立和运行该系统,而是负责数据处理单元。

虽然信息安全管理系统似乎与信息处理单元有关,但它实际上与组织的所有单元和过程有关。

这些误解可能受到尚未制定信息安全法律规定这一事实的影响。 建立信息安全管理体系 由于没有义务,信息安全管理并未像预期的那样在公共机构或私营部门中普及。

有关ISO 27001信息安全管理系统标准范围的更多信息,请联系TURCERT认证机构的经验丰富的经理和员工。