ISO27002 GBT22081标准的逻辑结构_什么是数据的逻辑结构

ISO27002 GBT22081标准的逻辑结构由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“什么是数据的逻辑结构”。

ISO27002/GBT22081标准的逻辑结构

在阅读、理解标准的过程中，往往会发现标准的章节有很多重复。还有很多比较费解。这是因为我们实际工作生活的情景与标准描述的情景存在距离，还有部分翻译的原因。

现在我简要的描述我对标准逻辑结构的理解，重点在比较费解的章节：

1． GBT 22080是对ISMS各个过程管理的要求。主要介绍了ISMS的运行

过程、管理承诺、介绍了文件控制、记录控制、内部审核、管理评审、持续改进的要求。

2． GBT 22081是风险评估和风险处理、各项具体控制措施的要求。

3． GBT 22081的第六章“信息安全组织”主要介绍的是内部信息安全的组织机构、职能职责分配和管理承诺，以及如何处理与内外部各相关方的信息安全关系。

4． GBT 22081的第七章“资产管理”比较好理解。关键区分3个概念：

信息、信息处理设施、信息资产。

5． GBT 22081的第九章“物理和环境安全”主要介绍的是工作场所的出

入控制要求、信息处理设施的管理要求。这里的“设备安全”是指实物的访问控制。设备上承载的信息的访问控制不在这个章节。

6． GBT 22081的第十章“通信和操作管理”主要介绍的是信息处理设施的操作管理规程。这里关键要把“操作”和“管理”分开。“操作”是给所有员工看的，是要求员工执行的。“管理”是组织对信息处理设施物理上的管理要求，主要是给管理者看的。

7． GBT 22081的第十一章“访问控制”主要介绍的是信息访问的控制策

略，是对管理者单方面意识和思路的要求。主要是给管理者和系统管理员看的，是要求管理者和系统管理员执行的。这里的 “11.3用户职责” 条款是例外，这是要求员工执行的。

8． GBT 22081的第十二章“信息系统获取、开发和维护”主要介绍的是

信息系统的采购、开发和维护。这里的关键是理解3个词。将“获取”理解为“采购”。“开发”包括为内部客户、外部客户开发。“维护”包括为内部客户、外部客户开发的信息系统的维护。

9． GBT 22081的第十四章“业务连续性管理”理解的关键是：信息安全

是业务连续性计划的一个组成部分，业务连续性计划不仅仅包括信息安全要求。