ISO20000认证体系信息安全管理的控制

ISO20000认证系统信息安全管理如何控制？本文摘要介绍了ISO20000认证体系信息安全管理的内容、概念、要求和信息安全控制，供企业参考。
ISO20000认证系统信息安全管理要求内容INTENTOFTHEREQUIREMENTS。
在信息安全管理过程中，应确保信息安全控制措施能够保护信息资产，同时，新的、变更的服务设计和转换应考虑信息安全要求。

CONCEPTSISO2000认证系统信息安全管理概念。
信息安全应该是一系列政策和程序的结果，以识别、控制和保护组织信息及其在存储、传输和处理过程中所需的资源。
管理层应确定清晰明确的信息安全管理目标，并与业务需求一致。
服务提供者应根据信息资产的价值、机密性或业务影响进行分类。对于每种资产，服务提供商和客户应确定并达到可接受的风险等级。
ISO20000认证系统信息安全管理要求说明EXPLANATIONOFREQUIREMENTS。

ISO20000认证系统信息安全政策Informationsecuritypolicy。
服务需求、法律法规要求和合同要求是信息安全政策形成的基础。政策应指导物理、管理和技术信息安全控制措施的使用，以保护信息资产的安全，如机密性、完整性和可访问性。同时，政策应由负责SMS和服务的管理人员批准。
信息安全策略的范围应包括但不限于必要的物理、管理和技术控制，以确保SMS范围内信息资产的机密性、完整性和可访问性。信息安全政策的范围可能超过SMS的范围，以满足业务需求。

管理层应确保个人、客户供应商和内部团队不仅能够充分理解政策的内容，而且肯定坚持政策的重要性。
管理层还应确保信息安全政策是风险评估和信息安全审计的一部分。
信息安全政策应为制定风险接受准则和管理识别的信息安全风险提供指导，如密码管理。
信息安全政策应确保信息安全内部审计的定期实施，如信息安全漏洞、新的和变更服务的部署。
信息安全政策应确保定期评估信息安全审计结果，以确定信息安全改进的机会。例如，纠正信息安全审计中发现的弱点。
注意具有专业信息安全职责的人会发现熟悉ISO/IEC27002、Informationtechnogy-Securitytechniques-Codeofpracticeforinformationsecuritymanagement非常有帮助。这个国际标准包括安全策略的内容。

ISO20000认证系统信息安全控制Informationsecuritycontrols。
信息安全控制应确保信息安全管理目标的实现和信息安全风险的管理。信息安全控制包括物理控制、管理控制或技术控制。
服务提供者应确保控制措施文件化，并描述相关风险和风险应对策略。服务提供者还应确定评估控制的权限和责任，以及评估周期。服务提供者还应确定信息安全控制，以管理需要访问、使用或管理组织信息或服务的外部组织或个人。