ISO27001认证标准的11大控制领域

1.信息安全政策-管理层应明确信息安全目标，制定可操作的安全管理策略，为信息安全提供管理指导和支持。

2.信息安全组织——在组织内建立信息安全组织。管理与第三方有关。以及外包管理安全问题。

3.资产管理-对与信息技术相关的资产进行分类，加强与信息技术相关的资产分类管理，对这些资产的价值和重要性进行分类和识别，并采取不同的安全措施保护这些资产。

4.人力资源安全——明确招聘、就业、辞退过程中涉及的信息保密等安全问题，加强员工信息安全培训教育，提高员工安全意识，降低人为错误、盗窃、欺诈或滥用信息和处理设施的风险。

5.物理和环境安全-分析安全威胁源，划分物理安全区域，加强后台计算机服务器和用户桌面计算机的保护，防止水、火、盗窃、雷电、电力供应、化学腐蚀等因素造成的安全威胁，制定计算机设备引进、日常运行、销毁处理程序和方法。

6.通信与操作管理-覆盖应用系统的日常操作和维护程序、服务水平管理、网络管理、存储介质管理、恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等。，以确保信息处理设施的正确和安全运行。

7.访问控制-定义用户访问控制策略，管理用户访问过程，包括网络访问控制、操作系统、应用系统、移动设备和远程工作设备。

8.系统的获取、开发和维护——明确应用系统的安全要求，包括输入数据验证、输出数据验证、业务处理过程验证、传输数据验证等。；确定加密控制方法，包括加密。数字签名。不可否认的服务。密钥管理和其他控制方法；确定系统文件的安全保护方法和开发和支持过程的安全管理方法。确保将安全纳入信息系统的整个生命周期。

9.信息安全事件管理-确保安全事件发生后有正确的处理流程和报告方法。

10.业务可持续性管理-定义业务可持续性管理过程、业务可持续性和影响过程分析、制定和实施可行的业务可持续性计划、定期测试、维护、演练和重新评估业务可持续性计划。防止业务活动中断，保护关键业务流程免受重大故障或灾难的影响。

11.符合性——识别现有适用的法律法规，保护个人信息隐私；使用合法的。正版系统软件和应用软件；加强计算机安全审计，确保技术和安全策略的合规性。避免违反任何刑法和民法。法律法规或合同义务以及任何安全要求。