如果加星标,可以及时收到推送
《安全到底》第205篇,锐安全总第298篇原创,
本文760字,阅读时长3分钟
关注“锐安全”公众号,后台回复:安全架构,你将获得《安全建设参考架构体系全景图》的PPT版本,里面每个模块都可以编辑修改,欢迎你来构建自己的“架构全景图”!
ISO/IEC27001跟ISO/IEC 27002是一对,要放在一起看。
它们其实是安全管理标准,类比国内的等级保护。因为安全行业提到它们的机会非常少,所以就放在了IT治理框架里来讨论。
我为什么会对ISO27001有印象?是因为我忘不了多年以前客户对我提起来时的自豪样子。
【1】一个ISO27001的真实故事
多年以前,有一个超大的民企客户,当我在跟他推销安全解决方案时,当谈到国内的等保体系时,他自豪地说:“我们并不过等保,因为已经过了ISO27001的认证了!”
看着它自豪的样子,我当时只有一个想法,ISO27001的标准一定比等保更严格,但是它是什么,我其实不知道。
【2】ISO27001系列家族
ISO/IEC 27001标准全称是《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,为公司提供建立、实施、维护和持续改进信息安全管理体系(ISMS,information security management systems)的指导。
ISO/IEC 27001是风险管理(risk management)、网络弹性(cyber-resilience)和卓越运营(operational excellence)的有效工具。
ISO/IEC 27002标准全称是《信息安全、网络安全和隐私保护-信息安全控制》,提供了与关键网络安全方面(包括访问控制、密码学、人力资源安全和事件响应)相关的最佳实践和控制目标。
ISO/IEC 27002分为四大控制目标:组织控制、人员控制、物理控制、技术控制。
虽然大家平时都说27001和27002,其实它们是一个大家族。
图:ISO27001家族
这个家族的标准涵盖了信息安全、网络安全、隐私保护里面的信息安全管理体系、信息安全控制、信息安全管理系统、信息安全管理、信息安全风险管理等五方面的内容。
看完了ISO27001,我至少有一个感觉:除非是别人要求你过,否则主动过一个ISO27001的认证,对于企业的安全建设来说,没有意义。
因为当年的那个客户,他自豪之后就向我抱怨:我们虽然过了ISO27001,但是依然不知道该如何才能更安全。
所以看完整个IT治理框架,整体感觉这些也仅仅是个知识点,拿来说说可以,拿来用的话,还是不太行。
今天,已经没有人再提ITIL和COBIT,已经很少有人再提起ISO27001,取而代之的是美国NIST系列和国标GB系列。
也许是它们更亲民吧。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
如果对我描述的安全世界感兴趣,可以翻翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”:
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]ISO/IEC 27001:2022,2022-10.https://www.iso.org/standard/27001
[2]ISO/IEC 27002:2022,2022-02.https://www.iso.org/standard/75652.html
题图:ISO
题图创作者:晓兵与AI小助手
算法提供:FLUX
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...