ISO 27006“信息技术 - 安全技术 - 提供信息安全管理体系认证的机构的认可要求”规定了 ISMS 认证机构的认可要求,并涉及 ISMS 认证流程的细节。
ISO 2700x系列标准预计将包括ISO标准27000至27019和27030至27044。本系列中的所有标准涉及安全管理的各个方面,并与 ISO 27001 的要求相关。其他标准旨在有助于更好地理解 ISO 27001 和实际适用性。例如,ISO 27011 解决了电信服务提供商的要求和挑战,ISO 27019 专门解决了能源提供商的要求和挑战。
识别、分析和考虑安全相关事件以及制定和实施适当的保护措施是 ISMS 的核心点之一。有以下特点:
处理风险、漏洞和安全漏洞,
提供指导方针和指示,
规划和实施具体的安全措施,
对各种产品、服务或结构的审查,包括通过审计和
职责分配。
根据ISO标准,ISMS的特征包括14个安全主题,从而产生35个行动目标和总共114个安全要求。
职责范围还包括管理组织的任何类型的资产。这包 外汇电子邮件列表 括信息、软件、计算机程序、计算机、服务、员工及其资格、技能、经验等有形资产以及声誉和声誉等无形资产。
指导方针或指南是管理层正式发布的一般意图和指示。这些应该建立在适当的经验和专业知识的基础上,并与每个相关人员进行协调。流程是相关或交互活动的序列,它们根据定义的输入提供特定结果。程序被定义为解释应如何执行活动或过程的预定方式。
与公司目标的直接联系旨在使管理决策更容易并创造透明度。作为风险管理的扩展 ISMS 为管理层提供了重要的信息和评估。
甚至联邦信息安全办公室 (BSI) 的年度 IT 安全形势报告也说明了各种新的攻击技术和场景以及恶意软件变体。除了成功的技术攻击,例如分布式拒绝服务(DDoS)攻击、恶意软件攻击、网络钓鱼、勒索软件以及利用现代处理器架构的攻击之外,还包括身份盗窃、僵尸网络和其他社会工程攻击等最严重的攻击方式。
各个行业和领域的人工智能(AI)趋势也在不断增强。在信息安全方面,人工智能可以帮助自动检测和对抗攻击,但它本身也可能被误用为攻击工具。 IT 专家应不断分析这些技术和其他技术,并评估潜在威胁。企业面临的威胁不仅严重,而且在很短的时间内就会增加。因此,通过超越标准的专业知识扩展 ISMS 可以创造竞争和成本优势。