iso27001的涉及领域

信息安全方针和策略。依据业务要求和相关法律法规为信息安全提供管理指导和支持。

信息安全组织。建立一个管理框架，开展公司的信息安全工作。

人力资源安全。确保员工和外包方理解其职责，并履行信息安全职责，在任用终止时保护公司的利益。

资产管理。识别公司资产（主要指信息资产），将信息资产按照重要程度确定适当的防护级别。 确保存储在介质中的信息资产不会泄露或破坏。

访问控制。限制对数据信息和数据处理设施（如服务器）的访问，保证授权用户对系统和服务的访问，并阻止未授权的访问。

密码。有效地使用密码技术以保护数据信息的保密性、真实性、完整性。

物理和环境安全。阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。

安全管理体系的介绍

安全管理体系，顾名思义就是基于安全管理的一整套体系，体系包括硬件软件方面。软件方面涉及到思想，制度，教育，组织，管理；硬件包括安全投入，设备，设备技术，运行维护等等。构建安全管理体系的最终目的就是实现企业安全、高效运行。

ISO 27001认证过程通常分为三个阶段：

1.该组织聘请认证机构，然后对ISMS进行基本审核，以查找主要的文档形式。

2.认证机构进行了更深入的审核，其中根据组织的ISMS对ISO 27001的各个组成部分进行了检查，必须提供证据表明政策和程序已得到适当遵守。首席审核员负责确定是否获得认证。

3.计划在认证机构和组织之间安排后续审核，以确保对合规性进行检查。

保持ISO 27001符合性的提示

获得最初的ISO 27001认证只是完全合规的第一步，保持高标准和最佳实践通常是组织面临的挑战，因为员工在完成审核后往往会失去努力。领导者有责任确保不会发生这种情况。

考虑到新员工加入公司的频率，组织应每季度举行一次培训课程，以便所有成员都了解ISMS及其使用方式，还应要求现有员工通过年度测试，以加强ISO 27001的基本目标。

应该与组织内的利益相关者组成一个ISO 27001工作队。该小组应每月开会，审查所有未解决的问题，并考虑更新ISMS文档，该工作组的一项成果应该是合规性检查表，如下所示：

获得所有ISO 27001活动的管理支持。

将符合ISO 27001的项目视为正在进行的项目。

定义将ISO 27001应用于组织的不同部门的范围。

编写和更新ISMS策略，从总体上概述您的网络安全策略。

发现问题后，定期进行风险评估和处理。

撰写适用性声明，以确定哪些ISO 27001控件适用。

编写风险处理计划，以便所有利益相关者都知道如何缓解威胁，使用威胁建模可以帮助完成此任务。

定义控件的度量，以了解ISO 27001最佳实践的执行情况。

实施ISO 27001标准中概述的所有控制和强制性程序。