ISO/I27002:2013是信息技术-安全技术-信息安全管理实践指南标准,该标准被分为14个章节。以下是每个章节的概述:
1. 介绍:介绍了本标准的目的、范围和术语。
2. 原则:概述了信息安全管理的七大原则。
3. 组织结构:描述了信息安全管理组织架构和角色职责。
4. 人力资源安全:指导信息安全管理者如何管理员工和供应商的信息安全。
5. 资产管理:指导信息安全管理者如何鉴定、分类、评估和保护公司重要的资产。
6. 访问控制:阐述如何确保只有授权人员才能访问敏感的信息。
7. 密码策略:介绍了密码的设计、分配、使用和维护的最佳实践。
8. 物理和环境安全:指导信息安全管理者如何保证设备、机房与物理环境的安全。
9. 运营保障:指导管理者如何保障设备运作、记录审查、备份还原、灾难恢复等。
10. 通信和运输安全:指导管理者进行网络、电子邮件、Web、远程接入等方面的安全管理。
11. 系统开发和维护:确保在设计、采购、开发和维护阶段均要考虑到信息安全问题。
12. 健康衡量与改进:指导信息安全管理者如何进行安全管理的衡量和改进。
13. 信息安全管理实践:列出了5个步骤,以执行适当的安全管理措施。
14. 参考:列出了该标准中引用的参考资料。
