ISO20000认证体系信息安全管理的控制

如何实施ISO20000认证体系信息安全管理的控制呢？本篇摘要介绍ISO20000认证体系信息安全管理内容、概念、要求和信息安全控制以供实施ISO20000认证体系企业参考。

ISO20000认证体系信息安全管理要求内容 INTENT OF THEREQUIREMENTS
信息安全管理过程应确保信息安全控制措施能保护信息资产，同时，新的和变更的服务的设计与转换应考虑信息安全需求。
ISO20000认证体系信息安全管理概念 CONCEPTS
信息安全应是一系列方针和程序的结果，以识别、控制和保护组织的信息及其在存储、传送和处理过程中所需的资源。
管理层应确定清晰且明确的信息安全管理目标，并与业务需求相一致。
服务提供者应根据信息资产的价值、机密性或业务影响对其进行分类。对于每类资产，服务提供者和客户应确定并达成风险可接受等级。
ISO20000认证体系信息安全管理要求说明 EXPLANATION OFREQUIREMENTS
ISO20000认证体系信息安全政策Information security policy
服务需求、法律法规要求和和合同要求是形成信息安全方针的基础。方针应指导物理的、管理的和技术的信息安全控制措施的使用以保护信息资产的安全，如机密性、完整性和可访问性。同时，方针应由对SMS和服务负责的管理人员批准。
信息安全策略的范围应包括但不限于必需的物理的、管理的和技术的控制，以确保SMS范围内信息资产的机密性、完整性和可访问性。信息安全方针的范围可能超越SMS的范围以满足业务需求。
管理层应确保个人、客户供应商和内部团队不仅能充分理解方针的内容，而且要对坚持遵守方针的重要性予以肯定。
管理层还应确保信息安全方针作为风险评估和信息安全审计时的一部分。
信息安全方针应为制定风险接受准则和管理所识别的信息安全风险提供指导，如口令管理。
信息安全方针应确保定期执行信息安全内部审核，如信息安全漏洞，新的和变更的服务的部署。
信息安全方针应确保对信息安全审核结果进行定期评审，以识别信息安全改进机会。如，改正在信息安全审核中发现的弱点。
注：具备专业信息安全职责的人员会发现熟悉ISO/IEC27002,Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement.是很有帮助的。此国际标准包括关于安全策略的内容。
ISO20000认证体系信息安全控制Information securitycontrols
信息安全控制应保证实现信息安全管理目标，同时管理信息安全风险。信息安全控制包括物理控制、管理控制或技术控制。
服务提供者应确保控制控制措施文件化，且描述了相关风险及风险应对策略。服务提供者也应确定评审控制的权限和责任，及评审周期。服务提供者也应确定信息安全控制以管理需要访问、使用或管理组织信息或服务的外部组织或个人。