ISO27000体系认证
图片
您现在的位置:首页 >> 体系认证 >> ISO27000
ISO27001信息安全管理和内控体系
                                         发表时间:2010-10-16

  ISO27001信息安全管理和内控体系是个交集,关于两者的不同点,考虑了一些,如下:

  1、目的和关注点不同,内控涉及的信息系统范围和内容比安全管理体系(ISO27001)小。

  安全管理依据ISO27001是国际标准,是为了保障组织系统安全,关注整体信息系统的完整性、保密性、可用性。

  内控是为了满足美国证监会对上市公司财务报表数据真实性的要求,主要是针对与财务相关的系统,关注点在数据的真实性。

  安全管理主要涉及内容:

  信息安全方针

  组织安全

  资产分类管理

  人力资源安全

  物理和环境安全

  通信与操作管理

  访问控制

  信息系统的获取、开发和维护

  信息安全事故管理

  业务连续性管理

  符合性

  内控主要考虑的内容:

  对程序和数据的访问控制

  程序变更管理

  程序开发

  系统运行

  2、重合控制点的控制侧重不同。

  内控比较关注用户的管理、权限的控制、访问的审计等,这个和ISO27001关注的一些控制点有重合,不过在控制点里边,内控的要求侧重在数据真实的控制,偏重审计,防范技术手段和管理的脱节,内控更偏重于细节点。7799关注整体的安全管理,从体系的角度来考虑安全。

  3、安全管理体系和内控相互促进,两者的交集以要求高的为标准。



  上一篇:BS7799,ISO17799与ISO27001的关系                      下一篇:ISO27000中的PDCA四个阶段
线条
艾索LOGO
版权所有:广东艾索顾问 最专业的ISO9000,ISO9001,ISO14000,ISO14001认证咨询服务机构.
全国客服热线:400-681-9001  地址:深圳市宝安区福永大道福华大厦十一楼C区
邮箱:seoiso@126.com  邮编:518105
  1351116180  113961011