Cargando…
Cargando
Preparando la información solicitada…
"安全不是靠购买的防火墙来衡量的,而是靠用证据验证的控制来衡量的。"Fernando Arrieta — ISO/IEC 27001主任审计员
适用对象
谁需要安全审计?
CISO和安全团队
他们需要验证声明的控制在实践中有效。审计将安全感知转化为可审计的记录。
管理层和风险委员会
他们需要了解信息保护的真实水平和监管合规的状态。没有不必要的技术术语。
追求认证的组织
准备ISO 27001认证审计或年度监督审计。他们需要在认证机构到访之前确保符合性。
领域
信息安全审计的内容
每个ISMS必须用证据覆盖的六个关键领域——而非意图。
安全治理
政策、角色、领导力和管理承诺。组织背景和ISMS范围。
风险管理
安全风险的识别、评估和处理。接受标准和文档化的处理计划。
访问控制
身份管理、最小权限、多因素认证和定期权限审查。
数据保护
加密、分类、数据生命周期、备份和安全销毁。扩展到隐私(ISO 27701)。
事件管理
检测、响应、升级、通知和经验教训。利益相关方沟通计划。
连续性和韧性
业务连续性计划、灾难恢复、定期测试和可用性指标。
监管框架
参考框架和标准
- 01
ISO/IEC 27001:2022。 信息安全管理系统的国际标准。93项控制,分为4类。每项严肃安全审计的基础。
- 02
ISO/IEC 27701:2019。 个人信息隐私管理(PII)的扩展。对在受监管环境(GDPR、LGPD)中处理个人数据的组织日益重要的要求。
- 03
ISO/IEC 27005。 信息安全风险管理指南。ISO 27001所要求的风险处理的必要补充。
- 04
NIST网络安全框架。 面向北美市场的组织的补充框架。识别五个功能:识别、保护、检测、响应、恢复。
常见问题
信息安全:管理层问什么
什么是ISMS,为什么需要它?
基于ISO/IEC 27001的ISMS(信息安全管理系统)是一套保护信息机密性、完整性和可用性的政策、流程和控制。它不是防火墙或软件——而是具有可审计证据的管理系统。
ISO 27001和ISO 27701有什么区别?
ISO 27001保护一般信息安全。ISO 27701将该系统扩展到专门涵盖个人数据隐私(PII)。如果您处理个人数据,您需要两者。ISO 27701作为已认证ISMS的扩展来实施。
安全审计需要多长时间?
基于ISO 27001的差距诊断在2-4周内交付。现有ISMS的完整内部审计根据范围需要4-8周。重要的是证据的质量,而非速度。
信息安全是否涵盖AI?
部分涵盖。ISO 27001涵盖适用于AI系统的访问控制、加密、事件管理和连续性。但对于特定的AI治理,需要ISO/IEC 42001作为补充。信息安全是必要条件但不是充分条件。
如果我们什么都没有实施怎么办?
从差距诊断开始:根据ISO 27001附录A的93项控制评估当前状态,识别最关键的风险,并定义优先路线图。不需要事先认证即可开始。
Acreditaciones y membresías institucionales
