討論區主頁 資訊安全管理 ISO 27001:2013 Annex A 的運用 | 無發表權 |
全部展開 | 前一個主題 | 下一個主題 |
發表者 | 討論內容 |
---|---|
tyrone | 發表時間: 2014-02-09 15:21 |
網站管理員 註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
ISO 27001:2013 Annex A 的運用 ISO 27001:2013的Annex A與2005年版不同之處在於,雖然在2013依然Annex A下標示(normative)[意指其屬規範],但其原因應該是他與6.1.3綁在一起,而標準本文的4-10節為requirements,所以Annex A也被當成"規範"。但其用法,應該依據27001:2013標準6.1.3節內容揭示的步驟來使用,這個很重要,否則,就會跟2005年版一樣,不分青紅皂白,做了一缸子的控制措施(在2005年版中,能夠豁免的控制措施少之又少。這個問題,一方面也是因為2005年版中的資訊安全風險管理過程,是從資訊資產的識別開始做起,而不是從組織的全貌(SWOT)入手),整個組織花了很多錢,搞得人仰馬翻,但對於事業的績效沒有幫助。
凡所有相皆是虛妄。見諸相非相。即見如來。 |
全部展開 | 前一個主題 | 下一個主題 |
主旨: | 發表者 | 日期 |
---|---|---|
» ISO 27001:2013 Annex A 的運用 | tyrone | 2014-02-09 15:21 |
無發表權 | |