ISO27001涉及的14個安全領域

　　1.信息安全方針和策略

　　依據業務要求和相關法律法規為信息安全提供管理指導和支持。

　　2.信息安全組織

　　建立一個管理框架，開展公司的信息安全工作。

　　3.人力資源安全

　　確保員工和外包方理解其職責，并履行信息安全職責，在任用終止時保護公司的利益。

　　4.資產管理

　　識別公司資產（主要指信息資產），將信息資產按照重要程度確定適當的防護級別。 確保存儲在介質中的信息資產不會泄露或破壞。

　　5.訪問控制

　　限制對數據信息和數據處理設施（如服務器）的訪問，保證授權用戶對系統和服務的訪問，并阻止未授權的訪問。

　　6.密碼

　　有效地使用密碼技術以保護數據信息的保密性、真實性、完整性。

　　7.物理和環境安全

　　阻止對數據信息和信息處理設施的未授權物理訪問、損壞和干擾。防止資產的丟失、損壞、失竊或危及資產安全、業務連續性。

　　8.操作安全

　　確保正確、安全的操作信息處理設施（網絡設備、服務器等）。 確保采用技術手段防范惡意代碼（如病毒等）。 備份防止數據丟失 ， 采用日志和監視手段，記錄事態并生成證據。 確保運行系統的完整性。 防止對技術脆弱性的利用，使審計活動對系統運行的影響*小化。

　　9.通信安全

　　網絡及其支持性信息處理設施中的數據信息應得到保護。 保證在公司內、外傳輸數據信息的安全。

　　10.系統獲取、開發和維護

　　信息安全是信息系統整個生命周期中的一個有機組成部分，信息安全在信息系統開發生命周期中應有相應的設計和實施。 用于測試的數據應得到保護。

　　11.供應商關系

　　確保供應商可訪問的信息資產受到保護。 保持與供應商協議一致的信息安全服務交付。

　　12.信息安全事件管理

　　采用有效的方法對信息安全事件進行管理，包括對安全事件和風險的溝通。

　　13.業務連續性管理

　　將信息安全連續性納入公司業務連續性管理之中。 使信息處理設施（如業務系統）具有足夠的冗余以滿足可用性要求。

　　14.符合性

　　避免違反與信息安全有關的法律、法規、規章或合同義務以及任何安全要求。開展信息安全評審 ，確保依據組織方針策略、規程開展信息安全工作。

　　一下子要建立這么多控制規程，并非易事，規模大的單位花一年至兩年的時間才能建設完善，也是常見的。公司規模小，也可以參考這套體系建立自己的信息安全管理制度，可以加強對安全工作的整體把握。