简称:ISO 27001:2013
相对于质量、环境和职业健康安全灯管理体系,信息安全属于技术密集型领域。从信息的整个生命周期来看,数据与信息的采集、处理、传输、交换、存储、检索和销毁等都属于信息技术的范畴。信息安全则包含于信息整个生命周期中的每个环节,涉及较多的技术领域,包括计算机硬件技术、软件技术、网络技术、传感技术、智能控制技术、编程技术、数据库技术、密码技术、身份识别技术、灾备技术、物理安全技术以及信息安全技术等。
信息安全管理过程中,很多涉及“隐蔽过程”,其安全控制措施实施的有效性需要通过专业的检测手段才能验证出来。如撤销访问权、变更管理、控制恶意代码、信息备份、外部连接的用户鉴别、网络连接控制、安全登录规程、用户标识和鉴别、口令管理系统、信息访问限制、输入数据确认、对程序源代码的访问控制、技术脆弱性的控制等,在《信息安全管理系统认证机构要求》中也对以上技术控制提出进行系统测试的要求。
