【牛奶】評論

ISO/IEC 27001其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》（Information technology — Security techniques — Information security management systems — Requirements）是資訊安全管理的國際標準ISO/IEC 27001設計包括的範例不只是IT部門而已， ISO/IEC 27001會要求進行以下的管理：系統性地檢驗組織的資訊安全風險，考慮其威脅、弱點以及影響。設計、實現連貫而且全面的資訊安全控管套件，並且／或者其他的風險管理方案（例如風險避免或風險轉移）來處理無法接受的風險用總體管理的流程，在現有的基礎上，確認資訊安全管理控管可以持續的符合組織的資訊安全需求。ISO/IEC 27001:2013分為以下10章，以及一個很長的附錄：1. 此標準範圍2. 如何參考此文件3. 重新使用ISO/IEC 27000中的詞語及定義4. 組織環境及利益相關者5. 資訊安全領導及高層的政策支持6. 資訊安全管理系統的計劃：風險評估，風險處置7. 資訊安全管理系統的相關支持8. 如何讓資訊安全管理系統可以正常運作9. 審核系統的性能10. 矯正措施