信息安全目标在ISO/IEC 27001: 2005中就已经讲述的很清楚了
2018-04-16 15:04:33 | 来源:中培企业IT培训网
86在5.1 a)中是确保建立了信息安全方针和目标。这里是建立,也就是说确定信息安全方针的责任。
87此处“恰当的”用词为appropriate,适当的、适合的、恰当的。注意,信息安全方针的最终目的还是实现组织目标,因此必须对组织目标而言,这个方针(其实就是信息安全的战略)必须是适合的。
88信息安全目标在ISO/IEC 27001: 2005中就已经讲述的很清楚了。
89 Purpose和objective都是目标。purpose既指以坚决、审慎的行动去达到的目的,又指心中渴望要实现的目标,objec-tive与object基本同义,指具体或很快能达到的目的。
90或者后面是新的变化,provides the framework for setting information security objectives,这个提醒很重要。在实际的应用中,最开始就确定信息安全具体目标其实是困难的,例如,信息安全事件年发生率低于多少次?服务器宕机时间低于多长时间?这些问题在设计的最开始,尤其是缺乏历史数据的情况下,很难有准确的目标。但是框架应该是确定的,就是我们到底要考核哪些指标,对哪些参数设置目标是必须先确定的,只有确定了这些指标,才能为后续的工作实践确立方向。set,我们此处翻译为“布置”,有自上而下的含义。
91这里“适当的”用词为applicable。注意跟appropriate是同义词,但是有区别。appropriate指专门适合于某人或某事,语气较重,强调“恰如其分”。applicable强调适用的、适当的、可实施的。
- 上一篇:条款是新加的条款,比较明确
- 下一篇:在本标准的附录A中有更详细的说明