ISO/IEC 27001:2005是《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》�,等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T 22080-2008/ISO/IEC 27001:2005���,于2008年6月19發(fā)布��,同年11月1日正式實施��。同ISO 9001標(biāo)準(zhǔn)的性質(zhì)一樣��,它是ISMS的規(guī)范性標(biāo)準(zhǔn)����,也是ISO/IEC 27000系列最核心的兩個標(biāo)準(zhǔn)之一,適用于所有類型的組織�。它著眼于組織的整體業(yè)務(wù)風(fēng)險,通過對業(yè)務(wù)進行風(fēng)險評估來建立����、實施、運行����、監(jiān)視、評審����、保持和改進其信息安全管理體系����,確保其信息資產(chǎn)的保密性��、可用性和完整性���。它還規(guī)定了為適應(yīng)不同組織或部門的需求而制定的安全控制措施的實施要求��,也是獨立第三方認(rèn)證及實施審核的依據(jù)����。
丨ISO27001信息安全認(rèn)證標(biāo)準(zhǔn)范圍
ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》�,旨在為所有類型的組織,包括政府��、銀行��、電訊�、研究機構(gòu)、外包服務(wù)企業(yè)�����、軟件服務(wù)企業(yè)等�����,在建立���、實施���、運行、監(jiān)視����、評審、保持和改進信息安全管理體系時提供模型����,并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標(biāo)準(zhǔn)涉及了最廣泛意義上的信息安全����,為組織實施、維護和管理信息安全提供了最好的商業(yè)操作指南和原則�����,并可以用作第三方認(rèn)證的依據(jù)��。2008年6月19日,我國等同采用發(fā)布了GB/T 22080-2008標(biāo)準(zhǔn)���。
ISO/IEC 27001:2005標(biāo)準(zhǔn)包括
11大控制領(lǐng)域��、39個控制目標(biāo)和133項控制措施����,為組織提供全方位的信息安全保障��。
丨ISO/IEC 27001:2005標(biāo)準(zhǔn)特點
● 注重體系的完整性����,是一套科學(xué)的信息安全管理體系
● 基于系統(tǒng)、全面�����、科學(xué)的安全風(fēng)險評估��,體現(xiàn)預(yù)防控制為主的思想
● 以風(fēng)險評估為基礎(chǔ)��,采用PDCA的過程方法
● 強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要求
● 強調(diào)確保信息的保密性�、完整性和可用性
● 用于保護組織信息資產(chǎn),防止信息資產(chǎn)遭受危害的管理工具��,通過對所有潛在信息風(fēng)險進行分析�,確定預(yù)防措施。減少��、防止信息威脅的發(fā)生
● 適用于各種類型��、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織
● 與其他管理體系兼容(例如ISO9000標(biāo)準(zhǔn)等)
丨ISO/IEC 27001認(rèn)證申請條件
● 具備獨立的法人資格或經(jīng)獨立的法人授權(quán)的組織;
● 按照ISO/IEC 27001標(biāo)準(zhǔn)的要求建立文件化的信息安全管理體系;
● 已經(jīng)按照文件化的體系運行三個月以上��,并在進行認(rèn)證審核前按照文件的要求進行了至少一次管理評審和內(nèi)部質(zhì)量體系審核��。
丨ISO27001認(rèn)證 (信息安全管理體系)的益處
信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護信息資源,保護信息化進程健康���、有序����、可持續(xù)發(fā)展����。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn),類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)�����。當(dāng)您的組織通過了ISO27001的認(rèn)證,就相當(dāng)于通過ISO9000的質(zhì)量認(rèn)證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障�����。根據(jù) ISO27001 對您的信息安全管理體系進行認(rèn)證�����,可以帶來以下幾個好處:
引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理����,從而使管理更為有效。保證信息安全不是僅有一個防火墻���,或找一個24小時提供信息安全服務(wù)的公司就可以達到的����。它需要全面的綜合管理�����。
通過進行ISO27001信息安全管理體系認(rèn)證��,可以增進組織間電子電子商務(wù)往來的信用度��,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益��,并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理�����。同時���,把組織的干擾因素降到最小,創(chuàng)造更大收益�����。
通過認(rèn)證能保證和證明組織所有的部門對信息安全的承諾��。
通過認(rèn)證可改善全體的業(yè)績�、消除不信任感。
獲得國際認(rèn)可的機構(gòu)的認(rèn)證證書�����,可得到國際上的承認(rèn)�,拓展您的業(yè)務(wù)。
建立信息安全管理體系能降低這種風(fēng)險�����,通過第三方的認(rèn)證能增強投資者及其他利益相關(guān)方的投資信心。
組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系���,會有一定的投入�����,但是若能通過認(rèn)證機關(guān)的審核��,獲得認(rèn)證�����,將會獲得有價值的回報���。企業(yè)通過認(rèn)證將可以向其客戶、競爭對手�、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善�����,并以此作為增強信息安全性的依據(jù),信任�����、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾。
通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性����。
