ISO27001認證信息安全管理系統標準

ISO27001認證信息安全管理系統標準：

在日趨網絡化的世界里，「信息」對建立競爭優(yōu)勢起著舉足輕重的作用。但它同時也是柄雙刃劍，當信息被意外或刻意的傳給惡意的接收者時，同樣的信息也可能導致一所機構倒閉。在當今的信息時代，科技無疑為我們解決了不少問題。

國際標準組織(ISO)應此類需求，制定了ISO27001:2005標準，為如何建立、推行、維持及改善信息安全管理系統提供幫助。信息安全管理系統(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風險和確保保安系統持續(xù)符合企業(yè)、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能協助機構保護專利信息，同時也為制定統一的機構保安標準搭建了一個平臺，更有助于提升安全管理的實務表現和增強機構間商業(yè)往來的信心與信任。

什么機構可采用 ISO/IEC 27001:2005 標準？

任何使用內部或外部電腦系統、擁有機密資料及/或依靠信息系統進行商業(yè)活動地機構，均可采用 ISO/IEC 27001:2005標準。簡單的說，也就是那些需要處理信息、并認識到信息保護重要性的機構。

ISO/IEC 27001 的控制目標及措施

ISO/IEC 27001制定的宗旨是確保機構信息的機密性、完整性及可用性，為達成上述宗旨，該標準共提出了39個控制目標及134項控制措施，推行ISO/IEC 27001標準的機構可在其中選擇適用于其業(yè)務的控制措施，同時也可增加其他的控制措施。而與ISO/IEC 27001相輔的 ISO 17799:2005 標準是信息安全管理的實務守則，為如何推行控制措施提供指引。

ISO/ IEC 27001:2005 的架構

ISO/ IEC 27001:2005 標準在 2005 年 10 月公布，同時取締了多國采納的英國標準BS 7799-2:2002 ，但新舊標準的要求并無太大分別。ISO / IEC 27001:2005 標準以 Edward Deming 博士提出的“計劃-實施-核查-采取行動”循環(huán)周期作為制定藍圖，以實現持續(xù)改善的目標。

I. 計劃

計劃最重要的部分是設定涵蓋的范疇及區(qū)域，它可以是：

覆蓋整個組織并涉及多個地點的辦事處及/或廠房

只涉及一個辦事處或廠房

只涉及一個多元化服務供應商的其中一個業(yè)務

計劃的主要工作包括信息安全管理系統、風險評估、風險管理、風險處理措施和適用性報告。

信息安全管理系統是運營風險整體管理系統的其中一部分，目的是建立、實施、推行、檢討、維持及改善信息安全。

機構在信息的機密性、完整性和可用性三方面的目標各是什么呢？什么程度的風險是可接受的？是否存在任何限制，如法律、法規(guī)或機構內部程序？信息安全政策應該是一份由行政總監(jiān)簽署認可的文件?？刂拼胧扇∮缮现料碌耐菩蟹绞?。

風險評估 根據需要保護的信息和可接受的風險程度來識別真正的風險，并就這些風險出現的可能性與其影響的嚴重性作出評估，從而辨別出機構需要管理的風險，即下圖紅色部分內的風險。

風險管理 / 風險處理

完成風險評估后，便要決定如何處理這些風險。

適用性報告 (Statement of Applicability)

識別出所有的保安措施，指出哪些對機構而言是適用或不適用的，并說明原因。必須針對風險評估的結果來選擇控制措施。

II. 實施

選定了控制措施后，便需落實推行，同時也需制定程序以確保能夠迅速察覺到事故的發(fā)生并作出回應，并確保所有員工都了解信息安全的重要性，且確保其接受了適當的培訓，及有能力執(zhí)行他們負責的保安任務。此外，還要妥善管理所需的資源。

III. 核查

核查的目的是確?？刂拼胧┒家淹菩?，并能達到既定的目標。盡管有多種可行的核查方法，但只有內部審核與管理檢討是強制性的要求。

IV. 采取行動

最后便需對核查結果采取適當的行動，相關的行動可以是：

修正

預防

改善

總結

ISO/IEC 27001:2005 標準為所有行業(yè)的機構都提供了一套業(yè)務工具，協助其避免信息保安的失誤，從而降低了相應的風險。正式推行ISO/IEC 27001:2005 并取得有關認證的機構將受益匪淺，以下列舉其中數項：

由于按照國際標準實施適當的控制措施，機構便能自行將信息保安的失誤率降至最低

以系統化的方法處理符合法律的問題，從而減低所需承擔的法律責任風險

以系統化的方法計劃及管理運營的持續(xù)性

增加客戶、合作伙伴和相關人士對機構的信心

提升營運收入，并為機構帶來更多商機

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202104/ccaa_20680.html