与ISO9000等其它标准类似,ISO27001:2005也是一种国际标准。ISO27001主要关注企业和组织的信息安全,它提供了一套综合的、由信息安 全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
ISO27001标准的由来
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1(ISO27002),信息安全管理实施规则 BS7799-2(ISO27001),信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准,后经过多次修订形成现在的ISO27002。BS7799-2在2002年也由BSI进行了重新的修订,最终在 2005年被国际标准化组织采用为ISO27001:2005。
ISO27001标准的主要内容
国际标准化组织在2005年对ISO/IEC17799-2000(BS7799-1)进行了修订,形成了现在的ISO27001:2005。该标准对信息安全管理提出了要求,并给出了实施信息安全控制的建议。该标准对安全管理策略、操作规程,甚至是组织结构和软件功能等等,都有详细的要求和约束规范,为开发组织的安全标准提供依据,也为如何进行有效的安全管理做法提供公共基础,并为组织之间的商业交往提供信任凭据。
在进行ISO27001的过程中,组织会依据标准中规定的11个控制域、133个控制点制定一套符合企业自身的信息安全管理文档体系,暨ISMS。ISO27001标准能指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中,从计划到反馈提升过程中,若干重要元素。其观点是1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理可以识别出哪些需要修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,从而寻找到任何与计划不符的结果偏差(即潜在改进的可能性),最后向管理层提出如何运行的最终报告。
ISO27001标准的核心理念之一,是将“信息,像其他重要业务资产一样”进行管理,突出“信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。标准认为通过对信息进行一系列恰当的控制措施,可以保障企业的信息安全,防止重要信息受到的各种威胁。在突发事件发生时,为确保业务连续性,提供前提保障,使业务受到损害的风险减至最小;最终实现投资回报和业务机会的最大化。
国际标准化组织(ISO)在2005年对ISO 17799修订后,形成ISO 27000标准系列的第一部分——ISO/IEC 27001,去掉了原来9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,使其之间的关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。
ISO27001的效益
企业若通过ISO27001的认证,可为企业带来:
1、依据标准,进行定义、评估和控制风险这一些列管理过程,以确保企业经营的持续性和能力
2、通过遵守国际标准提高企业竞争能力,提升企业形象
3、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
4、明确定义所有组织的内部和外部的信息接口:谨防数据的误用和丢失,防止重要信息泄露
5、建立安全工具使用方针,减少日常经营过程中对信息安全的威胁
6、谨防技术性诀窍,导致的重要信息丢失
7、提高组织内部人员的安全意识
8、可作为公共会计审计的证据
如何进行ISO27001的认证
企业若需进行ISO27001认证,可联系协会咨询,我们会推荐一家合适的咨询机构,结合企业自身的情况,为企业量身定做适合企业自身的ISMS。在实施、培训过程,如有任何问题,欢迎向协会致电垂询。协会也会协助企业参加一些必要的课程,帮助企业更好地完成ISMS。若有需要,在审核期间,协会人员也可以外审员的身份参与审核阶段的活动。
联系方式:
联系人:黄奕斐
联系电话:0755-83548358
报名联系邮箱:huangyifei@ssia.org.cn
请在邮件“主题”注明需要咨询的内容。
|
当前位置: