ISO27001認(rèn)證信息安全管理系統(tǒng)標(biāo)準(zhǔn)

ISO27001認(rèn)證信息安全管理系統(tǒng)標(biāo)準(zhǔn)：

在日趨網(wǎng)絡(luò)化的世界里，「信息」對建立競爭優(yōu)勢起著舉足輕重的作用。但它同時(shí)也是柄雙刃劍，當(dāng)信息被意外或刻意的傳給惡意的接收者時(shí)，同樣的信息也可能導(dǎo)致一所機(jī)構(gòu)倒閉。在當(dāng)今的信息時(shí)代，科技無疑為我們解決了不少問題。

國際標(biāo)準(zhǔn)組織(ISO)應(yīng)此類需求，制定了ISO27001:2005標(biāo)準(zhǔn)，為如何建立、推行、維持及改善信息安全管理系統(tǒng)提供幫助。信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險(xiǎn)和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的一個(gè)體系。ISO/IEC 27001:2005 能協(xié)助機(jī)構(gòu)保護(hù)專利信息，同時(shí)也為制定統(tǒng)一的機(jī)構(gòu)保安標(biāo)準(zhǔn)搭建了一個(gè)平臺，更有助于提升安全管理的實(shí)務(wù)表現(xiàn)和增強(qiáng)機(jī)構(gòu)間商業(yè)往來的信心與信任。

什么機(jī)構(gòu)可采用 ISO/IEC 27001:2005 標(biāo)準(zhǔn)？

任何使用內(nèi)部或外部電腦系統(tǒng)、擁有機(jī)密資料及/或依靠信息系統(tǒng)進(jìn)行商業(yè)活動(dòng)地機(jī)構(gòu)，均可采用 ISO/IEC 27001:2005標(biāo)準(zhǔn)。簡單的說，也就是那些需要處理信息、并認(rèn)識到信息保護(hù)重要性的機(jī)構(gòu)。

ISO/IEC 27001 的控制目標(biāo)及措施

ISO/IEC 27001制定的宗旨是確保機(jī)構(gòu)信息的機(jī)密性、完整性及可用性，為達(dá)成上述宗旨，該標(biāo)準(zhǔn)共提出了39個(gè)控制目標(biāo)及134項(xiàng)控制措施，推行ISO/IEC 27001標(biāo)準(zhǔn)的機(jī)構(gòu)可在其中選擇適用于其業(yè)務(wù)的控制措施，同時(shí)也可增加其他的控制措施。而與ISO/IEC 27001相輔的 ISO 17799:2005 標(biāo)準(zhǔn)是信息安全管理的實(shí)務(wù)守則，為如何推行控制措施提供指引。

ISO/ IEC 27001:2005 的架構(gòu)

ISO/ IEC 27001:2005 標(biāo)準(zhǔn)在 2005 年 10 月公布，同時(shí)取締了多國采納的英國標(biāo)準(zhǔn)BS 7799-2:2002 ，但新舊標(biāo)準(zhǔn)的要求并無太大分別。ISO / IEC 27001:2005 標(biāo)準(zhǔn)以 Edward Deming 博士提出的“計(jì)劃-實(shí)施-核查-采取行動(dòng)”循環(huán)周期作為制定藍(lán)圖，以實(shí)現(xiàn)持續(xù)改善的目標(biāo)。

I. 計(jì)劃

計(jì)劃最重要的部分是設(shè)定涵蓋的范疇及區(qū)域，它可以是：

覆蓋整個(gè)組織并涉及多個(gè)地點(diǎn)的辦事處及/或廠房

只涉及一個(gè)辦事處或廠房

只涉及一個(gè)多元化服務(wù)供應(yīng)商的其中一個(gè)業(yè)務(wù)

計(jì)劃的主要工作包括信息安全管理系統(tǒng)、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)處理措施和適用性報(bào)告。

信息安全管理系統(tǒng)是運(yùn)營風(fēng)險(xiǎn)整體管理系統(tǒng)的其中一部分，目的是建立、實(shí)施、推行、檢討、維持及改善信息安全。

機(jī)構(gòu)在信息的機(jī)密性、完整性和可用性三方面的目標(biāo)各是什么呢？什么程度的風(fēng)險(xiǎn)是可接受的？是否存在任何限制，如法律、法規(guī)或機(jī)構(gòu)內(nèi)部程序？信息安全政策應(yīng)該是一份由行政總監(jiān)簽署認(rèn)可的文件?？刂拼胧?yīng)采取由上至下的推行方式。

風(fēng)險(xiǎn)評估 根據(jù)需要保護(hù)的信息和可接受的風(fēng)險(xiǎn)程度來識別真正的風(fēng)險(xiǎn)，并就這些風(fēng)險(xiǎn)出現(xiàn)的可能性與其影響的嚴(yán)重性作出評估，從而辨別出機(jī)構(gòu)需要管理的風(fēng)險(xiǎn)，即下圖紅色部分內(nèi)的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理 / 風(fēng)險(xiǎn)處理

完成風(fēng)險(xiǎn)評估后，便要決定如何處理這些風(fēng)險(xiǎn)。

適用性報(bào)告 (Statement of Applicability)

識別出所有的保安措施，指出哪些對機(jī)構(gòu)而言是適用或不適用的，并說明原因。必須針對風(fēng)險(xiǎn)評估的結(jié)果來選擇控制措施。

II. 實(shí)施

選定了控制措施后，便需落實(shí)推行，同時(shí)也需制定程序以確保能夠迅速察覺到事故的發(fā)生并作出回應(yīng)，并確保所有員工都了解信息安全的重要性，且確保其接受了適當(dāng)?shù)呐嘤?xùn)，及有能力執(zhí)行他們負(fù)責(zé)的保安任務(wù)。此外，還要妥善管理所需的資源。

III. 核查

核查的目的是確保控制措施都已推行，并能達(dá)到既定的目標(biāo)。盡管有多種可行的核查方法，但只有內(nèi)部審核與管理檢討是強(qiáng)制性的要求。

IV. 采取行動(dòng)

最后便需對核查結(jié)果采取適當(dāng)?shù)男袆?dòng)，相關(guān)的行動(dòng)可以是：

修正

預(yù)防

改善

總結(jié)

ISO/IEC 27001:2005 標(biāo)準(zhǔn)為所有行業(yè)的機(jī)構(gòu)都提供了一套業(yè)務(wù)工具，協(xié)助其避免信息保安的失誤，從而降低了相應(yīng)的風(fēng)險(xiǎn)。正式推行ISO/IEC 27001:2005 并取得有關(guān)認(rèn)證的機(jī)構(gòu)將受益匪淺，以下列舉其中數(shù)項(xiàng)：

由于按照國際標(biāo)準(zhǔn)實(shí)施適當(dāng)?shù)目刂拼胧?，機(jī)構(gòu)便能自行將信息保安的失誤率降至最低

以系統(tǒng)化的方法處理符合法律的問題，從而減低所需承擔(dān)的法律責(zé)任風(fēng)險(xiǎn)

以系統(tǒng)化的方法計(jì)劃及管理運(yùn)營的持續(xù)性

增加客戶、合作伙伴和相關(guān)人士對機(jī)構(gòu)的信心

提升營運(yùn)收入，并為機(jī)構(gòu)帶來更多商機(jī)

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202104/ccaa_20680.html