信息安全管理体系标准ISO27001是一个分四阶段(评估、设计、部署、管理)实现信息系统安全管理方案的方法,系由英国BS7799-2:2002转化而来,是目前世界上唯一的信息安全管理体系标准,成为“信息安全管理”之国际通用语言,并被全球五千多家政府机构和知名企业所采用。
ISO27001信息安全管理体系(ISMS)是指以体系化的业务风险方法为基础的管理体系,是为建立、实现、操作、监管、审核、管理和提高信息系统安全服务的。
信息安全管理是组织实施风险管理中极为重要的一个环节,强调对一个组织所运行的IT(即英文Information Technology 的缩写,指信息技术)系统及信息的保密性、完整性和可用性的保护,提高投资回报率,降低由信息安全事故造成的损失及业务中断的风险。
其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制方法选择及落实,有效降低组织面临的信息安全风险。建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等控制管理运营风险不可缺少的重要机制。
ISO27001认证对组织的要求
1、 证明所有的活动遵循一个过程方法,这种方法可以不拘形式,但必须是明确的,且形成文件的;
2、明确其安全目标和要求,审核员将验证组织是否达到这些目标和要求;
3、利用风险分析的结果建立安全措施;
4、 建立一系列的安全控制措施——这是标准建议的内容,可由组织按照其业务活动的特定需求选择具体的控制措施;
5、实施相应的过程通过审核和评审,确保对信息安全管理体系的所有因素实施持续的验证;
6、实施相应的过程,保证信息安全管理体系的所有要素的持续改进。
ISO27001的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力;
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 ;
3、通过遵守国际标准提高企业竞争能力,提升企业形象;
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失;
5、建立安全工具使用方针;
6、谨防技术诀窍的丢失 ;
7、在组织内部增强安全意识 ;
8、可作为公共会计审计的证据。