ISO27001標(biāo)準(zhǔn)介紹
隨著信息化水平的不斷提高,信息安全逐漸成為人們關(guān)注的焦點(diǎn),全球都在探尋如何保障信息安全的問題,歐洲各國(guó)均開始制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn)。
1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng),于1995年英國(guó)首次出版BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ),它可以作為一個(gè)正式認(rèn)證咨詢的根據(jù)。
2000年,ISO國(guó)際標(biāo)準(zhǔn)化組織在BS7799-1的基礎(chǔ)上制定通過了ISO17799標(biāo)準(zhǔn)。2000年12月,BS7799-1:1999《信息安全管理實(shí)施細(xì)則》通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn)ISO 17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》。 2002年,BSI對(duì)BS7799-2:2000《信息安全管理體系規(guī)范》進(jìn)行了改版,發(fā)布了BS7799-2:2002《信息安全管理體系規(guī)范》。 2005年10月,BS7799-2:2002通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn)ISO27001:2005《信息安全管理體系要求》。
ISO27001標(biāo)準(zhǔn)的內(nèi)容
ISO國(guó)際標(biāo)準(zhǔn)化組織已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO27000標(biāo)準(zhǔn)編號(hào),目前ISO27000標(biāo)準(zhǔn)包含下列標(biāo)準(zhǔn):
在ISO27001信息安全管理體系實(shí)施中ISO27001標(biāo)準(zhǔn)與ISO27002這兩個(gè)標(biāo)準(zhǔn)是必不可少的,這兩個(gè)標(biāo)準(zhǔn)是不可分割的有機(jī)組合。ISO 27001標(biāo)準(zhǔn)用于認(rèn)證咨詢,它可幫助組織建立和維護(hù)ISO27001信息安全管理體系。ISO2700標(biāo)準(zhǔn)是一個(gè)通用的信息安全控制措施集,這些控制措施涵蓋了信息安全的方方面面,是解決信息安全問題的最佳實(shí)踐。標(biāo)準(zhǔn)從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問題入手,循序漸進(jìn),從11個(gè)方面提出了39個(gè)信息安全控制目標(biāo)和133個(gè)控制措施。每一個(gè)具體控制措施,標(biāo)準(zhǔn)還給出了詳細(xì)的實(shí)施方面的信息,以方便組織更好的實(shí)施ISO27001信息安全管理體系。
ISO27001認(rèn)證咨詢的現(xiàn)狀
從2005年ISO27001發(fā)布至今,全球一共有數(shù)千家企業(yè)獲得了ISO27001認(rèn)證咨詢。截止目前中國(guó)已有近千家企業(yè)通過了ISO27001認(rèn)證咨詢,表明我國(guó)企業(yè)對(duì)信息安全管理的重視有了進(jìn)一步加強(qiáng),中國(guó)企業(yè)的信息安全管理水平有了進(jìn)一步的提升。
ISO27001認(rèn)證咨詢的收益
當(dāng)組織通過了ISO27001認(rèn)證咨詢,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障,并可帶來以下收益:
? 建立完善的信息安全管理體系,對(duì)組織的信息資產(chǎn)進(jìn)行全面的防護(hù);
? 開展信息安全風(fēng)險(xiǎn)評(píng)估,管理和控制組織信息安全風(fēng)險(xiǎn);
? 強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;
? 實(shí)現(xiàn)以預(yù)防為主的信息安全管理方式,減少信息安全風(fēng)險(xiǎn)發(fā)生的可能性;
? 在信息系統(tǒng)受到侵害時(shí),降低信息安全事件帶來的損失,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
? 使組織的伙伴和客戶對(duì)組織信賴并充滿信心;
? 增強(qiáng)客戶及合作伙伴對(duì)組織信息安全性的信賴;
? 獲得ISO27001認(rèn)證咨詢證書,可得到客戶的認(rèn)可,拓展業(yè)務(wù)。