ISO27001標(biāo)準(zhǔn)介紹

隨著信息化水平的不斷提高，信息安全逐漸成為人們關(guān)注的焦點(diǎn)，全球都在探尋如何保障信息安全的問題，歐洲各國(guó)均開始制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn)。

1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于1995年英國(guó)首次出版BS 7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證咨詢的根據(jù)。

2000年，ISO國(guó)際標(biāo)準(zhǔn)化組織在BS7799-1的基礎(chǔ)上制定通過了ISO17799標(biāo)準(zhǔn)。2000年12月，BS7799-1：1999《信息安全管理實(shí)施細(xì)則》通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)ISO 17799：2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》。 2002年，BSI對(duì)BS7799-2：2000《信息安全管理體系規(guī)范》進(jìn)行了改版，發(fā)布了BS7799-2：2002《信息安全管理體系規(guī)范》。 2005年10月，BS7799-2：2002通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)ISO27001：2005《信息安全管理體系要求》。

ISO27001標(biāo)準(zhǔn)的內(nèi)容

ISO國(guó)際標(biāo)準(zhǔn)化組織已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO27000標(biāo)準(zhǔn)編號(hào)，目前ISO27000標(biāo)準(zhǔn)包含下列標(biāo)準(zhǔn)：

在ISO27001信息安全管理體系實(shí)施中ISO27001標(biāo)準(zhǔn)與ISO27002這兩個(gè)標(biāo)準(zhǔn)是必不可少的，這兩個(gè)標(biāo)準(zhǔn)是不可分割的有機(jī)組合。ISO 27001標(biāo)準(zhǔn)用于認(rèn)證咨詢，它可幫助組織建立和維護(hù)ISO27001信息安全管理體系。ISO2700標(biāo)準(zhǔn)是一個(gè)通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問題的最佳實(shí)踐。標(biāo)準(zhǔn)從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問題入手，循序漸進(jìn)，從11個(gè)方面提出了39個(gè)信息安全控制目標(biāo)和133個(gè)控制措施。每一個(gè)具體控制措施，標(biāo)準(zhǔn)還給出了詳細(xì)的實(shí)施方面的信息，以方便組織更好的實(shí)施ISO27001信息安全管理體系。

ISO27001認(rèn)證咨詢的現(xiàn)狀

從2005年ISO27001發(fā)布至今，全球一共有數(shù)千家企業(yè)獲得了ISO27001認(rèn)證咨詢。截止目前中國(guó)已有近千家企業(yè)通過了ISO27001認(rèn)證咨詢，表明我國(guó)企業(yè)對(duì)信息安全管理的重視有了進(jìn)一步加強(qiáng)，中國(guó)企業(yè)的信息安全管理水平有了進(jìn)一步的提升。

ISO27001認(rèn)證咨詢的收益

當(dāng)組織通過了ISO27001認(rèn)證咨詢，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障，并可帶來以下收益：

? 建立完善的信息安全管理體系，對(duì)組織的信息資產(chǎn)進(jìn)行全面的防護(hù)；

? 開展信息安全風(fēng)險(xiǎn)評(píng)估，管理和控制組織信息安全風(fēng)險(xiǎn)；

? 強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

? 實(shí)現(xiàn)以預(yù)防為主的信息安全管理方式，減少信息安全風(fēng)險(xiǎn)發(fā)生的可能性；

? 在信息系統(tǒng)受到侵害時(shí)，降低信息安全事件帶來的損失，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

? 使組織的伙伴和客戶對(duì)組織信賴并充滿信心；

? 增強(qiáng)客戶及合作伙伴對(duì)組織信息安全性的信賴；

? 獲得ISO27001認(rèn)證咨詢證書，可得到客戶的認(rèn)可，拓展業(yè)務(wù)。