什么是ISO27001信息安全管理体系
ISO27001信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
实施ISO27001认证的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高企业竞争能力,提升企业形象
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
5、建立安全工具使用方针
6、谨防技术诀窍的丢失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据
ISO27001标准的主要内容
ISO/IEC27001对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
ISO27001标准的内容章节
ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:
1)安全策略
2)信息安全的组织
3)资产管理
4)人力资源安全
5)物理和环境安全
6)通信和操作管理
7)访问控制
8)系统系统采集、开发和维护
9)信息安全事故管理
10)业务连续性管理
11)符合性
全国统一客户服务热线
If you have any question,feel free to contact us深圳总公司地址:深圳市罗湖区黄贝街道深南东路文华大厦21F
四川分公司地址:成都市锦江区锦东路
上海分公司地址:上海市奉贤区肖塘路
江西分公司地址:江西省南昌市南昌高新技术产业开发区昌东镇日新村商业街5号楼三楼
湖南分公司地址:湖南省长沙市雨花区劳动西路528号现代华都家园综合楼26楼
网址:www.i16949.com 微信公众号:16949
客服QQ:395601381 客服电话:400 128 6881
联系电话:13510000845 邬小姐 15982596811李小姐 18925449988 吴先生 13426595559 陈先生
邮箱:16949@88.com
Copyright©深圳博凌管理技术有限公司 all rights reserved 备案号:粤ICP备19062690号 技术支持:顾佰特科技
16949认证_IATF16949培训_ISO9001快速拿证_ISO13485认证辅导_APQP/FMEA培训_ISO辅导_医疗体系辅导_汽车体系辅导