一����、ISO27001認證是什么�?
ISO27001認證是關(guān)于信息安全管理體系認證��,ISO27001將有效保證企業(yè)在信息安全領(lǐng)域的可靠性�����,降低企業(yè)泄密風(fēng)險����,更好的保存核心數據����。
信息安全管理實(shí)用規則ISO/IEC27001的前身為英國的BS7799標準��。該標準由英國標準協(xié)會(huì )(BSI)于1995年2月提出����,并于1995年5月修訂而成的�����。1999年BSI重新修改了該標準�。BS7799分為兩個(gè)部分:BS7799-1�����,信息安全管理實(shí)施規則�;BS7799-2�����,信息安全管理體系規范�����。第1部分對信息安全管理給出建議����,供負責在其組織啟動(dòng)��、實(shí)施或維護安全的人員使用����;第二部分說(shuō)明了建立���、實(shí)施和文件化信息安全管理體系(ISMS)的要求��,規定了根據獨立組織的需要應實(shí)施安全控制的要求���。信息安全通過(guò)策略��、慣例����、規程���、組織結構和軟件功能綜合控制�����。
現在�����,ISO27000標準已得到了很多國家的認可����,是國際上具有代表性的信息安全管理體系標準�����。目前除英國之外��,還有荷蘭����、丹麥�、澳大利亞�����、巴西等國已同意使用該標準;日本���、瑞士����、盧森堡等國也表示對ISO27000標準感興趣���,我國的臺灣���、香港也在推廣該標準�����。許多國家的政府機構�、銀行����、證券�����、保險公司���、電信運營(yíng)商��、網(wǎng)絡(luò )公司及許多跨國公司已采用了此標準對自己的信息安全進(jìn)行系統的管理���。
ISO27001用于為建立����、實(shí)施��、運行�、監視����、評審�����、保持和改進(jìn)信息安全管理體系(Information Security Management System�,簡(jiǎn)稱(chēng)ISMS)提供模型����。采用ISMS應當是一個(gè)組織的一項戰略性決策����。一個(gè)組織的ISMS的設計和實(shí)施受業(yè)務(wù)需求和目標��、安全需求��、所采用的過(guò)程以及組織的規模和結構的影響�����。上述因素及其支持過(guò)程會(huì )不斷發(fā)生變化����。期望信息安全管理體系可以根據組織的需求而測量����,例如簡(jiǎn)單的情形可采用簡(jiǎn)單的ISMS解決方案����。
信息安全不是有一個(gè)終端防火墻�����,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達到的�����,它需要全面的綜合管理�����。信息安全管理體系的引入��,可以協(xié)調各個(gè)方面信息管理�,使管理更為有效���。信息安全管理體系是系統的對組織敏感信息及信息資產(chǎn)進(jìn)行管理���,涉及到人�����,程序和信息科技(IT)系統�����。需要建立廣泛的信息安全方針���,保證安全性���,公正性�����,適用組織內部和客戶(hù)��。通過(guò)ISO27001認證的企業(yè)�,能夠從企業(yè)內部的管理程序上獲得巨大的改善���,尤其在信息安全管理上��,會(huì )有科學(xué)的方法可循���。
二�、ISO27001認證范圍
信息安全對每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的���,信息安全管理體系認證具有普遍的適用性����,不受地域�、產(chǎn)業(yè)類(lèi)別和公司規模限制�����。從目前的獲得認證的企業(yè)情況看���,較多的是涉及電信�����、保險����、銀行��、數據處理中心�、IC制造和軟件外包等行業(yè)����。
三�、企業(yè)建立ISO 27001的意義及用途
1��、ISO27001證明企業(yè)符合法律法規要求
證書(shū)的獲得�,可以向權葳機構表明�����,組織遵守了所有適用的法律法規��。從而保護企業(yè)和相關(guān)方的信息系統安全��、知識產(chǎn)權�����、商業(yè)秘密等�����。
2����、ISO27001可以維護企業(yè)的聲譽(yù)�、品牌和客戶(hù)信任
證書(shū)的獲得�����,可以強化員工的信息安全意識�,規范組織信息安全行為�,減少人為原因造成的不必要的損失���。
3�����、ISO27001證明企業(yè)履行信息安全管理責任
證書(shū)的獲得��,本身就能證明組織在各個(gè)層面的安全保護上都付出了卓有成效的努力����,表明管理層履行了相關(guān)責任����。
4�����、ISO27001可以增強員工的意識�����、責任感和相關(guān)技能
證書(shū)的獲得��,可以強化員工的信息安全意識�,規范組織信息安全行為�,減少人為原因造成的不必要的損失�。
5�����、ISO27001可以為企業(yè)保持業(yè)務(wù)持續發(fā)展和競爭優(yōu)勢
全面的信息安全管理體系的建立�,意味著(zhù)組織核心業(yè)務(wù)所賴(lài)以持續的各項信息資產(chǎn)得到了妥善保護����,并且建立有效的業(yè)務(wù)持續性計劃框架����,提升了組織的核心競爭力�。
6���、ISO27001可以實(shí)現風(fēng)險管理
有助于更好地了解信息系統�,并找到存在的問(wèn)題以及保護的辦法���,保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護�����,確保信息環(huán)境有序而穩定地運作�。
7��、ISO27001可以減少損失���,降低成本
ISMS的實(shí)施���,能降低因為潛在安全事件發(fā)生而給組織帶來(lái)的損失���,在信息系統受到侵襲時(shí)���,能確保業(yè)務(wù)持續開(kāi)展并將損失降到蕞低程度����。
