國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
服務項目
ISO/IEC27001標準的英文全稱是“Information technology - Security techniques - Information security management systems - requirements”,,翻譯成中文為“信息技術—安全技術—信息安全管理體系要求”,。ISO27001是信息安全管理體系(ISMS)的規(guī)范標準,是為組織機構提供信息安全認證執(zhí)行的認證標準,,其中詳細說明了建立,、實施和維護信息安全管理體系的要求,它是BS7799-2:2002由國際標準化組織及國際電工委員會轉(zhuǎn)換而來,。
國際標準 ISO/IEC27001是由聯(lián)合技術委員會ISO/IEC JTC1(信息技術)的 SC27 分會(安全技術)起草 的,。
ISO27001信息安全管理體系標準為建立、實施,、運行,、監(jiān)視、評審,、保持和改進信息安全管理體系(ISMS)提供了模型,。ISMS的采用是組織的戰(zhàn)略性決策。組織ISMS的設計和實施受組織需求,、目標,、安全需求、應用的過程以及組織規(guī)模和結構的影響,。經(jīng)過一段時間,,組織及其支持系統(tǒng)會發(fā)生改變。因此ISMS的實施應與組織的需要相一致,,如簡單的環(huán)境只需要一個簡單的ISMS解決方案,。
ISO27001信息安全管理體系標準可被內(nèi)外部的相關方用于評估符合性。
信息安全管理體系(Information Security Management System,,簡稱為ISMS)是1998年前后從英國發(fā) 展起來的信息安全領域中的一個新概念,,是管理體系(Management System,MS)思想和方法在信息安全領 域的應用,。近年來,,伴隨著ISMS國際標準的制修訂,ISMS迅速被全球接受和認可,,成為世界各國,、各種類型、 各種規(guī)模的組織解決信息安全問題的一個有效方法,。ISMS認證隨之成為組織向社會及其相關方證明其信息安全 水平和能力的一種有效途徑,。
ISO27001信息安全管理體系的目標:是透過一整體規(guī)劃的信息安全解決方案,來確保企業(yè)所有信息系統(tǒng)和 業(yè)務的安全,,并保持正常運作,。
信息安全管理體系利用風險分析管理工具,,結合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)安全弱點評估等 結果,并綜合評估影響企業(yè)整體的因素,,來制定適當?shù)男畔踩吲c信息安全作業(yè)準則,,從而降低潛在的風險危機。
在ISMS的要求標準ISO/IEC27001(信息安全管理體系 要求)的第3章術語和定義中,,對ISMS的定義如下:
ISMS(信息安全管理體系):是整個管理體系的一部分,。它是基于業(yè)務風險方法,,來建立,、實施、運行,、 監(jiān)視,、評審、保持和改進信息安全的,。注:管理體系包括組織結構,、方針策略、規(guī)劃活動,、職責,、實踐、程序,、 過程和資源,。
這個定義看上去同其他管理體系的定義描述不盡相同,但我們也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理體系標準合理性和制定導 則)中管理體系的定義,,將ISMS描述為:組織在信息安全方面建立方針和目標,,并實現(xiàn)這些目標的一組相互關 聯(lián)、相互作用的要素,。
ISO27001信息安全管理體系ISMS同其他體系MS(如ISO9001質(zhì)量管理體系QMS,、ISO14001環(huán)境管理體系 EMS、OHSAS18001職業(yè)健康安全管理體系OHSMS)一樣,,有許多共同的要素,,其原理、方法,、過程和體系的結構也基本一致,。
單純從定義理解,可能無法立即掌握ISMS的實質(zhì),,我們可以把ISMS理解為一臺"機器",,這臺機器的功能就 是制造"信息安全",它由許多"部件"(要素)構成,,這些"部件"包括ISMS管理機構,、ISMS文件以及資源等,, ISMS通過這些"部件"之間的相互作用來實現(xiàn)其"保障信息安全"的功能。
關注卓越空間
關注卓越微博
關注卓越微信