介紹

ISO / IEC 27001正式規定了信息安全管理體系(ISMS),這是一套有關信息風險管理的活動(標準中稱為“信息安全風險”)。 ISMS是一個總體管理框架,組織通過該框架識別,分析和解決其信息風險。 ISMS確保安全安排得到調整,以跟上新的安全威脅、漏洞和業務影響的變化 - 這一動態領域的一個重要方面,以及ISO27000關鍵優勢靈活的風險管理方法。

ISO / IEC 27000系列標準是由國際標準化組織(ISO)和國際電工委員會(IEC)提出的,以幫助公司組織保護其信息安全。

ISO / IEC 270012013,通常簡稱為ISO 27001,建立了與信息安全管理體系(ISMS)相關的要求,這是一種保護信息資產安全的系統方法,包括流程,IT系統和人員,并涉及采用風險管理處理。 ISO 27001還包括評估和解決信息安全風險的指南。

全球各地擁有ISO27001證書數量分布:

image.png

撿證網提供專業的ISO27001培訓輔導和認證,聯系電話:18621757170 QQ:495226609

ISO 27001可以幫助組織實施網絡安全戰略,IT管理和資產保護。ISO 27001還可以幫助他們響應事件,減輕威脅,減少停機時間并最大限度地減少損失。它幫助實體建立一個系統,以保護他們的信息免受安全威脅,如網絡犯罪,病毒攻擊,故意破壞,恐怖主義,濫用信息,盜竊和火災等。

通過與撿證網合作,撿證網可以向客戶保證他們擁有有效的信息安全管理體系ISMS。通過我們的認證審核,我們為您提供可用于改善運營的信息,并使您能夠向客戶,員工,供應商和其他利益相關者提供保障。

該標準涵蓋所有類型的組織(例如商業企業,政府機構,非營利組織),各種規模(從微型企業到大型跨國公司),以及所有行業或市場(例如零售,銀行,國防,醫療保健,教育和政府) )。這顯然是一個非常廣泛的簡要介紹。

此外,管理層可以選擇避免,分享或接受信息風險,而不是通過控制來緩解風險 - 風險管理流程中的風險處理決策。

ISO27001的歷史

ISO / IEC 27001源自BS 77992部分,由英國標準協會于1999年首次出版。

BS 77992部分于2002年進行了修訂,明確納入了戴明式的PDCA:計劃 - 執行 - 檢查 - 行動周期。

BS 77992部分于2005年被采納為ISO / IEC 27001,并進行了各種更改以反映其新的保管人。

ISO / IEC 2700120052013年進行了廣泛修訂,使其與其他ISO管理體系標準保持一致,并明確提及PDCA。有關詳細信息,請參閱時間表頁面。

標準的結構

ISO / IEC 270012013有以下部分:

0簡介 - 該標準描述了系統地管理信息風險的過程。

1范圍 - 它規定了適用于任何類型,大小或性質的組織的通用ISMS要求。

2規范性引用 - 只有ISO / IEC 27000被認為對'27001的用戶絕對必要:剩余的ISO27000標準是可選的。

3術語和定義 - ISO / IEC 27000。

4組織背景 - 理解組織背景,“利益相關方”的需求和期望,并確定ISMS的范圍。第4.4節非常明確地指出“組織應建立,實施,維護和持續改進”ISMS。

5領導 - 高層管理人員必須表現出對ISMS的領導和承諾,授權政策,并分配信息安全角色,職責和權限。

6規劃 - 概述識別,分析和計劃處理信息風險的過程,并闡明信息安全的目標。

7支持 - 必須分配足夠的,有能力的資源,提高認識,編寫和控制文件。

8操作 - 有關評估和處理信息風險,管理變更和記錄事物的更多細節(部分原因是它們可以由認證審核員進行審核)。

9績效評估 - 監控,測量,分析和評估/審核/審查信息安全控制,流程和管理系統,在必要時系統地改進。

10改進 - 解決審計和審查的結果(例如不合格和糾正措施),不斷改進ISMS。

大多數組織都有許多信息安全控制。但是,如果沒有信息安全管理系統(ISMS),控制往往有些混亂和脫節,經常作為特定情況的點解決方案或僅僅作為慣例來實施。運行中的安全控制通常專門針對IT或數據安全的某些方面;使非IT信息資產(如文書工作和專有知識)的整體保護較少。此外,業務連續性計劃和物理安全可以完全獨立于IT或信息安全進行管

撿證網提供專業的ISO27001培訓輔導和認證,聯系電話:18621757170  Email:yangda@jz-cert.com