管理体系认证

ISO27001信息安全管理体系

出处未知 | 发布日期2016-03-12 21:45 | 【字体：大中小】点击次

ISO27001信息安全管理体系

ISO27001业务介绍

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

标准的主要内容

　　ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

　　标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

　　信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

内容章节

　　ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。国际标准化组织（ISO）在2005年对ISO 17799进行了修订，修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了

部分控制措施措辞。修改后的标准包括11个章节：

　　1）安全策略

　　2）信息安全的组织

　　3）资产管理

　　4）人力资源安全

　　5）物理和环境安全

　　6）通信和操作管理

　　7）访问控制

　　8）系统系统采集、开发和维护

　　9）信息安全事故管理

　 10）业务连续性管理

　 11）符合性

ISO27001的效益

　　1、通过定义、评估和控制风险，确保经营的持续性和能力

　　2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

　　3、通过遵守国际标准提高企业竞争能力，提升企业形象

　　4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失

　　5、建立安全工具使用方针

　　6、谨防技术诀窍的丢失

　　7、在组织内部增强安全意识

　　8、可作为公共会计审计的证据

ISO27001解决方案

相关国际标准与法案
        作为建立信息安全管理体系（ISMS）的重要规范，BS7799标准被ISO组织采纳后，衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准，ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。

        萨班斯（SOX）法案是另一部更加具有国际性影响的规章，始创于 2002 年，由美国证券交易委员会（SEC）提交，是一部旨在消除企业财务欺诈行为和弊端的历史性法案，它要求在美国上市的所有企业必须通过该法案审核。

        ISO 17799/27001与定义信息治理过程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。

(责任编辑：ysbadmin)

顶一下

(0)

踩一下

(0)

------分隔线----------------------------

上一篇：ISO20000 IT服务管理体系
下一篇：SA8000社会责任管理体系