ISO27001信息安全管理系统标准简介（1）

您的当前位置：首（shǒu）页 >> 服务项目 >> ISO27001

ISO27001信息安全管理系统标准简介（1）

所属（shǔ）分（fèn）类：ISO27001
点击（jī）次数：
发布日期：2021/06/17
在线询价

详细介绍

在日趋网络化的世界里（lǐ），「信息」对建立竞争优势起着（zhe）举足轻重的作用。但它同（tóng）时也是柄双刃剑（jiàn），当信息（xī）被意外或（huò）刻意的传（chuán）给恶意的接收者时，同（tóng）样的信息也可能导（dǎo）致（zhì）一所机构倒（dǎo）闭。在当今的信息时代，科技无疑为我们解（jiě）决了不少问题。

国际标准组织(ISO)应此类（lèi）需求（qiú），制定（dìng）了ISO27001:2005标准（zhǔn），为（wéi）如何建立、推行、维持（chí）及（jí）改善信（xìn）息安全管（guǎn）理系统（tǒng）提供帮助（zhù）。信息安全管理系统(ISMS)是高层管理人员用以监察（chá）及控（kòng）制信息安全、减少商业（yè）风险和确保保安系统持（chí）续（xù）符合企业、客户及法律要求（qiú）的一个体系。ISO/IEC 27001:2005 能（néng）协助（zhù）机（jī）构保护zhuanli信息（xī），同时（shí）也为制定统（tǒng）一的（de）机构（gòu）保安标准搭建了一个平台，更有助于提升（shēng）安（ān）全（quán）管（guǎn）理的实务表现和增强机构间商业往来（lái）的（de）信心与信任。

什么机构可采用 ISO/IEC 27001:2005 标准（zhǔn）？
任何使用内部或外部（bù）电脑系统、拥有机密资料及/或依靠信息系统进行（háng）商业活（huó）动地机构，均（jun1）可采用 ISO/IEC 27001:2005标准（zhǔn）。简单（dān）的说，也就是那些需要处理信息（xī）、并认识（shí）到信息保护（hù）重要（yào）性（xìng）的机构。

ISO/IEC 27001 的控制目标（biāo）及措施
ISO/IEC 27001制定的（de）宗旨是确（què）保机构信息的机密性、完整性及可（kě）用性，为达成上述宗旨，该标准共（gòng）提（tí）出了39个控制目（mù）标及（jí）134项（xiàng）控（kòng）制措施，推行（háng）ISO/IEC 27001标（biāo）准（zhǔn）的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的（de）控制措施。而与ISO/IEC 27001相辅的（de） ISO 17799:2005 标（biāo）准是信息安全管理的实务守则，为如何推行控制措施提供指引（yǐn）。

ISO/ IEC 27001:2005 的架（jià）构（gòu）
ISO/ IEC 27001:2005 标准在 2005 年 10 月公（gōng）布，同时取缔了多国采纳（nà）的英国标准BS 7799-2:2002 ，但（dàn）新旧（jiù）标准的要求（qiú）并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核（hé）查-采取（qǔ）行动”循环周期作为制定蓝图，以（yǐ）实现持续改善的目标。

I. 计（jì）划
      计划（huá）较重要的部分是设定涵盖的范（fàn）畴（chóu）及区域（yù），它可（kě）以是（shì）：
      覆盖（gài）整个（gè）组织并（bìng）涉及多个（gè）地点的（de）办事处及/或（huò）厂房
      只涉及（jí）一（yī）个办事处（chù）或厂房
      只涉及一个多元化服（fú）务供应商的其中一个业务
      计划的主（zhǔ）要工（gōng）作包括信息安全（quán）管（guǎn）理系统（tǒng）、风险评估（gū）、风（fēng）险管理、风险（xiǎn）处理措施和适用性报（bào）告。