介绍

ISO / IEC 27001正式规定了信息安全管理体系(ISMS),这是一套有关信息风险管理的活动(标准中称为“信息安全风险”)。 ISMS是一个总体管理框架,组织通过该框架识别,分析和解决其信息风险。 ISMS确保安全安排得到调整,以跟上新的安全威胁、漏洞和业务影响的变化 - 这一动态领域的一个重要方面,以及ISO27000关键优势灵活的风险管理方法。

ISO / IEC 27000系列标准是由国际标准化组织(ISO)和国际电工委员会(IEC)提出的,以帮助公司组织保护其信息安全。

ISO / IEC 270012013,通常简称为ISO 27001,建立了与信息安全管理体系(ISMS)相关的要求,这是一种保护信息资产安全的系统方法,包括流程,IT系统和人员,并涉及采用风险管理处理。 ISO 27001还包括评估和解决信息安全风险的指南。

全球各地拥有ISO27001证书数量分布:

image.png

捡证网提供专业的ISO27001培训辅导和认证,联系电话:18621757170 QQ:495226609

ISO 27001可以帮助组织实施网络安全战略,IT管理和资产保护。ISO 27001还可以帮助他们响应事件,减轻威胁,减少停机时间并最大限度地减少损失。它帮助实体建立一个系统,以保护他们的信息免受安全威胁,如网络犯罪,病毒攻击,故意破坏,恐怖主义,滥用信息,盗窃和火灾等。

通过与捡证网合作,捡证网可以向客户保证他们拥有有效的信息安全管理体系ISMS。通过我们的认证审核,我们为您提供可用于改善运营的信息,并使您能够向客户,员工,供应商和其他利益相关者提供保障。

该标准涵盖所有类型的组织(例如商业企业,政府机构,非营利组织),各种规模(从微型企业到大型跨国公司),以及所有行业或市场(例如零售,银行,国防,医疗保健,教育和政府) )。这显然是一个非常广泛的简要介绍。

此外,管理层可以选择避免,分享或接受信息风险,而不是通过控制来缓解风险 - 风险管理流程中的风险处理决策。

ISO27001的历史

ISO / IEC 27001源自BS 77992部分,由英国标准协会于1999年首次出版。

BS 77992部分于2002年进行了修订,明确纳入了戴明式的PDCA:计划 - 执行 - 检查 - 行动周期。

BS 77992部分于2005年被采纳为ISO / IEC 27001,并进行了各种更改以反映其新的保管人。

ISO / IEC 2700120052013年进行了广泛修订,使其与其他ISO管理体系标准保持一致,并明确提及PDCA。有关详细信息,请参阅时间表页面。

标准的结构

ISO / IEC 270012013有以下部分:

0简介 - 该标准描述了系统地管理信息风险的过程。

1范围 - 它规定了适用于任何类型,大小或性质的组织的通用ISMS要求。

2规范性引用 - 只有ISO / IEC 27000被认为对'27001的用户绝对必要:剩余的ISO27000标准是可选的。

3术语和定义 - ISO / IEC 27000

4组织背景 - 理解组织背景,“利益相关方”的需求和期望,并确定ISMS的范围。第4.4节非常明确地指出“组织应建立,实施,维护和持续改进”ISMS

5领导 - 高层管理人员必须表现出对ISMS的领导和承诺,授权政策,并分配信息安全角色,职责和权限。

6规划 - 概述识别,分析和计划处理信息风险的过程,并阐明信息安全的目标。

7支持 - 必须分配足够的,有能力的资源,提高认识,编写和控制文件。

8操作 - 有关评估和处理信息风险,管理变更和记录事物的更多细节(部分原因是它们可以由认证审核员进行审核)。

9绩效评估 - 监控,测量,分析和评估/审核/审查信息安全控制,流程和管理系统,在必要时系统地改进。

10改进 - 解决审计和审查的结果(例如不合格和纠正措施),不断改进ISMS

大多数组织都有许多信息安全控制。但是,如果没有信息安全管理系统(ISMS),控制往往有些混乱和脱节,经常作为特定情况的点解决方案或仅仅作为惯例来实施。运行中的安全控制通常专门针对IT或数据安全的某些方面;使非IT信息资产(如文书工作和专有知识)的整体保护较少。此外,业务连续性计划和物理安全可以完全独立于IT或信息安全进行管

捡证网提供专业的ISO27001培训辅导和认证,联系电话:18621757170  Email:yangda@jz-cert.com