ISO27001信息安全管理系统（tǒng）标准简介（1）

您的当前位置：首页 >> 服务（wù）项目 >> ISO27001

ISO27001信息安（ān）全管理系统（tǒng）标（biāo）准简介（1）

所属分类：ISO27001
点击次数：
发（fā）布日（rì）期：2021/06/17
在线询价

详细介绍（shào）

在日趋网（wǎng）络化的世界里（lǐ），「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑，当（dāng）信息被意外或刻（kè）意（yì）的（de）传给恶意的接收者时，同样的信息也可能（néng）导致一所机构倒（dǎo）闭（bì）。在当（dāng）今的信息时代，科技（jì）无疑（yí）为（wéi）我们解决了（le）不少问题。

国际标准（zhǔn）组织(ISO)应此类需求，制（zhì）定了ISO27001:2005标准，为（wéi）如何建立、推行（háng）、维持及（jí）改善信息安全管理系统提供帮助。信息安全（quán）管理系（xì）统(ISMS)是高层管理（lǐ）人（rén）员用以（yǐ）监察及控（kòng）制信息安（ān）全、减少商业（yè）风险和确保保安系统（tǒng）持续符合企（qǐ）业、客户及法律要求（qiú）的一个体系。ISO/IEC 27001:2005 能协助机构保（bǎo）护（hù）zhuanli信息，同时也为制定统（tǒng）一的机构（gòu）保安标准搭建了一个平台，更（gèng）有助于提（tí）升安全管理的实务表（biǎo）现和增（zēng）强（qiáng）机构（gòu）间商业（yè）往来的信心与信任（rèn）。

什（shí）么机构可采用 ISO/IEC 27001:2005 标准？
任何使用（yòng）内部（bù）或外部电脑系（xì）统（tǒng）、拥有机密资料（liào）及/或依（yī）靠信息系统（tǒng）进（jìn）行商（shāng）业活（huó）动地（dì）机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。

ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制（zhì）定的宗旨（zhǐ）是确保机（jī）构（gòu）信息的机密性、完整性及可用性（xìng），为达成上（shàng）述宗旨，该（gāi）标准共提出了（le）39个（gè）控制目标及134项控制（zhì）措施，推行ISO/IEC 27001标准的机构（gòu）可在其中（zhōng）选择适（shì）用于其业务的控制措施，同（tóng）时也可增加其（qí）他的（de）控制（zhì）措（cuò）施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实（shí）务守（shǒu）则（zé），为（wéi）如何推（tuī）行控制措施提（tí）供（gòng）指引。

ISO/ IEC 27001:2005 的架构（gòu）
ISO/ IEC 27001:2005 标准在 2005 年 10 月公（gōng）布，同时取缔（dì）了多（duō）国（guó）采纳的英国标准BS 7799-2:2002 ，但新旧标准的要求并无太（tài）大（dà）分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实（shí）施-核查-采（cǎi）取行动（dòng）”循环周（zhōu）期作为制定蓝图（tú），以实现（xiàn）持续改（gǎi）善的目标。

I. 计划
      计划较重要的部分是设定涵（hán）盖的范畴及区域，它可（kě）以是：
      覆盖（gài）整（zhěng）个组织并涉及多个地点的办事处及/或厂房
      只涉及一（yī）个办事处或厂房
      只涉（shè）及一个（gè）多（duō）元（yuán）化服（fú）务供应商的其中一个（gè）业务
      计划的主（zhǔ）要工作包括信息安（ān）全管理系统、风险评（píng）估、风险管理、风险处理措（cuò）施和适用性报告。