1)ISO27001是有關信息安全管理的國際標準。源于英國標準BS7799,經過十年的不斷改版,終于在2005年被國際標準化組織發布為正式的國際標準,并已廣泛被世界范圍內所接受,用于組織的信息安全管理體系的建立,保障組織的信息安全,采用PDCA過程方法,基于風險評估的風險管理理念,全面系統地持續改進組織的安全管理。
ISO27001的主要內容和認證過程:ISO27001主要由3部分組成。分別是:《信息安全管理實施細則》、《信息安全管理體系規范》、《信息安全風險管理指南》。ISO/IEC 17799信息技術.信息安全管理用實施規程是由國際標準化組織(ISO)頒布的一套全面和復雜的信息安全管理標準,旨在幫助各種類型和規模的組織實施并運行有效的信息安全管理體系,從而增強企業識別、防止、減少和控制組織信息安全風險的能力。ISO/IEC 17799標準是由兩部分構成的。第一部分是信息安全管理體系的實施指南,相當于BS7799-1;第二部分是信息安全管理體系規范,相當于BS7799-2。
ISO27001:2005的新架構包括11個控制域、39個控制措施,133個控制點。(其中11個控制域為安全策略、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作安全、信息系統獲得,開發和維護、訪問控制、信息安全事件管理、業務連續性管理、合規性)。
2)推行ISO27001信息安全管理體系之益處
- 通過信息安全管理體系的建立和運行過程,消除各種信息安全隱患,保護關鍵的信息資產
- 增進組織間電子電子商務往來的信用度,能夠建立起網站和貿易伙伴之間的互相信任
- 通過認證能保證和證明組織所有的部門對信息安全的承諾
- 提高全體員工的信息安全意識和能力
- 通過認證可改善全體的業績、消除不信任感
- 獲得國際認可的機構的認證證書,可得到國際上的承認,拓展您的業務
- 建立信息安全管理體系能降低這種風險,通過第三方的認證能增強投資者及其他利益相關方的投資信心
- 通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性
| 
