ISO 27001:2005(BS7799)信息安全管理體系 ISO 27001:2005 已經代替 BS 7799成為信息安全管理體系新標準。 今天,恐怕沒有一個組織會否認信息安全的重要性,信息已經成為關系組織發展和持續運營的重要資產。而信息安全問題也已經引起國家、社會、公司甚至個人的廣泛關注和高度重視。解決信息安全問題僅僅依靠安全產品和技術已不能滿足組織對信息安全的需求,對安全產品和技術用安全管理來整合勢在必行。BS 7799信息安全管理體系正是在這種情況下應運而生. 它主要包括三部分內容: 保密性 - 保護重要信息以防泄露 完整性 - 維護信息和軟件的準確和完整 可用性 - 確保信息和服務在需要時能立即使用 ISO 27001對貴組織的好處? 1. 將更多精力集中在持續改進信息系統的安全性,因而能增加您合作伙伴和客戶間的數據交換量 2. 通過營造公司內外的信任度, 鞏固和加強競爭優勢 3. 保證業務的連貫性,保護數據免受侵害以盡量減少損失 4. 在保證重要數據的安全的同時展示公司符合信息安全標準 5. 增強數據委托保管人的信心 常見問題解答: ISO 27001涵蓋了哪些方面? ISO 27001覆蓋信息交換的所有方面,從計算機數據到公共場所的交談。其基本原則是防止有人濫用組織的信息。組織根據ISO 27001的標準制定自身的信息安全策略,以管理所有形式的信息通訊和數據儲存。 ISO 27001 的兩部分內容是什么?能否與其它管理系統整合? 第一部分,是信息安全管理實施細則(Code of Practice for Information Security Management),主要供負責信息安全系統開發的人員作為參考使用;第二部分,是建立信息安全管理體系(ISMS)的一套規范(Specification for Information Security Management Systems),其中詳細說明了建立、實施和維護信息安全管理系統的要求,指出實施機構應該遵循的風險評估準則。
通過ISO9001,ISO14001或ISO18001質量管理體系審核的組織很容易導入ISO 27001信息安全系統,因為本標準被設計成易與其它國際管理標準相整合。 ISO 27001認證步驟是: 1. 簽署合同 2. 預評審(可選擇):差距分析,針對現階段與標準不符合之處提出意見 3. 認證審核(通過者頒發證書) 4. 監督審核跟蹤持續改進的情況 5. 三年后可以選擇全面審核或連續審核的方式進行復審 6. 每一步驟結束之后,認證機構會迅速提交一份簡單易懂的完整的報告,以幫助持續改進組織的質量管理體系 |