ISO27001信息安（ān）全管理系统（tǒng）标准简介（1）

所属分类：ISO27001
点（diǎn）击（jī）次数：
发布日期：2021/06/17
在线询价

详（xiáng）细介绍

在（zài）日趋网络（luò）化的世界里，「信息（xī）」对建立（lì）竞争优势起着举（jǔ）足轻重的作（zuò）用。但它同时也是柄双刃剑，当信息被意外或刻（kè）意的传给恶意的接收者（zhě）时，同样的信息也可能导致一（yī）所机（jī）构倒闭。在当今（jīn）的信息时代，科技无疑为我们解（jiě）决了不少问题（tí）。

国际标（biāo）准组织(ISO)应此（cǐ）类需求，制定了ISO27001:2005标（biāo）准，为如何（hé）建立、推（tuī）行、维（wéi）持（chí）及改善信息安全（quán）管理系统提供帮助。信息安全管理系（xì）统（tǒng）(ISMS)是高层（céng）管理人（rén）员（yuán）用以监察及控制信息安全（quán）、减少（shǎo）商业风险和确（què）保保安系统持续符合企业（yè）、客户及（jí）法律要求（qiú）的一个体系。ISO/IEC 27001:2005 能协助机构保护zhuanli信息，同时也为制（zhì）定统一的机构保（bǎo）安（ān）标准（zhǔn）搭建了一个（gè）平台，更有助于提（tí）升安全管理的实务表（biǎo）现和增强（qiáng）机构（gòu）间商业往来的信心与（yǔ）信任。

什（shí）么机构可采用 ISO/IEC 27001:2005 标准？
任何使用（yòng）内（nèi）部或（huò）外部（bù）电（diàn）脑（nǎo）系统、拥有（yǒu）机密资料及/或依靠（kào）信（xìn）息系统进行商业活（huó）动地机（jī）构，均可采用 ISO/IEC 27001:2005标准（zhǔn）。简单的说，也就是（shì）那些（xiē）需要处（chù）理信息（xī）、并认识（shí）到信息保护（hù）重要（yào）性的机构。

ISO/IEC 27001 的控制目标及措（cuò）施
ISO/IEC 27001制定（dìng）的宗旨是确保机构信息的（de）机密性、完整（zhěng）性及可用性，为（wéi）达成上述宗旨，该标（biāo）准共提出了39个控制（zhì）目（mù）标及134项控制措（cuò）施，推行（háng）ISO/IEC 27001标准的机（jī）构可（kě）在其中选择适（shì）用（yòng）于其（qí）业务的（de）控制措施，同时也可增（zēng）加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是（shì）信（xìn）息安（ān）全管理的实务守则，为如何（hé）推行（háng）控制措（cuò）施提（tí）供指（zhǐ）引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在（zài） 2005 年 10 月公布（bù），同时取缔了多国采纳的英（yīng）国标准BS 7799-2:2002 ，但新旧标（biāo）准的（de）要求并无太大分别。ISO / IEC 27001:2005 标准以（yǐ） Edward Deming 博士提出（chū）的“计划-实施-核查-采取（qǔ）行（háng）动”循环（huán）周期作为制定蓝图，以（yǐ）实现持（chí）续改善的目标（biāo）。

I. 计（jì）划
      计划较重要的部分是设定涵盖（gài）的范（fàn）畴及（jí）区域，它可以是：
      覆盖整（zhěng）个组织并涉及多个地点的办事处（chù）及/或厂（chǎng）房
      只涉及一个办（bàn）事处或厂（chǎng）房
      只涉及（jí）一（yī）个多（duō）元化服务（wù）供（gòng）应商的（de）其中一个（gè）业（yè）务
      计（jì）划（huá）的主要工作包括信息安全管理系统、风险（xiǎn）评估、风（fēng）险管理、风险处理措（cuò）施和适用性（xìng）报（bào）告。