欢迎进入重庆iso认证公司,提供iso9001质量管理体系认证、iso27001认证、iso22000认证、iso14001认证等

当前位置:重庆iso认证 > iso资讯 > 常见问题 >

ISO27001认证是什么

文章出处:未知 人气:发表时间:2018-10-12

  大家可能不了解ISO 27001是什么,但是对于信息安全管理体系还是了解吧。其实ISO 27001就是信息安全管理体系中的一个体系。那么ISO 27001又能用于那些范围呢?下面跟随我来看看这篇文章吧。

  信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

  ISO27001:2005是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。

ISO27001认证是什么

  信息安全管理体系的范围

  信息安全管理体系的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:

  l 1、特定的信息系统。

  l 2、组织的部分信息系统;

  l 3、组织所有的信息系统;

  此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的信息安全管理体系。例如,可以为组织和其他公司之间特定的贸易关系定义信息安全管理体系,也可以为组织结构定义信息安全管理体系,不同的情境可以由一个或者多个信息安全管理体系表述。

  组织内部成功实施信息安全管理的关键因素

  l 1、反映业务目标的安全方针、目标和活动;

  l 2、与组织文化一致的实施安全的方法;

  l 3、来自管理层的有形支持与承诺;

  l 4、 对安全要求、风险评估和风险管理的良好理解;

  l 5、向所有管理者及雇员推行安全意思;

  l 6、向所有雇员和承包商分发有关信息安全方针和准则的导则;

  l 7、提供适当的培训与教育;

  l 8、用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。

  建立ISMS的步骤

  不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:

  1、信息安全体系文件的编制;

  2、信息安全管理体系的审核与评审;

  3、信息安全管理体系的运行;

  4、信息安全管理体系的策划与准备;

  ISO27001标准适用范围:

  适用于各种类型、规模和特性的组织(例如:商业企业、政府机构、非盈利组织等),规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。

  适用于所有组织的特定风险类别:

  l 1、任何其他商业敏感/关键信息,例如,研发信息、设计信息、客户组织详细信息、财务结果;

  l 2、与预测、商业计划、知识产权、制造过程等;

  l 3、工资、养老金、健康与安全、组织档案、内部和部门间的信息等;

  4、任何其他与个人有关的可识别信息;

  适用于组织种类的特定风险类别:

  l 1、教育;

  2、 电信; l

  3、卫生保健;

  l 4、法人治理—上市公司(可能也有其他大型的实体)。  l

  5、适用于行业的特定风险类别:;

  l 6、航空航天  l

  7、金融服务;

  l 8、慈善团体和非盈利组织。

  适用于政府的敏感和(或)关键信息的特定风险类别:

  l 1、电子政务应用;  l

  2、政府的供应商和生产商持有的信息,例如,信息通信技术(ICT)设计、设施、产品、服务等。

  l 3、持有的公民信息,例如,健康、救济金、税金、档案等;

  l 4、公共信息;

  随着科技不断进步,一个组织必须识别和管理很多活动并能有效快速的运作,就不能少ISO 27001认证,重庆ISO认证是一家专业认证各种ISO认证。

下一篇:什么是9001认证 上一篇:没有了

返回顶部