ISO27001信息安（ān）全管（guǎn）理（lǐ）系统标准简介（jiè）（1）

您（nín）的当前位（wèi）置：首页 >> 服务项目 >> ISO27001

ISO27001信息安全管理系统标准简介（1）

所（suǒ）属分类：ISO27001
点击次数（shù）：
发布日期：2021/06/17
在线询价

详细介绍

在日趋网络化（huà）的世界里，「信息」对建立竞争优势起着举足轻重的作（zuò）用。但它同时也是柄双刃剑（jiàn），当信息被意外（wài）或刻意的传给恶意的接（jiē）收者时，同样的（de）信息也可能导致一（yī）所机（jī）构倒（dǎo）闭。在当今的信息时代，科（kē）技（jì）无疑为我们解决（jué）了不少问题。

国（guó）际标准组织(ISO)应此（cǐ）类需求（qiú），制定（dìng）了ISO27001:2005标准，为如何建立、推行（háng）、维持及改善信息安全管理系统（tǒng）提供帮助。信息安全管理系统(ISMS)是高层（céng）管理人员用以监察及控制信息安全、减少商（shāng）业风（fēng）险和确（què）保保安系统持续符合企业、客户及法律要求的一个体（tǐ）系（xì）。ISO/IEC 27001:2005 能协助机构保护zhuanli信息，同（tóng）时也（yě）为制定统一的机构保（bǎo）安标准搭建了一（yī）个平台，更（gèng）有助于提升安全管理的实务表现（xiàn）和增（zēng）强机构间商业往来的信心与信任。

什么机（jī）构可采（cǎi）用 ISO/IEC 27001:2005 标准？
任何使用（yòng）内部或外部电脑系统、拥有机密资料及/或依靠（kào）信息系统进行商业（yè）活动地机构，均可采用 ISO/IEC 27001:2005标准。简（jiǎn）单的（de）说，也（yě）就是（shì）那些需要处理信息、并认识到信息（xī）保护重要性（xìng）的（de）机构。

ISO/IEC 27001 的控制目（mù）标及措施
ISO/IEC 27001制定的宗（zōng）旨是确保机构信息的机密性、完（wán）整（zhěng）性（xìng）及可用性，为达成上述宗（zōng）旨，该标准共提出了39个控制目标及134项控制（zhì）措施，推行ISO/IEC 27001标准的机（jī）构（gòu）可在其中（zhōng）选（xuǎn）择适用于其（qí）业务的控制措施，同时也（yě）可（kě）增加其他（tā）的控（kòng）制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是（shì）信息安全管理的（de）实务守则，为如何推行控制措施提供指（zhǐ）引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同（tóng）时取缔了多国采纳（nà）的英（yīng）国标准（zhǔn）BS 7799-2:2002 ，但（dàn）新旧标（biāo）准的要求并（bìng）无太（tài）大分别。ISO / IEC 27001:2005 标（biāo）准以（yǐ） Edward Deming 博士提（tí）出的“计划-实施-核查-采取行动”循（xún）环周期作为制定蓝（lán）图，以实现持续改善的目标。

I. 计划
      计划（huá）较重要的部分是设（shè）定涵盖的范畴及区域，它可（kě）以是：
      覆盖整个组织并涉及多个地（dì）点的办事（shì）处（chù）及/或厂房（fáng）
      只涉及一个办事处或厂房
      只涉及（jí）一个多元化（huà）服（fú）务供应商的其中一个业务
      计划的（de）主要工作包括信（xìn）息安全管理（lǐ）系（xì）统、风险评估、风险管理、风（fēng）险处理措施（shī）和适用性报告。