ISO27001信（xìn）息安全管理系统标准简介（1）

您的当前位置：首（shǒu）页 >> 服务项目（mù） >> ISO27001

ISO27001信息安全管理（lǐ）系统标准简介（1）

所属（shǔ）分类：ISO27001
点击次数：
发布日期（qī）：2021/06/17
在线询价（jià）

详细介绍

在日（rì）趋网络（luò）化的世（shì）界里，「信（xìn）息」对建立竞争优势起着举（jǔ）足轻重的作用。但它同时也是（shì）柄（bǐng）双刃剑，当（dāng）信（xìn）息被（bèi）意外或刻意的传给恶（è）意的接收者时，同样的信息也可（kě）能导致（zhì）一所机构倒闭（bì）。在当今（jīn）的信息时代，科技无疑为我们解决了（le）不少问题。

国际标准组织(ISO)应此类需求，制定（dìng）了ISO27001:2005标准（zhǔn），为如（rú）何建立、推行、维持及改（gǎi）善信息安全管理（lǐ）系（xì）统提供（gòng）帮助（zhù）。信（xìn）息安全管理系统(ISMS)是高（gāo）层管（guǎn）理人员用以监察及控制信（xìn）息安全、减少商业风险和（hé）确保（bǎo）保（bǎo）安系统持（chí）续（xù）符合（hé）企（qǐ）业、客户及（jí）法律要求的（de）一个体系。ISO/IEC 27001:2005 能协助机构保（bǎo）护zhuanli信息（xī），同时也为（wéi）制（zhì）定统一的机（jī）构保安（ān）标准搭建了一个平台，更有助于提升安全管理（lǐ）的实务（wù）表现和（hé）增强机构间商业往来的信（xìn）心与信任（rèn）。

什么机（jī）构可采用 ISO/IEC 27001:2005 标准？
任何使用（yòng）内部（bù）或外部电脑系（xì）统、拥（yōng）有机密（mì）资料及/或依（yī）靠信息（xī）系统进行商业活动地机构（gòu），均（jun1）可（kě）采用 ISO/IEC 27001:2005标准。简单的说（shuō），也就是那些需要处（chù）理（lǐ）信息、并认识到信息（xī）保护重要性的机构。

ISO/IEC 27001 的控（kòng）制目（mù）标（biāo）及（jí）措施
ISO/IEC 27001制定的（de）宗（zōng）旨（zhǐ）是确保机（jī）构信息的机（jī）密性、完整性及可用（yòng）性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的（de）机构可在其中选（xuǎn）择适用于其业务的控制措（cuò）施，同时也可（kě）增加其（qí）他的控制措施。而与ISO/IEC 27001相辅（fǔ）的 ISO 17799:2005 标准是信息安全管（guǎn）理（lǐ）的（de）实务守则，为如何推行（háng）控制（zhì）措施（shī）提供指引。

ISO/ IEC 27001:2005 的（de）架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公（gōng）布，同时取缔了多国采（cǎi）纳的英国标准BS 7799-2:2002 ，但新旧标（biāo）准的要求并（bìng）无（wú）太大分别。ISO / IEC 27001:2005 标（biāo）准以 Edward Deming 博士提出的“计（jì）划-实施-核查-采取行动”循环周（zhōu）期作为制（zhì）定蓝（lán）图（tú），以实现持续改善的目标。

I. 计划（huá）
      计（jì）划较重要的部分是设（shè）定涵盖的范畴及区域，它可以是（shì）：
      覆盖整个组织并涉（shè）及多个地（dì）点（diǎn）的办事（shì）处及（jí）/或厂房
      只（zhī）涉及一个（gè）办事处或厂房
      只涉及一个多元化服务供应（yīng）商的其中一个业务
      计划（huá）的主要工作包括信息安全管理系统、风险评估、风险管（guǎn）理、风险处理措施和适用性报告。