ISO27001信（xìn）息安全管（guǎn）理系统（tǒng）标（biāo）准简介（1）

所属分类：ISO27001
点击次（cì）数：
发（fā）布日期：2021/06/17
在线询（xún）价

详细介绍

在日（rì）趋网（wǎng）络化的世（shì）界里，「信息」对建立竞争优（yōu）势起（qǐ）着举足轻重的作用。但它同时也是柄（bǐng）双刃剑，当（dāng）信（xìn）息被意外或刻意的传给恶意（yì）的（de）接收者时，同（tóng）样的信息（xī）也可能导致一所机（jī）构倒（dǎo）闭。在（zài）当今（jīn）的信息时代（dài），科（kē）技无疑为我们解决了不（bú）少问题。

国际标准组织(ISO)应此类需求（qiú），制定了ISO27001:2005标准，为如何建（jiàn）立、推行、维持及改善信息安全管理系（xì）统提供帮助（zhù）。信息（xī）安（ān）全管理（lǐ）系（xì）统(ISMS)是高层管理人员用以（yǐ）监察及控制信息（xī）安全（quán）、减少商业风险和确保保安（ān）系统持（chí）续符合企（qǐ）业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护zhuanli信息，同（tóng）时也（yě）为（wéi）制定统一的机（jī）构保安标（biāo）准搭建（jiàn）了一个平台（tái），更有助（zhù）于提（tí）升安全管理的实（shí）务表现和增强机构间商业（yè）往来（lái）的（de）信心与信（xìn）任。

什（shí）么机构可（kě）采用（yòng） ISO/IEC 27001:2005 标准？
任何使用内部或外部电脑系统、拥有机（jī）密资料及/或依靠信息（xī）系统（tǒng）进行（háng）商业活动（dòng）地（dì）机构，均可采（cǎi）用 ISO/IEC 27001:2005标准。简（jiǎn）单（dān）的说（shuō），也就是那些需要处理信息、并认识到信息保护重（chóng）要性的机构。

ISO/IEC 27001 的控制目标及（jí）措施
ISO/IEC 27001制定（dìng）的宗旨是确（què）保机构信息的机密性（xìng）、完整性（xìng）及可用性，为达（dá）成上述宗旨，该标准共提（tí）出了（le）39个控制目（mù）标及（jí）134项控（kòng）制措施（shī），推行（háng）ISO/IEC 27001标准的机构可（kě）在（zài）其中选择适用于其业（yè）务（wù）的（de）控制措施（shī），同时（shí）也可增加其他的控制措施。而（ér）与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信（xìn）息安全（quán）管理的（de）实务守（shǒu）则，为如何推（tuī）行（háng）控制措施提供指引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时取缔了多国采纳（nà）的英国标准BS 7799-2:2002 ，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划（huá）-实施-核查-采（cǎi）取行动”循环（huán）周期作为制定（dìng）蓝图（tú），以实现（xiàn）持（chí）续改善的目标。

I. 计划
      计划较（jiào）重要的（de）部（bù）分是设（shè）定涵盖的范畴及区域（yù），它可（kě）以（yǐ）是（shì）：
      覆盖整个组（zǔ）织并涉及多（duō）个地点的办事处及/或厂房
      只涉及一个办（bàn）事处或厂（chǎng）房
      只涉及一个多元（yuán）化服（fú）务供应商的其中一个业务
      计划的主要工作（zuò）包括信息安（ān）全管理系（xì）统、风（fēng）险（xiǎn）评估、风险管理、风（fēng）险处理（lǐ）措（cuò）施和适用性报告。