歡迎進入重慶iso認證公司,提供iso9001質量管理體系認證、iso27001認證、iso22000認證、iso14001認證等

當前位置:重慶iso認證 > iso資訊 > 常見問題 >

ISO27001認證是什么

文章出處:未知 人氣:發表時間:2018-10-12

  大家可能不了解ISO 27001是什么,但是對于信息安全管理體系還是了解吧。其實ISO 27001就是信息安全管理體系中的一個體系。那么ISO 27001又能用于那些范圍呢?下面跟隨我來看看這篇文章吧。

  信息安全管理體系,即Information Security Management System(簡稱ISMS),是組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

  ISO27001:2005是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系;體系一旦建立,組織應按體系的規定要求進行運作,保持體系運行的有效性;信息安全管理體系應形成一定的文件,即組織應建立并保持一個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理方法、控制目標與控制措施、信息資產需要保護的程度等內容。

ISO27001認證是什么

  信息安全管理體系的范圍

  信息安全管理體系的范圍可以根據整個組織或者組織的一部分進行定義,包括相關資產、系統、應用、服務、網絡和用于過程中的技術、存儲以及通信的信息等,ISMS的范圍可以包括:

  l 1、特定的信息系統。

  l 2、組織的部分信息系統;

  l 3、組織所有的信息系統;

  此外,為了保證不同的業務利益,組織需要為業務的不同方面定義不同的信息安全管理體系。例如,可以為組織和其他公司之間特定的貿易關系定義信息安全管理體系,也可以為組織結構定義信息安全管理體系,不同的情境可以由一個或者多個信息安全管理體系表述。

  組織內部成功實施信息安全管理的關鍵因素

  l 1、反映業務目標的安全方針、目標和活動;

  l 2、與組織文化一致的實施安全的方法;

  l 3、來自管理層的有形支持與承諾;

  l 4、 對安全要求、風險評估和風險管理的良好理解;

  l 5、向所有管理者及雇員推行安全意思;

  l 6、向所有雇員和承包商分發有關信息安全方針和準則的導則;

  l 7、提供適當的培訓與教育;

  l 8、用于評價信息安全管理績效及反饋改進建議,并有利于綜合平衡的測量系統。

  建立ISMS的步驟

  不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體的情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經過下列四個基本步驟:

  1、信息安全體系文件的編制;

  2、信息安全管理體系的審核與評審;

  3、信息安全管理體系的運行;

  4、信息安全管理體系的策劃與準備;

  ISO27001標準適用范圍:

  適用于各種類型、規模和特性的組織(例如:商業企業、政府機構、非盈利組織等),規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。以下示例說明了風險的不同類別。

  適用于所有組織的特定風險類別:

  l 1、任何其他商業敏感/關鍵信息,例如,研發信息、設計信息、客戶組織詳細信息、財務結果;

  l 2、與預測、商業計劃、知識產權、制造過程等;

  l 3、工資、養老金、健康與安全、組織檔案、內部和部門間的信息等;

  4、任何其他與個人有關的可識別信息;

  適用于組織種類的特定風險類別:

  l 1、教育;

  2、 電信; l

  3、衛生保健;

  l 4、法人治理—上市公司(可能也有其他大型的實體)?! 

  5、適用于行業的特定風險類別:;

  l 6、航空航天  l

  7、金融服務;

  l 8、慈善團體和非盈利組織。

  適用于政府的敏感和(或)關鍵信息的特定風險類別:

  l 1、電子政務應用;  l

  2、政府的供應商和生產商持有的信息,例如,信息通信技術(ICT)設計、設施、產品、服務等。

  l 3、持有的公民信息,例如,健康、救濟金、稅金、檔案等;

  l 4、公共信息;

  隨著科技不斷進步,一個組織必須識別和管理很多活動并能有效快速的運作,就不能少ISO 27001認證,重慶ISO認證是一家專業認證各種ISO認證。

下一篇:什么是9001認證 上一篇:沒有了

返回頂部

信游娱乐