ISO27001信（xìn）息安全管理（lǐ）系统标准（zhǔn）简介（1）

所属（shǔ）分类：ISO27001
点击（jī）次数：
发布（bù）日期：2021/06/17
在线询（xún）价

详细介（jiè）绍

在日趋（qū）网络化的（de）世界里，「信息」对建立竞争优势起着举（jǔ）足轻（qīng）重的作用。但它同（tóng）时也是柄（bǐng）双刃（rèn）剑，当（dāng）信息（xī）被（bèi）意外或（huò）刻意的传给恶意的接收者时，同样（yàng）的信息也（yě）可（kě）能导致（zhì）一（yī）所机构倒（dǎo）闭。在当今的信息时（shí）代（dài），科（kē）技无疑为（wéi）我们解（jiě）决了不少问题。

国际（jì）标准组织(ISO)应此类需求，制（zhì）定了（le）ISO27001:2005标准（zhǔn），为如何（hé）建立、推行、维持及改善信息安全管理系（xì）统提供帮助。信息安（ān）全管理（lǐ）系统(ISMS)是高层管（guǎn）理人员用以（yǐ）监察及控制信息安（ān）全、减（jiǎn）少商业风（fēng）险和确保保（bǎo）安系统持续符（fú）合企业、客户及法律（lǜ）要求的一个体系。ISO/IEC 27001:2005 能协助机构（gòu）保护（hù）zhuanli信息，同时也为制定统一的机构保安标准搭建了一个平台，更（gèng）有（yǒu）助于提升安全管理的（de）实务表（biǎo）现和（hé）增（zēng）强机构（gòu）间商业（yè）往来（lái）的信心与信任。

什么机（jī）构可采用 ISO/IEC 27001:2005 标（biāo）准？
任何使用内（nèi）部或外部电（diàn）脑（nǎo）系统、拥（yōng）有（yǒu）机（jī）密资料及/或依靠信息（xī）系统（tǒng）进行商业（yè）活动地机构，均（jun1）可采（cǎi）用 ISO/IEC 27001:2005标准。简单（dān）的说，也就是那些需要处（chù）理信息、并认识到信息保护重（chóng）要性的机构。

ISO/IEC 27001 的控制目标（biāo）及措（cuò）施
ISO/IEC 27001制定的宗旨是确保机构信（xìn）息的（de）机（jī）密性（xìng）、完整性及（jí）可用性，为达成上述宗旨（zhǐ），该标准共提出（chū）了39个控制（zhì）目（mù）标及134项（xiàng）控制措施，推行ISO/IEC 27001标（biāo）准（zhǔn）的机构可在其中选择适用（yòng）于其（qí）业务的控制措施（shī），同时（shí）也可增（zēng）加其他的控制（zhì）措施。而与ISO/IEC 27001相辅（fǔ）的 ISO 17799:2005 标准（zhǔn）是（shì）信（xìn）息安全管理的实务守则（zé），为如何推行控制措施提供指引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月（yuè）公（gōng）布，同时取缔（dì）了（le）多国采（cǎi）纳的英国标准BS 7799-2:2002 ，但新旧标准的（de）要求并无太大分别。ISO / IEC 27001:2005 标（biāo）准以 Edward Deming 博士提出（chū）的“计划-实施-核查-采取行动”循环（huán）周期作为制定蓝图，以（yǐ）实现持续改善的目标。

I. 计划
      计划较重（chóng）要的部分（fèn）是设定涵盖（gài）的范畴及区域，它可以是：
      覆盖整个组织并涉及多个地点的（de）办事处及（jí）/或（huò）厂房
      只（zhī）涉及（jí）一个办（bàn）事处或厂房（fáng）
      只涉（shè）及一个多元化服务供应商的其中（zhōng）一个业务
      计划的（de）主要工作包括信息安全（quán）管（guǎn）理系统、风险评估、风险管理、风险处理措施和适用（yòng）性报告。