一、ISO 27001的作用
1.符合法律法规要求;
2.保护企业和相关方的信息系统安全、知识产权、商业秘密;
3.履行信息安全管理责任,维护企业的声誉、品牌和客户信任;
4.增强员工的意识,规范组织信息安全行为;
5.保持业务持续发展和竞争优势;
6.实现风险管理,确保信息环境有序而稳定地运作;
7.减少损失,降低成本。
二、ISO27001的概述
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响,安全问题所带来的损失远大于交易的帐面损失。
信息安全管理体系是组织整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。ISO/IEC 27001的全称是《信息安全管理体系 要求》,其前身是英国标准BS 7799-1《信息安全管理实施细则》,是目前世界上应用最广泛与典型的信息安全管理标准。国家标准GB/T 22080等同采用了ISO 27001的内容和要求。ISO 27001标准是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程,如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,是组织达到动态的、系统的、全员参与的、制度化的,以预防为主的信息安全管理方式。
发表评论
发表评论: