ISO27000 Information Security Management Systems (ISMS)信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。
规划的ISO27000系列,包含下列标准
ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南
Information technology_Security techniques_ISMS auditor guidelines
ISO 27001认证的主要特点和要求包括:
1、建立信息安全管理体系(ISMS): 组织需要建立、文件化并有效实施符合ISO 27001标准要求的信息安全管理体系,包括制定信息安全政策、目标、程序和流程。
2、风险评估和控制: 组织需要识别、评估和控制与信息安全相关的各种风险和威胁,包括内部和外部的威胁,以确保信息资产的安全性和保密性。
3、符合法律法规和客户要求: 组织需要遵守适用的信息安全法律法规和其他相关要求,包括国家法律、行业标准、客户要求等。
4、持续改进: 组织需要不断寻求改进信息安全绩效,包括通过监控和测量来评估绩效,采取预防措施和纠正措施,以提高信息安全水平。
5、参与和沟通: 组织需要与员工、合作伙伴和利益相关方积极合作,并建立有效的沟通机制,以确保他们对信息安全管理体系有充分的了解和参与。
ISO 27001信息安全管理体系认证的过程通常包括:
制定并实施符合ISO 27001要求的信息安全管理体系。
进行内部审核,评估管理体系的有效性和符合性。
选择合格的认证机构进行外部审核。
完成外部审核并接受认证机构的认证决定。
持续监控和改进信息安全管理体系,定期接受认证机构的审核以确保持续符合ISO 27001标准要求。
获得ISO 27001认证可以为组织带来多方面的好处,包括加强信息安全保护、降低信息安全风险、增强市场信任和竞争力、符合法律法规、满足客户要求、提高效率和可持续性等。因此,越来越多的组织开始关注并寻求ISO 27001认证,以确保其信息资产的安全和保护。
QQ客服 